Réponse à Appel d’offres
Secure Web Gateway
Sophos SARL River Ouest 80 Quai Voltaire 95870 Bezons
Téléphone : 01 34 34 80 00 Fax : 01 34 34 80 01
info@sophos.fr
Table des matières
1. Contacts ... 5
2. A propos de Sophos ... 6
2.1. La société ... 6
2.2. Plus de 100 millions d’utilisateurs nous font confiance à travers le monde ... 7
2.3. Notre vision ... 7
2.3.1. Meilleurs ensemble ... 8
2.3.2. Active Protection ... 8
2.3.3. Cycle de vie complet de la sécurité ... 9
2.4. Les SophosLabs ... 9
2.5. Certifications and reconnaissance ... 11
3. Vue d’ensemble ... 12
3.1. Facilité d’administration ... 13
3.2. Fonctionnalités principales et avantages ... 13
3.3. Composants logiciels ... 14
3.4. Composants matériels ... 14
4. Fonctionnalités ... 15
4.1. Filtrage sur réputation ... 15
Détermination du risque d’une page... 16
4.2. Filtrage d’url ... 17
4.3. Protection contre les menaces ... 18
4.4. Autres options de filtrage ... 19
4.5. Blocage du trafic privé « Call Home » ... 19
5. Paramétrage ... 20
5.1. Configuration ... 20
5.2. Politique d’utilisation acceptable ... 22
5.3. Expérience utilisateur ... 24
5.4. Web dans Endpoint ... 26
6. Administration ... 29
6.1. Administration d’une appliance unique... 29
6.1.1. Console d’administration et tableau de bord ... 29
6.1.2. Délégation d’administration ... 30
6.1.3. Surveillance, alerte et notification ... 30
6.1.4. Gestion des profils et authentification ... 37
6.2. Administration de plusieurs appliances ... 38
7. Edition de rapports ... 40
7.1. Rapports du tableau de bord ... 40
7.1.1. Résumé statistique du jour et trafic web ... 40
7.1.2. Sites bloqués, virus et codes malveillants ... 41
7.1.3. Profils de trafic ... 41
7.2. La section rapports ... 41
7.3. Rapports en utilisant les données de journal ... 43
8. Support technique ... 44
8.1. L’appliance administrée ... 44
8.2. Mises à jour automatiques ... 44
8.3. Surveillance continue ... 45
8.4. Alertes ... 45
8.5. Assistance à la demande ... 46
8.6. Garantie ... 46
9. Table des figures ... 47
1. Contacts
Consultante Avant Vente
Lise Delage
Tel: +33 (0)1 34 34 80 44 Fax: +33 (0)1 34 34 80 01 Email: lise.delage@sophos.fr
Ingénieur Commercial
David Batut
Tel: +33 (0)1 34 34 80 18 Fax: +33 (0)1 34 34 80 01 Email: david.batut@sophos.fr
Société
SOPHOS SARL River Ouest 80 Quai Voltaire 95870 Bezons
Téléphone: +33 (0)1 34 34 80 00 Fax: +33 (0)1 34 34 80 01 Email: info@sophos.fr
2. A propos de Sophos
2.1. La société
La mission de Sophos est de délivrer le meilleur niveau de sécurité informatique et de protection des données pour les entreprises. Nous développons des produits antivirus et de chiffrement depuis les années 1980. Aujourd'hui, nos solutions protègent plus de 100 000 entreprises (soit plus de 100 millions d'utilisateurs) dans plus de 150 pays à travers le monde. Et parce que nous comprenons tous les enjeux liés à la sécurité de votre entreprise, nous sommes reconnus par nos clients et les spécialistes du marché comme leader dans ce que nous faisons.
Les professionnels de l'informatique et les spécialistes de la sécurité choisissent Sophos car notre offre est unique sur le marché, reposant sur un engagement très simple : proposer « une sécurité complète, sans complexité ». Nos produits protègent les entreprises partout et à tous les niveaux, de la passerelle réseau aux serveurs en passant par les systèmes d'extrémité, les données dans le Cloud et les mobiles personnels des utilisateurs.
"Une sécurité complète, sans complexité" signifie une protection plus performante, une meilleure visibilité, des solutions innovantes faciles à déployer et mises au point par l'un des éditeurs les plus réputés qui consacre l'ensemble de ses ressources à un seul domaine : la sécurité.
Tous nos produits bénéficient de l'intelligence de nos SophosLabs, notre réseau mondial d'experts qui surveillent les menaces, les attaques et les applications légitimes 24h/24, 7j/7 et qui sont connectés en permanence à votre entreprise via notre service de protection active.
Figure 1 : Siège Social de Sophos en Angleterre
2.2. Plus de 100 millions d’utilisateurs nous font confiance à travers le monde
Notre mission est d'aider les organisations à protéger leurs données et à lutter contre le nombre croissant de menaces, de plus en plus complexes. Notre protection s'applique partout et assure une sécurité complète à tous les niveaux : systèmes d'extrémité, chiffrement, messagerie, Web, sécurité réseau et UTM.
Notre mission est d'aider nos clients à protéger leur entreprise et à maintenir leur conformité. Tous nos clients bénéficient de l'expertise de nos analystes des menaces, répartis à travers le monde.
Leurs centres de recherche sont au cœur de toutes nos activités. Ils détectent les menaces les plus récentes et mettent à jour la protection de nos clients automatiquement. De plus, nos équipes Support se composent d'ingénieurs connaissant parfaitement nos produits et disponibles 24h/24 pour vous assister.
Nous attachons une importance primordiale à la simplicité d'installation et d'utilisation de nos produits pour vous faire gagner du temps dans la gestion de votre sécurité informatique. Grâce à Sophos, vous pouvez vous concentrer sur vos activités et les besoins de votre entreprise, en sachant que vous êtes parfaitement sécurisé.
2.3. Notre vision
La sécurité informatique devient de plus en plus complexe et versatile : nouveaux défis générés par les smartphones, les tablettes ou le stockage dans le Cloud, nombre croissant de produits de sécurité à administrer, nouvelles applications à contrôler, et toujours plus de malwares et de pirates...
Malheureusement, les équipes informatiques et les budgets de sécurité informatiques ne suivent pas cette cadence et ont du mal à s'adapter.
Chez Sophos, nous pensons qu'il est temps d'adopter une approche différente. C'est pourquoi nous nous sommes engagés à garantir : « une sécurité complète sans complexité ». Notre vision est de donner à nos clients :
Un système de sécurité unique pour leur entreprise : la « couche sécurité » de leur département informatique
Des solutions complémentaires : Endpoint (mobiles compris) + Gateway + Cloud fonctionnent conjointement pour offrir une meilleure protection.
Une visibilité globale. Une vue d'ensemble de votre système de sécurité pour que vous puissiez voir en un instant ce qui ne va pas et y remédier.
Un cycle de vie complet de la sécurité Un système qui permet de résoudre et d'apporter des améliorations rapidement lorsqu'un problème survient, plutôt que de prétendre qu'il bloque 100 % des menaces sans impact sur l'entreprise.
Technologie "Active Protection" pour vous connecter directement à nos experts en menaces informatiques.
Moins de complexité - simple à déployer et à administrer, elle évite d'avoir de multiples produits à gérer.
Un support assuré par des experts - un partenaire de sécurité informatique + un éditeur que vous pouvez appeler pour tous vos problèmes de sécurité, avec des experts qui analysent les menaces et qui sont à votre disposition quel que soit le produit ou la technologie en cause.
Nous sommes convaincus que cette approche non seulement vous protège plus efficacement mais elle vous fait aussi gagner du temps et de l'argent.
2.3.1. Meilleurs ensemble
Nous concevons nos produits de manière à ce qu'ils fonctionnent conjointement pour mieux vous protéger avec moins d'impact sur les performances, et vous permettre de :
Appliquer votre politique d'utilisation du web non seulement dans l'entreprise mais aussi dans les lieux publics environnants.
Chiffrer les données automatiquement tout au long de leur transfert : du serveur à la messagerie, à l'ordinateur portable, à DropBox, au smartphone Android personnel... sans que l'utilisateur ne s'aperçoive de rien.
Améliorer votre protection contre les menaces sophistiquées et persistantes grâce au pare- feu dernière génération qui communique avec votre protection des systèmes au fur et à mesure que le trafic s'effectue vers votre réseau et en dehors.
2.3.2. Active Protection
Nos experts des SophosLabs surveillent bien plus que les malwares. Ils analysent tous les facteurs pouvant menacer votre sécurité, telles que les applications, les sites Web, le spam et autres vulnérabilités. Nous utilisons ensuite ces informations pour optimiser votre protection. Et notre connexion constante au Cloud nous permet d'ajuster cette intelligence dès que nécessaire. Nos produits simplifient les tâches qui vous prennent trop de temps aujourd'hui et aident à préserver la productivité de vos utilisateurs et de votre équipe informatique.
Règles HIPS : Nous créons les règles pour vous, nous vérifions leur précision et nous les ajustons si nécessaire. Il vous suffit de cocher une case pour activer cette protection haute fiabilité.
Contrôle des applications : Cette fonction est intégrée à notre antivirus. Vous choisissez les catégories que vous voulez contrôler et nous ajoutons les nouvelles applications pour maintenir votre politique à jour.
Contrôle des données : Nous avons intégré une fonction de détection de données sensibles prédéfinies telles que les numéros de cartes bancaires ou les informations médicales. Vous pouvez bloquer ou avertir les utilisateurs qui exposent les données à des risques.
Corriger les vulnérabilités : Nous accordons une importance primordiale aux correctifs pour les applications et les systèmes d'exploitation. Vous serez informé des menaces qu'ils arrêtent et pourrez donc facilement identifier les correctifs les plus importants à déployer.
2.3.3. Cycle de vie complet de la sécurité
Notre protection complète va au-delà de la simple détection des menaces. Elle couvre tous les facteurs pouvant impacter la sécurité.
Nous réduisons la surface d'attaque : Nous nous attaquons aux vecteurs de risque tels que les sites Web, les applications, les logiciels de partage de données et autres vulnérabilités.
Nous protégeons en tous lieux et en toutes circonstances : Nous nous assurons que les utilisateurs sont protégés où qu'ils soient et quels que soient les systèmes et périphériques portables qu'ils utilisent.
Nous bloquons les attaques et les violations de sécurité : Notre technologie va au-delà des signatures grâce à notre protection Live, qui permet d'arrêter les nouvelles menaces instantanément.
Et le plus important, nous n'entravons pas la productivité des utilisateurs ni de l'équipe informatique. Nos produits sont conçus pour simplifier les tâches qui vous prennent trop de temps aujourd'hui.
2.4. Les SophosLabs
Les SophosLabs, notre réseau international de chercheurs et d'experts hautement qualifiés répartis en Europe, Amérique du Nord et Asie-Pacifique, bénéficient de plus de vingt ans d'expérience dans la protection des entreprises contre les menaces connues et émergentes.
Ils couvrent tous les domaines de la sécurité informatique avec un système intégré qui traque les malwares, les vulnérabilités, les intrusions, le spam, les applications légitimes, les sites Web infectés, les formats de données personnelles et tous les types de périphériques amovibles.
Nos systèmes automatisés analysent des millions de courriels et des milliards de pages Web, mettant à jour des bases de données composées de téraoctets de code légitime et malveillant et identifiant chaque jour plus de 10 000 URL infectés et plus de 100 000 nouvelles variantes de code malveillant.
Nos analystes surveillent en permanence la protection de nos clients et l'ajustent automatiquement via notre système "Active Protection" en temps réel.
Figure 2 : Présentation des SophosLabs
2.5. Certifications and reconnaissance
Ingénierie de l'informatique. Physique. Mathématique. Chimie. Nos ingénieurs des SophosLabssont issus d'horizons scientifiques très variés. Ce qui les réunit ? Un désir insatiable, non seulement de résoudre vos problèmes, mais avant tout de les prévenir.
Bien que hautement qualifiés, nous demandons à ce qu'ils suivent plusieurs mois de formation intensive et rigoureuse avant d'être prêts pour assurer la sécurité de nos clients.
Les plus brillants candidats sont recrutés à l'international pour s'attaquer aux dizaines de milliers d'échantillons de malwares et aux millions de menaces Web et de spam relayés chaque jour.
Grâce à nos systèmes d'analyse automatisée sophistiqués et étudiés en fonction des besoins de chaque client, les SophosLabs gardent une longueur d'avance sur les attaques et leurs auteurs. En surveillant et en actualisant la protection en permanence, les analystes des SophosLabs développent une sécurité proactive contre les menaces d'aujourd'hui et de demain.
Ce haut niveau de protection a valu à Sophos de nombreuses certifications et reconnaissances.
Plus de 50 VB100 prix, pour la protection de Windows Vista, Windows Server 2003, Windows Server 2008 et Windows XP
Une note de A+ de AV-Comparatives dans deux tests comparatifs (Proactive/Retrospective test and the Performance test)
Nos analystes experts se consacrent non seulement à leur mission aux SophosLabs mais aussi plus globalement à l'industrie de la sécurité informatique. Les SophosLabs sont souvent sollicités par les médias et invités à intervenir lors de conférences sur la sécurité, notamment par RSA, Virus Bulletin, Anti Phishing Working Group et Hacker Halted.
Aux SophosLabs, nous effectuons une sélection très rigoureuse des candidats auxquels nous confions votre sécurité. Et les résultats sont là.
3. Vue d’ensemble
Les Appliances Web Sophos sont des solutions sécurisées assurant une protection intégrée contre les malwares et le contenu web indésirable. Elles s'articulent autour d'une plate-forme matérielle robuste qui assure une sécurité haute capacité, haute disponibilité avec une simplicité et un contrôle inégalé. Toujours en avance par rapport à l'évolution pourtant rapide des menaces, les Appliances Web permettent de débarrasser votre réseau des menaces web sans impact sur ses performances et sur la productivité des employés.
Protection interactive d'avant-garde
Les Appliances Web Sophos sécurisent et contrôlent complètement le web en analysant le trafic entrant et sortant du réseau de l'entreprise. Cette approche originale du filtrage, associée à la technologie d'analyse Genotype™ de Sophos assure une protection automatisée contre les attaques se développant rapidement et évoluant constamment sur le web. Elle utilise le contrôle avant exécution pour déterminer les fonctionnalités du code et le comportement qu'il est susceptible d'adopter, tout cela sans procéder à son exécution.
Contrôle complet
Pour contrôler le web, Sophos utilise une base de données comportant 54 catégories et couvrant 3,9 milliards de pages en 200 langues, permettant ainsi aux organisations d'utiliser internet de manière productive, efficace et sûre. Grâce aux contrôles d'application et de type de données, les administrateurs peuvent gérer l'exploitation intensive de la bande passante et interdire les applications indésirables et le contenu non approprié.
Appliance administrée
Grâce aux appliances administrée de Sophos, les administrateurs n'ont plus à passer du temps pour la configuration et la maintenance, et des commandes graphiques intuitives simplifient la supervision. Le bon fonctionnement et la disponibilité du système sont assurés par un réseau de 50 contrôleurs vérifiant continuellement les équipements, le logiciel et le trafic, et transmettant automatiquement les mises à jour d'état au service d'exploitation du réseau Sophos.
Console d'administration "opérations en trois clics"
Complétant l'utilisation de ces technologies puissantes, une console d'administration intuitive de type web simplifie les tâches administratives et offre une meilleure compréhension et un meilleur contrôle des accès web. La console d'administration donne accès instantanément aux informations pertinentes pour que les administrateurs soient informés des décisions concernant le niveau de trafic, les performances du système et l'exploration.
Protection efficace de l’accès web
Les Sophos Web Appliances assurent la protection maximum de votre accès web avec une administration minimum.
3.1. Facilité d’administration
Les Appliances Web de Sophos offrent des avantages sécurisant et simplifiant l'exploration productive du web :
Protéger un vecteur essentiel aujourd'hui : prévenir l'infection par des menaces se déplaçant et évoluant rapidement grâce à notre protection interactive prouvée. La technologie Genotype™ de Sophos assure 93 % de la détection globale de manière proactive, sans la nécessité d'une mise à jour.
Contrôle de l'utilisation du web : assurer la productivité en contrôlant l'accès et l'utilisation du web par utilisateur, groupe, site web et contenu.
Mieux comprendre la sécurité : utiliser en temps réel les renseignements sur la sécurité et les performances pour créer rapidement des politiques efficaces.
Administration simplifiée : diminuer les coûts et le risque par des "opérations en trois clics"
pour l'administration et l’exploitation au quotidien.
Assurer des performances élevées : notre plate-forme spécialisée assure un filtrage très performant et une disponibilité maximale.
3.2. Fonctionnalités principales et avantages
Fonctionnalités Avantages
Indépendance vis-à-vis de la plate-forme
Parfaite adaptation à toute infrastructure réseau
Visibilité inégalée sur les menaces web
Les SophosLabs analysent des milliards de pages web par jour, recherchant les codes malveillants sur plus d'emplacement que les systèmes concurrents d'autres fournisseurs
Détection de tous les codes malveillants
Bloque les spyware, les phishing, les virus, les chevaux de Troie, les vers, les adwares et les autres codes malveillants, y compris le trafic privé "call-home" provenant de machines infectées Protection interactive Genotype
et Behavioral
Bloque les variantes mutantes de code malveillant et les menaces inconnues avant qu'elles ne soient exécutées ou installées
Haute capacité Traite facilement le trafic web de plusieurs centaines d’utilisateurs simultanés sur une seule appliance Haute performance
L'analyse à un seul moteur détecte et bloque les menaces plus rapidement et plus efficacement que les solutions à plusieurs moteurs
Respect de la réglementation et filtrage assurant la productivité
Bloque l'accès à un contenu agressif ou illégal, et assure le contrôle d'accès pour d'autres catégories variées
Protection mondiale Protège les multinationales contre les menaces sur le web sous forme de flux de messages en plusieurs langues
Appliance administrée Sophos
Diminue les tâches administratives, automatise la sécurité et les mises à jour du logiciel, et contrôle à distance le bon fonctionnement du système pour assurer une protection fiable 24 heures sur 24
Support exhaustif
Support technique 24/7 pendant toute la durée de validité de la licence et possibilité de le contacter à tout moment pour une assistance individuelle
3.3. Composants logiciels
Les Appliances Web Sophos sont élaborées sur un système d’exploitation (OS) renforcé, optimisé pour les plateformes matérielles et pour les logiciels Sophos incorporés. Conçues autour d’un système Linux durci elles vous offriront une stabilité et une fiabilité de haut niveau, ainsi qu’une vitesse et des performances excellentes. Le noyau Linux a été optimisé pour assurer une sécurité maximale et pour prévenir le piratage.
3.4. Composants matériels
Les Appliances Web de Sophos sont disponibles en plusieurs versions matérielles afin de répondre aux différents besoins des clients, de la WS100 à la WS5000.
Deux appliances de supervisions, SM2000 et SM5000, sont également disponibles pour gérer de façon centralisée plusieurs appliances Web.
Les appliances comportent les composants matériels suivants sur un serveur 1U dédié.
Les appliances sont également disponible en mode virtuel pour être intégrées à votre infrastructure VMWare.
4. Fonctionnalités
Les Appliances Web Sophos sont des passerelles web plug-and-protect assurant une sécurité et un contrôle total. Elles s’adaptent aisément à toutes les configurations réseau. Dotée d’un système d’exploitation intégré, aucune connaissance d’UNIX, Linux, Solaris ou de tout autre système d’exploitation n’est nécessaire.
Les Appliances Web protègent contre tous les codes malveillants provenant des contenus web, et vous protège vos utilisateurs contre l’ensemble des programmes malveillants, incluant mais se ne limitant pas aux virus, vers, chevaux de Troie, Adwares, et autres tentatives d’exploitation de failles de sécurité (Exploit).
Les Appliances Web vous permettent d’élaborer des politiques d’accès à Internet en fonction des catégories de sites, mais également de groupes d’utilisateurs ou de machines. En contrôlant les éléments sortants et les données entrantes, les Appliances Web vous permettent d’assurer la sécurité du réseau et de faire appliquer les politiques de navigation acceptables du web facilement avec un temps de mise en œuvre extrêmement rapide.
Les Appliances Web dites proxy (WS100, WS500, WS1100 et WS5000) sont en charge du traitement de l’information reçue et émise, tandis que les Appliances d’Administration (SM2000 et SM5000) vous permettront si vous le souhaitez de gérer centralement l’ensemble des Appliances de filtrage installées dans votre infrastructure locale et/ou distante, et vous fourniront l’accès à l’ensemble des rapports consolidés ou par machine individuelle.
4.1. Filtrage sur réputation
Avec l’évolution des communications par Internet et des applications web, la navigation Internet est reconnue comme un support essentiel de communication pour les sociétés de toute taille et de toute nature, mais aussi comme un maillon faible pour la sécurité et l’image de marque de l’organisation.
Aujourd’hui, la plupart des organisations ne peuvent plus effectuer les opérations régulières sans donner aux utilisateurs l’accès au web. Malheureusement cette liberté est bien connue de ceux qui l’exploitent dans un but malveillant car la plupart des organisations n’ont pas encore mis en place des mesures de sécurité suffisantes sur le web. Au cours des dernières années, la croissance explosive des attaques par spyware, phishing ou encore « cross-scripting » prouve la vulnérabilité de l’exploitation incontrôlée sur le web.
Les Appliances Web Sophos s’appuient sur plus de 30 ans d’expérience de Sophos en tant que fournisseur de système de sécurité, et vous permettent de prévenir l’infection par des codes malveillants comme les spywares, les chevaux de Troie, les vers, ainsi que les tentatives d’exploitation de failles de sécurité. La protection est assurée en analysant tout le trafic http et https ainsi que ftp dans http entrant dans la société avant qu’il n’atteigne le navigateur de l’utilisateur. Si un code malveillant est rencontré, il est supprimé, le contenu sain restant étant transmis au navigateur.
Un contenu malveillant peut apparaitre sur pratiquement tous les sites web, mais il n’est pas possible d’analyser le contenu de tous les sites, car ceci entrainerait des retards préjudiciables à
l’utilisateur. Pour relever ce défi impliquant normalement un compromis entre sécurité et performance, les Sophos Web Appliances utilisent une nouvelle technologie d’analyse en fonction du risque, adaptant le degré d’analyse au risque de la page web.
4.1.1. Détermination du risque d’une page
L’analyse en fonction du risque s’appuie sur la capacité de Sophos à déterminer le niveau de risque pour des milliards de pages web par jour. Le réseau sécurité SophosLabs scrute le web pour détecter les sources de code malveillant, ajoutant une nouvelle URL toutes les 4,5 secondes (plus de 130.000 par semaine).
Lorsque les domaines et les pages web sont visités, les niveaux de risque et les actions sont ainsi affectés.
Niveau de risque Caractéristique du site Action
Elevé Hébergeant actuellement un contenu malveillant Bloquer Moyen
Historique des mauvaises pratiques concernant la vie privée et/ou la sécurité et pouvant compromettre la sécurité du réseau
Bloquer ou analyser
Faible
Pas d'historique récent de contenu ou comportement malveillant, résultant d'examens périodiques par les SophosLabs
Analyser
Il est essentiel de pouvoir distinguer les sites à risque faible et à risque moyen pour que l’utilisateur ne soit pas gêné et que la sécurité ne soit pas compromise. Avec l’analyse en fonction du risque, l’appliance Web analysera plus les sites à risque moyen que les sites à faible risque. Par exemple, les images sur les sites à risque moyen sont analysées, mais elles ne le sont pas sur les sites à faible risque, car les images contiennent rarement des codes malveillants.
Les sites sécurisés sont des sites contrôlés par des sources de confiance, et pour lesquels on sait qu’ils sont sûrs et n’ont pas besoin d’être analysés. La liste des sites sécurisés, pouvant inclure des sites intranet, des portails fournisseur et des sites administratifs, ou de grands noms de la sécurité, peut être administrée localement.
Les sites non classifiés sont ceux qui n’ont pas encore été analysés par les SophosLabs.
L’administrateur peut affecter ces sites à l’une des trois grandes catégories de risque – Elevé, Moyen ou Faible – et prendre des mesures en conséquence.
4.2. Filtrage d’url
Pour diverses raisons, de nombreuses organisations ne veulent pas autoriser leurs employés à naviguer sur Internet sans limite.
Certains contenus peuvent être jugés indésirables sur le lieu de travail pour les raisons suivantes :
Soucis concernant la productivité et l’utilisation personnelle du temps et des ressources de la société
Soucis concernant la responsabilité civile suite à l’affichage et/ou la diffusion de contenu agressif et/ou illégal
Le moyen le plus efficace pour empêcher le personnel d’accéder à ces contenus indésirables ou dangereux, tout en leur donnant accès aux autres contenus, consiste à bloquer l’accès aux sites en fonction de leur catégorie (e-commerce, loisir, jeux, banques, pornographie, etc.)
Les Appliances Web disposent d’une base de données de 54 catégories de contenu couvrant plus de 24 millions de sites et trois milliards de pages web.
Adulte/ Sexuellement explicite
Alimentaire Véhicule motorisés Shopping
Publicités et pop-up Jeux de hasards Actualités Société et culture
Alcool et tabac Jeux Peer-to-peer Url de spam
Arts Gouvernement Petites annonces et
rencontres
Sports
Blogs et forums Piratage Organisations
philanthropiques et professionnelles
Spywares
Business Santé et Médecine Phishing et fraude Streaming
Chat Loisirs et récréation Recherches de photos Mauvais gout et offensant Informatique et
internet
Sites d’hébergement Politique Voyages
Activité criminelle Drogues illicites Services proxy et traducteurs
Violence
Téléchargements Infrastructures Immobilier Armes
Education Lingerie et vêtements
de bain
Référence Messagerie web
Divertissement Intolérance et haine Téléchargements de sonneries/téléphones
Personnalisé – pour intranet et autres sites
mobiles clients Mode et beauté Recherche d’emploi et
développement de carrière
Moteur de recherche
Finances et investissements
Sites pour enfants Education sexuelle
L’administrateur peut fixer une politique d’accès (Autoriser/Interdire/Alerter) pour chacune des catégories. Les administrateurs peuvent avertir les utilisateurs qu’ils visitent un site d’une catégorie spécifiée, les informer que cette action est en contradiction avec la politique de filtrage, et leur transférer ainsi la responsabilité de l’accès à ce contenu.
Si une page demandée est refusée en raison d’une politique établie, l’Appliance permet d’indiquer à la personne demandant la page pourquoi sa demande est refusée. La section 6.2 détaille les pages de notifications à l’utilisateur.
4.3. Protection contre les menaces
Les Appliances Web embarquent le moteur unifié de Sophos qui protège plus de 100 millions d’utilisateurs dans le monde. Cette technologie sécurise plus vite et plus efficacement en vérifiant simultanément toutes les menaces en un seul passage. Cette approche rend inutile des moteurs séparés pour les spywares, virus, et diminue le temps d’attente des pages pour l’utilisateur. Il en résulte une réduction importante des tâches administratives associées à la gestion et création de politiques lorsqu’il y a plusieurs moteurs.
L’Appliance Web assure une combinaison idéale d’automatisation et de contrôle pour assurer la sécurité de l’entreprise en ce qui concerne la navigation sur le web. Elles forment une association entre la mise à jour des définitions de menaces automatisées, les capacités administratives simples et rapides et les alertes par exception. Cette combinaison de fonctions réduit la charge administrative quotidienne et fournit la sécurité et la surveillance dont vous avez besoin.
Les Appliances Web bénéficient de l’expérience des SophosLabs concernant les menaces, et assure une protection interactive par analyse plus rapide des nouvelles menaces, par plusieurs techniques de détection/mise à jour, et par une gestion sur le cycle de vie de la menace.
Les organisations qui utilisent les Appliances Web Sophos bénéficient des avantages suivants :
Protection fiable contre les menaces émergentes et les menaces inconnues
Gain de productivité des utilisateurs
Réduction de la charge administrative
Tranquillité d’esprit grâce à la protection de l’infrastructure de navigation
4.4. Autres options de filtrage
Les Appliances Web offrent d’autres options incluant :
Options Description
Paramétrage du cache Taille minimale et maximale des objets pouvant être mis en cache Accès par l’adresse IP
publique
Possibilité d’accéder à l’appliance par son adresse IP publique si celle-ci est en DMZ
SophosLabs Partage de données aves les laboratoires Sophos (données non identifiables ni par l’adresse IP ni par le nom d’utilisateur)
Mode de journalisation
Incluant le nom d’utilisateur et l’adresse IP pour afficher les rapports, résultats de recherche et journaux
Rétention des données de rapports
Possibilité de paramétrer la durée de rétention des données de reporting en mois
YouTube pour les écoles
Possibilité d’autoriser uniquement l’accès à des vidéos éducatives dans un environnement contrôlé en renseignant l’identifiant de la chaine de l’école Google Applications Restreindre la connexion à certains domaines pour Google Applications Autres options Autoriser/Refuser les fichiers non analysables et chiffrés, autoriser/refuser
les fichiers de taille importante pour lesquels l’analyse ne sera pas possible, autoriser certaines applications potentiellement indésirables (PUAs)
4.5. Blocage du trafic privé « Call Home »
En s’appuyant sur la capacité de Sophos à détecter et analyser les codes malveillants provenant de sources variées, les Appliances Web peuvent ainsi empêcher les ordinateurs clients infectés par des botnets de renvoyer les données aux serveurs en attente (« calling home »).
Lorsque les SophosLabs identifient une URL servant de dépôt à des informations volées à des ordinateurs infectés, celle-ci est ajoutée à la liste des sites à haut risque, et empêche les ordinateurs de les atteindre. En cas d’infection avant l’installation de l’appliance Web, ou d’infection par d’autres voies, l’administrateur pourra identifier les ordinateurs compromis simplement en affichant le rapport sur les machines suspectes sur l’appliance de filtrage ou sur l’appliance de supervision.
5. Paramétrage
En tant que proxy, l’Appliance Web Sophos est généralement installée sur le réseau local (LAN) ou dans la DMZ, derrière le pare-feu réseau et en amont des postes clients.
Le mode recommandé de mise en œuvre de la Sophos Web Appliance est le mode proxy explicite. Ce mode maximise la sécurité et les fonctionnalités, facilite l’utilisation car le navigateur client communique directement avec l’Appliance. Ce mode permet de valider le certificat HTTPS d’un site web et d’utiliser l’Active Directory ou eDirectory pour l’authentification de l’utilisateur, la création de rapports et de politiques. Le mode explicite implique la configuration du navigateur client, pouvant être automatisée dans l’environnement Active Directory.
Figure 4 : appliance web déployée en mode proxy explicite
D’autres modes d’installations sont également envisageables comme le mode proxy transparent ou le mode bridge (nécessite une carte de bypass).
5.1. Configuration
La configuration de l’Appliance Web Sophos est simple. Une fois installé et lancé, l’assistant de paramétrage permet d’effectuer la configuration, ramenant la durée d’installation à moins de 30 minutes. L’Assistant détecte automatiquement les paramétrages de l’Active Directory et défini une politique par Défaut afin de sécuriser le trafic web rapidement et efficacement.
La configuration peut être modifiée à tout moment en utilisant la console d’administration « en trois clics ».
1 : Utilisateurs 2. Web Appliance 3 : Pare feu 4 : Internet
Figure 5 : modification de la configuration
Le tableau ci-dessous indique les composants configurables de l’appliance web présents dans l’onglet de configuration.
Catégorie Section Description
Comptes Administrateurs
Options des pages de Notification
Gestion de la délégation d’administration Personnalisation simple (ajout d’une image, affichage de l’url…) ou avancée avec modification de templates
Politique groupe Politique par défaut Groupes par défaut Heures spéciales Politiques additionnelles Liste des sites locaux Test de politique
Configuration de la politique par défaut Définition des groupes par défaut
Définition des créneaux horaires spécifiques Configuration de politiques spécifiques Gestion de la classification locale des urls Vérification de l’accès internet d’un utilisateur par rapport à une politique Politique globale Filtre de sécurité
Catégorisation dynamique Prévention des fuites d’informations Analyse HTTPS
Validation de certificats Options de téléchargement Options générales
Gestion des niveaux de risque d’une url Gestion automatique des proxies anonymes Blocage du webmail et/ou des blogs &
forums
Gestion du trafic https
Configuration de la validation de certificats Autorise/bloque des fichiers non scannables Gestion d’options telles que le cache ou l’envoi d’information aux SophosLabs Système Mises à jour
Alerte et monitoring Sauvegarde
Restauration Active Directory
Configuration des mises à jour des définitions et du firmware
Configuration des alertes et gestion du syslog
Sauvegarde de la configuration et des logs Restauration de la configuration
eDirectory Authentification Profils de connexion Fuseaux horaires Gestion centralisée Autorité de certification Contrôle web dans Endpoint
Configuration de la synchronisation Active Directory
Configuration des paramètres de synchronisation eDirectory
Permet de bypasser l’authentification si nécessaire ou encore d’activer un portail captif
Définir des profils de connexion par type de téléphone ou d’applications
Configuration de l’autorité de certification pour le scan https
Configuration du fuseau et du serveur de temps
Intégration avec les appliances de supervision
Gestion de la communication avec les postes équipés de la solution Endpoint Protection Réseau Interface réseau
Hostname WCCP
Connectivité réseau Outils de diagnostic
Paramétrage de l’adressage IP
Configuration du fqdn, chainage de proxy, serveur SMTP…
Intégration et configuration de l’appliance en mode WCCP
Test de connectivité
Outils tels que traceroute, requête DNS, ping….
5.2. Politique d’utilisation acceptable
Le contrôle de la navigation est un moyen efficace d’augmenter la productivité, de diminuer le risque concernant la responsabilité civile et d’éviter la perte de données confidentielles. Il faut naturellement trouver un équilibre entre les contrôles nécessaires et les besoins des utilisateurs. La section Group Policy des Appliances Web permet de créer aisément des politiques grâce auxquelles les organisations peuvent exercer le contrôle nécessaire sans gêner l’utilisation légitime du web.
La section Group Policy est un ensemble de politiques incluant la politique par défaut (Default Policy) et plusieurs autres politiques en fonction des besoins de la société.
Chaque politique comprend trois éléments :
Une liste des utilisateurs, ordinateurs et/ou autres groupes concernés par la politique,
Une liste des catégories URL et des règles de filtrage d’application,
D’autres options affectant la navigation de l’utilisateur.
Pendant l’installation, l’administrateur choisit un ensemble de politiques de référence qui deviendra
restriction et exigeant des contrôles plus stricts. Par exemple une école peut imposer des restrictions différentes pour les professeurs, le personnel de l’Université, et pour les étudiants. Les Appliances Web le permettent en créant d’autres politiques spécifiant d’autres règles pour des utilisateurs, ordinateurs ou groupes particuliers. Les politiques additionnelles ne spécifieront généralement des règles que pour un sous ensemble de catégories d’URL ou types d’application.
La création des politiques additionnelles est guidée par un assistant en trois étapes permettant de spécifier les membres concernés par la politique, les règles concernant les contenus, et un nom mémorisable pour la politique.
Vous pouvez également créer des politiques avec une date prédéterminée d’expiration si elles sont temporaires, par exemple une politique donnant un accès à une ressource donnée à un sous-traitant pour la semaine.
Chaque accès ou téléchargement sur un site web est évalué en fonction de chaque politique dans l’ordre de priorité. Si l’utilisateur ou adresse IP correspond à une politique et si le contenu correspond à une règle concernant la catégorie ou le type de fichier, la mesure appropriée sera prise.
Si aucune règle de politique concordante n’existe, la règle de la politique par défaut est appliquée.
La section Special Hours permet de créer une politique alternative pendant certaines heures de la journée. Cette politique peut être appliquée au maximum pendant deux créneaux horaires chaque jour, par exemple pour le déjeuner et en dehors des heures de travail.
Figure 6 : Utilisation du web à certaines heures de la journée
Les Appliances Web disposent d’une fonctionnalité de test des politiques permettant de vérifier quelle politique est appliquée à quel utilisateur ou adresse IP et pour quelle URL. Ceci peut s’avérer très utile pour déterminer rapidement l’élément bloquant dans une politique lorsqu’un utilisateur se voit refuser l’accès à un site web.
Afin de prévenir le risque d’erreur, même si un site est autorisé par la Politique Groupe, les capacités de filtrage sécurité de l’Appliance ne peuvent pas être surpassées. Tous les sites sont analysés pour détecter les contenus malveillants et sont bloqués s’ils présentent un risque élevé pour la sécurité.
Figure 7 : Le test de politique identifie la politique bloquant une demande
5.3. Expérience utilisateur
Lorsqu’ils naviguent sur le web, les utilisateurs veulent avoir accès instantanément (ou presque) au contenu voulu. Bien qu’il puisse y avoir plusieurs raisons empêchant le chargement d’une page (bande passante insuffisante, avarie chez le fournisseur d’accès, surcharge du serveur, etc.) les utilisateurs sont impatients lorsqu’ils n’obtiennent pas l’information cherchée. La sécurité est le plus souvent blâmée car on pense que l’analyse des menaces ralentit la transmission du contenu.
Bien que l’analyse des fichiers explique en grande partie le retard avec les systèmes traditionnels de sécurité, ce n’est pas le cas avec l’Appliance Web Sophos. L’Appliance Web Sophos est conçue pour éviter les retards et répondre à l’attente de l’utilisateur, ajoutant moins de 1 seconde de latence à la demande de l’utilisateur. Les technologies d’analyse de l’Appliance minimisent la durée de l’analyse et réduit le temps d’attente ; le ressenti utilisateur est très positif.
Afin de satisfaire des utilisateurs de plus en plus exigeants, il est impératif de mettre en place une solution ne perturbant pas leurs habitudes et les informera au mieux d’un éventuel retard induit par le filtrage. A cet effet, la plupart des téléchargements sont effectués à la volée, utilisant le gestionnaire de téléchargements du navigateur utilisé comme s’il n’y avait pas de proxy.
Parfois, cette analyse à la volée est impossible. Les Appliances Web informent les utilisateurs des
Figure 8 : Page de patience
Lorsqu’un utilisateur enfreint la politique de sécurité mise en place, il est important de lui fournir une information claire. Chaque opération entraînant le blocage sera clairement notifiée à l’utilisateur, lui permettant éventuellement (si paramétré) de passer outre cette protection en prenant la responsabilité de cette opération à sa charge.
Le lien « Signaler toute mauvaise catégorisation à l’administrateur » permet aux utilisateurs en un simple clic de signaler la mauvaise classification de la ressource, et permettra à l’administrateur de corriger le problème ou d’informer l’utilisateur sur la politique de sécurité en vigueur dans l’organisation.
Figure 9 : Notification utilisateur : blocage et avertissement
Les pages de Notification sont affichées dans les cas suivants :
Code malveillant détecté
Site soumis à restrictions
Violation de politique
Application bloquée
Type de fichier bloqué
Patience (téléchargement ralenti par le serveur)
Certificat invalide (HTTPS)
Avertissement avec option de continuer
Au choix de l’administrateur, la page Notification peut contenir les informations suivantes :
URL demandée
Raison du refus d’accès
Logo de la société
L’administrateur peut modifier le titre de la page et ajouter des remarques sur chaque page de notification. Les utilisateurs dont les navigateurs fonctionnent avec une autre langue supportée (français, espagnol, allemand ou italien) verront le texte affiché dans leur langue. Tous les autres utilisateurs verront la version anglaise. Les administrateurs peuvent modifier le texte affiché dans chaque langue indépendamment.
Figure 10 : Configuration des pages de notification
Les notifications des Appliances Sophos Web maintiennent la transparence de la politique de sécurité de l’organisation et prouvent l’efficacité de l’Appliance pour écarter du réseau les codes malveillants et les contenus indésirables ou dangereux.
5.4. Web dans Endpoint
En ajoutant une licence Sophos Endpoint Protection, vous avez la possibilité de synchroniser les fonctions suivantes avec l'ensemble de vos systèmes d'extrémité, quelque soit leur emplacement : politiques de productivité par utilisateur pour 54 catégories de sites prédéfinies, politiques d'utilisation personnalisées et rapports d'activités.
Au travers de l’échange d’une clé d’authentification entre une appliance web (physique ou virtuelle)
événements de navigation survenus ainsi que les demandes d’exception ponctuelles effectuées par les utilisateurs.
Figure 11 : Processus Sophos Live Connect
Toutes ces fonctions s'effectuent de manière instantanée et automatique via le Cloud depuis la console de l'Appliance Web de Sophos pour les utilisateurs itinérants.
Pour les sédentaires le deuxième avantage est le fait que ce filtrage d’accès à internet est réalisé depuis le poste. Du coup lorsqu’une requête est effectuée depuis un poste fixe, elle est validée ou non localement et lorsque la requête de navigation web se présente auprès de l’appliance web, elle est reconnue comme ayant déjà été traitée et n’est donc pas évaluée une seconde fois ce qui soulage la charge de l’appliance et donc améliore les performances et la longévité de cet équipement.
La console de l’appliance Web vous permet aussi de visualiser depuis un point unique les utilisateurs connectés à sa politique de sécurité et de répondre à leur demande d’autorisation d’accès de manière quasi immédiate.
Figure 12 : Stratégie de gestion du web par catégorie
Ne cherchez pas plus loin. Vous ne trouverez pas une offre plus innovante et différenciatrice pour protéger efficacement vos utilisateurs sur Internet, quelque soit le type de connexion réseau.
Avec ces deux options vous assurerez :
Une protection pour tous vos utilisateurs. Partout.
Les fonctions d'application des politiques d'utilisation d'Internet et de détection des malwares ont été directement intégrées à notre agent Endpoint, qui suit vos utilisateurs partout où ils vont
Une administration simple et centralisée des politiques
Sophos Enterprise Console vous permet de créer vos politiques en toute simplicité. Et mieux encore, si vous disposez de l'une de nos Appliances Web (physique ou virtuelle), la politique se synchronise immédiatement avec les systèmes d'extrémité via le Cloud
Toutes les connexions web de vos utilisateurs sont enregistrées, ce qui vous permet de connaître leurs activités quelque soit l'endroit où ils se trouvent
Grâce aux nouvelles fonctions intégrées à vos systèmes d'extrémité, vous pouvez éliminer le « backhauling » et gérer plus facilement chaque utilisateur. Et vous n'avez plus besoin de vous inquiéter des points d'échec individuels
Vous éliminez la complexité et les coûts
6. Administration
Les Appliances Web Sophos maximisent la sécurité et minimisent la charge administrative. En s’appuyant sur l’expérience de Sophos concernant la détection des virus, du spam et d’autres codes malveillants, elles utilisent un paramétrage efficace de Politique par Défaut, écartant tout aléa dans la configuration du système.
6.1. Administration d’une appliance unique 6.1.1. Console d’administration et tableau
de bord
La console d’administration est une interface graphique sécurisée de type web qui permet les actions suivantes :
Configuration des paramètres du système et du réseau
Configuration de la sécurité et des filtres de contenu
Contrôle de l’état du système et diagnostic des interruptions
Gestion des retours d’information utilisateur
Etude des catégories et des niveaux de risque d’un site via la fonction de Test
Affichage de sécurité pour les virus, PUA, sites à haut risque et violation des politiques
Rapports en temps réel sur des problèmes tels que les accès aux sites, activités de l’utilisateur, rencontre de menaces, etc.
Figure 13 : Tableau de bord
Le tableau de bord est la page d’accueil de la console, résumant instantanément la performance globale du système. A partir du tableau de bord, l’administrateur peut contrôler le trafic web, l’état de protection, mesurer les performances du système, vérifier la catégorie et le niveau de risque d’une URL, et vérifier la disponibilité du système. Reposant sur une exigence stricte de navigation minimale, chaque fonction de la console d’administration s’exécute en moins de trois clics et l’accès en ligne de commande n’est plus nécessaire.
6.1.2. Délégation d’administration
L’assistant de configuration permet à l’administrateur de créer et de gérer facilement les comptes d’administration délégué. Définir un nouveau compte d’administration, lui assigner un rôle et limiter la vue des rapports ne prend que quelques étapes.
Cinq rôles essentiels sont prédéfinis :
Helpdesk : approuve les demandes de soumissions, teste les politiques et vérifie la connectivité réseau
Policy : configure et teste toutes les politiques de navigation internet
Reporting : visualise et planifie les rapports
User activity : accède à l’activité détaillée de l’utilisateur
Full access : accès complet à toute la configuration et capacité de reporting
Figure 14 : Assistant de création d’un nouveau compte
6.1.3. Surveillance, alerte et notification
Les Appliances Web diminuent la charge administrative en contrôlant de près l’état du système via
dur par exemple), une alerte est envoyée à Sophos pour corriger le problème. Sophos peut souvent résoudre le problème avant que l’administrateur en ait connaissance.
Ainsi, si aucune alerte ou notification de l’Appliance (ou de Sophos) le système est considéré comme fonctionnant correctement et qu’aucune interaction ou intervention n’est nécessaire. Les administrateurs ne sont notifiés que si quelque chose doit attirer leur attention, sinon ils peuvent se concentrer sur d’autres priorités en étant sûr que l’Appliance Web n’est pas menacée et fonctionne efficacement.
Figure 15 : Etat du système
6.1.3.1. Vérification du statut
Il est possible de déterminer instantanément l’état général de l’appliance en se connectant à la console d’administration et en vérifiant l’indicateur System Status, qui figure en haut à droite de chaque page.
Vert : tous les systèmes sont normaux
Jaune : une perturbation temporaire ou de peu d’importance
Rouge : une perturbation critique.
Dans le cas d’une perturbation critique, il est possible d’envoyer une alerte par email au contact chargé du supporte technique, de même qu’à Sophos.
En cliquant sur l’indicateur Etat du Système, on obtient tous les détails sur l’environnement de la l’Appliance Web :
Trafic : pointes de virus, fichiers et applications indésirables, retard de page, longueur des files à analyser, durée d’analyse
Matériel : performance des composants matériels, température, utilisation de la mémoire, etc.
Logiciel : santé du processus, état de la protection, connexion à Sophos, redémarrage du système, mises à jour du système
Licence : validité de la licence
La page System Status affiche un indicateur pour chaque élément de surveillance, de même qu’un message indiquant l’état actuel du système, fournissant des solutions permettant de résoudre le problème et donnant des détails sur la dernière exception survenue (date et heure).
Si une exception se produit, un clic suffit pour consulter des détails supplémentaires sur l’incident et savoir si des actions ont eu lieu.
Chaque opération critique de l’Appliance est visualisable à partir de cette page unique de la console d’administration. L’écran System Status facilite l’analyse spontanée et complète des performances générales et de l’état de la protection et permet d’obtenir des instructions sur la manière de corriger les interruptions du système.
6.1.3.2. Mises à jour
Les Appliances Web se connectent à Sophos toutes les 5 minutes pour vérifier et le cas échéant télécharger les dernières mises à jour de définition des menaces, la liste Sophos des sites malveillants, ainsi que le logiciel d’exploitation. Par défaut, ces mises à jour sont téléchargées et appliquées automatiquement. L’administrateur peut télécharger et appliquer des mises à jour logicielles non vitales selon un calendrier prédéfini ou effectuer des mises à jour simples, à la demande.
Les mises à jour non critiques peuvent être différées jusqu’à sept jours, et seront automatiquement appliquées dans la fenêtre de mise à jour par l’administrateur. L’application des mises à jour logicielles majeures comme les patches contre la vulnérabilité, est instantanée.
Figure 16 : Planification des mises à jour
6.1.3.3. Sauvegarde et restauration de configuration
L’administrateur peut programmer l’appliance pour qu’elle procède au lancement de sauvegardes FTP automatiques des données de configuration et des journaux système. Si validée, cette sauvegarde sera effectuée automatiquement, conformément à la planification.
Les données de configuration peuvent également être sauvegardées manuellement et très simplement dans la section System Backup de la console d’administration.
Les appliances utilisent un archivage automatique, afin de maintenir des performances optimales et d’assurer une capacité de stockage embarqué adéquate. Si le volume de données stockées sur le disque dur atteint une capacité de 70%, les données seront archivées automatiquement afin qu’un minimum de 40% soit disponible.
Figure 17 : Sauvegarde de la configuration et des logs
Les administrateurs peuvent établir la configuration système et la liste locale de sites à partir d’une sauvegarde antérieure, facilement par une simple interface.
6.1.3.4. Gestion des retours utilisateurs
Comme indiqué plus haut, les administrateurs peuvent autoriser les utilisateurs à retourner des informations sur les catégories de sites. Ceci est géré par la politique par défaut et les autres Politiques. Lorsque ces utilisateurs rencontrent une page de notification concernant une violation de politique, ils peuvent demander un changement de catégorie afin d’ajuster la politique.
Par exemple, si des utilisateurs tentent d’atteindre une page web bloquée à cause d’une classification incorrecte, ils peuvent demander un changement de catégorie et/ou un déblocage à l’administrateur.
Tous les retours utilisateur apparaissent dans la fonction Rechercher sur la console d’administration, divisées en 3 catégories sous Rapports d’Utilisateurs :
Sites
Applications (par exemple : plug-in, barres d’outil, lecteur média, etc.)
Types de fichiers (par exemple : archives, documents, exécutables)
L’administrateur peut approuver ou refuser les demandes en cliquant sur les deux boutons de la colonne Actions à droite de l’écran. Les modifications approuvées d’urls apparaitront automatiquement dans la liste locale des sites.
Figure 18 : Demandes utilisateurs
6.1.3.5. Capacités supplémentaires de recherche
Les Appliances Web peuvent effectuer des recherches dans l’activité récente de navigation. La console d’administration vous permet la recherche via une interface graphique intuitive les données enregistrées sur l’Appliance.
Sites visités par un utilisateur donné ou une adresse IP (selon l’utilisation ou non de l’Active Directory)
Noms d’utilisateurs ou adresses IP ayant visité un nom de domaine donné
Cette information vous permet le suivi des comportements des utilisateurs ou pour connaître les visiteurs de sites non conformes à la politique d’utilisation de l’organisation.
Figure 19 : Recherche par nom d’utilisateurs / adresses IP
Figure 20 : Recherche par domaine
6.1.3.6. Intégration avec un annuaire
Les Appliances Web permettent de paramétrer rapidement des utilisateurs et groupes d’utilisateurs par intégration dans un Active Directory (AD) ou eDirectory, permettant d’authentifier les accès et appliquer selon le groupe les politiques correspondantes.
Figure 21 : Configuration Active Directory
Figure 22 : Configuration eDirectory
6.1.4. Gestion des profils et authentification
Il est maintenant possible avec les appliances web de pouvoir gérer de façon plus granulaire l’authentification des équipements.
En effet, il est ainsi possible de bypasser complètement l’authentification ou de forcer le SSO. Si jamais celui-ci échoue, un portail captif permet de définir une durée de navigation pour un utilisateur invité.
Figure 23 : Paramètres d’authentification
Les profils de connexion permettent d’aller encore plus loin, comme définir un mode d’authentification particulier en fonction du type d’applications ou de téléphones.
Figure 24 : Exemple de profil de connexion
Figure 25 : Connexion au portail captif
6.2. Administration de plusieurs appliances
En complément des appliances de filtrage WS100/WS500/WS1100/WS5000, il peut vous être proposé une Appliance d’administration et de supervision de type SM2000 ou SM5000 afin de :
- Consolider les rapports et les logs de toutes les Appliances de Filtrage Web - Gérer centralement les configurations de vos différentes Appliances de Filtrage - Conserver l’historique de la navigation en un point central jusqu’à 3 ans
- Pouvoir générer des rapports sur une période allant jusqu’à 3 ans
Les Appliances d’Administration de Sophos ont été conçues pour agréger les informations de 50 Appliances de Filtrage, soit 15.000 utilisateurs simultanés, aussi simplement que s’il s’agissait d’une seule Appliance.
machine ne sont plus disponibles, à l’exception des éléments uniques à la machine (adresse ip, nom, mises à jour, outils de diagnostics, etc.).
Figure 27 : Rattachement de l’appliance de filtrage à une appliance de management
7. Edition de rapports
Afin de conserver le contrôle et la visibilité de l’appliance, l’administrateur doit avoir une parfaite compréhension du fonctionnement du trafic web. Savoir que le réseau possède une protection à jour contre les virus et les sites web à risque n’est pas suffisant. La direction demande souvent à l’administrateur de fournir une analyse du trafic.
Ce type de demande exige une analyse en profondeur de facteurs tels que les éléments visités et les performances matérielles et logicielles. Les fonctions d’édition de rapports des appliances en temps réel facilitent l’acquisition de ce niveau de compréhension, qui permet une meilleure gestion et une administration plus rapide du système.
Il est possible d’accéder aux rapports à partir de deux emplacements sur la console d’administration.
Les principales statistiques comme le transfert des données et le comportement des menaces sont résumés sur le tableau de bord.
7.1. Rapports du tableau de bord
Le tableau de bord affiche un récapitulatif rapide des performances du système en direct, avec des données mises à jour automatiquement toutes les 5 minutes. Le tableau de bord regroupe des données en trois sections : résumé statistique du jour, trafic web et profil de trafic, donnant facilement accès aux statistiques les plus courantes.
7.1.1. Résumé statistique du jour et trafic web
Ces statistiques situées en haut à gauche du tableau de bord, donnent le nombre d’utilisateurs sur la journée, d’utilisateurs concurrents, et des données globales sur la bande passante et le transfert des données. Ces statistiques donnent rapidement les principales caractéristiques de votre trafic web depuis minuit.
Dans la moitié inférieure, deux cadrans mesurent le débit (en kbps) et temps de latence (en ms) de l’appliance de filtrage web pour analyser et délivrer une page demandée.
Ces cadrans donnent une image instantanée de la vitesse du trafic web passant par l’Appliance de filtrage et le temps de traitement de la page demandée. Si le cadran de gauche (débit) dépasse le maximum, ceci indique un nombre trop élevé de téléchargements. Si le cadran de latence dépasse le maximum, il
7.1.2. Sites bloqués, virus et codes malveillants
En haut à droite, des statistiques résument les nombre de virus, PUA, sites à haut risque et violation de politiques de sécurité. Les administrateurs peuvent avoir des rapports détaillés permettant de mieux les analyser en cliquant dessus.
7.1.3. Profils de trafic
En bas à droite du tableau de bord, 3 graphiques linéaires mesurent le trafic journalier, les niveaux de virus, et les tentatives de visite de sites à haut risque. Cette information est utile pour comparer le trafic d’aujourd’hui à celui des 7 jours précédents.
La zone blanche représente le flux quotidien jusqu’à une heure donnée et la ligne rouge le flux moyen sur une période de 7 jours.
S’il existe une différence visible entre les deux structures, cela peut indiquer un pic dans le volume de trafic ou une épidémie virale (zone blanche à un niveau plus élevée que la ligne rouge) ou un
problème de connexion ou de relais (ligne rouge à un niveau plus élevé que la zone blanche).
7.2. La section rapports
En cliquant sur l’onglet Rapports de la barre de navigation, on révèle des rapports plus développés et approfondis. Depuis cette section, les administrateurs peuvent détailler les habitudes de navigation et les performances système, permettant de savoir comment les utilisateurs naviguent sur le web et les dangers de leur comportement sur le réseau.
Le menu de navigation situé à gauche vous dirige vers une vaste gamme de rapports personnalisables et générés dynamiquement. Ces rapports sont groupés en trois grandes categories:
Catégorie Nom du rapport
Trafic et performances
Volume Latence
Bande passante
Utilisateurs Utilisateurs téléchargeant des virus Utilisateurs téléchargeant des PUA Visiteurs de site à haut risque Infraction aux stratégies
Utilisateurs principaux de la bande passante
Utilisateurs principaux par temps de
navigation
Temps de navigation par utilisateur Utilisateurs principaux par catégorie Catégories visitées par utilisateur Sites visités par utilisateur Politiques et contenu Sites autorisés
Sites en mode alerte Sites bloqués Catégories Téléchargement
Machines suspectes (Call Home)
Ces rapports sont établis en temps réel et peuvent être personnalisés par l’administrateur pour refléter un intervalle de temps particulier. Chaque rapport peut être exporté au format CSV pour une analyse hors ligne.
Par exemple, un rapport exporté peut être inclus dans une présentation destinée à l’équipe de management ou à la personne chargée de la conformité pour démontrer l’efficacité de l’appliance en matière de protection web.
Par ailleurs, afin de ne pas avoir à générer les rapports manuellement et les transmettre à diverses personnes selon leur besoin, vous avez la possibilité de planifier l’envoi de rapports automatiquement pour les périodes dont vous aurez besoin.
Par exemple, vous pourrez planifier l’envoi d’un rapport sur l’utilisation de bande passante la veille de la réunion quotidienne avec les équipes réseau, tandis que vous aurez besoin de disposer des dernières informations à jour avant la réunion avec le responsable de la sécurité de l’organisation le lundi après-midi.
Figure 28 : Planification de l’envoi de rapports périodiques
7.3. Rapports en utilisant les données de journal
Parfois les administrateurs doivent remonter dans le temps pour étudier la navigation d’un utilisateur soupçonné de violer la politique d’utilisation acceptable. Dans ce cas, les administrateurs peuvent examiner les données de journaux exportés.
Les administrateurs peuvent exporter les fichiers de logs dans le format «sophos» ou dans un format standard « squid ». Les données sous le format de Sophos donnent des informations détaillées sur le trafic pouvant être traitées et analysées avec plusieurs outils commerciaux d’édition de rapport comme Webspy. Le format Squid est moins détaillé, mais est compatible avec plusieurs outils de reporting.
