• Aucun résultat trouvé

Mise en place d un serveur Proxy

N/A
N/A
Protected

Academic year: 2022

Partager "Mise en place d un serveur Proxy"

Copied!
17
0
0

Texte intégral

(1)

1

Mise en place d’un serveur Proxy

(2)

2

Sommaire

Contexte ... 3

Prérequis ... 3

Mise en place en place du proxy squid ... 3

Configuration du proxy ... 6

Filtrage et blacklistage de certains sites et/ou mots clés 8

Utilisation d’une GPO pour gérer les paramètres du

proxy sur les clients ... 13

(3)

3

Contexte

Dans le cadre du respect des activités lié à l’entreprise, le chef de

service cherche une solution pour restreindre l’accès des utilisateurs des postes de travail à certaines pages internet. Il a été retenu comme

solution de l’installation d’un serveur proxy. La mission consistera à mettre en place un serveur proxy sous Windows Server 2008 et de le configurer sur les postes de travail sous Windows 7.

Prérequis

Pour assurer le bon déroulement de l’installation il faut préalablement configurer Windows Server 2008 avec :

- Une adresse IP statique - Le service DNS

- Active Directory

Mise en place en place du proxy squid

Sur le lien suivant se trouve l’utilitaire Squid qui peut être téléchargeable.

http://squid.acmeconsulting.it/download/squid-2.7.STABLE8-bin-DELAYP.zip

Une fois le fichier téléchargé on remarquerez que le fichier est en ZIP.

Pour extraire le contenu vous n’aurez qu’à utiliser l’application Winrar ou WinZip. Dans ce ZIP, un seul dossier (squid) qui sera à extraire à la racine de votre lecteur C: (Attention à bien le mettre sur le C: sinon il faudra s'amuser à modifier la config de SQUID afin de pouvoir le déplacer ailleurs.)

Une fois le dossier décompressé et placé à la racine de votre lecteur C: il faut se rendre dans: squid --> etc --> et renommer les fichiers:

- "mime.conf.default" en "mime.conf"

- "squid.conf.default" en "squid.conf"

(4)

4

Ouvrez une fenêtre de commande (Windows + R, puis taper cmd et valider), puis placez-vous dans le dossier "sbin" de l'installation de SQUID en tapant :

- cd C\squid\sbin

(5)

5

Tapez « squid –i » pour créer le service Squid. (En effet SQUID s'installe sur Windows en tant que service afin de pouvoir le démarrer dès le

lancement de Windows comme n'importe quel autre service.)

Toujours dans la même fenêtre de commande, tapez « squid –z » afin de créer le dossier de cache:

Voici ce qu'il se passe dans la fenêtre de commande si tout se passe bien:

Voilà SQUID est installé sur votre serveur, il ne reste plus qu'à le configurer.

(6)

6

Configuration du proxy

Rendez-vous dans le dossier C:\squid\etc afin de modifier le fichier de configuration "squid.conf". Là, une multitude de lignes de configurations sont présentes, on va voir les plus importantes afin de paramétrer notre Proxy au minimum afin qu'il soit utilisable.

Retrouvez ce bloc :

Et dé-commenter la dernière ligne (#none) et remplacez la par:

visible_hostname Le_Nom_De_Votre_Serveur (

(7)

7

Bien entendu il faut remplacer "Le_Nom_De_Votre_Serveur" par le nom NetBIOS de votre serveur qui peut être récupéré en faisant « clic droit sur Ordinateur et propriétés »

La configuration minimum du proxy est terminée vous pouvez enregistrer votre fichier de conf

Pour que les modifications soient prises en compte il faut redémarrer le service Squid (cela est valable à chaque modification du fichier

squid.conf)

Pour cela, rien de plus simple, il suffit d'aller dans la console de gestion des services Windows (Windows + R et taper services.msc et valider), repérer le service "squid", clic droit dessus et "Redémarrer".

Test de l'accès au proxy:

Dans IE ou n'importe quel navigateur il faudra paramétrer les options de Proxy Pour IE, aller dans Options internet --> Onglet Connexions -->

Paramètres réseau --> Dans "Serveur proxy" cocher les 2 cases -->

Dans adresse, mettre l'adresse IP locale du serveur sur lequel SQUID est installé --> Dans Port, mettre 3128 (ou celui choisi plus haut dans le fichier de config à la ligne http_port) - Valider les paramètres et sortir des options internet

(8)

8

Filtrage et blacklistage de certains sites et/ou mots clés

Blacklistage Simple:

L'intérêt d'un proxy est bien évidemment la mise en cache mais surtout le filtrage du flux de données vers internet et également le blacklistage de sites internet et de mots clés.

SQUID proxy permet bien entendu tout cela et nous allons voir comment procéder pour mettre en place des ACL's (Access List) afin de bloquer des noms de domaines, entre autres. Pour le moment le proxy est installé et configuré au minimum. Intéressons-nous maintenant aux ACL's Nous allons commencer par bloquer l'accès de FACEBOOK aux utilisateurs.

1. Ouvrir le fichier "squid.conf" avec votre éditeur de texte favori 2- Repérez la ligne:

acl CONNECT method CONNECT

Juste après cette ligne vous pourrez y ajouter toutes les ACL's que vous souhaitez. Dans mon exemple je veux bloquer FACEBOOK. Donc, après cette ligne je mets:

acl FACEBOOK url_regex -i *.facebook.com*

(9)

9

acl = Déclare notre ACL FACEBOOK = Nom de notre ACL (On peut donner n'importe quel nom) url_regex = Signifie que le proxy filtrera les expressions régulières dans l'url -i = C'est une option que l'on peut

ajouter à notre ACL pour signifier que le filtrage ne sera pas sensible à la casse l'étoile devant .facebook signifie que dans l'url on filtre également tout ce qui se trouve avant .facebook l'étoile après .com signifie que dans l'url on filtre également tout ce qui se trouve après .com

3- Voilà notre ACL est créé, maintenant il va falloir dire à notre proxy qu'il faut refuser l'accès à cette ACL, donc à FACEBOOK

Reperez la ligne:

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

Juste après vous pouvez ajouter vos propres règles d'accès. Donc pour cette exemple, je mets: http_access deny FACEBOOK http_access = Signifie que la règle portera sur un accès HTTP deny = Signifie que l'on refuse la connexion (deny = nier en Anglais, mais dans ce contexte cela veut dire plutôt refuser)

http_access deny FACEBOOK

Blacklistage avec liste dans un fichier txt:

1- Dans le dossier squid créez un fichier txt que vous nommerez par exemple ReseauSociaux.txt (Vous pouvez mettre ce fichier à l'endroit de votre choix. Personnellement je le mets à l'endroit où se trouve

squid.conf, c'est à dire ici C:\squid\etc)

2- Dans ce fichier, sous forme de liste, inscrivez tous les sites, domaines que vous voulez blacklister.

*.facebook.com*

*twitter.com*

*pinterest.com*

*plus.google.com*

*tumblr.com*

(10)

10

Enregistrer le fichier

3- Rendez-vous maintenant dans notre fichier squid.conf Repérez la ligne:

acl CONNECT method CONNECT

Juste après nous avions créé l'ACL suivante:

acl FACEBOOK url_regex -i *.facebook.com*

Nous allons la supprimer et la remplacer par notre blacklist:

acl ReseauxSociaux url_regex -i "C:\squid\etc\ReseauxSociaux.txt"

(11)

11

Reperez la ligne:

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

Juste après nous avions créé la règle d'accès suivante:

http_access deny FACEBOOK

Nous allons la supprimer et la remplacer par notre nouvelle règle:

http_access deny ReseauxSociaux

Voilà nous avons une banlist avec l'ACL et la règle d'accès correspondantes.

5- Enregistrez le fichier squid.conf et redémarrez le service SQUID comme d'habitude pour tout changement de configuration.

6- Ouvrir une page GOOGLE avec un ordinateur client du Proxy et rechercher FACEBOOK et/ou twitter, hotmail, etc, puis suivre le lien. Si tout est paramétré correctement, vous devriez recevoir une page d'erreur du proxy vous signifiant que vous ne pouvez pas avoir accès à cette page.

(12)

12

Maintenant que le Proxy est opérationnel, nous allons voir comment paramétrer le proxy via une GPO. Mais avant cela nous allons installer l’AD pour qu’on puisse mettre en place une GPO.

(13)

13

Utilisation d’une GPO pour gérer les paramètres du proxy sur les clients

Nous allons créer une GPO sur le serveur afin de faire redescendre la configuration du Proxy sur les machines du domaine et bloquer l'accès à ces paramètres afin que les utilisateurs ne puissent pas changer la

configuration pour outrepasser le Proxy.

1- Sur le serveur, rendez-vous dans la console Active Directory (Démarrer --> Outils d'administration --> Utilisateurs et Ordinateurs Active Directory)

2- Puis faire clic droit sur le nom de domaine puis créer un groupe local.

Pour ma part je l’appellerais ProxyRS.

Après cela fermer la fenêtre et ouvrir celle qui va permettre la gestion de stratégie de groupe

(14)

14

Faire clic droit sur objet de stratégies et cliquer sur « nouveau ».

Une nouvelle fenêtre s'ouvre. C'est ici que nous allons pouvoir donner les directives pour la descente des paramètres Proxy sur les machines du domaine.

Rendez-vous ici: Configuration utilisateur --> Paramètres windows -->

Maintenance de Internet explorer --> Connexion, puis dans le volet de droite double-cliquez sur Paramètres du proxy

(15)

15

- Cochez les 3 cases (Activer les paramètres du proxy, Utiliser le même serveur proxy pour toutes les adresses, Ne pas utiliser de serveur proxy pour les adresses locales)

- Dans la case Adresse du proxy au niveau HTTP mettez l'adresse IP locale de votre serveur Proxy et dans Port mettez le port configuré dans notre fichier squid.conf, 3128 par défaut, puis validez

- Rendez-vous ici: Configuration utilisateur --> Modèles d'administration - -> Composants windows --> Internet explorer, puis dans le volet de

droite recherchez la ligne « Désactiver la modification des paramètres du proxy ». Double-cliquez dessus et cochez le bouton radio Activé puis validez et fermez l'éditeur des objets de stratégie de groupe.

(Pour aller plus loin on peut également empêcher la modification des paramètres de connexion complets, en trouvant la ligne Désactiver la modif. des paramètres de connexion qui se trouve juste au dessus)

Notre GPO est créée mais n'est pas encore active. Pour cela il nous faut maintenant l'associer à une UO (Unité d'Organisation) et l'activer.

- Retrouvez votre objet nommé Proxy (dans cet exemple), puis glissez-le à l'endroit où vous voulez qu'il soit effectif. Personnellement je le place à la racine du domaine (à l'endroit où l'on a botanique.lan) afin que tout le domaine soit impacté par cette GPO, mais vous pouvez très bien le

(16)

16

placer ailleurs (sur une ou plusieurs autres UO), puis validez la fenêtre qui vous demande de confirmer la liaison de l'objet à l'UO.

- Une fois l'objet lié à notre domaine ou UO il suffit de faire un clic droit dessus et sélectionner appliqué pour activer la GPO

- Voilà, notre GPO est active. Il ne reste plus qu'à lui adjoindre un filtre d'action. C'est à dire que nous lui indiquons sur quels groupes

d'utilisateurs elle sera effective.

Pour cela il faut se rendre dans le volet de droite de notre Objet Proxy, puis sélectionner l'onglet Etendue, plus bas dans Filtrage de sécurité cliquez sur Ajouter, entrez le nom de groupe précédemment créé (ProxyResauxsSociaux dans notre exemple), puis validez.

(17)

17

Notre GPO est terminée, maintenant il suffit d'attendre que les stratégies de groupe soient mises à jour pour rendre effectif tout cela sur le

domaine. Pour aller plus vite et éviter d'attendre la mise à jour vous pouvez taper une commande (bien utile) sur le serveur et les postes clients:

Démarrer --> exécuter --> gpupdate /force puis validez

Références

Documents relatifs

Ensuite, on va utiliser plusieurs série de commande avec apt-get pour mettre à jour les packages et le système, ainsi qu'installer les packages nécessaire au fonctionnement du

externes Déterminer les enjeux internes et externes Membres du CODIR 1 fois par an Comité de Direction?. Besoins et attentes des

Même si ce fichier est moins volumineux que celui de la section précédente, on reprend la technique du patch pour illustrer les différences entre le fichier distribué via le paquet

Par exemple si nous utilisons Nextcloud un hébergeur de fichier, si nous voulons l’installer sur notre serveur web en local, il nous suffira de créer et de configurer un

Le TSE, comprenez Terminal Server Edition est une application de Microsoft qui réside dans la mise en place d'un serveur applicatif pour terminaux.. Les terminaux peuvent être des

L’audit sémantique, aussi appelé audit de mots-clés, est une recherche ap- profondie des requêtes que les internautes utilisent dans Google (par écrit ou par oral), dans une

Par exemple, nous pouvons autoriser un accès plus ou moins restreint tous les soirs entre 18 h et 20 h dans la semaine et entre 10 h et 20 h les samedis et dimanches, et tout

Cela implique que si sa propre table d’entrées (que l’on peut consulter dans la console en ajoutant le composant DNS) ne contient pas l’adresse résolue, il va envoyer au