La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Olfeo : Maîtriser l’utilisation d’Internet !

Publié parFlorentin Gillet Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "Olfeo : Maîtriser l’utilisation d’Internet !"— Transcription de la présentation:

1 Olfeo : Maîtriser l’utilisation d’Internet !
Maîtrisez l’utilisation d’Internet ! Comment le proxy Olfeo répond  à une gestion globale des flux au-delà du HTTP ?

2 Sommaire Evolution des flux réseaux/Internet
Retour vers le passe: Internet 1989 Présent: Le règne de HTTP Entreprise: Anarchie applicative Filtrage Protocolaire ou Contrôle transparent Caractéristiques Intégrations Types Protocoles supportés Fonctionnement Utilisation Filtrage par proxy ou Contrôle explicite Proxy disponibles

3 Sommaire Authentification ou Contrôle nominatif
Authentifier pour identifier Annuaires d’entreprise supportés Identification transparente Proxys supportant l’authentification Zones et règles d’authentification Administration et Operations des Proxy Configuration et Paramètres HTTP Configuration et Paramètres FTP, RTSP, TCP, SOCKS Démarrage/Arrêt/Supervision Recommandations Gestion et Optimisation des flux Moteur de règles principal Cache Qualité de Service (QOS) Questions

4 Retour vers le Passé : Internet 1989
Etude Traffic Internet des AT&T Bell Laboratories, Murray Hill, New Jersey Source Université de Berkeley, Californie Méthode Capture/Inspection de paquets IP sur 24 heures Référence

5 Retour vers le Passe : Internet 1989

6 Présent : Le règne de HTTP
Etude Analyse traffic MAN de China Telecom pour la ville de ChangSha (5 millions de personnes) Sources Institute of Computing Technology, Beijing, Chine INRIA Rocquencourt, Le Chesnay, France Computer and Communication School, ChangSha, Chine Centre de Recherche et d’Innovation Alcatel, Marcoussis, France Méthode Capture/Inspection de paquets IP sur une période de 5 mois Référence

7 Present : Le règne de HTTP

8 Present : Le règne de HTTP

9 Entreprise : L’anarchie applicative
Etude Sondage auprès de 1000 personnes (DSI, Managers,…) d’entreprises de plus de 500 employés sur l’utilisation de la bande passante de leurs réseaux d’entreprise Résultats 40% pensent que leur bande passante est consommée par des applications non critiques 50% estiment qu’ils ne maitrisent ou ne comprennent que 60% de leurs flux réseaux 56% des répondants indiquent que les architectures SOA et Web 2.0 rendent le contrôle difficile 51% des sondes estiment que le nombre d’applications utilisant le réseau a augmente de 200% sur les deux dernières années Manque de visibilité chronique sur les flux réseaux Bénéfices mitiges de l’utilisation d’applications Web 2.0: Youtube, Facebook, LinkedIn, … Difficulté a contrôler les applications Web 2.0

10 Contrôle Transparent Caractéristiques
Matériel dédie OlfeoBox recommande/nécessaire Contrôle protocolaire global Mise en œuvre simple Connectivite et configuration simplifies Flexibilité/sociabilité/adaptabilité de déploiement Architecture centralisée Sites satellites Réseaux internes VLANs Implémentation transparente/non intrusive Aucune intervention sur les postes clients Aucun changement sur les équipements réseau Facilite d’administration Administration individuelle/centralisée sans/avec domaine Olfeo Intégration avec le mécanisme de délégation

11 Contrôle Transparent Caractéristiques
Puissance du moteur de règles Olfeo Gestion de plage horaires Utilisation des politiques Granularité de contrôle Héritage Politiques supérieures Support protocolaire Enrichissement continuel des protocoles supportes Mises a jour régulières et facilitées Rapports/Statistiques Statistiques Rapports Analyses Temps réels Diffusion

12 Contrôle Transparent Intégrations Types
Mode Ecoute ou Miroir de Port Positionnement spécifique dans architecture réseau Switch administrable avec miroir de port nécessaire Nécessite 2 interfaces réseau 1 Interface en capture de trames réseau (écoute) 1 Interface en injection de trames réseau (blocage) Haute disponibilité possible

13 Contrôle Transparent Intégrations Types
Mode Coupure Positionnement spécifique dans architecture réseau Aucune configuration nécessaire sur les équipements réseau 2 Interfaces réseau en pont nécessaires 1 Interface réseau pour l’administration Haute disponibilité possible

14 Contrôle Transparent Protocoles Supportés
Catégorisation des protocoles Offre une flexibilité de contrôle au niveau des politiques

15 Contrôle Transparent Fonctionnement
Identique en coupure ou miroir Application cliente envoie une trame protocolaire sortante OlfeoBox capture la trame Olfeo applique les politiques de filtrages La trame protocolaire suit sont chemin Les politiques de filtrage causent un blocage Olfeo injecte une trame de blocage Application cliente retourne une erreur suite au blocage

16 Contrôle Transparent Utilisation
Identification des flux réseaux Choix de l’intégration Déploiement en mode audit Utilisation des statistiques pour analyse du trafic Définition de la Charte Internet Définition de la charte internet en utilisant l’analyse du trafic Préparation des politiques Olfeo La définition claire de la charte permet une définition et implémentation rapide des politiques de contrôles Définition des rapports/analyses nécessaires a la supervision Mise en place des listes de diffusion Activation des politiques en mode audit Vérification facilitée du fonctionnement des politiques Annonce de la publication / entrée en vigueur de la charte Désactivation du mode audit pour l’entrée en vigueur Analyse des rapports périodiques Ajustement/Modification de la charte Internet et politiques si nécessaire

17 Contrôle Transparent Utilisation
Utilisation uniquement au travers de politiques Injection de trames comme blocage Attention aux VLANs et a la sécurité de port au niveau des switchs

18 Contrôle Explicite Caractéristiques
Flexibilité de matériel OlfeoBox, machine physique ou appliance virtuelle (Vsphere 4.x / Hyper-V R2) Contrôle protocolaire limite (proxys) Mise en œuvre Plus complexe: paramétrage des applications clientes ou pare-feux Granularité de contrôle plus fine Scalabilité de déploiement Répartition de charge (proxy.pac, dns round robin, …) Scalabilité facilitée (appliance virtuelle) Instances proxy multiples possibles Implémentation généralement intrusive Nécessite de déployer la configuration proxy des applications clientes Configuration manuelle en chainage de proxy Facilite d’administration Administration individuelle/centralisée sans/avec domaine Olfeo Intégration avec le mécanisme de délégation Gestion intuitive et unifiée des différents proxy et instances

19 Contrôle Explicite Caractéristiques
Puissance du moteur de règles Olfeo Gestion de plage horaires Gestion des éléments de: source, type de flux, destination et contenu Utilisation des politiques Granularité de contrôle Héritage Politiques supérieures Evolutivité Architecture Olfeo permet un ajout assez rapide de protocoles supplémentaires Rapports/Statistiques Statistiques Rapports Analyses Temps réels Diffusion Cache

20 Contrôle Explicite Proxy : HTTP
Intégrations types Proxy transparent: redirection de port depuis un pare-feu Proxy explicite: déclaration de la présence du proxy dans les applications clients Supporte le chainage de proxy Méthodes d’authentification/identification NTLM transparent Basique avec zones d’authentification Olfeo Agent SSO Olfeo Aucune authentification Portail captif Paramètres de contrôle de performance Intégration avec les fonctions de Cache, QOS et Antivirus

21 Contrôle Explicite Proxy : HTTP
Intégrations Types – Proxy transparent Aucune configuration applicative a réaliser Redirection de flux nécessaire au niveau du pare-feu Haute disponibilité Répartition de charge via segmentation (statique), DNS ou si le redirecteur le supporte

22 Contrôle Explicite Proxy : HTTP
Fonctionnement – Proxy Transparent Pare-feu reçoit requête de navigation du poste client Pare-feu redirige requête vers proxy Proxy évalue les règles d’accès et politiques Décision de blocage Proxy redirige le poste client vers une page de blocage Poste client récupère la page de blocage pour affichage

23 Contrôle Explicite Proxy : HTTP
Intégrations Types – Proxy Explicite Configuration applicative ou système nécessaire Haute disponibilité possible Répartition de charge via segmentation (statique), répartiteur, proxy.pac ou DNS

24 Contrôle Explicite Proxy : HTTP
Fonctionnement – Proxy Explicite Emission requête de navigation au proxy Proxy évalue les règles d’accès et politiques Décision de blocage Proxy redirige le client vers une page de blocage Poste client récupère la page de blocage pour affichage

25 Contrôle Explicite Proxy : HTTP
Utilisation Définition de règles globales d’accès et de contenu dans le moteur de règles Utilisation des politiques pour contrôler les accès suivant la position hiérarchique de chaque utilisateur Règles d’accès et de contenu peuvent inclure des propriétés telles que: Plage horaire Source: utilisateur, plage d’adresse IP Type de flux: FTP, HTTP, HTTPS, RTSP Destination: URL, liste d’URLs, catégories, liste de catégories, expressions régulières Contenu: Taille, type MIME Actions: Autoriser, Bloquer, … Action par défaut pour les autres navigations

26 Contrôle Explicite Proxy : FTP
Intégrations types Proxy explicite: déclaration de la présence du proxy dans les applications clientes utilisant FTP Pas de chainage de proxy supporte Paramètres de contrôle de performance Nombre de connexions simultanées autorisées Intégration avec les fonctions d’antivirus Nécessite des applications clientes supportant la déclaration d’un proxy (Filezilla, …) Les applications métiers sont elles aussi supportées Authentification des utilisateurs supportes ou utilisateur anonyme FTP sur HTTP reste du flux HTTP

27 Contrôle Explicite Proxy : FTP
Fonctionnement – Proxy Explicite Client FTP se connecte et réclame au proxy FTP une opération FTP Proxy évalue les règles de connexion, d’accès, contenu et politiques Décision de blocage Proxy ferme la connexion avec le client FTP Client FTP reçoit l’erreur et termine son exécution.

28 Contrôle Explicite Proxy : FTP
Utilisation Le moteur de règles offre un contrôle granulaire des différentes phases d’un échange FTP Contrôle de la connexion au proxy FTP Contrôle de l’accès aux différents serveurs FTP Contrôle de l’accès aux contenus publies sur les serveurs FTP Ces règles globales précèdent un comportement par défaut et/ou l’application de la politique utilisateur Cette flexibilité permet de contrôler Qui a accès au proxy FTP et quand Qui a accès a quels serveurs FTP et quand Qui a accès a quels types de fichiers et de quelles tailles sur ces serveurs FTP et quand

29 Contrôle Explicite Proxy : SOCKS
Intégrations types Proxy explicite: déclaration de la présence du proxy dans les applications clientes utilisant SOCKS ou au niveau système si disponible Pas de chainage de proxy supporte Les applications clients doivent supporter SOCKS et la définition d’un proxy Outils existent pour injecter le support de SOCKS dans des applications existantes SOCKS V5 supporte Pas de contrôle d’accès ou de contenu sur ce proxy Contrôle de connexion uniquement Fonctionnement identique au proxy FTP sur connexion

30 Contrôle Explicite Proxy : SOCKS
Fonctionnement – Proxy Explicite Application cliente utilisant SOCKS se connecte au proxy SOCKS Proxy évalue les règles de connexion précisées pour ce type de flux Décision de blocage Proxy ferme la connexion avec l’application cliente Application cliente reçoit l’erreur

31 Contrôle Explicite Proxy : SOCKS
Utilisation Le moteur de règles permet uniquement de contrôler la connexion au proxy SOCKS en fonction de La plage horaire La source (utilisateur ou plage d’adresse IP) La destination (catégories, …) Les règles ajoutées précèdent un comportement par défaut de blocage ou d’autorisation

32 Contrôle Explicite Proxy : TCP
Intégrations types Proxy transparent: fonctionne uniquement grâce a une redirection de flux (pare-feu) Pas de chainage de proxy supporte Aucun changement ou propriété nécessaire au niveau des applications Proxyfication simple sur retransmission des paquets bruts Une destination unique par proxy TCP Pas de contrôle d’accès ou de contenu sur ce proxy Contrôle de connexion uniquement Fonctionnement identique au proxy SOCKS sur connexion Le protocole applicatif véhicule reste la propriété de l’application

33 Contrôle Explicite Proxy : TCP
Fonctionnement – Proxy Transparent Pare-feu recoit la demande de connexion TCP de l’application cliente Pare-feu redirige requete vers proxy TCP Proxy evalue les regles de connexion Decision de blocage Proxy TCP termine la demande de connexion Poste client recoit l’erreur de terminaison

34 Contrôle Explicite Proxy : TCP
Utilisation Le moteur de règles permet uniquement de contrôler la connexion au proxy TCP en fonction de La plage horaire La source (utilisateur ou plage d’adresse IP) La destination (catégories, …) Les règles ajoutées précèdent un comportement par défaut de blocage ou d’autorisation

35 Contrôle Explicite Proxy : RTSP
Intégrations types Proxy transparent: redirection de rtsp et données depuis le pare-feu Proxy explicite: déclaration de la présence du proxy dans les applications clientes utilisant RTSP ou au niveau système si disponible Pas de chainage de proxy supporte En Proxy explicite, les applications clientes ou le système doivent supporter Définition d’un proxy RTSP pour les connexions de contrôle Définition d’un proxy pour les connexions de données utilisant UDP ou HTTP Pouvoir forcer le choix du protocole de transport des données a UDP ou HTTP Contrôle d’accès uniquement Certification des applications clients Windows Media Player et Real RealPlayer

36 Contrôle Explicite Proxy : RTSP
Fonctionnement – Proxy Explicite Application cliente utilisant RTSP envoie l’URL de destination au proxy RTSP Proxy évalue les règles d’accès précisées pour ce type de flux Autorisation Proxy RTSP établit une connexion avec le serveur destinataire Proxy RTSP répond au client RTSP Client RTSP ouvre les connexions de données avec le proxy RTSP Proxy RTSP ouvre les connexions de données avec le serveur destinataire Les données et les commandes de contrôle sont véhiculées entre le serveur, le proxy RTSP et le client RTSP

37 Contrôle Explicite Proxy : RTSP
Utilisation Le moteur de règles permet uniquement de contrôler l’accès au ressources RTSP en fonction de La plage horaire La source (utilisateur ou plage d’adresse IP) La destination (catégories, …) Les règles ajoutées précèdent un comportement par défaut de blocage/d’autorisation ou d’application de la politique utilisateur

38 Contrôle Explicite Proxy : RTSP / Media Player
Propriétés du proxy de streaming – Contrôle RTSP Spécifier le proxy RTSP HTTP peut aussi être spécifier Attention a l’authentification HTTP Propriétés des URLs MMS – Données RTSP Spécifier RTSP/UDP Spécifier HTTP Ordre de sélection n’est pas forcement l’ordre d’apparition

39 Contrôle Explicite Proxy : RTSP / RealPlayer SP
Paramètres Proxy du Media Browser Utilise le proxy HTTP du système pour l’accès aux bibliothèques d’ouvrages Paramètres du Proxy de streaming – Contrôle RTSP Spécifier le proxy RTSP

40 Contrôle Explicite Proxy : RTSP / RealPlayer SP
Transmissions Réseaux – Données RTSP Activer la configuration manuelle Dans les paramètres RTSP, spécifier UDP et HTTP pour les types de contenus et désactiver les autres modes de transmission

41 Contrôle nominatif Authentifier pour identifier Annuaires supportes
Identifier les utilisateurs pour affiner le contrôle Politiques ou règles d’accès plus spécifiques (utilisateurs, groupes, BU) Identifier les utilisateurs pour utiliser des fonctions spécifiques Coaching Audit Journalisation des accès Identifier les utilisateurs pour personnaliser les messages Pages de blocages Messages de coaching Charte Internet Annuaires supportes ActiveDirectory eDirectory LotusNotes iPlanet Interface LDAP générique Identification transparente Identification des adresses IP des utilisateurs Utilisation de l’agent SSO Olfeo pour Windows Interception des authentifications HTTP/NTLM sur le réseau

42 Contrôle nominatif Proxy supportant l’authentification
HTTP Authentification HTTP/NTLM ou HTTP/basic FTP Authentification login/mot de passe suivant les zones/règles d’authentification Zones/Règles d’Authentification Zones Ensemble logique de machines/utilisateurs partageant une même méthode d’authentification Règles d’authentification Définition des relations d’appartenance aux zones, et donc identification des méthodes d’authentification, des machines/utilisateurs en fonction des plages horaires, des adresses IP ou des flux réseaux Mécanismes puissant de rassemblement logique de machines/utilisateurs soumis a une même authentification

43 Configuration et Operation des Proxy
Configuration HTTP Base sur une technologie OpenSource Squid optimisée par Olfeo Plusieurs instances du proxy HTTP configurables Gestion centralisée des proxy HTTP Majorité des options communes aux proxy HTTP

44 Configuration et Operation des Proxy
Paramètres HTTP par instance Port TCP Transparent Uniquement si accès par redirection de flux Pas d’authentification Pas d’authentification réclamée par cette instance Un proxy HTTP transparent ne réclamera jamais d’authentification Paramètres HTTP communs Mode d’authentification Basique avec zones d’authentification NTLM (nécessite un annuaire et une jonction a un ActiveDirectory) Chainage de proxy Paramètres classiques si un proxy HTTP parent existe Filtrer les URLs Activer/Désactiver le filtrage d’URL Olfeo Mémorisation des autorisations Activer/Désactiver le cache des autorisations de filtrage d’URL Nombre de redirecteurs Tuning de performance sur le filtrage d’URL suivant le volume de requêtes entrantes Autorisations permanentes White liste des URLs a autoriser

45 Configuration et Operation des Proxy
Configuration FTP, RTSP, TCP, SOCKS Licence logicielle Proxy/Cache/Qos nécessaire pour obtenir les proxy autres que HTTP Proxy FTP offert sans licence Proxy/Cache/Qos uniquement pour la fonction antivirus Plusieurs instances de chaque proxy configurables Gestion centralisée de l’ensemble de vos proxy Options spécifiques de chaque proxy configurables Possibilité de rapidement activer/désactiver un ou plusieurs proxy

46 Configuration et Operation des Proxy
Paramètres FTP, RTSP, TCP, SOCKS FTP Port d’écoute Nombre maximum de connexions autorisées Modes passif/actifs supportes et non configurables Port ftp-data standard Ports éphémères tcp en mode actif non configurables RTSP Ports canaux de données non configurables Pas de possibilité de restreindre le type de transport de données TCP Adresse de destination utilise pour la redirection de données Ports éphémères tcp de sortie non configurables SOCKS

47 Configuration et Operation des Proxy
Démarrage/Arrêt Supervision

48 Configuration et Operation des Proxy
Recommandations Complémentarité des contrôles transparent et explicite Contrôle explicite -> cache -> meilleur performances Identification des utilisateurs Authentifier si nécessaire mais au minimum identifier Utiliser les zones d’authentification Utile principalement en cas d’annuaires distincts Dimensionner vos proxys Tirez partie de la possibilité de créer plusieurs instances suivant votre charge Haute Disponibilité Assurer la haute disponibilité de vos proxy avec la fonction de clusters logiciels Olfeo Attention: les proxy ne sont pas « cluster aware », échec des transactions en cours Répartition de charge DNS pour les proxys autres que HTTP Proxy.pac, répartiteurs pour HTTP Proxy sans authentification Evitez si possible sinon essayez de restreindre l’accès (moteur de règles)

49 Gestion et Optimisation des flux
Moteurs de règles principal Gestion centralisée et intuitive de différentes phases d’un flux utilisant un proxy Connexion: Gestion de l’autorisation de la connexion a un proxy Accès: Gestion de l’autorisation d’accès a une entité réseau contenant un ou plusieurs ressources Contenu: Gestion du téléchargement de cette ressource réseau a partir d’un proxy Granularité de configuration en fonction de Plages horaires Sources Flux Destinations Type ou taille de contenu

50 Gestion et Optimisation des flux
Cache Cache inter-clients en suppléant du cache des navigateurs Disponible avec licence Proxy/Cache/QoS Dimensionnement approprie des caches memoires et disques Contrôle des politiques de remplacement en cache mémoire et disque Contrôle de la mise en cache d’informations suivant Sources Type MIME Contrôle du maintien en cache suivant le type MIME Dimensionner vos différents caches suivant votre volume de trafic et son type (vidéo, …) Eviter l’empoisonnement du cache par de gros objets Uniquement HTTP

51 Gestion et Optimisation des flux
QoS Disponible avec licence Proxy/Cache/QoS Fractionnement de la bande passante suivant Destinations Source Plate Horaire Contrôle par utilisateur, groupe ou département Uniquement HTTP

52 Questions ? Contacts Michel Roman mroman@olfeo.com Romuald David
Support Technique Olfeo +33 (0)

Télécharger ppt "Olfeo : Maîtriser l’utilisation d’Internet !"

Présentations similaires

Sécurité informatique

Sécurité informatique
OmniTouch™ 8600 My IC Mobile pour IPhone

OmniTouch™ 8600 My IC Mobile pour IPhone
Les Web Services Schéma Directeur des Espaces numériques de Travail

Les Web Services Schéma Directeur des Espaces numériques de Travail
Gérer les besoins, attentes et exigences des consommateurs pour offrir un service Haut débit de qualité BROADBAND AFRICA SUMMIT 2009 Dakar, Sénégal 28,

Gérer les besoins, attentes et exigences des consommateurs pour offrir un service Haut débit de qualité BROADBAND AFRICA SUMMIT 2009 Dakar, Sénégal 28,
Page d accueil.

Page d accueil.
ESU Faciliter la gestion dInternet au CDI avec ESU.

ESU Faciliter la gestion dInternet au CDI avec ESU.
Protection du réseau périphérique avec ISA 2004

Protection du réseau périphérique avec ISA 2004
« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.

« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.

Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.

Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.
ADMINISTRATION RESEAU

ADMINISTRATION RESEAU
Www.coursmix.com Serveur jeu Le serveur fait partie d'un logiciel de jeu en ligne multi joueur en architecture client serveur. Il répond à des demandes.

Serveur jeu Le serveur fait partie d'un logiciel de jeu en ligne multi joueur en architecture client serveur. Il répond à des demandes.
3/26/2017 7:29 PM Taxonomie et gouvernance Organiser le patrimoine informationnel des entreprises © 2006 Microsoft Corporation. All rights reserved. This.

3/26/2017 7:29 PM Taxonomie et gouvernance Organiser le patrimoine informationnel des entreprises © 2006 Microsoft Corporation. All rights reserved. This.
Implémentation de la gestion de réseau dans Windows 2000 et plus

Implémentation de la gestion de réseau dans Windows 2000 et plus
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.

- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
Firewall sous Linux Netfilter / iptables.

Firewall sous Linux Netfilter / iptables.
DUDIN Aymeric MARINO Andrès

DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000

Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001

ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
TCS – CCNA 2.1.2 École Duhamel Année 2004-2005.

TCS – CCNA École Duhamel Année

Présentations similaires

Annonces Google