Olfeo : Maîtriser l’utilisation d’Internet ! Maîtrisez l’utilisation d’Internet ! Comment le proxy Olfeo répond à une gestion globale des flux au-delà du HTTP ? www.olfeo.com
Sommaire Evolution des flux réseaux/Internet Retour vers le passe: Internet 1989 Présent: Le règne de HTTP Entreprise: Anarchie applicative Filtrage Protocolaire ou Contrôle transparent Caractéristiques Intégrations Types Protocoles supportés Fonctionnement Utilisation Filtrage par proxy ou Contrôle explicite Proxy disponibles
Sommaire Authentification ou Contrôle nominatif Authentifier pour identifier Annuaires d’entreprise supportés Identification transparente Proxys supportant l’authentification Zones et règles d’authentification Administration et Operations des Proxy Configuration et Paramètres HTTP Configuration et Paramètres FTP, RTSP, TCP, SOCKS Démarrage/Arrêt/Supervision Recommandations Gestion et Optimisation des flux Moteur de règles principal Cache Qualité de Service (QOS) Questions
Retour vers le Passé : Internet 1989 Etude Traffic Internet des AT&T Bell Laboratories, Murray Hill, New Jersey Source Université de Berkeley, Californie Méthode Capture/Inspection de paquets IP sur 24 heures Référence http://www.kiskeya.net/ramon/work/pubs/ucb89.pdf
Retour vers le Passe : Internet 1989
Présent : Le règne de HTTP Etude Analyse traffic MAN de China Telecom pour la ville de ChangSha (5 millions de personnes) Sources Institute of Computing Technology, Beijing, Chine INRIA Rocquencourt, Le Chesnay, France Computer and Communication School, ChangSha, Chine Centre de Recherche et d’Innovation Alcatel, Marcoussis, France Méthode Capture/Inspection de paquets IP sur une période de 5 mois Référence http://hal.inria.fr/docs/00/41/59/23/PDF/XieZYMIC07.pdf
Present : Le règne de HTTP
Present : Le règne de HTTP
Entreprise : L’anarchie applicative Etude Sondage auprès de 1000 personnes (DSI, Managers,…) d’entreprises de plus de 500 employés sur l’utilisation de la bande passante de leurs réseaux d’entreprise Résultats 40% pensent que leur bande passante est consommée par des applications non critiques 50% estiment qu’ils ne maitrisent ou ne comprennent que 60% de leurs flux réseaux 56% des répondants indiquent que les architectures SOA et Web 2.0 rendent le contrôle difficile 51% des sondes estiment que le nombre d’applications utilisant le réseau a augmente de 200% sur les deux dernières années Manque de visibilité chronique sur les flux réseaux Bénéfices mitiges de l’utilisation d’applications Web 2.0: Youtube, Facebook, LinkedIn, … Difficulté a contrôler les applications Web 2.0
Contrôle Transparent Caractéristiques Matériel dédie OlfeoBox recommande/nécessaire Contrôle protocolaire global Mise en œuvre simple Connectivite et configuration simplifies Flexibilité/sociabilité/adaptabilité de déploiement Architecture centralisée Sites satellites Réseaux internes VLANs … Implémentation transparente/non intrusive Aucune intervention sur les postes clients Aucun changement sur les équipements réseau Facilite d’administration Administration individuelle/centralisée sans/avec domaine Olfeo Intégration avec le mécanisme de délégation
Contrôle Transparent Caractéristiques Puissance du moteur de règles Olfeo Gestion de plage horaires Utilisation des politiques Granularité de contrôle Héritage Politiques supérieures Support protocolaire Enrichissement continuel des protocoles supportes Mises a jour régulières et facilitées Rapports/Statistiques Statistiques Rapports Analyses Temps réels Diffusion
Contrôle Transparent Intégrations Types Mode Ecoute ou Miroir de Port Positionnement spécifique dans architecture réseau Switch administrable avec miroir de port nécessaire Nécessite 2 interfaces réseau 1 Interface en capture de trames réseau (écoute) 1 Interface en injection de trames réseau (blocage) Haute disponibilité possible
Contrôle Transparent Intégrations Types Mode Coupure Positionnement spécifique dans architecture réseau Aucune configuration nécessaire sur les équipements réseau 2 Interfaces réseau en pont nécessaires 1 Interface réseau pour l’administration Haute disponibilité possible
Contrôle Transparent Protocoles Supportés Catégorisation des protocoles Offre une flexibilité de contrôle au niveau des politiques
Contrôle Transparent Fonctionnement Identique en coupure ou miroir Application cliente envoie une trame protocolaire sortante OlfeoBox capture la trame Olfeo applique les politiques de filtrages La trame protocolaire suit sont chemin Les politiques de filtrage causent un blocage Olfeo injecte une trame de blocage Application cliente retourne une erreur suite au blocage
Contrôle Transparent Utilisation Identification des flux réseaux Choix de l’intégration Déploiement en mode audit Utilisation des statistiques pour analyse du trafic Définition de la Charte Internet Définition de la charte internet en utilisant l’analyse du trafic Préparation des politiques Olfeo La définition claire de la charte permet une définition et implémentation rapide des politiques de contrôles Définition des rapports/analyses nécessaires a la supervision Mise en place des listes de diffusion Activation des politiques en mode audit Vérification facilitée du fonctionnement des politiques Annonce de la publication / entrée en vigueur de la charte Désactivation du mode audit pour l’entrée en vigueur Analyse des rapports périodiques Ajustement/Modification de la charte Internet et politiques si nécessaire
Contrôle Transparent Utilisation Utilisation uniquement au travers de politiques Injection de trames comme blocage Attention aux VLANs et a la sécurité de port au niveau des switchs
Contrôle Explicite Caractéristiques Flexibilité de matériel OlfeoBox, machine physique ou appliance virtuelle (Vsphere 4.x / Hyper-V R2) Contrôle protocolaire limite (proxys) Mise en œuvre Plus complexe: paramétrage des applications clientes ou pare-feux Granularité de contrôle plus fine Scalabilité de déploiement Répartition de charge (proxy.pac, dns round robin, …) Scalabilité facilitée (appliance virtuelle) Instances proxy multiples possibles … Implémentation généralement intrusive Nécessite de déployer la configuration proxy des applications clientes Configuration manuelle en chainage de proxy Facilite d’administration Administration individuelle/centralisée sans/avec domaine Olfeo Intégration avec le mécanisme de délégation Gestion intuitive et unifiée des différents proxy et instances
Contrôle Explicite Caractéristiques Puissance du moteur de règles Olfeo Gestion de plage horaires Gestion des éléments de: source, type de flux, destination et contenu Utilisation des politiques Granularité de contrôle Héritage Politiques supérieures Evolutivité Architecture Olfeo permet un ajout assez rapide de protocoles supplémentaires Rapports/Statistiques Statistiques Rapports Analyses Temps réels Diffusion Cache
Contrôle Explicite Proxy : HTTP Intégrations types Proxy transparent: redirection de port depuis un pare-feu Proxy explicite: déclaration de la présence du proxy dans les applications clients Supporte le chainage de proxy Méthodes d’authentification/identification NTLM transparent Basique avec zones d’authentification Olfeo Agent SSO Olfeo Aucune authentification Portail captif Paramètres de contrôle de performance Intégration avec les fonctions de Cache, QOS et Antivirus
Contrôle Explicite Proxy : HTTP Intégrations Types – Proxy transparent Aucune configuration applicative a réaliser Redirection de flux nécessaire au niveau du pare-feu Haute disponibilité Répartition de charge via segmentation (statique), DNS ou si le redirecteur le supporte
Contrôle Explicite Proxy : HTTP Fonctionnement – Proxy Transparent Pare-feu reçoit requête de navigation du poste client Pare-feu redirige requête vers proxy Proxy évalue les règles d’accès et politiques Décision de blocage Proxy redirige le poste client vers une page de blocage Poste client récupère la page de blocage pour affichage
Contrôle Explicite Proxy : HTTP Intégrations Types – Proxy Explicite Configuration applicative ou système nécessaire Haute disponibilité possible Répartition de charge via segmentation (statique), répartiteur, proxy.pac ou DNS
Contrôle Explicite Proxy : HTTP Fonctionnement – Proxy Explicite Emission requête de navigation au proxy Proxy évalue les règles d’accès et politiques Décision de blocage Proxy redirige le client vers une page de blocage Poste client récupère la page de blocage pour affichage
Contrôle Explicite Proxy : HTTP Utilisation Définition de règles globales d’accès et de contenu dans le moteur de règles Utilisation des politiques pour contrôler les accès suivant la position hiérarchique de chaque utilisateur Règles d’accès et de contenu peuvent inclure des propriétés telles que: Plage horaire Source: utilisateur, plage d’adresse IP Type de flux: FTP, HTTP, HTTPS, RTSP Destination: URL, liste d’URLs, catégories, liste de catégories, expressions régulières Contenu: Taille, type MIME Actions: Autoriser, Bloquer, … Action par défaut pour les autres navigations
Contrôle Explicite Proxy : FTP Intégrations types Proxy explicite: déclaration de la présence du proxy dans les applications clientes utilisant FTP Pas de chainage de proxy supporte Paramètres de contrôle de performance Nombre de connexions simultanées autorisées Intégration avec les fonctions d’antivirus Nécessite des applications clientes supportant la déclaration d’un proxy (Filezilla, …) Les applications métiers sont elles aussi supportées Authentification des utilisateurs supportes ou utilisateur anonyme FTP sur HTTP reste du flux HTTP
Contrôle Explicite Proxy : FTP Fonctionnement – Proxy Explicite Client FTP se connecte et réclame au proxy FTP une opération FTP Proxy évalue les règles de connexion, d’accès, contenu et politiques Décision de blocage Proxy ferme la connexion avec le client FTP Client FTP reçoit l’erreur et termine son exécution.
Contrôle Explicite Proxy : FTP Utilisation Le moteur de règles offre un contrôle granulaire des différentes phases d’un échange FTP Contrôle de la connexion au proxy FTP Contrôle de l’accès aux différents serveurs FTP Contrôle de l’accès aux contenus publies sur les serveurs FTP Ces règles globales précèdent un comportement par défaut et/ou l’application de la politique utilisateur Cette flexibilité permet de contrôler Qui a accès au proxy FTP et quand Qui a accès a quels serveurs FTP et quand Qui a accès a quels types de fichiers et de quelles tailles sur ces serveurs FTP et quand
Contrôle Explicite Proxy : SOCKS Intégrations types Proxy explicite: déclaration de la présence du proxy dans les applications clientes utilisant SOCKS ou au niveau système si disponible Pas de chainage de proxy supporte Les applications clients doivent supporter SOCKS et la définition d’un proxy Outils existent pour injecter le support de SOCKS dans des applications existantes SOCKS V5 supporte Pas de contrôle d’accès ou de contenu sur ce proxy Contrôle de connexion uniquement Fonctionnement identique au proxy FTP sur connexion
Contrôle Explicite Proxy : SOCKS Fonctionnement – Proxy Explicite Application cliente utilisant SOCKS se connecte au proxy SOCKS Proxy évalue les règles de connexion précisées pour ce type de flux Décision de blocage Proxy ferme la connexion avec l’application cliente Application cliente reçoit l’erreur
Contrôle Explicite Proxy : SOCKS Utilisation Le moteur de règles permet uniquement de contrôler la connexion au proxy SOCKS en fonction de La plage horaire La source (utilisateur ou plage d’adresse IP) La destination (catégories, …) Les règles ajoutées précèdent un comportement par défaut de blocage ou d’autorisation
Contrôle Explicite Proxy : TCP Intégrations types Proxy transparent: fonctionne uniquement grâce a une redirection de flux (pare-feu) Pas de chainage de proxy supporte Aucun changement ou propriété nécessaire au niveau des applications Proxyfication simple sur retransmission des paquets bruts Une destination unique par proxy TCP Pas de contrôle d’accès ou de contenu sur ce proxy Contrôle de connexion uniquement Fonctionnement identique au proxy SOCKS sur connexion Le protocole applicatif véhicule reste la propriété de l’application
Contrôle Explicite Proxy : TCP Fonctionnement – Proxy Transparent Pare-feu recoit la demande de connexion TCP de l’application cliente Pare-feu redirige requete vers proxy TCP Proxy evalue les regles de connexion Decision de blocage Proxy TCP termine la demande de connexion Poste client recoit l’erreur de terminaison
Contrôle Explicite Proxy : TCP Utilisation Le moteur de règles permet uniquement de contrôler la connexion au proxy TCP en fonction de La plage horaire La source (utilisateur ou plage d’adresse IP) La destination (catégories, …) Les règles ajoutées précèdent un comportement par défaut de blocage ou d’autorisation
Contrôle Explicite Proxy : RTSP Intégrations types Proxy transparent: redirection de rtsp et données depuis le pare-feu Proxy explicite: déclaration de la présence du proxy dans les applications clientes utilisant RTSP ou au niveau système si disponible Pas de chainage de proxy supporte En Proxy explicite, les applications clientes ou le système doivent supporter Définition d’un proxy RTSP pour les connexions de contrôle Définition d’un proxy pour les connexions de données utilisant UDP ou HTTP Pouvoir forcer le choix du protocole de transport des données a UDP ou HTTP Contrôle d’accès uniquement Certification des applications clients Windows Media Player et Real RealPlayer
Contrôle Explicite Proxy : RTSP Fonctionnement – Proxy Explicite Application cliente utilisant RTSP envoie l’URL de destination au proxy RTSP Proxy évalue les règles d’accès précisées pour ce type de flux Autorisation Proxy RTSP établit une connexion avec le serveur destinataire Proxy RTSP répond au client RTSP Client RTSP ouvre les connexions de données avec le proxy RTSP Proxy RTSP ouvre les connexions de données avec le serveur destinataire Les données et les commandes de contrôle sont véhiculées entre le serveur, le proxy RTSP et le client RTSP
Contrôle Explicite Proxy : RTSP Utilisation Le moteur de règles permet uniquement de contrôler l’accès au ressources RTSP en fonction de La plage horaire La source (utilisateur ou plage d’adresse IP) La destination (catégories, …) Les règles ajoutées précèdent un comportement par défaut de blocage/d’autorisation ou d’application de la politique utilisateur
Contrôle Explicite Proxy : RTSP / Media Player Propriétés du proxy de streaming – Contrôle RTSP Spécifier le proxy RTSP HTTP peut aussi être spécifier Attention a l’authentification HTTP Propriétés des URLs MMS – Données RTSP Spécifier RTSP/UDP Spécifier HTTP Ordre de sélection n’est pas forcement l’ordre d’apparition
Contrôle Explicite Proxy : RTSP / RealPlayer SP Paramètres Proxy du Media Browser Utilise le proxy HTTP du système pour l’accès aux bibliothèques d’ouvrages Paramètres du Proxy de streaming – Contrôle RTSP Spécifier le proxy RTSP
Contrôle Explicite Proxy : RTSP / RealPlayer SP Transmissions Réseaux – Données RTSP Activer la configuration manuelle Dans les paramètres RTSP, spécifier UDP et HTTP pour les types de contenus et désactiver les autres modes de transmission
Contrôle nominatif Authentifier pour identifier Annuaires supportes Identifier les utilisateurs pour affiner le contrôle Politiques ou règles d’accès plus spécifiques (utilisateurs, groupes, BU) Identifier les utilisateurs pour utiliser des fonctions spécifiques Coaching Audit Journalisation des accès Identifier les utilisateurs pour personnaliser les messages Pages de blocages Messages de coaching Charte Internet Annuaires supportes ActiveDirectory eDirectory LotusNotes iPlanet Interface LDAP générique Identification transparente Identification des adresses IP des utilisateurs Utilisation de l’agent SSO Olfeo pour Windows Interception des authentifications HTTP/NTLM sur le réseau
Contrôle nominatif Proxy supportant l’authentification HTTP Authentification HTTP/NTLM ou HTTP/basic FTP Authentification login/mot de passe suivant les zones/règles d’authentification Zones/Règles d’Authentification Zones Ensemble logique de machines/utilisateurs partageant une même méthode d’authentification Règles d’authentification Définition des relations d’appartenance aux zones, et donc identification des méthodes d’authentification, des machines/utilisateurs en fonction des plages horaires, des adresses IP ou des flux réseaux Mécanismes puissant de rassemblement logique de machines/utilisateurs soumis a une même authentification
Configuration et Operation des Proxy Configuration HTTP Base sur une technologie OpenSource Squid optimisée par Olfeo Plusieurs instances du proxy HTTP configurables Gestion centralisée des proxy HTTP Majorité des options communes aux proxy HTTP
Configuration et Operation des Proxy Paramètres HTTP par instance Port TCP Transparent Uniquement si accès par redirection de flux Pas d’authentification Pas d’authentification réclamée par cette instance Un proxy HTTP transparent ne réclamera jamais d’authentification Paramètres HTTP communs Mode d’authentification Basique avec zones d’authentification NTLM (nécessite un annuaire et une jonction a un ActiveDirectory) Chainage de proxy Paramètres classiques si un proxy HTTP parent existe Filtrer les URLs Activer/Désactiver le filtrage d’URL Olfeo Mémorisation des autorisations Activer/Désactiver le cache des autorisations de filtrage d’URL Nombre de redirecteurs Tuning de performance sur le filtrage d’URL suivant le volume de requêtes entrantes Autorisations permanentes White liste des URLs a autoriser
Configuration et Operation des Proxy Configuration FTP, RTSP, TCP, SOCKS Licence logicielle Proxy/Cache/Qos nécessaire pour obtenir les proxy autres que HTTP Proxy FTP offert sans licence Proxy/Cache/Qos uniquement pour la fonction antivirus Plusieurs instances de chaque proxy configurables Gestion centralisée de l’ensemble de vos proxy Options spécifiques de chaque proxy configurables Possibilité de rapidement activer/désactiver un ou plusieurs proxy
Configuration et Operation des Proxy Paramètres FTP, RTSP, TCP, SOCKS FTP Port d’écoute Nombre maximum de connexions autorisées Modes passif/actifs supportes et non configurables Port ftp-data standard Ports éphémères tcp en mode actif non configurables RTSP Ports canaux de données non configurables Pas de possibilité de restreindre le type de transport de données TCP Adresse de destination utilise pour la redirection de données Ports éphémères tcp de sortie non configurables SOCKS
Configuration et Operation des Proxy Démarrage/Arrêt Supervision
Configuration et Operation des Proxy Recommandations Complémentarité des contrôles transparent et explicite Contrôle explicite -> cache -> meilleur performances Identification des utilisateurs Authentifier si nécessaire mais au minimum identifier Utiliser les zones d’authentification Utile principalement en cas d’annuaires distincts Dimensionner vos proxys Tirez partie de la possibilité de créer plusieurs instances suivant votre charge Haute Disponibilité Assurer la haute disponibilité de vos proxy avec la fonction de clusters logiciels Olfeo Attention: les proxy ne sont pas « cluster aware », échec des transactions en cours Répartition de charge DNS pour les proxys autres que HTTP Proxy.pac, répartiteurs pour HTTP Proxy sans authentification Evitez si possible sinon essayez de restreindre l’accès (moteur de règles)
Gestion et Optimisation des flux Moteurs de règles principal Gestion centralisée et intuitive de différentes phases d’un flux utilisant un proxy Connexion: Gestion de l’autorisation de la connexion a un proxy Accès: Gestion de l’autorisation d’accès a une entité réseau contenant un ou plusieurs ressources Contenu: Gestion du téléchargement de cette ressource réseau a partir d’un proxy Granularité de configuration en fonction de Plages horaires Sources Flux Destinations Type ou taille de contenu
Gestion et Optimisation des flux Cache Cache inter-clients en suppléant du cache des navigateurs Disponible avec licence Proxy/Cache/QoS Dimensionnement approprie des caches memoires et disques Contrôle des politiques de remplacement en cache mémoire et disque Contrôle de la mise en cache d’informations suivant Sources Type MIME Contrôle du maintien en cache suivant le type MIME Dimensionner vos différents caches suivant votre volume de trafic et son type (vidéo, …) Eviter l’empoisonnement du cache par de gros objets Uniquement HTTP
Gestion et Optimisation des flux QoS Disponible avec licence Proxy/Cache/QoS Fractionnement de la bande passante suivant Destinations Source Plate Horaire Contrôle par utilisateur, groupe ou département Uniquement HTTP
Questions ? Contacts Michel Roman mroman@olfeo.com Romuald David rdavid@olfeo.com Support Technique Olfeo support@olfeo.com +33 (0)1 78 09 68 001