Proxy HTTP transparent ou explicite et objets Multi-utilisateur

Objets Multi-utilisateur

La liste de réseaux des options permet plusieurs authentifications depuis une même adresse IP (voir l’option Objets multi-utilisateur). Cela permet par exemple, d’accéder à des applications et des données depuis un ordinateur distant (serveur TSE) en pratiquant du filtrage par utilisateur. Cette application Multi-utilisateur ne s’applique qu’aux flux HTTP et HTTPS.

Voici ci-dessous, une brève description des mécanismes permettant cette authentification Multi-utilisateur. Ces modes sont détaillés dans les sections suivantes.

Mode Cookie

Le cas d’objets Multi-utilisateur est rendu possible grâce au Mode Cookie ; les informations d’authentification sont enregistrées par le navigateur dans un Cookie, lors de la première connexion à chaque nouveau site web interrogé. Ces informations sont retransmises dans les requêtes suivantes pour être interceptées par le Firewall, qui pourra ainsi appliquer sa politique.

Authentification proposée par le navigateur (HTTP code 407)

Uniquement dans le cas de proxy explicite, la méthode Proxy-Authorization - HTTP code 407 peut être utilisée. Le protocole HTTP prévoit un champ dédié à l’authentification. C’est le navigateur qui demande à l’utilisateur de s’authentifier via une fenêtre de message et l’information de connexion est relayée au  Firewall via l’entête HTTP. La politique de sécurité pourra ainsi s’appliquer.

L’authentification "Proxy-Authorization" (HTTP 407) par le navigateur n’autorise pas les méthodes SSL (certificats) et SPNEGO, car ces méthodes ne font pas intervenir le portail d’authentification, même si celui-ci doit être activé.

info NOTE

Si vous ajoutez ou supprimez un objet dans la liste des objets Multi-utilisateur, assurez-vous qu’aucune authentification relative à cet objet n’est enregistrée. A l’aide de Stormshield Network Realtime Monitor, inspectez son utilisation dans le module Utilisateur et supprimez l’authentification du ou des utilisateurs authentifiés par un clic droit sur ces derniers - action 'Supprimer l'utilisateur de l'ASQ".

Proxy transparent (implicite)

Le proxy transparent ou implicite permet de filtrer les requêtes des utilisateurs sans aucune configuration sur le poste client (pas de déclaration de proxy dans le navigateur). Ainsi toutes les requêtes seront interceptées par le proxy du Firewall et filtrées pour autoriser ou refuser l'accès à un site internet par exemple.

Ce mode est recommandé car il répond à toutes les demandes souhaitées : authentification de l’utilisateur selon la méthode choisie, Filtrage SSL (blocage de sites internet en HTTPS par exemple), etc. Cette utilisation bénéficie de l’ensemble des fonctionnalités mais ne peut toutefois pas utiliser la méthode d’authentification transparente Agent SSO.

 

 

Utilisateur unique Objets Multi-utilisateur (Mode Cookie)

Méthodes

Inspections

Méthodes

Inspections

Toutes les méthodes

Toutes les inspections

Toutes les méthodes
sauf Agent SSO

Toutes les inspections

Proxy explicite

Avec un proxy renseigné dans le navigateur du navigateur, deux types d’authentification sont possibles :

  • Mode Standard ou Cookie

Ce mode est aisé à mettre en place grâce à l’assistant de création de Règle de proxy HTTP explicite, proposé dans le module Filtrage. Deux règles sont générées ; l’une redirige le trafic vers le proxy HTTP explicite, l’autre applique la politique de filtrage. Les prescriptions régissant l’authentification des utilisateurs doivent être stipulées par une règle à placer entre les deux règles générées par l’assistant de création, soit après la redirection vers le proxy HTTP et avant l’autorisation du trafic via Proxy HTTP explicite.

  • Authentification proposée par le navigateur (HTTP code 407)

La fonctionnalité Proxy-Authorization - HTTP code 407 s’active en configuration avancée du module Protocole HTTP (onglet Proxy).accessible par le menu Protection applicative.

 

Ces modes comportent cependant certaines limitations, reprises dans le tableau ci-dessous :

Utilisateur unique Objets Multi-utilisateur
Mode standard "Proxy-Authorization" code 407 Mode Cookie "Proxy-Authorization" code 407

Méthodes

Inspections

Méthodes

Inspections

Méthodes

Inspections

Méthodes

Inspections

Toutes
les méthodes

Toutes les inspections sauf sur le trafic SSL

Filtrage par utilisateur

  • LDAP
  • Radius
  • Kerberos
  • Agent SSO

 

Δ mots de passe en clair (encodé en base 64)

Toutes les inspections sauf sur le trafic SSL

Filtrage par utilisateur

Toutes les méthodes sauf Agent SSO

Toutes les inspections sauf sur le trafic SSL

Filtrage par utilisateur (HTTP uniquement)
  • LDAP
  • Radius
  • Kerberos

 

Δ  mots de passe en clair (encodé en base 64)  

Toutes les inspections sauf sur le trafic SSL

Filtrage par utilisateur

Le filtrage sur le contenu ne peut se faire que sur le trafic HTTP.
Le filtrage par utilisateur peut se faire sur HTTP et HTTPS, sauf pour les objets Multi-utilisateur en mode Cookie (HTTP uniquement).

Le mode explicite implique des flux HTTPS par la méthode CONNECT. Le trafic HTTPS est alors encapsulé en HTTP et la méthode d’envoi des requêtes permet d’établir une relation de confiance entre le client et le serveur.