Proxy HTTP transparent ou explicite et objets Multi-utilisateur

Objets Multi-utilisateur

La liste de réseaux des options permet plusieurs authentifications depuis une même adresse IP (voir l’option Objets multi-utilisateur). Cela permet par exemple, d’accéder à des applications et des données depuis un ordinateur distant (serveur TSE) en pratiquant du filtrage par utilisateur. Cette application Multi-utilisateur ne s’applique qu’aux flux HTTP et HTTPS.

Voici ci-dessous, une brève description des mécanismes permettant cette authentification Multi-utilisateur. Ces modes sont détaillés dans les sections suivantes.

Mode Cookie

Le cas d’objets Multi-utilisateur est rendu possible grâce au Mode Cookie. Lors de la première connexion à chaque nouveau site web interrogé, les informations d’authentification sont enregistrées par le navigateur Web dans un cookie d'authentification possédant plusieurs attributs. Ces informations sont ensuite retransmises dans les requêtes suivantes pour être interceptées par le firewall qui peut ainsi appliquer sa politique.

Seulement dans le cadre d'une connexion non sécurisée HTTP, les navigateurs Web affichent un message d'erreur au lieu du contenu des sites web interrogés car les cookies d'authentification ne peuvent pas utiliser l'attribut "Secure" conjointement à l’attribut "SameSite".
Pour rétablir la navigation sur les sites interrogés en HTTP, une opération manuelle doit être effectuée dans la configuration du navigateur Web :

  • Sur Google Chrome :
    • Accédez à chrome://flags/,
    • Passez l'attribut Cookies without SameSite must be secure sur Disabled,
    • Redémarrez le navigateur.
  • Sur Firefox :
    • Accédez à about:config,
    • Passez l'attribut network.cookie.sameSite.noneRequiresSecure sur false,
    • Redémarrez le navigateur.
  • Sur Microsoft Edge :
    • Accédez à edge://flags/,
    • Passez l'attribut Cookies without SameSite must be secure sur Disabled,
    • Redémarrez le navigateur.

Authentification proposée par le navigateur (HTTP code 407)

Uniquement dans le cas de proxy explicite, la méthode Proxy-Authorization - HTTP code 407 peut être utilisée. Le protocole HTTP prévoit un champ dédié à l’authentification. C’est le navigateur qui demande à l’utilisateur de s’authentifier via une fenêtre de message et l’information de connexion est relayée au  Firewall via l’entête HTTP. La politique de sécurité pourra ainsi s’appliquer.

L’authentification "Proxy-Authorization" (HTTP 407) par le navigateur n’autorise pas les méthodes SSL (certificats) et SPNEGO, car ces méthodes ne font pas intervenir le portail d’authentification, même si celui-ci doit être activé.

NOTE
Si vous ajoutez ou supprimez un objet dans la liste des objets Multi-utilisateur, assurez-vous qu’aucune authentification relative à cet objet n’est enregistrée.

Proxy transparent (implicite)

Le proxy transparent ou implicite permet de filtrer les requêtes des utilisateurs sans aucune configuration sur le poste client (pas de déclaration de proxy dans le navigateur). Ainsi toutes les requêtes seront interceptées par le proxy du Firewall et filtrées pour autoriser ou refuser l'accès à un site internet par exemple.

Ce mode est recommandé car il répond à toutes les demandes souhaitées : authentification de l’utilisateur selon la méthode choisie, Filtrage SSL (blocage de sites internet en HTTPS par exemple), etc. Cette utilisation bénéficie de l’ensemble des fonctionnalités mais ne peut toutefois pas utiliser la méthode d’authentification transparente Agent SSO.

Utilisateur unique Objets Multi-utilisateur (Mode Cookie)
Méthodes Inspections Méthodes Inspections
Toutes les méthodes Toutes les inspections Toutes les méthodes
sauf Agent SSO		 Toutes les inspections

Proxy explicite

Avec un proxy renseigné dans le navigateur du navigateur, deux types d’authentification sont possibles :

  • Mode Standard ou Cookie

Ce mode est aisé à mettre en place grâce à l’assistant de création de Règle de proxy HTTP explicite, proposé dans le module Filtrage. Deux règles sont générées ; l’une redirige le trafic vers le proxy HTTP explicite, l’autre applique la politique de filtrage. Les prescriptions régissant l’authentification des utilisateurs doivent être stipulées par une règle à placer entre les deux règles générées par l’assistant de création, soit après la redirection vers le proxy HTTP et avant l’autorisation du trafic via Proxy HTTP explicite.

  • Authentification proposée par le navigateur (HTTP code 407)

La fonctionnalité Proxy-Authorization - HTTP code 407 s’active en configuration avancée du module Protocole HTTP (onglet Proxy).accessible par le menu Protection applicative.

Ces modes comportent cependant certaines limitations, reprises dans le tableau ci-dessous :

Utilisateur unique Objets Multi-utilisateur
Mode standard "Proxy-Authorization" code 407 Mode Cookie "Proxy-Authorization" code 407
Méthodes Inspections Méthodes Inspections Méthodes Inspections Méthodes Inspections
Toutes
les méthodes		 Toutes les inspections sauf sur le trafic SSL
Filtrage par utilisateur
  • LDAP
  • Radius
  • Kerberos
  • Agent SSO

Δ mots de passe en clair (encodé en base 64) 		Toutes les inspections sauf sur le trafic SSL
Filtrage par utilisateur 		Toutes les méthodes sauf Agent SSO Toutes les inspections sauf sur le trafic SSL
Filtrage par utilisateur (HTTP uniquement)
  • LDAP
  • Radius
  • Kerberos

Δ  mots de passe en clair (encodé en base 64)   		Toutes les inspections sauf sur le trafic SSL
Filtrage par utilisateur

Le filtrage sur le contenu ne peut se faire que sur le trafic HTTP.
Le filtrage par utilisateur peut se faire sur HTTP et HTTPS, sauf pour les objets Multi-utilisateur en mode Cookie (HTTP uniquement).

Le mode explicite implique des flux HTTPS par la méthode CONNECT. Le trafic HTTPS est alors encapsulé en HTTP et la méthode d’envoi des requêtes permet d’établir une relation de confiance entre le client et le serveur.