UserGate Proxy & Firewall permet un accès Internet sécurisé aux utilisateurs de réseaux locaux par la définission de politiques d’accès, l’interdiction d’utiliser certaines ressources Internet, et l’imposition de limites au trafic ou au temps de travail sur Internet d’un utilisateur. En outre, UserGate permet de conserver différentes statistiques de trafic par utilisateur et par protocole, ce qui simplifie grandement le contrôle des coûts de trafic Internet. Dernièrement, les ISP (Internet Service Providers) ont tendance à autoriser un trafic illimité, et de ce point de vue, UserGate Proxy & Firewall fournit un système de règles très flexible.
UserGate avec prise en charge NAT fonctionne sous Windows 2000/2003/XP avec Internet (via les protocoles TCP/IP standards). UserGate peut aussi fonctionner sous Windows 98 et Windows NT 4.0, mais sans prise en charge NAT. UserGate ne nécessite aucune ressource spéciale pour fonctionner, juste un espace relativement restreint de disque dur pour sa mémoire cache et ses fichiers de journalisation. UserGate peut aussi être installé sur un ordinateur dédié pour maximiser vos ressources de réseau
Serveurs Proxy
Votre navigateur web (qu’il s’agisse d’Internet Explorer, de Firefox, de Safari, de Netscape, d’Opera ou de Mozilla, pour ne citer que les plus courants) est déjà en lui-même capable d’enregistrer des documents en mémoire cache. Cependant, l’espace disque réservé à cet effet n’est pas très considérable si la connexion Internet est partagée par tout un bureau. Ceci parce que la probabilité pour qu’une personne visite les mêmes pages web est bien moindre que si des douzaines ou des centaines de personnes partagent la connexion. Pour une société, le fait de créer une mémoire cache peut permettre d’économiser une grande quantité de bande passante, et rendre pratiquement instantanée la réception des documents les plus régulièrement visités par les employés. UserGate Proxy & Firewall peut aussi être relié aux serveurs proxy de cascade externe (de votre ISP) afin d’accroître la vitesse de réception des données et de réduire vos factures Internet (les coûts de trafic d’un fournisseur sont habituellement moindres qu’en cas d’utilisation d’un serveur proxy).
Configuration de programme
La configuration des paramètres de mémoire cache s’effectue à partir de la page de « Services ». La première étape consiste à activer la mémoire cache, puis à en configurer les différentes options, notamment la mise en mémoire cache des requêtes POST, des objets dynamiques, des cookies et du contenu FTP. Vous pouvez aussi définir l’espace disque consacré à la mémoire cache et la durée de vie des documents mis en mémoire.
Il faut aussi définir les autres options avant de pouvoir commencer à travailler avec le programme. En règle générale, cela s’effectue dans l’ordre suivant :
1. Création des utilisateurs du programme.
2. Configuration du DNS et du NAT sur le serveur UserGate. A ce stade, vous pouvez configurer le NAT à l’aide de l’assistant.
3. Définition des paramètres des différents protocoles (HTTP, FTP, SOCKS), de l’interface intranet qui servira à les écouter, et de l’utilisation ou non du mode cascade. Tous ces paramètres peuvent être définis sur les pages de paramètres de service correspondantes.
4. Configuration de la connexion de réseau sur chacun des ordinateurs clients, y compris la passerelle et le DNS dans TCP/IP dans les propriétés de connexion de réseau, qui doivent être définies.
5. Création d’une politique d’accès à Internet.
Modules de simplification des choses
Pour rendre le programme plus convivial, nous l’avons divisé en plusieurs modules :
* Le module Server est lancé sur un ordinateur doté d’un accès à Internet. Ce module permet de contrôler l’exécution de toutes les tâches.
* L’administration de UserGate s’effectue à l’aide d’un module spécial : le module UserGate Administrator, qui gère tous les paramètres de serveur.
* UserGate Authentication Client est une application client installée sur chacun des ordinateurs des utilisateurs. Ce module permet de surveiller et de contrôler l’autorisation d’accès de l’utilisateur au serveur UserGate, si vous choisissez une autorisation indépendante de l’IP ou de l’IP+MAC..
Sécurité et permission
UserGate Proxy & Firewall empêche les accès non autorisés. Chaque utilisateur peut être autorisé de façon automatique soit par son adresse IP seule, soit par une combinaison correcte d’adresse IP et d’adresse matérielle (MAC). Chaque utilisateur peut bénéficier d’autorisations spécifiques.
Afin de faciliter l’ajout d’utilisateurs et d’assigner rapidement les mêmes autorisations à un groupe d’utilisateurs similaires, une page séparée est disponiblee pour la gestion des utilisateurs et des groupes. Les groupes permettent de gérer plus facilement les utilisateurs censés avoir des paramètres communs, notamment l’accès au réseau et les tarifs. Vous pouvez créer autant de groupes que vous voulez. Les groupes sont généralement créés en fonction de la structure et de la hiérarchie de la société.
Chaque groupe peut bénéficier de son propre tarif qui sert à gérer les frais d’accès à Internet. Un tarif par défaut peut être défini ou laissé vide, auquel cas les connexions de tous les utilisateurs d’un groupe ne sont pas payées, sauf si un taux différent est défini dans les propriétés spécifiques de l’utilisateur.
Le programme comporte un certain nombre de règles NAT par défaut. Il s’agit de règles d’accès via Telnet, POP3, SMTP, HTTP, ICQ et d’autres protocoles. Lors de la définition des propriétés d’un groupe, vous pouvez identifier les règles qui seront appliquées au groupe et à ses utilisateurs.
Une option de composition à la demande peut être utilisée lorsque la connexion à Internet se fait via modem. Dans ce cas, le modem ne compose le numéro de connexion que lorsqu’on le lui demande. L’option de composition à la demande peut aussi être utilisée avec l’ADSL si, pour se connecter au fournisseur d’Internet, il faut composer le numéro d’une connexion VPN. Dans ce cas, la connexion VPN peut être configurée pour une composition à la demande.
Si un ordinateur équipé de UserGate figure dans un domaine Active Directory, il est possible d’y importer les utilisateurs et de les diviser en des groupes qui doivent posséder les mêmes droits d’accès : type d’autorisation, tarif, règles NAT (si les règles du groupe ne correspondent pas exactement aux besoins de l’utilisateur).
Types d’autorisation et règles
UserGate Proxy & Firewall prend en charge plusieurs types d’autorisation, y compris l’autorisation via Active Directory et identifiant Windows, qui permet d’intégrer UserGate aux infrastructures de réseaux existantes.
UserGate utilise son propre module d’authentification client pour certain types d’autorisation. En fonction du type d’autorisation que vous choisissez, il faut indiquer, dans les options d’utilisateur, l’adresse IP (ou la plage d’adresses IP) de l’utilisateur, attribuer un identifiant (nom d’utilisateur et mot de passe) ou attribuer juste un nom d’’tilisateur. Pour envoyer des rapports sur son trafic Internet à un utilisateur, vous pouvez saisir l’adresse e-mail de l’utilisateur ici.
Les règles de UserGate peuvent être configurées de façon plus flexible que celles de la RRAS Remote Access Policy. Ces règles permettent d’interdire l’accès à certains URL, de limiter le trafic sur certains protocoles, de définir des limites de temps, ainsi que la taille maximum des fichiers téléchargeables par un utilisateur, etc. Windows ne fournit pas les fonctionnalités nécessaires pour effectuer ces tâches.
Les règles peuvent être créées à l’aide de l’assistant fourni. Chaque règle possède des conditions d’application et un objet. Elle est exécutée lorsqu’une ou plusieurs conditions sont remplies. Par exemple, fermer une connexion, assigner un tarif ou une vitesse, etc. Les conditions portent sur les protocoles utilisés, la durée de travail, les limites de trafic (entrant et sortant) d’un utilisateur, l’argent restant sur un compte, ainsi que la liste des adresses IP et la liste des URL. Les paramètres permettent aussi de préciser toutes les extensions de fichiers que les utilisateurs sont dans l’incapacité de télécharger.
Dans un certain nombre d’organisations, l’utilisation de messageries instantanées, comme ICQ, est interdite. Avec UserGate, c’est facile. Pour interdire ICQ, il suffit de créer une règle, d’interdire toute connexion à l’hôte ‘*login.icq.com*’ et de l’appliquer à tous les utilisateurs.
UserGate Proxy & Firewall comporte des règles pour autoriser les tarifs d’accès variables (de jour/de nuit, ressources locales/partagées, si votre fournisseur Internet offre ces possibilités). Ainsi, pour passer du tarif de jour au tarif de nuit, deux règles sont créées : une pour permettre le passage à une heure donnée du tarif de jour au tarif de nuit, et l’autre pour revenir au tarif de jour.
Paramètres DNS et NAT
Le DNS (Domain Name System) est ce qui permet, sur Internet, de ne pas avoir à se souvenir du numéro d’un site (sa véritable adresse Internet, comme 53.128.182.67), mais simplement de son nom, comme www.famatech.com. Un des éléments de contrôle du DNS d’Internet est le serveur DNS, qui est un ordinateur (il existe de nombreux serveurs DNS) sur Internet qui traduit les noms de sites en numéros, si bien que lorsque votre navigateur pointe vers www.famatech.com, le serveur DNS sait à quel numéro d’IP il doit envoyer la requête du navigateur.
Le paramètre DNS dans UserGate est simplement les emplacements (les adresses IP) d’un ou deux de ces serveurs DNS (en général, plus le serveur DNS est proche de votre emplacement physique d’ISP, mieux c’est), où toutes les requêtes DNS du client seront transmises. Il est nécessaire d’indiquer l’adresse IP dans votre interface de réseau de UserGate en tant que passerelle et DNS dans les propriétés TCP/IP de chaque connexion de réseau d’utilisateur sur son ordinateur local.
Il existe une autre façon de configurer le DNS. Vous pouvez ajouter une nouvelle règle NAT, dans laquelle le récepteur IP (l’interface interne) et l’émetteur IP (l’interface externe) sont attribués au port 53 et le protocole choisi est UDP. Avec cette méthode, la règle doit être appliquée à tous les utilisateurs. Dans les paramètres de connexion de chaque ordinateur local, l’adresse IP des serveurs DNS de l’ISP doit être définie en tant que DNS et l’adresse IP de UserGate Proxy & Firewall définie en tant que passerelle sur chaque ordinateur local.
Les clients de messagerie peuvent être définis soit par mappage de port, soit via NAT. Si l’utilisation de messageries instantanées est autorisée dans l’organisation, les paramètres de réseau doivent être changés en conséquence : Tant le pare-feu que le proxy de l’utilisateur, l’adresse IP de l’interface de réseau interne de UserGate doit être indiquée et le protocole HTTPS ou SOCKS doit être sélectionné. Si vous utilisez Yahoo Messenger, rappelez-vous que lorsque vous travaillez via un serveur proxy, ni les salles de chat ni les chats vidéo de Yahoo ne sont disponibles.
Les statistiques de chaque utilisateur sont enregistrées dans un journal. Notamment des données comme l’heure de début de chaque connexion, sa durée, son coût total, les URL et les IP visités, le nombre d’octets reçus et d’octets envoyés. Il est impossible d’annuler ou de falsifier l’enregistrement de l’une ou l’autre des informations concernant les connexions utilisateur dans le fichier de statistiques de UserGate Proxy & Firewall. Ces statistiques peuvent être consultées soit via le Server Administrator, soit via un module spécial dénommé Statistics. Les données statistiques peuvent être filtrées par utilisateur, par protocole et par période de temps, et ces statistiques peuvent être exportées dans Microsoft Excel pour traitement ultérieur.
Les premières versions de UserGate Proxy & Firewall ne permettaient que la mise en mémoire cache des pages (web) http. La dernière version a vu l’introduction de nouveaux éléments conçus pour garantir la sécurité des informations. Désormais, les utilisateurs de UserGate peuvent tirer profit du pare-feu intégré et des modules antivirus Kaspersky. Le pare-feu permet de contrôler (permettre ou bloquer) certains ports TCP particuliers et aussi de publier les ressources d’une société sur Internet. UserGate Proxy & Firewall traite tous les paquets reçus à partir du réseau. Chaque port ouvert dans le programme, par exemple HTTP, SOCKS et d’autres, est soit sélectionné par l’administrateur, soit ouvert dans le pare-feu de façon automatique. Vous pouvez voir quels ports sont ouverts dans la table des règles auto de la page Firewall Rules (règles de pare-feu).
Parmi les développements prévus de UserGate Proxy & Firewall, citons la création de son propre serveur VPH, afin de disposer d’une solution VPN autre que celle offerte par Windows, l’introduction d’un serveur de messagerie doté de son propre outil antispam et le développement d’un pare-feu intelligent au niveau de l’application.
www.entensys.fr
No Comments Found