L’intégration aux appliances : un enjeu important pour l’avenir

1.1 Introduction : Qu’est-ce qu’une appliance ?

Avant d’entamer le test de l’appliance Network Engines, voici un petit rappel sur la notion d’appliance.

Une appliance est tout simplement une machine dédiée et optimisée pour effectuer une tâche en particulier. La plupart du temps les appliances se présentent sous la forme de serveurs rackables (19″ de largeur et entre 1U et 3U pour la hauteur).

On retrouve des appliances destinées à faire office de serveurs de fichiers (NAS ou SAN), de serveurs de sauvegardes… et dans le cas qui nous intéresse de pare-feu !

1.2 Microsoft et les appliances

Pour augmenter les ventes de son pare-feu, mais aussi pour séduire les amateurs de pare-feu « matériels », Microsoft s’est associé avec de grands constructeurs pour fournir des « appliances » basé sur Windows Server 2003 et ISA Server 2004. On peut citer Hewlett Packard (HP), Celestix, Corrent, Network Engines, RimApp ou bien encore SecureGuard. Une liste complète des partenaires de Microsoft sur les appliances ISA Server 2004 est disponibleici.

Les appliances actuellement basées sur ISA Server 2004 intègrent une version optimisée de Windows Server 2003 ainsi que l’édition standard d’ISA (à l’heure actuelle aucune appliance n’intègre l’édition entreprise).

Pour rappel une appliance est un système prêt à l’emploi et dédié à exécuter une tâche bien précise (serveur Web, serveur d’impression, pare-feu…). Ci-contre deux appliances de la société Network Engines (dont le NS6400 testé dans les pages qui suivent).

1.3 Un système clés en main ?

Sur une appliance l’administrateur n’a pas directement accès au système et à la console de configuration classique d’ISA Server. En effet la plupart du temps le constructeur de l’appliance développe une interface Web spécifique. La capture d’écran ci-dessous présente l’interface intégrée à l’appliance MSA4000 de Celestix :

Outre ce système d’administration via interface Web, les appliances proposent de nombreux avantages :

  • matériel spécialement sélectionné et soigneusement dimensionné (l’appliance HP Proliant DL320 intègre par exemple un processeur Pentium4 cadencé à 3GHz, 1Go de RAM, un disque dur de 80Go en SATA ainsi que plusieurs cartes réseau gigabit utilisant l’interface PCI-X).

  • sécurité de la configuration garantie par le constructeur (la version de Windows Server 2003 incluse dans les appliances a été configurée par les ingénieurs de la marque de manière à être la plus sécurisée possible; de plus le constructeur fourni généralement un système de mise à jour automatique – cela induit donc un gros gain de temps pour l’administrateur qui n’a pas besoin de se soucier de la sécurité du système)

  • déploiement rapide du service (la plupart des appliances sont opérationnelles en quelques minutes !)

ci-dessus, les appliances de Celestix et de Pyramid Computer

Les appliances sont donc des produits livrés « clés en main » contrairement aux serveurs ISA « classiques » qui nécessitent de longues et fastidieuses phases de configuration. En effet avant d’arriver à un système parfaitement fonctionnel et sécurisé sur un serveur ISA il faut passer par les étapes suivantes :

  • Prise de renseignements pour dimensionner/construire le serveur en fonction des besoins (nombre de clients, bande passante de la connexion Internet, mise en ouvre de la haute disponiblité…)

  • Installation matérielle et logicielle du serveur

  • Sécurisation du pare-feu (principalement au niveau du système d’exploitation)

  • Configuration d’ISA Server

  • Installation et configuration des extensions

  • Optimisation des performances

  • Avec une appliance, l’utilisateur final n’a pas à se soucier de toutes ces étapes : la seule chose à faire est de raccorder la machine au réseau, puis de la configurer à l’aide de l’interface Web dédiée. De plus le coût du matériel et des licences logicielles pour Windows Server 2003 et ISA se fondent au sein d’une seule et même facture ce qui est plus pratique à gérer.

    1.4 Des options supplémentaires…

    Pour se démarquer de la concurrence, la plupart des constructeurs intègrent des matériels spécifique ou bien incluent des fonctionnalités supplémentaires au sein de leur produits ! Ainsi il n’est pas rare de voire des appliances intégrant en standard un anti-virus, un anti-spam ou bien encore un système de filtrage des URLs (dans le but de bloquer les URLs utilisées à but promotionnel ou malveillant : phishing, trojans, etc.). Le matériel peut aussi être adapté et certaines constructeurs comme HP ajoutent des cartes accélératrice SSL pour augmenter les performances du chiffrement, des systèmes ou bien des systèmes de tolérances de panne matériel !

    1.5 Quid des appliances avec ISA 2006 ?

    Le marché des appliances étant florissant, le concept des appliances basées sur ISA reste bien sur d’actualité avec la nouvelle mouture du pare-feu de la firme de Redmond ! Cette fois-ci, il est possible d’acheter une appliance basée sur l’édition standard d’ISA 2006 mais aussi sur l’édition entreprise ! De plus les appliances ISA 2006 intègrent directement Windows Server 2003 R2 plutôt que Windows Server 2003 SP1.

    Les appliances intégrant ISA 2006 devraient être encore plus nombreuses que celles basées sur ISA 2004 (actuellement on dénombre une dizaine de marques commercialisant des appliances ISA 2004). En effet, d’autres partenaires devraient rejoindre les constructeurs travaillant actuellement avec Microsoft.

    Actuellement aucune appliance basée sur ISA 2006 n’a été commercialisée mais les premières machines devraient apparaître d’ici la fin de l’année !

    Présentation du produit

    2.1 La société Network Engines

    Fondée en 1997, la société Network Engines est aujourd’hui un des leaders mondiaux dans le domaine des appliances ISA Server. Le succès des produits vendus par Network Engine est tel que depuis 2000, la société est cotée en bourse sous le symbole NENG au marché d’actions de New York (NASDAQ).

    En 2002, la société sort la première appliance pare-feu permettant de protéger efficacement une infrastructure Exchange, cette version execute Windows 2000 Server et ISA Server 2000, c’est le début d’une nouvelle de gamme de produits : les appliances NS.

    Network Engines est quatre fois Microsoft Gold Certified Partner et a été nommée cette année Partner of the year par Microsoft. Network Engines a également certifié ses méthodes de travail et de production ISO 9001:2000.

    Exemple de société ayant mis en place une appliance Network Engines :

    La société Jelly Belly est mondialement réputée pour ses assortiments de bonbons. Ses dirigeants et commerciaux avaient besoin d’une solution leur permettant d’accèder de n’importe où dans le monde à leurs ressources internes. Les personnes en charge du projet voulaient une solution facile à mettre en place et robuste. Après avoir essayé différents produits, ils ont finit par se tourner vers la société Network Engines et ont déployé une appliance NS6400. Après 2 ans d’utilisation, la société estime avoir réduit de manière significative le TCO (Total Cost of Ownership).

    Vidéo de présentation de la solution mise en place par Jelly Belly (en anglais)

    2.2 Les gammes de produits

    Les 3 gammes de produits actuellement commercialisés par la société Network Engine sont :

    • NS6000 : Les deux produits disponibles dans cette gamme sont les NS6250i et les NS6400. Les produits de cette gamme sont plutôt destinés à protéger des infrastructure de taille moyenne là où les pare-feu de perimètre traditionnels sont limités. Ces deux appliances intègrent en standard Microsoft Internet Security and Acceleration (ISA) Server Standard Edition, Websense Web Security Suite for the NS Series et Kaspersky® Anti-Virus for Microsoft ISA Server.

    • NS8000 : Les deux produits disponibles dans cette gamme sont les NS8200 et les NS8400. Les produits de cette gamme sont également destinés à des infrastructures de petite et moyenne taille. Tout comme la gamme NS6000, ces deux appliances intègrent en standard Microsoft Internet Security and Acceleration (ISA) Server Standard Edition, Websense Web Security Suite for the NS Series et Kaspersky® Anti-Virus for Microsoft ISA Server.

    • NS9000 : Contrairement aux deux gammes précédentes, la NS9000 est destinée aux infrastructures de taille plus conséquente. Le seul produit disponible est le NS9200. Cette solution intègre également en standard Websense Web Security Suite for the NS Series et Kaspersky® Anti-Virus for Microsoft ISA Server, mais contrairement aux produits des gammes ci dessus, cette appliance execute la version Enterprise de Microsoft Internet Security and Acceleration (ISA) Server, ce qui lui permet de bénéficier d’un des avantages majeurs de la version Enterprise, à savoir la tolérance de panne. Les appliances NS9200 utilisent le NLB (Network Load balancing) pour répartir la charge jusqu’à 31 noeud par cluster. Il existe une version spéciale de cette appliance, la NS-B9000 qui permet d’heberger un serveur CSS (Configuration Storage Server).

    2.3 Aspect extérieur du pare-feu

    Le pare-feu que nous avons testé est un NS6400 de la gamme des NS6000. Il se présente comme toutes les autres appliances de la société Network Engines sous la forme d’un serveur rackable 1U, ce qui est assez intéressant étant donné qu’il est possible de mettre cette appliance dans une baie.

    La facade du NS6400 comporte 6 ports RJ45 et un port console ainsi qu’un bouton permettant le reset de l’appliance. 4 des 6 ports RJ45 présents en facade sont des ports Gigabit et peuvent être utilisé pour créer des interfaces réseaux supplémentaires, on pourra nottament y mettre un modem, un réseau wireless, plusieurs réseaux filaires, etc. Les deux autres ports RJ45 sont des ports 10/100 et l’un des deux est dédié au management de l’appliance. La facade présente également les logos de la société Network Engines et celui de Microsoft Internet and Security (ISA) Server ainsi que la version de l’appliance, NS6400 en l’occurence.
    L’arrière de l’appliance comporte 2 ports USB, 3 ventilateurs 40mm pour le boitier ainsi que le ventilateur, le bouton et la prise de l’alimentation.

    2.4 Configuration matérielle du NS6400

    Toutes les appliances de la gamme NS6000 possèdent des caractéristiques quasi identiques, celles du NS6400 sont :

    Boitier 1U rackable

    Processeur P4 2.8 GHz x86

    Mémoire 1 Go

    Disque dur 60 Go IDE

    Ports RJ45 10/100 2 en facade

    Ports RJ45 Gigabit 4 en facade

    Maximum d’utilisateurs Plus de 1500

    Maximum de connexions VPN concourantes 500

    License ISA Server 2004 Standard Edition

    Licence WebSense Achat séparé

    Le Go de mémoire présent dans cette solution provient de deux barrettes de 512 Mo de PC2700 de marque Apacer. Le disque dur est de marque Hitachi, fonctionne en IDE et fait 60 Go, cet espace disque servira principalement pour le cache Web. Ci dessous quelques illustrations de l’appliance NS 6400 :

    2.5 Configuration logicielle du NS6400

    Comme la plupart des appliances actuelles, le NS6400 est architecturé autour du couple Windows Server 2003 Standard Edition / ISA Server 2004 Standard Edition. Cependant, Network Engines est déjà en train de travailler sur de futurs produits utilisant des versions plus récentes. Ainsi une nouvelle gamme de produits devrait voir le jour cet été basée autour de Windows Server 2003 R2 et d’ISA Server 2006 Standard et Enterprise Edition. C’est déjà le cas de la gamme NS9000 avec l’appliance NS9200 et la version NS-B9000 permettant de servir de serveur CSS.

    L’édition entreprise permet de mettre en place des clusters utilisant la technologie NLB. Cela apporte plusieurs avantages :

    • Répartition de la charge (le système de clustering actuellement intégré au NS64000 est un système actif/passif donc un seul des serveurs physiques est utilisé à la fois et l’autre est là en « backup »)

    • Possibilité de coupler plus de 2 Appliances entre elles (le système de clustering actuellement proposé par Network Engines est limité à 2 Appliances)

    L’appliance NS4200 tourne sous Windows Server 2003 Standard Edition avec le Service Pack 1 et execute ISA Server 2004 Standard Edition. Un des atouts principaux des appliances Network Engines reside dans l’intégration du filtre applicatif WebSense qui permet de faire du filtrage web et de la catégorisation d’urls. La version de WebSense proposée avec le NS6400 est la 6.2. Cette version de WebSense est installée en mode « Standalone », il aurait été possible de l’installer en « Integrated » car WebSense dispose d’un filtre pour ISA Server 2004 mais cela aurait nuit aux possibilités de filtrage, le rendant inutilisable avec les clients SecureNAT, le filtrage ne fontionnant dans ce cas, que pour les clients Proxy Web et Pare-Feu.

    Il est impossible d’accéder directement au Windows Server 2003 installé sur l’appliance, et ce afin d’éviter des manipulations dangeureuses sur le système par un administrateur peu compétent. Toute la configuration du système se fait par l’intermediaire d’une application Web installée sur le NS6400. Cette interface permet entre autres, de configurer les adresses IP, de personnaliser le nom de l’appliance, de joindre un domaine, d’afficher les tables de routage, l’observateur d’évenements, etc. Il existe cependant, via cette interface Web, la possibilité de se connecter en RDP sur l’appliance et d’accèder à une console MMC personnalisée dans laquelle on retrouvera les composants logiciels enfichables suivants :

    • Moniteur système
    • Journaux de performances et alertes
    • Certificats
    • ISA Server 2004
    • Routage et accès distant
    • Moniteur de sécurité IP
    • DNS

    Mise en place de l’appliance

    3.1 Configuration initiale de la machine

    Fidèle au concept de produit « clef en main », le NS6400 peut être déployé rapidement en entreprise. Les opérations que doit effectuer l’administrateur pour mettre en place le système sont restreintes au minimum :

    • Installation physique de la machine dans une baie 19″

    • Câblage (raccordement électrique & réseau)

    • Configuration IP (sur les interfaces LAN et WAN)

    Une fois ces 3 étapes effectuées, l’appliance est tout à fait fonctionnelle. En effet une règle d’accès autorisant tout le trafic sortant entre le réseau interne et le réseau externe est préconfigurée avec la machine (bien entendu tout le trafic entrant est bloqué par défaut) ! Il est aussi recommandé de paramétrer quelques options supplémentaires comme (*) :

    • Le nom de la machine (par défaut NEI-appliance)

    • L’appartenance au groupe de travail / domaine (par défaut la machine appartient au groupe de travail WORKGROUP)

    • La date et l’heure

    (*) toutes ces modifications peuvent être effectuées via l’interface Web présentée ci-dessous

    La seule chose qui frappe lors du premier démarrage de l’appliance est le volume sonore très élevé de ses ventilateurs ! Ceci est parfaitement normal; cette machine étant clairement dédiée à l’intégration au sein d’une baie (et par définition située dans un local technique).

    La ventilation du NS6400 semble très efficace !

    3.2 Administration de l’appliance

    Network Engines propose plusieurs méthodes pour administrer l’appliance :

    • L’interface Web qui permet de configurer la plupart des paramètres réseau (table de routage, configuration TCP/IP), de mettre à jour l’appliance et d’utiliser les outils de dépannage basiques.
    • Le port série qui permet de configurer certaines options de l’appliance en ligne de commande (via l’hyperterminal)
    • La console NEI pour configurer ISA Server

    Pour utiliser l’interface Web, il faut utiliser le port de management (port RJ45) et se connecter à l’adresse suivante : https://192.168.1.10:3886.

    La console NEI (pour Network Engine Interface) est une console MMC personnalisée lancée au sein d’une session RDP. Pour lancer cette console, il faut passer par l’interface Web, puis installer un ActiveX développé par Network Engines. Cette console rassemble les composants suivants :

    • Moniteur système

    • Journaux et alertes de performances

    • Certificats (ordinateur local)

    • console de gestion ISA

    • Routage et accès distant

    • Moniteur de sécurité IP

    • DNS

    Remarque : Il est possible de lancer directement une session bureau à distance sur l’appliance en passant en mode Flex (pour débloquer ce mode, il faut demander une autorisation à Websense – en retour une clé logicielle vous sera fournie pour passer en mode Flex).Remarque bis : Il est bien entendu possible d’administrer ISA à partir d’une station de travail avec la console MMC fournie par Microsoft (il faut juste ouvrir le port ad-hoc sur l’appliance).

    la console NEI permet d’administrer ISA

    3.3 Fonctions de dépannage

    Le menu diagnostic de l’interface Web permet d’accéder à des commandes basiquescomme PING, TRACERT, NSLOOKUP, NETSTAT ou bien encore PortQRY. Ces quelques commandes permettent d’obtenir des informations sur la configuration de la machine en cas de disfonctionnement. Il est aussi possible de visualiser la table ARP ainsi que la liste des connections TCP ouvertes sur la machine.

    De même, il est possible de visualiser les journaux d’évènements au format HTTP (menu Systeminfo) et de modifier la table de routage directement dans l’interface (confère : captures ci-dessous) :

    Informations sur la machine et le BIOS Visualisation des logs
    Configuration de la table de routage Gestionnaire des tâches version Web

    Pour aller plus loin, l’administrateur peut utiliser les outils inclus dans la console NEI comme le moniteur de sécurité IP qui permet de visualiser et de dépanner les connexions IPSec ou bien encore la console Routage et accès distant qui permet de tester les connexions VPN à la demande.

    3.4 Gestion des mises à jour de l’appliance

    L’interface Web permet de mettre à jour automatiquement l’appliance. Cela concerne les mises à jour du système mais aussi des applicatifs installés sur la machine comme ISA Server ou Websense. Les updates sont fournies par Network Engines et non pas Microsoft ce qui est gage de fiabilité et de stabilité car seuls les correctifs nécessaires sont installés (de plus chaque correctif est validé par les équipes de Network Engines sur le matériel avant sa mise à disposition sur le service de mise à jour).

    Tous les patchs sont détectés, téléchargés et installés via le menu Updates de l’interface Web. La capture d’écran ci-contre montre la fenêtre permettant de sélectionner les mises à jour à installer (les maj sont directement téléchargées sur les serveurs de Network Engines).

    Remarque : il existe un mode totalement automatisé avec lequel aucune intervention de l’administrateur n’est nécessaire.

    3.5 Les extensions (add-ons)

    L’interface Web permet d’installer deux composants supplémentaires sur l’appliance :

    • L’agent MOM 2005 qui permet de surveiller l’état de l’appliance à l’aide d’un serveur MOM 2005 ou System Center Operation Manager 2007 (la compatibilité étant assurée)
    • Websense Web Security Suite 6.1.1 qui permet d’implémenter un filtrage du contenu sur de nombreux protocoles (HTTP, P2P, FTP, messagerie instantanée…). Ce filtrage est bien plus poussé que celui réalisé par ISA en standard notamment au niveau des URLs qui sont catégorisées. Pour en savoir plus sur Websense et la cybersurveillance, consultez la page suivante de ce même article 😉

    Installation des composants additionnels via NEWS l’interface Web du NS6400

    Filtrage d’URL à l’aide de Websense

    4.1 Websense et cybersurveillance

    Websense Security Suite est un outil permettant de surveiller et de filtrer l’activité réseau d’une organisation. La fonctionnalité de surveillance permet de tracer l’utilisation du Web et d’Internet au sein de l’entreprise mais aussi d’obtenir des rapports précis et orienté décisionnels (les rapports mettent en valeur les comportements des utilisateurs sur la toile, la qualité des informations visualisées par les employées, la consultation de sites illégaux ou engageant la responsabilité morale et/ou juridique de l’entreprise…). Ce logiciel est même capable de journaliser l’activité complète d’un ordinateur ou d’un utilisateur sur Internet.

    Rappelons que la législation française émet tout de même un certain de nombre de limites quand à la cybersurveillance et au contrôle de l’utilisation du Web dans les entreprises. Voici quelques extraits intéressants du « Guide pratique pour les employeurs » édité par la CNIL (Commission Nationale de l’Informatique et des Libertés) :

    « Un contrôle a posteriori des données de connexion à internet, restitué de façon globale, par exemple au niveau de l’organisme ou d’un service déterminé, devrait dans la plupart des cas être suffisant sans qu’il soit nécessaire de procéder à un contrôle individualisé des sites visités par un employé déterminé. »

    « Les modalités d’un tel contrôle de l’usage d’internet doivent, conformément à l’article L.432-2-1 du code du travail, faire l’objet d’une consultation du comité d’entreprise ou, dans la fonction publique, du comité technique paritaire ou de toute instance équivalente et d’une information des utilisateurs, y compris lorsque le contrôle est dépourvu d’un caractère directement nominatif. »

    « Lorsque l’entreprise ou l’administration met en place un dispositif de contrôle individuel destiné à produire, poste par poste, un relevé des durées de connexion ou des sites visités, le traitement automatisé d’informations nominatives ainsi mis en oeuvre doit être déclaré à la CNIL (sauf désignation d’un correspondant informatique et libertés). »

    Vous pouvez consulter la version complète du guide à l’adresse suivante : https://www.cnil.fr/fileadmin/documents/La_CNIL/publications/CNIL_GuideTravail.pdf. Dans la même veine, vous pouvez consulter un rapport de la CNIL sur la cybersurveillance des salariés à l’adresse suivante : https://lesrapports.ladocumentationfrancaise.fr/BRP/044000175/0000.pdf.

    Websense permet aussi de bloquer ou d’autoriser les protocoles (P2P, NNTP…) ou les sites Web en fonction de leur dangerosité ou de leur conformité ou non à la politique de l’entreprise. Cette fonctionnalité de filtrage est particulièrement étoffée au niveau du Web puisque des millions de sites sont recensés et catégorisés. La console d’administration de Websense permet ensuite à l’administrateur d’autoriser ou de bloquer certaines catégories (et bien sur d’éditer ces catégories pour ajouter des sites non répertoriés). Trois actions sont d’ailleurs permises :

    • Autoriser le contenu
    • Bloquer le contenu
    • Autoriser le contenu mais uniquement pour une période de temps donnée (par exemple 60 minutes dans la journée) ; on parle de « temps contingenté »

    Websense peut être installé en mode autonome (stantalone) ou en mode intégré. Ce dernier est spécialement conçu pour s’intégrer au sein de pare-feu; la majorité des firewalls du marché sont d’ailleurs supportés. On retrouve, entre autres, les Pix de CISCO, les pare-feu Checkpoint et bien sur… ISA Server !

    Lorsqu’il est intégré à ISA Server 2004 (ou ISA Server 2006), Websense ne filtre que les URLs (étant donné que les protocoles sont déjà « écrémés » par ISA Server). Websense s’intègre à ISA sous la forme d’un filtre applicatif supplémentaire (et plus précisément un filtre Web).

    Ce système favorise les performances puisque les fonctionnalités de filtrage avancées de Websense ne sont utilisées que par les règles d’ISA Server portant sur le protocole HTTP mais il a un gros inconvénient : seuls les clients du proxy Web et les clients pare-feu sont supportés (cela signifie qu’en mode intégré, aucun filtrage d’URL n’est réalisé par Websense sur les clients SecureNAT) !

    Etant donné que de nombreuses organisation utilisent des clients SecureNAT, il est plus judicieux de configurer Websense en mode autonome même si cela est moins bon du point des performances que le mode intégré.

    4.2 Installation et configuration de Websense sur le NS6400

    L’installation de Websense sur l’appliance Network Engine est simplifiée au maximum. La seule option importante à configurer est l’adresse IP sur laquelle le service Websense écoutera le trafic (la plupart du temps, on choisi l’adresse IP interne de l’appliance pour éviter de monitorer le trafic externe). Voici un résumé de l’installation en 6 étapes :

    Lancement de l’installation Acceptation du contrat de licence Installation en cours…
    Fin de l’installation Configuration d’une adresse IP Redémarrage de l’appliance

    Une fois l’installation effectuée et l’appliance redémarrée, la configuration de Websense se réalise dans la console NEI.

    4.3 Les fonctionnalités de filtrage

    Websense est implémente deux types de filtrage : le premier au niveau des protocoles (sauf HTTP) et le second au niveau du contenu Web (uniquement HTTP). Etant donné qu’ISA Server intègre déjà un système permettant de trier efficacement les protocoles, il est inutile de configurer cette fonctionnalités dans la console Websense.

    En revanche, le filtrage du contenu Web permet d’augmenter très rapidement la productivité des employés sur la toile en bloquant les sites à caractère non professionnel. Comme le montre la capture d’écran ci-contre, l’outil de configuration Websense permet d’autoriser, de bloquer ou de limiter par quota l’accès à chaque catégorie. Voici un résumé de la configuration ci-contre (toutes les catégories et sous-catégories ne sont pas listées pour des raisons de clarté) :

    • Sujets bloqués (Armes, Violence, Drogue, Racisme et haine, Militaire et extrémiste, Messagerie instantanée, Web radio, Web tv, Contenu illégal ou tendancieux, Contenu à caractère adulte/sexuel, Jeux vidéos…)
    • Sujets limités par quota (Sports, Véhicules, Voyages…)
    • Sujets autorisés (tous les autres sites Web en rapport avec l’activité commercial de l’entreprise ainsi que les moteurs de recherche)

    Au cas où un site Web en particulier ne serait pas référencé dans les catégories forunies avec Websense, il est possible de créer ses propres sous-catégories dans la catégorie prévue à cet effet et nommé « User-Defined » (<=> définies par l’utilisateur).

    Lorsqu’un site Web est bloqué l’utilisateur est redirigé vers une page personnalisable lui indiquant que ce site ne correspond pas à la politique Internet de l’entreprise. Lorsqu’un site Web est limité par quota, l’utilisateur peut tout de même le visualiser si il lui reste suffisamment de temps contingenté (par défaut le quota journalier est de 60 minutes subdivisées en tranches de 10 minutes). Vous pouvez cliquer sur les images ci-dessous pour visualiser les pages affichées en cas de blocage ou de filtrage d’un site Web :

    site Web bloqué par Websense site Web filtré par Websense

    4.4 Fonctionnalités de reporting

    Websense intègre de puissants outils de reporting permettant de tracer globalement l’activité du réseau ou plus précisément celle d’un poste de travail ou d’un utilisateur. Ces outils permettent de détecter une utilisation illégale ou non professionnelle du Web au sein de l’entreprise. Ils permettent aussi de mettre en lumière les postes de travail ou les serveurs infectés par des virus, vers ou autres logiciels malveillant. Deux possibilités sont offertes à l’administrateur pour surveiller l’activité réseau :

    • Une interface Web qui permet de visualiser l’utilisation du réseau en « temps réel » (l’activité réseau des 30 dernières minutes est affichée)
    • Une console qui permet de générer des rapports d’activité en fonction de nombreux paramètres (période de temps, type de données à analyser…)

    Voici quelques captures d’écran qui mettent en valeur les informations remontées par l’interface Web :

    nombre de requêtes bloquées (en visites) répartition par risques (en octets) répartition par risques (en visites)
    répartition par protocole (en visites) répartition par utilisateurs (en visites) répartition par utilisateurs (en octets)
    répartition par URLs (en octets) répartition par URLs (en visites) répartition par catégories (en visites)

    La console « Websense Reporter » permet quant à elle de générer des rapports sur l’utilisation d’Internet et plus globalement du réseau, dans le temps (sur une période de temps précise). De nombreuses possibilité allant de l’analyse des tendances à la visualisation de chaque sites Web visités par un employés ‘lamdba’ sont offertes à l’administrateur. Ci-dessous, une capture d’écran présente le menu permettant de générer les rapports (remarquez l’arborescence particulièrement fournie) :

    Voici un exemple de rapport pouvant être généré à l’aide de la console de reporting :

    Analyse de risque avec la console Websense Reporter

    Conclusion

    5.1 Nos impressions sur le NS6400

    L’appliance NS6400 permet de répondre à de nombreux scénarios (publication, DMZ, mise en cache, VPN…). L’interface Web NEWS et la console NEI permettent à un néophyte tout comme à un administrateur chevronné de configurer pleinement les fonctionnalités liées au pare-feu même si l’absence d’un système de prise de contrôle à distance « standard » (RDP, SSH…) en fera tiquer certains !

    Si la configuration matérielle du NS6400 s’avère insuffisante au vu du nombre d’utilisateurs (l’appliance supporte jusqu’à 1500 utilisateurs simultanés), il est toujours possible d’investir dans un modèle plus puissant (vous pouvez consulterce lien pour voir le catalogue complet de Network Engines).

    5.2 Que pouvons-nous attendre pour l’avenir ?

    Le prochain challenge de Network Engines mais aussi de toutes les entreprises concurrentes est bien entendu l’intégration d’ISA Server 2006 au sein de leurs produits (actuellement la plupart des appliances utilisent ISA 2004) ! L’utilisation de la version entreprise d’ISA 2006 devrait aussi se généraliser au sein des appliances (jusqu’à présent très peu d’appliances l’utilisent). L’édition entreprise permet l’implémentation :

    • d’un grand parc d’appliances configurées de la manière identique grâce au serveur CSS (Network Engines propose une appliance dédiée pour ce rôle; reste à voir ce que proposeront ses concurrents)

    • de l’équilibrage de la charge réseau et de la tolérance aux pannes grâce à la technologie NLB (cette technologie standardisée aura le mérite de remplacer des système propriétaires parfois peu fiables)

    A plus long terme, les constructeurs d’appliances devraient aussi intégrer la suite antivirus Microsoft ForeFront (anciennement Antigen), un VPN SSL (cf. cet article sur le rachat de la société Whale Communications) et certainement un système de filtrage d’URL proche de Websense Security Suite.

    Bien entendu nous ne manquerons pas de vous tenir au courant des prochaines évolutions dans ce domaine. 🙂

    <% select case Request.QueryString(« id ») case 1 img = « ../2/ns6400-front.jpg » desc = « Facade de l’appliance » case 2 img = « ../2/ns6400-back.jpg » desc = « Arrière de l’appliance » case 3 img = « ../2/ns6400-inside.jpg » desc = « Interieur de l’appliance » case 4 img = « ../2/ns6400-dissip.jpg » desc = « Dissipateur » case 5 img = « ../2/ns6400-front-inside.jpg » desc = « Interieur de l’appliance » case 6 img = « ../2/ns6400-ram.jpg » desc = « Barette de RAM » case 7 img = « ../2/ns6400-mmc.png » desc = « MMC permettant l’administration de l’appliance » case 8 img = « ../3/CONF-GENERAL.png » desc = « Modification du nom et du domaine/workgroup de l’appliance » case 9 img = « ../3/CONF-HEURE-DATE.png » desc = « Mise à jour de l’heure et de la date » case 10 img = « ../3/interface_web.png » desc = « Page par défaut de l’interface Web NEWS » case 11 img = « ../3/info_carte_mere_bios.png » desc = « Informations sur la machine et le BIOS » case 12 img = « ../3/journaux.png » desc = « Visualisation des logs » case 13 img = « ../3/table_de_routage.png » desc = « Configuration de la table de routage » case 14 img = « ../3/liste_processus.png » desc = « Visualisation des processus exécutés sur l’appliance » case 15 img = « ../3/upgrade.png » desc = « Mise à jour des applicatifs de l’appliance » case 16 img = « ../4/websense-lancement-installation.png » desc = « Lancement de l’installation » case 17 img = « ../4/contrat-de-licence-pour-utilisateur-final.png » desc = « Acceptation du Contrat de Licence pour Utilisateur Final (CLUF) » case 18 img = « ../4/installation-en-cours.png » desc = « Installation en cours… » case 19 img = « ../4/fin-installation.png » desc = « A la fin de l’installation un popup apparaît » case 20 img = « ../4/configuration-websense.png » desc = « Le seul paramètre à configurer durant l’installation est l’adresse IP utilisée par Websense » case 21 img = « ../4/redemarrage-appliance.png » desc = « A la fin de l’installation, l’administrateur doit redémarrer l’appliance » case 22 img = « ../4/websense-blocked-website.png » desc = « Site Web bloqué par Websense (la catégorie du site est indiquée sur la page) » case 23 img = « ../4/websense-filtered-website-quota-time.png » desc = « Site Web filtré par Websense (l’utilisateur a la possibilité d’utiliser son temps contingenté) » case 24 img = « ../4/nombre-de-requetes-bloquees-exprime-en-visites.png » desc = « Nombre de requêtes bloquées exprimé en visistes » case 25 img = « ../4/repartition-par-risques-exprimee-en-octets.png » desc = « Répartition par risques exprimée en octets » case 26 img = « ../4/repartition-par-risques-exprimee-en-visites.png » desc = « Répartition par risques exprimée en visites » case 27 img = « ../4/repartition-par-protocoles-exprimee-en-visites.png » desc = « Répartition par protocoles exprimée en visites » case 28 img = « ../4/repartition-par-utilisateurs-en-nombre-de-visites.png » desc = « Répartition par utilisateurs exprimée en visistes » case 29 img = « ../4/repartition-par-utilisateurs-en-octets-telecharges.png » desc = « Répartition par utilisateurs exprimée en octets » case 30 img = « ../4/repartition-par-urls-en-octets-telecharges.png » desc = « Répartition par URLs exprimée en octets » case 31 img = « ../4/repartition-par-utilisateurs-en-nombre-de-visites.png » desc = « Répartition par utilisateurs exprimée en visistes » case 32 img = « ../4/repartition-par-categories-exprimee-en-nombre-de-visites.png » desc = « Répartition par catégories exprimée en visites » case 33 img = « ../images/Pile NS Series.JPG » desc = « Pile des appliances de toutes les gammes Network Engines » case else img = « /images/menu/warning.png » desc = « L’image n’existe pas. » end select Response.Write(« <a name= » »img » » onclick= » »javascript:self.close(); » »><img style= » »border-width: 1px; border-color: grey; » » src= » » » & img & «  » » alt= » » » & desc & «  » » /></a><br /><i> » & desc & « </i> ») %> Cliquez sur l’image pour fermer la fenêtre