Afin de contrôler les flux web et de protéger les postes clients sur le réseau de l'entreprise fictive Belletable, un serveur proxy a été mis en place. Cette solution permet de filtrer les accès Internet, d'appliquer des règles de sécurité et de superviser le trafic réseau. La mission a été réalisée dans un environnement virtualisé dans le cadre de la formation.
Mettre en place un filtrage des contenus web afin de bloquer les sites non autorisés, renforcer la sécurité du réseau et améliorer la productivité des utilisateurs.
Dans l'entreprise Belletable, il a été constaté que certains utilisateurs accédaient à des sites non professionnels tels que les réseaux sociaux ou des sites de divertissement durant leurs heures de travail, ce qui impactait la productivité. Par ailleurs, la navigation libre sur Internet représente un risque pour la sécurité du réseau interne, notamment face aux menaces telles que les malwares ou le phishing.
De plus, l'absence de journalisation des connexions ne permettait pas d'identifier les utilisateurs en cas de consultation de sites inappropriés ou compromettants. Cette situation peut engager la responsabilité de l'entreprise si aucune traçabilité des accès Internet n'est assurée.
À la demande du chef d'entreprise, une solution devait donc être mise en place afin de contrôler les accès web, de renforcer la sécurité du système d'information et d'assurer une traçabilité des connexions. La solution retenue repose sur l'implémentation d'un serveur proxy permettant de filtrer les sites Internet et de journaliser l'activité des utilisateurs.
La solution retenue pour répondre aux besoins de l'entreprise Belletable est l'implémentation d'un serveur proxy Squid. Ce choix s'explique par le fait que Squid est une solution open source, offrant un filtrage web efficace et une journalisation détaillée des connexions sans coût de licence.
De plus, Squid bénéficie d'une documentation complète et d'une communauté d'utilisateurs, facilitant la configuration, le dépannage et l'évolution de la solution. Le proxy permet ainsi de contrôler les accès Internet, de bloquer des sites et de garantir la traçabilité des consultations, répondant pleinement aux objectifs de sécurité et de productivité de l'entreprise.
Belletable, utilisant une infrastructure virtualisée, le serveur proxy a été déployé sur Proxmox afin d'optimiser l'utilisation des ressources des serveurs physiques de l'entreprise.
Voici le tableau de bord de pfSense, une fois le service installé sur la machine virtuelle, il permet d'accéder aux paramètres de configuration et de suivre l'activité réseau.
Les paquets Squid ont ensuite été installés sur pfSense afin de mettre en place le serveur proxy et d'activer les fonctionnalités de filtrage et de journalisation des connexions.
Les ACL (Access Control Lists) ont été configurées dans Squid pour contrôler l'accès aux sites web et aux adresses IP. Le fichier de configuration contient la liste des domaines et adresses IP autorisés ou bloqués, permettant de filtrer efficacement les contenus non professionnels et de renforcer la sécurité et la productivité des utilisateurs.
Le filtrage par catégorie a été mis en place à l'aide de SquidGuard. Cette solution permet de classer les sites web en différentes catégories (réseaux sociaux, streaming, contenus pour adultes, etc.) et de bloquer automatiquement l'accès aux catégories non autorisées, améliorant ainsi la sécurité et la productivité des utilisateurs.
La configuration du MITM (Man-In-The-Middle) a été configuré afin de permettre le filtrage des connexions HTTPS. Grâce à cette configuration, Squid peut inspecter le trafic chiffré, appliquer les règles de filtrage sur les sites sécurisés et journaliser les consultations des utilisateurs. Un certificat SSL a été généré et installé sur les postes clients pour garantir la confiance et éviter les alertes de sécurité lors de la navigation.
Le certificat SSL utilisé pour le filtrage HTTPS a été déployé sur les postes clients via une GPO (stratégie de groupe). Cette opération permet aux utilisateurs de naviguer sur Internet sans recevoir d'alertes de sécurité liées au proxy MITM, tout en garantissant le bon fonctionnement du filtrage et de la journalisation des connexions.
La distribution du proxy a été configurée via le serveur DHCP, en hébergeant le fichier de configuration du proxy dans un conteneur. Cette méthode permet aux postes clients de recevoir automatiquement les paramètres nécessaires pour utiliser le proxy, assurant ainsi une configuration uniforme et centralisée sans intervention manuelle sur chaque poste.
Des ACL ont également été configurées sur le routeur afin de contrôler le trafic réseau. Ces règles interdisent aux postes clients d'accéder directement à Internet, en autorisant uniquement le serveur proxy à sortir. Grâce à cette configuration, tous les flux web passent obligatoirement par Squid, garantissant le filtrage, la journalisation et la sécurité des connexions.
La détection automatique des paramètres du proxy a été activée et forcée au démarrage des postes clients grâce à un script exécuté via GPO. Cette méthode permet d'automatiser complètement la configuration du proxy, assurant que tous les utilisateurs utilisent systématiquement Squid sans intervention manuelle.
Les logs du proxy Squid sont conservés pendant 365 jours, permettant un suivi complet des connexions et une traçabilité des accès Internet.
La mise en place du serveur proxy Squid dans l'environnement virtualisé de Belletable a permis de sécuriser le réseau et de contrôler efficacement les flux web. Les ACL, le filtrage par catégorie avec SquidGuard, le MITM et le déploiement du certificat SSL sur les postes clients assurent un accès supervisé, journalisé et sécurisé pour tous les utilisateurs.
La configuration automatique via DHCP et l'exécution d'un script GPO garantissent que tous les postes utilisent systématiquement le proxy, assurant ainsi une gestion centralisée, homogène et sécurisée.
Cette mission m'a permis de renforcer mes compétences en administration réseau, en configuration de proxy et en sécurité des flux web, tout en acquérant de l'expérience dans la gestion centralisée des postes clients dans un environnement Windows.