Filtrage d'URLs dans Forefront TMG (Beta 3) - partie 1 : Vue d'ensemble
Une des grosses nouveautés fonctionnelles présente dans la beta 3 de Forefront TMG est le filtrage d'URL (les participants du programme TAP avaient pu évaluer cette fonctionnalité dans la beta 1 puis cela avait été retiré dans la beta 2 suite à des changements de la solution).
Le filtrage d'URL (URL Filtering) permet de contrôler les accès Web des utilisateurs finaux dans les organisations et donc par exemple d'interdire l'accès à des sites dont le contenu est jugé inapproprié ou pouvant contenir du code malveillant.
L'utilisation du filtrage d'URL permet ainsi :
- d'améliorer la sécurité en limitant les risques
- d'économiser de la bande passante
- d'éviter de perdre de la productivité (ce point reste discutable en fonction des entreprises)
Le filtrage d'URLs en tant que tel n'est pas vraiment une nouveauté sur le marché de la sécurité et la gestion de listes noire / listes blanche est une activité connue et régulière de nombreux administrateurs de proxies ou pare-feu depuis plusieurs années.
Reste que l'utilisation manuelle / semi-automatisée de ces listes n'est pas vraiment simple et le plus souvent, les listes disponibles gratuitement (c'est à dire maintenues par la Communauté) ne représentent qu'un faible échantillonnage de l'ensemble du Web (au mieux quelques millions d'entrées).
Quelques exemples de blacklists sont disponibles sur : https://www.squidguard.org/blacklists.html
Exemple d’utilisation des blacklists Squid avec ISA Server 2004 : https://www.microsoft.com/france/vision/Technet-tv/Webcast.aspx?EID=06965789-56de-4479-9a18-f4971113555d
Aussi, de nombreux éditeurs se sont spécialisés dans la création / maintenance et fourniture de solutions de filtrage d'URLs ou uniquement de base d'URLs. Certaines de ces solutions sont des partenaires historiques de Microsoft et proposent des plug-ins pour ISA Server (cf. https://www.microsoft.com/forefront/edgesecurity/isaserver/en/us/isa-solution-partners.aspx?SortField1=ISA&SortField2=URL%20Filtering) et autre proxies comme Squid par exemple.
Les avantages des solutions payantes packagées sont multiples :
- les bases d'URLs sont plus importantes (plusieurs dizaines de millions d'entrée, voire plus)
- les bases sont en général bien plus à jour
- la catégorisation est souvent plus granulaire
- certains fournisseurs sont très spécialisés (ex: identification de sites malicieux, Web 2.0...)
Mais revenons au sujet principal de ce billet qui est la fonction URL filtering dans Forefront TMG beta 3.
Forefront TMG va proposer sous la forme de service (et au travers d'un abonnement dont je n'ai pas encore de détails en terme de prix...) environ 80 catégories d'URLs comprenant notamment :
- des catégories permettant d'améliorer la sécurité des accès : Phishing, Malicious, Anonymizers...
- des catégories plutôt destinées à empêcher la perte de productivité : Games, Instant Messanging, Pornography...
- des catégories associées à des contenus illégaux : Criminal Activities, Child Pornography, Drugs...
A noter que ces catégories peuvent être regroupés dans des ensembles de catégories (Category Set) dans Forefront TMG.
Lors de la RSA Conference 2009 (cf. https://blogs.technet.com/stanislas/archive/2009/04/20/rsa-conference-les-annonces-de-microsoft-a-new-approach-to-enterprise-security.aspx), Microsoft a annoncé ses nouveaux services de réputation et son intention de fournir ces services dans ses nouveaux produits de sécurité (dont Forefront TMG avec le filtrage d'URLs).
De même, nous avons annoncé de nombreux partenariats avec différents acteurs dans le monde du filtrage d'URLs afin de les inclure dans notre offre Microsoft Reputation Service (MRS) . Quelques exemples :
- Le partenariat avec
annoncé lors de la RSA Conference 2009 (cf. https://www.marshal8e6.com/i/Marshal8e6-to-Provide-Web-Security-Library-to-Microsoft-,news.960~.asp)
- Le partenariat avec
: cf. https://www.brightcloud.com/release.asp?id=20090604
En s'associant à de nombreux partenaires, l'équipe MRS a voulu se confronter à un problème inhérent au solutions traditionnelles de filtrage d'URLs : il est très difficile (voire impossible) qu'un fournisseur unique soit capable de gérer et offrir une solution complète. Ainsi, il existe une miriade de sociétés avec pour chacune ses spécialités. Certaines sont spécialisées dans le référencement de sites avec du contenu malveillant ou des URLs utilisées dans les SPAM, d'autres sont plus spécialisées sur le Web 2.0.... De même, chaque société spécialisée utilise diverses méthodes pour le référencement et la catégorisation des URLs: automatisée ou/et via une interaction humaine.
L'idée de l'équipe MRS a donc été très simple : pourquoi ne pas utiliser et profiter de ces compétences / sources variées et complémentaires pour créer une base unifiée qui répondrait le mieux aux besoins actuels des clients en terme de filtrage & de sécurité ?
Notre équipe a donc mis en place une infrastructure capable de monter en charge et qui permet d'inclure des sources de données multiples au sein d'une même base. Ainsi, chaque société spécialisée / source de listes & de catégories d’URLs peut apporter sa plus value dans notre solution MRS.
MRS intégre aujourd'hui plusieurs sources et de nouvelles seront intégrées dans les prochains mois. Certaines sources sont internes à Microsoft, d'autres sont le résultat de la collaboration de Microsoft avec des sociétés tierces (j'en ai présenté deux un peu plus haut dans ce texte)
Forefront TMG va donc être le premier produit à utiliser Microsoft Reputation Service.
MRS est une solution dans le "Nuage/Cloud" de catégorisation d'objets qui est hébergée dans les centres de données de Microsoft. MRS maintient une base de données de plusieurs dizaines de millions d'objets uniques ainsi que leur catégorie respective.
Quand Forefront TMG va vouloir déterminer la catégorie associée à un URL demandée par un utilisateur, il va envoyer une requête au service en ligne MRS qui va lui répondre à quelle catégorie l'URL est associée.
Est-ce que cela signifie que chaque requête http émise par un client proxy web va être envoyée par Forefront TMG au service MRS via Internet ?
Non non Non !!! Pour optimiser la base passante et les performances, nous avons implémenté dans Forefront TMG un cache local qui contient les URLs récemment demandées et leur catégorie respective). Les entrées de ce cache ont toutes un TTL (Time To Live) permettant un rafraichissement périodique. Ce cache va donc servir à l'ensemble des requêtes et devrait limiter les échanges Forefront TMG --> Plateforme MRS.
A noter :
1- ce cache est persistent et ne nécessite pas un rafraichissement en cas de redémarrage du serveur.
2- les échanges entre le serveur Forefront TMG et les services MRS sont chiffrés (utilisation de tunnel SSL) --> cf. capture d'écran ci-dessus.
Suite dans le prochain billet avec plus de captures d’écran de Forefront TMG !