Filtrage de contenus et gestion de l'antivirus
Olfeo On premises vous permet d'analyser les contenus des réponses reçues aux requêtes de vos utilisateurs.. Vous pouvez ainsi notamment :
définir des règles d'analyse dans le moteur de filtrage portant sur la taille ou le type MIME des fichiers après leur réception ;
définir une stratégie d'attente pour le téléchargement de fichiers volumineux ;
configurer et activer l'antivirus
Avertissement important concernant les antivirus
Si Olfeo On premises filtre et analyse le trafic web de vos utilisateurs avec notamment un antivirus de flux, l'usage d'un antivirus de poste en complément est absolument indispensable pour couvrir les cas d'usages hors de notre champ d'action (infection suite à l'insertion d'une clé USB par ex.).
Analyser les réponses reçues des serveurs distants demande de télécharger les contenus sur l'Olfeo. L'analyse de contenu n'est donc disponible que pour les intégrations qui transmettent les contenus réels des réponses à l'Olfeo :
Intégrations proxy explicite
intégration en interception.
Analyse antivirus et trafic HTTPS
Par définition le trafic HTTPS est chiffré, seuls les contenus déchiffrés peuvent donc être analysés. En 2024, plus de 95% du trafic HTTP étant chiffré, la mise en place du déchiffrement TLS est donc indispensable pour que l'analyse de contenus soit efficace.
L'antivirus de flux permet d'analyser les ressources demandées par les machines des utilisateurs avant de les leur transmettre.
On active l'antivirus en créant une règle antivirus dans l'onglet Contenu du moteur de règles. La règle n'est appliquée que si le contenu n'a pas été bloqué par une règle de l'onglet Aperçu, et si la taille du fichier est inférieure à la Taille maximum spécifiée dans les options du connecteur ICAP qui amène les contenus jusqu'au moteur de filtrage.
La base antivirus est mise à jour toutes les 2 heures (tâche freshclam).
Pouvoir passer un contenu à l'antivirus demande de télécharger ce contenu entièrement sur Olfeo On premises. L'antivirus n'est donc disponible qu'avec les intégrations qui transmettent les contenus réels des réponses à Olfeo On premises (via le protocole ICAP) :
Intégrations proxy explicite et en interception : les contenus sont envoyés du proxy à l'antivirus (via le moteur de filtrage) par le Connecteur ICAP interne pour analyse de contenu. Celui-ci est installé par défaut et est visible à la page → → .
Rendez-vous à la page du moteur de règles en suivant les menus → .
Sélectionnez l'onglet Contenu.
Ajoutez une règle grâce au bouton
.Dans la règle nouvellement créée, cliquez sur le lien de la colonne Plage horaire puis cliquez sur l'une des plages horaires de la colonne Libellé.
Note
Si vous souhaitez créer une plage horaire, rendez-vous ici : Gérer des plages horaires.
Dans la règle nouvellement créée, si vous souhaitez spécifier une source, cliquez sur le lien de la colonne Source. Sélectionnez ensuite le type de source sur lequel vous voulez effectuer le filtrage grâce au menu déroulant Sélectionner.
Si vous voulez spécifier une plage d'adresse IP sélectionnez Plage d'IPs. Saisissez ensuite une adresse IP de début, une adresse IP de fin ainsi qu'une Description de la plage IP. Notez que vous pouvez ajouter une ou plusieurs autres plages d'adresses IP grâce au bouton
. Pour finir cliquez sur Valider.Si vous voulez spécifier un ensemble d'utilisateurs sélectionnez Utilisateurs. Sélectionnez ensuite les utilisateurs en activant les cases à cocher de la colonne Nom. Pour finir cliquez sur Valider.
Dans la règle nouvellement créée, cliquez sur le lien de la colonne Destination puis cliquez sur le type de destination sur lequel vous appliquerez votre règle antivirus grâce au menu déroulant Sélectionner.
Si vous souhaitez spécifier des URLs par le biais d'une expression rationnelle regex cliquez sur URL (regex) puis saisissez l'expression rationnelle dans le champ URL. Pour finir cliquez sur Valider.
Si vous souhaitez spécifier des URLs par le biais de listes d'URLs cliquez sur Listes d'URLs puis validez les listes d'URLs souhaitées à l'aide des cases à cocher de la colonne Libellé. Pour finir cliquez sur Valider.
Note
Si vous souhaitez créer une liste d'URLs, rendez-vous ici : Créer une liste d'URLs.
Si vous souhaitez spécifier des URLs par le biais de listes de catégories cliquez sur Listes de catégories puis validez les listes de catégories souhaitées à l'aide des cases à cocher de la colonne Libellé. Pour finir cliquez sur Valider.
Note
Si vous souhaitez créer une liste de catégories, rendez-vous ici : Créer une liste de catégories.
Dans la règle nouvellement créée, cliquez sur le lien de la colonne Contenu pour spécifier la taille ou le type de contenu sur laquelle la règle antivirus doit s'appliquer.
Si vous souhaitez appliquer votre règle sur une taille de contenu spécifique, choisissez Taille dans le menu déroulant Sélectionner. Choisissez ensuite l'Opérateur et l'unité sur laquelle se portera votre règle. Puis saisissez la taille du contenu dans le champ Taille. Pour finir, cliquez sur Valider pour enregistrer les changements.
Par exemple : > 2 Mo.
Si vous souhaitez appliquer votre règle sur un format de données spécifique choisissez Type MIME dans le menu déroulant Sélectionner. Dans la colonne Libellé déployez l'arborescence des types MIME souhaités à l'aide de l'icône
. Validez ensuite les types MIME que vous souhaitez à l'aide des cases à cocher de la colonne Libellé. Pour finir cliquez sur Valider pour enregistrer les changements.
Note
Un type MIME est un identifiant définissant un standard de format de données sur internet. À l'aide des types MIME vous pouvez choisir les types de médias auxquels vous voulez attribuer votre règle de mise en cache.
Spécifiez qu'il s'agit d'une règle antivirus en cliquant sur le lien de la colonne Action.
Sélectionnez ensuite Antivirus dans le menu déroulant Sélectionner.
Cliquez sur Valider pour enregistrer les changements.
Cliquez sur Valider pour enregistrer les changements.
L'onglet Contenu du moteur de règles permet de définir des actions à effectuer sur les contenus après qu'ils aient été reçus entièrement par le proxy HTTP.
Les règles de cet onglet sont évaluées :
si la taille du fichier est inférieure aux paramètres Taille maximum ou Bufferisation de la réponse du connecteur ICAP qui apporte les données jusqu'au moteur de filtrage.
Dans cet onglet, vous pouvez :
bloquer des contenus selon leur taille ou leur type MIME (texte, images, vidéos, etc).
Il est cependant préférable de bloquer le téléchargement dans l'onglet Aperçu afin d'éviter de devoir recevoir le fichier complet avant de pouvoir prendre une décision. Créez des règles de blocage dans l'onglet Contenu si l'onglet Aperçu n'est pas évalué.
exécuter l'antivirus sur les contenus reçus, éventuellement en fonction de leur taille ou de leur type MIME. Attention, une règle antivirus n'est pas terminale : le moteur évaluera les règles suivantes. Par contre, l'option Antivirus dans le champ Pour le reste est terminale.
Pour appliquer l'antivirus en permanence à tous les fichiers et pour tous les utilisateurs, sans aucune condition, n'ajoutez pas de règle mais sélectionnez Antivirus dans le champ Pour le reste.
La gestion de la taille des fichiers reçus dépend :
pour les réponses ayant un en-tête Content-Length, du paramètre Taille maximum du connecteur ICAP.
pour les réponses sans en-tête Content-Length, du paramètre Bufferisation de la réponse du connecteur ICAP.
dans tous les cas, d'une éventuelle règle définissant une limite de taille dans le moteur de règles : règle combinant Taille annoncée et action Bloquer, ou règle utilisant l'action Limiter.
Ces paramètres permettent de ne pas faire transiter sur le réseau de trop gros contenus afin de limiter l'impact sur les performances. Vous pouvez faire prendre en charge les gros fichiers par un équipement dédié ou par l'antivirus de poste.
Le sous-menu → vous permet de visualiser le journal des menaces détectées par l'antivirus intégré à la solution Olfeo.
Date : Cette colonne vous permet de connaître le moment où la menace a été détectée.
Utilisateur : Identifiant ou nom commun de l'utilisateur, ou bien adresse IP de la machine à l'origine de l'accès à cette menace.
URL : L'URL où se trouve la menace détectée.
Menaces : Type de menace détecté : virus dans un fichier ou URL classée comme dangereuse dans la base de réputation Olfeo.
Exporter un historique des menaces
Pour exporter un historique des menaces détectées, cliquez sur le lien Télécharger tout en bas à gauche de la page. L'historique est exporté au format .txt.
Rendez-vous à la page de paramétrage de l'antivirus en suivant les menus → .
Section : Configuration
Si vous souhaitez que les administrateurs de Olfeo On premises soient contactés par e-mail lors de la détection d'une menace par l'antivirus, validez la case à cocher Activer l'alerte menaces par e-mail.
Pour définir les administrateurs de Olfeo On premises, rendez-vous à la page → .
Section : Performance
Longueur de la file de connexions entrantes
Saisissez la taille maximum de la file contenant les demandes de traitements pouvant être envoyées à l'antivirus dans le champ.
Ce paramètre contrôle le nombre maximum de demandes de connexions concurrentes (TCP ou locales) pouvant être envoyées à l'antivirus d'Olfeo On premises.
Avertissement
Attention, une file de connexions entrante de taille peu élevée peut conduire à un refus de traitement lorsque la file est pleine (une erreur apparaît alors dans le log d'Olfeo On premises).
Valeur par défaut: 15
Nombre maximum de threads.
Ce paramètre permet de gérer la taille du pool de threads disponibles pour les analyses virales des différentes connexions des postes clients.
Si vous observez des ralentissements au niveau de votre navigation et que votre antivirus est activé vous pouvez essayer d'augmenter la valeur de ce paramètre, noter le changement de comportement et répéter l'opération si nécessaire.
Avertissement
Attention, un nombre trop élevé peut remplir la mémoire de threads inactifs. Assurez-vous bien de faire des changements incrémentaux afin d'observer les effets de ce paramètre dans votre environnement.
Valeur par défaut: 10
Quantité de donnée maximum à analyser dans un fichier.
Saisissez la taille maximum que l'antivirus peut analyser lors de l'analyse de fichiers de grande taille dans le champ.
Valeur par défaut: 2 Mo
Section : Analyse
Traiter les archives chiffrées comme des virus.
Cochez cette case si vous souhaitez que les archives chiffrées soient traitées comme des virus.
Valeur par défaut: Désactivée
Traiter les exécutables corrompus (PE ou ELF) comme des virus.
Cochez cette case si vous souhaitez que l'antivirus analyse les exécutables et traite les exécutables corrompus comme non conformes.
Avis
PE (Portable Executable) et ELF sont des formats définissant la structure d'un exécutable. PE est un type de format utilisé sous Microsoft Windows. ELF est un type de format utilisé sous Unix/Linux. Vous pouvez obtenir un descriptif du format ELF à l'aide de la commande Unix/Linux man elf.
Valeur par défaut: Désactivée
Section : Traitement des archives
Niveau maximum de récursion.
Ce paramètre limite la récursivité de l'antivirus d'Olfeo On premises nécessaire lors de l'analyse de fichiers archives imbriquant d'autres archives. Pour des questions de performances il peut être nécessaire de limiter ce niveau de récursivité.
Valeur par défaut: 10
Taille maximum par fichier
Saisissez la taille maximum des fichiers à analyser dans des archives dans ce champ.
Valeur par défaut: 2 Mo
Nombre maximum de fichiers à scanner dans une archive.
Saisissez le nombre maximum de fichiers à scanner dans une archive dans ce champ Si nécessaire vous pouvez redéfinir la valeur par défaut qui devrait couvrir la majorité des archives échangées par Internet.
Valeur par défaut: 10 000
Les données sont transmises au moteur de filtrage via le protocole ICAP, en RESMOD (analyse des réponses fournies par les sites consultés par vos utilisateurs). Le comportement de l'antivirus dépend donc des options ICAP du connecteur qui gère les transmissions de données entre le proxy et le moteur d'antivirus.
Par défaut, Olfeo On premises est pré-configurée avec un connecteur ICAP dédié à l'antivirus de flux.
Les connecteurs et leurs options sont gérés à la page → → .
Les paramètres définis ici seront communiqués au client ICAP lors de la requête OPTIONS.
Option | Mode | Description |
|---|---|---|
Taille limite de Preview | REQMOD et RESPMOD | Utilisé si la case Prévisualiser en RESPMOD et/ou Prévisualiser en REQMOD est cochée. Taille qui sera annoncée par le moteur de filtrage (le serveur ICAP) comme étant la taille maximale de l'aperçu qu’il souhaite recevoir. Cette valeur correspond au nombre de caractères du body de la réponse HTTP (les en-têtes sont toujours transmis). La valeur par défaut, 63 Ko, est la taille maximale de l'aperçu que peut envoyer le client ICAP du proxy HTTP interne à la solution Olfeo. Cette taille peut en revanche être plus grande avec d’autres clients ICAP : fixez cette valeur en fonction de votre équipement. |
Bufferisation de la réponse | RESPMOD | Chaque requête ICAP reçue par le serveur ICAP est mise en attente par celui-ci (en mémoire ou sur le disque) : définissez la quantité de données à bufferiser.
Cas des réponses sans taille annoncée Le paramètre permet également de définir la taille jusqu'à laquelle analyser les contenus lorsqu'une réponse HTTP ne contient pas de taille annoncée, c'est-à-dire pas d'en-tête HTTP Content-Length. Le fichier peut par exemple ne pas annoncer de taille à cause d'un problème de configuration du serveur distant, ou avoir une taille infinie (streaming). (Si la réponse annonce sa taille, c'est le paramètre Taille maximum qui est pris en compte.) Le moteur de filtrage met en attente (en mémoire ou sur le disque) le contenu de la réponse HTTP jusqu’à cette taille.
Voir aussi Gestion de la taille des fichiers reçus. |
Taille maximum | RESPMOD | Utilisé uniquement lorsque les réponses HTTP indiquent leur taille (dans l'en-tête HTTP Content-Length). (Si la taille n'est pas indiquée, c'est le paramètre Bufferisation de la réponse qui est utilisé.)
Valeur par défaut : 10 Mo .Voir aussi Gestion de la taille des fichiers reçus. |
Prévisualiser en RESPMOD | RESPMOD | Indique si le serveur doit déclarer au client qu'il accepte les prévisualisations en mode “modification de réponse” dans la requête OPTIONS. Cette option doit être activée pour que les règles de l’onglet Aperçu soient appliquées. Certains clients déclarent savoir gérer la prévisualisation alors qu'ils ne la gèrent pas : dans ce cas, décochez la case. Le client devra envoyer le contenu entier. Les règles de l'onglet Aperçu seront ignorées. |
Prévisualiser en REQMOD | REQMOD | Indique si le serveur doit déclarer au client qu'il accepte les prévisualisations en mode “modification de requête” dans la requête OPTIONS. La prévisualisation en REQMOD concerne l'upload de fichiers et les informations envoyées avec la méthode POST. Si la prévisualisation est désactivée (si la case est décochée), le fichier uploadé doit transiter par le moteur de filtrage, ce qui peut prendre du temps. Cependant, le moteur de filtrage n'a pas besoin du contenu du fichier uploadé pour prendre une décision de blocage ou non (l'Olfeo n'effectue pas de filtrage sur les fichiers uploadés). Cochez la case pour que seule une partie du fichier soit transmise au moteur de filtrage, afin d'éviter un transfert de données inutile. La taille du preview est celle indiquée dans le champ Taille limite de Preview. |
Ne pas tenir compte de la prévisualisation | REQMOD et RESPMOD | Paramètre permettant de prendre en charge le comportement de certains clients ICAP. Certains clients ICAP ne savent pas gérer la prévisualisation correctement : ils envoient l'ensemble de la requête en indiquant qu'il ne s'agit que d'un aperçu. Ce paramètre permet de considérer toutes les requêtes ICAP comme complètes même si le client indique qu'il s'agit d'un aperçu. Les règles de l'onglet Aperçu sont évaluées. |
Accepter d'utiliser le 204 | RESPMOD | Paramètre permettant de prendre en charge le comportement de certains clients ICAP.
Attention, les échanges sont plus lents si l'on n'utilise pas de réponses 204. |
Transfert des données par défaut | RESPMOD | Permet de définir le comportement de l'Olfeo pour les gros fichiers qui mettront du temps à être transmis à l'utilisateur. La valeur définie ici est une valeur par défaut : elle peut être surchargée via une règle de l'onglet Aperçu du moteur de règles (action Transfert des données). L'action Transfert des données par défaut est effectuée si la taille annoncée est supérieure à 1024 ko, et inférieure à la taille définie dans le paramètre Taille maximum.
|
Expiration de la page de patience | RESPMOD | Utilisé si le paramètre Transfert des données par défaut a la valeur Page de patience, ou si une règle du moteur définit une action Transfert des données avec la valeur Page de patience. Cette valeur indique combien de temps le moteur de filtrage doit attendre un morceau de fichier avant de considérer la connexion caduque et de mettre un terme à la page de patience. |
Forcer l'authentification ICAP au format LDAP | REQMOD et RESPMOD | Les clients ICAP peuvent fournir les informations d'identité des utilisateurs dans différents formats. Par défaut, le serveur ICAP du moteur de filtrage n'attend pas ces informations au format LDAP. Si le client ICAP que vous utilisez envoie ces informations au format LDAP (DN LDAP), cochez cette case pour le signaler au moteur de filtrage. |
Utiliser X-Forwarded-For au lieu de X-Client-IP | REQMOD et RESPMOD | Pertinent si l'Olfeo est couplé avec un proxy faisant de l'authentification, et que ce proxy est également proxy parent. Si la case est cochée, le moteur de filtrage déterminera l'adresse IP de l'utilisateur à partir de l'en-tête X-Forwarded-For. En effet, si le proxy est proxy parent, l'en-tête X-Client-IP donne l'adresse IP du proxy enfant et non celle de l'utilisateur. |
Utiliser X-Forwarded-User pour récupérer l'identifiant depuis l'en-tête HTTP | REQMOD et RESPMOD | Pertinent si l'Olfeo est couplé avec un proxy lui-même parent d'un proxy réalisant de l'authentification. Si la case est cochée, le moteur de filtrage récupérera l'identifiant de l'utilisateur à l’origine de la requête depuis l'en-tête X-Forwarded-User de la requête HTTP incluse dans la requête ICAP. L'en-tête contient l'information au format suivant : |
Utiliser l'en-tête ICAP X-Authenticated-Groups | REQMOD et RESPMOD | Cette option peut être utilisée lorsque l'équipement tiers transmet le libellé du groupe auquel appartient l'utilisateur, encodé en base 64 dans l'en-tête ICAP X-Authenticated-Groups. L'Olfeo se base alors sur le groupe de l'utilisateur pour appliquer règles et politiques (colonne Source du moteur de règles, politiques). Cela permet d'appliquer des règles ou des politiques au niveau d'un groupe lorsqu'on ne dispose pas d'autre moyen d'identification. Attention, pour que cette option fonctionne, l'option Utiliser X-Forwarded-User pour récupérer l'identifiant depuis l'en-tête HTTP doit être décochée. |
Tenter de résoudre la fin des en-têtes HTTP même s'ils ne sont pas corrects | REQMOD et RESPMOD | Certains serveurs HTTP utilisent à mauvais escient des caractères correspondant aux fins de ligne Unix dans leurs en-têtes, ce qui génère une erreur ICAP dans le navigateur et une entrée dans le journal d'évènements (à la page → → ). Cocher cette case permet de supprimer de telles erreurs mais affecte légèrement les performances. |
En cas de blocage, REQMOD envoie directement une réponse HTTP | REQMOD | Paramètre permettant de prendre en charge le comportement de certains clients ICAP.
|
En REQMOD, transmettre la catégorie Olfeo correspondant à la requête | REQMOD | Si la case est cochée, le serveur ICAP ajoute un en-tête X-Olfeo-Category à la réponse REQMOD. Cet en-tête indique l'ID de la catégorie Olfeo correspondant au domaine vers lequel pointe la requête. L'ID dépend de la version de la base d'URLs installée (version France, Belgique...). |
Transmettre l'ID de la catégorie correspondant à la requête | REQMOD et RESPMOD | Si la case est cochée, l'Olfeo envoie à l'équipement tiers l'ID de la catégorie correspondant au domaine de destination de la requête, dans un en-tête ICAP X-Olfeo-Category-ID. Cet ID dépend de la base d'URLs Olfeo installée. |
Transmettre le libellé de la catégorie correspondant à la requête | REQMOD et RESPMOD | Si la case est cochée, l'Olfeo envoie à l'équipement tiers le libellé de la catégorie correspondant au domaine de destination de la requête, dans un en-tête ICAP X-Olfeo-Category. |
Transmettre la décision de filtrage | REQMOD et RESPMOD | Si la case est cochée, l'Olfeo envoie à l'équipement tiers la décision prise par le moteur de filtrage, dans un en-tête ICAP X-Olfeo-Status. Valeurs possibles : Allowed, Denied. |