Christophe BOUHIER Page 1
Sommaire : Contexte :... 3 Prérequis pour la mise en place du serveur Proxy... 3 Mise en place du proxy Squid... 3 Configuration du proxy :... 7 Filtrage et blacklistage de certains sites et/ou mots clés.... 9 Mise en place du DNS et de l active Directory... 12 Utilisation d une GPO pour gérer les paramètres du proxy sur les clients :... 24 Mise en place du déploiement du proxy sur les postes clients:... 28 Christophe BOUHIER Page 2
Contexte : Dans l entreprise où je suis actuellement en préparation de mon BTS, à plusieurs moments nous avons remarqué des abus produit par les utilisateurs en naviguant sur des sites non productifs pour la société. Donc j ai proposé à mon chef de service la solution du serveur proxy pour stopper tous les abus. Je lui ai proposé une maquette après quelques semaines de mise en production, à la suite de cela le projet a été validé puis mis en place. Si de plus en plus d entreprise mette en place un proxy, c est parce qu il y a trop d égard produit par les employés. Prérequis pour la mise en place du serveur Proxy - Windows serveur 2008 - Active directory - DNS - Stratégie de Groupe Mise en place du proxy Squid 1- Sur le lien suivant se trouve l utilitaire Squid qui peut être téléchargeable. http://squid.acmeconsulting.it/download... DELAYP.zip 2- Une fois le fichier téléchargé vous remarquerez que le fichier est en ZIP. Pour extraire le contenu vous n aurez qu à utiliser l application Winrar ou WinZip. Dans ce ZIP, un seul dossier (squid) qui sera à extraire à la racine de votre lecteur C: (Attention à bien le mettre sur le C: sinon il faudra s'amuser à modifier la config de SQUID afin de pouvoir le déplacer ailleurs.) 3- Une fois le dossier décompressé et placé à la racine de votre lecteur C: il faut se rendre dans: squid --> etc --> et renommer les fichiers: - "mime.conf.default" en "mime.conf" - "squid.conf.default" en "squid.conf" Christophe BOUHIER Page 3
Après la modification le fichier doitr ressembler à ça. Christophe BOUHIER Page 4
4- Ouvrez une fenêtre de commande (Windows + R, puis taper cmd et valider) 5- Placez-vous dans le dossier "sbin" de l'installation de SQUID en tapant : - cd C:\squid\sbin Christophe BOUHIER Page 5
Tapez squid -i pour créer le service Squid. (En effet SQUID s'installe sur Windows en tant que service afin de pouvoir le démarrer dès le lancement de Windows comme n'importe quel autre service.) Voici ce qu'il se passe dans la fenêtre de commande si tout se passe bien: 6- Toujours dans la même fenêtre de commande, tapez squid -z afin de créer le dossier de cache: Si tout se passe bien la fenêtre de commande doit afficher cela : Voilà SQUID est installé sur votre serveur, il ne reste plus qu'à le configurer. Christophe BOUHIER Page 6
Configuration du proxy : 1- Rendez-vous dans le dossier C:\squid\etc afin de modifier le fichier de configuration "squid.conf" (Vous pouvez l'ouvrir avec n'importe quel éditeur de texte, moi j'utilise simplement Wordpad c'est largement suffisant.) Là, une multitude de lignes de configurations sont présentes, on va voir les plus importantes afin de paramétrer notre Proxy au minimum afin qu'il soit utilisable. 2- Retrouvez le bloc: (Pour ma part j utilise le système de recherche en cliquant sur «ctrl + F») Et dé-commenter la dernière ligne (#none) et remplacez la par: visible_hostname Le_Nom_De_Votre_Serveur Où bien entendu il faut remplacer "Le_Nom_De_Votre_Serveur" par le nom NetBIOS de votre serveur qui peut être récupéré en faisant «clic droit sur Ordinateur et propriétés» Christophe BOUHIER Page 7
(Donc pour ma part je mets visible_hostname test-proxy) 3- Si vous souhaitez changer le port d écoute, Retrouvez le bloc ci-dessous et modifier le: # Squid normally listens to port 3128 http_port 3128 4- Retrouvez le bloc: Ici vous trouvez les 3 classes d'adressage IP locales (A,B et C) pour la configuration. Si votre réseau se situe dans l'une de ces 3 classes il n'y a rien à modifier. Dans le cas inverse il faudra ajouter une ligne concernant l'adressage IP de votre réseau, juste en dessous de la dernière ligne. 5- La configuration minimum du proxy est terminée vous pouvez enregistrer votre fichier de conf 6- Pour que les modifications soient prises en compte il faut redémarrer le service Squid (cela est valable à chaque modification du fichier squid.conf) Pour cela, rien de plus simple, il suffit d'aller dans la console de gestion des services Windows (Windows + R et taper services.msc et valider), repérer le service "squid", clic droit dessus et "Redémarrer". Si vous avez bien suivi ces étapes le service redémarrera normalement et sans erreur. 7- Test de l'accès au proxy: Dans IE ou n'importe quel navigateur il faudra paramétrer les options de Proxy Pour IE, aller dans Options internet --> Onglet Connexions --> Paramètres réseau --> Dans "Serveur proxy" cocher les 2 cases --> Dans adresse, mettre l'adresse IP locale du serveur sur lequel SQUID est installé --> Dans Port, mettre 3128 (ou celui choisi plus haut dans le fichier de config à la ligne http_port) - Valider les paramètres et sortir des options internet Voilà le serveur proxy est installé, configuré et opérationnel. Christophe BOUHIER Page 8
Filtrage et blacklistage de certains sites et/ou mots clés. Blacklistage Simple: L'intérêt d'un proxy est bien évidemment la mise en cache mais surtout le filtrage du flux de données vers internet et également le blacklistage de sites internet et de mots clés. SQUID proxy permet bien entendu tout cela et nous allons voir comment procéder pour mettre en place des ACL's (Access List) afin de bloquer des noms de domaines, entre autres. Pour le moment le proxy est installé et configuré au minimum. Intéressons-nous maintenant aux ACL's Nous allons commencer par bloquer l'accès de FACEBOOK aux utilisateurs. 1. Ouvrir le fichier "squid.conf" avec votre éditeur de texte favori 2- Repérez la ligne: acl CONNECT method CONNECT Juste après cette ligne vous pourrez y ajouter toutes les ACL's que vous souhaitez. Dans mon exemple je veux bloquer FACEBOOK. Donc, après cette ligne je mets: acl FACEBOOK url_regex -i *.facebook.com* acl = Déclare notre ACL FACEBOOK = Nom de notre ACL (On peut donner n'importe quel nom) url_regex = Signifie que le proxy filtrera les expressions régulières dans l'url -i = C'est une option que l'on peut ajouter à notre ACL pour signifier que le filtrage ne sera pas sensible à la casse l'étoile devant.facebook signifie que dans l'url on filtre également tout ce qui se trouve avant.facebook l'étoile après.com signifie que dans l'url on filtre également tout ce qui se trouve après.com 3- Voilà notre ACL est créé, maintenant il va falloir dire à notre proxy qu'il faut refuser l'accès à cette ACL, donc à FACEBOOK Reperez la ligne: # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS Juste après vous pouvez ajouter vos propres règles d'accès. Donc pour cette exemple, je mets: http_access deny FACEBOOK http_access = Signifie que la règle portera sur un accès HTTP deny = Signifie que l'on refuse la connexion (deny = nier en Anglais, mais dans ce contexte cela veut dire plutôt refuser) Christophe BOUHIER Page 9
FACEBOOK = C'est le nom de notre ACL créée précédemment (il faut qu'il soit strictement le même sous peine de ne pas faire fonctionner notre règle) 4- Voilà la règle de blocage de FACEBOOK est prête. Il faut maintenant enregistrer notre fichier squid.conf et redémarrer le service Squid pour que les modifications soit prises en comptes. 5- Ouvrir une page GOOGLE avec un ordinateur client du Proxy et rechercher FACEBOOK puis suivre le lien. Si tout est paramétré correctement, vous devriez recevoir une page d'erreur du proxy vous signifiant que vous ne pouvez pas avoir accès à cette page. Nous venons de voir comment bloquer un site/domaine en créant une ACL couplé à sa règle d'accès (http_access). SQUID permet de créer des blacklist sous forme de fichier texte afin de ne pas surcharger inutilement le fichier de configuration, mais aussi et surtout pour nous faciliter la vie en ajoutant dans ces fichiers textes tous les sites, domaines ou mots clés que nous voulons blacklister les uns à la suite des autres. La méthode reste sensiblement la même: Blacklistage avec liste dans un fichier txt: 1- Dans le dossier squid créez un fichier txt que vous nommerez par exemple Medias_Sociaux.txt (Vous pouvez mettre ce fichier à l'endroit de votre choix. Personnellement je le mets à l'endroit où se trouve squid.conf, c'est à dire ici C:\squid\etc) 2- Dans ce fichier, sous forme de liste, inscrivez tous les sites, domaines que vous voulez blacklister. *.facebook.com* *.twitter.com* *.hotmail.com* *.msn.com* *.live.com* Enregistrer le fichier 3- Rendez-vous maintenant dans notre fichier squid.conf Repérez la ligne: acl CONNECT method CONNECT Juste après nous avions créé l'acl suivante: acl FACEBOOK url_regex -i *.facebook.com* Nous allons la supprimer et la remplacer par notre blacklist: acl Medias_Sociaux url_regex -i "C:\squid\etc\Medias_Sociaux.txt" acl = Déclare notre ACL Medias_Sociaux = Nom de notre ACL (On peut donner n'importe quel nom, mais soyez cohérents par rapport à votre fichier texte (banlist) ) url_regex = Signifie que le proxy filtrera les expressions régulières dans l'url Christophe BOUHIER Page 10
-i = C'est une option que l'on peut ajouter à notre ACL pour signifier que le filtrage ne sera pas sensible à la casse "C:\squid\etc\Medias_Sociaux.txt" = Chemin de notre banlist, ici elle se trouve dans le lecteur C: dans le sous-dossier nommé "etc" du dossier "squid" (Veillez à ne pas oublier les guillemets "" encadrant le chemin du fichier txt) 4- Reperez la ligne: # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS Juste après nous avions créé la règle d'accès suivante: http_access deny FACEBOOK Nous allons la supprimer et la remplacer par notre nouvelle règle: http_access deny Medias_Sociaux http_access = Signifie que la règle portera sur un accès HTTP deny = Signifie que l'on refuse la connexion (deny = nier en Anglais, mais dans ce contexte cela veut dire plutôt refuser) Medias_Sociaux = C'est le nom de notre ACL (il faut qu'il soit strictement le même sous peine de ne pas faire fonctionner notre règle) Voilà nous avons une banlist avec l'acl et la règle d'accès correspondantes. 5- Enregistrez le fichier squid.conf et redémarrez le service SQUID comme d'habitude pour tout changement de configuration. 6- Ouvrir une page GOOGLE avec un ordinateur client du Proxy et rechercher FACEBOOK et/ou twitter, hotmail, etc, puis suivre le lien. Si tout est paramétré correctement, vous devriez recevoir une page d'erreur du proxy vous signifiant que vous ne pouvez pas avoir accès à cette page. Maintenant que le Proxy est opérationnel, nous allons voir comment paramétrer le proxy via une GPO. Mais avant cela nous allons installer l AD pour qu on puisse mettre en place une GPO. Christophe BOUHIER Page 11
Mise en place du DNS et de l active Directory Aller dans le gestionnaire de serveur, et dans l onglet Rôles, sur la droite de l écran cliquer sur «Ajouter des rôles». Cliquer sur suivant au moment ou cette page apparait. Christophe BOUHIER Page 12
Il se peut que lorsque vous sélectionner le rôle «Service de domaine active directory», l assistant d ajout de rôles vous propose d installer le Net Framework 3.5.1 Alors cliquer sur «Ajouter les fonctionnalités requises». Une fois que la case du service Active directory est bien sélectionner cliquer sur suivant. Christophe BOUHIER Page 13
Cliquer de nouveau sur suivant. Cliquer ensuite sur installer. Christophe BOUHIER Page 14
Patienter pendant l installation. Cliquer sur fermer pour poursuivre l installation de l active directory. Christophe BOUHIER Page 15
Pour continuer, ouvrir une commande d exécution en allant dans démarrer et exécuter. Puis taper «dcpromo» Cliquer sur suivant. Christophe BOUHIER Page 16
Dans mon cas je créer un domaine donc je choisis l option coché ci-dessous. Dans le cas de la forêt existante, ça va me permettre de rejoindre un domaine existant sur le réseau. Christophe BOUHIER Page 17
Choisir un nom de domaine et cliquer sur suivant. L assistant d installation se met en alerte pour signaler que les caractère mis dans notre domaine, peuvent ne pas être pris en charge par d autres produits du serveur DNS. Patienté quelque seconde pendant la vérification de la disponibilité du nom de domaine. Christophe BOUHIER Page 18
Dans le menu de sélection choisir le niveau de fonctionnalité du domaine. Laisser l analyse se faire. Si aucun serveur DNS n est configuré sur votre serveur, il vous proposera de le configurer en même temps. Christophe BOUHIER Page 19
Vérifier que le serveur DNS est bien sélectionné et cliquer sur suivant. Choisir l option qui vous correspond. Christophe BOUHIER Page 20
Mettre un mot de passe et suivant. Christophe BOUHIER Page 21
Patienter pendant l installation des services. Christophe BOUHIER Page 22
Voilà l installation du DNS et l active directory est terminé. Christophe BOUHIER Page 23
Utilisation d une GPO pour gérer les paramètres du proxy sur les clients : Nous allons créer une GPO sur le serveur afin de faire redescendre la configuration du Proxy sur les machines du domaine et bloquer l'accès à ces paramètres afin que les utilisateurs ne puissent pas changer la configuration pour outrepasser le Proxy. 1- Sur le serveur, rendez-vous dans la console Active Directory (Démarrer --> Outils d'administration --> Utilisateurs et Ordinateurs Active Directory) 2- Puis faire clic droit sur le nom de domaine puis créer une nouvelle unité d organisation. Pour ma part je l appelerais SquidProxy. Après cela fermer la fenêtre et ouvrir celle qui va permettre la gestion de stratégie de groupe Christophe BOUHIER Page 24
Comme on peut le voir, l unité d organisation que l on vient de créer est présente. Faire clic droit sur l unité d organisation et cliquer sur «nouveau». Christophe BOUHIER Page 25
La nommer comme vous le souhaitez. Faire clic droit sur l objet de stratégie de groupe qui vient d être créée puis cliquer sur «Modifier». Christophe BOUHIER Page 26
Aller dans «Configuration ordinateur» «modèles d administration» «composants Windows» «Internet Explorer» et à cette endroit ci 2 options sont possible pour bloquer les paramètres du proxy. - Désactiver la modification des paramètres de connexions. - Empêcher la modification des paramètres de proxy. Double clic sur l option souhaitée, puis activer la stratégie de groupe et l appliquer. Christophe BOUHIER Page 27
Mise en place du déploiement du proxy sur les postes clients: Pour commencer, je tiens à préciser que cette solution de mise en place est fonctionnelle pour ceux qui utilisent internet explorer 10 ou 11. Car pour les versions antérieurs à celle-là, la solution est différente, elle ce gère directement dans la console de stratégie de groupe. 1- Aller télécharger «Internet Explorer Administration Kit 11» sur le lien suivant : http://www.microsoft.com/en-us/download/details.aspx?id=40903 2- Une fois cette étape passé lancer le fichier qui vient d être téléchargé et suivre l installation. Cocher la case «J accepte les termes du contrat de licence» et continuer. Christophe BOUHIER Page 28
Dans mon cas je choisis la deuxième option car je mets ce projet en interne. Mettez l organisation de votre choix. Christophe BOUHIER Page 29
Voilà l installation est terminée. Nous allons maintenant voir pour le configurer pour le rendre fonctionnel. Christophe BOUHIER Page 30
Dans le menu démarrer, une assistance à la personnalisation d internet explorer est normalement présente. Cliquer dessus et suivez les étapes. Christophe BOUHIER Page 31
Sélectionner le type de plate-forme de destination. Sélectionner la langue et continuer. Christophe BOUHIER Page 32
Choisir si vous voulez le : - Pack qui contient l installation d internet explorer 11 + configuration Ou - Le pack de configuration seulement. Christophe BOUHIER Page 33
Patienter une fenêtre d installation doit apparaitre quelque seconde plus tard. Cliquer sur exécuter. Ensuite Synchroniser vas apparaitre. Cliquer dessus pour récupérer la dernière version d internet explorer mise à jour compris. Ensuite poursuivez les étapes. Christophe BOUHIER Page 34
Pour ma part je mets internet explorer comme navigateur par défauts car Mozilla Firefox ainsi que Google Chrome est bloqué par le proxy pour éviter de passer outre le proxy en utilisant un autre navigateur. Christophe BOUHIER Page 35
Choisir «installation entièrement sans assistance», qui permettra à l utilisateur de se soucier de rien car toute l installation sera prise en charge par l administrateur. En plus de choisir cette option cela permet à l utilisateur de ne rien voir pendant l installation. Et choisir forcer le redémarrage pour que le proxy soit bien pris en compte dès la première utilisation. Christophe BOUHIER Page 36
Choisir la page de démarrage du navigateur. Christophe BOUHIER Page 37
Cette étape permet d importer des favoris qui seront alors disponible pour tous les utilisateurs. Christophe BOUHIER Page 38
Laissez par défaut sauf si vous désirez personnalisée une page d accueil. Christophe BOUHIER Page 39
Cocher «utiliser l affichage de compatibilité (mode internet explorer 7)». Cela permettra d éviter les bugs fréquents en entreprise. Christophe BOUHIER Page 40
Nous voilà à la configuration du proxy. Cocher «importer les paramètres de connexion actuels à partir de cet ordinateur» et cliquer sur «Modifier les paramètres». Cliquer sur «paramètres réseau» Christophe BOUHIER Page 41
Cocher les 2 cases dans la partie «serveur proxy» puis entrer l adresse IP du serveur Proxy ainsi que le port puis cliquer sur avancer. Une fois avoir cliqué sur «avancé» cocher aussi la «utiliser le même serveur proxy pour tous les protocoles». Puis Valider et continuer. Christophe BOUHIER Page 42
Christophe BOUHIER Page 43
Christophe BOUHIER Page 44
Patienter pendant qu il génère et compresse les fichiers du package personnalisé. Voilà le package est créer plus qu à le déployer sur les clients. En allant dans le dossier d installation C:\builds\06102014\FLAT\AMD64_WIN7\FR-FR, le fichier d installation est normalement présent avec le format.exe et.msi. Nous allons utiliser le fichier MSI pour la suite. Christophe BOUHIER Page 45
Christophe BOUHIER Page 46