Le filtre HTTP offre aussi la possibilité de bloquer un paquet utilisant le protocole HTTP et ce en fonction de n'importe quel critère ! Le principe est simple : il suffit de définir une chaîne de caractère prédéfinie nommée signature ainsi que la partie du paquet qui doit être analysée
3.4 Le blocage de signatures
(URL, en-tête ou corps dans le cas d’une requête; en-têtes ou corps dans le cas d’une réponse). Si cette signature est rencontrée par le serveur ISA dans la partie configurée alors le paquet est bloqué.
La principale utilité du blocage de signature est d’empêcher le fonctionnement des applications utilisant l’encapsulation HTTP. Il est par exemple possible d’interdire l’accès à Firefox tout en autorisant uniquement Internet Explorer (figure 16) :
Pour ce faire, il faut trouver une chaîne de caractères permettant d’identifier l’application (Windows Messenger, Internet Explorer, Firefox, eMule…). Le champ User-Agent est généralement utilisé pour définir le nom de l’application. Pour retrouver la signature d’une application utilisant le protocole HTTP, il suffit de réaliser une analyse de trames et de visualiser la valeur de ce champ. Lorsque l’on réalise une capture de trames à l’aide du logiciel Ethereal avec le navigateur Firefox, on obtient le résultat suivant (figure 17). On remarque qu’il existe deux manières de bloquer l’application Firefox :
• en utilisant la signature Firefox
• en utilisant la signature Gecko ce qui aura pour conséquence de bloquer tous les navigateurs basés sur le moteur Gecko (Firefox, Netscape, Mozilla…).
Pour configurer le blocage de signature, il faut faire un clic droit sur une règle d’accès ou d’une règle de publication faisant intervenir les protocoles HTTP, HTTPS ou Serveur HTTPS, puis sélectionner Configurer HTTP. Il suffit ensuite de cliquer sur l’onglet Signatures pour pouvoir bloquer des applications. Ci-contre, un exemple de configuration où de nombreux logiciels ont été ajoutés. On peut notamment remarquer (figure 18)
• des logiciels de Peer to Peer (P2P) comme eMule, Kazaa, Morpheus ou BitTorrent.
• des logiciels de messagerie instantanée comme MSN Messenger ou Windows Messenger
• des navigateurs comme Internet Explorer…
Si l’une de ces applications tente d’accéder à Internet, un message d’erreur spécifique s’affichera. Ce message dépend bien évidemment de l’application considérée et varie d’un cas à un autre. Ci-dessous, voici l’erreur renvoyée par le navigateur Internet Explorer 6.0 lorsque sa signature (MSIE 6.0) a été bloquée (figure 19). Le tableau 7 récapitule les signatures des applications courantes qu’un administrateur système peut être amené à bloquer.
Téléchargez cette ressource
Préparer l’entreprise aux technologies interconnectées
Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
