Filtrage d`URL (Rapport)

Transcription

Les outils de
filtrage d’URL
Arnaud Bauer
CNAM 2003
Les outils de filtrage d'URL
Introduction
En 2003, selon IDC1, 272 millions d'employés ont accès à Internet. Face à cette croissance et à cette
démocratisation de l'accès Internet, les entreprises cherchent à gérer et à contrôler la navigation Internet. En
effet, comme toutes nouvelles technologies, l'utilisation d'Internet peut dévier de son cadre initial.
Certaines statistiques sont éloquentes (Source Internet) :
Durant la période de travail 9h à 17h, on constate :
- 70% du trafic pornographique (Source Internet)
- 30 à 40% des sites visités sont non professionnels (Source IDC)
- 60% des achats en ligne sont effectués (Source Nielsen/Netratings)
En fonction du type de site Web, de l'heure, du demandeur et de la politique interne, l'entreprise
souhaite adapter l'utilisation d'Internet par ses employés. De son coté, le particulier souhaite aussi protéger sa
famille lorsque celle-ci navigue à Internet.
Les outils dits de "Filtrage d'URL" ou "Filtrage de contenu" ont été conçus dans ce sens. Dans le monde
de l'informatique, ces technologies sont regroupées sous l'appellation, "Employee Internet Management".
A qui s'adresse ce dossier ?
Bien que rédigé dans le cadre de l'unité de valeur CNAM - Ingénieur en informatique, ce document a été écrit
dans le but d'être compris par les non experts et intéressants pour ceux qui connaissent le monde de
l'informatique et de l'Internet.
Guide de lecture
L'objet de ce dossier est d'expliquer de manière précise et en termes simples comment fonctionnent les outils
de filtrage d'URL, quels en sont les enjeux ainsi que les produits disponibles sur le marché.
1
IDC : Cabinet de conseil et d’études sur les marchés des technologies de l’information
CNAM - Ingénieur
Page 2/43
Sommaire
Introduction _____________________________________________________________________________ 2
A qui s'adresse ce dossier ? ______________________________________________________________ 2
Guide de lecture _______________________________________________________________________ 2
Chapitre 1 - Internet en quelques mots ________________________________________________________ 5
Définitions ____________________________________________________________________________
INTERNET = INTER-NETwork (Inter-réseaux) _____________________________________________
Quelques chiffres _____________________________________________________________________
Réglementer Internet - Est-ce possible ?____________________________________________________
5
5
6
6
Pourquoi restreindre l'accès à Internet ? ___________________________________________________ 7
Objectifs ____________________________________________________________________________ 7
Législation___________________________________________________________________________ 8
Chapitre 2 - Le filtrage d'URL______________________________________________________________ 10
Comment filtrer ? _____________________________________________________________________
Contexte ___________________________________________________________________________
Gestion de profils __________________________________________________________________
Architecture sans authentification ____________________________________________________
Architecture avec authentification____________________________________________________
Les techniques_______________________________________________________________________
Filtrage statique défini par l'administrateur_______________________________________________
Liste blanche (White list) : _________________________________________________________
Liste noire (Black list) :____________________________________________________________
Filtrage des extensions de fichiers____________________________________________________
Quelle est l'efficacité du filtrage statique? _____________________________________________
Filtrage par thème __________________________________________________________________
Les thèmes______________________________________________________________________
Mise à jour de la base de données ____________________________________________________
Quelle efficacité ? ________________________________________________________________
Filtrage de contenu _________________________________________________________________
Comment cela fonctionne-t-il ?______________________________________________________
Quelle efficacité ? ________________________________________________________________
Filtrage de contenu visuel __________________________________________________________
Autres types de filtrage ______________________________________________________________
Blocage des adresses non résolues ___________________________________________________
Les normes d’évaluation de contenu des sites Internet ________________________________________
Le barême d'étiquetage RSACi ________________________________________________________
Qu'est-ce que le système PICS ? _______________________________________________________
Définition ______________________________________________________________________
Comment ca marche ? _____________________________________________________________
Les arguments pour l’auto-étiquettage des sites par les auteurs _____________________________
Listes CyberYES / CyberNOT ________________________________________________________
Définition ______________________________________________________________________
CyberYES ______________________________________________________________________
CyberNOT______________________________________________________________________
Le projet NetProtect ________________________________________________________________
11
11
11
11
11
11
11
11
11
11
12
13
13
13
13
13
13
13
14
15
15
15
15
16
16
16
16
17
17
17
17
18
A quel niveau filtrer ? __________________________________________________________________
Filtrage sur le point d'accès à Internet _____________________________________________________
Proxy URLF (URL Filtering - Filtrage d'URL) ___________________________________________
Fonction proxy __________________________________________________________________
Fonction URL Filtering (Filtrage d'URL) ______________________________________________
Autres fonctions possibles__________________________________________________________
Routeur filtrant ____________________________________________________________________
Le protocole ICAP (Internet Content Adaptation Protocol) __________________________________
20
20
20
20
21
22
23
23
CNAM - Ingénieur
Page 3/43
Quels sont les objectifs du protocole ICAP ? ___________________________________________
Application de ICAP au filtrage d'URL _______________________________________________
Exemple de dialogue entre un proxy et un serveur de filtrage en ICAP _______________________
Filtrage sur le poste client ______________________________________________________________
Offre grand public : Le filtrage parental _________________________________________________
Filtrage professionnel _______________________________________________________________
Comment ca marche ?_______________________________________________________________
23
23
23
25
25
25
25
Chapitre 3 - Les produits du marché _________________________________________________________ 26
Filtrage sur point d'accès Internet________________________________________________________
Symantec Web Security (anciennement appelé I-Gear) _______________________________________
Content Filtering with Blue Coat Systems _________________________________________________
WebSense Internet Filtering ____________________________________________________________
Webwasher _________________________________________________________________________
TrendMicro Interscan WebManager ______________________________________________________
Squidguard (Gratuit - Axé sur les sites à caractères pornographiques)____________________________
Watsoft Gatefilter (couplé à Wingate) ____________________________________________________
Network appliance Smartfilter (couplé à au proxy Netcache) __________________________________
Surfcontrol Web filter _________________________________________________________________
8E6 R2000 _________________________________________________________________________
How it Works _______________________________________________________________________
Comparatif _________________________________________________________________________
27
28
29
30
33
33
33
35
36
37
38
39
40
Filtrage sur poste client ________________________________________________________________
AOL Parent Filter ____________________________________________________________________
Mac Afee Internet Filter _______________________________________________________________
Symantec___________________________________________________________________________
41
41
41
41
Conclusion _____________________________________________________________________________ 42
Sites de référence ________________________________________________________________________ 43
CNAM - Ingénieur
Page 4/43
Chapitre 1 - Internet en quelques mots
Définitions
INTERNET = INTER-NETwork (Inter-réseaux)
Comme son nom l'indique, INTERNET est un ensemble de réseaux interconnectés afin de permettre l'accès à
des ordinateurs à n'importe quel point du globe. Ce n'est pas un réseau géré par une seule entité administrative,
une seule société, ou un seul gouvernement mais il est constitué de la jointure de plusieurs réseaux sous la
responsabilité d'opérateurs informatique du monde entier.
De ce fait, il en est difficile d'avoir un œil sur les ordinateurs qui y sont raccordés, de savoir qui y est connecté
et ce qui est mis à disposition.
Avant de commencer, définissons les termes clés d'Internet :
Qu'est-ce qu'un site Web ?
Un site web (ou site Internet) est un endroit sur Internet où l'on peut trouver des informations, des images, des
fichiers… Physiquement, c'est un répertoire d'un ordinateur connecté à Internet.
Pour accéder à cette machine, il faut connaître son adresse (c'est-à-dire son URL - Uniform Ressource
Locator). Cette adresse est sous la forme http://www.xxx.org.
Qu'est-ce qu'un moteur de recherche ?
Si vous ne connaissez pas l'adresse d'un site mais que vous savez ce que vous cherchez, il existe des sites
Internet, appelés moteurs de recherche, permettant de trouver les sites Internet parlant de ce que vous recherchez.
Les plus connus sont Google (http://www.google.fr), Altavista (http://www.altavista.fr),…
Ces "moteurs de recherche" parcourent en permanence Internet et mémorisent les mots présents dans les pages
disponibles sur Internet. Ainsi, lorsque vous recherchez des informations sur un thème, le moteur de recherche
vous renvoie les sites ayant des mots en rapport avec ce thème.
CNAM - Ingénieur
Page 5/43
Quelques chiffres
En octobre 2002, on dénombrait un peu plus de 35 millions de sites Internet.
Ci-dessous, un extrait d'article trouvé sur le net parlant du "cyber-sexe":
Source : http://www.asiaflash.com/astro-sexe/sexe_porno_02.shtml
[…]
Si vous tapez sexe ou pornographie, le Net vous offrira 14.531.000 pages de porno dont 12.456.170 en Anglais
et 173.000 en Français. Fin 1999, au hit parade des mots les plus cliqués en France, arrivait dans l'ordre : sexe,
sexe gratuit, gros seins, MP3 (moteur pour sites musicaux), zoophilie, gay, puis emploi, musique. Sur 45.000
sites pornos répartis dans le monde, 200 sites professionnels sont Français + 7.000 sites amateurs.
A ce nombre on ajoutera les "espaces d'expression libre" et une foule de sites où se côtoient rarement le
meilleur et plus souvent le pire. Le Net est même devenu le salon préféré des pédophiles qui y papotent et
tripotent dans la plus grande discrétion et des pervers en tous genres. On a retrouvé le Paradis perdu, c'était le
Cybersexe où l'Homme et la Femme, peuvent croquer les fruits défendus. […]
Réglementer Internet - Est-ce possible ?
CNAM - Ingénieur
Page 6/43
Pourquoi restreindre l'accès à Internet ?
Objectifs
Ne pas saturer le lien raccordant l'entreprise à Internet : Pour pouvoir être raccordée à Internet,
l'entreprise s'adresse à un "Fournisseur d'Accès à Internet" (ou FAI) et souscrit un contrat louant ainsi une "ligne
réseau" possédant une taille définie et fixe. La "bande passante" (taille du lien loué) étant proportionnelle au prix
payé par l'entreprise, cette dernière souhaite que son utilisation reste professionnelle.
L'accès sans restriction à Internet est souvent accompagné d'effets que l'entreprise ne recherche pas. Les
employés sont tentés d'utiliser l'accès Internet de l'entreprise (souvent plus rapide qu'à leur domicile), pour
effectuer des téléchargements de plusieurs dizaines voire centaines de méga-octets (Logiciels, musique au format
MP3, films…).
Il en résulte que l'utilisation professionnelle de l'accès Internet est très perturbé.
Réduire la part d'utilisation d'Internet consacré à l'usage privé : Comme indiqué au paragraphe
précédent, l'entreprise, en règle général, souscrit un accès Internet afin d'accéder à des informations, ressources
ou outils plus simplement. Selon certains instituts de sondage, 50 % des utilisateurs reconnaissent passer plus
d'une heure par jour sur Internet à des fins non professionnelles.
Consommation de Internet aux différents moments
de la journée
40
30
20
10
0
Avant
6h
6h-8h 8h-10h 10h-12h 12h-14h 14h-18h
18h20h
20h22h30
Après
22h30
Horaires
CNAM - Ingénieur
Page 7/43
France : fréquence de connexions en millions d'internautes par lieu d'accès
Pages vues par mois
Tous les jours ou presque :
les assidus
A domicile
Au travail
Dans d'autres lieux
52%
45%
8%
Plus d'une fois par mois :
les réguliers
44%
47%
65%
Une fois par mois et moins
souvent : les occasionnels
4%
8%
27%
Total
100%
100%
100%
Information trouvée sur le site www.surfcontrol.com : Vingt minutes de navigation Internet à des fins
personnelles par jour, peut coûter à une société de 100 personnes, au bout d’une semaine, jusqu’à 8000 dollars (à
raison de 50 dollars par heure et par employé).
Réserver l'accès Internet à l'accès à certains sites : Certaines entreprises se raccordent à Internet afin
de bénéficier de certains services moins chers (Exemple : Le Minitel) ou uniquement accessible par ce biais.
Ainsi, en souscrivant un accès Internet, elles veulent aussi empêcher leurs employés d'accéder à d'autres sites.
Interdire l'accès à certains sites ou à certains types de site : être en conformité par rapport à la
morale de l'entreprise.
Beaucoup de virus entrent sur les réseaux d’entreprises par le biais de services de messagerie Web
(Type www.caramail.com) ou du fait de téléchargement de fichiers.
Référence : http://www.journaldunet.com/chiffres-cles.shtml
Législation
Dans certains cas, notamment les entreprises ou institutions qui offrent un moyen d'accès à Internet à des
mineurs, il est obligatoire d'avoir un filtrage d'URL permettant de les empêcher d'aller sur des sites à caractère
pornographique ou appelant à la violence.
Il est également interdit aux entreprises quelles qu'elles soient d'offrir un accès à des images à caractère
pédophile (notamment). Si de telles images sont récupérées sur Internet et diffusées en interne, l'entreprise (donc
ses dirigeants) est légalement responsable.
L'article suivant est l'article 227-24 du code pénal, section 5 : de la mise en péril des mineurs.
"Le fait soit de fabriquer, de transporter, de diffuser par quelque moyen que ce soit et quel qu'en soit le support
un message à caractère violent ou pornographique ou de nature à porter gravement atteinte à la dignité humaine,
soit de faire commerce d'un tel message, est puni de trois ans d'emprisonnement et de 500 000F d'amende
lorsque ce message est susceptible d'être vu ou perçu par un mineur.
Lorsque les infractions prévues au présent article sont soumises par la voie de la presse écrite ou audiovisuelle,
les dispositions particulières des lois qui régissent ces matières sont applicables en ce qui concerne la
détermination des personnes responsables."
CNAM - Ingénieur
Page 8/43
Qu’en est-il de la responsabilité des hébergeurs ?
Le 13 juin 2001 a été présenté, en Conseil des Ministres un projet de loi sur la société de l'information.
Les hébergeurs et fournisseurs d'accès ne sont pas tenus à une obligation générale de surveillance des
contenus véhiculés sur les réseaux
Les hébergeurs sont susceptibles d'engager leur responsabilité civile s'ils ne retirent pas un contenu dont
ils ont effectivement connaissance du caractère manifestement illicite
Le juge dispose de moyens renforcés pour faire cesser la mise à disposition de contenus illicites
Les fournisseurs d'accès et les opérateurs de cache ne peuvent voir engager leur responsabilité du fait de
contenus qu'ils se bornent à transmettre ou à stocker temporairement
CNAM - Ingénieur
Page 9/43
Chapitre 2 - Le filtrage d'URL
Pour répondre aux besoins cités dans le chapitre précédent ("Pourquoi filtrer ?"), les sociétés, déjà spécialisées
dans les outils sécurisant et optimisant les accès Internet, ont mis au point des systèmes analysant le
comportement des utilisateurs sur Internet.
Ce chapitre se propose d'étudier le fonctionnement de ces outils et leur implantation dans le réseau de
l'entreprise.
On trouve deux types d'implantation :
Le plus répandu dans les entreprises est le filtrage sur le point d'accès Internet. Point de passage
obligatoire pour les utilisateurs souhaitant accéder à Internet, il soumet les employés à un filtrage
obligatoire associés à une politique de sécurité définie par les administrateurs du réseau de
l'entreprise.
Le filtrage d'URL ne s'adressant pas qu'aux professionnels, il est possible d'implémenter des
logiciels de filtrage d'URL sur le poste accédant à Internet. Cette solution est préconisée pour les
professionnels utilisant des postes directement raccordés à Internet par le biais d'un modem ou pour
les particuliers sur leur ordinateur familial.
CNAM - Ingénieur
Page 10/43
Comment filtrer ?
Contexte
Gestion de profils
Dans le cadre d'un filtrage sur un point d'accès Internet, deux modes sont possibles : avec ou sans
authentification.
Architecture sans authentification
Dans ce type d'architecture, les personnes navigant sur Internet ne s'authentifie pas. Par conséquent, il ne
peut y avoir qu'une seule politique de filtrage pour l'ensemble de la société.
Architecture avec authentification
Dans ce type d'architecture, le logiciel de filtrage d'URL demande à l'utilisateur de saisir un code
utilisateur pour pouvoir accéder à Internet. Il est donc possible au niveau du logiciel de filtrage d'URL, d'adapter
les règles d'interdiction ou d'autorisation en fonction de la personne/ ou du groupe auxquelles elle appartient.
Les techniques
Filtrage statique défini par l'administrateur
Grâce à au filtrage statique, l'administrateur de l'accès Internet peut autoriser ou refuser l'accès à :
- des sites bien précis (http://www.xxx.org)
- des répertoires particuliers de sites (http://www.xxx.org/photos)
- des pages de sites précises (http://www.xxx.org/toto.html)
- des domaines entiers (xxx.org)
Pour cela, on utilise les termes "liste blanche" et "liste noire".
Liste blanche (White list) :
L'administrateur définit une liste de sites accessibles par les employés.
Avantage : Réduit efficacement l'usage de l'accès Internet
Inconvénients :
- Diminue l'intérêt d'Internet comme source importante d'information
- Si le site autorisé renvoie sur un autre site non explicitement autorisé, l'utilisateur
n'aura pas accès à l'information (Exemple : www.toto.fr renvoie vers
www2.toto.fr).
Liste noire (Black list) :
L'administrateur définit une liste de sites interdits
Avantage : Permet de filtrer les accès des sites particulièrement gourmand en bande passante (Suivi
boursier comme www.boursorama.fr) ou des sites de recrutement de la concurrence.
Inconvénients :
- Ne permet de filtrer par thème
Filtrage des extensions de fichiers
CNAM - Ingénieur
Page 11/43
Certains outils de filtrage d'URL permettent d'empêcher le téléchargement de fichiers par analyse de leur
extension.
Exemple : Interdire le téléchargement de :
- fichier .EXE, .EIP, .HQX => Risque de virus
- fichier .AVI, .MOV, .MPEG, .MP3 => Risque de saturation de bande passante
Quelle est l'efficacité du filtrage statique?
CNAM - Ingénieur
Page 12/43
Filtrage par thème
Les fournisseurs de solutions de filtrage d'URL propose en général un service complémentaire de
recensement et de classification des sites Internet par thème. Il est donc possible à l'administrateur de définir des
listes blanches et/ou noires, non plus par rapport à des sites particuliers mais par rapport à des thèmes.
Les thèmes
Alcool/Tabac
Crime
Drogue
Distraction/Sports
Distraction/Jeux
Finance
Jeux/Casino
Humour
Chat (IRC)
Mail
Intolérance
Recherche d'emploi
Informations
Sciences occultes
Automédication
Immobilier
Religion
Sexe/Actes
Sexe/lingerie
Sexe/Nudité
Sexe/Information Armes
Sexe/Services
…
Voyages
Vehicules
Violence
Un thème peut être découpé en sous-thèmes permettant un fitrage encore plus adapté. Par exemple, si vous
ne souhaitez autoriser que les sites parlant du sexe mais sur le plan de la prévention, c'est possible en autorisant
seulement le thème Sexe/Information.
Le nom des catégories n'est pas standardisé.
Mise à jour de la base de données
De plus, il n'existe pas une base unique de recensement/classification des sites Internet.
Besoin de classification des sites Web
Quelle efficacité ?
Pendant longtemps, ces listes étaient gérées par des sociétés/groupes américains.
Filtrage de contenu
Le filtrage de contenu est aussi appelé "Filtrage par dictionnaire".
Comment cela fonctionne-t-il ?
Le logiciel de filtrage d'URL est équipé d'un ou de plusieurs dictionnaires (en général un par langue). Chaque
mot du dictionnaire se voit attribué un poids. Ainsi, en faisant la somme des poids des mots d'une page HTML,
on est capable de déterminer si son contenu est autorisé ou refusé. Le système de calcul tient compte du contexte
dans lequel les mots sont utilisés, c'est à dire qu'il tient compte des associations de mots pour augmenter ou
diminuer la taille de la page
Tout comme les listes d'URL répertoriés par thème, ces dictionnaires doivent être souvent mis à jour.
Exemple :
Quelle efficacité ?
CNAM - Ingénieur
Page 13/43
Filtrage de contenu visuel
Le filtrage de contenu peut être basé sur un filtrage par analyse des images téléchargées.
Ci-dessous un schéma de fonctionnement trouvé sur le site http://www.ltutech.fr, fournisseur d’une solution de
filtrage (Image Filter).
CNAM - Ingénieur
Page 14/43
Autres types de filtrage
Blocage des adresses non résolues
Interdiction de pages associées à des serveurs Web ne possédant pas de non de domaine. En effet, si il est simple
de raccorder un serveur à Internet, il est un peu plus long d'obtenir un nom de domaine. Ce type de filtrage
permet un accès
Exemple :
http://128.0.6.7/toto.html
Les normes d’évaluation de contenu des sites Internet
Le barême d'étiquetage RSACi
L'organisme RSAC (Recreational Software Advisory Council) a été conçu à l'origine pour classer les jeux vidéos
afin de permettre aux parents de choisir des jeux vidéos adaptés à leurs enfants. Mais cet organisme a étendu son
champ d'action à la classification des contenus Internet et a défini la classification RSACi, gratuite (on parle
aussi de vocabulaire RSACi).
RSACi a été notamment intégré dans le navigateur Internet Explorer et dans Netscape Navigator.
Ce vocabulaire est largement utilisé aux Etats-Unis et en Europe. Il est constitué de 4 catégories, chacune
découpée en 5 niveaux.
Niveau
Violence
0
Aucune violence
1
Combats
2
Tueries
Nudité
Aucun
Tenue révélatrice
Nudité partielle
3
Tueries sanglantes et
détails choquants
Nudité de face
4
Violence gratuite et
cruelle
Nudité de face
provocatrice
Sexe
Aucun
Baisers passionnés
Attouchement
sexuels sans nudité
Attouchements
sexuels non
explicites
Activité sexuelle
explicite
Langue
Argot inoffensif
Jurons très modérés
Jurons modérés
Gestes obscènes
Langage grossier et
explicite
Le RSAC a été transformé en 1999 en ICRA (Internet Content Rating Association). Abandonnant le barème
RSACi, l’ICRA s’appuie maintenant sur le standard PICS (Platform for Internet Content Selection).
http://www.icra.org
CNAM - Ingénieur
Page 15/43
Qu'est-ce que le système PICS ?
Définition
L'acronyme PICS signifie Platform for Internet Content Sélection, soit plate-forme de sélection de contenu sur
internet en français. Ce système a été mis au point par le consortium World Wide Web en 1995. Il permet
d'associer une étiquette décrivant le contenu d'un site et de la lire ensuite pour en faciliter le filtrage. Des
organismes ont étiqueté des contenus mais les éditeurs de sites internet ont la possibilité d'auto-étiquetter leur
site.
Comment ca marche ?
Dans la page HTML du site Internet, l’auteur indique des informations dans des balises spécifiques appelées
balises « méta ». Ces balises contiennent en général une description du contenu du site que les moteurs de
recherche utilisent pour référencer le site.
<html>
<head>
<title>Titre de la page</title>
<meta name="keywords" lang="fr"content="..., ...">
<meta name="description" lang="fr" content="... ">
etc ...
</head>
<body>
...
Contenu de la page
...
1. Le robot scrute vos balises meta
</body>
2. Il ramène les renseignements au moteur de
</html>
recherche
3. Le moteur de recherche met à jour son index
Les arguments pour l’auto-étiquettage des sites par les auteurs
Les sites commerciaux, dont le contenu ne pose pas ou peu de problèmes, voudront étiqueter leur site de
façon à éviter qu'il ne soit bloqué "par défaut". Quand un parent installe le filtre pour son enfant, il ou
elle aura l'option d'accepter ou de refuser "les sites non classifiés." La plupart des sites aspirent à
recevoir un maximum de visites pour des raisons publicitaires et autres activités commerciales qui y
sont liées. Il serait logique que tous les sites commerciaux soient classifiés (étiquetés), que leur contenu
puisse être considéré nuisible ou non.
Les opérateurs de sites conçus spécifiquement pour les enfants voudront étiqueter leur site, comme
quelques moteurs de recherche construisent leur base de données de "sites qui conviennent aux enfants"
en se basant sur les étiquettes ICRA.
La majorité des opérateurs de sites "réservés aux adultes" sont en général tout aussi désireux de protéger
les enfants que n'importe qui. De plus, étiqueter leur site montre clairement aux gouvernements que le
World Wide Web est désireux et capable de se réguler lui-même, plutôt que de voir les lourds organes
de législation gouvernementaux décider de ce qui est acceptable et de ce qui ne l'est pas.
Sur un plan d'égalité, un site qui porte une étiquette ICRA est plus susceptible de susciter la confiance
qu'un site sans étiquette.
http://www.w3.org/PICS/
CNAM - Ingénieur
Page 16/43
Listes CyberYES / CyberNOT
Définition
La liste CyberYES est une liste blanche d'URLs autorisées et la liste CyberNot est une liste noire d'URLs
interdites.
Ces listes sont utilisées dans le logiciel de filtrage Cyber Patrol de Microsoft.
CyberYES
La liste CyberYES contient des URLS considérées comme appropriées à un public de jeunes enfants.
Les différentes catégories sont les suivantes :
Jeux et jouets
Art, livres et musique
Films et télévision
Plein air et sports
Animaux domestiques
Animaux et dinosaures
Vacances et voyages
Puzzles et passe-temps
Travaux scolaires
Bénévolat et entraide
Documents de référence
Ecoles sur le réseau
Parents et enseignants
CyberNOT
La liste CyberNOT est utilisée par CyberPatrol pour bloquer des sites considérés comme inappropriés pour des
mineurs.
Les différentes catégories de CyberNot sont les suivantes :
La violence et la profanation
La nudité partielle ou totale
Les actes sexuels
Les représentations grossières
L'intolérance
Les cultes sataniques
La drogue
Le militantisme et l'extrémisme
L'éducation sexuelle
Les jeux douteux ou illégaux
L'alcool et le tabac
CNAM - Ingénieur
Page 17/43
Le projet NetProtect
NetProtect est un projet en partie fondé par la Commission Européenne et appuyé par des sociétés
comme EADS Matra Systèmes et Information (France), Matra Global Services (France), Red Educativa
(Espagne), Hypertech (Grèce), et Sail Labs (Allemagne).
L’object de Netprotect est de construire le prototype d’un outil capable de filtrer les accès Internet et de
prendre en compte le contexte multi-lingue et multi-culturel de la Communauté Européenne.
Les différents étapes de réalisation du projet sont les suivantes :
- Inventaire des outils et méthodes de filtrage existants sur le marché
- Mise au point d’un prototype d’outil « européen »
- Test par des spécialistes et des utilisateurs (parents et professeurs)
- Conclusion et préparation à la mise au point du produit
CNAM - Ingénieur
Page 18/43
En Janvier 2002, le prototype du projet a été livré :
Ce prototype hébergé dans les locaux de la société Optenet (Espagne) s’appuie sur un outil d’analyse de texte
prenant en compte les langues suivantes :
- Grec
- Allemand
- Français
- Espagnol
- Anglais
et sur un outil d’analyse d’image (LTU IMAGE FILTER).
Le produit final filtrera le matériel pornographique dans cinq langues différentes, ainsi que les contenus violents,
criminels et haineux. Il couvrira d'autres protocoles tels que le chat, le courrier électronique et les forums de
discussion (newsgroups). Les logiciels de filtrage actuels ont été évalués en respectant un certain nombre de
critères différents sans changer la configuration standard des différents logiciels. Aucun des logiciels de filtrage
analysés n'a satisfait aux critères de l'étude.
CNAM - Ingénieur
Page 19/43
A quel niveau filtrer ?
On peut considérer qu'il existe deux endroits où le filtrage d'URL est possible. Le premier, le plus utilisé
par les entreprises, consiste à filtrer la navigation sur le point d'accès à Internet.
Le second, plus à destination du grand public ou entreprise à petits budgets informatiques, est la solution de
filtrage au niveau de l'ordinateur.
Filtrage sur le point d'accès à Internet
Cette solution est souvent celle choisie par les entreprises. Elle permet un filtrage global sur un point unique.
Dans cette configuration, deux solutions sont possibles : le proxy filtrant ou le routeur filtrant.
Proxy URLF (URL Filtering - Filtrage d'URL)
Le proxy URLF est un ordinateur effectuant ayant deux responsabilités : Celle de proxy et celle de filtrage
d'URL. Définissons ces deux fonctions.
Fonction proxy
Le proxy URLF fournit les services d'un proxy "standard", c'est-à-dire qu'il permet de masquer les
postes utilisateurs derrière une machine (ou adresse) unique. Ainsi si une attaque est perpétrée, c'est le proxy qui
est visé et non pas le poste utilisateur.
Internet
Une seule adresse visible opur
n poste ayant accès à Internet
Zone démilitarisée
(DMZ)
Pare-feu
Proxy
Réseau Interne
CNAM - Ingénieur
Page 20/43
Fonction URL Filtering (Filtrage d'URL)
La fonctionnalité de filtrage d'URL couplée à celle du proxy permet de maîtriser les sites accédés et le
contenu récupéré. Le proxy jouant le rôle de passerelle entre les utilisateurs et Internet, il voit ce que l'utilisateur
demande (l'adresse du site) et le résultat de sa demande (information récupérée d'Internet : pages HTML,
fichiers, images…)
Internet
Analyse de l'URL
http://www.xxx.org
URL
Interdite
URL
Autorisée
(DMZ)
Pare-feu
Téléchargement de
la page demandée
Proxy URLF
Analyse du résultat
Contenu
Interdit
Contenu
autorisé
Réseau Interne
CNAM - Ingénieur
Page 21/43
Autres fonctions possibles
En complément de ces fonctionnalités, le proxy peut être équipé d'un :
cache : il mémorise les informations obtenues d'Internet pour pouvoir répondre à la prochaine
requête identique sans avoir à se re-connecter au serveur Internet
Gain en performance
un antivirus : il vérifie les ressources téléchargées (HTML, Scripts, Fichiers, ActiveX…) à la
recherche de "codes malicieux" ou "virus".
Gain en sécurité
Ces fonctions ne sont pas forcément implémentées sur la même machine. Il est possible de chaîner ces outils. On
parle alors de "Chaîne de proxy" ou "proxy chaining".
Internet
(DMZ)
Pare-feu
Antivirus
Vérification
Virus
Proxy URLF
Vérification
de l'URL et
du contenu
Réseau Interne
Ce type d'architecture permet de gagner en sécurité mais au détriment des performances :
Lorsqu'un utilisateur formule une requête sur un site Internet :
1 - Le proxy URLF vérifie la validité de la demande
- Utilisateur autorisé à naviguer sur Internet
- URL autorisé par rapport à la politique de sécurité paramétrée
2 - Le proxy URLF transfère la requête à l'antivirus qui vérifie que celle-ci concorde avec sa
politique de sécurité
3 - L'antivirus se connecte au serveur Web demandé et récupère la page demandée (et les objets
associés).
4 - L'antivirus vérifie que ce qu'il a récupéré ne contient pas de virus
5 - L'antivirus transfère le résultat au proxy URLF qui vérifie que le contenu de la page est en
accord avec la politique de sécurité
6 - Le proxy URLF renvoit la réponse à l'utilisateur.
CNAM - Ingénieur
Page 22/43
Routeur filtrant
Un routeur peut aussi faire office d'outil de filtrage d'URL.
Exemple : La gamme des routeurs Netgear
Le protocole ICAP (Internet Content Adaptation Protocol)
Le protocole ICAP permet de normaliser le dialogue entre un équipement réseau (comme un proxy) et
d'un outil de filtrage (antivirus, filtrage d'URL, cache…) dans un réseau IP. Il définit le dialogue entre le proxy et
l'outil de filtrage. ICAP a été créé en 1999 par l'ICAP forum (http://www.i-cap.org). I-CAP forum est né de
l'association de Network Appliance (Fournisseur de solutions de cache) et Akamai Technologies.
Quels sont les objectifs du protocole ICAP ?
Pouvoir adapter les contenus récupérés en fonction des utilisateurs finaux
Pouvoir créer une norme de dialogue entre les différents outils de filtrage
Réduire les ressources utilisés par ce genre de services.
Les premières applications de ce protocole sont le filtrage de contenu, le filtrage antivirus, les serveurs de
traduction/transcription "à la volée", insertion de automatique de publicité.
Application de ICAP au filtrage d'URL
Le client effectue une requête pour une page Web. Le proxy redirige la demande vers le serveur ICAP qui vérifie
que cette demande est valide par rapport aux règles de filtrage. Si celle-ci est valide, le serveur ICAP autorise le
proxy à envoyer la requête au serveur cible. Sinon, il modifie la requête initiale pour renvoyer le client vers une
page HTML d'erreur.
icap://icap.net/service?mode=translate&lang=french
Les proxys compatibles ICAP envoient une page HTTP intégrant la requête du client et une proposition de
réponse à la requête initiale. Le serveur ICAP analyse et renvoie la page telle quelle ou modifiée.
Exemple de dialogue entre un proxy et un serveur de filtrage en ICAP
Cet exemple est tiré du document de spécification du protocole ICAP (http://) et a été traduit en français.
Requete envoyé par le proxy au serveur ICAP :
CNAM - Ingénieur
Page 23/43
RESPMOD icap://icap.exemple.org/satisf ICAP/1.0
Host: icap.exemple.org
Encapsulated: req-hdr=0, res-hdr=137, res-body=296
Requête ICAP
GET /page.html HTTP/1.1
Host: www. Server-demandé.com
Accept: text/html, text/plain, image/gif
Accept-Encoding: gzip, compress
Requête HTTP initiale
HTTP/1.1 200 OK
Date: Mon, 10 Jan 2000 09:52:22 GMT
Server: Apache/1.3.6 (Unix)
ETag: "63840-1ab7-378d415b"
Content-Type: text/html
Content-Length: 51
En-tête HTTP de la réponse proposée
33
Ces informations ont été renvoyés par le serveur Web.
0
Corps HTTP de la réponse proposée
Réponse du serveur ICAP après analyse
ICAP/1.0 200 OK
Date: Mon, 10 Jan 2000 09:55:21 GMT
Server: ICAP-Server-Software/1.0
Connection: close
ISTag: "W3E4R7U9-L2E4-2"
Encapsulated: res-hdr=0, res-body=222
HTTP/1.1 200 OK
Date: Mon, 10 Jan 2000 09:55:21 GMT
Via: 1.0 icap.exemple.org (ICAP Example RespMod Service
1.1)
Server: Apache/1.3.6 (Unix)
ETag: "63840-1ab7-378d415b"
Content-Type: text/html
Content-Length: 92
5c
Ces informations ont été renvoyé par le serveur Web et modifié
par le serveur ICAP .
0
CNAM - Ingénieur
Réponse du serveur ICAP
En-tête HTTP modifiée par le serveur
ICAP
Corps HTTP modifié par le serveur
ICAP
Page 24/43
Filtrage sur le poste client
Offre grand public : Le filtrage parental
Par défaut l'accès aux sites destinés aux adultes est simple. Internet est un formidable outil d'information et
d'éducation pour les enfants. Mais il contient aussi de multiples sites à caractère sexuel, violent ou qui incitent à
la haine raciale, à la consommation de drogues…
Selon une étude européenne menée dans le cadre du projet Dot Safe, 24% des enfants tomberaient
accidentellement sur des contenus pornographiques sur le Net.
Le "filtrage" ou "contrôle" parental est l'un des outils permettant de protéger les enfants des contenus
inadaptés. Ils jouent le rôle de filtre en autorisant l'accès aux pages considérées comme inoffensives mais
bloquent les sites qui peuvent choquer l'enfant.
Dossier intéressant : http://www.60millions-mag.com/images_publications/349_logiciels_filtrages-ok.pdf
Filtrage professionnel
Certains produits antivirus sont couplées à des logiciels effectuant du filtrage d'URL. Ainsi par le biais
d'une administration distante centralisée, la navigation Internet est directement filtrée au niveau des postes
utilisateurs.
Comment ca marche ?
Faire un schéma d'architecture au niveau du poste.
CNAM - Ingénieur
Page 25/43
Chapitre 3 - Les produits du marché
Dans le cadre de cette étude, nous nous sommes appuyés sur diverses dossiers trouvés sur Internet.
Parlons un peu du marché : En 2001, selon IDC, le revenu associé aux outils de filtrage d'URL se montait à
environ 211 millions de dollars (Revenus des licences).
Parts de marché des éditeurs de solutions de filtrage web dans le monde (Source IDC)
Parts de marché des éditeurs de solutions de filtrage web dans le monde
En 2001
SurfControl
Websense
Symantec
Secure Computing
N2H2
21,9%
17,6%
7,1%
6,9%
4,6%
Comme au chapitre précédent, nous distinguerons les deux types de solutions, celles destinées à être
implémentées sur le point d'accès à Internet et celles destinées au poste client.
CNAM - Ingénieur
Page 26/43
Filtrage sur point d'accès Internet
Nous nous sommes intéressés aux produits suivants :
Symantec Web Security
WebSense Internet Filtering
TrendMicro Interscan WebManager
Watsoft Gatefilter
Surfcontrol
CNAM - Ingénieur
Blue Coat Content Filtering
Webwasher
Squidguard
Network appliance Smartfilter
8E6 R2000
Page 27/43
Symantec Web Security (anciennement appelé I-Gear)
Site Web :
CNAM - Ingénieur
Page 28/43
Content Filtering with Blue Coat Systems
Site Web :
CNAM - Ingénieur
Page 29/43
WebSense Internet Filtering
Editeur : WEBSENSE
OS : RedHat Linux, Microsoft Windows NT4, Microsoft Windows 2000, SUN SOLARIS
Site Web : Http://www.websense.com
Description du fonctionnement :
Websense est produit de filtrage d'URL qui consiste à faire passer toutes les requêtes de pages Web
par un point de contrôle Internet tel qu'un pare-feu, un serveur proxy ou un système de cache.
Websense s'intègre à ces points de contrôle pour vérifier chaque demande et déterminer si elle doit être
autorisée ou refusée.
Websense filtre le contenu Internet en utilisant la base de données Websense Master qui répertorie
plus de 3,5 millions de sites en 44 langues. Ces sites comportent plus de 800 millions de pages,
organisées en plus de 75 catégories, notamment MP3, jeux de hasard, shopping et contenu pour
adultes.
On peut choisir de bloquer, autoriser, limiter par le biais de quotas horaires ou par
utilisateur/groupe/station de travail/réseau.
Intégrations Websense :
Websense est compatible avec de nombreux produits sur le marché. La liste complète se trouve sur le
site de l'éditeur : http://www.websense.com/products/about/wse/index.cfm
D’autre part, WebSense utilise le format LDAP standard x509 pour personnaliser les accès (groupe ou
utilisateur). D'autres fonctionnalités intéressantes comme la gestion de quotas horaires (définition de plages
horaires) permettront une gestion plus fine pour des accès Internet plus spécifiques. WebSense supporte les OS
NT, Win 2000, Solaris. Des alertes ou notifications peuvent être générées par mail, alarmes sonores ou visuelles.
CNAM - Ingénieur
Page 30/43
Ces informations concernent les mises à jour de la blacklist ou encore les problèmes de dysfonctionnement du
produit.
Websense Reporter <=> Logging & Reporting :
Websense Reporter constitue un outil de génération de rapports complet et convivial qui permet
d'évaluer l'utilisation de l'Internet par les salariés de l'entreprise.
Rapport sur l'activité Internet (durée de navigation, ...) ;
Plus de 60 rapports prédéfinis ;
Rapports complètements personnalisables ;
Planification de la génération et de l'envoi des rapports ;
Rapports exportables sous : HTML, WORD, EXCEL .
WebCatcher :
WebCatcher permet d'optimiser la base de données Websense en fonction des besoins.
Les sites visités par les utilisateurs et non reconnus sont automatiquement envoyés à Websense pour
être contrôlés. Les sites appropriés sont alors ajoutés à la base de données.
La base de données Websense utilise WebCatcher pour s'adapter aux habitudes de navigation de
l'entreprise.
Base de données Websense Master
Elle se compose de 4 catégories et sous-catégories :
Coeur de la base : une trentaine de catégories : Avortement, Section pour adultes, Commerce et
économie, Drogues, Divertissements, Jeux, Racisme, Religion, Violence, ...
Premium Group I (PG I) <=> Gestion de la productivité
• Publicités ;
• Téléchargements de logiciels gratuits ;
• Messagerie instantanée ;
• Groupes et clubs de discussion ;
• Bourse en ligne ;
• Sites de navigation rémunérée.
Premium Group II (PG II) <=> Gestion de la bande passante
• Radio et télévision Internet ;
• Téléphonie Internet ;
• Partage de fichiers ;
• Médias diffusés en direct ;
• Stockage/sauvegarde en réseau de données personnelles.
Premium Group III (PG III) <=> filtrage anti-virus
• Contrôle des scripts (Java Scripts, ActiveX, ...).
Abonnement
La "liste noire" de WebSense est composée de 2.7 millions de sites. Cette liste est mise à jour par téléchargement
automatique de la base de données (5000 URLs sont rajoutées/modifiées quotidiennement). Le mode de
sélection des URLs repose sur un calcul de coefficient :
Un coefficient de redondance est calculé pour une série de mots-clés. Par exemple la recherche de sites
appartenant à la catégorie politique, les mots clés les plus explicites pouvant être :
extrême/droite/gauche/front/national/communiste/socialiste). Un coefficient est calculé pour tous les mots
présents sur le site.
Si au moins 80%
des mots clés sont
présents sur le site
Si le coefficient est
compris entre 60 et
80%,
CNAM - Ingénieur
alors l'URL est automatiquement rajoutée dans la liste noire.
le site est visité par une équipe de WebSense pour valider l'appartenance ou non à une
catégorie. La série de mot-clés dépend de la langue choisie pour le filtrage: Français,
Anglais, Russe, Allemand,... Environ 2% d'erreurs sont générés par cette méthode.
Page 31/43
le coefficient est de les URLs sont visualisées par les équipe de WebSense, ce qui réduit considérablement le
60%,
risque d'erreur.
CNAM - Ingénieur
Page 32/43
Webwasher
Site Web :
Il a été développé par une société allemande, du groupe Siemens (spécialisée dans le filtrage d'URLs et
la suppression des bannières publicitaires). Moins connu, le produit présente des fonctions intéressantes et utilise
la technologie ICAP. Les proxy doivent intégrer ce protocole de communication pour supporter WebWasher.
Abonnement : L'implémentation de nouvelles URLs à la "liste noire" repose sur la technique DynaBlocator
(Filtrage reconnu comme très performant) qui utilise la technique de reconnaissance d'images sur Internet (cf:
Cobion). L'outils est indépendant de la langue. On télécharge ensuite automatiquement une mise à jour de la
base.
TrendMicro Interscan WebManager
Site Web :
Squidguard (Gratuit
pornographiques)
-
Axé
sur
les
sites
à
caractères
Editeur : Groupe de développeurs [Pal Baltzersen et Lars Erik Haland (Danemark)]
OS : Fonctionne sur tous les Linux à condition d'avoir déjà installé le proxy Squid.
Site Web :
http://www.squidguard.org/
Qu'est-ce que SquidGuard ?
SquidGuard est un plug-in de Squid. Ce plug-in permet le filtrage d'URL, la redirection de
requêtes HTTP et la mise en place de contrôles d'accès.
SquidGuard est :
CNAM - Ingénieur
Page 33/43
- libre (dans ce cas c'est synonyme de gratuit)
- super configurable
- extrêmenent rapide
- d'installation relativement simple
SquidGuard peut être utilisé pour :
- bloquer l'accès à des sites référencés comme "illégaux" (porno, xenophobe, pédophile, ...)
- bloquer l'accès à des URL qui correspondent à une liste d'expressions régulières ou de mots
(ex : bloquer les .exe, les .avi, ...).
- rediriger les sites bloqués vers un script CGI personnalisable (pour avertir l'utilisateur de la
raison pour laquelle il ne peut visualiser ce site).
- rediriger les utilisateurs non enregistrés vers un formulaire d'enregistrement =>
simplification de l'administration.
- remplacer les bannières de certains sites par des images GIF vides.
- faire des règles d'accès selon l'heure, le jour de la semaine, ...
- toutes les règles précédentes peuvent être gérée par utilisateur ou par groupe d'utilisateurs.
Ce que SquidGuard ne peut pas faire :
- SquidGuard n'est pas un filtre de contenu... c'est juste un filtre d'URL.
Ainsi, on ne peut pas faire des règles de filtrage sur le contenu de la page web
visualisée.
- SquidGuard ne permet pas non plus de faire des filtres sur les scripts contenus dans les pages
web (JavaScript, VBscript, ActiveX, ...)
CNAM - Ingénieur
Page 34/43
Watsoft Gatefilter (couplé à Wingate)
Site Web :
CNAM - Ingénieur
Page 35/43
Network appliance Smartfilter (couplé à au proxy Netcache)
Editeur : SMARTFILTER
OS : Linux, Microsoft Windows 2000, Microsoft Windows NT, Sun Solaris
http://www.securecomputing.com/
Site Web :
Description du fonctionnement : SmartFilter s'installe sur différents types de serveurs proxy. Toutes les
requêtes de pages Web passent d'abord par les process SmartFilter et sont instantanément comparées à
la politique de filtrage en place (via le SmartFilter Control List).
Les requêtes sont alors acceptées, refusée, différées , redirigées ou acceptées moyennant l'acceptation
consciente de l'utilisateur.
Options de filtrage :
Classements de 2 millions de sites selon 30 catégories ;
Gestion des URL et des IP ;
Gestion du trafic HTTP et HTTPS ;
Possibilité de filtrer sur des mots clef ;
Filtrage par tranches horaires/jour de la semaine, ...
Automatisation et planification des rapports ;
11 langues possibles ;
Des 10 aines de rapports prédéfinis.
Rapports :
Abonnement : Sur simple abonnement, le proxy va automatiquement (ex: 1 fois par semaine) mettre à jour une
liste d'URLs (10 Millions de sites). Ces sites sont regroupés dans 26 catégories distinctes: (sexe, sport, drogue,
politique, humour, violence,..).
La "liste noire" d'URLs est composée de 2 fichiers
- wtcontrol (contient la liste des URLs par catégorie)
- wtcntldr (contient les noms de domaines et adresses IP résolues d'URLs)
Le filtrage d'URLs s'appuie sur les noms pleinement qualifiés des URLs ( http://www.xxxx ) et sur les
adresses IP (http://124.534.34.54).
Pour répertorier les "listes noires", SmartFilter travaille avec Rulespace, société spécialisée dans la
recherche des URLs sur Internet. SmartFilter utilise des techniques automatisées qui recherchent sur le Web les
sites, puis ces derniers sont ensuite visualisés par l'équipe technique afin de décider le blocage d'URLs. Quelques
URLs sont aussi soumises par des clients souhaitant intégrer des URLs à la "liste
noire".
L'abonnement est d'une durée de 1, 2 ou 3 an(s) et le prix dépend du nombre d'utilisateurs connectés au
proxy puis renouvelable tous les ans.
CNAM - Ingénieur
Page 36/43
Surfcontrol Web filter
Site Web :
CNAM - Ingénieur
http://www.surfcontrol.com/
Page 37/43
8E6 R2000
Site Web :
http://www.8e6technologies.com
Simply the fastest filtering available
At 8e6 we have designed our filtering servers to provide maximum throughput. That's why we
are the choice of the largest corporations and school districts. Many filtering technologies
cause considerable network slowdown when they are doing their job of filtering Internet
access. However, the R2000 is a network server that is placed outside the flow of network
traffic to "watch" rather than "stop and check" website requests. The result is virtually no
slowdown of network traffic, even in heavy traffic situations.
Works in any network configuration
8e6's Ethernet-compatible servers can be integrated in any network with virtually unlimited
configuration options. The 8e6 R2000 operates by watching requests on Ethernet networks
and easily adapts to any TCP network to handle millions of user requests with no throughput
degradation or connection interference. There is no need to reconfigure your browser or
router, or modify existing network hardware infrastructure.
Ease of Installation
If you've got Ethernet, we have your filter. Our multiple installation options allow filtering to
take place where and how you want it! Each R2000 comes with full documentation and a
user-friendly "Quick Start" guide to make installation quick, easy and reliable.
The most effective filtering database
A European Commission that invested 7.1 man-years testing Internet filters recently ranked
8e6 "Number 1" worldwide in filtering effectiveness. Our library of categories is one of the
oldest and most complete in the filtering industry. Each day a combination of automatic
"crawler" technology and human verification seek out, verify and categorize unwanted
websites. Each night library updates are downloaded to your R2000 to ensure that the most
up-to-date listing of websites is available to filter unwanted content in your installation.
Manage Internet Access
The 8e6 R2000 manages content access ports that lead to non-work related or offensive sites:
Web/FTP - Manages access to websites (HTTP) and file transfer (FTP) requests.
Search Engines - Denies searches using pre-selected words within Internet Search Engines
Newsgroup (NTTP) - Halts access to inappropriate newsgroups by monitoring all newsgroup
requests.
TCP Port Blocking - Useful in filtering services such as Napster, RealAudio and RealPlayer.
Anonymizers - Blocks public proxy services specifically designed to circumvent filtering
solutions, including SafeWeb/TriangleBoy.
Custom Profiling
The 8e6 R2000's selective filtering option allows you to customize profiles for your
installation's needs by first choosing from 8e6 Technologies' extensive library of categorized
websites and then by augmenting this with custom sites. The millions of websites in the 8e6
URL database are conveniently categorized into 35 categories that can be selectively blocked.
Individual sites can be passed or blocked simply by adding them in the "white list" or "black
list" options. This combination of both categories and supplemental lists gives you the most
CNAM - Ingénieur
Page 38/43
flexible solution available.
Failsafe Operation
Since the R2000 is a stand-alone server operating outside of your network's critical path, its
operation does not affect overall network performance. Should the R2000 stop operating for
any reason, your network is unaffected.
User/Group Profiles
Administrators can select different Internet access criteria for individual users or groups of
users. This feature allows selected users to access categories or sites that others can not. For
example, access to employment and job websites might be blocked for all users except those
in the Human Resources department.
Remote Control Capability
The 8e6 R2000 allows administrators to set up authentication and control screens using
standard HTML/CGI for access through a web browser. This allows the R2000's control to be
integrated into a network's existing control panels for seamless integration into your current
network management structure.
Customer Support
8e6 Technologies offers its customers support through our dedicated service technicians. Our
trained staff can diagnose and correct your issue quickly and efficiently through phone
conversations and direct access to your 8e6 R2000.
Supported Features:
•
Plug & Block
•
Customizable individual filtering profile for end users
•
Invisible, router or firewall mode
•
VPN capability, supports IP/IP Tunneling
•
Unprecedented scalability
•
•
•
•
•
Denies access to pre-selected Internet Web sites (HTTP);
Internet FTP sites (FTP); Internet Newsgroup sites (NNTP);
and denies searches using pre-selected words within Internet
Search Engines
Prevents access to selective ports (services) such as IRC
chat, ICQ, Real Video, Real Audio, etc.
Automatically filters proxy servers which prevents bypassing
the system
Integrates with RADIUS module for authenticatio
Automatic daily library updates of new categorized
sites
•
Selective category filtering
•
Selective user/group filtering by IP
•
Individual filtering profiles for dynamic IPs
•
•
Detailed reporting of Internet usage, by user or by
organization
Fail-safe
Supports multiple Access Denied Messag
routing
How it Works
Filtering technologies are divided into two types: Pass-through (server plug-in based) and Pass-by (standalonebased). Many networks operate in a pass-through environment, that creates "slow" points in the flow of data.
Filtering solutions placed within a pass-through environment creates additional speed bumps and even a choke
point if network traffic exceeds certain capacity levels. Pass-by solutions such as the R2000 are placed outside
the flow of network traffic. It "watches" rather than "stops and checks" Web site requests. The result: no
slowdown, even in heavy traffic situations. Most importantly, it doesn't create a point of failure.
CNAM - Ingénieur
Page 39/43
This diagram illustrates the 8e6's Pass-by filtering technology that removes the R2000 from any inclusion in the
network connection path.
(1) Inappropriate request is sent by user
(2) R2000 monitors request as it passes through the hub/switch
(3) R2000 matches the request against its database
(4) If the website requested finds a match in the database, a TCP reset is sent to the web server to kill the session
(request) and a block page is sent to the client
Comparatif
Produits
Symantec Web
Security
Websense Internet
Filtering
Interscan Manager
Squidguard
Gatefilter
Smartfilter
CNAM - Ingénieur
Société
Comp
at
ICAP
Black
List
White
List
Filtrage
par mot
clé
Filtre par
extension de
fichiers
Gestion de
profils
Reporting
Symantec
Websense
Trendmicro
Watsoft
Network
Appliance
Page 40/43
Filtrage sur poste client
AOL Parent Filter
Site Web :
Le module de contrôle parental est intégré dans la navigateur AOL. Les parents peuvent paramétrer l’accès aux
contenus et aux fonctionnalités selon l’âge et la maturité de leurs enfants (« moins de 12 ans » et
« adolescents »).
Mac Afee Internet Filter
Site Web :
Symantec
Site Web :
CNAM - Ingénieur
Page 41/43
Conclusion
Le filtrage des sites est-il suffisant ?
Les risques liés à Internet ne se limitent pas aux contenus choquants de certains sites. Les forums de discussions
ou les "chats" (dialogue en direct) des messageries instantanées peuvent aussi représenter un danger si l'enfant
n'est pas suffisamment informé et accompagné. Des réseau pédophiles ou des sectes peuvent essayer d'entrer en
contact avec les enfants dans les forums.
Autre danger : les sites de commerce électronique qui essayent de convaincre es enfants avec des offres
alléchantes. Certains essayent même de récolter des informations confidentielles à des fins marketing.
CNAM - Ingénieur
Page 42/43
Sites de référence
http://www.securite.teamlog.fr
http://www.websense.com/products/why/misuse.cfm
How Countries Are Regulating Internet Content :
http://www.isoc.org/isoc/whatis/conferences/inet/97/proceedings/B1/B1_3.HTM
News :
http://www.saferinternet.org/news/francais.asp
Chiffres sur Internet :
http://www.journaldunet.com/chiffres-cles.shtml
CNAM - Ingénieur
Page 43/43

Filtrage d`URL (Rapport)

Transcription

Documents pareils

La gestion de l`Internet

1. Navigateurs pour enfants 2. Filtres pour navigateurs et applications

Contrôle parental cours #2 - Le portail de formation en ligne des

Séance 4 - master EEI « projets européens

FP - GÉRER LES PARAMÈTRES DE LA MESSAGERIE

CAPPELLETTI Laurent Professeur titulaire de chaire au

Logiciels et sites en mathématiques

Consignes CGF circulation et inondations à Djeddah

Méthodes d`analyse d`image