Filtrage d`URL (Rapport)
Transcription
Filtrage d`URL (Rapport)
Les outils de filtrage d’URL Arnaud Bauer CNAM 2003 Les outils de filtrage d'URL Introduction En 2003, selon IDC1, 272 millions d'employés ont accès à Internet. Face à cette croissance et à cette démocratisation de l'accès Internet, les entreprises cherchent à gérer et à contrôler la navigation Internet. En effet, comme toutes nouvelles technologies, l'utilisation d'Internet peut dévier de son cadre initial. Certaines statistiques sont éloquentes (Source Internet) : Durant la période de travail 9h à 17h, on constate : - 70% du trafic pornographique (Source Internet) - 30 à 40% des sites visités sont non professionnels (Source IDC) - 60% des achats en ligne sont effectués (Source Nielsen/Netratings) En fonction du type de site Web, de l'heure, du demandeur et de la politique interne, l'entreprise souhaite adapter l'utilisation d'Internet par ses employés. De son coté, le particulier souhaite aussi protéger sa famille lorsque celle-ci navigue à Internet. Les outils dits de "Filtrage d'URL" ou "Filtrage de contenu" ont été conçus dans ce sens. Dans le monde de l'informatique, ces technologies sont regroupées sous l'appellation, "Employee Internet Management". A qui s'adresse ce dossier ? Bien que rédigé dans le cadre de l'unité de valeur CNAM - Ingénieur en informatique, ce document a été écrit dans le but d'être compris par les non experts et intéressants pour ceux qui connaissent le monde de l'informatique et de l'Internet. Guide de lecture L'objet de ce dossier est d'expliquer de manière précise et en termes simples comment fonctionnent les outils de filtrage d'URL, quels en sont les enjeux ainsi que les produits disponibles sur le marché. 1 IDC : Cabinet de conseil et d’études sur les marchés des technologies de l’information CNAM - Ingénieur Page 2/43 Les outils de filtrage d'URL Sommaire Introduction _____________________________________________________________________________ 2 A qui s'adresse ce dossier ? ______________________________________________________________ 2 Guide de lecture _______________________________________________________________________ 2 Chapitre 1 - Internet en quelques mots ________________________________________________________ 5 Définitions ____________________________________________________________________________ INTERNET = INTER-NETwork (Inter-réseaux) _____________________________________________ Quelques chiffres _____________________________________________________________________ Réglementer Internet - Est-ce possible ?____________________________________________________ 5 5 6 6 Pourquoi restreindre l'accès à Internet ? ___________________________________________________ 7 Objectifs ____________________________________________________________________________ 7 Législation___________________________________________________________________________ 8 Chapitre 2 - Le filtrage d'URL______________________________________________________________ 10 Comment filtrer ? _____________________________________________________________________ Contexte ___________________________________________________________________________ Gestion de profils __________________________________________________________________ Architecture sans authentification ____________________________________________________ Architecture avec authentification____________________________________________________ Les techniques_______________________________________________________________________ Filtrage statique défini par l'administrateur_______________________________________________ Liste blanche (White list) : _________________________________________________________ Liste noire (Black list) :____________________________________________________________ Filtrage des extensions de fichiers____________________________________________________ Quelle est l'efficacité du filtrage statique? _____________________________________________ Filtrage par thème __________________________________________________________________ Les thèmes______________________________________________________________________ Mise à jour de la base de données ____________________________________________________ Quelle efficacité ? ________________________________________________________________ Filtrage de contenu _________________________________________________________________ Comment cela fonctionne-t-il ?______________________________________________________ Quelle efficacité ? ________________________________________________________________ Filtrage de contenu visuel __________________________________________________________ Autres types de filtrage ______________________________________________________________ Blocage des adresses non résolues ___________________________________________________ Les normes d’évaluation de contenu des sites Internet ________________________________________ Le barême d'étiquetage RSACi ________________________________________________________ Qu'est-ce que le système PICS ? _______________________________________________________ Définition ______________________________________________________________________ Comment ca marche ? _____________________________________________________________ Les arguments pour l’auto-étiquettage des sites par les auteurs _____________________________ Listes CyberYES / CyberNOT ________________________________________________________ Définition ______________________________________________________________________ CyberYES ______________________________________________________________________ CyberNOT______________________________________________________________________ Le projet NetProtect ________________________________________________________________ 11 11 11 11 11 11 11 11 11 11 12 13 13 13 13 13 13 13 14 15 15 15 15 16 16 16 16 17 17 17 17 18 A quel niveau filtrer ? __________________________________________________________________ Filtrage sur le point d'accès à Internet _____________________________________________________ Proxy URLF (URL Filtering - Filtrage d'URL) ___________________________________________ Fonction proxy __________________________________________________________________ Fonction URL Filtering (Filtrage d'URL) ______________________________________________ Autres fonctions possibles__________________________________________________________ Routeur filtrant ____________________________________________________________________ Le protocole ICAP (Internet Content Adaptation Protocol) __________________________________ 20 20 20 20 21 22 23 23 CNAM - Ingénieur Page 3/43 Les outils de filtrage d'URL Quels sont les objectifs du protocole ICAP ? ___________________________________________ Application de ICAP au filtrage d'URL _______________________________________________ Exemple de dialogue entre un proxy et un serveur de filtrage en ICAP _______________________ Filtrage sur le poste client ______________________________________________________________ Offre grand public : Le filtrage parental _________________________________________________ Filtrage professionnel _______________________________________________________________ Comment ca marche ?_______________________________________________________________ 23 23 23 25 25 25 25 Chapitre 3 - Les produits du marché _________________________________________________________ 26 Filtrage sur point d'accès Internet________________________________________________________ Symantec Web Security (anciennement appelé I-Gear) _______________________________________ Content Filtering with Blue Coat Systems _________________________________________________ WebSense Internet Filtering ____________________________________________________________ Webwasher _________________________________________________________________________ TrendMicro Interscan WebManager ______________________________________________________ Squidguard (Gratuit - Axé sur les sites à caractères pornographiques)____________________________ Watsoft Gatefilter (couplé à Wingate) ____________________________________________________ Network appliance Smartfilter (couplé à au proxy Netcache) __________________________________ Surfcontrol Web filter _________________________________________________________________ 8E6 R2000 _________________________________________________________________________ How it Works _______________________________________________________________________ Comparatif _________________________________________________________________________ 27 28 29 30 33 33 33 35 36 37 38 39 40 Filtrage sur poste client ________________________________________________________________ AOL Parent Filter ____________________________________________________________________ Mac Afee Internet Filter _______________________________________________________________ Symantec___________________________________________________________________________ 41 41 41 41 Conclusion _____________________________________________________________________________ 42 Sites de référence ________________________________________________________________________ 43 CNAM - Ingénieur Page 4/43 Les outils de filtrage d'URL Chapitre 1 - Internet en quelques mots Définitions INTERNET = INTER-NETwork (Inter-réseaux) Comme son nom l'indique, INTERNET est un ensemble de réseaux interconnectés afin de permettre l'accès à des ordinateurs à n'importe quel point du globe. Ce n'est pas un réseau géré par une seule entité administrative, une seule société, ou un seul gouvernement mais il est constitué de la jointure de plusieurs réseaux sous la responsabilité d'opérateurs informatique du monde entier. De ce fait, il en est difficile d'avoir un œil sur les ordinateurs qui y sont raccordés, de savoir qui y est connecté et ce qui est mis à disposition. Avant de commencer, définissons les termes clés d'Internet : Qu'est-ce qu'un site Web ? Un site web (ou site Internet) est un endroit sur Internet où l'on peut trouver des informations, des images, des fichiers… Physiquement, c'est un répertoire d'un ordinateur connecté à Internet. Pour accéder à cette machine, il faut connaître son adresse (c'est-à-dire son URL - Uniform Ressource Locator). Cette adresse est sous la forme http://www.xxx.org. Qu'est-ce qu'un moteur de recherche ? Si vous ne connaissez pas l'adresse d'un site mais que vous savez ce que vous cherchez, il existe des sites Internet, appelés moteurs de recherche, permettant de trouver les sites Internet parlant de ce que vous recherchez. Les plus connus sont Google (http://www.google.fr), Altavista (http://www.altavista.fr),… Ces "moteurs de recherche" parcourent en permanence Internet et mémorisent les mots présents dans les pages disponibles sur Internet. Ainsi, lorsque vous recherchez des informations sur un thème, le moteur de recherche vous renvoie les sites ayant des mots en rapport avec ce thème. CNAM - Ingénieur Page 5/43 Les outils de filtrage d'URL Quelques chiffres En octobre 2002, on dénombrait un peu plus de 35 millions de sites Internet. Ci-dessous, un extrait d'article trouvé sur le net parlant du "cyber-sexe": Source : http://www.asiaflash.com/astro-sexe/sexe_porno_02.shtml […] Si vous tapez sexe ou pornographie, le Net vous offrira 14.531.000 pages de porno dont 12.456.170 en Anglais et 173.000 en Français. Fin 1999, au hit parade des mots les plus cliqués en France, arrivait dans l'ordre : sexe, sexe gratuit, gros seins, MP3 (moteur pour sites musicaux), zoophilie, gay, puis emploi, musique. Sur 45.000 sites pornos répartis dans le monde, 200 sites professionnels sont Français + 7.000 sites amateurs. A ce nombre on ajoutera les "espaces d'expression libre" et une foule de sites où se côtoient rarement le meilleur et plus souvent le pire. Le Net est même devenu le salon préféré des pédophiles qui y papotent et tripotent dans la plus grande discrétion et des pervers en tous genres. On a retrouvé le Paradis perdu, c'était le Cybersexe où l'Homme et la Femme, peuvent croquer les fruits défendus. […] Réglementer Internet - Est-ce possible ? CNAM - Ingénieur Page 6/43 Les outils de filtrage d'URL Pourquoi restreindre l'accès à Internet ? Objectifs Ne pas saturer le lien raccordant l'entreprise à Internet : Pour pouvoir être raccordée à Internet, l'entreprise s'adresse à un "Fournisseur d'Accès à Internet" (ou FAI) et souscrit un contrat louant ainsi une "ligne réseau" possédant une taille définie et fixe. La "bande passante" (taille du lien loué) étant proportionnelle au prix payé par l'entreprise, cette dernière souhaite que son utilisation reste professionnelle. L'accès sans restriction à Internet est souvent accompagné d'effets que l'entreprise ne recherche pas. Les employés sont tentés d'utiliser l'accès Internet de l'entreprise (souvent plus rapide qu'à leur domicile), pour effectuer des téléchargements de plusieurs dizaines voire centaines de méga-octets (Logiciels, musique au format MP3, films…). Il en résulte que l'utilisation professionnelle de l'accès Internet est très perturbé. Réduire la part d'utilisation d'Internet consacré à l'usage privé : Comme indiqué au paragraphe précédent, l'entreprise, en règle général, souscrit un accès Internet afin d'accéder à des informations, ressources ou outils plus simplement. Selon certains instituts de sondage, 50 % des utilisateurs reconnaissent passer plus d'une heure par jour sur Internet à des fins non professionnelles. Consommation de Internet aux différents moments de la journée 40 30 20 10 0 Avant 6h 6h-8h 8h-10h 10h-12h 12h-14h 14h-18h 18h20h 20h22h30 Après 22h30 Horaires CNAM - Ingénieur Page 7/43 Les outils de filtrage d'URL France : fréquence de connexions en millions d'internautes par lieu d'accès Pages vues par mois Tous les jours ou presque : les assidus A domicile Au travail Dans d'autres lieux 52% 45% 8% Plus d'une fois par mois : les réguliers 44% 47% 65% Une fois par mois et moins souvent : les occasionnels 4% 8% 27% Total 100% 100% 100% Information trouvée sur le site www.surfcontrol.com : Vingt minutes de navigation Internet à des fins personnelles par jour, peut coûter à une société de 100 personnes, au bout d’une semaine, jusqu’à 8000 dollars (à raison de 50 dollars par heure et par employé). Réserver l'accès Internet à l'accès à certains sites : Certaines entreprises se raccordent à Internet afin de bénéficier de certains services moins chers (Exemple : Le Minitel) ou uniquement accessible par ce biais. Ainsi, en souscrivant un accès Internet, elles veulent aussi empêcher leurs employés d'accéder à d'autres sites. Interdire l'accès à certains sites ou à certains types de site : être en conformité par rapport à la morale de l'entreprise. Beaucoup de virus entrent sur les réseaux d’entreprises par le biais de services de messagerie Web (Type www.caramail.com) ou du fait de téléchargement de fichiers. Référence : http://www.journaldunet.com/chiffres-cles.shtml Législation Dans certains cas, notamment les entreprises ou institutions qui offrent un moyen d'accès à Internet à des mineurs, il est obligatoire d'avoir un filtrage d'URL permettant de les empêcher d'aller sur des sites à caractère pornographique ou appelant à la violence. Il est également interdit aux entreprises quelles qu'elles soient d'offrir un accès à des images à caractère pédophile (notamment). Si de telles images sont récupérées sur Internet et diffusées en interne, l'entreprise (donc ses dirigeants) est légalement responsable. L'article suivant est l'article 227-24 du code pénal, section 5 : de la mise en péril des mineurs. "Le fait soit de fabriquer, de transporter, de diffuser par quelque moyen que ce soit et quel qu'en soit le support un message à caractère violent ou pornographique ou de nature à porter gravement atteinte à la dignité humaine, soit de faire commerce d'un tel message, est puni de trois ans d'emprisonnement et de 500 000F d'amende lorsque ce message est susceptible d'être vu ou perçu par un mineur. Lorsque les infractions prévues au présent article sont soumises par la voie de la presse écrite ou audiovisuelle, les dispositions particulières des lois qui régissent ces matières sont applicables en ce qui concerne la détermination des personnes responsables." CNAM - Ingénieur Page 8/43 Les outils de filtrage d'URL Qu’en est-il de la responsabilité des hébergeurs ? Le 13 juin 2001 a été présenté, en Conseil des Ministres un projet de loi sur la société de l'information. Les hébergeurs et fournisseurs d'accès ne sont pas tenus à une obligation générale de surveillance des contenus véhiculés sur les réseaux Les hébergeurs sont susceptibles d'engager leur responsabilité civile s'ils ne retirent pas un contenu dont ils ont effectivement connaissance du caractère manifestement illicite Le juge dispose de moyens renforcés pour faire cesser la mise à disposition de contenus illicites Les fournisseurs d'accès et les opérateurs de cache ne peuvent voir engager leur responsabilité du fait de contenus qu'ils se bornent à transmettre ou à stocker temporairement CNAM - Ingénieur Page 9/43 Les outils de filtrage d'URL Chapitre 2 - Le filtrage d'URL Pour répondre aux besoins cités dans le chapitre précédent ("Pourquoi filtrer ?"), les sociétés, déjà spécialisées dans les outils sécurisant et optimisant les accès Internet, ont mis au point des systèmes analysant le comportement des utilisateurs sur Internet. Ce chapitre se propose d'étudier le fonctionnement de ces outils et leur implantation dans le réseau de l'entreprise. On trouve deux types d'implantation : Le plus répandu dans les entreprises est le filtrage sur le point d'accès Internet. Point de passage obligatoire pour les utilisateurs souhaitant accéder à Internet, il soumet les employés à un filtrage obligatoire associés à une politique de sécurité définie par les administrateurs du réseau de l'entreprise. Le filtrage d'URL ne s'adressant pas qu'aux professionnels, il est possible d'implémenter des logiciels de filtrage d'URL sur le poste accédant à Internet. Cette solution est préconisée pour les professionnels utilisant des postes directement raccordés à Internet par le biais d'un modem ou pour les particuliers sur leur ordinateur familial. CNAM - Ingénieur Page 10/43 Les outils de filtrage d'URL Comment filtrer ? Contexte Gestion de profils Dans le cadre d'un filtrage sur un point d'accès Internet, deux modes sont possibles : avec ou sans authentification. Architecture sans authentification Dans ce type d'architecture, les personnes navigant sur Internet ne s'authentifie pas. Par conséquent, il ne peut y avoir qu'une seule politique de filtrage pour l'ensemble de la société. Architecture avec authentification Dans ce type d'architecture, le logiciel de filtrage d'URL demande à l'utilisateur de saisir un code utilisateur pour pouvoir accéder à Internet. Il est donc possible au niveau du logiciel de filtrage d'URL, d'adapter les règles d'interdiction ou d'autorisation en fonction de la personne/ ou du groupe auxquelles elle appartient. Les techniques Filtrage statique défini par l'administrateur Grâce à au filtrage statique, l'administrateur de l'accès Internet peut autoriser ou refuser l'accès à : - des sites bien précis (http://www.xxx.org) - des répertoires particuliers de sites (http://www.xxx.org/photos) - des pages de sites précises (http://www.xxx.org/toto.html) - des domaines entiers (xxx.org) Pour cela, on utilise les termes "liste blanche" et "liste noire". Liste blanche (White list) : L'administrateur définit une liste de sites accessibles par les employés. Avantage : Réduit efficacement l'usage de l'accès Internet Inconvénients : - Diminue l'intérêt d'Internet comme source importante d'information - Si le site autorisé renvoie sur un autre site non explicitement autorisé, l'utilisateur n'aura pas accès à l'information (Exemple : www.toto.fr renvoie vers www2.toto.fr). Liste noire (Black list) : L'administrateur définit une liste de sites interdits Avantage : Permet de filtrer les accès des sites particulièrement gourmand en bande passante (Suivi boursier comme www.boursorama.fr) ou des sites de recrutement de la concurrence. Inconvénients : - Ne permet de filtrer par thème Filtrage des extensions de fichiers CNAM - Ingénieur Page 11/43 Les outils de filtrage d'URL Certains outils de filtrage d'URL permettent d'empêcher le téléchargement de fichiers par analyse de leur extension. Exemple : Interdire le téléchargement de : - fichier .EXE, .EIP, .HQX => Risque de virus - fichier .AVI, .MOV, .MPEG, .MP3 => Risque de saturation de bande passante Quelle est l'efficacité du filtrage statique? CNAM - Ingénieur Page 12/43 Les outils de filtrage d'URL Filtrage par thème Les fournisseurs de solutions de filtrage d'URL propose en général un service complémentaire de recensement et de classification des sites Internet par thème. Il est donc possible à l'administrateur de définir des listes blanches et/ou noires, non plus par rapport à des sites particuliers mais par rapport à des thèmes. Les thèmes Alcool/Tabac Crime Drogue Distraction/Sports Distraction/Jeux Finance Jeux/Casino Humour Chat (IRC) Mail Intolérance Recherche d'emploi Informations Sciences occultes Automédication Immobilier Religion Sexe/Actes Sexe/lingerie Sexe/Nudité Sexe/Information Armes Sexe/Services … Voyages Vehicules Violence Un thème peut être découpé en sous-thèmes permettant un fitrage encore plus adapté. Par exemple, si vous ne souhaitez autoriser que les sites parlant du sexe mais sur le plan de la prévention, c'est possible en autorisant seulement le thème Sexe/Information. Le nom des catégories n'est pas standardisé. Mise à jour de la base de données De plus, il n'existe pas une base unique de recensement/classification des sites Internet. Besoin de classification des sites Web Quelle efficacité ? Pendant longtemps, ces listes étaient gérées par des sociétés/groupes américains. Filtrage de contenu Le filtrage de contenu est aussi appelé "Filtrage par dictionnaire". Comment cela fonctionne-t-il ? Le logiciel de filtrage d'URL est équipé d'un ou de plusieurs dictionnaires (en général un par langue). Chaque mot du dictionnaire se voit attribué un poids. Ainsi, en faisant la somme des poids des mots d'une page HTML, on est capable de déterminer si son contenu est autorisé ou refusé. Le système de calcul tient compte du contexte dans lequel les mots sont utilisés, c'est à dire qu'il tient compte des associations de mots pour augmenter ou diminuer la taille de la page Tout comme les listes d'URL répertoriés par thème, ces dictionnaires doivent être souvent mis à jour. Exemple : Quelle efficacité ? CNAM - Ingénieur Page 13/43 Les outils de filtrage d'URL Filtrage de contenu visuel Le filtrage de contenu peut être basé sur un filtrage par analyse des images téléchargées. Ci-dessous un schéma de fonctionnement trouvé sur le site http://www.ltutech.fr, fournisseur d’une solution de filtrage (Image Filter). CNAM - Ingénieur Page 14/43 Les outils de filtrage d'URL Autres types de filtrage Blocage des adresses non résolues Interdiction de pages associées à des serveurs Web ne possédant pas de non de domaine. En effet, si il est simple de raccorder un serveur à Internet, il est un peu plus long d'obtenir un nom de domaine. Ce type de filtrage permet un accès Exemple : http://128.0.6.7/toto.html Les normes d’évaluation de contenu des sites Internet Le barême d'étiquetage RSACi L'organisme RSAC (Recreational Software Advisory Council) a été conçu à l'origine pour classer les jeux vidéos afin de permettre aux parents de choisir des jeux vidéos adaptés à leurs enfants. Mais cet organisme a étendu son champ d'action à la classification des contenus Internet et a défini la classification RSACi, gratuite (on parle aussi de vocabulaire RSACi). RSACi a été notamment intégré dans le navigateur Internet Explorer et dans Netscape Navigator. Ce vocabulaire est largement utilisé aux Etats-Unis et en Europe. Il est constitué de 4 catégories, chacune découpée en 5 niveaux. Niveau Violence 0 Aucune violence 1 Combats 2 Tueries Nudité Aucun Tenue révélatrice Nudité partielle 3 Tueries sanglantes et détails choquants Nudité de face 4 Violence gratuite et cruelle Nudité de face provocatrice Sexe Aucun Baisers passionnés Attouchement sexuels sans nudité Attouchements sexuels non explicites Activité sexuelle explicite Langue Argot inoffensif Jurons très modérés Jurons modérés Gestes obscènes Langage grossier et explicite Le RSAC a été transformé en 1999 en ICRA (Internet Content Rating Association). Abandonnant le barème RSACi, l’ICRA s’appuie maintenant sur le standard PICS (Platform for Internet Content Selection). http://www.icra.org CNAM - Ingénieur Page 15/43 Les outils de filtrage d'URL Qu'est-ce que le système PICS ? Définition L'acronyme PICS signifie Platform for Internet Content Sélection, soit plate-forme de sélection de contenu sur internet en français. Ce système a été mis au point par le consortium World Wide Web en 1995. Il permet d'associer une étiquette décrivant le contenu d'un site et de la lire ensuite pour en faciliter le filtrage. Des organismes ont étiqueté des contenus mais les éditeurs de sites internet ont la possibilité d'auto-étiquetter leur site. Comment ca marche ? Dans la page HTML du site Internet, l’auteur indique des informations dans des balises spécifiques appelées balises « méta ». Ces balises contiennent en général une description du contenu du site que les moteurs de recherche utilisent pour référencer le site. <html> <head> <title>Titre de la page</title> <meta name="keywords" lang="fr"content="..., ..."> <meta name="description" lang="fr" content="... "> etc ... </head> <body> ... Contenu de la page ... 1. Le robot scrute vos balises meta </body> 2. Il ramène les renseignements au moteur de </html> recherche 3. Le moteur de recherche met à jour son index Les arguments pour l’auto-étiquettage des sites par les auteurs Les sites commerciaux, dont le contenu ne pose pas ou peu de problèmes, voudront étiqueter leur site de façon à éviter qu'il ne soit bloqué "par défaut". Quand un parent installe le filtre pour son enfant, il ou elle aura l'option d'accepter ou de refuser "les sites non classifiés." La plupart des sites aspirent à recevoir un maximum de visites pour des raisons publicitaires et autres activités commerciales qui y sont liées. Il serait logique que tous les sites commerciaux soient classifiés (étiquetés), que leur contenu puisse être considéré nuisible ou non. Les opérateurs de sites conçus spécifiquement pour les enfants voudront étiqueter leur site, comme quelques moteurs de recherche construisent leur base de données de "sites qui conviennent aux enfants" en se basant sur les étiquettes ICRA. La majorité des opérateurs de sites "réservés aux adultes" sont en général tout aussi désireux de protéger les enfants que n'importe qui. De plus, étiqueter leur site montre clairement aux gouvernements que le World Wide Web est désireux et capable de se réguler lui-même, plutôt que de voir les lourds organes de législation gouvernementaux décider de ce qui est acceptable et de ce qui ne l'est pas. Sur un plan d'égalité, un site qui porte une étiquette ICRA est plus susceptible de susciter la confiance qu'un site sans étiquette. http://www.w3.org/PICS/ CNAM - Ingénieur Page 16/43 Les outils de filtrage d'URL Listes CyberYES / CyberNOT Définition La liste CyberYES est une liste blanche d'URLs autorisées et la liste CyberNot est une liste noire d'URLs interdites. Ces listes sont utilisées dans le logiciel de filtrage Cyber Patrol de Microsoft. CyberYES La liste CyberYES contient des URLS considérées comme appropriées à un public de jeunes enfants. Les différentes catégories sont les suivantes : Jeux et jouets Art, livres et musique Films et télévision Plein air et sports Animaux domestiques Animaux et dinosaures Vacances et voyages Puzzles et passe-temps Travaux scolaires Bénévolat et entraide Documents de référence Ecoles sur le réseau Parents et enseignants CyberNOT La liste CyberNOT est utilisée par CyberPatrol pour bloquer des sites considérés comme inappropriés pour des mineurs. Les différentes catégories de CyberNot sont les suivantes : La violence et la profanation La nudité partielle ou totale Les actes sexuels Les représentations grossières L'intolérance Les cultes sataniques La drogue Le militantisme et l'extrémisme L'éducation sexuelle Les jeux douteux ou illégaux L'alcool et le tabac CNAM - Ingénieur Page 17/43 Les outils de filtrage d'URL Le projet NetProtect NetProtect est un projet en partie fondé par la Commission Européenne et appuyé par des sociétés comme EADS Matra Systèmes et Information (France), Matra Global Services (France), Red Educativa (Espagne), Hypertech (Grèce), et Sail Labs (Allemagne). L’object de Netprotect est de construire le prototype d’un outil capable de filtrer les accès Internet et de prendre en compte le contexte multi-lingue et multi-culturel de la Communauté Européenne. Les différents étapes de réalisation du projet sont les suivantes : - Inventaire des outils et méthodes de filtrage existants sur le marché - Mise au point d’un prototype d’outil « européen » - Test par des spécialistes et des utilisateurs (parents et professeurs) - Conclusion et préparation à la mise au point du produit CNAM - Ingénieur Page 18/43 Les outils de filtrage d'URL En Janvier 2002, le prototype du projet a été livré : Ce prototype hébergé dans les locaux de la société Optenet (Espagne) s’appuie sur un outil d’analyse de texte prenant en compte les langues suivantes : - Grec - Allemand - Français - Espagnol - Anglais et sur un outil d’analyse d’image (LTU IMAGE FILTER). Le produit final filtrera le matériel pornographique dans cinq langues différentes, ainsi que les contenus violents, criminels et haineux. Il couvrira d'autres protocoles tels que le chat, le courrier électronique et les forums de discussion (newsgroups). Les logiciels de filtrage actuels ont été évalués en respectant un certain nombre de critères différents sans changer la configuration standard des différents logiciels. Aucun des logiciels de filtrage analysés n'a satisfait aux critères de l'étude. CNAM - Ingénieur Page 19/43 Les outils de filtrage d'URL A quel niveau filtrer ? On peut considérer qu'il existe deux endroits où le filtrage d'URL est possible. Le premier, le plus utilisé par les entreprises, consiste à filtrer la navigation sur le point d'accès à Internet. Le second, plus à destination du grand public ou entreprise à petits budgets informatiques, est la solution de filtrage au niveau de l'ordinateur. Filtrage sur le point d'accès à Internet Cette solution est souvent celle choisie par les entreprises. Elle permet un filtrage global sur un point unique. Dans cette configuration, deux solutions sont possibles : le proxy filtrant ou le routeur filtrant. Proxy URLF (URL Filtering - Filtrage d'URL) Le proxy URLF est un ordinateur effectuant ayant deux responsabilités : Celle de proxy et celle de filtrage d'URL. Définissons ces deux fonctions. Fonction proxy Le proxy URLF fournit les services d'un proxy "standard", c'est-à-dire qu'il permet de masquer les postes utilisateurs derrière une machine (ou adresse) unique. Ainsi si une attaque est perpétrée, c'est le proxy qui est visé et non pas le poste utilisateur. Internet Une seule adresse visible opur n poste ayant accès à Internet Zone démilitarisée (DMZ) Pare-feu Proxy Réseau Interne CNAM - Ingénieur Page 20/43 Les outils de filtrage d'URL Fonction URL Filtering (Filtrage d'URL) La fonctionnalité de filtrage d'URL couplée à celle du proxy permet de maîtriser les sites accédés et le contenu récupéré. Le proxy jouant le rôle de passerelle entre les utilisateurs et Internet, il voit ce que l'utilisateur demande (l'adresse du site) et le résultat de sa demande (information récupérée d'Internet : pages HTML, fichiers, images…) Internet Analyse de l'URL http://www.xxx.org URL Interdite Une seule adresse visible opur n poste ayant accès à Internet URL Autorisée Zone démilitarisée (DMZ) Pare-feu Téléchargement de la page demandée Proxy URLF Analyse du résultat Contenu Interdit Contenu autorisé Réseau Interne CNAM - Ingénieur Page 21/43 Les outils de filtrage d'URL Autres fonctions possibles En complément de ces fonctionnalités, le proxy peut être équipé d'un : cache : il mémorise les informations obtenues d'Internet pour pouvoir répondre à la prochaine requête identique sans avoir à se re-connecter au serveur Internet Gain en performance un antivirus : il vérifie les ressources téléchargées (HTML, Scripts, Fichiers, ActiveX…) à la recherche de "codes malicieux" ou "virus". Gain en sécurité Ces fonctions ne sont pas forcément implémentées sur la même machine. Il est possible de chaîner ces outils. On parle alors de "Chaîne de proxy" ou "proxy chaining". Internet Une seule adresse visible opur n poste ayant accès à Internet Zone démilitarisée (DMZ) Pare-feu Antivirus Vérification Virus Proxy URLF Vérification de l'URL et du contenu Réseau Interne Ce type d'architecture permet de gagner en sécurité mais au détriment des performances : Lorsqu'un utilisateur formule une requête sur un site Internet : 1 - Le proxy URLF vérifie la validité de la demande - Utilisateur autorisé à naviguer sur Internet - URL autorisé par rapport à la politique de sécurité paramétrée 2 - Le proxy URLF transfère la requête à l'antivirus qui vérifie que celle-ci concorde avec sa politique de sécurité 3 - L'antivirus se connecte au serveur Web demandé et récupère la page demandée (et les objets associés). 4 - L'antivirus vérifie que ce qu'il a récupéré ne contient pas de virus 5 - L'antivirus transfère le résultat au proxy URLF qui vérifie que le contenu de la page est en accord avec la politique de sécurité 6 - Le proxy URLF renvoit la réponse à l'utilisateur. CNAM - Ingénieur Page 22/43 Les outils de filtrage d'URL Routeur filtrant Un routeur peut aussi faire office d'outil de filtrage d'URL. Exemple : La gamme des routeurs Netgear Le protocole ICAP (Internet Content Adaptation Protocol) Le protocole ICAP permet de normaliser le dialogue entre un équipement réseau (comme un proxy) et d'un outil de filtrage (antivirus, filtrage d'URL, cache…) dans un réseau IP. Il définit le dialogue entre le proxy et l'outil de filtrage. ICAP a été créé en 1999 par l'ICAP forum (http://www.i-cap.org). I-CAP forum est né de l'association de Network Appliance (Fournisseur de solutions de cache) et Akamai Technologies. Quels sont les objectifs du protocole ICAP ? Pouvoir adapter les contenus récupérés en fonction des utilisateurs finaux Pouvoir créer une norme de dialogue entre les différents outils de filtrage Réduire les ressources utilisés par ce genre de services. Les premières applications de ce protocole sont le filtrage de contenu, le filtrage antivirus, les serveurs de traduction/transcription "à la volée", insertion de automatique de publicité. Application de ICAP au filtrage d'URL Le client effectue une requête pour une page Web. Le proxy redirige la demande vers le serveur ICAP qui vérifie que cette demande est valide par rapport aux règles de filtrage. Si celle-ci est valide, le serveur ICAP autorise le proxy à envoyer la requête au serveur cible. Sinon, il modifie la requête initiale pour renvoyer le client vers une page HTML d'erreur. icap://icap.net/service?mode=translate&lang=french Les proxys compatibles ICAP envoient une page HTTP intégrant la requête du client et une proposition de réponse à la requête initiale. Le serveur ICAP analyse et renvoie la page telle quelle ou modifiée. Exemple de dialogue entre un proxy et un serveur de filtrage en ICAP Cet exemple est tiré du document de spécification du protocole ICAP (http://) et a été traduit en français. Requete envoyé par le proxy au serveur ICAP : CNAM - Ingénieur Page 23/43 Les outils de filtrage d'URL RESPMOD icap://icap.exemple.org/satisf ICAP/1.0 Host: icap.exemple.org Encapsulated: req-hdr=0, res-hdr=137, res-body=296 Requête ICAP GET /page.html HTTP/1.1 Host: www. Server-demandé.com Accept: text/html, text/plain, image/gif Accept-Encoding: gzip, compress Requête HTTP initiale HTTP/1.1 200 OK Date: Mon, 10 Jan 2000 09:52:22 GMT Server: Apache/1.3.6 (Unix) ETag: "63840-1ab7-378d415b" Content-Type: text/html Content-Length: 51 En-tête HTTP de la réponse proposée 33 Ces informations ont été renvoyés par le serveur Web. 0 Corps HTTP de la réponse proposée Réponse du serveur ICAP après analyse ICAP/1.0 200 OK Date: Mon, 10 Jan 2000 09:55:21 GMT Server: ICAP-Server-Software/1.0 Connection: close ISTag: "W3E4R7U9-L2E4-2" Encapsulated: res-hdr=0, res-body=222 HTTP/1.1 200 OK Date: Mon, 10 Jan 2000 09:55:21 GMT Via: 1.0 icap.exemple.org (ICAP Example RespMod Service 1.1) Server: Apache/1.3.6 (Unix) ETag: "63840-1ab7-378d415b" Content-Type: text/html Content-Length: 92 5c Ces informations ont été renvoyé par le serveur Web et modifié par le serveur ICAP . 0 CNAM - Ingénieur Réponse du serveur ICAP En-tête HTTP modifiée par le serveur ICAP Corps HTTP modifié par le serveur ICAP Page 24/43 Les outils de filtrage d'URL Filtrage sur le poste client Offre grand public : Le filtrage parental Par défaut l'accès aux sites destinés aux adultes est simple. Internet est un formidable outil d'information et d'éducation pour les enfants. Mais il contient aussi de multiples sites à caractère sexuel, violent ou qui incitent à la haine raciale, à la consommation de drogues… Selon une étude européenne menée dans le cadre du projet Dot Safe, 24% des enfants tomberaient accidentellement sur des contenus pornographiques sur le Net. Le "filtrage" ou "contrôle" parental est l'un des outils permettant de protéger les enfants des contenus inadaptés. Ils jouent le rôle de filtre en autorisant l'accès aux pages considérées comme inoffensives mais bloquent les sites qui peuvent choquer l'enfant. Dossier intéressant : http://www.60millions-mag.com/images_publications/349_logiciels_filtrages-ok.pdf Filtrage professionnel Certains produits antivirus sont couplées à des logiciels effectuant du filtrage d'URL. Ainsi par le biais d'une administration distante centralisée, la navigation Internet est directement filtrée au niveau des postes utilisateurs. Comment ca marche ? Faire un schéma d'architecture au niveau du poste. CNAM - Ingénieur Page 25/43 Les outils de filtrage d'URL Chapitre 3 - Les produits du marché Dans le cadre de cette étude, nous nous sommes appuyés sur diverses dossiers trouvés sur Internet. Parlons un peu du marché : En 2001, selon IDC, le revenu associé aux outils de filtrage d'URL se montait à environ 211 millions de dollars (Revenus des licences). Parts de marché des éditeurs de solutions de filtrage web dans le monde (Source IDC) Parts de marché des éditeurs de solutions de filtrage web dans le monde En 2001 SurfControl Websense Symantec Secure Computing N2H2 21,9% 17,6% 7,1% 6,9% 4,6% Comme au chapitre précédent, nous distinguerons les deux types de solutions, celles destinées à être implémentées sur le point d'accès à Internet et celles destinées au poste client. CNAM - Ingénieur Page 26/43 Les outils de filtrage d'URL Filtrage sur point d'accès Internet Nous nous sommes intéressés aux produits suivants : Symantec Web Security WebSense Internet Filtering TrendMicro Interscan WebManager Watsoft Gatefilter Surfcontrol CNAM - Ingénieur Blue Coat Content Filtering Webwasher Squidguard Network appliance Smartfilter 8E6 R2000 Page 27/43 Les outils de filtrage d'URL Symantec Web Security (anciennement appelé I-Gear) Site Web : CNAM - Ingénieur Page 28/43 Les outils de filtrage d'URL Content Filtering with Blue Coat Systems Site Web : CNAM - Ingénieur Page 29/43 Les outils de filtrage d'URL WebSense Internet Filtering Editeur : WEBSENSE OS : RedHat Linux, Microsoft Windows NT4, Microsoft Windows 2000, SUN SOLARIS Site Web : Http://www.websense.com Description du fonctionnement : Websense est produit de filtrage d'URL qui consiste à faire passer toutes les requêtes de pages Web par un point de contrôle Internet tel qu'un pare-feu, un serveur proxy ou un système de cache. Websense s'intègre à ces points de contrôle pour vérifier chaque demande et déterminer si elle doit être autorisée ou refusée. Websense filtre le contenu Internet en utilisant la base de données Websense Master qui répertorie plus de 3,5 millions de sites en 44 langues. Ces sites comportent plus de 800 millions de pages, organisées en plus de 75 catégories, notamment MP3, jeux de hasard, shopping et contenu pour adultes. On peut choisir de bloquer, autoriser, limiter par le biais de quotas horaires ou par utilisateur/groupe/station de travail/réseau. Intégrations Websense : Websense est compatible avec de nombreux produits sur le marché. La liste complète se trouve sur le site de l'éditeur : http://www.websense.com/products/about/wse/index.cfm D’autre part, WebSense utilise le format LDAP standard x509 pour personnaliser les accès (groupe ou utilisateur). D'autres fonctionnalités intéressantes comme la gestion de quotas horaires (définition de plages horaires) permettront une gestion plus fine pour des accès Internet plus spécifiques. WebSense supporte les OS NT, Win 2000, Solaris. Des alertes ou notifications peuvent être générées par mail, alarmes sonores ou visuelles. CNAM - Ingénieur Page 30/43 Les outils de filtrage d'URL Ces informations concernent les mises à jour de la blacklist ou encore les problèmes de dysfonctionnement du produit. Websense Reporter <=> Logging & Reporting : Websense Reporter constitue un outil de génération de rapports complet et convivial qui permet d'évaluer l'utilisation de l'Internet par les salariés de l'entreprise. Rapport sur l'activité Internet (durée de navigation, ...) ; Plus de 60 rapports prédéfinis ; Rapports complètements personnalisables ; Planification de la génération et de l'envoi des rapports ; Rapports exportables sous : HTML, WORD, EXCEL . WebCatcher : WebCatcher permet d'optimiser la base de données Websense en fonction des besoins. Les sites visités par les utilisateurs et non reconnus sont automatiquement envoyés à Websense pour être contrôlés. Les sites appropriés sont alors ajoutés à la base de données. La base de données Websense utilise WebCatcher pour s'adapter aux habitudes de navigation de l'entreprise. Base de données Websense Master Elle se compose de 4 catégories et sous-catégories : Coeur de la base : une trentaine de catégories : Avortement, Section pour adultes, Commerce et économie, Drogues, Divertissements, Jeux, Racisme, Religion, Violence, ... Premium Group I (PG I) <=> Gestion de la productivité • Publicités ; • Téléchargements de logiciels gratuits ; • Messagerie instantanée ; • Groupes et clubs de discussion ; • Bourse en ligne ; • Sites de navigation rémunérée. Premium Group II (PG II) <=> Gestion de la bande passante • Radio et télévision Internet ; • Téléphonie Internet ; • Partage de fichiers ; • Médias diffusés en direct ; • Stockage/sauvegarde en réseau de données personnelles. Premium Group III (PG III) <=> filtrage anti-virus • Contrôle des scripts (Java Scripts, ActiveX, ...). Abonnement La "liste noire" de WebSense est composée de 2.7 millions de sites. Cette liste est mise à jour par téléchargement automatique de la base de données (5000 URLs sont rajoutées/modifiées quotidiennement). Le mode de sélection des URLs repose sur un calcul de coefficient : Un coefficient de redondance est calculé pour une série de mots-clés. Par exemple la recherche de sites appartenant à la catégorie politique, les mots clés les plus explicites pouvant être : extrême/droite/gauche/front/national/communiste/socialiste). Un coefficient est calculé pour tous les mots présents sur le site. Si au moins 80% des mots clés sont présents sur le site Si le coefficient est compris entre 60 et 80%, CNAM - Ingénieur alors l'URL est automatiquement rajoutée dans la liste noire. le site est visité par une équipe de WebSense pour valider l'appartenance ou non à une catégorie. La série de mot-clés dépend de la langue choisie pour le filtrage: Français, Anglais, Russe, Allemand,... Environ 2% d'erreurs sont générés par cette méthode. Page 31/43 Les outils de filtrage d'URL le coefficient est de les URLs sont visualisées par les équipe de WebSense, ce qui réduit considérablement le 60%, risque d'erreur. CNAM - Ingénieur Page 32/43 Les outils de filtrage d'URL Webwasher Site Web : Il a été développé par une société allemande, du groupe Siemens (spécialisée dans le filtrage d'URLs et la suppression des bannières publicitaires). Moins connu, le produit présente des fonctions intéressantes et utilise la technologie ICAP. Les proxy doivent intégrer ce protocole de communication pour supporter WebWasher. Abonnement : L'implémentation de nouvelles URLs à la "liste noire" repose sur la technique DynaBlocator (Filtrage reconnu comme très performant) qui utilise la technique de reconnaissance d'images sur Internet (cf: Cobion). L'outils est indépendant de la langue. On télécharge ensuite automatiquement une mise à jour de la base. TrendMicro Interscan WebManager Site Web : Squidguard (Gratuit pornographiques) - Axé sur les sites à caractères Editeur : Groupe de développeurs [Pal Baltzersen et Lars Erik Haland (Danemark)] OS : Fonctionne sur tous les Linux à condition d'avoir déjà installé le proxy Squid. Site Web : http://www.squidguard.org/ Qu'est-ce que SquidGuard ? SquidGuard est un plug-in de Squid. Ce plug-in permet le filtrage d'URL, la redirection de requêtes HTTP et la mise en place de contrôles d'accès. SquidGuard est : CNAM - Ingénieur Page 33/43 Les outils de filtrage d'URL - libre (dans ce cas c'est synonyme de gratuit) - super configurable - extrêmenent rapide - d'installation relativement simple SquidGuard peut être utilisé pour : - bloquer l'accès à des sites référencés comme "illégaux" (porno, xenophobe, pédophile, ...) - bloquer l'accès à des URL qui correspondent à une liste d'expressions régulières ou de mots (ex : bloquer les .exe, les .avi, ...). - rediriger les sites bloqués vers un script CGI personnalisable (pour avertir l'utilisateur de la raison pour laquelle il ne peut visualiser ce site). - rediriger les utilisateurs non enregistrés vers un formulaire d'enregistrement => simplification de l'administration. - remplacer les bannières de certains sites par des images GIF vides. - faire des règles d'accès selon l'heure, le jour de la semaine, ... - toutes les règles précédentes peuvent être gérée par utilisateur ou par groupe d'utilisateurs. Ce que SquidGuard ne peut pas faire : - SquidGuard n'est pas un filtre de contenu... c'est juste un filtre d'URL. Ainsi, on ne peut pas faire des règles de filtrage sur le contenu de la page web visualisée. - SquidGuard ne permet pas non plus de faire des filtres sur les scripts contenus dans les pages web (JavaScript, VBscript, ActiveX, ...) CNAM - Ingénieur Page 34/43 Les outils de filtrage d'URL Watsoft Gatefilter (couplé à Wingate) Site Web : CNAM - Ingénieur Page 35/43 Les outils de filtrage d'URL Network appliance Smartfilter (couplé à au proxy Netcache) Editeur : SMARTFILTER OS : Linux, Microsoft Windows 2000, Microsoft Windows NT, Sun Solaris http://www.securecomputing.com/ Site Web : Description du fonctionnement : SmartFilter s'installe sur différents types de serveurs proxy. Toutes les requêtes de pages Web passent d'abord par les process SmartFilter et sont instantanément comparées à la politique de filtrage en place (via le SmartFilter Control List). Les requêtes sont alors acceptées, refusée, différées , redirigées ou acceptées moyennant l'acceptation consciente de l'utilisateur. Options de filtrage : Classements de 2 millions de sites selon 30 catégories ; Gestion des URL et des IP ; Gestion du trafic HTTP et HTTPS ; Possibilité de filtrer sur des mots clef ; Filtrage par tranches horaires/jour de la semaine, ... Automatisation et planification des rapports ; 11 langues possibles ; Des 10 aines de rapports prédéfinis. Rapports : Abonnement : Sur simple abonnement, le proxy va automatiquement (ex: 1 fois par semaine) mettre à jour une liste d'URLs (10 Millions de sites). Ces sites sont regroupés dans 26 catégories distinctes: (sexe, sport, drogue, politique, humour, violence,..). La "liste noire" d'URLs est composée de 2 fichiers - wtcontrol (contient la liste des URLs par catégorie) - wtcntldr (contient les noms de domaines et adresses IP résolues d'URLs) Le filtrage d'URLs s'appuie sur les noms pleinement qualifiés des URLs ( http://www.xxxx ) et sur les adresses IP (http://124.534.34.54). Pour répertorier les "listes noires", SmartFilter travaille avec Rulespace, société spécialisée dans la recherche des URLs sur Internet. SmartFilter utilise des techniques automatisées qui recherchent sur le Web les sites, puis ces derniers sont ensuite visualisés par l'équipe technique afin de décider le blocage d'URLs. Quelques URLs sont aussi soumises par des clients souhaitant intégrer des URLs à la "liste noire". L'abonnement est d'une durée de 1, 2 ou 3 an(s) et le prix dépend du nombre d'utilisateurs connectés au proxy puis renouvelable tous les ans. CNAM - Ingénieur Page 36/43 Les outils de filtrage d'URL Surfcontrol Web filter Site Web : CNAM - Ingénieur http://www.surfcontrol.com/ Page 37/43 Les outils de filtrage d'URL 8E6 R2000 Site Web : http://www.8e6technologies.com Simply the fastest filtering available At 8e6 we have designed our filtering servers to provide maximum throughput. That's why we are the choice of the largest corporations and school districts. Many filtering technologies cause considerable network slowdown when they are doing their job of filtering Internet access. However, the R2000 is a network server that is placed outside the flow of network traffic to "watch" rather than "stop and check" website requests. The result is virtually no slowdown of network traffic, even in heavy traffic situations. Works in any network configuration 8e6's Ethernet-compatible servers can be integrated in any network with virtually unlimited configuration options. The 8e6 R2000 operates by watching requests on Ethernet networks and easily adapts to any TCP network to handle millions of user requests with no throughput degradation or connection interference. There is no need to reconfigure your browser or router, or modify existing network hardware infrastructure. Ease of Installation If you've got Ethernet, we have your filter. Our multiple installation options allow filtering to take place where and how you want it! Each R2000 comes with full documentation and a user-friendly "Quick Start" guide to make installation quick, easy and reliable. The most effective filtering database A European Commission that invested 7.1 man-years testing Internet filters recently ranked 8e6 "Number 1" worldwide in filtering effectiveness. Our library of categories is one of the oldest and most complete in the filtering industry. Each day a combination of automatic "crawler" technology and human verification seek out, verify and categorize unwanted websites. Each night library updates are downloaded to your R2000 to ensure that the most up-to-date listing of websites is available to filter unwanted content in your installation. Manage Internet Access The 8e6 R2000 manages content access ports that lead to non-work related or offensive sites: Web/FTP - Manages access to websites (HTTP) and file transfer (FTP) requests. Search Engines - Denies searches using pre-selected words within Internet Search Engines Newsgroup (NTTP) - Halts access to inappropriate newsgroups by monitoring all newsgroup requests. TCP Port Blocking - Useful in filtering services such as Napster, RealAudio and RealPlayer. Anonymizers - Blocks public proxy services specifically designed to circumvent filtering solutions, including SafeWeb/TriangleBoy. Custom Profiling The 8e6 R2000's selective filtering option allows you to customize profiles for your installation's needs by first choosing from 8e6 Technologies' extensive library of categorized websites and then by augmenting this with custom sites. The millions of websites in the 8e6 URL database are conveniently categorized into 35 categories that can be selectively blocked. Individual sites can be passed or blocked simply by adding them in the "white list" or "black list" options. This combination of both categories and supplemental lists gives you the most CNAM - Ingénieur Page 38/43 Les outils de filtrage d'URL flexible solution available. Failsafe Operation Since the R2000 is a stand-alone server operating outside of your network's critical path, its operation does not affect overall network performance. Should the R2000 stop operating for any reason, your network is unaffected. User/Group Profiles Administrators can select different Internet access criteria for individual users or groups of users. This feature allows selected users to access categories or sites that others can not. For example, access to employment and job websites might be blocked for all users except those in the Human Resources department. Remote Control Capability The 8e6 R2000 allows administrators to set up authentication and control screens using standard HTML/CGI for access through a web browser. This allows the R2000's control to be integrated into a network's existing control panels for seamless integration into your current network management structure. Customer Support 8e6 Technologies offers its customers support through our dedicated service technicians. Our trained staff can diagnose and correct your issue quickly and efficiently through phone conversations and direct access to your 8e6 R2000. Supported Features: • Plug & Block • Customizable individual filtering profile for end users • Invisible, router or firewall mode • VPN capability, supports IP/IP Tunneling • Unprecedented scalability • • • • • Denies access to pre-selected Internet Web sites (HTTP); Internet FTP sites (FTP); Internet Newsgroup sites (NNTP); and denies searches using pre-selected words within Internet Search Engines Prevents access to selective ports (services) such as IRC chat, ICQ, Real Video, Real Audio, etc. Automatically filters proxy servers which prevents bypassing the system Integrates with RADIUS module for authenticatio Automatic daily library updates of new categorized sites • Selective category filtering • Selective user/group filtering by IP • Individual filtering profiles for dynamic IPs • • Detailed reporting of Internet usage, by user or by organization Fail-safe Supports multiple Access Denied Messag routing How it Works Filtering technologies are divided into two types: Pass-through (server plug-in based) and Pass-by (standalonebased). Many networks operate in a pass-through environment, that creates "slow" points in the flow of data. Filtering solutions placed within a pass-through environment creates additional speed bumps and even a choke point if network traffic exceeds certain capacity levels. Pass-by solutions such as the R2000 are placed outside the flow of network traffic. It "watches" rather than "stops and checks" Web site requests. The result: no slowdown, even in heavy traffic situations. Most importantly, it doesn't create a point of failure. CNAM - Ingénieur Page 39/43 Les outils de filtrage d'URL This diagram illustrates the 8e6's Pass-by filtering technology that removes the R2000 from any inclusion in the network connection path. (1) Inappropriate request is sent by user (2) R2000 monitors request as it passes through the hub/switch (3) R2000 matches the request against its database (4) If the website requested finds a match in the database, a TCP reset is sent to the web server to kill the session (request) and a block page is sent to the client Comparatif Produits Symantec Web Security Websense Internet Filtering Interscan Manager Squidguard Gatefilter Smartfilter CNAM - Ingénieur Société Comp at ICAP Black List White List Filtrage par mot clé Filtre par extension de fichiers Gestion de profils Reporting Symantec Websense Trendmicro Watsoft Network Appliance Page 40/43 Les outils de filtrage d'URL Filtrage sur poste client AOL Parent Filter Site Web : Le module de contrôle parental est intégré dans la navigateur AOL. Les parents peuvent paramétrer l’accès aux contenus et aux fonctionnalités selon l’âge et la maturité de leurs enfants (« moins de 12 ans » et « adolescents »). Mac Afee Internet Filter Site Web : Symantec Site Web : CNAM - Ingénieur Page 41/43 Les outils de filtrage d'URL Conclusion Le filtrage des sites est-il suffisant ? Les risques liés à Internet ne se limitent pas aux contenus choquants de certains sites. Les forums de discussions ou les "chats" (dialogue en direct) des messageries instantanées peuvent aussi représenter un danger si l'enfant n'est pas suffisamment informé et accompagné. Des réseau pédophiles ou des sectes peuvent essayer d'entrer en contact avec les enfants dans les forums. Autre danger : les sites de commerce électronique qui essayent de convaincre es enfants avec des offres alléchantes. Certains essayent même de récolter des informations confidentielles à des fins marketing. CNAM - Ingénieur Page 42/43 Les outils de filtrage d'URL Sites de référence http://www.securite.teamlog.fr http://www.websense.com/products/why/misuse.cfm How Countries Are Regulating Internet Content : http://www.isoc.org/isoc/whatis/conferences/inet/97/proceedings/B1/B1_3.HTM News : http://www.saferinternet.org/news/francais.asp Chiffres sur Internet : http://www.journaldunet.com/chiffres-cles.shtml CNAM - Ingénieur Page 43/43