Configuration du filtrage HTTP

Publication: novembre 2009

Mis à jour: février 2010

S'applique à: Forefront Threat Management Gateway (TMG)

Cette rubrique décrit comment configurer des filtres HTTP. Vous pouvez utiliser un filtre HTTP sur des règles d'accès entrantes et sortantes pour contrôler les types de données et les commandes HTTP que vous souhaitez autoriser à traverser le pare-feu.

Pour plus d'informations sur l'utilisation du filtrage HTTP, consultez Planification du filtrage HTTP.

Les procédures suivantes décrivent les étapes à suivre pour configurer le filtrage HTTP sur une règle d'accès :

Pour accéder à la règle sur laquelle configurer le filtrage HTTP

  1. Dans l'arborescence de la console de gestion de Forefront TMG, cliquez sur le nœud Stratégie de pare-feu.

  2. Dans le volet d'informations, cliquez avec le bouton droit sur la règle à modifier, puis cliquez sur Configurer HTTP. La boîte de dialogue Configurer la stratégie HTTP pour la règle s'ouvre.

  3. Configurez le filtrage HTTP en fonction des besoins de votre réseau, à l'aide des instructions figurant dans les procédures suivantes.

noteRemarque :
Pour une description des paramètres à configurer dans cette procédure, consultez la section « Vue d'ensemble des paramètres de filtrage HTTP » dans Planification du filtrage HTTP.

Pour configurer le blocage des en-têtes et des URL

  1. Cliquez sur l'onglet Général dans la boîte de dialogue Configurer la stratégie HTTP pour la règle.

  2. Dans Taille maximale des en-têtes (octets), spécifiez le nombre maximal d'octets autorisés dans l'URL et l'en-tête HTTP d'une requête HTTP avant qu'elle ne soit bloquée.

    noteRemarque :
    Ce paramètre s'applique à toutes les règles. Si vous le modifiez dans une règle, la modification s'applique à toutes les règles.

  3. Désactivez la case à cocher Autoriser toute longueur de charge utile pour bloquer les demandes dépassant le nombre d'octets spécifié dans Taille maximale des charges utiles (octets).

  4. Dans Taille maximale des URL (octets), tapez la longueur d'URL maximale autorisée. Les demandes contenant des URL dont la taille dépasse cette valeur sont bloquées.

  5. Dans Taille maximale des requêtes (octets), tapez la longueur maximale de requête autorisée. Les demandes contenant des URL dont la taille dépasse cette valeur sont bloquées.

  6. Sélectionnez Vérifier la normalisation pour bloquer les demandes avec des URL contenant des caractères d'échappement après la normalisation.

    noteRemarque :
    Même s'il est recommandé d'utiliser la fonction Vérifier la normalisation, vous devez savoir qu'elle risque de bloquer également des demandes légitimes contenant un %.

  7. Sélectionnez l'option Bloquer les caractères étendus pour spécifier que les URL contenant des caractères étendus doivent être bloquées.

  8. Sélectionnez Bloquer les réponses contenant un exécutable Windows pour spécifier que les réponses contenant du contenu exécutable Windows (réponses commençant par MZ) doivent être bloquées.

Les méthodes HTTP (également appelé verbes HTTP) sont des instructions envoyées dans un message de demande qui indique à un serveur HTTP l'action à exécuter sur la ressource spécifiée. Vous pouvez définir un blocage par méthode en bloquant par exemple la méthode POST de sorte que les clients internes ne puissent pas publier de données dans une page Web externe. Cela est utile dans un scénario de réseau sécurisé si vous voulez empêcher que des informations sensibles soient publiées sur un site Web. Cette option peut également s'avérer utile dans le cadre de la publication Web afin d'empêcher les utilisateurs malveillants de publier du contenu malveillant sur votre site Web.

Pour configurer des méthodes HTTP (verbes)

  1. Cliquez sur l'onglet Méthodes dans la boîte de dialogue Configurer la stratégie HTTP pour la règle.

  2. Dans Spécifiez l'action associée aux méthodes HTTP, sélectionnez l'action à exécuter pour les méthodes répertoriées. Vous pouvez autoriser toutes les méthodes, bloquer celles qui sont répertoriées et autoriser toutes les autres, ou autoriser celles qui sont répertoriées et bloquer toutes les autres. Il est recommandé d'autoriser uniquement les méthodes sélectionnées pour obtenir la configuration la plus sécurisée.

  3. Pour ajouter une méthode, cliquez sur Ajouter. Dans la boîte de dialogue Méthode, tapez la méthode à ajouter.

  4. Pour supprimer une méthode existante, sélectionnez-la dans la liste, puis cliquez sur Supprimer.

  5. Pour modifier une méthode existante, sélectionnez-la dans la liste, puis cliquez sur Modifier.

Vous pouvez autoriser toutes les extensions ou n'autoriser que celles figurant dans la liste. Vous pouvez également choisir de bloquer celles de la liste et d'autoriser toutes les autres. Il est recommandé d'autoriser uniquement les extensions sélectionnées pour obtenir la configuration la plus sécurisée. Par exemple, si vous publiez un site Web, le concepteur du site Web ou l'administrateur du serveur Web pourra définir une liste des extensions nécessaires au bon fonctionnement du site.

Le blocage des extensions est généralement utilisé pour bloquer les fichiers exécutables (.exe).

Pour configurer le blocage des extensions HTTP

  1. Cliquez sur l'onglet Extensions dans la boîte de dialogue Configurer la stratégie HTTP pour la règle.

  2. Dans Spécifiez l'action associée aux extensions de fichiers, sélectionnez une action.

  3. Activez Bloquer les demandes contenant des extensions ambiguës pour bloquer les requêtes contenant des extensions impossibles à déterminer.

  4. Pour ajouter une extension, cliquez sur Ajouter. Dans la boîte de dialogue Extension, tapez l'extension à ajouter.

  5. Pour modifier une extension existante, sélectionnez-la dans la liste, puis cliquez sur Modifier.

  6. Pour supprimer une extension existante, sélectionnez-la dans la liste, puis cliquez sur Supprimer.

Pour configurer le blocage des en-têtes

  1. Cliquez sur l'onglet En-têtes dans la boîte de dialogue Configurer la stratégie HTTP pour la règle.

  2. Cliquez sur Ajouter pour ajouter un en-tête à bloquer. Ensuite, dans la boîte de dialogue En-tête, sélectionnez En-têtes de demandes ou En-têtes de réponses depuis Rechercher dans, puis tapez le nom de l'en-tête. Tous les en-têtes sont autorisés, sauf ceux figurant dans la liste Autoriser tous les en-têtes sauf les suivants.

  3. Pour modifier un en-tête, sélectionnez-le dans la liste, puis cliquez sur Modifier. Pour autoriser un en-tête figurant actuellement dans la liste bloquée, sélectionnez-le puis cliquez sur Supprimer.

  4. Dans En-tête de serveur, spécifiez de quelle façon l'en-tête du serveur doit être renvoyé dans la réponse. L'en-tête de serveur correspond à un en-tête de réponse contenant des informations, telles que le nom de l'application serveur et les informations de version logicielle, par exemple HTTP: Server = Microsoft-IIS/6.0. Les paramètres possibles sont :

    • Envoyer l'en-tête original — L'en-tête d'origine est renvoyé dans la réponse.

    • Supprimer l'en-tête de la réponse — Aucun en-tête n'est renvoyé dans la réponse.

    • Modifier l'en-tête dans la réponse — Si vous sélectionnez cette option, dans Remplacer par, tapez la valeur qui doit apparaître dans la réponse. Il est recommandé de modifier l'en-tête de serveur. La valeur qui apparaîtra dans la réponse peut être toute valeur car l'en-tête de serveur est rarement utilisé par les clients.

  5. Dans Via l'en-tête, spécifiez comment l'en-tête Via doit être transféré dans la demande ou renvoyé dans la réponse. Pour une description, consultez « Taille maximale des requêtes (octets) » dans Planification du filtrage HTTP.

    Les paramètres possibles sont :

    • Envoyer l'en-tête par défaut — L'en-tête par défaut est utilisé.

    • Modifier l'en-tête dans la demande et la réponse — L'en-tête Via est remplacé par un en-tête modifié. Si vous sélectionnez cette option, dans Remplacer par, tapez l'en-tête qui doit apparaître à la place de l'en-tête Via.

Vous pouvez spécifier s'il faut autoriser ou bloquer des demandes en fonction des signatures spécifiques dans les en-têtes ou le corps.

Pour configurer des signatures bloquées

  1. Cliquez sur l'onglet Signatures dans la boîte de dialogue Configurer la stratégie HTTP pour la règle.

  2. Cliquez sur Ajouter pour ajouter une signature bloquée. Puis, dans la boîte de dialogue Signature, spécifiez les éléments suivants :

    • Dans Rechercher dans, spécifiez si la signature doit apparaître dans l'URL, le corps ou l'en-tête de la demande, ou dans le corps ou l'en-tête de la réponse.

    • Dans En-tête HTTP, entrez le nom de l'en-tête si vous avez spécifié une signature de type en-tête.

    • Dans Signature, tapez la chaîne de signature. Une signature peut être toute chaîne dans un en-tête ou un corps. Il est recommandé de choisir des chaînes assez spécifiques pour bloquer uniquement les demandes ou réponses souhaitées. Par exemple, si vous ajoutez la lettre " a " comme signature, toute requête ou réponse contenant " a " sera bloquée. De même, l'introduction de " Mozilla " dans une signature bloquerait la plupart des navigateurs Web. Généralement, les signatures sont de type User-Agent: adatum-software-abc.

    • Dans Plage d'octets, spécifiez les valeurs De et À si vous avez sélectionné Corps de la réponse ou Corps de la demande comme type de signature. Par défaut, Forefront TMG inspecte uniquement les 100 premiers octets du corps de la demande et de la réponse. L'augmentation de cette valeur par défaut peut affecter les performances système.

  3. Vous pouvez activer ou désactiver les signatures à l'aide des cases à cocher situées en regard des noms de signature. Cliquez sur N'afficher que les chaînes de recherche activées pour afficher uniquement les signatures activées.

  4. Pour modifier une signature bloquée, sélectionnez-la dans la liste Bloquer le contenu contenant ces signatures, puis cliquez sur Modifier.

  5. Pour autoriser une signature bloquée, sélectionnez-la dans la liste Bloquer le contenu contenant ces signatures, puis cliquez sur Supprimer.

Vous pouvez identifier une signature pour bloquer du trafic spécifique en surveillant le trafic réseau comme suit :

ImportantImportant :
Certains outils de surveillance du trafic réseau impliquant un risque de sécurité, il est recommandé d'utiliser ces outils uniquement dans un environnement expérimental et non dans un environnement de production.

Pour identifier des signatures

  1. Ajoutez les outils de surveillance réseau Windows. Ceux-ci sont disponibles dans la section des outils de gestion et de surveillance des composants Windows facultatifs.

  2. Pour ouvrir l'outil Moniteur réseau après l'installation, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Moniteur réseau. Si une boîte de message vous rappelant de sélectionner un réseau s'affiche, fermez-la.

  3. Dans la boîte de dialogue Sélectionner un réseau, développez Ordinateur local. Si des clients internes sont situés dans le réseau interne par défaut de Forefront TMG, sélectionnez Interne pour effectuer un suivi des signatures utilisées par ces clients. Cela vous permet d'utiliser des signatures suivies pour bloquer l'accès des clients à des services Internet spécifiques.

  4. L'outil Moniteur réseau capture tous les paquets provenant du réseau interne. Vous pouvez filtrer les résultats après la capture ou créer un filtre avant de démarrer la capture. Pour créer un filtre avant de démarrer la capture, dans le menu, cliquez sur Capturer et sélectionnez Filtre (ou appuyez sur F8). Dans la boîte de dialogue Filtre de capture, sélectionnez l'entrée INCLUDE *ANY < - > *ANY, puis cliquez sur Modifier.

  5. Cliquez sur Modifier l'adresse, puis sous Ajouter, cliquez sur Adresse. Dans la boîte de dialogue Expression de l'adresse, cliquez sur Modifier les adresses.

  6. Dans la boîte de dialogue Base de données d'adresses, cliquez sur Ajouter pour ouvrir la boîte de dialogue Informations sur les adresses.

  7. Dans la boîte de dialogue Informations sur les adresses, spécifiez le nom de l'ordinateur client. Indiquez l'adresse IP de l'ordinateur client dans Adresse, puis sélectionnez IP dans la liste Type. Sélectionnez ensuite OK et cliquez sur Fermer pour fermer la boîte de dialogue Base de données d'adresses.

  8. Dans Expression de l'adresse, vérifiez que l'option Inclure est activée. Dans la colonne Station 2, sélectionnez le client que vous venez de créer. Conservez la valeur Sens par défaut (pour les deux sens), puis dans la colonne Station 1, choisissez l'ordinateur Forefront TMG comme destination et cliquez sur OK.

  9. Cliquez sur OK pour fermer la boîte de dialogue Filtre de capture.

  10. S'il existe un trafic important entre les deux ordinateurs, il se peut que vous deviez augmenter la mémoire tampon de capture. Pour cela, dans le menu, cliquez sur Capturer et sélectionnez Paramètres de la mémoire tampon. Dans la boîte de dialogue Paramètres de la mémoire tampon, augmentez la valeur associée au paramètre Taille de la mémoire tampon. Cliquez sur OK.

  11. Sur le client, fermez toutes les applications sauf celle pour laquelle vous souhaitez capturer une signature.

  12. Dans le menu Moniteur réseau, cliquez sur Capturer, puis sélectionnez Démarrer (ou appuyez sur F10).

  13. Sur l'ordinateur client, démarrez l'application. Par exemple, ouvrez une session Windows Live™ Messenger ou AOL Instant Messenger.

  14. Dans le menu Moniteur réseau, cliquez sur Capturer, puis sélectionnez Arrêter et afficher (ou appuyez sur MAJ+F11). Examinez les paquets capturés. En général, le quatrième paquet (après les paquets de négociation SYN, SYNACK et ACK) est un paquet de demande HTTP provenant de l'ordinateur client. Il contient les informations que vous recherchez, mais il se peut que vous deviez quand même vérifier les paquets suivants.

  15. Double-cliquez sur le paquet pour afficher les informations détaillées associées. Recherchez une signature unique liée à l'application que vous souhaitez bloquer. Si l'outil Moniteur réseau a correctement analysé le paquet, vous pouvez afficher et sélectionner chaque en-tête individuellement dans le volet d'informations (volet central) et voir la signature complète dans le volet Hex (volet inférieur). Sinon, vous pouvez rechercher la signature dans le volet Hex.

 
Afficher: