L'intégration en coupure est typiquement faite avec des Olfeo box. Dans une intégration en coupure, les flux traversent la box via un bridge et sont capturés par un connecteur de capture.
Par défaut, le connecteur de capture envoie directement les flux au moteur de filtrage, sans passer par le proxy interne à la solution Olfeo. Cependant, il est possible de faire passer les flux par le proxy en utilisant une intégration proxy en interception. La box a alors une double intégration.
Contraintes, limitations, avantages
Pour une intégration en coupure, seules les Olfeo box sont supportées par Olfeo.
Il est techniquement possible de réaliser une intégration en coupure avec une version logicielle d'Olfeo. Cependant, pour ce type d'installation, le support Olfeo est limité.
Celui-ci peut intervenir sur le chroot, mais pas sur la machine hôte. Les éléments suivants ne sont donc pas pris en charge par le support Olfeo : configuration réseau, gestion du bridge réalisant la coupure, gestion des règles de redirection de trafic, éléments matériels (notamment carte bypass et sa configuration). La responsabilité de ces éléments appartient à l'intégrateur ou au client.
- L'intégration coupure peut être couplée avec un proxy en interception :
Avec un proxy en interception, sans déchiffrement SSL, le filtrage d'URL n'est possible que si la résolution DNS inverse est activée. En effet, par défaut l'Olfeo ne voit que les adresses IP de destination des requêtes et non les noms de domaine (car il ne voit que l'établissement de la session TLS et non le contenu de la session elle-même). Cela est visible dans les statistiques et à la page du trafic temps réel, dans la colonne Domaine.
- Seules les méthodes d'identification gérées par le moteur de filtrage sont compatibles avec une intégration en coupure : voir Authentification et type d'intégration.
- Aucun paramétrage n'est nécessaire sur les postes clients.
Fonctionnalités compatibles
- Si le proxy interne à la box est en interception, toutes les fonctionnalités sont
compatibles avec l'intégration en coupure.
- Sans proxy en interception :
- Compatibles : filtrage d'URL, filtrage protocolaire, portail public.
- Incompatibles :
- cache/QoS, déchiffrement SSL, statistiques en volume de données et quotas en volume, car les flux ne passent pas par le proxy
- antivirus et analyse de contenu, car l'intégration en coupure permet uniquement d'agir sur les connexions et non sur les contenus.
Fonctionnement
- L'utilisateur tente d'accéder à une page web.
- Le flux arrive dans le bridge de la box et est capturé par le connecteur de capture.
- Le moteur de filtrage évalue la requête (politiques, règles du moteur) et décide si elle doit être bloquée ou non.
- Si la requête est autorisée, l'Olfeo la laisse passer vers le serveur distant. La réponse du serveur distant passe également par le bridge de la box.
- Si la requête n'est pas autorisée, l'Olfeo envoie une redirection vers une page de blocage à l'utilisateur (ou, pour du filtrage protocolaire, une trame avec le flag RST afin de clôturer la session). La requête a cependant été reçue par le serveur distant, qui répond normalement au client. Cependant, l'Olfeo envoie sa réponse avant que la réponse du serveur distant n'arrive au client. Quand la réponse du serveur distant arrive au client, celui-ci l'ignore car il considère qu'il a déjà reçu la réponse à sa requête.