Contraintes, limitations, avantages
- Une intégration en miroir de port peut être réalisée avec une version logicielle d'Olfeo ou une Olfeo box.
- Cette méthode implique un coût réseau au niveau du switch (charge CPU).
- Seules les méthodes d'identification gérées par le moteur de filtrage sont compatibles avec une intégration en miroir de port : voir Authentification et type d'intégration.
- Cette méthode nécessite de passer l'interface en mode "promiscuité" : assurez-vous que votre équipement le permet.
- Veillez à ce qu'il n'y ait pas de congestion sur la machine hôte (CPU, I/O, mémoire, débit linéaire de l’interface), en particulier sur un système virtualisé.
- Aucun paramétrage n'est nécessaire sur la machine hôte ou au niveau des postes clients.
Fonctionnalités compatibles
Compatibles : filtrage d'URL, filtrage protocolaire, portail public.
Incompatibles :
- Le déchiffrement SSL, car les flux ne passent pas par le proxy.
- L'antivirus et l'analyse de contenu, car l'Olfeo ne dispose que de la copie des flux.
- Les fonctions cache/QoS, les statistiques en volume de données et les quotas en volume, car les flux ne passent pas par le proxy.
Fonctionnement
Une copie du trafic est réalisée au niveau d'un switch et est envoyée vers l'Olfeo. La copie du trafic est capturée par un connecteur de capture. Le blocage se fait par injection de paquets (vol de session TCP) : l'Olfeo répond plus vite que le serveur distant.
- L'utilisateur tente d'accéder à une page web.
- La requête arrive au switch. 2 flux ressortent du switch :
- la requête, qui est envoyée vers le serveur distant
- une copie de la requête, qui est envoyée à l'Olfeo, qui la capture grâce au connecteur de capture.
- Le moteur de filtrage évalue la requête (politiques, règles du moteur) et décide si elle doit être bloquée ou non.
- Si la requête est autorisée, l'Olfeo n'effectue aucune action : le serveur distant répondra directement au client.
- Si la requête n'est pas autorisée, l'Olfeo envoie une redirection vers une page de blocage à l'utilisateur (ou, pour du filtrage protocolaire, une trame avec le flag RST afin de clôturer la session). La requête a cependant été reçue par le serveur distant, qui répond normalement au client. Toutefois, l'Olfeo envoie sa réponse avant que la réponse du serveur distant n'arrive au client : quand la réponse du serveur distant arrive au client, celui-ci l'ignore car il considère qu'il a déjà reçu la réponse à sa requête.
Réaliser une intégration en miroir de port
- Dans l'interface d'administration, créez un connecteur de capture.
- Au niveau du switch, configurez la copie de trafic. La copie du trafic doit être dirigée vers l'interface de l'Olfeo définie dans le connecteur de capture. Pour les Olfeo box, l'interface qui reçoit la copie de trafic doit être active, mais il n'est pas nécessaire d'y associer une adresse IP.