Essayons ici de clarifier quelques points sur ces 2 approches<\/p>\n\n\n\n
Modes d’inspection<\/p>\n\n\n\n
Proxy\n\n L'inspection par proxy consiste \u00e0 tamponner le trafic et \u00e0 l'examiner en entier avant de d\u00e9terminer une action. Ce tampon de l'ensemble des donn\u00e9es \u00e0 analyser permet \u00e0 ce processus d'inclure davantage de donn\u00e9es pour l'analyse que les m\u00e9thodes bas\u00e9es sur les flux (flow) ou l'inspection DNS.\n L'avantage d'une m\u00e9thode bas\u00e9e sur le proxy est que l'inspection peut \u00eatre plus approfondie que les autres m\u00e9thodes, ce qui permet de r\u00e9duire le nombre de faux positifs ou des r\u00e9sultats n\u00e9gatifs dans l'analyse des donn\u00e9es\/traffic.<\/code><\/pre>\n\n\n\nFlow-based <\/p>\n\n\n\n
La m\u00e9thode d'inspection bas\u00e9e sur les flux examine le dossier lors de son passage dans le FortiGate sans aucune mise en m\u00e9moire tampon (ou presque...). \u00c0 l'arriv\u00e9e de chaque paquet du trafic, il est trait\u00e9 et transmis sans attendre la transaction complete ou la page web, etc.\n L'avantage de la m\u00e9thode flow est que l'utilisateur obtient un temps de r\u00e9ponse pour les demandes HTTP (et un buffer) r\u00e9duit, car les packets \"coulent\" \u00e0 la vitesse ou ils arrivent.\n Les inconv\u00e9nients de cette m\u00e9thode sont qu'il y a une probabilit\u00e9 plus \u00e9lev\u00e9e d'un faux positif ou n\u00e9gatif dans l'analyse des donn\u00e9es et qu'un nombre de points de controle ne sont pas disponibles\/support\u00e9s dans la m\u00e9thode d'inspection bas\u00e9e sur les flux. Il y a \u00e9galement moins d'actions disponibles au choix en fonction de la cat\u00e9gorisation du site web par les services FortiGuard<\/code><\/pre>\n\n\n\nAvantages & inconv\u00e9nients ?<\/h2>\n\n\n\n
J’ai pour habitude de dire, du plus indolore au plus complexe\/pr\u00e9cis<\/p>\n\n\n\n
Implicit flow < Implicit proxy-based < transparent redirect to web proxy<\/strong> OU explicit proxy<\/strong><\/p>\n\n\n\n1: Filtrage Implicit Flow<\/p>\n\n\n\n
- IPv4 uniquement en profil flow-based<\/li>
- Pas de blocage uniquement \u00e0 la deuxi\u00e9me tentative<\/li><\/ul>\n\n\n\n
2: Filtrage Implicit Proxy<\/p>\n\n\n\n
- IPv4 avec profil proxy-based (interception protocolaire)<\/li>
- passage en CPU <\/li>
- gourmand en perf<\/li>
- qq petites fonctions en +; page de blocage<\/li><\/ul>\n\n\n\n
3a: Transparent Web Proxy<\/p>\n\n\n\n
- Invisible du navigateur \/ client<\/li>
- 2 policies d\u00e9pendantes (IPv4 + redirect + web-proxy policy)<\/li>
- double processing
+++ gourmand en perf \/ RAM<\/li> - User-agent \/ RegexHost \/ URL Category <\/li><\/ul>\n\n\n\n
3b: Explicit Web Proxy<\/p>\n\n\n\n
- N\u00e9cessite une configuration (qui peut etre WPAD)<\/li>
- 1 policie d\u00e9di\u00e9e dans web-proxy policy<\/li>
- pas support\u00e9 sur toutes les machines \/ pas tr\u00e8s appr\u00e9ci\u00e9 par certaines applications (O365)
++ gourmand en perf \/ RAM<\/li> - User-agent \/ RegexHost \/ URL Category <\/li><\/ul>\n\n\n\n
permet le meilleur niveau de d\u00e9tail\/s\u00e9curit\u00e9 (presque idem entre 3a et 3b<\/p>\n","protected":false},"excerpt":{"rendered":"
Essayons ici de clarifier quelques points sur ces 2 approches Modes d’inspection Flow-based Avantages & inconv\u00e9nients ? J’ai pour habitude de dire, du plus indolore au plus complexe\/pr\u00e9cis Implicit flow < Implicit proxy-based < transparent redirect to web proxy OU… Continue Reading