Présentation

PME et de l'ITC

Environ 99% des entreprises dans le monde sont des entreprises petites et moyennes
entreprises (PME). Elles génèrent plus de la moitié de l'économie mondiale GPD. PME
recherchons constamment des façons de réduire les coûts et augmenter la productivité,
surtout en temps de crise comme celle que nous sommes actuellement
confrontés. Cependant, ils fonctionnent souvent avec des budgets limités et très effectifs
limités. Ces circonstances font qu'il est extrêmement difficile de proposer des solutions
adaptées qui apportent des avantages importants, dans le même temps garder les
investissements et les coûts opérationnels en respectant le budget.

Peut-être, c'est la raison pourquoi être un énorme marché avec un potentiel presque infini,
les fournisseurs de technologie ont traditionnellement montré peu d'intérêt dans le
développement de solutions qui s'adaptent aux besoins des PME. En général, les solutions
d'entreprise disponibles sur le marché ont été développés pour de grandes sociétés, et donc
leur mise en œuvre nécessite des investissements considérables de temps et de ressources,
ainsi que d'un haut niveau d'expertise.

Dans le marché des serveurs, cela a signifié que jusqu'à présent, les PME ont eu peu de
solutions à choisir et en plus, les solutions disponibles ont généralement été trop
grand. Considérant les besoins réels des PME - trop complexe à gérer et à des coûts de
licences élevés.

Dans ce contexte, il semble raisonnable de considérer Linux comme un serveur de plus

alternatives intéressantes SMB, puisque, techniquement, il a montré de très haute qualité et
de fonctionnalité. Le prix d'acquisition, gratuite, est imbattable.Cependant, la présence de
Linux dans les environnements de PME est symbolique et la croissance est relativement
faible. Comment est-ce possible?

La raison est simple: adapter un serveur niveau de l'entreprise à un environnement PME, les
composants doivent être bien intégrés et facile à administrer. PME n'ont pas les ressources
ou le temps nécessaire au déploiement de haute performance, mais les solutions
complexes. De même, les fournisseurs de services TIC qui travaillent pour les PME ont
également besoin de solutions de serveur qui nécessitent le déploiement faible et le temps
de maintenance pour rester compétitif.Traditionnelle distributions serveur Linux ne proposent
pas ces caractéristiques.
Zentyal: serveur Linux pour les PME

Zentyal [1] a été développé dans le but d'apporter Linux plus proche de PME et de leur
permettre de profiter au maximum de son potentiel en tant que serveur d'entreprise. Basé
sur la populaire distribution Ubuntu Linux, Zentyal a devenir l'alternative open source pour
Windows Small Business Server. Zentyal permet aux professionnels TIC pour gérer tous les
services réseau tels que l'accès Internet, sécurité réseau, le partage des ressources,
l'infrastructure de réseau ou de communication d'une manière simple via une seule
plateforme.
Pendant son développement, l'accent a été mis sur la convivialité. Zentyal offre une interface
intuitive, qui comprend les fonctionnalités les plus fréquemment utilisés, bien qu'il existe
d'autres, certains plus complexes, les méthodes utilisées pour mener à bien toutes sortes de
configuration.

Surtout, Zentyal intègre des applications indépendantes dans des fonctions entièrement
intégrée automatisant la plupart des tâches. Ceci est conçu pour gagner du temps gestion
des systèmes.

Étant donné que 42% des problèmes de sécurité et 80% des interruptions de service dans
les entreprises sont dues à une erreur humaine dans la configuration et l'administration de
ces systèmes [2], Zentyal est une solution qui est non seulement plus facile à gérer, mais
aussi plus sécurisé et fiable . Outre apportant Linux et open source aux PME, en leur offrant
d'importantes économies, Zentyal améliore la sécurité et disponibilité des services réseau au
sein des entreprises.

Le développement Zentyal a commencé en 2004 sous le nom de plate-forme eBox et il a

grandi pour devenir une solution largement utilisée et très reconnue, la plateforme intègre
plus de 35 systèmes open source et les outils de gestion de réseau en une seule
technologie. Zentyal a été inclus dans Ubuntu depuis 2007, il est téléchargé 1000 fois
chaque jour et a une communauté active de plus de 5.000 membres.

Il ya plus de 50.000 installations actives Zentyal, principalement en Amérique et en Europe,

bien que son usage est étendu à pratiquement tous les pays sur terre. Les Etats-Unis,
Allemagne, Espagne, Brésil et Russie sont les pays avec la plupart des installations. Zentyal
est principalement utilisé dans les PME, mais aussi dans d'autres environnements tels que
les écoles, les gouvernements, les hôpitaux et même dans de prestigieuses institutions
comme la NASA.

Le développement Zentyal est financé par Technologies eBox qui offre également des outils
de gestion et des services conçus pour réduire les coûts de maintenance des infrastructures
TIC. Ces outils et services commerciaux sont offerts par les abonnements à Cloud Zentyal et
comprennent:

qualité assurée mises à jour système,

 alertes sur les événements dans le serveur,
des rapports sur l'utilisation du système,
surveillance et l'administration centrale de plusieurs serveurs Zentyal.

Zentyal cloud offre de niveau entreprise du réseau qui est toujours à jour et sécurisé

Les services d'abonnement sont destinés à deux types nettement différents des clients. D'un
côté Abonnement Professional est destiné aux petites entreprises et les fournisseurs de TIC
avec un nombre limité de serveurs, qui ont toujours besoin Zentyal être tenu à jour, la course
et qui bénéficient de mises à jour système, les alertes et rapports. Alternativement
Abonnement Entreprise est destiné aux grandes entreprises ou fournisseurs de services
gérés qui ont en plus besoin de surveiller à distance et gérer plusieurs installations
Zentyal. En outre, les clients avec un abonnement serveur commercial peut accéder à des
services d'abonnement supplémentaires telles que la reprise après sinistre, mises à jour de
sécurité avancées, le support technique ou les abonnements de Zarafa.

Ces services d'abonnement sont complétées par des services supplémentaires comme le
support de formation, le déploiement et / ou de maintenance - habituellement fournie par des
partenaires certifiés Zentyal. Zentyal a un réseau de partenaires mondial en pleine
croissance qui permet à l'entreprise d'offrir des produits et des services nécessaires aux
PME du monde entier. Les partenaires les plus typiques sont Zentyal locales d'appui aux TIC
et prestataires de services, consultants et fournisseurs de services gérés qui offrent le
conseil, déploiement, support et d'externalisation complète de services d'infrastructure et de
réseau à leurs clients. Pour plus d'informations concernant les avantages et la façon de
devenir un partenaire, s'il vous plaît visitez la section Partner zentyal.com [3].

La combinaison du serveur et des services d'abonnement offrent des avantages significatifs

qui se traduisent par des économies supérieures à 50% du coût total de l'installation et la
maintenance d'un serveur SMB, lorsqu'on compare les coûts d'une installation serveur
Zentyal avec les coûts d'un serveur de type Windows Small Business d'installation.
[1] http://www.zentyal.com/
[2] 20polanco.pdf% http://enise.inteco.es/images/stories/Ponencias/T25/marcos
[3] http://www.zentyal.com/partners/
infrastructure Zentyal
Cette section explique plusieurs des services utilisés pour gérer l'infrastructure de
votre réseau local et à optimiser le trafic interne. Ces services comprennent;gestion
de domaine, la synchronisation, la configuration automatique de réseau, la
publication de sites Web internes, la gestion d'une autorité de certification et les
machines virtuelles.

Domain Name System ou DNS permet d'accéder aux services et les hôtes en
utilisant des noms plutôt que des adresses IP, ce sont plus faciles à mémoriser.

Le Network Time Protocol ou NTP, maintient le temps système synchronisé sur les
différents ordinateurs dans un réseau.

Le service DHCP est largement utilisé pour configurer automatiquement les

paramètres réseau sur des ordinateurs différents, tels que: adresse IP, serveurs DNS
ou la passerelle qui est utilisé pour accéder à l'Internet.

L'importance croissante d'assurer l'authenticité, l'intégrité et la confidentialité

descommunications a augmenté l'intérêt pour le déploiement des autorités de
certification. Ceux-ci facilitent l'accès à différents services de façon
sécuritaire.Certificats permettent la configuration de SSL ou TLS pour sécuriser
l'accès la plupart des services et des certificats prévue pour l'authentification
utilisateur.

Par ailleurs, de nombreuses entreprises utilisent les applications Web installées

surun serveur HTTP couvrant différents noms de domaine en permettant des
connexions HTTPS.

Parfois, votre déploiement nécessite quelques applications qui ne peuvent pas être
portées sur les environnements Linux étant donné leurs caractéristiques ou leur
âge.Le module Virtual Machine vous offre un moyen d'intégrer les
services virtualisésd'une manière simple, élégante et transparente pour
l'utilisateur final.

Passerelle Zentyal
Ce chapitre se concentre sur les fonctionnalités de Zentyal comme une
passerelle.Offrant réseau plus fiable et sécurisé, gestion de bande passante et une
définition claire de la connexion et les politiques de contenu.

Ces services comprennent: les interfaces réseau configurable, pare-feu avancé et le

routage, régulation de trafic et QoS, avancé proxy HTTP, portail captif et RADIUS.

Le module pare-feu avancé vous permet de définir des règles pour gérer le trafic
entrant et sortant à la fois du serveur et du réseau interne.
Ces modules aider à la gestion des objets du réseau et des services et de simplifier
la configuration du firewall.

Lorsque vous accédez à Internet, vous pouvez équilibrer la charge entre plusieurs
connexions et de définir des règles différentes d'utiliser l'un ou l'autre de
connexionen fonction du trafic. En outre, vous verrez comment garantir la qualité du
service, en donnant une priorité plus élevée à un certain type de trafic ou en
limitant la vitessedans certains cas, comme dans l'exemple de P2P.

Module d'authentification RADIUS permet des utilisateurs du réseau et, vous

trouverez également une introduction au service de proxy HTTP. Parmi les autres
options ce service permet l'accès à Internet plus rapide proxy en stockant dans le
cache et l'établissement de politiques de filtrage des contenus différents.

Portail captif avec surveillance de bande passante vous permettra de donner accès à
Internet que pour les machines hôte désigné, en redirigeant le trafic vers votrepage
de connexion, avec des reportages en direct des utilisateurs connectés et la
consommation du réseau.

Abstractions de haut niveau Zentyal

objets réseau
Les objets réseau sont une façon de représenter les éléments du réseau, ou un
groupe d'entre eux. Ils vous permettent de simplifier et rendre par conséquent plus
faciles à gérer la configuration du réseau: les objets du réseau vous permettent de
donner un nom facilement reconnaissable à des éléments ou un groupe d'entre
eux.Cela signifie que vous pouvez appliquer la même configuration à tous les
éléments.

Par exemple, vous pouvez donner un nom reconnaissable à une adresse IP ou un

groupe d'entre eux. Au lieu de définir la règle de pare-feu de même pour toutes les
adresses IP, il suffit de le définir pour l'objet réseau qui contient déjà l'adresse.
Gestion des objets réseau avec Zentyal

Pour commencer à travailler avec les objets Zentyal, aller à Réseau->section->

Objets.Au départ, vous verrez une liste vide, avec le nom de tous les objets et une
série d'actions que vous pouvez effectuer sur chacun d'eux. Vous pouvez créer,
éditer et supprimer des objets qui seront utilisés plus tard par d'autres modules.

Chacun de ces objets consiste en une série de membres qui peuvent être modifiés à
tout moment. Les membres doivent avoir au moins les valeurs suivantes:
Nom,adresse IP et le masque de réseau. L'adresse MAC est facultatif et logiquement
vous ne pouvez l'utiliser sur des membres qui représentent un seul hôte. Cette valeur
sera appliquée lorsque l'adresse MAC est accessible.
 Ajouter un nouveau membre

Les membres d'un objet peuvent se chevaucher avec les membres d'autres
objets.Vous devez donc être prudent lors de leur utilisation dans les autres
modules pour éviter les conflits.

Dans les sections autre configuration de Zentyal où vous pouvez utiliser les objets du
réseau (comme DHCP ou pare-feu), un menu rapide intégrés seront offerts, de sorte
que vous pouvez créer et configurer les objets du réseau sans explicitement l'accès
à ce chapitre de menu.

services réseau
Services réseau est une manière de représenter les protocoles (TCP, UDP, ICMP, etc) et les
ports utilisés par les applications. L'objectif des services est semblable à celle des
objets: objets de simplifier référence à un groupe d'adresses IP avec un nom
reconnaissable. Services de permettre l'identification d'un groupe de ports par le nom des
services que les ports ont été attribués à.

Connexion du client à un serveur

Lors de la navigation, par exemple, le port le plus habituel est le port
HTTP 80/TCP.Mais en plus, vous avez également d'utiliser le port
HTTPS 443/TCP et l'alternative le port 8080/TCP. Encore une fois, il n'est pas
nécessaire d'appliquer une règle qui affecte la navigation de chacun des ports, mais
le service qui représente la navigation et contient ces trois ports. Un autre
exemple est le partage de fichiers dans les réseaux Windows, où le serveur écoute
les ports 137/TCP, 138/TCP,139/tcp 445/TCP.

Gestion des services réseau avec Zentyal

Pour gérer les services avec Zentyal, aller à Réseau->services de menu, où vous
trouverez une liste des services disponibles, créés par l'ensemble des modules installés et
ceux qui ont été ajoutées plus tard. Vous pouvez voir le nom, description et une indication si
le service est interne ou non. Un service est interne si les ports configurés pour le
service sont utilisés dans le même serveur. Par ailleurs, chaque service dispose d'une
série de membres, chacun contient protocole, le port source et les valeurs du port de
destination. Vous pouvez introduire la valeur Tout dans tous les champs pour indiquer, par
exemple, les services pour lesquels le port source est différente au port de destination.

TCP, UDP, ESP, GRE ou protocoles ICMP sont pris en charge. Vous pouvez également
utiliser une valeur TCP / UDP pour éviter d'avoir à ajouter le port deux fois la même quand
les deux protocoles sont utilisés par un service, pour les DNS par exemple.
Pare-feu
Présentation du système Firewall

Zentyal utilise le sous-système du noyau Linux Netfilter appelé dans le module pare-
feu. La fonctionnalité comprend le filtrage, marquage des colis et des capacités de
redirection de connexion.
http://www.netfilter.org/

Configuration de pare-feu avec Zentyal

Modèle de sécurité Zentyal est basée sur la prestation le maximum de sécurité possible
avec la configuration par défaut, en essayant dans le même temps de minimiser les
efforts lors de l'ajout d'un nouveau service.

Lorsque Zentyal est configuré comme un pare-feu, il est normalement installé entre le réseau
interne et le routeur connecté à Internet. L'interface réseau qui relie l'hôte avec le routeur doit
être marquée comme externe au réseau - les interfaces réseau>,donc le pare-feu
peut mettre en place des politiques plus strictes pour les connexions initialisées en dehors
de votre réseau.

Interface externe

La politique par défaut pour les interfaces externes est de refuser toute nouvelle
connexion. D'autre part, pour les interfaces internes, Zentyal nie toutes les tentatives
de connexion, sauf ceux qui sont ciblés pour des services définis par les modules
installés. Les modules ajouter des règles du pare-feu pour permettre ces
connexions.Ces règles peuvent être modifiées ultérieurement par l'administrateur
système. Une exception à ceci sont les connexions vers le serveur LDAP, ce qui
ajoute une règle, mais il est configuré pour refuser la connexion pour des raisons de
sécurité. La configuration par défaut pour les connexions à des hôtes hors du
réseau et les connexions à partir du serveur lui-même est de permettre à tous.
 Le filtrage de paquets

Définition des politiques de pare-feu peuvent être faites à partir de: Pare-feu ‣filtrage.

Cinq sections différentes sont disponibles pour la configuration en fonction du flux de

travail de la circulation auquel vous vous adressez:

* Le trafic en provenance des réseaux internes aux Zentyal (exemple: permettre

l'accès au serveur de fichiers depuis le réseau local).
* Le trafic entre les réseaux internes et des réseaux internes à
l'Internet (exemple:limiter l'accès à Internet ou à des adresses spécifiques à
certains clients internes et de restreindre la communication entre les réseaux
internes)
*Trafic d' Zentyal aux réseaux externes (par exemple: permettre de télécharger
des fichiers via HTTP à partir du serveur lui-même).
*Le trafic en provenance des réseaux externes au Zentyal (exemple: permettre
au serveur de messagerie pour recevoir des messages provenant d'Internet).
*Le trafic en provenance des réseaux externes aux réseaux internes (par
exemple: permettre l'accès à un serveur interne de l'Internet).

Vous devez prendre en compte que les deux derniers types de règles pouvant
compromettre la sécurité des Zentyal et le réseau, vous devez donc être très prudent
lors de leur modification.
 Schéma illustrant les différents flux de trafic dans le pare-feu

Zentyal fournit un moyen simple de définir les règles qui constitueront la politique de
pare-feu. La définition de ces règles utilise les concepts de haut niveau tels que
définis dans la section Réseau de services pour spécifier les protocoles et les ports
d'appliquer les règles et dans la section Réseau des objets de préciser à quelle
adresse IP (source ou destination) sont inclus dans les définitions de règle.
 Liste des règles de filtrage de paquet à partir des réseaux internes à Zentyal

Normalement, chaque règle a une source et une destination qui peut être tout, une adresse
IP ou un objet dans le cas où plus d'une adresse IP ou adresse MAC doit être
spécifiée. Dans certaines sections de la source ou la destination sont omis, car leurs valeurs
sont déjà connus, pour Zentyal exemple sera toujours la cible dans le trafic des réseaux
internes à la section Zentyal et toujours la source du trafic à partir Zentyal aux réseaux
extérieurs

En outre, chaque règle est toujours associé à un service afin de préciser le protocole et les
ports (ou plage de ports). Les services aux ports sources sont utilisées pour les règles
relatives au trafic sortant des services internes, par exemple un serveur HTTP interne. Bien
que les services aux ports de destination sont utilisés pour les règles relatives au trafic
entrant aux services internes ou de trafic sortant vers des services externes. Est important
de noter qu'il y a un ensemble d'étiquettes génériques qui sont très utiles pour le pare-feu
comme tout pour sélectionner n'importe quel protocole ou le port, ou tout autre protocole
TCP, UDP Tout pour sélectionner toute protocole TCP ou UDP, respectivement.

Le paramètre le plus pertinent est la décision à prendre sur la nouvelle connexion. Zentyal
permet ce paramètre pour utiliser trois différents types de décisions.

*Accepter la connexion.
*Refuser la connexion, en ignorant les paquets entrants et de raconter la source que la
connexion ne peut être établie.
*Enregistrez l'événement de connexion et de continuer à évaluer le reste des règles. De
cette façon, en utilisant Maintenance ‣ Logs - Log query> -> Firewall, vous pouvez vérifier
quelles connexions ont été tentées.

Les règles sont insérées dans une table où ils sont évalués à partir du début jusqu'à la
fin. Une fois une règle accepte une connexion, le reste est ignoré. Une règle générale au
début de la chaîne peut avoir pour effet d'ignorer un autre plus spécifique qui se situe plus
tard dans la liste, c'est pourquoi des règles de la commande est très importante. Il y a la
possibilité d'appliquer une logique de ne pas l'évaluation des règles en utilisant inverse, afin
de définir les politiques les plus avancées.

Par exemple, si vous voulez enregistrer les connexions à un service, la première utilisation
de la règle qui va enregistrer la connexion, puis la règle qui va l'accepter.Si ces deux règles
sont dans l'ordre inverse, rien ne sera enregistré, parce que la première règle a accepte
déjà la connexion. Suivant la même logique, si vous souhaitez restreindre l'accès à l'Internet,
tout d'abord de restreindre les sites souhaités ou des clients et ensuite permettre l'accès au
reste, en échangeant l'emplacement des règles donnera un accès complet à tous les clients.

Par défaut, la décision est toujours à refuser les connexions et vous devez ajouter des
règles explicites pour les autoriser. Il y a une série de règles qui sont automatiquement
ajoutées lors de l'installation afin de définir une première version de politiques de pare-
feu: permettre à toutes les connexions sortantes vers des réseaux externes à l'Internet, à
partir du serveur Zentyal (trafic en provenance Zentyal aux réseaux externes) et également
permettre à tous les connexions à partir internes aux réseaux externes (dans le trafic entre
les réseaux internes et des réseaux internes à Internet). De plus, chaque module
installé ajoute une série de règles dans la circulation des sections à partir de
réseaux internes et de trafic de Zentyal réseaux externes à Zentyal, normalement en
permettant la circulation à partir de réseaux internes et niant des réseaux externes. Ceci est
rendu implicite, mais elle simplifie la gestion des pare-feu en permettant au service. Seule la
décision du paramètre doit être changé et que vous n'avez pas besoin de créer une nouvelle
règle. Notez que ces règles sont ajoutés pendant le processus d'installation d'un
module unique, et ils ne sont pas automatiquement modifiées lors des changements futurs.

Enfin, il y a une description supplémentaires sur le terrain utilisé pour ajouter un

commentaire descriptif sur la politique de règle dans la politique globale du pare-feu.
Redirection de port avec Zentyal

Redirection de port de destination peut être configuré en utilisant Firewall ‣redirection de

port.

Pour configurer une redirection que vous avez à établir une interface où le trafic reçu
des besoins de traduction. La source d'origine (qui peut être le serveur Zentyal, une adresse
IP source ou un objet), le port source d'origine (qui peut être tout, un port par défaut ou la
plage de Port), le Protocole et la source (qui peut être aussi tout, uneadresse IP ou un
objet). Vous pourrez également spécifier l'adresse IP de la destination et enfin le port
où l'hôte de destination recevra les demandes. Cela peutêtre le même que l'original ou
non. Il ya aussi un champ optionnel appelé la description utilisée pour clarifier l'objet de la
règle.

En outre, vous pouvez aussi connecter les connexions qui passent par cette redirection et
de l'adresse source Remplacer. Si vous cochez cette dernière optionl'hôte
interne verrez Zentyal comme la source d'origine de la connexion, ce qui est utile
si Zentyal n'est pas la porte d'entrée pour la machine interne.

Port redirection
routage
Introduction à routage réseau

Zentyal utilise le sous-système du noyau Linux pour le routage, configuré en utilisant

l'outil iproute2 [1].
[1] http://www.policyrouting.org/iproute2.doc.html
Configuration de routage avec Zentyal
passerelle

La passerelle est le routeur par défaut pour les connexions associées à une
destination qui n'est pas dans le réseau local. Cela signifie, si le système n'a pas
deroutes statiques définies ou si aucun de ces match avec la transmission désirée, la
passerelle sera utilisé par défaut.

Pour configurer une passerelle en Zentyal aller à Réseau ‣ passerelles, qui

contientles paramètres suivants.

Ajout d'une passerelle

Enabled:
Indique si cette passerelle est effectivement travailler ou si elle est désactivée.
Nom:
Nom utilisé pour identifier la passerelle.
Adresse IP:
Adresse IP de la passerelle. Cette adresse doit être directement accessible à
partir de l'hôte Zentyal est installé, cela signifie, sans autres routeurs dans le milieu.
Interface:
Interface réseau connecté à la passerelle. Les paquets envoyés à cette
passerellesera envoyé en utilisant cette interface.
poids
Plus le poids, plus de paquets seront envoyés en utilisant cette passerelle si vous
avez l'équilibrage du trafic activé.
Par défaut
Si cette option est activée, ce sera la passerelle par défaut.

Si vous avez configuré les interfaces que DHCP ou PPPoE [2] vous ne pouvez
pasajouter une passerelle explicitement pour ces derniers, parce qu'ils sont gérés
automatiquement. Néanmoins, vous pouvez toujours activer ou les désactiver en
éditant le poids ou de choisir si l'un d'eux est le défaut, mais il n'est pas possible
demodifier d'autres attributs.

Liste des passerelles avec DHCP et PPPoE

De plus Zentyal peut-être besoin d'un proxy afin d'accéder à l'Internet, par
exemple,des logiciels et des mises à jour antivirus, ou pour le proxy HTTP re-
direction.

Afin de configurer ce proxy externe, allez à Réseau ‣ passerelles. Ici vous pouvez
spécifier l'adresse du serveur proxy et aussi le port du proxy. Un utilisateur et mot de
passe peut être spécifié si le proxy exige.
[2] http://en.wikipedia.org/wiki/PPPoE

Table de routage statique

Si tout le trafic dirigé vers un réseau doit passer par une passerelle spécifique, une
passerelle statique est ajoutée. Ceci peut être utilisé, par exemple, d'interconnecter
deux réseaux locaux via leurs passerelles par défaut.

Pour faire une configuration manuelle d'une route statique, vous devez
utiliserRéseau Routes ‣ statique.
_images / Zentyal_static_route.png
 Configuration de route statique

Ces itinéraires peuvent être remplacés si le protocole DHCP est en cours d'utilisation.

Configuration de l'équilibrage du trafic avec Zentyal

Comme mentionné précédemment, un seul hôte peut avoir plus d'une passerelleconfiguré,
ce qui conduit à une situation où de nouveaux paramètres doivent être pris en compte lors
de la configuration d'un serveur Zentyal.

Liste des passerelles

Les règles de routage pour plus d'une passerelle, également connu en tant que
règles multigateway, permettre au réseau de l'utilisation de multiples connexions à
l'Internet, de manière transparente. Cela peut être très utile pour les organisations qui
nécessitent plus de bande passante que peut être offert par une ligne ADSL - ou qui ne
peuvent tolérer des interruptions d'accès à Internet, qui est très commun de nos jours.

L'équilibrage du trafic part les connexions sortantes vers l'Internet de manièreéquitable, en

permettant l'utilisation complète de la bande passante disponible. Laconfiguration la plus
simple est d'établir les pondérations différentes pour chaque passerelle - si les
connexions ont des capacités différentes, vous pouvez spécifierune utilisation optimale.
l'équilibrage du trafic

En outre, les Zentyal peut être configuré pour toujours envoyer les types donnés de trafic à
travers un routeur spécifique si nécessaire. Un exemple courant est de toujours envoyer un
courrier électronique de la circulation ou la totalité du trafic à partir d'un sous-réseau pré-
déterminé, à travers un routeur spécifique.

Règles Multigateway et l'équilibrage peut être établie dans la section

Réseau ‣passerelles, onglet l'équilibrage du trafic. Dans cette section, les règles peuvent
être ajoutées pour assurer certaines liaisons d'une passerelle spécifique, en fonction
del'interface, la Source (ce peut être une adresse IP, un objet, le serveur lui-même
ouZentyal échéant), la destination (une adresse IP ou un Object), le service auquel vous
voulez associer à cette règle et la passerelle d'où le trafic spécifiés doivent être acheminés.
Configuration WAN-basculement dans Zentyal
Lorsque vous effectuez l'équilibrage du trafic entre deux ou plusieurs passerelles, il
est recommandé d'activer la fonctionnalité WAN-basculement. Au cas où
vousl'équilibrage du trafic entre les deux routeurs et l'un d'eux souffre
d'une défaillance, si cette fonctionnalité n'est pas activée, une partie du trafic sera
toujours essayer d'utiliser le routeur non-fonctionnement, provoquant des
problèmes de connectivité pour les utilisateurs du réseau.

En utilisant une configuration de basculement il est possible de définir des jeux

detests pour chaque passerelle pour vérifier si elle est opératoire ou s'il ya des
problèmes et ne devrait plus être utilisé comme une route sortante à l'Internet. Ces
tests peuvent être constitués d'un ping vers la passerelle, à un hôte externe, la
résolution DNS ou une requête HTTP. Il est également possible de définir le nombre
de tests doivent être exécutés et le pourcentage d'acceptation requise. Si un test
échoue, n'atteignant pas le taux d'acceptation, la passerelle associée sera
désactivée. Ces tests vont continuer à fonctionner, alors quand les taux
d'acceptation sont satisfaits de nouveau, la passerelle sera à nouveau activée.

Désactivation d'une passerelle assure que tout le trafic va utiliser les

passerellesd'autres permis. Les règles multigateway associés à
cette passerelle seradeectivated et la qualité des règles de service seront
consolidées. De cette façon,les utilisateurs du réseau ne subira pas de problèmes
avec leur connexion Internet.Une fois Zentyal détecte que la passerelle handicapées
est opérationnel à nouveau, il va rétablir le comportement normal de l'équilibrage du
trafic, les règlesmultigateway et qualité de service.

Le basculement est implémenté comme un événement Zentyal. Pour l'utiliser,

vousdevez d'abord avoir le module Events permis, et après cela permettra le cas de
basculement WAN.

Basculement WAN

Pour configurer ces options et de tester le basculement, vous devez aller au Réseau ‣ menu
de passerelles basculement onglet WAN. Il est possible de spécifier la période de
l'événement en modifiant la valeur de l'option de temps entre les tests.Pour ajouter un clic
statuer sur l'option Ajouter de nouvelles et d'un formulaire avec les champs suivants seront
affichés:

Enabled:
Indique si la règle doit être appliquée lors des contrôles de connectivité des routeurs. Il est
possible d'ajouter des règles différentes et les activer ou les désactiver selon vos besoins,
sans avoir à supprimer et de les ajouter.
Gateway:
Ici, sélectionnez la passerelle à partir des listes de passerelles précédemment configuré.
Type de test:

Vous pouvez choisir l'une des valeurs suivantes:

 Ping à la passerelle:
Un paquet de contrôle est envoyé par le serveur Zentyal à la passerelle et attend une
réponse. Ceci vérifie qu'il existe une connectivité entre les deux hôtes et que la passerelle
est active. Ce ne vérifie pas si la passerelle est une connexion Internet ou non.
Ping à l'hôte:
Ce test envoie un paquet de contrôle et attend une réponse. Cette fois, il est envoyé
vers un hôte externe, afin de ne pas seulement la connexion de passerelle testés - la
connexion Internet est testé aussi.
Résolution DNS:
Obtient l'adresse IP pour le nom d'hôte spécifié, ce qui requiert une connectivité non
seulement entre le serveur et la passerelle et de l'Internet vers là-bas - mais aussi, que les
serveurs DNS sont encore accessibles.
Requête HTTP:
Cela pourrait être le test le plus complet, estimant qu'il essaie de télécharger le contenu
d'un site web spécifique, qui exige que tous les tests anciens pour être satisfaisante.

Hôte:
Le serveur qui va être utilisé pour la destination dans les tests. Ne s'applique pas aux ping
à la passerelle.
Nombre de tests:
Nombre de fois que vous allez répéter le test.
Le taux de réussite requis:
Indique le taux de tentatives réussies nécessaires pour évaluer un test comme «passé».

En utilisant la configuration par défaut, si aucune de ces règles sont activés, après la
désactivation d'une passerelle, l'événement n'est enregistré dans le fichier journal / var / log /
Zentyal / zentyal.log, si vous souhaitez recevoir les notifications en utilisant d'autres
méthodes, configurer un émetteur événement, tel que décrit dans le chapitre des
événements et des alertes ou d'acquérir un abonnement Zentyal professionnelle [3] qui
comprend des alertes d'événement automatique.
[3] http://store.zentyal.com/serversubscriptions/subscription-professional.html
Qualité de Service (QoS)
Qualité de service dans la configuration Zentyal
Zentyal est capable d'effectuer de lissage du trafic sur le trafic circulant via le serveur,
permettant un taux garanti ou limitée, ou assigner une priorité à certains types deconnexions
de données à travers le trafic de menu façonner ‣ règles.
Afin d'effectuer de trafic, au moins, une interface réseau interne et d'une interfaceexterne est
nécessaire. En outre, vous avez besoin, au moins, une passerelleconfiguré. En régulant le
trafic Tarifs Interface ‣ vous pouvez définir l'upload et le taux de téléchargement qui seront
fournis par les routeurs connectés à vos interfaces externes. Les règles de façonnage
sont spécifiques pour chaque interface, et ilspeuvent être choisis pour ces interfaces réseau
externe avec un taux de téléchargeraffecté - et pour toutes les interfaces internes.
Si l'interface réseau externe est en forme, alors vous êtes en limitant le trafic de
sortie Zentyal à l'Internet. Si, toutefois, vous façonner une interface réseau interne, puis la
sortie Zentyal aux réseaux internes est limitée. Le taux maximal de sortie etd'entrée sont
donnés par la configuration dans l'interface au Traffic Shaping Tarifs ‣.Comme vous pouvez
le voir, le façonnage du trafic d'entrée n'est pas possible directement, parce que le
trafic d'entrée n'est pas prévisible ni contrôlable la plupart du temps. Il existe des
techniques spécifiques prises par les différents protocolesutilisés pour gérer le
trafic entrant. TCP, artificiellement ajustant la taille de fenêtrepour le flux de données dans la
connexion TCP ainsi que le contrôle du tauxd'accusés de réception (ACK) segments
étant retourné à l'expéditeur.
Vous pouvez ajouter des règles pour chaque interface réseau afin de donner la
priorité (0: priorité la plus élevée, 7: la priorité la plus basse), le taux garanti ou taux
limité. Ces règles s'appliquent à la circulation lié à un service, d'une source et / oud'une
destination de chaque connexion.

Les règles de circulation façonner

De plus, il est possible d'installer le composant de couche-7 filtre qui vous permet de
configurer une analyse plus complexe de la régulation de trafic, basée sur l'identification
des protocoles dernier niveau par leur contenu plutôt que sur le port.Comme vous pouvez
voir lorsque vous installez ce composant, vous pouvez utiliser ce filtre en choisissant de
services d'application ou d'un groupe de services baséeDemande fondée en tant que
service.

Les règles basées sur ce type de filtrage sont plus efficaces que celles qui vientvérifier le
port, étant donné que vous pouvez avoir des serveurs configurés pour fournir le service
sur les ports par défaut. Ce sera inaperçue si vous n'avez pasanalyser le trafic lui-même. Il
est prévu que ce type d'analyse signifie généralementune charge plus lourde pour le
serveur de traitement Zentyal.

Service d'authentification réseau (RADIUS)

Introduction à RADIUS
Zentyal intègre les FreeRADIUS [2] du serveur, le plus populaire dans les environnements
Linux.
[2] http://freeradius.org/
Configuration d'un serveur RADIUS avec Zentyal

Pour configurer le serveur RADIUS dans Zentyal, vous devez d'abord vérifier l'état du
module, si les utilisateurs et groupes est activée, parce RADIUS en dépend. Vous pouvez
créer un groupe d'utilisateurs du menu et Groupes ‣ Groupes et ajouter des utilisateurs au
système de la Utilisateurs et Groupes Utilisateurs ‣ menu. Lorsque vous modifiez un groupe,
vous pouvez choisir les utilisateurs qui en font partie. Les options de configuration pour les
utilisateurs et les groupes sont expliqués en détail au chapitre du service d'annuaire (LDAP).

Des groupes de fois que vous avez ajouté et aux utilisateurs de votre système, vous devez
activer le module dans l'état du module en cochant la case RADIUS.
_images/ebox-radius-01.png
La configuration générale de RADIUS

Pour configurer le service, allez à RADIUS dans le menu de gauche. Ici vous pouvez
définir si tous les utilisateurs ou seulement les utilisateurs qui appartiennent à un
groupe spécifique sera capable d'accéder au service.

Tous les périphériques NAS qui vont envoyer des demandes d'authentification
pourZentyal doit être spécifié dans les clients RADIUS. Pour chacun, vous pouvez
définir:

Enabled:
Que ce soit le NAS est activée.
client:
Nom pour ce client, la même idée au nom d'hôte.
Adresse IP:
L'adresse IP ou plage d'adresses IP d'où il est autorisé à envoyer des requêtes
vers le serveur RADIUS.
Mot de passe partagé:
Mot de passe pour s'authentifier et cypher les communications entre le serveur
RADIUS et le serveur NAS. Ce mot de passe doit être connu des deux côtés.

Portail captif
Présentation
Zentyal implémente un service portail captif, qui vous permet de limiter l'accès au
réseau à partir des interfaces internes.

Configuration d'un portail captif avec Zentyal

Via le menu portail captif vous pouvez accéder à la
configuration du Zentyal portailcaptif.
Groupe
Si vous définissez un groupe, seuls les utilisateurs appartenant à il sera autorisé
àaccéder via le portail captif. Par défaut l'accès est autorisé à tous les utilisateurs
enregistrés.

Port HTTP et HTTPS le port

Vous pouvez trouver le service de redirection web sous le port HTTP, et le

portaild'inscription au port HTTPS. Zentyal redirigera automatiquement les requêtes Websur
le portail d'inscription, situé dans https://ip_address:https_port/

interfaces en captivité

Ici vous pouvez trouver une liste de toutes les interfaces réseau interne. Le portail
captif va limiter l'accès à des interfaces qui sont vérifiées dans cette liste.

Liste des utilisateurs

L'onglet courant utilisateurs contient une liste des utilisateurs qui sont actuellementinscrits
sur le portail captif.
Les informations suivantes pour chaque utilisateur est disponible:

utilisateur

Nom de l'utilisateur enregistré.

adresse IP

Adresse IP de l'utilisateur

L'utilisation de bande passante (en option)

Si le module Bandwidth Monitor est activé, ce champ affiche l'utilisation de bande

passante (en Mo) de l'utilisateur pour la période configurée.

De cette liste, il est également possible de "kick" des utilisateurs. Cette action vafermer
instantanément session de l'utilisateur, le laissant sans accès à Internet.
Bandwidth Monitor
Si le module Bandwidth Monitor est actif, vous pouvez limiter l'utilisation de la bande
passante de l'utilisateur. La section de bande passante Paramètres vous permet de
limiter l'upload et le téléchargement pour les réseaux externes.
Configuration du portail captif avec limitation de bande passante

Si cette option est activée, les utilisateurs d'atteindre le quota de bande

passantedéfinie (en Mo) dans la période définie perdra automatiquement la
connexion.
Utilisation du portail captif
Quand un utilisateur, connecté à Zentyal grâce à une interface en captivité, tente
d'accéder à n'importe quelle page web en utilisant son / son navigateur, il / elle sera
automatiquement redirigé vers le portail captif, demandant l'authentification.
Après une connexion réussie, une fenêtre pop-up sera présentée à l'utilisateur. Cette
fenêtre empêche l'ouverture de session utilisateur, il devrait donc être maintenu
ouvert jusqu'à ce que l'utilisateur se déconnecte du portail captif.

HTTP Proxy Service

Introduction à HTTP Proxy Service
Utilise Zentyal Squid [1] comme proxy HTTP, avec Dansguardian [2] pour le contrôle
de contenu.
[1] http://www.squid-cache.org/
[2] http://www.dansguardian.org/
La configuration du proxy HTTP dans Zentyal

Pour configurer le proxy HTTP aller au proxy HTTP ‣ général. Vous pouvez définir le
mode que vous devez le proxy pour fonctionner en proxy transparent, si vous voulez
forcer les politiques configurées ou utiliser une configuration manuelle. Dans ce cas,
à Port-vous établira le port pour les connexions entrantes. Le port par défaut sera
3128, d'autres ports typiques peuvent être 8000 ou 8080. Proxy Zentyal n'acceptera
que les connexions qui viennent d'interfaces réseau interne, donc une adresse
réseau interne doit être utilisé pour la configuration du navigateur Web.

La taille du cache va définir l'espace disque maximum utilisé pour stocker

temporairement le contenu Web. Cette valeur est définie dans la taille du cache et
c'est la décision de l'administrateur système 'pour définir la valeur optimale, en tenant
compte des caractéristiques du serveur et le trafic attendu.

La politique par défaut pour l'accès à des contenus Web HTTP par le proxy peut être
configuré. Cette stratégie détermine si le Web peut être consulté et si le filtre de
contenu doit être appliqué. Vous pouvez choisir une des options ci-dessous:

Autoriser tous:
Avec cette politique, vous pouvez permettre aux utilisateurs de naviguer sur le web
sans aucun type de restrictions, mais encore les avantages de la mémoire cache;
une économie de trafic et une meilleure vitesse.
Deny All:
Cette politique nie totalement les accès au Web. Même si cela peut sembler inutile
à première vue, étant donné que vous pouvez obtenir le même effet avec une règle
de pare-feu, vous pouvez ensuite établir des politiques particulière à différents
objets, les utilisateurs et les groupes, donc en utilisant cette politique à nier, par
défaut, puis en choisissant avec soin ce qui sera accepté.
Filtre:
Cette politique permet aux utilisateurs de naviguer, mais permet le filtrage de
contenu, qui peut nier l'accès à certaines pages web demandées par les utilisateurs.
Autoriser et .. Filtre, permettent à tous, Deny All:
Ces politiques sont des versions de la politique précédente, où l'authentification
est requise. L'authentification sera expliqué dans Proxy HTTP de configuration
avancée.
Il est possible de sélectionner les domaines ne seront pas stockées dans le cache.
Par exemple, si vous avez des serveurs Web local, vous ne serez pas accélérer
l'accès à l'aide du cache et la mémoire qui peut être utilisé pour stocker le contenu
du serveur à distance est gaspillée. S'il est un domaine exclu de la cache, quand une
demande est reçu pour ce domaine, le cache est ignoré et que les données sont
transmises par le serveur sans le stocker. Ces domaines sont définis dans les
exceptions du cache.

Après avoir réglé la politique mondiale, les politiques plus spécifiques peuvent être
définis pour les objets du réseau dans le menu de proxy HTTP ‣ Politique de l'objet.
Choisissez l'un des six politiques de chaque objet; Si l'accès au proxy à partir
den'importe quel membre de l'objet associé à cette politique se produit, il aura priorité
sur la politique mondiale. Une adresse réseau peut être contenue dans des
objetsdifférents, de sorte qu'il est possible de trier les objets pour indiquer la
priorité. Seulsappliquer la politique objet avec une priorité plus élevée. Il ya aussi la
possibilité de définir une gamme heure où l'accès à l'extérieur de l'objet réseau est
refusé. Cette option est uniquement compatible avec les autoriser ou de refuser les
politiques, et non pas avec des politiques de filtrage.
Blocage des annonces sur le web
Le proxy HTTP peut bloquer les publicités affichées sur les pages web. Cela permettra
d'économiser la bande passante et réduire les distractions pour les utilisateurs. Pour utiliser
cette fonctionnalité, allez dans Proxy HTTP ‣ général et de permettre le blocage de
l'annonce.

Le blocage des publicités affecte tous les Web accède faite par le proxy.
Limiter les téléchargements avec Zentyal
Une autre offre configurable Zentyal fonction est de limiter la bande passante de
téléchargement en utilisant des objets réseau à travers les Fonds de retard. Pour
configurer cela, allez dans Proxy HTTP bande passante Limite ‣. Vous pouvezreprésenter
les piscines de retard que les boîtes qui contiennent une quantité limitée de bande passante,
ils sont remplis avec le temps, et en utilisant le réseau de vide entre eux. Quand ils sont
complètement vides, la bande passante et la vitesse de téléchargement est limitée. Gardant
à l'esprit cette représentation, vous pouvez configurer les valeurs suivantes:

Ratio:
Bande passante maximale qui peut être utilisé une fois que la boîte est vide.
Volume:
Capacité maximale de la boîte en octets, disons que la boîte sera vide si vous
avez transmis ce nombre d'octets.

Zentyal vous permet de limiter la bande passante en utilisant deux méthodes

différentes; Retard Piscines classe 1 et classe 2. Les restrictions de la classe 1 ont la priorité
sur les restrictions de classe 2, si un objet réseau ne correspond pas àl'une des
limitations dans les règles, non sera appliquée.

Piscines classe Delay 1

Ces piscines Retard limiter la bande passante globale pour un sous-réseau, etpermettre
la configuration d'une limite de données transférées. La taille du fichier et une restriction de
bande passante maximale, en vitesse de téléchargement. La limitation sera activée
lorsque la limite de données a été atteint. Ces décalages sont Piscines une boîte unique et
partagé par tous les objets du réseau.
Piscines classe Delay 2
Ces piscines ont Retard de deux types de boîtes, un général où, comme dans laclasse
1 tout le trafic transmis est accumulée et un dédié à chaque client. Si un membre du sous-
réseau case vide de son / sa, son / sa bande passante sera limitée à taux de
téléchargement du client, mais cela n'affectera pas les autres clients. S'ils vider la
boîte partagée, tous les clients seront limités à la vitesse de téléchargement du réseau.
Le filtrage de contenu avec des Zentyal
Zentyal soutient filtrage page web en fonction du contenu. Pour ce faire la
politiquemondiale doit être mis ou de la politique spécifique de chaque objet doit
être filtre ou d'autoriser et de filtre.

Vous pouvez définir plusieurs profils de filtrage de proxy HTTP ‣ profils de

filtrage,mais s'il n'y a pas de profil spécifique pour cet utilisateur ou d'un objet par
défautsera appliquée.

Le filtrage de contenu pour les pages Web peuvent être obtenus en utilisantdifférentes
méthodes, y compris le filtrage heuristique, type MIME, les extensions, les listes blanches
et listes noires, entre autres. La décision finale est - si un site web spécifique, peut être
consulté ou non.
Le premier filtre est configuré pour être antivirus. Pour l'utiliser, le module antivirus doit être
installé et actif. Si elle est activée, puis le trafic HTTP contenant des virusdétectés seront
bloqués.

Filtrage heuristique se compose principalement de l'analyse du texte dans des pages web. Si
le contenu est inapproprié (pornographie, racisme, violence, etc), le filtre permet de
bloquer l'accès à la page. Pour contrôler ce processus, vous devez établir un seuil qui est
plus ou moins restrictives. Il s'agit de la valeur à compareravec le score attribué au
site. Le seuil peut être réglé dans la section seuil de filtrage de contenu. Vous pouvez
désactiver ce filtre en choisissant la valeur Off. Gardez à l'esprit que cette
analyse peut bloquer les pages autorisé, ce qui est connu commeun faux positif. Ce
problème peut être résolu en ajoutant les domaines de ce site àune liste blanche, mais il ya
toujours le risque d'un faux positif avec de nouvelles pages.

Aussi l'extension du fichier de filtrage, le filtrage de type MIME et le domaine des options de
filtrage sont disponibles.
Dans l'onglet Extension de fichier dont l'extension de filtrage choisissez sera
bloqué. De façon similaire dans le type MIME de filtrage, vous pouvez sélectionner
les types MIME sont bloqués et en ajouter de nouvelles si nécessaire, comme avec
les extensions.

Dans l'onglet Domaine de filtrage de la configuration de filtrage basé sur les

domaines peuvent être trouvés. Sections sont disponibles:

Domaines de bloc spécifiée uniquement comme IP, cette option bloque

lesdomaines

basée uniquement sur l'adresse IP et non pas dans le domaine.

 Bloc non domaines répertoriés, cette option bloque tous les domaines qui

ne sont pas présents dans le domaine des règles de la section ou dans les
catégories présentes dans les fichiers de la liste de domaine et dont la politiquen'est
pas réglé sur Ignorer.

Viennent ensuite les listes de domaines, où les noms de domaine peuvent être
insérés et l'un de ces politiques peuvent être choisis:

Toujours autoriser:
L'accès aux contenus de domaine sera toujours permis, tous les filtres sont
ignorés.
Toujours refuser:
L'accès aux contenus de domaine ne sera jamais permis.
Filtre:
Règles habituelles sont appliquées à ce domaine. Il est utile si vous avez
activél'option de bloc non cotées domaines.

Le travail de l'administrateur système peut être simplifié si vous utilisez des listes de
domaines classés. Ces listes sont normalement gérés par des tiers et ont l'avantage
de classer par catégories de domaines, vous permettant de choisir une politiquepour
une catégorie de domaine complet. Ces listes sont distribuées sous forme de
fichier compressé. Une fois qu'un fichier a été téléchargé, il peut être incorporé
dansles configurations et les politiques établies pour les différentes catégories. Les
politiques qui sont disponibles pour chaque catégorie sont les mêmes que ceux
utilisés pour les domaines et sera appliqué à tous les domaines, dans la catégorie. Il
ya une politique supplémentaire ignorer, comme son nom l'indique, ce sera ignorer
tous de cette catégorie lors du filtrage. C'est la politique par défaut pour toutes les
catégories.

Utiliser les mises à jour de sécurité avancée dans Zentyal [3], une base de données
actualisée des catégories de domaine peuvent être installées automatiquement -afin d'avoir
un contenu professionnel de filtrage au niveau politique.
[3] http://store.zentyal.com/other/advanced-security.htmls.
Zentyal directeur Unified Threat
L'UTM (Unified Threat Manager) est un concept plus avancé que le pare-feu. L'UTM ne
définit pas seulement une politique fondée sur la source ou de destination, les ports ou les
protocoles, mais fournit les outils nécessaires pour sécuriser votre réseau. Ces outils vous
permettent d'interconnecter différents sous-réseaux en toute sécurité, de définir des
politiques avancées de navigation, de détecter les attaques sur votre réseau à partir
d'Internet ou des hôtes dans le réseau interne, parmi d'autres options.

En utilisant VPN (Virtual Private Network), il est possible d'interconnecter différents sous-
réseaux privés via Internet de façon totalement sûre. Un exemple typique de cette fonction
est la communication entre deux ou plusieurs bureaux de la même entreprise ou
organisation. Vous pouvez également utiliser le VPN pour permettre aux utilisateurs de se
connecter à distance et en toute sécurité au réseau d'entreprise.

En plus du protocole OpenVPN, vous offre la Zentyal IPSec et PPTP pour assurer la
compatibilité avec des systèmes tiers et les boîtes de Windows où vous ne souhaitez pas
installer de logiciel supplémentaire.

Une autre fonctionnalité incluse dans Zentyal est la définition de fonctionnalités de navigation
avancée basée sur, et non pas seulement sur le contenu des pages, mais aussi sur les
différents profils par sous-réseau, utilisateur, groupe et le temps - y compris l'analyse des
logiciels malveillants.

Email filtrage est une caractéristique fondamentale pour la sécurité de votre serveur et les
utilisateurs, afin Zentyal offre une configurabilité grande intégration des services pour le
couvrir. Il sera expliqué sur le chapitre de communication en raison de dépendances
logiques avec le module électronique.

Enfin, vous apprendrez à connaître - peut-être la caractéristique la plus importante de l'UTM

- l'IDS (Intrusion Detection System). Cet élément analyses chercher le trafic réseau pour les
modèles d'attaques. Contrairement au pare-feu, qui impose des règles statiques prédéfinies
par l'administrateur, une IDS analyse chaque connexion en temps réel. Cette fonctionnalité
vous permet de franchir une étape supplémentaire lors de l'entretien de la sécurité de votre
réseau et être immédiatement au courant de ce qui se passe. Comme autres filtres, il peut
être affectée par les faux positifs, les alertes de sécurité sur les événements inoffensifs et
aussi par de faux négatifs - non identifiés événements potentiellement dangereux.Vous
pouvez diminuer ces inconvénients en gardant les règles de reconnaissance et de modèles
mis à jour régulièrement. En utilisant les mises à jour de sécurité avancés par Zentyal [1] les
règles IDS peuvent être automatiquement mis à jour en utilisant un large éventail de règles
et des modèles pré-sélectionnés par les experts en sécurité.
[1] https://store.zentyal.com/other/advanced-security.html

Proxy HTTP configuration avancée

Configuration des profils de filtrage
Vous pouvez configurer les profils de filtrage dans le proxy HTTP ‣ section
Filtreprofils.

Vous pouvez créer et configurer de nouveaux profils de filtrage pour être utilisé
pardes groupes d'utilisateurs ou d'objets réseau.

Les options de configuration sont exactement les mêmes que celles expliquées
dansla configuration du profil par défaut dans le service proxy HTTP chapitre, sauf
pour une exception importante: il est possible d'utiliser la configuration du profil par
défautpour les différentes valeurs des profils de filtrage. Pour ce faire, tout ce que
vousdevez faire est de cliquer sur la configuration par défaut d'utilisation.
Profil de filtrage par objet
Vous pouvez choisir un profil de filtrage pour un objet
source. Les demandesprovenant de cet objet va utiliser le profil choisi au lieu du
profil par défaut. Cette option est utile si vous voulez définir des politiques de sécurité
différentes pour des classes d'informatique ou de différents groupes d'hôtes que
l'accès par la passerelleZentyal. Vous auriez pu, par exemple, un groupe
d'ordinateurs dans une classed'accès public qui requièrent une authentification pour
la navigation alors que dansles bureaux avec les politiques générales hôtes du
réseau privé sera utilisé. Ou une salle de classe pour les élèves dont le contenu est
filtré alors que dans le salon detous les professeurs le trafic est autorisé.

Pour ajouter ce type de configurations, vous devez aller à la politique de proxy

HTTPObjet ‣ et cliquez sur Ajouter nouveau. Formulaire de configuration politique par
objetsera affichée. Dans chacune des politiques que vous pouvez spécifier
l'objet réseau, il sera appliqué à des politiques, admis la période et le profil de filtre.
Les politiques sont les mêmes que vous avez déjà vu dans le chapitre du serviceproxy
HTTP, vous devez choisir si vous voulez filtre le profil de filtre à appliquer.

Le délai accordé est le temps pendant lequel le profil que vous configurez seraactivé. Vous
pouvez définir les heures de travail hebdomadaires et des jours pour lesquels la politique
sera activé. Pendant d'autres périodes, la configuration par défaut sera appliquée.

Pour faciliter les choses et d'éviter les chevauchements, vous n'êtes pas autorisé à créer des
politiques différentes pour le même objet.

Groupe d'utilisateurs filtrage basé sur

Vous pouvez utiliser les groupes d'utilisateurs dans le contrôle d'accès et le filtrage.Pour ce
faire vous devez d'abord activer le module Utilisateurs et groupes dans l'état du
module. Vous pouvez créer un groupe d'utilisateurs du menu et Groupes ‣Groupes et
ajouter des utilisateurs au système de la Utilisateurs et GroupesUtilisateurs ‣ menu. Lorsque
vous modifiez un groupe, vous pouvez choisir les utilisateurs qui en font partie. Les options
de configuration pour les utilisateurs et les groupes sont expliqués en détail au chapitre du
service d'annuaire (LDAP).

Pour définir un groupe d'utilisateur filtrage basé suivez ces étapes: d'abord, vous devez
utiliser l'une des options que la force Autoriser une politique objet global ou réseau. Ces
politiques garantissent le proxy utilise une identification d'utilisateur valide pour permettre
l'accès.

Une fois que vous êtes capable d'authentifier les utilisateurs, vous pouvez également
établir des stratégies de groupe mondial. Ces politiques donnent le contrôle sur la portée des
membres d'un groupe spécifique et de leur attribuer des profils de filtration autres que le
profil par défaut.

Attention

Une limitation technique dans le protocole d'authentification HTTP signifie que vousne
pouvez pas appliquer les politiques d'authentification si le proxy est utilisé en mode
transparent.

Les stratégies de groupe sont gérées dans le proxy HTTP section ‣ stratégie de
groupe. Ces uniquement décider si l'utilisateur peut ou ne peut pas accéder au web. Si vous
souhaitez appliquer un filtre spécifique, vous devez définir la politique globale ou de la
politique objet à partir duquel ils se connectent à autoriser et filtrer.

Comme dans le cas des politiques de l'objet réseau, vous pouvez définir unepolitique pour
ce groupe qui peut être Autoriser ou Refuser. La période de temps et le profil de
filtrage doivent être appliquées au cas où l'hôte à partir duquell'utilisateur s'authentifie a une
politique de filtrage ou une politique a déjà été établiedans la configuration globale.

La priorité de chaque groupe politique est reflétée par sa position dans la liste (leplus
élevé sur la liste, plus la priorité). La priorité est important parce que quandvous avez des
utilisateurs qui appartiennent à plusieurs groupes, ils ne seronttouchés par les politiques de
groupe avec la plus haute priorité.
Groupe d'utilisateurs filtrage basé sur des objets
Politiques de filtrage par les objets du réseau ont la priorité sur la politique par
procuration et les politiques générales du groupe mondial.

De plus, si vous avez choisi une politique d'autorisation, vous pouvez également
définir des politiques par groupe. Comme avec les politiques du groupe mondial,
ces politiques ne touchent pas l'accès et le filtrage. Filtrage sera déterminé par la
politique de l'objet à laquelle ils appartiennent. De même, les politiques de
l'authentification ne peut pas être déployé si vous utilisez proxy en mode transparent.

Enfin, il est important de noter que vous ne pouvez pas attribuer de filtrage des
profilsde groupes dans les politiques de l'objet. Par conséquent, un groupe
appliquera le profil de filtrage mis en place dans sa politique de groupe
mondial, indépendante de l'objet réseau à partir duquel il accède à la procuration.

Vous pouvez ajouter ces politiques dans la colonne de la politique du Groupe, Proxy
HTTP ‣ liste des objets de stratégie.
Réseau privé virtuel (VPN) avec OpenVPN
Introduction à des réseaux privés virtuels (VPN)
Zentyal intègre OpenVPN [2] PPTP et IPSec pour configurer et gérer des réseaux privés
virtuels. Dans cette section, vous verrez comment configurer OpenVPN, leVPN par défaut de
protocole dans Zentyal. Dans la section suivante, vous apprendrez comment
configurer PPTP et IPSec.

OpenVPN présente les avantages suivants:

Authentification utilisant infrastructure à clé publique.

La technologie de cryptage SSL.
Clients disponibles pour Windows, Mac OS et Linux.
Plus facile à installer, à configurer et à entretenir que IPSec, un autre open
source alternatifs VPN.
Permet d'utiliser les applications de réseau de manière transparente.

[2] http://openvpn.net/

Configuration d'un serveur OpenVPN avec Zentyal

Zentyal peut être configuré pour supporter les clients distants (parfois connu sous le
nom guerriers de la route). Cela signifie un serveur Zentyal agissant comme une
passerelle et le serveur VPN avec un réseau local (LAN) derrière elle permet aux
clients externes (les guerriers de la route) pour se connecter au réseau local via le
service VPN.

La figure suivante peut donner une vue plus précise: