Internet

Comment configurer un proxy antivirus HTTP à l’aide de pfSense et HAVP

Sam travaille comme analyste de réseau pour une société de trading algorithmique. Il a obtenu son baccalauréat en technologie de l’information de l’UMKC.

Dans cet article, je vais montrer comment configurer un routeur pfSense pour qu’il fonctionne comme un proxy antivirus à l’aide du package HAVP.

Les proxys antivirus agissent comme des proxys Web traditionnels, sauf qu’ils analysent tout le contenu passant par le proxy à la recherche de signatures de virus ou de logiciels malveillants. Si le proxy identifie le contenu comme malveillant, le téléchargement sera bloqué et l’ordinateur client sera redirigé vers une page d’erreur.

Le plus grand avantage de la recherche de virus directement sur le routeur ou la passerelle est que les virus peuvent être bloqués avant même qu’ils n’entrent dans votre réseau. Cette fonctionnalité est particulièrement utile pour les réseaux publics ou les points d’accès sans fil ou d’autres situations où vous ne pouvez pas être sûr que tous les ordinateurs disposent d’une application antivirus installée.

Même si mes ordinateurs ont tous des programmes antivirus installés, j’aime ajouter une autre couche de protection à mon réseau. HAVP fonctionne très bien pour cela.

comment-configurer-un-proxy-anti-virus-http-en-utilisant-pfsense-et-havp

Prérequis pour HAVP

Si vous n’avez jamais installé pfSense auparavant, consultez le guide d’installation de pfSense.

Pour que le package HAVP fonctionne, vous devez déjà disposer d’un proxy squid transparent fonctionnel fonctionnant sur pfSense.

Étape 1 : Installez le package HAVP

Pour commencer, vous devez installer le package HAVP. Cliquez sur l’élément de menu packages dans le menu système pour charger le gestionnaire de packages pfSense. Localisez le package HAVP et cliquez sur le symbole plus à droite de la description du package pour l’installer.

Installez le package HAVP à l'aide du gestionnaire de packages pfSense.

Installez le package HAVP à l’aide du gestionnaire de packages pfSense.

Étape 2 : Configurer HAVP

Une fois que vous avez installé HAVP, quelques paramètres doivent être modifiés avant qu’il ne fonctionne correctement. Cliquez sur l’entrée antivirus dans le menu des services pour accéder aux paramètres HAVP.

A lire aussi :  Comment j'ai corrigé le code d'erreur 1020 d'accès refusé à ChatGPT

Cliquez ensuite sur l’onglet Proxy HTTP et cochez la première case pour activer le proxy. Pour le réglage du mode proxy, sélectionnez parent pour squid. En définissant squid comme proxy parent, le trafic s’écoulera comme indiqué ci-dessous

Client <-> Passerelle pfSense <-> Proxy calmar <-> HAVP <-> l’Internet

Assurez-vous que l’interface proxy est définie sur LAN, le numéro de port par défaut fonctionnera correctement. Vous devrez probablement modifier le paramètre de langue car l’anglais n’est pas la langue par défaut. La langue que vous choisissez affecte la langue dans laquelle les messages d’erreur du client seront affichés.

Ensuite, faites défiler jusqu’en bas et cliquez sur le bouton Enregistrer.

La page de configuration HAVP se trouve dans la page antivirus du menu des services.

La page de configuration HAVP se trouve dans la page antivirus du menu des services.

Faites défiler pour continuer

Étape 3 : Activer les mises à jour automatiques des définitions

Pour activer les mises à jour automatiques des définitions de virus, cliquez sur l’onglet Paramètres Je recommande de configurer la mise à jour de la base AV pour qu’elle se produise toutes les 24 heures. Si vous êtes vraiment paranoïaque des menaces du jour zéro, vous pouvez configurer les mises à jour pour qu’elles se produisent plus souvent, même si vous utiliserez davantage votre bande passante Internet si vous le faites.

C’est aussi une bonne idée de choisir un miroir de téléchargement régional situé près de chez vous, la sélection d’un miroir proche permettra aux définitions de se télécharger beaucoup plus rapidement.

Si vous rencontrez des difficultés pour télécharger les mises à jour, vous pouvez activer la journalisation pour vous aider à identifier le problème.

HAVP peut être configuré pour télécharger automatiquement les mises à jour de définition.

HAVP peut être configuré pour télécharger automatiquement les mises à jour de définition.

Étape 4 : Vérifiez l’état des services

À ce stade, HAVP devrait être opérationnel. J’aime vérifier l’état juste pour m’assurer que tous les services ont démarré et que le fichier de définition a été téléchargé. Sur la page générale de HAVP, vous devriez voir des flèches vertes à côté du service proxy et du serveur antivirus.

Dans le champ de version, vous devriez voir ClamAV suivi de la date du fichier de définition de virus que vous utilisez. Si le fichier est obsolète, accédez à l’onglet Paramètres et cliquez sur le bouton Update_AV pour démarrer manuellement le processus de mise à jour.

Si HAVP fonctionne, le serveur proxy et le serveur antivirus doivent avoir des icônes d'état vertes.

A lire aussi :  Navigateurs Tor : à quel point sont-ils sûrs ?

Si HAVP fonctionne, le serveur proxy et le serveur antivirus doivent avoir des icônes d’état vertes.

Étape 5 : Tester la détection de virus

Si vous voulez voir ce que vos utilisateurs verront lorsqu’ils tenteront de télécharger un virus, vous pouvez télécharger le fichier de test de virus EICAR sur eicar.org.

Le fichier de test n’est pas un virus réel, le fichier contient une signature standardisée qui est utilisée pour tester le logiciel antivirus.

Si HAVP fonctionne correctement, vous devriez être redirigé vers une page avec un message d’accès refusé. Si vous ne voyez pas la page d’avertissement, revenez en arrière et vérifiez l’état des services sur la page principale des paramètres HAVP.

Les utilisateurs qui tentent de télécharger un fichier malveillant seront redirigés vers une page d'erreur.

Les utilisateurs qui tentent de télécharger un fichier malveillant seront redirigés vers une page d’erreur.

Étape 6 : Personnalisez les pages d’erreur

Pour donner à vos pages d’erreur un aspect plus professionnel, je vous recommande de personnaliser les pages HTML, voire de les remplacer entièrement. Vous pouvez ajouter le nom et le logo de votre entreprise, les coordonnées de votre service informatique ou toute autre information que vous jugez utile.

Les fichiers HTML des pages par défaut se trouvent dans /usr/local/share/examples/havp/templates. Vous pouvez modifier ces fichiers directement en vous connectant à la console avec SSH, ou vous pouvez utiliser WinSCP pour copier les fichiers sur une autre machine, les modifier, puis remplacer les fichiers existants.

Dans le répertoire des modèles, il existe un dossier pour chacune des langues prises en charge. La langue que vous sélectionnez sur la page des paramètres déterminera quels fichiers HTML seront utilisés.

Si vous décidez d’utiliser vos propres fichiers HTML, vous devez toujours utiliser les mêmes noms de fichiers.

Cet article est exact et fidèle au meilleur de la connaissance de l’auteur. Le contenu est uniquement à des fins d’information ou de divertissement et ne remplace pas un conseil personnel ou un conseil professionnel en matière commerciale, financière, juridique ou technique.

© 2011 Sam Kear

A lire aussi :  Plus de 300 noms Wi-Fi amusants

ada4u le 25 décembre 2018 :

de plus, cette méthode ne fonctionne que pour les connexions http plain, pas pour https

Sam Kear (auteur) de Kansas City le 25 mai 2016 :

@ben

Le package HAVP n’est pas présent dans pfSense 2.3. La prise en charge de l’antivirus est désormais intégrée au package de serveur proxy Squid via C-ICAP.

Après avoir installé Squid, vous remarquerez qu’il existe un onglet Antivirus dans le package de paramètres du service Squid. Cela vous permet d’activer l’analyse antivirus ClamAV via le proxy.

Ben le 25 mai 2016 :

HAVP n’est pas répertorié dans les mises à jour disponibles sur mon système pf, il existe cependant d’autres packages disponibles qui ne figurent pas sur cette capture d’écran … étrange.

monsieurcharles le 25 février 2016 :

Merci beaucoup pour la rédaction.

J’ai un problème, j’ai suivi votre guide pour configurer Squid et HAVP, malheureusement, le service HAVP reste arrêté et lorsque je vérifie les journaux, j’obtiens l’erreur ci-dessous, veuillez me soutenir :

php-fpm[61497]: /antivirus.php : HAVP : RAMDisk non utilisé. Diagnostic : Mo système, Mo disponibles, Mo calculés. Essayez de réduire la valeur ‘MAXSCANSIZE’.

Akinti Kole le 18 juin 2015 :

Salut. Merci pour les informations fournies. J’ai pu installer le HAVP avec succès mais après quelques minutes d’installations, il se déconnecte et une erreur lit « read only/file/http/havp/ » . S’il vous plait, que faut-il faire ?

François le 09 novembre 2013 :

Bonjour,

J’aime votre solution. C’est léger, simple et efficace.

Cependant, de mon côté, je n’ai jamais réussi à installer HAVP sur mon alix 2d13 (235Mo de RAM disponibles). Quelle que soit la version de pfSense (2.0, 2.0.3, 2.1), j’ai toujours eu quelques bugs (espace de swap, /var en lecture seule, bug clam frais, etc.).

Savez-vous s’il existe une image compact-flash de pfSense avec HAVP pré-installé ?

Merci

karanik le 07 août 2013 :

Bonjour ,

J’ai un problème avec ça. Après quelques secondes, arrêtez le service de calmars.

Qu’est-ce qui ne va pas?

Bouton retour en haut de la page