netasq F60 filtrage url "trop restrictif"

netasq F60 filtrage url "trop restrictif" - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 23-10-2008 à 16:18:53    

Bonjour à tous,
 
Je suis l'heureux gestionnaire d'un netasq f60. ;)  
 
Je rencontre un problème au niveau de l'accès de mes utilisateurs sur certains sites,
notamment voyages-sncf.com. L'accès au site est permis, mais dès que l'on rentre des infos pour réserver un train ville départ,arrivée, etc...page blanche pas moyen d'aller plus loin.
Les "logs" du F60 disent "débordement dans une url (query)".
Je ne suis pas expert en sécu, d'après la doc du netasq, je serais tenté d'aller changer la(s) valeur(s) suivante(s) des tampons du plugin http : url,query,argument.
Qu'en pensez vous ?
Quel est l'impact sur la sécurité en bougeant ces paramètres ?
Merci

Reply

Marsh Posté le 23-10-2008 à 16:18:53   

Reply

Marsh Posté le 23-10-2008 à 17:16:03    

Déjà afin d'identifier le problème, tu px temporairement désactiver le plugin http.
Si ton site fonctionne, ça vient bien de lui. Tu le reactives et tu augmentes la valeur incriminée.

Reply

Marsh Posté le 25-10-2008 à 20:00:24    

je connais ce pb, je "gere" aussi un F50.
il fo modifier les parametres du netasq.
si besoin, je peut t'aiguiller.
 
F.

Reply

Marsh Posté le 03-11-2008 à 12:09:11    

raphael_75 a écrit :

Bonjour à tous,
 
Je suis l'heureux gestionnaire d'un netasq f60. ;)  
 
Je rencontre un problème au niveau de l'accès de mes utilisateurs sur certains sites,
notamment voyages-sncf.com. L'accès au site est permis, mais dès que l'on rentre des infos pour réserver un train ville départ,arrivée, etc...page blanche pas moyen d'aller plus loin.
Les "logs" du F60 disent "débordement dans une url (query)".
Je ne suis pas expert en sécu, d'après la doc du netasq, je serais tenté d'aller changer la(s) valeur(s) suivante(s) des tampons du plugin http : url,query,argument.
Qu'en pensez vous ?
Quel est l'impact sur la sécurité en bougeant ces paramètres ?
Merci


 
 
C'est ce qu'il faut faire  :jap:
 
L'impact, je ne pense pas que tu auras de gros soucis, pour ma part je tourne avec 1 F200 et 37 F25 et j'ai augmenté la taille des valeures depuis 2 ans maintenant et pas de prob.
 
Le systeme est très restrictif de base, c'est pas plus mal :)  
 
Par contre si tu touches au filtrage des signatures contextuelles, active les flag de façon à voir ou sa déonne dans le monitor. Avec certaines maj (notemment la derniere concernant le video lan vlc qui était bloqué par defaut, j'avais tout notre siège qui ne pouvait plus afficher de page.)
 
Si tu rencontres des soucis, hésites pas.


Message édité par alex2k5 le 03-11-2008 à 12:10:26
Reply

Marsh Posté le 12-11-2008 à 21:16:57    

Bonjour,
Nouveau sur ce site je recherche un connaisseur du netasq f60.
Voilà mon problème, notre fournisseur de logiciel doit intervenir pour une télé-formation en utilisant LogMeIn seulement il lui est impossible de se connecter. Je dois trouver une solution pour que le netasq autorise cette connection et je ne suis pas informaticien.
Pouvez vous m'aider

Reply

Marsh Posté le 01-12-2008 à 01:13:21    

fifi-internet a écrit :

Bonjour,
Nouveau sur ce site je recherche un connaisseur du netasq f60.
Voilà mon problème, notre fournisseur de logiciel doit intervenir pour une télé-formation en utilisant LogMeIn seulement il lui est impossible de se connecter. Je dois trouver une solution pour que le netasq autorise cette connection et je ne suis pas informaticien.
Pouvez vous m'aider


 
Bonsoir,
 
Au sujet de voyages SNCF il faut déconnecter l'ASQ sur ce site web, soit par son IP si il n'y en a qu'une ou faire un objet en dynamique (dans le filtrage). Soit en créant un nouveau profil ASQ mais sans le plugin HTTP (pareil dans le filtrage). Voir aussi le MSS dans l'ASQ, jouer sur ses limites.
 
Pour le problème de Log Me In , il faudrait rediriger les ports de connexions dans le NAT et faire une règle de filtrage en conséquence. La meilleur solution serait un VPN PPTP.
 
Cdt PoPo.

Reply

Marsh Posté le 01-12-2008 à 13:39:51    

fifi-internet a écrit :

Bonjour,
Nouveau sur ce site je recherche un connaisseur du netasq f60.
Voilà mon problème, notre fournisseur de logiciel doit intervenir pour une télé-formation en utilisant LogMeIn seulement il lui est impossible de se connecter. Je dois trouver une solution pour que le netasq autorise cette connection et je ne suis pas informaticien.
Pouvez vous m'aider


 
Il y a un problème connu avec logmein, la solution que je préconise est de désactiver le plugin SSL pour toutes les connexions provenant des serveurs logmein.
Si cela vous semble pas évident à mettre en place, désactivez entierement le plugin :
Prevention d'Intrusion -> Plugins -> SSL -> décochez la case "activé"

Reply

Marsh Posté le 01-12-2008 à 13:42:25    

raphael_75 a écrit :


Je ne suis pas expert en sécu, d'après la doc du netasq, je serais tenté d'aller changer la(s) valeur(s) suivante(s) des tampons du plugin http : url,query,argument.


 
c'est exactement ça, normalement vous devez avoir une alarme type "débordement dans le protocole HTTP (url) " par exemple
Faites attention à bien choisir votre profil, ou modifier les valeurs pour les deux profils (entrant et sortant)

Reply

Marsh Posté le 17-03-2009 à 16:39:49    

Bonjour à tous,
 
 
j'écris car je suis dans le même cas que raphael_75 j'ai des problèmes d'accès sur www.voyages-sncf.fr, à la différence que je possède un netasq F200.
 
 
Pour être sur que le problème venait bien de l'asq j'ai désactivé le plugin http, mais malgré cela le problème persiste.
 
Auriez vous une autre piste?
 
Petite précision je rencontre le problème uniquement sous IE, sous firefox aucun problème


Message édité par leglaude44 le 17-03-2009 à 16:43:24
Reply

Marsh Posté le 17-03-2009 à 17:56:48    

Hello,
 
Vérifie sur un autre poste si IE ne fonctionne toujours pas.
 
Dans le plugin HTTP de l'asq tu augmentes le tampon cookie et c'est good.

Reply

Marsh Posté le 17-03-2009 à 17:56:48   

Reply

Marsh Posté le 18-03-2009 à 09:02:25    

Bonjour,
 
Et merci alex2k5 de m'avoir répondu aussi rapidement.
 
voici la suite du problème :
 
- Sur aucun poste je n'arrive à accèder.
 
- Pour ce qui est du plugin http j'ai augmenté le tampon cookie jusqu'à 4096 sans résultats positifs.
 
Mais je me pause tout de même la question si c'est le plugin http qui me bloque puisque que quand je le désactive j'ai toujours le même problème?
 
D'autres pistes?
 
Merci

Reply

Marsh Posté le 18-03-2009 à 13:27:49    

leglaude44 a écrit :

Bonjour,
 
Et merci alex2k5 de m'avoir répondu aussi rapidement.
 
voici la suite du problème :
 
- Sur aucun poste je n'arrive à accèder.
 
- Pour ce qui est du plugin http j'ai augmenté le tampon cookie jusqu'à 4096 sans résultats positifs.
 
Mais je me pause tout de même la question si c'est le plugin http qui me bloque puisque que quand je le désactive j'ai toujours le même problème?
 
D'autres pistes?
 
Merci


 
De rien :)
 
Au pire, fait un bypass de ce poste dans l'asq.
 
Si cela ne passe toujours pas, regarde dans la politique de filtrage si le pc fait bien parti d'un groupe qui a les autorisations pour sortir sur le net (voir le filtrage de port car je ne sais plus si voyage sncf est directement en https)
 

Reply

Marsh Posté le 20-03-2009 à 14:18:53    

Bonjour,
 
pour les problématiques sur les sites qui posent problème, tu as plusieurs choses à faire.
Tou d'abord comme celà a été dit, de base le netasq est trop restrictif au sujet du respect des normes.
 
1 - Personnellement, au niveau du profil ASQ "Par défaut" (et même des autres) je double la taille de tous les tampons du plugin http. Ca règle déjà pas mal de problèmes en général. En effet les développeurs web se moquent de suivre les normes du w3c...
 
2 - Vérifie que le proxy http (pas le transparent) est bien activé pour que les plugins fonctionnent correctement (et le slot de filtrage url "pass-all" également, à moins que tu ais créé le tien).
 
3 - Tu peux paramétrer un des profils ASQ suivants (01,02,03) pour laisser passer les signatures contextuelles ou protocoles qui sont bloquées lors de l'accès à tes sites (ce sont les indications que tu retrouves dans les alarmes du Monitor). Ensuite tu appliques ce profil ASQ à une règle de filtrage http spécifique entre ton "network_bridge" et ton objet "sncf" que tu auras mis en "ip_dynamique" parce que l'IP du site peu changer (donc objet www.sncf.fr je suppose).
 
Le bypass via l'ASQ ne fonctionne pas toujours, parce que justement les plugins ne s'y appliquent pas et le moteur peut en avoir besoin (cas du proxy FTP je crois).
Si tu veux faire un bypass du proxy (http par exemple) pour un site particulier, il faut le faire au niveau d'une règle NAT (il y a des exemples dans la doc Netasq).
 
En espérant que nos contributions t'aident...
 
By


Message édité par Philoo31 le 20-03-2009 à 14:19:51
Reply

Marsh Posté le 23-03-2009 à 14:56:51    

Bonjour ,
 
 
Voici c'est que j'ai pu relever au niveau des connexions dans le monitor :
 
Heure : 14:29:11, Protocole : http, Source : 172.16.30.175, Port source  : 4962, Destination : 127.0.0.1, Port de destination : 8080, Envoyé : 916 o, Reçu : 0, Durée : 0, Opération : GET, Paramètre : /billet-train/recherche%3f_LANG%3dFR%26_AGENCY%3dVSC%26COMFORT_SMOKING%3dN%26DISTRIBUTED_COUNTRY%3dFR%26ORIGIN_CITY%3dcholet%26DESTINATION_CITY%3dangers%26OUTWARD_DATE%3d28/03/2009%26OUTWARD_TIME%3d7%26
 
en revanches au niveau des alarmes je n'ai rien trouvé qui montre que netasq me bloque l'accès
 
Si cela peut vous aider à me dire d'où vient le problème!
 
Pour l'instant j'en suis toujours au même point.
 
Juste un précision j'ai ce même problème sur l'ensemble de mon lan et non pas sur une seule machine. Et quand je dis que je n'accède pas au site: je n'ai pas la page de bloquage du netasq mais au bout d'un moment il me met "page introuvable".

Reply

Marsh Posté le 23-03-2009 à 15:12:29    

Salut,
 
Double la taille des tampons du plugin http, un par un pour voir lequel est en cause, je ne sais plus lequel mais c'est ici que l'on résoud ce problème avec sncf et beaucoup d'autres sites qui ne rexpectent pas les RFC.

Reply

Marsh Posté le 23-03-2009 à 15:20:23    

Salut Philoo31,  
 
j'ai fait cet essai ce matin j'avais mis tout mes tampons http à 4096 sans résultats malheureusement.Et à priori je ne peux aller plus haut !

Reply

Marsh Posté le 23-03-2009 à 15:26:24    

Tu es en quelle version du firmware netasq?
Je vois que tu utilises le port 8080, donc proxy http "non transparent".
Peut-être pourrais-tu essayer le proxy http transparent (donc pas de paramétrage proxy 8080 dans IE), je ne sais pas si ça fait une différence dans le moteur asq...?

Reply

Marsh Posté le 23-03-2009 à 15:52:08    

Mon firmware est en version 1-1_2_8.0.1
 
 
Et pour le proxy je travaille en proxy transparent (aucun paramétrage de proxy dans IE)

Reply

Marsh Posté le 23-03-2009 à 16:02:46    

Le dernier firmware donc.
Déjà, ne fait que doubler les tampons (ne les passe pas tous à 4096).
Ré-active le proxy http (parfois il se "bloque" ), ré-applique ton asq "défault".
Dans ton filtrage, fais une règle any vers any du poste de test avec activation des traces pour faire remonter ce qui se passe. Puis coche dans les options asq de la ligne de filtrage la désactivation des signatures contextuelles et des plugins pour voir ce que ça donne.
Tu as bien IE à jour, ou alors teste FireFox pour voir (sur airfrance seul firefox fonctionne pour certaines manip chez nous). Teste de baisser la sécurité de IE également.

Reply

Marsh Posté le 23-03-2009 à 17:03:12    

Je pense que philoo est pas loin de la vérité avec le coup du proxy, chez nous je l'ai mis en transparent et pour le site de la sncf (ainsi que le webmail d'orange par exemple) j'ai juste augmenté la valeur du tampon cookie.

Reply

Marsh Posté le 23-03-2009 à 20:08:25    

J'ai eu le meme soucis avec un F500 (firmware 7.0.1) avec une conf en proxy transparent avec filtrage d'url, asq activé + plugins. J'ai juste doublé la taille des buffers et après un redémarrage tout est rentré dans l'ordre.

 


PS: l'ASQ, et les plugins sont INDEPENDANTS du mode Proxy (OFF, transprarent ou On).  ;)

  



Message édité par vrobaina le 23-03-2009 à 20:09:13

---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Marsh Posté le 24-03-2009 à 09:23:02    

Bonjour,
 
 
Déjà merci à tous pour votre aide,
 
J'ai réalisé tous les tests que vous m'avez proposés sans succès !!
 
1. Ce qui me chagrine c'est que la recherche d'un trajet sur ce site (www.voyages-sncf.fr) fonctionne toujours très bien sous firefox. N'y a t'il pas un paramètre dans netasq qui influt que sur IE? (j'ai bien tenté de baissé la sécurité de IE) j'étais il y a quelques jour sous IE7 et la je suis passé à IE8
 
2. Deuxième point qui me chagrine ( et oui je suis très triste  :( )c'est que lorsque je désactive le plugin http dans l'asq le problème persiste! Ce la signifie que le problème ne vient pas des plugins http, non ?
 
3. sinon au niveau des alarmes du netasq je n'ai rien vu d'intéressant. La seule ligne qui corresponde à ma demande d'accès au site est la suivante :"Serveur HTTP - apache2 version vulnérable si non patchée" mais elle est mise en "pass" !!
 
 
Je ne suis pas en expert en paramétrage Netasq alors j'espère que tout ce que je dis reste clair!


Message édité par leglaude44 le 24-03-2009 à 09:54:59
Reply

Marsh Posté le 27-03-2009 à 08:36:32    

Hello,
 
2. Deuxième point qui me chagrine ( et oui je suis très triste  :( )c'est que lorsque je désactive le plugin http dans l'asq le problème persiste! Ce la signifie que le problème ne vient pas des plugins http, non ?  
 
Utilise tu le bon Profil? essaye de le faire sur tous les profils...
Si ça ne fonctionne toujours pas avec les plugins à Off c'est que ça n'est pas l'ASQ.
Essaye autre choses, genre désactive le proxy pour voir si c lui, désactive l'antivirus etc.

Reply

Marsh Posté le 27-03-2009 à 11:25:08    

oui , et penser à rebooter le F60 car j'ai remarqué que ces appliances sont un peu sensibles lorsque l'on joue trop avec la configuration.
 


---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Marsh Posté le 27-10-2009 à 17:02:25    

Hello,
 
Je postais il y a1 an sur le filtrage restrictif du f 60 et soyez en remercié je n'ai pas eu de problème jusqu'à aujourd'hui . J'ai passé il y a 3 jours le firmware en v8.03.
Je retombe sur les mêmes problèmes mais avec une "gamme de site plus grandes".
Voyages sncf-com inutilisable après l'envoi des choix de voyages au serveur
Le webmail orange injoignable après saisi de l'id et du password.
Le site présent forum.hardware. J'ai accéder en désactivant les plugins.
J'ai repris tous les topics et essayé les propositions. J'ai doublé toutes les valeurs du tampon http, reboot du f60. Pas de changement.
Essai du proxy transparent activé/désactivé + filtrage url. Idem
 
Je sèche.
 
Merci de votre aide  
 

Reply

Marsh Posté le 27-10-2009 à 23:35:33    

Passe tout les tampons HTTP à 4096.
 
Attention il y a 2 profil ASQ in et out avec la v8, et par défaut la fenêtre s'ouvre sur le profil entrant (incoming), il faut donc sélectionner le profil sortant (outcoming) pour faire les modifications et test.

Reply

Marsh Posté le 28-10-2009 à 10:30:22    

J'ai poussé tous les tampons à 4096 en outgoing et reboot du f60. Meme problème.
Si je désactive les plugins http , je passe. Je comprends pas.
Cela vient bien des tampons ?

Reply

Marsh Posté le 28-10-2009 à 11:06:10    

Tu as quoi comme libellé et id du probléme ?


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 28-10-2009 à 11:10:10    

je comprends pas ta question, dans le f60, sur les pages des sites. Le f60 n'a pas de disque. Dans le monitor, j'ai  le message site avec rebond par rediret sur webmail orange par exemple. De toutes façons; l'action est logguée comme pass

Reply

Marsh Posté le 28-10-2009 à 11:34:12    

ok car j'ai un U450 j'ai plus d'info. Je ne savais pas.  Moi quand une erreur j'ai l'id de l'erreur et quel type c'est "protocole, plugin etc..." dans alarme


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 28-10-2009 à 18:28:10    

Si est elle noté comme pass ça devrait être bon :??:. Ou en tout cas ce n'est pas cette règle qui pose soucis. Est-ce que tu as d'autres messages avant ou après ?
Tu confirme qu'en désactivant le plugin HTTP du profil outgoing celà fonctionne bien ??? (Affichage des sites Orange, SNCF, etc...).
 
Dans ton plugin HTTP, onglet "Option", décoche "Bloquer jusqu'a la reconstitution des données" et coche "Support Shoutcast et Webdav".
Test un coup.
Essai ensuite de mettre tout les signatures à pass dans "Alarmes > Protocole > Contexte:HTTP"
Puis retest.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed