Vos techniques de filtrage - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 31-01-2008 à 13:38:39
C'est un cauchemar que tu nous annonces ;-)
Je suppose que l'utilisation de ces outils est à proscrire.
A défaut de bloquer ces accès par des firewalls/sniffeurs-machins je mettrais en place une solution maintes fois éprouvée:
-----------> Faire signer l'utilisateur un contrat d'utilisation Internet en stipulant l'interdiction TOTALE d'installer un logiciel et/ou de paramétrer quelconque application qui serait critique/nocive à la santé de l'entreprise sous peine d'expulsion immédiate avec un mise à pied ainsi que la joie de jouir d'une procédure judiciaire en bonne et due forme.
C'est radical, tu ne trouves pas ?
Marsh Posté le 31-01-2008 à 14:29:37
c'est simple .. focntionner par white list
je doute que les proxy anonymizer publics soient dans la listes des site pro du domaine dans lequel tu travailles ...
Marsh Posté le 31-01-2008 à 14:34:04
bah fonctionner par white list c'est un peu difficile...
Les recherches internet peuvent etre très large.. on ne se limite pas à des sites pros...
Marsh Posté le 31-01-2008 à 15:02:22
Hello
Perso je mets en place une solution à base d'ipcop+dansguardian.
Jusqu'à maintenant, grande satisfaction.
Filtrage HTTP du même style que Squidguard à base de blacklist mais Dansguardian permet d'aller plus loin sur les options de filtrage (type MIME, pondération, occurrence dans le contenu, etc.)
Niveau iptable je bloque tout en sortie sauf les ports voulus pour les IP voulues.
Pour JAP, je ne connaissais pas. Je vais tester la bête ...
Marsh Posté le 31-01-2008 à 15:10:37
Tiens mois au courant, mais à mon avis tu ne le bloque pas
Marsh Posté le 31-01-2008 à 20:29:16
La meilleur solution est de partir sur une WhiteListe et pas sur une blackliste.
C'est vrai que c'est contraignant mais ça reste une solution radical si c'est le dernier recourt.
Marsh Posté le 31-01-2008 à 22:09:21
Ou sinon se serait d'apprendre à l'anti-virus à détecter par empreinte du programme (JAP, TOR, ...) qui essai de se lancer de la clef USB ou du disque dur en mémoire pour le bloquer automatiquement, voir prévenir l'administrateur par un log. Faut pas que l'anti-virus soit dèsactivable en mode utilisateur.
Mais je sais pas si c'est légal, enfin je pense que oui si il est banni par l'entreprise le fameux logiciel qui n'a rien avoir avec le travail... . Les pauvres utilisateurs, on n'est pas sympa un ?
Marsh Posté le 01-02-2008 à 00:09:50
Oui y à toujours moyen mais bon c'est difficile de parametrer l'antivirus pour ca...
Au pire une appli développer rien que pour ca.. qui scan toutes les machines... mais bon si c'est sur clé usb... a part scanner les instances mémoires...
Comme dit plus haut je crois que le mieux est de s'appuyer sur la charte informatique...
Marsh Posté le 01-02-2008 à 08:37:08
là on attend les limites du filtrage par URL et/ou par proxy et/ou par Port.
Pour betonner ton filtrage tu dois passer par une gestion de la QOS et un filtrage niveau 7.
Ainsi tu pourra prioriser les flux connus/autorisés et pour les autres, soit ils seront interdit, soit tu les positionneras dans une "Queue" auquelle tu aura déclaré une bande passante microscopique (genre 1Ko/s).
Marsh Posté le 01-02-2008 à 15:05:03
vrobaina a écrit : Pour betonner ton filtrage tu dois passer par une gestion de la QOS et un filtrage niveau 7. |
Ca va pas servir a grand chose, les softs comme JAP ne font pas que sortir du port 80 mais font vraiment sortir des requetes HTTP, avec je crois par défaut l'user-agent de firefox. Y'a peut etre des moyens d'identifier le flux par d'autres moyens, mais c'est beaucoup plus compliqué et faut un firewall avec de l'IDS pour faire ce genre de chose, et des softs comme ça y'en a plein.
Et sans softs y'a des tonnes d'astuces pour passer outre des restrictions, genre les sites de traductions en ligne, le cache google etc...
Marsh Posté le 01-02-2008 à 15:36:35
Toujours pas testé JAP
mais en ce qui concerne les moyens d'outrepasser un proxy HTTP, on peut éventuellement lutter avec un filtrage du contenu des pages.
Marsh Posté le 01-02-2008 à 15:52:12
JAP crypte les infos, donc meme ça ne marche pas.
Mais bon apres faut faire la distinction entre ce qui est important pour la sécurité du réseau et ce qui est important pour la "productivité" des utilisateurs : ca fait peut etre chier la direction que les mecs passe leurs journées sur youtube plutot que de bosser, mais c'est pas vraiment une faille de sécu et plus un probleme de management et de RH que d'informatique...
Et puis bon toutes les solutions a base d'open proxy publics comme JAP sont tellement lentes qu'il faut vraiment être un glandeur tres patient et tres motivé pour les utiliser
Marsh Posté le 01-02-2008 à 15:52:46
hummm ... et y a pas un pattern de bits spécifique pour les paquets IP de JAP détectable avec une inspection profonde des paquets ?
Marsh Posté le 19-03-2008 à 16:45:09
Perso, j'utilise openvpn pour naviguer comme à la maison depuis mon boulot. Plus aucnes restriction ne peut s'appliquer car je crée un tunnel depûis mon CP jusqu'a mon routeur perso par coinnection vpn cryptée. Et le tour est joué.
Le pire c'est que c'est imparrable et entièrement furtif
Marsh Posté le 19-03-2008 à 17:06:11
parce que tu as la possibilité de faire du vpn... sans ça rien.
Cela dit, je suis d'accord avec pollo sur le fait que c'est un pb de management, ce n'est pas un pb de sécurité info.
Marsh Posté le 19-03-2008 à 19:03:17
Bien entendu. Mais à partir du moment ou tu as les droits admin, n'importe qui peut faire du VPN. Il y a même, je crois, une version openvpn qui ne requiert pas les droits admin.
Par contre il s'agir celon d'une énorme faille de sécurité et donc d'un problème de sécurité réseau (confidentialité, porte dérobée........)
Marsh Posté le 19-03-2008 à 19:12:49
Je parle au niveau du firewall.
Chez nous les postes clients n'ont pas de passerelle comme ça le pb est réglé
Marsh Posté le 19-03-2008 à 19:16:55
Pas vraiment, tant que tu peux sortir en http ou https même via un proxy ces trucs peuvent passer.
Marsh Posté le 19-03-2008 à 19:25:12
Oui, je parlais pas pour JAP mais pour faire du VPN.
Après si tu as un script de conf auto du proxy ça devient plus dur pour l'utilisateur de configurer le soft pour sortir via le proxy. Il faut aussi que le soft gère l'authentification etc.
Ça fait beaucoup je trouve... si tout ça est contourné, ça devient grave.
Marsh Posté le 20-03-2008 à 01:04:16
Beaucoup de fournisseurs de VPN propose quasiment en standard une option de connexion en SSL VPN (ou plutot TLS VPN maintenant), ce qui permet de se connecter a travers n'importe quel proxy ou firewall. Le but étant toujours la mobilité bien évidemment.
Meme Openvpn le fait je crois.
Marsh Posté le 20-03-2008 à 16:16:09
Je confirme qu'OpenVPN le fait
Pims a écrit : Oui, je parlais pas pour JAP mais pour faire du VPN. Après si tu as un script de conf auto du proxy ça devient plus dur pour l'utilisateur de configurer le soft pour sortir via le proxy. Il faut aussi que le soft gère l'authentification etc. |
... et il fait aussi tout ça
Marsh Posté le 21-03-2008 à 00:02:35
El Pollo Diablo a écrit : Pas vraiment, tant que tu peux sortir en http ou https même via un proxy ces trucs peuvent passer. |
non, par avec une analyse de protocoles evoluée.
Pour inf, JAP de passe pas à travers les mailles d'un netasq.....
Marsh Posté le 21-03-2008 à 00:14:03
Les appliances genre Netasq font bien plus de choses qu'un proxy de base comme squid.
Et quand bien meme, au mieux c'est une course sans fin entre les solutions de filtrage et les softs passe-muraille
Marsh Posté le 21-03-2008 à 08:39:41
oui malheureusement.
Par contre l'une des solutions très efficaces en entreprise à mes yeux est de bétonner le poste client. Ainsi la course à l'armement est grandement freinée de part le fait que les utilisateurs ne peuvent installer et/ou lancer des applications parasites.
Marsh Posté le 21-03-2008 à 11:03:42
Bonjour,
Au sujet de ton filtrage http, ou aussi connu sous le nom de filtrage d'url, je ne saurais jamais assez te recommender la solution gratuite squid + squidguard. Malheureusement ca demande du travail derrière (beaucoup de travail et de temps à accorder), ton utilisateur ira sur le site une fois, mais si tu surveilles les logs il n'ira pas une deuxieme fois dessus.
Sinon une solution payantes, et il y en a des masses dans le marchés, websense, smartfilter, surfcontrol, webwasher ou mon l'editeur francais Olfeo (oui les francais aussi). Leur solution est bien car elle est adapté au surf et à la loi francaise.
L'avantage de ces solutions c'est qu'ils ont une base de donnée ou toutes les sites comme les proxy, les sites porno, les sites de jeux sont référencés dans tes catégories et tu peux appliquer des politiques de filtrage assez rapidement comme ca.
cordialement,
--
acka47
J'reste underground donc j'reste intégre, que microsoft me tienne bien l'zgeg
Marsh Posté le 21-03-2008 à 11:22:35
Le filtrage d'URL c'est pas equivalent au un filtrage HTTP complet, c'en est plutot qu'une des parties. Et y'a des blacklists toutes faites libres d'utilisation ou commerciales qui existent pour squidguard.
Marsh Posté le 21-03-2008 à 11:40:12
Mais il est impossible de contrer des solutions tels qu'OpenVPN par exemple. Je sais que j'insiste, mais cela reste une faille énorme au seins d'un réseau.
Marsh Posté le 21-03-2008 à 11:40:25
Blacklist régulièrement mise à jour sur le site de l'université de toulouse :
http://cri.univ-tlse1.fr/blacklists/
Marsh Posté le 21-03-2008 à 11:53:39
Mc Kagan a écrit : Mais il est impossible de contrer des solutions tels qu'OpenVPN par exemple. Je sais que j'insiste, mais cela reste une faille énorme au seins d'un réseau. |
Si il y a quand meme des solutions possibles. Et j'instiste aussi mais l'aspect "faille de securité" de la chose est relatif : a partir du moment ou tu laisses les gens sortir sur le web, le plus gros trou potentiel dans ta sécu est déjà fait
Si tu ne fais pas confiance a tes users pour ne pas utiliser de trucs genre OpenVPN, y'a au final pas de raison qu'on leur fasse plus confiance pour leur laisser acces au web tout court.
Marsh Posté le 21-03-2008 à 12:43:17
Mc Kagan a écrit : Mais il est impossible de contrer des solutions tels qu'OpenVPN par exemple. Je sais que j'insiste, mais cela reste une faille énorme au seins d'un réseau. |
ce qui est faux.
le moindre firewall/Proxy avec un analyseur de trame bien pointu empechera openvpn de passer meme par le port 80 si celui-ci est ouvert pour le surf de tes utilisateurs.
Marsh Posté le 21-03-2008 à 13:52:44
El Pollo Diablo a écrit : Le filtrage d'URL c'est pas equivalent au un filtrage HTTP complet, c'en est plutot qu'une des parties. Et y'a des blacklists toutes faites libres d'utilisation ou commerciales qui existent pour squidguard. |
Après si tu parles de filtrage protocolaire c autre chose et c pas gratuit (à ma connaissance)
Marsh Posté le 21-03-2008 à 13:58:54
vrobaina a écrit : |
Mmm.... Là ou je bosse je pense qu'il y a largement ce type de filtrage et je passe comme je veux à travers. De plus, si tu utilises une connexion SSL, tu ne peux plus analyser les trames.
Marsh Posté le 21-03-2008 à 14:17:52
Mc Kagan a écrit : Mmm.... Là ou je bosse je pense qu'il y a largement ce type de filtrage et je passe comme je veux à travers. De plus, si tu utilises une connexion SSL, tu ne peux plus analyser les trames. |
Tu ne sais pas a quel point ta boite consacre du temps et de l'energie pour bloquer ce genre de chose, faut pas non plus juste poser un produit avec un paramétrage +- par defaut et ensuite laisser faire.
Et y'a pas que que l'analyse des données dans les paquets pour detecter ce genre d'utilisation abusive, perso j'ai déjà choppé des mecs juste en trouvant un traffic anormalement important entre leur poste et toujours les meme IP ne correspondant a rien de connu sur le net, y'a plein de softs de gestion de parc qui permettent d'inventorier regulierement tout ce qui se trouve sur les poste client, pas tres compliqué de rechercher certain trucs suspects genre client jap ou openvpn, etc...
Marsh Posté le 21-03-2008 à 15:58:20
Mc Kagan a écrit : |
Le contenu ssl on s'en fout royalement, si qui est important c'est de détecter un flux SSL en lui-meme et comme il est dit plus haut, c'est très facile de détecter ce traffic et/ou tout autre traffic suspect.
PS: entre nous, faire une connexion openvpn entre ta boite et ton réseau perso, c'est pas malin du tout concernant l'intégrité du réseau de ta boite...
Marsh Posté le 21-03-2008 à 16:01:14
Oui mais tu parles ce genre de personne se fout royalement de la sécurité informatique...
Ils sont passés ils sont contents, il se croient des génies de l'informatique...
Puis un jour il vont etre convoqué chez le directeur qui aura les logs dans les mains...
Marsh Posté le 21-03-2008 à 16:44:03
El Pollo Diablo a écrit : |
Je ne me sert de cette solution pour accéder à quelques sites interdit (rien de répréhensible) et à mon serveur. Il n'y a pas de flux en permanance et je prend toutes le précautions nécéssaires.
bartounet16 a écrit : Oui mais tu parles ce genre de personne se fout royalement de la sécurité informatique... |
Tout à fait. Je suis un génie parmis les génies. D'ailleurs si tu recherches un peut sur Internet tu verras que je suis le seul au monde à faire cela....
Marsh Posté le 21-03-2008 à 16:54:01
Mc Kagan a écrit : Je ne me sert de cette solution pour accéder à quelques sites interdit (rien de répréhensible) et à mon serveur. |
Non non, tu viole juste la politique de sécu de ta boite, tu fais rentrer des PC etranger dans le réseau, rien de répréhensible la dedans
Citation : Il n'y a pas de flux en permanance et je prend toutes le précautions nécéssaires. |
Faudra pas pleurer si un jour tu te fais chopper, tu n'es pas invisible, soit en sur
Citation : Tout à fait. Je suis un génie parmis les génies. D'ailleurs si tu recherches un peut sur Internet tu verras que je suis le seul au monde à faire cela.... |
Si tu finis effectivement par de faire chopper j'espere que t'auras trouver de meilleurs arguments pour ta défense d'ici la
Marsh Posté le 21-03-2008 à 19:05:24
Ce topic dans le forum de laboratoire Microsoft semble contredire ce que vous dites:
http://www.forum-microsoft.org/topic99297.html
Marsh Posté le 31-01-2008 à 13:32:53
Bonjour,
J'ouvre ce petit poste pour connaitre un peu les moyens que vous utiliser pour sécurisé votre réseau d'entreprise et plus particulièrement ce qui concerne le surf...
en général dans beaucoup d'entreprise on met en place un double rideau de parefeu qui filtre en entrée et en sortie
Pour le surf, nous mettons bien sur en place un proxy, squid + squidguard..
Le firewall ne laissant passer en sortie que l'ip du proxy et le protocole HTTP tous les postes du lan sont obligés de passer par là...
Les pages illicites sont donc bloqué par squid+squidguard plus des règles perso squid...
Mais c'est la que je m'interoge, comment bloqué des outil comme JAP (proxy local anonyme) qui permette de passer a travers le proxy en se connectant sur des proxy ouverts à l'exterieur et qui écoute bien sur sur le port 80
De plus la force de ces logiciels, est qu'il crypte tout... et change de serveur externe en permanence..
Je l'ai installé sur un poste du lan et en effet, ca passe, on peut surfer... et pire msn peut aussi connecter... Quand on observe les logs on voit bien la première connexion au proxy externe, c'est très dur a détecter, à part si on à une liste à jour des open proxy...
Avez vous tenté de bloquer ce genre de logiciel?? sachant qu'en plus il existe des version du logiciel portable sans installation...