Bloquer l'accès à un proxy extérieur

[pfrancois]

Bonjour

Je filtre l'accès http de mes utilisateurs avec DansGuardian tournant sous IPCop (avec l'add-on: Cop+), en mode transparent.

Or il se fait que quelques petits malins ont trouvé le moyen de contourner cela en passant par un serveur mandataire (proxy) extérieur. Il y en a qui tournent dans le monde entier, sur presque toutes les portes imaginables, et leur adresse IP change constamment. Une liste noire de serveurs proxy dans DansGuardian ne servirait qu'à arrêter le trafic passant par la porte 80. Bloquer les portes classiques 8080, 3128, etc... n'arrête qu'une partie des serveurs mandataires: il y en a même qui tournent sur la porte 443 (https), que je ne peux pas bloquer...

Y aurait-il une règle (avancée) pour BOT (BlockOutTraffic) qui pourrait m'arrêter ne fût-ce que le premier paquet TCP/IP qui est envoyé vers un serveur mandataire extérieur? Je suppose que ces paquets ont une série d'octets reconnaissables qu'on pourrait intercepter...

Merci de me donner une piste.

[Methos_Hi]

est-ce que lorsque ces utilisateurs utlisent le proxy exterieur, ils passent quand même par le tien transparent ?

[pfrancois]

est-ce que lorsque ces utilisateurs utlisent le proxy exterieur, ils passent quand même par le tien transparent ?

Seulement dans la cas où ils choisissent un serveur mandataire tournant sur la porte 80. Dans ce cas, ils ont accès aux sites bloqués mais ils sont filtrés sur base du contenu (mots et phrases), ce qui arrête déjà pas mal de trafic indésirable. Si par contre, ils choisissent un serveur mandataire tournant sur une autre porte, ils peuvent surfer quasiment librement, ce qui n'est pas le but.

[Methos_Hi]

C'est un peu le problème du proxy transparent.
Comme les postes clients doivent avoir un dns qui résoud les adresses externes et une passerelle il peuvent le contourner.
C'est obligatoire pour toi de rester en proxy transparent ?

[pfrancois]

C'est un peu le problème du proxy transparent.
Comme les postes clients doivent avoir un dns qui résoud les adresses externes et une passerelle il peuvent le contourner.
C'est obligatoire pour toi de rester en proxy transparent ?

Je ne comprends pas très bien en quoi un proxy avec authentification changerait les donnes du problème par rapport au proxy transparent. Peux-tu m'expliquer s.t.p.?

[jmripert]

Ici je ne laisse que quelques postes avec la passerelle de configurer en "dur" pour "certaines" sorties, tout le monde sinon passe par le proxy (configuration du navigateur).

2 paramètres qui aident beaucoup, il y a très peu d'utilisateurs qui ont les droits adminstrateurs et ils font essentiellement de la navigation sur le web...

Cela ne répond pas à ta question... mais peut peut-être te mettre sur une autre piste...

[pfrancois]

Puisque je veux que mes utilisateurs puissent surfer de façon filtrée, j'ai installé DansGuardian. OK?

Je pose ma question de façon différente: j'utilise BOT (BlockOutTrafic) mais tout est ouvert depuis le réseau vert. Est-ce que je peux avec BOT empêcher que mes utilisateurs du réseau vert utilisent un autre proxy que IPCop? À mon avis non. OK?

[m2nis]

Est-ce que je peux avec BOT empêcher que mes utilisateurs du réseau vert utilisent un autre proxy que IPCop? À mon avis non. OK?

BOT peut permettre d'obliger les utilisateurs a utiliser le proxy d'Ipcop (port 80 bloqué en sortie), mais pas de ne pas utiliser un autre proxy derrière qui masquera à Ipcop leur parcours réel. Et s'il existe des proxy sur https, ...

Maintenant, il est normalement possible de filtrer le contenu des pages reçues sans tenir compte de l'origine, mais ça complique encore un peu les solutions.

[jmripert]

Je vais passer pour un ballou et cela est un peu hors-sujet mais... je n'utilise pas dansguardian, je ne connais que les grandes lignes mais quel rapport avec ?


2 questions
- es-ce que les utilisateurs sont administrateurs/root ?
- ont-ils tous des sorties "bizarres" (= client vpn par exemple) sur le net ?

A lire la doc tu peux très bien configurer tes clients avec ton proxy dans le navigateur, et pas de passerelle. Pour ceux qui ont besoin de la passerelle tu les gères "à la main" pour peu qu'ils ne soient pas "nombreux".

Dans cette configuration et selon leurs droits, tu sais qui peut s'amuser avec un proxy extérieur... et appliquer un filtrage plus poussé sur "certain" client.

nop ?

[pfrancois]

2 questions
- es-ce que les utilisateurs sont administrateurs/root ?
- ont-ils tous des sorties "bizarres" (= client vpn par exemple) sur le net ?

Les utilisateurs des postes de travail sur le réseau vert (LAN) ne sont bien sûr pas administrateurs/root d'IPCop.

Ou bien veux-tu dire que les utilisateurs des postes clients soient root sur leur propre poste de travail? A priori, ils ne sont pas supposés savoir ce que c'est: ce sont en majorité de (pauvres) utilisateurs Windows.

En tout cas, ils utilisent les services courants http, https, ftp, smtp, dns, pop3, etc... sans vpn.

A lire la doc tu peux très bien configurer tes clients avec ton proxy dans le navigateur, et pas de passerelle. Pour ceux qui ont besoin de la passerelle tu les gères "à la main" pour peu qu'ils ne soient pas "nombreux".

Qu'entends-tu par passerelle? Moi, par passerelle (=gateway), je comprends l'adresse IP vers laquelle sont redirigés les paquets TCP/IP qui sont destinés au réseau Internet. Sur le réseau local (LAN), que j'appelle vert, suivant les bonnes pratiques d'IPCop, l'adresse de la passerelle est l'adresse IP de l'interface verte d'IPCop. Si tu entends par passerelle l'adresse IP intérieure par exemple du modem ADSL sur le réseau rouge d'IPCop, alors non, ils ne devraient pas y avoir accès. Faut-il la bloquer avec BOT?

Dans cette configuration et selon leurs droits, tu sais qui peut s'amuser avec un proxy extérieur... et appliquer un filtrage plus poussé sur "certain" client.

nop ?

Je ne sais pas si on arrive à se comprendre...

[jmripert]

Ough... je m'y reprend plus clairement (sorry !)...


Par admin j'entend admin sous windows ou root sous linux. En clair "ont-ils les droits de modifier leurs configurations ?".


Ipcop permet 2 chemins de sortie sur sa patte verte :
- la passerelle = configuration de la carte réseau
- le proxy = configuration de l'application

nous utilisons ipcop ainsi :
- tout le monde sort par le proxy qui est configuré dans le navigateur, cela empêche toute utilisation d'outils (client de messagerie, peer-to-peer, chat, ...)
- certains utilisateurs ont malgré tout besoin de ces outils, dans ce cas je modifis leurs configurations réseau en ajoutant la passerelle, mais au cas par cas... je "maîtrise" la configuration ainsi

Il y a de la faille dans cette architecture très/trop générale, mais le temps manque pour optimiser. Dans l'idée je suis quasiment sûr que personne ne fait mumuse car : ils n'ont pas les droits d'installer d'applications, et les 10 utilisateurs "susceptibles" de savoir configurer une application pour passer par le proxy sont connues (en général...), mais pour l'instant aucun problème n'est remonté, l'internet n'est pas essouflé, donc tout roule dans le meilleur des mondes... jusqu'au moment où... et là c'est le drame... Quelques chose qui aide bien aussi et qui me permet de me poser "moins" de question à ce niveau, c'est qu'on a très largement déployé du tse


Je ne sais pas si c'est LA bonne utilisation, mais c'est celle que l'on utilise voilà.

[pfrancois]

nous utilisons ipcop ainsi :
- tout le monde sort par le proxy qui est configuré dans le navigateur, cela empêche toute utilisation d'outils (client de messagerie, peer-to-peer, chat, ...)
- certains utilisateurs ont malgré tout besoin de ces outils, dans ce cas je modifis leurs configurations réseau en ajoutant la passerelle, mais au cas par cas... je "maîtrise" la configuration ainsi

Bon à savoir, mais chez nous, les utilisateurs devraient tout pouvoir faire, sauf surfer sur les sites bloqués par IPCop avec DansGuardian. Ils doivent donc avoir la passerelle, je suppose.

Il y a de la faille dans cette architecture très/trop générale, mais le temps manque pour optimiser. Dans l'idée je suis quasiment sûr que personne ne fait mumuse car : ils n'ont pas les droits d'installer d'applications, et les 10 utilisateurs "susceptibles" de savoir configurer une application pour passer par le proxy sont connues (en général...), mais pour l'instant aucun problème n'est remonté, l'internet n'est pas essouflé, donc tout roule dans le meilleur des mondes... jusqu'au moment où... et là c'est le drame... Quelques chose qui aide bien aussi et qui me permet de me poser "moins" de question à ce niveau, c'est qu'on a très largement déployé du tse

De même que chez toi, je peux admettre certaines failles qui sont plus théoriques qu'autre chose, p.ex. lancer des applications sur un serveur Linux éloigné, créer des tunnels sécurisés, etc... Cependant l'utilisation de proxys extérieurs relève des possibilités réelles, d'où ma préoccupation de bloquer ces proxys extérieurs.

Dernière question: Qu'entends-tu pas tse?

[jmripert]

Terminal Server Edition (je crois)... 1 serveur qui fait tout et des platines qui se connectent au serveur... on est revenu au système client/serveur d'il y a 30ans (Oh les cons !)...

Clair Que si "tout" doit passer... Dans mon idée je bloque tout, sauf ce que j'autorise (belle phrase n'est-il pas !)...

Désolé pour ce petit hors-sujet donc, car je n'ai même pas répondu/aidé...