Contourner URLFilter

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Contourner URLFilter

Messagepar bigsantos » 12 Sep 2007 15:27

Bonjour
Je suis administrateur réseau du LAN de notre Université. J'ai découvert IPCOP et je l'apprecie beaucoup. Etant donné que certains sites sont interdits par la direction de l'ecole, IPCOP m'a jusque là beaucoup aidé. Mais, un collègue m'a fait savoir qu'il a pu visiter un site interdit, je suis dans le doute, c'est pourquoi je voudrais savoir s'il est possible de contourner l'URLFilter d'IPCOP. Autrement dit, un PC sur le reseau local GREEN peut-il outre-passer la protection d'URLFilter? Un utilisateur sans accès au GUI et SSH, en gros sans accès à IPCOP peut-il accéder à des pages web bloquer par URLfilter par des manoeuvres quelconques? s'il y a une faille dans URLFilter, un ixusien pourrait-il m'aider a la boucher? merci.
bigsantos
Matelot
Matelot
 
Messages: 9
Inscrit le: 21 Jan 2006 13:13
Localisation: Abidjan

Messagepar S0l0 » 12 Sep 2007 17:02

un des moyen de le contourner https://sourceforge.net/projects/phpproxy/ tu le mets sur ton serveur perso et hop c'est regler :D avec un minimum d'effort de customisation du code tu visite absolument tous les sites :)
Avatar de l’utilisateur
S0l0
Contre-Amiral
Contre-Amiral
 
Messages: 407
Inscrit le: 01 Déc 2005 20:52
Localisation: 21 55

Messagepar bigsantos » 12 Sep 2007 18:01

Salut S0l0 Quand tu parles de serveur perso, fais-tu allusion à IPCOP? Dans cas comment fera-t-il, ce "contourneur" pour acceder puisquíl n'a pas le mot de passe d'administration :D.

S0l0 a écrit:tu le mets sur ton serveur perso et hop c'est regler
bigsantos
Matelot
Matelot
 
Messages: 9
Inscrit le: 21 Jan 2006 13:13
Localisation: Abidjan

Messagepar Gandalf » 12 Sep 2007 19:48

bigsantos a écrit: Dans cas comment fera-t-il, ce "contourneur" pour acceder puisquíl n'a pas le mot de passe d'administration :D.


Bonsoir, qui nous dit que vous n'êtes pas un des étudiants de la dite université qui cherche à contourner le filtrage d'URLs ? Sans vouloir remettre votre bonne foi en compte, je dois vérouiller le fil, nous ne faisons pas d'exception à cette règle. Libre à vous de contineur en mps avec d'autres membres qui peuvent vous aider.
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar Gandalf » 13 Sep 2007 21:14

Suite à différents avis je dévérouille le post, c'est reparti !
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar psykolivier » 13 Sep 2007 21:23

Si URL filter ne filtre pas les requêtes DNS, un tunnel SSH avec Squid au bout, and that's it... je le fais tous les jours au boulot... mais je ne vous dirai pas où je bosse :D
OpenBSD4
|
DMZ --- Debian Etch, RAID 1 - mail
LAN --- SuSE Linux x2

Drug is bad, m'key !
http://www.nosoftwarepatents.com/
Avatar de l’utilisateur
psykolivier
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 188
Inscrit le: 11 Sep 2004 12:12
Localisation: Camelot

Messagepar jmbignolet » 29 Jan 2008 13:08

psykolivier a écrit:Si URL filter ne filtre pas les requêtes DNS, un tunnel SSH avec Squid au bout, and that's it... je le fais tous les jours au boulot... mais je ne vous dirai pas où je bosse :D



Salut psykolivier,

qu'entends-tu par 'Si URL filter ne filtre pas les requêtes DNS' ? Ce n'est pas obligatoire ?

Cordialement !
jmbignolet
Matelot
Matelot
 
Messages: 5
Inscrit le: 12 Oct 2004 07:25

Messagepar J@r0d » 30 Jan 2008 10:50

Il m'a l'air bien curieux quand meme, la question d'origine était de savoir si l'on peu contourner IPcop pour naviguer ou l'on veux et bien la réponse est oui :wink:
J@r0d
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 06 Nov 2004 10:17

Messagepar jdh » 30 Jan 2008 12:04

Le "déterrage" de fils n'est pas forcément une bonne idée.

Toutefois la question posée a de l'intérêt.

- Est-il possible de contourner le filtrage URL d'IPCOP ?
- Est-il possible de limiter la fraude ?

Est-il possible de contourner un filtrage d'URL ? La réponse est évidemment OUI, et le sujet du forum n'est pas de décrire par le menu comment faire. (Il est d'ailleurs étonnant que cela sera tout de suite compris alors que les principes de bases de structure réseau, pourtant mainte fois répétées, ne sont pas compris !)

Juste pour donner une idée, un n° du mois prochain d'un magazine consacré à Linux évoque explicitement un tunnel s'appuyant sur ... dns.

Il importe, en 1, de verrouiller tout protocole, puis, en 2, d'ouvrir les SEULS protocoles nécessaires. Par exemple, une règle telle que "UNE et UNE SEULE machine pourra être autorisée à faire des requêtes DNS (et encore sur le DNS du FAI !)" me parait tout à fait évidente. De la même façon, UNE et UNE SEULE machine pourra être autorisée à accéder à Internet (protocole http=tcp/80, ftp=tcp/21) à savoir le proxy (web). De la même façon, SEUL le relais smtp sera autorisée à faire du smtp (et encore vers le smtp du FAI !).

Même avec cette approche prudente (et contraignante), il restera des faiblesses ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar m2nis » 31 Jan 2008 08:32

jdh a écrit:De la même façon, UNE et UNE SEULE machine pourra être autorisée à accéder à Internet (protocole http=tcp/80, ftp=tcp/21) à savoir le proxy (web).

Petit point qui m'a échappé au moins jusque là: le proxy (plus particulièrement transparent) peut gérer les requêtes ftp du port 21 ? Y a-t-il une manipulation particulière à effectuer ? Parce que pour l'instant, mon port 21 fait exception aux quelques règles de bon sens énoncées. :-)
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Messagepar jdh » 31 Jan 2008 09:28

En mode transparent, Squid ne sait traiter que http, de mémoire.

En effet, pour https, cela aboutirait à la situation du "man-in-the-middle". Pour ftp, le fait qu'il y ait négociation (et changement) de port durant la session empêche aussi le système de "transparence".


Il y a 3 cas : on inscrit dans chaque machine un proxy (manuellement ou par un autre moyen = GPO par exemple), on créé un "proxy-transprent", on met en place WPAD Web Proxy Auto Detection. Il me semble que le plus contraignant (le 1) est le plus complet.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar m2nis » 01 Fév 2008 08:43

jdh a écrit:Il me semble que le plus contraignant (le 1) est le plus complet.

On retrouve hélas souvent ce rapport contrainte/efficacité. :-) Pour ma part, je ne suis pour l'instant pas prêt à abandonner le proxy transparent et tous ses avantages.
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Messagepar lucyfire » 03 Fév 2008 00:33

Comme ipcop est cache DNS, avec Block Out traffic on laisse juste l'accès au port 53 au lan et on bloque les accès dns vers l'extérieur.

on bloque https pour eviter tor

apres une petite authentification sur active directory pour traverser le proxy et on analyse les logs pour verifier les gros flux de connexions sur un site en particulier genre un proxy distant par exemple.

bon apres y a encore des possibilités effectivement.

lu²
"Les hommes déprécient ce qu'ils ne peuvent comprendre." [Goethe]
Avatar de l’utilisateur
lucyfire
Amiral
Amiral
 
Messages: 1109
Inscrit le: 15 Mai 2003 00:00
Localisation: Lyon

Messagepar m2nis » 04 Fév 2008 07:18

lucyfire a écrit:Comme ipcop est cache DNS, avec Block Out traffic on laisse juste l'accès au port 53 au lan et on bloque les accès dns vers l'extérieur.

Tout à fait d'accord.

lucyfire a écrit:on bloque https pour eviter tor

En bloquant https, on bloque vraiment beaucoup de choses... Pour l'instant, ce n'est pas fait pour ma part. N'y a-t-il pas d'autres moyens de bloquer des logiciels comme Tor ?
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Messagepar lucyfire » 05 Fév 2008 09:56

Il y a l'addon de Markus Hoffman "l7 blocker" qui peut bloquer les flux reconnu par l7 filter (l7 pour layer 7 couche applicative) et tor fait parti des motifs reconnus.

lu²
"Les hommes déprécient ce qu'ils ne peuvent comprendre." [Goethe]
Avatar de l’utilisateur
lucyfire
Amiral
Amiral
 
Messages: 1109
Inscrit le: 15 Mai 2003 00:00
Localisation: Lyon

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité