Mode transparent et règle BOT pour https

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Mode transparent et règle BOT pour https

Messagepar Moonwise » 08 Sep 2009 12:20

Bonjour à tous,

voilà tout est dans le titre, en gros : j'ai implémenté sur le réseau dont j'ai la charge un ipcop avec pour but de l'exploiter en tant que simple proxy. Pour des questions d'ergonomie, et parce que nous avons pas mal de visiteurs qui utilisent notre réseau wifi, nous avons pris le parti du mode transparent...
Jusque là, tout va bien. :roll:

Seul petit souci, les connexions aux sites basés sur https ne sont plus possibles, et donc plus d'accès aux webmails, banques, shopping en ligne...

Donc ma question : quelle règle, et comment la mettre en place dans BOT et/ou Iptables pour rediriger les flux https et permettre le protocole https (sans filtrage, du coup) malgré le mode transparent ?

Je vous remercie de prêter attention à ma demande, et des réponses que vous pouvez y apporter :)
Moonwise
Matelot
Matelot
 
Messages: 4
Inscrit le: 08 Sep 2009 11:52

Messagepar jdh » 08 Sep 2009 12:37

Hélas, 3 fois hélas ...


Le principe de HTTPS est d'être un lien "incassable" (crypté) entre le serveur et le client.
Cela empêche un "Man In The Middle" : une machine entre les 2 (et par exemple un proxy).

Donc, s'il est possible de renvoyer le flux, il est IMPOSSIBLE de le transférer vers un proxy.



Evidemment, on peut tout ouvrir HTTPS vers l'extérieur ... mais c'est assez stupide, n'est ce pas !



NB : Si je défini un proxy que se passe-t-il quand je fais https:// ? Et bien, le pc passe la requête https au proxy, qui établit lui-même le lien https, MAIS il transfère vers le client le résultat du décryptage. D'où illusion de MITM !
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Moonwise » 08 Sep 2009 12:44

Merci de ce petit rappel jdh, je suis malheureusement bien au fait du problème, mais n'ayant pas solutions autre que d'ouvrir tout les flux https vers l'extérieur, j'ai donc fait cette demande ici :cry:

Peux tu éventuellement me donner la solution à mon problème, en m'indiquant comment implémenter le bypass du proxy?
Moonwise
Matelot
Matelot
 
Messages: 4
Inscrit le: 08 Sep 2009 11:52

Messagepar jdh » 08 Sep 2009 14:11

"petit rappel" : il n'est pas si aisé de trouvé en 17' quelqu'un qui a une explication voire déjà l'"expérience de".


Il n'y a pas de solution pratique !

Un proxy transparent c'est, un, une config précise du proxy, et deux, une astuce de redirection de trafic (ce qui devait traverser avec 80/tcp est redirigé vers le localhost et port 3128 : -REDIRECT).

Le trafic https (443/tcp) ne peut qu'être ouvert ou fermé sur le firewall : aucun besoin de bypass !

Le mieux est plutôt de préciser sur la page de portail captif que "le https s'ouvre à la demande", sinon n'importe qui est capable de faire n'importe quoi en se CONNECTant à tout et à rien. (Voyez je ne décris même pas comment faire !)

Ouvrir la règle 443/tcp que pour une ligne d'ip donnée et maintenu à jour ... C'est le moins pire !
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Moonwise » 08 Sep 2009 16:08

Haemm... :?
je suis bien d'accord sur le principe, et ai parcouru à ce propos les (très nombreux) posts sur le sujet...avant de poster ici.

J'ai également testé les règles possibles dans l'interface de BOT, qui selon moi auraient permis de laisser passer le trafic https (via port 443, notamment) : rien n'y fait, toujours pas de connexions possibles sur les sites utilisant ce protocole...

Je me dis que je dois mal m'y prendre, c'est certain. Voilà pourquoi je souhaitais avoir un petit coup de main sur la méthode concrète de paramétrage à employer, soit via iptables directement soit grâce à l'interface BOT. Je passe certainement à coté de quelque chose, et commence à m'arracher les cheveux :oops:
Moonwise
Matelot
Matelot
 
Messages: 4
Inscrit le: 08 Sep 2009 11:52

Messagepar jdh » 08 Sep 2009 16:59

BOT est, évidemment, un addons indispensable à IPCOP.


Quelle difficulté à créer une règle : Green -> any + tcp/443 = OK ?


NB :
- Je connais mal IPCOP et pas du tout l'interface de BOT !
- Attention dans la doc sur le site de BlockOutTraffic / Documentation, il y a une copie d'écran avec un "IPCOP https" qui correspond à tcp/445 : il s'agit du management d'IPCOP et non d'https (tcp/443) qu'il vaut mieux chercher dans les "default services".
- Cela n'a pas l'air très compliqué sur les copies d'écrans ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ccnet » 08 Sep 2009 17:08

Il faut lire la doc soigneusement et en effet choisir dans les "defaults services" https. En ayant bien cliqué le bouton radio pour dire qu'on l'utilise.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Moonwise » 08 Sep 2009 17:32

Bien voilà vous m'otez un doute, c'est exactement la règle que j'ai activé : green vers any default services/https... ça parait effectivement logique et enfantin, et c'est ce que j'avais essayé en premier...Et pas de changement. Je commence à avoir un doute sur mon install d'ipcop du coup :)

Je fais une fresh reinstall et je vous tiens au courant...
Moonwise
Matelot
Matelot
 
Messages: 4
Inscrit le: 08 Sep 2009 11:52


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron