Ipcop avec urlfilter, bot et HTTPS

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Ipcop avec urlfilter, bot et HTTPS

Messagepar youg10 » 12 Oct 2009 17:27

Bonjour à tous,
j'ai un petit souci, je m'explique.
Je voudrais refuser l'accès à certains sites en https mais voilà avec BOT soit je bloque tous les https soit j'autorise tout!
Y a t'il un autre moyen à votre avis? Bloquer l'ip de destination?
Car je ne voudrais pas bloquer tout le https (banques, mail et compagnies...)
Là j'avoue que je suis un peu perdu.
Merci pour votre aide.
youg10
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 24 Oct 2006 09:25

Messagepar youg10 » 13 Oct 2009 08:18

Bonjour,
personne n'aurait une petite idée? ou une info pour me mettre sur une piste.
Je ne cherche pas à avoir la solution toute cuite mais une info me permettant de comprendre le fonctionnement.
Je suis bien embeté avec ce problème.

D'avance merci à tous.
youg10
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 24 Oct 2006 09:25

Messagepar jdh » 13 Oct 2009 09:00

On ne peut avoir le beurre, l'argent du beurre et le sourire de la fermière.


Soit
chaque micro (et chaque application) utilise un proxy déclaré et Squid peut filtrer http ou https,

Soit
il y a proxy transparent (qui filtre http) et on autorise explicitement chaque site en https.


En effet, dans le dernier cas, puisque le micro n'a pas connaissance de proxy, il établit lui-même la session https qui ne peut plus être filtré ailleurs.

C'est évident qu'il est pratique de n'avoir rien à configurer sur chaque micro mais cela a ses conséquences ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar youg10 » 13 Oct 2009 09:47

Merci beaucoup pour votre réponse.
Donc si je comprend bien, il n'y a pas de moyen pour moi de bloquer un site en https, si ce n'est de déclarer le proxy sur chaque poste.
Bon c'est dommage, mais si il n'y a pas d'autre moyen je vais faire avec alors...
Dernière question : le site en question a une adresse et ne peut on pas bloquer cette adresse de destination?
Enore merci. :wink:
youg10
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 24 Oct 2006 09:25

Messagepar ccnet » 13 Oct 2009 09:59

youg10 a écrit:Merci beaucoup pour votre réponse.
Donc si je comprend bien, il n'y a pas de moyen pour moi de bloquer un site en https, si ce n'est de déclarer le proxy sur chaque poste.

Petite précision de langage qui a son importance : Il n'est pas possible de bloquer une url en https autrement qu'avaec un proxy non transparent.


Bon c'est dommage, mais si il n'y a pas d'autre moyen je vais faire avec alors...
Dernière question : le site en question a une adresse et ne peut on pas bloquer cette adresse de destination?
Enore merci. :wink:

Il faut bien comprendre que le firewall travaille au niveau des couches 3 et 4. Or ce que vous souhaitez nécessite de "comprendre" le contenu du protocole http(s) c'est à dire de s'intéresser au contenu. C'est à dire à la couche applicative. C'est le travail d'un proxy qui exécute effectivement le protocole http(s), ce que ne fait pas un firewall comme ipcop.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar jdh » 13 Oct 2009 10:27

En fait, le proxy transparent est très pratique et ... très mal compris :

- pas de réglage sur le micro qui se croit en direct sur Internet,
- au niveau du firewall déroutage du traffic vers le proxy (Squid),
- Squid reçoit le trafic, l'analyse et identifie qu'il est en mode transparent,
- Squid exécute la requête demandée, reçoit le résultat et le transfère au client.

Cela fonctionne pour http et cela permet le filtrage.

C'est super pratique parce que zéro config au niveau du client ! Mais cela ne fonctionne QUE pour http.


En utilisant un proxy déclaré (dans toute applications : p.e. firefox a ses réglages qui ne sont pas ceux d'IE), le fonctionnement devient :

- le pc sait qu'il a un proxy,
- il envoie la requête au proxy (en http, https, ou même ftp),
- Squid exécute la requête demandée, reçoit le résultat et le transfère au client.

Cela fonctionne pour http, https et ftp et cela permet le filtrage.

C'est super efficace mais il y a une config au niveau client (pour chaque appli).


Beurre, argent du beurre, sourire de la fermière ...


NB : le proxy automatique (WPAD) n'est qu'une alternative du proxy transparent. (hélas pour moi).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar youg10 » 13 Oct 2009 10:48

Merci beaucoup :wink:
J'y vois plus clair avec vos explications... bon je vois ce qu'il me reste à faire maintenant.
youg10
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 24 Oct 2006 09:25


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron