BlockOutTraffic : HTTPS imblocable

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

BlockOutTraffic : HTTPS imblocable

Messagepar cfred » 04 Déc 2009 15:18

Bonjour,

Nouveau ici, je viens d'installer un IPCOP en suivant le guide de Nicolas Lejeune.
J'ai pas mal chercher sans trouver, peut être mal cherché...

Donc dans l'ordre :
install de IPCOP Green Red,
install de AdvencedProxy,
install de UrlFilter,
mise en place de l'authentification en locale donc arrêt du mode transparent
install de BlockOutTraffic.

Tout fonctionne pas trop mal sauf que dans BOT, j'ai créé une règle de navigation normale avec DNS, HTTP, SMTP, POP3, FTP comme il le préconise. J'ai vérifié, mon lecteur de mail fonctionne (envoi/réception) et le web aussi
Sauf qu'elle devrait bloquer HTTPS mais ne le fait pas alors que non défini.

Afin de vérifier que la régler est bien active, j'ai éliminé SMTP et POP3 et effectivement je ne peux plus recevoir/envoyer de courrier, donc on passe bien par cette règle.
Je précise qu'actuellement, il n'y a aucune règle qui autorise HTTPS. Je n'ai que 2 règles pour "autres réseaux" avec les services nommés plus hauts.

Je regarde le proxy avancé : green activé,mode transparent désactivé, port proxy 800, et je vois dans "ports de destination" le fameux HTTPS.
Je l'enleve de là et je n'ai effectivement plus accès au HTTPS.
Mais je ne sais pas créer de règle dans BlockOutTraffic pour le ré-ouvrir.

Je pense que le problème vient de AdvencedProxy qui dit dans son Administror's Guide en page 12...
4.1.2 Transparent on <Interface>

If the transparent mode is enabled, all requests for the destination port 80 will be forwarded to the Proxy Server without the need of any special configuration changes to your clients.

Note: Transparent mode works only for destination port 80. All other requests (e.g. port 443 for SSL) will bypass the Proxy Server.
Note: When using any type of authentication, the Proxy may not run in transparent mode.
Note: To enforce the usage of the Proxy Server in non-transparent mode, you will have to block all outgoing ports usually used for http traffic (80, 443, 8000, 8080, etc.).


Merci de m'aider si vous voyez d'où peut venir le problème.
cfred
Matelot
Matelot
 
Messages: 2
Inscrit le: 04 Déc 2009 12:41

Messagepar ccnet » 04 Déc 2009 16:34

Sauf qu'elle devrait bloquer HTTPS mais ne le fait pas alors que non défini.

Permettez moi d'en douter. J'ai de nombreuses fois utilisé BOT avec Ipcop pour pouvoir assurer que BOT n'est pas le problème. Il vous faut chercher assurément dans la "tuyauterie" du proxy.
Proxy et filtre de contenu n'ont rien à faire sur un firewall. Cette situation montre bien que la complexité apportée est nuisible à une sécurité efficace.

All other requests (e.g. port 443 for SSL) will bypass the Proxy Server.

Le tout est de savoir ce que cette phrase veut vraiment dire et quelles en sont les conséquences.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar jdh » 04 Déc 2009 17:17

Outre le fait qu'un proxy est mal placé sur une firewall, il faut savoir que

un proxy transparent NE FONCTIONNE QU'AVEC http et sans authentification ! 2 restrictions importantes !


Les alternatives :

- maintenir le proxy sans "proxy transparent" : indiquer dans IE/FF et autres le proxy (=@ip du firewall + port 800 + tous protocoles : http+ftp+https)

- maintenir un proxy avec "proxy transparent" : ajouter une règle BOT pour chaque site web https accédé (ne pas faire https vers tout !)

- utiliser un proxy dédié : idem à proxy sur ipcop sauf ajouter 3 règles BOT (proxy+http, ftp, https).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar cfred » 04 Déc 2009 17:42

merci pour vos réponses.

1 j'ai annulé l'authentification
2 je suis repassé en proxy transparent
=
3 je dois explicitement déclarer HTTPS dans les règles de BOT pour que cela passe

c'est quand même un mieux

maintenant je n'ai plus d'authentification :cry:
cfred
Matelot
Matelot
 
Messages: 2
Inscrit le: 04 Déc 2009 12:41

Messagepar jdh » 04 Déc 2009 18:21

Avec un proxy (sur firewall ou, bien mieux, dédié), il est parfaitement possible de faire
- de l'authentification, et
- les 3 protocoles http, ftp et https

MAIS il faut déclarer le proxy sur chaque PC (et pour chaque application !).

On ne peut avoir le beurre, l'argent du beurre et le sourire de la fermière !
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron