probleme filtrage https

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

probleme filtrage https

Messagepar chromfr » 25 Mars 2010 19:42

Bonjour à tous !

En pre requis, je sais la place du proxy n'est pas sur l ipcop, mais faute de place, structure je dois tout mettre sur une seule machine.

Le but de l ipcop est de filtrer 3 salles informatique d'un CFA, jusque là pas de probleme. Mon seul soucis est que le filtrage n'est pas effectué sur les requetes en https

J'ai lu plusieurs doc et autre sur squid et l'iptable ...

et je souhaiterais savoir s'il est possible de forcer le passage par le proxy pour http/https/ftp.

Car les eleves sont pas si bete et connaisse la technique de https, et le second probleme est que c est un reseau p2p (en plus ipcop est dhcp et "dns"), donc pas moyen d appliquer un gpo pour les parametres du proxy soit recuperer automatique.

Donc est il possible de forcer le passage des requetes (http/https/ftp) sur le port 800 de l Ipcop (squid).

D avance merci
chromfr
Matelot
Matelot
 
Messages: 8
Inscrit le: 25 Mars 2010 19:23

Messagepar Titofe » 25 Mars 2010 20:02

Oui, il faut enlevé le Proxy transparent.
Avatar de l’utilisateur
Titofe
Vice-Amiral
Vice-Amiral
 
Messages: 599
Inscrit le: 13 Sep 2006 17:02

Messagepar chromfr » 25 Mars 2010 20:15

Bonjour,

on a bien essayer en enlevant le mod transparent, et la rien n'est filtré ce qui est normale.

Dite moi si je me trompe, donc je dois appliquer les regles suivante :

iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to-destination 192.168.0.254:800
iptables -t nat -A PREROUTING -p tcp --dport 21 -i eth0 -j DNAT --to-destination 192.168.0.254:800
iptables -t nat -A PREROUTING -p tcp --dport 443 -i eth0 -j DNAT --to-destination 192.168.0.254:800

Si j'applique c est 3 regles, normalement tout devrait passer par le proxy ?

Merci
chromfr
Matelot
Matelot
 
Messages: 8
Inscrit le: 25 Mars 2010 19:23

Messagepar Titofe » 25 Mars 2010 20:44

Non,

Quand je dit enlevé le proxy transparent, il faut comprend qu'il faut désactivé le proxy transparent sur IPCop mais aussi qu'il faut après rentrer sur tout les navigateur les paramètres du proxy, sinon il n'y aura plus de filtrage et encore moins pour HTTPS.
Avatar de l’utilisateur
Titofe
Vice-Amiral
Vice-Amiral
 
Messages: 599
Inscrit le: 13 Sep 2006 17:02

Messagepar chromfr » 25 Mars 2010 21:24

ok, merci de ta réponse.

Je vais surtout faire. On va installer BOT et bloquer le traffic https tout simplement, car en vue de nos obligations en terme d établissement scolaire je ne peux pas prendre un tel risque, car il y a aussi des élevés qui viennent avec des ordinateurs portables il doivent également être filtrer.

Donc je dois en conclure qu'il est également impossible de redirigé les port 443 pour le forcer à passer sur le port 800 ?
chromfr
Matelot
Matelot
 
Messages: 8
Inscrit le: 25 Mars 2010 19:23

Messagepar Titofe » 25 Mars 2010 21:48

chromfr a écrit:... car il y a aussi des élevés qui viennent avec des ordinateurs portables il doivent également être filtrer.
Aucun souci, si comme vous l'avez dit vous installer BOT et donc bloquer tout trafic sortant à part l'accès au port du proxy sur l'IPCop.

chromfr a écrit:... Donc je dois en conclure qu'il est également impossible de redirigé les port 443 pour le forcer à passer sur le port 800 ?
Quelle est la différence entre le port 443 tcp et https?
Sinon oui il est possible de forcé le https à passer par le proxy comme je vous l'ai indiquez plus haut.
Avatar de l’utilisateur
Titofe
Vice-Amiral
Vice-Amiral
 
Messages: 599
Inscrit le: 13 Sep 2006 17:02

Messagepar jdh » 26 Mars 2010 09:11

Comment fonctionne un proxy transparent ? Pourquoi un proxy transparent ne fonctionne qu'avec http ?


* Comment fonctionne un proxy transparent ?
Chaque paquet http sont de la forme : ip source=lan, ip dest=internet, proto=tcp, port dest=80.
Ces paquets sont "déroutés" en changeant ip dest=127.0.0.1 c'est à dire ipcop et port dest=800 c'est à dire squid.
Ces paquets arrivent donc dans squid.
Or dans le contenu du premier paquet, il y a explicitement la requête réelle GET http://www.google.fr.
Squid a quelques paramètres précis qui lui permettent de lire cette demande et de faire lui-même la requête.
Au retour, il suffit d'envoyer le résultat à ip source = le pc qui faisait la requête.
Bingo !


* Pourquoi un proxy transparent ne fonctionne qu'avec http ?
La réussite repose sur le fait que dans le premier paquet, la requête réelle soit présente en clair.
(Donc l'ip dest a pu être changé sans que cela pose problème.)
Ce n'est pas le cas pour ftp (pas de requête en clair), ni en http avec authentification (requête différente pour simplifier), ni en https (c'est forcément crypté).

Point barre.


BOT est une nécessité car les politiques par défaut d'ipcop sont laxistes (tout autorisé de Green vers Red par exemple !).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar chromfr » 27 Mars 2010 12:44

Merci a tous pour vos reponses.

Après lecteur de plusieurs doc et vos messages voici la solution que je vais employé.

- Installation de bot sur l'IPCOP.
- Bloquer tous le traffic sortant.
- Supprimer le proxy transparent.
- Mise en place sur le serveur web de l'IPCOP du wpad, pour permettre la detection automatique du proxy.

Que pensez vous de cette solution ?
chromfr
Matelot
Matelot
 
Messages: 8
Inscrit le: 25 Mars 2010 19:23


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron