Forum Linux.général Gestion des https avec squid ou autre

Posté par . Licence CC by-sa
Tags :
3
4
jan.
2014

Bonjour,

Ceci est mon premier post sur LinuxFR, j'espère l'avoir mis au bon endroit !

Voici ma question:
J'ai testé SQUID, puis IPfire (avec squid aussi).
Je voudrais faire la chose suivante: bloquer tous les sites en http(s) et en autoriser certains.
Dans mon cas, tous les sites en https passent.
J'ai regardé sur les forum et le problème semble être connu, il semblerait que le navigateur crypte l'url du site en https, du coup SQUID ne peut plus le filtrer (que ce soit en blacklist ou en expressions régulières)
c'est pareil en proxy normal ou transparent.

J'ai des personnes qui passent leur temps de travail sur des sites de cuisine, de lingerie, leurs messageries ou sur facedebouc !
Je pensais mettre un terme à cela mais tous ces sites se mettent en https et ceux-ci semblent échapper à tous contrôle !
En gros, ce que j'ai réussi à faire c'est tout bloquer ou tout laisser passer.

Pour l'http, ça marche très bien (on bloque tout sauf x,y, …)

Comment font les entreprises pour gérer ce genre de chose ?, j'entends régulièrement qu'il y a des pb avec certains sites.

Dans mon cas, les machines utilisées sont sous Windows (à cause d'une application métier), elles tournent en Virtualbox en mode Headless.
Est-ce que je peux gérer la chose par SQUID (conf unique) ou par Windows (multiples conf)?
(je préfèrerais une conf unique)

  • # Proxy HTTPS

    Posté par . Évalué à 2.

    Soit tu bloque l'IP en destination (risque de sur-blocage)
    Soit tu fait un DNS menteur, mais ça se contourne facilement, et tu ne peut bloquer qu'un site entier.
    Soit tu fait proxy HTTPS, c'est ce qu'a choisi le Ministère des Finances, et même si c'est courant, ça n'a pas plu à Google (voir l'actualité récente).

    http://monblog.system-linux.net/blog/2013/03/23/mettre-en-oeuvre-squid-transparent-https-sous-debian/

    • [^] # Re: Proxy HTTPS

      Posté par (page perso) . Évalué à 7.

      Soit tu fait proxy HTTPS, c'est ce qu'a choisi le Ministère des Finances, et même si c'est courant, ça n'a pas plu à Google (voir l'actualité récente).

      Ça n'a pas plus à Google (ni à beaucoup d'autres), parce qu'ils ont utilisé une autorité de certification valide pour le monde entier. Si tu fais ta propre autorité qui signe et qui n'a de valeur que dans ton entreprise, tout le monde s'en fout.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Proxy HTTPS

        Posté par . Évalué à 2.

        Ah, à l'époque javais cherché je n'avais aucun certificat de cette autorité d'installé, j'en avais déduis qu'elle étais à usage interne à l'administration (mais largement déployée).

        • [^] # Re: Proxy HTTPS

          Posté par (page perso) . Évalué à 4.

          Tu n'as pas de /etc/ssl/certs/IGC_A.pem ?

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Proxy HTTPS

            Posté par . Évalué à 2.

            Pas chez moi, mais j’avoue que j'avais fixé la version du paquet (mise à jour manuelle) pour justement éviter le problème de grand méchant loup, au boulot sur Fedora, effectivement il y est.

            Sinon au lieux de faire un bête MITM, ce qui me pose un problème de conscience, on ne peut pas faire :
            - Proxy HTTPS avec une autorité déployée sur les postes, mais qui se contente de faire une redirection permanente HTTPS -> HTTP.
            - Le Proxy communique en HTTPS avec le serveur et en HTTP avec le client, qui du coup se rend bien compte que son canal n’est pas sécurisé.
            Ça reste un MITM, mais plus acceptable si la sécurité du réseau l'oblige.

            • [^] # Re: Proxy HTTPS

              Posté par (page perso) . Évalué à 4.

              Il faut voir la configuration du réseau, mais si c'est pour se retrouver avec n'importe qui qui peut lire les cookies d'authentification de n'importe qui, ça me motive moyen.

              Sinon, au niveau implémentation, les navigateur vont râler en permanence parce que les liens des pages sont en https et tu es redirigé en http. À moins que tu réécrive les pages (mais il faut penser à réécrire le JS qui génère les liens aussi).

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Comment font les entreprises ?

    Posté par (page perso) . Évalué à 9. Dernière modification le 04/01/14 à 08:44.

    La question est trop générale, je ne sais pas répondre. Je pense toutefois que ta méthode est infantilisante et que tes utilisateurs chercheront et trouveront des contournements (utiliser leur propre matériel et leur propre connexion en dernier ressort) ; le résultat sera pire.
    À mon avis, ce problème est un problème d'organisation du travail, de motivation et de concentration, bref, de ressources humaines.
    Une entreprise qui n'a pas confiance dans ses employés ne peut pas en tirer grand chose.

    • [^] # Re: Comment font les entreprises ?

      Posté par . Évalué à 7.

      d'autre part :
      - l'employé dispose d'un droit à une activité privée au sein de son entreprise, en particulier, concernant les connexions Internet, à la condition que cette activité ne perturbe pas son activité professionnelle,
      - l'administrateur système doit mettre en place une sécurité informatique suffisante et en aucun cas construire des cathédrales de coupe-feu, proxy complexes voir mal maitrisées ; de toute façon, il y aura toujours une petite faille,
      - il est de la responsabilité de l'encadrement de suivre son personnel, si possible sans l'épier ; transférer cette responsabilité à l'équipe par la mise en place de moyens informatiques sophistiqué me semble contre-productif et limité border-line,
      - avec une connexion 3G, disponible sur un smartphone, il sera possible d'accéder aux mêmes sites que tu es en train de verrouiller, de là, a ce que certains mettes en place des connexions parallèle et mal maîtrisées sur SI …

    • [^] # Re: Comment font les entreprises ?

      Posté par . Évalué à 3.

      dans la meme idée, entre :
      - un employé qui passe 1h ou 2h par jour sur facebook,
      - un employé qui va passer ses journées à essayer de contourner les mesures de "protection" mise en place par l'entreprise.

      que preferera la direction ?

  • # squidguard

    Posté par (page perso) . Évalué à 4.

    Jette un oeil.

    Système - Réseau - Sécurité Open Source

  • # SNI

    Posté par (page perso) . Évalué à 4.

    Les navigateurs filtrent bien l'URL mais il existe une technique pour avoir plusieurs serveurs par IP qui s'appelle SNI avec laquelle le nom de domaine transite en clair. La plupart des navigateurs (à part IE 8 et inférieurs) le gère et envoient donc le nom de domaine en clair. Tu peux donc le filtrer dans faire de MitM SSL. Il faut trouver un proxy qui prend ça en charge (il semblerait que ce soit le cas de squid mais je ne vois pas comment l'utiliser).

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Gestion des https avec squid ou autre

    Posté par . Évalué à 2.

    Merci pour vos réponses

    Dans l'entreprise, il n'y a pas de risque que le personnel s'amuse a contourner les protections, déjà parce qu'ils n'ont pas les compétences et aussi parce que leur moyens sont limités (ce sont des postes virtualisés et l'usb ne fonctionne pas, le poste client lance juste startx suivi de rdesktop).
    En revanche, oui, il est possible qu'il viennent avec leur smartphone ou tablette, pour l'instant, c'est reste le tricot et le journal ;-)

    Le problème est que les personnes passent du "coq à l'âne", un petit bout de travail, suivi de quelques minutes sur le net a butiner, suivi d'un retour pour faire une facture à la va-vite et ensuite on repasse sur le net.
    Le but étant de faire son marché ou de gérer sa messagerie au boulot pour être tranquille le soir.
    Au final, il y a des fautes d'inattention et des bourdes et qui coûte cher.
    De plus, les gens ne reconnaissent pas le fait d'être sur le net, "pris la main dans le sac" ce n'est pas eux, de plus, comme dit plus haut, il dilue leur "activité extérieure" de façon a pouvoir dire "Je n'y suis allé que 5 min", alors qu'en fait, en temps cumulé, c'est 4h.

    Comme il ne faut "rien dire" et ne surtout pas montrer qu'on "voit tout", on ne peut que procéder a des interdictions pur et simple (certaines personnes agissent de manière "volaillesque"), il faut du simple, du canalisé.

    Le problème c'est que de protéger l'employé et dire qu'il a le droit de faire autre chose que son boulot, cela se finira par "la porte".
    Certaines entreprises surtout à notre époque, ne peuvent pas se permettre de payer des gens a faire autre chose que leur travail.
    De plus, je ne suis pas le patron, et ne suis pas dans l'encadrement.

    Le problème est complexe et vous avez tous raison.

    Pour ma part, je vais regarder cette notion de --enable-ssl dans squid, mais je ne sais pas si je serai compétent pour faire cela, mais je vais essayer.
    Je ne sais pas si Ipfire est compilé avec cette option, si c'était le cas ce serait bien.

    • [^] # Re: Gestion des https avec squid ou autre

      Posté par (page perso) . Évalué à 4.

      Cela a déjà été dit ici, tu mets les stats des utilisateurs en ligne, ils vont trés vite se calmer d'eux même.

      Système - Réseau - Sécurité Open Source

    • [^] # Re: Gestion des https avec squid ou autre

      Posté par . Évalué à 6.

      Comme il ne faut "rien dire" et ne surtout pas montrer qu'on "voit tout", on ne peut que procéder a des interdictions pur et simple (certaines personnes agissent de manière "volaillesque"), il faut du simple, du canalisé.

      justement, la premiere chose à mettre en place, c'est une charte informatique expliquant que tout activité est logguée et quantifiée.
      que les données sont consultables à la demande de l'employé et de la RH.

      ainsi les plus violents vont se calmer,
      les usages ponctuels sont maintenus plutot que de tout bloquer.

      • [^] # Re: Gestion des https avec squid ou autre

        Posté par . Évalué à 2.

        et la marmotte bla bla bla …
        les gens ne lisent pas ces chartes, pas plus qu'ils ne lisent les contrats qui les lient à leur différents prestataires de service ou ceux qu'ils acceptent quand ils s'inscrivent sur un site tout gratuit qu'il est beau qu'il est gentil

        Mais la publication systématique des temps de visite par type de sites (informations, réseaux sociaux, loisirs, liés au domaine professionnel, etc..) serait en soi une bonne incitation à plus de retenue

        • [^] # Re: Gestion des https avec squid ou autre

          Posté par . Évalué à 3.

          j'ai pas dis qu'ils liraient la "charte"
          juste que la loi dit qu'ils doivent etre mis au courant qu'un systeme de "surveillance" et de "logs" est en place dans l'entreprise.
          et generalement c'est indiqué dans la charte,
          tant pis pour eux s'ils ne l'ont pas lue.

          une fois qu'ils ont signé, ils peuvent acceder au systeme (reactivation du login ?)

          et une fois le systeme de surveillance/log installé, à defaut de publier les stats nominatives, tu peux en effet publier les stats :
          - par activité (reseau social, infos, pro)
          - par service utilisateurs (compta, dev, rh)

        • [^] # Re: Gestion des https avec squid ou autre

          Posté par . Évalué à 0.

          Bonjour,

          Je n'utilise pas squid comme proxy (notre UTM fait déjà cela), mais je peux dupliquer le flux in/out vers Internet sur une machine qui saurait faire le traitement pour avoir des logs sur le top 10 des sites visités, etc.

          Quelle solution pourrais-je utiliser alors pour exporter/diffuser ces infos ?

          Merci

          • [^] # Re: Gestion des https avec squid ou autre

            Posté par . Évalué à 3.

            perso j'utilisais ntop
            mais l'ayant installé sur la machine qui faisait passerelle,
            je ne saurais dire comment il allait trouver ses infos.

            avec un peu de chance il parse les fichiers logs du parefeu et peut donc tourner avec les syslogs exportés vers une autre machine.

            • [^] # Re: Gestion des https avec squid ou autre

              Posté par . Évalué à 1.

              Merci,

              j'utilisais ntop à un moment également, mais ça me donnait plus des infos sur l’instantané, pas sur le plus long terme.

              • [^] # Re: Gestion des https avec squid ou autre

                Posté par . Évalué à 2.

                la derniere version de ntop que j'avais utilisée (sept 2012, sur un PFsense 2.0)
                affichait la conso à la journée, heure par heure d'une IP source ou destination.

  • # chezmoiçamarche.com

    Posté par . Évalué à 2.

    Squid Cache: Version 3.1.6 / Postes client type Windows utilisant IE/FF/Chrome etc.. / Proxy obligatoire (pas de NAT Internet direct) autoconfiguré via wpad / Restrictions off entre "midi et deux" et après 19h

    squid.conf

    ## Facebook
    acl fck_url url_regex -i facebook.com fbcdn.net
    ## Facebook Chat
    acl fck_chat url_regex -i facebook.com/ajax/chat facebook.com/images/chat facebook.com/ajax/presence
    
    # Hours definitions
    acl workday1 time 08:30-12:00
    acl workday2 time 12:00-14:00
    acl workday3 time 14:00-19:00
    
    #Method CONNECT
    acl met_connect method CONNECT
    
    ##Postes autorisés (via MAC)
    acl mac_authorized arp "/etc/squid3/mac_authorized.txt"
    
    ## Facebook Restriction
    http_access deny all met_connect fck_url workday1 !mac_authorized
    http_access deny all met_connect fck_url workday3 !mac_authorized
    
    ## Facebook Chat Deny
    http_access deny all fck_chat
    • [^] # Re: chezmoiçamarche.com

      Posté par . Évalué à 1.

      Merci pour les infos, je vais essayer dès que possible.

      Pour rappel, le but est de tout refuser et d'autoriser certaines adresses, en fait un fonctionnement sur "liste blanche" (qui fonctionne sur l'http mais pas sur l'https).

      • [^] # Re: chezmoiçamarche.com

        Posté par . Évalué à 1.

        Si ça fonctionne le blockage avec les paramètres ci-dessus j'essaierai la whitelist de la façon suivante:

        #Method CONNECT
        acl met_connect method CONNECT
        #Allowed web site (in file /etc/squid3/allowed.txt, one line per website allowed, without http(s)://)
        acl allowed_web url_regex -i "/etc/squid3/allowed.txt"
        #Rules
        http_access deny all met_connect !allowed_web
        http_access deny all !allowed_web

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.