Journal E2guardian un fork de DansGuardian

22
14
nov.
2014

DansGuardian est un logiciel de filtrage de contenu web. Il ne se contente pas d'une simple liste noire mais utilise plusieurs méthodes pour agir, comme par exemple le filtrage de mots clefs, de header HTTP, de type mime, ou plus classiquement par système de listes de domaines/urls (liste blanche, noire, etc), il a été créé et développé principalement par la société Smoothwall.

La dernière version stable 2.10.0.3 est sortit depuis un - très - long moment (2009), mais « récemment » suite au désengagement du créateur originel Daniel Barron le projet à été migré sur sourceforge et repris en main par un nouveau mainteneur.

DansGuardian devait devenir un projet plus communautaire et depuis cette période j'ai participé activement au développement des diverses alpha malheureusement sans que le projet ne reprenne jamais complètement vie.

En 2012 avec Philip Pearce de la société E2BN - qui avait fait aussi de nombreuses modifications/améliorations dans le code sous le projet http://protex.e2bn.org – nous avons décidé de travailler en commun en reprenant toutes nos évolutions et corrections ainsi que celles de nombreux contributeurs.

Aujourd'hui: Nous sommes heureux de pouvoir annoncer la 3.0.4 si la version « 3 » peut étonner il s'agit juste de continuer la numérotation de DansGuardian car sous une apparence juvénile E2guardian n'est pas aussi aussi jeune qu'il n'y parait.

Bien entendu il s'agit d'un projet Opensource sous Licence GPLV2 et toutes les remarques, patchs, documentations seront (très) appréciés …
Le site est en cours de création, nous allons essayer d’améliorer la communication et la documentation.

Pourquoi migrer ?:

Cette version apporte de nombreuses nouveautés et corrections de bugs, en voici quelques exemples:

  • Forte optimisation du moteur sous Linux, surtout visible avec une charge importante, pour ma part sur un système ayant plusieurs centaines d'utilisateurs en simultanées (3000 processus e2guardian ) la charge CPU à été diminuée approximativement par 5.

  • Possibilité d'avoir une page d'interdiction sous HTTPS (le navigateur affichait une page blanche dans Dg) au prix d'un méchant message d'avertissement SSL.

  • Capacité d'écouter sur plusieurs ports et d'y attacher un groupe d’utilisateurs.

  • La plupart des options, sont maintenant configurables pour chaque groupe et non plus globalement, par exemple les pages d'interdictions.

  • Configuration des différents timeouts de connections avec le proxy

  • Possibilité de filtrer dans une liste blanche, par expressions régulières ou bien par header HTTP

  • De nombreuse corrections de bugs, notamment concernant certains plantages

Certaines options sont récentes, ou bien ont changées, je vous invite donc à consulter les nouveaux fichiers de configurations avant de vous lancer dans une migration, la transition pouvant être difficile si vous avez de nombreuses règles ou groupes.

Site de DansGuardian
Site de E2guardian
Github de E2Guardian
Changelog de DansGuardian 2.10.0.3 à 2.12.0.7.2 (Changements intégrés dans E2Guardian)
Changelog de E2guardian

  • # je resterai toujours étonné

    Posté par . Évalué à 5.

    Par l'énergie dépensée pour créer des mécanismes de filtrage…

    Non seulement elles sont généralement inefficiente, mais en plus elle gênent les utilisateurs dans leur travail, sans oublier les trésors d'imagination qu'ils sont capable de développer pour les contourner, souvent en perçant un trou béant dans la sécurité de l'entreprise.

    Ce ne serait pas plus simple de regarder la consommation de chaque utilisateur et d'afficher un classement dans les équipe? Ou le top 10 des adresses consultées ? (dans le deuxième cas anonymiser sinon ça va poser problème)

    Il ne faut pas décorner les boeufs avant d'avoir semé le vent

    • [^] # Re: je resterai toujours étonné

      Posté par (page perso) . Évalué à 2.

      Pour rebondir, le taux de réseaux wifi créés en tant que modem 3G est souvent très très lié à la politique de filtrage en place en entreprise.

    • [^] # Re: je resterai toujours étonné

      Posté par (page perso) . Évalué à 2.

      Tout dépend du pourquoi et du comment du filtrage, il y a des tas de situations différentes (écoles, entreprises, lieu public, contrôle parentale, etc)
      Pour le côté inefficient difficile de contourner une liste blanche quand même, et en mode blacklist il est parfaitement possible d'analyser le trafic et de repérer les flux tunnélisés ou les rebonds de proxy, après ça dépends beaucoup du mode d'administration, étude des logs, analyse du comportement des utilisateurs, etc
      De nombreuses boites se contentent d'un boitier appliance avec des listes gérées par une société extérieure.

      Toutefois c'est vrai qu'aucune solution n'est parfaite.

      Pour le classement ou le top 10 c'est peut-être une solution dans ton cas mais elle ne sera pas valable partout.

      • [^] # Re: je resterai toujours étonné

        Posté par . Évalué à 4.

        De nombreuses boites se contentent d'un boitier appliance avec des listes gérées par une société extérieure.

        Et de nombreuses boites se contentent de fournir internet à leur employé et ne les infantilisent pas. Cela me rappelle les équipes de sécurités qui ne pouvaient pas monter un serveur ftp pour transférer des fichiers avec des clients étrangers. Résultat, les fichiers ont été envoyé depuis le domicile d'une personne, par un mail perso ! Top la sécurité !

        Il est vrai que je me suis déjà amusé avec des tunnels https vers un proxy perso, mais aujourd'hui le plus simple est de faire un hot spot wifi avec son téléphone.

        "La première sécurité est la liberté"

        • [^] # Re: je resterai toujours étonné

          Posté par (page perso) . Évalué à 5.

          Je ne vais pas rentrer dans le débat pour ou contre l’utilité du filtrage, de toutes façons je ne vais pas vous convaincre :).
          Mais juste sur le côté "infantiliser" j'ai l'impression que tu n'as jamais jeté un œil sur les accès Internet d'un grand groupe, certaines personnes sont capables de n'importe quoi, même si c'est totalement illégale, voire immorale (bon là vaste débat …)

          Il y a aussi le problème de la bande passante (exemple Youtube/pornhub en HD) et des véroles comme indiqué dans le message plus bas de Xavier.

          Dans un monde idéal effectivement, avec des gens responsables pas besoins de filtrage je suis bien d'accord.

          Concernant le ftp vs mail perso, tu parles d'un accès non sécurisé (ftp flux en clair) vs un autre accès non sécurisé (mais pire) dans les deux cas ce n'est pas top

          • [^] # Re: je resterai toujours étonné

            Posté par . Évalué à 1.

            Le besoin étant d'envoyer/recevoir des fichiers de qq mégas (le mail limitant à 50ko…), l'équipe sécurité demandait qq mois de mise en place !

            "La première sécurité est la liberté"

      • [^] # Re: je resterai toujours étonné

        Posté par . Évalué à 2.

        il y a des tas de situations différentes

        • École : vu l'explosion des téléphones dit intelligent c'est inutile à partir du lycée… avant (collège école primaire), je préférerai qu'il y'ait toujours un adulte à proximité, avec le contrôle parentale activé via liste blanche.

        • entreprises : là à part infantiliser les employés qui vont passer par les smartphones…

        • lieu public : tu peux laisser les gens faire ce qu'ils veulent avec le matériel

        Bref à part le contrôle parental je ne vois pas l'utilité du truc.

        Il ne faut pas décorner les boeufs avant d'avoir semé le vent

        • [^] # Re: je resterai toujours étonné

          Posté par (page perso) . Évalué à 5.

          École : vu l'explosion des téléphones dit intelligent c'est inutile à partir du lycée…

          Du coup, ça dépend ce que tu veux éviter : qu'ils aillent sur n'importe quel site ou que quand ils sont sur les ordinateurs de l'école, ils n'aillent pas sur d'autres sites (parce que pou l'instant, ça se voit quand un élève est sur son smartphone au lieu du PC de l'école).

          Mais bon, ce ne serait bientôt plus un problème quand les FAI devront filtrer ce qui sort de la ligne du parti les dangereux sites porno, comme en Angleterre.

          entreprises : là à part infantiliser les employés qui vont passer par les smartphones…

          Ça évite de pomper la bande passante de la boîte, ce qui peut être intéressant quand il y a beaucoup de monde et que la bande passante est réduite (il faut quand même espérer dans ce cas qu'Internet n'est pas un outil de travail principal).

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # responsabilité

            Posté par (page perso) . Évalué à 1.

            Normalement (souvent en tout cas) les établissements scolaires interdisent l'utilisation des téléphones mobiles dans l'enceinte de l'établissement (règlement intérieur).

            Et avec l'arrivée en masse des tablettes, le filtrage est d'autant plus justifié.

        • [^] # Re: je resterai toujours étonné

          Posté par (page perso) . Évalué à 3.

          École :je préférerai qu'il y'ait toujours un adulte à proximité, avec le contrôle parentale activé via liste blanche.

          C'est un exemple possible de filtrage utile

          entreprises : là à part infantiliser les employés qui vont passer par les smartphones…

          Les réseaux wifi peuvent se détecter, et si il surf juste sur son smartphone en 3/4 G sans faire de pont wifi c'est son problème (pas de raccordement au réseau local), toutefois nous parlons dans ce cas de gens qui contournent volontairement un système de défense de leur entreprise, pourquoi pas, il est aussi possible d’utiliser le PC d'un collègue ayant plus d'autorisations pour télécharger des cracks, de mettre toto en mot de passe, de virer son AV, mais tout ça c'est ta responsabilité.

          lieu public : tu peux laisser les gens faire ce qu'ils veulent avec le matériel

          Je parlais de Hotspot public, genre centre commercial, non dans ce cas te ne peux pas laisser les gens faire ce qu'ils veulent.

          Je comprends bien que beaucoup de personnes soient "agacées" par ce type de système, toutefois je peux t'assurer que quand c'est bien fait (malheureusement c'est rarement le cas) la gène peux-être extrêmement faible.

          Par exemple avec E2guardian tu peux avoir une page d’interdiction qui te permet quand même de surfer temporairement sur le site.

          Tout le monde est content, l'utilisateur à besoin en urgence du site il n'est pas bloqué, l'admin est au courant de l’accès (et peux le bloquer/ouvrir définitivement), et le gars qui souhaite faire un tunnel HTTPS sur une machine perso sera bloqué - très dangereux pour l'entreprise notamment pour la fuite d'infos -

          Et celui qui souhaite aller sur un site porno et bien il rentre à la maison.

          • [^] # Re: je resterai toujours étonné

            Posté par (page perso) . Évalué à 2.

            Je parlais de Hotspot public, genre centre commercial, non dans ce cas te ne peux pas laisser les gens faire ce qu'ils veulent.

            A propos, Hadopi peut "attaquer" un hotspot?

          • [^] # Re: je resterai toujours étonné

            Posté par . Évalué à 2.

            gars qui souhaite faire un tunnel HTTPS sur une machine perso sera bloqué - très dangereux pour l'entreprise notamment pour la fuite d'infos -

            Ce n'est pas un peu bidon comme explication ? La moitié du personnel disposant d'un ordinateur portable de travail, le ramène tous les soirs chez lui, avec tous les documents qu'il veut. Et je ne parle pas encore des clef usb. On peut interdire ces dernières. Je connais des gusses qui ont du travailler sur un réseau séparé pour du matériel sensible : pas d'internet, pas d'usb. C'est impossible de bosser ainsi : pas d'information rapidement trouver sur internet, difficulté pour lire les spec (ctl-f sur un tas de papier marche moins bien, papier souvent dans un coffre,…) etc… La fois suivante, le problème a été de trouver les pigeons qui allaient bosser ainsi.

            "La première sécurité est la liberté"

    • [^] # Re: je resterai toujours étonné

      Posté par (page perso) . Évalué à 5.

      Ça dépend ce que tu cherche à faire. Si tu veux éviter que tes employés glandent, c'est vrai que ça peut de chance d'être efficace. Si tu veux éviter que tout le monde ramène des véroles en surfant n'importe où, c'est plus efficace. Bien sûr, ce n'est pas parfait et certainement pas la seule mesure à appliquer, mais ça diminue la surface d'attaque.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: je resterai toujours étonné

        Posté par . Évalué à 3.

        t'as intérêt à interdire les clés USB, car les gars qui peux pas télécharger un truc à cause du proxy il passera par la clé usb qui vient de chez lui :)

        Il ne faut pas décorner les boeufs avant d'avoir semé le vent

        • [^] # Re: je resterai toujours étonné

          Posté par (page perso) . Évalué à 7.

          Je pensais plus aux véroles qui passent par les navigateurs (entre les 0day et les mises à jour qui ne sont pas installées dans l'heure, ça laisse de la marge).

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: je resterai toujours étonné

        Posté par . Évalué à 3.

        Sans parler du cas d'activités franchement délictueuses commises depuis l'accès Internet de l'entreprise.

        Après, effectivement, le mec peut faire la même depuis son portable. Mais au moins, ce n'est pas la responsabilité de l'entreprise qui est engagée.

        • [^] # Re: je resterai toujours étonné

          Posté par (page perso) . Évalué à 1.

          Je n'ai jamais saisi cette histoire de responsabilité de l'entreprise.

          Si je suis conducteur de poids lourd (outil de travail fournit par l'entreprise) et que j'écrase volontairement des gens, c'est moi qui suis responsable.

          Par contre si je fais un truc avec mon téléphone pro ou internet à partir de mon odrinateur pro, c'est mon entreprise qui est responsable.
          Soit c'est débile, soit c'est simplement faux.

          Je me souviens d'un cas où le tribunal avait condamné l'entreprise sous prétexte qu'elle autorise les employés à utiliser leur PC à titre personnel (par exemple durant les pauses).
          Brillant raisonnement. Donc si mon employeur m'autorise à utiliser un véhicule d'entreprise pour aller à un rendez-vous perso je peux écraser tout le monde ?! C'est mon patron qui va en prison ?

          • [^] # Re: je resterai toujours étonné

            Posté par (page perso) . Évalué à 4.

            Je me souviens d'un cas où le tribunal avait condamné l'entreprise sous prétexte qu'elle autorise les employés à utiliser leur PC à titre personnel (par exemple durant les pauses).

            Peut-être que l'entreprise ne loggait pas qui accédait à quoi et que ça suffit (je n'en sais rien mais ça semble logique, comme un FAI en sommes). Par contre, même si l'entreprise n'est pas condamnable, je comprends tout à fait qu'ils veuillent éviter, c'est dans tous les cas de la procédure (qui prends du temps), des potentiels coûts d'avocat et peut-être du matériel saisi.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: je resterai toujours étonné

            Posté par (page perso) . Évalué à 1.

            L'énorme différence c'est que le conducteur du camion c'est bien toi.
            Mais l’accès aux sites c'est avec une adresse IP de l'entreprise.

            Donc en inversant ce raisonnement, il serait donc possible de faire n'importe quoi depuis une entreprise puisque il n'est pas possible de savoir qui fait quoi.

            "Si une entreprise n'est pas capable d'indiquer qui a réalisé un accés en traçant les connexions c'est son représentant légal (responsable informatique, DSI…) qui aura à répondre de cette infraction."

  • # Très utile aussi

    Posté par (page perso) . Évalué à 5.

    Le blocage des publicités sur le web, de façon transparente pour tout le parc info.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.