Forum Linux.général Filtrage MSN

Posté par  .
Étiquettes : aucune
2
10
avr.
2009
Bonjour,

je suis en train d'améliorer le filtrage MSN dans une entreprise qui a des utilisateurs un peu chiants. La direction me demande de filtrer d'autorité car les gens se connectent en douce malgré l'interdiction.

Pour l'instant je bricole les réponses dns. Mais certains utilisateurs ont maintenant configurés un dns extérieur à l'entreprise sur leur Windows. J'te jure, faut les mettre à la porte si ils ne respectent pas les règles.

J'ai tout de suite pensé à Squid que je n'ai jamais utilisé. Le seul besoin du moment est d'empêcher l'utilisation de MSN. Pas besoin de cache.

L'astuce de bloquer le port MSN ne fonctionne plus (le logiciel utilise le port 80 si besoin). L'astuce de modifier les fichiers hosts des Windows ne fonctionne plus (le logiciel explique clairement quel est le problème, trop facile à corriger). Il n'y a pas de pare-feu sur les postes de travail permettant de bloquer certaines requêtes sortantes.
En bref, j'ai besoin de filtrer sur le routeur. C'est une machine Linux.

D'abord j'ai regardé les alternatives à Squid. J'ai trouvé DansGuardian et Privoxy. Le premier nécessite Squid et le second ne sait pas faire proxy d'interception (aka proxy transparent). Donc je vais faire avec Squid, sauf si quelqu'un me montre mieux.

Par contre j'ai un petit problème :)
Comment j'indique à Squid de ne pas faire office de cache ? Le routeur n'a pas de mémoire de masse libre, et ce n'est pas le but. J'ai tout ce qu'il faut pour le filtrage, mais je ne trouve pas comment désactiver le cache. J'ai peut-être mal lu la documentation. Si on ne peut pas désactiver le cache, je pense que je pourrais le limiter artificiellement afin qu'il ne cache rien ou presque.

  • # DNS

    Posté par  (site web personnel) . Évalué à 5.

    Si tu joues déjà avec les réponses du DNS, pourquoi ne pas simplement bloquer les requêtes DNS vers des serveurs autres que le cache DNS interne au niveau du routeur?

    • [^] # Re: DNS

      Posté par  . Évalué à 1.

      Bonne idée ça. Tellement simple en plus. Merci :-)

      Par curiosité je vais étudier Squid, mais ton idée est très bien pour ce cas précis.

  • # Diverses solutions

    Posté par  . Évalué à 2.

    Personnellement j'utilise ça:

    cache_mem 10 KB
    maximum_object_size 0 KB
    minimum_object_size 0 KB
    maximum_object_size_in_memory 0 KB
    memory_pools off
    client_db off


    Sinon il y a ça:

    acl all src 0.0.0.0/0.0.0.0
    no_cache deny all


    Et ça:

    cache_dir null /tmp

    mais qui n'empêche pas le cache de fonctionner.

    Et surement plein d'autres astuces :-)

  • # Perfide

    Posté par  . Évalué à 8.

    Jj'avais fait plus perfide dans une boite où je devais mettre en place un systême de firewalling. Les managers m'avaient demandé le filtrage de MSN.

    J'ai donc mis en place une politique de "packet random": en gros "tous ce qui ressemble à MSN (MSN proto, Webmessenger, etc...), un paquet sur X passe, les autres sont droppés".
    Des fois les gens arrivaient à se "logguer", mais n'avait pas a avoir la liste de contact, parfois c'était: n'arrivait pas à se logguer; d'autres fois c'était les messages qui n'étaient pas envoyer ou n'arrivaient pas.

    Perfide : Ouuuuuuuais :-)

    • [^] # Re: Perfide

      Posté par  . Évalué à 4.

      Perfide, vicieux, retors. Ca laisse une sorte d'espoir, 'spèce de sadique :-)

      Quelles solution logicielle/matérielle utilisais-tu ?

      • [^] # Re: Perfide

        Posté par  . Évalué à 2.

        Juste NetFilter et proba un ou deux modules supplémentaires dont je me souviens plus maintenant (voir sur le site netfilter::modules)

    • [^] # Re: Perfide

      Posté par  (site web personnel) . Évalué à 1.

      Par contre au niveau temps de travail perdu pour ces gens, donc pour la boîte, cette solution en consomme beaucoup plus… Pas sûr que les managers auraient apprécié de connaître ce fonctionnement ;)

      • [^] # Re: Perfide

        Posté par  . Évalué à 3.

        Quel solution ? celle de décourager les gens de se connecter sur MSN en laissant supposer que "MSN ca marche pas bien" ? :-)
        Vaut mieux des personnes qui partent du principe que pour une raison inexpliqués, "MSN marche pas" (sens général) que "MSN est bloqué au travail" et donc passe leurs temps à rechercher une méthode de contournement

        > Pas sûr que les managers auraient apprécié de connaître ce fonctionnement ;)

        Ce sont les managers qui m'ont demandés de l'implementer (enfin pas le random, mais la coupure)

  • # firewall ?

    Posté par  . Évalué à 3.

    un bon firewall ne suffirait-il pas ?

    • [^] # Re: firewall ?

      Posté par  . Évalué à 1.

      Pour bloquer MSN j'ai actuellement 2 solutions:
      1 - bloquer l'accès à quelques sites
      2 - bloquer le port 1863 et les requêtes HTTP application/x-msn-messenger

      ipfilter permet de filtrer les paquets vers/de mondomaine.com c'est vrai. Vu qu'ils ont détourné mon histoire de dns, je ne pensais plus à cette solution.

      Sinon un firewall tel que ipfilter permet d'inspecter les paquets pour trouver pplication/x-msn-messenger ? A ma modeste connaissance, non.

  • # Problème de direction

    Posté par  . Évalué à 1.

    Quel est le problème à vouloir laisser passer msn ?

    Si tu bloques le protocole, les utilisateurs vont passer par des proxys, des relais (même sous forme de site internet). Et ils ont le niveau si tu dis que certains ont modifiés leurs serveurs dns.

    Je sais bien que msn, c'est le plus mal du mal, mais c'est pas la bonne solution si tu veux empêcher les gens de glander au boulot. Si la personne est sérieuse, elle n'utilisera pas msn toute la journée. De toutes façons, si elle doit bosser, elle ne pourra pas le faire.

    Certaines entreprise font des serveurs jabber pour communiquer, c'est un peu l'opposé de ce que veut ta direction.

    Je pense que t'es payé pour répondre à la demande de ta direction, et que tu risques d'être remplacé par un boulet si tu leur explique que tu ne peut pas vraiment faire ça, que ça ne fait que repousser le problème. Mais tu peux toujours tenté d'expliquer en quelques mots la problématique à ta direction, et que ça te fait perdre du temps au final. Espionner les logs de squid pour repérer les nouveaux sites pour chatter, c'est légèrement pénible. Tu peux t'appuyer sur des listes, mais on va alors venir râler car on n'a pas accès à tels sites, ou même que l'on ne voit plus les publicités.

    Bon courage.

    Envoyé depuis mon lapin.

    • [^] # Re: Problème de direction

      Posté par  . Évalué à 3.

      De manière générale, je pense qu'il n'y a pas moyen de bloquer un utilisateur motivé, à moin de lui bloquer tout accès au net, vu le nombre de moyens qu'il y a de contourner le problème.

    • [^] # Re: Problème de direction

      Posté par  . Évalué à 3.

      Ouais c'est clair que je ne prendrais même pas le temps de demander à un informaticien de bloquer ça. Un coup de téléphone au DRH et voilà.


      Ils veulent compliquer le contournement. Après ça devient mariolle pour faire un tunel tout de même. Il faut un peu plus que simplement modifier les paramètres de son Windows. Ca freine.

      De toutes manières, ils me payent pour des trucs comme ça tout le temps :)

      • [^] # Re: Problème de direction

        Posté par  . Évalué à 2.

        Ouais c'est clair que je ne prendrais même pas le temps de demander à un informaticien de bloquer ça. Un coup de téléphone au DRH et voilà.

        Il me semble qu'il est toléré par la loi d'utiliser l'ordinateur de son travail pour avoir des activités perso (il me semble seulement, mais je crois avoir souvenir que le tribunal n'avait pas pris comme preuve des élements personnels d'un employé qu'un employeur avait emmené). A partir de là, si l'employeur n'a pas le droit de voir ce que fait l'employé fait sur sa machine, je vois pas comment il serait licensiable pour ce motif.

        Accessoirement, j'utilise moi même jabber au boulot, parfois c'est pour un moment de détente, parfois c'est également un outil de travail, avec des collègues, ou avec des amis/anciens collègues pour avoir un conseil ou une réponse à un problème.

        Ils veulent compliquer le contournement. Après ça devient mariolle pour faire un tunel tout de même. Il faut un peu plus que simplement modifier les paramètres de son Windows. Ca freine.

        Si ils sont assez malins pour savoir ce qu'est un dns et comment on le change sur sa machine (ils sont admins de leurs machine ? ), cliquer sur l'icone de putty pour placer un tunnel ne devrait pas être au dessus de leurs forces.

        • [^] # Re: Problème de direction

          Posté par  . Évalué à 2.

          Sinon tu pourrais regarder du coté de NuFW, je pense qu'il est exactement fait pour ça (par contre il faut l'installer sur les postes)

  • # Commentaire supprimé

    Posté par  . Évalué à 1.

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Les rêgles

      Posté par  . Évalué à 2.

      On t'interdit de te connecter en ssh chez toi

      Je leur jetterai pas la pierre, il est si facile de voler des documents, ou de faire un reverse tunnel qui serait déjà un point d'entrée dans l'entreprise. Tu me diras que l'on peut faire ça avec n'importe quel protocole... c'est vrai, mais j'ai l'impression que parfois la direction n'imagine pas que l'on puisse détourner un protocole de son usage premier.

    • [^] # Re: Les rêgles

      Posté par  (site web personnel) . Évalué à 2.

      Chez nous on a fait plus simple: toutes les IP publiques de microsoft qu'on a trouvées sont
      filtrées, sur tout les ports, sauf pour le serveur WSUS.. gniark :)
      ça a un double effet bonus en plus, ça évite tout reporting de conneries en "calltohome" des softs
      MS et ça bloque hotmail/live.com.

      • [^] # Re: Les rêgles

        Posté par  . Évalué à 1.

        Ca se contourne très facilement avec meebo.com par exemple ;)

    • [^] # Re: Les rêgles

      Posté par  . Évalué à 1.

      La seule règle efficace et totalement ignoble pour tout le monde :

      * la whitelist : liste de sites autorisés

      et encore ils trouverons le moyen de passer par des téléphones portables, qui a dit quand on veut, on peut ;)

      • [^] # Re: Les rêgles

        Posté par  (site web personnel) . Évalué à 1.

        Si tu veux vraiment interdire msn monter que tu peux savoir tout ce qu'ils font et souvent plus utile que de filtrer.

        <la vie de mon pote>
        Il reçoit un mail de sa direction :
        - pourquoi vous êtes vous connecté en ssh à tel serveur tel jour à telle heure ?
        - pourquoi avez-vous essayé de camoufler votre connexion ssh dans un tunnel http ?

        Fin du problème.
        </la vie de mon pote>

  • # Ma config squid pour ça

    Posté par  . Évalué à 4.

    J'utilise squid pour bloquer msn, voici ce que j'ai rajouté pour ce faire dans le squid.conf:

    acl msn1 url_regex -i gateway.dll messenger.msn.com gateway.messenger.hotmail.com www.sqm.microsoft.com/sqm/messenger/sqmserver.dll
    acl msn2 req_mime_type ^application/x-msn-messenger$

    http_access deny msn1
    http_access deny msn2


    Et ca fonctionne bien, même pour le webmessenger.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.