Bonjour,
Ayant bossé pour une boite qui avait les moyens... nous utilisions une solution permettant de filtrer le HTTPS de telle sorte que le flux crypté soit decrypter puis reencrypter (ce qui permettait de le filtrer au passage).
On utilisait cela:
http://jonsnetwork.com/2007/04/how-to-solve-the-ssl-security(...)
Mais je suis persuadé qu'il doit exister une solution qu on peut mettre en place en OpenSource et qui ferait le meme job!!!
Le simple squid utilisant la méthode CONNECT est bien evidamment exclue puisque celui ci pourrait encapsuler du SSH (ouvert en 443) sans rien voir passer...
Si quelqu'un a une idée je suis preneur!
Forum Astuces.divers Solution pour filtrer du contenu HTTPS
9
oct.
2010
# Bizarre, bizarre
Posté par Croconux . Évalué à 10.
A mon avis ce que fait ce truc est un peu différent. Il doit jouer l'homme du milieu. Tu ne te connectes plus directement au serveur auquel tu veux accéder en SSL mais à un serveur maison (avec donc un certificat maison) et le serveur se connecte, lui, au vrai serveur en SSL. De cette façon, il n'y a rien à casser. Sauf que tout bon navigateur t'indiquera un énorme warning anti comme quoi le certificat utilisé n'a pas été émis par le site que tu visites. Suivant le navigateur et les options de sécurité, la connexion peut carrément être impossible ou le navigateur peut afficher une confirmation "oui, j'ai bien compris que je faisais une grosse connerie, laissez moi m'auto-flageller, j'aime ça".
[^] # Re: Bizarre, bizarre
Posté par 2PetitsVerres . Évalué à 10.
* ce moyen peut par exemple être que le service informatique de la boîte a déployé, au moment de l'installation de la machine, ses certificats sur le navigateur installé. C'est le cas dans la boîte où je bosse (sauf que je n'utilise pas les navigateurs installés, mais le mien, donc je vois les gros warnings)
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Bizarre, bizarre
Posté par Olivier (site web personnel) . Évalué à 6.
Du moment que l'on ne maîtrise ni le serveur DNS, ni le moyen de certification, le proxy / homme du milieu, peut signer tout les certificats qu'il veut, et faire son boulot d'interception.
Mais ce genre de pratique est quand même sacrément malhonnête de la part de l'admin réseau...
La seule solution que je vois pour éviter une telle interception, dans le cas par exemple de l'utilisation d'un wifi publique sur lequel on pourrait avoir ce genre de mécanisme d'homme du milieu:
- utiliser un DNS "externe" bien précis (pas celui qui est fournit par le serveur DHCP). Mais la solution n'est pas 100% fiable, car le hotspot wifi peut très bien intercepter et modifier les requêtes DNS
- ET de n'utiliser que des certificats de CA dans lesquels on a confiance. Donc surtout ne pas accepter des certificats qui viennent de cette connexion wifi.
[^] # Re: Bizarre, bizarre
Posté par ddeted . Évalué à -7.
Je suis particulierement surpris par vos message :)
En fait, ca n enleve pas de la sécurité puisqu il y a 2 flux cryptés
-du client vers le proxy
-du proxy vers le serveur final!
C'est en effet un proxy MITM... Mais rien avoir avec une attaque... (ca je sais le faire ;)
Pour avoir testé cette solution aucun probleme de certif en effet je pense que le CA est trusté par une autorité reconnue ... pour le fait que ce soit installé dans chazque navigateur: étonnant il y avait 200000 utilisateurs!
Apres vous parlez de sécu, ben justement parlons en:
Le fait que les users puissent utiliser ton proxy pour se connecter chez eux en SSH ça ce n'est pas secure!
ou le fait qu'il passe par des services internet en https pour aller surfer ou ils veulent: ca ce n'est pas secure non plus...
Donc j'aimerais 2 minutes mettre les questions de "pseudos-ethiques" de côté et réfléchir à la solution technique qui pourrait remplacer un outil commercial par une solution opensource...
peut etre une piste:
http://www.gnucitizen.org/blog/python-ssl-mitm-proxy-and-mor(...)
[^] # Re: Bizarre, bizarre
Posté par 2PetitsVerres . Évalué à 10.
Si tu ne veux pas que tes utilisateurs puisse faire du SSL sans voir ce qu'il y a dedans, la seule solution honnête et sûre, c'est d'interdire le SSL globalement (puis passer par une liste blanche pour les serveurs indispensables dont tu es sûr)
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Bizarre, bizarre
Posté par khivapia . Évalué à 3.
S'ils le font c'est qu'ils en ont besoin non ?
Sinon, c'est comme dit 2PetitsVerres, il faut bloquer le port 443 sauf pour une liste blanche de sites web bien déterminés.
[^] # Re: Bizarre, bizarre
Posté par Olivier (site web personnel) . Évalué à 8.
C'est en effet un proxy MITM... Mais rien avoir avec une attaque... (ca je sais le faire ;)
Vis à vis de l'utilisateur, il y a tromperie, car il pense que son flux SSL ne peut pas être déchiffré, or c'est le cas ici. Je pense que c'est le genre de chose qui devrait être clairement affiché dans la charte informatique de la société, celle que l'employé signe en disant qu'il s'engage à ne pas faire mauvaise usage du système informatique. Mais par contre, il y a fort à parier qu'une telle charte soit dénoncée devant un tribunal.
Que l'admin système (ou son équipe IT), détourne ou non l'usage "sécurité" de ce proxy est un autre débat : Grand groupe ou petite société, ce sont au final toujours des être humains qui ont entre les mains des données sensibles. Et parfois, elles les utilisent à mauvais escient.
2 exemples récemment dans l'actualité informatique :
- un employé de facebook a utilisé ses droits d'accès privilégiés pour connaître l'identité d'un client : http://www.infos-du-net.com/actualite/17513-vie-privee.html
- des employés de SFR auraient exploités illégalement des codes de desimlockage : http://www.generation-nt.com/fraude-reseau-codes-desimlockag(...)
pour le fait que ce soit installé dans chaque navigateur: étonnant il y avait 200000 utilisateurs!
Alors là, aucun soucis. Exemple de techniques de déployment :
- installation de ce CA à distance, en "poussant" un patch sécurité
- utilisation de WMI pour modifier automatiquement la configuration des postes clients
- modification de la configuration, en utilisant le script de login de la machine
- ou plus simplement encore : Rajout du CA dans l'image disque des machines, en parallèle des xxx applications utilisés par cette entreprise.
Le fait que les users puissent utiliser ton proxy pour se connecter chez eux en SSH ça ce n'est pas secure!
Il faut :
- contrôller les applications installées sur la machine
- limiter les droits d'accès aux machines
- etc...
Le moindre firewall applicatif est capable d'empêcher une application qui ne serait pas dans une "white list" de se connecter à un réseau. Il suffit de définir la liste des ces applis, avec leur somme MD5/autre, afin d'empêcher un client SSH de se connecter
Après un utilisateur peut toujours sortir sa clé USB/live CD pour passer outre l'OS de la société. Dans ce cas-là, un par-feu identifiant, comme http://fr.wikipedia.org/wiki/NuFW bloquera ce live-OS non autorisé
Donc j'aimerais 2 minutes mettre les questions de "pseudos-ethiques" de côté et réfléchir à la solution technique qui pourrait remplacer un outil commercial par une solution opensource...
Idées en vrac (je précise que je ne cautionne pas ce qui est fait ici):
- pour le détournement de la requête au CA (Verisign, ou autre), il faut changer la configuration du DNS (bind9 ou autre)
- pour simuler automatiquement le CA, je ne vois pas trop. J'imagine que cela peut se faire avec un serveur Apache, plus des scripts de génération de certificat à la volée. Ou du moins : Génération d'un certificat lors de la première demande, et sauvegarde de celui-ci sur le serveur. Aux prochaines demandes, on ira piocher dans la "base de certificats" déjà généré
- pour la phase déchiffrement / chiffrement, il faut là probablement encore passer par un serveur web, qui se chargera de cela. Mais c'est du boulot...
[^] # Re: Bizarre, bizarre
Posté par ddeted . Évalué à -4.
Je suis particulierement surpris par vos message :)
En fait, ca n enleve pas de la sécurité puisqu il y a 2 flux cryptés
-du client vers le proxy
-du proxy vers le serveur final!
C'est en effet un proxy MITM... Mais rien avoir avec une attaque... (ca je sais le faire ;)
Pour avoir testé cette solution aucun probleme de certif en effet je pense que le CA est trusté par une autorité reconnue ... pour le fait que ce soit installé dans chazque navigateur: étonnant il y avait 200000 utilisateurs!
Apres vous parlez de sécu, ben justement parlons en:
Le fait que les users puissent utiliser ton proxy pour se connecter chez eux en SSH ça ce n'est pas secure!
ou le fait qu'il passe par des services internet en https pour aller surfer ou ils veulent: ca ce n'est pas secure non plus...
Donc j'aimerais 2 minutes mettre les questions de "pseudos-ethiques" de côté et réfléchir à la solution technique qui pourrait remplacer un outil commercial par une solution opensource...
peut etre une piste:
http://www.gnucitizen.org/blog/python-ssl-mitm-proxy-and-mor(...)
[^] # Re: Bizarre, bizarre
Posté par ddeted . Évalué à -4.
J adore les solutions proposées:
- interdire le SSL ???
Donc il vaut mieux interdir le SSL que faire confiance a son IT department.
De meme ne pas oublier que les moyens info mis a dispositions par la boite doivdent etre utilisé en accord avec celle ci... Donc le fait que son traffic soit decrypté pour etre checké par un squidgard & co puis reencrypter n'est pas un problème.
C'est vraiment dommage de s 'éloigner de la discussion principale qui est:
"Quel solution OpenSource utiliser a la place de cette solution commerciale ?"
et de faire des pages entieres de réponse sur des questions de pseudo éthiques douteuses...
d autant que les utilisateurs s en CONTREFOUTE que leur traffic soit encrypter puis decrypter (pour filtrage) puis reencrypter, puisqu ils sont deja filtré sur le HTTP"normal.
A bon entendeur.
[^] # Re: Bizarre, bizarre
Posté par 2PetitsVerres . Évalué à 8.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Bizarre, bizarre
Posté par Édouard Siha . Évalué à 6.
(dé)crypté -> (dé)chiffré
secure -> sûr
trusté -> certifié/reconnu
user -> utilisateur
Et si on veut vraiment faire le lourd :
proxy -> (serveur )mandataire
Sur la forme, je considère que justement ta solution enlève un des piliers du secret puisque tu as un intermédiaire :
- dont tu ne maîtrises rien (en tant qu'utilisateur) ;
- qui voit tout ;
- qui te fait croire que tes échanges ne sont connus que de toi et tes destinataires.
En gros, tu enlèves tout intérêt au chiffrement, autant passer directement en clair, ça sera moins coûteux en temps CPU, pas trompeur et surtout (à confirmer)... légal.
[^] # Re: Bizarre, bizarre
Posté par ddeted . Évalué à -2.
Ok le traffic est decrypté pour filtrage .
MAIS AUCUN TRAFFIC NE PASSE EN CLAIR SUR LE RESEAU!
Alors au lieu de me dire qu il vaut mieux supprimer le SSL ce qui a CE MOMENT serait une vrai faille de sécu ou le laissé passer sans le checker histoire que tout le monde fasse ce quu il veut sous couvert de la bonne ethique de certain... regardez juste un peu autour de vous dans les grosses boites / administrations .
Je parle en connaissance de cause j ai géré un accès au net pour 200 000 utilisateurs sensibles pour un ministère.
Donc s'il vous plait arrêter de me rabacher n importe quoi et concentre vous sur la question:
Comment remplacer la solution commerciale par de l OpenSource!!!!!
Des pistes:
DeleGate
OpenDPI (et ça c'est koi alors !? pourtant la communauté bosse dessus!)
ipoque
Donc voila je m arrache un peu les cheveux qu'il me reste en lisant des trucs incroyables comme ce que vous raconter... je le rappel aucunne info ne passe en clair sur le reseau... le seul decryptage serait fait en local sur une machine pendant le temps de la connexion...
De même vous me dites c pas secure blablabla...
Mais un reverse proxy apache avec SSL !!! ca marche comment ?????? C'est pire ya du SSL que sur le reverse proxy puis ce n'est meme pas reencrypter vers le serveur de destination... POurant c'est utilisé couramment dans le domaine des Payment Card Industry.
[^] # Re: Bizarre, bizarre
Posté par Florent Fourcot . Évalué à 6.
J'ai pas mal hésité à répondre, car tu es tout de même relativement agressif. Clairement, simuler de l'homme du milieu avec un proxy, non ce n'est pas sécurisé. Si quelqu'un prend le contrôle de ton serveur, il pourra intercepter tous les flux que les utilisateurs peuvent penser sans risques. Et je ne parle même pas du risque d'un administrateur qui s'ennuie...
Prendre l'exemple des grosses boîtes et grosses administrations pour parler d'éthique me fait bien rigoler... Si tu souhaites vraiment mettre cela en place, fait le. Mais ne vient pas dire que c'est sans risque. Et surtout, n'oublie pas de prévenir tes utilisateurs sur les risques et sur ce que vous faites vraiment (sans prévenir les utilisateurs, je trouve cette pratique vraiment malhonnête).
Je préviendrais demain mon employeur qu'il a un gros trou de sécu dans son réseau, il me laisse utiliser du ssh vers chez moi...
[^] # Re: Bizarre, bizarre
Posté par ddeted . Évalué à -1.
Merci pour ton retour.
Mon agressivité est due au fait que dès que l'on touche a des domaines qui s'approchent de l'éthique les gens s'éloignent du sujet principal qui était comment remplacer un outil commercial par de l'open source.
Je ne réinvente rien qui n'existe déjà.
Le fait de faire du ssh n est pas une faille de sécurité mais le fait et je l'ai déjà vu d outrepasser la politique de filtrage de ta boite en faisant une connexion SSH via le proxy de la boite qui te permet de te forwarder le port du squid qui tourne sur ton petit serveur Linux a la maison...
Et bien dans ce cas oui, tu detournes l utilisation du système d informations et de son filtrage puisque tu reroutes ton traffic HTTP via ta machine.
Et c'est ce genre de chose que je veux eviter.
En tous cas merci pour ton message je vais regarder dans ce sens.
[^] # Re: Bizarre, bizarre
Posté par Olivier (site web personnel) . Évalué à 2.
Voir mon message plus haut, j'y ai expliqué comment empêcher l'utilisation de SSH
[^] # Re: Bizarre, bizarre
Posté par X345 . Évalué à 10.
"Mon agressivité est due au fait que dès que l'on touche a des domaines qui s'approchent de l'éthique les gens s'éloignent du sujet principal qui était comment remplacer un outil commercial par de l'open source."
Et ça te parait justifié d'être agressif pour ça ? T'es sur que t'as bien lu l'url qui s'affiche en haut de ton navigateur ? Alors, de deux choses l'une. Premièrement, c'est quand même bien normal qu'on se pose des questions éthiques avant de t'indiquer comment faire des choses louches. On va pas t'indiquer comment torturer quelqu'un si on estime que c'est pas éthique (oui, c'est un exemple extrémiste, non, je n'associe pas le fait de faire un MITM à de la torture, c'est juste pour illustrer mon propos). Deuxièmement, on est pas ton presta. On pas le devoir de te fournir une solution technique. Alors merci de ne pas nous rappeler à l'ordre lorsqu'on ne répond pas à ta question.
D'autre part, t'es vraiment borné (en plus d'être agressif) ! On tente de t'expliquer que la mise en œuvre de ce genre de techniques (qui s'apparentent de très près à celles utilisés par des malfaiteurs) risque de te conduire toi ou ta boite au tribunal.
Pour couronner le tout, on t'as donné des solutions techniques autrement moins agressives (NuFW + Sécurisation des postes clients par exemple, tout ça avec charte informatique) qui te permettraient d'arriver à un résultat équivalent. Et puis merde ! Tu sais prendre un peu de recul ? C'est vraiment si grave que ça que les gens de ta boite fassent du SSH sur le port 443 ? T'as vraiment besoin de sortir une artillerie aussi lourde pour qu'ils arrêtent ?
T'as géré l'accès internet de 200 000 utilisateurs ? Waooow, bravo ! Et t'en est réduit à venir demander de l'aide sur linuxfr... Avec une telle expérience, tu n'as toujours pas trouvé la touche ' de ton clavier ? Tu n'as toujours pas compris que commercial n'était pas l'antonyme d'open-source ? T'as besoin qu'on te rappelle le vocabulaire de base de la cryptographie ? C'était au ministère de la culture, non ?
Concernant ta remarque sur les reverse-proxy SSL, tu sais c'est pas très grave si le trafic n'est pas chiffré sur le réseau local de la boite qui gère le proxy. De toutes façons, ils ont ton numéro de carte en clair à un moment où à un autre.
Finalement, c'est bien étonnant que la discussion soit restée aussi calme et que personne ne t'ait rappelé à l'ordre. Tout ce perd sur linuxfr :-) À moins que je sois le seul abruti à être tombé dans un fake aussi grossier.
[^] # Re: Bizarre, bizarre
Posté par ddeted . Évalué à -5.
Car oui! quand on bosse dans une vrai boite il ya des règles, des directives a suivre et à travailler...
Donc fini tes études, travailles 5 ans ou plus et on en reparlera...
[^] # Re: Bizarre, bizarre
Posté par X345 . Évalué à 7.
En effet, je suis étudiant et je n'ai jamais bossé dans aucune boite (si on exclue les stages évidemment).
Mais excuse-moi, tu ne fais vraiment pas sérieux. Regarde l'orthographe et la typographie de tes posts, tu es le seul qui fait autant de fautes (et enchaine les points d'interrogation). D'autre part, venir se vanter d'avoir géré l'accès internet de 200 000 utilisateurs, ça fait très légèrement aberrant.
200 postes, c'est ce qu'on trouve dans une PME. 2000 postes c'est déjà conséquent. 20 000 c'est énorme. 200 000 c'est... étonnant (Pour se donner une idée, 200 000 c'est le nombre TOTAL de salariés de PSA dans le monde) ! Alors si jamais tu avais géré ne serait que 20 000 postes, tu devait être à un poste de direction d'une grosse équipe , donc savoir prendre un minimum de recul et se poser quelques questions (Est-ce que c'est légal, couteux, facile à mettre en oeuvre, bon pour les conditions de travail...). Ce qui contraste totalement avec le manque d'ouverture et l'agressivité dont tu fais preuve.
Bref, tu n'est pas plus administrateur système que moi...
Bon, et une fois que tu auras filtré le SSL, tu vas faire quoi ? Faire la chasse au httptunnel, à iodine et consorts...
[^] # Re: Bizarre, bizarre
Posté par llaxe . Évalué à 5.
[^] # Re: Bizarre, bizarre
Posté par ddeted . Évalué à -3.
J'ai bossé en prestation pour un ministere et si je suis plus administrateur que toi... (cf google ou tu dis que tu as découvert Firefox puis vlc puis Linux en 2008..)
Pour info je ne vais pas trop en faire mais je suis cité dans un bouquin d'O'REILLY qui traite de sécurité informatique et je teouche a Linux depuis presque 14 ans.
Pour les fautes c'est juste que je tape rapidement et que je n ai pas envie de perdre du temps pour des attaques... car depuis le début de ce post je n'ai eu que 2 posts sur lesquels ont me parlait techniquement... tout le reste c'est: du blabla dans le genre de tes posts...
Je le répète je ne suis pas responsable de l'accès de 200000 utilisateurs, mais je suis un des ingés de l'équipe... et je me demandais simplement comment on pourrait faire la même chose avec une solution opensource existante plutot qu avec ce truc commercial qui vaut une fortune... (d autant que ce sont des appliances qui fonctionnent sous Linux...)
Voila si la longueur de ta pensée et la direction de tes réflexions ne peut pas aller au dela de tes petits problèmes d éthiques, un conseil change de job parce qu aucune boite ne voudra bosser avec toi. Et je ne dis pas ça pour être blaissant mais simplement parce que quand on bosse on doit aussi savoir parfois faire des choses qui vont pas "forcément" dans son éthique ou ses idées... (dans la mesure où l'on respecte la législation bien entendu).
Et je suis un peu virulant car tu l'admettras c'est une question qui techniquement est intéressante a traiter et que 90% du post rabache le même blabla... c'est dommage...
[^] # Re: Bizarre, bizarre
Posté par benoar . Évalué à 6.
[^] # Re: Bizarre, bizarre
Posté par llaxe . Évalué à 3.
[^] # Re: Bizarre, bizarre
Posté par benoar . Évalué à 3.
[^] # Re: Bizarre, bizarre
Posté par llaxe . Évalué à 2.
[^] # Re: Bizarre, bizarre
Posté par benoar . Évalué à 2.
[^] # Re: Bizarre, bizarre
Posté par llaxe . Évalué à 2.
Il reste que d'un côté c'est sans doute un peu trop perso comme intérêt. D'un autre je suis pas sûr que ça soit vraiment inutile au fond ce que je dis (puisque ça m'intéresse d'ailleurs). Bon, en tout cas, c'est là, maintenant. Et je pense pas vraiment avoir trop gâché le temps et l'argent de trop de personnes.
[^] # Re: Bizarre, bizarre
Posté par totof2000 . Évalué à 3.
[^] # Re: Bizarre, bizarre
Posté par ddeted . Évalué à -1.
As tu eu l'occasion de mettre ce genre de choses en place ?
Car après avoir lu la doc du wiki, ils disent d utiliser du ICAP pour le filtrage mais l exemple ne montre pas comment... une idée ?
[^] # Re: Bizarre, bizarre
Posté par ddeted . Évalué à -2.
As tu eu l'occasion de mettre ce genre de choses en place ?
Car après avoir lu la doc du wiki, ils disent d utiliser du ICAP pour le filtrage mais l exemple ne montre pas comment... une idée ?
[^] # Re: Bizarre, bizarre
Posté par nicolas . Évalué à 7.
Question éthique, t’es quand même tenu de le signaler aux utilisateurs, d’où les habituelles chartes informatiques qui sont je crois bien une obligation légale et qui décrivent ce à quoi l’administrateur a accès, entre autres. De plus les utilisateurs peuvent utiliser les moyens informatiques de leur entreprise à des fins privées sous certaines conditions. Je te conseille vivement de te renseigner à ce sujet.
Question subsidiaire, comment fais-tu pour bloquer les mails chiffrés avec PGP ?
[^] # Re: Bizarre, bizarre
Posté par ddeted . Évalué à 1.
Je voudrais juste rappeler que dans ce genre de contexte de production, ce n'est pas moi ou mes collegues qui prennent des décisions. Et ça c'est important de le souligner!!!
Ce snt des appels d'offres etc etc...
Concernant la charte au user tout est clean.
Concernant les mails chiffrés ils sont egalement interdits et la solution actuelle permet de les bloquer (pour qu il ne puisse pas contenir d exe ou autre verole)...
Voila...
Merci encore pour sslbump
[^] # Re: Bizarre, bizarre
Posté par X345 . Évalué à 5.
Bah bien sur ! Et si je cache mon mail chiffré dans une image ? Et si je code son contenu dans les mots de mon mail ?
"Concernant la charte au user tout est clean"
Ben pas sur, vu ce que tu fais soit la charte utilisateur n'est pas complète soit elle est peut-être illégale.
[^] # Re: Bizarre, bizarre
Posté par ddeted . Évalué à -4.
pffffffffffff
# Parade ou détection ?
Posté par Kerro . Évalué à 6.
Prenons un cas où il est clairement inadmissible de déchiffrer/chiffrer le flux de manière transparente, à l'insu de l'utilisateur:
Admettons que je travaille dans une SSII. Je suis en déplacement chez un client. J'utilise mon ordinateur portable. Je me connecte au réseau local de l'entreprise pour faire mon travail. Et de temps en temps j'ouvre une session SSH vers un serveur de ma SSII.
Dans ce cas, qui n'est qu'un exemple parmi d'autres, il est parfaitement inadmissible que mes communications soient interceptées.
Si l'entreprise m'indique que les communications sont interceptées, j'ai le choix de faire attention.
Par contre il y a probablement pas mal de cas où l'administrateur ne le dit pas, pour la simple raison qu'il le fait en cachette.
On peut imaginer qu'un FAI le fasse. Pour de bonnes raisons... ou pas.
1 - comment détecter cela _simplement_ ?
2 - comment contourner cela _simplement_ ?
Pour le 2, une solution est d'avoir un VPN vers une machine extérieure "fiable". La clef publique du VPN étatant stockée sur ma machine. Ce n'est pas totalement trivial, mais c'est efficace.
Pour le 1, une fois qu'on a le VPN, il suffit de comparer la clefs d'un site web en passant par le VPN et en passant par le réseau de l'entreprise.
Ca n'est pas totalement trivial non plus.
[^] # Re: Parade ou détection ?
Posté par ddeted . Évalué à -5.
Merci a tout ceux qui ont apporté des solutions techniques constructives.
(il y en a pas beaucoup)
Je constate par ailleurs que 9 commentaires sur 10 étaient agressifs (voir haineux)... Et ce genre de personne voir Xeno..., je le constate sont des ignorants.
En effet, quand on gere 200000 utilisateurs, ce n est pas l IT qui choisit la politique de sécu...
Ce sont des centaines de milliers d euros d'achats...
Alors venir pleurnicher en me disant que je suis attaquable devantr un tribunal que c'est ecouerant et que ce serait normal que mes users fassent du SSH a travers mon proxy...
===> Ca c'est profondément débil.
De même cher Xeno, je pense que les directeurs de projet, les syndicats & co sont bien plus au fait que toi des problématiques légales??? et de ce côté en 4 ans jamais eu de problèmes...
Je le redis je n'ai rien INVENTE!!! C'est une solution déjà mise en place et ma question était plutot de me demander comment on pouvait faire la meme chose avec de lopensource!
C'est plutot le côté technique de la chose surlequel je me posais la question...
Mais je vois que même se posait des questions "techniques" est interdit si ça ne respecte pas l avis de certains qui n ont surement meme pas pris la peine de lire ou de comprendre...
Voila, je trouve ça déplorable, voir meme pitoyable qu'au lieu de réfléchir à comment ces boites (voir lien prmeier message) font techniquement pour faire ce qu'is font les gens du forum dépensent du temps et autant d 'énergie a se dechainer ...
D'ailleurs je pense que la pluspart de ceux qui ont pleurnichait n'avait concretement aucnne idée de comment mettre ça en place mais ça c'est un autre débat...
Et me porposer des solutions a mettre enplace sur chaque poste avec du NuFW & Co je trouve ca encore plus intrusif et totalement inutil...
Mon but est principalement de bloquer le SSH et de m'assurer du respect des conditions générales d'utilisation ...
C'est bien dommage que des questions techniques évoluent vers de la philosophie d'ideéaliste et qu'on se soit autant égarer du sujet...
[^] # Re: Parade ou détection ?
Posté par Kerro . Évalué à 6.
Voyons voir... je vais tenter un exemple sans tomber dans le point Godwin sinon ce serait trop facile :-)
Tient, j'ai trouvé un premier exemple:
Hé les mecs, j'ai une question technique sur le GHB. Comment je peux masquer son goût pour une personne qui ne boit pas d'alcool ? C'est pour que ma soeur qui a 10 ans ne le détecte pas.
C'est purement technique comme question.
Une réponse purement technique est: mélange ça avec du café. Et bon amusement !
Je doute cependant que ce soit la réponse la plus courante.
Un autre exemple:
Super mon nouveau job. En plus le patron est sympa car il me demande des trucs faciles. Aujourd'hui il m'a donné l'ordre de mettre un keylogger sur les ordis qu'on livre à nos clients. Bon c'est pas le tout, il faut que je m'y remette. En plus je n'ai pas compris le principe du contrôle à distance via IRC qu'il m'a également demandé de mettre. Vous pouvez m'expliquer svp ?
Tu crois que tu vas recevoir quel genre de réponses ? :-)
[^] # Re: Parade ou détection ?
Posté par ddeted . Évalué à -3.
De même et pour vous rappeler juste 1 seconde c'est bien bon de faire autant de manière pour du traffic decrypter pendant quelques ms sur un serveur (meme pas sur le réseau) mais vous oublier le nombre de techos qui peuvent prendre la main sur les postes utiolisateurs par VNC et qui voient tout se qui se passe sur l'écran... je dis ça mais je dis rien ;)
[^] # Re: Parade ou détection ?
Posté par NeoX . Évalué à 5.
1 - ca doit etre prevu par la charte
2 - il doit y avoir un affichage visuel et/ou une demande d'acceptation par l'utilisateur de cette prise en main à distance.
[^] # Re: Parade ou détection ?
Posté par Juke (site web personnel) . Évalué à 2.
il est où ton serveur si il n'est pas sur le réseau ?
[^] # Re: Parade ou détection ?
Posté par Donk . Évalué à 4.
D'ailleurs ça a quel goût le GHB?
[^] # Re: Parade ou détection ?
Posté par Kerro . Évalué à 2.
[^] # Re: Parade ou détection ?
Posté par Grunt . Évalué à 7.
=> [X]
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Parade ou détection ?
Posté par X345 . Évalué à 3.
[^] # Re: Parade ou détection ?
Posté par Kerro . Évalué à 3.
[^] # Re: Parade ou détection ?
Posté par mr_maurice . Évalué à 4.
des textes avec des mots du dictionnaire français dans le cadre de ton travail, parce que la ça frise l'inacceptable.
Je ne vais pas m'amuser à faire la liste des fautes mais avant de poster assure toi d'être sur une surface stable, d'avoir un clavier avec toutes les lettres dont tu aura besoin, et attends que la colère redescende, souvent on regrette un peu, après.
[^] # Re: Parade ou détection ?
Posté par ddeted . Évalué à -2.
Mais merci du conseil!!!
[^] # Re: Parade ou détection ?
Posté par benoar . Évalué à 3.
[^] # Re: Parade ou détection ?
Posté par Gniarf . Évalué à 6.
c'est pas le cas.
[^] # Re: Parade ou détection ?
Posté par Kerro . Évalué à 2.
La question était de savoir détecter le problème, puis de le contourner.
J'ai pensé à cette solution. Solution qui fonctionne parfaitement bien, mais qui nécessite tout de même d'avoir une passerelle "fiable" à l'extérieur, ainsi que quelques compétences. Donc pas idéale.
[^] # Re: Parade ou détection ?
Posté par ddeted . Évalué à -3.
[^] # Re: Parade ou détection ?
Posté par -=[ silmaril ]=- (site web personnel) . Évalué à 2.
Si tu parle de SSL vers le serveur de ta boite, pareil si tu contrôle ton poste utilisateur tu verra tout de suite apparaître ce type d'immonde magouille (certificat autosigné, ou signé par une AC que ton navigateur ne reconnaîtra pas).
Si tu ne contrôle pas le poste tu peut toujours te rendre compte d'un soucis en regardant qui a émis le certificat du site que tu consulte
>1 - comment détecter cela _simplement_ ?
bein y a pas besoin c'est prévu dedans
>2 - comment contourner cela _simplement_ ?
si la boîte à mis en place ce type de politique pour empêcher les connections SSH/... via leur proxy SSL, y a pas vraiment de chance que tu puisse monter un VPN dessus (ou alors leur système est mal configuré ...)
[^] # Re: Parade ou détection ?
Posté par ddeted . Évalué à -3.
[^] # Re: Parade ou détection ?
Posté par Kerro . Évalué à 2.
Si tu fais du ssh vers une machine dont tu as déjà la clef publique, ok, pas de soucis. Dans _tous_ les autres cas, c'est mort.
Pour ssh, une solution est d'utiliser l'extension OpenPGP dont on a parlé il y a 2 jours. Pourquoi pas.
# Moi je proposerai de mettre des caméras dans les toillettes
Posté par fearan . Évalué à 6.
J'ai toujours trouvé ce genre de filtrage contre productif, y a qu'a voir le nombre de fois où je tape une question précise dans google, un début de réponse dans le résumé, et quand je clique sur le lien, paf, bloqué par le proxy. Heureusement celui de la boite laisse passer le https, et en jouant avec le cache google, j'arrive parfois à avoir la réponse (mais pas toujours, le cache n'étant pas toujours à jour)
Je me suis longtemps posé la question si je voulais contourner ce genre de proxy filtrant par exemple avec un bouncer qui va s'amuser à faire un rot13 sur tout ce qui est hors balise, ou un xor à la con, décodé au final sur le poste client.
C'est enfantin, et il y a à peu près autant de solution que d'utilisateurs motivés. J'ai d'autres solution encore plus chaude à détecter chiffrement par dictionnaire ou les prépositions sont remplacé par d'autre préposition, mais décalé d'un certain nombre calculé à partir d'une clé, pareil pour les noms, verbes, adverbes...
Enfin y a la possibilité de replacer les termes filtrés par des images, des smilés, des mots clés.
Je ne l'ai pas fait, car si l'entreprise veut absolument me gêner dans mon travail, je ne vais pas aller à l'encontre de ses souhaits.
Par contre il suffit d'une personne prenant la main sur le proxy, et elle peut récupérer les mots de passes des comptes distants (mail, bancaires... ), les n° de carte bleue, de tous les utilisateurs aussi longtemps que sa modif n'est pas détectée.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Moi je proposerai de mettre des caméras dans les toillettes
Posté par ddeted . Évalué à -2.
Faire du filtrage dans le HTTPS ca protège aussi les users des différentes saloperies qu'il pourraient attraper (en allant ou non sur des sites de cul)...
Et puis comme je le disais, combien de personnes ont accès a ce serveur ? peut etre 3 voir 4.
Combien de personnes peuvent surveiller un ecran via VNC (et donc voir tous les num de carte etc.. etc...) ?
Réponse: une equipe de 50 personnes...
[^] # Re: Moi je proposerai de mettre des caméras dans les toillettes
Posté par yellowiscool . Évalué à 3.
Car bon, faut être con pour afficher son code bancaire quand on est surveillé.
Envoyé depuis mon lapin.
[^] # Re: Moi je proposerai de mettre des caméras dans les toillettes
Posté par fearan . Évalué à 4.
1 ) Des presta ?
2 ) Les femmes / hommes de ménages ont ils accès à la salle du proxy?
3 ) Un gars peut il déjouer les sécurités et accéder au proxy hors des chemins traditionnels ou légaux ?
Si la réponse est oui à l'une des questions ci dessus y a un soucis (du plus gros au moins gros )
Combien de personnes peuvent surveiller un ecran via VNC
Je ne sais pas, mais chaque fois qu'un couillon veut accéder à ma machine via vnc je suis prévenu, et j'ai suffisamment joué avec les fonds d'écran de mes collègue (atlantis le premier Avril ^^) pour qu'ils sachent ce qu'un xhost +IP veut dire ^^
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Moi je proposerai de mettre des caméras dans les toillettes
Posté par llaxe . Évalué à 3.
Et j'imagine que le personnel va acheter ses billets de train avec IE6. Donc j'ai des vagues doutes sur les soucis de sécurisation dans les entreprises de temps.
Vu qu'un CHU fonctionne avec des problèmes de gestion sans doute analogues à ceux rencontrés dans des boîtes non subventionnées par l'État.
[^] # Re: Moi je proposerai de mettre des caméras dans les toillettes
Posté par totof2000 . Évalué à 3.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.