Forum Linux.général Gestion des https avec squid ou autre

Posté par mtiburs le 04 janvier 2014 à 01:06. Licence CC By‑SA.

Étiquettes :

jan.

2014

Bonjour,

Ceci est mon premier post sur LinuxFR, j'espère l'avoir mis au bon endroit !

Voici ma question:
J'ai testé SQUID, puis IPfire (avec squid aussi).
Je voudrais faire la chose suivante: bloquer tous les sites en http(s) et en autoriser certains.
Dans mon cas, tous les sites en https passent.
J'ai regardé sur les forum et le problème semble être connu, il semblerait que le navigateur crypte l'url du site en https, du coup SQUID ne peut plus le filtrer (que ce soit en blacklist ou en expressions régulières)
c'est pareil en proxy normal ou transparent.

J'ai des personnes qui passent leur temps de travail sur des sites de cuisine, de lingerie, leurs messageries ou sur facedebouc !
Je pensais mettre un terme à cela mais tous ces sites se mettent en https et ceux-ci semblent échapper à tous contrôle !
En gros, ce que j'ai réussi à faire c'est tout bloquer ou tout laisser passer.

Pour l'http, ça marche très bien (on bloque tout sauf x,y, …)

Comment font les entreprises pour gérer ce genre de chose ?, j'entends régulièrement qu'il y a des pb avec certains sites.

Dans mon cas, les machines utilisées sont sous Windows (à cause d'une application métier), elles tournent en Virtualbox en mode Headless.
Est-ce que je peux gérer la chose par SQUID (conf unique) ou par Windows (multiples conf)?
(je préfèrerais une conf unique)

# Proxy HTTPS

Posté par Tonton Benoit le 04 janvier 2014 à 05:00. Évalué à 2.

Soit tu bloque l'IP en destination (risque de sur-blocage)
Soit tu fait un DNS menteur, mais ça se contourne facilement, et tu ne peut bloquer qu'un site entier.
Soit tu fait proxy HTTPS, c'est ce qu'a choisi le Ministère des Finances, et même si c'est courant, ça n'a pas plu à Google (voir l'actualité récente).

http://monblog.system-linux.net/blog/2013/03/23/mettre-en-oeuvre-squid-transparent-https-sous-debian/
- [^] # Re: Proxy HTTPS
  
  Posté par claudex le 04 janvier 2014 à 11:42. Évalué à 7.
  
  Soit tu fait proxy HTTPS, c'est ce qu'a choisi le Ministère des Finances, et même si c'est courant, ça n'a pas plu à Google (voir l'actualité récente).
  
  Ça n'a pas plus à Google (ni à beaucoup d'autres), parce qu'ils ont utilisé une autorité de certification valide pour le monde entier. Si tu fais ta propre autorité qui signe et qui n'a de valeur que dans ton entreprise, tout le monde s'en fout.
  
  « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
  - [^] # Re: Proxy HTTPS
    
    Posté par Tonton Benoit le 04 janvier 2014 à 16:14. Évalué à 2.
    
    Ah, à l'époque javais cherché je n'avais aucun certificat de cette autorité d'installé, j'en avais déduis qu'elle étais à usage interne à l'administration (mais largement déployée).
    - [^] # Re: Proxy HTTPS
      
      Posté par claudex le 04 janvier 2014 à 16:28. Évalué à 4.
      
      Tu n'as pas de /etc/ssl/certs/IGC_A.pem ?
      
      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
      - [^] # Re: Proxy HTTPS
        
        Posté par Tonton Benoit le 04 janvier 2014 à 17:26. Évalué à 2.
        
        Pas chez moi, mais j’avoue que j'avais fixé la version du paquet (mise à jour manuelle) pour justement éviter le problème de grand méchant loup, au boulot sur Fedora, effectivement il y est.
        
        Sinon au lieux de faire un bête MITM, ce qui me pose un problème de conscience, on ne peut pas faire :
        - Proxy HTTPS avec une autorité déployée sur les postes, mais qui se contente de faire une redirection permanente HTTPS -> HTTP.
        - Le Proxy communique en HTTPS avec le serveur et en HTTP avec le client, qui du coup se rend bien compte que son canal n’est pas sécurisé.
        Ça reste un MITM, mais plus acceptable si la sécurité du réseau l'oblige.
        
        [^] # Re: Proxy HTTPS
        
        Posté par claudex le 04 janvier 2014 à 18:33. Évalué à 4.
        
        Il faut voir la configuration du réseau, mais si c'est pour se retrouver avec n'importe qui qui peut lire les cookies d'authentification de n'importe qui, ça me motive moyen.
        
        Sinon, au niveau implémentation, les navigateur vont râler en permanence parce que les liens des pages sont en https et tu es redirigé en http. À moins que tu réécrive les pages (mais il faut penser à réécrire le JS qui génère les liens aussi).
        
        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# Comment font les entreprises ?

Posté par feth le 04 janvier 2014 à 08:44. Évalué à 9. Dernière modification le 04 janvier 2014 à 08:44.

La question est trop générale, je ne sais pas répondre. Je pense toutefois que ta méthode est infantilisante et que tes utilisateurs chercheront et trouveront des contournements (utiliser leur propre matériel et leur propre connexion en dernier ressort) ; le résultat sera pire.
À mon avis, ce problème est un problème d'organisation du travail, de motivation et de concentration, bref, de ressources humaines.
Une entreprise qui n'a pas confiance dans ses employés ne peut pas en tirer grand chose.
- [^] # Re: Comment font les entreprises ?
  
  Posté par Marc Quinton le 04 janvier 2014 à 10:26. Évalué à 7.
  
  d'autre part :
  - l'employé dispose d'un droit à une activité privée au sein de son entreprise, en particulier, concernant les connexions Internet, à la condition que cette activité ne perturbe pas son activité professionnelle,
  - l'administrateur système doit mettre en place une sécurité informatique suffisante et en aucun cas construire des cathédrales de coupe-feu, proxy complexes voir mal maitrisées ; de toute façon, il y aura toujours une petite faille,
  - il est de la responsabilité de l'encadrement de suivre son personnel, si possible sans l'épier ; transférer cette responsabilité à l'équipe par la mise en place de moyens informatiques sophistiqué me semble contre-productif et limité border-line,
  - avec une connexion 3G, disponible sur un smartphone, il sera possible d'accéder aux mêmes sites que tu es en train de verrouiller, de là, a ce que certains mettes en place des connexions parallèle et mal maîtrisées sur SI …
- [^] # Re: Comment font les entreprises ?
  
  Posté par NeoX le 04 janvier 2014 à 12:33. Évalué à 3.
  
  dans la meme idée, entre :
  - un employé qui passe 1h ou 2h par jour sur facebook,
  - un employé qui va passer ses journées à essayer de contourner les mesures de "protection" mise en place par l'entreprise.
  
  que preferera la direction ?
# squidguard

Posté par nono14 (site web personnel) le 04 janvier 2014 à 11:11. Évalué à 4.

Jette un oeil.

Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
# SNI

Posté par claudex le 04 janvier 2014 à 11:50. Évalué à 4.

Les navigateurs filtrent bien l'URL mais il existe une technique pour avoir plusieurs serveurs par IP qui s'appelle SNI avec laquelle le nom de domaine transite en clair. La plupart des navigateurs (à part IE 8 et inférieurs) le gère et envoient donc le nom de domaine en clair. Tu peux donc le filtrer dans faire de MitM SSL. Il faut trouver un proxy qui prend ça en charge (il semblerait que ce soit le cas de squid mais je ne vois pas comment l'utiliser).

« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
- [^] # Re: SNI
  
  Posté par kna le 04 janvier 2014 à 14:02. Évalué à 3.
  
  à part IE 8 et inférieurs
  
  Plus exactement, avec IE c'est géré au niveau de l'OS et non du navigateur. Windows supporte le SNI depuis Vista. Donc toute version de IE sous XP ne supportera pas le SNI. IE8 sous Vista/7 le supporte.
  
  http://en.wikipedia.org/wiki/Server_Name_Indication#Browsers_with_support_for_TLS_server_name_indication.5B6.5D
# Gestion des https avec squid ou autre

Posté par mtiburs le 04 janvier 2014 à 17:10. Évalué à 2.

Merci pour vos réponses

Dans l'entreprise, il n'y a pas de risque que le personnel s'amuse a contourner les protections, déjà parce qu'ils n'ont pas les compétences et aussi parce que leur moyens sont limités (ce sont des postes virtualisés et l'usb ne fonctionne pas, le poste client lance juste startx suivi de rdesktop).
En revanche, oui, il est possible qu'il viennent avec leur smartphone ou tablette, pour l'instant, c'est reste le tricot et le journal ;-)

Le problème est que les personnes passent du "coq à l'âne", un petit bout de travail, suivi de quelques minutes sur le net a butiner, suivi d'un retour pour faire une facture à la va-vite et ensuite on repasse sur le net.
Le but étant de faire son marché ou de gérer sa messagerie au boulot pour être tranquille le soir.
Au final, il y a des fautes d'inattention et des bourdes et qui coûte cher.
De plus, les gens ne reconnaissent pas le fait d'être sur le net, "pris la main dans le sac" ce n'est pas eux, de plus, comme dit plus haut, il dilue leur "activité extérieure" de façon a pouvoir dire "Je n'y suis allé que 5 min", alors qu'en fait, en temps cumulé, c'est 4h.

Comme il ne faut "rien dire" et ne surtout pas montrer qu'on "voit tout", on ne peut que procéder a des interdictions pur et simple (certaines personnes agissent de manière "volaillesque"), il faut du simple, du canalisé.

Le problème c'est que de protéger l'employé et dire qu'il a le droit de faire autre chose que son boulot, cela se finira par "la porte".
Certaines entreprises surtout à notre époque, ne peuvent pas se permettre de payer des gens a faire autre chose que leur travail.
De plus, je ne suis pas le patron, et ne suis pas dans l'encadrement.

Le problème est complexe et vous avez tous raison.

Pour ma part, je vais regarder cette notion de --enable-ssl dans squid, mais je ne sais pas si je serai compétent pour faire cela, mais je vais essayer.
Je ne sais pas si Ipfire est compilé avec cette option, si c'était le cas ce serait bien.
- [^] # Re: Gestion des https avec squid ou autre
  
  Posté par nono14 (site web personnel) le 04 janvier 2014 à 22:31. Évalué à 4.
  
  Cela a déjà été dit ici, tu mets les stats des utilisateurs en ligne, ils vont trés vite se calmer d'eux même.
  
  Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
- [^] # Re: Gestion des https avec squid ou autre
  
  Posté par NeoX le 04 janvier 2014 à 23:10. Évalué à 6.
  
  Comme il ne faut "rien dire" et ne surtout pas montrer qu'on "voit tout", on ne peut que procéder a des interdictions pur et simple (certaines personnes agissent de manière "volaillesque"), il faut du simple, du canalisé.
  
  justement, la premiere chose à mettre en place, c'est une charte informatique expliquant que tout activité est logguée et quantifiée.
  que les données sont consultables à la demande de l'employé et de la RH.
  
  ainsi les plus violents vont se calmer,
  les usages ponctuels sont maintenus plutot que de tout bloquer.
  - [^] # Re: Gestion des https avec squid ou autre
    
    Posté par Anonyme le 05 janvier 2014 à 01:46. Évalué à 2.
    
    et la marmotte bla bla bla …
    les gens ne lisent pas ces chartes, pas plus qu'ils ne lisent les contrats qui les lient à leur différents prestataires de service ou ceux qu'ils acceptent quand ils s'inscrivent sur un site tout gratuit qu'il est beau qu'il est gentil
    
    Mais la publication systématique des temps de visite par type de sites (informations, réseaux sociaux, loisirs, liés au domaine professionnel, etc..) serait en soi une bonne incitation à plus de retenue
    - [^] # Re: Gestion des https avec squid ou autre
      
      Posté par NeoX le 05 janvier 2014 à 12:59. Évalué à 3.
      
      j'ai pas dis qu'ils liraient la "charte"
      juste que la loi dit qu'ils doivent etre mis au courant qu'un systeme de "surveillance" et de "logs" est en place dans l'entreprise.
      et generalement c'est indiqué dans la charte,
      tant pis pour eux s'ils ne l'ont pas lue.
      
      une fois qu'ils ont signé, ils peuvent acceder au systeme (reactivation du login ?)
      
      et une fois le systeme de surveillance/log installé, à defaut de publier les stats nominatives, tu peux en effet publier les stats :
      - par activité (reseau social, infos, pro)
      - par service utilisateurs (compta, dev, rh)
    - [^] # Re: Gestion des https avec squid ou autre
      
      Posté par Re_ le 06 janvier 2014 à 12:51. Évalué à 0.
      
      Bonjour,
      
      Je n'utilise pas squid comme proxy (notre UTM fait déjà cela), mais je peux dupliquer le flux in/out vers Internet sur une machine qui saurait faire le traitement pour avoir des logs sur le top 10 des sites visités, etc.
      
      Quelle solution pourrais-je utiliser alors pour exporter/diffuser ces infos ?
      
      Merci
      - [^] # Re: Gestion des https avec squid ou autre
        
        Posté par NeoX le 06 janvier 2014 à 13:49. Évalué à 3.
        
        perso j'utilisais ntop
        mais l'ayant installé sur la machine qui faisait passerelle,
        je ne saurais dire comment il allait trouver ses infos.
        
        avec un peu de chance il parse les fichiers logs du parefeu et peut donc tourner avec les syslogs exportés vers une autre machine.
        
        [^] # Re: Gestion des https avec squid ou autre
        
        Posté par Re_ le 06 janvier 2014 à 14:20. Évalué à 1.
        
        Merci,
        
        j'utilisais ntop à un moment également, mais ça me donnait plus des infos sur l’instantané, pas sur le plus long terme.
        
        [^] # Re: Gestion des https avec squid ou autre
        
        Posté par NeoX le 06 janvier 2014 à 15:15. Évalué à 2.
        
        la derniere version de ntop que j'avais utilisée (sept 2012, sur un PFsense 2.0)
        affichait la conso à la journée, heure par heure d'une IP source ou destination.

# chezmoiçamarche.com

Posté par Julien L. le 06 janvier 2014 à 17:26. Évalué à 2.

Squid Cache: Version 3.1.6 / Postes client type Windows utilisant IE/FF/Chrome etc.. / Proxy obligatoire (pas de NAT Internet direct) autoconfiguré via wpad / Restrictions off entre "midi et deux" et après 19h

squid.conf

## Facebook
acl fck_url url_regex -i facebook.com fbcdn.net
## Facebook Chat
acl fck_chat url_regex -i facebook.com/ajax/chat facebook.com/images/chat facebook.com/ajax/presence

# Hours definitions
acl workday1 time 08:30-12:00
acl workday2 time 12:00-14:00
acl workday3 time 14:00-19:00

#Method CONNECT
acl met_connect method CONNECT

##Postes autorisés (via MAC)
acl mac_authorized arp "/etc/squid3/mac_authorized.txt"

## Facebook Restriction
http_access deny all met_connect fck_url workday1 !mac_authorized
http_access deny all met_connect fck_url workday3 !mac_authorized

## Facebook Chat Deny
http_access deny all fck_chat

[^] # Re: chezmoiçamarche.com

Posté par mtiburs le 07 janvier 2014 à 12:32. Évalué à 1.

Merci pour les infos, je vais essayer dès que possible.

Pour rappel, le but est de tout refuser et d'autoriser certaines adresses, en fait un fonctionnement sur "liste blanche" (qui fonctionne sur l'http mais pas sur l'https).
- [^] # Re: chezmoiçamarche.com
  
  Posté par Julien L. le 07 janvier 2014 à 17:51. Évalué à 1.
  Si ça fonctionne le blockage avec les paramètres ci-dessus j'essaierai la whitelist de la façon suivante:
```
#Method CONNECT
acl met_connect method CONNECT
#Allowed web site (in file /etc/squid3/allowed.txt, one line per website allowed, without http(s)://)
acl allowed_web url_regex -i "/etc/squid3/allowed.txt"
#Rules
http_access deny all met_connect !allowed_web
http_access deny all !allowed_web
```

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.