Je pense que la solution de Cisco, en version payante, en fait un peu plus que ça. Le mieux est certainement d’essayer: https://signup.umbrella.com/ https://signup.umbrella.com/
Dans ton premier message, tu parlais entre autres des cryptolock. Avec un filtrage d’URL, tu vas pas nécessairement réussir à bloquer un nouveau cryptolock qui contacte son C&C, puisque ils (les méchants) enregistrent des nouveaux domaines à chaque nouvelle attaque. Je ne dis pas que Umbrella s’en sort mieux dans ce cas là, je n’ai pas essayé. A mon avis, il faut plutôt préparer une plateforme de test: le script JS ou autre que tu t’envoies par mail, qui va tenter de récupérer un fichier sur un domaine complètement nouveau que tu enregistres (ton C&C). Si une solution arrive à bloquer l’appel au C&C sur un domaine et une IP clean: je pense que t’as un winner. Sinon, le bloquage se fait parce que l’éditeur de la solution recense les attaques/intrusions qui ont lieu un peu partout, et il met à jour sa politique de filtrage en conséquence. On peut penser qu’une solution commerciale sera plus efficace à ce niveau. Au final, je pense que tu dois définir ce que tu veux bloquer (parce que le porno, c’est facile à bloquer, et c’est le cadet de tes soucis, sauf si tu gères des écoles) et comparer les solutions.
Après, si quelqu’un ici me dit qu’il bloque tous les C&C des Cryptolock avec de l’URL filtering gratuite , je m’incline (et je suis curieux de savoir quelle solutions). Attention, quand je dis « il bloque », je veux dire qu’il a les logs qui prouvent qu’il en a bloqué, et pas qu’il pense qu’il bloque tout parce qu’il a jamais été cryptolocké…
Le 24 janv. 2020 à 15:33, open doc linuxopendoc@gmail.com a écrit :
J'aime bien la technique du WPAD, c'est ce que je faisais à l'époque. Les listes de ut capitole sont bien aussi, et j'avais utilisé la liste de http://www.shallalist.de/ pour compléter (mm si au final je me demande si c'est pas un peu les mm domaines et url).
Je veux bien tester le filtrage DNS, mais j'aimerai bien maîtriser et pas dépendre d'une solution, si au final c'est faire pointer un domaine vers une autre IP. Il y a t'il des solutions libre ou je dois faire ca dans un bind ou dnsmasq ? il faut avoir la possibilité de pouvoir ajouter ses propres domaines. De plus comment loger les accès DNS ?
Le ven. 24 janv. 2020 à 14:39, Vu Ngoc VU vvu+frsag@mcra.fr a écrit :
Date: Fri, 24 Jan 2020 14:15:56 From: Morgan LEFIEUX morgan.lefieux@saint-lo-agglo.fr To: frsag@frsag.org Subject: Re: [FRsAG] Filtrage WEB domaines/URL - Quelles solutions utilisez vous ?
Bonjour, nous utilisons toujours le couple SQUID/SQUIDGUARD avec authentification SSO des users via Kerberos. La base de filtrage est celle de l'Université de Toulouse (https://dsi.ut-capitole.fr/blacklists/). Le fait que la plupart des sites soient passés en HTTPS ne change rien au bon fonctionnement à condition de ne pas utiliser le mode transparent de SQUID. Pour palier à ça, il suffit de configurer automatiquement le proxy sur les navigateurs via WPAD (à pousser via DNS et DHCP). L'ensemble fonctionne très bien depuis presque 15 ans pour 600 utilisateurs environ chez nous.
Bonjour,
De ce que j'ai compris. Il dit qu'avec le passage à HTTPS, on ne peut plus autoriser ou bloquer des chemins (locations) pour un site donné. Seul le domaine est visible et c'est normal.
Nous utilisons également Squid avec des clients en WPAD/proxypac. Mais je ne vois pas en quoi cela permettrait de filtrer les chemins.
À moins bien sûr de tricher (c'est mal) en faisant de l'interception._______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/