Bonjour à tous,
Jusqu'ici nous étions plutôt "cool" sur l'utilisation des machines et de l'utilisation d'internet dans l'entreprise. Je fais plutôt confiance aux gens, et j'essaie de les responsabiliser, mais cela a des limites. Nous avons eu des cas de gens qui faisaient vraiment n'importe quoi et avec les risques de cryptolocker je souhaite nous protéger d'éventuels problèmes. Je souhaite me focaliser sur le filtrage WEB des domaines/URL er non des aspects de sécurité plus globale qui sont déjà en place (stratégies de groupes, backup, accès réseau dédié, backup externalisé, PCA ...)
Quand j'étais jeune, il y a bien longtemps, j'avais déjà intégré chez un client une solution squid/squidguard avec des bases de liste, des acls ... ca marchait bien et ca répondait à sa demande. Je pensai repartir sur cette solution même si ca fait un peu "old school". Sachant que la partie base des URL ne fonctionne plus, car avec le TLS, on ne voit plus rien mis à part les domaines. Il y a aussi la problématique de l'intégration dans l'infra, transparent, pas transparent. Personnellement, je préférerai en mode transparent.
J'avais aussi à l'époque intégré du Olfeo, c'est vraiment génial, mais dans notre cas on ne vas pas l'acheter.
Notre prestataire nous a parlé d'une fonctionnalité disponible dans Checkpoint que nous pourrions intégrer, à voir.
Il doit y avoir beaucoup d'autres solutions. De votre côté, quelles solutions utilisez vous ?
Par avance, merci pour vos réponses.
Bonjour,
Le 24 janvier 2020 12:26:51 GMT+01:00, open doc linuxopendoc@gmail.com a écrit :
[…] Sachant que la partie base des URL ne fonctionne plus, car avec le TLS, on ne voit plus rien mis à part les domaines.
Et d’ici quelques temps, plus rien du tout avec l’encrypted SNI. Donc si on veut agir, il vaut mieux que ce soit niveau résolution DNS.
Le ven. 24 janv. 2020 à 12:28, open doc linuxopendoc@gmail.com a écrit :
Il doit y avoir beaucoup d'autres solutions. De votre côté, quelles solutions utilisez vous ?
Si je peux donner UN conseil : le filtrage doit se faire sur le poste client et non sur un proxy centralisé. Désormais tout est HTTPSisé, et ils devient de plus en plus compliqué de faire du MITM, et c'est tant mieux.
La bonne pratique aujourd'hui, c'est un filtrage en local sur le poste de travail, les navigateurs gèrent ça très bien via une extension.
Tu as des exemples ? du contexte pour comparer ? Je testerai bien.
Le ven. 24 janv. 2020 à 12:52, Jonathan Leroy - Inikup jonathan@inikup.com a écrit :
Le ven. 24 janv. 2020 à 12:28, open doc linuxopendoc@gmail.com a écrit :
Il doit y avoir beaucoup d'autres solutions. De votre côté, quelles solutions utilisez vous ?
Si je peux donner UN conseil : le filtrage doit se faire sur le poste client et non sur un proxy centralisé. Désormais tout est HTTPSisé, et ils devient de plus en plus compliqué de faire du MITM, et c'est tant mieux.
La bonne pratique aujourd'hui, c'est un filtrage en local sur le poste de travail, les navigateurs gèrent ça très bien via une extension.
-- Jonathan Leroy
Le ven. 24 janv. 2020 à 14:59, open doc linuxopendoc@gmail.com a écrit :
Tu as des exemples ? du contexte pour comparer ? Je testerai bien.
Ça fait un moment que je ne me suis pas penché sur le sujet et je n'utilise pas Windows, donc je n'ai pas de soft précis à te recommander. Mais certains antivirus font ça bien en installant des extensions navigateur plutôt qu'une AC locale. Tu peux aussi utiliser la policy URLBlacklist de Chrome : https://support.google.com/chrome/a/answer/7532419?hl=fr
Un article intéréssant sur pourquoi il ne faut pas faire d'interception TLS : https://medium.com/@joelgsamuel/can-we-stop-intercepting-user-traffic-aka-ma...
On Fri, 24 Jan 2020 15:21:03 +0100 Jonathan Leroy - Inikup via FRsAG frsag@frsag.org wrote:
Mais certains antivirus font ça bien en installant des extensions navigateur plutôt qu'une AC locale.
Comme Adguard, https://adguard.com
Bonjour,
vous allez installer un genre de solution "contrôle parental ?" :)
Vous pourriez essayer les DNS de Cleanbrowsing, je suis en train d'en tester en ce moment pour installer sur le PC d'un enfant chez des clients, pour l'instant c'est celui qui semble le plus filtrant (il m'a entre autres interdit d'utiliser le moteur de recherches Startpage, sans doute parce qu'il fournit un proxy anonymisant).
Voici une liste de liens, divers fournisseurs et quelques articles, que j'ai déjà constituée: ***************
https://cleanbrowsing.org/filters
https://cleanbrowsing.org/guides/dealing-dns-hijacking
https://hackernoon.com/porn-filters-compared-opendns-neustar-cleanbrowsing-n...
(C'est un article comparatif ).
https://blog.verisign.com/security/protect-your-privacy-opt-out-of-public-dn...
https://www.safedns.com/fr/blog/dns-filtering-at-a-glance/
https://www.techradar.com/news/best-dns-server
https://www.mirazon.com/stop-using-8-8-8-8-for-your-production-network/
***************
Un DNS filtrant n'est probablement pas incompatible avec une protection type Squid/Squidgard (je ne vois pas en quoi c'est old school, en tout cas ce n'est pas has been).
Squid3 (réécriture complète de squid en C++)
https://wiki.squid-cache.org/SquidFaq/BinaryPackages
(et puisqu'il vous faudra configurer le proxy dans les navigateurs, comment interdirez-vous l'accès des utilisateurs à la configuration du navigateur web ?)
Question idiote : pourquoi les postes clients ne tournent-ils pas (en plus de précautions comme ci-dessus) avec un des systèmes Linux qui sont moins fragiles ?
Il y a bien des collectivités complètes qui le font ? La Mairie de Fontaine, https://adullact.org/un-citoyen-ou-une-asso/67-actualite/actu-libre-france/6...
Système d'exploitation, Bureautique, Internet
Et tout un tas d'autres collectivités: https://carto.framasoft.org/
https://www.sambaedu.org/Cartographie-des-serveurs
https://territoire-numerique-libre.org/carte/
j'ai même ouïe dire que la suite MS-Office (avec licence bien sûr) peut fonctionner avec Playonlinux (surcouche graphique de WINE).
Joyce MARKOLL
On Fri, 24 Jan 2020 12:26:51 +0100 open doc linuxopendoc@gmail.com wrote:
Bonjour à tous,
Jusqu'ici nous étions plutôt "cool" sur l'utilisation des machines et de l'utilisation d'internet dans l'entreprise. Je fais plutôt confiance aux gens, et j'essaie de les responsabiliser, mais cela a des limites. Nous avons eu des cas de gens qui faisaient vraiment n'importe quoi et avec les risques de cryptolocker je souhaite nous protéger d'éventuels problèmes. Je souhaite me focaliser sur le filtrage WEB des domaines/URL er non des aspects de sécurité plus globale qui sont déjà en place (stratégies de groupes, backup, accès réseau dédié, backup externalisé, PCA ...)
Quand j'étais jeune, il y a bien longtemps, j'avais déjà intégré chez un client une solution squid/squidguard avec des bases de liste, des acls ... ca marchait bien et ca répondait à sa demande. Je pensai repartir sur cette solution même si ca fait un peu "old school". Sachant que la partie base des URL ne fonctionne plus, car avec le TLS, on ne voit plus rien mis à part les domaines. Il y a aussi la problématique de l'intégration dans l'infra, transparent, pas transparent. Personnellement, je préférerai en mode transparent.
J'avais aussi à l'époque intégré du Olfeo, c'est vraiment génial, mais dans notre cas on ne vas pas l'acheter.
Notre prestataire nous a parlé d'une fonctionnalité disponible dans Checkpoint que nous pourrions intégrer, à voir.
Il doit y avoir beaucoup d'autres solutions. De votre côté, quelles solutions utilisez vous ?
Y a Umbrella de Cisco/OpenDNS aussi.
Le 24 janv. 2020 à 13:25, contact@orditux.org a écrit :
Bonjour,
vous allez installer un genre de solution "contrôle parental ?" :)
Vous pourriez essayer les DNS de Cleanbrowsing, je suis en train d'en tester en ce moment pour installer sur le PC d'un enfant chez des clients, pour l'instant c'est celui qui semble le plus filtrant (il m'a entre autres interdit d'utiliser le moteur de recherches Startpage, sans doute parce qu'il fournit un proxy anonymisant).
Voici une liste de liens, divers fournisseurs et quelques articles, que j'ai déjà constituée:
Ici on intègre des UTM Watchguard et depuis peu le service DNSWatchGo pour inspecter les requêtes DNS. Ca fonctionne bien !
Le ven. 24 janv. 2020 à 13:27, contact@orditux.org a écrit :
Bonjour,
vous allez installer un genre de solution "contrôle parental ?" :)
Vous pourriez essayer les DNS de Cleanbrowsing, je suis en train d'en tester en ce moment pour installer sur le PC d'un enfant chez des clients, pour l'instant c'est celui qui semble le plus filtrant (il m'a entre autres interdit d'utiliser le moteur de recherches Startpage, sans doute parce qu'il fournit un proxy anonymisant).
Voici une liste de liens, divers fournisseurs et quelques articles, que j'ai déjà constituée:
https://cleanbrowsing.org/filters
https://cleanbrowsing.org/guides/dealing-dns-hijacking
https://hackernoon.com/porn-filters-compared-opendns-neustar-cleanbrowsing-n...
(C'est un article comparatif ).
https://blog.verisign.com/security/protect-your-privacy-opt-out-of-public-dn...
https://www.safedns.com/fr/blog/dns-filtering-at-a-glance/
https://www.techradar.com/news/best-dns-server
https://www.mirazon.com/stop-using-8-8-8-8-for-your-production-network/
Un DNS filtrant n'est probablement pas incompatible avec une protection type Squid/Squidgard (je ne vois pas en quoi c'est old school, en tout cas ce n'est pas has been).
Squid3 (réécriture complète de squid en C++)
https://wiki.squid-cache.org/SquidFaq/BinaryPackages
(et puisqu'il vous faudra configurer le proxy dans les navigateurs, comment interdirez-vous l'accès des utilisateurs à la configuration du navigateur web ?)
Question idiote : pourquoi les postes clients ne tournent-ils pas (en plus de précautions comme ci-dessus) avec un des systèmes Linux qui sont moins fragiles ?
Il y a bien des collectivités complètes qui le font ? La Mairie de Fontaine,
https://adullact.org/un-citoyen-ou-une-asso/67-actualite/actu-libre-france/6...
Système d'exploitation, Bureautique, Internet
Et tout un tas d'autres collectivités: https://carto.framasoft.org/
https://www.sambaedu.org/Cartographie-des-serveurs
https://territoire-numerique-libre.org/carte/
j'ai même ouïe dire que la suite MS-Office (avec licence bien sûr) peut fonctionner avec Playonlinux (surcouche graphique de WINE).
Joyce MARKOLL
On Fri, 24 Jan 2020 12:26:51 +0100 open doc linuxopendoc@gmail.com wrote:
Bonjour à tous,
Jusqu'ici nous étions plutôt "cool" sur l'utilisation des machines et de l'utilisation d'internet dans l'entreprise. Je fais plutôt confiance aux gens, et j'essaie de les responsabiliser, mais cela a des limites. Nous avons eu des cas de gens qui faisaient vraiment n'importe quoi et avec les risques de cryptolocker je souhaite nous protéger d'éventuels problèmes. Je souhaite me focaliser sur le filtrage WEB des domaines/URL er non des aspects de sécurité plus globale qui sont déjà en place (stratégies de groupes, backup, accès réseau dédié, backup externalisé, PCA ...)
Quand j'étais jeune, il y a bien longtemps, j'avais déjà intégré chez un client une solution squid/squidguard avec des bases de liste, des acls ... ca marchait bien et ca répondait à sa demande. Je pensai repartir sur cette solution même si ca fait un peu "old school". Sachant que la partie base des URL ne fonctionne plus, car avec le TLS, on ne voit plus rien mis à part les domaines. Il y a aussi la problématique de l'intégration dans l'infra, transparent, pas transparent. Personnellement, je préférerai en mode transparent.
J'avais aussi à l'époque intégré du Olfeo, c'est vraiment génial, mais dans notre cas on ne vas pas l'acheter.
Notre prestataire nous a parlé d'une fonctionnalité disponible dans Checkpoint que nous pourrions intégrer, à voir.
Il doit y avoir beaucoup d'autres solutions. De votre côté, quelles solutions utilisez vous ?
-- Orditux Informatique https://orditux.org https://orditux.org/aol _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
En mode « petit joueur » pour pas cher et qui rend bien service : Synology RT2600ac
C’est une mine inépuisable de fonctionnalité (base Linux) avec des features vraiment sympa (wifi mesh, dual wan + 3/4G, filtrage, petite QoS, petit NAS, dlna, dns, vpn (y’a tout !), logs, rapports ....)
My 2cts before week-end :-) Frank
Le ven. 24 janv. 2020 à 13:40, Ludovic Scotti tontonlud@gmail.com a écrit :
Ici on intègre des UTM Watchguard et depuis peu le service DNSWatchGo pour inspecter les requêtes DNS. Ca fonctionne bien !
Le ven. 24 janv. 2020 à 13:27, contact@orditux.org a écrit :
Bonjour,
vous allez installer un genre de solution "contrôle parental ?" :)
Vous pourriez essayer les DNS de Cleanbrowsing, je suis en train d'en tester en ce moment pour installer sur le PC d'un enfant chez des clients, pour l'instant c'est celui qui semble le plus filtrant (il m'a entre autres interdit d'utiliser le moteur de recherches Startpage, sans doute parce qu'il fournit un proxy anonymisant).
Voici une liste de liens, divers fournisseurs et quelques articles, que j'ai déjà constituée:
https://cleanbrowsing.org/filters
https://cleanbrowsing.org/guides/dealing-dns-hijacking
https://hackernoon.com/porn-filters-compared-opendns-neustar-cleanbrowsing-n...
(C'est un article comparatif ).
https://blog.verisign.com/security/protect-your-privacy-opt-out-of-public-dn...
https://www.safedns.com/fr/blog/dns-filtering-at-a-glance/
https://www.techradar.com/news/best-dns-server
https://www.mirazon.com/stop-using-8-8-8-8-for-your-production-network/
Un DNS filtrant n'est probablement pas incompatible avec une protection type Squid/Squidgard (je ne vois pas en quoi c'est old school, en tout cas ce n'est pas has been).
Squid3 (réécriture complète de squid en C++)
https://wiki.squid-cache.org/SquidFaq/BinaryPackages
(et puisqu'il vous faudra configurer le proxy dans les navigateurs, comment interdirez-vous l'accès des utilisateurs à la configuration du navigateur web ?)
Question idiote : pourquoi les postes clients ne tournent-ils pas (en plus de précautions comme ci-dessus) avec un des systèmes Linux qui sont moins fragiles ?
Il y a bien des collectivités complètes qui le font ? La Mairie de Fontaine,
https://adullact.org/un-citoyen-ou-une-asso/67-actualite/actu-libre-france/6...
Système d'exploitation, Bureautique, Internet
Et tout un tas d'autres collectivités: https://carto.framasoft.org/
https://www.sambaedu.org/Cartographie-des-serveurs
https://territoire-numerique-libre.org/carte/
j'ai même ouïe dire que la suite MS-Office (avec licence bien sûr) peut fonctionner avec Playonlinux (surcouche graphique de WINE).
Joyce MARKOLL
On Fri, 24 Jan 2020 12:26:51 +0100 open doc linuxopendoc@gmail.com wrote:
Bonjour à tous,
Jusqu'ici nous étions plutôt "cool" sur l'utilisation des machines et de l'utilisation d'internet dans l'entreprise. Je fais plutôt confiance aux gens, et j'essaie de les responsabiliser, mais cela a des limites. Nous avons eu des cas de gens qui faisaient vraiment n'importe quoi et avec les risques de cryptolocker je souhaite nous protéger d'éventuels problèmes. Je souhaite me focaliser sur le filtrage WEB des domaines/URL er non des aspects de sécurité plus globale qui sont déjà en place (stratégies de groupes, backup, accès réseau dédié, backup externalisé, PCA ...)
Quand j'étais jeune, il y a bien longtemps, j'avais déjà intégré chez un client une solution squid/squidguard avec des bases de liste, des acls ... ca marchait bien et ca répondait à sa demande. Je pensai repartir sur cette solution même si ca fait un peu "old school". Sachant que la partie base des URL ne fonctionne plus, car avec le TLS, on ne voit plus rien mis à part les domaines. Il y a aussi la problématique de l'intégration dans l'infra, transparent, pas transparent. Personnellement, je préférerai en mode transparent.
J'avais aussi à l'époque intégré du Olfeo, c'est vraiment génial, mais dans notre cas on ne vas pas l'acheter.
Notre prestataire nous a parlé d'une fonctionnalité disponible dans Checkpoint que nous pourrions intégrer, à voir.
Il doit y avoir beaucoup d'autres solutions. De votre côté, quelles solutions utilisez vous ?
-- Orditux Informatique https://orditux.org https://orditux.org/aol _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- Ludovic SCOTTI _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
Pour ma part, j'aime bien l'approche UTM, sur les firewalls NextGen,
avec au point de sortie du réseau : filtrage URL+DNS, déchiffrement SSL, IPS, controle applicatif.
Ceci n'empêche pas une solution sur le Endpoint, de type EDR.
Le 24/01/2020 à 12:26, open doc a écrit :
Bonjour à tous,
Jusqu'ici nous étions plutôt "cool" sur l'utilisation des machines et de l'utilisation d'internet dans l'entreprise. Je fais plutôt confiance aux gens, et j'essaie de les responsabiliser, mais cela a des limites. Nous avons eu des cas de gens qui faisaient vraiment n'importe quoi et avec les risques de cryptolocker je souhaite nous protéger d'éventuels problèmes. Je souhaite me focaliser sur le filtrage WEB des domaines/URL er non des aspects de sécurité plus globale qui sont déjà en place (stratégies de groupes, backup, accès réseau dédié, backup externalisé, PCA ...)
Quand j'étais jeune, il y a bien longtemps, j'avais déjà intégré chez un client une solution squid/squidguard avec des bases de liste, des acls ... ca marchait bien et ca répondait à sa demande. Je pensai repartir sur cette solution même si ca fait un peu "old school". Sachant que la partie base des URL ne fonctionne plus, car avec le TLS, on ne voit plus rien mis à part les domaines. Il y a aussi la problématique de l'intégration dans l'infra, transparent, pas transparent. Personnellement, je préférerai en mode transparent.
J'avais aussi à l'époque intégré du Olfeo, c'est vraiment génial, mais dans notre cas on ne vas pas l'acheter.
Notre prestataire nous a parlé d'une fonctionnalité disponible dans Checkpoint que nous pourrions intégrer, à voir.
Il doit y avoir beaucoup d'autres solutions. De votre côté, quelles solutions utilisez vous ?
Par avance, merci pour vos réponses. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour, nous utilisons toujours le couple SQUID/SQUIDGUARD avec authentification SSO des users via Kerberos. La base de filtrage est celle de l'Université de Toulouse (https://dsi.ut-capitole.fr/blacklists/). Le fait que la plupart des sites soient passés en HTTPS ne change rien au bon fonctionnement à condition de ne pas utiliser le mode transparent de SQUID. Pour palier à ça, il suffit de configurer automatiquement le proxy sur les navigateurs via WPAD (à pousser via DNS et DHCP). L'ensemble fonctionne très bien depuis presque 15 ans pour 600 utilisateurs environ chez nous.
Le 24/01/2020 à 12:26, open doc a écrit :
Bonjour à tous,
Jusqu'ici nous étions plutôt "cool" sur l'utilisation des machines et de l'utilisation d'internet dans l'entreprise. Je fais plutôt confiance aux gens, et j'essaie de les responsabiliser, mais cela a des limites. Nous avons eu des cas de gens qui faisaient vraiment n'importe quoi et avec les risques de cryptolocker je souhaite nous protéger d'éventuels problèmes. Je souhaite me focaliser sur le filtrage WEB des domaines/URL er non des aspects de sécurité plus globale qui sont déjà en place (stratégies de groupes, backup, accès réseau dédié, backup externalisé, PCA ...)
Quand j'étais jeune, il y a bien longtemps, j'avais déjà intégré chez un client une solution squid/squidguard avec des bases de liste, des acls ... ca marchait bien et ca répondait à sa demande. Je pensai repartir sur cette solution même si ca fait un peu "old school". Sachant que la partie base des URL ne fonctionne plus, car avec le TLS, on ne voit plus rien mis à part les domaines. Il y a aussi la problématique de l'intégration dans l'infra, transparent, pas transparent. Personnellement, je préférerai en mode transparent.
J'avais aussi à l'époque intégré du Olfeo, c'est vraiment génial, mais dans notre cas on ne vas pas l'acheter.
Notre prestataire nous a parlé d'une fonctionnalité disponible dans Checkpoint que nous pourrions intégrer, à voir.
Il doit y avoir beaucoup d'autres solutions. De votre côté, quelles solutions utilisez vous ?
Par avance, merci pour vos réponses. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Date: Fri, 24 Jan 2020 14:15:56 From: Morgan LEFIEUX morgan.lefieux@saint-lo-agglo.fr To: frsag@frsag.org Subject: Re: [FRsAG] Filtrage WEB domaines/URL - Quelles solutions utilisez vous ?
Bonjour, nous utilisons toujours le couple SQUID/SQUIDGUARD avec authentification SSO des users via Kerberos. La base de filtrage est celle de l'Université de Toulouse (https://dsi.ut-capitole.fr/blacklists/). Le fait que la plupart des sites soient passés en HTTPS ne change rien au bon fonctionnement à condition de ne pas utiliser le mode transparent de SQUID. Pour palier à ça, il suffit de configurer automatiquement le proxy sur les navigateurs via WPAD (à pousser via DNS et DHCP). L'ensemble fonctionne très bien depuis presque 15 ans pour 600 utilisateurs environ chez nous.
Bonjour,
De ce que j'ai compris. Il dit qu'avec le passage à HTTPS, on ne peut plus autoriser ou bloquer des chemins (locations) pour un site donné. Seul le domaine est visible et c'est normal.
Nous utilisons également Squid avec des clients en WPAD/proxypac. Mais je ne vois pas en quoi cela permettrait de filtrer les chemins.
À moins bien sûr de tricher (c'est mal) en faisant de l'interception.
J'aime bien la technique du WPAD, c'est ce que je faisais à l'époque. Les listes de ut capitole sont bien aussi, et j'avais utilisé la liste de http://www.shallalist.de/ pour compléter (mm si au final je me demande si c'est pas un peu les mm domaines et url).
Je veux bien tester le filtrage DNS, mais j'aimerai bien maîtriser et pas dépendre d'une solution, si au final c'est faire pointer un domaine vers une autre IP. Il y a t'il des solutions libre ou je dois faire ca dans un bind ou dnsmasq ? il faut avoir la possibilité de pouvoir ajouter ses propres domaines. De plus comment loger les accès DNS ?
Le ven. 24 janv. 2020 à 14:39, Vu Ngoc VU vvu+frsag@mcra.fr a écrit :
Date: Fri, 24 Jan 2020 14:15:56 From: Morgan LEFIEUX morgan.lefieux@saint-lo-agglo.fr To: frsag@frsag.org Subject: Re: [FRsAG] Filtrage WEB domaines/URL - Quelles solutions utilisez vous ?
Bonjour, nous utilisons toujours le couple SQUID/SQUIDGUARD avec authentification SSO des users via Kerberos. La base de filtrage est celle de l'Université de Toulouse (https://dsi.ut-capitole.fr/blacklists/). Le fait que la plupart des sites soient passés en HTTPS ne change rien au bon fonctionnement à condition de ne pas utiliser le mode transparent de SQUID. Pour palier à ça, il suffit de configurer automatiquement le proxy sur les navigateurs via WPAD (à pousser via DNS et DHCP). L'ensemble fonctionne très bien depuis presque 15 ans pour 600 utilisateurs environ chez nous.
Bonjour,
De ce que j'ai compris. Il dit qu'avec le passage à HTTPS, on ne peut plus autoriser ou bloquer des chemins (locations) pour un site donné. Seul le domaine est visible et c'est normal.
Nous utilisons également Squid avec des clients en WPAD/proxypac. Mais je ne vois pas en quoi cela permettrait de filtrer les chemins.
À moins bien sûr de tricher (c'est mal) en faisant de l'interception._______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Je pense que la solution de Cisco, en version payante, en fait un peu plus que ça. Le mieux est certainement d’essayer: https://signup.umbrella.com/ https://signup.umbrella.com/
Dans ton premier message, tu parlais entre autres des cryptolock. Avec un filtrage d’URL, tu vas pas nécessairement réussir à bloquer un nouveau cryptolock qui contacte son C&C, puisque ils (les méchants) enregistrent des nouveaux domaines à chaque nouvelle attaque. Je ne dis pas que Umbrella s’en sort mieux dans ce cas là, je n’ai pas essayé. A mon avis, il faut plutôt préparer une plateforme de test: le script JS ou autre que tu t’envoies par mail, qui va tenter de récupérer un fichier sur un domaine complètement nouveau que tu enregistres (ton C&C). Si une solution arrive à bloquer l’appel au C&C sur un domaine et une IP clean: je pense que t’as un winner. Sinon, le bloquage se fait parce que l’éditeur de la solution recense les attaques/intrusions qui ont lieu un peu partout, et il met à jour sa politique de filtrage en conséquence. On peut penser qu’une solution commerciale sera plus efficace à ce niveau. Au final, je pense que tu dois définir ce que tu veux bloquer (parce que le porno, c’est facile à bloquer, et c’est le cadet de tes soucis, sauf si tu gères des écoles) et comparer les solutions.
Après, si quelqu’un ici me dit qu’il bloque tous les C&C des Cryptolock avec de l’URL filtering gratuite , je m’incline (et je suis curieux de savoir quelle solutions). Attention, quand je dis « il bloque », je veux dire qu’il a les logs qui prouvent qu’il en a bloqué, et pas qu’il pense qu’il bloque tout parce qu’il a jamais été cryptolocké…
Le 24 janv. 2020 à 15:33, open doc linuxopendoc@gmail.com a écrit :
J'aime bien la technique du WPAD, c'est ce que je faisais à l'époque. Les listes de ut capitole sont bien aussi, et j'avais utilisé la liste de http://www.shallalist.de/ pour compléter (mm si au final je me demande si c'est pas un peu les mm domaines et url).
Je veux bien tester le filtrage DNS, mais j'aimerai bien maîtriser et pas dépendre d'une solution, si au final c'est faire pointer un domaine vers une autre IP. Il y a t'il des solutions libre ou je dois faire ca dans un bind ou dnsmasq ? il faut avoir la possibilité de pouvoir ajouter ses propres domaines. De plus comment loger les accès DNS ?
Le ven. 24 janv. 2020 à 14:39, Vu Ngoc VU vvu+frsag@mcra.fr a écrit :
Date: Fri, 24 Jan 2020 14:15:56 From: Morgan LEFIEUX morgan.lefieux@saint-lo-agglo.fr To: frsag@frsag.org Subject: Re: [FRsAG] Filtrage WEB domaines/URL - Quelles solutions utilisez vous ?
Bonjour, nous utilisons toujours le couple SQUID/SQUIDGUARD avec authentification SSO des users via Kerberos. La base de filtrage est celle de l'Université de Toulouse (https://dsi.ut-capitole.fr/blacklists/). Le fait que la plupart des sites soient passés en HTTPS ne change rien au bon fonctionnement à condition de ne pas utiliser le mode transparent de SQUID. Pour palier à ça, il suffit de configurer automatiquement le proxy sur les navigateurs via WPAD (à pousser via DNS et DHCP). L'ensemble fonctionne très bien depuis presque 15 ans pour 600 utilisateurs environ chez nous.
Bonjour,
De ce que j'ai compris. Il dit qu'avec le passage à HTTPS, on ne peut plus autoriser ou bloquer des chemins (locations) pour un site donné. Seul le domaine est visible et c'est normal.
Nous utilisons également Squid avec des clients en WPAD/proxypac. Mais je ne vois pas en quoi cela permettrait de filtrer les chemins.
À moins bien sûr de tricher (c'est mal) en faisant de l'interception._______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
"Solution Libre" ==> https://pi-hole.net
Le 24/01/2020 à 15:33, open doc a écrit :
J'aime bien la technique du WPAD, c'est ce que je faisais à l'époque. Les listes de ut capitole sont bien aussi, et j'avais utilisé la liste de http://www.shallalist.de/ pour compléter (mm si au final je me demande si c'est pas un peu les mm domaines et url).
Je veux bien tester le filtrage DNS, mais j'aimerai bien maîtriser et pas dépendre d'une solution, si au final c'est faire pointer un domaine vers une autre IP. Il y a t'il des solutions libre ou je dois faire ca dans un bind ou dnsmasq ? il faut avoir la possibilité de pouvoir ajouter ses propres domaines. De plus comment loger les accès DNS ?
Le ven. 24 janv. 2020 à 14:39, Vu Ngoc VU vvu+frsag@mcra.fr a écrit :
Date: Fri, 24 Jan 2020 14:15:56 From: Morgan LEFIEUX morgan.lefieux@saint-lo-agglo.fr To: frsag@frsag.org Subject: Re: [FRsAG] Filtrage WEB domaines/URL - Quelles solutions utilisez vous ?
Bonjour, nous utilisons toujours le couple SQUID/SQUIDGUARD avec authentification SSO des users via Kerberos. La base de filtrage est celle de l'Université de Toulouse (https://dsi.ut-capitole.fr/blacklists/). Le fait que la plupart des sites soient passés en HTTPS ne change rien au bon fonctionnement à condition de ne pas utiliser le mode transparent de SQUID. Pour palier à ça, il suffit de configurer automatiquement le proxy sur les navigateurs via WPAD (à pousser via DNS et DHCP). L'ensemble fonctionne très bien depuis presque 15 ans pour 600 utilisateurs environ chez nous.
Bonjour,
De ce que j'ai compris. Il dit qu'avec le passage à HTTPS, on ne peut plus autoriser ou bloquer des chemins (locations) pour un site donné. Seul le domaine est visible et c'est normal.
Nous utilisons également Squid avec des clients en WPAD/proxypac. Mais je ne vois pas en quoi cela permettrait de filtrer les chemins.
À moins bien sûr de tricher (c'est mal) en faisant de l'interception._______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
J'allais envoyer la même adresse, j'utilise cette solution chez moi et j'aime beaucoup avec ses graphiques et statistiques en temps réel.
Le 24/01/2020 à 16:00, Felix Defrance a écrit :
"Solution Libre" ==> https://pi-hole.net
Le 24/01/2020 à 16:00, Felix Defrance a écrit :
"Solution Libre" ==> https://pi-hole.net
Salut !
C’est ce que j’ai fait récemment pour une petite entreprise. J’ai poussé tout ce que je pouvais pour expliquer qu’un problème humain ne se règle pas par la technique. Go management…
Comme “la direction” était un peu débordée, elle a choisi cette solution parce qu’au final, c’est certainement le moins cher à mettre en œuvre en attendant de gérer ça autrement.
Il faut dire aussi que le progiciel sur lequel repose toute l’activité de la boîte est en mode SAAS et que de fait, la météo, FB, whatsapp, YT et consorts ne nous aidaient pas beaucoup à diagnostiquer les problèmes…
Bref, vu qu’il y a peu d’employés, un Rpi dans la baie + un second en spare avec la SD clonée au cas où. J’ai tout de même ajouté un petit ventilo : 15°C en moins (36°C). 921k domaines bloqués, 95% des requêtes bloquées + des :( sur les visages. Pour 4 à 6 personnes sur un Rpi 3B, load 0,12% - RAM 17%
Le niveau des employés permet d’être relativement serein quand à leurs capacités à contourner.
Coût matos : - de 150 €TTC
À noter : on peut facilement demander à pi-hole de faire du DoT sans pour autant perdre le filtrage. Impecc !
Cdt,
On Fri, 24 Jan 2020 16:46:12 +0100 mlrx via FRsAG frsag@frsag.org wrote:
À noter : on peut facilement demander à pi-hole de faire du DoT sans pour autant perdre le filtrage. Impecc !
Pardon, du quoi ? https://www.sigles.net/recherche/resultats?q=DoT&submit=
(pas vraiment trouvé sur le net même dans plusieurs moteurs de recherches : rien à voir avec du graphisme, je suppose ?)
Le 24/01/2020 à 17:12, contact@orditux.org a écrit :
On Fri, 24 Jan 2020 16:46:12 +0100 mlrx via FRsAG frsag@frsag.org wrote:
À noter : on peut facilement demander à pi-hole de faire du DoT sans pour autant perdre le filtrage. Impecc !
Pardon, du quoi ? https://www.sigles.net/recherche/resultats?q=DoT&submit=
(pas vraiment trouvé sur le net même dans plusieurs moteurs de recherches : rien à voir avec du graphisme, je suppose ?)
DNS over TLS :)
Y'a un piège dans la question ? Effet Dredi ?
On Fri, 24 Jan 2020 17:36:06 +0100 mlrx via FRsAG frsag@frsag.org wrote:
DNS over TLS :)
Y'a un piège dans la question ? Effet Dredi ?
Bonsoir,
Non pas de piège, merci pour la réponse, ainsi qu'à Julien SOULA. À part cela j'ai ouïe dire qu'il vaut mieux utiliser pi-hole dans un container (Docker par exemple), ou depuis Yunohost pour que le système hôte reste propre. Qu'en pensez-vous ?
Joyce MARKOLL
Je n'en sais rien mais pour ma part je l'ai installé sur une Debian (un boitier mini PC) directement et ça marche juste bien. Ce boitier me sert de gateway Internet avec un routage Wifi/LAN et OpenVPN client/serveur.
Le 24/01/2020 à 18:28, contact@orditux.org a écrit :
À part cela j'ai ouïe dire qu'il vaut mieux utiliser pi-hole dans un container (Docker par exemple), ou depuis Yunohost pour que le système hôte reste propre. Qu'en pensez-vous ?
Le 24/01/2020 à 18:28, contact@orditux.org a écrit :
On Fri, 24 Jan 2020 17:36:06 +0100 mlrx via FRsAG frsag@frsag.org wrote:
DNS over TLS :)
Y'a un piège dans la question ? Effet Dredi ?
Bonsoir,
Non pas de piège, merci pour la réponse, ainsi qu'à Julien SOULA. À part cela j'ai ouïe dire qu'il vaut mieux utiliser pi-hole dans un container (Docker par exemple), ou depuis Yunohost pour que le système hôte reste propre. Qu'en pensez-vous ?
Joyce MARKOLL
Bonjour,
J'en pense que, comme toujours, cela dépend du contexte et des besoins. Je ne vois pas bien comment Pi-Hole pourrait "salir" le système hôte (pas plus qu'un autre en tout cas).
Cdt,
On Mon, 27 Jan 2020 10:05:35 +0100 mlrx via FRsAG frsag@frsag.org wrote:
Le 24/01/2020 à 18:28, contact@orditux.org a écrit :
À part cela j'ai ouïe dire qu'il vaut mieux utiliser pi-hole dans un container (Docker par exemple), ou depuis Yunohost pour que le système hôte reste propre. Qu'en pensez-vous ?
Bonjour,
J'en pense que, comme toujours, cela dépend du contexte et des besoins. Je ne vois pas bien comment Pi-Hole pourrait "salir" le système hôte (pas plus qu'un autre en tout cas).
Bonjour,
Parce que le paquet est (était ?) construit de manière sale, il ne respecte (ait) pas les usages en matière d'emplacement des fichiers installés. Cela dit, j'ai testé il y a déjà plus de deux ans, il me semble que les fichiers ne respectaient rien, même pas les droits et permissions fichiers/répertoires. Pour cette raison il m'avait été répondu "ce n'est pas un problème pour moi je l'utilise dans Docker".
Vous pouvez comparer en désarchivant un paquet de votre distribution GNU/Linux à l'aide d'un gestionnaire d'archives classiques (file-roller par exemple, avec tous les paquets/programmes de gestion d'archives installés dans le système) et regarder comment est construite l'arborescence de son archive interne "data.xz". (Que trouvez-vous dans etc ? Que trouvez-vous dans usr ? Dans usr/share/doc ? etc.)
Cordialement, Joyce MARKOLL
Hello,
nous sommes resté sur du standard, un cluster Squid + acls avec du filtrage SquidGuard et liste de Toulouse avec blocage des bot C&C. Authentification via le radius. Le cluster Squid load balancé avec HAProxy. SARG pour faire les rapports. Ba oui effectivement ca fait le taf, et plutôt bien. Un petit proxy.pac pour gérer les exclusions. Ca marchait il y a 8 ans et ca marche toujours. Il y a des applis sous Mac qui ne comprennent pas l'authentification, mais surtout Safari qui fait n'importe quoi en SSL. Mis à part cela c'est plutôt satisfaisant.
Alex.
Le lun. 27 janv. 2020 à 13:07, contact@orditux.org a écrit :
On Mon, 27 Jan 2020 10:05:35 +0100 mlrx via FRsAG frsag@frsag.org wrote:
Le 24/01/2020 à 18:28, contact@orditux.org a écrit :
À part cela j'ai ouïe dire qu'il vaut mieux utiliser pi-hole dans un
container
(Docker par exemple), ou depuis Yunohost pour que le système hôte
reste propre. Qu'en
pensez-vous ?
Bonjour,
J'en pense que, comme toujours, cela dépend du contexte et des besoins. Je ne vois pas bien comment Pi-Hole pourrait "salir" le système hôte (pas plus qu'un autre en tout cas).
Bonjour,
Parce que le paquet est (était ?) construit de manière sale, il ne respecte (ait) pas les usages en matière d'emplacement des fichiers installés. Cela dit, j'ai testé il y a déjà plus de deux ans, il me semble que les fichiers ne respectaient rien, même pas les droits et permissions fichiers/répertoires. Pour cette raison il m'avait été répondu "ce n'est pas un problème pour moi je l'utilise dans Docker".
Vous pouvez comparer en désarchivant un paquet de votre distribution GNU/Linux à l'aide d'un gestionnaire d'archives classiques (file-roller par exemple, avec tous les paquets/programmes de gestion d'archives installés dans le système) et regarder comment est construite l'arborescence de son archive interne "data.xz". (Que trouvez-vous dans etc ? Que trouvez-vous dans usr ? Dans usr/share/doc ? etc.)
Cordialement, Joyce MARKOLL
-- Orditux Informatique https://orditux.org https://orditux.org/aol _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
+1
Ici (>10k postes sur une centaine de sites dans le monde) nous utilisons une solution Zscaler avec une configuration proxy déployée en WPAD/DHCP.
Le MITM ne fontionne pas dans 100% des cas (HSTS, ciphers non supportés par zscaler, applicatifs capricieux ...) mais cela reste gérable via une liste d'exceptions.
On 24/01/2020 14:15, Morgan LEFIEUX wrote:
Bonjour, nous utilisons toujours le couple SQUID/SQUIDGUARD avec authentification SSO des users via Kerberos. La base de filtrage est celle de l'Université de Toulouse (https://dsi.ut-capitole.fr/blacklists/). Le fait que la plupart des sites soient passés en HTTPS ne change rien au bon fonctionnement à condition de ne pas utiliser le mode transparent de SQUID. Pour palier à ça, il suffit de configurer automatiquement le proxy sur les navigateurs via WPAD (à pousser via DNS et DHCP). L'ensemble fonctionne très bien depuis presque 15 ans pour 600 utilisateurs environ chez nous.
Le 24/01/2020 à 12:26, open doc a écrit :
Bonjour à tous,
Jusqu'ici nous étions plutôt "cool" sur l'utilisation des machines et de l'utilisation d'internet dans l'entreprise. Je fais plutôt confiance aux gens, et j'essaie de les responsabiliser, mais cela a des limites. Nous avons eu des cas de gens qui faisaient vraiment n'importe quoi et avec les risques de cryptolocker je souhaite nous protéger d'éventuels problèmes. Je souhaite me focaliser sur le filtrage WEB des domaines/URL er non des aspects de sécurité plus globale qui sont déjà en place (stratégies de groupes, backup, accès réseau dédié, backup externalisé, PCA ...)
Quand j'étais jeune, il y a bien longtemps, j'avais déjà intégré chez un client une solution squid/squidguard avec des bases de liste, des acls ... ca marchait bien et ca répondait à sa demande. Je pensai repartir sur cette solution même si ca fait un peu "old school". Sachant que la partie base des URL ne fonctionne plus, car avec le TLS, on ne voit plus rien mis à part les domaines. Il y a aussi la problématique de l'intégration dans l'infra, transparent, pas transparent. Personnellement, je préférerai en mode transparent.
J'avais aussi à l'époque intégré du Olfeo, c'est vraiment génial, mais dans notre cas on ne vas pas l'acheter.
Notre prestataire nous a parlé d'une fonctionnalité disponible dans Checkpoint que nous pourrions intégrer, à voir.
Il doit y avoir beaucoup d'autres solutions. De votre côté, quelles solutions utilisez vous ?
Par avance, merci pour vos réponses. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
-
Bruno Pagani -
contact@orditux.org -
David Ponzone -
Felix Defrance -
Frank ALEXIS -
Guillaume Tournat -
Jonathan Leroy - Inikup -
Ludovic Scotti -
mlrx -
Morgan LEFIEUX -
open doc -
Stephane Sales -
Vu Ngoc VU -
Élodie BOSSIER