Je pense que la solution de Cisco, en version payante, en fait un peu plus que ça.Le mieux est certainement d’essayer:
Dans ton premier message, tu parlais entre autres des cryptolock.
Avec un filtrage d’URL, tu vas pas nécessairement réussir à bloquer un nouveau cryptolock qui contacte son C&C, puisque ils (les méchants) enregistrent des nouveaux domaines à chaque nouvelle attaque.
Je ne dis pas que Umbrella s’en sort mieux dans ce cas là, je n’ai pas essayé.
A mon avis, il faut plutôt préparer une plateforme de test: le script JS ou autre que tu t’envoies par mail, qui va tenter de récupérer un fichier sur un domaine complètement nouveau que tu enregistres (ton C&C).
Si une solution arrive à bloquer l’appel au C&C sur un domaine et une IP clean: je pense que t’as un winner. Sinon, le bloquage se fait parce que l’éditeur de la solution recense les attaques/intrusions qui ont lieu un peu partout, et il met à jour sa politique de filtrage en conséquence. On peut penser qu’une solution commerciale sera plus efficace à ce niveau.
Au final, je pense que tu dois définir ce que tu veux bloquer (parce que le porno, c’est facile à bloquer, et c’est le cadet de tes soucis, sauf si tu gères des écoles) et comparer les solutions.
Après, si quelqu’un ici me dit qu’il bloque tous les C&C des Cryptolock avec de l’URL filtering gratuite , je m’incline (et je suis curieux de savoir quelle solutions).
Attention, quand je dis « il bloque », je veux dire qu’il a les logs qui prouvent qu’il en a bloqué, et pas qu’il pense qu’il bloque tout parce qu’il a jamais été cryptolocké…
J'aime bien la technique du WPAD, c'est ce que je faisais à l'époque.
Les listes de ut capitole sont bien aussi, et j'avais utilisé la liste
de
http://www.shallalist.de/ pour compléter (mm si au final je me
demande si c'est pas un peu les mm domaines et url).
Je veux bien tester le filtrage DNS, mais j'aimerai bien maîtriser et
pas dépendre d'une solution, si au final c'est faire pointer un
domaine vers une autre IP. Il y a t'il des solutions libre ou je dois
faire ca dans un bind ou dnsmasq ? il faut avoir la possibilité de
pouvoir ajouter ses propres domaines. De plus comment loger les accès
DNS ?
Le ven. 24 janv. 2020 à 14:39, Vu Ngoc VU <
vvu+frsag@mcra.fr> a écrit :
Date: Fri, 24 Jan 2020 14:15:56
From: Morgan LEFIEUX <morgan.lefieux@saint-lo-agglo.fr>
To: frsag@frsag.org
Subject: Re: [FRsAG] Filtrage WEB domaines/URL - Quelles solutions utilisez
vous ?
Bonjour,
nous utilisons toujours le couple SQUID/SQUIDGUARD avec authentification
SSO des users via Kerberos.
La base de filtrage est celle de l'Université de Toulouse
(https://dsi.ut-capitole.fr/blacklists/).
Le fait que la plupart des sites soient passés en HTTPS ne change rien
au bon fonctionnement à condition de ne pas utiliser le mode transparent
de SQUID.
Pour palier à ça, il suffit de configurer automatiquement le proxy sur
les navigateurs via WPAD (à pousser via DNS et DHCP).
L'ensemble fonctionne très bien depuis presque 15 ans pour 600
utilisateurs environ chez nous.
Bonjour,
De ce que j'ai compris. Il dit qu'avec le passage à HTTPS, on ne peut plus autoriser ou bloquer des chemins (locations) pour un site donné.
Seul le domaine est visible et c'est normal.
Nous utilisons également Squid avec des clients en WPAD/proxypac. Mais je ne vois pas en quoi cela permettrait de filtrer les chemins.
À moins bien sûr de tricher (c'est mal) en faisant de l'interception._______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/