24 Jan
2020
24 Jan
'20
11:26 a.m.
Bonjour à tous,
Jusqu'ici nous étions plutôt "cool" sur l'utilisation des machines et
de l'utilisation d'internet dans l'entreprise. Je fais plutôt
confiance aux gens, et j'essaie de les responsabiliser, mais cela a
des limites. Nous avons eu des cas de gens qui faisaient vraiment
n'importe quoi et avec les risques de cryptolocker je souhaite nous
protéger d'éventuels problèmes. Je souhaite me focaliser sur le
filtrage WEB des domaines/URL er non des aspects de sécurité plus
globale qui sont déjà en place (stratégies de groupes, backup, accès
réseau dédié, backup externalisé, PCA ...)
Quand j'étais jeune, il y a bien longtemps, j'avais déjà intégré chez
un client une solution squid/squidguard avec des bases de liste, des
acls ... ca marchait bien et ca répondait à sa demande. Je pensai
repartir sur cette solution même si ca fait un peu "old school".
Sachant que la partie base des URL ne fonctionne plus, car avec le
TLS, on ne voit plus rien mis à part les domaines. Il y a aussi la
problématique de l'intégration dans l'infra, transparent, pas
transparent. Personnellement, je préférerai en mode transparent.
J'avais aussi à l'époque intégré du Olfeo, c'est vraiment génial, mais
dans notre cas on ne vas pas l'acheter.
Notre prestataire nous a parlé d'une fonctionnalité disponible dans
Checkpoint que nous pourrions intégrer, à voir.
Il doit y avoir beaucoup d'autres solutions. De votre côté, quelles
solutions utilisez vous ?
Par avance, merci pour vos réponses.
24 Jan
24 Jan
11:48 a.m.
Bonjour,
Le 24 janvier 2020 12:26:51 GMT+01:00, open doc <linuxopendoc(a)gmail.com> a écrit :
[…]
Sachant que la partie base des URL ne fonctionne plus, car avec le
TLS, on ne voit plus rien mis à part les domaines.
Et d’ici quelques temps, plus rien du tout avec l’encrypted SNI. Donc si on veut agir, il
vaut mieux que ce soit niveau résolution DNS.
11:52 a.m.
Le ven. 24 janv. 2020 à 12:28, open doc <linuxopendoc(a)gmail.com> a écrit :
Il doit y avoir beaucoup d'autres solutions. De
votre côté, quelles
solutions utilisez vous ?
Si je peux donner UN conseil : le filtrage doit se faire sur le poste
client et non sur un proxy centralisé.
Désormais tout est HTTPSisé, et ils devient de plus en plus compliqué
de faire du MITM, et c'est tant mieux.
La bonne pratique aujourd'hui, c'est un filtrage en local sur le poste
de travail, les navigateurs gèrent ça très bien via une extension.
--
Jonathan Leroy
1:59 p.m.
Tu as des exemples ? du contexte pour comparer ? Je testerai bien.
Le ven. 24 janv. 2020 à 12:52, Jonathan Leroy - Inikup
<jonathan(a)inikup.com> a écrit :
Le ven. 24 janv. 2020 à 12:28, open doc <linuxopendoc(a)gmail.com> a écrit :
Il doit y avoir beaucoup d'autres solutions.
De votre côté, quelles
solutions utilisez vous ?
Si je peux donner UN conseil : le filtrage doit se faire sur le poste
client et non sur un proxy centralisé.
Désormais tout est HTTPSisé, et ils devient de plus en plus compliqué
de faire du MITM, et c'est tant mieux.
La bonne pratique aujourd'hui, c'est un filtrage en local sur le poste
de travail, les navigateurs gèrent ça très bien via une extension.
--
Jonathan Leroy
2:21 p.m.
Le ven. 24 janv. 2020 à 14:59, open doc <linuxopendoc(a)gmail.com> a écrit :
Tu as des exemples ? du contexte pour comparer ? Je
testerai bien.
Ça fait un moment que je ne me suis pas penché sur le sujet et je
n'utilise pas Windows, donc je n'ai pas de soft précis à te
recommander. Mais certains antivirus font ça bien en installant des
extensions navigateur plutôt qu'une AC locale.
Tu peux aussi utiliser la policy URLBlacklist de Chrome :
https://support.google.com/chrome/a/answer/7532419?hl=fr
Un article intéréssant sur pourquoi il ne faut pas faire
d'interception TLS :
https://medium.com/@joelgsamuel/can-we-stop-intercepting-user-traffic-aka-m…
--
Jonathan Leroy
4:06 p.m.
On Fri, 24 Jan 2020 15:21:03 +0100
Jonathan Leroy - Inikup via FRsAG <frsag(a)frsag.org> wrote:
Mais certains antivirus font ça bien en installant
des
extensions navigateur plutôt qu'une AC locale.
Comme Adguard, https://adguard.com
--
Orditux Informatique
https://carto.framasoft.org
https://linux-ariege.eu.org
https://linuxvillage.org
https://orditux.org/aol
https://orditux.org
12:25 p.m.
Bonjour,
vous allez installer un genre de solution "contrôle parental ?" :)
Vous pourriez essayer les DNS de Cleanbrowsing, je suis en train d'en tester en ce
moment
pour installer sur le PC d'un enfant chez des clients, pour l'instant c'est
celui qui
semble le plus filtrant (il m'a entre autres interdit d'utiliser le moteur de
recherches
Startpage, sans doute parce qu'il fournit un proxy anonymisant).
Voici une liste de liens, divers fournisseurs et quelques articles, que j'ai déjà
constituée:
***************
https://cleanbrowsing.org/filters
https://cleanbrowsing.org/guides/dealing-dns-hijacking
https://hackernoon.com/porn-filters-compared-opendns-neustar-cleanbrowsing-…
(C'est un article comparatif ).
https://blog.verisign.com/security/protect-your-privacy-opt-out-of-public-d…
https://www.safedns.com/fr/blog/dns-filtering-at-a-glance/
https://www.techradar.com/news/best-dns-server
https://www.mirazon.com/stop-using-8-8-8-8-for-your-production-network/
***************
Un DNS filtrant n'est probablement pas incompatible avec une protection type
Squid/Squidgard (je ne vois pas en quoi c'est old school, en tout cas ce n'est pas
has
been).
Squid3 (réécriture complète de squid en C++)
https://wiki.squid-cache.org/SquidFaq/BinaryPackages
(et puisqu'il vous faudra configurer le proxy dans les navigateurs, comment
interdirez-vous l'accès des utilisateurs à la configuration du navigateur web ?)
Question idiote : pourquoi les postes clients ne tournent-ils pas (en plus de précautions
comme ci-dessus) avec un des systèmes Linux qui sont moins fragiles ?
Il y a bien des collectivités complètes qui le font ?
La Mairie de Fontaine,
https://adullact.org/un-citoyen-ou-une-asso/67-actualite/actu-libre-france/…
Système d'exploitation, Bureautique, Internet
Et tout un tas d'autres collectivités:
https://carto.framasoft.org/
https://www.sambaedu.org/Cartographie-des-serveurs
https://territoire-numerique-libre.org/carte/
j'ai même ouïe dire que la suite MS-Office (avec licence bien sûr) peut fonctionner
avec
Playonlinux (surcouche graphique de WINE).
Joyce MARKOLL
On Fri, 24 Jan 2020 12:26:51 +0100
open doc <linuxopendoc(a)gmail.com> wrote:
Bonjour à tous,
Jusqu'ici nous étions plutôt "cool" sur l'utilisation des machines et
de l'utilisation d'internet dans l'entreprise. Je fais plutôt
confiance aux gens, et j'essaie de les responsabiliser, mais cela a
des limites. Nous avons eu des cas de gens qui faisaient vraiment
n'importe quoi et avec les risques de cryptolocker je souhaite nous
protéger d'éventuels problèmes. Je souhaite me focaliser sur le
filtrage WEB des domaines/URL er non des aspects de sécurité plus
globale qui sont déjà en place (stratégies de groupes, backup, accès
réseau dédié, backup externalisé, PCA ...)
Quand j'étais jeune, il y a bien longtemps, j'avais déjà intégré chez
un client une solution squid/squidguard avec des bases de liste, des
acls ... ca marchait bien et ca répondait à sa demande. Je pensai
repartir sur cette solution même si ca fait un peu "old school".
Sachant que la partie base des URL ne fonctionne plus, car avec le
TLS, on ne voit plus rien mis à part les domaines. Il y a aussi la
problématique de l'intégration dans l'infra, transparent, pas
transparent. Personnellement, je préférerai en mode transparent.
J'avais aussi à l'époque intégré du Olfeo, c'est vraiment génial, mais
dans notre cas on ne vas pas l'acheter.
Notre prestataire nous a parlé d'une fonctionnalité disponible dans
Checkpoint que nous pourrions intégrer, à voir.
Il doit y avoir beaucoup d'autres solutions. De votre côté, quelles
solutions utilisez vous ?
--
Orditux Informatique
https://orditux.org
https://orditux.org/aol
12:33 p.m.
Y a Umbrella de Cisco/OpenDNS aussi.
Le 24 janv. 2020 à 13:25, contact(a)orditux.org a écrit
:
Bonjour,
vous allez installer un genre de solution "contrôle parental ?" :)
Vous pourriez essayer les DNS de Cleanbrowsing, je suis en train d'en tester en ce
moment
pour installer sur le PC d'un enfant chez des clients, pour l'instant c'est
celui qui
semble le plus filtrant (il m'a entre autres interdit d'utiliser le moteur de
recherches
Startpage, sans doute parce qu'il fournit un proxy anonymisant).
Voici une liste de liens, divers fournisseurs et quelques articles, que j'ai déjà
constituée:
***************
12:37 p.m.
Ici on intègre des UTM Watchguard et depuis peu le service DNSWatchGo pour
inspecter les requêtes DNS. Ca fonctionne bien !
Le ven. 24 janv. 2020 à 13:27, <contact(a)orditux.org> a écrit :
Bonjour,
vous allez installer un genre de solution "contrôle parental ?" :)
Vous pourriez essayer les DNS de Cleanbrowsing, je suis en train d'en
tester en ce moment
pour installer sur le PC d'un enfant chez des clients, pour l'instant
c'est celui qui
semble le plus filtrant (il m'a entre autres interdit d'utiliser le moteur
de recherches
Startpage, sans doute parce qu'il fournit un proxy anonymisant).
Voici une liste de liens, divers fournisseurs et quelques articles, que
j'ai déjà
constituée:
***************
https://cleanbrowsing.org/filters
https://cleanbrowsing.org/guides/dealing-dns-hijacking
https://hackernoon.com/porn-filters-compared-opendns-neustar-cleanbrowsing-…
(C'est un article comparatif ).
https://blog.verisign.com/security/protect-your-privacy-opt-out-of-public-d…
https://www.safedns.com/fr/blog/dns-filtering-at-a-glance/
https://www.techradar.com/news/best-dns-server
https://www.mirazon.com/stop-using-8-8-8-8-for-your-production-network/
***************
Un DNS filtrant n'est probablement pas incompatible avec une protection
type
Squid/Squidgard (je ne vois pas en quoi c'est old school, en tout cas ce
n'est pas has
been).
Squid3 (réécriture complète de squid en C++)
https://wiki.squid-cache.org/SquidFaq/BinaryPackages
(et puisqu'il vous faudra configurer le proxy dans les navigateurs, comment
interdirez-vous l'accès des utilisateurs à la configuration du navigateur
web ?)
Question idiote : pourquoi les postes clients ne tournent-ils pas (en plus
de précautions
comme ci-dessus) avec un des systèmes Linux qui sont moins fragiles ?
Il y a bien des collectivités complètes qui le font ?
La Mairie de Fontaine,
https://adullact.org/un-citoyen-ou-une-asso/67-actualite/actu-libre-france/…
Système d'exploitation, Bureautique, Internet
Et tout un tas d'autres collectivités:
https://carto.framasoft.org/
https://www.sambaedu.org/Cartographie-des-serveurs
https://territoire-numerique-libre.org/carte/
j'ai même ouïe dire que la suite MS-Office (avec licence bien sûr) peut
fonctionner avec
Playonlinux (surcouche graphique de WINE).
Joyce MARKOLL
On Fri, 24 Jan 2020 12:26:51 +0100
open doc <linuxopendoc(a)gmail.com> wrote:
--
Ludovic SCOTTI
Bonjour à tous,
Jusqu'ici nous étions plutôt "cool" sur l'utilisation des machines et
de l'utilisation d'internet dans l'entreprise. Je fais plutôt
confiance aux gens, et j'essaie de les responsabiliser, mais cela a
des limites. Nous avons eu des cas de gens qui faisaient vraiment
n'importe quoi et avec les risques de cryptolocker je souhaite nous
protéger d'éventuels problèmes. Je souhaite me focaliser sur le
filtrage WEB des domaines/URL er non des aspects de sécurité plus
globale qui sont déjà en place (stratégies de groupes, backup, accès
réseau dédié, backup externalisé, PCA ...)
Quand j'étais jeune, il y a bien longtemps, j'avais déjà intégré chez
un client une solution squid/squidguard avec des bases de liste, des
acls ... ca marchait bien et ca répondait à sa demande. Je pensai
repartir sur cette solution même si ca fait un peu "old school".
Sachant que la partie base des URL ne fonctionne plus, car avec le
TLS, on ne voit plus rien mis à part les domaines. Il y a aussi la
problématique de l'intégration dans l'infra, transparent, pas
transparent. Personnellement, je préférerai en mode transparent.
J'avais aussi à l'époque intégré du Olfeo, c'est vraiment génial, mais
dans notre cas on ne vas pas l'acheter.
Notre prestataire nous a parlé d'une fonctionnalité disponible dans
Checkpoint que nous pourrions intégrer, à voir.
Il doit y avoir beaucoup d'autres solutions. De votre côté, quelles
solutions utilisez vous ?
--
Orditux Informatique
https://orditux.org
https://orditux.org/aol
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/ 
12:44 p.m.
En mode « petit joueur » pour pas cher et qui rend bien service :
Synology RT2600ac
C’est une mine inépuisable de fonctionnalité (base Linux) avec des features
vraiment sympa (wifi mesh, dual wan + 3/4G, filtrage, petite QoS, petit
NAS, dlna, dns, vpn (y’a tout !), logs, rapports ....)
My 2cts before week-end :-)
Frank
Le ven. 24 janv. 2020 à 13:40, Ludovic Scotti <tontonlud(a)gmail.com> a
écrit :
Ici on intègre des UTM Watchguard et depuis peu le
service DNSWatchGo pour
inspecter les requêtes DNS. Ca fonctionne bien !
Le ven. 24 janv. 2020 à 13:27, <contact(a)orditux.org> a écrit :
Bonjour,
vous allez installer un genre de solution "contrôle parental ?" :)
Vous pourriez essayer les DNS de Cleanbrowsing, je suis en train d'en
tester en ce moment
pour installer sur le PC d'un enfant chez des clients, pour l'instant
c'est celui qui
semble le plus filtrant (il m'a entre autres interdit d'utiliser le
moteur de recherches
Startpage, sans doute parce qu'il fournit un proxy anonymisant).
Voici une liste de liens, divers fournisseurs et quelques articles, que
j'ai déjà
constituée:
***************
https://cleanbrowsing.org/filters
https://cleanbrowsing.org/guides/dealing-dns-hijacking
https://hackernoon.com/porn-filters-compared-opendns-neustar-cleanbrowsing-…
(C'est un article comparatif ).
https://blog.verisign.com/security/protect-your-privacy-opt-out-of-public-d…
https://www.safedns.com/fr/blog/dns-filtering-at-a-glance/
https://www.techradar.com/news/best-dns-server
https://www.mirazon.com/stop-using-8-8-8-8-for-your-production-network/
***************
Un DNS filtrant n'est probablement pas incompatible avec une protection
type
Squid/Squidgard (je ne vois pas en quoi c'est old school, en tout cas ce
n'est pas has
been).
Squid3 (réécriture complète de squid en C++)
https://wiki.squid-cache.org/SquidFaq/BinaryPackages
(et puisqu'il vous faudra configurer le proxy dans les navigateurs,
comment
interdirez-vous l'accès des utilisateurs à la configuration du navigateur
web ?)
Question idiote : pourquoi les postes clients ne tournent-ils pas (en
plus de précautions
comme ci-dessus) avec un des systèmes Linux qui sont moins fragiles ?
Il y a bien des collectivités complètes qui le font ?
La Mairie de Fontaine,
https://adullact.org/un-citoyen-ou-une-asso/67-actualite/actu-libre-france/…
Système d'exploitation, Bureautique, Internet
Et tout un tas d'autres collectivités:
https://carto.framasoft.org/
https://www.sambaedu.org/Cartographie-des-serveurs
https://territoire-numerique-libre.org/carte/
j'ai même ouïe dire que la suite MS-Office (avec licence bien sûr) peut
fonctionner avec
Playonlinux (surcouche graphique de WINE).
Joyce MARKOLL
On Fri, 24 Jan 2020 12:26:51 +0100
open doc <linuxopendoc(a)gmail.com> wrote:
--
Ludovic SCOTTI
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/ Bonjour à tous,
Jusqu'ici nous étions plutôt "cool" sur l'utilisation des machines et
de l'utilisation d'internet dans l'entreprise. Je fais plutôt
confiance aux gens, et j'essaie de les responsabiliser, mais cela a
des limites. Nous avons eu des cas de gens qui faisaient vraiment
n'importe quoi et avec les risques de cryptolocker je souhaite nous
protéger d'éventuels problèmes. Je souhaite me focaliser sur le
filtrage WEB des domaines/URL er non des aspects de sécurité plus
globale qui sont déjà en place (stratégies de groupes, backup, accès
réseau dédié, backup externalisé, PCA ...)
Quand j'étais jeune, il y a bien longtemps, j'avais déjà intégré chez
un client une solution squid/squidguard avec des bases de liste, des
acls ... ca marchait bien et ca répondait à sa demande. Je pensai
repartir sur cette solution même si ca fait un peu "old school".
Sachant que la partie base des URL ne fonctionne plus, car avec le
TLS, on ne voit plus rien mis à part les domaines. Il y a aussi la
problématique de l'intégration dans l'infra, transparent, pas
transparent. Personnellement, je préférerai en mode transparent.
J'avais aussi à l'époque intégré du Olfeo, c'est vraiment génial, mais
dans notre cas on ne vas pas l'acheter.
Notre prestataire nous a parlé d'une fonctionnalité disponible dans
Checkpoint que nous pourrions intégrer, à voir.
Il doit y avoir beaucoup d'autres solutions. De votre côté, quelles
solutions utilisez vous ?
--
Orditux Informatique
https://orditux.org
https://orditux.org/aol
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/ 
12:33 p.m.
Bonjour,
Pour ma part, j'aime bien l'approche UTM, sur les firewalls NextGen,
avec au point de sortie du réseau : filtrage URL+DNS, déchiffrement SSL,
IPS, controle applicatif.
Ceci n'empêche pas une solution sur le Endpoint, de type EDR.
Le 24/01/2020 à 12:26, open doc a écrit :
Bonjour à tous,
Jusqu'ici nous étions plutôt "cool" sur l'utilisation des machines et
de l'utilisation d'internet dans l'entreprise. Je fais plutôt
confiance aux gens, et j'essaie de les responsabiliser, mais cela a
des limites. Nous avons eu des cas de gens qui faisaient vraiment
n'importe quoi et avec les risques de cryptolocker je souhaite nous
protéger d'éventuels problèmes. Je souhaite me focaliser sur le
filtrage WEB des domaines/URL er non des aspects de sécurité plus
globale qui sont déjà en place (stratégies de groupes, backup, accès
réseau dédié, backup externalisé, PCA ...)
Quand j'étais jeune, il y a bien longtemps, j'avais déjà intégré chez
un client une solution squid/squidguard avec des bases de liste, des
acls ... ca marchait bien et ca répondait à sa demande. Je pensai
repartir sur cette solution même si ca fait un peu "old school".
Sachant que la partie base des URL ne fonctionne plus, car avec le
TLS, on ne voit plus rien mis à part les domaines. Il y a aussi la
problématique de l'intégration dans l'infra, transparent, pas
transparent. Personnellement, je préférerai en mode transparent.
J'avais aussi à l'époque intégré du Olfeo, c'est vraiment génial, mais
dans notre cas on ne vas pas l'acheter.
Notre prestataire nous a parlé d'une fonctionnalité disponible dans
Checkpoint que nous pourrions intégrer, à voir.
Il doit y avoir beaucoup d'autres solutions. De votre côté, quelles
solutions utilisez vous ?
Par avance, merci pour vos réponses.
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
1:15 p.m.
Bonjour,
nous utilisons toujours le couple SQUID/SQUIDGUARD avec authentification
SSO des users via Kerberos.
La base de filtrage est celle de l'Université de Toulouse
(https://dsi.ut-capitole.fr/blacklists/).
Le fait que la plupart des sites soient passés en HTTPS ne change rien
au bon fonctionnement à condition de ne pas utiliser le mode transparent
de SQUID.
Pour palier à ça, il suffit de configurer automatiquement le proxy sur
les navigateurs via WPAD (à pousser via DNS et DHCP).
L'ensemble fonctionne très bien depuis presque 15 ans pour 600
utilisateurs environ chez nous.
Le 24/01/2020 à 12:26, open doc a écrit :
Bonjour à tous,
Jusqu'ici nous étions plutôt "cool" sur l'utilisation des machines et
de l'utilisation d'internet dans l'entreprise. Je fais plutôt
confiance aux gens, et j'essaie de les responsabiliser, mais cela a
des limites. Nous avons eu des cas de gens qui faisaient vraiment
n'importe quoi et avec les risques de cryptolocker je souhaite nous
protéger d'éventuels problèmes. Je souhaite me focaliser sur le
filtrage WEB des domaines/URL er non des aspects de sécurité plus
globale qui sont déjà en place (stratégies de groupes, backup, accès
réseau dédié, backup externalisé, PCA ...)
Quand j'étais jeune, il y a bien longtemps, j'avais déjà intégré chez
un client une solution squid/squidguard avec des bases de liste, des
acls ... ca marchait bien et ca répondait à sa demande. Je pensai
repartir sur cette solution même si ca fait un peu "old school".
Sachant que la partie base des URL ne fonctionne plus, car avec le
TLS, on ne voit plus rien mis à part les domaines. Il y a aussi la
problématique de l'intégration dans l'infra, transparent, pas
transparent. Personnellement, je préférerai en mode transparent.
J'avais aussi à l'époque intégré du Olfeo, c'est vraiment génial, mais
dans notre cas on ne vas pas l'acheter.
Notre prestataire nous a parlé d'une fonctionnalité disponible dans
Checkpoint que nous pourrions intégrer, à voir.
Il doit y avoir beaucoup d'autres solutions. De votre côté, quelles
solutions utilisez vous ?
Par avance, merci pour vos réponses.
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
1:37 p.m.
Date: Fri, 24 Jan 2020 14:15:56
From: Morgan LEFIEUX <morgan.lefieux(a)saint-lo-agglo.fr>
To: frsag(a)frsag.org
Subject: Re: [FRsAG] Filtrage WEB domaines/URL - Quelles solutions utilisez
vous ?
Bonjour,
nous utilisons toujours le couple SQUID/SQUIDGUARD avec authentification
SSO des users via Kerberos.
La base de filtrage est celle de l'Université de Toulouse
(https://dsi.ut-capitole.fr/blacklists/).
Le fait que la plupart des sites soient passés en HTTPS ne change rien
au bon fonctionnement à condition de ne pas utiliser le mode transparent
de SQUID.
Pour palier à ça, il suffit de configurer automatiquement le proxy sur
les navigateurs via WPAD (à pousser via DNS et DHCP).
L'ensemble fonctionne très bien depuis presque 15 ans pour 600
utilisateurs environ chez nous.
Bonjour,
De ce que j'ai compris. Il dit qu'avec le passage à HTTPS, on ne peut plus
autoriser ou bloquer des chemins (locations) pour un site donné.
Seul le domaine est visible et c'est normal.
Nous utilisons également Squid avec des clients en WPAD/proxypac. Mais je ne vois pas en
quoi cela permettrait de filtrer les chemins.
À moins bien sûr de tricher (c'est mal) en faisant de l'interception.
2:33 p.m.
J'aime bien la technique du WPAD, c'est ce que je faisais à l'époque.
Les listes de ut capitole sont bien aussi, et j'avais utilisé la liste
de http://www.shallalist.de/ pour compléter (mm si au final je me
demande si c'est pas un peu les mm domaines et url).
Je veux bien tester le filtrage DNS, mais j'aimerai bien maîtriser et
pas dépendre d'une solution, si au final c'est faire pointer un
domaine vers une autre IP. Il y a t'il des solutions libre ou je dois
faire ca dans un bind ou dnsmasq ? il faut avoir la possibilité de
pouvoir ajouter ses propres domaines. De plus comment loger les accès
DNS ?
Le ven. 24 janv. 2020 à 14:39, Vu Ngoc VU <vvu+frsag(a)mcra.fr> a écrit :
Date: Fri, 24 Jan 2020 14:15:56
From: Morgan LEFIEUX <morgan.lefieux(a)saint-lo-agglo.fr>
To: frsag(a)frsag.org
Subject: Re: [FRsAG] Filtrage WEB domaines/URL - Quelles solutions utilisez
vous ?
Bonjour,
nous utilisons toujours le couple SQUID/SQUIDGUARD avec authentification
SSO des users via Kerberos.
La base de filtrage est celle de l'Université de Toulouse
(https://dsi.ut-capitole.fr/blacklists/).
Le fait que la plupart des sites soient passés en HTTPS ne change rien
au bon fonctionnement à condition de ne pas utiliser le mode transparent
de SQUID.
Pour palier à ça, il suffit de configurer automatiquement le proxy sur
les navigateurs via WPAD (à pousser via DNS et DHCP).
L'ensemble fonctionne très bien depuis presque 15 ans pour 600
utilisateurs environ chez nous.
Bonjour,
De ce que j'ai compris. Il dit qu'avec le passage à HTTPS, on ne peut plus
autoriser ou bloquer des chemins (locations) pour un site donné.
Seul le domaine est visible et c'est normal.
Nous utilisons également Squid avec des clients en WPAD/proxypac. Mais je ne vois pas en
quoi cela permettrait de filtrer les chemins.
À moins bien sûr de tricher (c'est mal) en faisant de
l'interception._______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
2:56 p.m.
Je pense que la solution de Cisco, en version payante, en fait un peu plus que ça.
Le mieux est certainement d’essayer:
https://signup.umbrella.com/ <https://signup.umbrella.com/>
Dans ton premier message, tu parlais entre autres des cryptolock.
Avec un filtrage d’URL, tu vas pas nécessairement réussir à bloquer un nouveau cryptolock
qui contacte son C&C, puisque ils (les méchants) enregistrent des nouveaux domaines à
chaque nouvelle attaque.
Je ne dis pas que Umbrella s’en sort mieux dans ce cas là, je n’ai pas essayé.
A mon avis, il faut plutôt préparer une plateforme de test: le script JS ou autre que tu
t’envoies par mail, qui va tenter de récupérer un fichier sur un domaine complètement
nouveau que tu enregistres (ton C&C).
Si une solution arrive à bloquer l’appel au C&C sur un domaine et une IP clean: je
pense que t’as un winner. Sinon, le bloquage se fait parce que l’éditeur de la solution
recense les attaques/intrusions qui ont lieu un peu partout, et il met à jour sa politique
de filtrage en conséquence. On peut penser qu’une solution commerciale sera plus efficace
à ce niveau.
Au final, je pense que tu dois définir ce que tu veux bloquer (parce que le porno, c’est
facile à bloquer, et c’est le cadet de tes soucis, sauf si tu gères des écoles) et
comparer les solutions.
Après, si quelqu’un ici me dit qu’il bloque tous les C&C des Cryptolock avec de l’URL
filtering gratuite , je m’incline (et je suis curieux de savoir quelle solutions).
Attention, quand je dis « il bloque », je veux dire qu’il a les logs qui prouvent qu’il en
a bloqué, et pas qu’il pense qu’il bloque tout parce qu’il a jamais été cryptolocké…
Le 24 janv. 2020 à 15:33, open doc
<linuxopendoc(a)gmail.com> a écrit :
J'aime bien la technique du WPAD, c'est ce que je faisais à l'époque.
Les listes de ut capitole sont bien aussi, et j'avais utilisé la liste
de http://www.shallalist.de/ pour compléter (mm si au final je me
demande si c'est pas un peu les mm domaines et url).
Je veux bien tester le filtrage DNS, mais j'aimerai bien maîtriser et
pas dépendre d'une solution, si au final c'est faire pointer un
domaine vers une autre IP. Il y a t'il des solutions libre ou je dois
faire ca dans un bind ou dnsmasq ? il faut avoir la possibilité de
pouvoir ajouter ses propres domaines. De plus comment loger les accès
DNS ?
Le ven. 24 janv. 2020 à 14:39, Vu Ngoc VU <vvu+frsag(a)mcra.fr> a écrit :
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
Date: Fri, 24 Jan 2020 14:15:56
From: Morgan LEFIEUX <morgan.lefieux(a)saint-lo-agglo.fr>
To: frsag(a)frsag.org
Subject: Re: [FRsAG] Filtrage WEB domaines/URL - Quelles solutions utilisez
vous ?
Bonjour,
nous utilisons toujours le couple SQUID/SQUIDGUARD avec authentification
SSO des users via Kerberos.
La base de filtrage est celle de l'Université de Toulouse
(https://dsi.ut-capitole.fr/blacklists/).
Le fait que la plupart des sites soient passés en HTTPS ne change rien
au bon fonctionnement à condition de ne pas utiliser le mode transparent
de SQUID.
Pour palier à ça, il suffit de configurer automatiquement le proxy sur
les navigateurs via WPAD (à pousser via DNS et DHCP).
L'ensemble fonctionne très bien depuis presque 15 ans pour 600
utilisateurs environ chez nous.
Bonjour,
De ce que j'ai compris. Il dit qu'avec le passage à HTTPS, on ne peut plus
autoriser ou bloquer des chemins (locations) pour un site donné.
Seul le domaine est visible et c'est normal.
Nous utilisons également Squid avec des clients en WPAD/proxypac. Mais je ne vois pas en
quoi cela permettrait de filtrer les chemins.
À moins bien sûr de tricher (c'est mal) en faisant de
l'interception._______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/ 
3 p.m.
"Solution Libre" ==> https://pi-hole.net
Le 24/01/2020 à 15:33, open doc a écrit :
J'aime bien la technique du WPAD, c'est ce que
je faisais à l'époque.
Les listes de ut capitole sont bien aussi, et j'avais utilisé la liste
de http://www.shallalist.de/ pour compléter (mm si au final je me
demande si c'est pas un peu les mm domaines et url).
Je veux bien tester le filtrage DNS, mais j'aimerai bien maîtriser et
pas dépendre d'une solution, si au final c'est faire pointer un
domaine vers une autre IP. Il y a t'il des solutions libre ou je dois
faire ca dans un bind ou dnsmasq ? il faut avoir la possibilité de
pouvoir ajouter ses propres domaines. De plus comment loger les accès
DNS ?
Le ven. 24 janv. 2020 à 14:39, Vu Ngoc VU <vvu+frsag(a)mcra.fr> a écrit :
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
--
Félix Defrance
PGP: 0x46A603D10F04DC57
Date:
Fri, 24 Jan 2020 14:15:56
From: Morgan LEFIEUX <morgan.lefieux(a)saint-lo-agglo.fr>
To: frsag(a)frsag.org
Subject: Re: [FRsAG] Filtrage WEB domaines/URL - Quelles solutions utilisez
vous ?
Bonjour,
nous utilisons toujours le couple SQUID/SQUIDGUARD avec authentification
SSO des users via Kerberos.
La base de filtrage est celle de l'Université de Toulouse
(https://dsi.ut-capitole.fr/blacklists/).
Le fait que la plupart des sites soient passés en HTTPS ne change rien
au bon fonctionnement à condition de ne pas utiliser le mode transparent
de SQUID.
Pour palier à ça, il suffit de configurer automatiquement le proxy sur
les navigateurs via WPAD (à pousser via DNS et DHCP).
L'ensemble fonctionne très bien depuis presque 15 ans pour 600
utilisateurs environ chez nous.
Bonjour,
De ce que j'ai compris. Il dit qu'avec le passage à HTTPS, on ne peut plus
autoriser ou bloquer des chemins (locations) pour un site donné.
Seul le domaine est visible et c'est normal.
Nous utilisons également Squid avec des clients en WPAD/proxypac. Mais je ne vois pas en
quoi cela permettrait de filtrer les chemins.
À moins bien sûr de tricher (c'est mal) en faisant de
l'interception._______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/ 
3:24 p.m.
J'allais envoyer la même adresse, j'utilise cette solution chez moi et
j'aime beaucoup avec ses graphiques et statistiques en temps réel.
Le 24/01/2020 à 16:00, Felix Defrance a écrit :
"Solution Libre" ==>
https://pi-hole.net
3:46 p.m.
Le 24/01/2020 à 16:00, Felix Defrance a écrit :
"Solution Libre" ==>
https://pi-hole.net
Salut !
C’est ce que j’ai fait récemment pour une petite entreprise.
J’ai poussé tout ce que je pouvais pour expliquer qu’un problème
humain ne se règle pas par la technique.
Go management…
Comme “la direction” était un peu débordée, elle a choisi cette
solution parce qu’au final, c’est certainement le moins cher à
mettre en œuvre en attendant de gérer ça autrement.
Il faut dire aussi que le progiciel sur lequel repose toute
l’activité de la boîte est en mode SAAS et que de fait,
la météo, FB, whatsapp, YT et consorts ne nous aidaient pas
beaucoup à diagnostiquer les problèmes…
Bref, vu qu’il y a peu d’employés, un Rpi dans la baie + un
second en spare avec la SD clonée au cas où.
J’ai tout de même ajouté un petit ventilo : 15°C en moins (36°C).
921k domaines bloqués, 95% des requêtes bloquées + des :( sur les
visages.
Pour 4 à 6 personnes sur un Rpi 3B, load 0,12% - RAM 17%
Le niveau des employés permet d’être relativement serein quand
à leurs capacités à contourner.
Coût matos : - de 150 €TTC
À noter : on peut facilement demander à pi-hole de faire du DoT
sans pour autant perdre le filtrage. Impecc !
Cdt,
--
benoist
4:12 p.m.
On Fri, 24 Jan 2020 16:46:12 +0100
mlrx via FRsAG <frsag(a)frsag.org> wrote:
À noter : on peut facilement demander à pi-hole de
faire du DoT
sans pour autant perdre le filtrage. Impecc !
Pardon, du quoi ?
https://www.sigles.net/recherche/resultats?q=DoT&submit=
(pas vraiment trouvé sur le net même dans plusieurs moteurs de recherches : rien à voir
avec du graphisme, je suppose ?)
--
Orditux Informatique
https://carto.framasoft.org
https://linux-ariege.eu.org
https://linuxvillage.org
https://orditux.org/aol
https://orditux.org
4:36 p.m.
Le 24/01/2020 à 17:12, contact(a)orditux.org a écrit :
On Fri, 24 Jan 2020 16:46:12 +0100
mlrx via FRsAG <frsag(a)frsag.org> wrote:
DNS over TLS :)
Y'a un piège dans la question ? Effet Dredi ?
--
benoist
À noter : on peut facilement demander à pi-hole
de faire du DoT
sans pour autant perdre le filtrage. Impecc !
Pardon, du quoi ?
https://www.sigles.net/recherche/resultats?q=DoT&submit=
(pas vraiment trouvé sur le net même dans plusieurs moteurs de recherches : rien à voir
avec du graphisme, je suppose ?)
5:28 p.m.
On Fri, 24 Jan 2020 17:36:06 +0100
mlrx via FRsAG <frsag(a)frsag.org> wrote:
DNS over TLS :)
Y'a un piège dans la question ? Effet Dredi ?
Bonsoir,
Non pas de piège, merci pour la réponse, ainsi qu'à Julien SOULA. À part cela j'ai
ouïe
dire qu'il vaut mieux utiliser pi-hole dans un container (Docker par exemple), ou
depuis
Yunohost pour que le système hôte reste propre. Qu'en pensez-vous ?
Joyce MARKOLL
--
Orditux Informatique
https://carto.framasoft.org
https://linux-ariege.eu.org
https://linuxvillage.org
https://orditux.org/aol
https://orditux.org
5:57 p.m.
Je n'en sais rien mais pour ma part je l'ai installé sur une Debian (un
boitier mini PC) directement et ça marche juste bien. Ce boitier me sert
de gateway Internet avec un routage Wifi/LAN et OpenVPN client/serveur.
Le 24/01/2020 à 18:28, contact(a)orditux.org a écrit :
À part cela j'ai ouïe
dire qu'il vaut mieux utiliser pi-hole dans un container (Docker par exemple), ou
depuis
Yunohost pour que le système hôte reste propre. Qu'en pensez-vous ?
27 Jan
27 Jan
9:05 a.m.
Le 24/01/2020 à 18:28, contact(a)orditux.org a écrit :
On Fri, 24 Jan 2020 17:36:06 +0100
mlrx via FRsAG <frsag(a)frsag.org> wrote:
Bonjour,
J'en pense que, comme toujours, cela dépend du contexte et des
besoins. Je ne vois pas bien comment Pi-Hole pourrait "salir" le
système hôte (pas plus qu'un autre en tout cas).
Cdt,
--
benoist
DNS over TLS :)
Y'a un piège dans la question ? Effet Dredi ?
Bonsoir,
Non pas de piège, merci pour la réponse, ainsi qu'à Julien SOULA. À part cela
j'ai ouïe
dire qu'il vaut mieux utiliser pi-hole dans un container (Docker par exemple), ou
depuis
Yunohost pour que le système hôte reste propre. Qu'en pensez-vous ?
Joyce MARKOLL
12:05 p.m.
On Mon, 27 Jan 2020 10:05:35 +0100
mlrx via FRsAG <frsag(a)frsag.org> wrote:
Le 24/01/2020 à 18:28, contact(a)orditux.org a écrit :
> À part cela j'ai ouïe dire qu'il vaut mieux utiliser pi-hole dans un
container
> (Docker par exemple), ou depuis Yunohost pour que le système hôte reste propre.
Qu'en
> pensez-vous ?
Bonjour,
J'en pense que, comme toujours, cela dépend du contexte et des
besoins. Je ne vois pas bien comment Pi-Hole pourrait "salir" le
système hôte (pas plus qu'un autre en tout cas).
Bonjour,
Parce que le paquet est (était ?) construit de manière sale, il ne respecte (ait) pas les
usages en matière d'emplacement des fichiers installés. Cela dit, j'ai testé il y
a déjà
plus de deux ans, il me semble que les fichiers ne respectaient rien, même pas les droits
et permissions fichiers/répertoires. Pour cette raison il m'avait été répondu "ce
n'est
pas un problème pour moi je l'utilise dans Docker".
Vous pouvez comparer en désarchivant un paquet de votre distribution GNU/Linux à
l'aide
d'un gestionnaire d'archives classiques (file-roller par exemple, avec tous les
paquets/programmes de gestion d'archives installés dans le système) et regarder
comment
est construite l'arborescence de son archive interne "data.xz". (Que
trouvez-vous dans
etc ? Que trouvez-vous dans usr ? Dans usr/share/doc ? etc.)
Cordialement,
Joyce MARKOLL
--
Orditux Informatique
https://orditux.org
https://orditux.org/aol
6 Mar
6 Mar
2:53 p.m.
Hello,
nous sommes resté sur du standard, un cluster Squid + acls avec du filtrage
SquidGuard et liste de Toulouse avec blocage des bot C&C. Authentification
via le radius. Le cluster Squid load balancé avec HAProxy. SARG pour faire
les rapports. Ba oui effectivement ca fait le taf, et plutôt bien. Un petit
proxy.pac pour gérer les exclusions. Ca marchait il y a 8 ans et ca marche
toujours. Il y a des applis sous Mac qui ne comprennent pas
l'authentification, mais surtout Safari qui fait n'importe quoi en SSL. Mis
à part cela c'est plutôt satisfaisant.
Alex.
Le lun. 27 janv. 2020 à 13:07, <contact(a)orditux.org> a écrit :
On Mon, 27 Jan 2020 10:05:35 +0100
mlrx via FRsAG <frsag(a)frsag.org> wrote:
Le 24/01/2020 à 18:28, contact(a)orditux.org a
écrit :
> À part cela j'ai ouïe dire qu'il vaut mieux utiliser pi-hole dans un
container
> (Docker par exemple), ou depuis Yunohost
pour que le système hôte
reste propre. Qu'en
> pensez-vous ?
Bonjour,
J'en pense que, comme toujours, cela dépend du contexte et des
besoins. Je ne vois pas bien comment Pi-Hole pourrait "salir" le
système hôte (pas plus qu'un autre en tout cas).
Bonjour,
Parce que le paquet est (était ?) construit de manière sale, il ne
respecte (ait) pas les
usages en matière d'emplacement des fichiers installés. Cela dit, j'ai
testé il y a déjà
plus de deux ans, il me semble que les fichiers ne respectaient rien, même
pas les droits
et permissions fichiers/répertoires. Pour cette raison il m'avait été
répondu "ce n'est
pas un problème pour moi je l'utilise dans Docker".
Vous pouvez comparer en désarchivant un paquet de votre distribution
GNU/Linux à l'aide
d'un gestionnaire d'archives classiques (file-roller par exemple, avec
tous les
paquets/programmes de gestion d'archives installés dans le système) et
regarder comment
est construite l'arborescence de son archive interne "data.xz". (Que
trouvez-vous dans
etc ? Que trouvez-vous dans usr ? Dans usr/share/doc ? etc.)
Cordialement,
Joyce MARKOLL
--
Orditux Informatique
https://orditux.org
https://orditux.org/aol
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/ 
24 Jan
24 Jan
2:17 p.m.
Bonjour,
+1
Ici (>10k postes sur une centaine de sites dans le monde) nous utilisons
une solution Zscaler avec une configuration proxy déployée en WPAD/DHCP.
Le MITM ne fontionne pas dans 100% des cas (HSTS, ciphers non supportés
par zscaler, applicatifs capricieux ...) mais cela reste gérable via une
liste d'exceptions.
On 24/01/2020 14:15, Morgan LEFIEUX wrote:
Bonjour,
nous utilisons toujours le couple SQUID/SQUIDGUARD avec
authentification SSO des users via Kerberos.
La base de filtrage est celle de l'Université de Toulouse
(https://dsi.ut-capitole.fr/blacklists/).
Le fait que la plupart des sites soient passés en HTTPS ne change rien
au bon fonctionnement à condition de ne pas utiliser le mode
transparent de SQUID.
Pour palier à ça, il suffit de configurer automatiquement le proxy sur
les navigateurs via WPAD (à pousser via DNS et DHCP).
L'ensemble fonctionne très bien depuis presque 15 ans pour 600
utilisateurs environ chez nous.
Le 24/01/2020 à 12:26, open doc a écrit :
--
Stephane Sales
Bonjour à tous,
Jusqu'ici nous étions plutôt "cool" sur l'utilisation des machines et
de l'utilisation d'internet dans l'entreprise. Je fais plutôt
confiance aux gens, et j'essaie de les responsabiliser, mais cela a
des limites. Nous avons eu des cas de gens qui faisaient vraiment
n'importe quoi et avec les risques de cryptolocker je souhaite nous
protéger d'éventuels problèmes. Je souhaite me focaliser sur le
filtrage WEB des domaines/URL er non des aspects de sécurité plus
globale qui sont déjà en place (stratégies de groupes, backup, accès
réseau dédié, backup externalisé, PCA ...)
Quand j'étais jeune, il y a bien longtemps, j'avais déjà intégré chez
un client une solution squid/squidguard avec des bases de liste, des
acls ... ca marchait bien et ca répondait à sa demande. Je pensai
repartir sur cette solution même si ca fait un peu "old school".
Sachant que la partie base des URL ne fonctionne plus, car avec le
TLS, on ne voit plus rien mis à part les domaines. Il y a aussi la
problématique de l'intégration dans l'infra, transparent, pas
transparent. Personnellement, je préférerai en mode transparent.
J'avais aussi à l'époque intégré du Olfeo, c'est vraiment génial, mais
dans notre cas on ne vas pas l'acheter.
Notre prestataire nous a parlé d'une fonctionnalité disponible dans
Checkpoint que nous pourrions intégrer, à voir.
Il doit y avoir beaucoup d'autres solutions. De votre côté, quelles
solutions utilisez vous ?
Par avance, merci pour vos réponses.
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
809
days inactive
851
days old
25 comments
14 participants
participants (14)
-
Bruno Pagani -
contact@orditux.org -
David Ponzone -
Felix Defrance -
Frank ALEXIS -
Guillaume Tournat -
Jonathan Leroy - Inikup -
Ludovic Scotti -
mlrx -
Morgan LEFIEUX -
open doc -
Stephane Sales -
Vu Ngoc VU -
Élodie BOSSIER