IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Debian Discussion :

Bloquer certains sites en https avec Squid/SquidGuard


Sujet :

Debian

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre averti
    Homme Profil pro
    Technicien Système
    Inscrit en
    Novembre 2012
    Messages
    11
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Technicien Système
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2012
    Messages : 11
    Par défaut Bloquer certains sites en https avec Squid/SquidGuard
    Bonjour à tous ,

    Dans le cadre d'un projet que je dois effectuer avec 3 autres personnes, j'ai une question à vous poser concernant le blocage du protocole HTTPS avec Squid/SquidGuard.

    En effet, nous avons créé une machine Linux sous la distribution Debian version 7.0.5 (Squeeze) au sein d'un lycée.

    Nous avons réussi à répondre au cahier des charges du client sauf un point qui nous pose problème : bloquer le protocole HTTPS de certains sites comme Facebook, Youtube, Youp***, etc grâce au proxy Squid+SquidGuard.

    Nous avons longuement cherché comment faire mais sans aucun résultat.

    Un de mes collègues qui s'est occupé de cette partie a essayé d'utiliser SSLBump mais a finit par voir que c'était illégal de l'utiliser, est-ce que vous me confirmez cela ?

    Sinon il a proposé ces solutions :

    Faire une règle iptables qui interdit le protocole https en intégralité --> le souci est que l'on veut interdire le protocole https pour certains sites et non tous les sites

    Faire plusieurs règles iptables qui interdisent les sites par leurs noms de domaine --> mon collègue pense que le couplage nom de domaine et iptables ne fonctionnera pas

    Créer un serveur DNS menteur (exemple : donner l'adresse 127.0.0.1 à facebook.com).

    Est-ce qu'une de ces solutions vous paraissent bonnes à réaliser ?

    Ou bien avez-vous d'autres idées pour le faire en bonne et due forme ?

    En vous remerciant par avance.

    greenkev

  2. #2
    Expert confirmé Avatar de Flodelarab
    Homme Profil pro
    Inscrit en
    Septembre 2005
    Messages
    5 293
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Charente (Poitou Charente)

    Informations forums :
    Inscription : Septembre 2005
    Messages : 5 293
    Par défaut
    Bonjour,

    Sur le site SquidGuard.org, on peut lire SquidGuard is a URL redirector used to use blacklists; Et vous dites que vous n'arrivez pas à faire une liste noire? Faudrait ptêt essayer de comprendre la base de la base de votre outil ...
    Au boulot!

    Vouloir affecter l'adresse miroir 127.0.0.1 pour autre chose qu'un miroir me parait être une très mauvaise idée.

    Le lycée veut certainement un blocage. Que ce soit http, https, FTP ou j'en passe. N'est-ce pas?

  3. #3
    Membre averti
    Homme Profil pro
    Technicien Système
    Inscrit en
    Novembre 2012
    Messages
    11
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Technicien Système
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2012
    Messages : 11
    Par défaut
    Pour répondre à votre question, le lycée veut un blocage des sites en liste noire en http,https. Notre client nous a pas parlé de FTP mais maintenant que vous l'avez dit pourquoi pas.

    On a réussi à faire les listes noires ce n'est pas le souci.

    Notre souci actuel est de bloquer le protocole https de ces listes noires en gros il faut que l'on mette des règles.

    Et justement, même en cherchant sur le net, nous n'avons pas trouvé les règles à appliquer pour ces listes noires.

  4. #4
    Invité
    Invité(e)
    Par défaut
    Hello,

    Un de mes collègues qui s'est occupé de cette partie a essayé d'utiliser SSLBump mais a finit par voir que c'était illégal de l'utiliser, est-ce que vous me confirmez cela ?
    http://wiki.squid-cache.org/Features/SslBump

    WARNING: HTTPS was designed to give users an expectation of privacy and security. Decrypting HTTPS tunnels without user consent or knowledge may violate ethical norms and may be illegal in your jurisdiction.

  5. #5
    Expert confirmé Avatar de Flodelarab
    Homme Profil pro
    Inscrit en
    Septembre 2005
    Messages
    5 293
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Charente (Poitou Charente)

    Informations forums :
    Inscription : Septembre 2005
    Messages : 5 293
    Par défaut
    Non mais faut pas tout confondre. Ils ne veulent pas décrypter les communications ssl. Ils veulent juste bloquer les requête https sur le port 443. Ce que fait n'importe quel outil de filtrage type firewall.

    Mais je ne comprends toujours pas comment vous pouvez bloquer un site (http://site.com) et pas son équivalent ssl (https://site.com)
    Dans les deux cas, l'URL est suffisante.

    Qu'avez-vous écrit?
    Quel a été le résultat?
    Quels messages d'erreurs?

  6. #6
    Expert confirmé
    Avatar de becket
    Profil pro
    Informaticien multitâches
    Inscrit en
    Février 2005
    Messages
    2 854
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Informaticien multitâches
    Secteur : Service public

    Informations forums :
    Inscription : Février 2005
    Messages : 2 854
    Par défaut
    Le niveau ip : transmis en clair ( évidemment je voudrais dire ) est lisible par n'importe quel routeur / proxy ...
    Au niveau protocole : le nom de domaine du site est encapsulé dans le data et n'est pas lisible, ni par un routeur, ni par un proxy ... à priori ( sauf utilisation de Sslbump et compagnie )

Discussions similaires

  1. Un proxy HTTP avec Squid et SquidGuard
    Par ram-0000 dans le forum Réseaux
    Réponses: 4
    Dernier message: 10/12/2014, 15h04
  2. Réponses: 10
    Dernier message: 06/06/2011, 12h45
  3. contrôle parental avec squid + squidguard
    Par Lorita dans le forum Ubuntu
    Réponses: 0
    Dernier message: 28/05/2010, 21h37
  4. [WS 2003] Bloquer les sites en "https"..
    Par kubuntu_user dans le forum Windows Serveur
    Réponses: 2
    Dernier message: 29/07/2009, 09h06

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo