Bonjour, On peut quand même voir le FQDN contacté dans la requête CONNECT envoyée au proxy, tu peux te baser la dessus.
Une solution courante consiste à utiliser du filtrage d'URL par catégories: * tu bloques bien sur la catégorie contenant les VPNs ou proxys distants, pour les services de VPN connus. * ensuite il faut bloquer tout ce qui n'est pas catégorisé, ce qui permet de ne pas autoriser le vpn ssl "maison" qu'un de tes utilisateurs aurait monté sur son serveur dédié ou à la maison. Par contre, du coup, ça oblige à gérer les autorisations de sites non catégorisés. C'est consommateur en temps et cela peut être gênant pour les utilisateurs. L'analyse des logs est plus compliquée à faire et il va être difficile de dissocier un gros téléchargement qui a pris du temps et un tunnel à partir de la durée de connexion ou du nombre d'octets transférés. Le 8 mars 2016 à 10:44, Jocelyn Lagarenne <jocelyn.lagare...@gmail.com> a écrit : > Bonjour à tous, > > je me retrouve face à un dilemme. On me demande de proposer une solution > pour détecter/bloquer les VPN SSL non autorisés mais autant que je sache le > traffic au travers d'un proxy est identique à un traffic https. il est donc > impossible de le detecter non ? ou est ce que je fais fausse route ? > Il est techniquement envisageable de casser le https sur les proxys mais ce > n'est pas une recommandation que j'aime. > la seul solution que je vois est de détecter les connexions SSL "longue" et > de vérifier ce qu'elles sont (eliminer les faux positives comme par exemple > gtalk), mais je ne suis meme pas sure que des logs proxy puissent me donner > cette information. > > Auriez vous des idées/suggestions ? avez vous déjà eu ce genre de cas dans > vos entreprises ? > > d'avance merci de vos retours > > Cordialement, > -- > Jocelyn Lagarenne > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
