Le 2016-03-08 09:44, Jocelyn Lagarenne a écrit :
> Bonjour à tous, > > je me retrouve face à un dilemme. On me demande de proposer une solution > pour détecter/bloquer les VPN SSL non autorisés mais autant que je sache le > traffic au travers d'un proxy est identique à un traffic https. il est donc > impossible de le detecter non ? ou est ce que je fais fausse route ? > Il est techniquement envisageable de casser le https sur les proxys mais ce > n'est pas une recommandation que j'aime. > la seul solution que je vois est de détecter les connexions SSL "longue" et > de vérifier ce qu'elles sont (eliminer les faux positives comme par exemple > gtalk), mais je ne suis meme pas sure que des logs proxy puissent me donner > cette information. > > Auriez vous des idées/suggestions ? avez vous déjà eu ce genre de cas dans > vos entreprises ? > > d'avance merci de vos retours > > Cordialement, Les VPN ont un port par défaut qui diffère du port HTTPS, mais effectivement ils utilisent souvent le TCP/443 pour traverser les proxys ou pour éviter les QOS non-neutres.Effectivement, il est inconcevable de casser du HTTPS ou de faire du man in the middle, pour autant il y a des solutions. La première c'est la gestion de parc en interdisant les logiciels de VPN, mais cela implique d'avoir la main sur tout le parc et sur tous les équipements qui se connectent. La seconde c'est de travailles avec un système de blacklist. Elle consiste à relever les IP jointes en SSL sur le port 443 et à faire 2 vérifications simples. D'abord un simple reverse de l'IP donne généralement de bonnes infos sur l'usage de cette IP. Ensuite avec un telnet sur le port 443 de l'IP en question, on peut voir si c'est un serveur HTTP au bout ou autre chose. La difficulté reste de faire ça à grande échelle ou d'automatiser ça mais ça me semble la bonne solution. Solarus --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
