RE: [FRnOG] [MISC] Le trolldi du vendredi par Michel
> Solarus a écrit : > Si tu arrives à détectes une attaque en analysant le contenu d’une session > SSL tu m’appelles, parce > que j’ai souvent entendu l’argument mais je ne l’ai jamais vu à l’œuvre. En étant intellectuellement honnete, moi non plus. Ce machin d'inspection de SSL, c'est plus du CYA que technique. Faut faire avec ce qu'on a. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le trolldi du vendredi par Michel
Le 05/06/2016 à 10:18, Guillaume Tournat a écrit : > Le déchiffrement SSL permet d'analyser ce qui passe en chiffré. > > Le but n'est pas forcément de bloquer les sites "loisirs" qui nuiraient à la > productivité (ca peut) > > Mais surtout de bloquer les malwares, les protocoles "suspects" (peer to > peer, tor), les botnets. > > Voire de faire du shaping sur ce qui tue la bande passante (streaming), pour > permettre aux applications métiers d'être "responsive". > Si tu arrives à détectes une attaque en analysant le contenu d’une session SSL tu m’appelles, parce que j’ai souvent entendu l’argument mais je ne l’ai jamais vu à l’œuvre. A fortiori du contenu vers un site authentique comme Google (des légendes racontent que HTTPS sert aussi à authentifier les sites, mais les vendeurs de MiTM m’ont assuré que c’était du folklore). De manière générale je n’ai jamais vu une attaque qui ait été déjouée par du MiTM et qui n’aurait pas pu l’être par une blacklist, un Firewall ou un IDS. Le seul argument valable pour le MiTM c’est que ça permet d’espionner les employés pour éviter les fuites de données (whistleblower). Et encore, je pense que le gars qui voudra faire fuiter des données ne passera pas par le proxy de la boite. Bref, sacrifier l’authentification des sites, et mettre ainsi mes utilisateurs et ma boite sont un prix trop lourd à payer pour l’échanger contre du MiTM. Surveillez les sessions sur un bon vieux proxy CONNECT et vous serez tranquille. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le trolldi du vendredi par Michel
On Sun, Jun 5, 2016, at 10:18, Guillaume Tournat wrote: > Le déchiffrement SSL permet d'analyser ce qui passe en chiffré. ... qui est peut-etre chiffre pour un raison legitime ... > Le but n'est pas forcément de bloquer les sites "loisirs" qui nuiraient à > la productivité (ca peut) Mon experience me dit qu'au contraire c'est plutot ca + loguer le moindre chose (pour faire plaisir a certains managers abrutis). > Mais surtout de bloquer les malwares, les protocoles "suspects" (peer to > peer, tor), les botnets. Ce qui implique aussi un moteur AV a jour, qui devient plus ou moins identique avec un simple filtrage URL+CN. > Voire de faire du shaping sur ce qui tue la bande passante (streaming), > pour permettre aux applications métiers d'être "responsive". Tu n'as pas besoin de regarder dans le contenu pour ca. En plus, ca me fait toujours rire comment certains peuvent depenser des sommes folles pour des boites noires qui sont supposes augmenter les performances d'un lien moisi ou sous-dimensionne. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le trolldi du vendredi par Michel
Il faudrait filtrer cette en-tête http sinon ça peut poser souci en effet. > Le 5 juin 2016 à 10:10, Ambroise a écrit : > > Par contre, quelq'u' sait comment se comporte ces proxy filtrant avec le HPKP > ? > Parce que ça peut fputre le bazard avec Google s'ils ne le gèrent pas... > > Ambroise > > Le 5 juin 2016 03:57:13 GMT+02:00, Michel Py > a écrit : >> >> Merci pour les retours, en particulier pour la partie Firefox dont je ne >> connaissais pas l'ampleur du problème. >> >>> Guillaume Tournat a écrit : >>> il y a en général des catégories que l'on ne déchiffre pas, comme les >>> services de banque en ligne par >>> contre, la précaution (selon l'organisation concernée) est de bien le >>> mentionner dans la charte >>> utilisateurs pour éviter les levées de bouclier contre l'intrusion >>> supposée dans la vie privée. >> >> Aux USA, généralement aucun problème avec çà, quand les utilisateurs sont >> des employés ou des sous-traitants. L'Américain moyen est plus discipliné et >> moins râleur que le Français moyen, AMHA. Quand on lui dit qu'il faut pas >> passer ses heures de bureau sur fessebouc et qu'on MITM les sessions HTTPS >> sur le firewall pour essayer de bloquer les >> merdiciels, çà fait partie du boulot. >> >> Je vois de plus en plus de cas ou l'environnement est "open space" (fini le >> "cubicle") donc pas de vie privée sur l'écran visible de tout le monde. >> >> Michel. >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > -- > Envoyé de mon appareil Android avec K-9 Mail. Veuillez excuser ma brièveté. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le trolldi du vendredi par Michel
Le déchiffrement SSL permet d'analyser ce qui passe en chiffré. Le but n'est pas forcément de bloquer les sites "loisirs" qui nuiraient à la productivité (ca peut) Mais surtout de bloquer les malwares, les protocoles "suspects" (peer to peer, tor), les botnets. Voire de faire du shaping sur ce qui tue la bande passante (streaming), pour permettre aux applications métiers d'être "responsive". > Le 5 juin 2016 à 09:46, Radu-Adrian Feurdean > a écrit : > >> On Sun, Jun 5, 2016, at 03:57, Michel Py wrote: >> pas passer ses heures de bureau sur fessebouc et qu'on MITM les sessions > > On parlait la pas de fessebouq, mais de banque (histoire de verifier que > le dedommagement pour l'esclavage contractualise, a.k.a salaire a bien > ete verse). > >> HTTPS sur le firewall pour essayer de bloquer les merdiciels, çà fait partie >> du boulot. > > C'est pas en mettant un faux-faux certif (accepte par le navigateur) a > la place d'un vrai-faux (message d'alerte) qu'on bloque les merdiciels, > mais bon. > > Apres, je suppose que ce n'est pas la peine de re-ouvrir la discussion > sur comment etre super-restrictif devient contre-productif, et les > utilisateurs mettent en oeuvre tous les moyens possibles pour contourner > les restrictions. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le trolldi du vendredi par Michel
On Sun, Jun 5, 2016, at 03:57, Michel Py wrote: > pas passer ses heures de bureau sur fessebouc et qu'on MITM les sessions On parlait la pas de fessebouq, mais de banque (histoire de verifier que le dedommagement pour l'esclavage contractualise, a.k.a salaire a bien ete verse). > HTTPS sur le firewall pour essayer de bloquer les merdiciels, çà fait partie > du boulot. C'est pas en mettant un faux-faux certif (accepte par le navigateur) a la place d'un vrai-faux (message d'alerte) qu'on bloque les merdiciels, mais bon. Apres, je suppose que ce n'est pas la peine de re-ouvrir la discussion sur comment etre super-restrictif devient contre-productif, et les utilisateurs mettent en oeuvre tous les moyens possibles pour contourner les restrictions. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Le trolldi du vendredi par Michel
Merci pour les retours, en particulier pour la partie Firefox dont je ne connaissais pas l'ampleur du problème. > Guillaume Tournat a écrit : > il y a en général des catégories que l'on ne déchiffre pas, comme les > services de banque en ligne par > contre, la précaution (selon l'organisation concernée) est de bien le > mentionner dans la charte > utilisateurs pour éviter les levées de bouclier contre l'intrusion supposée > dans la vie privée. Aux USA, généralement aucun problème avec çà, quand les utilisateurs sont des employés ou des sous-traitants. L'Américain moyen est plus discipliné et moins râleur que le Français moyen, AMHA. Quand on lui dit qu'il faut pas passer ses heures de bureau sur fessebouc et qu'on MITM les sessions HTTPS sur le firewall pour essayer de bloquer les merdiciels, çà fait partie du boulot. Je vois de plus en plus de cas ou l'environnement est "open space" (fini le "cubicle") donc pas de vie privée sur l'écran visible de tout le monde. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le trolldi du vendredi par Michel
Le 04/06/2016 à 19:49, Michel Py a écrit : - proxy transparent sur le firewall Fortinet (FortiGate) On s'oriente vers cà, des conseils, conneries à ne pas faire, etc ? il y a en général des catégories que l'on ne déchiffre pas, comme les services de banque en ligne par contre, la précaution (selon l'organisation concernée) est de bien le mentionner dans la charte utilisateurs pour éviter les levées de bouclier contre l'intrusion supposée dans la vie privée. a+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le trolldi du vendredi par Michel
Firefox est pas cool concernant la gestion des certificats de masse, même en utilisant FrontMotion c'est la galère. De notre côté, l'installation d'un CA sous Firefox s'est faite en utilisant des bouts de ce powershell : https://tylerapplebaum.github.io/firefoxpki.html Nous avons opté pour une solution de pure éradication des certificats "installés" par l'utilisateur via GPO puisque nous avons, nous-même, créer un cert8.db qui va écraser ce que l'utilisateur a déjà défini. Il est aussi possible de le placer dans \Program Files\Mozilla\bla bla, pour qu'il soit utilisé automatiquement à la création d'un nouveau profil (pour les postes multi-user par exemple). Sinon, de notre côté on utilise un UTM de Sophos, ça fonctionne plutôt bien, on a juste quelques soucis avec l'authentification transparent via l'AD qui nécessite que l'utilisateur passe par un site en HTTP avant de pouvoir consulter des sites en HTTPS avec les droits qui lui sont nécessaires. Bon courage, Yoan Le sam. 4 juin 2016 à 21:28, Guillaume Tournat a écrit : > Le 04/06/2016 à 03:11, Michel Py a écrit : > > Pas grand chose à se mettre sous la dent cette semaine, juste 2 petits > trolls pas velus. > > > > - A $TAF, un de mes projets est de remplacer le proxy par "mieux" > (entendre : qui nous fait pas chier autant). > > MITM pour le trafic SSL obligatoire, ce qui veut dire installer un > certificat sur le client; s'il y a des lecteurs qui ont de la comprenette > pour installer les certificats sur le client sans trop s'emmerder, je > prends les idées. > > > > > > Le certificat sur le machin MITM est un certificat d'autorité, qui sert > à générer à la volée un certificat par URL consultée. > Pour déployer le dit certificat d'autorité, le plus simple est (en > environnement domaine windows) par une GPO. > > Sinon, s'il existe déjà une PKI interne, où les clients connaissent déjà > la CA interne, le plus simple serait de générer > une sous-autorité pour le MITM, signée par la CA interne. Comme ça, les > clients ont déjà confiance. > > Après, pour les browsers, IE et Chrome utilisent le magasin de > certificats Windows, donc la GPO est utile. > Firefox par contre utilise son propre magasin de certificat, et là je ne > connais pas de méthode pour lui ajouter > un certificat à grande échelle. Si quelqu'un a cela ? > > Enfin, parmi les MITM, plusieurs options qui fonctionnent bien parmi > celles que je connais : > - proxy explicite comme TrendMicro IWSVA > - proxy transparent sur le firewall Fortinet (FortiGate) > > > a+ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- -- Yoan AGOSTINI --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le trolldi du vendredi par Michel
Le 04/06/2016 à 03:11, Michel Py a écrit : Pas grand chose à se mettre sous la dent cette semaine, juste 2 petits trolls pas velus. - A $TAF, un de mes projets est de remplacer le proxy par "mieux" (entendre : qui nous fait pas chier autant). MITM pour le trafic SSL obligatoire, ce qui veut dire installer un certificat sur le client; s'il y a des lecteurs qui ont de la comprenette pour installer les certificats sur le client sans trop s'emmerder, je prends les idées. Le certificat sur le machin MITM est un certificat d'autorité, qui sert à générer à la volée un certificat par URL consultée. Pour déployer le dit certificat d'autorité, le plus simple est (en environnement domaine windows) par une GPO. Sinon, s'il existe déjà une PKI interne, où les clients connaissent déjà la CA interne, le plus simple serait de générer une sous-autorité pour le MITM, signée par la CA interne. Comme ça, les clients ont déjà confiance. Après, pour les browsers, IE et Chrome utilisent le magasin de certificats Windows, donc la GPO est utile. Firefox par contre utilise son propre magasin de certificat, et là je ne connais pas de méthode pour lui ajouter un certificat à grande échelle. Si quelqu'un a cela ? Enfin, parmi les MITM, plusieurs options qui fonctionnent bien parmi celles que je connais : - proxy explicite comme TrendMicro IWSVA - proxy transparent sur le firewall Fortinet (FortiGate) a+ --- Liste de diffusion du FRnOG http://www.frnog.org/