Projet

Général

Profil

Evolution #2850

Supression de la redirection 443 dans les modèles eole

Ajouté par Guillaume PITARD il y a environ 12 ans. Mis à jour il y a plus de 11 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Gwenael Remond
Catégorie:
-
Début:
08/02/2012
Echéance:
% réalisé:

100%

Temps passé:
Distribution:
EOLE 2.3

Description

Bonjour,

Nous rencontrons de plus en plus d'applications ne sachant pas récupérer les paramètres de proxy system (machine à affranchir chronoposte, vpn ssl de l'agriculture et de notre rectorat, clients wyse d'une collectivité...) Les appli tentent alors est accès direct qui est intercepté par la règles de redirection. Le mécanisme ssl entre alors en jeu et bloque la connexion pensant avoir à faire à un Man In the Middle.

Il faut donc systématiquement ajouter des règles pour contredire se comportement.

La redirection du port https vers le proxy de l'amon n'étant pas une solution de sécurité mais bien une erreur d'implémentation, pourriez-vous supprimer du groupe gr_redirection le port 443 (https), pour que les accès passent sans proxy.

Je vous joints un modèle 3zones ( à porter sur les 4 et 5 zones).

Dans ce modèle je n'ai pas prévus de règles pour interdire systématiquement les accès https, ni une autre autorisant ces mêmes accès vers une "white liste" de sites https, à faire éventuellement. Je suis tombé sur les limites habituelles d'ERA. Pour pouvoir créer cette "white liste" il faudrait pouvoir créer des règles d'autorisations dans une zone qui a une politique par défaut "Autorisation".

CF: Mail de Luc du 16/01/2012 sur la liste amon-sphynx.

Bonjour,

Il me semble que c'est une bonne idée de faire une demande.

Concernant le 'bug" proxy transparent ... je rappelle que ce n'est pas un bug, mais une fonction obligatoire en terme de sécurité.
Proxy https transparent = attaque de "type Man in the middle"

Cordialement,
luc Bourdot
Eole

Le 16/01/2012 11:43, Yann Bouchard a écrit :

Bonjour, je me réponds et je cite la réponse du pôle foad de Toulouse :

"

La connexion à la plate-forme Mediaplus lance l’ActiveX RDP pour une
connexion bureau à distance via IE mais le RDP ne sait pas prendre en compte
les paramètres du proxy et essaie d’établir une connexion TCP directe sur le
port 443 vers les IP suivantes : 90.83.78.142, 90.83.78.143, 90.83.78.144,
90.83.78.145 et 90.83.78.161

Pour résoudre ces problèmes il existe plusieurs solutions.
1- Configurer le proxy en mode transparent
Pour les réseaux Agriates utilisant le proxy Amon, Amon comporte un bug
empêchant le https en proxy transparent.
Il faut donc ajouter dans la configuration d’Iptables une règle pour
by-passer le proxy :
Modification des fichiers modéles (xml) utilisés par nos Amon, via le
logiciel ERA . Les règles suivantes ont été ajoutées par "inclusion
statique":
/sbin/iptables -t nat -I PREROUTING -d 90.83.78.142 -p tcp --dport 443 -j
ACCEPT
/sbin/iptables -t nat -I PREROUTING -d 90.83.78.143 -p tcp --dport 443 -j
ACCEPT
/sbin/iptables -t nat -I PREROUTING -d 90.83.78.144 -p tcp --dport 443 -j
ACCEPT
/sbin/iptables -t nat -I PREROUTING -d 90.83.78.145 -p tcp --dport 443 -j
ACCEPT
/sbin/iptables -t nat -I PREROUTING -d 90.83.78.161 -p tcp --dport 443 -j
ACCEPT

2- Ajouter une règle dans le pare-feu pour autoriser les postes à
sortir sur 90.83.78.142:443, 90.83.78.143:443, 90.83.78.144:443,
90.83.78.145:443 et 90.83.78.161:443 (solution mise en place par Poitiers
et Montpellier)

"

Je pose donc la question à l'équipe Eole :
- Chaque académie doit être faire la modification de l'intégralité de
ses amons ou une modification générale est-elle envisageable (je veux
même bien en faire la demande :-))?
et en bonus :
- Une anticipation de ce type de problème ne serait-elle pas possible
(les pôles pourraient d'épauler ou s'épôler) afin qu'on ne passe pas
pour des empêcheurs de travailler auprès de nos charmants utilisateurs?
Merci.

Le 12/01/2012 10:47, Yann Bouchard a écrit :

Bonjour,
nous rencontrons des soucis avec l'utilisation de mediaplus depuis les établissement scolaires qui passent OBLIGATOIREMENT par le proxy de l'amon pour leurs accès internet (notamment le port 443).
Cela semble bloquant pour l'installation de mediaplus (on n'arrive jamais à la fin du processus).
J'ai l'impression qu'une fois le logiciel installé, on peut lui configurer un proxy mais que pour l'installation, un accès direct au net pour le port 443 est indispensable (or, ce n'est pas possible avec un amon non modfié pour cela).
Avez vous trouvé une solution simple et subtile ou la manière forte est ele la seule envisageable?
Merci.

--
Luc Bourdot
Eole Dijon

3zones-ssredirhttps.xml Voir (21,4 ko) Guillaume PITARD, 08/02/2012 10:48


Demandes liées

Lié à Amon - Evolution #2734: accès l'espace Mediaplus de la FOAD Classée sans suite 18/01/2012

Révisions associées

Révision 430eef53 (diff)
Ajouté par Joël Cuissinat il y a plus de 11 ans

  • rule_generator.py : fix conflict between EAD and Era rules

Ref #2850 @20m

Historique

#1 Mis à jour par yann bouchard il y a environ 12 ans

Bonjour,
juste une remarque : autoriser les accès directs sur le port 443 signifierait ne plus filtrer les accès https...
cela me semble très très (trop trop?) limite.
Cordialement.

#2 Mis à jour par Guillaume PITARD il y a environ 12 ans

Bonjour,

Je suis d'accord, c'est peut-être un peu limite, mais ce n'est pas du filtrage qu'on fait. On renvoit les paquets https sur le squid en sachant qu'ils vont après se faire jeter par le navigateur puisqu'ils auront étés modifiés à cause de la règle de proxy transparent.

Donc du coup, si on ne veut vraiment pas d'https direct, il faut faire une règle de DROP, et non pas un redirect sur le 3128. Et il faudrait pouvoir créer une règle optionnelle qui autorise ces accès directs https vers une liste blanche de serveurs.

J'ai essayé avant d'envoyer le message, mais comme je le disais je suis tombé sur les limites habituelles d'ERA. Il faudrait pouvoir créer des règles d'autorisations fines (telle machine vers telle machine sur tel port) dans une zone qui a une politique par défaut "Autorisation". Ce qui n'est pas possible actuellement avec ERA. Une MAJ d'ERA s'impose peut-etre?

Cordialement,

#3 Mis à jour par yann bouchard il y a environ 12 ans

non, si je ne me trompe pas, on les redirige vers le port 3128 (dansguardian) qui filtre ou pas et redirige ensuite vers 127.0.0.1:8080 (squid).
Si le pb est le passage par squid, serait-il envisageable de filtrer avec dansguardian puis de sortir sur le net (pour le port 443) sans avoir le passage par le port 8080?
C'est une idée brute, il faudrait voir les possibilités de la conf de dansguardian...

#4 Mis à jour par Guillaume PITARD il y a environ 12 ans

Tu as raison pour la séquence dansguardian puis squid, j'avais simplifié, mais ce n'est pas ça le problème, c'est le REDIRECT.

Tu veux faire passer le flux https par un service (dansguardian/squid) sans en informer le navigateur. Il prend donc ça pour un Man In the Middle, et se protège en refusant la connexion.

Ce n'est pas possible de faire du proxy transparent pour une connexion https, il faut que le navigateur est un proxy de paramétrer de quelque façon que ce soit. De plus faire passer le flux dans dansguardian ne sert à rien puisque le flux est crypté il ne peut rien filtrer en terme de contenu.

La solution pour que ce soit transparent pour l'utilisateur est l'usage de la détection automatique dans les paramètres des navigateurs, mais dans ce cas on tombe sur d'autres problèmes. La détection peut ne pas fonctionner parce que le navigateur ne sais pas interpréter le java-script (cf http://dev-eole.ac-dijon.fr/issues/2661 ).

Par contre le REDIRECT reste très pénalisant pour les applis qui ne savent pas utiliser les paramètres de proxy des PC. Genre RIO/des clients VPN SSL comme AnyConnect/les machines d'oblitération Chronoposte/des clients wyse d'une collectivité...

Dans mon cas le plus simple serait d'ouvrir, je sais que ça ouvre des possibilités pour des usages non désirés en établissement, mais quand on voit que tous les autres ports sont ouverts si on se met pas en internet restreint, je ne vois pas le problème.

Libre à chacun de se mettre en internet restreint si il ne souhaite pas qu'on puisse faire de la navigation sécurisée sans proxy.

Cordialement,

#5 Mis à jour par Guillaume PITARD il y a environ 12 ans

Un up sur la fiche histoire qu'elle ne soit pas oubliée. ;)

#6 Mis à jour par Joël Cuissinat il y a environ 12 ans

  • Statut changé de Nouveau à En attente d'informations
  • Assigné à changé de Fabrice Barconnière à Luc Bourdot
  • Version cible Mises à jour 2.2.3 - 04 RC supprimé

#7 Mis à jour par Luc Bourdot il y a environ 12 ans

Vu avec Guillaume :

Il faut reprendre dans ERA la façon dont sont gérée les proxys en "redirection transparente".

L'idée étant de fermer le 443 plûto que de le rediriger puisque cela ne peut pas marcher et de gérer une directive spécifique pour l'autorisation des port 80 et 443 (surf avec ou sans proxy).

Il faut également prévoir des listes d'exceptions en source et destination.

#8 Mis à jour par Luc Bourdot il y a environ 12 ans

  • Statut changé de En attente d'informations à Accepté

#9 Mis à jour par Emmanuel GARETTE il y a environ 12 ans

En 2.3, les flux https sont redirigés non pas vers le proxy, puisque cela ne fonctionne pas, mais vers une instance spécifique de nginx.

Si la personne valide le certificat, il a une page web lui indiquant qu'il faut configurer le proxy.

#10 Mis à jour par Guillaume PITARD il y a environ 12 ans

Salut,

C'est sûr, c'est une idée, j'y vois cependant 2 problématiques:
1) Je trouve que ça fait toujours tache dans un environnement sécurisé de devoir faire accepter un mauvais certificat à un utilisateur. Cela lui donne de mauvaises habitudes.
2) Cette solution ne règle pas le problème des application qui se connectent à internet sans qu'on puisse paramétrer le proxy, comme par exemple le client anyconnect de Cisco, les machines d'oblitération de La Poste, RIO, il me semble, ou encore une que je ne connaissais pas l’ActiveX RDP de la plate-forme Mediaplus.
A vous de voir.
Cordialement,

#11 Mis à jour par Luc Bourdot il y a presque 12 ans

  • Assigné à changé de Luc Bourdot à Gwenael Remond

Faire une évaluation du travail pour intégrer une gestion des listes d'exceptions en source et destination via ERA.

#12 Mis à jour par Gwenael Remond il y a presque 12 ans

  • Temps estimé mis à 16.00 h

la mise à jour de la génération de l'iptables pour inverser une règle est possible, il faut regarder précisément ce qu'on veut obtenir comme règles iptables au final

#13 Mis à jour par Guillaume PITARD il y a plus de 11 ans

Je viens d'installer era nouvelle génération:

wget http://test-eoleng.ac-dijon.fr/eoleng/eole-2.3-dev/all/era_2.3-eole30~1.gbpaa70f6_all.deb
aptitude install era_2.3-eole30~1.gbpaa70f6_all.deb

Au passage il m'a d'installé 8 paquets (pour info), l'Amon était à jour.

Les paquets suivants seront ENLEVÉS :
binutils{u} bridge-utils{u} debootstrap{u} eolebase-extra{u} libnuclient3{u} lxc{u} nutcpc{u} wireless-crda{u}
0 paquets mis à jour, 0 nouvellement installés, 8 à enlever et 0 non mis à jour.

J'ai lancé ERA, je retrouve bien une case à cocher dans le cadre "actions" de l'éditeur de directives. Seulement, je ne peux pas la cocher tout le temps:

action Interdire -> je ne peux pas la cocher
action Redirection -> je ne peux pas la cocher
action DNAT -> je peux la cocher, mais la case déposer une extrémité se grise, et ne peux plus déposer d'extrémité
action SNAT -> je peux la cocher, mais la case déposer une extrémité se grise, et ne peux plus déposer d'extrémité
action FORWARD -> je ne peux pas la cocher

Du coup, je ne vois pas trop, comment ajouter les exceptions.

Cordialement,

#14 Mis à jour par Gwenael Remond il y a plus de 11 ans

bon, tout ça devrait marcher maintenant, Guillaume, tu testes ?
era-2.3-eole31~3.gbpa32d1b

#15 Mis à jour par Gwenael Remond il y a plus de 11 ans

avis aux autres testeurs : era-2.3-eole31~5.gbp455cc6

#16 Mis à jour par Gwenael Remond il y a plus de 11 ans

  • Projet changé de Amon à ERA
  • Statut changé de Accepté à Résolu
  • Version cible mis à Mises à jour 2.3.7 RC
  • % réalisé changé de 0 à 100
  • Temps estimé 16.00 h supprimé
  • Distribution changé de EOLE 2.2 à EOLE 2.3

#17 Mis à jour par Gwenael Remond il y a plus de 11 ans

avis aux testeurs : era-2.3-eole31~6.gbpcf283c

#18 Mis à jour par Fabrice Barconnière il y a plus de 11 ans

  • Statut changé de Résolu à Fermé

Formats disponibles : Atom PDF