"resolu" whitelist dns forwarder

mouitido · Jul 7, 2015, 11:39 AM

Bonjour,

Context : Dans le cadre d’un labo test.

alixboard 256ram, compactflash 4go
Pfsense : 2.2.2

Besoin :
Whiteliste avec dsn forwarder (dsnmask)

QUESTION :
J’aimerais utiliser le dsn forwarder comme whitelist. (Dans l’idée de rien sauf)

L’idée :
Est d’utiliser les noms de domaine (des sites ou autre). Afin d’évité d’aller cherché les ip des sites.

Pour le moment :
J’arrive à faire une black list (dans l’idée de tout sauf)

Pour se faire j’ai été dans service->dns forwader->host overdrives.
Et delà
J’ai mit
Host : www
Domain :facebook.com
Ip adress :10.0.0.1(pour le test, elle n’arrive sur rien)
Description : blok facebook

Et effectivement, facebook n’est pas résolu. ;D

Déjà testé :
J’ai déjà fait des tests avec squid, mais par apport à mes besoins ce n’est pas la solution.

J'ai aussi travaillé avec les Alias

Firewall->alias->
Alias edit
Name : facebook
Description : facebook
Type : host
Host(s) :
IP or FQDN
facebook.com

Ça fonctionne, mais quand les sites sont en https, ça marche directement moins bien. :-X

Source :
https://doc.pfsense.org/index.php/Unbound_DNS_Resolver
https://technet.microsoft.com/en-us/library/cc782142(v=ws.10).aspx

http://unix.stackexchange.com/questions/99169/dnsmasq-white-list-for-specific-clients-on-network
(ici sur lunix, il explique comment faire, mais dans freebsd (pfsense) la méthode semble différente)

Par apport à ce que j'ai déja pu lire, la whitelist est possible, mais faut travaillé
avec les fonction avancé, de dsn forwarder et c'est la que je bloque.
Je ne vois pas comment dire; bloque la résolution pour tout sauf…. :-\

D'avance merci pour votre aide.

Mouitido

ccnet · Jun 19, 2015, 12:04 PM

Je vais encore et toujours évoquer un point de méthode. Vous écrivez :

Besoin :
Whiteliste avec dsn forwarder (dsnmask)

Ce n'est pas la description d'un besoin fonctionnel (ce dont on devrait toujours clairement partir) mais déjà un choix de solution technique.
Que voulez vous faire d'un point de vue fonctionnel ?
Je suppose qu'il s'agit d'autoriser ou non l'accès à certains sites internet pour tout ou parti d'une population de votre organisation. Mais est ce bien le cas ? Si voulez bien, commençons pas le début.

mouitido · Jun 19, 2015, 12:27 PM

Bonjour,

Merci de votre aide

D’un point de vue fonctionnel, c'est effectivement d'autoriser ou non l'acces a certain site.

Mais en partant de l'idée:

bloqué tous les sites internet (bloqué tout le net).
Sauf 2,3 noms de domaine précis.

Concrètement: On a accès à rien. Sauf, youtube.com, facebook.com et dh.be(ex)

Et ça pour toutes la populations de mon organisation.

mouitido

ccnet · Jun 19, 2015, 1:46 PM

Déjà testé :
J’ai déjà fait des tests avec squid, mais par apport à mes besoins ce n’est pas la solution.

C'est point de vue assez surprenant. Squid ne permettrait pas de contrôler l'accès à internet ? C'est assez neuf dans le domaine de la sécurité. Vous allez nous expliquer pourquoi je pense.

Le moyen technique retenu n'est pas le bon. Vous voulez employer DNS en dehors de ses spécifications. Utilisez un proxy pour cela et pour les flux https regardez ce qui est prévu. Cette mesure technique doit être complété par une mesure organisationnelle : une charte utilisateur qui informe de l'existence du proxy et de l'obligation de respecter les restrictions mise en place pour limiter l’accès internet.

chris4916 · Jun 19, 2015, 3:06 PM

Bien sûr que Squid, avec des ACL, permet de gérer des listes "blanches".
Une petite recherche avec un moteur donne plein de résultats dans la langue de ton choix.
Par exemple:
http://homeserver-diy.net/wiki/index.php?title=Filtrage_par_liste_blanche_pour_une_adresse_IP_locale_donn%C3%A9e_avec_Squid

Même si un proxy HTTP est de toute évidence le bon outil lorsqu'il s'agit de contrôler l'accès à internet via ce protocole, il est possible de partiellement faire quelques trucs à grands coup de DNS. C'est ce que se propose de faire par exemple pfBlockerNG, mais dans ma compréhension pas en terme de "whitelist".

jdh · Jun 19, 2015, 4:12 PM

+1 pour ccnet : penser 'besoin' avant de penser 'solution' ! (toujours)

Clairement votre besoin est le contrôle de la navigation (même s'il faut attendre la 20ième ligne pour le lire).

La navigation, et son contrôle, est l'affaire d'un proxy (http), et par exemple Squid.
Pour Squid, il y a plusieurs systèmes liés sont le plus connu est SquidGuard qui sait gérer aisément 'blacklist' et 'whitelist'.
Il est notable que SquidGuard dispose de l'architecture (ou la technique, en l'occurence Berkeley DB) capable de trouver dans une liste d'1 million de lignes en moins de 2" (blacklist adult de Toulouse).

Pensez vous qu'un système dns puisse aller à cette vitesse (sans structure compilée) ?
Un Bind avec structure texte ne saurait aller qu'à 1 centième de cette vitesse, et 200" c'est 3 minutes !

Le problème c'est "J’ai déjà fait des tests avec squid, mais par apport à mes besoins ce n’est pas la solution."
Donc quels tests ?
(Vous vous trompez de solution car vous ne décrivez pas vos besoins. Donc qu'en savez vous ?)

NB : une solution pour Squid s'applique à http, https et ftp !
NB : j'ai une base 'adult' de Toulouse qui fait 1.002.000 lignes : le fichier texte fait 17.957.000 octets et la base 'compilée' fait 44.675.000 octets mais une recherche c'est <2"

mouitido · Jul 7, 2015, 11:37 AM

Bonjour,

Je reviens, sur le post.

Merci pour vos réponse elles m'ont aidé.

Pour revenir à squid
Squid fonctionne très bien, mais le problème que j’ai ;

Lorsque mon devise est connectée sur le réseau pfsense(bureau), pas de problème ça bloque comme il faut, https, http.

Mais quand mon devise, passe sur un autre réseau par exemple sur le réseau de ma bbox(maison), l’explorer garde les données du proxi.
Il faut que l’utilisateur face « effacé les donnée de cache »

Dns
J’ai donc pensé au dns.

J’ai créé des alias

_Une liste
Name=httpsok

Avec dedans
facebook

2ieme liste
Name=httpok
visitbrussels.be_

Dans les règles du firewall
J’ai autorisé les requêtes

_**-dns port 53
-http destination httpok
-https destination httpsok
J’ai eu un problème avec les https

J’ai dû aller dans
System: Advanced: Firewall and NATAliases Hostnames Resolve Intervalj’ai mit 5**_

Résultat

Ça marche pas mal, mais le problème les sites autorisé, sont lent a affiché.

C’est là que j’ai remarqué que les sites faisaient, d’autres requêtes vers d’autres sites, enfin mon pc faisait ses requêtes.
J’ai me suis alors décidé, de rajouter les noms de domaine lier au site source.
Mais ça me prenait un temps de fou.

C’est alors que je suis tombé sur ce site, qui cartographique tout le site.
http://urlfind.org/

Ça m’a bien aidé, mais toujours des lenteurs.
Remarque
Aucune lenteur, si votre site est vide de requête n’annexe.

Opendsn

J’ai pensé à opendns, qui permet de filtrer directement via chez eux, en créant un compte chez eux.
Dans pfsense les règles de firewall :
J’ai mis mon lan destination Any

J’ai repris les 2 liens qui me m’ont le plus aidé

https://www.youtube.com/watch?v=-QuUYiwAFQ0
http://www.commentcamarche.net/faq/8725-opendns-un-dns-rapide-et-utile

Resulat :
J’arrive à tout bloqué sauf les sites que j’ai besoin, tout ça de manière très fluide.

c'est en analysant, les différentes réponse, que je suis arrivé a ca

merci

ccnet · Jul 7, 2015, 2:12 PM

Ce fil et sans conclusion sont un parfait exemple de ce qu'il faut ne pas faire et de la confusion qui règne dans l’esprit de son auteur.