OPENDNS avec Pfense : filtrage web en ip privée stastique
-
Bonjour
Je me permet de vous contacter pour demander de l'aide
En effet, je suis à la recherche d 'un moyen pour faire du filtrage Web via OPENDNS coupler a pfsense
Je dois pouvoir filtrer l'ensemble d'un réseau avec une politique par défaut mais aussi de faire des groupes d' IP privée qui laisse accès à certain site a ce groupe
Avez vous des idées?Merci par avance
-
Avant de répondre, merci de répondre à ces questions :
- quel est votre niveau d'expertise (en notions réseau, notions de pfSense, notions de filtrage web) ?
- quel est l'objectif et sa taille (contexte perso, asso, entreprise, taille) ?
- savez vous comment fonctionne le filtrage 'avec OpenDns' ?
- savez vous comment est généralement configuré le filtrage web avec pfSense (outils utilisé) ?
-
Je maitrise les bases en réseau, Pour pfsense je sais comment faire du filtrage uniquement via lui le paramétrait etc ,et pour le filtrage web les diffèrents moyen de filtrage http ou https via domaine ou ssl et ceux qui va avec
Pour une entreprise de 300 personnes
Euh via des catégorie à remplir sur le compte OPENDNS qui filtre via l'adresse public des demande qui sont faite
Non justement la et mon grand soucis je n'arrive pas vraiment à voir l'interet de coupler les deux à part le fait que pfsense peut récupéré plus de logs que OPENDNS
-
Bref vous êtes à peu près débutant. (C'est un handicap mais si vous avez l'esprit logique …)
Le filtrage web consiste à interdire l'accès à des sites appartenant à des catégories interdites.
Donc il faut associer un nom de site 'www.sitecorrect.com' à une catégorie, puis indiquer si la catégorie est autorisée ou non.OpenDNS permet cela, de façon simple :
- une requête HTTP/HTTPS commence par une requête DNS avec le nom du site recherché
- d'où filtrage possible : si OK alors vrai résultat DNS sinon fausse ip vers faux site web signifiant 'site bloqué'.
(Quid des sites https ? sachant que depuis début 2017, ils sont plus nombreux que les sites http !)
Usuellement, en entreprise, on utilise le proxy web 'Squid' et son traditionnel redirecteur 'SquidGuard'.
(Pour une entreprise de 300 personnes, il faut, forcément, dédier un serveur à cet usage !)Les avantages de la solution Squid :
- Squid est un cache : si la page a été cherchée récemment, la page est fournie depuis le cache
- SquidGuard sait utiliser des blacklists publiques telles celles de l'Université de Toulouse
- Squid peut aussi faire du filtrage antivirus (Clamav typiquement)
- SquidGuard permet de créer des groupes d'ip avec les mêmes listes autorisées/interdites
- SquidGuard sait aussi se baser sur une identification user, par exemple, l'identifiant de profil Windows
- Squid stocke les logs d'usage (comme la loi le demande !)
- Squid gère HTTP, HTTPS et FTP
- gratuit !
Les inconvénients de la solution Squid :
- C'est à monter soi-même
- dépendant de la qualité des blacklist (il est possible de contribuer à celle de Toulouse)
OpenDNS étant une entreprise, racheté par CISCO pour ~635M$, elle doit 'abonner' ses clients.
Il doit donc y avoir un bout de logiciel pour valider l'accès à leur dns en fonction de l'abonnement (genre 'validation de l'ip sortante pour tel identifiant d'abonnement').
Il serait étonnant que ce bout de logiciel soit dispo pour pfSense ...Bref, il faut bien comprendre que le seul conseil valable (et sérieux) est celui de mettre en place Squid/SquidGuard bien évidemment sur un serveur dédié ... (surtout pour une entreprise de 300 personnes !).
Vous serez probablement ennuyé par le premier inconvénient ... -
Pour tout ceux qui est Squid et SquidGuard Je connaisais ce système déja vu que c'est celui qui est en place… et je dois justement le changer
C'est donc juste un moyen d 'utiliser OpenDNS pour faire du filtrage par utilisateur et non pour l'ensemble du réseau que je recherche -
Ce que tu cherches à faire, basiquement, c'est d'avoir du filtrage, basé sur un DNS externe, différencié pour des utilisateurs qui vont tous être sur un LAN derrière un système qui va fait du NAT, donc avec un IP de sortie à priori unique.
Bref, ça ne marche pas :-X
Au mieux tu peux configurer pfSense pour s'appuyer sur OpenDNS, configurer la majorité des utilsiateurs de ton LAN pour utiliser ls DNS resolver e pfSense et leur faire ainsi bénéficier du filtrage et permettre aux autres utilisateurs (les exceptions) de résoudre eux-même les fqdn à partir d'un DNS publique en traversant pfSense. Mais c'est assez laid comme solution, difficile à maintenir qui plus est.
Un proxy, c'est quand même bien mieux non ?
Surtout que le proxy va te permettre de faire du filtrage "par utilisateur" et non pas "par adresse IP".
Il suffit pour cela de configurer ton proxy pour qu'il demande aux utilisateurs de s'authentifier ;) comme ça même si ils changent de PC, qu'ils changent d'IP ou qu'ils utilisent le PC de quelqu'un d'autre, ça va marcher.
Alors que OpenDNS… ça va être dur.Ceci dit, rien ne t'empêche, bien sûr, de coupler le proxy à OpenDNS, mais pas de personnalisation de l'utilisation de OpenDNS car le client qui fait la résolution, ce n'est pas l'utilisateur mais le proxy.
@jdh: je ne vois pas en quoi le fonctionnement de OpenDNS serait impacté par HTTPS vs. HTTP. ça marche dans tous les cas car ce n'est pas dépendant du protocole mais uniquement de la résolution de nom.
-
Mon chef m'a pourtant assuré qu'on lui a dit qu'en formation cela été possible ( je suis totalement d'accord avec toi sur le principe que c'est bancale)
Petit information oublie l'authentification.. politique de filtrage par ip et c'est non négociable d'ou les Ip statique
-
Avoir l'esprit logique, c'est par exemple décrire les avantages et inconvénients du 'filtrage' OpenDNS.
Il suffit d'inverser : les avantages de Squid/SquidGuard sont les inconvénients d'OpenDNS, et vice et versa !Les logs sont une obligation légale en France ! Squid le fait, pas OpenDNS
Vous voulez faire des groupes ? SquidGuard le fait
Vous voulez analyser les virus (exemple les javascript virus) ? Squid le fait (avec Clamav), OpenDNS ne le fait pas.
Et ainsi de suite …Pourquoi ne pas mentionner, dès le début, que avez déjà une solution Squid/SquidGuard en place ?
Pourquoi ne pas mentionner, dès le début, que votre chef, qui n'y connait rien sans doute et qui croit les marketeux, vous demande d'en changer (à vous qui n'en connaissez pas beaucoup plus)?
Quelles sont les défauts de la solution en place ? (Question totalement essentielle !!)
(Que vous n'en soyez pas le concepteur, ou que vous ne la maitrisez pas, n'est pas un inconvénient de la solution !)
(Que la solution soit basée sur les packages de pfSense en est un, d'ailleurs plutôt lié à une méconnaissance du concepteur !)NB : pour le 'bout de logiciel', il semble que, pour Home, il n'y en ait pas : il faut déclarer son ip publique : bonjour les utilisateurs de Orange qui change d'ip chaque jour !
NB : Je sais un peu de quoi je parle : entre autre activité, je vais, les jours prochains, sur un site du groupe remettre à plat la solution Squid/SquidGuard ...
@chris4196 : Et alors pourquoi, dans leur FAQ, OpenDNS mentionne les sites en HSTS (avenir de la sécurité pour empêcher SSLBump) ?
La réponse à tes interrogations sont dans Umbrella : bien sûr qu'OpenDNS peut être individualisé dans la version entreprise, sous réserve que le DNS de l'ensemble ne soit pas OpenDNS, forcément. -
Soucis de Squid/Squidguard
Une gestion graphique impossible
Supervision pas top
Faille de sécurité sur SquidGuard (si on utilise pas Pfense)
La base URL de filtrage (ex:Toulouse) n'est mis à jour seulement que les 2,3 jourPour ceux qui est des logs .. géré par PFSENSE via un serveur syslog + log sur par feu on est en règle sur cela
Et donc pourquoi on cherche a coupler tout cela avec OPENDNS c'est que mon chef cherche a infogerer au maximun
-
@jdh:
@chris4196 : Et alors pourquoi, dans leur FAQ, OpenDNS mentionne les sites en HSTS (avenir de la sécurité pour empêcher SSLBump) ?
La réponse à tes interrogations sont dans Umbrella : bien sûr qu'OpenDNS peut être individualisé dans la version entreprise, sous réserve que le DNS de l'ensemble ne soit pas OpenDNS, forcément.Oui Umbrella permet de faire un certain nombre de choses (OpenDNS Dashboard).
Je réponds à ton propos:@jdh:
OpenDNS permet cela, de façon simple :
- une requête HTTP/HTTPS commence par une requête DNS avec le nom du site recherché
- d'où filtrage possible : si OK alors vrai résultat DNS sinon fausse ip vers faux site web signifiant 'site bloqué'.
(Quid des sites https ? sachant que depuis début 2017, ils sont plus nombreux que les sites http !)
"quid de HTTPS ?"
Ben rien ;D
Que ce soit avec OpenDNS ou Squid, le principe de "filtrage" va rester le même, fonctionnellement, c'est d'ailleurs làa que la solution OpenDNS et la solution Squid se ressemblent le plus.
En HTTP, Squid peut aller voir le contenu de l'URL et faire du filtrage sur celui-ci, voir du contrôle de contenu (comme des virus par exemple).
en HTTPS, ce n'est pas possible (hors SSLBump qui se heurte à la mise en place de HSTS) et du coup, le filtrage de Squid se limite à la partie en clair de la requête, à savoir l'en-tête, pour faire du filtrage "par domaine" exactement comme le fait OpenDNS puisque dans les 2 cas, on compare le fqdn à une white/black list. 8)@kerguelen
si tu n'as pas de proxy, ton filtrage OpenDNS est caduque. Même la configuration de OpenDNS comme DNS au niveau de pfSense est très facile à contourner en configurant dans ton navigateur un proxy publique au moyen de son adresse IP. -
Non car justement les PC utilisateur seront obligé de passer le proxy pfense pour pouvoir aller sur internet
Le par feu ne laisse pas uniquement l'adresse ip du proxy -
Soucis de Squid/Squidguard
Une gestion graphique impossibleCe n'est pas fait pour être géré graphiquement car il y a très rarement des changements dans la conf de Squid mais si tu y tient, un module de Webmin fait ça très bien.
Supervision pas top
J'avoue ne pas comprendre ce point
Faille de sécurité sur SquidGuard (si on utilise pas Pfense)
ni celui-ci d'ailleurs :-[
[quote author=kerguelen link=topic=147301.msg800034#msg800034 date=1525100879]
La base URL de filtrage (ex:Toulouse) n'est mis à jour seulement que les 2,3 jour
Pour ceux qui est des logs .. géré par PFSENSE via un serveur syslog + log sur par feu on est en règle sur cela
Et donc pourquoi on cherche a coupler tout cela avec OPENDNS c'est que mon chef cherche a infogerer au maximunSi c'est pour faire de l'infogérence (sic) pourquoi ne pas regarder des solutions comme zScaler ?
-
Non car justement les PC utilisateur seront obligé de passer le proxy pfense pour pouvoir aller sur internet
Le par feu ne laisse pas uniquement l'adresse ip du proxy:o
donc tu ne veux pas "remplacer" Squid par OpenDNS mais ajouter OpenDNS à Squid ?
J'imagine que ton proxy est en mode explicite car si ce n'est pas le cas, alors gare à HSTS justementEt donc si tu as un proxy en mode explicite, tu peux faire dans Squidguard du filtrage bien plus personnalisable, par adresse IP client si tu le souhaites même si ça n'a pas de sens, que par OpenDNS.
Bref, je ne comprends pas ni quel est le problème ni la solution que tu vises. Je ne sais donc pas t'aider ;)
-
C'est déjà bien d'avoir fait une liste.
Néanmoins c'est une liste très discutable (du genre 'accuser le chien de la rage').Le côté graphique : pas très utile, mais si vous voulez vraiment, il y a webmin : on ne touche pas les 4 matins à la config, au mieux aux fichiers de sites interdits/autorisés.
Supervision 'pas top' : ah bon ? en quoi : les logs se visualisent aisément avec LightSquid, SquidGuard stocke les accès frauduleux avec la commande 'log' vers un fichier texte qu'il suffit d'afficher.
Faille de sécu avec SquidGuard : ah bon ? un lien SVP
La base de Toulouse n'est mis à jour que tout les 2-3 jours : les listes d'OpenDNS en Californie seront elles efficientes sur les sites français ?
(Anecdote vécue il y a qq semaines : nous sommes passé de pfSense à Stormshield, j'ai activé le test des sites 'adultes', et bim, le premier site testé par mon chef était classé dans cette catégorie alors que le site n'était pas du tout adulte !)Bref, plutôt largement discutable.
(Attention à ne pas considérer Squid/SquidGuard depuis les packages pfSense : la qualité de Squid/SquidGuard doit être vue depuis un serveur dédié finement configuré !!)Les logs de Squid ne sont pas dans syslog ! Et ce serait une sérieuse erreur de le faire : citez moi un logiciel d'analyse de logs Squid qui va chercher dans syslog ?
Pourquoi allez mélanger ces logs très volumineux avec autre chose ?
J'ai déjà écrit qu'utiliser pfSense comme serveur proxy est très stupide, surtout pour une entreprise de 300 personnes.
Vous n'êtes pas seul à faire cette erreur …Faites donc une liste des inconvénients prévisibles d'OpenDNS, et vous verrez que Squid/SquidGuard n'a pas de si gros défauts.
1er défaut : la gestion du dns : le firewall ne sera sur OpenDNS alors que la plupart des pc devront l'avoir
2me défaut : ip statique : gênant : un utilisateur admin ne pourra naviguer que sur SON pc (en ip fixe). (J'espère au moins que ce sera DHCP avec réservation, sinon les portables ne sortirons pas le l'entreprise !)
3me défaut : faudra-til déployer un soft : en version entreprise, c'est Umbrella, à déployer ...
4me défaut : Californie : j'aime bien Julien CLERC mais c'est certain que les sites X français ne seront pas bien connus.
5ième défaut : les logs
6ième defaut : si je veux autoriser tout entre 12h et 14h : je sais c'est un faux défaut !Bref Squid/SquidGuard en fait beaucoup plus et beaucoup plus finement.
(Mais si vous ne connaissez que le Squid de pfSense, on peut entendre ...)NB : si vous êtes en statique, vous devriez être à l'aise avec les 'src' de SquidGuard
-
Une solution de filtrage web française (payante forcément) : OLFEO.
(J'ignore le coût par user).Usuellement, les entreprises se tournent vers le filtrage au niveau des firewalls (UTM).
(Quand elles n'ont pas l'expertise, mais les listes du constructeur sont elles mieux ?)La vraie question est le croisement avec l'utilisateur :
- c'est nettement plus simple à faire avec un proxy dument configuré en interne
- mais cela exige des compétences (qui ne sont pas toujours là).
-
@jdh:
Bref Squid/SquidGuard en fait beaucoup plus et beaucoup plus finement.
(Mais si vous ne connaissez que le Squid de pfSense, on peut entendre …)Fonctionnellement, quelle est la différence ? ???
-
Le package Squid dans pfSense vient avec une interface calquée sur pfSense, ce qui semble un avantage …
Mais chacun sait que tous les paramètres possibles ne sont pas présents.
De plus, les paramètres par défaut ne sont pas forcément les meilleurs : comment ajuster à la mémoire inconnue de l'installateur ?L'expérience des packages Squid/SquidGuard n'est donc pas celle d'un proxy réalisé 'à la main' !
(Cela exige la lecture de la doc pour comprendre les paramètres, trouver la valeur optimale, ...)Si le package convient pour de petites installations (et si pfSense est suffisamment mémorisé), cela ne convient pas dès que le nombre d'utilisateurs et le trafic augment, en sus de la surcharge processeur imposé au firewall, au risque qu'il ne puisse remplir sa fonction première (de firewall).
Débat éternel, que vous contestez en permanence, en dépit de l'observation pratique ...
Ne faites pas semblant.Désolé, du fait ce fil est terminé pour moi. Raz le bol ...
-
Je ne fais pas semblant ::)
Je demande juste, suite à ta remarque "Mais si vous ne connaissez que le Squid de pfSense, on peut entendre" quelle est la différence fonctionnelle.Tu repars sur des histoires de performance, taille de l'installation etc… mais en terme de fonctionnalités, ce qui expliquerait pourquoi, selon toi, le fait d'utiliser le package Squid plutôt qu'un serveur standalone, avec Webmin par exemple biaiserait l'analyse de kerguelen, y a t-il de vraies différences ?
Je n'en ai pas l'impression. ça fait longtemps que je n'ai pas regardé l'interface du package Squid de pfSense mais ça me semblait tout à fait correct pour une configuration et des fonctionnalités permettant déjà un bon contrôle des flux HTTP/HTTPS.
Bien sûr l'édition manuelle du fichier de conf offre plus de souplesse mais est-ce que à un point tel que notre ami va changer sa compréhension de ce que fait un proxy vs. du filtrage de domaine via OpenDNS ? J'en doute mais j'ai peut-être raté quelque chose. -
Bonjour
je vais essayer de reprendre tout les points…Pour les failles de sécurité
https://www.cert.ssi.gouv.fr/avis/CERTA-2009-AVI-468/J'ai vu l'application Webmin.. Elle ne gere que Squid pas Squidguard... Toute la partie saisie url etc se fait via le CLI c'est la chose que je cherche à changer.
Par supervision je veux dire un sytème d 'alerte en cas de problème sur le proxy.. matériel, logiciel ou mise à jour
Je parlé de SquidGuard de pfsense car la version Open Source de SQuidguard donnée sur le site officiel n'a pas été mise à jour depuis xxx année
Pas d'exploitation des données statique.. sites les plus vus etc par exemple
Pour finir je ne cherche pas a coupler Squid avec Open DNS on me demande de viré Squid..
-
si ce n'est que ça qui t'embête avec Squidguard en terme de "faille de sécurité", ce n'est pas une catastrophe. Effectivement i peut y avoir des cas de figure qui permettent de contourner les règles de filtrage.
Sans aller jusqu'à extraire des alertes du CERT, le mode de fonctionnement est ainsi fait que si Squid+Squidguard ne sait pas filtrer, alors la reqête passe sans être filtrée.
Peut-être pas idéal j'en conviens mais si c'est ça qui doit déterminer le choix pour se dire que finalement, c'est probablement mieux sans proxy, alors il il n'est en effet pas utile d'argumenter plus, même si une interface Webmin existe pour Squidguard ::)Donc pour faire simple, le choix de ton entreprise, c'est de remplacer un proxy HTTP par OpenDNS: je ne sais pas t'aider. A mon avis, ça ne marche juste pas. D'abord parce que le DNS ne sais pas quel protocole tu veux "filtrer" (autrement dit, que ce soit du HTTP ou du SSH, pour le DNS, c'est pareil.
Ensuite la granularité "par utilisateur" sachant que ceux-ci sont tous derrière ton FW qui fait du NAT, ça te prépare à une administration, au quotidien, assez… compliquée.Mais je suis intéressé par ton retour si un jour tu arrives à mettre en place une solution de ce type réellement fonctionnelle 8)