Filtrage d'URL



  • Suite à la demande d’un client, j'ai besoin d’utiliser du filtrage d’URL. Nous avons besoin de permettre 250 adresses avec un protocole HTTPS et de bloquer toutes les autres URL ! Mais sur le routeur PfSense il n’est pas possible d’autoriser un pool d’URL et de bloquer toutes les autres. J’ai regardé dans les « packages » avec maïs pas moyen de trouver ce que je veux !
    L’idée est de faire ce blocage sur un Vlan prédéfini.
    Avez-vous des solutions ? Dans mon réseau je dispose d’Aruba 225/103/205, un routeur PfSense et des switchs Cisco 2560/2650.
    Merci



  • Pas nécessairement lié à pfSense, tu peux installer un proxy HTTP qui fera ça très bien, à condition de ne pas le mettre en mode transparent si tu veux avoir le contrôle sur les URL en HTTPS.



  • Nous avons besoin de permettre 250 adresses avec un protocole HTTPS et de bloquer toutes les autres URL

    Je ne comprend pas cette phrase.

    Le filtrage d'url intervient au niveau applicatif (couche 7 modèle OSI pour simplifier).
    Pfsense est est un firewall réseau. Il travaille donc sur les couches 3 et 4 principalement.
    Le filtrage d'url (et éventuellement de contenu) est réalisé au moyen d'un proxy.

    Mais sur le routeur PfSense …

    Pfsense est un firewall. Sur les firewall on utilise souvent des fonctionnalités de routage. Mais pas toujours.

    J’ai regardé dans les « packages » avec maïs pas moyen de trouver ce que je veux

    Pour ce que vous voulez je ne sais pas, mais pour ce dont vous avez besoin : des lunettes. Et c'est finalement aussi bien puisque si le package Squid (proxy) est disponible pour Pfsense, c'est presque toujours une très mauvaise idée d'installer un proxy sur un firewall.

    On entrevoie (de façon floue) l'idée qui est derrière votre expression de besoin. Celle ci est toutefois encore très confuse à cause de nombreuses approximations dans les connaissances des protocoles.

    Votre solution c'est un proxy (Squid ou un autre) sur une machine dédiée (mais possiblement virtuelle) à ce travail. Je signale d'emblée que le filtrage basé sur l'adresse ip ("permettre 250 adresses") est douteuse sur le plan de l' efficacité et de la fiabilité. Et de surcroit contraire (ou du moins problématique)  à la législation.



  • @ccnet:

    Je signale d'emblée que le filtrage basé sur l'adresse ip ("permettre 250 adresses") est douteuse sur le plan de l' efficacité et de la fiabilité.

    sans aucun doute  ;)

    Et de surcroit contraire (ou du moins problématique)  à la législation.

    pourquoi ?  ???



  • Le premier élément est la quasi obligation d'authentifier les utilisateurs accédant à internet. L'entreprise est assimilé à un FAI (jurisprudence) et de ce fait doit enregistrer et conserver (un an) les logs de connexions et d'activité des utilisateurs tel que spécifié par la LCEN.

    Le second point concerne la nécessité de rattacher une activité à un individu. Il faut donc authentifier la personne et non la machine. L'adresse ip n'est pas,

    en entreprise

    , un élément d'authentification probant. Il en va différemment sur internet pour les ip distribué par les fai même si dans le cadre d'Hadopi la cnil à émis de sérieuses réserves.

    Si l'identité de l'utilisateur ne peut être établie avec certitude, la responsabilité de l'entreprise sera engagée tant au civil qu'au pénal. Rappelons que spécifiquement en matière de SI il n'y a pas d'exonération de responsabilité du fait d'autrui comme c'est le cas dans d'autres domaines (par exemple un chauffeur de l'entreprise causant un accident n'engagera pas son entreprise au civil).



  • @ccnet:

    Le premier élément est la quasi obligation d'authentifier les utilisateurs accédant à internet. L'entreprise est assimilé à un FAI (jurisprudence) et de ce fait doit enregistrer et conserver (un an) les logs de connexions et d'activité des utilisateurs tel que spécifié par la LCEN.

    Le second point concerne la nécessité de rattacher une activité à un individu. Il faut donc authentifier la personne et non la machine. L'adresse ip n'est pas, en entreprise, un élément d'authentification probant. Il en va différemment sur internet pour les ip distribué par les fai même si dans le cadre d'Hadopi la cnil à émis de sérieuses réserves.

    Si l'identité de l'utilisateur ne peut être établie avec certitude, la responsabilité de l'entreprise sera engagée tant au civil qu'au pénal. Rappelons que spécifiquement en matière de SI il n'y a pas d'exonération de responsabilité du fait d'autrui comme c'est le cas dans d'autres domaines (par exemple un chauffeur de l'entreprise causant un accident n'engagera pas son entreprise au civil).

    ;D

    Donc, pour reformuler, ce n'est pas de faire du filtrage par adresse IP qui serait limite "légal" mais d’autoriser un accès internet sans authentification.
    Je comprends mieux ce propos une fois ton cheminement intellectuel éclairci.

    Ceci dit, la CNIL n'a plus qu'une fonction consultative  :-\  c'est toujours intéressant mais ses pouvoirs sont maintenant tellement limités  :'(



  • Depuis la loi de 2004 modifiant celle de 1978 la CNIL dispose

    • D'un pouvoir d’enquête. Elle peut se rendre dans une entreprise ou autre entité, si besoin assistée de la force publique.
    • D'un pouvoir de sanction direct ans devoir saisir le procureur de la république.
      Ce sont ses moyens qui sont limités, pas ses pouvoirs. Les évolutions notamment la transposition des directives européennes dans le droit national vont dans le sens d'une augmentation des moyens et pouvoirs de la CNIL.


  • Oui bien sûr tu as raison pour ce qui est de la théorie mais les faits ne suivent pas:
    http://www.legalbiznext.com/droit/IMG/pdf/Coup_de_tonnerre_sur_les_pouvoirs_de_controle_de_la_CNIL.pdf

    en partie faute de moyens.

    et pour ce qui est des "pouvoirs", il faut quand même noter que si ceux-ci n'ont pas été changés par la loi de 2004 pour les entreprises et les particuliers, il n'en va pas du tout de même en ce qui concerne les services de l'état. Mais ce n'est pas le sujet ici, je suis d'accord  :-X



  • Le pouvoir de sanction est quand même une modification substantielle non ?
    Sur le terrain on peut aussi constater qu'en 2014 la CNIL a condamné Google à 150 000 € d'amende. Mon avis est que c'est donc un peu plus "contrasté". Il y a, dans ces arrêtés du CE de 2009, une déception. Il y en aura d'autres mais il y aura aussi des succès. Dans ce domaine (droit et SI) nous avons régulièrement des "oscillations" d'un bord à l'autre. Voir par exemple l'évolution sur les messageries d'entreprises et leur consultation.