Squid3+Squidguard+ssl filtering -pfsense 2.2.4

chris4916

Nous sommes tous d'accord pour dire que "SSL bump" n'est pas bien et que dans l'absolu il ne faudrait pas le faire.
Sauf que tous les proxy HTTP les plus utilisés sont capables de fournir cette fonctionnalité et que la plupart des entreprises souhaitent fortement l'implémenter.

La raison est clairement justifiée par un des tous premiers paragraphes du lien fourni pas ccnet:

@No:

La protection de bout en bout qu’apporte TLS est a priori incompatible avec d’autres exigences de sécurité complémentaires visant à inspecter le contenu des échanges.
L’analyse d’un contenu (web par exemple) sécurisé à l’aide de TLS, peut toutefois se justifier afin de s’assurer que les données provenant d’un réseau non maîtrisé (Internet par exemple) ne représentent pas une menace pour le système d’information interne.
Les architectures visant à déchiffrer les flux TLS, pour permettre leur analyse, « tordent » donc le modèle pour lequel ce protocole est conçu.

En entreprise, il est très simple d'informer tous les utilisateurs que tout flux HTTPS est cassé au niveau du proxy et que l'utilisateur n'est pas supposé consulter les données de sa banque au travail, même si l'utilisation très modérée des ressources de l'entreprise pour un usage personnel est généralement admise.

A mon avis, expliquer à un DSI, convaincu que pour lutter efficacement contre les virus, SSL bump fait partie de la solution, qu'il ne faut pas le faire et lui proposer une solution alternative efficace est quelque chose de très difficile.

Ce que d'aucun prendrait pour un mensonge sécuritaire est relayé, expliqué et même justifié par cette publication de l'ANSSI.

Mon point de vue est que si on peut éviter de mettre ça en œuvre, il ne faut pas hésiter mais lorsque tous tes clients le demandent, que tous les outils ou presque le permettent et que l'ANSSI le soutient, refuser de déployer SSL Bump revient juste à refuser des clients. Ce qui est un choix éthiquement respectable, à défaut d'être économiquement viable.

(et je suis le premier à dire que ce n'est pas bien. Mon point ici c'est de dire qu'au delà de la position théorique parfaite, il y a la réalité du terrain. Le même débat que la solution "all-in-one" pour les TPE/PME qui intègre FW et proxy, entre autres, sur la même machine.)

jdh

Ce que je ne comprends pas, c'est l'entêtement à mettre en oeuvre un procédé très contestable sous prétexte de mettre qu'une seule machine alors même que l'on sait que les 2 fonctions n'ont pas les mêmes pré-requis matériels !

Surtout qu'avec un proxy dédié, on sait respecter le confidentialité de la session sans la casser (le certificat présenté à l'utilisateur est le bon).
Surtout aussi qu'avec HSTS (qui est déjà adopté), j'ignore si Bump l'a dans le c.

chris4916

Il y a 2 aspects, et donc potentiellement 2 discussions différentes:

• Faut-il tout faire tourner sur la même machine
• SSL bump (MITM)

1 - Pour l'approche UTM (all-in-one) nous en avons déjà longuement discuté.  Nous sommes de plus d'accord que lorsque c'est possible, il est largement préférable de déployer des machines différentes. Certains, et j'en fais partie, acceptent cependant qu'il existe des cas où, dans la durée, cette solution intégrée sera plus stable et plus fiable (et également plus facile à vendre aux TPE/PME) qu'une solution moins facile à gérer qui consiste à ne viser que l'architecture intellectuellement idéale.

2 - Pour SSL bump, qui est donc une autre discussion indépendante de la précédente (sauf dans le cas où tu vises un proxy en mode transparent, dont je suis également d'accord de dire que ce n'est pas, et de loin, le meilleur choix  ;)), HSTS impose une gestion fine des certificats sans quoi il y a des warnings dans tous les sens. Ceci dit, je ne peux commenter le déploiement sur pfSense car je ne l'ai pas expérimenté.

Il n'y a pas d'entêtement mais la réalité de la vraie vie, dans le cas de danielmuro83 qui reporte que beaucoup de ses clients souhaitent ce type de solution et qu'il est très difficile de les faire changer d'avis.
Et donc tu peux choisir, en tant que fournisseur de service, de ne pas travailler avec ces clients là mais ton entreprise a t-elle vraiment toujours le choix ?  ???

chris4916

peux-tu, stp, montrer la page de configuration de Squid sur pfSense, en tous cas la partie SSL Man-in-the-middle filtering ?

sooulepavelaplage

@chris4916:

Il n'y a pas d'entêtement mais la réalité de la vraie vie, dans le cas de danielmuro83 qui reporte que beaucoup de ses clients souhaitent ce type de solution et qu'il est très difficile de les faire changer d'avis.

bonjour,

apres, pour faire plasir a tous le monde, et ne garder que le "meilleur des deux mondes", il existe des boitiers (tour ou rack) ou il est possible d’intégrer :

• pour la version tour, 2 cartes mère atx, 2 alim, 12 dd 3.5, avec kvm intégrés (ouais msieur !!) marque fusion, arrivage aléatoire… chez cd... gros... ou ruedu... (j'en ai 2)
• pour le rack, 4U, 4 cartes mere atx+bus passif pci déporté , 4 alims, 16 dd 3.5 et toujours kvm intégré. vu l'an dernier sur alibaba. [edit] mais je crois 10 minimum et provenance chine.

bon fin d'aprem

jdh

1 fois par semaine, j'ai une Société de Service Informatique qui me propose ses services …

J'aimerais avoir quelqu'un qui me dise

• Je ne vous propose pas une appliance 'tout-en-un'
• Mais je vous propose, un le firewall (avec le vpn, le filtrage général, les nat, ...), deux le proxy qui contrôle la navigation.
  Et si je lui disais "mais pourquoi pas une machine qui fait tout" (parce que je connais la réponse),
  "Eh bien, non, je ne vous propose pas un seul boitier mais un boitier et un serveur parce que ..."

L'avant-vente qui me dirais cela, je le trouverai plus sérieux ...

chris4916

@jdh:

L'avant-vente qui me dirais cela, je le trouverai plus sérieux …

Nous sommes d'accord.
Mais là tu te positionnes en tant que client qui a déjà fait un choix et qui justement attend de la société de service une réponse conforme au choix que tu as déjà fait.

Quand tu es société de service et que ton client a fait le choix contraire, même si tu as à ton catalogue un service de déploiement de BlueCOat et que ton client potentiel te dit: "moi je voudrais un truc simple avec un seul serveur qui fait tout parce que j'ai lu dans une revue spécialisée que les UTM étaient maintenant très performants et qu'en plus je n'ai personne pour m'en occuper donc je mettrai ce serveur dans un placard…etc" tu peux essayer de le convaincre mais ça va être difficile.

D'autant que tes arguments relatifs profil de charge hardware ne tiennent pas, surtout pour des TPE/PME.

Les problèmes potentiels sont ailleurs, au niveau des opérations et de l'exploitation.

sooulepavelaplage

@jdh:

1 fois par semaine, j'ai une Société de Service Informatique qui me propose ses services …
[…] L'avant-vente qui me dirais cela, je le trouverai plus sérieux …

salut

d'abord tu remarqueras (maintenant qu'on s'est bien engueulé, on peut se tutoyer) que toi qui semble tellement "service-service" ou plutôt "charte-charte" est le premier à déraper vers tes convictions et pas vers la question. je précise que comme les autres intervenants sur ce fil, je suis d'accord avec toi sur le principe de la "séparation des pouvoirs" des bécanes… mais on fait pas toujours ce que l'on veut quand on tente d'être le 1er coin (de bucheron) chez un nouveau client.

sinon,  pour rire, si tu en vois, ou es contacté  par, un par semaine, cela fait 40 par an (une fois enlevé les congés, le mois d'aout, la fin de l'année et les ponts de mai) . si tu en avais trouvé un seul qui aille dans le sens de tes convictions sur l'ensemble de ta carrière, tu l'aurais surement dit, et tu aurais surement ajouté : "a pas du bouffer tous les jours le garçon!"

bonne soirée.

danielmuro83

Déjà merci à vous pour votre temps :)

Je suis tout à fait d'accord sur l'ensemble des principes cités plus haut.
A chaque machine son rôle, c'est bien évidement le meilleurs concept et la meilleur démarche à proposer en tant que société de service, et ceux pour toutes raisons déjà évoquées plus haut et ce à juste titre.

Cependant malgré le fait que nous devons un conseil de qualité, il est nécessaire de prendre en compte la réalité actuelle du marché (ce n'est pas de l'entêtement).
Notre intérêt bien sûr (et aussi dans celle du client) est de proposer au premier abord ce qui se fait selon les bonnes pratiques.
Néanmoins, même si le client apprécie le conseil, si pour des raisons financières (ou pour tout autre raison d'ordre fonctionnelle), il ne peut pas opter pour une solution de ce type, que devons-nous faire ? Ne pas répondre à la demande ? (pas très productif), ou tenter de lui proposer une solution plus adaptée.

Les acteurs du marché l'ont compris et veulent pouvoir se positionner sur tout type d'infra, non pas seulement les grandes mais aussi les petites structures.
Comme j'ai pris par exemple Fortinet et stormshield, mais aussi Sophos (dont j'ai assisté au tour de France ce matin même), ils ont tous un axe de développement autour de la mutualisation des rôles aux seins même de leurs UTM (Filtrage Web, Antivirus, antispam (voir passerelle de messagerie), filtrage applicatif, portail captif, gestion des access points, etc…..)
Sophos parle même d'interconnexion entre l’antivirus client et l'analyse antiviral de l'UTM et la gestion centralisé au niveau Cloud...

Le fait d'être en accord ou non avec ces concepts est un débat en effet intéressant et pertinent, chaque avis étant justifiable.
Mais c'est une réalité que de constater que c'est le parti pris des constructeurs et que les prochaines solutions seront de plus en plus all-in-one.

jdh

Je me souviens d'un de mes patrons qui me disait "tu délègues quand tu maîtrises" (parce que si le "délégué" lâche, tu es capable de reprendre).
Mais il y a le cas où tu ne maîtrises pas.

Il y a donc 2 sortes de clients :

• celui qui a une bonne compétence,
• celui qui n'est pas assez compétent (qui croit l'avoir).
  Le premier refusera de faire un MITM, le second n'en aura pas même conscience.
  Il est clair que les fabricants d'UTM visent les seconds … qui sont les plus nombreux.

Comme clients, je ne souhaite pas être mené en bateau. (Suis-je a-normal ?)
L'avant-vente qui viendrait me parler de son formidable UTM qui fait tout, aurait forcément la question du MITM. Et là il sait ou pas.
Néanmoins, je verrais d'un bon oeil un prestataire me proposant 2 solutions et m'expliquant que la 2ième, plus chère, est plus respectueuse ...

Il y a contradiction entre 'Marketing' et 'Sécurité' ...

(Dans la pratique, je n'ai besoin de personne pour faire les firewall des entreprises où je passe depuis 15 ans. Mais il m'est arrivé d'utiliser des petits boitiers type Zyxell, ou des moyens comme WatchGuard, ...)
(Dans l'une, j'ai commencé par annuler le contrat de support d'un checkpoint à 4000€/an dans une pme industrielle de 300 pers sur 2 sites : fallait pas pousser ...)

(Si un avant-vente parle de choses qu'il ne connait pas à fond, tant pis pour lui ...)