Bonjour,
 
chez un client, je dois bloquer l'utilisation du logiciel logmein afin que de l'extérieur on ne puisse pas se connecter à une machine sur laquelle on aurait pris soin de l'installer.
Ce magnifique (hum ..) outil initie une connexion en HTTP ou HTTPS vers les serveurs logmein. Il fonctionne donc à partir du moment où l'entreprise laisse sortir sur les ports 80/443
 
Je cherche avant tout une solution réseau pour ce faire (après je pourrai tjs en + appliquer une GPO sur l'interdiction du process).
 
Comme ce client ne dispose pas de proxy HTTP/HTTPS, je suis passé par le serveur DNS interne pour que les résolutions vers logmein.com ne s'effectuent pas.
 
Ok ca marche. Le client tente de se connecter en résolvant le nom d'hôte et n'y arrive pas.
 
Mon problème est que les membres de cette société utilisent eux mêmes le service logmein pour se connecter chez certains clients qui ne leurs donnent que ce type d'accès.
Du coup ca ne marche plus. J'ai bien tenté de ne permettre que la résolution de secure.logmein.com qui permet la connexion à son interface logmein mais après il bascule sur un autre sous-domaine au hasard (ex : app03-09.logmein.com).
 
Je suis donc un peu bloqué
Je ne voudrai bloquer que la connexion du client mais je ne vois pas comment.
 
Quelqu'un a t'il une idée ?
Merci.

Bonjour
 
En gros il faudrait trouver une différence entre les connexions "client" et les connexions "serveur". Le client bascule sur un domaine aléatoire... et le serveur ? Si ça se trouve il tape toujours sur le même domaine. Sinon, il faudrait trouver une différence à coup de Wireshark.

Entre le serveur logmein et le poste à administrer à distance, c'est aussi du 80/443 (la "deuxième" partie du cheminement en fait) ?
edit : parce que tu pourrais peut être juste interdire au niveau de ton pare feu les connection initiées par les serveurs logmein à destination de machines de ton réseau internes.

Le problème c'est que ce n'est pas le serveur de LogMeIn qui se connecte aux machines mais l'inverse. Et dans les deux cas ça se passe sur les ports 80 et 443.

Ah ok je n'avais pas bien saisi le concept.
Moui c'est plus emmerdant dans ce cas la

 
 
Le soft logmein installé sur un poste se connecte (80/443) sur des IP différentes appartenant au bloc 77.242.193.0/24
 
Si niveau firewall je bloque cette plage, l'utilisation du site logmein pour prendre la main sur un poste distant devient impossible.
 
Retour au même problème qu'avec les DNS.
 
Si j'étudie les paquets, à condition que je trouve quoi que ce soit, quoi en faire après ?

Si je résume :  tes utilisateurs doivent pouvoir utiliser la "partie maitre" pour prendre la main à distance mais ils ne doivent pas pouvoir exploiter la "partie client" du logiciel ?.
 
c'est bien cela ?.
 

oui les users doivent pouvoir accéder au site de logmein et prendre la main sur des postes extérieurs à l'entreprise.
Par contre pas question de permettre à quelqu'un extérieur à l'entreprise de se connecter sur une machine du réseau de l'entreprise ou logmein a été installé.

et au niveau réseau, tu as quoi sous la main ?. type de firewall, proxy, IPS ...etc...

Pas de proxy ni d'IPS.
Le routeur/firewall est un Watchguard Firebox X55

c'est pas simple ton truc. A mon avis il faudrait regarder aux trames/paquets les differents comportement Maitre prenant la main puis esclave controlé. Il doit y avoir des differences. A partir de là, tu pourrais peut-etre faire des regles de filtrage au niveau de ton firewall.