NETASQ U250-A, portail captif, proxy transparent et serveur non SSL - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 21-04-2015 à 16:24:22
pourrais tu copier/coller l'alarme pour qu je puisse te dire d'ou ça vient.
qu'as tu ouvert comme port quand ils ce sont identifié sur le protail captif ?
Marsh Posté le 21-04-2015 à 17:56:06
Bonsoir Skoizer,
Merci de m'accorder un peu de ton temps.
Voici une capture d'écran des alarmes bloquantes que j'obtiens dans le monitor :
Et une capture des Règles de filtrage correspondant au portail captif que j'utilise pour mes tests, TIM étant un groupe d'utilisateurs ayant plus de droits que les autres que j'utilise pour les tests et proxy2.realyce.fr le proxy régional vers lequel je dois transférer tout le trafic web :
Je précise quand même que j'ai déjà essayé de désactiver l'alarme "Paquet SSL invalide" dans le profil IPS_01 (profil sortant par défaut), j'ai aussi essayé de baisser le niveau d'inspection de la règle 49 à IDS ou Firewall et également de mettre un pass all dans le profil de filtrage SSL "Captif SSL", tout ça n'a rien changé.
Mon intuition me dit que la solution doit se trouver du côté de "Protection Applicative" --> "Protocoles" --> "SSL" mais je sèche un peu... Ils en parlent dans la doc mais sans dire comment configurer tout ça :
"Certaines options permettent de renforcer la sécurité de ce protocole. Par exemple, il est possible d’interdire des négociations d’algorithmes cryptographiques considérés comme faibles, de détecter des logiciels utilisant le SSL pour passer outre les politiques de filtrage (SKYPE, proxy HTTPS,…)."
Encore merci pour ton aide.
Marsh Posté le 22-04-2015 à 11:49:33
si c'est le plugin ssl en sortie qui te bloque. La je ne sais pas.
Je ne déchiffre pas le https pour des raisons légale.
Je ne suis pas allé assez loin sur le netasq.
Marsh Posté le 22-04-2015 à 18:43:39
Je me permets de m'incruster sur ton topic car il m'intéresse : c'est ton netasq qui gère directement l'authentification / base utilisateur / portail captif ?
Sinon pour ton problème, tu pourrais pas créer une règle pour autoriser le passage sur le port 443 non ssl ?
Marsh Posté le 23-04-2015 à 09:35:02
@ Skoizer : Tant pis... Merci d'avoir essayé, j'ai posté sur 5 forums, tu es le seul à avoir répondu...
@splinter_five0 : Le NETASQ se synchronise avec l'Active Directory. Ensuite j'ai une authentification transparente sur un VLAN avec agent SSO et un proxy explicite imposé par GPO et une authentification par portail captif et proxy transparent sur un autre VLAN. Ce qui me permet d'une part d'avoir des logs nominatifs de l'activité des utilisateurs et d'autre part de filtrer par profils d'utilisateurs.
Pour ton idée, ce serait trop beau... Mais je dois déchiffrer tout le trafic SSL pour rediriger vers le portail captif et c'est, à priori à ce moment là que ça bloque... Je ne vois pas comment mettre une règle avant ça qui ne gère que le trafic non SSL sur le port 443. Si tu as une idée de comment écrire cette règle, je suis preneur...
Marsh Posté le 30-04-2015 à 21:18:48
Salut,
As tu regardé dans la base de sur le site mystormshield?
Il y a un document qui explique comment faire passer skype.
Marsh Posté le 11-05-2015 à 15:56:39
Bonjour et merci Tolb,
Je suppose que tu parle du site https://mystormshield.eu/
Malheureusement je n'ai pas accès à cet espace, c'est le prestataire qui nous fournit les équipements qui détient les identifiants pour les lycées de la région et ils refusent de nous les fournir... Je vais quand même leur redemander, on ne sait jamais.
Si tu as accès à ce document, tu pourrais me le fournir?
Merci d'avance.
Marsh Posté le 13-05-2015 à 07:01:17
Salut,
Regarde tes MP.
Il y a aussi la méthode du bypass sur la destination.
Pour cela il faut récupérer les plages d'IP de Skype.
Marsh Posté le 25-05-2015 à 15:23:31
bonjour,
je pense que Tolb parle de la base de connaissance. En fait chez Stormshield tu peux accéder au support uniquement si tu es Certifié au niveau expert à minima, c'est surement pour cette raison qu'on ne te fournit pas les identifiants.
Par contre tu as quand meme accès à la base de connaissance Stormshield gratuitement :
http://documentation.netasq.com/fi [...] etips3.htm
Ce lien évoque skype et le ssl , et effectivement les options évoquées sont celles que tu as montrées dans ton screenshot, as-tu essayé de désactiver la prévention d'intrusion ? tu as quoi dans l'onglet proxy ?
Marsh Posté le 26-05-2015 à 09:12:29
Bonjour splinter_five0,
Tolb parlait bien du support de Stormshield et pas de la documentation vers laquelle pointe ton lien. Il m'a envoyé le document dont il parlait par MP en PDF, je devais lui répondre ici mais à force de reporter...
J'en profite donc pour dire merci à Tolb pour ces informations intéressantes. J'ai mis à jour le proxy, par contre je ne parviens toujours pas à faire fonctionner Skype sans proxy explicite, je vais essayer la méthode du Bypass sur la destination mais je n'y crois plus trop. Je pense que le fait d'avoir une redirection vers un second proxy régional complique les choses.
Splinter, oui, j'ai essayé de désactiver la prévention d'intrusion, comme plein d'autres choses, sans succès...
Voici une capture d'écran de l'onglet proxy :
J'avoue que j'avais un peu laissé tomber, surtout que maintenant j'ai un nouveau soucis, Youtube ne fonctionne pas non plus sur ce VLAN, et là je ne comprends pas du tout pourquoi mais c'est un autre problème.
Merci pour votre aide, Bonne journée.
Marsh Posté le 21-04-2015 à 11:48:33
Bonjour,
Je suis technicien réseau dans un lycée et nous disposons d'un NETASQ U250-A en version 9.1.4.1.
J'essaye depuis un moment de mettre en place un portail captif pour que les élèves puissent se connecter avec leurs ordinateurs personnels sans qu'ils n'aient à faire la moindre configuration sur leurs PC (à part bien sûr rentrer leurs identifiants et mots de passe sur le portail). A cette fin j'ai mis en place un proxy transparent avec déchiffrage du flux SSL.
Tout fonctionne très bien sauf quelques applications, comme Skype, qui utilisent le port 443 pour se connecter. D'après les alarmes remontées dans le monitor, je suppose que le NETASQ bloque la transmission car l'application essaye de se connecter à un serveur non SSL sur le port 443 (j'ai régulièrement l'alarme "paquet SSL invalide" ou "Server is not a SSL one" ).
Avez-vous déjà rencontré ce genre de problèmes et avez vous des informations qui pourraient m'aider?
Merci beaucoup pour votre aide.