| dro | Hello | 10:06 |
|---|---|---|
| elacheche | Yo dro ! :) | 10:08 |
| dro | Yo elacheche ! I miss u bro ! :) | 10:09 |
| elacheche | I miss you too :D | 10:12 |
| elacheche | How is life? Any new good interesting projects? | 10:12 |
| amtn | السلام عليكم | 10:24 |
| dro | wa 3alaykom el salem | 10:24 |
| dro | elacheche: Life is life! :D no interestings stuff .. :D what about oyu | 10:25 |
| amtn | Une question non technique... Répondez moi svp:: | 10:39 |
| amtn | Les proxy web, ça se deploie encore dans les PME en Tunisie? | 10:39 |
| amtn | Je voudrais savoir car la grande majorité des sites de nos jours sont en https (TLS) | 10:40 |
| amtn | Les grands acteurs du web (google:facebook:amazon:twitter...) ne seront plus accessible même avec un certificat interne | 10:42 |
| elacheche | amtn: J'ai pas compris la question x5 | 10:54 |
| elacheche | x( | 10:54 |
| amtn | bonjour elacheche | 10:55 |
| amtn | Disons que je dois configurer un proxy web (pfsense + squid ..) pour une PME | 10:56 |
| elacheche | ok | 10:56 |
| amtn | Je dois filter tout donc le flus ssl | 10:56 |
| elacheche | Sauf si tu utilise un proxy transparent (je pense, je dois verifier) | 10:57 |
| amtn | si je fais je n'ai plus le choix que de manipuler tous les terminaux du PME | 10:57 |
| amtn | Oui mais le proxy transparent (splice all) ne filtre pas https | 10:58 |
| amtn | si je dois intercepter TOUT, je dois configurer un CA et l'exporter | 10:59 |
| elacheche | Emm.. Qu'est ce que tu veux dire par https filtering? Pourquoi tu veux filtrer https? | 10:59 |
| amtn | La demarche n'est pas mon probleme | 10:59 |
| amtn | ben parceque la grande majorité des sites sont en https... nous sommes en 2019 | 11:00 |
| amtn | La solution par wpad est dangereuse.. et elle necessite aussi une intervention sur les terminaux des utilisateurs | 11:01 |
| amtn | ma question initiale: est-ce qu'on deploie encore des proxy web dans les pme? | 11:02 |
| amtn | une question bête, mais voyez un peu.. | 11:04 |
| amtn | si on le fait encore, on doit intercepter le flix https | 11:04 |
| amtn | sinon c'est bon pour rien!! | 11:04 |
| amtn | *le flux* | 11:05 |
| elacheche | re | 11:13 |
| elacheche | Je pense que la réponse est oui, on deploie encore des proxy, je pense qu'un proxy est capable d'intercepter un flux https, sauf que tu ne peux pas regarder le contenu, generalement ce genre d'interception aide à faire des statistics d'utilisation du réseau par personne et par site.. | 11:16 |
| amtn | oui, le proxy est capable d'intercepter le flux https à condition de le déchiffrer, sinon, on ne peut intercepter que les en-têtes .. la phase d'initialisation de la communication | 11:20 |
| amtn | cela permet de savoir la destination initiale de la communication rien de plus | 11:21 |
| amtn | on ne pourra pas savoir ce que contiennent les paquets chiffrés envoyés ou reçu: virus, trojans, fichier confidentiel de l'entreprise... | 11:22 |
| amtn | on ne pourra pas savoir si une redirection vers un autre chiffré a eu lieu | 11:23 |
| elacheche | amtn: Chekc this https://docs.diladele.com/tutorials/filtering_https_traffic_squid_pfsense/filtering.html | 11:23 |
| u-la-la | [ Why we need to filter HTTPS — Web Filter for Your Network ] - https://docs.diladele.com | 11:23 |
| amtn | thanks, je vais voir | 11:24 |
| amtn | au final, je pense que la solution la plus simple est la meilleure: on configure le proxy en http entre le client et le serveur | 12:20 |
| amtn | c a d on désactive le proxy transparent | 12:21 |
| amtn | elacheche, merci pour ton lien | 12:22 |
| amtn | malheureusement c'est un module payant | 12:22 |
| elacheche | oops :/ | 12:22 |
| elacheche | amtn: regarde si tu peux faire ça avec opnsense ou VyOS | 12:23 |
| amtn | on pourra envisager d'integrer le filtrage dns (pfblockerng) | 12:24 |
Generated by irclog2html.py 2.7 by Marius Gedminas - find it at mg.pov.lt!