Le 04/06/2016 à 03:11, Michel Py a écrit :
Pas grand chose à se mettre sous la dent cette semaine, juste 2 petits trolls
pas velus.
- A $TAF, un de mes projets est de remplacer le proxy par "mieux" (entendre :
qui nous fait pas chier autant).
MITM pour le trafic SSL obligatoire, ce qui veut dire installer un certificat
sur le client; s'il y a des lecteurs qui ont de la comprenette pour installer
les certificats sur le client sans trop s'emmerder, je prends les idées.
Le certificat sur le machin MITM est un certificat d'autorité, qui sert
à générer à la volée un certificat par URL consultée.
Pour déployer le dit certificat d'autorité, le plus simple est (en
environnement domaine windows) par une GPO.
Sinon, s'il existe déjà une PKI interne, où les clients connaissent déjà
la CA interne, le plus simple serait de générer
une sous-autorité pour le MITM, signée par la CA interne. Comme ça, les
clients ont déjà confiance.
Après, pour les browsers, IE et Chrome utilisent le magasin de
certificats Windows, donc la GPO est utile.
Firefox par contre utilise son propre magasin de certificat, et là je ne
connais pas de méthode pour lui ajouter
un certificat à grande échelle. Si quelqu'un a cela ?
Enfin, parmi les MITM, plusieurs options qui fonctionnent bien parmi
celles que je connais :
- proxy explicite comme TrendMicro IWSVA
- proxy transparent sur le firewall Fortinet (FortiGate)
a+
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
