Re: [FRnOG] [TECH] detection VPN SSL

> Le 9 mars 2016 à 08:27, Pierre Colombier a écrit : > > Je suis d'accord avec ça. > > J'ajouterai que les methodes de contournement sont potentiellement des > nuisances bien pires que celles que l'on essaie de bloquer. > Il existe des methodes de tunelling sur DNS qui

Re: [FRnOG] [TECH] detection VPN SSL

Bonjour à tous, merci beaucoup de vos retours, j'ai mis beaucoup de temps à repondre mais la discussion était très interessante, je vais reflechir à comment tourner ça mais vous m'avez bien confirmer ce que je pensais : c'est tres dur/impossible à detecter à moins de mettre le prix et meme avec

Re: [FRnOG] [TECH] detection VPN SSL

Le 10/03/2016 19:21, Michel Py a écrit : > C'est pour çà que dans le fil de cryptolock, je disais à David que > d'interdire les .zip dans le mail, c'est une arme à double tranchant. > Dans certains environnements super restrictifs oui, avec des > utilisateurs un peu sophistiqués non. Pas mieux :

RE: [FRnOG] [TECH] detection VPN SSL

> Sylvain Vallerot a écrit : > Perso j'ai toujours trouvé essentiel d'avoir la capacité de consulter ma box > et de pouvoir > sortir un SSH vers mes serveurs depuis chez un employeur (ou maintenant, un > client). Pareil, et j'ai des outils qui sont pas forcément installés chez le client dont

Re: [FRnOG] [TECH] detection VPN SSL

> Le 10 mars 2016 à 08:34, Sylvain Vallerot a écrit : > > > D'un autre côté le geek barbu a de plus en plus souvent un accès 3G > ou 4G qui lui permettra d'avoir les accès dont il a besoin sans passer > par le réseau de l'entreprise. > A! Merci, ça faisait quelques

Re: [FRnOG] [TECH] detection VPN SSL

Bonjour à tous, On 09/03/2016 19:20, Michel Py wrote: > seulement regarder ses emails olé-olé sur son serveur à la maison. Pourquoi olé-olé ? Perso j'ai toujours trouvé essentiel d'avoir la capacité de consulter ma box et de pouvoir sortir un SSH vers mes serveurs depuis chez un employeur (ou

Re: [FRnOG] [TECH] detection VPN SSL

On Wed, Mar 9, 2016, at 19:20, Michel Py wrote: > > Radu-Adrian Feurdean a écrit : > > De maniere plus generale, impliquer le RH (pour la partie sanctions) est > > nettement plus efficace. > > Ceci étant dit, il ne faut pas voir que le coté "bâton". Des fois, la > carotte çà marche mieux. Je

Re: [FRnOG] [TECH] detection VPN SSL

Le 09/03/2016 11:32, Louis a écrit : > Bonne idée. Il faut penser à définir ce qu'est un VPN. Si je fais du > tunneling ssh, est-ce que c'est du VPN? > Est-il vraiment nécessaire de répondre à ça ? -- Rico, evidemment que c'en est, la fonctionnalité a même été implémenté pour cela !

Re: [FRnOG] [TECH] detection VPN SSL

On Wed, Mar 9, 2016, at 07:04, David Ponzone wrote: > Le plus simple c’est d’ajouter dans le règlement intérieur de la société > que les connexions VPN sortantes personnelles sont interdites sous peine > de sanction grave. +1 De maniere plus generale, impliquer le RH (pour la partie sanctions)

Re: [FRnOG] [TECH] detection VPN SSL

Je suis d'accord avec ça. J'ajouterai que les methodes de contournement sont potentiellement des nuisances bien pires que celles que l'on essaie de bloquer. Il existe des methodes de tunelling sur DNS qui explosent inmanquablement le cache du resolveur local. Et là, à part des quotas, je n'ai

RE: [FRnOG] [TECH] detection VPN SSL

> David Ponzone a écrit : > Le plus simple c’est d’ajouter dans le règlement intérieur de la société que > les > connexions VPN sortantes personnelles sont interdites sous peine de sanction > grave. Rapport efficacité / prix imbattable, en effet. Ca va pas tout empêcher, mais c'est la première

Re: [FRnOG] [TECH] detection VPN SSL

Le plus simple c’est d’ajouter dans le règlement intérieur de la société que les connexions VPN sortantes personnelles sont interdites sous peine de sanction grave. > Le 9 mars 2016 à 06:42, Michel Py a > écrit : > >> Jocelyn Lagarenne a écrit : >>

RE: [FRnOG] [TECH] detection VPN SSL

> Jocelyn Lagarenne a écrit : > particulierement ce genre de VPN SSL, les autres sont simple à filtrer). Les autres ne sont pas simples à filtrer. Bon PPTP c'est facile à filtrer, mais voir plus bas : > Tristan Mahé a écrit : > ça m'étonne que personne n'ai mentionné les iodines ( >

Re: [FRnOG] [TECH] detection VPN SSL

À: "Bruno LEAL DE SOUSA" <bruno.ld.so...@gmail.com> > Cc: "Jérôme MARTINIERE" <j.martini...@groupe-alliance.com>, > frnog-t...@frnog.org > Envoyé: Mardi 8 Mars 2016 11:56:24 > Objet: Re: [FRnOG] [TECH] detection VPN SSL > > Merci de vos retours. >

Re: [FRnOG] [TECH] detection VPN SSL

avec > des résultats inégaux selon les contextes. > Bon courage (c'est le genre de défis où on sait quand ca commence > ;) ) > > My two... > > - Mail original - > De: "Jocelyn Lagarenne" <jocelyn.lagare...@gmail.com> > À: "Bruno LEAL DE SOUSA&qu

Re: [FRnOG] [TECH] detection VPN SSL

IERE" <j.martini...@groupe-alliance.com>, frnog-t...@frnog.org Envoyé: Mardi 8 Mars 2016 11:56:24 Objet: Re: [FRnOG] [TECH] detection VPN SSL Merci de vos retours. 2016-03-08 11:40 GMT+01:00 Bruno LEAL DE SOUSA <bruno.ld.so...@gmail.com>: > Hello, > > Le proxy est inter

Re: [FRnOG] [TECH] detection VPN SSL

Le 2016-03-08 09:44, Jocelyn Lagarenne a écrit : > Bonjour à tous, > > je me retrouve face à un dilemme. On me demande de proposer une solution > pour détecter/bloquer les VPN SSL non autorisés mais autant que je sache le > traffic au travers d'un proxy est identique à un traffic https. il

Re: [FRnOG] [TECH] detection VPN SSL

à un whitelistage, mais je me suis dit que ça deviendrait ingerable tres vite ... mais peut etre au niveau classes d'IP, cela fera deja un filtre... > Cordialement, >> >> Jérôme MARTINIERE >> >> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part

Re: [FRnOG] [TECH] detection VPN SSL

Hello, Sinon tu éduque tes décisionnaires/clients et tu leur explique que les VPN c'est forcément pas le mal : Si c'est pour éviter les fuites de données, il faut une sécurité de bout en bout qui commence par interdire aux gens d'installer n'importe quoi sur leur station de travail/portable.

Re: [FRnOG] [TECH] detection VPN SSL

e Jocelyn Lagarenne > Envoyé : mardi 8 mars 2016 10:45 > À : frnog-t...@frnog.org > Objet : [FRnOG] [TECH] detection VPN SSL > > Bonjour à tous, > > je me retrouve face à un dilemme. On me demande de proposer une solution > pour détecter/bloquer les VPN SSL non autorisés mai

RE: [FRnOG] [TECH] detection VPN SSL

De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Jocelyn Lagarenne Envoyé : mardi 8 mars 2016 10:45 À : frnog-t...@frnog.org Objet : [FRnOG] [TECH] detection VPN SSL Bonjour à tous, je me retrouve face à un dilemme. On me demande de proposer une solution pour détecter

Re: [FRnOG] [TECH] detection VPN SSL

Bonjour, On peut quand même voir le FQDN contacté dans la requête CONNECT envoyée au proxy, tu peux te baser la dessus. Une solution courante consiste à utiliser du filtrage d'URL par catégories: * tu bloques bien sur la catégorie contenant les VPNs ou proxys distants, pour les services de VPN

[FRnOG] [TECH] detection VPN SSL

Bonjour à tous, je me retrouve face à un dilemme. On me demande de proposer une solution pour détecter/bloquer les VPN SSL non autorisés mais autant que je sache le traffic au travers d'un proxy est identique à un traffic https. il est donc impossible de le detecter non ? ou est ce que je fais