215 Membres 982 Contributions

Open Community

Discussions par mots clés : https

Résolue

Problème Fast avec Google Chrome : ClientHello message contains an unknown cipher et Unexpected ApplicationData record

Posée par Guilhem M dans Trucs et Astuces

Bonjour,

Je me permet de publier ce petit billet car cela fait un moment que j'ai un problème de blocage Fast sur les sites en https quand j'utilise google chrome.

Pour résoudre mon problème je me suis inspiré de deux anciens posts de la communauté. Si cela en intéresse certains voici ma démarche.

 

Mon Appliance est en 6.0/2 et donc normalement conforme aux dernières RFC en matière de ssl/tls.

Le problème vient du fait que Google utilise des algo et des protocoles maison qui ne sont pas encore validés dans les RFC, et de mon côté je ne veux pas du tout modifier ma politique Fast, je préfère donc modifier la façon de fonctionner du navigateur en ajoutant des switchs de configuration dans son raccourci.

 

Premier blocage Fast : ClientHello message contains an unknown cipher

A priori cela viendrait du fait que Chrome essaye d'utiliser un algo de chiffrement non identifié dans la RFC (certainement en cours d'implémentation). J'ai cette erreur sur tous les sites...

Voir la suite
Résolue

Skype via le proxy http

Posée par Atchoum dans Fonctionnalités et système

Bonjour,

Sur une appliance FASt 360 en version 6.1, comment autoriser Skype à travers le relais http ?

L'article KB 1327 ne m'aide pas trop, car surcharger les règles du relais pour désactiver l'analyse FAST http/https ne semble faisable que globalement, c'est-à-dire pour tous les clients et tous les serveurs web, ce qui n'est pas trop sécurisé.

En effet, le nombre d'adresses IP publiques de destination pour les flux Skype est tellement important, qu'il est illusoire de les identifier pour restreindre les règles du relais à surcharger; de même, il n'est pas question d'autoriser des utilisateurs à surfer sur Internet via le proxy, sans aucun contrôle applicatif sur les protocoles http ou https.

J'avais cru comprendre que la V6.1 permettrait d'identifier des flux Skype ou Facebook ?

Merci pour votre aide,

===================================================

Le Contexte :

En principe, les utilisateurs surfent sur le web à travers le relais http, mais cela est...

Voir la suite
Abandonnée

Filtrage Web - Proposition de critère de type URL référente

Publiée par Atchoum

Bonjour,

Je vous retransmets une suggestion de développement qui m'a été proposée.

Il s'agirait de proposer du filtrage d'URL incluant un critère d'"URL référente", éventuellement récursif.

Un intérêt serait de simplifier la gestion manuelle de catégories de filtrage d'URL "utilisateurs", en partant du principe qu'en autorisant (ou interdisant) l'accès à un site web, l'accès aux "liens externes" référencés par ce site seraient automatiquementautorisés (ou interdits).

Exemples d'utilisation :

Sans récursivité :

1) Tous les accès à une URL de la catégorie "Permis" sont autorisés
2) Tous les accès à une URL qui a une URL référente dans la catégorie "Permis" sont autorisés
3) Tous les autres accès sont interdits.

AVec plusieurs niveaux de récursivité , les régles précédentes seraient interprétées comme :

1) Tous les accès à une URL de la catégorie "Permis" sont autorisés
2) Tous les accès à une URL qui a une URL référente dans la...

Voir la suite
Résolue

Proxy non-transparent + NTLM + HTTPS version 4.2

Posée par Anonyme dans Fonctionnalités et système

Bonjour, 

j'ai mis en place un P1206 avec la version évolutive 5.2/1 afin de tester les performances des SMART_URL ainsi que du WEB_AV

 

J’utilise une authentification NTLM qui fonctionne

Ci-dessous le résultat du diag du service winbind (données remplacer par des x)

root> /etc/init.d/winbindd diag

Report of diagnostics:

- Domain: xxxxx

- Domain type: NTLM

- Domain controler(s): xxxxx xxxxxx

- User to join domain: le_bon_user

- User to enumerate users/groups: le_bon_user

- Junction of domain with server 'xxxxx': OK

- Junction of domain with server 'xxxxx': OK

- Trust shared secret: OK

- Lists all domain users: OK

- Lists all domain groups: OK

J’ai pu de ce fait importer mes utilisateurs depuis un serveur AD NTLM.

 

Dans mes règles applicatives, lorsque j'authentifie tous les utilisateurs, je n'ai aucun problème pour surfer sur les sites en http, mais s'ouvre une fenêtre d'authentification lors de la connexion de site en https.

 

J’ai appliqué ...

Voir la suite
Résolue

Blocages de sites http et https par le proxy

Posée par Pithivier dans Fonctionnalités et système

Bonjour,
Nous avons régulièrement des soucis d'accès sur des sites essentiellement en https qui sont bloqués par le proxy, sans message d'erreur explicite. La solution est fastidieuse et consiste à repérer l'adresse IP de ces sites et via une règle de flux passer en http(s) direct au lieu de http(s) proxy.

Depuis hier nous avons une augmentation de ces sites qui sont bloqués, nous n'avons pourtant pas fait de mise à jour particulière, nous sommes toujours en 5.0/24.
Es-ce une coïncidence ou bien une mise à jour automatique de signatures peut provoquer ce genre de désagrément ?

Ce problème récurrent a-t-il été pris en compte par Arkoon ?

Nous envisageons treès sérieusement de passer par un proxy externe de type olféo ou autre.


Merci à vous.

Cordialement.

Messages d'alerte