116 Membres 1127 Contributions

Open Community

Discussions par mots clés : proxy

Résolue

Compréhension SSO + Proxy Explicite + Filtrage

Posée par Bv5029 dans Administration

Bonjour,

J'aimerais n'autoriser l'accès à Internet qu'à un groupe de personne comme c'était le cas avant sur notre arkoon.

Maintenant que nous sommes sur Stormshield je n'arrive pas à mettre cette règle en place.

Le SSO est activé, vous trouverez les règles en pièce jointe.

On a aussi du SPNEGO pour nos serveurs RDS. Celui-ci fonctionne.

Mon souci c'est que quand je passe par le proxy explicite pour le SSO si un utilisateur ne faisant pas partie du groupe GG_Int paramètre le proxy dans IE, celui-ci peut naviguer sur Internet.

J'ai bien tenté de rajouter GG_INT dans la règle 19 pour avoir GG_Int@les_LAN mais quand j'active la politique, je n'ai plus d'accès..

 

Je ne comprends pas.

 

Merci

Résolue

2 problèmes de téléchargement liés à FAST

Posée par N.gaugain dans Matériels et performances

Bonjour,

Nous sommes équipés d'un P1206 avec la dernière version du système en 6.09.

Nous sommes passés d'un SDSL de 10Mo à une SDSL de 100Mo.

Depuis lors du téléchargement de la mise à jour JAVA, j'ai ce message d'erreur sur l'ensemble des postes de notre réseau :

---------------------------
Erreur - Programme d'installation de Java
---------------------------
Downloaded File C:\Users\t.mallet\AppData\LocalLow\Oracle\Java\jre1.8.0_91\jre1.8.0_91full.msi is corrupt.
---------------------------
OK   
---------------------------

J'ai donc créé un règle qui permet de sortir par HTTP sans FAST au lieu de HTTP FAST. Et là je n'ai plus de problème.

Idèm pour le téléchargement d'un firmware ici : http://download.lenovo.com/nas/lifeline/px4-300r-4.1.204.33661.tgz

 

Savez-vous d'ou peut venir ce soucis ?

Résolue

Stormshield 1.3 - Connect request not authorized

Posée par Jb dans Fonctionnalités et système

Bonjour,

Sur une appliance SN version 1.3 en mode HA avec proxy explicite activé sur le port 8080, je dois faire transiter une connexion vers un site web en https de type citrix access gateway. L'accès à la page web fonctionne bien.

Problème, lors de la génération du "pinSafe", la requête est bloquée par le firewall et l'image ne s'affiche pas. En effet, une connexion est initiée par le poste client sur un autre site web en https mais sur un port spécifique (TCP/8443). Elle est redirigée vers le port 8080 mais le proxy http rejette cette connexion ("connect request not authorized").

J'ai tenté de placer une règle en suivant la règle du proxy http qui a la tête suivante :

Passer | LAN via proxy http => Site web | Port "any" | inspection IDS

...mais cela ne fonctionne pas.

Avez-vous déjà été confronté à ce cas ? Quelle est la bonne pratique ?

Merci d'avance de votre aide.

Cordialement,

JB

Résolue

Trafic http vers un proxy externe

Posée par Stephane Valibouse dans Administration

Bonjour à tous,

Je dispose d'un cluster SN700 en version 1.2.2 au sein de mon réseau ; je dispose également d'une VM sous linux avec le proxy SQUID et Dansguardian pour filtrer la population qui va sur le net, via une GPO l'adresse de ce serveur proxy est renseignée dans les navigateurs web des postes clients. jusque la tout va bien et cela fonctionne parfaitement. seulement cela ne couvre pas tous les navigateurs web ni les postes MAC ou encore les divers périphériques mobiles.

c'est la que mon post prend tout son sens, je souhaiterais savoir comment je peux au travers du SN700 renvoyer toutes les requetes à destination de l'internet vers cette VM squid afin qu'il n'y ait plus de petit malin qui passe à coté pour aller surfer tranquillement.

merci par avance pour votre aide.

 

Stephane

Résolue

Proxy http et smartphones

Posée par Jb dans Fonctionnalités et système

Bonjour,

Une appliance FAST360 P1206 en HA version 5.0 sécurise un réseau d'entreprise sur lequel est activé un relais http explicite et un réseau Wi-Fi public.

Le client souhaite pouvoir connecter des smartphones sur ce réseau Wi-Fi public.

Si mes souvenirs sont bons, il n'est pas possible d'activer simultanément le relais http explicite et implicite. Quelles solutions s'offrent à nous pour répondre à cette demande ?

Cordialement,

JB

Résolue

Fast 360 et Office 365

Posée par Mof dans Administration

Bonjour;

 

Voila j'ai un soucis concernant la configuration de mon Arkoon Fast 360. Nous avons migré sur Office 365 depuis le client outlook et très long à se connecter à Office 365.

Si je me connecte à Outlook sans passer par le proxy Arkoon la connexion est normales (qqes secondes) si je passe par le proxy la connexion est très longe (5-10 minutes).

Au niveau de l'Arkoon c'est assez il est configuré en proxy HTTP.

J'ai des règles depuis mon LAN vers le PROXY et du PROXY vers Internet pour les flux HTTP et HTTPS. (J'ai crée des HTTP et HTTPS utilisateurs pour ces règles pour régler les soucis de TLS/SSL de Chrome.)

Si je regarde dans les journeaux IP lorsque je lance Outlook, j'ai des bloquages de flux HTTPS vers des adresses 132.245.0.0/16 qui corrrespondent à des serveurs Microsoft Office 365 (cf http://technet.microsoft.com/library/hh373144.aspx) et voir image en PJ de logs IP.

Quelqu'un a t'il rencontré ce genre de soucis ? Pourquoi la rèle par défaut (en...

Voir la suite
Résolue

Problème Fast avec Google Chrome : ClientHello message contains an unknown cipher et Unexpected ApplicationData record

Posée par Guilhem M dans Trucs et Astuces

Bonjour,

Je me permet de publier ce petit billet car cela fait un moment que j'ai un problème de blocage Fast sur les sites en https quand j'utilise google chrome.

Pour résoudre mon problème je me suis inspiré de deux anciens posts de la communauté. Si cela en intéresse certains voici ma démarche.

 

Mon Appliance est en 6.0/2 et donc normalement conforme aux dernières RFC en matière de ssl/tls.

Le problème vient du fait que Google utilise des algo et des protocoles maison qui ne sont pas encore validés dans les RFC, et de mon côté je ne veux pas du tout modifier ma politique Fast, je préfère donc modifier la façon de fonctionner du navigateur en ajoutant des switchs de configuration dans son raccourci.

 

Premier blocage Fast : ClientHello message contains an unknown cipher

A priori cela viendrait du fait que Chrome essaye d'utiliser un algo de chiffrement non identifié dans la RFC (certainement en cours d'implémentation). J'ai cette erreur sur tous les sites...

Voir la suite
Résolue

Skype via le proxy http

Posée par Atchoum dans Fonctionnalités et système

Bonjour,

Sur une appliance FASt 360 en version 6.1, comment autoriser Skype à travers le relais http ?

L'article KB 1327 ne m'aide pas trop, car surcharger les règles du relais pour désactiver l'analyse FAST http/https ne semble faisable que globalement, c'est-à-dire pour tous les clients et tous les serveurs web, ce qui n'est pas trop sécurisé.

En effet, le nombre d'adresses IP publiques de destination pour les flux Skype est tellement important, qu'il est illusoire de les identifier pour restreindre les règles du relais à surcharger; de même, il n'est pas question d'autoriser des utilisateurs à surfer sur Internet via le proxy, sans aucun contrôle applicatif sur les protocoles http ou https.

J'avais cru comprendre que la V6.1 permettrait d'identifier des flux Skype ou Facebook ?

Merci pour votre aide,

===================================================

Le Contexte :

En principe, les utilisateurs surfent sur le web à travers le relais http, mais cela est...

Voir la suite
Résolue

Transfert de fichier sur relais http

Posée par Jb dans Administration

Bonjour,

Nous souhaitons autoriser nos utilisateurs à ouvrir des liens de transfert de fichiers (.zip) à travers le relais http.

L'URL du site en question est du type : https://d.transfer.fr/<nom_de_fichier>.zip
Une catégorie a été créée et autorisée dans les règles applicatives.

Lorsque nos utilisateurs tentent d'ouvrir un lien, le navigateur affiche le message d'erreur "connexion réinitialisée par le proxy".
Du côté des logs IP, nous avons des paquets bloqués entre le client et le proxy pour violation de protocole applicatif. En revanche, dans les logs http, la requête est acceptée (code 200).

Quelqu'un pourrait-il nous éclairer sur ce sujet ?

Cordialement,

JB

Résolue

peer to peer et bittrrent

Posée par Mof dans Administration

Bonjour;

 

J'ai une question toute bête, j'ai un arkoon Fast 360 PS4  en V6.03 et je vousdrais savoir comment faire pour bloquer le peer to peer / bittorrent.Dans ma configuration je n'autorise entre mon Lan et la Zone internet que les flux HTTP / HTTPS / DNS et FTP mais je ne suis pas sure que cela suffise (mais je ne connais pas bien comment fonctionne les protocoles P2P et Bittorrent).

Merci d'avance pour votre aide.

Cordialement

F. Monnot

 

Résolue

FAST 360 Autorisation des activations Windows

Posée par Xavierg dans Administration

Bonjour,

Nous avons récemment mis en place 2 appliances FAST360 en HA (version 6.0/3) et nos utilisateurs surfent sur Internet avec la fonction de relais HTTP et HTTPS. Nous procédons à une authentification Kerberos+Base pour nos users qui doivent faire partie d'un groupe AD pour avoir un accès total. Le proxy est défini à l'aide d'un fichier .PAC.

Nous avons aussi une règle sans authentification qui autorise un surf "minimum" sur certains sites web.

Concernant le filtrage pur, nous bloquons tout par défaut et autorisons seulement ce qui est défini.

Ces règles fonctionnent. Cependant nous rencontrons un problème pour l'activation des machines Windows.  En effet, les machines doivent être capables d'atteindre les sites web suivants :

  • http://go.Microsoft.com/
  • https://SLS.Microsoft.com/
  • https://SLS.Microsoft.com:443
  • http://CRL.Microsoft.com/PKI/CRL/Products/MicrosoftRootAuthority.CRL
  • ... Voir la suite
Résolue

Proxy authentifié / non authentifié (NTLM)

Posée par Michael L. dans Fonctionnalités et système

Bonjour,

je souhaiterais mettre en place le proxy HTTP en mode NTLM + Basic de la manière suivante:

 - règle 1: whitelist autorisée pour tout le monde (pas d'authentification) sur le LAN

 - règle 2: sites sensibles bloqués pour tout le monde (porno, warez, etc..) (pas d'authent.) sur le LAN

- règle 3: navigation vers tous les sites hormis les sensibles (accès authentifiés sur le groupe "super-utilisateurs" du domaine) sur le LAN

 - règle 4: blocage des sites intermédiaires (social_network, ecommerce, games) pour tout le monde (pas d'authent.) sur le LAN

- règle 5: navigation vers tous les sites hormis les sensibles et les intermédiaires (accès authentifiés sur le groupe "administratif" du domaine) sur le LAN

- règle 6: blocage des sites non professionnels (voyages, shopping, vacances) pour tout le monde (pas d'authent.) sur le LAN

- règle 7: navigation vers tous les sites hormis les sensibles, les intermédiaires et les non professionnels (accès...

Voir la suite
Résolue

SMARTWEB & SOPHOS

Posée par Hnicaise dans Fonctionnalités et système

Bonjours, A tous.

depuis 10h00 le 28/11/2013 nous avons de nouveau des problémes de surf via le proxy avec analyse antivirale.

Est il possible d'avoir un moyen d'alerte sur ce probléme spécifiquement, ou sur les boitiers un moyen de tester le systéme smartweb ?

c'est pas la premiére fois, ca se resoud tout seul généralement, mais c'est très très chiant surtout quand ca bloque des sites web qui normalement sont accessible. Je pourrai modifier la conf des Arkoon pour desactiver l'AV mais c'est pas le but, et surtout pour une durée inconnue.

Y a que SOPHOS qui offre ce service ?

Abandonnée

idée d'amélioration

Publiée par Tshai dans Fonctionnalités et système

Filtrage des flux par la geo-localisation de l'IP source de la connexion.

client A dispose d'un site internet accessible en libre, mais il souhaite qrestreindre l'accès aux plages IP de la France uniquement.

Arkoon ne fournit pas cette fonctionnalité. Est il prévu de l'introduire dans une futur version ?

Cette fonctionnalité a été introduite par un autre constructeur, et permet donc de filtrer les connexions - tentatives d'attaques, provenant de pays moins secure (inutile d'en citer)

sans vouloir faire de pub pour la concurence, je poste ce lien à titre informatif seulement : http://yurisk.info/2012/02/09/finally-geo-location-blocking-has-arrived-to-fortigate/

Résolue

Problème de proxy FTP

Posée par brunoT dans Fonctionnalités et système

Bonjour,

J'utilise un cluster d'appliances FAST360 de type P2508, en version 6.0/1.

De temps à autre (on va dire une fois toutes les 2 ou 3 semaines), le proxy FTP de l'appliance se plante et ne répond plus (du tout). Ce phénomène se produisait aussi en version 5, j'espérais une amélioration en 6, mais apparemment le problème est toujours présent. Y a-t-il d'autres personnes qui auraient constaté cela ? Voici les symptômes:

Lorsque le proxy FTP est planté, une demande de connexion à un site FTP reste bloquée:

$ ftp ftp.univ-lyon1.fr
Connected to cisrweb.univ-lyon1.fr.

Et puis plus rien... :-(

Un "ps" montre que le serveur FTP a un souci:

root> ps axf|grep ftp|grep -v grep
16756 ? Ss 18:29 /opt/arkoon/sbin/jftpgw
5688 ? Z 0:00 \_ [jftpgw] <defunct>

Et les logs FTP sur l'appliance (/var/log/jftpgw.log) ne se remplissent plus (mais ne montrent rien d'anormal non plus dans les messages).

 

Un redémarrage du proxy FTP via un "/etc/init.d/ftp restart" résoud...

Voir la suite
Résolue

Utilitaire en ligne de commande pour interroger les catégories ADVANCED_URL ?

Posée par brunoT dans Administration

Bonjour,

Je voulais savoir s'il y avait une commande en ligne sur les appliances, pour interroger la base des ADVANCED_URL et savoir si une URL (ou un pattern) y est présent(e) ou pas. J'ai l'impression d'avoir déjà utilisé une telle commande, mais je ne me souviens plus laquelle, et mon alzheimer me travaille. ;)

Merci !

Résolue

Authentification Kerberos

Posée par Maroqui dans Fonctionnalités et système

Bonjour,

Je rencontre actuellement un problème pour le paramétrage d'un proxy avec authentification kerberos sur un AD 2008R2.

A partir de l'Arkoon je parviens bien à importer mes users, cependant, lors de l'authentification les identifiants ne passent pas.

J'ai déjà paramétré un tel système avec Squid et AD, la conf est quasi identique donc je pense pouvoir y parvenir.

Cependant je ne comprend pas, pour que l'appliance puisse authentifier les users le fichier nsswitch.conf doit bien récupérer les users winbindd (donc AD) mais là rien ...

Aussi si je fais un getent passwd, l'appliance ne voit que les users locaux.

Pour info, avec le wbinfo -u je vois bien les users de l'AD sur l'appliance.

Si quelqu'un peut m'aider je suis preneur.

Merci

Résolue

Proxy url authorisées

Posée par Sylvainboix dans Administration

Bonjour,

Nous utilisons smartssl derriere un proxy. Certains utilisateurs ont des comptes limités qui ne leur permettent accéder qu'à quelques sites spécifiés dans une whitelist. En ajoutant uniquement arkoon.net dans cette liste, les utilisateurs ne peuvent pas se connecter "Le serveur proxy a refusé la connexion: 404 Not Found". Y a t'il d'autres adresses a ajouter?

Résolue

Lenteurs du proxy HTTP

Posée par brunoT dans Matériels et performances

Bonjour,

Suite à notre migratin en version 6.0 il y a quelques jours, nous constatons un problème qui semblait déjà présent en version 5, mais qui se trouve "exacerbé" en version 6.0: de piètres performances du proxy HTTP.

Notre configuration est un peu particulière et potentiellement à l'origine du problème, mais je souhaiterais savoir si c'est bien le cas, et éventuellement comment nous pourrions y remédier (toutes idées bienvenues, donc ! :) ).

Nous avons en effet, pour des raisons historiques, un proxy "squid" devant le proxy HTTP des appliances. Un client interne requérant une page web à l'extérieur passe donc en premier lieu par ce proxy squid, qui retransmet ses requêtes au proxy HTTP Arkoon.

Or, nous constatons une lenteur qui, si elle était tolérable en version 5.0, devient (bizarrement) insupportable en version 6.0, et après avoir réalisé des traces réseau, on constate en effet que c'est au niveau du proxy HTTP Arkoon que des choses se passent. Un...

Voir la suite
Réalisée

Bug sur proxy HTTP si Content-Length > à 2^32 ?

Publiée par brunoT dans Fonctionnalités et système

Bonjour à tous,

Je subis actuellement, sur une appliance FAST360 P-2508, ce qui ressemble fort à un bug, et je voulais savoir si quelqu'un d'autre en avait été victime.

Je tente actuellement de télécharger un fichier très gros (une image ISO de DVD d'environ 4,5 Go), et je récupère un :

HTTP/1.1 502 Proxy Error

de la part du proxy HTTP de l'appliance.

Dans le texte renvoyé à l'utilisateur, on voit, entre autres:

Invalid Content-Length from remote server

 

Les traces réseau récupérées avant et après le proxy montrent bien que le serveur distant, pour sa part, renvoie bien une réponse correcte "HTTP/1.1 200 OK", la seule particularité de cette réponse étant l'en-tête:

Content-Length: 4617043968

Soit un tout petit peu plus que 2^32 (4 294 967 296).

Est-ce un bug connu ? Le proxy HTTP serait-il dans l'incapacité de traiter un Content-Length supérieur à 2^32 ?

 

Merci !

Bruno

Messages d'alerte