Interdire l'accés au vpn

Ce forum est dédié à PF Sense, une distribution open-source, basée sur FreeBSD et destinée à la mise en place d'un routeur firewall. Une description est donnée sur le portail phénIXUS : http://www.ixus.net/pfsense-2/.

Interdire l'accés au vpn

Message par ben350ci » 12 Mars 2012 14:03

Salut,
j'aimerai connaitre les moyens que vous avez mis en place pour empêcher l'utilisation de vpn pour outrepasser les limitations du proxy.
J'utilise pfsense 1.2.3 avec le proxy squid et squidguard.
Avec les blacklist de http://www.shallalist.de/ il y a la catégorie "anonvpn" mais, ou bien elle est pas suffisamment remplie, ou alors ça ne fonctionne pas.
J'ai bloqué le port 443 mais j'empêche ceux qui veulent bosser d'accéder aux sites sécurisés.
Donc en attendant de trouver la solution le port est ouvert et donc l'accès est possible via les serveurs vpn.
Merci de votre aide.
ben350ci
 
Message(s) : 16
Inscription : 24 Jan 2012 15:37
Localisation : 84

Re: Interdire l'accés au vpn

Message par Franck78 » 14 Mars 2012 22:30

Salut,

C'est pas nous qui te diront si ton filtrage squidguard fonctionne ou pas. Tu peux tester facilement avec le une url que tu sais interdite...

Ensuite squid/squidguard n'agit que quand il est sollicité. Ca veut dire qu'un client VPN n'a strictement aucune obligation d'utiliser squid... Il peut contacter son serveur sur n'importe quel autre port.

Donc la liste 'anonvpn' est a prendre dans le sens filtrage des serveurs ventant leurs services de vpn.

La solution est classique, à chaque découverte d'une IP+port illicite, règle firewall + leçon au contrevenant.

bye
Franck78
 
Message(s) : 525
Inscription : 11 Sep 2011 16:04
Localisation : France

Re: Interdire l'accés au vpn

Message par ben350ci » 21 Mars 2012 16:45

Mon filtrage fonctionne, ce n'était pas la question. Je pense que peut-être la BDD shallalist n'est pas mise à jour assez souvent.

Ensuite squid/squidguard n'agit que quand il est sollicité. Ca veut dire qu'un client VPN n'a strictement aucune obligation d'utiliser squid... Il peut contacter son serveur sur n'importe quel autre port.


J'ai bloqué tout les ports en sortie mis à part les port utilisés communément lors d'une navigation internet et mails. Donc si le client veut communiquer avec le serveur vpn il doit utiliser les ports autorisés par le firewall.

La solution est classique, à chaque découverte d'une IP+port illicite, règle firewall + leçon au contrevenant.


Donc c'est la seule solution fiable/viable que vous utilisiez?
ben350ci
 
Message(s) : 16
Inscription : 24 Jan 2012 15:37
Localisation : 84

Re: Interdire l'accés au vpn

Message par jdh » 21 Mars 2012 17:11

De l'intérêt d'un proxy séparé : on peut interdire tout trafic à tous PC sauf le proxy (et que pour les port usuels).

Sans compter que le proxy séparé et dédié permet aisément d'archiver les logs d'accès (ce qui est conforme à la règlementation).
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: Interdire l'accés au vpn

Message par ben350ci » 21 Mars 2012 22:20

Je me suis monté une debian déjà pour le proxy, on en a parlé sur l'autre sujet. Je suis déjà convaincu du besoin de séparer les deux outils.
Ce que je voudrais approfondir c'est le blocage des vpn.
ben350ci
 
Message(s) : 16
Inscription : 24 Jan 2012 15:37
Localisation : 84


Retour vers pfSense

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité

cron