Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1699 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  NETASQ U250-A, portail captif, proxy transparent et serveur non SSL

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

NETASQ U250-A, portail captif, proxy transparent et serveur non SSL

n°130447
sonyu
Posté le 21-04-2015 à 11:48:33  profilanswer
 

Bonjour,
 
Je suis technicien réseau dans un lycée et nous disposons d'un NETASQ U250-A en version 9.1.4.1.
 
J'essaye depuis un moment de mettre en place un portail captif pour que les élèves puissent se connecter avec leurs ordinateurs personnels sans qu'ils n'aient à faire la moindre configuration sur leurs PC (à part bien sûr rentrer leurs identifiants et mots de passe sur le portail). A cette fin j'ai mis en place un proxy transparent avec déchiffrage du flux SSL.
 
Tout fonctionne très bien sauf quelques applications, comme Skype, qui utilisent le port 443 pour se connecter. D'après les alarmes remontées dans le monitor, je suppose que le NETASQ bloque la transmission car l'application essaye de se connecter à un serveur non SSL sur le port 443 (j'ai régulièrement l'alarme "paquet SSL invalide" ou "Server is not a SSL one" ).
 
Avez-vous déjà rencontré ce genre de problèmes et avez vous des informations qui pourraient m'aider?
 
Merci beaucoup pour votre aide.

mood
Publicité
Posté le 21-04-2015 à 11:48:33  profilanswer
 

n°130456
skoizer
tripoux et tête de veau
Posté le 21-04-2015 à 16:24:22  profilanswer
 

pourrais tu copier/coller l'alarme pour qu je puisse te dire d'ou ça vient.
qu'as tu ouvert comme port quand ils ce sont identifié sur le protail captif ?


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°130461
sonyu
Posté le 21-04-2015 à 17:56:06  profilanswer
 

Bonsoir Skoizer,
 
Merci de m'accorder un peu de ton temps.
 
Voici une capture d'écran des alarmes bloquantes que j'obtiens dans le monitor :
 
http://www.gap.educagri.fr/images/Alarmes.JPG
 
Et une capture des Règles de filtrage correspondant au portail captif que j'utilise pour mes tests, TIM étant un groupe d'utilisateurs ayant plus de droits que les autres que j'utilise pour les tests et proxy2.realyce.fr le proxy régional vers lequel je dois transférer tout le trafic web :
 
http://www.gap.educagri.fr/images/filtrage.JPG
 
Je précise quand même que j'ai déjà essayé de désactiver l'alarme "Paquet SSL invalide" dans le profil IPS_01 (profil sortant par défaut), j'ai aussi essayé de baisser le niveau d'inspection de la règle 49 à IDS ou Firewall et également de mettre un pass all dans le profil de filtrage SSL "Captif SSL", tout ça n'a rien changé.
 
Mon intuition me dit que la solution doit se trouver du côté de "Protection Applicative" --> "Protocoles" --> "SSL" mais je sèche un peu... Ils en parlent dans la doc mais sans dire comment configurer tout ça :
"Certaines options permettent de renforcer la sécurité de ce protocole. Par exemple, il est possible d’interdire des négociations d’algorithmes cryptographiques considérés comme faibles, de détecter des logiciels utilisant le SSL pour passer outre les politiques de filtrage (SKYPE, proxy HTTPS,…)."
 
http://www.gap.educagri.fr/images/SSL.JPG
 
Encore merci pour ton aide.

n°130484
skoizer
tripoux et tête de veau
Posté le 22-04-2015 à 11:49:33  profilanswer
 

si c'est le plugin ssl en sortie qui te bloque. La je ne sais pas.
Je ne déchiffre pas le https pour des raisons légale.  
Je ne suis pas allé assez loin sur le netasq.


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°130506
splinter_f​ive0
Posté le 22-04-2015 à 18:43:39  profilanswer
 

Je me permets de m'incruster sur ton topic car il m'intéresse : c'est ton netasq qui gère directement l'authentification / base utilisateur / portail captif ?  
 
Sinon pour ton problème, tu pourrais pas créer une règle pour autoriser le passage sur le port 443 non ssl ?

n°130519
sonyu
Posté le 23-04-2015 à 09:35:02  profilanswer
 

@ Skoizer : Tant pis... Merci d'avoir essayé, j'ai posté sur 5 forums, tu es le seul à avoir répondu...
 
@splinter_five0 : Le NETASQ se synchronise avec l'Active Directory. Ensuite j'ai une authentification transparente sur un VLAN avec agent SSO et un proxy explicite imposé par GPO et une authentification par portail captif et proxy transparent sur un autre VLAN. Ce qui me permet d'une part d'avoir des logs nominatifs de l'activité des utilisateurs et d'autre part de filtrer par profils d'utilisateurs.
 
Pour ton idée, ce serait trop beau... Mais je dois déchiffrer tout le trafic SSL pour rediriger vers le portail captif et c'est, à priori à ce moment là que ça bloque... Je ne vois pas comment mettre une règle avant ça qui ne gère que le trafic non SSL sur le port 443. Si tu as une idée de comment écrire cette règle, je suis preneur...

n°130751
Tolb
Posté le 30-04-2015 à 21:18:48  profilanswer
 

Salut,
 
As tu regardé dans la base de sur le site mystormshield?
Il y a un document qui explique comment faire passer skype.

n°130946
sonyu
Posté le 11-05-2015 à 15:56:39  profilanswer
 

Bonjour et merci Tolb,
 
Je suppose que tu parle du site https://mystormshield.eu/
 
Malheureusement je n'ai pas accès à cet espace, c'est le prestataire qui nous fournit les équipements qui détient les identifiants pour les lycées de la région et ils refusent de nous les fournir... Je vais quand même leur redemander, on ne sait jamais.
 
Si tu as accès à ce document, tu pourrais me le fournir?
 
Merci d'avance.

n°130987
Tolb
Posté le 13-05-2015 à 07:01:17  profilanswer
 

Salut,
 
Regarde tes MP.
Il y a aussi la méthode du bypass sur la destination.
Pour cela il faut récupérer les plages d'IP de Skype.
 

n°131208
splinter_f​ive0
Posté le 25-05-2015 à 15:23:31  profilanswer
 

bonjour,
 
je pense que Tolb parle de la base de connaissance. En fait chez Stormshield tu peux accéder au support uniquement si tu es Certifié au niveau expert à minima, c'est surement pour cette raison qu'on ne te fournit pas les identifiants.  
 
Par contre tu as quand meme accès à la base de connaissance Stormshield gratuitement :
 
http://documentation.netasq.com/fi [...] etips3.htm
 
Ce lien évoque skype et le ssl , et effectivement les options évoquées sont celles que tu as montrées dans ton screenshot, as-tu essayé de désactiver la prévention d'intrusion ? tu as quoi dans l'onglet proxy ?

mood
Publicité
Posté le 25-05-2015 à 15:23:31  profilanswer
 

n°131213
sonyu
Posté le 26-05-2015 à 09:12:29  profilanswer
 

Bonjour splinter_five0,
 
Tolb parlait bien du support de Stormshield et pas de la documentation vers laquelle pointe ton lien. Il m'a envoyé le document dont il parlait par MP en PDF, je devais lui répondre ici mais à force de reporter...
 
J'en profite donc pour dire merci à Tolb pour ces informations intéressantes. J'ai mis à jour le proxy, par contre je ne parviens toujours pas à faire fonctionner Skype sans proxy explicite, je vais essayer la méthode du Bypass sur la destination mais je n'y crois plus trop. Je pense que le fait d'avoir une redirection vers un second proxy régional complique les choses.
 
Splinter, oui, j'ai essayé de désactiver la prévention d'intrusion, comme plein d'autres choses, sans succès...
Voici une capture d'écran de l'onglet proxy :
 
http://www.gap.educagri.fr/images/SSL-Proxy.JPG
 
J'avoue que j'avais un peu laissé tomber, surtout que maintenant j'ai un nouveau soucis, Youtube ne fonctionne pas non plus sur ce VLAN, et là je ne comprends pas du tout pourquoi mais c'est un autre problème.
 
Merci pour votre aide, Bonne journée.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  NETASQ U250-A, portail captif, proxy transparent et serveur non SSL

 

Sujets relatifs
Monitorer la disponibilité d'un serveur avec MRTGAlertes SSL - Fortigate
Netasq: Site internet bloquéVeeam Backup - Dimensionnement serveur Physique
[Resolu]Suppression des traces sur NetasqConseil Configuration Serveur win 2012
Shéma réseau d'un serveurPortail captif
Plus de sujets relatifs à : NETASQ U250-A, portail captif, proxy transparent et serveur non SSL


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR