Bonjour,
Je cherche une solution pour limiter les accès a plusieurs machine (PC, tablette) à une 10enne de sites internet, le but étant de mettre en libre-service, sans authentification. Impossible de travailler sur adresse ip ou domaine puisque souvent un domaine appelle d'autre domaines pour charger script / images ...
Sur mon ucopia, je peux enregistrer les adresses mac et définir des url accessibles sans authentification, mais je suis bloqué dès lors que je cherche à autoriser des sites comme skype qui fait appel à ces centaines d'url distinctes, qui évoluent tout le temps.
Merci
Pi-Hole ? C'est pas le plus sécurisé mais si c'est du PC en libre service (donc je présume sans accès aux paramètres réseaux) ça peut faire le job je pense.
-- Kevin
Pour des tablettes (genre iPad) je sais qu'il existe un "mode présentation" où pour visiter autre chose il faut un mot de passe.
Pour PC il doit sûrement exister un soft similaire et ne laisser que ce navigateur en question visible sur le Bureau : https://en.wikipedia.org/wiki/Site-specific_browser
Le 01/10/2020 à 2:08 PM, PAILLE Jeremie a écrit :
Quelle différence entre Pi-Hole et une allowlist ?
Le jeu. 1 oct. 2020 à 14:40, Nicolas GIRARDI n.girardi@gmail.com a écrit :
Argument acceptable, ça me convient.
Mais comme j'aime bien essayer de comprendre, je ne vois pas en quoi cela "corrige" le soucis d'un accès a microsoft.com qui charge des applets via le domaine msft.com ou msftcdn.com voire akamai.com. Faut quand même se taper l'exhaustivité à la main, ou j'ai raté un truc quand j'ai testé.
Le jeu. 1 oct. 2020 à 14:48, Guillaume guillaume@ophane.net a écrit :
Je crois que le problème de l’OP c’est de pouvoir facilement accepter les sites qui dépendent de 157 domaines autres pour s’afficher correctement (187 si on ajoute les pubs), sans avoir à se pelucher les 157 domaines.
Peut-être en autorisant les requêtes qui contiennent le domaine en question en REFERRER ?
Ouais …. Je vois quand meme qu’il n’y a pas de solution miracle, il faut forcement passer par une usine à gaz en listant toutes les URL. ..
From: FRsAG frsag-bounces@frsag.org On Behalf Of Pierre-Philipp Braun Sent: jeudi 1 octobre 2020 17:15 To: Adrien Rivas tera.al@gmail.com Cc: frsag@frsag.org Subject: Re: [FRsAG] limiter les accès internet à une poignée de site internet.
Avec Squid et Squidguard à l’ancienne, il y avait moyen de définir une police bloque-tout et de n’autoriser que quelques sites cibles. À voir si ça marche toujours pour de SNI ssl au lieu de vhosts http... De mémoire il y a aussi des ACL pour filtrer les clients
On 1 Oct 2020, at 14:52, Adrien Rivas <tera.al@gmail.commailto:tera.al@gmail.com> wrote: Argument acceptable, ça me convient.
Mais comme j'aime bien essayer de comprendre, je ne vois pas en quoi cela "corrige" le soucis d'un accès a microsoft.comhttp://microsoft.com qui charge des applets via le domaine msft.comhttp://msft.com ou msftcdn.comhttp://msftcdn.com voire akamai.comhttp://akamai.com. Faut quand même se taper l'exhaustivité à la main, ou j'ai raté un truc quand j'ai testé.
Le jeu. 1 oct. 2020 à 14:48, Guillaume <guillaume@ophane.netmailto:guillaume@ophane.net> a écrit : On 01/10/2020 14:43, Adrien Rivas wrote:
Quelle différence entre Pi-Hole et une allowlist ?
le Buzz _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bonsoir,
Je ne sais pas pour squid, mais pour le PiHole, il y a des listes noires toutes faites, présélectionnées selon le DNS résolveur choisi. Il y a aussi des listes noires pour DNSfilter sur Android/frdoid. C'est de simples fichiers texte que tu peux concaténer à un fichiers host et redirigés ers 127.0.0.1. Si tu montes un DNS résolveur local, tu peux réutiliser ces listing (il doit aussi y en avoir pour unbound).
Si l'idée est de faire une liste blanche, ça devrait aller plus vite.
Cordialement
Le 1 octobre 2020 17:35:59 GMT+02:00, PAILLE Jeremie Jeremie.PAILLE@arhm.fr a écrit :
Sauf que son besoin c'est d'avoir une liste blanche restreinte, mais une expérience utilisateurs réussie. En gros une solution qui, pour de la navigation web, est capable d'offrir l'accès à un site whitelisté et d'implicitement autoriser dans la page les différents liens vers d'autres sites / catégories de sites, dans la mesure où ces urls ne tomberaient pas dans des catégories explicitement bloquées, comme du phishing, serveur C&C, P2P, radio, etc...
Le jeu. 1 oct. 2020 à 17:52, Rémy Dernat remy.dernat@umontpellier.fr a écrit :
Le 01/10/2020 à 17:55, Adrien Rivas a écrit :
Bonjour,
Pi-Hole permet ça. Un joker sur la BL + la liste sur la WL. Par contre, comme ce n'est qu'au niveau résolution de nom, soit on verrouille sur chaque poste les résolveurs utilisés, soit un user un peu bidouilleur pourra facilement outre-passer. (Comme on le fait sur une connexion jaune très foncé…) C'est sûr que ça prendra un peu de temps de lister toutes les URL à mettre dans la WL et que cela ne tiendra pas sur le long. Y'aurait-il un outil qui pourrait parer au dynamisme d'Internet ? :-D
Ha ! Aussi, depuis la version majeure, Pi-Hole permet de faire des groupes de règles et c'est vraiment ce qui lui manquait… Maintenance = quasi zéro. 2 lignes de commandes et poaf, ça tombe en marche avec upgrade et màj, même sur un Rpi pour une 15aine de users (qu'en dire sur une VM cossue…).
Cerise sur le MacDo, on peut filtrer avec des RegEx.
Cdt,
Le 01/10/2020 à 18:39, mlrx via FRsAG a écrit :
[…]
Cdt,
Peut-être http://www.alcasar.net ?
Le 01/10/2020 à 17:55, Adrien Rivas a écrit :
Idée peut-être un peu stupide, mais pourquoi pas partir d'une liste de sites autorisés, et lancer un client qui va effectivement se connecter et produire une liste de toutes les dépendances pour les autoriser ?
Évidemment, ça suppose de pouvoir le faire notamment pour les sites qui nécessitent de l'authentification et autres blagues hors HTTP, mais bon, ça doit pouvoir se scénariser ;)
@+ Gilou
On Thu, 1 Oct 2020 12:08:22 +0000 PAILLE Jeremie Jeremie.PAILLE@arhm.fr wrote:
euh…
dans le fichiers hosts, (/etc/hosts ou l'autre host)
127.0.0.1 www.examples.com // NDD à remplacer par un de ceux que vous voulez interdire, et à copier à raison de une ligne par autant de NDD à interdire ?
?
Le tout dans un système en mode kiosque.
(Non ?)
On Fri, 2 Oct 2020 01:25:34 +0200 David Ponzone david.ponzone@gmail.com wrote:
Ah riche idée, comme ça, il n’a que 1.8 milliards de FQDN de sites web à mettre dans son /etc/hosts :)
Aurais-je mal lu le mail initial ?
"> From: PAILLE Jeremie Jeremie.PAILLE@arhm.fr
Une dizaine de sites internet, n'est-ce pas une dizaine de noms de domaines ?
Salut,
Je pense que c'est l'inverse, Jérémie souhaite autoriser l'accès à une dizaine de sites et bloquer de ce fait l'accès aux autres domaines.
Le ven. 2 oct. 2020 à 03:37, contact@orditux.org a écrit :
Je pense que c'est l'inverse, Jérémie souhaite autoriser l'accès à une dizaine de sites et bloquer de ce fait l'accès aux autres domaines.
oui mais tout le monde répond à côté de la plaque depuis le début, il a bien indiqué "une dizaine de sites" mais il a aussi dit que la difficulté n'est pas de lister les sites autorisés, mais plutôt toutes leurs dépendances (scripts/images/css accédés sur d'autres *noms* que celui du site principal). Et ça c'est loin d'être aussi simple que de coller un pi-hole dans un coin.
Salut,
je ne vois pas de solution facile. Ce qui pourrait être fait: avoir une VM du système qui "crawle" régulièrement les sites webs, avec quelque chose comme selenium (navigateur instrumenté en python ou d'autres langages) et enregistre l'ensemble des IPs / domaines avec qui ça communique, pour ensuite autoriser au cas par cas au niveau du résolveur et du pare-feu.
Bien evidemment, c'est loin d'être une solution toute prête, mais j'imagine qu'en quelques jours de travail ça peut se faire de manière assez propre.
My 2 cents,
Rémy
On 02/10/2020 09:09, Sebastien Guilbaud wrote:
Bonjour Remy,
J’en viens à la même conclusion que toi, il n’y a rien de simple et tout fait, il reste tout à faire …. Je test actuellement Pihole mais j’ai le sentiment que le travail est le même qu’en définissant les adresses sur un proxy…
C’est quand même mal foutu …
From: FRsAG frsag-bounces@frsag.org On Behalf Of Rémy Grünblatt Sent: vendredi 2 octobre 2020 09:13 To: Sebastien Guilbaud sguilbaud@gmail.com; frsag@frsag.org Subject: Re: [FRsAG] limiter les accès internet à une poignée de site internet.
Salut,
je ne vois pas de solution facile. Ce qui pourrait être fait: avoir une VM du système qui "crawle" régulièrement les sites webs, avec quelque chose comme selenium (navigateur instrumenté en python ou d'autres langages) et enregistre l'ensemble des IPs / domaines avec qui ça communique, pour ensuite autoriser au cas par cas au niveau du résolveur et du pare-feu.
Bien evidemment, c'est loin d'être une solution toute prête, mais j'imagine qu'en quelques jours de travail ça peut se faire de manière assez propre.
My 2 cents,
Rémy On 02/10/2020 09:09, Sebastien Guilbaud wrote:
Je pense que c'est l'inverse, Jérémie souhaite autoriser l'accès à une dizaine de sites et bloquer de ce fait l'accès aux autres domaines.
oui mais tout le monde répond à côté de la plaque depuis le début, il a bien indiqué "une dizaine de sites" mais il a aussi dit que la difficulté n'est pas de lister les sites autorisés, mais plutôt toutes leurs dépendances (scripts/images/css accédés sur d'autres *noms* que celui du site principal). Et ça c'est loin d'être aussi simple que de coller un pi-hole dans un coin.
-- seb
_______________________________________________
Liste de diffusion du FRsAG
Re-Bonjour,
Je me rend compte que j'ai vu la chose seulement d'un point de vue "réseau", et pas d'un point de vue "utilisation".
C'est aussi possible d'installer un firefox en mode Kiosk ( https://support.mozilla.org/en-US/kb/firefox-enterprise-kiosk-mode ) et de le limiter à quelques domaines (c'est beaucoup plus simple), avec par exemple https://addons.mozilla.org/fr/firefox/addon/simple-regex-blocker/
Ici, c'est ce que j'ai fais avec un firefox lancé dans son serveur X qui redémarre automatiquement si on appuit sur escape.
Rémy
On 02/10/2020 09:21, PAILLE Jeremie wrote:
(c'est plus pour compléter mon message précédant que pour le remplacer, notons, la question de la découverte des domaines reste, mais si c'est des $gros_sites, ça devrait pas trop changer dans le temps, en tout cas il devrait être possible de trouver quelques regex assez rapidement)
(désolé pour le spam)
Bah, déjà, y'a pas forcément intérêt à autoriser les 250 autres domaines appelés par lemonde.fr, puisque c'est majoritairement de la pub et du tracking inutile.
Ensuite, comme écrit dans le message d'après: « la question de la découverte des domaines reste, mais si c'est des $gros_sites, ça devrait pas trop changer dans le temps, en tout cas il devrait être possible de trouver quelques regex assez rapidement »
Si je prends lemonde.fr, puisque c'est ton exemple: un whitelist de lemonde.fr et de lmde.fr (et leurs sous-domaines) permet d'avoir un site web qui fonctionne très bien :)
Je me permet, pusique c'est vendredi: https://xkcd.com/1205/
Rémy
ps: c'est referrer / referer, pas refer, non ?
On 02/10/2020 10:07, David Ponzone wrote:
Un truc qui peut aider et que j'utilise sur les browsers compatibles, c'est l'extension NoScript qui permet d'afficher tous les domaines appelés par une page web. Par exemple, si je vais sur le site lemonde.fr, je passe en fiable le domaine lemonde.fr puis je vois tous les autres domaines bloqués. Si la page à un problème d'affichage je vérifie si je ne dois pas passer un autre domaine en fiable (attention d'ailleurs car en activant un autre domaine cela déclenche souvent des requêtes vers d'autres domaines également).
Bref, ce n'est pas forcément l'outil miracle mais cela permet de tester des domaines et faire le tri sur ce qu'il faut laisser passer ou non pour un fonctionnement de base tout en bloquant le reste.
Le ven. 2 oct. 2020 à 11:16, Rémy Grünblatt remy@grunblatt.org a écrit :
Oui, et je le redis (je dois trop dire de conneries, plus personne me lit), la solution c’est le Referer :) D’ailleurs McAfee sait le faire:
https://community.mcafee.com/t5/Web-Gateway/Whitelist-and-external-reference...
Ca sera probablement pas parfait. Si McAfee sait le faire, je pense que Squid aussi, quand même.
Le 2/10/20 à 09:16, David Ponzone a écrit :
Oui, acl aclname referer_regex
http://www.squid-cache.org/Doc/config/acl/
Par contre, je ne sais pas à quel point ça se contourne facilement pour avoir accès à plus de sites que permis. Et si le navigateur envoit bien le referer pour toutes les requêtes, notament, il faut peut-être forcer la valeur du Referer policy https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy
Xavier.
-
Adrien Rivas -
Anthony Deshayes -
contact@orditux.org -
David Ponzone -
Garfieldairlines on lists -
Gilou -
Guillaume -
Kevin -
mlrx -
Nicolas GIRARDI -
PAILLE Jeremie -
Pierre-Philipp Braun -
Rémy Dernat -
Rémy Grünblatt -
Sebastien Guilbaud -
William Bonnet -
Xavier Claude