Bonjour à tous,
Je vais bientôt créer un pti réseau à domicile derrière une freebox.
Question bête, mais si je ne passe pas par un server, est il possible de surveiller le téléchargement de fichier des autres bécanes du réseau ?
Sinon je pense que je vais être obliger d’installer un petit server mais ça m’embête un peu.
Merci d’avance;
Bonjour,
Via la freebox, je ne crois pas que ce soit possible. Un serveur (proxy) devrait faire l’affaire.
Cependant, je suppose que tu souhaites mettre en place une telle mesure pour les enfants. Je t’invite à éviter de les brider mais plus de les éduquer à l’internet, qu’ils sachent ce qu’ils font et dans quelles mesures le téléchargement est illégal et dangereux, notament pour toi. Car même si tu les brides, d’autres solutions existent. Les reponsabiliser semble encore être la meilleure initiative (sous contrôle parental et pourquoi pas sous contrôle informatique également). Mais le bridage ne règlera pas le problème.
Cordialement,
AtY
Edité le 30/01/2008 à 15:40
Bien sur eduquer c’est necessaire… mais je pense que la mise en place d’un filtrage est aussi necessaire…
tu as beau eduquer, un enfant est un enfant, il voudra toujours faire ce qui est interdit…
Donc si tu met en place un bon proxy transparent et un bon pare feu il n’y aucun moyen de passer outre
Ho que si tu peux passer outre : JAP (Jondo Anonym Proxy) et ton proxy il sert plus à rien.
Explique moi que je m’instruise 
Je pars du principe, que j’ai mis en place un restriction sur mon pare feu ou mon routeur, qui n’accepte que L’ip de mon proxy d’aller vers l’exterieur…
je bloque bien sur aussi tous les ports et tous les protocoles…
Mon routeur ou pare feu n’accepte que l’ip du proxy a sortir du lan et que le protocole HTTP et HTTPS…
Bien sur j’ai mis en place un Proxy Squid + Squidguard
Et j’ai bien sur fait un bloquage de tous les serveur proxy decentralisé
Edité le 30/01/2008 à 17:19
En fait JAP est un outils qui permet de chiffrer toutes les communications qui vont vers l’extérieur. Ton proxy n’étant pas capable de déchiffrer en temps réel, il ne sait pas à qui tu t’adresses. Les ports changent tout le temps en sortie et l’outil change de proxy toutes les x secondes (pas le tien, mais ceux qui sont dispos sur internet… il y en a des gratuits et des payants).
C’est pas très rapide avec les services gratuits, mais ça permet de passer ce genre de restriction et la configuration est un jeu d’enfant.
Je l’utilise en environnement professionnel où les proxy et routeurs font bien plus que le moindre outil domestique.
Et pour les proxy décentralisés bloqués, ce n’est valable que si les adresses IP de ces proxy sont lisibles dans les trames. Comme c’est chiffré en temps réel, pas de trame lisible, donc pas de blocage ;). Je t’avoue par contre ne pas savoir comment est initiée la première connexion, dont l’adresse du proxy décentralisé doit être en clair. Il faudrait pousser un peu plus loin et je n’en ai pas pris le temps.
JAP utilise bel et bien ton proxy et ne le contourne pas. Les tuyaux restent les mêmes, c’est le contenu qui diffère. Pour information, certain routeur et firewall sont sur le point d’être mis au point pour éviter ce genre de choses. Affaire à suivre donc.
Un must have.
AtY
Edité le 30/01/2008 à 17:37
J’avais bien compris ce que faisait JAP, mais comme je te l’ai dit, il est possible et je le fait en entreprise de tenir à jour une base de données qui recense tous les open proxy externe et bien sur les bloquer… Bon après y a toujours moyens de faire soi meme un proxy sur un serveur dédié, mais là c’est pareil, a la vision des logs on voit toujours si une IP est insistante…
Même si la communication est chiffré, il doit forcément à moment donné demander la page au proxy de l’entreprise…
Le but même du proxy est de fournir les pages qu’un client lui demande… donc même avec JAP le proxy aura besoin de l’ip de destination pour aller télécharger la page…
Pour finir, la sécurité ne s’arrete pas non plus au proxy, on évite ce genre de probleme en donnant au utilisateurs des comptes limités… sans le droit d’installation…
Bien entendu, avec un compte limité, ça pose problème, sauf que JAP est une application portable qu’il n’est pas nécessaire d’installer sur le poste que tu vas utiliser
Et bien entendu, avec une base des proxy en question, c’est plus simple à bloquer
Ceci dit, travaillant de manière régulière chez des grands comptes qui ont le même type de fonctionnement que le tien, je n’ai encore rencontré aucun problème avec JAP. Tous m’ont laissé passer. Son seul défaut, c’est un peu longuet quand même (certainement du au chiffrement en temps réel.
Par contre, je ne comprends pas ce que tu entends par : “il doit demander la page au proxy de l’entreprise”. Car c’est justement le but d’un outil de ce type, il ne demande jamais la page au proxy de l’entreprise (la page que je cherche à visiter et qui est normalement bloquée). J’ai du mal comprendre je pense.
En gros JAP, c’est une application qui fait office de proxy en local sur la machine. On paramètre donc les navigateurs pour causer avec ce proxy sur l’interface 127.0.0.1. Cette application va ensuite discuter au travers du proxy d’entreprise, de manière chiffrée, avec un proxy distant, qui lui seul va aller chercher la page de destination pour la renvoyer, toujours en chiffrée, au proxy local installé sur la machine qui ensuite la redonne au navigateur. Donc en gros, le proxy d’entreprise ne verra jamais l’adresse de la page que je souhaite visiter.
Maintenant, je suis d’accord qu’avec de meilleurs verrous qu’un proxy, ceci doit être assez facilement bloquable et détectable si utilisé.
AtY
Edité le 30/01/2008 à 23:10
J’essairais de l’installer en local pour tester et voir les logs que ca genere sur le proxy de l’entreprise… mais je suis quand même sceptique quant au fait qu’il va dirctement se connecter à un serveur externe tout en passant par le proxy…
Le fonctionnement normal d’un proxy HTTP est d’aller chercher les pages à la place du client … et pas de laisser le client traverser le proxy pour aller se connecter à l’exterieur…
Je fais un test en me connectant en VPN sur mon réseau et je reviens poster
Bon je viens de tester, et en effet on peut bien surfer en passant par jap…
Comme je suis assez curieux j’ai bien sur été voir les logs du proxy…
Et on voit bien une connexion au serveur de proxy a chaque premiere connexion…
Donc je suis qd meme bliffé de la facilité de mise en place, pour une fois qu’un proxy anonyme mache direct…
Par contre quand le sait je pense qu’il est facilement bloquable…
En fait c’est simplement un logiciel qui va aller attaquer un proxy externe par flux http crypté, par contre il est bien sur évident que les proxy externes ecoute sur le port 80 ou le 443 et non sur le classique 3128 pour squid…
A coté de ca… voial les logs générées pour un surf sur une ou deux pages olé olé
192.168.13.9 TCP_MISS/200 3684 GET 85.31.187.19… - DIRECT/85.31.187.19 text/xml
1201722618.040 188 192.168.1.9 TCP_MISS/200 718 GET 85.31.187.19… - DIRECT/85.31.187.19 text/xml
1201722622.004 73 192.168.1.9 TCP_MISS/301 723 GET 87.230.9.148… - DIRECT/87.230.9.148 text/html
1201722622.132 45 192.168.1.9 TCP_MISS/404 639 GET 87.230.9.148… - DIRECT/87.230.9.148 text/html
1201722641.415 181304 192.168.1.9 TCP_MISS/504 1462 GET 83.133.121.12… - NONE/- text/html
1201722656.828 180098 192.168.1.9 TCP_MISS/504 1548 GET 83.133.121.12… - NONE/- text/html
1201722687.890 79 192.168.1.9 TCP_MISS/301 813 GET 87.230.9.148… - DIRECT/87.230.9.148 text/html
1201722688.061 42 192.168.1.9 TCP_MISS/404 685 GET 87.230.9.148… - DIRECT/87.230.9.148 text/html
1201722688.288 110 192.168.1.9 TCP_MISS/200 718 GET infoservice.inf.tu-dresden.de… - DIRECT/141.76.45.37 text/xml
1201722694.332 241213 192.168.1.9 TCP_MISS/200 2642072 CONNECT 141.76.45.33:443 - DIRECT/141.76.45.33 -
Comme je le disais le meilleurs moyens est trouvé une liste mise a jour de ses serveurs qui pourrissent les réseaux d’entreprises
Et bien je n’avais pas été regarder sur mon proxy, merci pour les infos, maintenant on voit mieux comment il marche.
Et oui en effet, ça marche plutôt pas mal. Ne pas diffuser de trop hein, c’est grâce à ce logiciel que j’accède à mes mails professionnels qui me font manger tous les jours donc chut 
Et oui, si on en abuse, ça pourrit les réseaux d’entreprises, je suis d’accord. Donc il faut l’utiliser à des fins intelligentes et uniquement pour des raisons bien déterminées
AtY
Edité le 30/01/2008 à 21:27
Enfin pour ma part, c’est une étude pour mieux le bloquer
Là où tu risques de rencontrer des difficultés, c’est qu’il peut être configuré pour changer de proxy sur un intervalle régulier sur une liste de proxy qui semble être vraiment importante.
De plus, il peut être installé sur une machine hors du réseau que tu gères et peut servir de passerelle.
Le niveau de chiffrement peut également être augmenté (en fonction du service utilisé, payant ou gratuit).
Beaucoup de boulot à priori si tu ne veux pas que ça passe.
En même temps, il faut connaitre l’outil et je ne pense pas qu’il soit connu de tous.
AtY
Edité le 30/01/2008 à 23:12
je connaissais torpark ok pour l’anonymas mais c’était pas du tout rapide le surf ! En tout cas , c’est un outil indispensable pour passer outre les proxy qui te pourrissent de pub sur les Wifi gratuit
Edité le 31/01/2008 à 00:09
Wahoo!
Merci de vos réponses, j’ai aussi vu qu’un mini débat semblait prendre la mesure.
Je vais lire tout ça cela dit, ce n’est pas tout a fait mon problème. En fait je vais me mettre en coloc avec deux amis. La connexion est a mon nom, je ne télécharge pas mais même si j’explique qu’il ne faut pas le faire, un fichier peut vite se télécharger … Donc bon…
En tout cas je vais regarder dans vos rep si je trouve des trucs interessants. Sinon je pense que je vais ma fabriquer un truc avec M0n0wall