URL: https://linuxfr.org/forums/linux-general/posts/filtrage-ssl
Title: Filtrage SSL
Authors: skarpiste
Date: 2014年11月14日T17:55:01+01:00
License: CC By-SA
Tags: 
Score: 2
Bonjour a tous 
C'est mon premier poste linuxfr
Je travaille dans un établissement scolaire et nous avons installé le wifi partout.
D’après la loi je doit bloquer le porno et faire du log sur les connexions qui circule sur mon wifi.
Actuellement nous utilisons la technique du wpad proxy avec un squid/squidguard authentifiant.
Si la navigation par wpad n'est pas configuré cela les redirige vers une page qui leur expliques comment activer celle-ci. 
Cette technique nous permet de filtrer le http/https en et de filtrer en fonction des groupes de notre samba4.
------------
J'aimerais maintenant pouvoir connecter les smartphones ou tablettes au wifi. 
Malheureusement le wpad n'est pris en charger ni sur ios ni sur android ni sur windows phone.
Certe je peut rentrer à la main le proxy dans les réglages wifi mais seul les IOS prennent en charge le proxy authentifiant. Android le permet mais uniquement avec l'application sandroproxy et windows phone je n'ai pas trouvé.
De plus je voudrais une solution qui ne nécessite aucune configuration sur les postes.
 
------------
Je cherche donc une nouvelle solution.
J'ai donc essayé alcasar mais je recontre des soucis de charge au delà de 60 utilisateurs et le serveur plante (problème de charge cpu).
------------
J'ai pensé abandonner le filtrage par groupe et faire un proxy transparent. Les utilisateurs seraient authentifiés grâce a un portail captif. (je pense notamment a packetfence)
 
Seulement, j'arrive a filtrer le http mais je ne parvient pas a trouver de solutions efficace pour filtrer le https.
je peux donc filtrer le ssl avec:
- Squid-in-the-middle SSL Bump (je ne trouve pas que ce sois la bonne manière de filtrer le ssl, faudrait me convaincre)
- dnsmasq avec des blacklist 
(facilement détournable avec un dns local dans le host par exemple) 
- bloquer les adresses ip des sites avec iptables
(compliquer pour les hébergements mutualisés comme ovh, on peut bloquer toute une série de site pour un seul site bloqué )
Je suis donc un peu bloqué.
Avez vous des idées ?
Simon
</div><div class="naked_ctrl">
<form action="/index.cgi/contrast" method="get" name="gate">
<p><a href="http://altstyle.alfasado.net">AltStyle</a> によって変換されたページ <a href="https://linuxfr.org/forums/linux-general/posts/filtrage-ssl.md">(-&gt;オリジナル)</a>
/ <label>アドレス: <input type="text" name="naked_post_url" value="https://linuxfr.org/forums/linux-general/posts/filtrage-ssl.md" size="22" /></label> <label>モード: <select name="naked_post_mode">
<option value="default">デフォルト</option>
<option value="speech">音声ブラウザ</option>
<option value="ruby">ルビ付き</option>
<option value="contrast" selected="selected">配色反転</option>
<option value="larger-text">文字拡大</option>
<option value="mobile">モバイル</option>
</select>
<input type="submit" value="表示" />
</p>
</form>
</div>