ForumCrack

Bonjour à tous,

Dans la continuité de ce message:

viewtopic.php?f=3&t=10588#p104163

connaissez vous un programme qui détecte efficacement le tunneling, je ne suis pas sur que ce soit le terme exact, m'enfin tous les softs du type Teamviewer ou Logmein etc. Apparement, bloquer les paquets entrants sur les ports 80 et 443 ne suffit pas....Je ne trouve pas grand chose qui traite de ce sujet sur mon ami google.

Dans le cas d'un client interne chez toi qui se connecte par web sur le site logmein, et qui se connecte
a une autre machine avec, c'est le client interne qui initie la demarche. Il n'y as pas de traffic 'entrant'
dans le sens ou ce qui revient est la suite de la session initiee en interne. Donc bloquer les ports en entree
ne sert pas a grand chose.

En general, le traffic est chiffre (https), ce qui signifie que tu ne peut pas analyser le contenu du paquet.
A moins de mettre un proxy interne qui 'simule' le certificats du site distant (paros fait ce genre de chose
si j'ai bonne memoire), et remplace le client vis-a-vis du site distant. Cela te permet d'avoir la totalite du
traffic en clair, donc d'intervenir en fonction de leur contenu.

etherlord

Dans notre cas, c'est (en ce moment) TeamViewer qui est utilisé. Il prennent le contrôle de leur pc à la maison pour surfer... depuis que seuls les sites d'un liste blanche sont tolérés.
Je sais bien que le tout automatique n'existe pas, mais n'existe-t-il aucun logiciel "autonome" pour contrer ce genre de pratique?

-- 18 Fév 2010 18:59 --

ben tu peut aussi te baser sur la config du poste bureautique, si tu dispose d'une suite anti-virus 'entreprise', il
y as des outils pour bloquer des processus, pour scanner des pages web(anti-phising, etc...).

dans ton cas de figure, je detournerais l'anti-phising pour bloquer l'accès à la page de login.

etherlord

Merci etherlord pour ces pistes, mais dans le cas de TeamViewer il n'y a pas de page Web pour se logger ...
Nous disposons bien d'une suite antivirus entreprise (kaspersky 6.0 for workstations pour ne pas le citer) mais l'anti pishing n'est pas paramétrable, on ne peut que l'activer ou pas
J'ai contacté le support à ce sujet et sur les possibilités de blocage de ces applications, j'attends leurs solutions éventuelles.
Je pourrais dans l'immédiat faire comme tu me l'as déjà préconisé pour autre chose, créer un processus qui récupère le titre des fenetres actives - ce que je pense faire- mais après ils vont passer sur un autre soft, etc etc, alors je peux toujours shoofer les applications qu'il utilisent et les rajouter au processus, mais après on ne fait plus que ça ...c'est une boucle sans fin!!
On est encore une relative petite boîte, et on a pas encore d'administrateur à proprement parler, j'ai bien autre chose à faire!!

Dans ce cas de figure, comme indique dans l'autre poste, il faut a un moment ou un autre faire intervenir la
direction pour mettre de l'ordre. On ne peut pas tout regler par la technique, surtout si tes usagers vont
tout faire pour contourner ce que tu met en place.

Chez nous, les usagers qui abusent, se font convoquer a la direction, signent un engagement vis-a-vis de
l'abus, et sont prevenus qu'ils seront regulierement audites, le moindre derapage entrainant un avertissement.

Avertissement ecrit dans le dossier, ca calme.

etherlord

P.S.Sinon il y as d'autres solutions, moins elegantes, mais qui peuvent aussi calmer celui qui est en face. Un petit
keylogger sur le poste, une fois que tu as choppe son compte TeamViewer, tu va lui changer son e-mail, sa
question secrete et son mot de passe....

-- 23 Fév 2010 16:25 --

Une solution a ton probleme serait un SaS tel que Zscaler.

Pas sur que cela soit financierment interessant pour une petite boite toutefois...

etherlord

La solution Keylogger est pas mal.... et ca peut freiner les ardeurs!
La direction a effectivement déjà eu à convoquer mais ne souhaite pas prendre de décision radicale en suite ..... et je pense que certains utilisateurs croient qu'ils ne sont pas grillés! Ce qui est embêtant c'est que TeramViewer par exemple permet le transfert de fichiers très facilement.
Ça reste quelque chose d'assez marginal, le coup du keylogger + un processus qui analyse les fenêtres devraient faire l'affaire

Merki pour l'idée!

Je pense que l'approche whitelist est trop contraignante. Du coup, les gens contournent le système systématiquement.

Pour le flicage, une boite cliente avait eu une solution simple qui a bien calmé les ardeurs :
Proxy squid, rapport d'utilisation par user (avec un truc genre SARG) et affichage du top ten sur le panneau d'affichage général à coté de la cafét. RA-DI-CAL

Les admins ont vus le taux de visites sur les sites "non consacrés au travail" baisser de manière impressionnante et ca évite un trop grand bloquage au niveau du proxy.

Comme dit Etherlord, la solution n'est pas forcément technique

Reste à savoir si c'est légal, ce dont je doute fortement...

effectivement, pas trop legal.....

par contre, si l'utilisateur est prevenu de l'audit, on peut utiliser les logs pour le sanctionner.

etherlord

là on touche au nerf de la guerre....
La CNIL préconise quand même des mesures assez drastiques en matière de limitations, et beaucoup de choses sont facilement applicables sur simple déclaration.
L'affichage des statistiques me parait tout de même un peu exagéré, la question est de savoir si cela serait considéré comme une violation de vie privée.
Chaque mise en place soulevant la révolte (synd..)



Je suis assez d'accord, et c'était pas le cas au départ, mais quand ce n'était pas en liste blanche, les utilisateurs se servaient de proxy Web.... et on ne veut pas avoir à surveiller ça en permanence, c'est quand même vraiment moins contraignant depuis que la liste blanche est en place.
Par ailleurs, nous avons aussi un proxy avec wingate qui donne les stats utilisateurs (encore faut-il prendre le temps de les analyser!)... de là à les afficher...

M'enfin la liste blanche quoi qu'on en dise résout ce problème de navigation intempestive mais le proxy n'indique pas les urls visités depuis un poste distant controlé avec teamviewer.
Il y a tout de même un danger potentiel dans l'autre sens, il est facile de lancer le client spontané sur le pc Bureau et de prendre le contrôle à la maison de son pc de boulot, on peut imaginer les possibilités d'un personnel faché ou en cours de séparation.

Je pense aussi qu'on était franchement dans l'illégal. Mais l'effet était quand même assez impressionnant.

J'ai aussi entendu parler de clients qui forcent le passage par une session terminal server pour lancer le navigateur. De ce fait, le client Web est maitrisé par le TS et non par le poste de travail sur lequel l'utilisateur final est souvent admin (ou peut le devenir facilement).
Cette manière permet de supprimer nombre de méthodes de tunneling car l'admin peut contrôler finement les restrictions sur le client Web. A voir si ça s'adapte dans ton cas pour interdire l'appli qui va bien.

je suis pas sur si j'ai compris, mais l'utilisation des proxy ca se bloque :/ via une ACL dans squid , et aussi interdire les clients faire des requetes dns et ne laisser uniquement un serveur qui s'en charge apres ca le client il tunnel mes c***** ,si tant est un petit malin continue de tunneler via le serveur dns , la tu post site passwd et logn sur la machine a cafer ou alors tu fait des blagues sur ce qu'il ecrit sur son mur facebook il suffit d'une fois pour calmer tout le monde, et comme on est proche du detournement de la fonction premier du dns donc possiblement piratage ca calmera beaucoup d'entre eux ( je faisait ca dans une ecole ou j'ai taffer )