Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
286 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Déchiffrement SSL (NetAsq) et Législation Fr

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Déchiffrement SSL (NetAsq) et Législation Fr

n°110220
dam09fr
Posté le 29-04-2013 à 09:21:32  profilanswer
 

Bonjour à tous,
 
Nous venons de réaliser un upgrade de nos NetAsq en V8 vers V9 (pour la petite histoire ceux-ci sont en HA et nous avons été impactés par un bug qui nous a forcé à downgrader en V8 il y a un an).
Bref, la migration est OK, nous avons ajusté la configuration à la nouvelle version et tout semble fonctionner comme attendu (et parfois même mieux).
 
Avec l'arrivée de la V9 il est maintenant possible d'utiliser le déchiffrement SSL, permettant d'utiliser le filtrage du NetAsq pour les connexions sécurisées (antivirus, réputation, etc...)
Je me pose donc les questions suivantes (pour une entreprise sur le sol Français) :

  • Quel est le cadre légal encadrant ce type de filtrage ?
  • Dois-je demander une autorisation ou procéder à une déclaration à la CNIL ?


Merci d'avance pour votre participation.


---------------
Feed-back
mood
Publicité
Posté le 29-04-2013 à 09:21:32  profilanswer
 

n°110337
_ToM_343
Posté le 30-04-2013 à 21:37:58  profilanswer
 

Bonjour,
 
Je pense qu'une charte indiquant aux utilisateurs que le contenu de leur navigation peut-être récupéré est nécessaire. Après concernant la CNIL, il est normalement obligatoire de faire une déclaration si tu dois faire une analyse sur les logs.
 
À mon avis faudrait les contacter pour leur demander ce qu'ils ont l'habitude de faire dans des situations similaires.
 

Spoiler :

Sinon pour ma culture perso, ça se passe comment techniquement ? C'est un "moteur" qui génère à la volée des certificats au nom du site accédé par l'utilisateur comme peut le faire un Blue Coat ?

n°110345
trekker92
-où sont ils? -..tout près....
Posté le 01-05-2013 à 23:33:53  profilanswer
 

euh...
moi qui ai toujours cru que le https était totalement sécurisé, sauf si une partie tierce (ici ton netasq) dispose d'une copie du certificat du site ..
 
pour bluecoat, j'ai un pc qui tourne avec k9, capable de filtrer le 443; mais je pense qu'il ne décrypte pas, mais qu'il regarde en fonction du dns..
 
c'est pas avec ce genre de merde que la syrie a mis ces citoyens sur écoute, et que ms ont été pointés du doigt pour avoir filé des certifs skype/hotmail pour décrypter le https de tout un pays?
 
il m'a toujours semblé que ce protocole ne pouvait pas être déchiffré..
 
et je doute que ce soit légal ..

n°110353
remi_
Posté le 02-05-2013 à 11:44:10  profilanswer
 

Salut,
 
pour le HTTPS, c'est légal du moment que tu préviens les utilisateurs (via autorisation + charte + déclaration cnil).
 
Le NetAsq se positionne comme Man In The Middle. Il intercepte le flux HTTPS, propose SON certificat à l'utilisateur au lieu de celui du site distant, et rechiffre le flux derrière.
Tu peux diffuser le certificat SSL du NetAsq sur tes postes clients pour éviter d'avoir les beaux warnings de certifs SSL non valides.
 
De la doc intéressante : http://www.olfeo.com/sites/olfeo/f [...] idique.pdf

n°110384
_ToM_343
Posté le 02-05-2013 à 22:36:05  profilanswer
 

Merci pour la précision technique :).
 
Donc c'est bien ce que je pensais : c'est une mini PKI qui génère des certificats à la volée au nom des sites web visités.

n°110390
dam09fr
Posté le 03-05-2013 à 09:32:08  profilanswer
 

Tout d'abord, je vous remercie pour vos participations et je m'excuse de ne pas avoir répondu plus tôt !
 
En ce qui concerne le mode de fonctionnement, effectivement il convient d'installer une autorité de certification sur tous les postes du parc afin d'éviter d'avoir des alertes. Par contre il existe une fonction intéressante : il est possible de définir des règles de non-déchiffrage (par exemple pour les établissements bancaires).
 
Pour le côté légal, j'en suis arrivé aux mêmes conclusions : déclaration CNIL + charte informatique (j'ai même pu lire qu'il fallait l'accord du salarié).
SSL c'est bien mais c'est la merde quand ton job c'est de de sécuriser le réseau et que tu peux pas savoir ce que les users échangent avec l'extérieur.
Bref, tout ça me semble bien complexe, je pense que je ne vais pas l'implémenter pour le moment.

Message cité 1 fois
Message édité par dam09fr le 03-05-2013 à 09:33:05

---------------
Feed-back
n°110402
frnl
sourcier
Posté le 03-05-2013 à 10:49:21  profilanswer
 

dam09fr a écrit :

SSL c'est bien mais c'est la merde quand ton job c'est de de sécuriser le réseau et que tu peux pas savoir ce que les users échangent avec l'extérieur.


 
Si je peux me permettre, savoir ce que les users échangent avec l'extérieur ne sécurisera pas ton réseau.

n°110405
Je@nb
Modérateur
In ze cloud
Posté le 03-05-2013 à 11:01:40  profilanswer
 

frnl a écrit :


 
Si je peux me permettre, savoir ce que les users échangent avec l'extérieur ne sécurisera pas ton réseau.


 
Ah bon ?
 
- un virus téléchargé sur un site en https va être détecté qu'une fois sur le poste client alors que le proxy aurait pu s'en occuper en amont
- un pc infecté qui initie une communication vers le site en https du hackeur pour un reverse shell sera détecté (et si possible arrêté :D)

n°122601
robertcoli​n
Posté le 19-07-2014 à 15:42:03  profilanswer
 

remi_ a écrit :

Salut,
 
pour le HTTPS, c'est légal du moment que tu préviens les utilisateurs (via autorisation + charte + déclaration cnil).
 
Le NetAsq se positionne comme Man In The Middle. Il intercepte le flux HTTPS, propose SON certificat à l'utilisateur au lieu de celui du site distant, et rechiffre le flux derrière.
Tu peux diffuser le certificat SSL du NetAsq sur tes postes clients pour éviter d'avoir les beaux warnings de certifs SSL non valides.
 
De la doc intéressante : http://www.olfeo.com/sites/olfeo/f [...] idique.pdf


 
 
Je sais que ce poste est un peu vieux, mais je souhaitera savoir comment je récupère le certificat  du netask pour le déployer sur mes postes.
Je sais que l'on peu aussi acheter un certificat puis le mettre sur le netasq mais je ne sais pas comment.
Si quelqu'un connait la méthode je suis preneur. Merci

n°122605
_ToM_343
Posté le 19-07-2014 à 18:54:44  profilanswer
 

Comment ça récupérer le certificat ?

 

Le certificat d'AC qui est déployé sur le proxy est généré selon tes besoins :

 

- autosigné,
- signé par une AC racine ou intermédiaire.

 

Techniquement, c'est toi qui déploie ce certificat sur ce proxy. Tu peux donc le récupérer aisément.

 

Concernant l'obtention d'un certificat depuis une société externe (si tu parles de ça quand tu dis "acheter" ). Je ne sais pas s'il existe ce genre de contrat mais ça me paraît utopique qu'une boite te file un certificat d'AC te permettant de signer tout ce que tu veux comme bon te semble en son nom :pt1cable:.


Message édité par _ToM_343 le 19-07-2014 à 18:57:23

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Déchiffrement SSL (NetAsq) et Législation Fr

 

Sujets relatifs
[résolu]Maj firmware netasqhoraires de connexion-deconnexion PPTP dans Netasq
Netasq U450 problème d'accès au portail WebAuthentification et filtrage Url sur Netasq v9
[Résolu] Netasq Ipesec impossible de joindre des page webAnalyseur de logs firewall (welf) - équivalent NetAsq Event Analyzer
Restauration d'une config Netasq ancienne sur du neuf[résolu] password recovery sur un Netasq F50 V3.5
[RESOLU] netasq F60 - probleme de mise en fonctionnementGateway RDS et Certificat SSL
Plus de sujets relatifs à : Déchiffrement SSL (NetAsq) et Législation Fr


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR