Topic: interdire les contact

Bonjour
J'ai monte un serveur ejabbered 2.0.5 qui tourne sur un reseau d'entreprise. Je voudrais empecher les utilisateurs d'ajouter des contacts . Est-ce que c'est possible sans passer par le client ?
Merci

Re: interdire les contact

Bonjour fredo,

Pourrais tu exposer la contrainte métier, l'objectif d'une telle config, en un mot la raison qui peut aider à comprendre le pourquoi du comment. En effet, la solution conciste peut être à empecher ton serveur de communiquer avec d'autres serveurs publiques. Bref, communique un zet de billes pour aider à cerner.

merci

LTVZ

------------------------------------
www.jabber.lu & www.xmpp.lu
------------------------------------

Re: interdire les contact

Salut LTVZ

Non, je sais comment empecher la com avec d'autres serveurs. Nous avons plusieurs services dans la societe et nous voulons empecher que certains ajoutent des contacts qui ne leurs sont pas utiles professionnellement.

Re: interdire les contact

Pour empecher la comm, suffit juste de bloquer ça sur le firewall, non ?

Re: interdire les contact

Bonjour freddo,

ok i see. Euh, s'il existe une telle commande elle m'échappe. Cependant en absence de cette derière voici comment il est peut etre possible de procéder pour arriver à tes fins:

OBSERVATIONS:

-Tu as un réseau d entreprise et donc à priori une DMZ. ( let says something like : 172.29.29.1 - mask 255.255.255.240 )
-Tes postes Clients sont dans un LAN ( lets says something like : 192.168.1.0 - mask 255.255.255.0 ou plusieurs VLAN tous communiquant avec ton serveur jabber ( IP : 172.29.29.2 dans mon exemple )
-Entre ton LAN et la DMZ tu as tres probablement un routeur et autre firewall capable de filtrer certe, mais surtout de faire de l'analyse de trame ( sniffing in english. ) et de réagir selon la trâme comme par exemple envoyer un RST ( reset )
-Si tu n 'as pas un tel équipement alors il est possible de configurer un port mirroring sur ton switch ( disons un layer 3 ) à partir duquel tu peux renvoyer un RST à destination de la station ayant émis la trame en question que tu souhaites "zapper".
- Reste à déterminer quelle trame zapper ... Lire plus bas ....

IMPLICATIONS:

un de tes postes client envoie une trame de " d ajout de contact " ( SVP tu cherches la XEP correspondante car là elle n'échappe ( www.jabber.org - www.xmpp-org  ) - je parts du principe que tes communications internes sont en claires entre station du LAN et ton serveur jabber en DMZ.

Ton analyseur détecte cette trâme, ( la fameuse XEP correspondant à " ajouter un contact " ) Tu vas devoir décortiquer un zet la chose.

Ton analyseur renvoie un RST ou mieux zappe la trâme si ton firewall ou routeur en est capable.

CONCLUSION:

- A tester et m informer !
- C est de loin très probablement pas la technique à la plus éléguante mais c est la seule qui me vient la comme cà.

Cheers

LTVZ

------------------------------------
www.jabber.lu & www.xmpp.lu
------------------------------------

Re: interdire les contact

Et si la communication est chiffré ?

Re: interdire les contact

misc wrote:

Et si la communication est chiffré ?

Bonjour misc,

C est bien là qu'est l'os. Quoique !?! C est pour cette raison que j'avais pris la précaution d'indiquer je cite " je parts du principe que tes communications internes sont en claires entre station du LAN et ton serveur jabber en DMZ. ". L'autre raison est que j'étais creuvé et que j ai choisi la " facilité " pour répondre. Tu fais bien de pointer ce " détail ". Voici comment faire pour le résoudre et qui tient en une phrase qui est la suivante : " tout ce qui est crypté à un moment l est forcément à un autre pour être traité... " Get it ? Ok so just carry on.

OBSERVATIONS
Dans un réseau interne d'entreprise ( switché ) maitrisé dans l'adminisrateur la communication en clair n est pas en soit un "problème" d'espionnage pur car une station sans possibilité pour un user LAMDA d'installer un sniffeur, sniffeur de toute façon non opérationnel sur un réseau switché convenablement réglé, je crois qu ici freddo peut dormir sur ses 2 oreilles sa problématique métier semblant être prioritaire.

Maintenant ou pourrait dire : " Euh oui mais bon mais quand même si la couleur du cheval blanc d'Henri IV .... " Oui c est juste on pourrait le dire. Donc creusons un peu ensemble et voici ce que pourrait être la solution:

le LAN parle en clair avec le serveur jabber. ( Disons TCP 5222 sans certificat ). Nous sommes dans le sens LAN to DMZ et DMZ to LAN. Ce que j exposais est UTILISABLE pour cette partie, continuons alors ...

le serveur jabber ( s il est ouvert vers l'extérieur ( Internet ) ) ce qui, si je ne m'abuse,  n'a pas été spéficifié ni meme indiqué par fredo dans ses requirements ( pardon dans ses besoins je crois on dit ) , pourrait être configuré pour écouter sur TCP 5223  ( old fashion avec certificat ). Là on serait coincé pour capter une trame interdite au sens ou fredo le souhaite. Ce que j exposais est dans ce cas NON UTILISABLE pour cette partie, continuons alors pour résoudre ceci ...

Pour pallier à ceci il serait possible d'encapsuler du TCP 5222 clair dans un canal VPN IPSEC ou SSH servant à sécuriser la communication INTERNET to DMZ ( jabber )  mais qui, une fois décryptée dans la DMZ, juste avant un forwarding vers le serveur jabber par exemple, pourrait être sniffée, et donc captée, et donc analysée, et donc traitée, exactement comme exposé dans mon message précédent. De nouveau ce que j exposais est UTILISABLE pour cette partie aussi et le PB, si pb il y a est réglé.

Bien entendu les communications S2S ( Server to Server ) seraient elles cryptées. Mais là encore RIEN dans l'exposé de fredo n'indique ce besoin. Et même, j avoue que j'avais interprété ( erreur de ma part probable mais à vérifier donc )   que fredo désirait un serveur jabber 100% interne à son entreprise ce qui dans mon esprit impliquait une non communication de son LAN vers Internet ou en provenance d'Internet vers son LAN. A mon avis nous devons attendre les " lumières de fredo " en la matière.

C est la phrase suivante qui n'a peut etre induit en erreur, moins qu elle m'est mise 100% sur la bonne piste !?! :

fredo wrote:

Salut LTVZ

Non, je sais comment empecher la com avec d'autres serveurs. Nous avons plusieurs services dans la societe et nous voulons empecher que certains ajoutent des contacts qui ne leurs sont pas utiles professionnellement.

Voilà mon humble contribution à cette problématique et en attente de news de fredo

Cheers

LTVZ

------------------------------------
www.jabber.lu & www.xmpp.lu
------------------------------------

Re: interdire les contact

Salut,

Juste comme ca au passage et les privacy list, non?

[img]http://webstatus.kd2.org/signature.php/jid/teb.pavcn.zv..mbyhbohqp/image.png[/img]

Re: interdire les contact

Bonjour cdubouloz,

Excellente piste. Pouvez vous confirmer que vous faites référence au module " mod_privacy "  ou a une combinaison particulière avec cette version ejabbered 2.0.5 ?

XEP-0016: Privacy Lists - http://xmpp.org/extensions/xep-0016.html

Il est aussi possible que le module suivant " mod shared roster " soit une solution ce qui je crois permet à l administrateur seul de régler les contacts SANS que les users puissent les effacer volontairement ou involontairement.

Cheers

LTVZ

------------------------------------
www.jabber.lu & www.xmpp.lu
------------------------------------