[PHP]Petit challenge de contournement de firewall au bureau

Morgiver · Le 20/01/2012, à 14:52

Salut

Au boulot il y a un firewall vraiment chiasse, il bloque pas mal de site (facebook, youtube, twitter, etc...).
Il filtre aussi des mots, c'est vraiment lourd. Exemple si je veux lire un article qui contient le mot "vidéo" dans son url, je peux pas.
Mon problème c'est que je travail dans un secteur communication et la haute autorité refuse toujours de nous faire un ordi en DMZ pour "des raisons de sécurité".

Ayant un petit serveur à la maison et une assez bonne connexion, je me suis mis en tête de faire une page sur mon site qui me servirait de serveur proxy (sans devoir configurer le navigateur).

J'avais déjà vu ça, mais c'était très lent du à l'utilisation massive de ce genre de serveur.

Le firewall filtre les url, je ne peux donc me retrouver avec des url contenant les mots :
- jeux, jeu
- vidéo, vidéos, video, videos
- facebook, youtube, twitter

Le petit challenge que je me suis proposé à moi même c'est de faire une page web qui permet d'afficher le site inaccessible, en modifiant renommant les URL pour l'affichage (quand on clique sur les URL la page se charge de la retraduire de la bonne manière).

Je cherche à avoir quelques conseils, voir pourquoi pas des gens qui participent au délire en créant une petite page similaire pour qu'on s'échange nos codes

Si vous êtes motivé, n'hésitez pas !

Morgiver

EDIT : Le sujet est dédié à PHP, mais si vous voulez utiliser un autre langage n'hésitez pas !

Dernière modification par Morgiver (Le 20/01/2012, à 14:53)

sputnick · Le 20/01/2012, à 14:58

Hummmm. Je suis pas sur que ton entreprise soit très d'accord avec cela. En gros, tu nous propose d'être complice d'une éventuelle "fraude" ?

Hoper · Le 20/01/2012, à 14:58

Un tunnel ssh, un squid et on en parle plus non ?

(sans devoir configurer le navigateur).

Par contre, c'est vrai qu'il faudra modifier la configuration du navigateur mais bon...

Dernière modification par Hoper (Le 20/01/2012, à 14:59)

Morgiver · Le 20/01/2012, à 15:02

sputnick a écrit :

Hummmm. Je suis pas sur que ton entreprise soit très d'accord avec cela. En gros, tu nous propose d'être complice d'une éventuelle "fraude" ?

Que Neni, je ne touche en rien la configuration de l'ordinateur de mon lieu de travail. Il n'y a donc pas de fraude, je ne fais que visité mon propre site web, qui en effet proposera bientôt un service de visite annonyme de site web

Hoper a écrit :

Un tunnel ssh, un squid et on en parle plus non ?

Pour ça il faut toucher à la configuration du navigateur sur place (au boulot quoi).

Le but de la page étant de fournir le service le plus simplement du monde, en la visitant et en entrant l'adresse du site web qu'on désire visiter.

sputnick · Le 20/01/2012, à 15:09

Et si tu essayait simplement les IPs à la place des DNS ?

https://66.220.149.11 (facebook)

Dit si ça marche ou pas

Morgiver · Le 20/01/2012, à 15:52

Ça me redirige directement sur l'url de facebook.

Ceci dit, tu as mis le https et non le http. En https, ça fonctionne, mais en normal non.

Mais j'ai aussi envie de me taper ce challenge (t'a tout cassé mon appât !! )
Donc je continue

Dernière modification par Morgiver (Le 20/01/2012, à 15:58)

obiwankennedy · Le 23/01/2012, à 22:02

Si tu as un serveur ssh sur ton serveur.
Tu ouvres une console, dedans tu ouvres un screen (plus discret).

ssh -D8080 user@domaine.du.serveur.fr -C

Tu configures ton navigateur pour avoir un proxy en localhost pour 8080 (host sock v5).
Et c'est bon.

Ah mon boulot, très de port son dispo, je suis obligé de faire écouter la port 443 au serveur ssh mais sinon c'est très bien. même pidgin marche hihi!!!

Dernière modification par obiwankennedy (Le 23/01/2012, à 22:04)

Korak · Le 23/01/2012, à 22:19

Bonjour,

Morgiver a écrit :

Au boulot il y a un firewall vraiment chiasse, il bloque pas mal de site (facebook, youtube, twitter, etc...).

S'il y a un firewall (ou un proxy) qui te bloque, c'est qu'il y a une raison.

Fais ce que tu veux chez toi mais pas au boulot!

Réponse d'un technicien en informatique dans une grosse boîte.

Dernière modification par Korak (Le 23/01/2012, à 22:19)

JoelS · Le 23/01/2012, à 23:05

Morgiver a écrit :

sputnick a écrit :
Hummmm. Je suis pas sur que ton entreprise soit très d'accord avec cela. En gros, tu nous propose d'être complice d'une éventuelle "fraude" ?
Que Neni, je ne touche en rien la configuration de l'ordinateur de mon lieu de travail. Il n'y a donc pas de fraude, je ne fais que visité mon propre site web, qui en effet proposera bientôt un service de visite annonyme de site web

Ca change rien à ton cas: ton entreprise te fourni des moyens (ici informatiques) de faire ton travail, dans le cadre des règles qu'elle met en place. Ces règles régissent à la fois les droits et devoirs de l'employé et de l'employeur, mais aussi la sécurité du système d'information de ton entreprise. C'est un compromis entre toutes ces contraintes. Par exemple, l'anti-virus de messagerie va probablement détruire les messages contenant un virus sans te transmettre le message en question (enfin j'espère). Or par ton droit à la correspondance privée, ainsi que par ton travail tout simplement, ce message aurait dû être délivré. Mais les contraintes beaucoup plus forte sur la sécurité de l'ensemble du système fait que ton droit et ton travail passent après.

C'est le même principe pour les accès aux sites Web.

Maintenant si tu estimes raisonnablement que tu dois pouvoir accéder à certains sites, rien ne t'empêche d'alerter ta hiérarchie pour qu'elle fasse la demande. Dans mon boulot, le proxy fourni un lien vers un formulaire de demande de levée de restriction. Cette demande est automatiquement transmise à la hiérarchie du demandeur qui accepte ou non la demande.

Après tu peux bidouiller un truc, mais je doute que tu ais toutes les compétences pour t'assurer que rien de grave n'arrive par ta faute.

Morgiver · Le 23/01/2012, à 23:09

Mwai... Je comprend bien hein, je serais admin réseau ça me ferait chier aussi qu'un mec contourne ma sécurité.
Perso c'est juste pour le challenge, toute idée vient bien de quelques part ^^.

EDIT : Cela dit, en tant qu'admin réseau, je me démerderai pour faire comprendre à la hiérarchie pourquoi je dois ouvrir des accès à certaine personnes, pour telle et telle raisons.

Par exemple un bête full accès à internet pour ne pas être emmerder pendant le développement d'un site, faire le boulot de communication sur les réseaux sociaux, etc..

Dernière modification par Morgiver (Le 23/01/2012, à 23:11)

JoelS · Le 24/01/2012, à 09:47

Morgiver a écrit :

EDIT : Cela dit, en tant qu'admin réseau, je me démerderai pour faire comprendre à la hiérarchie pourquoi je dois ouvrir des accès à certaine personnes, pour telle et telle raisons.
Par exemple un bête full accès à internet pour ne pas être emmerder pendant le développement d'un site, faire le boulot de communication sur les réseaux sociaux, etc..

Justement c'est pas le boulot d'un admin réseau, pour au moins 2 raisons: c'est pas son boulot premier d'ouvrir les portes en grand, et ensuite il est très mal placé pour justifier de demande provenant d'en dehors de ses compétences.

J'ajouterai qu'en général, un admin réseau, comme toute personne gérant une infrastructure quelconque (informatique, bâtiment, ...), n'a pratiquement aucun poids dans les décisions. La raison essentielle est qu'un gestionnaire d'infrastructure est vu comme un gestionnaire de centre de coût (il consomme de l'argent) et pas comme un gestionnaire de centre de profit (il ne génère pas directement de rentrée d'argent); bref un mal nécessaire.

Hoper · Le 24/01/2012, à 11:33

S'il y a un firewall (ou un proxy) qui te bloque, c'est qu'il y a une raison. Fais ce que tu veux chez toi mais pas au boulot! Réponse d'un technicien en informatique dans une grosse boîte.

Non mais sérieusement, vous avez finit de lui "faire la leçon" comme à un gamin ? C'est pas parce qu'un abruti de manager n'a pas compris les basiques de la sécurité, et possède la subtilité d'un cerveau bovin qu'il faut forcément appliquer à la lettre des règlements idiots. Savoir s'adapter et se faire sa propre opinion de ce qui est légitime ou de ce qui ne l'est pas est humain et nécéssaire.

Accessoirement, la solution qu'il veut mettre en place lui permet justement de faire ce qu'il veut en respectant A LA LETTRE la politique de sécurité de l'entreprise (tous les sites webs qui ne sont pas bloqués sont par défaut autorisés, le sien y compris donc).

Maintenant, pour ceux qui pronne la "sécurité maximale", allez y, et vous allez voir le résultat. Il y a quelques années, cela à abouti à voir des modem RTC sous les bureaux (ouai, c'était le moyen d'accès le plus utilisé à l'époque). Et donc les employés ouvraient des accès directe entre le net et le réseau privé de la boite parce qu'ils avaient pas le choix. Top non ? Maintenant ça fonctionnera de la même façon avec des smartphones transformés en borne wifi et autre clef 3G. Personnellement, il me semble un peu plus sécurisé et plus agréable pour tout le monde d’être un peu moins stricte sur le proxy de la boite, et de faire au moins l’effort de comprendre le besoin des employés.

gaten · Le 24/01/2012, à 15:44

Il ne faut pas être hypocrite non plus. Un contournement est un contournement.

Dans une entreprise, les challenges, c'est le patron qui les définis.
Si tu n'as pas les moyens de faire ton travail à cause des restrictions du service informatique, informe ton patron ou ton syndicat.

Voilà mon conseil du jour.

Korak · Le 24/01/2012, à 16:06

gaten a écrit :

Si tu n'as pas les moyens de faire ton travail à cause des restrictions du service informatique, informe ton patron ou ton syndicat.

C'est ce que l'on a fait au boulot quand le Big Boss a décidé de faire modifier le proxy par l'équipe qui le gère.

Même les technicien en informatique (comme moi) ont été bloqués.

Un petit mail au Big Boss pour lui expliquer la situation et nous (les technicien en informatique uniquement) avons récupéré un accès complet à Internet (dont nous avons besoin dans le cadre de notre boulot).

Ce n'est pas plus compliqué que ça. Un patron n'aime pas que quelqu'un ne sache pas faire son boulot correctement mais si personne ne lui dit rien, comme veux-tu qu'il le sache?.

Morgiver · Le 24/01/2012, à 16:34

Korak a écrit :

Ce n'est pas plus compliqué que ça. Un patron n'aime pas que quelqu'un ne sache pas faire son boulot correctement mais si personne ne lui dit rien, comme veux-tu qu'il le sache?.

Apparemment ici, dans ce service de communication ça fait plus d'un an qu'ils demandent un bête accès aux réseaux sociaux et un accès plus ouvert pour que le blog d'un des projet puisse être mis à jours depuis le lieu de travail et non depuis le lieu de résidence de la personne qui s'en occupe.

Parfois la réponse est tout simplement non définitivement.

AnsuzPeorth · Le 24/01/2012, à 17:05

Bjr,

Vous avez pesez le pour et le contre, ok, mais qu'en est-il de la solution ?

Je connais pas grand chose dans ce monde de serveurs & co, mais un bête script cgi ferais très bien l'affaire ?

Je me suis amuser à le faire en bash vite faite (4 lignes de bash), et ca le fait pour les sites simples (pour du php ou tout autres url avec des ?, il faudrait une ER).
Dans ce CGi, je DL la page souhaité, je la parse pour remplacer les liens qui pointeront vers mon cgi.
Pour les site plus 'compliqué', il faut juste embarquer le header de la requête, ca devrait faire non ?

C'est pas rapide comme solution, mais existe t-il une autre façon de faire ? J'en ai pas l'utilité, mais juste pour apprendre !

Dernière modification par AnsuzPeorth (Le 24/01/2012, à 17:07)

Morgiver · Le 24/01/2012, à 22:18

Personnellement pour la solution j'avais penser à un système de cryptage des url qu'on devrait entrer en paramètre, par exemple :

http://www.monsite.me/contour.php?url=q … q1e3f2qsef

Avec un url crypté, le firewall voit rien, et tout est chargé par le serveur, ensuite le serveur nous renvoie la page, avec toutes les url dedans complètement cryptées.
Bon, c'est peut être un peu lourd

L'idée étant de faire en sorte que la page voulue soit chargée par le serveur et puis retransmise directement.
Mais en effet, un site un peu complexe ne passerait pas je crois, du moins ça présenterais pas mal de problème.

Ou alors, ce qui peut ptet marcher, c'est une ré-écriture de l'url faite par le serveur. Genre http://www.facebook.com/ deviendrait http://www.monsite.me/fessebouk/, je me demande si c'est possible.

AnsuzPeorth · Le 25/01/2012, à 00:40

Personnellement pour la solution j'avais penser à un système de cryptage des url qu'on devrait entrer en paramètre, par exemple :

C'est ce que j'ai commencé en bash, j'indiquer en parametre:
monsite.com/fake.sh?request=MotCle&url=lien
et si mot clés vaut ubu, c'est remplacé par ubuntu-forum.fr
je remplace tout les href en y ajoutant avant le lien, fake.sh?request=MotCle&url=.

Mais bon, c'était du vite fait, juste pour voir, il faut traiter les différentes possibilité, lien absolu, relatifs. Il faut aussi remplacer les ? et &, ainsi que les mot recherché par le proxy; Donc un cryptage, pour que ce soit généraliste, c'est un peu obligatoire. Ajouter des centaines de mots clés à transcrire, pas terrible.

Mais en effet, un site un peu complexe ne passerait pas je crois, du moins ça présenterais pas mal de problème.

Ben y'a que peut être les IPs, si le site vérifie les IPs, et qu'il voit que des ips identiques veulent se connecter sur de comptes différents (facebook par exemple), ca risque de coincer. Je sais qu'il y a des variables dans le header pour indiquer que c'est un proxy, donc en modifiant le header, dois avoir moyen !

Ou alors, ce qui peut ptet marcher, c'est une ré-écriture de l'url faite par le serveur.

Je me répète, suis vraiment pas un spécialiste, mais je pense que apache propose l'urlRewrite.
Sinon, tu installes ton serveur python, là tu géres le tout à la source.

Je vais peut être m'amuser à faire ca en python tient, ca me fera un petit exercice ...

Mathieu147 · Le 25/01/2012, à 12:30

Je pense que ça existe déjà des proxy en PHP.

Morgiver · Le 25/01/2012, à 13:26

Oui, mais le but c'est de le faire, pas de ré-inventé la roue

Mathieu147 · Le 25/01/2012, à 13:56

Bah t'en trouves un en GPL, tu corriges une faute de frappe dans un commentaire, et voilà tu seras dans la liste des auteurs du projet, tu sera auteur d'un proxy en PHP.

Close enough

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 20/01/2012, à 14:52

[PHP]Petit challenge de contournement de firewall au bureau

#2 Le 20/01/2012, à 14:58

Re : [PHP]Petit challenge de contournement de firewall au bureau

#3 Le 20/01/2012, à 14:58

Re : [PHP]Petit challenge de contournement de firewall au bureau

#4 Le 20/01/2012, à 15:02

Re : [PHP]Petit challenge de contournement de firewall au bureau

#5 Le 20/01/2012, à 15:09

Re : [PHP]Petit challenge de contournement de firewall au bureau

#6 Le 20/01/2012, à 15:52

Re : [PHP]Petit challenge de contournement de firewall au bureau

#7 Le 23/01/2012, à 22:02

Re : [PHP]Petit challenge de contournement de firewall au bureau

#8 Le 23/01/2012, à 22:19

Re : [PHP]Petit challenge de contournement de firewall au bureau

#9 Le 23/01/2012, à 23:05

Re : [PHP]Petit challenge de contournement de firewall au bureau

#10 Le 23/01/2012, à 23:09

Re : [PHP]Petit challenge de contournement de firewall au bureau

#11 Le 24/01/2012, à 09:47

Re : [PHP]Petit challenge de contournement de firewall au bureau

#12 Le 24/01/2012, à 11:33

Re : [PHP]Petit challenge de contournement de firewall au bureau

#13 Le 24/01/2012, à 15:44

Re : [PHP]Petit challenge de contournement de firewall au bureau

#14 Le 24/01/2012, à 16:06

Re : [PHP]Petit challenge de contournement de firewall au bureau

#15 Le 24/01/2012, à 16:34

Re : [PHP]Petit challenge de contournement de firewall au bureau

#16 Le 24/01/2012, à 17:05

Re : [PHP]Petit challenge de contournement de firewall au bureau

#17 Le 24/01/2012, à 22:18

Re : [PHP]Petit challenge de contournement de firewall au bureau

#18 Le 25/01/2012, à 00:40

Re : [PHP]Petit challenge de contournement de firewall au bureau

#19 Le 25/01/2012, à 12:30

Re : [PHP]Petit challenge de contournement de firewall au bureau

#20 Le 25/01/2012, à 13:26

Re : [PHP]Petit challenge de contournement de firewall au bureau

#21 Le 25/01/2012, à 13:56

Re : [PHP]Petit challenge de contournement de firewall au bureau

Pied de page des forums