#26 Le 01/12/2008, à 22:46
- Syrion
Re : [Tuto] Passer à travers un proxy et creuser un tunnel ssh
Alors bien sûr, ce tuto ne marche pas pour les proxy "sérieusement" gérés !
Vous connaissez le coup de la liste-noire/liste-blanche ?
Voici comment cela fonctionne (de façon simplifiée).
Port 80, trafic HTTP => liste noire.
- Tout ce qui est sur la liste noire est interdit.
- Tout le reste est autorisé.Port 443, trafic HTTPS => liste blanche.
- Tout ce qui est sur la liste blanche est autorisé.
- Tout le reste est interdit.Ca n'a pas l'air logique me direz-vous, on a l'air d'être plus laxiste sur HTTP alors que c'est moins sécurisé.
Oui, mais précisément Rom l'a dit plus haut, HTTP on peut tout tracer et regarder ce qu'il se passe "en clair". HTTPS on ne voit rien.
Donc si quelqu'un fait quelque chose de répréhensible en HTTP, on pourra toujours remonter la trace et le prouver.
En HTTPS, on sait juste que IP source a échangé du trafic avec IP destination, mais on ne peut pas savoir la teneur de l'échange.Conclusion : si vous avez un tel proxy, ce qui est expliqué ici ne marchera pas.
Pourquoi : il n'y a aucune raison que votre PC chez vous soit sur la "liste blanche", vous n'êtes pas une banque ou un organisme marchand reconnu.La seule solution, un tunnel HTTP (j'explore), et bien sûr y faire passer du flux crypté sinon voir ci-dessus !
Et là ça marchera.
Pourquoi : il n'y a guère plus de raison que votre PC chez vous soit sur la liste noire : vous n'êtes pas un site connu pour faire des choses que l'entreprise interdit, du moins tant que....... comme disent les concepteurs de certains tunnels HTTP, si ça vous pète à la figure, que votre entreprise se chope des virus à cause de votre tunnel, que vous êtes virés pour vos activités normalement interdites... ne vous en prenez qu'à vous même
Ah, un dernier point, n'espérez pas "ruser" le Proxy en faisant du SSH, FTP, VNC, ou ce que vous voulez sur le port 80. Evidemment le proxy est tout à fait capable de se rendre compte que ce n'est pas du HTTP et de bloquer tout ça.
Par contre, si c'est pour échanger des fichiers seulement, WebDAV est en général OK puisque c'est simplement du HTTP étendu.
En fait le principe des listes blanche a été abandonné par beaucoup d'entreprises parcequ'elles ne peuvent pas connaître tous les sites sécurisé "officiels". Le plus commun, c'est la base de données Websense customisable qui classe les sites par catégorie. Les admins regardent les logs et si un site "innaproprié" est dans le cache du proxy, il classé dans une catégorie filtrée (souvent la mauvaise, nombre de victimes de Websenses on connu des débuts de l'ère du blog douloureux, tous les blogs étants classés dans "BBS et forums" même quand c'était celui d'un professionnel). Un retour à la liste blanche, dans les sociétés faisant de l'informatique par exemple, équivaut à un retour à l'âge de pierre.
En revanche, il existe un moyen plus futé que la liste blanche pour une entreprise qui veut interdire le tunnel ssh. Il suffit de mettre des règles du type : à l'initialisation d'une connexion on peut distinguer une connexion ssl (utilisée pour https) d'une connexion ssh. Après c'est fini, mais on peut donc bloquer les connexions non-https en regardant ce qui se passe à l'initialisation de la connexion où le protocole est encore visible.
Dernière modification par Syrion (Le 01/12/2008, à 22:48)
Ubuntu 24.04.4 amd64 sur Dell XPS 7590 15"
Ubuntu Server 24.04.4 Eeepc 1215P
Ubuntu 24.10 sur Ryzen 5 5600X, 32Go DDR4-3600, NVidia RTX 3060Ti
Hors ligne
#27 Le 11/04/2009, à 17:10
- Issouf Ali
Re : [Tuto] Passer à travers un proxy et creuser un tunnel ssh
Bonjour a tous,
Voila presque 1 an que je me connecte chez moi avec un tunnel SSH. J'ai une clé usb aec portable putty et portable firefox et tout marchait bien jusqu'a ce que l'admin systeme mette une restriction logicielle sur ces 2 logiciel ... damned...
j'ai reussit a faire fonctionner Flock qui ressemble bcp a firefox
Est ce que vous connaissez un client SSH qui ferait une alternative à putty? sous windows bien sur...
Car j'ai ubuntu chez moi et windows au boulot ....
Merci de votre aide...
Dernière modification par Issouf Ali (Le 11/04/2009, à 17:11)
AMD 2 Core 7850 Ubuntu 10.04. Connexion depuis mayotte ou le net est tres cher (54€ le Go) donc téléchargement limité au strict nécessaire
Mountyhall
Hors ligne
#28 Le 11/04/2009, à 17:43
- Koon
Re : [Tuto] Passer à travers un proxy et creuser un tunnel ssh
Bonjour a tous,
Voila presque 1 an que je me connecte chez moi avec un tunnel SSH. J'ai une clé usb aec portable putty et portable firefox et tout marchait bien jusqu'a ce que l'admin systeme mette une restriction logicielle sur ces 2 logiciel ... damned...
j'ai reussit a faire fonctionner Flock qui ressemble bcp a firefox
Est ce que vous connaissez un client SSH qui ferait une alternative à putty? sous windows bien sur...
Car j'ai ubuntu chez moi et windows au boulot ....
Merci de votre aide...
Change de taff
Hors ligne
#29 Le 15/04/2009, à 21:15
- tocks
Re : [Tuto] Passer à travers un proxy et creuser un tunnel ssh
Bonjours, cela m'intéresse énormément pour me connecter du boulot, pour que ce system marche je doit pouvoir me connecter chez moi en ssh en terminal ? car je n'arrive pas a me connecter, alors que d'un autre endroit connections ssh sur port 443 OK.
Que faire les experts ? Merci d'avance
Hors ligne
#30 Le 15/04/2009, à 21:20
- #hehedotcom\'isback
Re : [Tuto] Passer à travers un proxy et creuser un tunnel ssh
Rapido
Si tu peux accéder du boulot au port 443, configure ton serveur ssh pour qu'il écoute à présent sur ce port, et reroute le (le 443) de ton routeur à l'ordi.
tu te connecteras en tapant
ssh toi@Ipdecheztoi -p 443
Dernière modification par #hehedotcom\'isback (Le 15/04/2009, à 21:20)
../
Hors ligne
#31 Le 17/04/2009, à 17:20
- tocks
Re : [Tuto] Passer à travers un proxy et creuser un tunnel ssh
Le problème est que les site en https fonctionne mais que je ne peut me connecter sur le port 443 en ssh ....
Hors ligne
#32 Le 17/04/2009, à 17:50
- #hehedotcom\'isback
Re : [Tuto] Passer à travers un proxy et creuser un tunnel ssh
Je ne vois pas pourquoi, le port 443 n'est pas dédié à l'utilisation du https, c'est juste un usage que de l'utiliser.
Donc si du boulot, tu accèdes au https, j'en déduis que le port est ouvert; ce qui fait qu'en configurant ton serveur ssh, pour écouter le 443. Tu devrais y accéder du taf, vu que tu demandes expréssement la connexion sur toi@IP -p leport (qui est ouvert des deux cotés)
Ou tu passes par un proxy transparent qui te filtre.
Dernière modification par #hehedotcom\'isback (Le 17/04/2009, à 17:51)
../
Hors ligne
#33 Le 17/04/2009, à 18:16
- tocks
Re : [Tuto] Passer à travers un proxy et creuser un tunnel ssh
oui, j'arrive a me connecter en ssh chez moi en 443 depuis un copain,
Mais du travail je n'arrive pas a me connecter avec cette commande ...
Qu'appelle tu un proxy transparent qui te filtre ?
Hors ligne
#34 Le 17/04/2009, à 18:43
- #hehedotcom\'isback
Re : [Tuto] Passer à travers un proxy et creuser un tunnel ssh
\-----TON PC
|
|
|
|
||||||LE PROXY||||| Ici ce qui passe est dument autorisé ou refusé...selon sa configuration...
|
|
|
|
|
/INTERNET
../
Hors ligne
#35 Le 17/04/2009, à 18:49
- tocks
Re : [Tuto] Passer à travers un proxy et creuser un tunnel ssh
et donc comment puis-je procéder pour passer ce proxy de l'entreprise ??
Hors ligne
#36 Le 17/04/2009, à 18:52
- #hehedotcom\'isback
Re : [Tuto] Passer à travers un proxy et creuser un tunnel ssh
C'est pas l'objectif de ce thread?
../
Hors ligne
#37 Le 17/04/2009, à 19:08
- tocks
Re : [Tuto] Passer à travers un proxy et creuser un tunnel ssh
Ha bon ?
Je croyait que le but était de pouvoir rediriger son surf sur sa machine en passant par ssh, mais pour y arriver il faut bien réussir a ce connecter en ssh ??????
Hors ligne
#38 Le 17/04/2009, à 19:24
- maskott
Re : [Tuto] Passer à travers un proxy et creuser un tunnel ssh
Bonjour, tout ceci est bien instructif, mais personne ne se demande pourquoi certains admin se cassent la tête à filtrer les flux reseau ?
si vous souhaitez accéder à certains sites pour de bonnes raisons, alors demandez lui cash, ça passera mieu:)
amenez ainsi un virus sur le reseau, ça va être votre fête...
Backups are for wimps. Real men upload their work to an ftp server and have everybody mirror it. - Linus Torvalds
[RESOLU] dans les posts qui le sont, merci
(Et si vous y arrivez tout seul, indiquez aussi la solution, remerci)
Hors ligne
#39 Le 17/04/2009, à 20:17
- #hehedotcom\'isback
Re : [Tuto] Passer à travers un proxy et creuser un tunnel ssh
Et pourquoi d'autres se posent la question inverse, tu ne te l'ais jamais posée
sinon + un pour lui demander, il peut te réserver un port (sur +65000, il a le choix)
ou, à toi d'essayer les 65000, peut être vas tu découvrir un port furtif ^^
../
Hors ligne