Je travaille dans une entreprise utilisant les outils de filtrage Web de
la société "Websense" (www.websense.com).
Ne pouvant consulter certains sites Web m'intéressant à titre privé, je
désire mettre en place un tunnel.
Le but est de me connecté depuis mon poste de travail (sous Windows 2000
avec Mozilla Firefox comme browser) vers ma machine personnelle (sous
Linux) en HTTPS puis de ma machine personnelle vers le site Web que je
souhaite consulter (en HTTP ou HHTPS selon les besoins).
Vers quelles solutions devrais-je me tourner ?
Merci d'avance.
PS : oui, je sais que s'il y a une politique de sécurité c'est qu'il y a
une raison et je ne suis pas censé l'outrepasser ; mais j'estime être
assez responsable pour déterminer seul quels sites je peux ou ne dois
pas visiter.
--
Pour une réponse privée, remplacer le underscore part un point dans
l'adresse e-mail.
Si le proxy est un tant soit peu evolué, ca marchera pas
Parceque ?
Deepthroat
Une autre solution: nphproxy.cgi
A la maison monter un serveur web en https en installant nphproxy.cgi. Depuis le travail accéder à la page nphproxy.cgi.
Et hop le tour est joué: l'admin ne verra qu'une connexion https de ton poste vers ta machine à la maison. Vérifier que le certificat dans ton navigateur au travail est bien celui que tu as crée pour mettre en place le serveur web https, afin de s'assurer que ta boite ne filtre/vérifie/decrypte pas ton flux en te refourguant un autre certificat dans ton navigateur.
Un point à voir, ce cgi nécessite qq manip supplémentaires pour faire passer des pages ssl lorsque tu l'as installé en https. Sinon pour du pas ssl ça marche impeccablement.
Autant avoir un apache+mod_proxy a la maison.
Une autre solution: nphproxy.cgi
A la maison monter un serveur web en https en installant nphproxy.cgi.
Depuis le travail accéder à la page nphproxy.cgi.
Et hop le tour est joué: l'admin ne verra qu'une connexion https de
ton poste vers ta machine à la maison.
Vérifier que le certificat dans ton navigateur au travail est bien
celui que tu as crée pour mettre en place le serveur web https, afin
de s'assurer que ta boite ne filtre/vérifie/decrypte pas ton flux en
te refourguant un autre certificat dans ton navigateur.
Un point à voir, ce cgi nécessite qq manip supplémentaires pour
faire passer des pages ssl lorsque tu l'as installé en https. Sinon
pour du pas ssl ça marche impeccablement.
A la maison monter un serveur web en https en installant nphproxy.cgi. Depuis le travail accéder à la page nphproxy.cgi.
Et hop le tour est joué: l'admin ne verra qu'une connexion https de ton poste vers ta machine à la maison. Vérifier que le certificat dans ton navigateur au travail est bien celui que tu as crée pour mettre en place le serveur web https, afin de s'assurer que ta boite ne filtre/vérifie/decrypte pas ton flux en te refourguant un autre certificat dans ton navigateur.
Un point à voir, ce cgi nécessite qq manip supplémentaires pour faire passer des pages ssl lorsque tu l'as installé en https. Sinon pour du pas ssl ça marche impeccablement.
Autant avoir un apache+mod_proxy a la maison.
Deepthroat
Il faut à mon avis que le proxy soit sévèrement configuré pour que ça ne marche pas. La configuration du proxy n'intervient que dans le "tu tunnelises tout ca", et tout dépend comment on tunnélise, et Deepthroat ne l'a pas décrit. Mais un httptunnel passe en général assez bien.
J'ai considéré qu'il avait un sshd qui tourne sur sa machine 'à la maison' et qu'il a le droit de faire du ssh depuis le boulot. A part ca je vois pas ou est le probleme, d'autant plus que ca evite de voir des etrangers utiliser son httptunnel.
Il faut à mon avis que le proxy soit sévèrement configuré pour que ça ne
marche pas. La configuration du proxy n'intervient que dans le "tu
tunnelises tout ca", et tout dépend comment on tunnélise, et Deepthroat
ne l'a pas décrit. Mais un httptunnel passe en général assez bien.
J'ai considéré qu'il avait un sshd qui tourne sur sa machine 'à la
maison' et qu'il a le droit de faire du ssh depuis le boulot. A part ca
je vois pas ou est le probleme, d'autant plus que ca evite de voir des
etrangers utiliser son httptunnel.
Il faut à mon avis que le proxy soit sévèrement configuré pour que ça ne marche pas. La configuration du proxy n'intervient que dans le "tu tunnelises tout ca", et tout dépend comment on tunnélise, et Deepthroat ne l'a pas décrit. Mais un httptunnel passe en général assez bien.
J'ai considéré qu'il avait un sshd qui tourne sur sa machine 'à la maison' et qu'il a le droit de faire du ssh depuis le boulot. A part ca je vois pas ou est le probleme, d'autant plus que ca evite de voir des etrangers utiliser son httptunnel.
Alain Montfranc
Etienne de Tocqueville avait écrit le 15/09/2005 :
"Alain Montfranc" a écrit sur fr.comp.securite :
Fais tourner un proxy web sur ta machine perso, regle ton firewall pour qu'il ne soit accessible que depuis ta machine perso et ensuite tu tunnelises tout ca.
Si le proxy est un tant soit peu evolué, ca marchera pas
Il faut à mon avis que le proxy soit sévèrement configuré pour que ça ne marche pas. La configuration du proxy n'intervient que dans le "tu tunnelises tout ca", et tout dépend comment on tunnélise, et Deepthroat ne l'a pas décrit. Mais un httptunnel passe en général assez bien.
Un proxy qui laisserait sortir du ssh, autant installer une passoire :-D
Etienne de Tocqueville avait écrit le 15/09/2005 :
"Alain Montfranc" <alain-news.wanadoo.fr@montfranc.com> a écrit sur
fr.comp.securite :
Fais tourner un proxy web sur ta machine perso, regle ton firewall
pour qu'il ne soit accessible que depuis ta machine perso et ensuite
tu tunnelises tout ca.
Si le proxy est un tant soit peu evolué, ca marchera pas
Il faut à mon avis que le proxy soit sévèrement configuré pour que ça ne
marche pas. La configuration du proxy n'intervient que dans le "tu
tunnelises tout ca", et tout dépend comment on tunnélise, et Deepthroat
ne l'a pas décrit. Mais un httptunnel passe en général assez bien.
Un proxy qui laisserait sortir du ssh, autant installer une passoire
:-D
Etienne de Tocqueville avait écrit le 15/09/2005 :
"Alain Montfranc" a écrit sur fr.comp.securite :
Fais tourner un proxy web sur ta machine perso, regle ton firewall pour qu'il ne soit accessible que depuis ta machine perso et ensuite tu tunnelises tout ca.
Si le proxy est un tant soit peu evolué, ca marchera pas
Il faut à mon avis que le proxy soit sévèrement configuré pour que ça ne marche pas. La configuration du proxy n'intervient que dans le "tu tunnelises tout ca", et tout dépend comment on tunnélise, et Deepthroat ne l'a pas décrit. Mais un httptunnel passe en général assez bien.
Un proxy qui laisserait sortir du ssh, autant installer une passoire :-D
Sylvain Eche
Un proxy qui laisserait sortir du ssh, autant installer une passoire :-D pas forcement
si tu fais tourner ton serveur SSH sur le port 443 (https) de ton PC à la maison. et en plus tu recompiles ton serveur SSH pour virer l'entête SSH du serveur histoire de pas te faire repèrer par un IDS non seulement ton proxy croiera que c'est de l'HTTPS et les IDS n'y verront que du feu.
La seule méthode efficace pour lutter contre ca est de restraindre la méthode CONNECT des proxy sur le port 443 et une liste de sites bien définis.
Un proxy qui laisserait sortir du ssh, autant installer une passoire :-D
pas forcement
si tu fais tourner ton serveur SSH sur le port 443 (https) de ton PC à
la maison.
et en plus tu recompiles ton serveur SSH pour virer l'entête SSH du
serveur histoire de pas te faire repèrer par un IDS non seulement ton
proxy croiera que c'est de l'HTTPS et les IDS n'y verront que du feu.
La seule méthode efficace pour lutter contre ca est de restraindre la
méthode CONNECT des proxy sur le port 443 et une liste de sites bien
définis.
Un proxy qui laisserait sortir du ssh, autant installer une passoire :-D pas forcement
si tu fais tourner ton serveur SSH sur le port 443 (https) de ton PC à la maison. et en plus tu recompiles ton serveur SSH pour virer l'entête SSH du serveur histoire de pas te faire repèrer par un IDS non seulement ton proxy croiera que c'est de l'HTTPS et les IDS n'y verront que du feu.
La seule méthode efficace pour lutter contre ca est de restraindre la méthode CONNECT des proxy sur le port 443 et une liste de sites bien définis.
Deepthroat
Un proxy qui laisserait sortir du ssh, autant installer une passoire :-D
On parle ici d'un proxy web, qui ne peut en rien de lui meme bloquer le ssh. De plus l'établissement en question peut tres bien proxifier le web et laisser sortir le ssh, ce qui est le cas dans beaucoup beaucoup d'établissement.
Un proxy qui laisserait sortir du ssh, autant installer une passoire :-D
On parle ici d'un proxy web, qui ne peut en rien de lui meme bloquer le
ssh. De plus l'établissement en question peut tres bien proxifier le web
et laisser sortir le ssh, ce qui est le cas dans beaucoup beaucoup
d'établissement.
Un proxy qui laisserait sortir du ssh, autant installer une passoire :-D
On parle ici d'un proxy web, qui ne peut en rien de lui meme bloquer le ssh. De plus l'établissement en question peut tres bien proxifier le web et laisser sortir le ssh, ce qui est le cas dans beaucoup beaucoup d'établissement.
Sylvain Eche
http://www.htthost.com/ avec ca tu passes tout
Loin de là! Par exemple, j'ai la réponse
Accès interdit (content_filter_denied) Votre demande n'est pas permise par le filtrage des catégories interdites: "Anonymizers;Computing/Internet"
PYT
interessant ca ! a mon avis ca signifie que le site http public qui fait l'autre proximité du tunnel est blacklisté. essaye d'installer la partie serveur sur ton pc à la maison a mon avis ca va passer. N'oublie pas de configurer la partie client pour mettre ton serveur et non laisser blanc (dans ce cas il se connecte à la liste de serveurs public dans htthost.lst il me semble).
http://www.htthost.com/
avec ca tu passes tout
Loin de là!
Par exemple, j'ai la réponse
Accès interdit (content_filter_denied)
Votre demande n'est pas permise par le filtrage des catégories
interdites: "Anonymizers;Computing/Internet"
PYT
interessant ca !
a mon avis ca signifie que le site http public qui fait l'autre
proximité du tunnel est blacklisté.
essaye d'installer la partie serveur sur ton pc à la maison a mon avis
ca va passer.
N'oublie pas de configurer la partie client pour mettre ton serveur et
non laisser blanc (dans ce cas il se connecte à la liste de serveurs
public dans htthost.lst il me semble).
Accès interdit (content_filter_denied) Votre demande n'est pas permise par le filtrage des catégories interdites: "Anonymizers;Computing/Internet"
PYT
interessant ca ! a mon avis ca signifie que le site http public qui fait l'autre proximité du tunnel est blacklisté. essaye d'installer la partie serveur sur ton pc à la maison a mon avis ca va passer. N'oublie pas de configurer la partie client pour mettre ton serveur et non laisser blanc (dans ce cas il se connecte à la liste de serveurs public dans htthost.lst il me semble).
Kevin Denis
Le 16-09-2005, Deepthroat a écrit :
Il faut à mon avis que le proxy soit sévèrement configuré pour que ça ne marche pas. La configuration du proxy n'intervient que dans le "tu tunnelises tout ca", et tout dépend comment on tunnélise, et Deepthroat ne l'a pas décrit. Mais un httptunnel passe en général assez bien.
J'ai considéré qu'il avait un sshd qui tourne sur sa machine 'à la maison' et qu'il a le droit de faire du ssh depuis le boulot.
Je pense que si sa societe utilise ce genre de proxy, c'est que l'acces internet est deja severement blinde. Donc exit la connection ssh depuis le boulot vers sa machine. Par contre, quid d'une ouverture de connection sur le proxy vers un serveur ssh qui tourne sur le port 443 de sa machine perso?
Par HTTP CONNECT, ca le fait? -- Kevin
Le 16-09-2005, Deepthroat <deep@throat.org> a écrit :
Il faut à mon avis que le proxy soit sévèrement configuré pour que ça ne
marche pas. La configuration du proxy n'intervient que dans le "tu
tunnelises tout ca", et tout dépend comment on tunnélise, et Deepthroat
ne l'a pas décrit. Mais un httptunnel passe en général assez bien.
J'ai considéré qu'il avait un sshd qui tourne sur sa machine 'à la
maison' et qu'il a le droit de faire du ssh depuis le boulot.
Je pense que si sa societe utilise ce genre de proxy, c'est que l'acces
internet est deja severement blinde. Donc exit la connection ssh depuis
le boulot vers sa machine.
Par contre, quid d'une ouverture de connection sur le proxy
vers un serveur ssh qui tourne sur le port 443 de sa machine perso?
Il faut à mon avis que le proxy soit sévèrement configuré pour que ça ne marche pas. La configuration du proxy n'intervient que dans le "tu tunnelises tout ca", et tout dépend comment on tunnélise, et Deepthroat ne l'a pas décrit. Mais un httptunnel passe en général assez bien.
J'ai considéré qu'il avait un sshd qui tourne sur sa machine 'à la maison' et qu'il a le droit de faire du ssh depuis le boulot.
Je pense que si sa societe utilise ce genre de proxy, c'est que l'acces internet est deja severement blinde. Donc exit la connection ssh depuis le boulot vers sa machine. Par contre, quid d'une ouverture de connection sur le proxy vers un serveur ssh qui tourne sur le port 443 de sa machine perso?
Par HTTP CONNECT, ca le fait? -- Kevin
Etienne de Tocqueville
"Alain Montfranc" a écrit sur fr.comp.securite :
Il faut à mon avis que le proxy soit sévèrement configuré pour que ça ne marche pas. La configuration du proxy n'intervient que dans le "tu tunnelises tout ca", et tout dépend comment on tunnélise, et Deepthroat ne l'a pas décrit. Mais un httptunnel passe en général assez bien.
Un proxy qui laisserait sortir du ssh, autant installer une passoire :-D
Je ne serais pas surpris que certaines subtilité du tunnelling t'aient échappé ! ;-)
Il va de soit que le "tu tunnelises tout ca" faisait référence à un tunnel http. C'est pourquoi j'écrivais dans ma réponse "un httptunnel passe en général assez bien". Un tel tunnel est vu par le proxy comme une navigation web relativement normale.
Une fois le tunnel http créé, on peut bien mettre ce qu'on veut dedans. La logique veut qu'on y mette par exemple un tunnel ssh, mais même dans un tel cas, le proxy ne voit pas une connexion ssh, donc aucune importance si ce proxy bloque le ssh.
"Alain Montfranc" <alain-news.wanadoo.fr@montfranc.com> a écrit sur fr.comp.securite :
Il faut à mon avis que le proxy soit sévèrement configuré pour que ça ne
marche pas. La configuration du proxy n'intervient que dans le "tu
tunnelises tout ca", et tout dépend comment on tunnélise, et Deepthroat
ne l'a pas décrit. Mais un httptunnel passe en général assez bien.
Un proxy qui laisserait sortir du ssh, autant installer une passoire :-D
Je ne serais pas surpris que certaines subtilité du tunnelling t'aient
échappé ! ;-)
Il va de soit que le "tu tunnelises tout ca" faisait référence à un
tunnel http. C'est pourquoi j'écrivais dans ma réponse "un httptunnel
passe en général assez bien". Un tel tunnel est vu par le proxy comme
une navigation web relativement normale.
Une fois le tunnel http créé, on peut bien mettre ce qu'on veut
dedans. La logique veut qu'on y mette par exemple un tunnel ssh, mais
même dans un tel cas, le proxy ne voit pas une connexion ssh, donc
aucune importance si ce proxy bloque le ssh.
Il faut à mon avis que le proxy soit sévèrement configuré pour que ça ne marche pas. La configuration du proxy n'intervient que dans le "tu tunnelises tout ca", et tout dépend comment on tunnélise, et Deepthroat ne l'a pas décrit. Mais un httptunnel passe en général assez bien.
Un proxy qui laisserait sortir du ssh, autant installer une passoire :-D
Je ne serais pas surpris que certaines subtilité du tunnelling t'aient échappé ! ;-)
Il va de soit que le "tu tunnelises tout ca" faisait référence à un tunnel http. C'est pourquoi j'écrivais dans ma réponse "un httptunnel passe en général assez bien". Un tel tunnel est vu par le proxy comme une navigation web relativement normale.
Une fois le tunnel http créé, on peut bien mettre ce qu'on veut dedans. La logique veut qu'on y mette par exemple un tunnel ssh, mais même dans un tel cas, le proxy ne voit pas une connexion ssh, donc aucune importance si ce proxy bloque le ssh.
Votre demande n'est pas permise par le filtrage des catégories interdites: "Anonymizers;Computing/Internet"
interessant ca !
a mon avis ca signifie que le site http public qui fait l'autre proximité du tunnel est blacklisté.
Je ne pense pas, au vu de la remontee d'erreur. Il serait interessant de regarder le contenu des paquets d'htthost, car a priori c'est au vu de ce contenu des echanges que le proxy a interdit l'acces.
Moyennant le credit que l'on peut apporter a ce message d'erreur. Quel est le proxy utilise?
essaye d'installer la partie serveur sur ton pc à la maison a mon avis ca va passer. N'oublie pas de configurer la partie client pour mettre ton serveur et non laisser blanc (dans ce cas il se connecte à la liste de serveurs public dans htthost.lst il me semble).
Peut etre voir s'il n'y a pas une option d'obfuscation du contenu des echanges http plutot. -- Kevin
Le 17-09-2005, Sylvain Eche <sylvaineche@free.fr> a écrit :
Votre demande n'est pas permise par le filtrage des catégories
interdites: "Anonymizers;Computing/Internet"
interessant ca !
a mon avis ca signifie que le site http public qui fait l'autre
proximité du tunnel est blacklisté.
Je ne pense pas, au vu de la remontee d'erreur. Il serait interessant
de regarder le contenu des paquets d'htthost, car a priori c'est au vu
de ce contenu des echanges que le proxy a interdit l'acces.
Moyennant le credit que l'on peut apporter a ce message d'erreur. Quel
est le proxy utilise?
essaye d'installer la partie serveur sur ton pc à la maison a mon avis
ca va passer.
N'oublie pas de configurer la partie client pour mettre ton serveur et
non laisser blanc (dans ce cas il se connecte à la liste de serveurs
public dans htthost.lst il me semble).
Peut etre voir s'il n'y a pas une option d'obfuscation du contenu des
echanges http plutot.
--
Kevin
Votre demande n'est pas permise par le filtrage des catégories interdites: "Anonymizers;Computing/Internet"
interessant ca !
a mon avis ca signifie que le site http public qui fait l'autre proximité du tunnel est blacklisté.
Je ne pense pas, au vu de la remontee d'erreur. Il serait interessant de regarder le contenu des paquets d'htthost, car a priori c'est au vu de ce contenu des echanges que le proxy a interdit l'acces.
Moyennant le credit que l'on peut apporter a ce message d'erreur. Quel est le proxy utilise?
essaye d'installer la partie serveur sur ton pc à la maison a mon avis ca va passer. N'oublie pas de configurer la partie client pour mettre ton serveur et non laisser blanc (dans ce cas il se connecte à la liste de serveurs public dans htthost.lst il me semble).
Peut etre voir s'il n'y a pas une option d'obfuscation du contenu des echanges http plutot. -- Kevin
