Forum général.cherche-logiciel Contournement de proxy

Posté par  .
Étiquettes : aucune
0
10
mar.
2007
Salut,

Depuis vendredi, au boulot, un proxy fou bloque l'accès aux webmail, dont gmail.

Impossible pour moi de vivre une journée sans checker mes mails persos!

Première solution d'urgence, je vais rediriger mes mails vers mon adresse professionnelle. Mais je n'aime pas cette solution car ça me perturbe dans mon travail. Je préfère choisir quand j'interrompt mon travail pour consulter mes mails perso.

Deuxième solution, où j'ai besoin d'aide, installer un tunnel http. L'idée est d'installer thunderbird en local pour mes mails persos. Comme je ne peux pas faire du pop sur port 110 ou SSL 995 bloqués par le proxy, je compte passer par un tunnel http. pour la configuration en local, ça ne devrait pas poser de problème, c'est largement documenté à gauche ou à droite. Par contre, côté serveur, je comptais utiliser hts de httptunnel http://www.nocrew.org/software/httptunnel.html mais je n'ai vu nul par d'exemple où la redirection n'est pas en local mais sur un serveur distant (ici pop.gmail.com). C'est possible ou pas selon vous? Ca vaut le coup que je fasse des essais ou je perd mon temps?

Troisième solution, où j'ai là aussi besoin d'aide, installer un tunnel http dans une autre utilisation. Voir http://littlewhore.free.fr/proxycorridor/ qui hélas ne tourne que sous windows, ce que je n'ai pas sous la main, côté serveur. C'est le deuxième cas d'utilisation qui m'intéresse : "Accès complet au web à travers un proxy"
Si j'ai bien compris ce que ça fait, l'idée est de configurer son browser avec comme proxy le proxy corridor local, et ensuite on tape directement l'adresse du site que l'on veut.
J'ai bien saisi ce que ça fait? En particulier, je trouve assez cool l'idée d'identifier (-c) son corridor.
Quelqu'un connaitrait un soft sous linux qui ferait l'équivalent?

Si vous voyez d'autres solutions, je suis bien sûr preneur!

Merci de vos réponses,
zFlorent
  • # ou admin consciencieux

    Posté par  . Évalué à 7.


    Depuis vendredi, au boulot, unproxy fou bloque l'accès aux webmail, dont gmail.


    proxy fou, ou admin consciencieux...

    detourner l'usage d'un proxy peut te mettre sur la sellette vis à vis de ton employeur/université.

    en effet contourner une mesure de securité (pour l'entreprise) s'apparente au non-respect de la charte internet/messagerie que tu as du signé.

    regarde bien dans cette charte, car cela pourrait t'amener des ennuis.

    au mieux il n'y aura rien
    au moins bien tu vas ramener des virus dans ton entreprise
    au pire tu te fera virer

    :-/
    • [^] # Re: ou admin consciencieux

      Posté par  (site web personnel) . Évalué à 2.

      D'accord avec tout ce que tu dis, sauf avec le titre.

      Parce qu'il ne faut pas être devin pour prévoir que si tu mets en route une politique qui est jugée trop contraignante, les gens vont la contourner, ce qui peut amener des problèmes plus grands que ceux que la politique était censée prévenir.
    • [^] # Re: ou admin consciencieux

      Posté par  . Évalué à 2.

      Le coup du proxy fou était une boutade. Je dirais plus précisément une politique de contrôle de l'usage d'internet trop restrictive en vue d'une tentative (illusoire, car il y a bien d'autres moyens de perdre du temps au boulot!) de controle du temps effectif de travail des salariés...

      Premièrement je n'ai pas signé de charte.
      Deuxièmement, nous pouvons recevoir des emails de l'extérieur (sur nos boites email pro). Donc le risque de recevoir des virus n'est pas plus grand par mon webmail.
      Troisièmement, nos poste sont équipés d'antivirus et firewall, justement pour contrer ce risque de virus.
      Quatrièmement, mon but n'est QUE d'accéder à mes mails persos. Ce que je peux faire en reroutant ces mails sur ma boite professionnelle. J'agis donc dans un but d'efficacité professionnelle! ;-)

      Cinquièmement, quel moyen l'admin a de découvrir mon tunnel à part venir voir sur mon poste la partie tunnel client (ce qui est possible, je l'admet)? Si je fais du ssh, c'est cripté, non?!? Ne pourrais-je pas, pour un soucis de furtivité, installer le browser et/ou le client de messagerie et le client tunnel sur une clé USB? Comme ça, je peut dire que je n'ai rien installé sur mon PC et ce n'est présent sur le PC que quand je l'utilise!

      Après on peut ouvrir le débat. Si mon employeur ne me laisse QUE travailler sur mes heures de travail, sans faire de pause (internet, webmail, coups de fils administratifs), je ne vais faire QUE mes heures de travail, y compris quelques pauses café réglementaires.
      Je pense qu'actuellement, ils étaient largement gagnants. Mais "s'ils la veulent leur p**ain d'guerre!"

      zFlorent
      • [^] # Re: ou admin consciencieux

        Posté par  . Évalué à 4.

        1°) 4°)
        le probleme ne vient pas du fait que tu ne fais pas tes heures de travail en allant voir tes emails personnelles.

        le probleme est ailleurs (comme la verité d'ailleurs).

        2°) et 3°)
        - renvoyer tes emails de ton fournisseur à ta boite perso, tu passes surement par :
        -- l'antivirus de votre FAI
        -- l'antivirus de votre serveur de mail
        -- l'antispam de votre serveur email
        -- l'antivirus de votre poste client

        - acceder directement à ton webmail, tu ne passes plus que par l'antivirus de ton poste.

        ==> il y va donc de la securité de l'entreprise

        5°) il y a plein de soft qui permettent de remonter un inventaire precis des postes.
        et s'il ne t'a pas attribué la liberté d'installer ce que tu veux
        ni les acces reseaux qu'il faut alors c'est que tu n'es simplement pas censé pouvoir le faire.

        debat)
        productivité et usage des moyens de communication d'entreprise à but personnel :
        - combien ton employeur gagnerait à te laisser acceder à tes emails perso ?
        - combien il risque en ouvrant potentiellement une faille de securité ?

        en general si tu penses que c'est legitime tu dois pouvoir demander officiellement de le faire

        maintenant j'ai le meme probleme au boulot ou on me reproche simplement de passer trop de temps sur internet, que je ne suis pas censé faire de "veille technologique"...
      • [^] # Re: ou admin consciencieux

        Posté par  . Évalué à 4.

        L' entreprise qui fournit un accès à l'Internet à ses employés est une forme d'ISP. Ton entreprise met en place sa politique d' accès à l'Internet et c'est son droit le plus strict. Si tu contestes le bienfondé du filtrage des webmail, va plutot réclamer un filtrage plus souple plutot que de vouloir le contourner.

        Si tu ne vois pas comment un admin peut se rendre compte que certaines personnes utilisent des tunnels sans regarder ton poste client, c' est que tu ne t'es pas suffisamment renseigné sur le sujet
      • [^] # Re: ou admin consciencieux

        Posté par  . Évalué à 4.

        Premièrement je n'ai pas signé de charte.

        pas besoin de "charte", c'est dans le règlement intérieur que tu as accepté de respecter quand tu as signé ton contrat de travail.

        maintenant, quand il est mis à jour on doit te le signaler et s'assurer que tu en aies pris connaissance, mais ce n'est pas nécessaire ici.
      • [^] # Re: ou admin consciencieux

        Posté par  (site web personnel) . Évalué à 2.

        Cinquièmement, quel moyen l'admin a de découvrir mon tunnel à part venir voir sur mon poste la partie tunnel client (ce qui est possible, je l'admet)? Si je fais du ssh, c'est cripté, non?!?


        Tu devrais te renseigner et lire, par exemple, le MISC de Mars-Avril 2007.
        Il est tout à fait possible d'identifier du traffic normal et du traffic anormal.
        Le protocole HTTP étant l'un des rares à pouvoir sortir partout, il est même de rigueur de contrôler ce qui passe à travers ce port. Pas besoin de savoir ce que tu tapes au travers du protocole SSH encapsulé, il suffit juste de savoir que tu n'es pas en train de faire de l'HTTP standard pour décider de couper la communication.

        Ne pourrais-je pas, pour un soucis de furtivité, installer le browser et/ou le client de messagerie et le client tunnel sur une clé USB? Comme ça, je peut dire que je n'ai rien installé sur mon PC et ce n'est présent sur le PC que quand je l'utilise!


        Non puisque tu utilises tout de même le poste de travail qui t'auras été assigné.
        Puisque le filtrage est relativement récent, tu ferais mieux d'en discuter/débattre avec les administrateurs et la direction (qui commande généralement ce type de filtrage).

        Après on peut ouvrir le débat. Si mon employeur ne me laisse QUE travailler sur mes heures de travail, sans faire de pause (internet, webmail, coups de fils administratifs), je ne vais faire QUE mes heures de travail, y compris quelques pauses café réglementaires.
        Je pense qu'actuellement, ils étaient largement gagnants. Mais "s'ils la veulent leur p**ain d'guerre!"


        Une pause de travail demande de sortir de son bureau. Sinon, tu n'es pas assez sorti du contexte pour revenir mieux te concentrer. Après, tu fais ce que tu veux pour gérer ton travail mais il vaut mieux avoir de bonnes distances entre le travail et le reste.
  • # faute grave

    Posté par  . Évalué à 3.

  • # contournage

    Posté par  (site web personnel) . Évalué à 2.

    Dans ma précédente boite, j'ai contourné pendant 4 ans leur proxy.
    - Leur filtrage mail nepermettait plus de recevoir de pièce jointe
    - impossible de charger un exe ou un doc word sur internet.

    Il m'était donc impossible de recevoir des documents de clients/fournisseurs, à part une procédure ftp très contraignante pour l'interlocuteur (ouverture d'un compte ftp etc.), ce qui n'arrangeait pas toujours le contact.

    Bref, finallement pour gagner du temps j'ai contourné tout ca avec un proxy et une boite mail externe en https.

    J'ai également viré leur antivirus, qui prenait 90% du cpu et une compil mettait 1h au lieu d'1/4. (et si j'avais le malheur de pointer sur un zip ou une iso, ca scannait tout le contenu => obligé de prendre une pause café).

    Ca m'a valu des convocations et des mises en garde! J'ai toujours répondu que c'était à l'admin de s'adapter au besoin et pas l'inverse! Le produit qui rapporte à la boite, c'est pas l'admin qui le fait, et lui n'a pas de deadline impossible à tenir, je n'avais pas 3 jours à consacrer à rappartrier un .doc!

    Par ailleurs, l'antivirus c'était moi, je n'ai en 4 ans jamais eu un virus ou trojan... suffit de ne pas se ballader n'importe où sur internet pendant son temps de travail!!!
    • [^] # Re: contournage

      Posté par  (site web personnel) . Évalué à 1.

      Solution rapide...

      Il te faut :
      - client sous linux (si possible)
      - serveur sous linux
      - tinyproxy

      Passons aux choses sérieuses :
      # urpmi tinyproxy
      (le régler pour écouter que sur 127.0.0.1 et le port 3128)
      # service tinyproxy start
      # urpmi openssh-server
      # service sshd start

      Sur le client :
      $ setsid ssh -L 666:example.com:3128 -N -n
      (il te faut mettre en place une pubkey, sinon, tu devra avoir une console ouverte pour taper le mot de passe, ou avoir un ssh-agent correctement configuré)

      Ton navigateur :
      - proxy 127.0.0.1:3128

      Bon ça marche que pour le http/https? pour le ftp et autre, faudra utiliser du plus lourd (squid correctement configuré ou autre)
      • [^] # Re: contournage

        Posté par  . Évalué à 1.

        Pour le client sous Linux, il ne faut pas réver non plus... Comme beaucoup je suis sous PC windows et je n'ai pas le choix. Et je ne vais pas installer Cygwin rien que pour ça!

        Mais merci pour tes conseils, je vais essayer de regarder ça et voir comment adapter pour client windows.

        Par contre, je ne suis pas sûr de bien comprendre ta manip. Dans la config du navigateur, ce ne serait pas plutôt proxy 127.0.0.1:666 ?
        Si j'ai bien compris la man page du ssh, setsid ssh -L 666:example.com:3128 -N -n indique qu'on écoute sur le port 666 et que l'on redirige sur le server example.com, port 3128, sur lequel écoute tinyproxy, non?
        Ensuite, tinyproxy écoute sur le port 3128, mais pour faire quoi? Pour moi, le but est soit d'atteindre le serveur pop.gmail.com en ssh de façon transparente pour un logiciel genre thunderbird, soit d'accéder au webmail gmail.

        Merci pour ta réponse,
        zFlorent
        • [^] # Re: contournage

          Posté par  (site web personnel) . Évalué à 2.

          Bon c'est pas gentil de m'avoir moinsé...

          Bon, sinon le proxy c'est bien 127.0.0.1:666, je me suis ptet mélangé...

          Sinon, faut voir du côté du client ssh pour windows putty, il me semble qu'il y en a un dans le lot qui permet de se connecter en ssh et fait un tunel, httptunel il me semble...

          Bon j'ai pas fait super gaffe que tu cherchais pour windows, mais bon j'ai déjà trouvé des tutos (en anglais) en googlant un peu...
          • [^] # Re: contournage

            Posté par  . Évalué à 1.

            Je te rassure, ce n'est pas moi qui t'ai moinsé! Je ne mord pas la main qui se tend pour m'aider!

            zFlorent
    • [^] # Re: contournage

      Posté par  (site web personnel) . Évalué à 3.

      Ca m'a valu des convocations et des mises en garde! J'ai toujours répondu que c'était à l'admin de s'adapter au besoin et pas l'inverse! Le produit qui rapporte à la boite, c'est pas l'admin qui le fait, et lui n'a pas de deadline impossible à tenir, je n'avais pas 3 jours à consacrer à rappartrier un .doc!


      Si tu crois que les admins n'ont jamais de « deadline », tu te trompes lourdement. Le travail d'un admin est bien ingrat car, lorsqu'il est justement bien fait, on n'a pas à s'en plaindre et on ne voit pas son travail jusqu'au point de l'oublier. Mais dès qu'il y a des problèmes, on lui tombe dessus à pieds joints.
      Un adminstrateur système reste un être humain et il est possible- si ! si ! -de discuter avec lui. Bien souvent, il ne fait qu'appliquer, contre son gré, des consignes émanant de la direction.

      Par ailleurs, l'antivirus c'était moi, je n'ai en 4 ans jamais eu un virus ou trojan... suffit de ne pas se ballader n'importe où sur internet pendant son temps de travail!!!


      Parce que tu crois sérieusement qu'un virus se répand depuis ton poste de travail en t'envoyant un faire-part ? Tu serais bien naïf dans ce cas. Du reste, la sécurité de ton poste de travail et de l'entreprise par extension ne t'appartient pas : c'est le rôle des administrateurs systèmes. Que tu constestes leurs compétences est une autre affaire mais il y a d'autres moyens pour discuter.
      Au lieu de passer outre, tu aurais pu essayer de démontrer combien de temps le dispositif et les procédures de sécurité te faisaient perdre dans ton travail. Au lieu de ça, on aurait pu simplement penser que tu passais ton temps à prendre des pauses-café.
      • [^] # Re: contournage

        Posté par  (site web personnel) . Évalué à 1.

        Quand je critique l'admin, je ne critique pas l'administrateur, mais la politique d'administration. En aucun cas je dénigre ce métier. Par ailleurs, l'admin en question avait toujours essayé de faire avancer les choses dans le bon sens.

        Fixer des objectifs impossibles à cause de contraintes fixées, ce sont mes conditions de travail et ca me concerne en premier!

        Pour les pauses cafés, je n'en prenais pas, puisque je n'avais plus d'antivirus, et donc passait du temps effectif!

        Pour les procédures, ca n'était pas que du temps, c'était également des relations dégradées avant des fournisseurs et des clients qui ne comprenaient pas pourquoi on ne pouvait pas s'échanger des docs normallement!
  • # CGIProxy

    Posté par  . Évalué à 3.

    Si tu as un serveur web à l'extérieur qui supporte perl, voilà une solution utilisable sans besoin avoir à toucher de toucher à rien coté client: http://www.jmarshall.com/tools/cgiproxy/
    • [^] # Re: CGIProxy

      Posté par  . Évalué à 1.

      Je vais essayer ça, ça a l'air effectivement proche du deuxième cas d'utilisation de proxy corridor que je recherchais.

      Merci,
      zFlorent
  • # Tu n'as pas tord (euh non TOR)

    Posté par  . Évalué à 1.

    Ben moi J'utilise Tor (HTTPS vivement conseillé si tu utilises une Webmail car la communication au niveau du dernier noeud n'ai pas crypté)

    http://tor.eff.org/index.html.fr

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.