Salut,
Depuis vendredi, au boulot, un proxy fou bloque l'accès aux webmail, dont gmail.
Impossible pour moi de vivre une journée sans checker mes mails persos!
Première solution d'urgence, je vais rediriger mes mails vers mon adresse professionnelle. Mais je n'aime pas cette solution car ça me perturbe dans mon travail. Je préfère choisir quand j'interrompt mon travail pour consulter mes mails perso.
Deuxième solution, où j'ai besoin d'aide, installer un tunnel http. L'idée est d'installer thunderbird en local pour mes mails persos. Comme je ne peux pas faire du pop sur port 110 ou SSL 995 bloqués par le proxy, je compte passer par un tunnel http. pour la configuration en local, ça ne devrait pas poser de problème, c'est largement documenté à gauche ou à droite. Par contre, côté serveur, je comptais utiliser hts de httptunnel http://www.nocrew.org/software/httptunnel.html mais je n'ai vu nul par d'exemple où la redirection n'est pas en local mais sur un serveur distant (ici pop.gmail.com). C'est possible ou pas selon vous? Ca vaut le coup que je fasse des essais ou je perd mon temps?
Troisième solution, où j'ai là aussi besoin d'aide, installer un tunnel http dans une autre utilisation. Voir http://littlewhore.free.fr/proxycorridor/ qui hélas ne tourne que sous windows, ce que je n'ai pas sous la main, côté serveur. C'est le deuxième cas d'utilisation qui m'intéresse : "Accès complet au web à travers un proxy"
Si j'ai bien compris ce que ça fait, l'idée est de configurer son browser avec comme proxy le proxy corridor local, et ensuite on tape directement l'adresse du site que l'on veut.
J'ai bien saisi ce que ça fait? En particulier, je trouve assez cool l'idée d'identifier (-c) son corridor.
Quelqu'un connaitrait un soft sous linux qui ferait l'équivalent?
Si vous voyez d'autres solutions, je suis bien sûr preneur!
Merci de vos réponses,
zFlorent
# ou admin consciencieux
Posté par NeoX . Évalué à 7.
proxy fou, ou admin consciencieux...
detourner l'usage d'un proxy peut te mettre sur la sellette vis à vis de ton employeur/université.
en effet contourner une mesure de securité (pour l'entreprise) s'apparente au non-respect de la charte internet/messagerie que tu as du signé.
regarde bien dans cette charte, car cela pourrait t'amener des ennuis.
au mieux il n'y aura rien
au moins bien tu vas ramener des virus dans ton entreprise
au pire tu te fera virer
:-/
[^] # Re: ou admin consciencieux
Posté par mac_is_mac (site web personnel) . Évalué à 2.
Parce qu'il ne faut pas être devin pour prévoir que si tu mets en route une politique qui est jugée trop contraignante, les gens vont la contourner, ce qui peut amener des problèmes plus grands que ceux que la politique était censée prévenir.
[^] # Re: ou admin consciencieux
Posté par zflorent . Évalué à 2.
Premièrement je n'ai pas signé de charte.
Deuxièmement, nous pouvons recevoir des emails de l'extérieur (sur nos boites email pro). Donc le risque de recevoir des virus n'est pas plus grand par mon webmail.
Troisièmement, nos poste sont équipés d'antivirus et firewall, justement pour contrer ce risque de virus.
Quatrièmement, mon but n'est QUE d'accéder à mes mails persos. Ce que je peux faire en reroutant ces mails sur ma boite professionnelle. J'agis donc dans un but d'efficacité professionnelle! ;-)
Cinquièmement, quel moyen l'admin a de découvrir mon tunnel à part venir voir sur mon poste la partie tunnel client (ce qui est possible, je l'admet)? Si je fais du ssh, c'est cripté, non?!? Ne pourrais-je pas, pour un soucis de furtivité, installer le browser et/ou le client de messagerie et le client tunnel sur une clé USB? Comme ça, je peut dire que je n'ai rien installé sur mon PC et ce n'est présent sur le PC que quand je l'utilise!
Après on peut ouvrir le débat. Si mon employeur ne me laisse QUE travailler sur mes heures de travail, sans faire de pause (internet, webmail, coups de fils administratifs), je ne vais faire QUE mes heures de travail, y compris quelques pauses café réglementaires.
Je pense qu'actuellement, ils étaient largement gagnants. Mais "s'ils la veulent leur p**ain d'guerre!"
zFlorent
[^] # Re: ou admin consciencieux
Posté par NeoX . Évalué à 4.
le probleme ne vient pas du fait que tu ne fais pas tes heures de travail en allant voir tes emails personnelles.
le probleme est ailleurs (comme la verité d'ailleurs).
2°) et 3°)
- renvoyer tes emails de ton fournisseur à ta boite perso, tu passes surement par :
-- l'antivirus de votre FAI
-- l'antivirus de votre serveur de mail
-- l'antispam de votre serveur email
-- l'antivirus de votre poste client
- acceder directement à ton webmail, tu ne passes plus que par l'antivirus de ton poste.
==> il y va donc de la securité de l'entreprise
5°) il y a plein de soft qui permettent de remonter un inventaire precis des postes.
et s'il ne t'a pas attribué la liberté d'installer ce que tu veux
ni les acces reseaux qu'il faut alors c'est que tu n'es simplement pas censé pouvoir le faire.
debat)
productivité et usage des moyens de communication d'entreprise à but personnel :
- combien ton employeur gagnerait à te laisser acceder à tes emails perso ?
- combien il risque en ouvrant potentiellement une faille de securité ?
en general si tu penses que c'est legitime tu dois pouvoir demander officiellement de le faire
maintenant j'ai le meme probleme au boulot ou on me reproche simplement de passer trop de temps sur internet, que je ne suis pas censé faire de "veille technologique"...
[^] # Re: ou admin consciencieux
Posté par ecid . Évalué à 4.
Si tu ne vois pas comment un admin peut se rendre compte que certaines personnes utilisent des tunnels sans regarder ton poste client, c' est que tu ne t'es pas suffisamment renseigné sur le sujet
[^] # Re: ou admin consciencieux
Posté par Gniarf . Évalué à 4.
pas besoin de "charte", c'est dans le règlement intérieur que tu as accepté de respecter quand tu as signé ton contrat de travail.
maintenant, quand il est mis à jour on doit te le signaler et s'assurer que tu en aies pris connaissance, mais ce n'est pas nécessaire ici.
[^] # Re: ou admin consciencieux
Posté par Raphaël SurcouF (site web personnel) . Évalué à 2.
Tu devrais te renseigner et lire, par exemple, le MISC de Mars-Avril 2007.
Il est tout à fait possible d'identifier du traffic normal et du traffic anormal.
Le protocole HTTP étant l'un des rares à pouvoir sortir partout, il est même de rigueur de contrôler ce qui passe à travers ce port. Pas besoin de savoir ce que tu tapes au travers du protocole SSH encapsulé, il suffit juste de savoir que tu n'es pas en train de faire de l'HTTP standard pour décider de couper la communication.
Non puisque tu utilises tout de même le poste de travail qui t'auras été assigné.
Puisque le filtrage est relativement récent, tu ferais mieux d'en discuter/débattre avec les administrateurs et la direction (qui commande généralement ce type de filtrage).
Une pause de travail demande de sortir de son bureau. Sinon, tu n'es pas assez sorti du contexte pour revenir mieux te concentrer. Après, tu fais ce que tu veux pour gérer ton travail mais il vaut mieux avoir de bonnes distances entre le travail et le reste.
# faute grave
Posté par B. franck . Évalué à 3.
# contournage
Posté par mathieu mathieu (site web personnel) . Évalué à 2.
- Leur filtrage mail nepermettait plus de recevoir de pièce jointe
- impossible de charger un exe ou un doc word sur internet.
Il m'était donc impossible de recevoir des documents de clients/fournisseurs, à part une procédure ftp très contraignante pour l'interlocuteur (ouverture d'un compte ftp etc.), ce qui n'arrangeait pas toujours le contact.
Bref, finallement pour gagner du temps j'ai contourné tout ca avec un proxy et une boite mail externe en https.
J'ai également viré leur antivirus, qui prenait 90% du cpu et une compil mettait 1h au lieu d'1/4. (et si j'avais le malheur de pointer sur un zip ou une iso, ca scannait tout le contenu => obligé de prendre une pause café).
Ca m'a valu des convocations et des mises en garde! J'ai toujours répondu que c'était à l'admin de s'adapter au besoin et pas l'inverse! Le produit qui rapporte à la boite, c'est pas l'admin qui le fait, et lui n'a pas de deadline impossible à tenir, je n'avais pas 3 jours à consacrer à rappartrier un .doc!
Par ailleurs, l'antivirus c'était moi, je n'ai en 4 ans jamais eu un virus ou trojan... suffit de ne pas se ballader n'importe où sur internet pendant son temps de travail!!!
[^] # Re: contournage
Posté par Raphaël G. (site web personnel) . Évalué à 1.
Il te faut :
- client sous linux (si possible)
- serveur sous linux
- tinyproxy
Passons aux choses sérieuses :
# urpmi tinyproxy
(le régler pour écouter que sur 127.0.0.1 et le port 3128)
# service tinyproxy start
# urpmi openssh-server
# service sshd start
Sur le client :
$ setsid ssh -L 666:example.com:3128 -N -n
(il te faut mettre en place une pubkey, sinon, tu devra avoir une console ouverte pour taper le mot de passe, ou avoir un ssh-agent correctement configuré)
Ton navigateur :
- proxy 127.0.0.1:3128
Bon ça marche que pour le http/https? pour le ftp et autre, faudra utiliser du plus lourd (squid correctement configuré ou autre)
[^] # Re: contournage
Posté par zflorent . Évalué à 1.
Mais merci pour tes conseils, je vais essayer de regarder ça et voir comment adapter pour client windows.
Par contre, je ne suis pas sûr de bien comprendre ta manip. Dans la config du navigateur, ce ne serait pas plutôt proxy 127.0.0.1:666 ?
Si j'ai bien compris la man page du ssh, setsid ssh -L 666:example.com:3128 -N -n indique qu'on écoute sur le port 666 et que l'on redirige sur le server example.com, port 3128, sur lequel écoute tinyproxy, non?
Ensuite, tinyproxy écoute sur le port 3128, mais pour faire quoi? Pour moi, le but est soit d'atteindre le serveur pop.gmail.com en ssh de façon transparente pour un logiciel genre thunderbird, soit d'accéder au webmail gmail.
Merci pour ta réponse,
zFlorent
[^] # Re: contournage
Posté par Raphaël G. (site web personnel) . Évalué à 2.
Bon, sinon le proxy c'est bien 127.0.0.1:666, je me suis ptet mélangé...
Sinon, faut voir du côté du client ssh pour windows putty, il me semble qu'il y en a un dans le lot qui permet de se connecter en ssh et fait un tunel, httptunel il me semble...
Bon j'ai pas fait super gaffe que tu cherchais pour windows, mais bon j'ai déjà trouvé des tutos (en anglais) en googlant un peu...
[^] # Re: contournage
Posté par zflorent . Évalué à 1.
zFlorent
[^] # Re: contournage
Posté par Raphaël SurcouF (site web personnel) . Évalué à 3.
Si tu crois que les admins n'ont jamais de « deadline », tu te trompes lourdement. Le travail d'un admin est bien ingrat car, lorsqu'il est justement bien fait, on n'a pas à s'en plaindre et on ne voit pas son travail jusqu'au point de l'oublier. Mais dès qu'il y a des problèmes, on lui tombe dessus à pieds joints.
Un adminstrateur système reste un être humain et il est possible- si ! si ! -de discuter avec lui. Bien souvent, il ne fait qu'appliquer, contre son gré, des consignes émanant de la direction.
Parce que tu crois sérieusement qu'un virus se répand depuis ton poste de travail en t'envoyant un faire-part ? Tu serais bien naïf dans ce cas. Du reste, la sécurité de ton poste de travail et de l'entreprise par extension ne t'appartient pas : c'est le rôle des administrateurs systèmes. Que tu constestes leurs compétences est une autre affaire mais il y a d'autres moyens pour discuter.
Au lieu de passer outre, tu aurais pu essayer de démontrer combien de temps le dispositif et les procédures de sécurité te faisaient perdre dans ton travail. Au lieu de ça, on aurait pu simplement penser que tu passais ton temps à prendre des pauses-café.
[^] # Re: contournage
Posté par mathieu mathieu (site web personnel) . Évalué à 1.
Fixer des objectifs impossibles à cause de contraintes fixées, ce sont mes conditions de travail et ca me concerne en premier!
Pour les pauses cafés, je n'en prenais pas, puisque je n'avais plus d'antivirus, et donc passait du temps effectif!
Pour les procédures, ca n'était pas que du temps, c'était également des relations dégradées avant des fournisseurs et des clients qui ne comprenaient pas pourquoi on ne pouvait pas s'échanger des docs normallement!
# CGIProxy
Posté par Olivier Guerrier . Évalué à 3.
[^] # Re: CGIProxy
Posté par zflorent . Évalué à 1.
Merci,
zFlorent
# Tu n'as pas tord (euh non TOR)
Posté par netchaiev . Évalué à 1.
http://tor.eff.org/index.html.fr
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.