Comment contourner le firewall/proxy et accder aux sites bloqus
Faial EL HADDAJY
�Le but de cet article est de prsenter quelques mthodes efficaces pour changer la faon dont vous travaillez dans un rseau limit de socit privs (ou public). Pour y parvenir, nous allons utiliser le tunnel SSH pour contourner les rgles appliques par votre administrateur systme. Nous allons commencer avec la rupture des restrictions simples, et on passe graduellement des firewalls plus compliqus.
Note importante: mon but nest pas de vous encourager contourner illgalement les
restrictions imposes par les administrateurs de votre rseau. Si vous tes prt utiliser quelques astuces prsentes ici pour briser le pare-feu de votre entreprise, vous devez comprendre que ce nest pas accept dans votre socit et vous risquez d'tre licenci. Je ne suis pas responsable sur vos actes. Vous tes avertis.
Prparation
Voici ce que vous devez connaitre ou prparez pour bnficier de ce tuto : Des connaissances de base en SSH et Linux Une station de travail local Un client SSH Un serveur SSH (personnel ou gratuit) Accs de votre rseau entreprise au port 443 utilis pour les connexions https Pour mon cas, je vais utiliser les soft/hardware suivants : Windows XP service Pack 3 OS Client SSH Putty Serveur SSH gratuit (expliqu en bas) Client TCP : FireFox Browser
Comment a marche ?
La premire solution utilise un tunnel SSL simple. Ce que nous allons faire cest de crer un tunnel SSH, qui connecte votre machine, votre serveur, via le port 443 (port HTTPS). Ce tunnel coute sur un port donn sur votre machine, et redirige tout Internet, via un autre port sur le serveur. Ainsi vous pouvez par exemple crer une connexion IMAP partir de votre machine un serveur mail l-bas, mme si le pare-feu interdit IMAP, il suffit de soumettre votre client de messagerie pour se connecter localhost: 10000 (10000 est nombre choisi lalatoire).
�Figure 1 : Architecture entreprise simplifie
La deuxime solution est de crer un tunnel SSH, mais plutt que d'couter sur un port spcifique sur votre machine, ce que nous faisons est d'utiliser SSH comme un serveur SOCKS pour rediriger toutes les connexions partir d'une application, par le tunnel, directement l'Internet (et via notre serveur). Certaines applications, comme Firefox, soutient SOCKS, d'autres peuvent tre dtournes en utilisant tsocks.
Utilisation dun serveur SSH personnel
Vous devez besoin d'accder votre serveur au moins une fois via SSH, le port 22, afin de le configurer. Si vous tes dj derrire le pare-feu, vous ne serez pas en mesure de se
�connecter au serveur. Vous pouvez le configurer la maison si vous choisissez dutilisez votre PC personnel comme serveur SSH, mais dans ce cas vous devez vous disposez dune adresse public vers Internet. Nous allons configurer le serveur pour tre l'coute sur le port 443, habituellement rserv aux HTTPS, afin que nous puissions lutiliser en SSH. Connectez-vous votre serveur, et modifier le fichier /etc/ssh/sshd_config et ajoutez la ligne: Listen 443 Ensuite, redmarrez votre serveur SSH. Il coute maintenant sur le port 443. Vous devriez pouvoir vous connecter votre serveur, derrire le pare-feu, avec la commande suivante: ssh -p 443 my.server.com
SSH tunneling
Supposons que vous voulez accder au compte e-mail via IMAP (port 143) mais le pare-feu l'interdit. La solution est simple, crer un tunnel avec les paramtres suivants : Au niveau du client SSH Putty vous configurez : Allez la section Sessionlogging : Ladresse du serveur SSH : Adresse IP de votre serveur Le port utilis par le tunnel : 443 Type de la connexion est : SSH
�Figure 2 : Ajout dadresse serveur SSH
Allez la section ConnectionsSSHTunnels : Source port : 1000 Destination : mail.google.com :143 (ou nimporte quel serveur mail qui tu veux accder) Cochez Local
�2 1
Figure 3 : Configuration du Tunnel avec port statique
Ceci va transmettre toute les demandes IMAP reues sur localhost 10000 mail.google.com port 143, tout travers un tunnel SSH. Nous avons essentiellement utilis le serveur SSH pour transmettre la connexion IMAP. Ensuite, configurez votre client de messagerie pour utiliser localhost comme serveur entrant, et 10000 comme numro de port. Vous devriez tre capable d'aller chercher vos courriels, malgr le pare-feu.
SSH comme SOCKS server
Maintenant, nous allons essayer de connecter notre client http et accder aux diffrents sites bloqus. Pour ce faire, nous allons utiliser un serveur SOCKS sur un port donn, et dfinir les applications utiliser SOCKS, soit nativement, soit de force. Lorsqu'une application utilise SOCKS, toutes ses propres connexions sont achemins via le serveur SOCKS, qui les transmet toutes vers ton serveur sur Internet, puis celui-ci se connecte aux autres serveurs TCP.
�Remarque : Il y a des applications qui ne comprennent pas SOCKS, alors vous devez les dtourner en utilisant tsocks. Malheureusement, je ne vais pas couvrir cette partie dans ce tuto. Au niveau du client SSH Putty vous configurez : Allez la section Sessionlogging : Ladresse du serveur SSH : Adresse IP de votre serveur Le port utilis par le tunnel : 443 Type de la connexion est : SSH Allez la section Connections SSHTunnels : Source port : 10000 Cochez Dynamic
Figure 4 : Configuration du Tunnel avec port dynamique
Maintenant vous allez configurer votre navigateur pour quil se connecte en utilisant SOCKS sur le port 10000 du 127.0.0.1. Pour cela, allez sur outils, puis Options, section Avanc, onglet Rseau, cliquez sur paramtres de connexion, vous aurez une nouvelle boite de dialogue. Au niveau de cette boite, vous cochez configuration manuelle du proxy, entrez 127.0.0.1 pour hote socks et 10000
�pour port, puis vous cochez SOCKS_V5. Ceci est illustr au niveau de la figure suivante :
Figure 5 : Configuration des SOCKS au niveau du fireFox
Si votre administrateur rseaux vous oblige passer par un proxy, ce qui est le cas pour la plupart des rseaux entreprises existants, alors vous devez configurer le client SSH Putty pour se connecter en utilisant ce proxy vers le monde extrieur. Ceci est configur au niveau de la section connectionsProxy, ajoutez ladresse du proxy et le port sur lequel il coute et cochez http comme type de proxy.
�Figure 6 : Configuration du proxy entreprise
Utilisation dun serveur SSH gratuit
La plupart des cas, on ne dispose pas dune adresse publique pour se connecter notre machine distante o tourne notre serveur SSH Internet. Ainsi, il faut trouver un serveur hberg quelque part sur Internet avec un service Shell. Gnralement, ce type des serveurs sont pays, sinon pour profiter gratuitement, vous devez expliquer aux gens responsables( sur leur propre canal IRC) les raisons qui vous poussent leur demander un compte Shell. Des raisons comme celles de la cration de ce tuto vont vous causer un rejet absolu. Heureusement, jai trouv un site qui propose des comptes Shell gratuits, il vous suffit de vous inscrire pour en profiter. Le site est : http://www.cjb.net/shell.html
�Figure 7 : Cration dun compte Shell sur cjb.net
Allez sur le site et crez un compte Shell, choisissez le type que vous dsirez (Bach, Cshell,), vous allez recevoir un message de confirmation sur votre boite mail, et un autre incluant les informations ncessaire pour accder votre compte. Une fois cliqu sur Open, Putty essayera de crer un tunnel au serveur distant, une nouvelle fentre Shell va souvrir vous demandant votre username et password du compte shell cre.
�Figure 8 : Configuration de l@ du serveur SSH gratuit
Figure 9 : Informations compte Shell
�Figure 10 : Prompt du serveur SSH
Une fois fait, allez sur votre navigateur configur et accdez librement aux sites bloqus. Remarque : Ne fermez pas la fentre de connexion SSH (la figure 10 ), elle reprsente le processus de connexion SSH, sinon utilisez un autre client plus avanc comme Tunnelier. La suite pour bientt Nhsitez pas partagez dautres trucs et astuces Je suis toujours prenant. A+
