- Empécher les employés d’installer des programmes sur les ordinateurs avec des comptes d’utilisateurs restreins. Cela n’empèche pas d’accéder au net , mais cela limite l’installation de jeux vidéo et de programmes de messagerie instantanée.
- l’utilisation d’un firewall ou d’un serveur proxy qui limite l’accés à internet , toutes les communications internet passent par un ordinateur , c’est donc l’emplacement idéal pour surveiller et restreindre l’accés a internet de tous les employés de la société. votre administrateur réseau peut facilement avoir la liste de tous les sites que vous avez consultés , lire vos mails etc…
- installer un programme directement sur le poste de travail qui surveille les agissements de l’employé. (une technique peu fiable car il suffit de fermer le programme via le gestionnaire de tàches de windows)
Ce guide va vous expliquer comment contourner les restrictions du firewall mises en place par votre employeur pour pouvoir accéder a internet au grand complet de façon privée , par “privé” je veux dire que votre employeur ne pourra pas voir les sites que vous avez visités et ne pourra pas lire le contenu des pages que vous avez chargées via sa passerelle ( sauf en regardant par dessus votre épaule ).
Cette méthode ne vous protège pas de logiciels installés sur votre ordinateurs et qui pourraient espionner vos faits et gestes. mais elle pourra vous aider si :
Vous pouvez accéder à tout internet SAUF quelques sites ( youtube , facebook , dailymotion ) avec cette méthode ils seront accessibles
Vous pouvez accéder à tout internet mais les logiciels de messagerie instantanée( WLM, AIM, YIM, Google Talk) n’arrivent pas à se connecter, avec cette méthode , cela deviendra possible.
Si vous ne pouvez accéder qu’a une liste de site internet , ce n’est pas évident que cela fonctionne mais il y a tout de même des chances.
Bon alors , l’objectif est de crypter le flux internet de façon à ce qu’il ne puisse ètre lu quand il passe à travers le proxy mis en place par vos employeurs.
Pour réaliser tout ça , nous allons:
- installer ,configurer et lancer un serveur SSH sur votre ordinateur personnel qui restera a votre maison et allumé.
- lancer un Client SSH sur votre poste de travail pour créer un tunnel sécurisé entre votre ordinateur travail , et votre ordinateur personnel
activer le “dynamic forwarding” dans votre client SSH pour simuler un proxy de type SOCKS.
régler votre navigateur internet pour qu’il utilise le serveur SOCKS pour se connecter au lieu de la connexion directe.
Après tous ces réglages , votre navigateur internet se connectera à votre client SSH qui est lancé sur votre ordinateur au bureau , le client SSH se connectera au serveur SSH qui est lancé à votre maison (tunnel), votre navigateur(du boulot) lancera des requètes qui seront donc transmises au serveur SSH qui se connectera au site internet demandé et renverra la réponse au client SSH qui la fera passer au navigateur , mais rassurez vous , cela ne prend que quelques mili-secondes.
Le trafic SSH qui sera ainsi généré pourra être vu par le logiciel de monitoring de votre employeur, mais y verra seulement un ramassis de lettres et de chiffres totalement incompréhensible.
Ce qu’il vous faut pour réaliser ceci - un minimum de connaissances en informatique. (savoir installer un programme, savoir utiliser l’explorateur de fichiers , éditer un fichier de configuration, faire un fichier .bat)
- un ordinateur à votre maison qui reste allumé quand vous êtes au travail.
- Une connexion internet la plus rapide possible a votre domicile , (débit d’upload particulièrement important)
- windows 2000/XP/7/8 ou linux
Dans quels cas ça ne fonctionne pas ?
Cela ne fonctionne pas quand les réglages du firewall de l’entreprise vous bloquent les communications jusqu’à votre ordinateur , c’est souvent le cas lorsque les employés ne peuvent accéder qu’a une liste préétablie de site web.
vous pouvez toujours essayer de trouver une excuse pour que votre administrateur réseau ajoute l’ip de votre machine personnelle dans la liste autorisée mais il y a peut de chances qu’il soit dupe.
Pour commencer.
Vous allez avoir besoin de l’adresse IP de votre ordinateur personnel , vous pouvez obtenir cette information à partir d’une grosse quantité de site web comme par exemple adresseip.com
notez l’adresse pour la prendre avec vous au travail
Les logiciels
Vous n’avez a utiliser que 2 logiciels trés simples , un serveur SSH , et un client SSH
Pour le Serveur SSH , nous allons utiliser OpenSSH car c’est un logiciel libre .
OpenSSH pour windows est téléchargeable à cette adresse sshwindows.sourceforge.net
Pour le client SSH , nous allons utiliser Putty qui a la capacitée de se connecter au serveur SSH en créant un tunnel sécurisé.
Les versions récentes intègrent le Dynamic forwarding ce qui est primordial dans notre cas.
Plutôt que de télécharger la version la plus connu de Putty , nous allons utiliser PuttyTray qui a la capacité d’être réduit dans le system Tray. Il est téléchargeable à cette adresse : http://www.xs4all.nl/~whaa/putty/
Installation serveur SSH
Après le téléchargement du serveur SSH , vous devez vous retrouver avec une archive ZIP
Il vous faut extraire son contenu et executer le fichier setupssh.exe
OpenSSH pour windows utilise les comptes d’utilisateurs de windows pour l’authentification .Il vous faut obligatoirement un compte avec mot de passe pour utiliser avec le serveur SSH.
Pour créer un nouveau compte allez dans le panneau de configuration puis sur compte d’utilisateur puis sur créer un nouveau compte choisissez le nom de votre compte et donnez lui des droits d’administrateur
ensuite cliquez sur le compte que vous venez de créer et adjoignez lui un mot de passe.
Si vous ne voulez pas qu’il vous demande au démarrage de choisir entre vos utilisateurs cliquez sur “Modifier la manière dont les utilisateurs ouvrent et ferment une session” et décocher l’option “utiliser l’écran d’accueil”.
Configurer le serveur SSH
Nous allons maintenant configurer le serveur pour que vous puissiez vous y connecter en utilisant le login et le mot de passe que vous venez juste de créer dans windows. Nous allons aussi changer le port d’écoute de 22 vers 443
Pourquoi le port 443 ?
Parce que c’est l’un des 2 ports standards utilisés par le serveur web , De plus c’est par ce port la que les informations cryptées circulent habituellement . Votre trafic ressemblera au trafic crée par un site web sécurisé (banques , site de paiement , certain webmail).
Si ça ne fonctionne pas sur le port 443 essayez avec le port 80
Si ça ne fonctionne toujours pas , c’est certainement la fin de l’aventure pour vous , il vous faudra essayer une autre méthode.
port 443
Nous allons donc éditer un fichier de configuration .
Ouvrez l’explorateur de fichier et allez dans le dossier c:/Program Files/OpenSSH/etc
en suite ouvrez sshd_config avec wordpad
Remplacez la ligne
#port 22
par
port 443
enregistrez le fichier
ensuite ouvrez une invite de commande. et allez sur c:/Program Files/OpenSSH/bin (en tapant cd c:/Program Files/OpenSSH/bin ) puis “entrée”
puis tapezmkgroup -l > ../etc/grouppuis
mkpasswd -l > ../etc/passwdcela va avoir pour effet de récupérer vos mots de passe windows et de les placer dans le serveur SSH
pour démarrer le serveur SSH faites dans une invite de commande :net start opensshd
Pour vous faciliter la tâche , vous pouvez faire un petit programme en .bat qui se démarre automatiquement avec windows pour ne pas avoir à lancer manuellement le serveur tous les matins.
Si vous utilisez un routeur ( Dlink , netgear , linksys , freebox , livebox, ….) pour accéder a internet , il faut que vous redirigiez le port 443 sur votre ordinateur .
La manip n’est pas la même selon les routeurs mais il y a en général une interface web sur le routeur pour réaliser cela.
si vous n’y arrivez pas une recherche google sur Port forwarding nomdevotrerouteur devrait vous donner la marche à suivre
Configurer Putty ( au boulot )copiez Putty.exe a n’importe quel endroit sur votre disque dur, dans n’importe quel dossier .
créez dans le même repertoire un fichier texte que vous enregistrerez sur le nom shunnel.bat
Dans ce fichier texte écrivez
putty -D 8080 -P 443 -ssh IPmaison
Ipmaison doit être l’ip que vous avez noté au début du tutoriel en allant sur adresseip.com
et enregistrez le fichier
Créer le tunnel
Double cliquez sur shunnel.bat ça va lancer le processus de connexions. et vous demander le login et le mot de passe du compte d’utilisateur windows créé sur votre ordinateur personnel
Une fois entrés le tunnel est crée.
utiliser le tunnel dans votre navigateurdans internet explorer :
cliquez sur outils puis sur option internet , allez sur l’onglet connexions , cliquez sur paramètres réseaux , cochez utiliser un serveur proxy pour ……
puis cliquez sur avancé
allez dans la dernière case socks et entrez 127.0.0.1 port 8080
dans FireFox
cliquez sur outils puis option. Cliquez sur le bouton avancé puis sur l’onglet réseau Cliquez sur le bouton paramètre , choisissez configuration manuelle du proxy
et entrez dans hôte SOCKS 127.0.0.1 port 8080
Toutes les applications qui supportent l’utilisation d’un proxy de type SOCKS 4 ou 5 peuvent se régler de la même façon .
Bonjour,
Je fais suite à votre article et je me permets de vous proposer un logiciel qui pourrait intéresser les personnes qui recherchent un moyen de contourner le pare-feu de leur entreprise, ceci sans nécessiter de connaissances en informatique
Il s’agit d’une application toute fraîche, nommée WebMeFree qui permet de débrider internet à son travail.
En effet, nombreux sont les sites tels que facebook ou encore youtube qui ne sont pas accessibles depuis son poste de travail. Les administrateurs réseaux rusent d’ingéniosité pour bloquer les sites anti-productifs, de notre coté nous rusons pour trouver une parade qui puisse d’une part fonctionner en 1 clique, mais d’autre part qui permette de surfer sans alerter son SI.
Beaucoup de gens essaient de contourner par eux même, souvent à l’aide de VPN ou de tunnel SSH, mais il faut bien savoir que ces méthodes ne marchent généralement pas en entreprise (Il faut des droits admin, les proxy d’entreprise bloquent les ports ou demandent une identification kerberos non gérée par la plupart des soft open source). Et s’ils arrivent à mettre en place une solution, il faut être conscient que les tunnels SSH sont visibles par les administrateurs réseaux et ne laissent planer que peu de doutes sur leur finalité !
Découvrez le site de l’application: http://www.webmefree.fr
Puis, voici un topo sur le fonctionnement afin de rassurer les plus septiques: https://www.webmefree.fr/technology/
Voici également une vidéo de présentation: http://youtu.be/wJNLJ_98KiQ
Eric.
Article writing is also a fun, if you know after that you can write if not it is difficult to write.
Hey this is kinda of off topic but I was wondering if blogs use WYSIWYG editors or if you have to manually code with HTML.
I’m starting a blog soon but have no coding experience so I wanted to
get advice from someone with experience. Any help would be enormously appreciated!