Nantes Hardware
Connectes toi !

Rejoignez le forum, c’est rapide et facile

Nantes Hardware
Connectes toi !
Nantes Hardware
Vous souhaitez réagir à ce message ? Créez un compte en quelques clics ou connectez-vous pour continuer.
Le Deal du moment :
Fnac : 2 Funko Pop achetées : le 3ème ...
Voir le deal
-20%
Le deal à ne pas rater :
-20% sur le Lot de 2 écrans PC GIGABYTE 27″ LED M27Q
429 € 539 €
Voir le deal

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

+8
monster
culex44
youyoubart
SebZ
Axragide
Zeitoon
Freyja
pudlach
12 participants

Page 1 sur 3 1, 2, 3  Suivant

Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par pudlach Mer 16 Déc 2009 - 14:19

Salut les gens,

Je vous prépare un ptit tuto pour vous expliquer comment shooter vos
restrictions réseaux au taf (ou ailleurs) (ports bloqués, surf restreints, sites
bloqués, proxy qui font chier...).

Les outils à utiliser :
- WMWare PLayer 3 / Virtual Box ou autre virtual machine player.
- OpenVpn
- Une messagerie pour demander vos accès Smile

En règle général, dans une infrastructure réseau d'entreprise, soit
rien n'est mis en place pour assurer un minimum de sécurité dans ce cas
ce tuto ne vous est d'aucune utilité car vous n'avez pas de
restrictions, soit (et c'est vraiment dans la majorité des cas), vous
disposez de deux ports ouverts:
- Le 80 pour le web
- Le 443 pour le websecure (c'est ce port qui nous intéresse)

C'est là ou la magie du VPN opère, un port ouvert deviendra très vite, un réseau ouvert Smile

Le but du VPN étant de créer un réseau local virtuel, crypté à travers
un tunnel défini sur un port précis. Ce tunnel pouvant faire transité
tout style de paquets et protocoles.

Nous avons un serveur dédié avec de la grosse bande passante aux fesses, autant en profitez et la faire évoluer en serveur VPN.

Quel port allons nous utilisez ?
- Le 443 bien sur, vu qu'il est ouvert dans la majorité des cas dans les infrastructures d'entreprises et d'administrations Smile

(il existe encore certaines boites en vase clos quand même, avec des
politiques de restrictions dignes du goulag encore...hein Robin ???
quoique on arrive toujours à trouver un ptit port d'ouvert Wink hein
Robin ??? :p)

Ce qui m'amène donc à la création d'une vm supplémentaire sur la kimsufi Smile dédié au VPN, avec un accès à internet bien sur.

ATTENTION : ce VPN est différent de celui évoqué pour faire des pseudo
LAN sur L4D et L4D2. Celui ci n'as pas d'accès à internet et est
exécutée sur la machine qui héberge les jeux et n'a pas le même niveau
de chiffrement.

Côté client, pour ne pas interférer avec vos outils de boulot
(messagerie d'entreprise, annuaire, stratégie de réseau local....) la
solution la plus transparente pour votre poste de travail est
d'installer un vm légère et transportable à souhait configuré avec son
client vpn pour se connecter à celui de la kimsufi !

Perso, j'ai opté à la fois pour la distro elive (debian + enlightenment
e17) et xubuntu ((debian + xfce) qui offre une grosse compatibilité
avec VMWARE)

Trouvez donc un iso de telle ou telle distro et créer une nouvelle vm
avec VMWARE PLayer 3 par exemple ====> Create a new Virtual Machine
Vous mettez le chemin de l'iso que vous avez choisi et direct VMWARE lance votre install comme sous un système classique.

Un fois votre vm perso installé, installer le paquet openvpn lancez un terminal et
suivant la base de la distro :

Debian: aptitude install openvpn
Ubuntu: apt-get install openvpn
Suse : zypper install openvpn
Mandriva: urpmi openvpn
RedHat : yum install openvpn
Fedora : yum install openvpn
etc...



Envoyez un mail à bibi pour récupérer vos confs d'openvpn (à copier dans /etc/openvpn)

Relancez le service openvpn :
/etc/init.d/openvpn restart ou service openvpn restart suivant la distro

et voili, votre vm est configuré sur le réseau de la subVPN avec un accès au net.

Tout ce que vous ferez transité sur le réseau passera par le port
ouvert de votre côté (ici 443) et sera crypté. Tous les ports seront
ouverts, plus de limitations de surf, et côté poste de travail
minimisez juste WMWARE pour repasser un mode "j'vais bosser maintenant,
soyons discret"

Vous n'avez pas touché à votre configuration de votre poste de travail,
vous possédez un vm éxécutable de n'importe quel poste avec VMWARE
Player 3 par exemple, sous n'importe quel OS Smile

Si vous avez un autre port d'ouvert que le 443, ce n'est pas un drame on mettra en place un système de redirection au niveau du routage de la kimsufi, vous pourrez aussi profitez de ce service si vous le souhaitez.

Bingo !

A plus pour de nouvelles aventures.

Voici un screen donc avec la xubuntu dans un xp. Le xp dans son réseau d'entreprise et ses restrictions et la xubuntu sur son vpn sans restrictions Smile
[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Xubunt10
pudlach
pudlach
Modérateur
Modérateur

Nombre de messages : 1229
Localisation : St Jean de Boiseau

http://lmg.linuxwall.info/

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par Freyja Mer 16 Déc 2009 - 15:53

Ben si Robin trouve un port d'ouvert je vais me faire virer ^^

Sans dec, j'ai bossé pour quelques grandes entreprises ou administrations en tant qu'architecte sécurité (Banque-assurance ou La poste par exemple), et c'est plutôt l'exception que le port 443 soit ouvert en direct, en général ça passe par un proxy (qui est plus ou moins bien filtrant).
Sinon, n'importe lequel des firewalls que l'on utilise en "grande entreprise" détecte les tunnels et sait faire la différence entre du trafic HTTP(s) et du VPN SSL (au niveau protocolaire c'est complétement différents).

Les seuls tunnels qui à la rigueur pourraient fonctionner sont des tunnels DNS/UDP (voir heyoka par exemple) et encore il faut que le DNS soit ouvert et non proxyfié ou de vrais tunnels HTTP comme savent le faire MSN (c'est plutôt de l'encapsulation, mais le fonctionnement est le même) ou Skype. Et même dans ces deux derniers cas, les firewalls avec lesquels j'ai joué détectent le type d'encapsulation et peuvent bloquer le trafic.
C'est tout simplement ce que l'on appelle de l'inspection de trafic, Cisco sait le faire depuis les version 7.x, Checkpoint depuis toujours, NetAsq depuis toujours et Netscreen depuis toujours aussi.

PS: pour ceux qui ne savent pas qui je suis, je suis un collègue de boulot de Robin.

PS2: je ne désespère pas un jour de jouer avec vous, mais chut je m'entraine Smile

PS3: en revanche j'aime bien ton idée pour les jeux afin de bypasser les limitations LAN Wink

PS4: tout de même un beau boulot que de tenter d'expliquer OpenVPN / Linux / VmWare à des néophytes Very Happy (pas taper je suis déjà parti !!)

PS5: et non le port 445 n'est pas ouvert... m'enfin franchement ! un peu de jugeote quoi ^^


Dernière édition par sioban le Mer 16 Déc 2009 - 16:28, édité 1 fois
Freyja
Freyja
Coadmin
Coadmin

Nombre de messages : 21093
Localisation : Perdue dans les genres

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par Zeitoon Mer 16 Déc 2009 - 16:10

Ce tuto m'interesse fortement car je suis bloqué derriere un proxy qui filtre bien trop à mon gout !
Zeitoon
Zeitoon
Administrateur
Administrateur

Nombre de messages : 32276
Localisation : N : 47.08.13 O : 01.40.48

http://www.nhfr.org

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par Freyja Mer 16 Déc 2009 - 16:16

Ben c'est ce que je veux dire, si tu passes par un proxy, le tuto ne va pas te servir...

Il ne fonctionnera que si tu peux sortir en direct sur le port 443, un simple telnet en ligne de commande depuis ta machine en interne vers votre serveur kimsufi sur le port 443 confirmera ce point.

> telnet 91.121.74.152 443

Si tu obtiens ça :
C:\>telnet 91.121.74.152 443
Connexion à 91.121.74.152...Impossible d'ouvrir une connexion à l'hôte, sur le port 443: Échec lors de la connexion

Alors c'est fermé, sinon tu peux taper des caractère suivi de la touche return pour revenir à la ligne de commande

PS : Au passage, ssh sur le port 444 :p
Freyja
Freyja
Coadmin
Coadmin

Nombre de messages : 21093
Localisation : Perdue dans les genres

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par Axragide Mer 16 Déc 2009 - 16:29

Le match est lancé: TOP DÉPART!!!! [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Icon_bounce

A ma droite El grenador, le fraggeur fou, aussi appelé plus simplement "BAB" [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux 582571 qui va tenter sous vos yeux ébahis de contourner les restrictions de son adversaire; à ma gauche; le petit nouveau du forum (c'est amical hein! Wink), le spécialiste des protocoles, le "hacker-killer", j'ai nommé SIOBAN [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Icon_cool !! A très bientôt sur NHFR pour suivre ce match qui s'annonce très sérré!!!





[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux 10640

Edit: rhoo ils ont réussi à poster pendant mon speech... [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Icon_mad
avatar
Axragide
Gold Member
Gold Member

Nombre de messages : 909
Localisation : loin de nantes!

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par Freyja Mer 16 Déc 2009 - 16:34

Je crois que cela à déjà été tenté Very Happy

Mais pas de soucis pour un second round [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Icon_twisted

Même plus, on a plein d'ip publique au boulot [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Icon_cool
Freyja
Freyja
Coadmin
Coadmin

Nombre de messages : 21093
Localisation : Perdue dans les genres

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par Zeitoon Mer 16 Déc 2009 - 17:14

Echec Surprised
Zeitoon
Zeitoon
Administrateur
Administrateur

Nombre de messages : 32276
Localisation : N : 47.08.13 O : 01.40.48

http://www.nhfr.org

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par pudlach Mer 16 Déc 2009 - 17:16

oulah, j'suis pas venu me battre moi ^^

c'est juste une vulgarisation autour du vpn et de ses utilisations Smile

Maintenant , j'vais quand même essayer de réagir à ton post sioban.

Tout ce qui peut être mis en place pour "sécuriser" / "brider" un réseau/un utilisateur m'interesse fortement Smile

J'pense que tu dois savoir mieux que moi, que tout ce qui transite sur ton port 443 peut être analysé, mais dans la pratique tu verras que ce n'est pas du HTTPS mais quelque chose de plus obscure mais quoi ???

J'ai entendu dire par robin, que la connexion à gmail était possible de là où tu bosses, et le tchat actif (via un script de connexion défini dans les paramêtres de proxy d'IE). Donc dans une certaine mesure, ton proxy ne bloque pas le 443. Il le filtre. Qui dit filtrer, dit...quelque part exploitable.

Que fait ce script ? une authentification auprès du proxy pour ouvrir une session ? Dans ce cas dans la conf du client VPN de la subVPN, tu ajoutes ces quelques lignes...

http-proxy sl-proxy2 80 /etc/openvpn/access.pwd basic

ou sl_proxy2 est le nom du proxy
le fichier access.pwd est le fichier contenant le login/pass pour
l'authentification du proxy et doit etre de la forme suivante (le login
sur la 1ere ligne et le pass sur la 2eme ligne) :


login
password

Ne cherchons pas midi à 14h, les logins et mots de passe conrrepondre aux logins/mdp de la session Windows.
Nous venons de nous authentifier auprès du proxy Smile let's rules


PS : le but de se tuto était de ne surtout pas toucher aux configurations de son poste de travail pour garder un environnement clean.
Maintenant si on peut charcuter les confs réseaux en direct, y'a quand pas mal de moyen de shooter un proxy (proxifier le localhost, tunnel ssh, http et hooker des applis avec WinSocksCap, rebond sur d'autres postes ayant moins de restriction, j'en passe, par exemple....)

PS 2 : si gmail est accessible même par un script de connexion sache que...par gtalk....et bah....====>http://code.google.com/p/vncviaxmpp/
tunneling quand tu nous tiens Smile

En tout cas, j'admire ton métier...j'espere évoluer dans des métiers comme ça à l'avenir...même si le développement est quand même plus porteur (mais vite rébarbatif).

PS 3 : c'est bien de voir des entreprises avec de vrais admins réseaux et du vrai matos derrière pour pouvoir mettre en place de vrais sécurités, mais dans la pratique, ça coute chère et j'pense vraiment que ce tuto est applicable dans la majorité des infras...


EDIT @Zeitoon : ne désespère pas, le 443 est peut être hors jeu ce n'est peut être pas le cas de tous les ports. On regardera ensemble si tu veux.


Dernière édition par Babfrag le Mer 16 Déc 2009 - 18:52, édité 1 fois
pudlach
pudlach
Modérateur
Modérateur

Nombre de messages : 1229
Localisation : St Jean de Boiseau

http://lmg.linuxwall.info/

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par SebZ Mer 16 Déc 2009 - 17:52

Moi quand je clic sur IE, ça s'ouvre [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Icon_rolleyes
SebZ
SebZ
Modérateur
Modérateur

Nombre de messages : 4663
Localisation : Vertou

http://obsessiongaming.fr/og/

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par Zeitoon Mer 16 Déc 2009 - 18:19

Ok yo !

Sinon, je voudrais pas trop me faire reprérer par la cellule info Surprised
Zeitoon
Zeitoon
Administrateur
Administrateur

Nombre de messages : 32276
Localisation : N : 47.08.13 O : 01.40.48

http://www.nhfr.org

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par pudlach Mer 16 Déc 2009 - 18:39

Tout dépend du mot d'ordre de ladite cellule info !

Dans des boites comme celle de sioban/robin, la sécurité et la bonne tenue des utilisateurs à l'air d'être un sujet sensible.
C'est sûrement un argument de vente pour leur boite (hébergement de serveurs ? service aux entreprises ?) et les boites qui ont besoin de la compétence de sioban.

Dans d'autres boites, cette surenchère de bridage n'a somme toute moins de raison d'être.

Le tout est de savoir quelle est la politique dans ta boite et qui est vraiment en charge de l'analyse du traffic...
Je regarde dans ma boite et je me rends juste compte qu'à une époque y'avais surement de grande idée pour ça mais qu'aujourd'hui y'a personne de compétent pour te dire qui fait quoi sur quel poste...
Un vrai admin réseau, c'est enormément de compéetnce, ===> c'est chère ===> et sans plus value pour l'entreprise (hormis quand la sécurité est un gros argument de vente) et/ou la surveillance des utilisateurs est une necessité.

Pour ça que les infras sont majoritairement simpifiés et que tu te retrouves avec ces deux ports d'ouverts 80 et 443 et pour le reste c'est fermé. Simple mais efficace dans la plupart des cas.

Quoiqu'il arrive, sache que dans la plupart des cas c'est toujours illégal dans une entreprise d'exploiter le réseau pour faire des choses que tu n'es pas sensé pouvoir faire sans shooter telle ou telle restriction.

Mais qui est là pour faire la loi ? ^^

A toi de voir.

PS : pour xavier ça devrait pas être un souci c'est lui le boss ^^

PS2 : à priori on est pas d'accord sur le "quel est le majoritairement" dans les boites...de ce que j'peux voir...c'est bien le 443 qui prédomine largement., je n'ai pas de stats pour étayer mes dires...seulement des retours d'expériences de mes colègues (en clientèle et dans d'autres boites).
pudlach
pudlach
Modérateur
Modérateur

Nombre de messages : 1229
Localisation : St Jean de Boiseau

http://lmg.linuxwall.info/

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par pudlach Mer 16 Déc 2009 - 19:24

sioban a écrit:Ben c'est ce que je veux dire, si tu passes par un proxy, le tuto ne va pas te servir...

Il ne fonctionnera que si tu peux sortir en direct sur le port 443, un simple telnet en ligne de commande depuis ta machine en interne vers votre serveur kimsufi sur le port 443 confirmera ce point.

> telnet 91.121.74.152 443

Si tu obtiens ça :
C:\>telnet 91.121.74.152 443
Connexion à 91.121.74.152...Impossible d'ouvrir une connexion à l'hôte, sur le port 443: Échec lors de la connexion

Alors c'est fermé, sinon tu peux taper des caractère suivi de la touche return pour revenir à la ligne de commande

PS : Au passage, ssh sur le port 444 :p


au fait zeitoon, cette commande ne marchera pas de toute manière de ton boulot (enfin il te repondra rien a part te proposer de sortir), les paquets ne sont acceptés que pour certaines IP.

essaye donc un :

telnet elbouzino.linuxwall.info 443


S'il te repond OpenSSH c'est tout bon

si t as carrement un échec de connexion, effectivement tu es derrière un proxy, mais on ne desepere pas pour autant. Soit une simple authentification auprès de celui-ci dans ta conf de openvpn permettra de l'exploiter, soit un autre port est dispo. Sinon bah c'est sioban est encore passé par là et dans ce cas...
/go corde
pudlach
pudlach
Modérateur
Modérateur

Nombre de messages : 1229
Localisation : St Jean de Boiseau

http://lmg.linuxwall.info/

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par Freyja Mer 16 Déc 2009 - 20:56

Babfrag a écrit:J'pense que tu dois savoir mieux que moi, que tout ce qui transite sur ton port 443 peut être analysé, mais dans la pratique tu verras que ce n'est pas du HTTPS mais quelque chose de plus obscure mais quoi ???

tout dépend de ce que tu y fais passer, en l'occurence ce serait du SSL, c'est à dire que tu as bien les entêtes ETHERNET > IP > TCP puis la partie session > ... > application est complétement cryptée. Donc surement interprétée comme du Garbage par le proxy ou le Firewall.

En HTTPS c'est un peu différent, il y a une partie nego avec les couches Ethernet > IP > TCP > HTTP puis on passe en mode crypté SSL, et là le firewall/proxy ne voit plus grand chose.

A une exception près, certains firewalls sont capables de "deviner" ce qui passe dans le flux en analysant le flux ssl. Et surtout certains proxy casse le flux SSL afin d'analyser le trafic HTTP qui circule dedans, et là aucune chance de le bypasser.

La grosse différence c'est que le proxy/fw ne va pas laisser passer le trafic s'il ne commence pas par une demande HTTP (CONNECT)

J'ai entendu dire par robin, que la connexion à gmail était possible de là où tu bosses, et le tchat actif (via un script de connexion défini dans les paramêtres de proxy d'IE). Donc dans une certaine mesure, ton proxy ne bloque pas le 443. Il le filtre. Qui dit filtrer, dit...quelque part exploitable.

Il y a deux choses différentes :
- HTTPS (GMAIL, tout sites sécurisé)
- le protocole MSN supporte les proxy. Mais ce qui passe dedans est complétement clair et non crypté

Que fait ce script ? une authentification auprès du proxy pour ouvrir une session ?

Non pas tout à fait, le script est un .pac, c'est juste un javascript qui configure les paramètres proxy du navigateur en fonction de paramètres (destination, hostname, etc)

L'authentification est réalisée par le proxy en mode NTLM (transparent) ou BASIC. La plupart des softs qui tentent de récupérer la conf d'IE ne détectent pas qu'il faut mettre une authentification (ce n'est pas précisé puisque c'est une conf auto). Cela dit rien n'empêche de mettre à la main les param proxy et l'authentification

Dans ce cas dans la conf du client VPN de la subVPN, tu ajoutes ces quelques lignes...

http-proxy sl-proxy2 80 /etc/openvpn/access.pwd basic

ou sl_proxy2 est le nom du proxy
le fichier access.pwd est le fichier contenant le login/pass pour
l'authentification du proxy et doit etre de la forme suivante (le login
sur la 1ere ligne et le pass sur la 2eme ligne) :


login
password

Ne cherchons pas midi à 14h, les logins et mots de passe conrrepondre aux logins/mdp de la session Windows.
Nous venons de nous authentifier auprès du proxy Smile let's rules

Oui mais ce n'est pas aussi simple.
Encore faut-il que le trafic généré corresponde à de l'HTTPS (méthode CONNECT entre autre), qu'openvpn sache interpréter les informations renvoyées par le proxy, et surtout que la destination soit autorisée ^^

Ben oui, parce que le proxy fait du filtrage d'url. Aujourd'hui nous sommes assez laxiste mais c'est en train de changer, le proxy va te renvoyer une page web t'informant que le site que tu essaies de joindre n'est pas pro et pour y aller il faut cliquer sur un bouton (outrepassement). OpenVPN ne va pas savoir gérer ça.

Enfin, il ne faut pas oublier qu'il y a une surveillance et des rapports qui sont générés à partir des logs. Je ne donne pas cher à un tunnel SSL... En général je bloque assez rapidement ce genre de chose Wink

Au final, j'aimerais bien tester pour voir si ça passe, on ne sait jamais ^^

PS : le but de se tuto était de ne surtout pas toucher aux configurations de son poste de travail pour garder un environnement clean.

Oui il est pas mal pour ça et surtout portable/transportable Very Happy
Cela dit ta VM tu ne la lanceras pas si l'utilisateur connecté n'a pas les droits d'admin...

proxifier le localhost

Oui il y a des outils pour ça. Les trois quarts du temps payant et plutôt lent.
Et ils ne fonctionnent plus dès que l'on active l'outrepassement ou l'analyse de contenu

tunnel ssh

Non, il faut proxifier le ssh. C'est faisable dans une certaine mesure, mais le flux n'est pas du SSL et donc shooté direct.


http et hooker des applis avec WinSocksCap

Idem localhost.

rebond sur d'autres postes ayant moins de restriction

Oui, mais non. L'authentification définissant tes droits. A moins d'avoir les identifiants d'un autre. Mais en fait il n'y a pas de login permettant d'accéder à des sites privés. En général les logins ouvre des accès vers des sites spécifiques.

PS 2 : si gmail est accessible même par un script de connexion sache que...par gtalk....et bah....====>http://code.google.com/p/vncviaxmpp/
tunneling quand tu nous tiens Smile

Oui pourquoi pas, il faut que cela supporte le proxy

En tout cas, j'admire ton métier...j'espere évoluer dans des métiers comme ça à l'avenir...même si le développement est quand même plus porteur (mais vite rébarbatif).

J'ai évolué d'analyste programmeur à tech puis à admin sys/res et enfin à ingé sécu (aujourd'hui j'ai le titre ronflant de consultant sécurité...). Je n'ai qu'un DUT au départ Wink
Mais qui dit sécu dit réseau, à l'exception de la sécu organisationnelle qui se rapproche plus de la qualité, j'en fait mais ce n'est pas ma grande passion (audits, analyses de risques).

PS 3 : c'est bien de voir des entreprises avec de vrais admins réseaux et du vrai matos derrière pour pouvoir mettre en place de vrais sécurités, mais dans la pratique, ça coute chère et j'pense vraiment que ce tuto est applicable dans la majorité des infras...

Oui pour la plupart des PME qui n'ont pas vraiment d'informaticien...

Mais cela dit, j'ai justement fait un audit à la poste et les tunnels SSH passaient... Alors qu'il suffisait d'activer une case à cocher sur les firewalls pour les bloquer...

Bon ceci dit je retourne à l'install de mon SSD Very Happy
Freyja
Freyja
Coadmin
Coadmin

Nombre de messages : 21093
Localisation : Perdue dans les genres

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par pudlach Mer 16 Déc 2009 - 21:06

rhooo, j'viens d'avoir une erection est-ce normal ?

bon j'ai bien compris que le but du jeu quand on fait appel à des gens comme toi, c'est de mettre en place tout un tas d'outils (et de gros gros matos quand même) pour que les gens comme moi aillent se pendre ou au mieux arrive à sortir de ton réseau, les mains libres mais avec une latence de 4 secondes et un taux de perte de paquets conséquents ^^

tu avoueras quand même que ce que tu fais, n'est pas fait dans pas mal de boites :p
Et un consultant sécurité qui depouille au jour le jour des logs de traffics...serieux ?

M'enfin j'aimerais bien être dans tes réseaux, juste pour tenter l'échappée belle ^^

Sur ce, moi aussi je m'en vais, ravi de tant d'explication Smile
Ces métiers sont quand même des beaux métiers, de passionés (dirait-on geek ? :p )


Dernière édition par Babfrag le Mer 16 Déc 2009 - 21:13, édité 1 fois
pudlach
pudlach
Modérateur
Modérateur

Nombre de messages : 1229
Localisation : St Jean de Boiseau

http://lmg.linuxwall.info/

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par youyoubart Mer 16 Déc 2009 - 21:10

Moué....
Merci le discours moralisateur.
" Tunnel SSH c'est pas bien....Vous devez bosser au lieu d'aller sur des sites de branlecouille [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux 971561 [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux 971561 [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux 971561 "

Mais si ca se trouve, vu que tu connais tous les trucs pour bypasser les firewalls, tu passes ton temps à glander sur youtube. [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux 411708
youyoubart
youyoubart
NHFR member
NHFR member

Nombre de messages : 1140
Localisation : 1/4 Breton - 3/4 Parisien

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par pudlach Mer 16 Déc 2009 - 21:14

bah y'en a qui sont payés pour ça, autant avoir des utilisateurs recalcitrants pour les stimuler ! ^^

c'est juste pour le fun au final, et apprendre pis c'est de bonne guerre
pudlach
pudlach
Modérateur
Modérateur

Nombre de messages : 1229
Localisation : St Jean de Boiseau

http://lmg.linuxwall.info/

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par Freyja Mer 16 Déc 2009 - 21:45

@youyoubart : Euh sorry mais j'ai pas bien vu où le discours était moralisateur... Moi perso j'aime bien trouver comment bypasser les sécu, c'est mon métier d'apprendre à empêcher que cela arrive...

@babfrag : ben disons que depuis que je tape dans les grosses boites, c'est la généralité avec plus ou moins de restrictions. Et franchement aux chantiers on a été super large avec les utilisateurs... Avant que j'arrive c'était le goulag mal maitrisé. Maintenant c'est pas encore la démocratie mais c'est maitrisé.
Pour les logs, il y a deux choses.
La première c'est qu'il y a des rapport totomatique qui sortent les tops utilisateurs / sites / conso
La seconde c'est qu'on est phase d'attaque virale (et oui on a beau mettre de beau joujou pour sécuriser, il y a toujours un secteur où la direction pense que ce n'est pas la peine d'investir...) et que donc, oui, j'épluche un peu les logs en ce moment, mais c'est pour détecter les machines infectés Wink
tu bosses dans qu'elle branche sur nantes ?

PS: le ssd crucial c'est bonheur Very Happy
Freyja
Freyja
Coadmin
Coadmin

Nombre de messages : 21093
Localisation : Perdue dans les genres

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par pudlach Mer 16 Déc 2009 - 22:41

Quitte à faire du HS :

develo sur un fat fat projet dans les telecoms c++, tuxedo, oracle, et une bonne dose d'interfacage middleware sur des gros AIX 4 et 5 sur lesquels on a la main pour nos machines de dev.

evidemment, y'a des exploitants du dit client pour ce qui concerne la prod.

très interessant comme projet, pour les technos (nombreuses à la fois new et old teck) et surtout pour l'énormité du SI et le nombre de machines dans notre scope.

Le domaine telecom aussi, toujours en quête d'évolutions, jamais radin sur le taf ^^ pour pas dire...abusé des fois :p
pudlach
pudlach
Modérateur
Modérateur

Nombre de messages : 1229
Localisation : St Jean de Boiseau

http://lmg.linuxwall.info/

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par culex44 Mer 16 Déc 2009 - 23:06

oulalah j'ai lu le topic et j'ai mal à la tête [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux 159134
culex44
culex44
NHFR All Stars
NHFR All Stars

Nombre de messages : 6612
Localisation : Lille

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par youyoubart Mer 16 Déc 2009 - 23:17

sioban a écrit:@youyoubart : Euh sorry mais j'ai pas bien vu où le discours était moralisateur... Moi perso j'aime bien trouver comment bypasser les sécu, c'est mon métier d'apprendre à empêcher que cela arrive...

PS: le ssd crucial c'est bonheur Very Happy

J'ai forcé le trait pour pouvoir faire ma blague [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux 582571
Merci d'avoir l'avoir cassé... [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Icon_razz
youyoubart
youyoubart
NHFR member
NHFR member

Nombre de messages : 1140
Localisation : 1/4 Breton - 3/4 Parisien

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par pudlach Mer 16 Déc 2009 - 23:56

sioban a écrit:
babfrag a écrit:PS 3 : c'est bien de voir des entreprises avec de vrais admins réseaux et du vrai matos derrière pour pouvoir mettre en place de vrais sécurités, mais dans la pratique, ça coute chère et j'pense vraiment que ce tuto est applicable dans la majorité des infras...

Oui pour la plupart des PME qui n'ont pas vraiment d'informaticien...

Mais cela dit, j'ai justement fait un audit à la poste et les tunnels SSH passaient... Alors qu'il suffisait d'activer une case à cocher sur les firewalls pour les bloquer...

Bon ceci dit je retourne à l'install de mon SSD Very Happy

Juste pour réagir à ça. On est 15000 au moins chez nous en france.
On taf tous dans l'info...et on a pas ce genre de sécu...oO
C'est moi qui vais finir par te trouver du taf :p
pudlach
pudlach
Modérateur
Modérateur

Nombre de messages : 1229
Localisation : St Jean de Boiseau

http://lmg.linuxwall.info/

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par monster Jeu 17 Déc 2009 - 8:10

Wouhou, au boulot aucun proxy Razz, mais bon je suis trop occupé pour aller surf, sauf quand j'ai besoin de quelques petites aides ^^
monster
monster
NHFR All Stars
NHFR All Stars

Nombre de messages : 9143
Localisation : sainte pazanne

http://www.yark.fr/

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par Freyja Jeu 17 Déc 2009 - 9:02

youyoubart a écrit:J'ai forcé le trait pour pouvoir faire ma blague [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux 582571
Merci d'avoir l'avoir cassé... [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Icon_razz

You're Welcome Very Happy
Il faut juste que je m'habitue à votre humour Wink

Babfrag a écrit:Juste pour réagir à ça. On est 15000 au moins chez nous en france.
On taf tous dans l'info...et on a pas ce genre de sécu...oO
C'est moi qui vais finir par te trouver du taf :p

Vi, mais bon c'est une SSII... Ils sont pas super regardant qu'en à la sécu interne en général.
A la poste ou aux chantiers, si tu laisses le champ libre aux utilisateurs tu arrives vite à de gros débordement... (30 Mbits de bande passante utilisée par 10 personnes par exemple...)
Freyja
Freyja
Coadmin
Coadmin

Nombre de messages : 21093
Localisation : Perdue dans les genres

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par nico44z Jeu 17 Déc 2009 - 9:28

culex44 a écrit:oulalah j'ai lu le topic et j'ai mal à la tête [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux 159134

oui et de toute façon a eviter pour tous ceux qui utilise renater sur univ-nantes car ça se verra vu que tout est logué ...
nico44z
nico44z
Coadmin
Coadmin

Nombre de messages : 19973
Localisation : saint seb

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par pudlach Jeu 17 Déc 2009 - 9:49

comme d'habitude..tout est logué soit, mais y'a t'il qq'un pour vérifier tout ça ? et prendre des mesures pour t'en empêcher ?
pudlach
pudlach
Modérateur
Modérateur

Nombre de messages : 1229
Localisation : St Jean de Boiseau

http://lmg.linuxwall.info/

Revenir en haut Aller en bas

[TUTO] Kimsufi : subVPN et la mort des restrictions réseaux Empty Re: [TUTO] Kimsufi : subVPN et la mort des restrictions réseaux

Message par Contenu sponsorisé


Contenu sponsorisé


Revenir en haut Aller en bas

Page 1 sur 3 1, 2, 3  Suivant

Revenir en haut

- Sujets similaires

 
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum