Reprise du message précédent :

 
Tu es hautin là ou c'est moi qui délire ?
 

 
C'est pas la remise en question qui est grave.
Ce qui est grave c'est de mettre en péril le réseau et son contenu.
Faire un tunnel ssh pour son utilisation personnelle ne mettra pas la réseau en péril.
 

 
Il remet ça sur le tapis.
 
ahah gros con.
 
Etant donné que tu persistes à croire que je le pense, voilà, c'est dit spécialement pour toi.  
 

 
Euh ouais super, me rassurer d'exactions que j'aurai comises ?
Vraiment je vais avoir du mal a prendre un ton sérieux.
 

 
Oh oui, fouette moi  
 

 
Si tu comptes t'en servir comme définition du Larousse ça va pas le faire c'est certain.
 

 
Et maintenant tu trouves le moyen de me parler de la CIA, il faut le faire quand même !
 
Manquerai plu que tu parles de Sarkozy  
 
 
Tu es vex qu'on puisse allégrement passer à travers un proxy sans hack et tu viens pourrir ce topic.
T'as qu'a demander à le faire fermer et nous faire bannir.
Ou alors tu viens nous prevenir pour notre bien, mais ça non j'y crois pas.
 
Bonne chasse

 
Quand on me prend pour un idiot, surtout quand on ne sait pas de quoi on parle, ça m'enerve un peu.
 

 
Et si.
Les admins interdisent l'accès au site toto.com pour des raisons de sécurité.
Toi avec ton tunnel tu vas sur le site toto.com quand même.
Et ben ca y est, tu as compromis la sécurité du réseau, que tu penses que c'est pas grave et pas méchant ça ne change absolument rien, c'est pas a toi de juger de ça.
 

 
Ce que tu fais et encourage a faire n'est ni sans risques, ni sans conséquences possibles pour toi et le réseau, encore une fois que tu le croies ou pas ne change rien a l'affaire. Si tu es si sur de ton fait, pourquoi tu n'as pas été expliqué tes actions a tes admins quand tu utilisais ce genre de methode ?
 

 
Fait semblant de pas comprendre, vas-y.
 
Bref, tu fais ce que tu veux c'est pas mon probleme et je suis pas la pour donner des leçons de morales a des mecs qui de toutes façons ne voient pas plus loin que le bout de leur nez et de leur petit confort personnel, mais ne raconte pas que c'est sans risque pour le réseau compromis ou pour la personne qui fait ça, c'est une immense connerie.

Des ptits des ptits trous, toujours des ptits trous
 
Bien, quel est selon ton experience le risque réel,réaliste pour le réseau ?
Pour la personne on en à déjà vaguement discuté avant et pour moi le risque est minime sauf si on tombe sur toi je suppose lol

bon bah les gars, faut pas s'enerver, restez zen !! Notre amis El Pollo D iablo a tout de suite condamné ce topic et c'est pour cela que je comprend ilaglisser. J'ai bosé toute la journée pour monter mon vpn fai. Mon pot a donc pu se connecter avec son client openvpn. Mon serveur vpn, qui fé office de dhcp lui a donc bien attribué une ip. Ensuite, grace a qques commandes, on a reussi a changer sa table de routage faisant en sorte que tout son trafic réseau passe par le tunnel et arrive sur mon serveur vpn qui est monté sur ma debian. Il me reste maintenant a configurer correctement tout le system pour que toutes ces requettes soient traitéés et que le résultat lui soit envoyé. Je ne suis pas un pro de iptables mais je pense que je devrai finir par y arriver.
Peut etre que si tout ca marche bien, je réaliserai un package .tar ou .deb pour les gens interessés a monter ce genre de serveur.
 
Et pour finir, je vois mal comment mon pot pourrait compomettre la securité de son réseau. Il ne fé qu'acceder a un autre réseau a travers son proxy pour se connecter a internet. De l'exerieur, il reste complétement transparent, car c'est mon ip publique qui joue le role de lycos et va lui chercher les informations qu'il reclame. Ces trames sont ensuite chiffré et envoyées dans le tunel. Une autre personne ne pourrait pas effectuer ce travail car elle ne disposera pas des ceritificats x509 contenant les clés publique/privée RSA permettant le chiffrement et le déchifrement au bouts de tunnel. C'est la raison principale pour laquelle j'ai choisit d'utiliser un vpn qu'autre chose.
Les admins de son réseau devraient le remercier d'avoir recouru a cette methode plutot qu'a d'autres outils moins drastiques qui pourraient en effet créer des breches.

Ben oui...il devrait aller voir les admins : ils vont lui décerner une médaille pour le remercier d'avoir fait du tunneling.
 
Quand des admins mettent des restrictions sur des accès extérieurs, c'est pour pouvoir surveiller et contenir les risques d'infection virale ou de piratage.  
Dans ton cas, si un virus passe par ton tunnel, il ne sera peut être pas détecté suffisamment tôt, et risque d'infecter une bonne partie du réseau.
 
Dans tous les cas, si les admins se rendent compte de ton installation, soit sûr que tu te feras tirer dessus. Tu as beau trouver toutes les excuses possibles et imaginables, ça reste du piratage de réseau...
 
Je ne sais pas ce que tu encourerais en université, mais en entreprise, ce serait minimum un avertissement, et si en plus il y a des dégâts à cause de tes conneries, tu seras bon pour un licenciement sans indemnités.

 
Tu a acces a une machine du reseau de l'universite en contournant les mesures de securite mises en place par les admins.
L'universite pourrait porter plainte contre vous deux poour piratage.

 
Non mais au secours...
Et ben si t'es si sur de toi va leur expliquer aux admins que le fait de mettre directement sur leur réseau une machine etrangère sur laquelle ils n'ont aucun controle et qui est directement sur le net et est donc une porte béante sur le réseau est une bonne chose pour la sécurité.

Et oui; on croit rêver; tu pirates et on devrait te remercier...

Vous êtes tordus pour voir ça comme du piratage ...
 
Désolé mais le risque est quasiment nul.
 
Que ça fasse chier et que ça vexe ou pas les admins réseau c'est une autre histoire.

On est pas tordus; y a des règles de sécurité; les contourner pour acheminer du trafic non autorisé; ça s'appelle du piratage. C'est plutot ceux qui n'admettent pas que c'est du piratage qui sont tordus et d'une mauvaise foi incroyable.

Accéder de maniere sécurisé a des ressources externes au réseau c'est du piratage ?
 
Qu'est ce qu'il faut pas entrendre.
 
Là ou c'est genant c'est de permettre le vpn dans les deux sens et de permettre l'acces depuis l'exterieur.
dans ce cas on introduit d'autres machines sur le reseau oui.

C'est pas la peine ilaglisser, j'ai beau leur expliquer que ca ne constitue aucun risque mais ils veulent rien savoir. Et ce n'est pas de la mauvaise foi. En tout cas, ils ont bien reussi a polluer ce topic qui ma foi aurait ete tres interessent techniquement pour tout le monde. Puis si kk1 reussi a compromettre la securité d'un reseau avec cette methode, qu'il nous le fasse savoir, poursque pour l'instant, ce ne sont que des paroles en l'air.

 
Y'a 2 jours t'etais obligé de faire un topic pour savoir comment mettre en place ton truc et aujourd'hui tu prétends apprendre leur métier a des admins réseaux qui t'affirment que c'est un probleme de sécurité, t'es vraiment ridicule.
 

 
T'es visiblement pas assez compétent pour le comprendre, mais a partir du moment ou tu as mis ça en place la sécu du réseau est compromise...
 

 
Casser la sécurité d'un systeme d'information qui ne t'appartient pas, tu peux le retourner, le minimiser et justifier aussi longtemps que tu veux ça reste du piratage.
 

 
Ha tient, on passe déjà de aucun risque a un risque quasiment nul    
 

 
Bien sur, c'est uniquement un probleme de fierté, imagine un peu des gars qui savent se servir de google et suivre des tuto forcément on est jaloux
C'est a se demander d'ailleurs pourquoi dans quasiment tous les réseaux d'entreprise ce genre de protection est mise en place par défaut vu le prix que ça coute, puisqu'on a 2 grands spécialistes dans ce qui nous expliquent que sans ces protection y'a de toutes façons aucun risque supplémentaire !

scénario simple : ton pote se connecte via ton tunnel sur un site douteux et choppe un malware/spyware/virus quelconque à cause d'une faille de son navigateur/client de messagerie/je-sais-quoi-qu'il-aurait-pas-du-utiliser.
 
La bestiole s'installe tranquillement et se réplique sur toutes les autres machines du sous réseau voir du réseau complet en foutant un maximum de bordel; en envoyant plein de broadcast dans tous les sens... (principe de la sécurité; quand une machine d'une zone est compromise; on peut considérer que toute la zone est compromise).
 
Aucun besoin de mauvaise intention là dedans.

 
Ce cas de figure peut avoir un semblant de credibilité si le proxy filtre en liste blanche, et bloque tout sauf quelques sites genre laposte ou autres censés etre sans soucis.
A part dans ces cas l'acces au sites webs sera le même donc ça chengera rien.

Sauf que tu nous parle de tunnel SSL; donc le proxy ne filtrera rien puisque tout sera crypté entre sa machine et chez toi (ta freebox).
 
Ta freebox n'est pas un proxy; si ?

 
C'est pour laisser la porte à un exemple réaliste de part que j'attends toujours.
Autre chose que "le méchant virus qui attaque la gentil machine".
 
 

 
Seules des connections sécurisées peuvent être faites par ce procédé.
On se sert des capacités du proxy à faire des connections sécurisées.

 
C'est brethold qui à une freebox.  
 
 

 
Je rappellerais juste le slogan de proxytunnel : "punching holes in corporate firewalls"
 
Au moins les créateurs du soft ne se cachent pas derriere ta grosse couche de mauvaise foi    
 

 
Le tunnel entre le client et le proxy distant est sécurisé, ce qui ne signifie pas une seule seconde que ce qu'on fait passer au travers est sans risque et correspond aux exigences de sécu des admins du réseau, et que le proxy distant est egalement une machine sécurisée.
 
De toutes, aussi malin soit tu a partir du moment ou tu effectues une action aussi anodine soit elle qui est en infraction avec la politique de sécurité de ton réseau, tu remets par essence en cause la sécurité de ce réseau, point barre, ce n'est pas toi qui a a définir ce qui est acceptable ou non sur un réseau qui ne t'appartient pas. Ou alors je comprend toujours pas pourquoi vous faites ça dans votre coin et n'allez pas expliquer vos actions parfaitement légitimes et sans risques a vos admins  

El Pollo : Je plussoie.
 
Utiliser ce genre de methode, certes efficace, induit une ouverture et potentiellement un trou de sécurité dans le réseau.
 
Maintemant s'il y a des petits malins qui pensent le contraire. Il faut qu'ils s'attendent à de lourdes sanctions lorsque cela sera decouvert (et c'est très facile, meme pour un admin de base de découvrir le pot aux roses.).

 
Et t'y ferais passer quoi de risqué par ce tunnel ?
Une patate ?
Des bananes ?
 
 
Ton baratin moralisateur me touche pas plus qu'un discours de Pascal Nègre.
 
D'autant plus que j'ai pas spécialement plus envie qu'un admin de me faire cracher mon disque ou mes données.
 
Quand au slogan sur le site de proxytunnel, ça veux pas dire autre chose que le fait que ça fasse chier de pas avoir accès à des services comme irc imap et j'en passe.

on te l'a déjà dit : des virus; des spywares; des chevaux de troies et j'en passe...

Bien, c'est pas compliqué à comprendre.
 
Tu fais un tunnel ssh/vpn jusqu'à la machine de ton pote => sa machine "voit" la tienne et peut acceder à la tienne.    Ok ?
 
Parallelement à cela ta machine est connectée dans un lan. Elle peut donc acceder à des ressources de ce lan (disques partagée, net...).  OK ?.
 
Jusque là on doit etre d'accord ?.  
 
 
Imaginons maintenant que la machine de ton pote a un troyen bien glauque et très recent => tu as beau avoir Spy/Aware et/ou  Nocton/Kaspersky,  il y a toujours un decalage entre le moment ou l'on decouvre sur les reseaux un nouveau Troyen et le moment ou l'on met à disposition son remede.  
 
OK ?.
 
 
Et bien dans cas rien n'empechera ce troyan que passer sur ta machnie et donc de se rependre sur tout le reseau....
 
C'est pas plus compliqué que cela.  
 
=> En voulant bypasser la sécurité du réseau, pour ta convenance personnel, sans le vouloir tu peux polluer le réseau de maniere catastrophique.

Visiblement, il a du mal à comprendre ça.

Si tu fais un vpn bidirectionnel eventuellement, mais tu as aucunes chances de prendre un virus en fesant une connection ssh a travers un proxy pour obtenir un shell sur une machine.
Ou même si tu authorises la connection que dans un seul sens "reseau fac -> proxy fac -> machine du pote" t'as aucune chance de chopper un troyen un virus worm ou autre.  
 
Vous parlez de troyen, mais un troyen utilisant cette technique du tunnel ssh par https serait inarretable par un proxy.
Je me préocuperais plutot de ça a votre place

ha bon ? Une connexion TCP (encapsulée dans un tunnel SSL par exemple) c'est pas bidirectionnel des fois ?

 
TCP est bidirectionel une fois que la connection est faite.
Avec un vpn tu peux faire en sorte qu'une machine soit visible et atteignable par l'autre et pas l'inverse.
 
edit : en fait non les deux passerelles doivent se voir je pense. En fait ça doit plutot dependre du parametrage du firewall du reseau virtuel
Bref y a moyen de se demerder pour faire un truc propre.
Je me rappelle plu, mais je l'avais fait, avec openvpn et shorewall sur linux.

Dream18, laisse,  le Monsieur est un "Roxor" du réseau.....  
 
Brethold, utilise un tunnel ssh pour se connecter sur le poste d'un pote et ainsi surfer sur le net !.  Biensur, tout le monde sait (surtout notre Spécialiste Ilaglisser) que cela ne malmaine en rien la sécurité du réseau...... c'est évident.  
 
PS: Je crois que notre Spécialiste confond, le fait d'ouvrir un tunnel ssh dans un sens puis dans l'autre (la bidirectionnalité d'un tunnel) , et le fait que des trames circulent dans le tunnel dans les 2 sens.....
 
 
 
 
 
 
 
 

Quand tu contactes un site web; tu as une connexion tcp qui s'ouvre (que cette connexion soit encapsulée ou non dans un tunnel SSL); si le site est peu recommendable et que le navigateur a une faille; l'infection est faite.
 
De plus si une machine est atteignable par l'autre et pas l'inverse; la connexion ne s'ouvre pas; donc pas de navigation possible. Un VPN est FORCEMENT bidirectionnel; sinon tu envoies des paquets mais tu ne reçois pas les réponses (pour  les flux tcp, c'est un peu génant LOL)

bah ça m'amuse; j'espère qu'il viendra en formation VPN chez Azlan Training avec moi

 
Une machine deriere une passerelle est pas atteignable pourtant tu peux faires des connections ...
 
Bref ce que je voulais dire c'est que tu as moyen de faire un truc propre et de bien isoler.
Et tu peux metre un firewall stu veux.
 
Pour la formation t'as le choix dans la date.

oui, mais cela entraine qd meme un risque potentiel pour le reseau. Et cela
 tu ne peux le nier.  

 
non

comment on peut se connecter (au sens tcp du terme) sur une machine qui n'est pas atteignable au niveau réseau  

 
Ouais bien sur, mais je le trouve très faible (si on sait ce qu'on fait ).
 

 
On peut pas
Ma phrase veut rien dire, ou du moins expirmait très mal ma pensé.
 
Ce que je voulais dire c'est qu'un machine dans un reseau local avec une ip locale poura initier la connection mais elle ne sera pas atteignable depuis internet. (Et là on peut enculer les mouches pendant longtemps)
Mais là pour un vpn la solution serait plutot de mettre un firewall, il faut bien qu'une machine bloque le traffic.
 

 
Et donc pour toi y'a pas la moindre raison dé sécurité valable de vouloir filtrer les accès au net des utilisateurs d'un réseau ? Y'a absolument pas le moindre risque ou inconvénient a laisser le net en acces totalement libre et sans controle a tout le monde c'est ça ?    
Alors je comprend pas, ça fait 15 fois que je pose la question et que tu l'eludes, pourquoi tu fais ça clandestinement et pas au grand jour en expliquant ton brillant point de vue a tes admins ?
 

 
Non, le slogan de proxytunnel veut tres clairement dire qu'il fait des trous dans les firewalls.
Et de quel droit tu décides que tu dois pouvoir passer tes journées sur IRC et lire tes mails en IMAP alors que les responsables du réseau ne l'autorise pas ?
 

 
Et donc encore une fois c'est certainement pas a toi de juger ce qui est un risque acceptable ou pas pour le réseau de ta boite ou ton école, surtout si ça repose uniquement dans la confiance que tu as en tes compétences...

Toujours le même discours moralisateur à deux balles
 
Ca n'a rien de clandestin.
Une connection sécurisée est mise a disposition et on l'utilise.
Si un admin veut empecher cette possibilité qu'il bloque https, point barre.
Ou qu'il mette un gros panneau : "il est formelement interdit d'utiliser proxytunnel"
 

Je crois qu'on arrivera pas à lui faire comprendre le risque qu'il fait encourir au réseau de son université, et également les risques qu'il court lui si il se fait choper  

Il est peut etre temps que vous arriviez à la conclusion que j'en ai rien à battre.
Et je suis pas le seul à être emmerdé par toutes ses restrictions, et je trouve que passer par https est un compromis tout à fait acceptable, ne vous en déplaise.  
Bonne chasse

Je viens de lire ce topic, j'hallucine de constater qu'un mec sans aucune notion de sécurité réseau puisse affirmer que les tunnels SSH sont pas un risque pour un réseau d'entreprise ou universitaire...
 Que tu n'en ai rien à foutre est une chose. Dans ce cas là tu laisse ton pote se débrouiller tout seul.