Zakhar a écritAlors bien sûr, ce tuto ne marche pas pour les proxy "sérieusement" gérés ! 😃
Vous connaissez le coup de la liste-noire/liste-blanche ?
Voici comment cela fonctionne (de façon simplifiée).
Port 80, trafic HTTP => liste noire.
- Tout ce qui est sur la liste noire est interdit.
- Tout le reste est autorisé.
Port 443, trafic HTTPS => liste blanche.
- Tout ce qui est sur la liste blanche est autorisé.
- Tout le reste est interdit.
Ca n'a pas l'air logique me direz-vous, on a l'air d'être plus laxiste sur HTTP alors que c'est moins sécurisé.
Oui, mais précisément Rom l'a dit plus haut, HTTP on peut tout tracer et regarder ce qu'il se passe "en clair". HTTPS on ne voit rien.
Donc si quelqu'un fait quelque chose de répréhensible en HTTP, on pourra toujours remonter la trace et le prouver.
En HTTPS, on sait juste que IP source a échangé du trafic avec IP destination, mais on ne peut pas savoir la teneur de l'échange.
Conclusion : si vous avez un tel proxy, ce qui est expliqué ici ne marchera pas.
Pourquoi : il n'y a aucune raison que votre PC chez vous soit sur la "liste blanche", vous n'êtes pas une banque ou un organisme marchand reconnu.
La seule solution, un tunnel HTTP (j'explore), et bien sûr y faire passer du flux crypté sinon voir ci-dessus !
Et là ça marchera.
Pourquoi : il n'y a guère plus de raison que votre PC chez vous soit sur la liste noire : vous n'êtes pas un site connu pour faire des choses que l'entreprise interdit, du moins tant que....
... comme disent les concepteurs de certains tunnels HTTP, si ça vous pète à la figure, que votre entreprise se chope des virus à cause de votre tunnel, que vous êtes virés pour vos activités normalement interdites... ne vous en prenez qu'à vous même 😛
Ah, un dernier point, n'espérez pas "ruser" le Proxy en faisant du SSH, FTP, VNC, ou ce que vous voulez sur le port 80. Evidemment le proxy est tout à fait capable de se rendre compte que ce n'est pas du HTTP et de bloquer tout ça.
Par contre, si c'est pour échanger des fichiers seulement, WebDAV est en général OK puisque c'est simplement du HTTP étendu.
En fait le principe des listes blanche a été abandonné par beaucoup d'entreprises parcequ'elles ne peuvent pas connaître tous les sites sécurisé "officiels". Le plus commun, c'est la base de données Websense customisable qui classe les sites par catégorie. Les admins regardent les logs et si un site "innaproprié" est dans le cache du proxy, il classé dans une catégorie filtrée (souvent la mauvaise, nombre de victimes de Websenses on connu des débuts de l'ère du blog douloureux, tous les blogs étants classés dans "BBS et forums" même quand c'était celui d'un professionnel). Un retour à la liste blanche, dans les sociétés faisant de l'informatique par exemple, équivaut à un retour à l'âge de pierre.
En revanche, il existe un moyen plus futé que la liste blanche pour une entreprise qui veut interdire le tunnel ssh. Il suffit de mettre des règles du type : à l'initialisation d'une connexion on peut distinguer une connexion ssl (utilisée pour https) d'une connexion ssh. Après c'est fini, mais on peut donc bloquer les connexions non-https en regardant ce qui se passe à l'initialisation de la connexion où le protocole est encore visible.
