Pas vraiment, c’est juste qu’avec une ligne avec un acces à « monpcquifaitproxy.xxx.com » crypté dans une console sur le port 443, t’as plus de chance que la personne qui le voit se dise « c’est du https » que si tu fais le meme acces sur le port 55200 … Apres s’il ouvre les trames, il verra que les entetes sont du ssh et pas du https, mais bon, ca demande beaucoup d’investigation pour une ligne parmis n.
Et c’est d’autant plus discret que tu as une connexion pour tout ton traffic, plutot que n connexion vers n site quand tu surfes en standard …
C’est pas prendre les gens pour les cons, c’est simplement tenir compte du faite que c’est plus difficile à voir. c’est plus de la discrection qu’autres choses
Du traffic SSH est extrêmement facile à identifier, peu importe sur quel port tu fais tourner ton daemon. Et tous les firewalls d’entreprise savent identifier et bloquer du SSH.
Des gens incompétents qui s’improvisent « admin » réseau, j’en vois régulièrement… cela ne prouve pas grand chose au final, à part qu’il y a des gens qui savent se vendre alors qu’ils savent rien…
Pour identifier du tunnel SSH sur un port quelconque c’est simple :
# telnet 127.0.0.1 22
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
SSH-2.0-OpenSSH_4.5p1 FreeBSD-20061110
Cela suffit à un firewall ou proxy à savoir que ce n’est pas du traffic HTTP(S). Si le wanabee hacker s’amuse à enlever l’entête SSH, il existe d’autres moyens d’identifier du SSH, juste en regardant les flux sans avoir besoin de savoir décoder le traffic. Le HTTP c’est du HEAD/GET/POST → réponse, c’est à dire que le navigateur envoie une requête et le serveur répond. Le SSH c’est de l’interactif, c’est-à-dire que le traffic circule de façon assez librement dans les deux sens. De plus, le SSH va établir une connexion TCP prolongée, avec de nombreux moments d’inactivité : pour mettre fin à toute envie de faire du SSH il suffit donc de détecter et killer toute session TCP idle de plus de genre 10 secondes. Ca ne tuera pas les connexions HTTP (parce qu’elles sont actives), mais butera directement les tunnel SSH.
Bref, un firewall d’entreprise comme NetASQ sait identifier et empêcher du SSH.
Houla ha ouais quand meme j’etais partis sur la meme chose pour le 443.
Je pensais que ssh et https se ressemblait pas mal …
Merci de l’info en tout cas …
Bussiere
Edit : je risque de repartir sur la solution de foutre mon android au cul du pc alors …
Vous les admins vous avez quoi comme parade contre foutre un tel sur un pc pour sortir du reseau ?
Non, ce n’est pas certain, car si le piratin a tout son temps, j’ai à ma disposition des moyens qu’il n’a pas. En particulier de quoi casser du flux SSL (attaque man in the middle). Et surtout, j’ai la loi avec moi.
Politique de base déjà assez difficile à attaquer :
proxy obligatoire
interdiction de la methode CONNECT vers des ip et vers autre chose que 443
cassage de flux pour le CONNECT vers des site de non confiance
interdiction de tout autre flux que du ssl dans le CONNECT
Authentification obligatoire
Enfin : un top 10 par utilisateur (le flux pirate est souvent en première position)
Mais bon dans le cas présent le flux doit être ouvert par les admins. S’ils n’ont pas le temps de l’ouvrir, il n’ont pas le temps de chasser le piratin non plus.
Clair … quand tu vois que 90% des gens qui tente de contourner les securités le font juste pour consulter leur forum entre midi et 2 … c’est un peu ridicule cette politique de restriction d’acces à internet.
Tu te touches un peu aussi. Tu n’as pas la loi avec toi mais les règles de fonctionnement de l’entreprise ou le contrat de travail. D’un point de vue sécurité réelle, les systèmes trop contraignant aboutissent à une baisse de sécurité globale, comme le boss qui a une connexion adsl dans son bureau pour pas être emmerdé. Perso, les admin rétrogrades qui veulent surtout toucher à rien sous prétexte de sécurité alors que c’est complètement faux ça me gonfle. Admin dans les boites dont ce n’est pas le métier, c’est une fonction « support », qui doit aider les employés à travailler, pas l’inverse.
gros gros +1 … Le nombre d’admin qui se prenne pour dieu, en oubliant que le but de l’informatique est d’etre un outils pour simplifier la vie. Pas un truc super fermé et compliqué pour simplifier la vie des administrateurs …
Avec ton top10, tu le remarquera, mais sinon je suis capable de passer outre ces restrictions, je l’ai déjà fait.
ça représente ~150 lignes de python pour me connecter à un serveur ssh à l’intérieur de ta boîte depuis l’extérieur.
Le tout en http tout con tout crade.
Après il y’a aussi une autre solution, si tu as accès à un site de traduction en ligne (genre translate.google.com), tu lui demandes de te traduire la page que tu veux visiter de français vers français et normalement la page s’ouvre dans Google Translate … si ça ne marche pas tu peux essayer d’autres sites de traduction …
Le coup du site de traduction, ça marche plus.
fser, j’ai rien compris (et je doute que tu puisses te connecter de l’exterieur, sinon prouve le)
Sinon, je ne suis pas admin ‘droit dans mes bottes’. Je suis au service de l’entreprise, pas des salariés. Si une personne a besoin d’accéder à un site, qu’elle en fait la demande et que ce n’est pas contraire à la politique de l’entreprise, j’ai 1 heure pour ouvrir (SLA) ou expliquer pourquoi on refuse. Sur ce refus, elle peut faire appel et demander arbitrage au responsable securité du groupe.
Contourner des mesures de sécurité volontairement est un délit, c’est la loi.
Pour info les 2 sites les plus visité sont vente-prive et boursier.com, ils ne sont pas bloqués (et pourtant ce n’est pas très professionnel)
Tu pars du principe qu’un programme tourne en « zone maitrisée » maison ou serveur, sur lequel tu fais tourner un serveur (au sens un bidule qui fait des accept). Dans l’entreprise, tu fais un programme qui se connecte au serveur de la boîte, genre ssh, et qui se connecte aussi à ta maison, et qui envoie les données dans des POST. �? intervalle régulier, tu envoie des GET vers ta maison pour savoir s’il y a quelque chose à retransmettre.
Bref du coup de ta maison, tu peux te connecter à « localhost » sur le port qui va bien, et arriver en ssh dans l’entreprise.
Ah oui, c’est le principe du webbot. Mais ça aussi (surtout quand c’est artisanal), ça se remarque avec un bon outil d’analyse de logs, ùais c’est très cher. Mais bon comme dit plus haut, la connexion ssh se repère facilement et avec un firewall à 300 �?�.
Il est clair que celui qui fait ça dans ma boite est licencié le jour même (et aura quelques explication à donner à la police), sachant que les connexions depuis l’extérieur sont autorisés dans des conditions définies (et confortables).
Pour répondre au post initial, les admins de la boite sont des incompétents et la bonne réaction est d’alerter la direction. Pas de faire une bidouille qui sera préjudiciable.
Je suis d’accord avec ça, la boite se doit de fournir les ‹ outils › pour qu’il puisse effectuer son boulot correctement, si les admins ne répondent pas aux requêtes des utilisateurs alors qu’elles sont justifiées, c’est qu’ils ne font pas leur boulot …
Yop bon sinon effectivement vu que j’ai été un peu refroidis la solution va etre de ramener un pc portable perso de lui foutre au cul le telephone et de passer par le tel pour regarder la doc.
Et apres de faire un transfert par clef usb des pages interessantes.
