Étiquette : firewall

Catégories
Open-source Reseau

Tunnel HTTP pour faire du SSH depuis le bureau

Vous êtes coincé à votre bureau, derrière un beau Firewall qui bloque, mis à part le HTTP, tous les autres protocoles. Au même moment, le site Web hébergé sur votre serveur perso plante… Dans ce cas, il faut attendre le soir, rentrer chez vous pour enfin pouvoir se connecter en SSH sur votre serveur et résoudre le problème.

Il existe cependant une astuce qui moyennant un brin de préparation va vous permettre de faire passer le SSH à travers ce vilain Firewall…

Principe

La théorie est la suivante: nous allons créer un tunnel HTTP entre le PC du bureau et le PC de la maison. C’est possible car le tunnel est basé sur un protocole autorisé par le Firewall de votre entreprise (HTTP dans notre cas mais vous pouvez utiliser n’importe quel protocole TCP). Ensuite, il faudra rediriger sur votre PC de bureau le protocole SSH vers le tunnel HTTP. Une fois que les paquets SSH sont récupérés sur le PC maison, il n’a qu’a les envoyer vers votre serveur.

   

Préparation de la configuration maison

On commence par installer le logiciel HTTPtunnel sur notre PC maison (exemple d’installation sous Ubuntu):

sudo apt-get install httptunnel

Ensuite on lance la commande suivante:

sudo hts –forward-port A.B.C.D:22 80

Cette commande va écouter sur le port TCP/80 (comme c’est un port < 1024 on doit lancer cette commande en root, d’ou l’utilisation de sudo) et rediriger le trafic vers le serveur (d’adresse ip A.B.C.D dans mon exemple) et sur le port SSH (TCP/22).

Ensuite il faut penser à configurer votre *box pour:

  • autoriser les flux HTTP (TCP/80) entrant à destination de l’adresse publique de la *box votre maison (règle de Firewall)
  • rediriger les flux HTTP (TCP/80) à destination de l’adresse publique de la *box votre maison vers l’adresse privé de votre PC maison (règle de NAT/PAT)

Configuration du PC bureau

Si vous avez la chance de travailler sur un OS de type GNU/Linux à votre bureau, la prcédure est alors relative simple.

On commence par installer HTTPtunnel sur notre PC bureau (exemple d’installation sous Ubuntu):

sudo apt-get install httptunnel

Ensuite on lance la commande suivante:

htc –forward-port 2222 E.F.G.H:80

Cette commande va écouter sur le port TCP/2222 (comme c’est un port >
1024, il n’est pas nécessaire de lancer cette commande en root)
et rediriger le trafic vers le PC maison (d’adresse ip E.F.G.H dans mon
exemple) et sur le port HTTP (TCP/80).

Si votre entreprise oblige les flux Web à transiter par un proxy HTTP (d’adresse S.Q.U.I avec une authentification USER/PASSWORD), il faudra ajouter les paramètres suivants à la ligne de commande:

htc -P S.Q.U.I –proxy-authorization USER:PASSWORD –forward-port 2222 E.F.G.H:80

Dans le cas ou votre PC de bureau est sous Windows (snif), il va falloir passer par une configuration du client Putty par exemple en suivant cette procédure.

Lancement du client SSH

Il suffit de lancer la commande suivante à partir de votre PC de bureau:

ssh localhost -p 2222

Vous serez alors connecté sur votre serveur ! 🙂

Catégories
Open-source Reseau

Installation de BASE (reporting snort)

Avoir un Firewall c’est bien, y installer un logiciel de détection d’intrusion (IDS) c’est encore mieux. Mais pour atteindre les sommets de la sécurité informatique, il faudra passer par une étape ingrate: l’analyse des logs générés par votre IDS…

SNORT est un IDS libre facile à installer sur les OS GNU/Linux et BSD. Il produit en sorti des logs avec les alertes repérées sur votre réseau. Ces logs peuvent devenir très volumineux et donc impossible à analyser. Heureusement, BASE (de SecureIdeas) est là pour vous donner un coups de main.

BASE est une interface Web permettant d’analyser les logs de SNORTS stockés dans une base de données MySQL (ou PgSQL).

capture_200810095414.jpg

Installation de base sous une GNU/Linux Fedora

On commence par installer la librairie AdoDB pour permettre à l’application BASE de communiquer avec la base de donnée.

cd /var/www

wget http://ovh.dl.sourceforge.net/sourceforge/adodb/adodb505.tgz

tar zxvf adodb505.tgz

ln -s adodb5 adodb

rm adodb505.tgz

On récupère ensuite la dernière version de BASE sur le site officiel (http://base.secureideas.net/).

wget http://ovh.dl.sourceforge.net/sourceforge/secureideas/base-1.4.1.tar.gz

tar zxvf base-1.4.1.tar.gz

ln -s base-php4 base

chown -R apache:apache base base-php4

rm base-1.4.1.tar.gz

On finalise l’installation en se rendant, à l’aide d’un navigateur Web, vers la page suivante: http://<adresse-ip-serveur>/base/

Puis on suit le wizard avec en premier la vérification des pré-requis:

capture_200810095022.jpg

on choisit ensuite la langue (1), le chemin d’accès à AdoDB (2) puis on continu (3):

capture_200810095101.jpg

on configure la base de donnée (1 et 2) puis on continu (3):

capture_200810095139.jpg

on force une authentification sur les accès à BASE (1), le login/password (2) et on continu (3):

capture_200810095241.jpg

On finalise l’installation :

capture_200810095305.jpg

capture_200810095329.jpg

Et voilà, il ne reste plus qu’a consulter régulièrement les rapports générés par ces beaux outils.

Utilisation de BASE

Il suffit de se rendre à l’URL suivante: http://<adresse-ip-serveur>/base/

Les rapports sont disponibles par jours, derniers 24h, derniers 72h, alertes les plus récentes, les plus fréquentes…

Catégories
Open-source Reseau Systeme

Installation d’un Firewall sous FreeBSD

daemon.jpg

L’OS FreeBSD est très bien classé en ce qui concerne la stabilité (voir le top des uptimes ici) et la qualité de son stack IP. C’est donc un candidat idéal pour y bâtir le routeur/firewall de votre réseau. Nous allons dans ce billet faire une installation “from scratch” d’un Firewall sous FreeBSD 7.0 et la configuration des services de bases.

Installation de FreeBSD depuis les sources

On insère le CD d’installationdans le lecteur et après le démarrage sur ce média, on lance une installation de type Custom avec les caractéristiques suivantes:

Partition: on choisi une partition libre sur un disque dur. On y installe le boot manager standard

Label: on met le label SWAP sur un disque de taille 2xRAM puis le label / sur le reste du disque

Distribution: on ne chipote pas et on selectionne la distribution Developer

Media: CD

Commit: On lance l’installation

Une fois l’installation faite, on reboote et on se logue avec l’utilisateur root (ne pas oublier de changer le password grâce à la commande passwd).

Lire la suite « Installation d’un Firewall sous FreeBSD »
Catégories
Blog Reseau Web

Mon blog interdit en Chine ?

Je viens de tester le site « Great Firewall of Chine » et mon site est interdit en Chine…

Nicolargo en Chine…

Ce service, localisé aux Pays-Bas, permet de tester si votre blog (ou touts autres sites Internet) est accessible depuis le territoire Chinois. Le principe est simple: l’URL du site à tester est envoyée sur une machine hébérgée chez un founisseur d’accès Chinois. Cette machine teste l’accès à votre site depuis la Chine. Si le Firewall, mis en place par le gouvernement bloque votre adresse, un message d’erreur est renvoyé.

Comme vous pouvez le voir, mon blog est bloqué. Pourquoi ? Je pense tout simplement que les URL contenant le mot clés blog (comme blog.nicolargo.com) sont bloquées. Ainsi, en faisant le même test avec l’adresse www.nicolargo.com, je n’ai pas de message d’erreur. Le gouvernement Chinois doit donc penser que tous les blogs contiennent des posts hostilles… bizarre comme raisonnement…

Bref si vous voulez « attaquer » le marché Chinois, mieux vaut bien choisir le nom de votre site ;).