Journal Pour se conneter depuis le travail

Posté par  .
Étiquettes : aucune
0
26
mai
2004
Bonjour Juste pour que ça serve à d'autre :

J'ai mis un serveur ssh chez moi pour me connecter depuis l'extérieur, mais ma boite filtre le port 22 ...
Qu'a cela ne tienne je change le port d'écoute ... vers 80 (ils ne filtre pas dessus vu que j'ai internet).
Oui mais Putty (oui je suis sur un OS de merde au travail et je peste régulierement) me sort régulièrement une erreur "Software caused connection abort" qui est due à priori au firewall qui coupe les connexions ...

Il est donc préférable de le mettre sur le port 21 (ftp) qui est aussi accessible chez moi et les connexions restent online même sans activité.

Dam

("merde" n'est pas dans le dico ?)

  • # T'as de la chance

    Posté par  . Évalué à 1.

    Ma connexion putty sur le port 80 faisait tout planter directement sans message d'erreur. Je vais réessayer en suivant ton conseil de le mettre sur le port 21, on va voir ce que ca donne.

  • # Firewalling

    Posté par  . Évalué à 5.

    Pense aussi à mettre un IPTable correct du coté de ta machine, si ce n'est encore fait, pour pas te retrouver avec une floppée d'intrus qui vont tous essayer de se connecter à un numéro de port répandu.

    L'adresse IP du firewall de ta boite étant fixe (ce serait vraiment le comble si ce n'était pas le cas), tu ne devrais autoriser les connexions entrantes non seulement sur cet unique port, mais aussi que depuis l'adresse IP de ton firewall uniquement

    Mes2cents, quoi.

  • # Trough the proxy

    Posté par  (site web personnel) . Évalué à 3.

    Je te conseille plutot d'utiliser corkscrew pour passer a travers le proxy https. Comme ca, tu passes par un lien qui marche en general bien. Si tu n'as pas de proxy, evidemement...

    Ensuite, sur la machine ou tu te connectes, tu lances 'screen' directement. Comme ca en cas de coupure, tu reprends exactement ou tu en etais. Une astuce explique le fonctionnement du soft.

    • [^] # Re: Trough the proxy

      Posté par  . Évalué à 2.

      je n'ai pas de proxy, j'ai un firewall :)
      donc pour mon ssh j'ai juste besoin de trouver un port qui passe (en l'occurence le port ftp)

      Et je souligne juste que j'ai un firewall qui coupe les cnx http (en fait sur le port 80) en considerant qu'elle sont terminée p.e. et que cela peut servir à quelqu'un d'autre

      Dam

  • # Sécurité

    Posté par  (site web personnel) . Évalué à 2.

    Qqn pourrait-il me renseigner sur les risques qu'on fait courrir à la boite ou a la machine distante en utilisant soit des encapsulation dans HTTPS soit en mettant le serveur SSH sur le port HTTPS pour utiliser l'instruction CONNECT du proxy ?

    Peut-t-on créer des failles de sécu vers le réseau interne de l'entreprise et si c'est le cas, comment empecher l'utilisation détournée de CONNECT ? (avec squid par exemple)

    Vu ce que j'ai lu sur le sujet, il me semble que dès qu'on
    permet l'accès aux utilisateur pour le HTTPS, on leur donne carte blanche pour qu'il fassent passer discétos tout autre protocole (à condition de controler la machine distante)

    Qu'en pensez vous ?

    • [^] # Re: Sécurité

      Posté par  . Évalué à 6.

      Je pense qu'avant de s'attaquer à ce genre de problème de sécurité "d'élite", il faudrait déjà résoudre les problèmes plus basiques genre les utilisateurs qui ouvrent les pièces jointes vérolées...

      Et il n'y a pas que le https, même si c'est moins direct, on peut très bien faire un tunnel http simple (httptunnel), et ça marche très bien. A partir du moment où les gens on un accès "libre" au net, on peut faire ce que l'on veut (pourquoi pas du tunnel over e-mail ?). Donc se prendre la tête pour sécuriser ce genre de cas extrême me paraît pas inutile mais un peu futile.

      Je n'ai pas les compétences techniques pour évaluer le risque que pourrait apporter ce genre de pratique mais ca m'étonnerait que ce genre de trou de sécurité soit exploitable facilement, ce qui voudrait dire que l'attaquant a réellement les compétences et une motivation pour nuire à la boîte. Dans ce cas, je pense qu'il y a des moyens plus faciles et efficaces (social engineering par exemple) à exploiter avant d'essayer d'utiliser ces failles.

      • [^] # Re: Sécurité

        Posté par  . Évalué à 2.

        exactement !

        imaginons qu'ont ait un gros paquet de 1 ou 2Mo a transferer chez soi (un gros .doc a finir, ou un programme)

        qu'y a t il de moins dangeureux :

        - l'envoyer par mail ? deja qu'il y a bcp de risque qu'un mail aussi gros soit refusé quelque part . De plus ce n'est absolument pas secure . Faut l'encrypter avec gpg par ex . mais le pb de la taille reste.

        - le copier sur une disquette ? un zip ? une clé usb ? ca se perd les disquettes et surtout on oublie de les effacer bien bien apres usage ! sans parler d'un virus toujours possible

        - faire un tunnel a travers le proxy en https puis un scp pour copier le fichier ? ca prend 20 secondes. c'est nettement plus sûr a mon sens si on est raisonablement certain que la machine distante est bien protegee et non compromise.


        Pourtant 99% des gens vont soit envoyer par mail ( tout nu) soit copier sur disquette.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.