Salut à tous,
 
Je cherche à mettre en place un httptunnel pour ouvrir une console ssh sur mon serveur.
Les connexions passant au préalable à travers un proxy, je dois identifier celui-ci.
 
Mais je ne parviens pas à l'identifier clairement.
Le plugin Live HTTP Header de firefox permet de consulter les en-tetes HTTP.
Mais dans mon cas, aucune info (par ex via-cache) ne trahit la présence du proxy.
Il est configuré de façon très transparente.
 
Les proxy detector en ligne ne renvoient rien.
 
Le script de configuration automatique du porxy est long (200 lignes) et pas clair du tout.
 
Y at-t-il un moyen de trouver l'IP du porxy ?
 
Merci

- tu lis le fichier de configuration automatique en essayant de retrouver précisément le proxy
-  tu fais un TCPdump/ethereal/wireshark, tu génère du trafic via firefox (genre la liste de tout les smiley et tu regardes ce qui a été capturé => tu en déduis l'adresse du proxy.

Salut,
 
J'ai pensé aussi faire une capture du traffic.
Mais Ethereal/Windump demande d'être administrateur sur la machine que tu utilises. Or de par la politique du moindre privilège, on n'a pas de droits admins sur les windows.
 
A moins qu'il soit possible d'installer un sniffeur de traffic sans être admin...

ça me rappelle qqch

c'est dans quel cadre tout ça ?

Je suis en mission actuellement chez un client disposant d'une infrastructure IT restrcitive.
Cependant, je dois continuer à surveiller les autres serveurs de mes autres clients pendant ce temps. (hors de question de le faire de chez moi le soir !!!)
 
La politique sécu de cette entreprise impose de ne relier au réseau que des PCs qui ont été masterisés par l'entreprise.  
Donc on m'a gentiement demandé de ranger mon PC et d'en utiliser un avec le master fait par l'entreprise, sur lesquels bien évidemment, on n'a que des droits limités.
 
Pour pouvoir me connecter en SSH sur mes autres serveurs et les monitorer, je dois parvenir à tunneliser la connection SSH dans HTTP.
Donc identifier l'adresse IP du proxy-cache.
D'où ma question.

Dans ce cas là faut régler le probleme avec l'équipe d'admin de ton client !
Si une politique de sécurité de la sorte (restrictive) est mise en place c'est qu'il y a une raison.

Dans ce cas là il faut négocier avec ton client pour que soit il t'ouvre les accès à partir de l'équipement que tu utilises ou alors mettre en place un second équipements isolés du réseau d'entreprise pour préserver l'intégrité de celui ci.

Toi en tant que prestataire, si tu commences à foutre ton bordel et ne pas suivre la charte informatique que tu as signé pour utiliser les ressources de ton client, ton entreprise va se faire éjecter rapido et perdre les éventuels contrats futurs. Faire du SSH à travers un proxy ca se détecte, ce n'est en aucune manière invisible.

Si tu veux un accès DEMANDE aux admins.

En informatique comme partout la sécurité demande une certaine rigueur. Quand il y a des process établis et des règles d'utilisation, ces règles sont valables pour tout le monde, les employés de la boite comme les prestataires.

On est d'accord.  
Il faut utiliser le circuit officiel.
C'est la théorie.
 
Mais tu sais comme moi qu'en période de vacances, faire bouger les choses c'es impossible.
Surtout quand tu fais un circuit de signature avec 3 personnes !
 
Je pense que tu seras d'accord sur le fait qu"une session SSH ne met en péril rien ni personne.
Dans ce cas...

ben si... dans du ssh tu fais tout passer donc tu mets en péril...

Si,
1. tu ouvres un canal de communication spécial vers un équipement qui n'est pas sous la responsabilité de l'équipe d'administration de ton client.
2. tu peux faire passer tout et n'importe quoi dans ce canal de communication.

Tu peux importer n'importe quoi depuis l'extérieur étant donné que tu bypasses tous les firewalls, proxy avec son antivirus... Tu peux exporter n'importe quoi vers l'extérieur.

Je ne suis pas sûr que les deux équipes d'administration (de tes 2 clients) soient OK pour que deux réseaux de deux sociétés distinctes puissent être reliés de cette manière, même si ce n'set pas au niveau IP

Demande à TA boite de te prendre une carte 3G avec TON laptop. C'est la meilleure solution AMHA.

Je comprends votre ligne de conduite mais l'idée est de trouver un paliatif "quick n dirty" en attendant qu'une solution politique soit trouvée à cette situation (les serveurs ne vont pas m'attendre pour tomber en rade)
 
Bon j'essaie autrement.
Merci quand même

une carte 3G est une solution quick, clean et durable
Tu vas pas te reprendre la tete à chaque fois que tu iras chez un nouveau client. Ton laptop de ta boite (pas d'installation de chose inutile sur le matos du client), et le tour est joué.
 
De plus, à priori l'accès au matos que tu dois géré semble accessible d'un point de vue administratif, ce qui n'est pas la panacée d'un point de vue sécu.
- Carte 3G sur ton laptop
- vpn jusqu'a l'intranet de ta boite
- ouverture des flux pour l'administration des équipements seulment à partir des @IP de ta boite
 
C'est la manière clean et sécurisé de faire ce genre de chose (AMHA)

Une carte 3G est quick si c'est toi qui paie !
Non ?

Si tu as un accès internet depuis les postes, installes une passerelle d'admin accessible en http/https chez toi et roulez, comme SSL-Explorer par exemple.
 
Mais bon, tu es en mission chez un client, tu bosses pour d'autres en même temps ...

Merci cette infor intéressante flash-91.
 

Je suis d'accord avec toi. Malheureusement, et je ne pense rien dévoiler, c'est une pratique courante en consulting la double facturation...

Salut à tous,
 
Pour en revenir à la question première du post, voici donc comment identifier le proxy:
utiliser ProcessExplorer.
Dans la liste des process exécutés, double cliquer sur iexplore ou firefox.
Puis aller dans l'onglet TCP/IP.
On voit les ports en ecoute localement mais aussi de façon distante.
On peut donc identifier le proxy sur lequel on est concrètement connecté.

n'importe quoi

Boudes pas black_lord  

et le rapport à l'OSA ?

tu te rends compte de ce que tu dis ?

bref...