Passez par un tunnel SSH pour surfer c'est possible ?

Support Debian
#1

Bonjour,
j’aimerais savoir si il est possible de passez par un tunnel ssh pour surfer sur le net en sécurité ?
j’imagine qu’il faut un serveur local, on je me connecte dessus pour allez sur le web ?

Comme le vpn ?

#2

Qu’entends-tu exactement par “surfer sur le net en sécurité” ?
Un tunnel SSH est établi entre deux machines, ça n’a pas grand chose à voir avec “surfer sur le net”.

#3

Ou faire passer le protovol HTTP sous un tunnel SSH??

Il y a un tuto à ce sujet sur le wiki

Tu recherches un cryptage permanent pour surfer sur internet ??

#4

Le tunnel ssh te permet de passer par un éventuel proxy accessible à partir de ton compte, je le fais régulièrement. C’est comme cela que les étudiants peuvent utiliser les ressources intérieures d’un campus, mais il te faut un compte ssh sur une machine qui peut accéder à un proxy.

#5

C’est ce que prévoit le tuto ici http://www.isalo.org/wiki.debian-fr/index.php?title=Tunnel_http_%2B_ssh ?

#6

D’une part la question de Pascal est pertinente, un tunel SSH ne permet pas d’accéder à un Internet sécurisé, il permet éventuellement d’accéder à internet de manière sécurisé (si si c’est différent !).

Le tuto est l’une des possibilités mais pas la plus simple, il met en place 2 tunnels : un HTTP dans le quel on fait passer un tunnel SSH.

Le premier permet de passer les proxy HTTP et le second sert à sécuriser le flux et la fonction proxy SOCKS de ssh permet de faire passer n’importe quoi.

C’est un cas standard pour by-passer un proxy http, mais ce n’est pas forcément pertinent pour tout.

#7

Regarde du côté de SSLH.

#8

bonjour, et merci de votre aide
Oui pour moi le ssh serais de accéder à internet de manière sécurisé en http.
Merci

#9

Voilà comment je fais quand je suis derrière une proxy filtrant que je veux contourner:

Il te faut un PC à l’extérieur (ici: PC_DISTANT) qui a un accès complet à internet (genre ton PC à la maison).

Je suis sur le PC_LOCAL
Je veux passer par le proxy installé sur mon PC_DISTANT (ici son adresse est 192.168.1.2)

Comment faire:

[quote=“Comment faire”]J’install un proxy (ici tinyproxy, que j’ai configuré pour écouter sur le port 8889) sur PC_DISTANT.

Je rentre la commande suivante sur PC_LOCAL :

Ensuite il suffit de dire au navigateur WEB de ton PC_LOCAL de passer par le proxy sur 127.0.0.1 (localhots) port 8889.[/quote]

Explications:
ssh -L : Creer un tunnel SSH
8889: est le port sur lequel mon proxy écoute.
localhost:8889 : “transfert” le port 8889 du PC_DISTANT sur le port 8889 PC_LOCAL
192.168.1.2 : L’adresse de mon PC_DISTANT sur lequel le proxy est installé.

#10

Ce que tu demandes n’est toujours pas clair. Internet n’est pas un réseau sécurisé, donc “accéder à internet de manière sécurisée” au sens large n’a pas de sens.

#11

linuxxx devrait donner plus de détails, est ce bien clair dans ta tête ce que tu veux faire??

#12

Ce que tu demandes n’est toujours pas clair. Internet n’est pas un réseau sécurisé, donc “accéder à internet de manière sécurisée” au sens large n’a pas de sens.[/quote]
C’est de ma faute il a repris mon imprécision.

@linuxxx > Ce que tu cherche c’est à sortir d’un réseau qui bride l’accès à internet (accès uniquement au web, filtrage de certains domaines ou en fonction du contenu, etc) ? Pascal cherche à faire le point là dessus car internet n’est pas sécurisé et il n’existe pas de manière de le sécuriser. Les techniques de tunnels sécurisent une partie du cheminement.

Si c’est bien ça que tu cherche il faut savoir quel bridage tu rencontre c’est en fonction de ce bridage qu’il faut choisir le contournement, plus le bridage et sophistiqué plus le contournement va diminuer ton débit et consommer des ressources sur ta machine.

#13

Daccord je viens de comprend lol
Je pensais que c’ètait sécuriser comme un rèseau privè (VPN)
Et pour ce protèger contre les intrus le ssh ne peut rien faire si j’ai compris, c’est juste pour la sortie
du pc vers le net le ssh ?

Parce que je voulais aussi sècuriser mes données qui transit par wifi pour èviter d’être pirater…

J’ai lu un peu sur backtrack 5.Wireshark

Merci

#14

Mais un VPN ne change pas plus les choses, tu as plusieurs choses distinctes:

  • Sécuriser une connexion vers une machine donnée, par exemple une porte d’entrée vers un LAN. Cela peut se faire via un VPN ou un tunnel SSH relayant un protocole (il peut faire plein d’autres choses mais là n’est pas la question). Cela garantit de la confidentialité de ta connexion entre toit et la machine, mais pas au delà. En clair, si tu utilises un proxy à partir de la machine cible, les gens qui écouteront sur le port Ethernet de ton portable ou sur le réseau WIFI ne pourront rien intercepter, mais à partir de la machine cible vers le proxy, la connexion sera en clair, une personne là bas pourra intercepter tes connexions (on se demande pourquoi mais bon).

  • Sécuriser un accès à un serveur, par exemple à un serveur d’une banque, il faut dans ce cas être sûr de 2 choses: que le serveur avec qui tu dialogues est le bon (c’est le rôle des certificats) et la confidentialité des échanges de ton portable au serveur de la banque. La seule solution est un protocole dédié, dans notre exemple https. Pour les sessions telnet, il y a telnet-ssl ou ssh, pour le pop3, il y a pop3s, pour le imap, imaps, etc.

  • Préserver son anonymat: Dans ce cas tu te fous des données qui circule (il faut être crétin pour donner son nom sur un site tout en voulant surfer de manière anonyme) et du fait que quelqu’un peut les voir, par contre il te faut masquer ton IP d’origine ainsi que les renseignements pouvant t’identifier pour le serveur. Il te suffit de paramétrer ton navigateur et de passer par un proxy -solution élémentaire mais dans ce cas le proxy saura qui tu es, c’est ce qu’on fait lorsqu’on est en Chine par exemple- ou encore d’utiliser Tor qui fait un routage de paquets par des noeuds suivant un protocole qui fait qu’il est impossible de remonter à l’émétteur d’un paquet.

  • Sécuriser ta machine pour que lors de son utilisation quelqu’un ne puisse «pénétrer» dessus. Là il suffit d’un parefeu, un peu de prudence élémentaire et un minimum de services installés sur ta machine.

Ces 3 points n’ont rien à voir. Ainsi si tu te connectes sur un réseau public non cryptée à ta banque préférée, à part si ces crétins font des connexions en http en clair, tu peux être tranquille sur l’impossibilité pour un tiers d’intercepter les transactions à l’exception bien sûr des personnes au deux bouts soit donc un cheval de Troie sur ta machine ou sur le serveur de ta banque. Inversement, si il y a un tel cheval de Troie, que tu passes en VPN, par un proxy, sous Tor, ou tout ça en même temps ne changera pas grand chose, ta propre machine ou pire le serveur de la banque est compromis donc tu es mal (change de banque). En clair surveille ta machine, évite les connexions bancaires en clair (non https) et tu seras tranquille.

#15

bonsoir, intéressant …
Pour surveiller il faut un bon logiciel…

#16

[quote=“linuxxx”]
Pour surveiller il faut un bon logiciel…[/quote]

Surveiller quoi ? Avec quel logiciel ?

fran.b t’as fait un très bon commentaire sur l’utilisation des outils “internet”. Si tu penches pour la paranoïa oriente toi vers des solutions clef en mains comme tails , odebian, tu auras un système (si tu le fais tourner en live cd) incorruptible, et anonyme.