voila récement mon entreprise a légèrement changer l'architecture de son réseau.
 
a savoir :
plus rien ne passe hormis le port 80 et le 21 ..
 
donc :
NetOp ou VNC pour controler mon Pc@home c mort
Mon FTP sur port != 21 c'est mort aussi ..
ICQ c'et mort.
 
j'ai trouvé un logiciel appelé httpport et htthost
on installe l'host sur un pc ayant acces au net librement, on configure pour qu'il écoute sur le port 80.
 
sur la machine restreinte on installe httpport .. on configure pleis nde chose dont l'adresse du host.
 
dans les logiciel on spécifie le proxy sur la machine en local.
 
et après tout les paquets sont encaplsulés en http.. jusqu'au host qui assure ensuite la conection avec le reste du net.
 
 
c'est génial, un peut chiant a configuré mais aprsè    
 
 
a consomer avec modération  

C'est pas bien de réduire à néant les effort de ton admin  

T'a aussi desproxy et pas pour faire passer du ssh dans un proxy microsft de merde.

t'a tous les accès restreint mais t'a kan meme accès a une machine avec les droits full, tu peux y installer un soft comme ca librement ?

keyzer93 a écrit a écrit : t'a tous les accès restreint mais t'a kan meme accès a une machine avec les droits full, tu peux y installer un soft comme ca librement ?

 
Ben tu l installe sur une machine chez toi si tes connecter a l adsl...

 
ah ok j'avais pas vu le truc comme ca
j'pensais qu'il l'installait ds sa boite

keyzer93 a écrit a écrit :     ah ok j'avais pas vu le truc comme ca j'pensais qu'il l'installait ds sa boite

Oui apparemment il faut aussi installer qqch sur la machine restreinte

keyzer93 a écrit a écrit :     ah ok j'avais pas vu le truc comme ca j'pensais qu'il l'installait ds sa boite

 
Euh, normalement, il y a 2 softs un sur la machine hôte et un sur le client non  ?

 
rectifications :
je pensais qu'il installait l'hote sur une machine de sa boite

Kytrix a écrit a écrit : a consomer avec modération

Mouais ... prie pour que ton admin ne tombe pas la-dessus, parce que s'ils ont renforce leur securite c'est pas pour des prunes non plus ... le http tunneling, c'est mal (c)

 
et on le trouve où ce super prog?

http://www.google.com/search?q=httport

J'espère que ton admin ne tomberas pas la-dessus ...
http://www.certa.ssi.gouv.fr/site/ [...] tml.2.html

 Très interessant

pas mal comme article.

fé gaffe sa peut te couter ta place

bah, étant admin réseau dans une banque, je suis aussi client sur ce coup-là car je m'occupe pas du proxy
 
Chez nous, ils ne regardent que l'IP et la liste des fichiers .HTM, .JPG, .PHP et autre GIF que l'on affiche.
donc, en passant par des outils de prise de main à distance via HTTPtunneling, ca resout le prob... ils voyent rien
 
(cf www.remotelyanywhere.com)

oué ya un pti soft a metre .. mais je pense si on fait juste un copie des fichiers ça doit marcher.
 
par contre j'ai du faire une connerie @home becoz mon prog hote il répond plus

fdie a écrit a écrit : bah, étant admin réseau dans une banque, je suis aussi client sur ce coup-là car je m'occupe pas du proxy   Chez nous, ils ne regardent que l'IP et la liste des fichiers .HTM, .JPG, .PHP et autre GIF que l'on affiche. donc, en passant par des outils de prise de main à distance via HTTPtunneling, ca resout le prob... ils voyent rien   (cf www.remotelyanywhere.com)

 
T'es admin réseau dans une banque ... et tu veux passer outre le firewall et proxy qui sont gérés par tes collègues !!!
 
Excuses moi ... mais y a un truc que je comprend pas là !!    
 

Mjules a écrit a écrit : J'espère que ton admin ne tomberas pas la-dessus ... http://www.certa.ssi.gouv.fr/site/ [...] tml.2.html

 
ouep ... tres interessant comme article ...
Je mail mon admin réseau en chef de suite !!!    
 
Même si je doute que la plu-part de nos utilisateurs connaissent l'existence d'une telle possibilité de court-circuiter le firewall, vaut mieux prendre les devant !!!  

Je serais curieux de savoir si avec un proxy cache http ca marche toujours httpport ...
Doit y avoir un truc marrant à faire pour les admins sécurité là ...
 
Je pense qu'on peut arriver à le bloquer ...

Zzozo a écrit a écrit : Je serais curieux de savoir si avec un proxy cache http ca marche toujours httpport ... Doit y avoir un truc marrant à faire pour les admins sécurité là ...   Je pense qu'on peut arriver à le bloquer ...

 
dans la société ou je bosses, il n'y a pas de proxys ...  
 
On a un site central (Paris) relié à différents centres informatiques dans toute la france par des LS à 2Mb sur un réseau privé ( SIRIS ) ... et une connexion 2Mb au Net sur le site central, protégée par Firewalls et Zone démilitarisée ...
 
Notre Firewall fait du filtrage par adresses IP ( les personnes sont autorisés à accéder à Internet, après acceptation de la charte d'utilisation ) et filtre également les ports utilisés ( pas de edonkey, de MSN, ... )
 
Seuls quelques protocoles sont autorisés ( http, ftp, pop, imap, smtp, ... ) j'ai pas la liste complete en tete !
 
 
Si jamais on découvre qu'un des utilisateurs créé un tunnel http pour passer outre le firewall dans le but de faire du chat ou du download avec des softs peer-to-peer ... c'est une transgrétion de la charte d'utilisation qui a été signée ... et ça peut aller tres loin !!    
 
 

je crois qu'il en a qui confondent protection et limitation des utilisateurs :
un proxy/firewall est fait pour protéger le réseau de l'extérieure pas pour restreindre les utilisateurs de l'intérieur. un bon admin est une personne sachant laisser les liberté au intenes tant que cela ne met pas en peril la sécurité du réseau.... mais ce genre de personne se fait rare.... à la place on trouve des trous du cul qui connaissent rien en protection du réseau et qui se contente de fermer tous les ports sans réflechir => l'utilisateur interne contourne en utilisant des tunel http..... autre possibilité l'admin est pas trop con mais les grosses pontes veullent tout controler (question de "productivité" ) n'ayant absolument pas compris que si tu ne laisse pas des libertés à l'utilisateur celui ci va tout simplement baisser sa productivité.... le pb est engendré par les personnes non sérieuses qui glandent sans jamais fournir une once de travail....
bref un firewall ne protège pas les attaques des personnes à l'intérieur du réseau.... et le seul moyen de prévenir ce genre d'attaque c'est de laisser un semblant de liberté à l'utilisateur..... tout en controlant la situation c'est ça le boulot d'un admin réseau les autre ce sont des merdes.

 
je suis d'accord avec toi ...  
et malheureusement, on a des supérieurs qui parlent que de productivité !! donc le filtrage de tous les softs non-indispensables au travail dans l'entreprise est une de leurs idée !!    
 
Il faut voire aussi que l'accès à Internet au sein de l'entreprise n'est pas un droit de l'employé !!    
C'est avant tout un outil de travail !!  
 
Il faut savoir etre flexible sur certains points ( mails perso, ... ) mais y faut pas éxagérer quand même !!
 
Charge aux utilisateurs de prendre un abonnement internet personnel s'ils veulent, chez eux !!  

cé paradoxal tout ca ... on ne peut pas controler et dire qu'on "donne" (le terme exact serait même impose ...   ) des libertés jusqu'à un certain point ... cé un non sens ... laisser l'accès aux serveur POP et SMTP extérieurs pour accéder à ses mails perso pourquoi pas ... mais le reste ...

Il me semble que dans les entreprises on cherche de plus en plus à se protéger des utilisateurs internes...
 
Car les malveillances provenant des usagers du réseau sont assez nombreuses aparemment.

 
tout à fait !!  

bah autant nous enlever les pc tant qu'on y est ...

Atlantis a écrit a écrit : bah autant nous enlever les pc tant qu'on y est ...

Bah cé preske fait ... quand tu vois ceux qui bossent sur des clients "légers" pour windows type WYSE en terminal server ....    
Soit dit en passant quel daube ce truc  ...

 
sympa cet article

Zzozo a écrit a écrit :   Bah cé preske fait ... quand tu vois ceux qui bossent sur des clients "légers" pour windows type WYSE en terminal server ....     Soit dit en passant quel daube ce truc  ...

 
bah j'ai déja mis en place du Citrix, et ça marche bien ...    
 
Mais c'est vrai que Terminal Server seul, sans la couche Citrix, c'est pas terrible !!  

MrPochpoch a écrit a écrit :     bah j'ai déja mis en place du Citrix, et ça marche bien ...       Mais c'est vrai que Terminal Server seul, sans la couche Citrix, c'est pas terrible !!

L'un ou l'autre cé pas terrible ... j'ai vu ca en action .. y'a bcp de pb de compatibilité avec les applis ... et bonjour la maintenance et l'administration des serveurs derrière (cé loor qd tu veux supporter comme ca plusieurs centaines d'utilisateurs dans le monde) ... sans compter les pb de gestion des licences des logiciels que ca implique ...
Spa un succès ...

 
c'est sur que pour faire du word et du excel, c'est pas ce qui se fait de mieux !!
 
Mais pour accéder à des bases de données, c'est tres bien ...
 
On a mis B.O ( Business Objects ) en place sur une ferme de serveurs Citrix, avec accès à plusieurs bases de données volumineuses ...
 
Les utilisateurs étant disséminés sur la France entière, le fait d'avoir mis CITRIX a réduit considérablement la charge réseau sur le Wan ...    
Et c'est beaucoup plus simple pour les administrateurs ... pour les maj de produits, ou pour modifier les univers B.O !
 
 

MrPochpoch a écrit a écrit :     c'est sur que pour faire du word et du excel, c'est pas ce qui se fait de mieux !!   Mais pour accéder à des bases de données, c'est tres bien ...   On a mis B.O ( Business Objects ) en place sur une ferme de serveurs Citrix, avec accès à plusieurs bases de données volumineuses ...   Les utilisateurs étant disséminés sur la France entière, le fait d'avoir mis CITRIX a réduit considérablement la charge réseau sur le Wan ...     Et c'est beaucoup plus simple pour les administrateurs ... pour les maj de produits, ou pour modifier les univers B.O !

Ils ont jamais voulu sauvegarder en local le résultat de gros états tes utilisateurs ?
Effet garanti ....

Zzozo a écrit a écrit :   Ils ont jamais voulu sauvegarder en local le résultat de gros états tes utilisateurs ? Effet garanti ....

 
sisi ... ils font ça régulièrement ...
 
Mais à partir du moment ou l'état est calculé, l'imprimer ou le rapatrier, c'est pipeau !!
 
Avant qu'on mette Citrix, des utilisateurs distants pouvaient attendre 3 heures pour l'éxécution de certaines requetes sur les bases de données !! et le canal de communication alloué était saturé sur le WAN ...
 
Maintenant, avec Citrix, les requetes B.O. s'effectuent en local sur les BDD, sur un réseau haut débit en GigaBit Ethernet ... c'est donc beaucoup plus rapide !! et la bande passante souffre beaucoup moins !!  

on ne peut [s] pas [\s] je protéger des internes ou c'est extrêment dur (car ceux qui acceptent d'utiliser des terminaux mobiles c'est parce qu'ils ne savent pas se servire d'un pc c ceux qui sont pas dangereux) car le "pirate interne" connais le réseau il a tout loisir d'exprimenter (le firewall sont souvent tournés vers l'extérieur pas l'intérieur ) donc les admin ont très peu de "feedback"  
bref a moins de mettre 2 firewalls ....

cityhunterxyz a écrit a écrit : on ne peut [s] pas [\s] je protéger des internes ou c'est extrêment dur (car ceux qui acceptent d'utiliser des terminaux mobiles c'est parce qu'ils ne savent pas se servire d'un pc c ceux qui sont pas dangereux) car le "pirate interne" connais le réseau il a tout loisir d'exprimenter (le firewall sont souvent tournés vers l'extérieur pas l'intérieur ) donc les admin ont très peu de "feedback"   bref a moins de mettre 2 firewalls ....

 
exact ...
 
c'est pour ça qu'il y a des chartes informatiques dans l'entreprise ... ce qui reponsabilise les "signataires", en leur faisant savoir qu'il peut y avoir des sanctions importantes en cas de "dérappage" ...  

cityhunterxyz a écrit a écrit : on ne peut [s] pas [\s] je protéger des internes ou c'est extrêment dur (car ceux qui acceptent d'utiliser des terminaux mobiles c'est parce qu'ils ne savent pas se servire d'un pc c ceux qui sont pas dangereux) car le "pirate interne" connais le réseau il a tout loisir d'exprimenter (le firewall sont souvent tournés vers l'extérieur pas l'intérieur ) donc les admin ont très peu de "feedback"   bref a moins de mettre 2 firewalls ....

Non ... suffit de dire "on ferme tout par défaut" ... puis on rouvre les ports utiles ... et pour les autres tu met en place une procédure de demande d'ouverture officielle avec remplissage d'un formulaire (pour savoir ce qui motive la demande notamment) ... et le seul pirate interne qui peut bien connaitre le réseau cé celui qui bosse dans l'équipe réseau justement (je parle pour des réseaux d'une certaine taille là)

 
je pense qu'on est sur la même longueur d'onde Zzozo ...