2 votes

pacoh avatar

Atténuer les risques de détournement de session HTTP sur les réseaux WiFi ouverts avec VPS

Demandé el 26 de Octobre, 2010
Quand la question a-t-elle été
528 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

La nouvelle extension Firefox Mouton de feu met en évidence le fait que les sessions de connexion HTTP peuvent être facilement détournées si les données peuvent être reniflées, ce qui est trivial sur un réseau WiFi ouvert.

J'aimerais mettre en place un système permettant d'atténuer ce risque pour ma famille. J'ai un petit VPS (256M, fonctionnant actuellement avec lighttpd et SpamAssassin) que je peux utiliser à cette fin, l'idée de base étant que lorsque nous utilisons un réseau non fiable, le trafic (au moins HTTP) passe par un tunnel crypté vers le VPS avant d'être libéré sur l'internet ouvert.

Quelles sont mes options compte tenu de ces ressources ? Les clients sont tous des Macs, si cela a de l'importance. Les possibilités que je connais sont OpenVPN (le problème principal étant que dans la configuration tunnel-tout-trafic, il détruit la route vers le serveur DHCP du réseau ouvert) et un proxy HTTP (dont je ne sais rien). Existe-t-il d'autres options ? Quelles sont les considérations et les problèmes dont je dois tenir compte ?

J'aimerais que les clients disposent de quelque chose de facile à activer (je suis un technicien, mais le reste de ma famille ne l'est pas) et qui fonctionne pour tous les sites web, qu'ils supportent ou non le protocole HTTPS.

Demandé el 26 de Octobre, 2010 par pacoh

Réponses

Trop de publicités?

1voto

user48838 avatar
user48838 Points 7385

Pourquoi ne pas utiliser HTTPS ?

Répondu el 26 de Octobre, 2010 par user48838 (7385 Points )

1voto

shabunc avatar
shabunc Points 606

sshuttle est plus performant que le proxy SOCKS propre à SSH et nécessite beaucoup moins de configuration. Il suffit de le copier sur chaque Mac et d'exécuter ./sshuttle -r user@sshserver 0.0.0.0/0 (tel que documenté dans README.md ) avant d'accéder au web.

Il ne fait qu'acheminer le trafic TCP, de sorte que le DNS et le DHCP se déroulent toujours sur le réseau local.

Répondu el 27 de Octobre, 2010 par shabunc (606 Points )

0voto

Arion avatar
Arion Points 121

Configurez une session putty sauvegardée avec un tunnel ssh activé vers votre serveur virtuel avec localhost:8000 (ou autre) transféré dynamiquement.

installez l'extension proxybutton sur firefox et configurez votre proxy pour localhost:8000 (ou autre).

créer deux raccourcis firefox "firefox.exe -proxy 0" et un autre qui est un fichier batch contenant les commandes "putty.exe -load "nom de la session sauvegardée"" et ensuite "firefox -proxy 1".

Le raccourci firefox n°1 est destiné aux réseaux sécurisés et se comporte de manière standard. #2 est pour les réseaux non sécurisés, et tout le trafic est acheminé à travers votre tunnel ssh crypté avant d'être décrypté sur votre VPS et de devenir du trafic http normal entre votre VPS et le serveur web.

Avec cette méthode, ils devront s'authentifier auprès de votre SPV pour que cela fonctionne. Vous pouvez automatiser l'authentification à l'aide de clés, mais cela présente ses propres risques lorsque vous ne pouvez pas garantir la sécurité des points d'extrémité.

Vous pouvez également mettre en place quelque chose comme OpenVPN. Je ne suis pas sûr que votre hébergeur soit d'accord avec cette solution, ni même qu'elle soit autorisée.

Répondu el 26 de Octobre, 2010 par Arion (121 Points )

0voto

Jonny Delirium avatar
Jonny Delirium Points 51

Si vous êtes sous GNU Linux/autre *nix et que le client Openssh est installé,
Ouvrez un terminal et exécutez :

ssh -D 8080 -p YOURSSHPORT [-i optionalkeyfile] username@votre_nom_de_domaine_VPS

si vous n'utilisez pas de clés rsa/dsa et que votre port ssh est le 22 par défaut, cela devrait fonctionner :

ssh -D 8080 username@myvps.com

Puis dans votre navigateur,

ex. Firefox, Préférences>Avancé>Réseau>Bouton Paramètres de connexion>

  1. Sélectionnez Configuration manuelle du proxy.
  2. Entrez 127.0.0.1 comme SOCKS HOST.
  3. Entrez 8080 comme numéro de port (Vous pouvez utiliser n'importe quel port libre et inutilisé sur votre ordinateur de bureau/portable)
  4. Appuyez sur OK.

Vous êtes prêt à tunneler tout le trafic sur votre port local 8080 vers le lien WAN de votre VPS.

De plus, vous pouvez également faire passer les requêtes DNS par votre VPS (fortement recommandé) :

  1. Ouvrez un nouvel onglet dans Firefox.
  2. Visitez le site about:config page
  3. Modifier la valeur de réseau.proxy.socks_remote_dns à vrai .

Voici ma solution QuickGun pour un tunnel sécurisé utilisant OpenSSH. J'espère que cela vous aidera.

Répondu el 26 de Octobre, 2010 par Jonny Delirium (51 Points )

0voto

pacoh avatar
pacoh Points 31

J'ai fini par mettre en place OpenVPN avec Tunnelblick sur les clients. Nous verrons si cela fonctionne bien dans la pratique.

Répondu el 23 de Novembre, 2010 par pacoh (31 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X