Serveur d'Hébergement Expérimental
Auto-hébergement
Le surf tranquille
Une des grandes préoccupations de l'auto-hébergement est de ne pas offrir ses données personnelles à des personnes pouvant en faire un mauvais usage. Si vous faites partie des personnes concernées, alors lisez aussi ce qui suit !
Qu'y-a-t'il de pire que de se faire pirater son petit serveur personnel pourtant équipé de toutes les sécurités nécessaires ? Vous avez déjà installé Fail2Ban pour protéger votre Web/FTP/Mail Server ? C'est un bon début, mais celui-ci ne vous protègera que des attaques de type Brute-Force.
Vous faites attention aux e-mails vous demandant de renvoyer votre mot de passe facebook ou paypal sur un site hébergé en Russie ? Nickel, dans ce cas, l'ingénierie sociale ne marchera pas sur vous.
Reste un autre type d'attaque qui est malheureusement courant et parfois facile : le Man-in-the-middle (et ses dérivés). L'an dernier nous avons entendu parler de Firesheep, nous aurons peut-être de nouveaux logiciels similaires pour faciliter ce type d'attaque.
Comment en être victime : aller sur un wifi quelconque (un hot spot Fon, Free Wifi, ou même a l hotel en déplacement) et surfer sur internet comme vous le faites à la maison. Si vos communications sont interceptées, vous ne vous rendrez compte de rien (enfin, si c'est bien fait), sinon vous aurez seulement des erreurs de certificats pour les sites web en HTTPS que vous visiterez.
Deux solutions :
Soit systématiquement visiter les sites web en HTTPS (même ce trés cher Google le propose), mais ce n'est malheureusement encore pas disponible sur beaucoup de sites et de webmails, soit, utiliser un proxy !
Un proxy ? Oui ! Mais pas n'importe comment !
N'importe quel service de Proxy fera l'affaire (cependant, Squid sera très facile à installer sur un Ubuntu, de nombreux tutoriels existent déjà à ce sujet, dont le très bon du Site d'Olivier ), mais la partie importante est de se connecter en SSH sur ce serveur pour utiliser la connexion internet de votre ordinateur comme si vous étiez à la maison !
Toutes les connexions au Proxy se feront sur votre "localhost", et d'ici-là, aucune réponse HTTP ne transitera "en clair" sur le réseau. Il sera même impossible de savoir sur quel site vous surfez. La seule chose que les routeurs (et/ou les pirates) verront sera une connexion SSH vers votre serveur domestique.
Inconvénient, vous serez limité par la bande passante jusqu'à votre Proxy (par la vitesse d'émission de votre connexion internet généralement). Dans certains hôtels à l'autre bout du monde il est parfois rare d'atteindre le Mbit/s, ce n'est donc pas si grave que ça.
L'autre avantage, si vous configurez votre SSH pour écouter sur le port 443 ou 80 (je déconseille ce dernier !) il y a de fortes chances que vous puissiez surfer "sans filtre" même depuis votre lieu de travail !
Tunnel SSH
Pour ouvrir un tunnel SSH vers le port d'écoute de votre proxy :
Sous Linux : ssh user@server -L 3128:localhost:3128 (cette commande va ramener le port 3128 de votre serveur jusqu'a votre client, vous pouvez aussi ajouter d'autres ports pour d'autres services en ajoutant plusieurs fois la partie -L 3289:localhost:3289.
Sous Windows, avec Putty, il suffira d'aller dans a configuration de votre connexion, "Connection > SSH > Tunnels" et d'ajouter un tunnel avec Source Port = 3128, Destination = localhost:3128.
Configurer son Firefox
Une fois connecté à votre serveur en SSH, aller dans la configuration de Firefox, et activer le proxy (Menu Configurations > Réseau > Connexion > Paramètres... )
Vos paramètres devraiment ressembler à ça :
Resolution DNS
Pour chaque site visité, SQUID fera la résolution DNS à votre place, quelque soit les sites filtrées par le DNS utilisé par votre client. Dans le cas d'un proxy de type Socks, il faudra peut être ajuster la valeur network.proxy.socks_remote_dns;true (sur la page about:config de Firefox) pour forcer cette résolution côté proxy. (merci à François pour l'astuce !)
Dans le cas de Squid, vous aurez ce message d'erreur lors d'une erreur de résolution d'un DNS (en lieu et place du message renvoyé habituellement par Firefox).
Enjoy !
0 commentaire - Ajouter un commentaire
![[RSS]](rss.gif "Sychlora RSS feed")