Prérequis
Présentation
Lorsque vous n'êtes pas chez vous et que vous souhaitez surfer sur Internet, plusieurs solutions s'offrent à vous notamment celle d'utiliser des hotspots (ou wifi public).
Ces hotspots (par exemple ceux de macdo, des gares ...), fournissent un sous-réseau où les personnes se connectent pour accéder à Internet. Malheureusement vous êtes sur le même sous-réseau que les autres personnes, c'est comme ci n'importe qui pouvait être connecté à votre box Internet. Cela pose un problème de sécurité, en effet, des pirates peuvent intercepter les données que vous recevez ainsi que les données que vous envoyez (identifiant, mot de passe, e-mail...).
Pour contrer ceci, il est possible d'utiliser un tunnel ssh.
Un peu de théorie
Comment ça fonctionne ?
On va tout d'abord créer un tunnel entre votre pc (le pc client) et votre serveur ssh. Ce tunnel est chiffré afin de rendre son contenu totalement illisible. Le but est de faire passer toutes les données transmises (émission et réception) dans ce tunnel.
Exemple : si on veut visiter le site http://www.mageialinux-online.org, on envoie la demande dans le tunnel, la demande arrive jusqu'au serveur qui va lui même demander la page. Le site mageialinux-online reçoit la demande et envoie la réponse au serveur.
Le serveur prend la réponse et l'envoie dans le tunnel jusqu'au pc client.
source de l'image
En passant par ce tunnel, vous naviguez exactement comme si vous le faite depuis votre serveur.
Passons à la pratique
Nous devons tout d'abord créer le tunnel, pour cela, on ouvre un terminal et on tape la commande suivante :
Code :
ssh -D 1080 -p 443 USERNAME@IP_SERVEUR
(en remplaçant bien sur USERNAME et IP_SERVEUR par les bonnes valeurs).
L'option -p correspond au port utilisé par votre serveur ssh, adaptez le en fonction de votre configuration.
La commande est a adapter en fonction de vos paramètres ssh. Si vous utilisez une clé RSA/DSA (ce que je recommande), vous aurez surement besoin de préciser l'endroit ou se trouve la clé :
Code :
ssh -D 1080 -p 443 -i /chemin/vers/la/cle_privee USERNAME@IP_SERVEUR
Cette commande à créé un proxy socks sur le port 1080. Ce proxy représente la porte d'entrée du tunnel. Il faut donc faire passer toutes nos données dedans.
Pour chaque logiciels (qui a besoin d'internet), vous devez le configurer pour qu'il utilise le proxy. Je vais donner la méthode pour firefox mais vous devez aussi configurer kopete par exemple si vous voulez protéger votre messagerie instantanée.
Exemple : firefox
Configuration de SOCKS
Ouvrez firefox et allez dans "Outils" puis "Préférences":
Cliquez sur l'icône "Avancé" et sur l'onglet "Réseau":
Enfin, cliquez sur "Paramètres" et remplissez les champs comme ceci :
Voila vous pouvez naviguer de façon plus sûre avec firefox sur un réseau public.
Pour tester que la manipulation a bien fonctionné vous pouvez vérifier votre ip grâce à ce site, l'ip qui apparaît doit être celle de votre serveur.
N'oublions pas les requêtes DNS
Il est bon de noter que les requêtes DNS (ce qui permet de résoudre le nom en adresse IP) ne passent pas par le tunnel SSH créé précédemment.
Il est nécessaire d'éditer une valeur dans la configuration de firefox.
Pour cela, saisir dans la barre d'adresse : about:config
Valider l'avertissement "Je ferai attention, promis ! "
Dans le champ "rechercher" saisir network.proxy.socks_remote_dns
Double cliquer pour passer la valeur à true.
Maintenant, les requêtes DNS passent via SOCKS. Ainsi, vous surfez non seulement en sécurité, mais en plus, le hot-spot ne résout pas les noms de domaines en adresse IP (vous protégeant ainsi des noms des sites visités)