Internet bloqué au travail : les solutions pour surfer sur les sites non-autorisés en entreprise
20 juin
Vous voulez surfer sur votre site préféré à la pause déjeuner dans votre entreprise ? Manque de chance, un méchant proxy filtre les URL de certaines pages Web et vous empêche de naviguer en toute liberté.
Heureusement, il existe plusieurs solutions pour contourner ce filtrage pour les pros de la glande ou les accros au Web.
PHProxy
Une des solutions les plus simples est d’utiliser un proxy php. C’est une page Web classique dans laquelle vous pourrez entrer l’URL du site bloqué, le proxy PHP servant de relai.
Il existe de nombreuses pages de ce type sur le Web et beaucoup de solutions différentes. On peut citer par exemple PHP Anonymizer qui rencontre un franc succès, ou les pages à base de scripts PHP ou CGI.
PHProxy est l’un d’entre eux. Vous pouvez trouver des versions déjà installées, en recherchant par exemple la chaîne “PHProxy 0.5b2″ sous Google.
Le problème est évidemment que la plupart des URL des proxys sont filtrées, et que la sécurité et la confidentialité ne sont pas assurées.
Il sera donc préférable d’installer PHProxy sur votre propre serveur.
Pour cela, il faut commencer par télécharger l’archive de PHProxy ci-dessous :
poxy-0.5b2.zip
» 25.9 KiB - 794 téléchargements - 20 juin 2008
PHProxy v0.5b2
Un proxy PHP pour surfer sur les sites bloqués en entreprise.
Il vous faudra ensuite un hébergement. Une petite recherche sur Google de “Hébergement PHP gratuit” fera sûrement l’affaire.
Le plus connu est l’utilisation des pages perso chez Free.
Il faudra ensuite décompresser l’archive poxy-0.5b2.zip et envoyer vers l’hébergement (souvent via FTP) les fichiers index.php, index.inc.php et style.css.
Je vous laisse lire ces quelques tutoriels pour vous aider.
Et voilà! Il ne vous restera plus qu’à entrer l’adresse web de votre hébergement (par exemple proxygratuit.free.fr) et vous obtiendrez la page suivante :
Entrez ensuite l’adresse de la page Web bloquée dans le champ prévu à cet effet.
Module Firefox PHProxy
La solution précédente est sympa, mais pas forcément très agréable pour la navigation (il faut taper ou copier-coller les adresses pour chaque site bloqué rencontré).
Une solution existe avec Firefox et l’utilisation de l’extension PhProxy d’InBasic.
Dans les options de l’extension, il est possible de préciser son propre proxy (celui installé à l’étape précédente) :
Vous pouvez également tester les proxys intégrés, mais il y a de fortes chances pour qu’ils soient bloqués dans votre entreprise.
L’extension ajoutera alors deux options dans le menu du clic droit pour ouvrir les liens avec votre proxy :
C’est déjà pas mal, mais cette solution pose deux problèmes : tout d’abord les URL appelées ne sont pas masquées (dommage pour le surf anonyme) mais seulement encodées en base64, opération facilement réversible. Ensuite, les proxys PHP supportent très mal le Javascript. Adieu donc tous les sites utilisant à outrance AJAX, jQuery ou Javascript maison.
On va donc aller un peu plus loin et voir comment créer un tunnel SSH qui permettra de surfer comme à la maison (les pantoufles en moins), et de manière confidentielle puisque tout le contenu échangé sera chiffré, et donc en particulier les adresses des sites visités.
Tunnel SSH à travers un proxy avec login et mot de passe
Je vais vous décrire la solution pour le problème le plus complexe : un proxy authentifiant (avec login et mot de passe), et un réseau d’entreprise qui interdit toute connexion sur le port 22 (SSH) pour des adresses en dehors de l’intranet (vers Internet dans notre cas).
Il vous faudra ici des pré-requis pas forcément accessibles à tout le monde : un serveur ou une machine sous Linux accessible en permanence, et dont vous pouvez modifier la configuration.
Si vous voulez faire ça à plusieurs (cochons!), un RPS chez OVH à 10€ par mois partagé peut être une bonne solution. Je vous laisse chercher la moins chère.
Vous pouvez également installer Ubuntu ou Debian à la maison.
Configuration du serveur
Si l’admin réseau de votre entreprise a bien fait son travail, les seuls ports accessibles à travers le proxy doivent être les ports 80 et 443. On va donc modifier la configuration du serveur SSH pour qu’il utilise le port 443.
vi /etc/ssh/sshd_config
# Package generated configuration file
# See the sshd(8) manpage for details
# What ports, IPs and protocols we listen for
Port 443
Le reste de la configuration devrait être correct. Vous pouvez vérifier que le paramètre “TCPKeepAlive” est bien positionné sur “yes” pour permettre le maintien de votre tunnel (pas de timeout).
Pour prendre en compte la nouvelle configuration, redémarrez le service :
# /etc/init.d/ssh restart
Restarting OpenBSD Secure Shell server: sshd.
Configuration du client
Pour configurer votre poste de travail, commencez par installer PuTTY. Par exemple la version 0.60.
Dans les options de configuration de PuTTY, ajoutez ensuite votre serveur, avec le port 443 comme configuré au dessus :
Paramétrez ensuite un KeepAlive à 30 secondes par exemple pour que le tunnel reste actif :
L’étape suivante dépend de la configuration de votre proxy d’entreprise. La configuration est accessible dans la section “proxy“.
Dans le cas d’un proxy HTTP avec login/mot de passe, la configuration peut ressembler à ça :
La variable “Proxy Hostname” correspond à l’adresse du serveur proxy de votre entreprise (celle configurée dans Internet Explorer ou Firefox). Il faut ensuite renseigner votre login/mot de passe.
Le dernier paramètre peut dépendre du type de proxy rencontré. Dans mon exemple, la valeur est “connect %host %port\n“.
Allez ensuite dans la section “SSH->Tunnels“, et utilisez les paramètres suivants :
Faites “Add” pour ajouter le nouveau paramétrage. La chaîne “4D8080” devrait apparaître.
Revenez ensuite dans l’onglet “Session” pour lui donner un nom et sauvegarder grâce au bouton “Save“.
Lancez alors la connexion avec le bouton “Open“.
Configuration du navigateur
Sous Firefox, allez dans “Outils->Options->Avancé->Réseau” puis cliquez sur le bouton “Paramètres” :
Choisir ensuite “Configuration manuelle du proxy” et décochez “Utiliser ce serveur proxy pour tous les protocoles“. Paramétrez alors “Hôte SOCKS” à “localhost” sur le port “8080” et en SOCKS v5 :
Tapez ensuite “about:config” (et pas about:robots
)dans la barre d’adresse, et positionnez la variable “network.proxy.socks_remote_dns” à “true“.
Sous Internet Explorer, la configuration est similaire mais cette fois sous “Outils->Options Internet->Connexions->Paramètres Réseaux“.
Et voilà ! A vous le surf illimité !
Cette solution est déjà sympathique mais a pour inconvénient d’utiliser constamment votre tunnel, même pour les URL autorisées. On peut donc faire mieux.
FoxyProxy
FoxyProxy est une extension Firefox qui va permettre de gérer plusieurs proxys, et donc dans notre cas le proxy de l’entreprise et le tunnel créé au dessus.
Là où l’extension est intéressante, c’est qu’il est possible de préciser une liste d’URL pour laquelle notre tunnel sera utilisé. C’est préférable pour que l’adresse de celui-ci n’apparaisse pas trop fréquemment dans les logs du proxy, et donc pour l’utiliser uniquement sur les pages bloquées qui nous intéressent. Il y a même une option pour ajouter automatiquement les pages bloquées à un des proxys!
Il sera également possible de switcher d’un simple clic entre le proxy de l’entreprise et le tunnel où tout est ouvert.
Il faudra donc paramétrer les deux dans FoxyProxy, celui de l’entreprise sera actif par défaut :
Pour le tunnel, le paramétrage est comme ceci :
Il faudra ensuite paramétrer les motifs pour lesquels le tunnel sera utilisé, à vous de voir en fonction de votre réseau et de ce qui vous intéresse :
Dernière chose : dans les paramètres généraux de FoxyProxy, cochez la case “Utiliser un proxy SOCKS pour les résolutions DNS“.
Le bouton supplémentaire de la barre d’état de Firefox vous permettra de choisir entre le proxy de l’entreprise, le tunnel, et la configuration basée sur les motifs (donc fonction des URL visitées) :
Voilà, ce n’est peut-être pas la solution la plus simple, mais c’est sûrement une des plus propres lorsque la seule porte de sortie du réseau d’entreprise est le serveur proxy.
La prochaine fois, on verra les solutions 100% Windows avec HTTPort et HTTHost.
Et pas de bêtises, le fait d’utiliser un tunnel peut enfreindre les éventuelles conventions pour l’usage d’Internet dans votre entreprise. Au passage, il sera impossible pour le proxy de filter un quelconque contenu, y compris les virus et autres cochonneries. Vous voilà prévenus.
Bon surf, et plus d’excuse pour ne pas venir surfer sur papygeek.com 
- Classé sous : Pratique









32 réponses pour "Internet bloqué au travail : les solutions pour surfer sur les sites non-autorisés en entreprise"
20 juin 2008 @ 17:16 - Citer 1
Espèce de ‘glandisateur’ d’employés
hihi moi ça va j’ai le net en full access ici
20 juin 2008 @ 17:20 - Citer 2
Faut bien s’occuper entre deux grèves
20 juin 2008 @ 17:22 - Citer 3
ah ça c’est sur. Tu travail dans une boite qui quand elle lance des préavis ce sont des préavis de travail ??
20 juin 2008 @ 17:25 - Citer 4
Le vendredi c’est permis!
20 juin 2008 @ 17:32 - Citer 5
J’aurai également pu rajouter “Changer de boîte” ou “Devenir blogueur pro“.
20 juin 2008 @ 17:34 - Citer 6
Ah! ça c’est pas bien Papy Geek!
Ben ouai, je bosse en tant qu’ingé système sur l’accès Internet d’une grosse boite et justement l’accès est pas mal bloqué (mais ça pourrait l’être bien plus) pour que les gens ne bouffent pas trop de bande passante et ne glande pas trop non plus mais si tu leur donnes des solutions de contournement, tu me donnes aussi du boulot en +!!! c’est que j’ai pas que ça à foutre moi travailler, moi j’ai accès à tout justement mais si je dois bosser je peux plus glander… et plus lire papy geek 
20 juin 2008 @ 17:44 - Citer 7
@nicobbg : Ah mince désolé
Enfin pour mon taff, j’pourrais peut être être amené à faire ça un jour ou l’autre. Donc bon, peut-être que je me suis pourri un futur job
20 juin 2008 @ 18:41 - Citer 8
Sinon y a le VPS de chez PHPNET à 10,37€ TTC (~8€ HT) ou tu as ton accès SSH tranquillement.
20 juin 2008 @ 20:23 - Citer 9
Encore un bel article !!
Je sens qu’il va m’être utile…
Merci Papy
20 juin 2008 @ 20:24 - Citer 10
As tu une idée de quand tu vas publier la version 100% windows ?
Parce que moi et Linux…
20 juin 2008 @ 20:26 - Citer 11
Si Free détecte un proxy sur leurs serveurs, ils font péter le compte en moins de deux. Qui n’a jamais fait l’expérience ?
21 juin 2008 @ 1:49 - Citer 12
Il existe également des fournisseurs pour ce genre de service. Je vais citer yourfreedom qui propose un accès gratuit( pas très rapide) et http-tunnel qui lui est payant. Couplé à proxifier cela devient un jeu d’enfant et beaucoup moins complexe que ce qui est proposé… ;-)
21 juin 2008 @ 8:57 - Citer 13
Bah j’ai plus simple : un serveur VNC à la maison et un client sur une clé usb.
21 juin 2008 @ 13:34 - Citer 14
merki papy!! “vivement lundi” que j’essaye tout ca!!!!
21 juin 2008 @ 14:12 - Citer 15
Simple, rapide, efficace : http://proxy.org
21 juin 2008 @ 15:52 - Citer 16
@Divinity-Sword : je ne suis pas sûr que beaucoup de clients VNC gèrent les proxy avec login/mot de passe. Et niveau bande passante, c’est hyper gourmand.
@Phantasmes : la première chose que va utiliser un admin réseau dans sa liste de sites bloqués. Avec des produits genre Websense, il y a très peu de chances que ça passe.
21 juin 2008 @ 17:01 - Citer 17
j’y comprends rien à ton article, papy,
t’as pas une rubrique pour les nullos, pour moi ?
Merci, Papy
22 juin 2008 @ 3:34 - Citer 18
Euhhh… pas si simple, je trouve …. Finalement, je préfère attendre d’être ailleurs qu’au taf pour consulter les pages bloquées par mon admin zéro. Même quand c’est des pages dont j’ai besoin pour bosser, ce qui est souvent le cas ..
(ok, ce commentaire ne sert à rien , si on excepte une valeur “sondage” )
23 juin 2008 @ 13:26 - Citer 19
Papy,
à quand la version 100% Windows ?
J’ai essayé la première solution (hebergement du proxy sur une page free), la page se charge mais impossible de visualiser ensuite quoi que ce soit à partir de ce proxy. (c’est bien verrouillé je crois…
Je peux faire un serveur mais j’y connais rien en linux.
Je suis donc impatient de découvrir les solutions windows…
Merci.
23 juin 2008 @ 14:39 - Citer 20
salut.
Ici on utilise “un script de configuration automatique du proxy”
Ca ressemble à une adresse internet.
Qui peut me dire ce que c’est exactement ?
Comment obtenir le “host name” ou l’adresse IP du proxy utilisé ?
Merci.
23 juin 2008 @ 15:02 - Citer 21
@starsys : c’est un simple fichier texte qui configure ton proxy automatiquement. En ouvrant le fichier (avec le notepad par exemple), tu y trouveras l’adresse et le port du proxy.
23 juin 2008 @ 17:24 - Citer 22
Merci Papy.
Effectivement c çà, j’ai trouvé mes infos.
Je progresse lentement.
J’ai commencé à me rencarder sur HTTPort et Htt Host.
J’ai pu installé la partie HTT Port sur mon PC boulot et remplir l’adresse proxy + le port.
Ce soir je configure la partie HTT Host sur mon PC perso.
Papy : quel routage je dois prévoir (dans HHT Port) pour passer toutes mes requetes de PC boulot via PC perso ?
Merci encore.
23 juin 2008 @ 17:28 - Citer 23
ici on utilise Websense et je voudrais tout simplement consulter mes mail sur le site de yahoo.
L’accès à la page mail de yahoo est bloqué par Websense lorsqu’on s’authentifie.
Pensez vous que je puisse contourner cette restriction en utilisant le tunneling ?
Qu’est ce qui fait que le site est verrouillé ? Est-ce par l’utilisation d’un port specifique lors de l’authentification sur yahoo mail ou bien tout simplement par un blacklistage de cette page par websense ?
Comment contourner cela ?
Merci.
25 juin 2008 @ 15:09 - Citer 24
salut papy
Comme pas mal de gens, je ne supporte pas qu’on censure mes sessions de surf. J’avais donc pas mal essayé de trucs pour contourner cette daube de websense.
D’abord, j’avais installé circumventor ( http://www.peacefire.org/circu.....tions.html ). Ca marchait pas mal, mais ça m’obligeait à laisser mon pc allumé toute la journée à la maison, pas très souple et encore moins écolo.
Après ça, on m’a fait découvrir phpproxy, génial, même si je partage tes restrictions concernant le Js. Free n’a jamais viré mon proxy sur mes “pages perso”.
Maintenant, je voudrais bien utiliser vnc pour lancer des téléchargements bitorrent chez moi. Lancer un paquet magique pour activer un wake on lan et prendre la main dessus.
Mais vnc utilise les ports 5800 et 5900, ports bloqués par websense.
Tu crois que si je modifie la conf des ports du serveur vnc pour utiliser le 80 et le 443, ça peut marcher ?
25 juin 2008 @ 18:32 - Citer 25
@ alexxx : utilise teamviewer, c’est gratuit et ça utilise le protocole http pour se connecter a distance sur ton PC. Ça passe à travers tous les firewall.
C’est rudement efficace. De plus il en existe une version clé USB
25 juin 2008 @ 20:02 - Citer 26
J’ai un phproxy sur mon serveur perso et depuis ma boîte l’adresse est ban juste après l’utilisation. Je dois changer le nom du dossier sur le ftp à chaque fois.
Quant au tunneling c’est efficace certes, mais pas indétectable, de nombreux IDS font de l’analyse comportementale des paquets. Encore la semaine dernière on a chopé un mec en train de faire ça.
Y’a pas de solution miracle si la sécu de la boîte est vraiment serrée vaut mieux pas tenter de feinter au risque de se faire remonter les bretelles.
26 juin 2008 @ 12:30 - Citer 27
Je bosse dans un lycée donc les adresses internet sont TRES controlées. J’ai suivis ce tuto et je peux dire un grand merci à papygeek car ca marche nikel
28 juin 2008 @ 17:25 - Citer 28
Bon je reprends le travail le 7 juillet, alors on va essayer la méthode PHProxy
04 juillet 2008 @ 22:35 - Citer 29
Internet bloqué au travail : les solutions…
Vous voulez surfer sur votre site préféré à la pause déjeuner dans votre entreprise ? Manque de chance, un méchant proxy filtre les URL de certaines pages Web et vous empêche de naviguer en toute liberté.
Heureusement, il existe plusieurs solut…
07 juillet 2008 @ 12:21 - Citer 30
Ah ben non cela fonctionne pas
11 juillet 2008 @ 9:37 - Citer 31
bonjour a tous , voila le phproxy fonctionne bien pour consulter des pages mais impossible de s’identifier par exemple sur facebook j, vous avez une solution??
merci !!
10 août 2008 @ 1:07 -