Internet bloqué au travail : les solutions pour surfer sur les sites non-autorisés en entreprise

Vous voulez surfer sur votre site préféré à la pause déjeuner dans votre entreprise ? Manque de chance, un méchant proxy filtre les URL de certaines pages Web et vous empêche de naviguer en toute liberté.

Heureusement, il existe plusieurs solutions pour contourner ce filtrage pour les pros de la glande ou les accros au Web.

PHProxy

Une des solutions les plus simples est d’utiliser un proxy php. C’est une page Web classique dans laquelle vous pourrez entrer l’URL du site bloqué, le proxy PHP servant de relai.

Il existe de nombreuses pages de ce type sur le Web et beaucoup de solutions différentes. On peut citer par exemple PHP Anonymizer qui rencontre un franc succès, ou les pages à base de scripts PHP ou CGI.

PHProxy est l’un d’entre eux. Vous pouvez trouver des versions déjà installées, en recherchant par exemple la chaîne “PHProxy 0.5b2″ sous Google.

Le problème est évidemment que la plupart des URL des proxys sont filtrées, et que la sécurité et la confidentialité ne sont pas assurées.

Il sera donc préférable d’installer PHProxy sur votre propre serveur.
Pour cela, il faut commencer par télécharger l’archive de PHProxy ci-dessous :

poxy-0.5b2.zip
» 25.9 KiB - 1 705 téléchargements - 20 juin 2008
PHProxy v0.5b2 Un proxy PHP pour surfer sur les sites bloqués en entreprise.

Il vous faudra ensuite un hébergement. Une petite recherche sur Google de “Hébergement PHP gratuit” fera sûrement l’affaire.
Le plus connu est l’utilisation des pages perso chez Free.

Il faudra ensuite décompresser l’archive poxy-0.5b2.zip et envoyer vers l’hébergement (souvent via FTP) les fichiers index.php, index.inc.php et style.css.
Je vous laisse lire ces quelques tutoriels pour vous aider.
Et voilà! Il ne vous restera plus qu’à entrer l’adresse web de votre hébergement (par exemple proxygratuit.free.fr) et vous obtiendrez la page suivante :

Entrez ensuite l’adresse de la page Web bloquée dans le champ prévu à cet effet.

Module Firefox PHProxy

La solution précédente est sympa, mais pas forcément très agréable pour la navigation (il faut taper ou copier-coller les adresses pour chaque site bloqué rencontré).

Une solution existe avec Firefox et l’utilisation de l’extension PhProxy d’InBasic.

Dans les options de l’extension, il est possible de préciser son propre proxy (celui installé à l’étape précédente) :

Vous pouvez également tester les proxys intégrés, mais il y a de fortes chances pour qu’ils soient bloqués dans votre entreprise.

L’extension ajoutera alors deux options dans le menu du clic droit pour ouvrir les liens avec votre proxy :

C’est déjà pas mal, mais cette solution pose deux problèmes : tout d’abord les URL appelées ne sont pas masquées (dommage pour le surf anonyme) mais seulement encodées en base64, opération facilement réversible. Ensuite, les proxys PHP supportent très mal le Javascript. Adieu donc tous les sites utilisant à outrance AJAX, jQuery ou Javascript maison.

On va donc aller un peu plus loin et voir comment créer un tunnel SSH qui permettra de surfer comme à la maison (les pantoufles en moins), et de manière confidentielle puisque tout le contenu échangé sera chiffré, et donc en particulier les adresses des sites visités.

Tunnel SSH à travers un proxy avec login et mot de passe

Je vais vous décrire la solution pour le problème le plus complexe : un proxy authentifiant (avec login et mot de passe), et un réseau d’entreprise qui interdit toute connexion sur le port 22 (SSH) pour des adresses en dehors de l’intranet (vers Internet dans notre cas).

Il vous faudra ici des pré-requis pas forcément accessibles à tout le monde : un serveur ou une machine sous Linux accessible en permanence, et dont vous pouvez modifier la configuration.
Si vous voulez faire ça à plusieurs (cochons!), un RPS chez OVH à 10€ par mois partagé peut être une bonne solution. Je vous laisse chercher la moins chère.
Vous pouvez également installer Ubuntu ou Debian à la maison.

Configuration du serveur

Si l’admin réseau de votre entreprise a bien fait son travail, les seuls ports accessibles à travers le proxy doivent être les ports 80 et 443. On va donc modifier la configuration du serveur SSH pour qu’il utilise le port 443.

vi /etc/ssh/sshd_config
# Package generated configuration file
# See the sshd(8) manpage for details
 
# What ports, IPs and protocols we listen for
Port 443

Le reste de la configuration devrait être correct. Vous pouvez vérifier que le paramètre “TCPKeepAlive” est bien positionné sur “yes” pour permettre le maintien de votre tunnel (pas de timeout).

Pour prendre en compte la nouvelle configuration, redémarrez le service :

# /etc/init.d/ssh restart
Restarting OpenBSD Secure Shell server: sshd.

Configuration du client

Pour configurer votre poste de travail, commencez par installer PuTTY. Par exemple la version 0.60.

Dans les options de configuration de PuTTY, ajoutez ensuite votre serveur, avec le port 443 comme configuré au dessus :

Paramétrez ensuite un KeepAlive à 30 secondes par exemple pour que le tunnel reste actif :

L’étape suivante dépend de la configuration de votre proxy d’entreprise. La configuration est accessible dans la section “proxy“.

Dans le cas d’un proxy HTTP avec login/mot de passe, la configuration peut ressembler à ça :

La variable “Proxy Hostname” correspond à l’adresse du serveur proxy de votre entreprise (celle configurée dans Internet Explorer ou Firefox). Il faut ensuite renseigner votre login/mot de passe.
Le dernier paramètre peut dépendre du type de proxy rencontré. Dans mon exemple, la valeur est “connect %host %port\n“.

Allez ensuite dans la section “SSH->Tunnels“, et utilisez les paramètres suivants :

Faites “Add” pour ajouter le nouveau paramétrage. La chaîne “4D8080” devrait apparaître.
Revenez ensuite dans l’onglet “Session” pour lui donner un nom et sauvegarder grâce au bouton “Save“.

Lancez alors la connexion avec le bouton “Open“.

Configuration du navigateur

Sous Firefox, allez dans “Outils->Options->Avancé->Réseau” puis cliquez sur le bouton “Paramètres” :

Choisir ensuite “Configuration manuelle du proxy” et décochez “Utiliser ce serveur proxy pour tous les protocoles“. Paramétrez alors “Hôte SOCKS” à “localhost” sur le port “8080” et en SOCKS v5 :

Tapez ensuite “about:config” (et pas about:robots )dans la barre d’adresse, et positionnez la variable “network.proxy.socks_remote_dns” à “true“.

Sous Internet Explorer, la configuration est similaire mais cette fois sous “Outils->Options Internet->Connexions->Paramètres Réseaux“.

Et voilà ! A vous le surf illimité !

Cette solution est déjà sympathique mais a pour inconvénient d’utiliser constamment votre tunnel, même pour les URL autorisées. On peut donc faire mieux.

FoxyProxy

FoxyProxy est une extension Firefox qui va permettre de gérer plusieurs proxys, et donc dans notre cas le proxy de l’entreprise et le tunnel créé au dessus.
Là où l’extension est intéressante, c’est qu’il est possible de préciser une liste d’URL pour laquelle notre tunnel sera utilisé. C’est préférable pour que l’adresse de celui-ci n’apparaisse pas trop fréquemment dans les logs du proxy, et donc pour l’utiliser uniquement sur les pages bloquées qui nous intéressent. Il y a même une option pour ajouter automatiquement les pages bloquées à un des proxys!

Il sera également possible de switcher d’un simple clic entre le proxy de l’entreprise et le tunnel où tout est ouvert.

Il faudra donc paramétrer les deux dans FoxyProxy, celui de l’entreprise sera actif par défaut :

Pour le tunnel, le paramétrage est comme ceci :

Il faudra ensuite paramétrer les motifs pour lesquels le tunnel sera utilisé, à vous de voir en fonction de votre réseau et de ce qui vous intéresse :

Dernière chose : dans les paramètres généraux de FoxyProxy, cochez la case “Utiliser un proxy SOCKS pour les résolutions DNS“.

Le bouton supplémentaire de la barre d’état de Firefox vous permettra de choisir entre le proxy de l’entreprise, le tunnel, et la configuration basée sur les motifs (donc fonction des URL visitées) :

Voilà, ce n’est peut-être pas la solution la plus simple, mais c’est sûrement une des plus propres lorsque la seule porte de sortie du réseau d’entreprise est le serveur proxy.

La prochaine fois, on verra les solutions 100% Windows avec HTTPort et HTTHost.

Et pas de bêtises, le fait d’utiliser un tunnel peut enfreindre les éventuelles conventions pour l’usage d’Internet dans votre entreprise. Au passage, il sera impossible pour le proxy de filter un quelconque contenu, y compris les virus et autres cochonneries. Vous voilà prévenus.

Bon surf, et plus d’excuse pour ne pas venir surfer sur papygeek.com