1

J'ai un petit soucis : j'ai l'habitude d'utiliser Putty mais je suis sur un PC sans connaitre le mot de passe de session (carte à puce et code pin pour le login) et j'aimerai utiliser un client SSH pour me connecter à un serveur distant.

La configuration réseau de Firefox pour le proxy se résume à "utiliser les paramètres système". Ma question est donc de savoir s'il existe un client SSH qui en serait capable. (ou comment configurer putty pour ça)

Et pour le challenge, j'ai pas les droits d'install sur la machine en question (sous windows)
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

2

le proxy se configure en général automatiquement via un fichier PAC qui est inscrit dans les paramètres de firefox. il faut voir le type de proxy pour savoir si il permet de faire passer d'autres types de connexions, et si il l'autorise...

3

J'ai le fichier pac avec les exceptions pour office365 et les ndd internes qu'il ne faut pas proxifier. il y a la ligne "par défaut" avec
return "PROXY nom.de.domaine.fr:port1234";
si je mets dans putty nom.de.domain.fr et port1234, il me manque le user / mot de passe...
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

4

5

c'est l'identifiant de session qui est utilisé sur le proxy... mais je n'ai pas le mdp de cette session, je n'ai que l'id
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

6

Ca me surprends que Firefox ai acces a ce genre d'informations
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

7

L'authentification est peut-être portée par du SSO, soit à travers de NTLM si le proxy est du Microsoft (ça utilise alors un jeton unique lié à la session, le mot de passe n'est jamais connu), soit au travers de NTML+un autre système (comme Kerberos) si le proxy n'est pas du Microsoft... là aussi, impossible de connaître le mot de passe.

Il n'y a peut-être même aucun mot de passe nulle part : les domaines Microsoft permettent l'authentification à l'aide d'un certificat (porté sur carte à puce ou clé USB). C'est au moment de l'ouverture de session que le client Windows génère la clé NTLM utilisée pour le SSO.

Certains systèmes de proxy transparent (peu sécurisés, mais c'était le cas de Kwartz server, par exemple - c'est peut-être toujours le cas, mais je n'ai pas suivi le projet depuis des années) utilisent une annonce via le protocole Ident. Cette annonce ne diffuse que l'identifiant (et le spoofing est trivial), et le proxy n'attend qu'un identifiant sans authentification.

Il faut voir si Microsoft n'a pas de client SSH qui permette ensuite de faire du tunneling, mais j'en doute.
avatar

8

Windows est passé à Kerberos, si je ne me trompe pas ^^
Accessoirement, si j'ai bien compris d'après la description, il n'y a *aucun* mot de passe dans le système, du coup c'est normal qu'il ne soit pas connu.

En gros :

* ouverture de session : on met la carte-à-puce (qui contient certificat et clef privée) dans le lecteur. Ça permet de faire un PKINIT : la carte-à-puce envoie son certificat et fait un challenge-response (de mémoire) avec une opération crypto sur la carte-à-puce pour prouver à l'AD qu'on possède la clef privée (la carte-à-puce n'autorise cette opération crypto qu'après avoir tapé le code PIN) : on a donc prouvé qu'on possède quelque chose (la carte) et qu'on sait quelque chose (le code PIN), d'où l'authentification à deux facteurs. Au passage, il n'y a bien aucun mot de passe, vu que le challenge-response est jetable.
* le serveur AD est content : il fournit un ticket de session (TGT) qui est valable en général une journée.
* Windows voit le TGT offert par l'AD, et permet donc d'ouvrir la session
* maintenant, on va sur un service web (ou le proxy, c'est le même principe) qui demande une authentification :
* le service web va refuser en disant qu'il connaît Kerberos (ou GSSAPI, c'est la même chose)
* ton navigateur web va donc demander au serveur AD (en fournissant le TGT) un ticket pour le service web en question
* l'AD voit le TGT *et* le service web (lui aussi un TGT), les deux sont autorisés, il te renvoie donc un ticket de session temporaire TGS pour *ce* service web (valable un truc du genre 10 min),
* ton navigateur web retourne au service web en donnant cette fois le TGS.
* le service web voit le TGS et accepte de t'authentifier.


(bon, je fais la description de mémoire et en simplifié, mais je ne dois pas être trop loin de la réalité)


Bref, c'est plutôt pas mal comme configuration smile

Par contre, je ne vois pas du tout pourquoi un proxy HTTP laisserait passer un flux SSH hum
Mais bon, si tu peux encapsuler du SSH dans du HTTP, il y a probablement des proxy dékerberisants (en gros, tu fais un proxy local authentifié en kerberos auprès du proxy et qui ne demande aucune authentification, mais je ne me souviens plus du nom).
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

9

flanker (./8) :
Windows est passé à Kerberos, si je ne me trompe pas ^^
C'est plus compliqué que ça, en fait... Depuis Windows Server 2000, le domaine permet une négociation du protocole de la part du client (si le client en est capable, c'est Kerberos qui prime, sinon le ticket est NTLM). Hors d'un domaine, c'est du NTLM qui est utilisé (typiquement, si l'ordinateur de vince n'est pas sur un domaine ou si le proxy n'est pas sur le domaine mais est lié à un environnement Microsoft, c'est NTLM qui sera utilisé - sachant qu'on peut très bien avoir, pour un squid, client Windows [NTLM] -> Auth Samba [NTLM] -> Auth Linux [Kerberos] (ou autre chose, comme une authentification via PAM) -> Auth Squid [Kerberos / ou autre chose]). C'est la magie des SSO, on peut les chaîner de façon transparente (ou presque).
Typiquement, on trouve des configurations dans les universités qui permettent des passages entre les systèmes d'authentification NTLM <-> Kerberos <-> CAS <-> Shibboleth (avec des morceaux de LDAP et d'AD au milieu, et des morceaux de SASL dedans).

flanker (./8) :
Par contre, je ne vois pas du tout pourquoi un proxy HTTP laisserait passer un flux SSH hum
Tu as des proxy http qui sont liés dynamiquement à un pare-feu. Si tu es authentifié sur le proxy, alors tes flux réseau passent (et peuvent être loggés à minima, c'est à dire timestamp, identifiant, source, destination). En cas de coupure du lien avec le proxy, tu perds l'autorisation.
Cela dit, c'est généralement dans un environnement où on n'a pas trop la maîtrise des machines, sinon on préfère le 802.1x (filaire) qui est plus efficace et qui peut, lui aussi, être couplé à l'authentification sur le domaine dans un environnement MS.

Mais je crois en effet que vince cherchait à faire du SSH over HTTP, à la base.
avatar

10

Nil (./9) :
Typiquement, on trouve des configurations dans les universités qui permettent des passages entre les systèmes d'authentification NTLM <-> Kerberos <-> CAS <-> Shibboleth (avec des morceaux de LDAP et d'AD au milieu, et des morceaux de SASL dedans).
(mais à part ça, le public n'aime pas les usines à gaz, hein ^^)
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

11

(Oh, on n'y est pour rien si le privé ne nous permet pas d'avoir des outils homogènes embarrassed on fait justement tout ça pour permettre aux utilisateurs le plus de fluidité dans les usages... et c'est pas fini, parce qu'on va bientôt avoir, pour les extérieurs, France Connect - des établissements permettent déjà, pour les extérieurs, l'usage de Facebook Connect ou d'autres protocoles en se basant sur OAuth ou OpenID - mais c'est un peu une plaie à maintenir, je te l'accorde >.<)
avatar

12

Oui, NTLM est encore utilisable, mais maintenant MS recommande Kerberos qui est plus sûr (NTLM ne permet pas d'utiliser des protocoles modernes de chiffrement, de mémoire).

Nil (./9) :
flanker (./8) :
Par contre, je ne vois pas du tout pourquoi un proxy HTTP laisserait passer un flux SSH hum
Tu as des proxy http qui sont liés dynamiquement à un pare-feu. Si tu es authentifié sur le proxy, alors tes flux réseau passent (et peuvent être loggés à minima, c'est à dire timestamp, identifiant, source, destination). En cas de coupure du lien avec le proxy, tu perds l'autorisation.
Oui, mais là Vince veut utiliser un proxy pour SSH, si le pare-feu demandait une authentification via le proxy, il n'aurait justement aucun problème ^^

Cela dit, c'est généralement dans un environnement où on n'a pas trop la maîtrise des machines, sinon on préfère le 802.1x (filaire) qui est plus efficace et qui peut, lui aussi, être couplé à l'authentification sur le domaine dans un environnement MS.
Je ne vois pas le rapport entre les deux, ou alors j'ai raté un truc. Le 802.1x permet de contrôler les machines qui se connectent à ton réseau, alors que le proxy permet de contrôler ce qu'elles envoient à l'extérieur de ton réseau (ou de contrôler certains flux en interne). Je ne vois pas pourquoi préférer le 802.1x à un proxy HTTP, autant avoir les deux. Ce n'est pas parce que ta machine a le droit de se connecter qu'elle n'en est pas moins vérolée ^^
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

13

Je ne vois pas le rapport entre les deux, ou alors j'ai raté un truc. Le 802.1x permet de contrôler les machines qui se connectent à ton réseau, alors que le proxy permet de contrôler ce qu'elles envoient à l'extérieur de ton réseau (ou de contrôler certains flux en interne). Je ne vois pas pourquoi préférer le 802.1x à un proxy HTTP, autant avoir les deux. Ce n'est pas parce que ta machine a le droit de se connecter qu'elle n'en est pas moins vérolée ^^
Tout simplement parce que les matériels actifs permettent de logger/filtrer de façon plus large (pour tout ce qui est protocoles non HTTP), voire d'être couplés à un proxy de façon transparente pour ce qui est HTTP non sécurisé tout en ayant un contrôle sur le HTTP sécurisé (à travers les résolution DNS d'une part et les autorisations d'un firewall dynamique pour tout ce qui est connexions directes sur adresses IP d'autre part) sans avoir à faire de l'interception de certificat.
Ca permet surtout d'éviter les problèmes de configuration du client (tous les OS depuis plus de 15 ans détectent le 802.1x automatiquement) et d'avoir des mécanismes homogènes wifi/filaire.

flanker (./12) :
Ce n'est pas parce que ta machine a le droit de se connecter qu'elle n'en est pas moins vérolée ^^
Pour le coup, on fait aussi des mécanismes de sécurisation un peu lourds à mettre en place mais assez efficaces, qui permettent de placer une machine non certifiée dans un VLAN limité interdit en sortie et en connexion interne et qui peut uniquement lancer un client de scan de machine (anti-virus, anti-malware... Norton en propose, mais ce n'est pas le seul). Seule la validation de la machine par l'outil de contrôle permet de basculer vers une VLAN fonctionnel. Quasi tous les fabricants de matériels actifs (je pense à HP, mais je sais que Cisco et Fortinet ont aussi des solutions de ce type) le permettent.
avatar

14

Ok, donc j'en déduis que vous avez aucune idée pour mon problème ?
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

15

À part la solution que propose Flan qui peut être assez lourde à mettre en place, je ne vois pas de possibilité (comme indiqué il y a énormément de chances qu'il n'y ait pas de mot de passe associé à ton authentification).
flanker (./8) :
Mais bon, si tu peux encapsuler du SSH dans du HTTP, il y a probablement des proxy dékerberisants (en gros, tu fais un proxy local authentifié en kerberos auprès du proxy et qui ne demande aucune authentification, mais je ne me souviens plus du nom).


Edit : regarde peut-être ce papier https://www.centrify.com/resources/dsh-en-centrify-server-suite-technical-brief-configuring-putty-for-kerberos-based-authentication-to-linux-unix/ ou fais une recherche au tour de "putty signel sign on proxy" sur Google...
avatar

16

https://www.centrify.com/404/?p=%2Fexpress%2Fserver-suite%2Fdownload

erf :/

c'est con parce que leur version putty avec kerberos aurait pu être intéressante :/
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

17

Est-ce qu'un outil comme mobaxterm ne supporterais pas ce genre de proxy: http://mobaxterm.mobatek.net/features.html ? (pas vu dans leur liste de features, mais on ne sais jamai)
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

18

QuestPutty dans la liste doit le faire smile https://putty.org.ru/articles/putty-addons-overview.html
Cette version aussi : https://marcussundberg.com/putty/
avatar

19

il propose bien la négociation kerberos mais pas pour l'auth du proxy :/
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

20

Argl, mince sad
avatar