Navigation sécurisée et privée avec Squid

Version 1.0

Auteur : Joe Topjian

Naviguer sur un site qui prend en charge SSL est un moyen certain de s’assurer que personne ne peut espionner ce que vous faites – ce qui est une bonne chose lorsque vous faites quelque chose de personnel comme vérifier vos e-mails sur le web ou acheter quelque chose sur amazon. Mais si vous faites juste des choses comme lire les nouvelles quotidiennes ou vérifier les horaires de films, la vie privée est-elle si importante ? Les ultra-paranoïaques donneront une réponse retentissante “oui” à cette question tandis que la plupart des gens hausseront simplement les épaules. Je me trouve entre ces deux parties. Chez moi, pendant que je lis les nouvelles, je me fiche complètement que le trafic soit crypté ou non. Cependant, lorsque je suis dans un endroit public avec du Wi-Fi, cela me dérange un peu.

La plupart des lieux publics qui permettent l’accès à Internet n’ont absolument aucune sécurité en place. Besoin d’un bon révélateur ? La prochaine fois que vous êtes dans un point d’accès public, prenez une copie des outils dsniff.

Cet article vous montrera un moyen de vous protéger contre quelque chose comme ça – d’une certaine manière. Cet article ne vous montrera que comment protéger votre trafic web. Si vous décidez toujours de parler à votre PDG sur AIM à propos d’un produit ultra-secret qui sort la semaine prochaine en attendant votre prochain vol, cela ne vous sauvera pas. Squid peut, bien sûr, faire office de proxy pour d’autres applications en plus de HTTP, mais HTTP est tout ce que je vais couvrir. Peut-être que je passerai en revue d’autres applications dans un autre article.

D’accord, commençons. Voici ce dont nous aurons besoin :

• Un serveur exécutant Squid sur un autre réseau.

• Un ordinateur portable avec support ssh et redirection de port.

Ce que nous allons faire, c’est configurer un serveur Squid quelque part en dehors du réseau sur lequel nous sommes actuellement. Squid n’acceptera que les connexions du serveur lui-même – pas de connexions extérieures. Alors, comment l’utilisons-nous ? Nous allons créer un tunnel SSH vers celui-ci. Une fois le tunnel créé, nous configurons simplement notre navigateur web pour utiliser un serveur proxy avec l’adresse de notre tunnel SSH. Maintenant, tout le trafic web sortant de notre ordinateur portable vers notre serveur Squid sera crypté.

Mais qu’en est-il du serveur Squid vers la page web réelle ? Malheureusement, ces données ne seront pas cryptées. Mais bon, au moins nous avons quitté le LAN non protégé en toute sécurité.

J’utiliserai Debian Sarge pour le serveur Squid, mais vous êtes plus que bienvenu à utiliser la distribution de votre choix. Après l’installation de Squid, la configuration sera exactement la même. Pour installer Squid sur Debian, il suffit de faire :

apt-get install squid

La configuration par défaut pour Debian (et peut-être d’autres distributions aussi – mieux vaut vérifier !) est de n’autoriser que les connexions depuis localhost. Cela ne nuit à rien, donc nous pouvons le laisser tel quel. Cependant, nous avons toujours besoin d’un moyen de nous connecter de l’extérieur. Pour cela, nous allons ajouter un acl qui nous demandera un mot de passe et si nous sommes authentifiés, il nous laissera entrer. Nous allons l’ajouter juste avant la portion “deny all” pour que cela ressemble à ceci :

acl localhost src 127.0.0.1/255.255.255.255

http_access allow localhost

http_access allow password

http_access deny all

Par défaut, Squid écoute sur le port 3128. Personnellement, je préfère 8080, donc nous allons le changer avec :

http_port 8080

Ensuite, nous devons configurer l’authentification pour Squid. Il existe plusieurs méthodes d’authentification qui viennent avec le paquet Debian et elles peuvent être consultées avec :

ls /usr/lib/squid/*auth

Nous allons utiliser le module pam_auth. Cela permettra à quiconque ayant un compte shell de pouvoir également utiliser le serveur Squid. Recherchez la section auth_param dans la configuration et ajoutez ces lignes :

auth_param basic program /usr/lib/squid/pam_auth

auth_param basic children 5

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

Ensuite, recherchez cette ligne et décommentez-la :

acl password proxy_auth REQUIRED

Maintenant, créez un module pam appelé /etc/pam.d/squid qui contient :

auth required /lib/security/pam_unix.so

account required /lib/security/pam_unix.so

Vous devrez donner à ce fichier un accès SUID, donc chmod 4755. Oui, je sais que ce n’est pas la meilleure façon de faire cela mais c’est la moins compliquée. Vous êtes plus que bienvenu à rechercher les autres méthodes par vous-même.

Squid devrait être prêt à fonctionner. Ensuite, assurez-vous d’avoir un accès shell au serveur via SSH. Peu importe si vous utilisez un mot de passe, une phrase secrète ou une phrase secrète vide. Pour configurer le tunnel, exécutez ceci :

ssh -L 8080:squidhost:8080 username@squidhost

On vous demandera une authentification et si vous réussissez, cela ressemblera à ce que vous vous êtes connecté à la boîte distante. Si vous ouvrez une autre fenêtre et tapez

telnet localhost 8080

Vous verrez que vous parlez maintenant à squid sur le serveur distant.

Enfin, dites à votre navigateur d’utiliser le tunnel SSH comme proxy. Je ne vais pas passer en revue chaque navigateur ici, mais en gros, cela sera quelque part dans les préférences. Pour le nom d’hôte, tapez simplement localhost et pour le port, tapez 8080.

Maintenant, chaque fois que vous naviguez vers une page web, on vous demandera une authentification. Tapez vos informations de compte shell et vous serez prêt à partir. Le navigateur pourrait donner un avertissement concernant l’authentification en texte clair – ignorez-le. Cela voyagera à travers notre tunnel SSH donc ce sera crypté.

Félicitations ! Vous pouvez maintenant naviguer sur le web sans vous soucier que quelqu’un vous espionne. Si quelqu’un a des commentaires, des corrections ou des moyens d’améliorer cette méthode, faites-le moi savoir !

Emplacement original de ce document :

http://adminspotting.net/howtos/securesquid.html