Juste pour vous gâcher la journée et vous maintenir dans l'esprit de sécurité, je vais décrire combien il est facile d'outrepasser un pare-feu mandataire.
Imaginons que vous ayez réalisé tout ce qui se trouve dans le présent document et que vous disposiez d'un réseau et d'un serveur très sécurisés. Vous disposez d'une zone démilitarisée, personne ne peut entrer dans votre réseau et vous tracez chaque connexion réalisée vers le monde extérieur. Vous obligez tous vos utilisateurs à passer par un mandataire et le seul service que vous autorisiez directement vers l'extérieur est le DNS (port 53).
Un port, c'est tout ce qu'il faut pour rendre un pare-feu inutile. Voici comment cela se passe :
Commencez par configurer une machine Linux quelque part en-dehors de votre réseau. Un bon choix pourrait être une machine personnelle connectée à Internet par un modem-câble.
Demandez trois adresses IP à votre FAI. De nombreuses entreprises en fournissent jusqu'à trois.
Sur cette machine, vous devez installer la partie client d'un réseau privé virtuel (VPN). Cherchez sur http://sunsite.auc.dk/vpnd/.
Maintenant, configurez le côté serveur du VPN sur une autre machine Linux. Connectez ce serveur à son client par le port 53. Activez le routage et la transmission IP et placez une adresse IP inutilisée (obtenue de votre FAI) sur son port réseau local.
Finalement, sur un poste du réseau privé, changez la passerelle par défaut afin qu'elle pointe sur le serveur du VPN et ajoutez la troisième adresse IP sur son port réseau local.
Maintenant, depuis ce poste, vous pouvez aller n'importe où. La seule chose que l'administrateur voie est une recherche DNS particulièrement longue.
Maintenant, prenez le pouvoir sur le monde !