Moin,
ich suche nach Möglichkeiten, einen SSL-Proxy zu tunneln.
Folgende hab ich gefunden:
JAP http://anon.inf.tu-dresden.de/
JAP bietet jedem User (auch mit eingeschränkten Benutzerrechten!) unter Windows die Möglichkeit, einen SSL-Proxy zu tunneln, um so bspw. Content Filtering zu umgehen.
Proxytunnel http://proxytunnel.sourceforge.net/
Proxytunnel bietet Usern unter Unix und Windows/Cygwin die Möglichkeit, beliebige TCP-Verbindungen via SSL zu tunneln. Serverseitig ist dafür nur ein SSH-Server auf Port 443 (oder einem anderen, vom SSL-Proxy zugelassenen Port) notwendig.
Meine Frage:
Gibt’s da auch was „generisches“? Also eine Software, die bspw. auf einem Host im Internet läuft, auf einem TCP-Port lauscht und eine Art „NAT-Gateway“ spielt - also alles, was auf $SERVER_IP $TCP_PORT reinkommt bspw auf eine virtuelle IP auf dem Server mappt o.ä.?
Clientseitig wäre da dann wohl auch ein virtuelles Interface nötig.
Das liefe dann auf eine VPN-Lösung hinaus, die ausschliesslich ausgehendes TCP verwendet. Gibt’s sowas?
Kann IPsec das? AFAIK benötigt IPsec UDP 500 für ISAKMP…
Dank & Gruß,
Malte.
ich suche nach Möglichkeiten, einen SSL-Proxy zu tunneln.
Wohin, wodurch?
Gibt’s da auch was „generisches“? Also eine Software, die
bspw. auf einem Host im Internet läuft, auf einem TCP-Port
lauscht und eine Art „NAT-Gateway“ spielt - also alles, was
auf $SERVER_IP $TCP_PORT reinkommt bspw auf eine virtuelle IP
auf dem Server mappt o.ä.?
PPP over SSH kennst Du? Eigentlich ist das aber Mist.
Hm. Ich habe Dein Problem einfach nicht verstanden.
Sebastian
Moin,
Hi,
Dein eigentliches Problem ist chrony: es ist kurz vor 19:00 Uhr.
ich suche nach Möglichkeiten, einen SSL-Proxy zu tunneln.
Folgende hab ich gefunden:
JAP http://anon.inf.tu-dresden.de/
Proxytunnel http://proxytunnel.sourceforge.net/
Meine Frage:
Gibt’s da auch was „generisches“? Also eine Software, die
bspw. auf einem Host im Internet läuft, auf einem TCP-Port
lauscht und eine Art „NAT-Gateway“ spielt - also alles, was
auf $SERVER_IP $TCP_PORT reinkommt bspw auf eine virtuelle IP
auf dem Server mappt o.ä.?
Clientseitig wäre da dann wohl auch ein virtuelles Interface
nötig.
Das liefe dann auf eine VPN-Lösung hinaus, die ausschliesslich
ausgehendes TCP verwendet. Gibt’s sowas?
Kann IPsec das? AFAIK benötigt IPsec UDP 500 für ISAKMP…
Ja, fuer den Schluesseltausch. Und darueberhinaus noch ESP fuer die eigentlichen Daten.
Letzten Endes muss ich aber auch zugeben, nicht vollstaendig verstanden zu haben, was Du eigentlich vor hast. Mir schwebt als Schlagwort etwa IP over IP vor, da kann dann natuerlich alles drin sein… CONFIG_NET_IPIP im Linux-Kernel, ein Dienst wird an ein virtuelles interface tun* gebunden, geht durch den Tunnel und kommt auf einem anderen Rechner raus. Ein connect auf den Rechner im Netz geht direkt weiter auf den anderen Rechner.
Meinst Du sowas? Leicht ratlos,
Gruss vom Frank.
ich suche nach Möglichkeiten, einen SSL-Proxy zu tunneln.
Wohin, wodurch?
von innen (Corporate Network, mostly Windows)
durch Raptor und SSL-Proxy
nach außen (Internet, dedicated Server w/ BSD vorhanden)
Erlaubter Zugriff inside -> outside: Dest. Port 443 TCP, HTTPS
Gibt’s da auch was „generisches“? Also eine Software, die
bspw. auf einem Host im Internet läuft, auf einem TCP-Port
lauscht und eine Art „NAT-Gateway“ spielt - also alles, was
auf $SERVER_IP $TCP_PORT reinkommt bspw auf eine virtuelle IP
auf dem Server mappt o.ä.?
PPP over SSH kennst Du? Eigentlich ist das aber Mist.
Ich kenn’s nicht wirklich, hab aber eher Schlechtes darüber gelesen.
Wenn Du da einen guten Link hast, wäre ich trotzdem dankbar.
Es geht nicht um besonders gute Qualität, sondern um Machbarkeit.
Hm. Ich habe Dein Problem einfach nicht verstanden.
Ich möchte die entstehenden Problematiken durch das Zulassen von HTTPS-Traffic aufzeigen. Und das nicht nur theoretisch.
Natürlich habe ich die Erlaubnis, das zu tun, also die Sicherheitsmechanismen zu umgehen, solang ich nix kaputt mache.
JAP umgeht den Content Filter. Schonmal was.
Proxytunnel schleust einzelne TCP-Verbindungen durch. Das ist schon was mehr.
Ich suche die nächste Stufe, die mich ALLES durchschleusen lässt.
Vorzugsweise unter Windows (+Cygwin) zu verwirklichen, FreeBSD ist jedoch auch willkommen.
Hoffe, mein Ansinnen ist so verständlicher, Gruß,
Malte.
Moin,
Hi,
Dein eigentliches Problem ist chrony: es ist kurz vor 19:00
Uhr.
Dein eigentliches Problem ist Dein Wohnort: Du kommst nicht aus Schleswig-Holstein 
Dor secht man jümmers „moin“.
Kann IPsec das? AFAIK benötigt IPsec UDP 500 für ISAKMP…
Ja, fuer den Schluesseltausch. Und darueberhinaus noch ESP
fuer die eigentlichen Daten.
Wenn man (was sinnvoll ist) ESP benutzt, klar, aber ESP ist ein IP-Protokoll, hat also mit TCP oder UDP nichts zu tun, richtig? Damit kommt IPsec für mich schon nicht mehr in Frage, ich brauche $KRASSESTUNNELPROTOKOLL-over-TCP…
Letzten Endes muss ich aber auch zugeben, nicht vollstaendig
verstanden zu haben, was Du eigentlich vor hast. Mir schwebt
als Schlagwort etwa IP over IP vor, da kann dann natuerlich
alles drin sein…
IP-over-IP ist auch wieder (wie der Name sagt) ein IP-Protkoll… Siehe auch meine Antwort an Sebastian. PPP-over-SSH ist schon cool, wenn es da noch andere, ähnliche Ansätze gibt…
Danke && Gruß,
Malte.
Proxytunnel schleust einzelne TCP-Verbindungen durch. Das ist
schon was mehr.
Ich suche die nächste Stufe, die mich ALLES durchschleusen
lässt.
Sowas?
http://htun.runslinux.net/
http://openvpn.sourceforge.net/
Naja, Proxy-Tnnel gibts wie Sand am Meer.
http://cqs.dyndns.org:81/socks/
http://gray-world.net/#firepass#
http://transconnect.sourceforge.net/
http://cqs.dyndns.org:81/socks/
[und viele weitere]
Da könnte man mit http://www.tldp.org/HOWTO/VPN-HOWTO/ ein PPP over SSH aufsetzen. Das ist (da wiederhole ich mich) eigentlich großer mist für ein PoC sollte es aber reichen. Ansonsten könnte man über so einen Tunnel versuchen, UDP zu tunneln und da dann so Dinge wie CIPE zu betreiben. Oder, oder, oder…
Ergänzend:
http://vtun.sourceforge.net/
http://www.winton.org.uk/zebedee/
Gruß,
Sebastian
Hallo Malte,
Hm. Ich habe Dein Problem einfach nicht verstanden.
Ich möchte die entstehenden Problematiken durch das Zulassen
von HTTPS-Traffic aufzeigen. Und das nicht nur theoretisch.
Natürlich habe ich die Erlaubnis, das zu tun, also die
Sicherheitsmechanismen zu umgehen, solang ich nix kaputt
mache.
ich habe immer noch ein kleines Verständnisproblem.
JAP umgeht den Content Filter. Schonmal was.
Proxytunnel schleust einzelne TCP-Verbindungen durch. Das ist
schon was mehr.
Ich suche die nächste Stufe, die mich ALLES durchschleusen
lässt.
Im Ursprungsposting schreibst du:
Das liefe dann auf eine VPN-Lösung hinaus, die ausschliesslich
ausgehendes TCP verwendet.
Geht es dir um ein Szenario, in dem ein Client von innen eine Verbindung aufbaut, um anschliessend von aussen über diese stehende Verbindung mit allen Möglichkeiten des internen Clients in das Netzwerk einzubrechen? Für alles andere würde mir, als Insider, der Proxytunnel doch vollkommen ausreichen.
Gruss,
Schorsch
Moin Schorsch,
ich habe immer noch ein kleines Verständnisproblem.
Das lässt sich sicher lösen.
JAP umgeht den Content Filter. Schonmal was.
Proxytunnel schleust einzelne TCP-Verbindungen durch. Das ist
schon was mehr.
Ich suche die nächste Stufe, die mich ALLES durchschleusen
lässt.
Im Ursprungsposting schreibst du:
Das liefe dann auf eine VPN-Lösung hinaus, die ausschliesslich
ausgehendes TCP verwendet.
Geht es dir um ein Szenario, in dem ein Client von innen eine
Verbindung aufbaut, um anschliessend von aussen über diese
stehende Verbindung mit allen Möglichkeiten des internen
Clients in das Netzwerk einzubrechen? Für alles andere würde
mir, als Insider, der Proxytunnel doch vollkommen ausreichen.
Es geht mir um ein Szenario, in dem ein Client im internen Netz mit Hilfe eines Servers im Internet uneingeschränkten Zugriff auf das Internet hat.
Proxytunnel hat folgende Einschränkungen:
- NUR TCP-Verbindungen können getunnelt werden
- Für jede einzelne TCP-Verbindung muß ein eigener SSH-Tunnel eröffnet werden
Ich möchte:
- TCP und UDP tunneln
- bestenfalls _einen_ Tunnel aufbauen, durch den beliebig viele Verbindungen geschleust werden können. Wie VPN eben.
Dabei steht mir lediglich die Möglichkeit „https:443“ von innen nach außen zur Verfügung - das ist das einzige, was der Proxy unkontrolliert durchlässt.
Der übernächste Schritt wären dann „reverse tunnel“, die eine Möglichkeit bieten, über eine von innen aufgebaute Verbindung von außen auf das Netz zuzugreifen. Auch das kann ich mit Proxytunnel für je eine TCP-Verbindung einrichten - ich brauche aber mehr, s.o…
Etwas klarer?
Gruß,
Malte.
(Der morgen mal PPP-over-SSH ausprobieren wird)
von innen (Corporate Network, mostly Windows)
durch Raptor und SSL-Proxy
nach außen (Internet, dedicated Server w/ BSD vorhanden)
Erlaubter Zugriff inside -> outside: Dest. Port 443 TCP,
HTTPS
Ich möchte die entstehenden Problematiken durch das Zulassen
von HTTPS-Traffic aufzeigen. Und das nicht nur theoretisch.
Natürlich habe ich die Erlaubnis, das zu tun, also die
Sicherheitsmechanismen zu umgehen, solang ich nix kaputt
mache.
JAP umgeht den Content Filter. Schonmal was.
Proxytunnel schleust einzelne TCP-Verbindungen durch. Das ist
schon was mehr.
Ich suche die nächste Stufe, die mich ALLES durchschleusen
lässt.
Vorzugsweise unter Windows (+Cygwin) zu verwirklichen, FreeBSD
ist jedoch auch willkommen.
schau dir mal http://zwitterion.org/software/ssh-https-tunnel/ und http://www.mathematik.tu-darmstadt.de/dalug/events/o…
(die hinteren teile) an. wenn du auf deiner dedicated kiste nen ssh-server auf 443 packst und nachdem das geklappt hat ssh’s port-forwarding nutzt, has du alles was du brauchst, um jeden manager scheu zu machen. allerdings ist https sperren meist auch keine loesung, da es halt sachen gibt, die verschluesselt raus muessen…
abgesehen davon gibt es ja auch noch httptunnel (http://www.nocrew.org/software/httptunnel.html) der sowas auch ohne proxy connect macht 
der richtige ansatz ist hier mehr organisatorisch: alle unterschreiben dv-betriebsvereinbarung, wo sowas explizit verboten ist „der einsatz jeglicher technischer mittel zum aushebeln der getroffenen sicherheitsmassnahmen ist verboten und kann zu fristloser kuendigung fuehren…“. man koennte dann auch noch mit ein bisschen snort nach ssh signaturen auf port 443 gucken, oder nach auffaellig langandauernden connections auf port 443 oder eben httptunnel und sich die ziele von solchen mal genauer anschauen. bei uns gibt es wohl einen fall, wo jemand nach solchen aktionen demnaechst viel mehr freizeit fuer solche dinge hat…
joachim