URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 81343
[ Назад ]

Исходное сообщение
"SSH-over-HTTPS или как подконнектится к SSH если все заблочено?"
Отправлено spry , 25-Июл-08 17:49

Сабж собственно вопрос. Гуглил, не особо помогло, нашел http://www.freshports.org/net/gotthard/ но последний релиз был в 2006 году, както неохота. Может есть какаято альтернатива? По сути единственный вариант, который мне подходит - это инкапсуляция SSH траффика под HTTP[s], для прохождения через прокси, который режет все. Даже есть лимит в максимум 50кб за 1 сессию на выход :((

Содержание

SSH-over-HTTPS или как подконнектится к SSH если все заблоче...,Аноним, 19:25 , 25-Июл-08
- SSH-over-HTTPS или как подконнектится к SSH если все заблоче...,Аноним2, 19:43 , 26-Июл-08
- SSH-over-HTTPS или как подконнектится к SSH если все заблоче...,spry, 12:51 , 27-Июл-08
  - SSH-over-HTTPS или как подконнектится к SSH если все заблоче...,YuryD, 08:47 , 28-Июл-08
- SSH-over-HTTPS или как подконнектится к SSH если все заблоче...,spry, 09:27 , 28-Июл-08
  - SSH-over-HTTPS или как подконнектится к SSH если все заблоче...,Аноним, 10:34 , 28-Июл-08

Сообщения в этом обсуждении

"SSH-over-HTTPS или как подконнектится к SSH если все заблоче..."
Отправлено Аноним , 25-Июл-08 19:25

ssh _работает_ через httpS(именно httpS) прокси, если прокся поддерживает метод CONNECT.
если там у вас всё так урезано, то можно предположить что метод CONNECT урезан тоже(я его первым делом урезаю, т.к. это дыра в безопасности). Тем не менее, метод коннект может быть разрешен у вас только на порт 443. вы можете зайти оттуда браузером, скажем на https://gmail.com:443 ? если да - перевесьте sshd на этот порт.
Если нет - вам определенно поможет http://www.nocrew.org/software/httptunnel.html
но 50кб на сессию - это действительно проблема, отпишитесь если вы будете использовать httptunnel. используйте сжатие (ssh -C) чтобы экономить драгоценные байты.

"SSH-over-HTTPS или как подконнектится к SSH если все заблоче..."
Отправлено Аноним2 , 26-Июл-08 19:43

openvpn
remote ваш-внешний-openvpn-сервер
client
port 443
proto tcp
dev tun
http-proxy ваш-корпоративный-прокси 8080 (или какой там у него порт)
на внешнем openvpn сервере настройте nat.
после поднятия openvpn линка поставьте на него маршрут по умолчанию - и имейте счастье.

"SSH-over-HTTPS или как подконнектится к SSH если все заблоче..."
Отправлено spry , 27-Июл-08 12:51

>ssh _работает_ через httpS(именно httpS) прокси, если прокся поддерживает метод CONNECT.
>если там у вас всё так урезано, то можно предположить что метод
>CONNECT урезан тоже(я его первым делом урезаю, т.к. это дыра в
>безопасности). Тем не менее, метод коннект может быть разрешен у вас
>только на порт 443. вы можете зайти оттуда браузером, скажем на
>https://gmail.com:443 ? если да - перевесьте sshd на этот порт.
>Если нет - вам определенно поможет http://www.nocrew.org/software/httptunnel.html
>
>но 50кб на сессию - это действительно проблема, отпишитесь если вы будете
>использовать httptunnel. используйте сжатие (ssh -C) чтобы экономить драгоценные байты.
Я думаю что пойду через этот путь :) Вот еще нашел у себя в ссылках такой вот линк
http://dag.wieers.com/howto/ssh-http-tunneling/
Может комуто интересно будет

"SSH-over-HTTPS или как подконнектится к SSH если все заблоче..."
Отправлено YuryD , 28-Июл-08 08:47

>Я думаю что пойду через этот путь :) Вот еще нашел у
>себя в ссылках такой вот линк
>http://dag.wieers.com/howto/ssh-http-tunneling/
>Может комуто интересно будет
А поднять webmin на https и нестандартном порту, далее его родным telnet ?

"SSH-over-HTTPS или как подконнектится к SSH если все заблоче..."
Отправлено spry , 28-Июл-08 09:27

>ssh _работает_ через httpS(именно httpS) прокси, если прокся поддерживает метод CONNECT.
>если там у вас всё так урезано, то можно предположить что метод
>CONNECT урезан тоже(я его первым делом урезаю, т.к. это дыра в
>безопасности). Тем не менее, метод коннект может быть разрешен у вас
>только на порт 443. вы можете зайти оттуда браузером, скажем на
>https://gmail.com:443 ? если да - перевесьте sshd на этот порт.
>Если нет - вам определенно поможет http://www.nocrew.org/software/httptunnel.html
>
>но 50кб на сессию - это действительно проблема, отпишитесь если вы будете
>использовать httptunnel. используйте сжатие (ssh -C) чтобы экономить драгоценные байты.
Пока что просто перевесил на файрфоле порт форвардинг с 443 на родной ССШ, и через офисною проклю заработало. Правда есть опасения что такой метод довольно легко можно отличить от реального HTTPs траффика. Так ли это?

"SSH-over-HTTPS или как подконнектится к SSH если все заблоче..."
Отправлено Аноним , 28-Июл-08 10:34

>Пока что просто перевесил на файрфоле порт форвардинг с 443 на родной
>ССШ, и через офисною проклю заработало. Правда есть опасения что такой
>метод довольно легко можно отличить от реального HTTPs траффика. Так ли
>это?
не висите по ссш по полдня. сессии будут короче. а вообще, всё же по логам смотрится.
т.е. если мы в логах видим, что для данного хоста много трафика, или эти соединения частые, то может быть кто-то и решит проверить. а вообще у админов часто бывает мало времени и это вообще могут никогда не заметить, а если же у вас в фирме есть безопасник,к-ому деньги за такие обнаружения платят, то это всплывёт быстро.
что происходит в туннеле https, смотреть админ не может, на то он и httpS.(именно по этому https и опасен). тут можно доменное имя какое-то придумать для хоста, например webmoney-relay.mydomain.org. и сказать что у тебя типа "интернет-кошелек" установлен. ))