שְׁאֵלָה:
אילו אלטרנטיבות יש כאשר סינון פעיל של SSH?
Moein7tl
2012-01-03 03:18:18 UTC
view on stackexchange narkive permalink

למרבה הצער הממשלה שלנו מסננת את פרוטוקול SSH כך שעכשיו אנחנו לא יכולים להתחבר לשרת הלינוקס שלנו.

הם מבצעים את הסינון על ידי בדיקת הכותרת של כל מנה בשכבת הרשת (ולא רק על ידי סגירה נמל). הם גם מבטלים פרוטוקולי VPN.

האם יש דרך חלופית להתחבר בצורה מאובטחת לשרת לינוקס?

זה יכול בהחלט להיות מקרה שימוש ראשון עבור רשת האקרספייס הגלובלית ...
אם אתה שוקל להצביע לסגירת שאלה זו מטעמה של "מקומי מדי", קח בחשבון ש ** הרבה ** חברות גם חוסמות את SSH בהיקף, כך שהתשובות יעניינו הרבה יותר אנשים מאלה שיש להם לתקשר מעבר לגבול הזה. בעוד ששאלות על חתרנות הגדרות חומת אש מקומיות עשויות להיחשב לא חכמות, הן ככל הידוע לי אינן נסגרות מסיבה זו בלבד.
אני חושב שאנחנו רוצים להימנע מפוליטיקה, אבל צריך לדון בסוגיות הטכניות גם כשאנחנו מכירים בכך שהם עשויים לשמש להפרת מדיניות של מישהו. העניין הוא שמדיניות אבטחה תקפה מבחינה טכנית יכולה להיות בסתירה. ראה http://meta.security.stackexchange.com/questions/664/conflicting-policies-and-discussing-technical-issues-involving-privacy-vs-contr
http://mosh.mit.edu/ עשוי להיות שווה זריקה
בית הספר שלי חוסם SSH, אבל אני מעביר קדימה להשתמש ביציאה 53 או דומה.
אחת עשרה תשובות:
petrus
2012-01-03 03:38:01 UTC
view on stackexchange narkive permalink

מ- מה ששמעתי קודם היום, https / ssl זורם כהלכה דרך הגבולות שלך.

לכן כדאי לבדוק את מחלץ הפקקים.

בדומה ל netcat , הוא משמש לעטוף ssh ב- https כדי לאפשר שימוש ב- https proxies.

פיתרון אחר יהיה להשתמש ב LSH אשר, על ידי חתימה שונה מזו של ssh, עובדת מאיראן כפי שציין אותה סיאוואש בהודעתו.

למעשה, אתה אמור להיות מסוגל לשנות את יציאת ssh ל- 443 ואז להתחבר דרכה. אלא אם כן הם מבצעים התקפה של אדם באמצע הם לא צריכים להיות מסוגלים להבדיל בין ssh ל- https. זה עבד על כל חומות האש שניסיתי את זה. הוספתי תשובה לכך, אנא יידע אותי אם זה עובד.
@user606723: ספק האינטרנט (והממשל) ** הוא ** האיש שבאמצע. זו לא התקפה, אלא מעקב. וכן, הם מסוגלים להבין את ההבדל בין ssh ו- https באמצעות DPI.
להסביר כיצד ניתן לעשות זאת רק באמצעות DPI ולא בשום סוג של התערבות? או אולי עלי ליצור שאלה? לשם התייחסות, "התקפה איש-באמצע" מתייחס למשהו ספציפי. http://en.wikipedia.org/wiki/Man-in-the-middle_attack
אולי לחיצת היד שונה בין ssl ל- ssh?
@user606723: ssh הוא פרוטוקול. ssl הוא מכניזם הצפנה, המשמש עם FTP ו- http למשל. אין לזה שום דבר במשותף.
אני מניח שאתה צודק. למען הפרוטוקול, ssl הוא גם פרוטוקול.
לחיצת יד SSL ​​/ TLS אינה מוצפנת. אתה יכול לראות בקלות גרסת פרוטוקול, גלישות תומכות נתמכות (מהלקוח), סייפר שנבחר, מארח וירטואלי (בתנאי שהשימוש נעשה בתוסף, ורוב הדפדפנים כן), האישורים שהוצגו. אתה יכול להשתמש במידע זה כדי לנסות לטביעת אצבע את תוכנת השרת / לקוח. בקיצור TLS לא מנסה להסתיר את עצמה, אלא מנסה להגן על נתוני האפליקציה רק ​​לאחר השלמת לחיצת היד. אני לא יודע הרבה על שכבת ההצפנה של SSH, אך לחיצת היד שלה בוודאי נראית שונה מ- TLS. אתה לא צריך MitM פעיל, מספיק להסתכל בחבילות על החבילות
חיבור SSH מתחיל בכך שהשרת שולח "SSH" בטקסט ברור, כך שזה טריוויאלי לאתר עבור כל מי שצופה בחיבור. האם מחלץ פקקים אכן מסתיר זאת, או שהוא פשוט מקים את החיבור באמצעות פרוקסי ומשאיר את ה- "SSH" גלוי?
@Kevin אם אתה בודק את המקור הוא שולח בקשת HTTP Proxy ובקשה מקודדת base64, כך שאני לא חושב שזה עושה משהו כדי להסתיר בפועל את מזהה הטקסט הרגיל של הפרוטוקול, רק שינוי בטכנולוגיה המשמשת לגישה אליו.
nealmcb
2012-01-04 00:57:07 UTC
view on stackexchange narkive permalink

מבוסס על שיחה בכנס CCC - 28C3: כיצד ממשלות ניסו לחסום את Tor - ל- Tor Project יש את הרקורד הטוב ביותר בתחום דינמי ומאתגר זה. , והוא יכול לשמש ל- SSH. שימוש חדשני בגשרי Tor הוא אחד ההתפתחויות האחרונות. השיחה 28C3 Tor נמצאת גם ביוטיוב והשקופיות בכתובת https://svn.torproject.org/svn/projects/presentations/slides-28c3.pdf שים לב כי שימוש בשיטות התחמקות שניתן לזהות בקלות רבה מדי יכול לחשוף את המשתמש להפרות נוספות של זכויות האדם וביטחונו האישי. היזהר.

עדכון : סעיף 19 ל ההצהרה האוניברסלית על זכויות האדם רלוונטי כאן:

  • סעיף 19: לכל אחד יש את הזכות לחופש דעה וביטוי; זכות זו כוללת חופש להחזיק דעות ללא הפרעה ולחפש, לקבל ולהעביר מידע ורעיונות דרך כל אמצעי תקשורת וללא קשר לגבולות.
"" שים לב כי שימוש בשיטות התחמקות שניתן לזהות בקלות רבה מדי יכול לחשוף את המשתמש להפרות נוספות של זכויות האדם שלו "- לא שאני מסכים עם סוג הסינון שאיראן ואחרים עושים, אבל אני כמעט לא חושב שהשימוש של SSH צריך להיחשב כזכות אדם.
@MDMarra אני לא מאמין שניל מנסה לומר ש- SSH עצמה היא זכות אדם. זה מה שמנהרות SSH * מאפשרות * (חופש ביטוי וגישה למידע) לאלה במדינות כה מוגבלות, כלומר.
אני חושב שהבעיה כאן היא שה- OP רוצה לעשות משהו לא מזיק לחלוטין, אפילו מנקודת מבט של ממשלה מגבילה, אבל האמצעים לעשות זאת בצורה מאובטחת הם מחוץ לחוק או 'חשודים', ולכן השימוש בהם עלול להוביל לכל מיני בעיות עם רָשׁוּיוֹת.
@MDMarra - בעולם בו הגישה לרשת הופכת לחשובה יותר ויותר, [הזכות לגישה לאינטרנט] (http://en.wikipedia.org/wiki/Human_rights#Information_and_communication_technologies) מתלבטת יותר ויותר.
וינט סרף, אבי האינטרנט ואדריכל מטריקס נראה דומה [נראה לא מסכים] (http://news.dice.com/2012/01/05/cerf-internet-access)
@MDMarra תודה על הקישור. אני חושב שצרף צודק. למצב כאן, אציין את סעיף 19 של [ההצהרה האוניברסלית על זכויות האדם] (http://un.org/en/documents/udhr) וזה יותר מה שניסיתי להגיע אליו, ואיתו אני מצפה שכרף יסכים: "לכל אחד יש את הזכות לחופש דעה וביטוי; זכות זו כוללת חופש להחזיק דעות ללא הפרעה ולחפש, לקבל ולהעביר מידע ורעיונות בכל אמצעי תקשורת וללא קשר לגבולות."
@nealmcb די הוגן, הנקודה הגדולה שלי (שהיא גדולה מדי להערה, למעשה) היא שאני לא חושב שזה צריך להיות עלינו להחליט מה נכון ומה לא מתאים לאומה ריבונית זרה למשטרה במסגרתם. גבולות. למרות שאני לא מסכים בתוקף עם הסינון באיראן ובמדינות מדוכאות אחרות, אני לא חושב שזה המקום לספק דרכים לעקיפת הבעיה למדיניות שלטונית. בטח, זה כנראה שחור-לבן לרוב בנושא הספציפי הזה, אבל זה מדרון חלקלק. אם אתה פותח את הדלת לסיבוב חתרנות ממשלתי אחד, היכן קו מתווה למקרים אחרים
@MDMarra אכן - זה לא קל. בעיות רבות מוגבלות יתר על המידה, שכן מטרות ומדיניות מגוונות וסבירות מתנגשות. לדיון נוסף ראה http://meta.security.stackexchange.com/q/664/453
pfo
2012-01-03 05:01:51 UTC
view on stackexchange narkive permalink

אם יש לך https ללא סינון אתה יכול לעשות משהו כמו AjaxTerm או כל אמולטור מסוף אחר מבוסס AJAX או HTML5 הפועל באתר מוגן בתוך שרת אינטרנט שיכול להתחבר לדמון ssh מקומי או באופן מסוים מקרים למרחקים בממשקים אחרים של המחשב שלך.

אפשרות נוספת (קשה מעט לא ברורה) אם יש לך ICMP בתיבה שלך תהיה להפעיל TCP / IP על גבי ICMP אם זה פתוח. ראה כאן.

אין מנהרה עם AjaxTerm אני מניח?
strtok
2012-01-07 04:28:43 UTC
view on stackexchange narkive permalink

נסה לשלוח את לחיצת היד SSH מעל יותר מחבילה אחת. הרבה טכנולוגיית סינון מנות פועלת ברמת מנות ולא תגרום לחיץ לבדיקה.

אם זה לא עובד, נסה לעשות זאת אך שלח את שני החלקים או יותר של לחיצת היד מחוץ לסדר. רק אם תיבת ה- DPI מתבצעת מחדש, היא תתפוס את לחיצת היד.

איך אני עושה את זה בפועל? להוריד את ה- MTU?
@JanusTroelsen: שנה את לקוח ה- ssh והשרת שלך כדי לשלוח S, S, H בשיחות כתיבה נפרדות עם שינה 1 ביניהם.
ashwoods
2012-01-03 09:24:49 UTC
view on stackexchange narkive permalink

יש לך כמה אפשרויות למנהור IP על פני פרוטוקולים אחרים. מלבד שימוש במשהו כמו חולץ פקקים, תוכלו לנסות ליישם IP / DNS (כלומר עם יוד) או IP / ICMP.

במקרה אחר תוכלו גם השתמש במשהו כמו http://www.serfish.com/console/

Juicy Scripter
2012-01-03 17:07:44 UTC
view on stackexchange narkive permalink

ניתן גם לשקול מנהרות תעבורת SSH דרך DNS באמצעות כלים כמו OzymanDNS או יוד

MDMarra
2012-01-03 03:21:08 UTC
view on stackexchange narkive permalink

אתה יכול להשתמש במשהו כמו VNC, אך ללא מנהרה מאובטחת כמו VPN או SSH, זה לא מאובטח במיוחד. אם הם מסננים גם את זה, יהיה לך קשה.

בדקתי גם את זה, גם זה סונן: | ליהנות מהחופש שלך מאן כי לא נולדת בגיהינום: |
TimB
2012-01-03 09:47:07 UTC
view on stackexchange narkive permalink

אפשרות אחרת, אך כזו שתדרוש שתקבל תחילה גישה לשרת שלך בדרך אחרת כדי שתוכל להתקין את הדמון, היא telnet-ssl / telnetd-ssl.

שלא כמו חלק מהאחרות אפשרויות שהוצעו, זה לא ידרוש תקורה רבה לרשת, והוא פשוט מאוד לשימוש (ברגע שהדמון פועל).

אין זה סביר שנמל 992 פתוח לחלוטין אם יציאה 22 סגורה.
אבל 443 עשויים להיות פתוחים. ואני די בטוח שאי אפשר להבין את ההבדל בין https ל- telnet-ssl.
באופן עקרוני לא יהיה ניתן לזהות איזה סוג יישום פועל על גבי SSL / TLS. אך לחיצת היד מציעה שפע אפשרויות טביעת אצבע. אז אלא אם כן ננקטים טיפול מיוחד, כנראה שלעתים קרובות אפשר לפחות לדעת באיזו ספריית SSL לקוח משתמשים. הנוכחות של הרחבה הווירטואלית של מארח וירטואלי ורשימת הסוויטות הנתמכות של סייפר יהיו הדברים הראשונים שאבדוק כשמנסים להבדיל בין https ו- telnet-ssl. בדיקה פעילה, כמו סין, היא אפשרות אחרת, וקשה יחסית להגן עליה.
ttt
2012-01-03 19:49:37 UTC
view on stackexchange narkive permalink

אם אתה יודע שחיבור האינטרנט הנוכחי שלך מסונן, השתמש בשיטת חיבור לאינטרנט אחרת כמו ספק שירותי אינטרנט לוויני. ישנם מספר ספקי שירותי אינטרנט לוויניים שונים: list1, list2.

(השאלה המקורית של הכותב לא קבעה שום מגבלה על קבלת אלטרנטיבה חלופית) צורת קישוריות.)

זה נשמע מעולה להיעצר כמרגל מערבי.
user606723
2012-01-04 23:02:37 UTC
view on stackexchange narkive permalink

אתה אמור להיות מסוגל לשנות את יציאת ssh ל- 443 ואז להתחבר דרכה. אלא אם כן הם מבצעים התקפה של אדם באמצע הם לא יהיו מסוגלים לזהות את ההבדל בין ssh ל- https.

זה עבד על כל חומות האש שניסיתי את זה. (אומנם לא כל כך הרבה)

הייתי מעוניין לשמוע אם זה עובד. תודה.

השימוש ביציאה 443 עבור SSH פועל ברוב חומות האש. +1 לכך. אבל זה דורש כלי נוסף עבור הפקודה SSH connect. ראה כאן לפרטים: http://daniel.haxx.se/docs/sshproxy.html
@ceving, למה אנחנו מורידים את זה? אני לא.
כנראה ש- DPI פסיבי מספיק כדי לזהות את ההבדל בין SSL ו- SSH. ל- SSL / TLS לחיצת יד הנראית לעין.
@CodeInChaos: אולי זה נראה לעין, אבל אף אחד לא מסתכל.
ה- OP אמר כי זה לא רק מסונן על בסיס יציאה. ויש בהחלט מדינות שניסו לסנן TOR בהתבסס על DPI, ולכן לא מן הנמנע שאיראן מסננת SSH עם DPI.
Ali
2015-04-05 16:55:26 UTC
view on stackexchange narkive permalink

יש לי אותה בעיה. כיום נוצר חיבור SSH ראשוני אך לאחר העברת מנות כלשהי הוא ירד. אני מאמין שהם התחילו להוריד מנות SSH לאחר הגבלת הגבול. עברתי ל- MOSH https://mosh.mit.edu/. זה מאמת באמצעות SSH ואז עובר ל- UDP. זה מהיר יותר מ- SSH וקל להתקנה ושימוש.

כדי להשתמש בו, פשוט התקן אותו בשרת שלך, פתח את יציאת udp 60000: 61000 בחומת האש והתחבר לשרת עם לקוח mosh כמו שאתה עושה עם לקוח ssh (אין צורך להתחיל שום דבר). 

  sudo yum install moshsudo iptables -I INPUT 1 -p udp --dport 60000: 61000 -j ACCEPT

לקוח חלונות טוב הוא MobaXTerm http://mobaxterm.mobatek.net/download-home-edition.html



שאלה ותשובה זו תורגמה אוטומטית מהשפה האנגלית.התוכן המקורי זמין ב- stackexchange, ואנו מודים לו על רישיון cc by-sa 3.0 עליו הוא מופץ.
Loading...