Nothing2Hide

Logg deg inn på hjemmesiden din datamaskin på kontoret

Anta at din bedrift på Internett skjer kun via en proxy HTTP (S), hjemme har du en PC med Internett-tilkobling via et ADSL modem router. Nå målet ditt er å få tilgang til fra en PC på kontoret uten å være utstyrt med tilgang til LAN VPN Selskapet synes en umulig mål, men vi prøver å se om "ssh tunnelering" vi kan komme til å hjelpe.

SSH-tunnelering
Dette er ikke en nyhet: SSH-protokollen er utformet for å administrere flere kanaler for kommunikasjon innenfor en enkelt tilkobling. Denne funksjonen, og kalles "port videresending €?. E 'kan slå port videresending i alle retninger, og uavhengig av retning (opprinnelse og destinasjon) av SSH-tilkobling. Dette betyr at for eksempel følgende ssh forbindelse mellom en klient og en server C S:

C: 16543 -> S: 22

kan vi sette følgende port videresending:
S: 2200 -> C: 22 ( "Remote fremover €? Channel fra ekstern maskin til lokale S C);
C: 25 -> S: 25 ( "Local fremover €? Channel fra den lokale maskinen til ekstern maskin C S).

Alle kanaler for kommunikasjon har tegnet til å være "skjult" 's viktigste forbindelse. Motsatt, men denne funksjonen kan inhibited ved å endre alternativer for konfigurasjon av SSH server. For maksimal kontroll på SSH server installeres på PC hjemme, mens klienten er lansert fra PC-en på kontoret, men å etablere denne forbindelse er ikke så enkelt på grunn av tilstedeværelsen av http proxy som kan filtrere alle tilkoblinger fra LAN virksomheten til Internett og som åpenbart ikke er mulig å putte hendene.

Krav
Vi skal analysere betingelser er nødvendig for suksess for vår bedrift:
1) En maskin innenfor corporate LAN (PC i vårt kontor). Anta videre at operativsystemet Linux.

PC på kontoret: W - 172.17.78.121

2) Proxy HTTP (S): Vi trenger å vite bare IP-adressen og porten (vi lett kan identifisere dem ved å analysere den nettleseren):

HTTP (S) proxy: P - http-proxy.xyz.com: 8080

3) En PC med internettforbindelse og port 443 er tilgjengelig fra utsiden. Hvis du bruker et ADSL modem ruter med brannmur må du kontrollere at port 443 er tilgjengelig fra utsiden.

PC hjemme: H - 67.167.12.78 (offentlig-adressen til ruteren)

Gå gjennom proxy HTTP (S)
Vi begynner ved å gi en rask titt på metoder for en proxy HTTP (S).
L 'HTTPS er en sikker og kryptert på HTTP: alle data som passerer fra klient til server er kryptert og dermed uleselig. Dette er ikke sant for kommunikasjon med proxy. Nettleseren på kontor PC, koble til et område i den første kontakten https proxy på standardporten (vanligvis 80 eller 8080) og sender en forespørsel som dette:

CONNECT webserver: 443 HTTP/1.1

Proxy etablerer en forbindelse med web-serveren og klienten returnerer en melding som dette:

HTTP/1.1 200 Connection Established

Når det er bare Formålet med proxy å videresende pakker mellom leseren og web site: Hvis tilkoblingen er HTTPS proxy kan aldri vite hvem som gjør dataene i transitt.

SSH
Vi trenger en klient ssh "smart €? stand til å identifisere som en vanlig nettleser med en proxy HTTP (S) med "Connect". En av disse er kitt, som er bare tilgjengelig for Windows (l 'bildet ved siden viser konfigurasjonen skjermen for "gjennom en proxy).

OpenSSH, som er tilgjengelig og er veldig populært på Linux, men støtter ikke proxy HTTP (S) og hvis vi bruker det vi trenger ekstra programvare som kan hjelpe oss til å omgå denne begrensningen. E 'kan bruke proxytunnel opprette / redigere filen $ HOME /. Ssh / config og ta med følgende innhold:
Host-PC hjemme
ProtocolKeepAlives 30
ProxyCommand / bane / til / proxytunnel-g-proxy.xyz.com http \
G-8080-u passord-s-d pc.casa.com D-443

Hvor:
- PC-huset er et symbolsk navn som representerer verten som vi vil koble (hjemme PC)
- HTTP-proxy proxy.xyz.com er HTTP (S) virksomhet
- 8080 er porten der publikum er i proxy
- Brukeren har brukeren tilgang til proxy (hvis proxy ikke krever godkjenning kan overses)
- Passord er passord for tilgang til proxy (hvis proxy ikke krever godkjenning kan overses)
- Pc.casa.com er vertsnavnet eller IP-adressen til din PC hjemme
- 443 er døren til hjemmet router viderekoblet mot ssh server
- ProtocolKeepAlives 30 serverer å sende pakker NULL jevne mellomrom for å beholde forbindelsen fordi HTTPS vanligvis forkortet forbindelser etter en viss periode uten aktivitet.

Så når ruteren er konfigurert til å motta innkommende pakker på port 443 og frem til hjemme-PC (l 'image på siden viser konfigurasjonen skjermen for et modem router Netgear DG834G) sshd start konfigurere serveren slik at er du lytter på port 443:

[du @ home ~] sshd-D-443 & P

Til slutt vil vi aktivere kanalen ssh fra H til H: fra PC-en på kontoret skriv inn kommandoen:

[du @ kontoret ~] ssh-n-i-hus identity_file PC &

That's it: På dette tidspunktet har vi opprettet en forbindelse i bakgrunnen og varig mellom W og H, men uten å aktivere kanalene for videresending serverer litt.

Port videresending
Vårt første mål var å få tilgang til PC på kontoret hjemmefra.
Forutsatt at PC på kontoret har en telnet-serveren kjører, og at vi ønsket å koble til det hjemmefra, vil vi ha til å bruke port videresending: Du kan bestemme deg for å videresende havn i 2200 som H til døren av 23 W, slik at det kobles til porten 2200 H automatisk koblet til port 23 W der vi vil svare på telnet server. Konfigurasjonen av port videresending må gjøres på den virkelige sammenhengen mellom de to W og H.
Deretter vil vi ha for å endre kommandoen for å koble seg som følger:

[du @ kontoret ~] ssh-n-R 2200: localhost: 23-i-hus identity_file PC &

Hvor-R 2200: localhost: 23 betyr "videresende trafikk på port 2200 på den eksterne maskinen (hjemme) til port 23 på den lokale maskinen (PC på kontoret)." På dette punktet oppgir hjem fra kommando:

[du @ home ~] telnet localhost 2200

Vi vil svare så mye som den aktive telnet server på PCen på kontoret!

Visste du liker denne artikkelen? Abonner nå for å motta oppdateringer eller nyhetsartikler: