Toon posts:

HTTP-Proxy: kan deze beveiligde verbindingen blokeren? (SSH)

Pagina: 1
Acties:
  • 336 views

woensdag 27 augustus 2008 21:47

Acties:
  • tim427
  • Registratie: September 2006
  • Laatst online: 05-03 23:26

tim427

Turbulence!

Topicstarter
Zoals de titel al zegt:

Kan een HTTP-Proxy beveiligde verbindingen blokeren? Bijv. SSH en SFTP enz.

Google geeft mij niet een concreet antwoord... Weet iemand of dit uberhaupt mogelijk is??

Tim.

woensdag 27 augustus 2008 22:22

Acties:
  • leuk_he
  • Registratie: Augustus 2000
  • Laatst online: 04-03 01:03

leuk_he

1. Controleer de kabel!

Ja, maar dan enkel ALLE beveilgde verbindingen, of verbindingen naar een bepaald adres.

Een proxy kan filteren

https://gmail.google.com
maar niet
https://google.com/webmail (of heel google moet geblockt worden).

de proxy ziet de url niet, enkel het ip adres waar het heen moet.

Ook bepaalde protocollen sftp hebben een default poort (115). Die kun je dicht zetten, maar niks belet sfpt over poort 443 of 12345 te gaan werken.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

woensdag 27 augustus 2008 22:28

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

Dat hangt van het type proxy af natuurlijk... wat voor proxy praten we over?

Vicariously I live while the whole world dies

donderdag 28 augustus 2008 00:00

Acties:
  • _JGC_
  • Registratie: Juli 2000
  • Nu online

_JGC_

Als je beveiligde URLs wilt blokkeren zorg je dat clients niet de CONNECT optie mogen gebruiken. De meeste standaardproxyservers staan dit toe over poort 443 zodat SSL sites ook blijven werken met een proxyserver.

donderdag 28 augustus 2008 00:14

Acties:
  • tim427
  • Registratie: September 2006
  • Laatst online: 05-03 23:26

tim427

Turbulence!

Topicstarter
leuk_he schreef op woensdag 27 augustus 2008 @ 22:22:
Ja, maar dan enkel ALLE beveilgde verbindingen, of verbindingen naar een bepaald adres.

Een proxy kan filteren

https://gmail.google.com
maar niet
https://google.com/webmail (of heel google moet geblockt worden).

de proxy ziet de url niet, enkel het ip adres waar het heen moet.

Ook bepaalde protocollen sftp hebben een default poort (115). Die kun je dicht zetten, maar niks belet sfpt over poort 443 of 12345 te gaan werken.
Supder duidelijk! Helemaal top!!! Kudo's voor jou :+
Vicarious schreef op woensdag 27 augustus 2008 @ 22:28:
Dat hangt van het type proxy af natuurlijk... wat voor proxy praten we over?
HTTP-Proxy....
_JGC_ schreef op donderdag 28 augustus 2008 @ 00:00:
Als je beveiligde URLs wilt blokkeren zorg je dat clients niet de CONNECT optie mogen gebruiken. De meeste standaardproxyservers staan dit toe over poort 443 zodat SSL sites ook blijven werken met een proxyserver.
Oke, duidelijk... ik heb al bemerkt dat poort 9999 open staat ;)

Ik ben niet degene die het moet beveiligen hoor :+

offtopic:
Ik ben juist de gene die bepaalde protocolen die geblocked worden wil gaan tunnel over SSH :*)

donderdag 28 augustus 2008 00:17

Acties:
  • Gomez12
  • Registratie: Maart 2001
  • Laatst online: 17-10-2023

Gomez12

Een proxy pur sang kan idd wat leuk_he zegt, of alle https van een domein blokkeren of geen.
Een internet filter kan verder gaan als er clients geinstalleerd worden.

Maar in bijna alle gevallen die ik ken volstaat een simpele proxy die alle https blokkeert behalve ...
Het aantal werkgerelateerde sites wat https gebruikt wat ik ken past makkelijk in een whitelist in tegenstelling tot http.

SFTP zou ik sowieso helemaal afsluiten, dat is echt een typische whitelist mogelijkheid omdat dat helemaal zeldzaam is als dat officieel zinnig te gebruiken is.
Alle https sites afsluiten en een simpele whitelist hanteren zie ik ook geen probleem in, afaik biedt google via https geen werkgerelateerde / studiegerelateerde diensten aan die onmisbaar zijn.
Gmail is leuk, maar als je werk / studie een eigen mailadres heeft is imho geen reden om dit vrij te geven.

@Tim427 : Doe je wel een beetje voorzichtig, als ik admin op jouw school was en ik zag dit soort dingen dan gooide ik je gelijk in een extreem gefilterde groep. Google had je dan imho ook niet nodig, want je kon toch op bijna geen enkele antwoord site komen.
Lees eens heel goed het regelement door wat bij jou op school geldt en bedenk eens wat het absolute minimum is wat er voor jou open zou moeten staan volgens dat regelement.
Ik als admin zou dat ook doen in zo'n geval, en studiegerelateerd internetverkeer zou bij mij neerkomen op intranet en de school web-page. Verder niets. En ik verzeker je dat ik een directie achter me krijg als het om iemand gaat die wil gaan rdp'en etc voor thuiszaken over openstaande poorten...

En lees aub ook even deze sluitmessage : RDP zonder de standaard omgeving.

[ Voor 32% gewijzigd door Gomez12 op 28-08-2008 00:26 ]

donderdag 28 augustus 2008 08:09

Acties:
  • tim427
  • Registratie: September 2006
  • Laatst online: 05-03 23:26

tim427

Turbulence!

Topicstarter
Gomez12 schreef op donderdag 28 augustus 2008 @ 00:17:
Een proxy pur sang kan idd wat leuk_he zegt, of alle https van een domein blokkeren of geen.
Een internet filter kan verder gaan als er clients geinstalleerd worden.

Maar in bijna alle gevallen die ik ken volstaat een simpele proxy die alle https blokkeert behalve ...
Het aantal werkgerelateerde sites wat https gebruikt wat ik ken past makkelijk in een whitelist in tegenstelling tot http.

SFTP zou ik sowieso helemaal afsluiten, dat is echt een typische whitelist mogelijkheid omdat dat helemaal zeldzaam is als dat officieel zinnig te gebruiken is.
Alle https sites afsluiten en een simpele whitelist hanteren zie ik ook geen probleem in, afaik biedt google via https geen werkgerelateerde / studiegerelateerde diensten aan die onmisbaar zijn.
Gmail is leuk, maar als je werk / studie een eigen mailadres heeft is imho geen reden om dit vrij te geven.

@Tim427 : Doe je wel een beetje voorzichtig, als ik admin op jouw school was en ik zag dit soort dingen dan gooide ik je gelijk in een extreem gefilterde groep. Google had je dan imho ook niet nodig, want je kon toch op bijna geen enkele antwoord site komen.
Lees eens heel goed het regelement door wat bij jou op school geldt en bedenk eens wat het absolute minimum is wat er voor jou open zou moeten staan volgens dat regelement.
Ik als admin zou dat ook doen in zo'n geval, en studiegerelateerd internetverkeer zou bij mij neerkomen op intranet en de school web-page. Verder niets. En ik verzeker je dat ik een directie achter me krijg als het om iemand gaat die wil gaan rdp'en etc voor thuiszaken over openstaande poorten...

En lees aub ook even deze sluitmessage : RDP zonder de standaard omgeving.
Hé, ik heb van die laatste topic geleerd...

Ik vraag nu ook niet hoe? Maar of het mogelijk is ;) Ik wil niet weer een gesloten topic... Dit is puur informatief... De eventuele grenzen (mocht ik toch door willen gaan met RDP throug Proxy) ken ik. Ik maak immers gebruik van de faciliteiten (de standaard aanwezige programma's)....

Maar ik had gehoopt dat ik niet weer een bericht zou krijgen van: Hé, dat mag niet jôh... Ga huiswerk maken ofzo....

Nee dat is mijn bedoeling niet, en dat huiswerk zal ik zeker doen op school...

Deze vraag is puur informatief... Want zelf wil ik binne kort ook gaan stoeien met een proxy-server (ISA of een Linux proxy)....

donderdag 28 augustus 2008 10:37

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

Een ISA proxy kan wel degelijk ook specifiek op URL's blokkeren hoor.... Vandaar mijn vraag.

Vicariously I live while the whole world dies

donderdag 28 augustus 2008 10:51

Acties:
  • tim427
  • Registratie: September 2006
  • Laatst online: 05-03 23:26

tim427

Turbulence!

Topicstarter
Vicarious schreef op donderdag 28 augustus 2008 @ 10:37:
Een ISA proxy kan wel degelijk ook specifiek op URL's blokkeren hoor.... Vandaar mijn vraag.
Ok is duidelijk ;) Maar het gaat hier om een normale HTTP-Proxy van Novell meen ik...

Zelf wil ik ook nog gaan kloten thuis met een ISA proxy ;)

donderdag 28 augustus 2008 12:26

Acties:
  • core_dump
  • Registratie: November 2005
  • Laatst online: 26-08-2024

core_dump

Als je het over een BorderManager hebt, zou je per ongeluk eens kunnen googlen op een programmaatje als bouncer...

Deze doet op de eerste hop naar buiten een vertaalslag van bijvoorbeeld 3389 naar poort 80


Edit: domme taalfout

[ Voor 6% gewijzigd door core_dump op 28-08-2008 12:26 ]

donderdag 28 augustus 2008 15:21

Acties:
  • tim427
  • Registratie: September 2006
  • Laatst online: 05-03 23:26

tim427

Turbulence!

Topicstarter
core_dump schreef op donderdag 28 augustus 2008 @ 12:26:
Als je het over een BorderManager hebt, zou je per ongeluk eens kunnen googlen op een programmaatje als bouncer...

Deze doet op de eerste hop naar buiten een vertaalslag van bijvoorbeeld 3389 naar poort 80


Edit: domme taalfout
Voor de mensen die willen weten hoe het is gelukt:

openSSH > poort wijzigen van 22 naar 9999...
Router > poort 9999 forwarden naar IP van de SSH server
Putty (opschool) > SSH tunneltje maken : L3389 naar <domein>:3389 ;)

Werkt perfect... Ik heb dit al geautomatiseerd...

Dus een dubbele klik, dan worden de register instellingen geladen voor putty, putty gestart met username al ingevoerd, alleen password invullen... na 5 sec. opent mstsc.exe een verbinding naar 127.0.0.2 .... Dan password in voeren....

Als ik RDP sluit wordt ook putty + script gesloten + registery weer verwijderd ;)

donderdag 28 augustus 2008 15:22

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 09-03 14:42

Equator

Crew Council

#whisky #barista

Een proxy-server (een zichzzelf respecterende wel te verstaan) kan filteren op tcp/udp/... poort maar ook op content. (Daadwerkelijk in de packets kijken welke website er opgevraagd wordt.)
Kan een HTTP-Proxy beveiligde verbindingen blokeren? Bijv. SSH en SFTP enz.
Ja dus, in weze wel.

Zij het niet dat dergelijke protocollen meestal niet via de proxy lopen, maar direct via de gateway lopen. (En vaak is dit dus het zelfde apparaat)
Een proxy kan wel filteren op dergelijke secure protocollen, maar niet naar de contant kijken. Hence: Secure ;)

Maar verder vindt ik dit wel een beetje simpele vraag. Of dit nu bedoeld is om toch op school wat te doen, of niet.. de discussie staat me al niet meer aan. (op enkele goede posts na dan..)

Niet vanwege de discussie, maar puur vanwege het feit dat je dit best zelf op had kunnen zoeken -> slot.
Pagina: 1

Dit topic is gesloten.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq