SSL Http "proxy"

Modbreak:

Reageer eens normaal

[ Voor 77% gewijzigd door Pim. op 25-04-2009 09:53 ]

Kan je wel software installeren?

Misschien is die policy wel om een reden gemaakt?

Je zou met OpenVPN en Squid een heel eind moeten komen en dan je client door de bedrijfsproxy laten connecten op poort 443. Je moet hier echter wel Administratorrechten voor hebben op de client.

OMX2000 schreef op vrijdag 24 april 2009 @ 16:24:
Ik word dus helemaal gestoord van de policy van ons bedrijfs netwerk. Er zijn teveel sites afgeschermd. Nu wil ik thuis een Linux server gaan draaien, die als een proxy fungeert. En waar ik over via HTTPS (SSL) een verbinding mee maakt, en 1-op-1 mijn requests op het web doet, zodat ik wel overal heen kan browsen.

Heeft iemand dit al eens gedaan? En tips/advies hierover is ook welkom.

Als je naar buiten kunt SSH-en kun je een SOCKS proxy creeren, heb je niets meer te maken met de policy.
Zie ook: http://thinkhole.org/wp/2...irefox-and-im-with-putty/

Heb je toevallig de beschikking over een xs4all account? Die bieden je al ssh, dus dan hoef je thuis geen bak neer te zetten, die ook nog eens een gelimiteerde upload heeft.

http://www.ibypass.net, gebruik deze eens...

OMX2000 schreef op vrijdag 24 april 2009 @ 16:36:
[...]


Yes toevallig wel ja. Daar was ik niet eens van op de hoogte. FF xs4all checken.

Gebruik putty, connect naar xs3.xs4all.nl. Kan op port 22, maar ook op 443

En verder de link van Kanarie uitvoeren.

[ Voor 7% gewijzigd door Wolly op 24-04-2009 16:39 ]

thuis http://psiphon.ca/download.php installeren, is een https proxy, doet preceis wat jij wilt.

Vorige versie had problemen om in the loggen op https (live.hotmail) sites, weet niet of dat nog steeds zo is.

OMX2000 schreef op vrijdag 24 april 2009 @ 16:34:
Maar ik vraag me dan ook meteen weer af of ik dan niet over poort 80 kan SSH-en...

Waarschijnlijk niet, omdat poort 80 waarschijnlijk via een proxy gaat waardoor je er alleen maar http over kan praten. (nou kun je wel weer dingen over http gaan tunnelen, maar dat lijkt me in dit geval niet zo nuttig)

Maar ik kan met dezelfde laptop ook met mijn mobieltje internetten. Het is een beetje een schijn beveiliging.

Maar dan gebruik je niet de baas zijn internet-verbinding (neem ik aan). En dit soort beveiligingen (die overigens relatief effectief zijn tegen "gewone mensen") zijn natuurlijk ook om lekker internetteh tegen te gaan, maar ik weet niet waar jij het voor wil gebruiken.

OMX2000 schreef op vrijdag 24 april 2009 @ 19:49:
[...]


Eigenlijk alleen om af en toe eens een gaming site te benaderen. Maar ik kan niet tegen het idee dat iemand bepaalde site blokkeert. Alsof dat een probleem verhelpt. Als je mensen veel tijd hebben om te browsen is er zoieso iets mis in je organisatie.

Het checken wat mensen doen is vaak nog geneens de reden om dit te doen. Bij ons in het bedrijf gebruiken we het alleen om virussen te scannen. Beveiliging is een belangrijk iets, en ik kan me goed voorstellen dat je minimaal op je flikker krijgt als ze er achter komen.

Laat ik het zo stellen: zou je dit bij ons op de werkvloer doen, lauter om gamesites te bezoeken, dan kan je inpakken.

OMX2000 schreef op vrijdag 24 april 2009 @ 21:06:

Virus scannen... Er draait netjes een virusscanner (gemanaged door het systeembeheer) op mijn machine, en mijn machine is netjes ge-patched met de laatste hotfixes. Het is gewoon schijn veiligheid. Het beleid is niet dat er dubieuze sites worden tegengehouden (www.bartsmit.nl anyone...), maar dat er een arbitrair aantal sites geblokkeerd worden. Alsof ik ge-babysit moet worden. Ik ga dus geen illegale software downloaden, of porno bekijken. Nee af en toe bezoek ik een game site, just for fun.

Kennelijk vindt je werkgever iets anders. Het is niet alsof jij recht hebt om op je werk dingen te gaan doen die je in je vrije tijd met je eigen apparatuur mag doen.

En dat ik mijn spullen kan inpakken... tja stoere taal. Natuurlijk kunnen ze mij op staande voet ontslaan als ze dat willen, maar dan moet er in eerste instantie een valide aanleiding voor zijn (aantoonbaar verminderde productiviteit bijv.) en die is er niet. Die standaard systeembeheer lulkoek gaat er bij mij niet in.

Het moedwillig overtreden van het beleid is reden genoeg om je te ontslaan.

Zou er in mijn, fictieve, eigen bedrijf een systeembeheerder voorstellen om bepaalde sites af te sluiten dan zou ik hem benadrukken dat we geen politieagent gaan spelen. Mensen presteren of presteren niet. Als iemand 7 uur per dag kan browsen en zijn taken goed afrond, great. Dan stellen we het komende jaar hogere eisen, waardoor die persoon wel alles uit zijn dag haalt. Gooit iemand er met de pet naar, en bezoekt alleen maar allerlei internet sites, dan moeten we maar eens een goed gesprek hebben.

Dan moet je lekker je eigen zaak beginnen, dan kun je zelf de regels opstellen. Volgens mij heb je een beetje moeite met autoriteit.

Mensen,

Het gaat hier om het opzetten van een SSL proxy, niet om de productiviteit van de topicstarter.

Tweakers is groot geworden met nerds die niets anders deden dan dit soort achterdeurtjes te zoeken en te delen. De topicstarter heeft geen vraag gesteld of wij het leuk vinden wat hij wil doen, noch heeft hij het interne gebruiksreglement Internet gepost. Mensen die het er niet mee eens zijn moeten een ander forum zoeken, Lieve Adjes bijvoorbeeld.

Het mooie is dat wannabe systeembeheerders van dit soort topics ook nog een hoop kunnen leren om de boel nog beter dicht te timmeren

De topicstarter is zelf zo dom om aan te geven dat het om een situatie gaat waarbij het duidelijk niet de bedoeling is dat er tijdens werktijd op allerlei websites wordt rondgehangen. Hij begint zélf over het beleid van het bedrijf waar hij werkt en dús is het ontopic.

De beste manier om te voorkomen dat mensen dingen te gaan doen die ze niet mogen, is om er een passende straf op te zetten of om te voorkomen dat ze het kúnnen. Of moet elke werknemer ook maar domain administrator worden?

Systeembeheerders hoeven de boel helemaal niet nóg meer dicht te timmeren. Als een duidelijk aangegeven grens wordt overschreden, is de volgende oplossing héél eenvoudig: ofwel een officiële reprimande, ofwel ontslag op staande voet. Tweakers vergeten blijkbaar weleens dat niet alle oplossingen van technische aard hoeven zijn.

Het lijkt me duidelijk dat ik niet alleen de topicstarter niet wil helpen, maar ik wil óók dat dit forum niet wordt misbruikt door mensen zoals de topicstarter.

Wolly schreef op vrijdag 24 april 2009 @ 21:22:
Het mooie is dat wannabe systeembeheerders van dit soort topics ook nog een hoop kunnen leren om de boel nog beter dicht te timmeren

Helaas, het opzetten van een ssh sessie over poort 443 is (bijna) niet dicht te zetten. Voor een proxy is er geen verschil tussen een ssh connectie of een ssl connectie, omdat alle verkeer geencrypt is. De enige optie die ik wel eens gezien heb is om de proxy als man-in-the-middle te laten fungeren. Dat heeft als nadeel dat je dus altijd het certificaat van de proxy voor je kiezen krijgt en niet dat van de uiteindelijke host.
Putty heeft hele mooie tunnel opties, ondersteunt het gebruik van proxies en vereist ook geen installatie (dus werkt zelfs op bijna ieder volledig dichtgetimmerd werkstation).

Ik heb nog maar 1 manier gezien om het redelijk dicht te zetten: Bied een citrix sessie aan waarin enkel een browser kan draaien die aan hrt eind van de sessie gereset wordt.

Je kunt wel basaal internetten, maar niks veranderen ofzo.

Echter thuis een ssl proxy draaien ( zie mijn eeerdere link) kan zelfs hier omheen.

Dit alles is zinloos als er geen beheerder is die door de logs worsteld en mensen aanspreek op verkeerd gedrag, iets wat ontbreekt in de meeste organisaties (heeft ook met privacy te maken he?) .

De filter producten waar topicstarter op doelt die in dit soort bedrijven draait zijn erg fout en beloven meer dan ze doen.
-Iedereen kan ze omzeilen. (wij hadden zoiets draaien en ik heb 5 manieren gezien om er omheen te komen)
-Het is schijnveiligheid, je kunt nog steeds de grootst mogelijke rotzoi in je netwerkk krijgen door veel kanalen en informatie lekt toch.
-ze blokkeren te veel (toevallig wordt op hardware sites ook games besproken.. dus... En dan heb ik ik het nog niet over het feit dat ze monsterboard zelfs tijdelijk blokkeerden, wil je nou van je werknemers af of toch niet? En management blogde op sites die geblokkeerd waren (dat je nou hyves niet wil snap ik. maar blog sites wel, deblokkeren kan, maar gaat moeilijk)
-Ze blokkeren te weinig. ( porno sites verschijnen sneller dan ze geblokkeerd kunnen worden)

Ik vind sites blokkeren ook erg belachelijk. 9 van de 10 keer zijn het windows beheerders of msn geile managers die zich met dit soort onzin bezighouden. Het zal wel komen omdat ik linux beheerder en daardoor een wat andere kijk heb op toeganglijkheid van informatie en censuur en dergelijke. Maar goed.

riddles schreef op vrijdag 24 april 2009 @ 22:04:
[...]

Helaas, het opzetten van een ssh sessie over poort 443 is (bijna) niet dicht te zetten. Voor een proxy is er geen verschil tussen een ssh connectie of een ssl connectie, omdat alle verkeer geencrypt is. De enige optie die ik wel eens gezien heb is om de proxy als man-in-the-middle te laten fungeren. Dat heeft als nadeel dat je dus altijd het certificaat van de proxy voor je kiezen krijgt en niet dat van de uiteindelijke host.
Putty heeft hele mooie tunnel opties, ondersteunt het gebruik van proxies en vereist ook geen installatie (dus werkt zelfs op bijna ieder volledig dichtgetimmerd werkstation).

Zekers te weten dat je dat kan blokken. Ik draai ook SSH over 443 (omdat ik veel bruteforce attacks kreeg op poort 22). Ik kom absoluut niet binnen gepeuterd. En 443 staat gewoon open. De webserver die op die linux doos draait is gewoon benaderbaar op 80, dus aan het ip ligt het niet.
Hoe dat werkt weet ik niet, maar ook als ik de proxy uitzet (ik mag iets meer als de rest) dan lukt het niet.

Kwestie van een goeie firewall denk ik.

Over schijnbaar willekeurig blocken; Wij logden (bij mijn vorige werkgever) gewoon waar veel (te veel) naartoe gesurft werd. Dat werd overlegd met het management. Een korte mail naar alle medewerkers bleek weinig verbetering te brengen. Toen zijn we de sites die veel traffic deden gaan blocken. ALT-TAB werd toen een stuk minder vaak gebruikt.
Het fijne was, dat we toen ineens geen upgrade meer hoefden te doen van de internet lijn. Je wil niet weten wat een (middel)groot bedrijf aan traffic genereert, met name net na de lunch... En verdiep je ook eens in de prijs van een degelijke zakelijke internet lijn. Dan snap je wellicht het idee van het afblocken van content.

Zeker WebSense of zo als filter? Die vind ik persoonlijk best goed

[ Voor 22% gewijzigd door Mistraller op 25-04-2009 01:55 ]

SSH over https is op zich wel te detecteren, aangezien een dergelijke sessie altijd begint met plaintext 'SSH-2.0' (of een andere versie) gestuurd door de server. Maar de meeste proxies doen dat niet. En dan is daar nog steeds wel doorheen te prikken door iets anders te gebruiken dan ssh wat gewoon een echte TLS of SSL negotiation doet. Dat is precies wat https doet dus zie het verschil maar eens te ontdekken...

Ik heb een tijdje meegelezen en hoewel er een levendige discussie is gaat het toch recht tegen de forumrichtlijnen in (Het algemeen beleid #verbodenhacken)

Verder zou ik mensen willen vragen in de toekomst een TR te zetten ipv one-liners