Toon posts:

Geblokkeerde outbound poorten @ InHolland

Pagina: 1
Acties:
  • 740 views

  • fonsoy
  • Registratie: juli 2009
  • Laatst online: 23:43
Tweakers,

Ik ben op het moment aan het onderzoeken op welke manieren ik de firewall van InHolland kan omzeilen.

Ik studeer een sterk IT-gerelateerde studie bij deze instelling in Noord-Holland. Voor mijn studie moeten wij regelmatig websites bouwen en online zetten. Dit bouwen gaat prima :) maar er is een klein probleempje;

Alle protocollen, op HTTP en HTTPS na, zijn volgens mij geblokkeerd. Dit lijkt om een protocol-gerelateerde blokkade te gaan. HTTP op poort 8080 en 8000 werkt prima. FTP werkt niet, op poort 21 niet, op poort 80 niet, en op poort 9000 niet.

Ik wil voor mijn studie graag documenten op een webserver plaatsen, maar met een FTP-blokkade gaat dat heel lastig. Ik wil benadrukken dat ik het omzeilen van deze blokkade niet voor illegale doeleinden ga gebruiken :)

Enige observaties;
- Er is NAT ingesteld. Om zelf dus het een en ander te kunnen draaien, moet er dus een poort geforward worden.
- We zitten achter een firewall van McAfee. Deze heette voorheen "WebWasher". Deze firewall is zeer ingenieus gebouwd. Deze firewall kan zelfs je SSL sleutels cachen, die hij vervolgens gebruikt om het versleutelde verkeer wat je erna uitvoert, te ontsleutelen, te scannen, en weer te versleutelen om door te sturen. Heel slim ontwikkeld dus, maar geen goed nieuws voor mij.

Wat heb ik geprobeerd;
- Ik heb FTP over een andere poort geprobeerd te draaien, dit werd geblokkeerd. Ik heb het over poort 80 gepoogd te draaien. Dankzij de protocol sniffers (volgens mij) wordt dit allemaal geblokkeerd).

Wat kan ik nog proberen;
- SFTP draaien. Probleem hierbij is volgens mij dat de firewall de data decrypt, het protocol detecteert en vervolgens de data niet door laat.
- FTPS draaien. Volgens mij stuit ik dan op dezelfde problemen.

Is er toevallig een medestudent die hierover met mij kan meepraten? :P

De FTP server staat overigens onder mijn beheer, dingen instellen is dus niet het probleem. Ik wil wel eerst wel weten waar ik aan begin, voordat ik vanalles installeer. Ik kan eventueel ook een webbased FTP geval proberen, maar dit vind ik een armoedeoplossing.

Lenovo W520 - i7 2720QM - 8GB DDR3 1333Mhz - 1080p - Nvidia 1000M - 9 cell accu


  • ajakkes
  • Registratie: maart 2004
  • Laatst online: 05-09 11:21
Je kan natuurlijk dit "probleem" ook gewoon voorleggen aan docenten en/of de IT afdeling zodat zij hierover kunnen oordelen.

Blijkbaar is er een meningsverschil tussen jou en degene die het netwerk beheerd over wat wel en niet moet kunnen. Hierover in discussie gaan is een betere optie dan vragen naar mogelijkheden om het te omzeilen.

👑


  • fonsoy
  • Registratie: juli 2009
  • Laatst online: 23:43
ajakkes schreef op maandag 27 september 2010 @ 17:15:
Je kan natuurlijk dit "probleem" ook gewoon voorleggen aan docenten en/of de IT afdeling zodat zij hierover kunnen oordelen.

Blijkbaar is er een meningsverschil tussen jou en degene die het netwerk beheerd over wat wel en niet moet kunnen. Hierover in discussie gaan is een betere optie dan vragen naar mogelijkheden om het te omzeilen.
Ik heb hier ettelijke e-mails over gestuurd. Ik werd in alle gevallen afgescheept met een onnozele e-mail, ik word of niet begrepen, of mijn vraag wordt niet beantwoord. De IT wordt gecentraliseerd geregeld, en InHolland is een behoorlijk bureaucratische organisatie :(.

Ik heb er een beetje tabak van, en volgens mij is de blokkade wel te omzeilen. Linksom of rechtsom.
Volgens mij is de blokkade in het leven geroepen om netwerkload te verlagen. FTP werd misbruikt om films en andere ongein op te halen.

Lenovo W520 - i7 2720QM - 8GB DDR3 1333Mhz - 1080p - Nvidia 1000M - 9 cell accu


  • Rmg
  • Registratie: november 2003
  • Laatst online: 22:31
fonsoy schreef op maandag 27 september 2010 @ 17:11:
Tweakers,

Ik ben op het moment aan het onderzoeken op welke manieren ik de firewall van InHolland kan omzeilen.

Ik studeer een sterk IT-gerelateerde studie bij deze instelling in Noord-Holland. Voor mijn studie moeten wij regelmatig websites bouwen en online zetten. Dit bouwen gaat prima :) maar er is een klein probleempje;

Alle protocollen, op HTTP en HTTPS na, zijn volgens mij geblokkeerd. Dit lijkt om een protocol-gerelateerde blokkade te gaan. HTTP op poort 8080 en 8000 werkt prima. FTP werkt niet, op poort 21 niet, op poort 80 niet, en op poort 9000 niet.

Ik wil voor mijn studie graag documenten op een webserver plaatsen, maar met een FTP-blokkade gaat dat heel lastig. Ik wil benadrukken dat ik het omzeilen van deze blokkade niet voor illegale doeleinden ga gebruiken :)

Enige observaties;
- Er is NAT ingesteld. Om zelf dus het een en ander te kunnen draaien, moet er dus een poort geforward worden.
- We zitten achter een firewall van McAfee. Deze heette voorheen "WebWasher". Deze firewall is zeer ingenieus gebouwd. Deze firewall kan zelfs je SSL sleutels cachen, die hij vervolgens gebruikt om het versleutelde verkeer wat je erna uitvoert, te ontsleutelen, te scannen, en weer te versleutelen om door te sturen. Heel slim ontwikkeld dus, maar geen goed nieuws voor mij.

Wat heb ik geprobeerd;
- Ik heb FTP over een andere poort geprobeerd te draaien, dit werd geblokkeerd. Ik heb het over poort 80 gepoogd te draaien. Dankzij de protocol sniffers (volgens mij) wordt dit allemaal geblokkeerd).

Wat kan ik nog proberen;
- SFTP draaien. Probleem hierbij is volgens mij dat de firewall de data decrypt, het protocol detecteert en vervolgens de data niet door laat.
- FTPS draaien. Volgens mij stuit ik dan op dezelfde problemen.

Is er toevallig een medestudent die hierover met mij kan meepraten? :P

De FTP server staat overigens onder mijn beheer, dingen instellen is dus niet het probleem. Ik wil wel eerst wel weten waar ik aan begin, voordat ik vanalles installeer. Ik kan eventueel ook een webbased FTP geval proberen, maar dit vind ik een armoedeoplossing.
Ik denk niet dat ze een firewall hebben met deep packet inspection.

Waarschijnlijk blokkeren ze gewoon alle uitgaande poorten naar buiten het netwerk en surf je over een proxy.

Kan je niet gewoon je webupload zooi gebruiken van je hosting? als je het zelf draait eventueel via een php upload scriptje. hoef je niet bezig met de firewall omzeilen.

[Voor 3% gewijzigd door Rmg op 27-09-2010 17:23]


  • fonsoy
  • Registratie: juli 2009
  • Laatst online: 23:43
Rmg schreef op maandag 27 september 2010 @ 17:20:
[...]


Ik denk niet dat ze een firewall hebben met deep packet inspection.

Waarschijnlijk blokkeren ze gewoon alle uitgaande poorten naar buiten het netwerk en surf je over een proxy
Het klinkt inderdaad behoorlijk overdreven, ik krijg een melding van een McAfee product als ik een "illegale" handeling verricht. Ik krijg te horen dat de poort geblokkeerd is.
Volgens mij (ik weet het niet zeker, ik ga het morgen checken) is dit niet het geval.

EDIT: Een php up of downloadscript kan, maar ik vind het geen nette oplossing. Dan kom ik al gauw aan de webbased FTP managers, omdat ik ook bestanden wil kunnen verwijderen.

[Voor 12% gewijzigd door fonsoy op 27-09-2010 18:08]

Lenovo W520 - i7 2720QM - 8GB DDR3 1333Mhz - 1080p - Nvidia 1000M - 9 cell accu


  • Friedchicken
  • Registratie: maart 2000
  • Laatst online: 20-06-2015
Al eens gedacht om verbinding te maken met je PC/Laptop thuis via Terminal Services of andere remote software?

  • The Eagle
  • Registratie: januari 2002
  • Laatst online: 20:29

The Eagle

I wear my sunglasses at night

Het antwoord staat gewoon hier hoor: NT Beleid

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)


  • leuk_he
  • Registratie: augustus 2000
  • Laatst online: 21-09 12:08

leuk_he

1. Controleer de kabel!

Installeer thuis een ssh server b.v copsshd, laat deze luisteren op poort 443 en kijk of je er me putty heen kunt. Zoja, dan kun je al het verkeer daar over heen tunnelen. (maar dan heb je protocol sniffers weer... :( ) (arme luis versie van vpn, maar het eerste deel van de handshake is duidelijk detecteerd door packet inspectors)

Dat NAT verhaal kan ik niet volgen. Als je ftp in passive mode draait hoef je geen poort in de nat op te zetten.

SFTP in de de verbindingssetup ook te detecteren.

vnc / teamviewer heeft ook een mode waarin je met java een desktop overneemt. Als die desktop buiten de firewall zet dan is je probleem opgelost.

Maar eigenlijk moet je gewoon een manier krijgen van de IT afdeling. Met de juiste docent/directielid moet die noot te kraken zijn. Creatief doorvragen is de truuk. Wellicht moet je ook niet vragen of ze iets open zetten, maar vragen hoe je in een apart netwerk gehangen kunt worden waar wel uitzonderingen gemaakt kunnen worden. (SOORT dmz, guest network, network lab etc etc)


Eigenlijk is dit een heel goede les hoe bedrijven werken. Echter in het vorige bedrijf waar men ALLES begon dicht te zetten wist vrijwel iedereen wel een workarround. En zelden was de workarround 2x hetzelfde. >:) ;)

[Voor 3% gewijzigd door leuk_he op 27-09-2010 18:08]

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.


Anoniem: 26306

Met een fatsoenlijk encryptieprotocol is het echt niet mogelijk om te zien wat er over en weer verstuurd wordt. Een MITM achtige situatie is alleen mogelijk bij protocollen met ingebouwde zwakte.

  • CyBeR
  • Registratie: september 2001
  • Niet online

CyBeR

💩

INHOLLAND heeft geen NAT maar draait met proxies. Toen ik er nog was kon ik altijd prima CONNECTen over 443 naar m'n ssh server.

Overigens, als je in Haarlem zit; daar zit een opleiding Informatica die als 't goed is wel gewoon vrij toegang tot internet heeft.

All my posts are provided as-is. They come with NO WARRANTY at all.


  • joopv
  • Registratie: juli 2003
  • Niet online
Poorten naar jou toe forwarden is natuurlijk geen optie. Geen enkele netwerkbeheerder die bij zijn verstand is zal dat toelaten.

Een FTP client zou - in passive mode - zonder problemen via een NAT router zonder naar binnen toe geforwarde poorten moeten kunnen werken.

Als dat bij jullie niet werkt wordt je gehinderd in je studie. Klacht indienen op een hoger nivo.

  • begintmeta
  • Registratie: november 2001
  • Niet online
offtopic:
Cheatah schreef op maandag 27 september 2010 @ 18:15:
Met een fatsoenlijk encryptieprotocol is het echt niet mogelijk om te zien wat er over en weer verstuurd wordt. Een MITM achtige situatie is alleen mogelijk bij protocollen met ingebouwde zwakte.

Afluisteren is wel lastig te voorkomen hoor, zonder aanvullend communicatiekanaal, of vergis ik me?

  • wasted247
  • Registratie: oktober 2006
  • Laatst online: 10-07 10:57
Ik zou toch voor een andere oplossing gaan, bvb filethingy.

Zoals eerder aangehaald is netwerk policy's omzeilen niet de bedoeling, daarnaast kweek je er geen goodwill mee. Ook je argumenten voor het niet gebruiken van een webbased filemanager zijn niet echt sterk, het bovenstaande voorbeeld kan gewoon wat jij wilt (via PHP zonder tussenkomst van andere software), en er zijn er vast nog tig anderen.

[Voor 11% gewijzigd door wasted247 op 27-09-2010 18:33]


Anoniem: 26306

begintmeta schreef op maandag 27 september 2010 @ 18:29:
offtopic:
Cheatah schreef op maandag 27 september 2010 @ 18:15:
Met een fatsoenlijk encryptieprotocol is het echt niet mogelijk om te zien wat er over en weer verstuurd wordt. Een MITM achtige situatie is alleen mogelijk bij protocollen met ingebouwde zwakte.

Afluisteren is wel lastig te voorkomen hoor, zonder aanvullend communicatiekanaal, of vergis ik me?
Dat ligt aan het protocol. Als je een protocol gebruikt dat gegevens met de public key van de andere kant encrypt, kan iemand die ertussen zit en de private key niet heeft er niets mee. Meestal wordt tijdens zo'n handshake een sleutel uitgewisseld waarmee het lichter is te encrypten/decrypten (synchroon), maar bij een serieus protocol mag iemand die er tussen beide partijen in zit natuurlijk niet zomaar kunnen ontcijferen wat er verstuurd wordt. Sterker nog, het is de enige reden om überhaupt iets versleuteld te willen versturen. Het zou natuurlijk een beetje onzin zijn als versleuteld verkeer gewoon te analyseren is. Bij een goed protocol is regulier verkeer dan ook niet te onderscheiden van een random stream.

  • begintmeta
  • Registratie: november 2001
  • Niet online
Anoniem: 26306 schreef op maandag 27 september 2010 @ 18:40:
... Als je een protocol gebruikt dat gegevens met de public key van de andere kant encrypt, ...
Het probleem is om aan de key (of fingerprint) van de andere kant te komen, dat moet via een veilig communicatiekanaal iedergeval mag de mitm er niet tussen kunnen zitten, anders weet je nooit zeker of je het met de juiste key encrypt. In dit geval is dat allemaal geen enkel probleem natuurlijk.

[Voor 20% gewijzigd door begintmeta op 27-09-2010 19:11]


  • CyBeR
  • Registratie: september 2001
  • Niet online

CyBeR

💩

begintmeta schreef op maandag 27 september 2010 @ 19:04:
[...]

Het probleem is om aan de key van de andere kant te komen, dat moet via een veilig communicatiekanaal (in iedergeval mag de mitm er niet tussen kunnen zitten), anders weet je nooit zeker of je het met de juiste key encrypt. In dit geval is dat allemaal geen enkel probleem natuurlijk.
Diffie-Hellman.

All my posts are provided as-is. They come with NO WARRANTY at all.


  • begintmeta
  • Registratie: november 2001
  • Niet online
Werkt niet tegen man in the middle-afluistering als je (ooit) geen alternatief communicatiekanaal ter beschikking hebt (gehad) toch?

  • fonsoy
  • Registratie: juli 2009
  • Laatst online: 23:43
begintmeta schreef op maandag 27 september 2010 @ 19:12:
[...]

Werkt niet tegen man in the middle-afluistering als je (ooit) geen alternatief communicatiekanaal ter beschikking hebt (gehad) toch?
Dit is overigens niet per definitie het probleem. Ik kan een key bijvoorbeeld meenemen met een USB-stick, en zo een synchrone encryptie gebruiken, zonder dat de keys eerst uitgewisseld moeten zijn. Ik weet alleen niet in hoeverre dit praktisch en toepasbaar is.

Wat betreft de networkpolicy, die is nogal dubbel. Voor de draadloze gebruikers is het protocol niet geblokkeerd, de blokkade is pas in gebruik sinds dit jaar, zo heb ik me laten vertellen. Zelfs Filezilla staat nog op de InHolland PC's :'). Ik voel me dus niet zozeer verplicht om allerlei workarounds te gaan gebruiken om mijn bestanden er te krijgen. Ik wil graag een discussie op gang brengen, als zijnde, in welke mate encryptie praktisch en veilig is.

Wat iedereen hier ook vermeldt, het gaat inderdaad om een soort van MITM attack mijn insziens.

Lenovo W520 - i7 2720QM - 8GB DDR3 1333Mhz - 1080p - Nvidia 1000M - 9 cell accu


Anoniem: 26306

begintmeta schreef op maandag 27 september 2010 @ 19:12:

Werkt niet tegen man in the middle-afluistering als je (ooit) geen alternatief communicatiekanaal ter beschikking hebt (gehad) toch?
Dat klopt, ware het niet dat je bij SSL en SSH sowieso gewaarschuwd wordt als er gerommeld wordt met keys. Je hebt op zich gelijk dat je eerst een keer een connectie moet hebben gehad buiten InHolland om, of je moet met een certificaat werken dat is gesigned door een trusted certification authority. Maar het mag natuurlijk normaal gesproken geen probleem zijn om iets over SSH te tunnelen. Of überhaupt gewoon SFTP gebruiken daar FTP sowieso hopeloos rot is.

  • begintmeta
  • Registratie: november 2001
  • Niet online
fonsoy schreef op maandag 27 september 2010 @ 19:36:
... Dit is overigens niet per definitie het probleem. Ik kan een key bijvoorbeeld meenemen met een USB-stick, en zo een synchrone encryptie gebruiken, zonder dat de keys eerst uitgewisseld moeten zijn. Ik weet alleen niet in hoeverre dit praktisch en toepasbaar is. ...
Klopt, ook praktisch zal het in dit geval zoals ik al aangaf geen enkel probleem zijn, alleen zou ik als ik geen ontoelaatbare communicatie op mijn netwerk wil ook alle communicatie waar ik niets mee kan maar weggooien/verbreken.

Dan zou encryptie niet nuttig zijn.

@Cheatah 't ging me er meer om dat het op zich natuurlijk niet heel triviaal is (zolang een communicatiekanaal niet volledig onder controle van de beoogde communicatoren staat/stond) een MITM te voorkomen.

[Voor 13% gewijzigd door begintmeta op 27-09-2010 19:47]


  • fonsoy
  • Registratie: juli 2009
  • Laatst online: 23:43
begintmeta schreef op maandag 27 september 2010 @ 19:41:
[...]

Klopt, ook praktisch zal het in dit geval zoals ik al aangaf geen enkel probleem zijn, alleen zou ik als ik geen ontoelaatbare communicatie op mijn netwerk wil ook alle communicatie waar ik niets mee kan maar weggooien/verbreken.

Dan zou encryptie niet nuttig zijn.
Klopt, ik ben hier ook een beetje bang voor. Mocht dat het geval zijn dan ben ik simpelweg de sigaar. Ik wil eigelijk eerst de route even belopen en kijken hoe het gaat. Mocht dit overigens het geval zijn, dan is een klacht indienen nog makkelijker >:) Als men het niet eens toestaat om echt beveiligd te werken ...

Ik ben verder een beetje een noob wat betreft de praktische implementatie van een synchrone key. Google geeft mij voornamelijk theoretische stukken terug.

Lenovo W520 - i7 2720QM - 8GB DDR3 1333Mhz - 1080p - Nvidia 1000M - 9 cell accu


  • Glashelder
  • Registratie: september 2002
  • Niet online

Glashelder

Anti Android

Wat dacht je van WebDAV? Dat werkt gewoon over HTTP of over HTTPS. Via Startcom scoor je een gratis officieel SSL certificaat en klaar ben je.

Met een officieel certificaat heb je ook zo door of de firewall van inholland daadwerkelijk met SSL verkeer loopt te rommelen (je krijgt op je laptop dan een waarschuwing). Op een PC van school kan het zijn dat je inderdaad geen melding daarvan krijgt nee.. (omdat het SSL certificaat van de firewall vertrouwd wordt).

PV 3015wp op oost, 2680 wp op west. pvoutput


  • begintmeta
  • Registratie: november 2001
  • Niet online
is het echt zo'n probleem dat de InHolland-systeembeheerders (en natuurlijk theoretisch ook alle anderen die zich toegang tot de nodige netwerkknooppunten weten te verschaffen) je documenten kunnen inzien/kopieren? Kan je anders niet gewoon het een en ander via HTTPS uploaden (bijvoorbeeld via het bovengenoemde WebDAV of ook gewoon een zelfgebouwde webpagina?)? Het kan natuurlijk zijn dat ze ook dat niet toestaan...

[Voor 22% gewijzigd door begintmeta op 27-09-2010 19:59]


  • Equator
  • Registratie: april 2001
  • Laatst online: 23:12

Equator

Crew Council

Bowmore & Laphroaig fan

Regelmatig krijgen we vragen over manier om langs een bedrijfs-proxy danwel firewall te komen om bijvoorbeeld toch je thuis-PC over te kunnen nemen. Hier is slechts 1 antwoord op: Neem contact op met je netwerkbeheerder. Staat hij het niet toe, dan heb je pech. Een dergelijke regel is niet voor niets opgesteld, en daar hebben we ons allen aan te houden.
Sleutelwoord in deze is de controleerbaarheid en verantwoordelijkheid. Wij willen op geen enkele manier verantwoordelijk worden gesteld voor het feit dat een gebruiker, met behulp van onze leden, een netwerk heeft weten open te hacken, en dat er bedrijfsgeheime informatie naar buiten is gelekt.
Topics met een vergelijkbare inhoud worden dan ook gesloten
Lijkt me vrij duidelijk toch :?

[Voor 86% gewijzigd door Equator op 28-09-2010 07:44]

Vragen/opmerkingen
Privacy is something you can sell, but you can't buy back!

Pagina: 1

Dit topic is gesloten.



Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee