Proxy wordt geblockt

misschien wordt dit met een reden gedaan?

je probeert nu de beveiliging te omzeilen, correct me if i'm wrong, maar volgens mij mag dat niet op tweakers.

andydewit schreef op dinsdag 13 mei 2014 @ 09:16:
Hallo,

Ik wil graag mijn webserver kunnen bereiken op school, echter heeft onze school dit geblokkeerd (alleen poort 80 en 21 zijn bereikbaar). Ik heb besloten een proxy script op mijn server te installeren. Glype en PHProxy heb ik geprobeerd, maar deze worden ook tegengehouden door school. Op de een of andere manier wordt dus gekeken naar de opbouw van de website of de headers die worden meegegeven, waardoor Sonicwall de proxyscripts herkent. Na wat gepriegel in de layout, de GET variabelen en de headers slaagt Sonicwall er nog steeds in het proxyscript te kunnen identificeren. Heeft iemand misschien een idee waardoor Sonicwall er niet meer in slaagt het script te identificeren, zodat ik mijn webserver wél kan bereiken? Alle proxy websites die op Google staan zijn ook geblokkeerd.

Een webserver draait toch standaard op poort 80, of vergis ik mij nu?

SSH tunnel op poort 21 gebruiken.

andydewit schreef op dinsdag 13 mei 2014 @ 09:44:
Ja, maar ik gebruik het alleen voor mijn eigen server.

@xh3adshotx: hoe zet je een tunnel op poort 21?

SSH server installeren bij iemand thuis, daarna heb je twee mogelijkheden:

- Default poort van SSH wijzigen en port forwarding van 21 extern -> 21 op je server
- Als je router het ondersteund 21 extern -> 22 op je server


Of hou je aan de schoolregels...

andydewit schreef op dinsdag 13 mei 2014 @ 09:44:
Ja, maar ik gebruik het alleen voor mijn eigen server.

@xh3adshotx: hoe zet je een tunnel op poort 21?

je kan ook een sslvpn opzetten naar je server.
http://openvpn.net/

dit loopt standaard via poort 443, deze word waarschijnlijk ook niet geblokkeerd en anders stel je een andere poort in zoals 21.

@Razenko
Lekker makkelijk om te zeggen dat dit hier niet zou mogen. Hou jij je ook altijd aan elke regel die je opgelegd word? De rede dat er van alles dicht gezet word is simpel... Als je een boel computers zonder restricties in een netwerk zet word het een puinzooi denk aan virussen, maar ook iets simpels als downloaden.. Zolang de TS gewoon bij zijn webserver wil kunnen zie ik hier geen probleem in. Zodra de TS dit zou doen om op sites te komen die niet op school thuishoren of wil gaan downloaden in de les word het verhaal anders.

Dan nog een laatste: Dit is Tweakers.net, Het lijkt mij hier JUIST de plek om dit voor te leggen, mits het omzeilen verantwoord gebeurt en er geen schade word toegebracht of de school op een andere manier benadeeld word.

[ Voor 47% gewijzigd door Axewi op 13-05-2014 10:00 ]

andydewit schreef op dinsdag 13 mei 2014 @ 09:44:
@xh3adshotx: hoe zet je een tunnel op poort 21?

Als je SSH op je server hebt, dan met PuTTY:
http://collaboradev.com/2...ssh-tunnel-putty-firefox/

Ik doe dat zelf ook om een paar sites van thuis te kunnen benaderen zonder al die poorten te moeten forwarden (wat ik sowieso niet wil).

Axewi schreef op dinsdag 13 mei 2014 @ 09:51:
[...]


je kan ook een sslvpn opzetten naar je server.
http://openvpn.net/

dit loopt standaard via poort 443, deze word waarschijnlijk ook niet geblokkeerd en anders stel je een andere poort in zoals 21.

Lijkt me de beste optie tot nu toe. Poort 443 staat altijd wel open.

Maar zolang je maar af en toe eventjes snel iets wilt doen via SSH zou ik het gewoon via je telefoon doen. Je hebt zo weinig data nodig voor de verbinding dat dat prima over 3G gaat.

Axewi schreef op dinsdag 13 mei 2014 @ 09:51:
[...]


je kan ook een sslvpn opzetten naar je server.
http://openvpn.net/

dit loopt standaard via poort 443, deze word waarschijnlijk ook niet geblokkeerd en anders stel je een andere poort in zoals 21.

Geen idee of openvpn SSTP ondersteunt, maar anders schiet je er niet veel me op denk ik.

xh3adshotx schreef op dinsdag 13 mei 2014 @ 10:00:
[...]


Geen idee of openvpn SSTP ondersteunt, maar anders schiet je er niet veel me op denk ik.

openvpn tunnelt gewoon al je verkeer over poort 443, desnoods zou je nog een 2048 bit certificaat kunnen aanmaken dan is het helemaal versleutelt. Zie niet in waarom dit niet zou werken, Voor de sonicwall is verkeer wat over 443 gaat zonder dat de sonicwall kan zien wat er over die poort gaat.

Ik weet niet of de school het netwerk zelf doet? maar op alle eduroam netwerken evenals dichtgetimmerde hotspots doet mijn vpn het prima, ook direct een stuk veiliger dan je verkeer door het netwerk heen te gooien.

[ Voor 15% gewijzigd door Axewi op 13-05-2014 10:10 ]

Axewi schreef op dinsdag 13 mei 2014 @ 10:07:
[...]


openvpn tunnelt gewoon al je verkeer over poort 443, desnoods zou je nog een 2048 bit certificaat kunnen aanmaken dan is het helemaal versleutelt. Zie niet in waarom dit niet zou werken, Voor de sonicwall is verkeer wat over 443 gaat zonder dat de sonicwall kan zien wat er over die poort gaat.

Het probleem van de Sonicwall firewall is niet dat het, het verkeer filtert op wat er door de tunnel gaat, maar het filter het verkeer op basis van patronen. Het onderscheid HTTP verkeer van VPN verkeer ongeacht hoe je het versleuteld.

Poort 21 wijst op FTP gebruik binnen de school, dus zou SSH de meeste kans van slagen hebben aangezien ze waarschijnlijk het gebruik van SFTP niet blokkeren.

[ Voor 11% gewijzigd door xh3adshotx op 13-05-2014 10:11 ]

andydewit schreef op dinsdag 13 mei 2014 @ 10:08:
Bedankt voor alle info! Ik zal OpenVPN vanmiddag even proberen. Die SSH via PuTTY ga ik zeker ook eens proberen, maar daar kan je zeker geen gebruik maken van (bijv.) poort 2222?

Jawel, je kunt alle poorten tunnelen. Ik heb bijvoorbeeld Sickbeard thuis, die draait op poort 8081, en die wordt getunneld naar localhost:8081. Hetzelfde doe ik voor Deluge (poort 8112) en nog wat andere sites die ook op m'n server hun eigen poortnummer hebben.

Op deze manier hoef ik ze helemaal niet naar buiten toe open te zetten. De beveiliging is daarmee afhankelijk van m'n SSH-login en PuTTY-configuratie. Voor die situatie ideaal wat mij betreft.

xh3adshotx schreef op dinsdag 13 mei 2014 @ 10:10:
[...]


Het probleem van de Sonicwall firewall is niet dat het, het verkeer filtert op wat er door de tunnel gaat, maar het filter het verkeer op basis van patronen. Het onderscheid HTTP verkeer van VPN verkeer ongeacht hoe je het versleuteld.

Poort 21 wijst op FTP gebruik binnen de school, dus zou SSH de meeste kans van slagen hebben aangezien ze waarschijnlijk het gebruik van SFTP niet blokkeren.

1)
OpenVPN uses a TLS/SSL encryption protocol that is slightly different from ‘true’ SSL, and which can be detected by sophisticated DPI’s. In order to avoid this, it is possible to ‘wrap‘ the OpenVPN data in an additional layer of encryption. As DPIs are unable to penetrate this ‘outer’ layer of SSL encryption, they are unable to detect the OpenVPN encryption ‘inside’.

2)
Without very deep packet inspection, OpenVPN encrypted data looks just like regular SSL traffic. This is especially true if routed via TCP port 443, where a) you would expect to see SSL traffic and b) blocking it would hamstring the internet.

However, counties such as Iran and China are very determined to control their population’s uncensored access to the internet, and have put into place technically impressive (if morally objectionable) measures to detect OpenVPN encrypted traffic. As even being discovered using OpenVPN can get you into trouble with the law in such countries, it is in these situations a very good idea to use one of the additional precautions outlined above.

Bron:https://www.bestvpn.com/b...-traffic-an-introduction/

Je hebt dus gelijk maar ik vraag mij af of het schoolnetwerk zo ver gaat.
Oplossing dan is inderdaad een ssh tunnel, hierover zou je dan de vpn kunnen laten lopen.
@TS, lees het gelinkte artikel eens door daarmee moet je er kunnen komen.

Dit heeft niets met PHP of Programming te maken. Ik tik je topic even naar Beveiliging & Virussen, maar dikke kans dat het op slot gaat ivm het omzeilen van beveiliging.

Kan je niet gewoon simpel een secure(https) webproxy op poort 443 hosten&gebruiken?

andydewit schreef op dinsdag 13 mei 2014 @ 10:26:
Zélfs surrogafier onderschept Sonicwall. Ik weet niet hoe 'ie t doet, maar slim is het systeem zeker. Ben benieuwd waar Sonicwall op let om een proxy te kunnen identificeren, en of dat valt te omzeilen.

Poort 22 is niet geopend op school.

Hoe de serieuzere sonicwalls het doen weet ik niet, maar mijn 'simpele' sonicwall thuis heeft bijvoorbeeld "cfs" daarmee kun je websites blokkeren die binnen een bepaalde categorie vallen waaronder dus ook proxy websites. Dus dat is bijvoorbeeld al de rede dat proxy sites niet werken.
Verder kan ik met mijn sonicwall geen serieuze dpi toepassen dus ik kan hooguit poort 443 dichtzetten maar daarmee is het internet niet echt bruikbaar meer
Daarbij twijfel ik er niet aan dat de beter modellen dit wel kunnen maar nogmaals daar heb ik helaas (nog) geen ervaring mee.

andydewit schreef op dinsdag 13 mei 2014 @ 10:31:
[...]

ICT is er wel van op de hoogte dat ik mijn website wil bereiken op poorten die niet zijn toegestaan.

Maar als de poorten niet zijn toegestaan, waarom wil je dan hun beleid omzeilen?

Ik weet niet wat je precies met je webserver wilt (ik gok zo dat je hem nodig hebt voor ontwikkelen en testen), maar dat kun je eventueel gemakkelijk oplossen door je webserver op een USB te zetten. Dan heb je niet met externe dingen te maken, en kun je gewoon testen. Mocht dat ook een probleem zijn voor Systems, dan zou ik gewoon aandragen dat jij je werk niet kunt doen door dit soort grappen.

Het internet op deze manier dichtzetten is inderdaad vaak nogal van grof geschut, maar jou op een lokale PC tegenhouden om te ontwikkelen is een beetje overdreven.

andydewit schreef op dinsdag 13 mei 2014 @ 10:31:
[...]

ICT is er wel van op de hoogte dat ik mijn website wil bereiken op poorten die niet zijn toegestaan.

Als ze er van op de hoogte zijn en je niet helpen, welk signaal geeft dat dan af?

Persoonlijk zou ik gewoon teamviewer gebruiken ipv zo moeilijk te doen.

ik snap er niks van. Wat wil je nou? je wil van school naar je eigen webserver kunnen en dat lukt niet? De rest van internet werkt wel? Draait jouw webserver thuis op een of andere vage poort? Of draait er zooi op die door de firewall/proxy van school herkend wordt op basis van classificaties en dus geblokt wordt? Eerste gedachte bij mij is dat je je eigen webserver op poort 80 of 443 draait, dan moet web verkeer ernaartoe toch geen issue zijn, zeker niet als de rest van het internet ook open staat op uitgaande poorten 80/443?

Is het niet gewoon zo dat de SonicWall weet dat het IP-adres van je thuisserver toebehoort aan een "residential ISP" en op basis daarvan de verbinding weigert? Of lukt gewoon HTTP-verkeer naar je thuismachine wel (zonder waarschuwingen)?