Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Omijanie restrykcji w dostępie do stron WWW (tunelowanie http przez SSH)

Nieliczni wiedzą, że serwer OpenSSH to narzędzie służące nie tylko do zdalnego logowania się na serwer. Ma możliwość tworzenia zaszyfrowanych tuneli, które wykorzystać można do stworzenia prostej sieci VPN. Tunel VPN możemy wykorzystać do wymienionego w tytule omijania filtrów (serwer proxy) często wykorzystywanych np. w miejscu pracy (a jak wiadomo nie samą pracą człowiek żyje ;-) ). Jeśli masz nadgorliwego admina, który wycina wszystkie strony poza służbowymi, ten wpis jest właśnie dla Ciebie.
Aby móc stworzyć własny tunel SSH trzeba mieć komputer z nielimitowanym dostępem do internetu czyli np. w domu z zainstalowanym dowolnym systemem unikspopdobnym (Linux/BSD itp.) Nie zawsze musi być to od razu komputer. Czasem wystarczy zwykły router, który ma zainstalowany serwer OpenSSH. Takie funkcje zapewnia praktycznie każdy router z wgranym tzw. custom firmware czyli np. DD-WRT, OpenWRT, Gargoyle itp. Pamiętać należy o włączeniu nasłuchiwania serwera OpenSSH na interfejsie od strony internetu a nie tylko sieci lokalnej.
Na potrzeby wpisu przetestowałem router Sagecom F@st 2704 pracujący w sieci lokalnej i serwer z systemem OpenBSD w sieci internet. Na początek odpalamy PuTTY i tworzymy sesję:

1. Podajemy adres ip serwera OpenSSH lub nazwę hosta jeśli dysponujemy własną domeną.
2. Domyślny numer portu OpenSSH to 22 ale jeśli jest zablokowany w Twojej sieci, możesz wpisać dowolny inny zgodny z portem nasłuchiwania na zdalnym komputerze.
3. Wybieramy rodzaj połączenia.
4. Wpisujemy dowolną nazwę w celu zapisania ustawień.
5. Zapisujemy ustawienia (zapisać można jeszcze raz po przejściu wszystkich kolejnych kroków).
1. Przechodzimy do ustawień połączenia SSH.
2. Włączenia kompresji danych jest opcjonalne.
1. Przechodzimy do ustawień tunelu.
2. Wpisujemy numer portu na którym będzie nasłuchiwał klient SSH czyli PuTTY.
Dalej wybieramy wg. numerków z obrazka.
Przed otwarciem sesji (numer 6) można przejść do poz. 5 z pierwszego obrazka w celu zapisania bieżących ustawień jako globalnych dla tej sesji.
Po otwarciu sesji otworzy się okienko logowania na serwerze OpenSSH. W poprzednim wpisie opisałem jak to robić w bezpieczny sposób za pomocą klucza prywatnego.
Jeśli wszystko poszło jak należy, teraz wystarczy już tylko skonfigurować swoją przeglądarkę internetową:
1. Przechodzimy do ustawień serwerów proxy.
2. Wybieramy protokół SOCKS.
3. Wpisujemy ten sam adres co na obrazku.
4. Adres portu taki jak w punkcie 2 z trzeciego obrazka.
5. I potwierdzamy.

Od tego momentu możemy do woli surfować w internecie a co najważniejsze, admin firmowej sieci nie będzie w stanie sprawdzić co oglądamy, ponieważ cała komunikacja będzie zaszyfrowana. Wadą tego rozwiązania będzie raczej nieduża przepustowość sieci, równa przepustowości najwolniejszego odcinka na trasie komputer <-> serwer OpenSSH <-> internet czyli prawdopodobnie prędkości wysyłania połączenia domowego.
Trzeba mieć świadomość tego, że administrator sieci nie będzie mógł zobaczyć co oglądamy ale z pewnością może zauważyć dziwny ruch w swojej sieci co z pewnością skłoni go do rozmowy z Tobą. Przed wprowadzeniem tej metody w pracy, lepiej rozważ taką ewentualność.

Taki tunel SSH nie służy tylko do szyfrowania ruchu WWW ale każdego, którego klient wspiera protokół SOCKS np. poczta (Thunderbird). 

bezpieczeństwo

Komentarze

0 nowych
LordRuthwen   5 #1 15.02.2013 15:45

Hehehe, nie mam nadgorliwego admina... ja nim jestem a tego nie znałem, dzięki :P

kamil_w   10 #2 15.02.2013 15:48

Wszystko pięknie, ale gdy na komputerze służbowym są ustalone reguły, że aplikacje spoza wyznaczonej listy nie mogą być uruchomione wtedy ta metoda również nic nie da. Sprytny admin na wszystko znajdzie sposób ;)

nitro2012   10 #3 15.02.2013 18:02

na uczelni tworzyłem nowe połączenie, wpisywałem dane z darmowego VPNu, łączyło i chodziło i tak omijałem restrykcje.

parranoya   8 #4 15.02.2013 18:40

@nitro2012
Przeczytaj komentarz kamila_w.
W firmie najczęściej jest tak, że użytkownik pracuje na kompie jako użytkownik z ograniczeniami a nie jako administrator. Wówczas nie można utworzyć połączenia PPTP (bo pewnie to masz na myśli). Ale jeśli przyniesiesz na pendrive mobilną wersję PuTTY to mój sposób zadziała bez większego problemu.

patryk9200   8 #5 15.02.2013 19:01

Od dawna używam takiej metody do słuchania radia Pandora ;-D

nitro2012   10 #6 15.02.2013 20:15

na uczelni korzystam z własnego laptopa, podpinam się kablem albo wifi do sieci. Poza tym gdybym nawet chciał to nie mogę utworzyć tunelowania do routera, który korzysta z internet w Play.

grzesio..   3 #7 15.02.2013 20:38

@LordRuthwen
pojechałeś... LOL ...

Axles   16 #8 16.02.2013 11:44

Z czym pojechał?
Sposób fajny, ale dobrze napisana polityka bezpieczeństwa w firmie i raczej sobie tylko problemów z tym można narobić :) No ale jeśli ktoś musi Twarzoksiążki i inne cuda oglądać w pracy to sposób dobry.

elzear   5 #9 18.02.2013 16:39

Czemu nie opisałeś metody w Linuxie? A tylko w tym zabytku Windowzgrozie :)
dużo prościej z linii komend:

ssh -D 9999 -p 2222 -C IPADDRESS
-D Port Lokalny
-p Port zdalny
-C adres ip serwera/Nazwa sieciowa :)

A reszta w FF jak powyżej :)

Autor edytował komentarz.
parranoya   8 #10 18.02.2013 17:07

@elzear
Może dlatego?
"Jeśli masz nadgorliwego admina, który wycina wszystkie strony poza służbowymi..."
Już widzę te tysiące służbowych desktopów na Linuksie ;-)

elzear   5 #11 18.02.2013 17:25

Chodziło mi tylko o to, że wpis naprawdę fajny, a przydało by się uzupełnienie na wszystkie bardziej znane systemy (w tym wpisie opisałeś metodę dla Win i OSX) :)

Autor edytował komentarz.
kamil_w   10 #12 20.02.2013 11:16

@parranoya
1. Dobry admin otwiera tylko te porty, które są niezbędne do pracy.
2. W systemie Windows jest coś takiego jak zarządzanie zasadami grupy (gpedit.msc) oraz w niektórych wersjach systemu AppLocker. Dzięki nim admin może ustalić, które programy mogą zostać uruchomione. Biorąc to pod uwagę, twoje słowa "Ale jeśli przyniesiesz na pendrive mobilną wersję PuTTY to mój sposób zadziała bez większego problemu" tracą sens.

Autor edytował komentarz.
parranoya   8 #13 20.02.2013 16:46

@kamil_w
Przecież to jasne, że ten sposób to nie remedium na wszelkie możliwe zakazy.

hnt   5 #14 16.03.2013 20:49

W firmach oprócz proxy jest też bardzo często firewall, który z buta ma deny any na ruch z/do internetu. Puszczany jest tylko autoryzowany ruch z potrzebnych firmowych aplikacji. I wtedy... kiszka:)
Jednak na wszystko są sposoby.

parranoya   8 #15 16.03.2013 23:00

@hnt
Ale to się rzadko zdarza. W korpo częściej ale w małych i średnich firmach niezmiernie rzadko.

  #16 12.06.2016 15:25

@parranoya: "małych"

  #17 15.11.2016 09:22

@parranoya: chyba że porty usb też są zablokowane :)