Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: IG0R 25. 10. 2017, 10:39:41

Název: SSH s Putty cez firemné HTTP proxy
Přispěvatel: IG0R 25. 10. 2017, 10:39:41
Zdravim, vedel by mi niekto poradit?

V praci mame proxy na porte 3128
Doma mam ssh server (na portoch 22 a 443) na ktory sa chcem pripojit z prace (cez proxy:3128)

Co mam nastavit v Putty aby som sa pripojil? uz som skusal vselico mozne bez uspechu...
Název: Re:ssh Putty cez firemne HTTP proxy
Přispěvatel: Miroslav Šilhavý 25. 10. 2017, 10:46:53
Zdravim, vedel by mi niekto poradit?

V praci mame proxy na porte 3128
Doma mam ssh server (na portoch 22 a 443) na ktory sa chcem pripojit z prace (cez proxy:3128)[/li][/list]

Co mam nastavit v Putty aby som sa pripojil? uz som skusal vselico mozne bez uspechu...

Přes HTTP proxy Vám jiný protokol, než je HTTP nebo HTTPS nepojede.
Název: Re:ssh Putty cez firemne HTTP proxy
Přispěvatel: tatarko 25. 10. 2017, 10:57:21
Ja ak si dobre pamatam tak co mozes skusit  je openvpn over http proxy
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: asdf111 25. 10. 2017, 11:16:36
nainstaluj si cygwin+corkscrew a sshckuj sa na fqdn svojho servra, toto zatial preslo cez kazdu http proxy a to som uz prechadzal cez ine enterprise IDS
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: kz 25. 10. 2017, 11:26:53
Máš dvě možnosti:
1) domluva se zaměstnavatelem že to potřebuješ pro svojí práci a on ti povolí přímo ssh
2) vykašli se na to a dělej práci za kterou tě zaměstnavatel platí
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: yolo 25. 10. 2017, 11:35:06
https://daniel.haxx.se/docs/sshproxy.html

nebo drasticke reseni, doma nahod ssh na port 80  8)
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: JardaP . 25. 10. 2017, 11:40:09
https://daniel.haxx.se/docs/sshproxy.html

nebo drasticke reseni, doma nahod ssh na port 80  8)

Coz asi nepujde, jestli veskery provoz rvou defaultne pres proxy.

@IG0R: Vy v praci mate zablokovane vsechny odchozi porty, krome webu, ktery rvou pres proxy?
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: Miroslav Šilhavý 25. 10. 2017, 12:00:11
I když to není moje věc, dovolím si upozornit, že takto vědomé a cílené obcházení bezpečnostní politiky zaměstnavatele může být považováno za hrubé porušení pracovní kázně, a pro okamžité zrušení pracovního poměru zaměstnavatelem podle § 55 zákoníku práce (bez odstupného, bez nároku na podporu v nezaměstnanosti).
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: asdf123 25. 10. 2017, 12:10:37
vsak len vyuziva dostupne prostriedky :) zalezi ci ma v internych smerniciach zakazane pripajanie sa na vzdialene servre. Ocividne ma pristup na internet a ak toto pripojenie na internet s dostupnymi toolmi umozni prihlasenie sa na ssh, tak co sa da robit :) Urcite ma zakazane vynasat citlive a firemne udaje mimo internej siete, ale na toto ho nikto nenabada predsa :)
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: Filip Jirsák 25. 10. 2017, 12:43:36
Když v PuTTY nastavujete konfiguraci spojení, zvolte si ve stromečku voleb ConnectionProxy, Proxy type nastavte na HTTP a zadejte adresu a port proxy. Ovšem pokud je ta proxy nastavená tak, aby navazovala spojení jenom na cílový port 443 nebo jiné vybrané, nebude vám to fungovat.

Přes HTTP proxy Vám jiný protokol, než je HTTP nebo HTTPS nepojede.
Ale pojede, HTTPS je šifrované spojení, takže HTTP proxy dovnitř nemůže vidět. HTTPS spojení se přes HTTP proxy navazuje tak, že klient zavolá metodu CONNECT a specifikuje cílovou adresu a port, kam se chce připojit. A proxy jenom naváže spojení a vytvoří tak tunel, kterým se posílají data mezi klientem a cílovým serverem. Jestli ta data patří protokolu HTTPS nebo SSH by se dalo zjišťovat nějakou heuristikou, ale není to něco, co by proxy rovnou viděla.
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: i 25. 10. 2017, 13:04:53
Zkoušel jsem toto:
https://linux.die.net/man/1/shellinaboxd
a těžká pohoda :-) osobně bych ale raději ssh over tor over http over proxy :-)
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: Ramirez 25. 10. 2017, 15:02:31
Já to řešil takto:

Doma jsem měl na routeru forwardovaný příchozí port 443 zvenku na mašinu uvnitř sítě, kde běžel sshd

Nastavení Putty v práci:

Session:
  Hostname: IP adresa domů
  Port: 443

Connection->Proxy:
  Proxy type: HTTP
  Proxy hostname:  IP adresa proxy
  Port: port proxy
  Username: login k proxy
  Password:  heslo

Měl jsem nastavený i tunel pro browsení přes domácí síť, abych obešel firemní politiky, které tvrdily, že třeba soom je fuj ;-)

Connection->SSH->Tunnels:
  1. vyplnit Source port - něco si zvol, já měl 4567
  2. zvolit Dynamic
  3. Kliknout na Add
  4. V tabulce o něco výš by ti měl přibýt port ve tvaru D4567


Potom musíš přesměrovat prohlížeč na localhost:4567 a browsíš pod svojí IP adresou doma ;-)
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: Ramirez 25. 10. 2017, 15:14:34
Doplnění:

Session s nastavením v putty jsem měl uloženou a spouštěl jsem putty baťákem, ve kterém bylo cosi jako:

@ECHO OFF
start putty.exe -load jmeno_session -l ssh_login_doma -pw ssh_password_doma
 
@ECHO ON
exit
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: Cek 25. 10. 2017, 15:40:23
Nechapu, a to jako nemuzes veci, na ktery zamestnavatel nechce abys v praci chodil, cist doma?

Uz zive vidim jak priznavas, zes byl pripojenej pres tunel domu, kdybys nekde chytil nejakou sifrovaci breberku. To by byla najednou vsechno chyba spravcu, kterym urcite neco proslo....
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: ehmmm 25. 10. 2017, 16:57:37
Jake k tomu ma tazatel duvody, mi je jedno. Uz jsem zazil kolegy, co si kvuli tomu platili i vlastni data ve vlastnim mobilu, aby mohli v praci browsit na netu. Az na jeden pripad to byla podle me chyba vedeni, ze pro ne nema kloudnou praci nebo jinou zabavu.

Z linuxoveho stroje jsem se v jedne fabrice dostaval do sveta pomoci corkscrew, jak tu uz nekdo zminil.

A potvrzuji, ze jak tu nekdo take zminil, ze v PuTTY se ta proxy da taky naklikat.

Co se tyka bezpecnosti, tak si myslim, ze kdyz nekdo dokaze neco takoveho, tak uz to neni uplny blbecek, co si nainstaluje a spusti kdejakou zavsivenou vec stazenou z netu. Navic je otazka, jestli a jak by ti vubec dokazali, co tim SSH tunelem slo.
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: Ramirez 25. 10. 2017, 18:03:36
Nechapu, a to jako nemuzes veci, na ktery zamestnavatel nechce abys v praci chodil, cist doma?
Je nějaký důvod, proč bys to Ty měl chápat?
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: M. 25. 10. 2017, 23:02:02
Jak psal Jirsák, tak Putty přes Proxinu normálně funguje, nastavit connection / proxy. Putty samotný nezvládá jen složitější autorizační mechanismy na proxinu, takže pokud je požadováno NTLM nebo GSS, tak to nezvládne.
Dále může být problém, pokud by proxina byla inteligentní a hlídala, co po tom connectu tím zkusí protékat. Např v proxině může být nasazen modul, co kontoluje, že se začně navazovat korektně TLS spojení a navíc povolí třeba jen spojení na servery, které předkládají certifikáty na white listu (v takovém případě holý Putty také neprojde).
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: MP 26. 10. 2017, 10:18:04
Co se tyka bezpecnosti, tak si myslim, ze kdyz nekdo dokaze neco takoveho, tak uz to neni uplny blbecek, co si nainstaluje a spusti kdejakou zavsivenou vec stazenou z netu. Navic je otazka, jestli a jak by ti vubec dokazali, co tim SSH tunelem slo.

Omyl. Podle navodu na taliri z internetu to nastavi kazdy blbecek. Ale to, ze rozbiji zabezpeceni firmy, to je jim u zadnice.
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: i 26. 10. 2017, 12:52:12
Jak psal Jirsák, tak Putty přes Proxinu normálně funguje, ...

Asi opět něco nechápu, může mi prosím někdo vysvětlit co je proxy z pohledu protokolu ssh ? že ho tam to putty má ?
Já sice chápu že putty je slepenec terminálu a ssh klienta pro woknaře. ale v této diskusi se přestávám orientovat zda tou proxy bylo míněno běžné http(s) proxy nebo nějaké ssh-proxy.

V případě té http(s) proxy, bych se snad i vsadil, že to nemůže fungovat, alespoň na opravdové, chytré a cachovací proxy jako mám u svého zaměstnavatele já.  V tom druhém případě, v open_ssh který běžně používám, v ~/.ssh/config  běžně pro některé své hosty používám parametr ProxyCommand, to je ale asi něco úplně jiného. to předpokládá spolupráci toho "proxy" třeba jako stanice na rozhranní přes kterou se prologuješ ven.

Pokud půdovnímu tazateli nejde o ssh-tunel, vnc, ... nebo něco podobného přes ssh ale opravdu mu jde jen o CLI, tak mě ten shellinabox fakt funguje úžasně a z práce se v případě potřeby domu v pohodě dostávám, jen škoda že to neumí autorizaci klíčem, ale není divu, protože to ten ssh-protokol úplně obchází.
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: turista- 26. 10. 2017, 13:42:18
Nechapu, a to jako nemuzes veci, na ktery zamestnavatel nechce abys v praci chodil, cist doma?

Já se zeptám opačně. Proč by je četl doma, když je může číst v práci?
Mnohé profese je nesmysl platit "od hodiny". Spíš je vhodné si takovým "benefitem" udržet schopné lidi. "Schopný" != "pracuje 8 hodin nonstop".

Uz zive vidim jak priznavas, zes byl pripojenej pres tunel domu, kdybys nekde chytil nejakou sifrovaci breberku. To by byla najednou vsechno chyba spravcu, kterym urcite neco proslo....

Ve správně nastavené síti by "šifrovací breberka" neměla způsobit víc, než nutnost přeinstalovat (nejlépe automaticky) danou pracovní stanici a ztrátu práce za 1 den. Teoreticky by mohla ještě napáchat nějaké škody například ve verzovacím systému, ale commity lze rollbacknout a proti se snad žádný takový mallware na SVN či GIT nezaměřuje.
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: Spork 26. 10. 2017, 14:03:20
Resenim je VPN pomoci technologie SSTP. Projde to pres proxy.

Zdravim, vedel by mi niekto poradit?

V praci mame proxy na porte 3128
Doma mam ssh server (na portoch 22 a 443) na ktory sa chcem pripojit z prace (cez proxy:3128)

Co mam nastavit v Putty aby som sa pripojil? uz som skusal vselico mozne bez uspechu...
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: Cek 26. 10. 2017, 14:10:31
Nechapu, a to jako nemuzes veci, na ktery zamestnavatel nechce abys v praci chodil, cist doma?

Já se zeptám opačně. Proč by je četl doma, když je může číst v práci?
Mnohé profese je nesmysl platit "od hodiny". Spíš je vhodné si takovým "benefitem" udržet schopné lidi. "Schopný" != "pracuje 8 hodin nonstop".

Proc by si je mel cist doma? Protoze zamestnavatel zretelne nechce aby je cetl v praci, jinak by je na proxy nezakazal.
Muze prece browsit po tom, co je povolene, opravdu si nemyslim, ze by mel jenom whitelist, to je hodne malo nasazovane reseni...

Uz zive vidim jak priznavas, zes byl pripojenej pres tunel domu, kdybys nekde chytil nejakou sifrovaci breberku. To by byla najednou vsechno chyba spravcu, kterym urcite neco proslo....

Ve správně nastavené síti by "šifrovací breberka" neměla způsobit víc, než nutnost přeinstalovat (nejlépe automaticky) danou pracovní stanici a ztrátu práce za 1 den. Teoreticky by mohla ještě napáchat nějaké škody například ve verzovacím systému, ale commity lze rollbacknout a proti se snad žádný takový mallware na SVN či GIT nezaměřuje.

Uz jenom obnova dat na sdilenych discich muze byt pekny opruz, nemluve o ztrate dat celeho oddeleni treba za den. Navic u nejake zero-day diry se to muze i pekne sirit po klientske siti....a spravci muzou jenom doufat, ze maji dobre nastavene prostupy do serverove casti. Je to proste uplne zbytecna dalsi dira, u ktere jenom dotycny veri, ze jemu se to stat nemuze (at uz opravnene, nebo -vetsinou- neopravnene. Je proste videt, ze vyvojari maji na bezpecnost pohled asi jako ja na Javu - uz jsme o tom slyseli ;-)
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: Filip Jirsák 26. 10. 2017, 14:37:05
V případě té http(s) proxy, bych se snad i vsadil, že to nemůže fungovat, alespoň na opravdové, chytré a cachovací proxy jako mám u svého zaměstnavatele já.
Žádná HTTPS proxy neexistuje. Existuje pouze HTTP proxy, která umožňuje pomocí HTTP metody CONNECT přes proxy navázat tunelované spojení, kterým je možné přenést libovolný jiný protokol – obvykle HTTPS, ale klidně i to SSH. Opravdová HTTP proxy to umí, chytrá proxy může být omezená na cílový port 443, ale tazatel psal, že SSHD mu běží i tam. Chytrá proxy se taky může pokoušet z charakteru provozu a případně provozních dat posílaných před začátkem šifrovaného spojení určit, zda tím šifrovaným kanálem protéká opravdu HTTPS nebo něco jiného. Cachovací proxy cachuje jen HTTP provoz, do HTTPS nevidí.
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: turista- 26. 10. 2017, 16:52:14
Uz jenom obnova dat na sdilenych discich muze byt pekny opruz, nemluve o ztrate dat celeho oddeleni treba za den. Navic u nejake zero-day diry se to muze i pekne sirit po klientske siti....a spravci muzou jenom doufat, ze maji dobre nastavene prostupy do serverove casti. Je to proste uplne zbytecna dalsi dira, u ktere jenom dotycny veri, ze jemu se to stat nemuze (at uz opravnene, nebo -vetsinou- neopravnene. Je proste videt, ze vyvojari maji na bezpecnost pohled asi jako ja na Javu - uz jsme o tom slyseli ;-)
Už jen používat sdílené disky s všeobecným právem zápisu je díra sama o sobě. Leda na nějakou krátkodobou výměnu dat (každé ráno se to smaže), nebo že každý uživatel má svůj adresář, kde má právo zápisu a ostatní mohou pouze číst.
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: L. 26. 10. 2017, 18:17:08
Jake k tomu ma tazatel duvody, mi je jedno. Uz jsem zazil kolegy, co si kvuli tomu platili i vlastni data ve vlastnim mobilu, aby mohli v praci browsit na netu. Az na jeden pripad to byla podle me chyba vedeni, ze pro ne nema kloudnou praci nebo jinou zabavu.

Až za mnoho let doděláš školu a stane se ta nepravděpodobná věc, že tě přijmou do zaměstnání, tak tě čeká jedno dost nepříjemné zjištění: Do práce se chodí pracovat, ne za zábavou.
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: abc 26. 10. 2017, 22:13:21
Jake k tomu ma tazatel duvody, mi je jedno. Uz jsem zazil kolegy, co si kvuli tomu platili i vlastni data ve vlastnim mobilu, aby mohli v praci browsit na netu. Az na jeden pripad to byla podle me chyba vedeni, ze pro ne nema kloudnou praci nebo jinou zabavu.

Až za mnoho let doděláš školu a stane se ta nepravděpodobná věc, že tě přijmou do zaměstnání, tak tě čeká jedno dost nepříjemné zjištění: Do práce se chodí pracovat, ne za zábavou.

Jo ? ve fungující, nejlépe malé firmě možná, v SW-house korporatního typu, který zaměstnává víc tlučhubů než programátorů, má občas takový programátor spoustu času než se tlučhubové domluví co vlasně chtěji, tak proč tento čas nevyužít produktivně ? jinak by ho sledování argumentací tlučhubů jen připravilo o rozum. Sice potom až se domluví tak bude padat na hubu a budou nad ním stát s bičem, ale nemusel by, protože než to předchozí zadání dodělá, tak přijde požadavek na změnu, která stejně bude vyžadovat kompletní refactoring :-)  šedivá je teorie, zelený je strom života ;-)
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: ehmmm 27. 10. 2017, 11:15:24
Až za mnoho let doděláš školu a stane se ta nepravděpodobná věc, že tě přijmou do zaměstnání, tak tě čeká jedno dost nepříjemné zjištění: Do práce se chodí pracovat, ne za zábavou.

:)

A az budes par let zamestnanej a zenatej, tak zjistis, ze je jednodussi zmenit zamestnani nez manzelku a ze aspon v zamestnani je potreba byt v klidu.
Snazim se vybirat si takove sefy, kteri toleruji, kdyz obcas skouknu dojezd kopcovite etapy Tour nebo bitvu Gabci o kristalovy globus. To jsou proste priority.
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: SB 27. 10. 2017, 11:16:09
Já původní dotaz tazatele pochopil jako zájem o technické řešení, nevšiml jsem si, že by žádal o morální či právní rozbor. Má-li někdo potřebu to řešit, ať si založí jiné vlákno, tam si může nad tématem honit dle libosti.
Děkuji.
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: Miroslav Šilhavý 27. 10. 2017, 11:43:29
Já původní dotaz tazatele pochopil jako zájem o technické řešení, nevšiml jsem si, že by žádal o morální či právní rozbor. Má-li někdo potřebu to řešit, ať si založí jiné vlákno, tam si může nad tématem honit dle libosti.
Děkuji.

1. Tazatel upřesnil svoji situaci (u zaměstnavatele, ...) - nebyl to čistě technický dotaz, ale byl v plném kontextu.
2. Zatímco odpovědi, které na kontext navazují, off-topic nejsou, tak Vaše kárání je.
Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: kz 27. 10. 2017, 12:12:27
Žádná HTTPS proxy neexistuje. Existuje pouze HTTP proxy, která umožňuje pomocí HTTP metody CONNECT přes proxy navázat tunelované spojení, kterým je možné přenést libovolný jiný protokol – obvykle HTTPS, ale klidně i to SSH.

HTTPS proxy existují a velkých zahraničních korporátech se používají. Fungují jako man in the middle s tím že uživatel používá korporátní certifikát.

Název: Re:SSH s Putty cez firemné HTTP proxy
Přispěvatel: Honza 28. 10. 2017, 03:33:02
Tunel ssh pres http proxy normalne funguje, pokud proxy vyzaduje ntlm da se obejit napriklad skvelou utilitou cntlm.

Jinak to neni zdaleka jen o cteni zlych webu z prace apod. Smutnou strankou veci je ze ve firmach vetsich nez malych se na klasifikaci webu moc nehledi a blokuji se stranky ktere maji v podstate nezavadny obsah, nezridkakdy weby ktere obsahuji cene informace k reseni ruznych zapeklitych problemu pro podezreni na "hack/crack obsah" (byl sem svedkem i blokovaneho Oracle metalinku), nebo antivir na proxy scanujici stahovany obsah neumi vetsi soubory nez treba pul giga, pripadne je testuje sto let. Oficialni cesta vetsinou byva vytvorit ticket s zadosti o odstraneni stranky z blacklistu na prislusne oddeleni a pak tyden cekat (v tom lepsi pripade) nez se nekdo smiluje a stranku povoli (chachacha). A verte mi ze neni nic smutnejsiho nez kdyz resite pruser, potite se az na koulich, google Vam najde potencialni reseni, ale vy nejste schopni se na nej podivat paac je stranka blokovana. Ano muzem si hrat na hrdiny a rict: "hele sefe sory jako nemuzu, protoze nase proxina blokuje blbosti, takze si to reste beze me a ble ble ble", ale ja na to nemam povahu a sem tu od reseni problemu ne od zabomysich valek typu proc nemuzu udelat to ci ono. Zkratka ssh tunel a vlastni proxy vyrazne chrani vase dusevni zdravi. A ano clovek se musi chovat o to odpovednejc
Název: thx
Přispěvatel: IG0R 30. 10. 2017, 16:36:44
Pozerám, že diskusia sa rozvírila, prekonalo to moje očakávania.
Ďakujem všetkým za  komentáre, niektoré pobavili, niektoré poučili.

Nepotrebujem to preto, že chcem browsovať zakazané stránky, šlo mi len o možnosť upraviť niečo na vlastnom serveri, pokiaľ mám na to čas v práci.

Na moje potreby som využil shellinthebox, ale je skvelé, že som sa dozvedel o ďalších možnostiach.
Ešte raz ďakujem...