SSH s Putty cez firemné HTTP proxy

Ramirez

Re:SSH s Putty cez firemné HTTP proxy
« Odpověď #15 kdy: 25. 10. 2017, 18:03:36 »
Nechapu, a to jako nemuzes veci, na ktery zamestnavatel nechce abys v praci chodil, cist doma?
Je nějaký důvod, proč bys to Ty měl chápat?


M.

Re:SSH s Putty cez firemné HTTP proxy
« Odpověď #16 kdy: 25. 10. 2017, 23:02:02 »
Jak psal Jirsák, tak Putty přes Proxinu normálně funguje, nastavit connection / proxy. Putty samotný nezvládá jen složitější autorizační mechanismy na proxinu, takže pokud je požadováno NTLM nebo GSS, tak to nezvládne.
Dále může být problém, pokud by proxina byla inteligentní a hlídala, co po tom connectu tím zkusí protékat. Např v proxině může být nasazen modul, co kontoluje, že se začně navazovat korektně TLS spojení a navíc povolí třeba jen spojení na servery, které předkládají certifikáty na white listu (v takovém případě holý Putty také neprojde).

MP

Re:SSH s Putty cez firemné HTTP proxy
« Odpověď #17 kdy: 26. 10. 2017, 10:18:04 »
Co se tyka bezpecnosti, tak si myslim, ze kdyz nekdo dokaze neco takoveho, tak uz to neni uplny blbecek, co si nainstaluje a spusti kdejakou zavsivenou vec stazenou z netu. Navic je otazka, jestli a jak by ti vubec dokazali, co tim SSH tunelem slo.

Omyl. Podle navodu na taliri z internetu to nastavi kazdy blbecek. Ale to, ze rozbiji zabezpeceni firmy, to je jim u zadnice.

i

Re:SSH s Putty cez firemné HTTP proxy
« Odpověď #18 kdy: 26. 10. 2017, 12:52:12 »
Jak psal Jirsák, tak Putty přes Proxinu normálně funguje, ...

Asi opět něco nechápu, může mi prosím někdo vysvětlit co je proxy z pohledu protokolu ssh ? že ho tam to putty má ?
Já sice chápu že putty je slepenec terminálu a ssh klienta pro woknaře. ale v této diskusi se přestávám orientovat zda tou proxy bylo míněno běžné http(s) proxy nebo nějaké ssh-proxy.

V případě té http(s) proxy, bych se snad i vsadil, že to nemůže fungovat, alespoň na opravdové, chytré a cachovací proxy jako mám u svého zaměstnavatele já.  V tom druhém případě, v open_ssh který běžně používám, v ~/.ssh/config  běžně pro některé své hosty používám parametr ProxyCommand, to je ale asi něco úplně jiného. to předpokládá spolupráci toho "proxy" třeba jako stanice na rozhranní přes kterou se prologuješ ven.

Pokud půdovnímu tazateli nejde o ssh-tunel, vnc, ... nebo něco podobného přes ssh ale opravdu mu jde jen o CLI, tak mě ten shellinabox fakt funguje úžasně a z práce se v případě potřeby domu v pohodě dostávám, jen škoda že to neumí autorizaci klíčem, ale není divu, protože to ten ssh-protokol úplně obchází.

Re:SSH s Putty cez firemné HTTP proxy
« Odpověď #19 kdy: 26. 10. 2017, 13:42:18 »
Nechapu, a to jako nemuzes veci, na ktery zamestnavatel nechce abys v praci chodil, cist doma?

Já se zeptám opačně. Proč by je četl doma, když je může číst v práci?
Mnohé profese je nesmysl platit "od hodiny". Spíš je vhodné si takovým "benefitem" udržet schopné lidi. "Schopný" != "pracuje 8 hodin nonstop".

Uz zive vidim jak priznavas, zes byl pripojenej pres tunel domu, kdybys nekde chytil nejakou sifrovaci breberku. To by byla najednou vsechno chyba spravcu, kterym urcite neco proslo....

Ve správně nastavené síti by "šifrovací breberka" neměla způsobit víc, než nutnost přeinstalovat (nejlépe automaticky) danou pracovní stanici a ztrátu práce za 1 den. Teoreticky by mohla ještě napáchat nějaké škody například ve verzovacím systému, ale commity lze rollbacknout a proti se snad žádný takový mallware na SVN či GIT nezaměřuje.


Spork

Re:SSH s Putty cez firemné HTTP proxy
« Odpověď #20 kdy: 26. 10. 2017, 14:03:20 »
Resenim je VPN pomoci technologie SSTP. Projde to pres proxy.

Zdravim, vedel by mi niekto poradit?

V praci mame proxy na porte 3128
Doma mam ssh server (na portoch 22 a 443) na ktory sa chcem pripojit z prace (cez proxy:3128)

Co mam nastavit v Putty aby som sa pripojil? uz som skusal vselico mozne bez uspechu...

Cek

Re:SSH s Putty cez firemné HTTP proxy
« Odpověď #21 kdy: 26. 10. 2017, 14:10:31 »
Nechapu, a to jako nemuzes veci, na ktery zamestnavatel nechce abys v praci chodil, cist doma?

Já se zeptám opačně. Proč by je četl doma, když je může číst v práci?
Mnohé profese je nesmysl platit "od hodiny". Spíš je vhodné si takovým "benefitem" udržet schopné lidi. "Schopný" != "pracuje 8 hodin nonstop".

Proc by si je mel cist doma? Protoze zamestnavatel zretelne nechce aby je cetl v praci, jinak by je na proxy nezakazal.
Muze prece browsit po tom, co je povolene, opravdu si nemyslim, ze by mel jenom whitelist, to je hodne malo nasazovane reseni...

Uz zive vidim jak priznavas, zes byl pripojenej pres tunel domu, kdybys nekde chytil nejakou sifrovaci breberku. To by byla najednou vsechno chyba spravcu, kterym urcite neco proslo....

Ve správně nastavené síti by "šifrovací breberka" neměla způsobit víc, než nutnost přeinstalovat (nejlépe automaticky) danou pracovní stanici a ztrátu práce za 1 den. Teoreticky by mohla ještě napáchat nějaké škody například ve verzovacím systému, ale commity lze rollbacknout a proti se snad žádný takový mallware na SVN či GIT nezaměřuje.

Uz jenom obnova dat na sdilenych discich muze byt pekny opruz, nemluve o ztrate dat celeho oddeleni treba za den. Navic u nejake zero-day diry se to muze i pekne sirit po klientske siti....a spravci muzou jenom doufat, ze maji dobre nastavene prostupy do serverove casti. Je to proste uplne zbytecna dalsi dira, u ktere jenom dotycny veri, ze jemu se to stat nemuze (at uz opravnene, nebo -vetsinou- neopravnene. Je proste videt, ze vyvojari maji na bezpecnost pohled asi jako ja na Javu - uz jsme o tom slyseli ;-)

Re:SSH s Putty cez firemné HTTP proxy
« Odpověď #22 kdy: 26. 10. 2017, 14:37:05 »
V případě té http(s) proxy, bych se snad i vsadil, že to nemůže fungovat, alespoň na opravdové, chytré a cachovací proxy jako mám u svého zaměstnavatele já.
Žádná HTTPS proxy neexistuje. Existuje pouze HTTP proxy, která umožňuje pomocí HTTP metody CONNECT přes proxy navázat tunelované spojení, kterým je možné přenést libovolný jiný protokol – obvykle HTTPS, ale klidně i to SSH. Opravdová HTTP proxy to umí, chytrá proxy může být omezená na cílový port 443, ale tazatel psal, že SSHD mu běží i tam. Chytrá proxy se taky může pokoušet z charakteru provozu a případně provozních dat posílaných před začátkem šifrovaného spojení určit, zda tím šifrovaným kanálem protéká opravdu HTTPS nebo něco jiného. Cachovací proxy cachuje jen HTTP provoz, do HTTPS nevidí.

Re:SSH s Putty cez firemné HTTP proxy
« Odpověď #23 kdy: 26. 10. 2017, 16:52:14 »
Uz jenom obnova dat na sdilenych discich muze byt pekny opruz, nemluve o ztrate dat celeho oddeleni treba za den. Navic u nejake zero-day diry se to muze i pekne sirit po klientske siti....a spravci muzou jenom doufat, ze maji dobre nastavene prostupy do serverove casti. Je to proste uplne zbytecna dalsi dira, u ktere jenom dotycny veri, ze jemu se to stat nemuze (at uz opravnene, nebo -vetsinou- neopravnene. Je proste videt, ze vyvojari maji na bezpecnost pohled asi jako ja na Javu - uz jsme o tom slyseli ;-)
Už jen používat sdílené disky s všeobecným právem zápisu je díra sama o sobě. Leda na nějakou krátkodobou výměnu dat (každé ráno se to smaže), nebo že každý uživatel má svůj adresář, kde má právo zápisu a ostatní mohou pouze číst.

L.

Re:SSH s Putty cez firemné HTTP proxy
« Odpověď #24 kdy: 26. 10. 2017, 18:17:08 »
Jake k tomu ma tazatel duvody, mi je jedno. Uz jsem zazil kolegy, co si kvuli tomu platili i vlastni data ve vlastnim mobilu, aby mohli v praci browsit na netu. Az na jeden pripad to byla podle me chyba vedeni, ze pro ne nema kloudnou praci nebo jinou zabavu.

Až za mnoho let doděláš školu a stane se ta nepravděpodobná věc, že tě přijmou do zaměstnání, tak tě čeká jedno dost nepříjemné zjištění: Do práce se chodí pracovat, ne za zábavou.

abc

Re:SSH s Putty cez firemné HTTP proxy
« Odpověď #25 kdy: 26. 10. 2017, 22:13:21 »
Jake k tomu ma tazatel duvody, mi je jedno. Uz jsem zazil kolegy, co si kvuli tomu platili i vlastni data ve vlastnim mobilu, aby mohli v praci browsit na netu. Az na jeden pripad to byla podle me chyba vedeni, ze pro ne nema kloudnou praci nebo jinou zabavu.

Až za mnoho let doděláš školu a stane se ta nepravděpodobná věc, že tě přijmou do zaměstnání, tak tě čeká jedno dost nepříjemné zjištění: Do práce se chodí pracovat, ne za zábavou.

Jo ? ve fungující, nejlépe malé firmě možná, v SW-house korporatního typu, který zaměstnává víc tlučhubů než programátorů, má občas takový programátor spoustu času než se tlučhubové domluví co vlasně chtěji, tak proč tento čas nevyužít produktivně ? jinak by ho sledování argumentací tlučhubů jen připravilo o rozum. Sice potom až se domluví tak bude padat na hubu a budou nad ním stát s bičem, ale nemusel by, protože než to předchozí zadání dodělá, tak přijde požadavek na změnu, která stejně bude vyžadovat kompletní refactoring :-)  šedivá je teorie, zelený je strom života ;-)

ehmmm

Re:SSH s Putty cez firemné HTTP proxy
« Odpověď #26 kdy: 27. 10. 2017, 11:15:24 »
Až za mnoho let doděláš školu a stane se ta nepravděpodobná věc, že tě přijmou do zaměstnání, tak tě čeká jedno dost nepříjemné zjištění: Do práce se chodí pracovat, ne za zábavou.

:)

A az budes par let zamestnanej a zenatej, tak zjistis, ze je jednodussi zmenit zamestnani nez manzelku a ze aspon v zamestnani je potreba byt v klidu.
Snazim se vybirat si takove sefy, kteri toleruji, kdyz obcas skouknu dojezd kopcovite etapy Tour nebo bitvu Gabci o kristalovy globus. To jsou proste priority.

SB

Re:SSH s Putty cez firemné HTTP proxy
« Odpověď #27 kdy: 27. 10. 2017, 11:16:09 »
Já původní dotaz tazatele pochopil jako zájem o technické řešení, nevšiml jsem si, že by žádal o morální či právní rozbor. Má-li někdo potřebu to řešit, ať si založí jiné vlákno, tam si může nad tématem honit dle libosti.
Děkuji.

Re:SSH s Putty cez firemné HTTP proxy
« Odpověď #28 kdy: 27. 10. 2017, 11:43:29 »
Já původní dotaz tazatele pochopil jako zájem o technické řešení, nevšiml jsem si, že by žádal o morální či právní rozbor. Má-li někdo potřebu to řešit, ať si založí jiné vlákno, tam si může nad tématem honit dle libosti.
Děkuji.

1. Tazatel upřesnil svoji situaci (u zaměstnavatele, ...) - nebyl to čistě technický dotaz, ale byl v plném kontextu.
2. Zatímco odpovědi, které na kontext navazují, off-topic nejsou, tak Vaše kárání je.

kz

Re:SSH s Putty cez firemné HTTP proxy
« Odpověď #29 kdy: 27. 10. 2017, 12:12:27 »
Žádná HTTPS proxy neexistuje. Existuje pouze HTTP proxy, která umožňuje pomocí HTTP metody CONNECT přes proxy navázat tunelované spojení, kterým je možné přenést libovolný jiný protokol – obvykle HTTPS, ale klidně i to SSH.

HTTPS proxy existují a velkých zahraničních korporátech se používají. Fungují jako man in the middle s tím že uživatel používá korporátní certifikát.