SSH redt downloaders van strenge firewalls en ISPs
Voor internetgebruikers die op school of werk iets via BitTorrent willen downloaden, maar dit vanwege een streng ingestelde firewall niet kunnen, of bij een internetprovider of publieke hotspot zitten die bepaald verkeer filteren, is er een oplossing. Via SSH kan men vrij eenvoudig firewalls en filters omzeilen. Het enige dat men moet doen is een SSH account regelen, Putty downloaden en een tunnel instellen, waarna als laatste de BitTorrent client ingesteld moet worden. De handleiding is er zowel voor Windows als Mac OS.
Reacties (21)
Als die "streng ingestelde firewall" BitTorrent tegenhoudt,
maar SSH niet, dan zitten ze met een groter probleem, lijkt
me. Door SSH kun je alles tunnelen.
maar SSH niet, dan zitten ze met een groter probleem, lijkt
me. Door SSH kun je alles tunnelen.
16-10-2007, 10:32 door
pikah
Dit is echt al zooo lang bekend. Het heeft zelfs al eerder
op security.nl gestaan.
Strenge firewalls laten ook geen SSH door, je kan beter een
SSL VPN opzetten, poort 443 staat namelijk vrijwel altijd.
op security.nl gestaan.
Strenge firewalls laten ook geen SSH door, je kan beter een
SSL VPN opzetten, poort 443 staat namelijk vrijwel altijd.
Op mijn netwerk wordt voor de gebruikers ssh (standaard
poort 22) ook geblokt, behalve op het subnet van de
administrators.
En ik heb de indruk dat op vele scholen/werk dit zo is. En
maar best ook.
Waarom heeft een gewone gebruiker ssh nodig? Ze krijgen hier
enkel uitgaand verkeer naar http,https,pop3,imap en smtp.
Groeten
Keymaker
poort 22) ook geblokt, behalve op het subnet van de
administrators.
En ik heb de indruk dat op vele scholen/werk dit zo is. En
maar best ook.
Waarom heeft een gewone gebruiker ssh nodig? Ze krijgen hier
enkel uitgaand verkeer naar http,https,pop3,imap en smtp.
Groeten
Keymaker
OpenVPN werkt bij mij al sinds jaren! Over het school
netwerk evenals het telfort MMS netwerk:>
netwerk evenals het telfort MMS netwerk:>
Beste mensen, je kan SSH over welke poort dan ook tunnelen,
voor mijn part 80 ; zal je alleen je webserver ( indien van
toepassing ) moeten uitzetten of laten luisteren op een
andere poort, dus die slimmerds die denken dat ze met poort
443 of 22 blokkeren goed zitten hebben pech... :-)
Zijn echter wel andere methodes om het te blocken maja...
dat hoeft hier niet uigelicht te worden ; google is your
best friend .... ;-)
@ Keymaker,
juist die mensen die niet gebonden willen zijn aan
http,https,pop3,imap en smtp maar ook andere protocols
willen gebruiken zullen terugvallen op SSH, niet voor SSH
maar wel voor de beperkingen te omzeilen door gebruik te
maken van een SSH-Tunnel .... :-)
voor mijn part 80 ; zal je alleen je webserver ( indien van
toepassing ) moeten uitzetten of laten luisteren op een
andere poort, dus die slimmerds die denken dat ze met poort
443 of 22 blokkeren goed zitten hebben pech... :-)
Zijn echter wel andere methodes om het te blocken maja...
dat hoeft hier niet uigelicht te worden ; google is your
best friend .... ;-)
@ Keymaker,
juist die mensen die niet gebonden willen zijn aan
http,https,pop3,imap en smtp maar ook andere protocols
willen gebruiken zullen terugvallen op SSH, niet voor SSH
maar wel voor de beperkingen te omzeilen door gebruik te
maken van een SSH-Tunnel .... :-)
En hierom zet een slimme admin niet zomaar poort 80/443 open for fun
and profit, maar laat deze het verkeer over deze poorten door een proxy
heenlopen. Dat is met HTTPS iets lastiger, echter nog steeds prima
haalbaar, maar HTTPS-whitelisting maakt ook steeds meer zijn intrede.
and profit, maar laat deze het verkeer over deze poorten door een proxy
heenlopen. Dat is met HTTPS iets lastiger, echter nog steeds prima
haalbaar, maar HTTPS-whitelisting maakt ook steeds meer zijn intrede.
16-10-2007, 11:49 door
fd0
Door Anoniem
En hierom zet een slimme admin niet zomaar poort 80/443 open
for fun
and profit, maar laat deze het verkeer over deze poorten
door een proxy
heenlopen. Dat is met HTTPS iets lastiger, echter nog steeds
prima
haalbaar, maar HTTPS-whitelisting maakt ook steeds meer zijn
intrede.
en met een https proxy wordt het kinderlijk eenvoudig omEn hierom zet een slimme admin niet zomaar poort 80/443 open
for fun
and profit, maar laat deze het verkeer over deze poorten
door een proxy
heenlopen. Dat is met HTTPS iets lastiger, echter nog steeds
prima
haalbaar, maar HTTPS-whitelisting maakt ook steeds meer zijn
intrede.
hier SSH door te tunnelen... google is your friend
En daarom zet een slimme admin een SSL-proxy in die als MITM eerst het
verkeer decodeert, om het vervolgens te checken op legitimiteit en
doorstuurt bij akkoord. ;)
verkeer decodeert, om het vervolgens te checken op legitimiteit en
doorstuurt bij akkoord. ;)
Door fd0
En met https openbreken is dat ook afgelopen. Ook hier is
google je vriend.
En met https openbreken is dat ook afgelopen. Ook hier is
google je vriend.
Bijv om bij mijn files te geraken? gezien usb poorten ook
disabled staan? en anders httptunnel gebruiken als die
morgen ook dicht is.
disabled staan? en anders httptunnel gebruiken als die
morgen ook dicht is.
Door Anoniem
Op mijn netwerk wordt voor de gebruikers ssh (standaard
poort 22) ook geblokt, behalve op het subnet van de
administrators.
En ik heb de indruk dat op vele scholen/werk dit zo is. En
maar best ook.
Waarom heeft een gewone gebruiker ssh nodig? Ze krijgen hier
enkel uitgaand verkeer naar http,https,pop3,imap en smtp.
Groeten
Keymaker
Op mijn netwerk wordt voor de gebruikers ssh (standaard
poort 22) ook geblokt, behalve op het subnet van de
administrators.
En ik heb de indruk dat op vele scholen/werk dit zo is. En
maar best ook.
Waarom heeft een gewone gebruiker ssh nodig? Ze krijgen hier
enkel uitgaand verkeer naar http,https,pop3,imap en smtp.
Groeten
Keymaker
Door Anoniem
Op mijn netwerk wordt voor de gebruikers ssh (standaard
poort 22) ook geblokt, behalve op het subnet van de
administrators.
En ik heb de indruk dat op vele scholen/werk dit zo is. En
maar best ook.
Waarom heeft een gewone gebruiker ssh nodig? Ze krijgen hier
enkel uitgaand verkeer naar http,https,pop3,imap en smtp.
Groeten
Keymaker
Op mijn netwerk wordt voor de gebruikers ssh (standaard
poort 22) ook geblokt, behalve op het subnet van de
administrators.
En ik heb de indruk dat op vele scholen/werk dit zo is. En
maar best ook.
Waarom heeft een gewone gebruiker ssh nodig? Ze krijgen hier
enkel uitgaand verkeer naar http,https,pop3,imap en smtp.
Groeten
Keymaker
en als iemand zijn ssh server op 443 laat luisteren buiten jou netwerk, dan
kan je gewoon over die poort een ssh verbinding maken.. en vanuit daar
een tunnel opbouwen naar iedere poort die de gebruiker wil.. dit is al zo
oud als de weg naar rome als je het mij vraagt.. dit deed ik op de
middelbare school al :).. en dat is al dik 8 jaar geleden
16-10-2007, 15:46 door
SirDice
HTTP proxy, content scanner.. HTTPS hetzelfde + whitelist en de rest niet toestaan.. Default gateway van je netwerk naar een router met accesslist (alles dicht, logging naar centrale server).. Simpel..
Browsen kan uitsluitend en alleen via de proxy, een ieder die iets anders probeert (virus, n00b die de boel probeert te omzeilen etc) loopt tegen de ACL van de router aan. Zo heb ik al diverse lusers "betrapt". Blijft leuk om binnen 5
min., nadat iemand iets heeft zitten proberen, naast z'n bureau te staan, "Wat zijn we aan het doen?".
Browsen kan uitsluitend en alleen via de proxy, een ieder die iets anders probeert (virus, n00b die de boel probeert te omzeilen etc) loopt tegen de ACL van de router aan. Zo heb ik al diverse lusers "betrapt". Blijft leuk om binnen 5
min., nadat iemand iets heeft zitten proberen, naast z'n bureau te staan, "Wat zijn we aan het doen?".
Door Anoniem
Als die "streng ingestelde firewall" BitTorrent
tegenhoudt,
maar SSH niet, dan zitten ze met een groter probleem, lijkt
me. Door SSH kun je alles tunnelen.
Als die "streng ingestelde firewall" BitTorrent
tegenhoudt,
maar SSH niet, dan zitten ze met een groter probleem, lijkt
me. Door SSH kun je alles tunnelen.
Elk protocol zonder grote delays dat is toegestaan is gewoon
bruikbaar om over te tunnelen, of dat nu IP is over HTTP
(met of zonder proxy) , PPP over DNS of V22 over voip, elk
protocol dat je toestaat kan als basis gebruikt worden voor
een tunnel.
Bovendien kan in principe elke 'shared resource' als een
'covert channel' gebruikt worden.
Waar het in principe op neer komt is dat het 'cooperating
conspiritor'
probleem door veel mensen zelfs mensen met een behoorlijke
basis op het gebied van security geregeld 'vergeten' lijkt
te worden, en/of dat de realiteit van covert channels niet
voldoende wordt onderkent.
17-10-2007, 09:48 door
SirDice
Door Anoniem
dus sirdice zit de hele dag logfiles te F5-en?
screen + tail -f ;)dus sirdice zit de hele dag logfiles te F5-en?
Door SirDice
HTTP proxy, content scanner.. HTTPS hetzelfde + whitelist en
de rest niet toestaan.. Default gateway van je netwerk naar
een router met accesslist (alles dicht, logging naar
centrale server).. Simpel..
Browsen kan uitsluitend en alleen via de proxy, een ieder
die iets anders probeert (virus, n00b die de boel probeert
te omzeilen etc) loopt tegen de ACL van de router aan. Zo
heb ik al diverse lusers "betrapt". Blijft leuk om
binnen 5
min., nadat iemand iets heeft zitten proberen, naast z'n
bureau te staan, "Wat zijn we aan het doen?".
HTTP proxy, content scanner.. HTTPS hetzelfde + whitelist en
de rest niet toestaan.. Default gateway van je netwerk naar
een router met accesslist (alles dicht, logging naar
centrale server).. Simpel..
Browsen kan uitsluitend en alleen via de proxy, een ieder
die iets anders probeert (virus, n00b die de boel probeert
te omzeilen etc) loopt tegen de ACL van de router aan. Zo
heb ik al diverse lusers "betrapt". Blijft leuk om
binnen 5
min., nadat iemand iets heeft zitten proberen, naast z'n
bureau te staan, "Wat zijn we aan het doen?".
heel veilig, helaas niet erg functioneel.
Je mag het halve internet whitelisten omdat iedereen uit
"security" overwegingen poort 80 mijdt.
Daarnaast allerlei ongein met cookies, loadbalancers en dat
soort troep, laat staan slecht functionerende AV-scanners.
Het is in ieder geval goed voor je urenverantwoording en
management zal het ook wwel leuk vinden.
Ik hoop alleen dat er binnen jullie organisatie geen
productie gedraaid hoeft te worden, want dat is bijna
onmogelijk.
ik ken genoeg mensen die bij SSH moeten komen vanaf school,
wat nou als je als student servers onder je beheer hebtr
(het komt voor hoor ik doe het zelf ook) dus dan is het wel
zo fijn als je bij SSH kan komen en ja t tunnelen om door
die rot filter heen te komen doe ik ook al wat jaar :P
wat nou als je als student servers onder je beheer hebtr
(het komt voor hoor ik doe het zelf ook) dus dan is het wel
zo fijn als je bij SSH kan komen en ja t tunnelen om door
die rot filter heen te komen doe ik ook al wat jaar :P
17-10-2007, 11:34 door
SirDice
Door Anoniem
Je mag het halve internet whitelisten omdat iedereen uit "security" overwegingen poort 80 mijdt.
Onzin, er zijn maar weinig websites die NIET op poort 80 draaien.Je mag het halve internet whitelisten omdat iedereen uit "security" overwegingen poort 80 mijdt.
Ik hoop alleen dat er binnen jullie organisatie geen productie gedraaid hoeft te worden, want dat is bijna onmogelijk.
Ook onzin, ze houden er maar rekening mee bij het ontwikkelen van nieuwe functionaliteit. Anders gaat het gewoon niet werken en sla je ze met de policy om de oren..Door SirDice
draaien.
ontwikkelen van nieuwe functionaliteit. Anders gaat het
gewoon niet werken en sla je ze met de policy om de
oren..
Door Anoniem
Je mag het halve internet whitelisten omdat iedereen uit
"security" overwegingen poort 80 mijdt.
Onzin, er zijn maar weinig websites die NIET op poort 80Je mag het halve internet whitelisten omdat iedereen uit
"security" overwegingen poort 80 mijdt.
draaien.
Ik hoop alleen dat er binnen jullie organisatie geen
productie gedraaid hoeft te worden, want dat is bijna
onmogelijk.
Ook onzin, ze houden er maar rekening mee bij hetproductie gedraaid hoeft te worden, want dat is bijna
onmogelijk.
ontwikkelen van nieuwe functionaliteit. Anders gaat het
gewoon niet werken en sla je ze met de policy om de
oren..
Jeetje een klein beetje kritiek en je bent gelijk
gepikeerd... Ben blij dat we niet binnend ezelfde
organisatie werken :-)
Volgens mij heb ik precies de zere plek geraakt, want
zwaaien met de security policy doe je alleen als je geen
argument hebt om iets te blokkeren.
17-10-2007, 15:38 door
SirDice
Volgens mij heb ik precies de zere plek geraakt, want
zwaaien met de security policy doe je alleen als je geen
argument hebt om iets te blokkeren.
Gepikeerd?! Welnee.. En zwaaien met een policy doe je bijv.zwaaien met de security policy doe je alleen als je geen
argument hebt om iets te blokkeren.
als je geen technische beperkingen op kan leggen maar wel
iets wil verbieden. Een policy is er om iedereen te
"dwingen" bepaalde richtlijnen te volgen. Doe je dat niet
dan zijn er consequenties. De consequentie in mijn voorbeeld
zou zijn dat die nieuwe functionaliteit niet in productie komt.
En nee, de baas, directeur of weet ik wie kan dat niet
overrulen. Zo heb ik ook wel eens iemand van de Raad van
bestuur "betrapt" op het gebruik van een prive laptop op het
bedrijfsnetwerk. Dat ding is mooi van het netwerk gehaald.
Regels zijn regels.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
