it-swarm-eu.dev

Jaké alternativy existují, když je SSH aktivně filtrován?

Naše vláda bohužel filtruje protokol SSH, takže se nyní nemůžeme připojit k našemu serveru Linux.

Filtrování provádějí kontrolou záhlaví každého paketu v síťové vrstvě (a ne pouhým zavřením portu). Odstraňují také protokoly VPN.

Existuje alternativní způsob bezpečného připojení k serveru Linux?

149
Moein Hosseini

Od co jsem slyšel dříve dnes, https/ssl proudí správně přes vaše hranice.

Měli byste se tedy podívat vývrtka .

Podobně jako netcat se používá k zabalení ssh do https, aby bylo možné používat https proxy.

Dalším řešením by bylo použití LSH , které by mělo jiný podpis než ssh, funguje z Íránu, jak to poznamenal Siavash ve své zprávě =.

88
petrus

Na základě přednášky na konferenci CCC - 28C3: Jak se vlády pokusily zablokovat Tor - Tor Project má nejlepší výsledky v této dynamické a náročné oblasti, a to lze použít pro SSH. Inovativní použití mostů Tor je jedním z nejnovějších poznatků. 28C3 Tor diskuse je také na YouTube a snímky jsou na https://svn.torproject.org/svn/projects/presentations/slides-28c3.pdf

Všimněte si, že použití vyhýbavých metod, které lze snadno identifikovat, může uživatele vystavit ještě většímu porušování jejich lidských práv a osobní bezpečnosti. Buď opatrný.

Aktualizace : Článek 19 Všeobecná deklarace lidských práv je zde relevantní:

  • Článek 19: Každý má právo na svobodu názoru a projevu; toto právo zahrnuje svobodu zastávat názory bez zasahování a vyhledávat, přijímat a předávat informace a myšlenky prostřednictvím jakéhokoli média a bez ohledu na hranice.
23
nealmcb

Pokud jste nefiltrovali https, můžete udělat něco jako AjaxTerm nebo jakýkoli jiný AJAX nebo emulátor terminálu založený na HTML5 spuštěný na chráněném webu v rámci webového serveru, který se může připojit buď k místní ssh démona nebo v některých případech na vzdálené na jiných rozhraních vašeho stroje.

Další možností (těžko obskurní), pokud máte v krabici ICMP, by bylo spustit TCP/IP na ICMP, pokud je otevřený. Viz zde .

13
pfo

Zkuste odeslat SSH handshake na více než 1 paket. Spousta technologie filtrování paketů pracuje na úrovni paketů a nebude se pro inspekci ukládat do vyrovnávací paměti.

Pokud to nepomůže, zkuste to udělat, ale poslat dvě nebo více částí handshake mimo provoz. Pouze v případě, že se pole DPI znovu sestavuje, dojde k zachycení handshake.

11
strtok

Máte několik možností pro tunelování IP přes jiné protokoly. Kromě použití něco jako vývrtka, můžete zkusit implementaci IP/DNS (tj. S jod ) nebo IP/ICMP .

V opačném případě byste mohli použít něco jako http://www.serfish.com/console/

10
ashwoods

Můžete také zvážit tunelový provoz SSH přes DNS pomocí nástrojů jako OzymanDNS nebo jod

7
Juicy Scripter

Dalo by se použít něco jako VNC, ale bez bezpečného tunelu, jako je VPN nebo SSH, to není příliš bezpečné. Pokud to také filtrují, budete mít těžký čas.

5
MDMarra

Další možností, ale vyžadující, abyste nejprve získali přístup k serveru jiným způsobem, abyste mohli nainstalovat démona, je telnet-ssl/telnetd-ssl.

Na rozdíl od některých dalších navrhovaných možností to nebude vyžadovat mnoho režijních nákladů na síť a je velmi snadné používat (jakmile je spuštěn démon).

5
TimB

Pokud víte, že vaše současné internetové připojení je filtrováno, použijte jiný způsob internetového připojení, jako je poskytovatel satelitní internetové služby. Existuje celá řada různých poskytovatelů satelitní internetové služby: list1 , list2 .

(Autorova původní otázka nestanovila žádná omezení ohledně získání nějaké alternativní formy připojení.)

5
ttt

Měli byste být schopni pouze změnit port ssh na 443 a poté se přes něj připojit. Pokud neprovádějí útok typu člověk-uprostřed, neměli by být schopni rozeznat rozdíl mezi ssh a https.

Fungovalo to na všech firewallech, na kterých jsem to vyzkoušel. (samozřejmě ne tolik)

Zajímá mě, jestli to funguje. Dík.

4
user606723

Mám stejný problém. V současné době je navázáno počáteční spojení SSH, ale po nějakém přenosu paketů je přerušeno. Věřím, že začali klesat pakety SSH po dosažení limitu. Přepnul jsem na MOSH https://mosh.mit.edu/ . Ověřuje se pomocí SSH a poté přepíná na UDP. Je rychlejší než SSH a snadno se instaluje a používá.

Chcete-li ji použít, stačí ji nainstalovat na server, otevřete port udp 60000: 61000 ve firewallu a připojit se k serveru pomocí klienta mosh jako vy s klientem ssh (Není třeba nic spouštět).

Sudo yum install mosh
Sudo iptables -I INPUT 1 -p udp --dport 60000:61000 -j ACCEPT

Dobrým klientem pro Windows je MobaXTerm http://mobaxterm.mobatek.net/download-home-edition.html

2
Ali