Jaké alternativy existují, když je SSH aktivně filtrován?

Na základě přednášky na konferenci CCC - 28C3: Jak se vlády pokusily zablokovat Tor - Tor Project má nejlepší výsledky v této dynamické a náročné oblasti, a to lze použít pro SSH. Inovativní použití mostů Tor je jedním z nejnovějších poznatků. 28C3 Tor diskuse je také na YouTube a snímky jsou na https://svn.torproject.org/svn/projects/presentations/slides-28c3.pdf

Všimněte si, že použití vyhýbavých metod, které lze snadno identifikovat, může uživatele vystavit ještě většímu porušování jejich lidských práv a osobní bezpečnosti. Buď opatrný.

Aktualizace : Článek 19 Všeobecná deklarace lidských práv je zde relevantní:

• Článek 19: Každý má právo na svobodu názoru a projevu; toto právo zahrnuje svobodu zastávat názory bez zasahování a vyhledávat, přijímat a předávat informace a myšlenky prostřednictvím jakéhokoli média a bez ohledu na hranice.

Pokud jste nefiltrovali https, můžete udělat něco jako AjaxTerm nebo jakýkoli jiný AJAX nebo emulátor terminálu založený na HTML5 spuštěný na chráněném webu v rámci webového serveru, který se může připojit buď k místní ssh démona nebo v některých případech na vzdálené na jiných rozhraních vašeho stroje.

Další možností (těžko obskurní), pokud máte v krabici ICMP, by bylo spustit TCP/IP na ICMP, pokud je otevřený. Viz zde .

Zkuste odeslat SSH handshake na více než 1 paket. Spousta technologie filtrování paketů pracuje na úrovni paketů a nebude se pro inspekci ukládat do vyrovnávací paměti.

Pokud to nepomůže, zkuste to udělat, ale poslat dvě nebo více částí handshake mimo provoz. Pouze v případě, že se pole DPI znovu sestavuje, dojde k zachycení handshake.

Máte několik možností pro tunelování IP přes jiné protokoly. Kromě použití něco jako vývrtka, můžete zkusit implementaci IP/DNS (tj. S jod ) nebo IP/ICMP .

V opačném případě byste mohli použít něco jako http://www.serfish.com/console/

Můžete také zvážit tunelový provoz SSH přes DNS pomocí nástrojů jako OzymanDNS nebo jod

Dalo by se použít něco jako VNC, ale bez bezpečného tunelu, jako je VPN nebo SSH, to není příliš bezpečné. Pokud to také filtrují, budete mít těžký čas.

Další možností, ale vyžadující, abyste nejprve získali přístup k serveru jiným způsobem, abyste mohli nainstalovat démona, je telnet-ssl/telnetd-ssl.

Na rozdíl od některých dalších navrhovaných možností to nebude vyžadovat mnoho režijních nákladů na síť a je velmi snadné používat (jakmile je spuštěn démon).

Pokud víte, že vaše současné internetové připojení je filtrováno, použijte jiný způsob internetového připojení, jako je poskytovatel satelitní internetové služby. Existuje celá řada různých poskytovatelů satelitní internetové služby: list1 , list2 .

(Autorova původní otázka nestanovila žádná omezení ohledně získání nějaké alternativní formy připojení.)

Měli byste být schopni pouze změnit port ssh na 443 a poté se přes něj připojit. Pokud neprovádějí útok typu člověk-uprostřed, neměli by být schopni rozeznat rozdíl mezi ssh a https.

Fungovalo to na všech firewallech, na kterých jsem to vyzkoušel. (samozřejmě ne tolik)

Zajímá mě, jestli to funguje. Dík.

Mám stejný problém. V současné době je navázáno počáteční spojení SSH, ale po nějakém přenosu paketů je přerušeno. Věřím, že začali klesat pakety SSH po dosažení limitu. Přepnul jsem na MOSH https://mosh.mit.edu/ . Ověřuje se pomocí SSH a poté přepíná na UDP. Je rychlejší než SSH a snadno se instaluje a používá.

Chcete-li ji použít, stačí ji nainstalovat na server, otevřete port udp 60000: 61000 ve firewallu a připojit se k serveru pomocí klienta mosh jako vy s klientem ssh (Není třeba nic spouštět).

Sudo yum install mosh
Sudo iptables -I INPUT 1 -p udp --dport 60000:61000 -j ACCEPT

Dobrým klientem pro Windows je MobaXTerm http://mobaxterm.mobatek.net/download-home-edition.html