it-swarm-eu.dev

Welche Alternativen gibt es, wenn SSH aktiv gefiltert wird?

Leider filtert unsere Regierung das SSH-Protokoll, sodass wir jetzt keine Verbindung zu unserem Linux-Server herstellen können.

Sie filtern, indem sie den Header jedes Pakets in der Netzwerkschicht überprüfen (und nicht nur den Port schließen). Sie beseitigen auch VPN-Protokolle.

Gibt es eine alternative Möglichkeit, eine sichere Verbindung zu einem Linux-Server herzustellen?

149
Moein Hosseini

Von was ich früher gehört habe heute fließt https/ssl korrekt durch Ihre Grenzen.

Sie sollten daher Korkenzieher auschecken.

Ähnlich wie bei netcat wird ssh in https eingeschlossen, um die Verwendung von https-Proxys zu ermöglichen.

Eine andere Lösung wäre die Verwendung von LSH , das mit einer anderen Signatur als ssh aus dem Iran funktioniert, wie Siavash es notiert hat in seiner Nachricht =.

88
petrus

Basierend auf einem Vortrag auf der CCC-Konferenz - 28C3: Wie Regierungen versucht haben, Tor zu blockieren - hat das Tor-Projekt die beste Erfolgsbilanz in diesem dynamischen und herausfordernden Bereich, und das auch kann für SSH verwendet werden. Der innovative Einsatz von Tor-Brücken ist eine der neuesten Entwicklungen. Das 28C3 Tor Talk ist auch auf YouTube und die Folien sind unter https://svn.torproject.org/svn/projects/presentations/slides-28c3.pdf

Beachten Sie, dass die Verwendung von Ausweichmethoden, die zu leicht identifiziert werden können, den Benutzer noch mehr Verletzungen seiner Menschenrechte und seiner persönlichen Sicherheit aussetzen kann. Achtung.

Update : Artikel 19 der Allgemeine Erklärung der Menschenrechte ist hier relevant:

  • Artikel 19: Jeder hat das Recht auf Meinungs- und Meinungsfreiheit; Dieses Recht beinhaltet die Freiheit, Meinungen ohne Einmischung zu vertreten und Informationen und Ideen über alle Medien und unabhängig von Grenzen zu suchen, zu empfangen und weiterzugeben.
23
nealmcb

Wenn Sie ungefiltertes https haben, können Sie etwas wie AjaxTerm oder einen anderen AJAX oder HTML5-basierten Terminalemulator ausführen, der auf einer geschützten Site innerhalb eines Webservers ausgeführt wird, der entweder eine Verbindung zu einem lokalen SSH herstellen kann Daemon oder in bestimmten Fällen zu Remote-Dämonen auf anderen Schnittstellen Ihres Computers.

Eine andere Option (etwas schwierig), wenn Sie ICMP auf Ihrer Box haben, wäre, TCP/IP über ICMP auszuführen, wenn dies geöffnet ist. Siehe hier .

13
pfo

Versuchen Sie, den SSH-Handshake über mehr als 1 Paket zu senden. Viele Paketfiltertechnologien arbeiten auf Paketebene und puffern nicht für die Überprüfung.

Wenn dies nicht funktioniert, versuchen Sie dies, aber senden Sie die zwei oder mehr Teile des Handshakes außer Betrieb. Nur wenn die DPI-Box wieder zusammengebaut wird, kann sie den Handschlag abfangen.

11
strtok

Sie haben mehrere Möglichkeiten, IP über andere Protokolle zu tunneln. Neben der Verwendung von Korkenziehern können Sie auch IP/DNS (d. H. Mit Jod ) oder IP/ICMP implementieren.

In anderen Fällen können Sie auch http://www.serfish.com/console/ verwenden

10
ashwoods

Sie können auch in Betracht ziehen, SSH-Verkehr über DNS mit Tools wie OzymanDNS oder Jod zu tunneln

7
Juicy Scripter

Sie könnten so etwas wie VNC verwenden, aber ohne einen sicheren Tunnel wie ein VPN oder SSH ist es nicht sehr sicher. Wenn sie das auch filtern, werden Sie es schwer haben.

5
MDMarra

Eine andere Option, die jedoch erfordert, dass Sie zuerst auf andere Weise auf Ihren Server zugreifen, damit Sie den Dämon installieren können, ist telnet-ssl/telnetd-ssl.

Im Gegensatz zu einigen anderen vorgeschlagenen Optionen erfordert dies nicht viel Netzwerk-Overhead und ist sehr einfach zu verwenden (sobald der Dämon ausgeführt wird).

5
TimB

Wenn Sie wissen, dass Ihre aktuelle Internetverbindung gefiltert wird, verwenden Sie eine andere Internetverbindungsmethode wie einen Satelliten-Internetdienstanbieter. Es gibt verschiedene Satelliten-Internetdienstanbieter: list1 , list2 .

(In der ursprünglichen Frage des Autors wurden keine Einschränkungen für das Erhalten einer alternativen Form der Konnektivität angegeben.)

5
ttt

Sie sollten in der Lage sein, den SSH-Port einfach auf 443 zu ändern und dann eine Verbindung über ihn herzustellen. Wenn sie keinen Man-in-the-Middle-Angriff ausführen, sollten sie nicht in der Lage sein, den Unterschied zwischen ssh und https zu erkennen.

Dies hat bei allen Firewalls funktioniert, an denen ich es ausprobiert habe. (zugegebenermaßen nicht so viele)

Es würde mich interessieren zu hören, ob dies funktioniert. Vielen Dank.

4
user606723

Ich habe das gleiche Problem. Heutzutage wird die anfängliche SSH-Verbindung hergestellt, aber nach einer gewissen Paketübertragung wird sie unterbrochen. Ich glaube, sie haben begonnen, SSH-Pakete zu verwerfen, nachdem ein Limit erreicht wurde. Ich habe zu MOSH https://mosh.mit.edu/ gewechselt. Es authentifiziert sich mit SSH und wechselt dann zu UDP. Es ist schneller als SSH und einfach zu installieren und zu verwenden.

Um es zu verwenden, installieren Sie es einfach auf Ihrem Server, öffnen Sie den udp-Port 60000: 61000 in der Firewall und stellen Sie mit einem mosh-Client eine Verbindung zum Server her, wie Sie es mit einem ssh-Client tun (Sie müssen nichts starten).

Sudo yum install mosh
Sudo iptables -I INPUT 1 -p udp --dport 60000:61000 -j ACCEPT

Ein guter Windows-Client ist MobaXTerm http://mobaxterm.mobatek.net/download-home-edition.html

2
Ali