Hallo,

Ich weiss das es in vielen Proxy/Squid Konfigurationen möglich ist über die CONNECT METHOD einen externen Host zu erreichen, jedoch oft beschränkt auf Port 443.
Ebenso ist mir bekannt das es Tunnel Programme gibt die lokal auf einem Port lauschen und dort eingehende Verbindungen durch den Proxy auf einen vorher festgelegten Host:Port bouncen (zB http://search.cpan.org/dist/connect-tunnel/connect-tunnel ), doch leider muss das Programm auf dem Zielhost auf Port 443 laufen, da wie gesagt der Proxy oftmals nur 443 mit der CONNECT METHOD zulässt.

Vorstellbar wäre folgende Konstellation:
Es wird mittels eines Programmes ein Tunnel aufgebaut. Das Programm läuft a) auf einem externen Host und wartet auf Port 443 auf eingehende Verbindungen.
Das Programm läuft b) lokal (Also der Rechner hinter dem Proxy) und handelt selber als Proxy Server, bounced jedoch alle eingehenden Verbindungen durch den eigentlichen Proxy zu dem externen Host, Port 443.

Somit könnte man sich den Lokalen Proxy bspw. im Browser als Proxy Server eintragen und es würde alles zu dem externen Host gebounced werden.
Man könnte dann auch mittels dem in ersten Absatz genannten Progamm durch den Lokalproxy eine Verbindung zu einem externen Host, beliebiger Port aufbauen, da ja alles durch 443 getunnelt wird.

Ist euch ein Programm bekannt das diesen oder einen ähnlichen Anwendungszweck erfüllen kann mit dem Ziel jeden Port extern zu erreichen?
Ich bin mir fast sicher dass es sowas geben muss da die Möglichkeit das zu machen laut meiner Logik besteht und ich mit Sicherheit nicht der einzige bin der kastriert hinterm Proxy sitzt.
Google und SuFu brachten mir diesbezüglich keine sinnvollen Hinweise.

-ready

Ich meine das http Tunnel das kann ( google ) .. der kann afaik auf jedem beliebigen Port lauschen .. den haben wir benutzt, um aus der FH heraus zu tunneln .. dann kann man aber immer nur einen Server damit ansprechen .. nicht alle ... für Mail abholen hats bei uns aber gereicht :) - mehr wollten wir auch net.. die Admin bei uns in der FH sind etwas unfähig ... :/

Wenn du in einer Firma sitzt, lass das ganze aber lieber sein ... sowas kann leicht zu ner Abmahnung und Rausschmiss führen ( zurecht ) - du untergräbst damit evtl. auch die Security Policy ...

Hallo, ich glaube du hast mich falsch verstanden. Das was du beschreibst sagt mein erster Absatz im Endeffekt auch aus, bzw diese Möglichkeit habe ich ja bereits.

Und ich sitze nicht in einer Firma, sondern Berufschule, da kann man sowas schon mal machen ;)

-ready

Hmm... Also die normalen Tunnelprogramme können das afaik nicht ... wenn du es schaffst nen vpn durch nen normalen tunnel zu legen könnte es aber gehen ... ich weiss allerdings nicht, ob es ein tunnelprogramm gibt, das udp port 500 und esp pakete aufeinmal durch einen Tunnel schicken kann ...

Wenn es ein solches Tunnelprogramm gibt, könntest du einfach mit Freeswan nen ipsec VPN aufbauen .. dann wäre das einfach ....

Ist nur der eine Port Frei ?? Oder auch Port 80 ?

Zum anderen gibt es von der Uni Dresden war das glaube ich, ein Prog zum Anonymisierne von Internetverbindungen - das ist ein lokaler Proxy, der dann über Port 80 mit der Uni Dresden Verbindung aufbaut und den Verkehr tunnelt .. aber ich meine das das nur über Port 80 geht .. musst du mal schauen ...

Den Link hab ich nicht, sollte aber mit Google einfach sein ...

Poste mal bitte, falls du es hinbekommst :)

Gruss Andre

http://www.htthost.com <-- das tool sollte alles können, was du möchtest.

Du kannst den Server auf jedem port "lauschen" lassen, auf dem du möchtest.

Leider laufen Client und Server nur unter Windows und sind auch nicht compatibel mit anderen tunnelprogrammen



Alternativ könntest Du auch unter linux einfach nen portforwarding von Port 443 auf irgendeinen beliebigen anderen Port machen, beispielsweise einen Proxy :-)

was ist gegen den normalen httptunnel (http://www.nocrew.org/software/httptunnel.html) einzuwenden?

abhalten wird man dich davon bestimmt nicht können, dann solltest du wenigstens was dabei lernen (http://www.erights.org/elib/distrib/vattp/DataCommThruFirewalls.html).

ps: sicherheitsrestriktionen zu umgehen ist in _jedem_ fall bedenklich. :rolleyes:

aber schau dir mal das an ... vieleicht bringt dich das projekt (http://www.workspot.net/cgi/demo.cgi) hier _legal_ weiter ... :D

cu

Original geschrieben von systemdefender
ps: sicherheitsrestriktionen zu umgehen ist in _jedem_ fall bedenklich. :rolleyes: [/B]

Naja manchmal sitzen die Idioten in den höheren Positionen und da
muss man sich doch zu helfen wissen. :p :D :ugly:

Original geschrieben von linuxhanz
Naja manchmal sitzen die Idioten in den höheren Positionen und da
muss man sich doch zu helfen wissen. :p :D :ugly:

sagt ja niemand, dass ich immer brav war und noch nie in ner firma nen socksproxy hinter ner app-firewall laufen hatte :rolleyes:

wobei häufig auch einfach social engeneering geht :D

Original geschrieben von linuxhanz
wobei häufig auch einfach social engeneering geht :D
sollte ich den firewalladmin nach seinem passwort fragen? _kein_ user hat (weder bei der messegesellschaft noch bei der deutschen börse) sonderechte was den internetaccess angeht. wir als admins und supporter hatten da schon mehr rechte als man sich als user überhaupt vorstellen kann. zudem bin ich hacker, kein cracker.

ps: sagt das mein benutzername hier schon aus? :ugly:

*lol* ich bin auch kein cracker.

naja wegen dem Benutzernamen: defend privacy

Es ist also eine Sichtweise. :p

Original geschrieben von READY
Es wird mittels eines Programmes ein Tunnel aufgebaut. Das Programm läuft a) auf einem externen Host und wartet auf Port 443 auf eingehende Verbindungen.
Das Programm läuft b) lokal (Also der Rechner hinter dem Proxy) und handelt selber als Proxy Server, bounced jedoch alle eingehenden Verbindungen durch den eigentlichen Proxy zu dem externen Host, Port 443.

b) is mir nich bekannt und bin mir auch nich ganz sicher was du machen willst
a) geht mit dem sshd, du hast z.b. nen normalen dsl rechner bei dir zuhause mit nem linux router, dem sagst du das der sshd auch auf dem port 443 lauschen soll und schon kannste von einem client hinter dem router über den proxy auf deinen linux dsl router connecten und alles machen...

ich hoffe ich hab richtig verstanden was du willst, kannste mal b) etwas näher erläutern? ich versteh den sinn nich ganz.

Original geschrieben von pcm
...is mir nich bekannt und bin mir auch nich ganz sicher was du machen willst...
...geht mit dem sshd,...auf dem port 443 lauschen soll...
...etwas näher erläutern? ich versteh den sinn nich ganz.
ich glaube, ich kann das einfach erklähren ...

er sitzt hinter ner app-firewall. er kann nicht mehr und nicht weniger tun als http-konforme anfragen an den proxy stellen. da er trotzdem seine emails abholen, icq, irc, ftp, etc. nutzen will, sucht er eine möglichkeit diese einschränkung zu umgehen. soweit die ausgangslage.

nun steckt er kurzerhand die pakete in die http-pakete und schickt sie durch den proxy einem rechner, der die wieder auspackt und ins internet schiebt als währe nichts gewesen.
dadurch laufen alle seine dienste die auf seiner wunschliste stehen. er hat zwar einen riesen overhead beim transport, aber das haben auch leute, die feilen und sägen ins gefängnis schmuggeln ;-)

cu

e/stiel

er sitzt hinter ner app-firewall. er kann nicht mehr und nicht weniger tun als http-konforme anfragen an den proxy stellen. da er trotzdem seine emails abholen, icq, irc, ftp, etc. nutzen will, sucht er eine möglichkeit diese einschränkung zu umgehen. soweit die ausgangslage.

Wenn das realisiert wird ist die Sicherheits Policy des Unternehmens komplett ausgehebelt - das ist schlicht dumm so etwas zu realisieren.
Da kann ich nur noch mit dem Kopf schüteln - überleg Dir mal was Du da vorhast... :rolleyes:

cane

Original geschrieben von cane
... das ist schlicht dumm so etwas zu realisieren.
Da kann ich nur noch mit dem Kopf schütteln - überleg Dir mal was Du da vorhast... :rolleyes:

das schöne an den httptunneln ist,

- das man den httptunnel nicht mal-so-eben-on-the-fly konfigurieren kann. d.h. es ist eine nachweislich vorsätzliche straftat.
- das sie der firewalladmin erkennen kann (wenn er denn will).
- das der betreffende viel über netzwerke/protokolle/osi-layer lernen kann und dessen sicherheitsbewusstsein dabei steigt. (hoffen wir alle ;-)
- das er erst merkt das es zu langsam ist, wenn der tunnel steht (und er schon alles gelesen und gelernt hat)
- das die leute die wirklich ein sicherheitsrisiko wären keine httptunnel bauen.

viel schlimmer finde ich die viren und würmer, die diese technologie in zukunft nutzen werden :eek:

... und sagt nachher nicht, es hätte euch niemand gewarnt.

cu

Original geschrieben von cane
Wenn das realisiert wird ist die Sicherheits Policy des Unternehmens komplett ausgehebelt - das ist schlicht dumm so etwas zu realisieren.
Da kann ich nur noch mit dem Kopf schüteln - überleg Dir mal was Du da vorhast... :rolleyes:

cane

Jupp.. da kann ich dir nur zustimmen ... in Firmen kann sowas katastrophal sein ... Ich arbeite selber neben dem Studium in einer Firma und würde jedne feuern, der gegen unsere Policy verstösst .. der mögliche Schadne ist einfach zu gross ...

Wir haben sowas ähnliches in der FH .. DA kapier ich allerdings nicht, weiso man so nen Müll macht ...

Sicherheit ist in dem Bereich eh egal, weil wir einen gesonderten IP Bereich haben - und von sämtlichen anderen Rechnern getrennt sind ( ist nen WLan ). Die Begrenzung der Traffics hätte man wesentlich effektiver machen können .. jetzt nutzen eh alle Emule über den Proxy ...
Uns hindert unsere Firewall nur .. verhindern kann sie nichts, und einen Sinn hat sie auch nicht... schon garnicht an einer Informatik Fakultät .. es sei denn, man will, das die Leute lernen wie man den Netzwerkverkehr durch eine Firewall tunnelt ....

by the Way .. genau das lernt man spätestens im dritten Semester ....

Original geschrieben von Dellerium
... es sei denn, man will, das die Leute lernen wie man den Netzwerkverkehr durch eine Firewall tunnelt ....
by the Way .. genau das lernt man spätestens im dritten Semester ....
weil es, wie erwähnt, auch einen hohen pädagogischen wert hat. mindestens so wertvoll wie ein vpn aufzubauen.

ich denke hier im forum könntest du sogar bestimmt lernen, wie man als admin einen tunnel bemerkt und ggf. unterbindet. :rolleyes:

cu

desproxy könntest du dir auch mal anschauen.

Original geschrieben von Dellerium

Uns hindert unsere Firewall nur .. verhindern kann sie nichts, und einen Sinn hat sie auch nicht... schon garnicht an einer Informatik Fakultät .. es sei denn, man will, das die Leute lernen wie man den Netzwerkverkehr durch eine Firewall tunnelt ....

by the Way .. genau das lernt man spätestens im dritten Semester ....

Hm, ich brauchte dafür nicht studieren ;)
Und wenn die Firewall euch hindert, hat 'se schon 50% ihres Auftrages erfüllt - 2x ;)

cu/2 iae

Wenn ein qualifizierter Admin mit (was nun nicht oft vorkommt ;-) ) viel Zeit mal genauer hinguckt (Traffic, statische IP zu der oft verbunden wird...) wird er einem Filesharer schnell auf die Schliche kommen...

mfg
cane

Original geschrieben von systemdefender
weil es, wie erwähnt, auch einen hohen pädagogischen wert hat. mindestens so wertvoll wie ein vpn aufzubauen.

ich denke hier im forum könntest du sogar bestimmt lernen, wie man als admin einen tunnel bemerkt und ggf. unterbindet. :rolleyes:

cu

Es _hätte_ einen pädagogischen Wert, wenn dann auch näher auf das Thema eingegangen würde. Eben das wird aber nicht.
Was VPN's angeht .. das konnte ich mir zu Glück im letzten Semester aneignen - leider nicht an der FH sondern im Praxissemester - Ich hatte mir eine Firma gesucht die sich auf VPN/Firewall und IDS Systeme speziallisiert hat. Da hat man dann auch mal die Zeit sich 2 oder 3 Monate ausschliesslich mit VPN'S zu befassen...

Was deine letzte Bemerkung angeht ... ich könnte "hier im forum [...] sogar bestimmt lernen" wie ich die Verbindungen des Tunnels noch besser tarne, damit sie eben nicht mehr so einfach auffallen ... :rolleyes:


@mbo: uns hat bis jetzt so ziemlich nix hindern können ;) - macht schon Spass mit der Technik zu spielen... solange man nix kaputt machen kann spricht ja auch nix dagegen ^^

@cane: is schon klar wie man nem Tunnel auf die Spuren kommt ... das ist mir schon klar ... gannz doof bin ich auch net ;)

Hallo,

danke für die vielen und anregenden Antworten. Bin mal diverse Links durchgegangen, stellte fest das ihr hauptsächlich vom Tunneln über Proxy Port 80 sprecht, nach genauerer Recherche festgestellt das dies wohl über die HTTP POST Methode möglich ist, was allein von der Logik her sicherlich sehr träge ist. Interessanter wäre es eben über Port 443 mit der Proxy CONNECT Methode, evtl soltle ich mal RFC's crawlen und schauen das ich selber etwas zustande bekomme.
Per CONNECT wäre es auch im Proxy Log schwer erkennbar da nur die Verbindungsinitiierung und nicht die HTTPS anfragen an sichgeloggt werden (Konnte ich jedenfalls aus lokaler Squid Proxykonfiguration nachvollziehen).

PS: Ich bin imstande zu erkennen wo ich mir soetwas "erlauben" kann und wo nicht, es ist mir klar das es in einer Firma wohl eher nicht so gut wäre, doch als reine IT Firma sind wir nicht gezwungen einen Proxy zu verwenden und daher ist es hier auch nicht nötig. Es geht mir eigentlich mehr darum von der Berufsschule aus mal eine SSH oder FTP Verbindung zu machen, und wie gesagt ist bei dem Thema der pädagogische Wert auch sehr hoch also ist ein weiteres Argument das reine Interesse!