Hoffe mal, hier bin ich richtig :)

Meine Problembeschreibung:
Ich besuche eine oeffentliche Schule in Wiesbaden, die wie alle anderen Schulen an WieSAN (Wiesbadener Schulen ans Netz[ISDN])haengen.
Allerdings laesst WieSAN nur den HTTP Port [80] zu.
Wenn ich nun aber von dort aus auf meinen Homerechner zugreifen moechhte (ueber SSH), muesste ich das ganze ja Tunneln. Ich wuerde aber gerne meinen SSH Port @ Home bei 22 lassen und nicht aendern (das muesste ja dann moeglich sein, oder?)
Deshalb die Frage:
Ist es moeglich, den 22er Port von meinem Rechner mit dem 80er Port von WieSAN zu Tunneln?

mfG haSk

Hoffe mal, hier bin ich richtig :)

Meine Problembeschreibung:
Ich besuche eine oeffentliche Schule in Wiesbaden, die wie alle anderen Schulen an WieSAN (Wiesbadener Schulen ans Netz[ISDN])haengen.
Allerdings laesst WieSAN nur den HTTP Port [80] zu.
Wenn ich nun aber von dort aus auf meinen Homerechner zugreifen moechhte (ueber SSH), muesste ich das ganze ja Tunneln. Ich wuerde aber gerne meinen SSH Port @ Home bei 22 lassen und nicht aendern (das muesste ja dann moeglich sein, oder?)
Deshalb die Frage:
Ist es moeglich, den 22er Port von meinem Rechner mit dem 80er Port von WieSAN zu Tunneln?

mfG haSk

bash-2.05b$ grep -i http /etc/services
www 80/tcp http # WorldWideWeb HTTP
https 443/tcp # MCom
https 443/udp # MCom


AHAAAAAAAAA :D

also: den SSH-Server auf Port 443 laufen lassen :D :D :D

Hmmm die Antwort versteh ich jetzt doch nicht so ganz :/
Auf 22 ist es nicht moeglich?
Und in der Schule haben wir leider nur WinME Rechner.

War mal wieder du dumm :/
Glaub jetzt hab ichs :)
HTTP benutzt also auch Port 443 und das kann ich mir ausnutzen?

Ich wuerde aber gerne meinen SSH Port @ Home bei 22 lassen und nicht aendern (das muesste ja dann moeglich sein, oder?)Je nach Einstellungen des LAN (wahrscheinlich gehst Du ueber einen Proxy ins IN) sind auch alle anderen Zielports als http/https gesperrt. In einem solchen Fall musst Du eben Deinen sshd zuhause zusaetzlich auf einen dieser Ports lauschen lassen.

Gruss Pit.

PS: Die rechtliche Seite dieser Sachen lassen ich jetzt absichtlich aussen vor;-)

Bei uns in der Firma ist es so, dass du über Port 80 auch nicht auf einen SSL zugreifen kannst. Das geht nur über Port 443 (HTTPS). Also musst du warscheinlich den SSHd auf 443 legen nicht auf 80.

Aber musst halt testen!

Rechtlich bin ich durch eine Erlaubniss der Lehrer abgesichert :)
Geht hierbei ja auch nur um Fernnutzung bestimmter Tools zur Wartung des Netzwerkes und Testzwecken. Genauso wie um die Moeglichkeit mal vergessene Daten zu bekommen :)

Das Problem ist: Wenn dort ein Proxy steht (da ich selber mal IT-Support für schulen geleistet hab und daher die "Big-Brother Ansichten" mancher Lehrer zu genüge kenne bin ich mir sehr sicher das da ein Proxy steht:)) bringt es dir auch nix den SSHD auf Port 80 lauschen zu lassen. Der Proxy fängt die HTTP-Anfrage des Browsers auf, durchsucht sie ggf nach "bösen keywords", und leitet sie dann als HTTP anfrage weiter.
Die Lösung ist hier die TCP-Pakete der SSH Session in die Payload der HTTP-Pakete zu packen.

Such mal in deiner Distri nach "httptunnel" oder "corkscrew".

Für Windowsclients hab ich mal den httptunnel client mit cygwin compiliert und zusammen mit der cygwin.dll direkt von Diskette gestartet.. und schwupps hatte ich IRC an der Arbeit :)

Das Problem ist: Wenn dort ein Proxy steht (da ich selber mal IT-Support für schulen geleistet hab und daher die "Big-Brother Ansichten" mancher Lehrer zu genüge kenne bin ich mir sehr sicher das da ein Proxy steht:)) bringt es dir auch nix den SSHD auf Port 80 lauschen zu lassen. Der Proxy fängt die HTTP-Anfrage des Browsers auf, durchsucht sie ggf nach "bösen keywords", und leitet sie dann als HTTP anfrage weiter.
Die Lösung ist hier die TCP-Pakete der SSH Session in die Payload der HTTP-Pakete zu packen.

Such mal in deiner Distri nach "httptunnel" oder "corkscrew".

Für Windowsclients hab ich mal den httptunnel client mit cygwin compiliert und zusammen mit der cygwin.dll direkt von Diskette gestartet.. und schwupps hatte ich IRC an der Arbeit :)


Hmmm das mit dem Proxy hab ich wohl vergessen ...
Bestimmte Seiten sind auf jeden Fall gespeert. Was die Abfrage der TCP/Packete angeht : Ist das ueberhaupt legal?
Ich meine, wenn ich ne Mail ueber GMX. etc, schreiben moechte, koennen die ja praktisch mitlesen (ausser das wird vercodet.. was ich aber nicht weiss).
Also nach deinem Prinzip verstecken wir einfach nur unsere SSH Packete in den TCP/IP HTML Packeten und kommen somit durch die Kontrolle?

Koenntest du mir vieleicht die Daten fuer die Diskette zukommen lassen? Das waehre sehr hilfreich.

mfG haSk

Koenntest du mir vieleicht die Daten fuer die Diskette zukommen lassen? Das waehre sehr hilfreich.




httptunnel für win32 (http://backports.debian.tv/hpt-win32.zip)

:)

Was die Abfrage der TCP/Packete angeht : Ist das ueberhaupt legal?
Ich meine, wenn ich ne Mail ueber GMX. etc, schreiben moechte, koennen die ja praktisch mitlesen (ausser das wird vercodet.. was ich aber nicht weiss).
Also nach deinem Prinzip verstecken wir einfach nur unsere SSH Packete in den TCP/IP HTML Packeten und kommen somit durch die Kontrolle?

Es ist legal, normalerweise müssen an berufsbildenden Schulen die Schüler ja auch eine Klausel unterschreiben die sich auf die Nutzung des Internet bezieht.
Ist meistens einfach im vertrag mit drin...

Ja, der Sysadmin kann alle unverschlüsselten Daten mitlesen.

Was sind TCP/IP HTML Pakete :ugly:

Die Pakete der SSH- oder jeden anderen Verbindung werden über den httptunnel in HTTP-Paketen versteckt. Da SSH selbst verschlüsselt ist kann keiner sehen was Du per SSH machst. Nutzt die Schule einen Application-Level-Gateway wird dieser aber auch das erkennen und die Verbindung blocken.

Sicherer und fast immer funktionieren tut ein Tunnel über HTTPS - da bekommen selbst die meisten Application-Level-Gateways nichts von mit da nur die wenigsten in der Lage sind per Man-in-the-middle die Pakete zu entschlüsseln und dann wieder zu verschlüsseln.

mfg
cane

Das ist vielleicht noch interessant:

http://www.linuxwiki.org/HttpTunnel

http://www.heise.de/security/artikel/43716/0

http://www.jfranken.de/homepages/johannes/vortraege/ssh3.de.html

mfg
cane

Das ist vielleicht noch interessant:
http://www.heise.de/security/artikel/43716/0
mfg
cane
Erschütternd. Ich habe als erste Reaktion sofort den Stecker gezogen ;)
Im Grunde ist es mir sch...egal, ich hoffe nur, dass die Nutzer solcher Tricks auch wissen, was sie tun. Das wäre mir lieber als 1000 user, die das nicht können, aber im Internet-Explorer auf alles klicken, was sich bewegt.
Ich frage mich, warum der admin nicht einfach Port 22 freigibt? Schon mal gefragt? Ich kann mir nicht vorstellen, dass das vom WieSCHAN geblockt wird, da würde der Admin ja der Fernwartungsmöglichkeiten beraubt.

Ja, dagegen ist kein Kraut gewachsen...

Man kann höchstens HTTPS verbieten - dann müssten sich die getunnelten Pakete ja loggen lassen.

Aber der Aufwand ist natürlich immens...

mfg
cane

damit das ganze über proxy funktioniert muss der Proxyserver außerdem die CONNECT Methode unterstüzen.