Ocultar o tráfego do ssh do firewall

Question

Ocultar o tráfego do ssh do firewall

#1 resposta do (2 votos)

1

É de alguma forma (de preferência fácil) possível ocultar o tráfego ssh de um pacote que inspeciona o firewall. Pensei em incorporar basicamente a sessão ssh em uma sessão TLS inofensiva. Descobri que deveria ser possível com socat, mas não tenho ideia de como fazer isso funcionar. Eu tenho acesso total de administrador no cliente e servidor ssh, mas uma solução no espaço do usuário seria, obviamente, a mais legal: -)

Caso alguém saiba sobre socat , aqui está o que eu tentei (mas também estou curioso sobre outras soluções):

servidor:

socat OPENSSL-LISTEN:10000,fork,cipher=aNULL,verify=0 TCP-CONNECT:localhost:22

cliente:

ssh -o ProxyCommand='socat STDIO OPENSSL-CONNECT:%h:10000,cipher=aNULL,verify=0' theserver

serverlog:

socat[27898] E SSL_accept(): Success
socat[27897] E exiting on signal 11

clientlog:

socat[15953] E SSL_connect(): error:141640B5:SSL routines:tls_construct_client_hello:no ciphers available
ssh_exchange_identification: Connection closed by remote host

De acordo com a manpage, a Null não deve causar esse erro.

Atualizar : Graças ao grawity, o túnel agora está estabelecido com sucesso. Depois disso, tive dificuldade em descobrir que as conexões do host local estavam bloqueadas (configuradas em /etc/hosts.allow). Mas agora está funcionando bem. Obrigado.

ssh ssl linux socat

por The Omitter 06.06.2017 / 05:57

1 resposta

Tags ssh ssl linux socat

Como o programa do Dreamweaver carrega na RAM? Por favor explique, simplesmente, dir / b dirlist.txt com powershell

score 2 · Accepted Answer

Isso é comumente feito, sim. (Embora no lado do servidor, o stunnel é mais comum.)

Seu problema principal é cipher=aNULL , que bibliotecas TLS recentes podem não aceitar. (Para não mencionar, firewalls e IDSes podem considerar tal conexão muito incomum e suspeito.)

Em vez disso, use um TLS regular autenticado por certificado com um certificado autoassinado:

openssl req -new -subj "/CN=ponies" -days 365 -extensions v3_req -x509 \
            -out tunnel.crt -newkey rsa:2048 -keyout tunnel.key -nodes

socat OPENSSL-LISTEN:10000,fork,cert=tunnel.crt,key=tunnel.key,verify=0 ...

(Isso só precisa ser feito no lado do servidor; os clientes não são autenticados por padrão).