Acessando o SSH de uma rede altamente segura (não minha) [fechada]

Navegue suas respostas
1

Um usuário que tem um laptop da empresa (Windows Vista) e está localizado em uma rede que não permite que nenhum tráfego saia, precisa fazer login em um dos meus servidores SSH. Não funciona Tanto quanto eu posso reunir, a segurança é:

  • Restrições gerais de portas no nível do roteador; permita somente 80, 443, etc.
  • Firewall de software local que restringe o acesso ao programa (software da Symantec)
  • HTTP não está em proxy.
  • Ele não é um administrador local em seu laptop.

Eu fiz uma regra iptables que encaminha a porta 80 para a 22. Quando ele acessa o host com o Internet Explorer, ele recebe uma string de versão do SSH. Putty, no entanto, não pode se conectar. Nem pode wget.

Eu suspeito que o firewall da Symantec esteja bloqueando isso. Quando você abre o painel de status, não é possível ver o que é permitido e o que não é (mas é possível ver a conexão que cada programa faz), mas suspeito que, ao acessá-lo com direitos de Administrador, você seria capaz para ver isso e conceder acesso aos programas.

Para resumir, tentei:

  • ssh na porta 80
  • VPN para o host (também está bloqueado)
  • Nomeação putty.exe IExplore.exe
  • Adicionando rotas à tabela de roteamento (não é possível, você precisa de direitos de administrador)

A única solução que vejo no momento é a instalação de um cliente ssh baseado na Web no servidor em questão ...

    
por Halfgaar 14.02.2013 / 13:18

4 respostas

3

Primeiro, entrarei em contato com o administrador da rede e explique por que a porta precisa ser aberta. Como administrador de rede, se houvesse um motivo válido para alguém precisar de tráfego SSH, não teria problemas em habilitá-lo e ajustar as regras de firewall em sua máquina para permitir qualquer tráfego necessário.

O motivo pelo qual essas coisas estão bloqueadas é porque muitos lugares só permitem o tráfego de que precisam e bloqueiam todo o resto até que alguém realmente precise. É muito mais fácil bloquear tudo e permitir que as coisas que você sabe são boas, do que permitir tudo e tentar bloquear as coisas ruins. Restrições como essa podem, por exemplo, ajudar a impedir que os vírus se espalhem ou se conectem a seus servidores de controle.

Se o administrador da rede não puder / não ajudar você, você pode instalar um programa terminal baseado na web em seu servidor. O GateOne é muito bom e tem muitos recursos úteis.

Como esse é todo o tráfego normal da web, ele provavelmente será permitido tanto pelo firewall da máquina local quanto pelo (s) firewall (s) da rede. Eu testei em uma rede muito restritiva em um hotel e não tive problemas.

TL; DR

Suas opções são do melhor para o pior:

  • Entre em contato com o administrador da rede e solicite a correção deles. Se for para fins comerciais, eles

  • Instale um terminal baseado na Web ou cliente SSH no seu servidor

  • Obtenha um pendrive de internet do celular e use-o em vez da rede fornecida

por 14.02.2013 / 13:29
1

Outras soluções alternativas podem ser sslh , um multiplexador ssh / ssl: ele multiplexa (escutando em 443) https conexões para o apache e o pedido ssh para o sshd.

    
por 14.02.2013 / 14:06
0

Não tenho certeza se isso exige privilégio de administrador, mas você pode usar o stunnel. Isso pareceria ao firewall como o https e o acesso local por massa dificilmente será bloqueado.

    
por 14.02.2013 / 13:40
0

talvez o firewall também verifique o tipo de tráfego e, se ele ver que o tráfego ssl passa pela porta 80, elimine a conexão. Tente subir o ssh na porta 443, pode ajudar se eu estiver certo.

    
por 14.02.2013 / 14:14

Tags

Misto site de conteúdo estático e dinâmico usando AWS S3 e EC2 Nome alternativo do assunto não adicionado ao certificado