Przebic sie przez firewalla

Wiadomość

kktm · #1

Problem:

w jaki sposob nawiazac tunel z miejsca za zasieka firewalow stanowych, gdzie wypuszczany jest standardowy ruch (co niektore- 80,25,53,110,995,443,22).

Oczekiwanie nawiazac tunel do innego miejsca (czytaj domu), idealnie by bylo jeszcze aby pozniej z tego miejsca miec dostep spowrotem (czytaj do firmy)- po uprzednim nawiazaniu tunelu.

Znane mi sa rozwiazania w stylu http tuenling, ssh tuneling.

problemiki pomniejsze:
Http tuneling moze byc wykryty obecnie na firewallach (technologie w stylu http port misuse)
dns tuneling - nie wiem jak z wykrywaniem- no i trzeba miec fake'owego dns
ssh tunel- wada- musze wiedziec dokladnie gdzie sie lacze i na ktore porty- a ja chce pachac wszystko w tunel ew cale zakresy portow do dowolnych adresow ip

Moze ktos walczyl z tym z checia zapoznam sie z:
uwagami
nowosciami
dostepnymi programami
innymi sposobami

ps. Pewnie Gorion tuneluje pakiety przez layer 8 iso/osi od dawna

pjeter · #2

ssh tunel- wada- musze wiedziec dokladnie gdzie sie lacze i na ktore porty- a ja chce pachac wszystko w tunel ew cale zakresy portow do dowolnych adresow ip

Nieprawda :P
ssh -D <portlok> <zdalna maszyna>
tsocks (wrapper shella, jest jako paczka np. w debianie)

Konfigurujesz /etc/tsocks.conf zeby wskazywal localhost <portlok>
Odpalasz pozniej:
tsocks <aplikacja>
Tuneluje po automacie.

Ja tak mam i pieknie dziala - dostaniesz sie wszedzie. Nie zawsze trzeba wykorzystywac wrappera tsocks - np. firefox umie rozmawiac bezpostrednio z portem socks. Pod winda tez pieknie dziala - w putty jest tez mozliwosc tworzenia tunelu socks.
http://tinyurl.com/y4jg66 Zaznaczasz "dynamic". Tworzy proxy, ale nie wiem czy jest jakis wrapper pod winde dla aplikacji nie supportujacych socksow. Jesli aplikacja supportuje - dostanie sie wszedzie.

Pamietaj o bezpieczenstwie - kazdy moze korzystac z tego portu. Trzeba go ofirewallowac albo uzyc socks v5 - z autentykacja.

Swego czasu nawet probowalem jakies p2p tak odpalic i dzialalo jak z pelnym dostepem. :))

Ostre, nie ? :))) Ale ciiiiii, bo wiekszosc lamowatych userow o tym nie wie. :)
I wtedy nachodzi portrzeba rate-limitowania portu 22. ;)

PJ

kktm · #3

pjeter pisze:
Ostre, nie ?

PJ

no

pjeter · #4

Jest wrapper pod winde:
The Hummingbird SOCKS client "socksifies" any TCP/IP application, eliminating the need to re-code applications. Hummingbird Connectivity no-charge software – Connectivity SSL, Connectivity Kerberos, HostTest and Socks.
http://tinyurl.com/y4uh2u

PJ

pjeter · #5

idealnie by bylo jeszcze aby pozniej z tego miejsca miec dostep spowrotem (czytaj do firmy)- po uprzednim nawiazaniu tunelu.

Ostre ? Hmmm, w sumie srednio w porownaniu z tym co wymyslilem teraz:

DOM - (internet) ---- Firewall ---- (intranet, firma) - H1

Na obu hostach DOM i H1 musisz miec odpalone serwery ssh.

Najpierw klientem z H1 tunelujesz na zewnatrz do serwera DOM, swoj port 22 z H1 - statyczny tunel. Banał.
Port 22 z maszyny H1 pojawia sie na maszynie DOM na porcie np. 5678
pozniej na maszynie DOM:
ssh -D 1234 DOM:5678
Czyli laczysz sie z DOM do serwera DOM:5678 => H1:22.
Otwiera sie port 1234, ktory jest dynamiczym proxy zaterminowanym na serwerze H1.

Teraz na porcie 1234 hosta DOM masz caly intranet np. firmy. TADAAA!
ssh(socks) over ssh, ale czego sie nie robi dla wygody. :)

Konsekwencje takiego dzialania uzytego niewlasciwie sa tragiczne dla intranetu/firmy.
Tym oto prostym sposobem miliony wydane na firewalle ida sie paść, dzieki 1-nemu otwartemu portowi w kierunku inside->outside ... dzieki byle ktoremu portowi TCP. :)

Powyzsze informacje stanowia wylacznie material edukacyjny i nie powinny byc wykorzystywane w praktyce! :)

PJ

pjeter · #6

Moznaby tez prosciej - zestawic np. OpenVPN z H1 do serwera OpenVPN DOM na porcie 53. OpenVPN - malutki, baaardzo konfigurowalny, prosty klient/serwer VPNa. Moze pracowac na TCP lub UDP do wyboru. Ma tez jeden fajowy feature ktory mi sie bardzo podoba:
The tls-auth directive adds an additional HMAC signature to all SSL/TLS handshake packets for integrity verification. Any UDP packet not bearing the correct HMAC signature can be dropped without further processing.
Czyli nasz serwer zdropuje wszystkie pakiety inicjalizacji polaczen, ktore nie sa podpisane wczesniej wygenerowanym kluczem - taki stealth server.

PJ

enceladus · #7

Kiedyś w jednej firmie pokazałem taką metodę ( bo wierzyli w swoje 2 kaskadowo połączone firewall-e) - serwer SSH na porcie HTTPS, połączenie przechodziło przez Websensowe proxy. Efekt był taki, że szef IT był prawie gotów odciąć ludziom internet

Trzeba mu było wytłumaczyć, że na to praktycznie metody nie ma .... chyba że ktoś będzie zatwierdzał manualnie dostęp do każdej strony w Websensie

kktm · #8

pjeter pisze:
Ja tak mam i pieknie dziala - dostaniesz sie wszedzie. Nie zawsze trzeba wykorzystywac wrappera tsocks - np. firefox umie rozmawiac bezpostrednio z portem socks. Pod winda tez pieknie dziala - w putty jest tez mozliwosc tworzenia tunelu socks.
http://tinyurl.com/y4jg66 Zaznaczasz "dynamic". Tworzy proxy, ale nie wiem czy jest jakis wrapper pod winde dla aplikacji nie supportujacych socksow. Jesli aplikacja supportuje - dostanie sie wszedzie.

musialem upgradowac putty bo w poprzenich nie bylo opcji "dynamic"
ech, moja najbardziej pozadana aplikacja (p2p) wspiera socks5.

---------
Ale cyrk! lama wypuscila osla zakladajac mu skarpety.

pjeter · #9

enceladus pisze:serwer SSH na porcie HTTPS, połączenie przechodziło przez Websensowe proxy.

Zwykly serwer ssh na 443 ?
Websense jakos przez wccp czy jako primary proxy ktore jako jedyne mialo wyjscie do internetu ? Hmm, mozesz rozwinac dokladniej ?

Jesli chodzi o samego websense'a to najprosciej mozna ominac przez
http://www.jmarshall.com/tools/cgiproxy/ wystawionym gdziekolwiek w sieci po sslu.
Sam przez dwa lata tak omijalem korporacyjne filtry tresci. :)

PJ

pjeter · #10

kktm pisze: lama wypuscila osla zakladajac mu skarpety.

Nie nazwalem Cie lama wiec sobie juz nie ublizaj. :)
SOCKS is an abbreviation for "SOCKetS" wiec raczej "gniazdka" ;)

PJ

kktm · #11

pjeter pisze: SOCKS is an abbreviation for "SOCKetS" wiec raczej "gniazdka"

PJ

e tam
skarpeta to skarpeta

anyway spojrz na pierwsza strone artykulu ktory wczoraj czytalem (na dole ) podczas doksztalcania sie ze "skarpet"

skarpety rozmiar 5

enceladus · #12

pjeter pisze: Zwykly serwer ssh na 443 ?

Tak. Może być nawet redir.

pjeter pisze: Websense jakos przez wccp czy jako primary proxy ktore jako jedyne mialo wyjscie do internetu ? Hmm, mozesz rozwinac dokladniej ?

Primary proxy mające dostęp do netu.

pjeter pisze: Jesli chodzi o samego websense'a to najprosciej mozna ominac przez
http://www.jmarshall.com/tools/cgiproxy/ wystawionym gdziekolwiek w sieci po sslu.
Sam przez dwa lata tak omijalem korporacyjne filtry tresci.

Ja przez SSH łączyłem się do squid-a, gdy PW przycinała pasmo dla portów 80, 8080

Proste metody, a jak cieszą

glowas · #13

enceladus pisze: Ja przez SSH łączyłem się do squid-a, gdy PW przycinała pasmo dla portów 80, 8080

Ja z kolei obchodziłem filtry stron w firmie wystawiając sobie squida na 80tym

enceladus pisze:Proste metody, a jak cieszą

Dokładnie, banalne ale cieszą

Prawie pół mojego zespołu z tego korzystało

wowtek · #14

Najłatwiej jednak było znać dobrego wspierającego zespół adminów i drugiego firewalla tylko dla siebie, zero zmian w polityce i logow... hehe.

Powaznie chyba najskuteczniejsze metody obecnie działają po SSLu od mało wydziwianych SSL-VPN (są free serwerki) po takie dziwactwa które działają po SSLu tworzą sieć która pozwala na połączenia do dowolnych serwerków i dodatkowo anonimizują cię w interenecie

Przykład TOR, świetna zabawka nie do zablokowania na FW jeśli dostępny jest SSL, pozwala połączyć się gdziekoliwek bez jakijkolwiek wiedzy adminów, pozwala udostępnić dowolną uslugę na swym PCcie bez wiedzy admina, no i co ważne nie wymaga instalacji żadnego oprogramowania a jedynie odpalenie klienta:)

Straszne... ale prawdziwe...
Na pewnej dużej konferencji dot. security padło pytanie jaki admin/oficer jest wstanie zabronić w swojej korporacji SSL'a po chwili milczenia i żadnego odzewu z sali prowadzący usłyszał głosem adminów z mojej firmy że ja:)

pjeter · #15

Prawde gadacie, jednak:
1) mega korporacji nie interesuje zdanie pracownikow - tylko czesc pracownikow (uprawnionych) ma dostep do netu przez proxy - a co sie z tym wiaze moga z dnia na dzien wylaczyc support ssla - albo udostepnic tylko w uzasadnionych przypadkach do okreslonych site'ow - kwestia procedur.
1a) nawet jesli masz znajomego u osob wykonujacych konfiguracje danego kawalka sieci, wszelkie jego zmiany sa zatwierdzane i monitorowane przez ludzi ktorzy siedza po drugiej stronie globu, wiec takie znajomosci nic nie pomoga. Nawet osoby które wykonują zmiany na urządzeniach/FW/proxy nie mają uprawnień RW. RW dostają po spełnieniu procedur - następnie są dogłębnie monitorowani z przeprowadzonych działań.
"Szpilki nie wetkniesz" - bo wylecisz w ciagu kilku dni - najlepiej oddaje sens tych procedur.

2) widzialem juz komercyjne rozwiazania ssl proxy - z punktu widzenia uzytkownika mniej bezpieczenie. Z punktu widzenia firmy - tzw. mile-stone.

PJ