Przebic sie przez firewalla
Przebic sie przez firewalla
Problem:
w jaki sposob nawiazac tunel z miejsca za zasieka firewalow stanowych, gdzie wypuszczany jest standardowy ruch (co niektore- 80,25,53,110,995,443,22).
Oczekiwanie nawiazac tunel do innego miejsca (czytaj domu), idealnie by bylo jeszcze aby pozniej z tego miejsca miec dostep spowrotem (czytaj do firmy)- po uprzednim nawiazaniu tunelu.
Znane mi sa rozwiazania w stylu http tuenling, ssh tuneling.
problemiki pomniejsze:
Http tuneling moze byc wykryty obecnie na firewallach (technologie w stylu http port misuse)
dns tuneling - nie wiem jak z wykrywaniem- no i trzeba miec fake'owego dns
ssh tunel- wada- musze wiedziec dokladnie gdzie sie lacze i na ktore porty- a ja chce pachac wszystko w tunel ew cale zakresy portow do dowolnych adresow ip
Moze ktos walczyl z tym z checia zapoznam sie z:
uwagami
nowosciami
dostepnymi programami
innymi sposobami
ps. Pewnie Gorion tuneluje pakiety przez layer 8 iso/osi od dawna
w jaki sposob nawiazac tunel z miejsca za zasieka firewalow stanowych, gdzie wypuszczany jest standardowy ruch (co niektore- 80,25,53,110,995,443,22).
Oczekiwanie nawiazac tunel do innego miejsca (czytaj domu), idealnie by bylo jeszcze aby pozniej z tego miejsca miec dostep spowrotem (czytaj do firmy)- po uprzednim nawiazaniu tunelu.
Znane mi sa rozwiazania w stylu http tuenling, ssh tuneling.
problemiki pomniejsze:
Http tuneling moze byc wykryty obecnie na firewallach (technologie w stylu http port misuse)
dns tuneling - nie wiem jak z wykrywaniem- no i trzeba miec fake'owego dns
ssh tunel- wada- musze wiedziec dokladnie gdzie sie lacze i na ktore porty- a ja chce pachac wszystko w tunel ew cale zakresy portow do dowolnych adresow ip
Moze ktos walczyl z tym z checia zapoznam sie z:
uwagami
nowosciami
dostepnymi programami
innymi sposobami
ps. Pewnie Gorion tuneluje pakiety przez layer 8 iso/osi od dawna
"Trust no one"
Nieprawda :Pssh tunel- wada- musze wiedziec dokladnie gdzie sie lacze i na ktore porty- a ja chce pachac wszystko w tunel ew cale zakresy portow do dowolnych adresow ip
ssh -D <portlok> <zdalna maszyna>
tsocks (wrapper shella, jest jako paczka np. w debianie)
Konfigurujesz /etc/tsocks.conf zeby wskazywal localhost <portlok>
Odpalasz pozniej:
tsocks <aplikacja>
Tuneluje po automacie.
Ja tak mam i pieknie dziala - dostaniesz sie wszedzie. Nie zawsze trzeba wykorzystywac wrappera tsocks - np. firefox umie rozmawiac bezpostrednio z portem socks. Pod winda tez pieknie dziala - w putty jest tez mozliwosc tworzenia tunelu socks.
http://tinyurl.com/y4jg66 Zaznaczasz "dynamic". Tworzy proxy, ale nie wiem czy jest jakis wrapper pod winde dla aplikacji nie supportujacych socksow. Jesli aplikacja supportuje - dostanie sie wszedzie.
Pamietaj o bezpieczenstwie - kazdy moze korzystac z tego portu. Trzeba go ofirewallowac albo uzyc socks v5 - z autentykacja.
Swego czasu nawet probowalem jakies p2p tak odpalic i dzialalo jak z pelnym dostepem. :))
Ostre, nie ? :))) Ale ciiiiii, bo wiekszosc lamowatych userow o tym nie wie. :)
I wtedy nachodzi portrzeba rate-limitowania portu 22. ;)
PJ
Ostatnio zmieniony 12 sty 2007, 16:45 przez pjeter, łącznie zmieniany 1 raz.
Jest wrapper pod winde:
The Hummingbird SOCKS client "socksifies" any TCP/IP application, eliminating the need to re-code applications. Hummingbird Connectivity no-charge software – Connectivity SSL, Connectivity Kerberos, HostTest and Socks.
http://tinyurl.com/y4uh2u
PJ
The Hummingbird SOCKS client "socksifies" any TCP/IP application, eliminating the need to re-code applications. Hummingbird Connectivity no-charge software – Connectivity SSL, Connectivity Kerberos, HostTest and Socks.
http://tinyurl.com/y4uh2u
PJ
Ostre ? Hmmm, w sumie srednio w porownaniu z tym co wymyslilem teraz:idealnie by bylo jeszcze aby pozniej z tego miejsca miec dostep spowrotem (czytaj do firmy)- po uprzednim nawiazaniu tunelu.
DOM - (internet) ---- Firewall ---- (intranet, firma) - H1
Na obu hostach DOM i H1 musisz miec odpalone serwery ssh.
Najpierw klientem z H1 tunelujesz na zewnatrz do serwera DOM, swoj port 22 z H1 - statyczny tunel. Banał.
Port 22 z maszyny H1 pojawia sie na maszynie DOM na porcie np. 5678
pozniej na maszynie DOM:
ssh -D 1234 DOM:5678
Czyli laczysz sie z DOM do serwera DOM:5678 => H1:22.
Otwiera sie port 1234, ktory jest dynamiczym proxy zaterminowanym na serwerze H1.
Teraz na porcie 1234 hosta DOM masz caly intranet np. firmy. TADAAA!
ssh(socks) over ssh, ale czego sie nie robi dla wygody. :)
Konsekwencje takiego dzialania uzytego niewlasciwie sa tragiczne dla intranetu/firmy.
Tym oto prostym sposobem miliony wydane na firewalle ida sie paść, dzieki 1-nemu otwartemu portowi w kierunku inside->outside ... dzieki byle ktoremu portowi TCP. :)
Powyzsze informacje stanowia wylacznie material edukacyjny i nie powinny byc wykorzystywane w praktyce! :)
PJ
Moznaby tez prosciej - zestawic np. OpenVPN z H1 do serwera OpenVPN DOM na porcie 53. OpenVPN - malutki, baaardzo konfigurowalny, prosty klient/serwer VPNa. Moze pracowac na TCP lub UDP do wyboru. Ma tez jeden fajowy feature ktory mi sie bardzo podoba:
The tls-auth directive adds an additional HMAC signature to all SSL/TLS handshake packets for integrity verification. Any UDP packet not bearing the correct HMAC signature can be dropped without further processing.
Czyli nasz serwer zdropuje wszystkie pakiety inicjalizacji polaczen, ktore nie sa podpisane wczesniej wygenerowanym kluczem - taki stealth server.
PJ
The tls-auth directive adds an additional HMAC signature to all SSL/TLS handshake packets for integrity verification. Any UDP packet not bearing the correct HMAC signature can be dropped without further processing.
Czyli nasz serwer zdropuje wszystkie pakiety inicjalizacji polaczen, ktore nie sa podpisane wczesniej wygenerowanym kluczem - taki stealth server.
PJ
Kiedyś w jednej firmie pokazałem taką metodę ( bo wierzyli w swoje 2 kaskadowo połączone firewall-e) - serwer SSH na porcie HTTPS, połączenie przechodziło przez Websensowe proxy. Efekt był taki, że szef IT był prawie gotów odciąć ludziom internet Trzeba mu było wytłumaczyć, że na to praktycznie metody nie ma .... chyba że ktoś będzie zatwierdzał manualnie dostęp do każdej strony w Websensie
<: Enceladus :>
musialem upgradowac putty bo w poprzenich nie bylo opcji "dynamic"pjeter pisze:
Ja tak mam i pieknie dziala - dostaniesz sie wszedzie. Nie zawsze trzeba wykorzystywac wrappera tsocks - np. firefox umie rozmawiac bezpostrednio z portem socks. Pod winda tez pieknie dziala - w putty jest tez mozliwosc tworzenia tunelu socks.
http://tinyurl.com/y4jg66 Zaznaczasz "dynamic". Tworzy proxy, ale nie wiem czy jest jakis wrapper pod winde dla aplikacji nie supportujacych socksow. Jesli aplikacja supportuje - dostanie sie wszedzie.
ech, moja najbardziej pozadana aplikacja (p2p) wspiera socks5.
---------
Ale cyrk! lama wypuscila osla zakladajac mu skarpety.
"Trust no one"
Zwykly serwer ssh na 443 ?enceladus pisze:serwer SSH na porcie HTTPS, połączenie przechodziło przez Websensowe proxy.
Websense jakos przez wccp czy jako primary proxy ktore jako jedyne mialo wyjscie do internetu ? Hmm, mozesz rozwinac dokladniej ?
Jesli chodzi o samego websense'a to najprosciej mozna ominac przez
http://www.jmarshall.com/tools/cgiproxy/ wystawionym gdziekolwiek w sieci po sslu.
Sam przez dwa lata tak omijalem korporacyjne filtry tresci. :)
PJ
e tampjeter pisze: SOCKS is an abbreviation for "SOCKetS" wiec raczej "gniazdka"
PJ
skarpeta to skarpeta
anyway spojrz na pierwsza strone artykulu ktory wczoraj czytalem (na dole ) podczas doksztalcania sie ze "skarpet"
skarpety rozmiar 5
Ostatnio zmieniony 13 sty 2007, 14:52 przez kktm, łącznie zmieniany 1 raz.
"Trust no one"
Tak. Może być nawet redir.pjeter pisze: Zwykly serwer ssh na 443 ?
Primary proxy mające dostęp do netu.pjeter pisze: Websense jakos przez wccp czy jako primary proxy ktore jako jedyne mialo wyjscie do internetu ? Hmm, mozesz rozwinac dokladniej ?
Ja przez SSH łączyłem się do squid-a, gdy PW przycinała pasmo dla portów 80, 8080pjeter pisze: Jesli chodzi o samego websense'a to najprosciej mozna ominac przez
http://www.jmarshall.com/tools/cgiproxy/ wystawionym gdziekolwiek w sieci po sslu.
Sam przez dwa lata tak omijalem korporacyjne filtry tresci.
Proste metody, a jak cieszą
<: Enceladus :>
Ja z kolei obchodziłem filtry stron w firmie wystawiając sobie squida na 80tymenceladus pisze: Ja przez SSH łączyłem się do squid-a, gdy PW przycinała pasmo dla portów 80, 8080
Dokładnie, banalne ale ciesząenceladus pisze:Proste metody, a jak cieszą
Prawie pół mojego zespołu z tego korzystało
Marcin
Najłatwiej jednak było znać dobrego wspierającego zespół adminów i drugiego firewalla tylko dla siebie, zero zmian w polityce i logow... hehe.
Powaznie chyba najskuteczniejsze metody obecnie działają po SSLu od mało wydziwianych SSL-VPN (są free serwerki) po takie dziwactwa które działają po SSLu tworzą sieć która pozwala na połączenia do dowolnych serwerków i dodatkowo anonimizują cię w interenecie
Przykład TOR, świetna zabawka nie do zablokowania na FW jeśli dostępny jest SSL, pozwala połączyć się gdziekoliwek bez jakijkolwiek wiedzy adminów, pozwala udostępnić dowolną uslugę na swym PCcie bez wiedzy admina, no i co ważne nie wymaga instalacji żadnego oprogramowania a jedynie odpalenie klienta:)
Straszne... ale prawdziwe...
Na pewnej dużej konferencji dot. security padło pytanie jaki admin/oficer jest wstanie zabronić w swojej korporacji SSL'a po chwili milczenia i żadnego odzewu z sali prowadzący usłyszał głosem adminów z mojej firmy że ja:)
Powaznie chyba najskuteczniejsze metody obecnie działają po SSLu od mało wydziwianych SSL-VPN (są free serwerki) po takie dziwactwa które działają po SSLu tworzą sieć która pozwala na połączenia do dowolnych serwerków i dodatkowo anonimizują cię w interenecie
Przykład TOR, świetna zabawka nie do zablokowania na FW jeśli dostępny jest SSL, pozwala połączyć się gdziekoliwek bez jakijkolwiek wiedzy adminów, pozwala udostępnić dowolną uslugę na swym PCcie bez wiedzy admina, no i co ważne nie wymaga instalacji żadnego oprogramowania a jedynie odpalenie klienta:)
Straszne... ale prawdziwe...
Na pewnej dużej konferencji dot. security padło pytanie jaki admin/oficer jest wstanie zabronić w swojej korporacji SSL'a po chwili milczenia i żadnego odzewu z sali prowadzący usłyszał głosem adminów z mojej firmy że ja:)
Prawde gadacie, jednak:
1) mega korporacji nie interesuje zdanie pracownikow - tylko czesc pracownikow (uprawnionych) ma dostep do netu przez proxy - a co sie z tym wiaze moga z dnia na dzien wylaczyc support ssla - albo udostepnic tylko w uzasadnionych przypadkach do okreslonych site'ow - kwestia procedur.
1a) nawet jesli masz znajomego u osob wykonujacych konfiguracje danego kawalka sieci, wszelkie jego zmiany sa zatwierdzane i monitorowane przez ludzi ktorzy siedza po drugiej stronie globu, wiec takie znajomosci nic nie pomoga. Nawet osoby które wykonują zmiany na urządzeniach/FW/proxy nie mają uprawnień RW. RW dostają po spełnieniu procedur - następnie są dogłębnie monitorowani z przeprowadzonych działań.
"Szpilki nie wetkniesz" - bo wylecisz w ciagu kilku dni - najlepiej oddaje sens tych procedur.
2) widzialem juz komercyjne rozwiazania ssl proxy - z punktu widzenia uzytkownika mniej bezpieczenie. Z punktu widzenia firmy - tzw. mile-stone.
PJ
1) mega korporacji nie interesuje zdanie pracownikow - tylko czesc pracownikow (uprawnionych) ma dostep do netu przez proxy - a co sie z tym wiaze moga z dnia na dzien wylaczyc support ssla - albo udostepnic tylko w uzasadnionych przypadkach do okreslonych site'ow - kwestia procedur.
1a) nawet jesli masz znajomego u osob wykonujacych konfiguracje danego kawalka sieci, wszelkie jego zmiany sa zatwierdzane i monitorowane przez ludzi ktorzy siedza po drugiej stronie globu, wiec takie znajomosci nic nie pomoga. Nawet osoby które wykonują zmiany na urządzeniach/FW/proxy nie mają uprawnień RW. RW dostają po spełnieniu procedur - następnie są dogłębnie monitorowani z przeprowadzonych działań.
"Szpilki nie wetkniesz" - bo wylecisz w ciagu kilku dni - najlepiej oddaje sens tych procedur.
2) widzialem juz komercyjne rozwiazania ssl proxy - z punktu widzenia uzytkownika mniej bezpieczenie. Z punktu widzenia firmy - tzw. mile-stone.
PJ