SSH durch den Schulproxy

[steffen006]

Moinchen!

erstmal vorneweg: ich bin nicht son kiddie der dauernd irgendwelche OnlineGames im untericht zocken will und dem die schule shite egal ist,.. aber wenn man bei uns grade im netzwerkkurs lernt was ein ping ist.. (okay für achte klasse genau das richtige naja ihr versteht schon (o;

ich möchte nämlich gerne in der Schule auf meinen Server zu Hause via ssh zugreifen... um auf meinen Daten-Server zu Hause zuzugreifen... /naja und auch in dem Kurs etwas zu lernen/;

Naja SSH-Zugang eingerichtet... komm auch von außen drauf.... /außer in der schule/ da blockt nämlich ein schulproxy http://www.schulfilterplus.de/ das SSH-Protokoll... den SSH-Service z.b. auf Port 80 zu legen bringt nichts! Ich habe nämlich das Gefühl der lässt nur die Protokolle http und https durch...

Kann man das Protokoll nach draußen verändern? bzw. das Protokoll ssh als http tarnen?
Oder sollte man ein VPN aufbauen nach Hause...? Das nutzt doch eine ssl verschlüsselung... also https..?


Steffen

[Danielx]

Kann man das Protokoll nach draußen verändern? bzw. das Protokoll ssh als http tarnen?

Ja, du kannst die SSH-Verbindung durch den Proxy hindurch schleusen, indem du die SSH-Verbindung in eine HTTP-Verbindung packst.
Damit scheint die SSH-Verbindung für den Proxy ein HTTP-Verbindung zu sein.
Dazu musst du auf deinem Server eine entsprechende Software installieren, nennt sich glaube ich httptunnel und auf deinem Rechner vor Ort (ob du das ohne root-Rechte hinbekommst, falls du keine hast, weiß ich jetzt leider nicht).

Zu Tunneln allgemein, siehe hier:
http://de.wikipedia.org/wiki/Tunnel_(Rechnernetz)

edit:
Und zu HTTPtunnel, siehe hier, ist zwar auf Englisch, aber das solltest du in der 8. Klasse ja schon einigermaßen können :
http://en.wikipedia.org/wiki/HTTP_tunnel_(software)

Gruß,
Daniel

[steffen006]

das mit den root-rechten auf den windows maschinen lässt sich dank linux einrichten aber wie sieht es denn mit der Sicherheit von httptunnel aus???

[Danielx]

aber wie sieht es denn mit der Sicherheit von httptunnel aus???

Meinst du das jetzt in Bezug auf deinen Server?

[steffen006]

jap! ich meine ob die Verbindung zum Server bei mir verschlüsselt ist... ich mein so mit allgemeine Sicherheit... denn bei SSH bin ich überzeugt...

EDIT: hat sich geklärt durch wikipedia.. on englisch

[Danielx]

jap! ich meine ob die Verbindung zum Server bei mir verschlüsselt ist... ich mein so mit allgemeine Sicherheit... denn bei SSH bin ich überzeugt...

Du tunnelst in der HTTP-Verbindung ja die SSH-Verbindung, also kann niemand die Daten, welche du über die SSH-Verbindung sendest entschlüsseln.
Du kannst übrigens auch anstatt über HTTP über HTTPS tunneln, dann kann auch niemand in die HTTPS-Tunnel-Verbindung hineinsehen, aber selbst wenn, könnte man sowieso nur die Verschlüsselte SSH-Verbindung sehen.

Gruß,
Daniel

[Pawel]

Unter Windows mit Putty unter "Proxy" das Protokoll "http" auswählen und die IP des Proxies unter "Proxy name" eintragen.

[steffen006]

Unter Windows mit Putty unter "Proxy" das Protokoll "http" auswählen und die IP des Proxies unter "Proxy name" eintragen.

acht Klässer sind ja auch net dumm gerade unser Admin net... wir bekommen sogar 50Euro... für den Ausbrauch..

[Danielx]

Unter Windows mit Putty unter "Proxy" das Protokoll "http" auswählen und die IP des Proxies unter "Proxy name" eintragen.

Hm, das bedeutet doch dann aber, dass die SSH-Verbindung nur über den Proxy geleitet wird, d.h. der Proxy die SSH-Verbindung als solche erkennen und somit blocken kann, da die SSH-Verbindung nicht in HTTP-Requests versteckt wird.
Wenn der Proxy nicht sehr blöd ist, dann wird er nur HTTP, HTTPS und FTP als Protokolle zulassen und die SSH-Verbindung verwerfen.
Das eine direkte Verbindung ins Internet bei einem Zwangsproxy nicht funktioniert, sollte steffen006 ja klar sein und dass er den Proxy bei Putty eingetragen hat, davon bin ich jetzt mal ausgegangen, denn er schreibt ja, dass der Proxy das SSH-Protokoll blocken würde und wenn er gar nicht versucht hätte über den Proxy zu gehen, dann hätte er das ja wohl kaum festgestellt können.
Außerdem sagt er, dass er das Gefühl hat, der Proxy würde "nur die Protokolle http und https" durchlassen.
Aber dazu kann uns sicher steffen006 mehr erzählen.

Gruß,
Daniel

[Pawel]

Wenn der Proxy nicht sehr blöd ist, dann wird er nur HTTP, HTTPS und FTP als Protokolle zulassen und die SSH-Verbindung verwerfen.

Und in dem kleinen Satz ist auch der Knackpunkt versteckt: HTTPS
Wenn der Proxy HTTPS richtig behandelt, dann darf er den Stream nicht verändern! Natürlich gibt es Proxies, die das nicht machen, aber über diese würde ich auch kein Online Banking machen. Man kann das auch relativ einfach testen. Einfach eine Seite mit https zu Hause besuchen, z.B. https://dpinfo.dpma.de/ (die erste sinnvolle Seite mit https bei google), sich den Fingerprint merken und in der Schule die gleiche Seite nochmal besuchen. Wenn der Fingerprint sich nicht ändert, ist die Verbindung sicher und es besteht eine verschlüsselte End-zu-End Verbindung, d.h. der Proxy weiß nur, dass es eine Verbindung gibt, mehr aber auch nicht.
Ansonsten könnte es noch sein, dass der Proxy alle Ports außer 80/tcp und 443/tcp blockt. Dann muss man einfach nur den SSH Deamon auf Port 443 lauschen lassen.

UPDATE:
Dadurch besteht erst eine sichere (verschlüsselte) Verbindung, bevor überhaupt SSH Informationen ausgetauscht werden.

[steffen006]

jap kann ich... denn die Protokolle von ICQ,MSN etc. sind auch gesperrt.../ daraus folge ich das... und wenn ich bei putty den proxy angebe bekomme ich als Antwort "403 Forbidden" wenn jemand noch auf die Idee kommt mit diesen http://www.anonymz.com/ zu surfen... nein die sind gesperrt!... Ich bin gerade dabei einen VPN aufzubauen denn der nutzt doch die ssl-Verschlüsselung und die müsste ja offen sein...

[Pawel]

Noch eine Sache, wenn ihr Ping gelernt habt (*hihi*), dann konntet ihr sicherlich während dieser Zeit auch pings nach aussen machen, oder?
Schau mal da: http://en.wikipedia.org/wiki/ICMP_tunnel

[steffen006]

Noch eine Sache, wenn ihr Ping gelernt habt (*hihi*), dann konntet ihr sicherlich während dieser Zeit auch pings nach aussen machen, oder?
Schau mal da: http://en.wikipedia.org/wiki/ICMP_tunnel

nein konnten wir nicht... das wird doch heute alles theoretisch gemacht... denn man hat doch nur noch 12Jahre bis zum ABI...

[Danielx]

Wenn der Proxy HTTPS richtig behandelt, dann darf er den Stream nicht verändern!

Ja, das ist klar.

Dadurch besteht erst eine sichere (verschlüsselte) Verbindung, bevor überhaupt SSH Informationen ausgetauscht werden.

Was mich jetzt aber wundert ist folgendes:
Wenn denn die SSH-Verbindung mit den genannten Putty-Einstellungen in einer HTTPS-Verbindung getunnelt würde (so habe ich deinen Beitrag verstanden), nimmt dann der SSH-Server die SSL-Verbindung an?
Denn es wird ja erstmal keine SSH-Verbindung, sondern eine SSL-Verbindung über den Proxy hergestellt, d.h. am Server von steffen006 kommen am Port an dem der SSH-Service lauscht ja dann HTTPS-Pakete an.
Wer nimmt diese Pakete dann am Server von steffen006 an, der SSH-Server?
Kannst du mir sagen, wie das technisch funktioniert?
Ich bin da jetzt etwas verwirrt.

denn man hat doch nur noch 12Jahre bis zum ABI...

Mein Beileid.
Und an der Uni geht es dann mit den ach so tollen, zusammengestrichenen Bachelor-Studiengängen weiter...

Gruß,
Daniel

[steffen006]

mhhh. aber ich habe mal wireshark am laufen gelassen... und der zeigt mir dass das ein SSH-Protokoll ist... und ein schlauer Proxy kann das bestimmt herausfinden... /aber ich bin mir nicht sicher/

[Pawel]

Ja, mea culpa, da habe ich doch zuviel gelabbert, aber schau mal da: http://www-user.tu-chemnitz.de/~hot/SSL/ letzter Absatz über stunnel und SSH over SSL.

[Danielx]

mhhh. aber ich habe mal wireshark am laufen gelassen... und der zeigt mir dass das ein SSH-Protokoll ist... und ein schlauer Proxy kann das bestimmt herausfinden... /aber ich bin mir nicht sicher/

Ja, eben!
Danke für die Untersuchung mit Wireshark!
Das bestätigt ja meine Vermutung, dass eben doch die SSH-Verbindung direkt über den Proxy läuft und nicht als HTTP-Verbindung, wie Pawel meinte.
Die HTTP-Angabe bei Putty bezieht sich also nur auf den Proxy-Typ (steht ja auch so bei Putty im Menü).

Obwohl da Pawel anderer Meinung zu sein scheint (das kann uns Pawel ja evtl. genauer erläutern), bin ich der Meinung, dass es ohne das Tunneln der SSH-Verbindung (z.B. über HTTP oder HTTPS) nicht geht.
edit: Unsere Beiträge haben sich wohl überschnitten: Pawel ist jetzt auch meiner/unserer Meinung.

Gruß,
Daniel

[steffen006]

ich versuche das mal so schnell wie möglich auszuprobieren....

[habakug]

Hallo!

Hier [1] ist das ganze gut erklärt. Aber bitte auch die Warnungen lesen. Das gilt auch für die heldenhaften Admins und ihre obertollen Firewalls:

The best way to keep unwanted ssh-connections to the Internet from your network is to completely disallow Internet access in your LAN. Don't have proxyservers accessible to any LAN client. Have the browsers running in a DMZ and redirect their output to the workstations via X11, Citrix Metaframe, VNC a.s.o.

Gruß, habakug

[1] http://jfranken.de/homepages/johannes/v ... h3.en.html

[Danielx]

Jetzt hast du ja genug Auswahl!

Die Idee mit Stunnel, siehe Link von Pawel hört sich gut an.
httptunnel scheint auch gut zu sein, siehe Link von habakug.
proxytunnel ist leider nicht in Debian, aber evtl. auch interessant, siehe ebenfalls Link von habakug.

Hier [1] ist das ganze gut erklärt.

Ja, der Link ist wirklich gut!

Gruß,
Daniel

[peyote]

Oder Du benutzt einfach sowas wie Ajaxterm.
http://antony.lesuisse.org/software/ajaxterm/