Kispad

Kispad: közös blog
4230 cikk, 53915 hozzászólás
Szerzők | Tudnivalók | Feedek


Hogyan menjünk át céges tűzfalon?

NagyGa1 cikke a Torokgeek rovatból, 2007. március 21. szerda, 03:53 | 43 hozzászólás

A nagy cégek többségénél dolgozik egy csoport, amelyik security policy-k és egyéb belső szabványok megteremtésével kreál munkát magának. Ezek az emberek perverz örömüket lelik az egyszerű alkalmazottak, nota bene helyi IT menedzserek piszkálásában.

Az alábbi leírást nem szívesen osztja meg másokkal az ember: ha túl sokan használják, előbb utóbb feltűnik, és tesznek ellene valamit. Úgyhogy légyszíves ne terjesszétek! :)

A túlzottan restriktív szabályrendszer egyébként önmaga security risk, gondoljunk csak a havonta megváltoztatandó, merev formátumú jelszavakra: ez a szabály akkor is a papírra leírás felé tolja a jó szándékú is a felhasználót, ha az amúgy hajlandó lenne fejben tartani.

Vagy: volt nálunk régebben egy IT vezető, aki nem engedélyezte a Lotus Notes webes felületét, mert ugye az nem megbízható (én nem tudom, ő mondta).

A cégnél rengeteg az utazó ember, akik VPN-el kapcsolódnak, de ahhoz kéznél kell legyen a notebookod. Van egy csomó ember akinek meg nincs VPN elérése. Mindkét csoport hajlamos lett külső webes emailre forwardolni a levelezését, mert az akár egy kávézóból is elérhető, vagy otthonról, hétvégén. A cég belső bizalmas levelezése így külső szervereken landolt.

A válasz a tünetet kezelte és nem az okot: megvettek egy szűrőt, ami letilt minden webmail elérést.

Ez engem kimondottan kellemetlenül érintett, nem hagyhattam annyiban.

A legtöbb cégnél a webelérést egy belső http proxyn keresztül oldják meg, amit a tűzfal kienged a 80-as (http) és a 443-as (https) portokon. Ezt fogjuk csinálni:

20070321_tuzfal_1.png

A proxytunnel nevű programmal belepakolunk egy ssh folyamot egy proxy http requestbe, amit az továbbit az otthoni hálózatunk 80-as portjára (vagy akár használhatjuk a 443-at is). Ott routerünk átfordítja az otthoni szerverünk 22-jérere, amin ssh szerver fut. (Ha routerünk nem tud ilyet, akkor rakhatjuk az ssh szervert már elve a 80-ra.)

Otthoni gépünkre elhelyezünk egy normál http/https proxyt is a 8888 porton. Ezt az ssh port forward funkcióját használva összekötjük a céges gépünk 8888-ával. (Konyhanyelven: a saját gépünk 8888-as portján lesz az otthoni gépünk 8888-án hallgatózó proxy elérhető.)

Az otthoni hálót az og.homelinux.org (fiktív) dinamikus dnsnév alatt érjük el, a router által támogatott dyndns.org-on keresztül.

Lépéseink:

1., Otthoni gépünkön kell hogy fusson egy ssh szerver 22-n, meg egy http proxy a 8888-on. Nálam ez Fedora Core linux alatt (ez a tévét is felvevő gép) elég egyszerűen kivitelezhető:
- ssh szerver alapból ott van
- letöltjük a tinyproxy nevű szoftver tinyproxy-1.7.0.tar.gz fájlját, majd rootként:

  tar -xvzf tinyproxy-1.7.0.tar.gz
  cd tinyproxy-1.7.0
  ./configure
  make
  make install

- A /usr/local/etc/tinyproxy/tinyproxy.conf-ban írjuk át a "Group nogroup"-ot "Group nobody"-ra, a kikommentezett "#Listen 192.168.0.1" sort pedig "Listen 127.0.0.1"-ra.
- töltsük le az initscriptet a kispadról, ami a gép elindulásánál elindítja, leállásánál leállítja a szolgáltatást, és helyezzük el /etc/init.d/tinyproxy -ként. Majd:

   chkconfig --add tinyproxy
   /etc/init.d/tinyproxy start

(A System/Administration/Server Settings/Services menü alatt ellenőrizhetjük, hogy tényleg elindul-e induláskor.)

2., Ellenőrizzük, hogy routerünk a 80-as portot az otthoni gép 22-jére forwardolja-e, illetve hogy van-e kívülről látható dns nevünk, ha nem, állítsuk be.

A céges gépemen is Linux fut, viszonylag egyszerű dolgom van a továbbiakban:

3., Töltsük le a Proxytunnel-t, majd rootként:

  tar -xvzf proxytunnel-1.6.3.tgz
  cd proxytunnel-1.6.3
  make
  make install

4., Helyezzük el ~/ssh/config fájlban ezt a két sort:

Host et_haza
    ProxyCommand proxytunnel -p : -d og.homelinux.org:80

És már (elvileg) működik is:

  ssh et_haza -L 8888:localhost:8888

Ha a browserünk proxy bejegyzését most átállítjuk a localhost:8888-ra, akkor van egy a cég embereitől biztonságos kijutási lehetőségünk - igaz az otthoni internetelérésünk feltöltési sebessége által limitálva.

Ezen én optimalizáltam egyet a Firefox alatti FoxyProxy használatával, amiben regexp szűrőkkel be lehet állítani hogy mi melyik proxyra menjen. Értelemszerűen a cég által nem letiltottak jobb, ha direktben a céges proxyn keresztül jönnek, míg mondjuk a letiltott gmail a localhost:8888-on.

Az ssh port forwardinggal bármit használhatunk céges gépünkről. Például ssh et_haza -L 23:freechess.org:23 után localhoston érhetjük el a freechess rendszerét, akár valamelyik grafikus klienssel is.

Manapság, az új évezredben már Windows-os környezetben is léteznek a megfelelő szoftverek, ha valaki készít egy leírást a Kispad gazdái szerintem (:)) biztosan leközlik.

Elképzelhető, hogy a jövőben (vagy néhol már most is?) a proxy vagy a tűzfal figyeli, hogy tényleg http requestek mennek-e, ez esetben a proxytunneles megoldás esetleg nem működik.

Sebaj, a httptunnel-en keresztül akkor is át tudjuk küldeni az ssh-t, de természetesen azt egy kicsit máshogy:

20070321_tuzfal_2.png

Az ssh folyamot a céges gépünkön a htc program csomagolja http-be, amit az otthoni gépünkön a hts pakol ki és küld a helyi ssh szerverre (22).

Fontos: próbáljuk nem feltűnni, mert ha a rendszergizdák felfigyelnek háttértevékenységünkre, akkor esetleg letiltanak minden forgalmat az otthoni gépünk felé, és akkor aztán semmi sem segít. (Illetve a Tor igen, de az folyamatosan annyi kapcsolatot tart nyitva, hogy azért szinte biztos, hogy fejbevernek.)

Update:
Dag Wieers előállt az utimate megoldással: proxytunnel => céges proxy => otthoni apache => otthoni sshd. Nagy előny, hogy akkor is működik, ha a szolgáltatónk blokkolja a 80-as portot és emiatt a 443-at nem tudjuk dedikált sshd-nek felajánlani, mert a webszerverünk oda szorult.
Kis hátránya hogy az Apache-t és a legújabb proxytunnel-t is patchelni kell (sima HTTP/80-hoz nem).
Nevét mostantól imába foglaljuk.

Archív: 20070321_tuzfal_1.dia, 20070321_tuzfal_2.dia

» Ugorj a hozzászóló ablakhoz

Megosztások Facebookon

Eddigi hozzászólások (43)

1

nyelv-ész, 2007. március 21. szerda, 06:39 (#)

Ez jó, egy időben én is vacakoltam hasonlóval, de mivel a mi cégünk IT vezetői nem ilyen fafejek, ma már minden mászkálós embernek van laptopja meg Vpn-je, és végszükség esetére a Notes levelezés is elérhető webes felületen.

Egyébként a fenti szenvedés helyett nem egyszerűbb mobiltelefonnal elérni a mailboxodat? Ma már minden valamirevaló mobillal megoldható.

2

Author Profile Page NagyGa1, 2007. március 21. szerda, 06:42 (#)

Itt is minden mászkálós embernek van VPN, de a cikk arról szól, hogy mi van ha a mászkálós ember éppen a cégnél szív.

Mobiltelefonnal elérni egyrészt kényelmetlen, másrészt lassú, harmadrészt drága. :) (Negyedrészt az elvek ugye, ötödrészt pedig most én vagyok az IT fejlesztési vezető. :))

3

nyelv-ész, 2007. március 21. szerda, 06:48 (#)

Ja és nálunk nincsenek a free webmail-ek letiltva, mert az a céges policy, hogy magáncélra a cég levelezőrendszere nem használható, a céges e-mail cím nem publikálható (aprónet, iwiw, miegymás), hanem ilyen célokra mindenki gyártson magának maszek postafiókot.
Így azért már jobban néz ki, nem?

4

Author Profile Page NagyGa1, 2007. március 21. szerda, 06:52 (#)

Jobban, de azért megnézném, hogy mennyi mél megy ki magáncímre.

Ha azt mondod hogy ssh-val is kiengednek, akkor tényleg le a kalappal! :)

5

nyelv-ész, 2007. március 21. szerda, 07:12 (#)

Ha arra gondolsz, hogy például a freemail elérhető-e https-sel, akkor igen.

6

Author Profile Page NagyGa1, 2007. március 21. szerda, 07:19 (#)

Nem (ssh != ssl), hanem arra hogy konkrétan az ssh protokollal ki lehet-e menni. Mert ha igen, akkor tulajdonképpen a port forwarding miatt tényleg szabad vagy.

7

Author Profile Page stsmork, 2007. március 21. szerda, 07:58 (#)

Wow, ezzel én is szívok. A cégen belülről nem tudom elérni a külső POP3-as mailboxaimat, mert letiltották a nagyokosok :( Egy időben akartam írni Perlben egy progit, ami SOAP csomagokba pakolja a POP3 utasításokat, átnyomja egy cégen kívüli szervernek, az pedig visszafordítja megint POP3-ra. Még szerencse, hogy nem volt időm nekiállni :-)

8

Author Profile Page eszpee, 2007. március 21. szerda, 08:04 (#)

Bővítsük a tudástárat, ssh tunnel putty-al, a legnépszerűbb windows-os ssh klienssel:

http://docs.cs.byu.edu/docs/sshtunnels/3.php

9

Ali, 2007. március 21. szerda, 08:10 (#)

Huh, rémlik, hogy lapul valamelyik CD-men egy program, ami a 80-as porton át engedett ki egy olyan helyen, ahol a 80-as porton kívül gyakorlatilag minden le volt tiltva, de mi ssh-zni és ftp-zni is akartunk. Sajnos a neve sem jut most eszembe, orosz program volt talán... Este, ha el nem felejtem, utánanézek.

10

mszmpkb, 2007. március 21. szerda, 08:53 (#)

nem nagyon értem a fenti teknikai részleteket viszont asszeretném mondani h nekem eddig még mindig működött a mezei remote desktop connection mindenféle műszaki varázslás nélkül. mármint persze xp pró van mindkét oldalon.

viszont az h "A túlzottan restriktív szabályrendszer egyébként önmaga security risk" című aranyigazságodat nem oktatják a rendszergazdaiskolában, az egészen bámulatos. én mostanában kezdtem szívni ezzel a
-Notes kívülről nem elérhető,
-VPN-t nem adunk ám mindenkinek, csak ha kurvára meg van indokolva
dologgal. Most kinek jó az, hogy mindent a gmail-be irányítok át, és ráadásul azt is az otthoni gépemen keresztül nézem?

11

Author Profile Page NagyGa1, 2007. március 21. szerda, 09:18 (#)

A céged által felkért külsős biztonsági szakértő örülni fog neki, mert a következő feladata (amiért pénzt szed) az lesz, hogy lezárja a webes mailekre átirányítás lehetőségét. :)

12

lipilee, 2007. március 21. szerda, 09:50 (#)

NagyGa, milyen a kapcsolatod Magyarország felé? nekünk a kínai irodáinkkal nagyon komoly konnektivitási gondok vannak, úgyhogy egy amerikai proxy-n keresztül kell mennünk...

13

Author Profile Page NagyGa1, 2007. március 21. szerda, 09:54 (#)

Megy minden, az otthoni gépem konkrétan Albertirsán leledzik, egész nap azon keresztül megy a gmail. De ez ugye Szingapúr és nem Kína. :)

Pontosan mi a gond a kapcsolattal? Lassú?

14

lipilee, 2007. március 21. szerda, 10:15 (#)

iszonyat lassú. bit per szekundumokban mérhető. email és http eltimeoutol, ilyesmi.

15

Author Profile Page NagyGa1, 2007. március 21. szerda, 10:20 (#)

Hmmm.... Járd körbe, hogy egészen véletlenül nem hagytak-e nyitva smtp portot a tisztelt kollégák. Még 2002-ben volt ilyen élményem Guangzhouban, hogy a kedves rendszergizda relaynek megnyitotta a cég email szerverét, amit napokon belül felfedeztek a spammerek, aztán heteken át küldtük a szemetet, amíg nekem fel nem tűnt hogy a cégnél milyen lassú a net.

(Pár hónapja volt vezetékszakadás egyébként az óceánon, de szerintem azt már megjavították.)

Ha érdekel a net sebessége, az azsia.netre futással megnézheted, ők Shanghaiból dolgoznak.

Ha hivatalosan kell segítség kínai oldalon, Guczóék (szintén azsia.net) cége pont ilyesmi.

16

Author Profile Page NagyGa1, 2007. március 21. szerda, 10:28 (#)

Nem akarok offolni, de traceroute hol hal le? Ha ami proxin megy akkor nem az amit írtam...

17

Zs, 2007. március 21. szerda, 10:48 (#)

#10 -hez: 3189 port ki van engedve?

18

Author Profile Page mami, 2007. március 21. szerda, 12:33 (#)

Azért az verhetetlen dolog volt, amíg én voltam a cégnél a proxy admin :) Akkortájt vezettük be a filterezést, túrórudiért és táblacsokiért lehetett venni site-okat :D

19

lipilee, 2007. március 21. szerda, 12:37 (#)

NagyGa, imába foglalom a neved! nem is tudod mióta keresek embert kínában.

20

Dr. Minorka, 2007. március 21. szerda, 12:38 (#)

Annak aki nem akar, vagy tud, otthoni gépén (MS Windows) ssh szervert futtatni. putty (ahpgy azt már eszpee írta)
+ ez a munkamenet (amit szintén leírtatok már, de itt szépen ábrázolva van):
http://www.szv.hu/hardi-janos/blog/20060619/eisz-hozzaferes-nem-engedelyezett-tartomanybol

21

Author Profile Page stsmork, 2007. március 21. szerda, 12:42 (#)

lipilee (#19): többet kellene Kispadot olvasnod ;-) Még kínai vendégmunkásunk is volt: http://kispad.hu/vendegmunkas/pepito.html

22

Author Profile Page NagyGa1, 2007. március 21. szerda, 12:48 (#)

Putty az csak kliens, de itt egy szerver: http://sshwindows.sourceforge.net/

Lipi: örülök! :)

23

lipilee, 2007. március 21. szerda, 15:05 (#)

stsmork, el se hiszed, mennyit olvasom a Kispadot, még pepito is megvolt, csak nem kattant össze az agy két különböző részét megmozgató két dolog, szóval nem jutott eszembe a Kispad, mint business partnerkereső fórum :)

(megjegyzés: az "el se" szókapcsolatot elsőre "else"-nek írta a kezem. szakmai ártalom.)

24

Author Profile Page NagyGa1, 2007. március 21. szerda, 17:14 (#)

Minor, megnéztem a linket:
1., nem kell hozzá otthoni ssh szerver, viszont kell hozzá valahol máshol :)
2., kell hozzá hogy a cég kiengedjen SOCKS proxy, amit nem nagyon szokás

25

Dr. Minorka, 2007. március 21. szerda, 17:49 (#)

persze, az én szempontom az volt, hogy hogyan lehet otthonról befelé kapcsolódni.

26

Baggio, 2007. március 21. szerda, 18:00 (#)

Nem tudom megmondani sajnos a nevet, de van/volt windozra olyan program, ami daemon-kent (vagy hogy hivjak ezt windozban) futott es mindent atnyomott a proxy 443/80-as portjan. Remekul lehetett ssh, ftp, pop3, imap protokollt vagy amit kellett hasznalni. (Ha esetleg megtalalom a nevet, majd jol megirom!)

27

mszmpkb, 2007. március 21. szerda, 18:45 (#)

#17: fogalmam sincs, mint említettem, nem értek az ilyen teknikai részletekhez :)

28

nyelv-ész, 2007. március 21. szerda, 19:47 (#)

#6: nem, csak http és https van engedélyezve, de a webmail eléréshez ennyi elég.

Ismét érdeklődnék: a mobiltelefonos ímél miért nem játszik? Túl magasak a gprs díjak sárgaföldön?

29

Baggio, 2007. március 21. szerda, 22:45 (#)

Azt hiszem ez is egy megoldas, sajnos a regi program nevere nem jovok ra, de szerintem ez is teljesen hasznalhato: http://proxytunnel.sourceforge.net/intro.php

30

Author Profile Page NagyGa1, 2007. március 22. csütörtök, 00:37 (#)

Dr Minor: És otthon van egy SOCKS proxyd? :) Persze ha kívülről beengednek SSH-val akkor lehet az SSH port forwardingot használni, igen.

Nyelvész: azért nem, mert mobilos emillel pl nem lehet sakkozni, vagy máshol a neten lévő gépeket adminisztrálni. A mobilon igen szar emilt írni. vagy ha a mobil GPRS-ét akrod használni, akkor folyamatosan gprs felhúz, céges kapcsolat lehúz, amíg levelezel, majd ugyanezt vissza. És még lassú is. (Akkor szoktam egyébként használni, ha az otthoni gépemmel valami történt, és a cikkben leírt módon nem tudok kimenni, és mindenképpen ki kell mennem mielőtt hazaérek. (:]))

Sárgaföldön olyan drága a gprs, hogy fix minimál átalánydíjjal használhatod.

Baggio, köszi, jó ötlet!!! ;)

31

Dr. Minorka, 2007. március 22. csütörtök, 00:59 (#)

Mondom, hogy én másképpen használom. Otthonról az egyetemi hálózatra kapcsolódni, és aztán otthonról az egyetemi hálózat "részeként" böngészni. Nekem csak a puttttty kellett otthon, az egyetemi részen pedig az SSH-szerver biztosan (Linux), zoknit megkérdezem. (Nem tudsz aludni? Hány óra van most?)

32

Author Profile Page NagyGa1, 2007. március 22. csütörtök, 01:30 (#)

Az előbb reggel 7:37 volt, még otthonról, most meg már a cégtől, reggeli után, 8:30. :)

Na megnézem a másik kommentedet.

33

szaboat, 2007. március 22. csütörtök, 12:56 (#)

Baggio, nem o volt az?

http://www.agroman.net/corkscrew/

regebben probalgattam es tok jol mukodott.

34

Author Profile Page BufferTly, 2007. március 22. csütörtök, 22:09 (#)

két gyors komment:

1. vannak webes ún. wingate-ek amik használatával még tunnelezni sem kell, csak beállítani őket proxynak.

2. a tunnelezéses kiskaput is be lehet szüntetni, ha nagyon akarja az ember; erre való a csomag- és/vagy protokollszűrés. ilyenkor 80-as port ide, 443-as oda, ha nem http kérések mennek hanem az ssh protokollé, akkor szevasz...

35

gargoyle, 2007. március 22. csütörtök, 23:45 (#)

gondolom itt is igaz hogy nincs betorhetetlen ajto meg kicselezhetetlen betoro se, de egy sima firewall a ceges userek 99.9%at leszuri a pr0n siteokrol, a maradek ket ember meg 1. nem oszt nem szoroz egy nagy cegnel 2. kb akarmit kitalalnak es vagy haverja a rendszergazdanak vagy o a rendszergazda

36

Author Profile Page NagyGa1, 2007. március 23. péntek, 01:46 (#)

Butterfly: az 1, jó ötlet, ha csak webezni akarsz. a 2-re megoldás a második ábrán bemutatott httptunnel csomagolás. Persze azt is be lehet szüntetni (cikk vége, a "Fontos:" után). Ezután a Tor még működik (cikk vége), de azt is be lehet szüntetni az illető szájbaverésével. :)

37

moshi, 2007. március 23. péntek, 13:15 (#)

ez most akkor különbözik bármiben is a már több éve, különféle blogokon, többek között a plastikon is felbukkant, how to bypass most firewall restrictions című írástól?
(http://www.buzzsurf.com/surfatwork/)

38

Author Profile Page NagyGa1, 2007. március 23. péntek, 13:48 (#)

A buzzsurfos link feltételezi hogy kiengednek a 443-on direktben SSH-val, ami nem szokott engedélyezve lenni (a cikkben csak a proxy mehet ki, az is csak 80-on vagy 443-on). Ha így kiengednek, akkor persze egyszerűbb így, a cikkből kihagyva a proxytunnel-es http-be csomagolást, csak simán ssh port forwardolni.

39

Author Profile Page NagyGa1, 2007. március 23. péntek, 13:49 (#)

Ha adsz linket a plastikra akkor megmondom hogy attól különbözik-e. :)

40

moshi, 2007. március 23. péntek, 14:01 (#)

a plastikon (ez rémlik) csak az a link szerepelt, amit fent írtam.

41

Author Profile Page NagyGa1, 2007. május 15. kedd, 13:49 (#)

Update a cikk végén.

42

vtec, 2007. július 19. csütörtök, 22:40 (#)

Hello! Nekem melohelyen proxyn keresztul minden https oldal bejön. Tehát vmi olyasmi kellene, hogy otthoni gépemen 443-as porton legyen egy proxy, így amit ezen keresztul érek el az olyan mintha https-es lenne. ezt hogy lehetne megoldani ? vtec

43

Author Profile Page NagyGa1, 2007. július 20. péntek, 10:37 (#)

Pont úgy, ahogy a cikkben le van írva, csak a 80-as helyett a 443-ra rakod az SSH-t.
Vagy pont úgy, ahogy az update részben Dag Wieers javasolja.


Hozzászólsz?

Igen

Hozzászólást csak névvel együtt fogadunk el. Ha linket írsz be, akkor előtte és utána hagyj egy szóközt, főleg akkor, ha zárójelbe teszed.


Az oldal tetejére | Szerzők, tudnivalók, feedek | sesblog és Kispad © 2003-2010 ervin, eszpee, stsmork