В обход прокси...

Разговоры ни о чём

Модератор: vadim64

Аватара пользователя
GRooVE
ст. сержант
Сообщения: 309
Зарегистрирован: 2009-01-04 10:33:43
Откуда: Odessa, UA
Контактная информация:

В обход прокси...

Непрочитанное сообщение GRooVE » 2009-04-15 18:11:24

Доброе время суток!
Имеется небольшая проблемка, решение которой несет не столько практической пользы, сколько получения пактического опыта в ее решении :)
А вот, собсно, и сама проблемка:

Имеется рабочее место внутри корпоративной сети с выходом в мир через корпоративный прокси. На корпоративном прокси-сервере настроен жесткий фильтр траффика: режится все, кроме http и icq + фильтр содержимого www страниц (режутся порно, игры, соц. сети, музыка и т.д. и т.п.). Доступа к настройке прокси-сервера не имеется. Так же имеется небольшой домашний сервак с правильной ОС и широким каналом наружу (nat+web+ftp+mail+......).
Задача: на внутрикорпоративной машине полноценно юзать инет.

Что уже пробовал:
1. Была попытка поднять vpn-туннель через прокси посредством OpenVPN между домашней и корпоративной машинами. Однако попытка не увенчалась успехом, т.к. в ответ от прокси получаю ошибку, связанную с методом "CONNECT" на прокси, после чего забил на эту идею.
2. Последнее, что делал: повесил на домашней машине обычный cgi-прокси ( http://jmarshall.com/tools/cgiproxy/ ), который работает по принцыпу обычных анонимайзеров, которых кучу в интернете (кстати, большинство анонимайзеров замечательно работают). Данный cgi-прокси отлично выполняет свою работу, за исключением того, что страницы как проходили через фильтр корпоративного прокси-сервера - так и проходят, т.е. прокси работает, но толку от него ноль.

Ну вот, собсно, и вопрос:
1. Есть ли возможность, например, каким-то образом шифровать траффик до cgi-прокси так, чтобы корпоративный прокси не смог фильтровать контент, проходящий сквозь него?
Ну и вообще хотелось бы узнать решал ли кто-нибудь подобные проблемы и как!
Так же приветствуется любые мысли по поводу решения данной проблемы!

Заранее благодарю за любую предоставленную помощь в данном вопросе!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: В обход прокси...

Непрочитанное сообщение zg » 2009-04-15 18:33:28

GRooVE писал(а):Есть ли возможность, например, каким-то образом шифровать траффик до cgi-прокси так, чтобы корпоративный прокси не смог фильтровать контент, проходящий сквозь него?
гм... токо если шифрованные пакеты сувать внутрь HTTP или ICQ, только по-моему это бред. Хотя реализовать думаю можно.

Аватара пользователя
Amadeus
ст. сержант
Сообщения: 331
Зарегистрирован: 2008-10-05 12:42:44
Откуда: Kiev

Re: В обход прокси...

Непрочитанное сообщение Amadeus » 2009-04-15 19:21:05

Эмм....
Ты предлагаешь админам рассказать как обойти жесткую резалку прокси сервера?)

Вопрос - кто попросил помочь?)

С такими вопросами, при всем уважении, не на этот форум надо) ибо находится он в открытом доступе даже для гостей, и выложенная тут подобная информация, может потом оч навредить кому либо.
Нет ничего невозможного

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

Re: В обход прокси...

Непрочитанное сообщение f_andrey » 2009-04-15 19:30:36

GRooVE писал(а):Так же приветствуется любые мысли по поводу решения данной проблемы!

Заранее благодарю за любую предоставленную помощь в данном вопросе!
У меня есть одно 100% решение, если не нравится политика фирмы, то либо докажите администрации что она не верна, и препятствует вашей продуктивной работе, либо смените работу, блин вышло целых два решения, ну это даже лучше чем одно :evil:

И вообще не зря народ говорил, что если работа мешает пьянке, то надо менять работу :bn:
Последний раз редактировалось f_andrey 2009-04-15 19:31:53, всего редактировалось 1 раз.
Причина: Переместил в null ибо тут место такой теме :)
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Аватара пользователя
GRooVE
ст. сержант
Сообщения: 309
Зарегистрирован: 2009-01-04 10:33:43
Откуда: Odessa, UA
Контактная информация:

Re: В обход прокси...

Непрочитанное сообщение GRooVE » 2009-04-15 19:46:15

Amadeus писал(а):Вопрос - кто попросил помочь?)
Да никто собсно не просил... жена жалуется на недостаток контакта на работе :)
смысл всего этого, как я уже сказал, не столько в практической пользе результата получения доступа, сколько в приобретении опыта решения подобного рода вопросов и, соответственно, борьбы с этим же решением, т.к. сам являюсь админом... ведь для того, чтобы иметь опыт в защите - необходимо иметь опыт в, так сказать, нападении

Аватара пользователя
LimpTeaM
сержант
Сообщения: 236
Зарегистрирован: 2007-10-04 16:26:21

Re: В обход прокси...

Непрочитанное сообщение LimpTeaM » 2009-04-15 20:41:50

насчет cgiproxy. в файле этой прокси, есть настройка на шифрование адресной строчки т.е. например если Вы лезете на одноклассники через эту проксю, то увидите,что адрес будет иметь примерно такой вид:

Код: Выделить всё

http://domain.ru/cgi-bin/nph-od.cgi/010110A/687474703a2f2f6f646e6f6b6c6173736e696b692e72752f
настраивается в файле cgiproxy так:
найти эти строчки и закомментить также как и здесь. Возможно поможет :)

Код: Выделить всё

sub proxy_encode {
    my($URL)= @_ ;
#    $URL=~ s#^([\w+.-]+)://#$1/# ;                 # http://xxx -> http/xxx
    $URL=~ s/(.)/ sprintf('%02x',ord($1)) /ge ;   # each char -> 2-hex
#    $URL=~ tr/a-zA-Z/n-za-mN-ZA-M/ ;              # rot-13

    return $URL ;
}

sub proxy_decode {
    my($enc_URL)= @_ ;

#    $enc_URL=~ tr/a-zA-Z/n-za-mN-ZA-M/ ;        # rot-13
    $enc_URL=~ s/([\da-fA-F]{2})/ sprintf("%c",hex($1)) /ge ;
#    $enc_URL=~ s#^([\w+.-]+)/#$1://# ;           # http/xxx -> http://xxx
    return $enc_URL ;
}

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: В обход прокси...

Непрочитанное сообщение zg » 2009-04-15 21:03:01

Amadeus писал(а):С такими вопросами, при всем уважении, не на этот форум надо) ибо находится он в открытом доступе даже для гостей, и выложенная тут подобная информация, может потом оч навредить кому либо.
навряд ли :roll:

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: В обход прокси...

Непрочитанное сообщение Gloft » 2009-04-15 21:09:43

а кто мешает повесить cgi-прокси с ssl
канал между прокси и клиентом будет защищен и неподлежит фильтрации как таковой

Аватара пользователя
GRooVE
ст. сержант
Сообщения: 309
Зарегистрирован: 2009-01-04 10:33:43
Откуда: Odessa, UA
Контактная информация:

Re: В обход прокси...

Непрочитанное сообщение GRooVE » 2009-04-15 21:22:22

LimpTeaM,
Спасибо большое!
Как раз около часа назад разобрался с этой фичей, очень полезная штука!
Gloft писал(а):а кто мешает повесить cgi-прокси с ssl
канал между прокси и клиентом будет защищен и неподлежит фильтрации как таковой
думал об этом... правда все время останавливает мысль, что прокся может фильтровать ssl... но, опять же, это только теория!
Спасибо! Прим к сведению... завтра попробую - отпишусь

Аватара пользователя
Amadeus
ст. сержант
Сообщения: 331
Зарегистрирован: 2008-10-05 12:42:44
Откуда: Kiev

Re: В обход прокси...

Непрочитанное сообщение Amadeus » 2009-04-15 22:57:35

навряд ли
Может и на врядли, просто я считаю, что подобного рода темы не должны присутствовать на форумах прямого технического содержания.

Насчет умения обходить прокси для безопасности в будующем, оно полезно, НО гугл выдает 5 страниц ссылок на эту тему, на всяких хакерских форумах:)

Читай не хочу).

Простой пример -

Человек пройдет по поисковому запросу - найдет развернутый ответ - если руки прямые поможет тому кто его об этом просил - человек получивший помошь получит полный доступ к инету - нахватает вирусов - пустит их в локалку если антивиря нет - вирусы начнут например посылать бешеные по размеру пакеты в сети = лежит сеть, контора не работает, фирма теряет деньги, все на ушах, админ выправляет ковардак....

И все это началось с чего? правильно потому что скучно на работе было:)
Я написал самый пессиместичный вариант, но и такое может быть.
Нет ничего невозможного

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: В обход прокси...

Непрочитанное сообщение manefesto » 2009-04-16 4:20:06

вопрос топик стартеру
websense ?
я такой яростный шо аж пиздеЦ
Изображение

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: В обход прокси...

Непрочитанное сообщение zg » 2009-04-16 7:23:41

Amadeus писал(а):Человек пройдет по поисковому запросу - найдет развернутый ответ - если руки прямые поможет тому кто его об этом просил - человек получивший помошь получит полный доступ к инету - нахватает вирусов - пустит их в локалку если антивиря нет - вирусы начнут например посылать бешеные по размеру пакеты в сети = лежит сеть, контора не работает, фирма теряет деньги, все на ушах, админ выправляет ковардак....
если руки прямые, то пофигу, всё равно сделает. Вирусы и то, что сеть лежит, это проблемы админа, в нормальной сети такие компы сразу лочатся до выяснения обстоятельств. Если фирма на ушах из-за вирей, то гнать надо админа. А пользователю, который виря через сеть занёс, ещё и наградить премией, поскольку нашёл дыру в безопасности.

Если бы мы тут софт разрабатывали хакерский для взлома сети, тогда да, будет вред. А так не вижу ничего предосудительного :unknown:

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: В обход прокси...

Непрочитанное сообщение zingel » 2009-04-16 8:40:32

да через snort такие умельцы режутся на раз два, если зарезано всё, и открыто два порта, там по-дефолту админ гавно и сама контора вобщем то тоже.
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
Amadeus
ст. сержант
Сообщения: 331
Зарегистрирован: 2008-10-05 12:42:44
Откуда: Kiev

Re: В обход прокси...

Непрочитанное сообщение Amadeus » 2009-04-16 11:57:31

Я просто выразил свое мнение:)
жена жалуется на недостаток контакта на работе
Это собственно работа же) а не дом.

И порты там открыты я больше чем уверен не только два, как минимум еще пяток стандартных 25,110,143,53 и т.д

Иначе это больше похоже на секретную войсковую часть).

Суть то в чем.

Каков бы не был админ (просто никогда не надо плохо отзываться о человеке), но от ответственный за сеть конторы, а следовательно и за бесперебойную работу сотрудников. И если Сотрудник А весь день занимается на рабочем месте взломом прокси, то он в первую очередь осложняет себе жизнь, так как случись что его комп встанет первым, и тут уже не поможет "аааа я куда то не туда нажал".
Нет ничего невозможного

Аватара пользователя
GRooVE
ст. сержант
Сообщения: 309
Зарегистрирован: 2009-01-04 10:33:43
Откуда: Odessa, UA
Контактная информация:

Re: В обход прокси...

Непрочитанное сообщение GRooVE » 2009-04-16 11:58:52

manefesto писал(а):вопрос топик стартеру
websense ?
Вы имеете в виду на корпоративном шлюзе? нет, обычная FreeBSD... шестой ветки, по-моему...

Аватара пользователя
GRooVE
ст. сержант
Сообщения: 309
Зарегистрирован: 2009-01-04 10:33:43
Откуда: Odessa, UA
Контактная информация:

Re: В обход прокси...

Непрочитанное сообщение GRooVE » 2009-04-16 13:10:15

Сегодня успешно прошла проверку связка cgiproxy+шифрование URL по самопальному алгоритму+Такое же шифрование кукисов+Включенные скрипты (нормально выполняются скрипты на страничках, такие как отправка сообщений в контакте и т.д., которые обычно не работают на обычных анонимайзерах). И все это пока успешно работает без SSL. Правда пришлось немного подрихтовать под себя скрипт... :)
В общем, жена довольна... да и я удовлетворен :)
P.S.: кстати, cgiproxy отлично понимает http и ftp протоколы... при чем с авторизацией :) мелочь, а приятно)

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: В обход прокси...

Непрочитанное сообщение reLax » 2009-04-16 15:45:53

GRooVE писал(а):Сегодня успешно прошла проверку связка cgiproxy+шифрование URL по самопальному алгоритму+Такое же шифрование кукисов+Включенные скрипты (нормально выполняются скрипты на страничках, такие как отправка сообщений в контакте и т.д., которые обычно не работают на обычных анонимайзерах). И все это пока успешно работает без SSL. Правда пришлось немного подрихтовать под себя скрипт... :)
В общем, жена довольна... да и я удовлетворен :)
P.S.: кстати, cgiproxy отлично понимает http и ftp протоколы... при чем с авторизацией :) мелочь, а приятно)
Все, что касается FTP/HTTP/HTTPS гоним через прокси (Squid)

Код: Выделить всё

acl SSL_ports port 443
acl Safe_ports port 443
acl PROXY urlpath_regex -i (nph)
http_access allow !PROXY Safe_ports
http_access allow !PROXY SSL_ports
http_access deny  all
:-D Ну вообщем-то и все. Вроде так :)

Аватара пользователя
TaN
рядовой
Сообщения: 49
Зарегистрирован: 2007-08-13 8:39:00
Откуда: Россия, Волгоград/Волжский (Работа/Дом)
Контактная информация:

Re: В обход прокси...

Непрочитанное сообщение TaN » 2009-04-16 21:29:04

GRooVE писал(а): Что уже пробовал:
1. Была попытка поднять vpn-туннель через прокси посредством OpenVPN между домашней и корпоративной машинами. Однако попытка не увенчалась успехом, т.к. в ответ от прокси получаю ошибку, связанную с методом "CONNECT" на прокси, после чего забил на эту идею.
Повесьте OpenVPN на 443 порт =)
Не думаю что у вас дома поднято https
"Верьте в нас, ибо только вера придаёт богам силу." @ Ом (Терри Пратчетт "Маленькие Боги")

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: В обход прокси...

Непрочитанное сообщение f0s » 2009-04-17 9:39:48

Amadeus писал(а):
навряд ли
Может и на врядли, просто я считаю, что подобного рода темы не должны присутствовать на форумах прямого технического содержания.

Насчет умения обходить прокси для безопасности в будующем, оно полезно, НО гугл выдает 5 страниц ссылок на эту тему, на всяких хакерских форумах:)

Читай не хочу).

Простой пример -

Человек пройдет по поисковому запросу - найдет развернутый ответ - если руки прямые поможет тому кто его об этом просил - человек получивший помошь получит полный доступ к инету - нахватает вирусов - пустит их в локалку если антивиря нет - вирусы начнут например посылать бешеные по размеру пакеты в сети = лежит сеть, контора не работает, фирма теряет деньги, все на ушах, админ выправляет ковардак....

И все это началось с чего? правильно потому что скучно на работе было:)
Я написал самый пессиместичный вариант, но и такое может быть.
ну можно тогда перенести тогда тему например в закрытую Area51, она по идее не должна гуглится
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Аватара пользователя
GRooVE
ст. сержант
Сообщения: 309
Зарегистрирован: 2009-01-04 10:33:43
Откуда: Odessa, UA
Контактная информация:

Re: В обход прокси...

Непрочитанное сообщение GRooVE » 2009-04-18 3:51:48

На досуге прикрутил SSL... Работает отменно!
Думаю, я добился всего, чего хотел :)

le_
проходил мимо

Re: В обход прокси...

Непрочитанное сообщение le_ » 2009-04-25 12:38:04

GRooVE писал(а):Доброе время суток!
Имеется небольшая проблемка, решение которой несет не столько практической пользы, сколько получения пактического опыта в ее решении :)
А вот, собсно, и сама проблемка:

Имеется рабочее место внутри корпоративной сети с выходом в мир через корпоративный прокси. На корпоративном прокси-сервере настроен жесткий фильтр траффика: режится все, кроме http и icq + фильтр содержимого www страниц (режутся порно, игры, соц. сети, музыка и т.д. и т.п.). Доступа к настройке прокси-сервера не имеется. Так же имеется небольшой домашний сервак с правильной ОС и широким каналом наружу (nat+web+ftp+mail+......).
Задача: на внутрикорпоративной машине полноценно юзать инет.

Что уже пробовал:
1. Была попытка поднять vpn-туннель через прокси посредством OpenVPN между домашней и корпоративной машинами. Однако попытка не увенчалась успехом, т.к. в ответ от прокси получаю ошибку, связанную с методом "CONNECT" на прокси, после чего забил на эту идею.
2. Последнее, что делал: повесил на домашней машине обычный cgi-прокси ( http://jmarshall.com/tools/cgiproxy/ ), который работает по принцыпу обычных анонимайзеров, которых кучу в интернете (кстати, большинство анонимайзеров замечательно работают). Данный cgi-прокси отлично выполняет свою работу, за исключением того, что страницы как проходили через фильтр корпоративного прокси-сервера - так и проходят, т.е. прокси работает, но толку от него ноль.

Ну вот, собсно, и вопрос:
1. Есть ли возможность, например, каким-то образом шифровать траффик до cgi-прокси так, чтобы корпоративный прокси не смог фильтровать контент, проходящий сквозь него?
Ну и вообще хотелось бы узнать решал ли кто-нибудь подобные проблемы и как!
Так же приветствуется любые мысли по поводу решения данной проблемы!

Заранее благодарю за любую предоставленную помощь в данном вопросе!
Проблему в точно такой же ситуации удалось решить двумя способами:
1. ssh-туннель (ssh поднят на 443 порту + домашний прокси + putty)
2. OpenVPN + Rinetd (помимо этих двух программ иногда (при необходимости) приходилось использовать еще одно программное средство для сброса соединения между домашним Rinetd и сервисом OpenVPN)

Оба способа дают примерно одинаковые возможности. Лично мне первый показался чуточку более удобным )

Есть третий способ, который принципиально отличается от первых двух описанных: использование ПО RemotelyAnywhere, которое предоставляет возможность полного управления домашним компьютером непосредственно через WEB-браузер (в том числе есть удаленный рабочий стол [как у RAdmin'a, например], и при наличии широкого канала можно даже серфить вэб, смотреть видео и т.п., используя удаленный рабочий стол).
В случае подобном описанному выше RemotelyAnywhere тоже нужно настроить на прослушивание порта 443.

P.S.: cgi-прокси (jmarshall.com) тоже пробовал - хорошая штука ))
P.P.S.: и еще, ru-board рулит ))

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: В обход прокси...

Непрочитанное сообщение zingel » 2009-04-26 0:05:34

Код: Выделить всё

Content-Type: text/html; charset=windows-1251 
рулит не по-детски просто Ваш руборд =)
ПО RemotelyAnywhere
раскажите как его собрать под фряху?
Z301171463546 - можно пожертвовать мне денег

le_
проходил мимо

Re: В обход прокси...

Непрочитанное сообщение le_ » 2009-04-26 0:33:56

ПО RemotelyAnywhere
раскажите как его собрать под фряху?
RemotelyAnywhere работает только под Windows.

Для *nix можно попробовать Net Op Remote Control, но это все же немного другое...

Maluskor
проходил мимо

Re: В обход прокси...

Непрочитанное сообщение Maluskor » 2010-09-14 0:49:58

Народ я решил проблему с помощью GnuHttpTunnel и Openvpn, у меня проксак режет все порты кроме HTTP и HTTPS плюс жёсткая резалка хостов.