В обход прокси...

[GRooVE]

Доброе время суток!
Имеется небольшая проблемка, решение которой несет не столько практической пользы, сколько получения пактического опыта в ее решении
А вот, собсно, и сама проблемка:

Имеется рабочее место внутри корпоративной сети с выходом в мир через корпоративный прокси. На корпоративном прокси-сервере настроен жесткий фильтр траффика: режится все, кроме http и icq + фильтр содержимого www страниц (режутся порно, игры, соц. сети, музыка и т.д. и т.п.). Доступа к настройке прокси-сервера не имеется. Так же имеется небольшой домашний сервак с правильной ОС и широким каналом наружу (nat+web+ftp+mail+......).
Задача: на внутрикорпоративной машине полноценно юзать инет.

Что уже пробовал:
1. Была попытка поднять vpn-туннель через прокси посредством OpenVPN между домашней и корпоративной машинами. Однако попытка не увенчалась успехом, т.к. в ответ от прокси получаю ошибку, связанную с методом "CONNECT" на прокси, после чего забил на эту идею.
2. Последнее, что делал: повесил на домашней машине обычный cgi-прокси ( http://jmarshall.com/tools/cgiproxy/ ), который работает по принцыпу обычных анонимайзеров, которых кучу в интернете (кстати, большинство анонимайзеров замечательно работают). Данный cgi-прокси отлично выполняет свою работу, за исключением того, что страницы как проходили через фильтр корпоративного прокси-сервера - так и проходят, т.е. прокси работает, но толку от него ноль.

Ну вот, собсно, и вопрос:
1. Есть ли возможность, например, каким-то образом шифровать траффик до cgi-прокси так, чтобы корпоративный прокси не смог фильтровать контент, проходящий сквозь него?
Ну и вообще хотелось бы узнать решал ли кто-нибудь подобные проблемы и как!
Так же приветствуется любые мысли по поводу решения данной проблемы!

Заранее благодарю за любую предоставленную помощь в данном вопросе!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zg]

Есть ли возможность, например, каким-то образом шифровать траффик до cgi-прокси так, чтобы корпоративный прокси не смог фильтровать контент, проходящий сквозь него?

гм... токо если шифрованные пакеты сувать внутрь HTTP или ICQ, только по-моему это бред. Хотя реализовать думаю можно.

[Amadeus]

Эмм....
Ты предлагаешь админам рассказать как обойти жесткую резалку прокси сервера?)

Вопрос - кто попросил помочь?)

С такими вопросами, при всем уважении, не на этот форум надо) ибо находится он в открытом доступе даже для гостей, и выложенная тут подобная информация, может потом оч навредить кому либо.

[f_andrey]

Так же приветствуется любые мысли по поводу решения данной проблемы!

Заранее благодарю за любую предоставленную помощь в данном вопросе!

У меня есть одно 100% решение, если не нравится политика фирмы, то либо докажите администрации что она не верна, и препятствует вашей продуктивной работе, либо смените работу, блин вышло целых два решения, ну это даже лучше чем одно

И вообще не зря народ говорил, что если работа мешает пьянке, то надо менять работу

[GRooVE]

Вопрос - кто попросил помочь?)

Да никто собсно не просил... жена жалуется на недостаток контакта на работе
смысл всего этого, как я уже сказал, не столько в практической пользе результата получения доступа, сколько в приобретении опыта решения подобного рода вопросов и, соответственно, борьбы с этим же решением, т.к. сам являюсь админом... ведь для того, чтобы иметь опыт в защите - необходимо иметь опыт в, так сказать, нападении

[LimpTeaM]

насчет cgiproxy. в файле этой прокси, есть настройка на шифрование адресной строчки т.е. например если Вы лезете на одноклассники через эту проксю, то увидите,что адрес будет иметь примерно такой вид:

Код: Выделить всё

http://domain.ru/cgi-bin/nph-od.cgi/010110A/687474703a2f2f6f646e6f6b6c6173736e696b692e72752f

настраивается в файле cgiproxy так:
найти эти строчки и закомментить также как и здесь. Возможно поможет

Код: Выделить всё

sub proxy_encode {
    my($URL)= @_ ;
#    $URL=~ s#^([\w+.-]+)://#$1/# ;                 # http://xxx -> http/xxx
    $URL=~ s/(.)/ sprintf('%02x',ord($1)) /ge ;   # each char -> 2-hex
#    $URL=~ tr/a-zA-Z/n-za-mN-ZA-M/ ;              # rot-13

    return $URL ;
}

sub proxy_decode {
    my($enc_URL)= @_ ;

#    $enc_URL=~ tr/a-zA-Z/n-za-mN-ZA-M/ ;        # rot-13
    $enc_URL=~ s/([\da-fA-F]{2})/ sprintf("%c",hex($1)) /ge ;
#    $enc_URL=~ s#^([\w+.-]+)/#$1://# ;           # http/xxx -> http://xxx
    return $enc_URL ;
}

[zg]

С такими вопросами, при всем уважении, не на этот форум надо) ибо находится он в открытом доступе даже для гостей, и выложенная тут подобная информация, может потом оч навредить кому либо.

навряд ли

[Gloft]

а кто мешает повесить cgi-прокси с ssl
канал между прокси и клиентом будет защищен и неподлежит фильтрации как таковой

[GRooVE]

LimpTeaM,
Спасибо большое!
Как раз около часа назад разобрался с этой фичей, очень полезная штука!

а кто мешает повесить cgi-прокси с ssl
канал между прокси и клиентом будет защищен и неподлежит фильтрации как таковой

думал об этом... правда все время останавливает мысль, что прокся может фильтровать ssl... но, опять же, это только теория!
Спасибо! Прим к сведению... завтра попробую - отпишусь

[Amadeus]

навряд ли

Может и на врядли, просто я считаю, что подобного рода темы не должны присутствовать на форумах прямого технического содержания.

Насчет умения обходить прокси для безопасности в будующем, оно полезно, НО гугл выдает 5 страниц ссылок на эту тему, на всяких хакерских форумах:)

Читай не хочу).

Простой пример -

Человек пройдет по поисковому запросу - найдет развернутый ответ - если руки прямые поможет тому кто его об этом просил - человек получивший помошь получит полный доступ к инету - нахватает вирусов - пустит их в локалку если антивиря нет - вирусы начнут например посылать бешеные по размеру пакеты в сети = лежит сеть, контора не работает, фирма теряет деньги, все на ушах, админ выправляет ковардак....

И все это началось с чего? правильно потому что скучно на работе было:)
Я написал самый пессиместичный вариант, но и такое может быть.

[manefesto]

вопрос топик стартеру
websense ?

[zg]

Человек пройдет по поисковому запросу - найдет развернутый ответ - если руки прямые поможет тому кто его об этом просил - человек получивший помошь получит полный доступ к инету - нахватает вирусов - пустит их в локалку если антивиря нет - вирусы начнут например посылать бешеные по размеру пакеты в сети = лежит сеть, контора не работает, фирма теряет деньги, все на ушах, админ выправляет ковардак....

если руки прямые, то пофигу, всё равно сделает. Вирусы и то, что сеть лежит, это проблемы админа, в нормальной сети такие компы сразу лочатся до выяснения обстоятельств. Если фирма на ушах из-за вирей, то гнать надо админа. А пользователю, который виря через сеть занёс, ещё и наградить премией, поскольку нашёл дыру в безопасности.

Если бы мы тут софт разрабатывали хакерский для взлома сети, тогда да, будет вред. А так не вижу ничего предосудительного

[zingel]

да через snort такие умельцы режутся на раз два, если зарезано всё, и открыто два порта, там по-дефолту админ гавно и сама контора вобщем то тоже.

[Amadeus]

Я просто выразил свое мнение:)

жена жалуется на недостаток контакта на работе

Это собственно работа же) а не дом.

И порты там открыты я больше чем уверен не только два, как минимум еще пяток стандартных 25,110,143,53 и т.д

Иначе это больше похоже на секретную войсковую часть).

Суть то в чем.

Каков бы не был админ (просто никогда не надо плохо отзываться о человеке), но от ответственный за сеть конторы, а следовательно и за бесперебойную работу сотрудников. И если Сотрудник А весь день занимается на рабочем месте взломом прокси, то он в первую очередь осложняет себе жизнь, так как случись что его комп встанет первым, и тут уже не поможет "аааа я куда то не туда нажал".

[GRooVE]

вопрос топик стартеру
websense ?

Вы имеете в виду на корпоративном шлюзе? нет, обычная FreeBSD... шестой ветки, по-моему...

[GRooVE]

Сегодня успешно прошла проверку связка cgiproxy+шифрование URL по самопальному алгоритму+Такое же шифрование кукисов+Включенные скрипты (нормально выполняются скрипты на страничках, такие как отправка сообщений в контакте и т.д., которые обычно не работают на обычных анонимайзерах). И все это пока успешно работает без SSL. Правда пришлось немного подрихтовать под себя скрипт...
В общем, жена довольна... да и я удовлетворен
P.S.: кстати, cgiproxy отлично понимает http и ftp протоколы... при чем с авторизацией мелочь, а приятно)

[reLax]

Сегодня успешно прошла проверку связка cgiproxy+шифрование URL по самопальному алгоритму+Такое же шифрование кукисов+Включенные скрипты (нормально выполняются скрипты на страничках, такие как отправка сообщений в контакте и т.д., которые обычно не работают на обычных анонимайзерах). И все это пока успешно работает без SSL. Правда пришлось немного подрихтовать под себя скрипт...
В общем, жена довольна... да и я удовлетворен
P.S.: кстати, cgiproxy отлично понимает http и ftp протоколы... при чем с авторизацией мелочь, а приятно)

Все, что касается FTP/HTTP/HTTPS гоним через прокси (Squid)

Код: Выделить всё

acl SSL_ports port 443
acl Safe_ports port 443
acl PROXY urlpath_regex -i (nph)
http_access allow !PROXY Safe_ports
http_access allow !PROXY SSL_ports
http_access deny  all

Ну вообщем-то и все. Вроде так

[TaN]

Что уже пробовал:
1. Была попытка поднять vpn-туннель через прокси посредством OpenVPN между домашней и корпоративной машинами. Однако попытка не увенчалась успехом, т.к. в ответ от прокси получаю ошибку, связанную с методом "CONNECT" на прокси, после чего забил на эту идею.

Повесьте OpenVPN на 443 порт
Не думаю что у вас дома поднято https

[f0s]

навряд ли

Может и на врядли, просто я считаю, что подобного рода темы не должны присутствовать на форумах прямого технического содержания.

Насчет умения обходить прокси для безопасности в будующем, оно полезно, НО гугл выдает 5 страниц ссылок на эту тему, на всяких хакерских форумах:)

Читай не хочу).

Простой пример -

Человек пройдет по поисковому запросу - найдет развернутый ответ - если руки прямые поможет тому кто его об этом просил - человек получивший помошь получит полный доступ к инету - нахватает вирусов - пустит их в локалку если антивиря нет - вирусы начнут например посылать бешеные по размеру пакеты в сети = лежит сеть, контора не работает, фирма теряет деньги, все на ушах, админ выправляет ковардак....

И все это началось с чего? правильно потому что скучно на работе было:)
Я написал самый пессиместичный вариант, но и такое может быть.

ну можно тогда перенести тогда тему например в закрытую Area51, она по идее не должна гуглится

[GRooVE]

На досуге прикрутил SSL... Работает отменно!
Думаю, я добился всего, чего хотел

[le_]

Доброе время суток!
Имеется небольшая проблемка, решение которой несет не столько практической пользы, сколько получения пактического опыта в ее решении
А вот, собсно, и сама проблемка:

Имеется рабочее место внутри корпоративной сети с выходом в мир через корпоративный прокси. На корпоративном прокси-сервере настроен жесткий фильтр траффика: режится все, кроме http и icq + фильтр содержимого www страниц (режутся порно, игры, соц. сети, музыка и т.д. и т.п.). Доступа к настройке прокси-сервера не имеется. Так же имеется небольшой домашний сервак с правильной ОС и широким каналом наружу (nat+web+ftp+mail+......).
Задача: на внутрикорпоративной машине полноценно юзать инет.

Что уже пробовал:
1. Была попытка поднять vpn-туннель через прокси посредством OpenVPN между домашней и корпоративной машинами. Однако попытка не увенчалась успехом, т.к. в ответ от прокси получаю ошибку, связанную с методом "CONNECT" на прокси, после чего забил на эту идею.
2. Последнее, что делал: повесил на домашней машине обычный cgi-прокси ( http://jmarshall.com/tools/cgiproxy/ ), который работает по принцыпу обычных анонимайзеров, которых кучу в интернете (кстати, большинство анонимайзеров замечательно работают). Данный cgi-прокси отлично выполняет свою работу, за исключением того, что страницы как проходили через фильтр корпоративного прокси-сервера - так и проходят, т.е. прокси работает, но толку от него ноль.

Ну вот, собсно, и вопрос:
1. Есть ли возможность, например, каким-то образом шифровать траффик до cgi-прокси так, чтобы корпоративный прокси не смог фильтровать контент, проходящий сквозь него?
Ну и вообще хотелось бы узнать решал ли кто-нибудь подобные проблемы и как!
Так же приветствуется любые мысли по поводу решения данной проблемы!

Заранее благодарю за любую предоставленную помощь в данном вопросе!

Проблему в точно такой же ситуации удалось решить двумя способами:
1. ssh-туннель (ssh поднят на 443 порту + домашний прокси + putty)
2. OpenVPN + Rinetd (помимо этих двух программ иногда (при необходимости) приходилось использовать еще одно программное средство для сброса соединения между домашним Rinetd и сервисом OpenVPN)

Оба способа дают примерно одинаковые возможности. Лично мне первый показался чуточку более удобным )

Есть третий способ, который принципиально отличается от первых двух описанных: использование ПО RemotelyAnywhere, которое предоставляет возможность полного управления домашним компьютером непосредственно через WEB-браузер (в том числе есть удаленный рабочий стол [как у RAdmin'a, например], и при наличии широкого канала можно даже серфить вэб, смотреть видео и т.п., используя удаленный рабочий стол).
В случае подобном описанному выше RemotelyAnywhere тоже нужно настроить на прослушивание порта 443.

P.S.: cgi-прокси (jmarshall.com) тоже пробовал - хорошая штука ))
P.P.S.: и еще, ru-board рулит ))

[zingel]

Код: Выделить всё

Content-Type: text/html; charset=windows-1251 

рулит не по-детски просто Ваш руборд

ПО RemotelyAnywhere

раскажите как его собрать под фряху?

[le_]

ПО RemotelyAnywhere

раскажите как его собрать под фряху?

RemotelyAnywhere работает только под Windows.

Для *nix можно попробовать Net Op Remote Control, но это все же немного другое...

[Maluskor]

Народ я решил проблему с помощью GnuHttpTunnel и Openvpn, у меня проксак режет все порты кроме HTTP и HTTPS плюс жёсткая резалка хостов.