В обход прокси...
Модератор: vadim64
- GRooVE
- ст. сержант
- Сообщения: 309
- Зарегистрирован: 2009-01-04 10:33:43
- Откуда: Odessa, UA
- Контактная информация:
В обход прокси...
Доброе время суток!
Имеется небольшая проблемка, решение которой несет не столько практической пользы, сколько получения пактического опыта в ее решении
А вот, собсно, и сама проблемка:
Имеется рабочее место внутри корпоративной сети с выходом в мир через корпоративный прокси. На корпоративном прокси-сервере настроен жесткий фильтр траффика: режится все, кроме http и icq + фильтр содержимого www страниц (режутся порно, игры, соц. сети, музыка и т.д. и т.п.). Доступа к настройке прокси-сервера не имеется. Так же имеется небольшой домашний сервак с правильной ОС и широким каналом наружу (nat+web+ftp+mail+......).
Задача: на внутрикорпоративной машине полноценно юзать инет.
Что уже пробовал:
1. Была попытка поднять vpn-туннель через прокси посредством OpenVPN между домашней и корпоративной машинами. Однако попытка не увенчалась успехом, т.к. в ответ от прокси получаю ошибку, связанную с методом "CONNECT" на прокси, после чего забил на эту идею.
2. Последнее, что делал: повесил на домашней машине обычный cgi-прокси ( http://jmarshall.com/tools/cgiproxy/ ), который работает по принцыпу обычных анонимайзеров, которых кучу в интернете (кстати, большинство анонимайзеров замечательно работают). Данный cgi-прокси отлично выполняет свою работу, за исключением того, что страницы как проходили через фильтр корпоративного прокси-сервера - так и проходят, т.е. прокси работает, но толку от него ноль.
Ну вот, собсно, и вопрос:
1. Есть ли возможность, например, каким-то образом шифровать траффик до cgi-прокси так, чтобы корпоративный прокси не смог фильтровать контент, проходящий сквозь него?
Ну и вообще хотелось бы узнать решал ли кто-нибудь подобные проблемы и как!
Так же приветствуется любые мысли по поводу решения данной проблемы!
Заранее благодарю за любую предоставленную помощь в данном вопросе!
Имеется небольшая проблемка, решение которой несет не столько практической пользы, сколько получения пактического опыта в ее решении
А вот, собсно, и сама проблемка:
Имеется рабочее место внутри корпоративной сети с выходом в мир через корпоративный прокси. На корпоративном прокси-сервере настроен жесткий фильтр траффика: режится все, кроме http и icq + фильтр содержимого www страниц (режутся порно, игры, соц. сети, музыка и т.д. и т.п.). Доступа к настройке прокси-сервера не имеется. Так же имеется небольшой домашний сервак с правильной ОС и широким каналом наружу (nat+web+ftp+mail+......).
Задача: на внутрикорпоративной машине полноценно юзать инет.
Что уже пробовал:
1. Была попытка поднять vpn-туннель через прокси посредством OpenVPN между домашней и корпоративной машинами. Однако попытка не увенчалась успехом, т.к. в ответ от прокси получаю ошибку, связанную с методом "CONNECT" на прокси, после чего забил на эту идею.
2. Последнее, что делал: повесил на домашней машине обычный cgi-прокси ( http://jmarshall.com/tools/cgiproxy/ ), который работает по принцыпу обычных анонимайзеров, которых кучу в интернете (кстати, большинство анонимайзеров замечательно работают). Данный cgi-прокси отлично выполняет свою работу, за исключением того, что страницы как проходили через фильтр корпоративного прокси-сервера - так и проходят, т.е. прокси работает, но толку от него ноль.
Ну вот, собсно, и вопрос:
1. Есть ли возможность, например, каким-то образом шифровать траффик до cgi-прокси так, чтобы корпоративный прокси не смог фильтровать контент, проходящий сквозь него?
Ну и вообще хотелось бы узнать решал ли кто-нибудь подобные проблемы и как!
Так же приветствуется любые мысли по поводу решения данной проблемы!
Заранее благодарю за любую предоставленную помощь в данном вопросе!
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- полковник
- Сообщения: 5845
- Зарегистрирован: 2007-12-07 13:51:33
- Откуда: Верх-Нейвинск
Re: В обход прокси...
гм... токо если шифрованные пакеты сувать внутрь HTTP или ICQ, только по-моему это бред. Хотя реализовать думаю можно.GRooVE писал(а):Есть ли возможность, например, каким-то образом шифровать траффик до cgi-прокси так, чтобы корпоративный прокси не смог фильтровать контент, проходящий сквозь него?
- Amadeus
- ст. сержант
- Сообщения: 332
- Зарегистрирован: 2008-10-05 12:42:44
- Откуда: Kiev
Re: В обход прокси...
Эмм....
Ты предлагаешь админам рассказать как обойти жесткую резалку прокси сервера?)
Вопрос - кто попросил помочь?)
С такими вопросами, при всем уважении, не на этот форум надо) ибо находится он в открытом доступе даже для гостей, и выложенная тут подобная информация, может потом оч навредить кому либо.
Ты предлагаешь админам рассказать как обойти жесткую резалку прокси сервера?)
Вопрос - кто попросил помочь?)
С такими вопросами, при всем уважении, не на этот форум надо) ибо находится он в открытом доступе даже для гостей, и выложенная тут подобная информация, может потом оч навредить кому либо.
Нет ничего невозможного
- f_andrey
- майор
- Сообщения: 2651
- Зарегистрирован: 2007-12-26 1:22:58
- Откуда: СПб
- Контактная информация:
Re: В обход прокси...
У меня есть одно 100% решение, если не нравится политика фирмы, то либо докажите администрации что она не верна, и препятствует вашей продуктивной работе, либо смените работу, блин вышло целых два решения, ну это даже лучше чем одноGRooVE писал(а):Так же приветствуется любые мысли по поводу решения данной проблемы!
Заранее благодарю за любую предоставленную помощь в данном вопросе!
И вообще не зря народ говорил, что если работа мешает пьянке, то надо менять работу
Последний раз редактировалось f_andrey 2009-04-15 19:31:53, всего редактировалось 1 раз.
Причина: Переместил в null ибо тут место такой теме :)
Причина: Переместил в null ибо тут место такой теме :)
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308
- GRooVE
- ст. сержант
- Сообщения: 309
- Зарегистрирован: 2009-01-04 10:33:43
- Откуда: Odessa, UA
- Контактная информация:
Re: В обход прокси...
Да никто собсно не просил... жена жалуется на недостаток контакта на работеAmadeus писал(а):Вопрос - кто попросил помочь?)
смысл всего этого, как я уже сказал, не столько в практической пользе результата получения доступа, сколько в приобретении опыта решения подобного рода вопросов и, соответственно, борьбы с этим же решением, т.к. сам являюсь админом... ведь для того, чтобы иметь опыт в защите - необходимо иметь опыт в, так сказать, нападении
- LimpTeaM
- сержант
- Сообщения: 236
- Зарегистрирован: 2007-10-04 16:26:21
Re: В обход прокси...
насчет cgiproxy. в файле этой прокси, есть настройка на шифрование адресной строчки т.е. например если Вы лезете на одноклассники через эту проксю, то увидите,что адрес будет иметь примерно такой вид:
настраивается в файле cgiproxy так:
найти эти строчки и закомментить также как и здесь. Возможно поможет
Код: Выделить всё
http://domain.ru/cgi-bin/nph-od.cgi/010110A/687474703a2f2f6f646e6f6b6c6173736e696b692e72752f
найти эти строчки и закомментить также как и здесь. Возможно поможет
Код: Выделить всё
sub proxy_encode {
my($URL)= @_ ;
# $URL=~ s#^([\w+.-]+)://#$1/# ; # http://xxx -> http/xxx
$URL=~ s/(.)/ sprintf('%02x',ord($1)) /ge ; # each char -> 2-hex
# $URL=~ tr/a-zA-Z/n-za-mN-ZA-M/ ; # rot-13
return $URL ;
}
sub proxy_decode {
my($enc_URL)= @_ ;
# $enc_URL=~ tr/a-zA-Z/n-za-mN-ZA-M/ ; # rot-13
$enc_URL=~ s/([\da-fA-F]{2})/ sprintf("%c",hex($1)) /ge ;
# $enc_URL=~ s#^([\w+.-]+)/#$1://# ; # http/xxx -> http://xxx
return $enc_URL ;
}
-
- полковник
- Сообщения: 5845
- Зарегистрирован: 2007-12-07 13:51:33
- Откуда: Верх-Нейвинск
Re: В обход прокси...
навряд лиAmadeus писал(а):С такими вопросами, при всем уважении, не на этот форум надо) ибо находится он в открытом доступе даже для гостей, и выложенная тут подобная информация, может потом оч навредить кому либо.
-
- лейтенант
- Сообщения: 645
- Зарегистрирован: 2008-03-09 11:32:12
- Откуда: Москва
Re: В обход прокси...
а кто мешает повесить cgi-прокси с ssl
канал между прокси и клиентом будет защищен и неподлежит фильтрации как таковой
канал между прокси и клиентом будет защищен и неподлежит фильтрации как таковой
- GRooVE
- ст. сержант
- Сообщения: 309
- Зарегистрирован: 2009-01-04 10:33:43
- Откуда: Odessa, UA
- Контактная информация:
Re: В обход прокси...
LimpTeaM,
Спасибо большое!
Как раз около часа назад разобрался с этой фичей, очень полезная штука!
Спасибо! Прим к сведению... завтра попробую - отпишусь
Спасибо большое!
Как раз около часа назад разобрался с этой фичей, очень полезная штука!
думал об этом... правда все время останавливает мысль, что прокся может фильтровать ssl... но, опять же, это только теория!Gloft писал(а):а кто мешает повесить cgi-прокси с ssl
канал между прокси и клиентом будет защищен и неподлежит фильтрации как таковой
Спасибо! Прим к сведению... завтра попробую - отпишусь
- Amadeus
- ст. сержант
- Сообщения: 332
- Зарегистрирован: 2008-10-05 12:42:44
- Откуда: Kiev
Re: В обход прокси...
Может и на врядли, просто я считаю, что подобного рода темы не должны присутствовать на форумах прямого технического содержания.навряд ли
Насчет умения обходить прокси для безопасности в будующем, оно полезно, НО гугл выдает 5 страниц ссылок на эту тему, на всяких хакерских форумах:)
Читай не хочу).
Простой пример -
Человек пройдет по поисковому запросу - найдет развернутый ответ - если руки прямые поможет тому кто его об этом просил - человек получивший помошь получит полный доступ к инету - нахватает вирусов - пустит их в локалку если антивиря нет - вирусы начнут например посылать бешеные по размеру пакеты в сети = лежит сеть, контора не работает, фирма теряет деньги, все на ушах, админ выправляет ковардак....
И все это началось с чего? правильно потому что скучно на работе было:)
Я написал самый пессиместичный вариант, но и такое может быть.
Нет ничего невозможного
- manefesto
- Группенфюррер
- Сообщения: 6934
- Зарегистрирован: 2007-07-20 8:27:30
- Откуда: Пермь
- Контактная информация:
-
- полковник
- Сообщения: 5845
- Зарегистрирован: 2007-12-07 13:51:33
- Откуда: Верх-Нейвинск
Re: В обход прокси...
если руки прямые, то пофигу, всё равно сделает. Вирусы и то, что сеть лежит, это проблемы админа, в нормальной сети такие компы сразу лочатся до выяснения обстоятельств. Если фирма на ушах из-за вирей, то гнать надо админа. А пользователю, который виря через сеть занёс, ещё и наградить премией, поскольку нашёл дыру в безопасности.Amadeus писал(а):Человек пройдет по поисковому запросу - найдет развернутый ответ - если руки прямые поможет тому кто его об этом просил - человек получивший помошь получит полный доступ к инету - нахватает вирусов - пустит их в локалку если антивиря нет - вирусы начнут например посылать бешеные по размеру пакеты в сети = лежит сеть, контора не работает, фирма теряет деньги, все на ушах, админ выправляет ковардак....
Если бы мы тут софт разрабатывали хакерский для взлома сети, тогда да, будет вред. А так не вижу ничего предосудительного
- zingel
- beastie
- Сообщения: 6204
- Зарегистрирован: 2007-10-30 3:56:49
- Откуда: Moscow
- Контактная информация:
Re: В обход прокси...
да через snort такие умельцы режутся на раз два, если зарезано всё, и открыто два порта, там по-дефолту админ гавно и сама контора вобщем то тоже.
Z301171463546 - можно пожертвовать мне денег
- Amadeus
- ст. сержант
- Сообщения: 332
- Зарегистрирован: 2008-10-05 12:42:44
- Откуда: Kiev
Re: В обход прокси...
Я просто выразил свое мнение:)
И порты там открыты я больше чем уверен не только два, как минимум еще пяток стандартных 25,110,143,53 и т.д
Иначе это больше похоже на секретную войсковую часть).
Суть то в чем.
Каков бы не был админ (просто никогда не надо плохо отзываться о человеке), но от ответственный за сеть конторы, а следовательно и за бесперебойную работу сотрудников. И если Сотрудник А весь день занимается на рабочем месте взломом прокси, то он в первую очередь осложняет себе жизнь, так как случись что его комп встанет первым, и тут уже не поможет "аааа я куда то не туда нажал".
Это собственно работа же) а не дом.жена жалуется на недостаток контакта на работе
И порты там открыты я больше чем уверен не только два, как минимум еще пяток стандартных 25,110,143,53 и т.д
Иначе это больше похоже на секретную войсковую часть).
Суть то в чем.
Каков бы не был админ (просто никогда не надо плохо отзываться о человеке), но от ответственный за сеть конторы, а следовательно и за бесперебойную работу сотрудников. И если Сотрудник А весь день занимается на рабочем месте взломом прокси, то он в первую очередь осложняет себе жизнь, так как случись что его комп встанет первым, и тут уже не поможет "аааа я куда то не туда нажал".
Нет ничего невозможного
- GRooVE
- ст. сержант
- Сообщения: 309
- Зарегистрирован: 2009-01-04 10:33:43
- Откуда: Odessa, UA
- Контактная информация:
Re: В обход прокси...
Вы имеете в виду на корпоративном шлюзе? нет, обычная FreeBSD... шестой ветки, по-моему...manefesto писал(а):вопрос топик стартеру
websense ?
- GRooVE
- ст. сержант
- Сообщения: 309
- Зарегистрирован: 2009-01-04 10:33:43
- Откуда: Odessa, UA
- Контактная информация:
Re: В обход прокси...
Сегодня успешно прошла проверку связка cgiproxy+шифрование URL по самопальному алгоритму+Такое же шифрование кукисов+Включенные скрипты (нормально выполняются скрипты на страничках, такие как отправка сообщений в контакте и т.д., которые обычно не работают на обычных анонимайзерах). И все это пока успешно работает без SSL. Правда пришлось немного подрихтовать под себя скрипт...
В общем, жена довольна... да и я удовлетворен
P.S.: кстати, cgiproxy отлично понимает http и ftp протоколы... при чем с авторизацией мелочь, а приятно)
В общем, жена довольна... да и я удовлетворен
P.S.: кстати, cgiproxy отлично понимает http и ftp протоколы... при чем с авторизацией мелочь, а приятно)
-
- лейтенант
- Сообщения: 638
- Зарегистрирован: 2007-04-08 5:50:16
Re: В обход прокси...
Все, что касается FTP/HTTP/HTTPS гоним через прокси (Squid)GRooVE писал(а):Сегодня успешно прошла проверку связка cgiproxy+шифрование URL по самопальному алгоритму+Такое же шифрование кукисов+Включенные скрипты (нормально выполняются скрипты на страничках, такие как отправка сообщений в контакте и т.д., которые обычно не работают на обычных анонимайзерах). И все это пока успешно работает без SSL. Правда пришлось немного подрихтовать под себя скрипт...
В общем, жена довольна... да и я удовлетворен
P.S.: кстати, cgiproxy отлично понимает http и ftp протоколы... при чем с авторизацией мелочь, а приятно)
Код: Выделить всё
acl SSL_ports port 443
acl Safe_ports port 443
acl PROXY urlpath_regex -i (nph)
http_access allow !PROXY Safe_ports
http_access allow !PROXY SSL_ports
http_access deny all
- TaN
- рядовой
- Сообщения: 49
- Зарегистрирован: 2007-08-13 8:39:00
- Откуда: Россия, Волгоград/Волжский (Работа/Дом)
- Контактная информация:
Re: В обход прокси...
Повесьте OpenVPN на 443 портGRooVE писал(а): Что уже пробовал:
1. Была попытка поднять vpn-туннель через прокси посредством OpenVPN между домашней и корпоративной машинами. Однако попытка не увенчалась успехом, т.к. в ответ от прокси получаю ошибку, связанную с методом "CONNECT" на прокси, после чего забил на эту идею.
Не думаю что у вас дома поднято https
"Верьте в нас, ибо только вера придаёт богам силу." @ Ом (Терри Пратчетт "Маленькие Боги")
- f0s
- ст. лейтенант
- Сообщения: 1082
- Зарегистрирован: 2007-03-13 18:43:31
- Откуда: Санкт-Петербург
- Контактная информация:
Re: В обход прокси...
ну можно тогда перенести тогда тему например в закрытую Area51, она по идее не должна гуглитсяAmadeus писал(а):Может и на врядли, просто я считаю, что подобного рода темы не должны присутствовать на форумах прямого технического содержания.навряд ли
Насчет умения обходить прокси для безопасности в будующем, оно полезно, НО гугл выдает 5 страниц ссылок на эту тему, на всяких хакерских форумах:)
Читай не хочу).
Простой пример -
Человек пройдет по поисковому запросу - найдет развернутый ответ - если руки прямые поможет тому кто его об этом просил - человек получивший помошь получит полный доступ к инету - нахватает вирусов - пустит их в локалку если антивиря нет - вирусы начнут например посылать бешеные по размеру пакеты в сети = лежит сеть, контора не работает, фирма теряет деньги, все на ушах, админ выправляет ковардак....
И все это началось с чего? правильно потому что скучно на работе было:)
Я написал самый пессиместичный вариант, но и такое может быть.
named, named, what is my TTL value?..
[FidoNet 2:550/2 && 2:5030/4441]
[FidoNet 2:550/2 && 2:5030/4441]
- GRooVE
- ст. сержант
- Сообщения: 309
- Зарегистрирован: 2009-01-04 10:33:43
- Откуда: Odessa, UA
- Контактная информация:
Re: В обход прокси...
На досуге прикрутил SSL... Работает отменно!
Думаю, я добился всего, чего хотел
Думаю, я добился всего, чего хотел
-
- проходил мимо
Re: В обход прокси...
Проблему в точно такой же ситуации удалось решить двумя способами:GRooVE писал(а):Доброе время суток!
Имеется небольшая проблемка, решение которой несет не столько практической пользы, сколько получения пактического опыта в ее решении
А вот, собсно, и сама проблемка:
Имеется рабочее место внутри корпоративной сети с выходом в мир через корпоративный прокси. На корпоративном прокси-сервере настроен жесткий фильтр траффика: режится все, кроме http и icq + фильтр содержимого www страниц (режутся порно, игры, соц. сети, музыка и т.д. и т.п.). Доступа к настройке прокси-сервера не имеется. Так же имеется небольшой домашний сервак с правильной ОС и широким каналом наружу (nat+web+ftp+mail+......).
Задача: на внутрикорпоративной машине полноценно юзать инет.
Что уже пробовал:
1. Была попытка поднять vpn-туннель через прокси посредством OpenVPN между домашней и корпоративной машинами. Однако попытка не увенчалась успехом, т.к. в ответ от прокси получаю ошибку, связанную с методом "CONNECT" на прокси, после чего забил на эту идею.
2. Последнее, что делал: повесил на домашней машине обычный cgi-прокси ( http://jmarshall.com/tools/cgiproxy/ ), который работает по принцыпу обычных анонимайзеров, которых кучу в интернете (кстати, большинство анонимайзеров замечательно работают). Данный cgi-прокси отлично выполняет свою работу, за исключением того, что страницы как проходили через фильтр корпоративного прокси-сервера - так и проходят, т.е. прокси работает, но толку от него ноль.
Ну вот, собсно, и вопрос:
1. Есть ли возможность, например, каким-то образом шифровать траффик до cgi-прокси так, чтобы корпоративный прокси не смог фильтровать контент, проходящий сквозь него?
Ну и вообще хотелось бы узнать решал ли кто-нибудь подобные проблемы и как!
Так же приветствуется любые мысли по поводу решения данной проблемы!
Заранее благодарю за любую предоставленную помощь в данном вопросе!
1. ssh-туннель (ssh поднят на 443 порту + домашний прокси + putty)
2. OpenVPN + Rinetd (помимо этих двух программ иногда (при необходимости) приходилось использовать еще одно программное средство для сброса соединения между домашним Rinetd и сервисом OpenVPN)
Оба способа дают примерно одинаковые возможности. Лично мне первый показался чуточку более удобным )
Есть третий способ, который принципиально отличается от первых двух описанных: использование ПО RemotelyAnywhere, которое предоставляет возможность полного управления домашним компьютером непосредственно через WEB-браузер (в том числе есть удаленный рабочий стол [как у RAdmin'a, например], и при наличии широкого канала можно даже серфить вэб, смотреть видео и т.п., используя удаленный рабочий стол).
В случае подобном описанному выше RemotelyAnywhere тоже нужно настроить на прослушивание порта 443.
P.S.: cgi-прокси (jmarshall.com) тоже пробовал - хорошая штука ))
P.P.S.: и еще, ru-board рулит ))
- zingel
- beastie
- Сообщения: 6204
- Зарегистрирован: 2007-10-30 3:56:49
- Откуда: Moscow
- Контактная информация:
Re: В обход прокси...
Код: Выделить всё
Content-Type: text/html; charset=windows-1251
раскажите как его собрать под фряху?ПО RemotelyAnywhere
Z301171463546 - можно пожертвовать мне денег
-
- проходил мимо
Re: В обход прокси...
RemotelyAnywhere работает только под Windows.раскажите как его собрать под фряху?ПО RemotelyAnywhere
Для *nix можно попробовать Net Op Remote Control, но это все же немного другое...
-
- проходил мимо
Re: В обход прокси...
Народ я решил проблему с помощью GnuHttpTunnel и Openvpn, у меня проксак режет все порты кроме HTTP и HTTPS плюс жёсткая резалка хостов.