Re: SOT: Apache SSL-Proxy
On Wednesday 05 November 2008, Bernhard Vodicka wrote:
> Am Mittwoch, den 05.11.2008, 07:18 +0100 schrieb Michael Renner:
> > On Tuesday 04 November 2008, Thomas Halinka wrote:
> > > Hallo zusammen,
> >
> > Moin,
> >
[...]
> > > Diese 2 Optionen lassen den openvpn-Server auch http-Anfragen
> > > beantworten/umleiten, sodass man mit nem Browser http sprechen kann auf
> > > port 80 und ERST wenn opvn-Pakete ankommen...
> >
> > Aber was macht der Zensor, wenn er auf Port 80 verschlüsselte Pakete
> > sieht? Je nachdem wie viel in die ..... Reinheit des Internets investiert
> > wird geht das sehr flott automatisch!
>
> Dann statt Port 80 auf Port 443, unser "Reinwasch-Proxy" in der Schule
> lässt z.B. SSH-Verbindungen über Port 443 drüber (da ja SSL) und hiermit
> kann ich wunderschön auf tinyproxy tunneln!
ich muss dir widersprechen. Wenn du ssh auf Port 443 machst ist das erste
Paket verräterisch (gut, die weiteren nicht mehr). Siehe diesen Screenshot:
http://www.vbox4php.org/unix/network-and-scripts/unix/network-and-scripts/ethereal
Ein sshd lauscht auf Port 443 (192.168.5.98). Ein ssh baut von 192.168.5.14
aus eine Verbidnung auf diesen Port auf.
Wahrscheinlich könnte man den ssh neu compilieren nachdem der Sting
entsprechend angepasst wurde. Aber auch hier fällt mir als Zensor, Lehrer
oder jemand der in Staates Aufrag das Netz 'gesetzeskonform' filtern soll,
eine Methode ein das zu ermitteln. Automatisch, für jeden (!) https--Request.
Gleiches gilt wahrscheinlich für OpenVPN, das baue ich bei Gelegenheit mal
nach.
Zu erkennen ist meine Methode auch, jedoch nicht vom reinen zuschauen. Wenn
ich nur wüsste wie ich stunnel dazu bringe fake-Seiten auszuliefern? Über ein
Filter auf iptable-Basis, aber das ist recht aufwändig ....
> Zusammengefasst: Meine Lösungen: SSH auf Port 443 und SSH-Tunnel auf den
> tinyproxy-Port.
CU
--
|Michael Renner E-mail: michael.renner@gmx.de |
|D-81541 Munich Germany ICQ: #112280325 |
|Germany Don't drink as root! ESC:wq
Reply to: