Tunneling durch Firewall

[t_heinrich]

Hallo,

möchte hier mal die Meinung von Cracks hören.

Also des öfteren könnte ich den Zugriff auf meinen heimischen Rechner gebrauchen.
Mir schwebt da sowas mit ssh und putty vielleicht auch vnc vor.

Nur sitze ich hier in der Firma hinter einer Firewall und einem Proxy, auf die ich keinen Einfluss habe.
Soweit ich das beurteilen kann, ist auch nur Port 80 freigeschalten.

Daher würde mich interessieren, ob ich mit dieser Sperre überhaupt die Möglichkeit habe, auf meinen heimischen Rechner zu kommen, oder ob das zu kompliziert ist.
Oder ist sowas auch ungern gesehen - dann würde ich vermutlich die Finger von lassen, da zu heikel.

Kann dazu jmd etwas sagen?

Thomas

 

[stk]

Moin,

Um einen Durchgriff von außen auf Deinen Rechner zu bekommen, brauchst als erstes eine gültige Adresse unter der Dein Netz von aussen erreichbar ist. Wenn keine fixe IP vorhanden ist, braucht es an der Stelle Dienste wie z.B. DynDNS. Als nächstes brauchst eine Durchleitung des SSH- bzw. VNC-Ports auf deinen Rechner. Das macht i.d.R. der Router oder auch der Firewallrechner.

Was meinst Du mit "nur Port 80 freigeschaltet"? Kannst Du von Deinem Rechner aus nur surfen, oder hängt tatsächlich ein Webserver bei Euch im Netz der auf Anfragen von aussen antwortet? Das ist ein erheblicher Unterschied!

Die einfachste Möglichkeit die offenen Ports von außen zu finden bietet ein Portscan.

Gruß Stefan

 

[ezi0n]

Moin,

...

Die einfachste Möglichkeit die offenen Ports von außen zu finden bietet ein Portscan.

Gruß Stefan

portscan hilft von draussen nur wenig, denn er will ja von innen nach aussen.

Also wenn du per 80 über den proxy kannst, ist die frage ob der proxy nur http commandos durchlässt oder auch andere protkolle über port 80 zulässt, wäre es meiner dann könntest du nur http und ich könnt aufhören zu schreiben ..
aber nun gut was du machen kannst zB deinen SSH Server daheim anstatt auf den standard Port TCP22 auf TCP80 konfigurieren (alternativ für localhost auf port 22 und auf deinem LAN interface auf port 80) und starten.
Dann aus der Firma versuchen ob du per SSH einen connect auf server.der.daheim.steht.net:80 hinzubekommen. sollte das nicht funktionieren, dann kannst daran leider nichts ändern - naja nicht ohne weiteres, man kann auch SSH über eine HTTPS session tunneln, dafür brauchste dann aber nen Webserver der https kann, nen client der dir lokal SSH in den https tunnel sendet und nen applet aufm server das es von dort zB weiterleitet. alles möglich nur aufwändiger- setzt allerdings das https über den proxy funktioniert.

 

[t_heinrich]

Ui ui ui das hört sich ganzschön komplex an.
Also ich versuche mal zu wiederholen und fange in kleinen Schritten an.

Als Erstes setze ich ein Portforwarding von meinem Router zu Hause auf meinen Rechner - mein Router lasse ich per DynDNS ausm Netz erreichbar sein.

Auf meinem Rechner aktivier ich den SSH Server, der aber auf Port 80 lauschen soll.
Frage kann man das einfach umkonfigurieren am Mac?

So um das zu testen, setzte ich mich am besten an einen weiteren Rechner (zB beim Freund - dadurch kein Proxy) und versuche mittels Putty (er und auf Arbeit stehen Win Rechner) Zugriff über Port 80 auf meinen HeimRechner zu bekommen.

Wenn das klappt, kann ich mit der selben Konfig an mein Firmenrechner, oder muß ich bezüglich des Proxies da was beachten?

Thomas

 

[ezi0n]

Ui ui ui das hört sich ganzschön komplex an.
Also ich versuche mal zu wiederholen und fange in kleinen Schritten an.

Als Erstes setze ich ein Portforwarding von meinem Router zu Hause auf meinen Rechner - mein Router lasse ich per DynDNS ausm Netz erreichbar sein.

Auf meinem Rechner aktivier ich den SSH Server, der aber auf Port 80 lauschen soll.
Frage kann man das einfach umkonfigurieren am Mac?

So um das zu testen, setzte ich mich am besten an einen weiteren Rechner (zB beim Freund - dadurch kein Proxy) und versuche mittels Putty (er und auf Arbeit stehen Win Rechner) Zugriff über Port 80 auf meinen HeimRechner zu bekommen.

Wenn das klappt, kann ich mit der selben Konfig an mein Firmenrechner, oder muß ich bezüglich des Proxies da was beachten?

Thomas

soweit richtig interpretiert. konfiguration des listeners geht in der sshd_config bzw mit dem daemon direkt enfach mal im terminal "man sshd" eingeben!
proxy sollte eigentlich kein problem darstellen, meist musste dann nur einmal vorher ne website anfrufen bevor du dann die ssh sesion aufmachen kannst, damit du dich per broswer am proxy zB authentisieren kannst ..

 

[t_heinrich]

OK - folgender Vorschlag, ich versuch mal soweit zu kommen wie geht - wird vermutlich WoEn und dann melde ich mich nochmal. :-D

Jedenfalls schonmal Danke für die ausführliche Erklärung.

Thomas

 

[ezi0n]

OK - folgender Vorschlag, ich versuch mal soweit zu kommen wie geht - wird vermutlich WoEn und dann melde ich mich nochmal. :-D

Jedenfalls schonmal Danke für die ausführliche Erklärung.

Thomas

für den ssh server kann auch der ssh helper ganz hilfreich sein

http://www.gideonsoftworks.com/sshhelper.html

 

[pepi]

t_heinrich, Check mal ob Du auch auf https Webseiten kommst. Wenn das geht, dann kannst Du eine OpenVPN Verbindung über den WebProxy Tunneln und somit auf alles in Deinem LAN zugreifen. Evt. kannst Du auch per SSH auf einen anderen Port als 22 zugreifen. Erfahrungsgemäß werden hohe Ports selten geblocked. (Weil FTP diese braucht). VNC könnte man dann über SSH tunneln.

Inwiefern das Sicherheits-politisch in Deiner Firma erlaubt ist, lasse ich mal außen vor, da es mir rein um die technische Umsetzbarkeit geht. Du solltest das auf alle Fälle mit Deinem Arbeitgeber, bzw. SysAdmin abklären um Deinen Arbeitsplatz nicht zu gefährden.
Guß Pepi

 

[ZENcom]

Mir stellt sich nicht die Frage ob es möglich ist... Möglich ist Alles.

Was wird der Admin sagen wenn er in seinen Logfiles sieht, dass Du dich versuchst mit äußerst kribbligen Mitteln aus dem Firmennetzwerk zu schleichen und auf einen Computer zuzugreifen den eigentlich die FireWall fressen sollte? Was hast du vor? Firmendaten privat bunkern und sie dann an den Meistbietenden verscheuern?

Siehe auch: So besser ich mein Gehalt auf...

Mein lieber Herr Gesangsverein Wenn dir dein Job lieb ist laß es (oder frag den Admin... )

 

[ezi0n]

t_heinrich, Check mal ob Du auch auf https Webseiten kommst. Wenn das geht, dann kannst Du eine OpenVPN Verbindung über den WebProxy Tunneln und somit auf alles in Deinem LAN zugreifen. Evt. kannst Du auch per SSH auf einen anderen Port als 22 zugreifen. Erfahrungsgemäß werden hohe Ports selten geblocked. (Weil FTP diese braucht).

naja nicht ganz richtig, aktives ftp wird kein admin der nur ein wenig schmalz in der birne hat durch ne firewall erlauben, was wohl erlaubt ist ist passives ftp (darauf beziehst du dich wohl), also der client macht den datenkanal auf, allerdings ist dann das paket im state related und nicht syn (=neu) und wird deshalb von der firewall zugelassen - nicht weil alle high ports "offen" sind..

zum ZENcom allerdings zustimmen, wenn es wichtig ist was du machst und nicht nur daheim am system rumschrauben anstatt deiner arbeit nachzugehen wird dir der admin schon ne möglichkeit geben ...

habe hier jedoch nur darauf geantwortet, wie es gehen kann und was möglich ist.

 

[t_heinrich]

Hallo,

ne wenn ich Daten rausschleusen wollte, nehm ich einfach ein USB Stick.

Mir ging es einfach darum, bei Bedarf mal auf meinen Heimrechner zugreifen zu können.

Aber anscheinend hab ich den Aspekt ein wenig unterschätzt, was man damit sonst anstellen kann und was einem zum Verhängnis werden kann.

Ich denke auch, dass wenn ich einen Admin frage (riesengroßes Unternehmen), dass ich dafür keine Erlaubnis bekomme.

Von daher werd ich wohl besser die Finger von lassen, weil soviel Risiko für ein bissl technische Spielerei ist es mir definitv nicht wert.

Trotzdem Danke für eure Antworten und auch für den Hinweis, dass man sich schnell auf sehr sehr dünnes Eis begibt!!

Thomas

 

[t_heinrich]

Hab grad nochmal bei einem Gläschen Wein :-D über die Sache nachgedacht.

Also ich denke nicht, dass ich auf dumme Gedanken komme, aber wo macht man denn einen Unterschied, ob ich mich verschlüsselt bei meiner Bakn anmelde um meinen Kontostand zu checken, oder ob ich mich verschlüsselt auf meinem Rechner zu Hause einklinke, um ein Foto runterzuladen, welches ich einem Kollegen zeigen möchte?

Thomas

 

[ZENcom]

In Vino veritas

Es stellt ein Sicherheitsrisiko dar. Du solltest auf jeden Fall den Systembetreuer ansprechen und ihm deinen Wunsch mitteilen. Er wird sicherlich eine, für dich und dem Unternehmen integere, Möglichkeit finden wie du deinen Kollegen eine Freude machen kannst. Im Alleingang würde ich es nicht versuchen. Ich kenne die Situation aus eigenen Erfahrungen. Als ehemaliger Firmenpsychologe hatte ich öfter Gespräche mit Mitarbeitern die, damals noch mit Disketten, eben solche Aktionen durchgeführt haben und "aus Versehen" Viren aus ihrem System in das Netzwerk eingespeist haben. Unternehmen reagieren darauf sehr emfindlich und mahnen sehr schnell und konsequent ab. Das letzte Unternehmen in dem ich arbeitete mußte durch einen Mitarbeiter, der Firmendaten (Patente) geschmuggelt hatte, aufgeben. Das war ein schwerer Schock. Lege dir doch ein iPod Photo zu Das ist schöner und geschmeidiger als das Risiko einer SSH oder SFTP - Verbindung.

 

[t_heinrich]

So gesehen hast du natürlich recht.
Das mit dem Foto war ja auch nur ein Beispiel.
Viel mehr hat mich einfach der technische Hintergrund gereizt, von wegen ich könnte drauf zugreifen wenn ich wollte.
Ich meine so wichtig, dass ich es nicht abends am Heim PC machen kann, ist für mich nichts, wie gesagt mehr der technische Spieltrieb hat mich zu der Idee bewegt.

Aber das is mir jetzt echt zu heiß.
Dann probier ich es vielleicht mal am letzten Tag :-D

Thomas

 

[MacMark]

Bei der Portweiterleitung Deines DSL-Routers kannst Du Port 80 auch auf Port 22 Deines lokalen Rechners abbilden, dann brauchst Du den ssh-Port nicht umstellen. Dann gehst Du in der Firma einfach mit ssh auf Port 80 raus auf Deine Heimat-IP, wirst vom Router auf Deinen Recher weitergeleitet auf dessen ssh-Dienst.

Hier meine Beschreibung VNC im SSH_Tunnel.
http://osx.realmacmark.de/osx_terminal.php#vnc-tunnel

Die Sicherheitsbedenken halte ich für Käse, weil die Firma doch Webdownloads zuläßt.

 

[MacMark]

Und anstatt Putty würde ich Cygwin installieren auf der Dose und damit ssh verwenden

 

[tiriqs]

soweit ich weiss gibt es applets für ssh und vnc..
musst dir also nur nen webserver(auf deiner homekiste per dyndns oder auf anderem webspace) aufsetzten und dort die applets plazieren..und schon haste deine beiden dienste über port 80 ohne den admin auf die füße zu treten

 

[MatzeLoCal]

Wenn ich es richtig weiss, kann putty aber auch via proxy raus..

ein weiterer trick wäre mindterm

 

[skywalker]

Die Sicherheitsbedenken halte ich für Käse, weil die Firma doch Webdownloads zuläßt.

ob du sie für käse hältst dürfte ihm ziemlich egal sein wenn er wegen so eines verhaltens die kündigung/abmahnung in der hand hält.
so frei nach dem motto: "aber macmark hat doch gesagt..."

allen ernstes: finger weg von solchen "spielereien", das kann im ernstfall wirklich ruckzuck mit dem verlust des arbeitsplatzes enden..

kenne da einen konkreten fall mit einem rogue ap .....

 

[MacMark]

Ein nicht genehmigter Access Point ist ja auch etwas völlig anderes. Damit öffnest Du jedem den Zugang ins LAN.

Wenn Dir SSH nicht paßt, dann mach Dir klar, daß sein Arbeitgeber ihm den Webzugriff auf alles gestattet. Er möge nun den Webserver auf seinem Mac einschalten, Portweiterleitung auf seinem heimischen DSL-Router und los gehts. Was zur Hölle soll also daran schlimm sein diese Verbindung per SSH zu sichern?