it-swarm-vi.com

Có những lựa chọn thay thế nào khi SSH đang được tích cực lọc?

Thật không may, chính phủ của chúng tôi lọc giao thức SSH để bây giờ chúng tôi không thể kết nối với máy chủ Linux của mình.

Họ thực hiện lọc bằng cách kiểm tra tiêu đề của từng gói trong lớp mạng (chứ không chỉ bằng cách đóng cổng). Họ cũng loại bỏ các giao thức VPN.

Có cách nào khác để kết nối an toàn với máy chủ Linux không?

149
Moein Hosseini

Từ những gì tôi đã nghe trước đó hôm nay, https/ssl chảy chính xác qua các đường viền của bạn.

Do đó, bạn nên kiểm tra Corkscrew .

Tương tự như netcat, nó được sử dụng để bọc ssh trong https để cho phép sử dụng proxy https.

Một giải pháp khác là sử dụng LSH , bằng cách có chữ ký khác với ssh, hoạt động từ Iran khi Siavash lưu ý nó trong tin nhắn của anh ấy =.

88
petrus

Dựa trên buổi nói chuyện tại hội nghị CCC - 28C3: Các chính phủ đã cố gắng chặn Tor như thế nào - Dự án Tor có hồ sơ theo dõi tốt nhất trong lĩnh vực năng động và đầy thách thức này, và nó có thể được sử dụng cho SSH. Cách sử dụng sáng tạo của cầu Tor là một trong những phát triển mới nhất. 28C3 Tor talk cũng có trên YouTube và các slide có tại https://svn.torproject.org/svn/projects/presentations/slides-28c3.pdf

Lưu ý rằng việc sử dụng các phương pháp lảng tránh có thể được xác định quá dễ dàng có thể khiến người dùng vi phạm nhiều hơn về quyền con người và an ninh cá nhân của họ. Hãy cẩn thận.

Cập nhật : Điều 19 của Tuyên ngôn quốc tế về quyền con người có liên quan ở đây:

  • Điều 19: Mọi người đều có quyền tự do ý kiến ​​và bày tỏ; quyền này bao gồm quyền tự do nắm giữ ý kiến ​​mà không can thiệp và tìm kiếm, tiếp nhận và truyền đạt thông tin và ý tưởng thông qua bất kỳ phương tiện truyền thông nào và bất kể biên giới.
23
nealmcb

Nếu bạn chưa lọc https, bạn có thể làm một cái gì đó như AjaxTerm hoặc bất kỳ AJAX hoặc trình giả lập thiết bị đầu cuối dựa trên HTML5 nào đang chạy trên một trang web được bảo vệ trong máy chủ web có thể kết nối với ssh cục bộ daemon hoặc trong một số trường hợp nhất định với các điều khiển từ xa trên các giao diện khác của máy.

Một tùy chọn khác (khó hiểu một chút) nếu bạn có ICMP trong hộp của mình sẽ là chạy TCP/IP trên đầu ICMP nếu điều đó được mở. Xem tại đây .

13
pfo

Hãy thử gửi bắt tay SSH qua hơn 1 gói. Rất nhiều công nghệ lọc gói hoạt động ở cấp độ gói và sẽ không đệm cho việc kiểm tra.

Nếu điều này không hiệu quả, hãy thử làm điều này nhưng gửi hai hoặc nhiều phần bắt tay ra khỏi trật tự. Chỉ khi hộp DPI được lắp ráp lại, nó mới bắt được.

11
strtok

Bạn có một số tùy chọn để tạo đường hầm IP qua các giao thức khác. Bên cạnh việc sử dụng cái gì đó như corkscrew, bạn có thể thử triển khai IP/DNS (tức là với iodine ) hoặc IP/ICMP .

Trong trường hợp khác, bạn cũng có thể sử dụng một cái gì đó như http://www.serfish.com/console/

10
ashwoods

Bạn cũng có thể xem xét đường hầm lưu lượng SSH qua DNS bằng các công cụ như OzymanDNS hoặc iodine

7
Juicy Scripter

Bạn có thể sử dụng một cái gì đó như VNC, nhưng không có đường hầm an toàn như VPN hoặc SSH, nó không an toàn lắm. Nếu họ cũng lọc như vậy, bạn sẽ có một khoảng thời gian khó khăn.

5
MDMarra

Một tùy chọn khác, nhưng một tùy chọn sẽ yêu cầu bạn trước tiên có quyền truy cập vào máy chủ của mình theo một cách khác để bạn có thể cài đặt trình nền, đó là telnet-ssl/telnetd-ssl.

Không giống như một số tùy chọn khác đã được đề xuất, điều này sẽ không đòi hỏi nhiều chi phí mạng và rất đơn giản để sử dụng (một khi trình nền đang chạy).

5
TimB

Nếu bạn biết rằng kết nối internet hiện tại của bạn đang được lọc, thì hãy sử dụng một phương thức kết nối internet khác như nhà cung cấp dịch vụ internet vệ tinh. Có một số nhà cung cấp dịch vụ internet vệ tinh khác nhau: list1 , list2 .

(Câu hỏi ban đầu của tác giả không nêu rõ bất kỳ hạn chế nào trong việc nhận một số hình thức kết nối thay thế.)

5
ttt

Bạn có thể chỉ cần thay đổi cổng ssh thành 443 và sau đó kết nối qua nó. Trừ khi họ đang thực hiện một cuộc tấn công trung gian, họ không nên nói sự khác biệt giữa ssh và https.

Điều này đã làm việc trên tất cả các tường lửa tôi đã thử nó. (thừa nhận là không nhiều)

Tôi sẽ quan tâm để nghe nếu điều này làm việc. Cảm ơn.

4
user606723

Tôi có cùng một vấn đề. Ngày nay, kết nối SSH ban đầu được thiết lập nhưng sau khi truyền một số gói thì nó bị hủy. Tôi tin rằng họ đã bắt đầu bỏ các gói SSH sau khi đạt đến giới hạn. Tôi đã chuyển sang MOSH https://mosh.mit.edu/ . Nó xác thực bằng SSH và sau đó chuyển sang UDP. Nó nhanh hơn SSH và dễ cài đặt và sử dụng.

Để sử dụng nó, chỉ cần cài đặt nó trên máy chủ của bạn, mở cổng udp 60000: 61000 trong tường lửa và kết nối với máy chủ với ứng dụng khách mosh như bạn làm với máy khách ssh (Không cần phải bắt đầu bất cứ điều gì).

Sudo yum install mosh
Sudo iptables -I INPUT 1 -p udp --dport 60000:61000 -j ACCEPT

Một ứng dụng khách windows tốt là MobaXTerm http://mobaxterm.mobatek.net/doad-home-edition.html

2
Ali