Mailinglist Archive: opensuse-de (3598 mails)
| < Previous | Next > |
Re: OT: transparenten Proxy umgehen
- From: Matthias Houdek <linux@xxxxxxxxx>
- Date: Sat, 2 Oct 2004 13:54:42 +0200
- Message-id: <200410021354.42718.linux@xxxxxxxxx>
Am Freitag 01 Oktober 2004 22:59 schrieb Stefan Schilling:
Wenn es die Möglichkeit gibt, wäre das wohl die geeignetste Lösung.
Admin der Uni fragen, was da läuft und welche Authentifizierung u.s.w.
In der Regel reicht es nicht aus, das Programm einfach über Port 80 laufen
zu lassen, um es durch den http-Proxy zu bringen. Es sollte schon durch
das HTTP-Protokoll getunnelt werden, d.h. die Kommunikation auf dem
Session-Layer (OSI-Layer 5, Kommunikations-Steuerung auf
Anwendungs-Ebene) muss über die entsprechenden Protokoll-Befehle von HTTP
laufen.
Du brauchst also auf beiden Seiten eine Anwendung, die den Dateninhalt der
gewünschten Anwendung in HTTP-Segmente packt und entsprechend auf der
anderen Seite wieder entpackt (Stichwort: http-Tunnelung)
Nicht nur das, das Ganze hat auch was mit Sicherheits-Policies im LAN zu
tun. Deshalb würde ich mich vorher auch schlau machen, ob irgendwie auch
eine Tunnelung von Fremdprotokollen verboten oder eingeschränkt ist (per
Nutzungsordnung z.B.).
Andererseits - wenn auch ein VPN-Gateway angeboten wird.
Siehe oben: Port 80 ist noch netzwerkseitig im TCP/IP-Stack (OSI-Layer 4).
Der wird aber nicht geforwardet (offensichtlich), sondern an den Proxy
weitergeleitet. Dem Proxy ist aber der Port eigentlich relativ egal (er
muss nur wissen, von welchem Port er die Daten entgegenzunehmen hat ->
Konfiguration). Die eingehenden Daten verarbeitet er dann nach dem
HTTP-Protokoll, und dafür gibt es eine bestimmte Syntax (--> Sniffer ;-).
Kommt was anderes, wird es ignoriert und verworfen.
Du solltest versuchen, einen VPN-Tunnel zu realisieren.
--
Gruß
MaxX
Hinweis 1: PMs an diese Adresse werden automatisch vernichtet.
Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Guten Tag Marco Röben,
Am Freitag, 1. Oktober 2004 um 18:33 schrieb Marco Röben:
Hallo!
Zunächst einmal ein grosses Dankeschön für die Antworten.
Ich glaube, ich muss das Ganze ein bischen präzisieren:
tatsächlich funktionieren sollen eigentlich "nur" Skype und Trillian
(oder ein anderes ICQ - Programm). Wir haben versucht, das Ganze über
Port 80 laufen zu lassen, was leider fehlschlug. Deshalb war die Idee,
entweder einzelne Ports zu tunneln (was jedoch bei einem P2P -
Programm schwierig werden könnte, da ich ja vorneweg sagen muss,
welche Rechner angesprochen werden soll) oder aber einfach einen VPN
aufzusetzen, der dann, wenn gewünscht alles weiterleiten sollte
(unsere Uni bietet einen VPN - Zugang an, den hätten wir dann einfach
genutzt).
Wenn es die Möglichkeit gibt, wäre das wohl die geeignetste Lösung.
Dummerweise ist es uns bisher nicht gelungen,
- eine Verbindung mit Skype (sowohl auf dem Standardport (31855), als
auch über Port 80)
- eine Verbindung mit Trillian (zu login.icq.com, Port 5190),
- eine Verbindung zum VPN unserer Uni
Admin der Uni fragen, was da läuft und welche Authentifizierung u.s.w.
- eine Verbindung von der Partneruni (übrigens die University of
Central England) zu meinem Server (Ports 80 + 443)
aufzubauen.
Wäre es tatsächlich möglich, die Programme über Port 80 laufen zu
lassen, würde Skype laufen, was es aber nicht tut.
Das Programm "http-proxy" habe ich noch getestet, ich werde meine
Bekannte aber noch bitten, dies zu tun.
In der Regel reicht es nicht aus, das Programm einfach über Port 80 laufen
zu lassen, um es durch den http-Proxy zu bringen. Es sollte schon durch
das HTTP-Protokoll getunnelt werden, d.h. die Kommunikation auf dem
Session-Layer (OSI-Layer 5, Kommunikations-Steuerung auf
Anwendungs-Ebene) muss über die entsprechenden Protokoll-Befehle von HTTP
laufen.
Du brauchst also auf beiden Seiten eine Anwendung, die den Dateninhalt der
gewünschten Anwendung in HTTP-Segmente packt und entsprechend auf der
anderen Seite wieder entpackt (Stichwort: http-Tunnelung)
Ausserdem glaube ich nicht (wir habens noch nicht probiert...), dass
der Admin tatsächlich die Verbindung freigeben wird, denn wenn sich
sowas rumspricht, kommt der gar nicht mehr zur Ruhe.
Nicht nur das, das Ganze hat auch was mit Sicherheits-Policies im LAN zu
tun. Deshalb würde ich mich vorher auch schlau machen, ob irgendwie auch
eine Tunnelung von Fremdprotokollen verboten oder eingeschränkt ist (per
Nutzungsordnung z.B.).
Andererseits - wenn auch ein VPN-Gateway angeboten wird.
Wir werden es probieren, dann melde ich mich nochmal. Was mir halt
Sorgen macht ist, dass es nicht mal über den verschlüsselten Port
funktioniert, denn zumindest diese Daten SOLLTE der Proxy
-hoffentlich- nicht analysieren können. Entweder wird eine Verbindung
zu einer https:// - Adresse komplett geblockt (unwahrscheinlich, werde
ich aber abprüfen lassen) oder aber er merkt, dass ers grad nicht mit
einer verschlüsselten Website zu tun hat, sondern mit einer
ssh-Verbindung.
Siehe oben: Port 80 ist noch netzwerkseitig im TCP/IP-Stack (OSI-Layer 4).
Der wird aber nicht geforwardet (offensichtlich), sondern an den Proxy
weitergeleitet. Dem Proxy ist aber der Port eigentlich relativ egal (er
muss nur wissen, von welchem Port er die Daten entgegenzunehmen hat ->
Konfiguration). Die eingehenden Daten verarbeitet er dann nach dem
HTTP-Protokoll, und dafür gibt es eine bestimmte Syntax (--> Sniffer ;-).
Kommt was anderes, wird es ignoriert und verworfen.
Ich hoffe, dies macht meine Denkrichtung etwas klarer, falls noch
Fragen auftauchen, immer her damit, ich werd versuchen, sie
schnellstmöglich zu klären.
Du solltest versuchen, einen VPN-Tunnel zu realisieren.
--
Gruß
MaxX
Hinweis 1: PMs an diese Adresse werden automatisch vernichtet.
Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
| < Previous | Next > |