[linux-l] ssh80.in-berlin.de
Steffen Dettmer
steffen at dett.de
Mi Jan 31 22:08:04 CET 2007
* Philipp Rosenkranz wrote on Wed, Jan 31, 2007 at 20:46 +0100:
> Ivan F. Villanueva B. schrieb:
> >Kann man durch einen HTTP-Proxy ssh machen?
>
> Jepp kann man...
> Jedoch muß man tunneln.
> Es gibt dafür ne ganze Reihe von Lösungen.
> Ich persönlich finde sslexplorer recht nett
> (zumal man damit auch gleich jedes anderes auf TCP basierende Protokoll
> tunneln kann; man kann sich auch nen java ssh Client integrieren; Ist
> ganz nett wenn man an einem System sitzt wo kein ssh drauf ist.).
Im Normalfall sollte ein ssltunnel oder sowas auf einen Port 443 Dienst
(der dann so ein hässliches TCP-VPN-im-TCP macht :)) gehen, weil der
Proxy ohne MITM eigentlich nicht entschlüsseln können dürfte.
Aber selbst wenn, nützt das so wahnsinnig viel ja auch nicht... SOAP
macht ganz offiziell alles über HTTP, weniger offensichtlich tunnelt man
seine Daten aber auch in DNS Anfragen oder in ping payloads - oder
wenn's gar nicht anders geht, als TOS Bit (bei zwei Nutz-Bit je 56 Byte
ein Overhead von 1:224 :-) aber Tunnel ist Tunnel).
Eine Firewall kann im Prinzip nicht davor schützen, Daten auszutauschen,
wenn auf beiden Seiten Leute sitzen, die sich einig sind, welchen Trick
sie benutzten. Irgendwann schreibt notfalls jemand einen pppd, der zur
Kommunikation Wasserzeichen in HTML Seiten benutzt...
oki,
Steffen
--
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.
Mehr Informationen über die Mailingliste linux-l