it-swarm.dev

Quali alternative ci sono quando SSH viene attivamente filtrato?

Purtroppo il nostro governo filtra il protocollo SSH, quindi ora non possiamo collegarci al nostro server Linux.

Fanno il filtro controllando l'intestazione di ogni pacchetto nel livello di rete (e non semplicemente chiudendo la porta). Eliminano anche i protocolli VPN.

Esiste un modo alternativo per connettersi in modo sicuro a un server Linux?

149
Moein Hosseini

Da quello che ho sentito prima oggi, https/ssl scorre correttamente attraverso i tuoi confini.

Dovresti quindi dare un'occhiata a Cavatappi .

Analogamente a netcat, viene utilizzato per racchiudere ssh in https per consentire l'uso di proxy https.

Un'altra soluzione sarebbe quella di usare LSH che, avendo una firma diversa da ssh, funziona dall'Iran come notato da Siavash nel suo messaggio =.

88
petrus

Basato su un discorso alla conferenza CCC - 28C3: come i governi hanno cercato di bloccare Tor - il Tor Project ha il miglior track record in questo campo dinamico e stimolante, e può essere usato per SSH. L'uso innovativo dei ponti Tor è uno degli ultimi sviluppi. Il 28C3 Tor talk è anche su YouTube e le diapositive sono su https://svn.torproject.org/svn/projects/presentations/slides-28c3.pdf

Si noti che l'utilizzo di metodi evasivi che possono essere identificati troppo facilmente può esporre l'utente a ulteriori violazioni dei propri diritti umani e della sicurezza personale. Stai attento.

Aggiornamento : l'articolo 19 della Dichiarazione universale dei diritti umani è rilevante qui:

  • Articolo 19: Ogni individuo ha diritto alla libertà di opinione e di espressione; questo diritto include la libertà di esprimere opinioni senza interferenze e di cercare, ricevere e trasmettere informazioni e idee attraverso qualsiasi mezzo di comunicazione e indipendentemente dalle frontiere.
23
nealmcb

Se hai https non filtrato puoi fare qualcosa come AjaxTerm o qualsiasi altro AJAX o emulatore di terminale basato su HTML5 in esecuzione su un sito protetto all'interno di un server web che può connettersi a un ssh locale demone o in alcuni casi a quelli remoti su altre interfacce della macchina.

Un'altra opzione (un po 'oscura) se hai ICMP nella tua scatola sarebbe quella di eseguire TCP/IP sopra ICMP se questo è aperto. Vedi qui .

13
pfo

Prova a inviare l'handshake SSH su più di 1 pacchetto. Molta tecnologia di filtraggio dei pacchetti funziona a livello di pacchetto e non esegue il buffer per l'ispezione.

Se questo non funziona, prova a farlo ma invia le due o più parti dell'handshake fuori servizio. Solo se la casella DPI si sta riassemblando catturerebbe la stretta di mano.

11
strtok

Sono disponibili diverse opzioni per il tunneling IP su altri protocolli. Oltre a usare qualcosa come il cavatappi, potresti provare a implementare IP/DNS (cioè con iodio ) o IP/ICMP .

In altri casi potresti anche usare qualcosa come http://www.serfish.com/console/

10
ashwoods

Puoi anche prendere in considerazione il tunneling del traffico SSH su DNS utilizzando strumenti come OzymanDNS o iodio

7
Juicy Scripter

Potresti usare qualcosa come VNC, ma senza un tunnel sicuro come una VPN o SSH, non è molto sicuro. Se filtrano anche quello, avrai difficoltà.

5
MDMarra

Un'altra opzione, ma una che richiederà prima di ottenere l'accesso al server in qualche altro modo per poter installare il demone, è telnet-ssl/telnetd-ssl.

A differenza di alcune delle altre opzioni che sono state suggerite, ciò non richiederà molto overhead di rete ed è molto semplice da usare (una volta che il demone è in esecuzione).

5
TimB

Se sai che la tua connessione Internet attuale è stata filtrata, utilizza un metodo di connessione Internet diverso come un provider di servizi Internet via satellite. Esistono diversi fornitori di servizi Internet via satellite: list1 , list2 .

(La domanda originale dell'autore non ha indicato alcuna restrizione sull'ottenimento di una forma alternativa di connettività.)

5
ttt

Dovresti essere in grado di cambiare semplicemente la porta ssh in 443 e poi collegarti attraverso di essa. A meno che non stiano facendo un attacco man-in-the-middle, non dovrebbero essere in grado di dire la differenza tra ssh e https.

Questo ha funzionato su tutti i firewall su cui l'ho provato. (certamente non così tanti)

Sarei interessato a sapere se funziona. Grazie.

4
user606723

Ho lo stesso problema. Oggi viene stabilita la connessione SSH iniziale ma dopo una certa trasmissione di pacchetti viene interrotta. Credo che abbiano iniziato a eliminare i pacchetti SSH dopo che è stato raggiunto un limite. Sono passato a MOSH https://mosh.mit.edu/ . Si autentica tramite SSH e quindi passa a UDP. È più veloce di SSH e facile da installare e utilizzare.

Per usarlo, installalo sul tuo server, apri la porta udp 60000: 61000 nel firewall e connettiti al server con un client mosh come fai con un client ssh (non è necessario avviare nulla).

Sudo yum install mosh
Sudo iptables -I INPUT 1 -p udp --dport 60000:61000 -j ACCEPT

Un buon client Windows è MobaXTerm http://mobaxterm.mobatek.net/download-home-edition.html

2
Ali