这是一个创建于 4215 天前的主题,其中的信息可能已经有所发展或是发生改变。
背景是这样的:公司的网络是对外完全隔离,在公司里上网必须只能通过HTTPS代理。而这个代理屏蔽了非常多的网站。包括个人存储网站(icloud,dropbox,百度网盘等)以及其他不适合在公司浏览的网站。如果要在家办公的话,必须要连接IPSec的vpn,才能ssh到自己的工作站。
我自己有一个VPS,域名假设是geeti.com
做了两件事:
1. 在公司里用SSH-over-HTTP通过公司的HTTPS代理,SSH连接到geeti.com,同时做了动态端口转发. (也就是 ssh -D 10002 geeti.com),这样在公司里可以通过socks5代理上一些屏蔽的网站以及一些不想被监视的网站,比如股票啥的。
2. 同样的ssh-over-http方法,连接到geeti.com,但这次做了远程端口转发。(ssh -R 19999:localhost:22 geeti.com),这样的目的是为了做防火墙穿透。geeti.com上得sshd并没有开启gatewayport. 这样在家里时,ssh到geeti.com之后,再'ssh -p 19999 localhost'就可以登录到工作站,而不需要先登录VPN.(公司的vpn登录实在太繁琐,需要先通过app生成密码,然后登录再通过手机短信二次验证。)
问题来了,我这样做会不会有什么安全隐患?另外公司的IT部门会不会发现有员工这样做?
多谢各位。
我自己有一个VPS,域名假设是geeti.com
做了两件事:
1. 在公司里用SSH-over-HTTP通过公司的HTTPS代理,SSH连接到geeti.com,同时做了动态端口转发. (也就是 ssh -D 10002 geeti.com),这样在公司里可以通过socks5代理上一些屏蔽的网站以及一些不想被监视的网站,比如股票啥的。
2. 同样的ssh-over-http方法,连接到geeti.com,但这次做了远程端口转发。(ssh -R 19999:localhost:22 geeti.com),这样的目的是为了做防火墙穿透。geeti.com上得sshd并没有开启gatewayport. 这样在家里时,ssh到geeti.com之后,再'ssh -p 19999 localhost'就可以登录到工作站,而不需要先登录VPN.(公司的vpn登录实在太繁琐,需要先通过app生成密码,然后登录再通过手机短信二次验证。)
问题来了,我这样做会不会有什么安全隐患?另外公司的IT部门会不会发现有员工这样做?
多谢各位。
第 1 条附言 2014 年 6 月 29 日
思考了一晚上,做了如下改动:做了一个tls wrapper,将SSH数据用TLS加密,并且通过openssl只做了一个伪装Google的证书。
公司监控用的是DPI,对TLS的DPI只能通过SNI或者certificate-common-name来识别。自己试了一下并抓包,再DPI simulator上跑了一下,果不其然,这个隧道数据全部探测为Google。搞定。
公司监控用的是DPI,对TLS的DPI只能通过SNI或者certificate-common-name来识别。自己试了一下并抓包,再DPI simulator上跑了一下,果不其然,这个隧道数据全部探测为Google。搞定。
 | 1 ddter 2014 年 6 月 28 日 你好,我是it部,请于三个工作日来办公室接受处罚。 |
 | 2 henryzhou 2014 年 6 月 28 日 #2 绝对是主动求被炒鱿鱼的行为,严重的安全漏洞。 流量统计上发现大量数据走geeti.com就可以找你谈话了,你准备如何解释? |
 | 3 jsonline 2014 年 6 月 28 日 via Android 你不发这个帖子的话,安全隐患会小很多。 大部分系统的安全隐患都在于人。 |
 | 4 imlonghao 2014 年 6 月 28 日 via iPad it部,你是其他公司派来捣乱我们内网的么 |
 | 6 akfish 2014 年 6 月 28 日 po主快求删帖吧,然后给删帖前回复的人封口费,不然向你公司举报,233 |
 | 7 dongbeta 2014 年 6 月 28 日 不建议这么做,你关心的是自己的安全,不是公司制度所要保证的安全。 虽然我觉得你们公司的制度我不喜欢。 |
 | 8 qian19876025 2014 年 6 月 28 日 这种公司多了去了 至少我呆过了好几个都是 额 露自己水平很差了 都外包公司 |
 | 9 21grams 2014 年 6 月 28 日 第一条是无所谓的,我一直都是这么干的 |
 | 10 lm902 2014 年 6 月 28 日 SSH over HTTP也行么,我表示这种情况用SSTP VPN会方便的多吧 |
 | 11 ChangeTheWorld 2014 年 6 月 28 日 SOFTETHER SSL VPN |
 | 12 jianghu52 2014 年 6 月 28 日 up 21grams。第一条问题还不大,毕竟公司允许你访问网站,所以他对数据流有一定的防护。 但是第二条比较的危险,你公司一查vpn会发现一个未知的源访问工作站,这是大事。比你用https访问一个未知网站大的多。 |
 | 13 min 2014 年 6 月 28 日 2不要乱搞 1看起来还好 建议自己弄个7-8寸的小平板通过3g 4g上网吧 |
 | 14 lu18887 2014 年 6 月 28 日 via iPhone 不要挑战网管的权威… |
 | 15 geeti OP @lm902 @min @jianghu52 @ChangeTheWorld @21grams @qian19876025 @dongbeta @henryzhou 思考了一晚上,做了如下改动:做了一个tls wrapper,将SSH数据用TLS加密,并且通过openssl只做了一个伪装Google的证书。 公司监控用的是DPI,对TLS的DPI只能通过SNI或者certificate-common-name来识别。自己试了一下并抓包,再DPI simulator上跑了一下,果不其然,这个隧道数据全部探测为Google。搞定。 |
 | 18 xylophone21 2014 年 6 月 29 日 via Android 2的原理是什么?为什么你的VPS可以在不登录vpn的情况下登录工作站? |
| 19 geeti OP @xylophone21 远程转发, 通过从内网到vps的隧道 |
Select Language