这是一个创建于 3786 天前的主题,其中的信息可能已经有所发展或是发生改变。
背景是这样的:公司的网络是对外完全隔离,在公司里上网必须只能通过HTTPS代理。而这个代理屏蔽了非常多的网站。包括个人存储网站(icloud,dropbox,百度网盘等)以及其他不适合在公司浏览的网站。如果要在家办公的话,必须要连接IPSec的vpn,才能ssh到自己的工作站。
我自己有一个VPS,域名假设是geeti.com
做了两件事:
1. 在公司里用SSH-over-HTTP通过公司的HTTPS代理,SSH连接到geeti.com,同时做了动态端口转发. (也就是 ssh -D 10002 geeti.com),这样在公司里可以通过socks5代理上一些屏蔽的网站以及一些不想被监视的网站,比如股票啥的。
2. 同样的ssh-over-http方法,连接到geeti.com,但这次做了远程端口转发。(ssh -R 19999:localhost:22 geeti.com),这样的目的是为了做防火墙穿透。geeti.com上得sshd并没有开启gatewayport. 这样在家里时,ssh到geeti.com之后,再'ssh -p 19999 localhost'就可以登录到工作站,而不需要先登录VPN.(公司的vpn登录实在太繁琐,需要先通过app生成密码,然后登录再通过手机短信二次验证。)
问题来了,我这样做会不会有什么安全隐患?另外公司的IT部门会不会发现有员工这样做?
多谢各位。
我自己有一个VPS,域名假设是geeti.com
做了两件事:
1. 在公司里用SSH-over-HTTP通过公司的HTTPS代理,SSH连接到geeti.com,同时做了动态端口转发. (也就是 ssh -D 10002 geeti.com),这样在公司里可以通过socks5代理上一些屏蔽的网站以及一些不想被监视的网站,比如股票啥的。
2. 同样的ssh-over-http方法,连接到geeti.com,但这次做了远程端口转发。(ssh -R 19999:localhost:22 geeti.com),这样的目的是为了做防火墙穿透。geeti.com上得sshd并没有开启gatewayport. 这样在家里时,ssh到geeti.com之后,再'ssh -p 19999 localhost'就可以登录到工作站,而不需要先登录VPN.(公司的vpn登录实在太繁琐,需要先通过app生成密码,然后登录再通过手机短信二次验证。)
问题来了,我这样做会不会有什么安全隐患?另外公司的IT部门会不会发现有员工这样做?
多谢各位。
第 1 条附言 · 2014-06-29 02:52:35 +08:00
思考了一晚上,做了如下改动:做了一个tls wrapper,将SSH数据用TLS加密,并且通过openssl只做了一个伪装Google的证书。
公司监控用的是DPI,对TLS的DPI只能通过SNI或者certificate-common-name来识别。自己试了一下并抓包,再DPI simulator上跑了一下,果不其然,这个隧道数据全部探测为Google。搞定。
公司监控用的是DPI,对TLS的DPI只能通过SNI或者certificate-common-name来识别。自己试了一下并抓包,再DPI simulator上跑了一下,果不其然,这个隧道数据全部探测为Google。搞定。
 |
1
ddter 2014-06-28 08:59:27 +08:00
你好,我是it部,请于三个工作日来办公室接受处罚。
|
 |
2
henryzhou 2014-06-28 09:00:45 +08:00
#2 绝对是主动求被炒鱿鱼的行为,严重的安全漏洞。
流量统计上发现大量数据走geeti.com就可以找你谈话了,你准备如何解释? |
 |
3
jsonline 2014-06-28 09:01:50 +08:00 via Android
你不发这个帖子的话,安全隐患会小很多。
大部分系统的安全隐患都在于——人。 |
 |
4
imlonghao 2014-06-28 09:05:57 +08:00 via iPad
it部,你是其他公司派来捣乱我们内网的么
|
 |
6
akfish 2014-06-28 09:12:02 +08:00
po主快求删帖吧,然后给删帖前回复的人封口费,不然向你公司举报,233
|
 |
7
dongbeta 2014-06-28 09:13:21 +08:00
不建议这么做,你关心的是自己的安全,不是公司制度所要保证的安全。
虽然我觉得你们公司的制度我不喜欢。 |
 |
8
qian19876025 2014-06-28 09:30:21 +08:00
这种公司多了去了 至少我呆过了好几个都是
额 露自己水平很差了 都外包公司 |
 |
9
21grams 2014-06-28 11:10:49 +08:00
第一条是无所谓的,我一直都是这么干的
|
 |
10
lm902 2014-06-28 11:38:54 +08:00
SSH over HTTP也行么,我表示这种情况用SSTP VPN会方便的多吧
|
 |
11
ChangeTheWorld 2014-06-28 12:08:28 +08:00
SOFTETHER SSL VPN
|
 |
12
jianghu52 2014-06-28 12:12:47 +08:00
up 21grams。第一条问题还不大,毕竟公司允许你访问网站,所以他对数据流有一定的防护。
但是第二条比较的危险,你公司一查vpn会发现一个未知的源访问工作站,这是大事。比你用https访问一个未知网站大的多。 |
 |
13
min 2014-06-28 12:35:14 +08:00
2不要乱搞
1看起来还好 建议自己弄个7-8寸的小平板通过3g 4g上网吧 |
 |
14
lu18887 2014-06-28 20:18:47 +08:00 via iPhone
不要挑战网管的权威…
|
 |
15
geeti OP @lm902
@min @jianghu52 @ChangeTheWorld @21grams @qian19876025 @dongbeta @henryzhou 思考了一晚上,做了如下改动:做了一个tls wrapper,将SSH数据用TLS加密,并且通过openssl只做了一个伪装Google的证书。 公司监控用的是DPI,对TLS的DPI只能通过SNI或者certificate-common-name来识别。自己试了一下并抓包,再DPI simulator上跑了一下,果不其然,这个隧道数据全部探测为Google。搞定。 |
 |
18
xylophone21 2014-06-29 22:34:02 +08:00 via Android
2的原理是什么?为什么你的VPS可以在不登录vpn的情况下登录工作站?
|
|
19
geeti OP @xylophone21 远程转发, 通过从内网到vps的隧道
|
Select Language