Автор Тема: Шифрование траффика ssh squid  (Прочитано 7014 раз)

0 Пользователей и 1 Гость просматривают эту тему.

trotsak

  • *
  • Сообщений: 86
  • Karma: +0/-0
Шифрование траффика ssh squid
« : 14 Января 2011, 09:20 »
На работе установили родительский прокси (10.1.1.10:3128).

Возникла потребность в сокрытии "куда ходил, что качал".

Установил openssh, squid, putty.

В config sshd изменил порт на 443.

В Putty прописал:
Session: Целевой хост: имя-машины-в-сети порт: 443

SSH->tunnels: L3128 localhost:3128

В opere прописал прокси: localhost:3128

Как убедиться, что траффик действительно шифруется?
Debian 6.0.5
CPU Intel Core i5-2500K 3.3 ГГц/SVGA/1+6Мб/5 ГТ/с LGA1155
GigaByte GA-Z68XP-UD3 rev1.3

Работа в Линуксе с  V.2009

rain

  • Global Moderator
  • *****
  • Сообщений: 663
  • Karma: +10/-0
Re: Шифрование траффика ssh squid
« Ответ #1 : 14 Января 2011, 10:08 »
А теперь еще раз: на какой машине что стоит и кто куда подключается?

> Установил openssh, squid, putty.

Это все на одном хосте?

> putty

Обычный ssh не устроил?

> Целевой хост: имя-машины-в-сети порт: 443
> SSH->tunnels: L3128 localhost:3128

Какой целевой хост? Это все в пределах одной машины делается? Тогда от кого ты шифруешь трафик?

> Как убедиться, что траффик действительно шифруется?

tcpdump, wireshark
Registered Linux User # 377068
Аз есмь линуксоид <img src=\"{SMILIES_PATH}/wink.gif\" alt=\";)\" title=\"Wink\" />
Присоединяемся к акции массового перехода на Jabber -
самую современную сеть обмена мгновенными сообщениями!

Меня

trotsak

  • *
  • Сообщений: 86
  • Karma: +0/-0
Re: Шифрование траффика ssh squid
« Ответ #2 : 14 Января 2011, 10:16 »
Цитата: "rain"
Это все на одном хосте?

да

Цитата: "rain"
Обычный ssh не устроил?

не смог разобраться в синтаксисе - не подключается

Цитата: "rain"
Какой целевой хост? Это все в пределах одной машины делается? Тогда от кого ты шифруешь трафик?

да, машина одна.

хочу: броузер, (неплохо бы skype, vuze) >>---незашифрованный траффик-->> squid >>----ЗАшифрованный траффик-->> родительский прокси (комп администратора) = админ не знает куда ходил, что качал

tcpdump -i eth0 'udp port 443'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
10:31:52.250829 IP имя-моего-компа-в-сети.local.17887 > 173-18-30-197.client.mchsi.com.https: UDP, length 18
10:31:52.251662 IP имя-моего-компа-в-сети.local.17887 > a81-84-52-212.cpe.netcabo.pt.https: UDP, length 18
Debian 6.0.5
CPU Intel Core i5-2500K 3.3 ГГц/SVGA/1+6Мб/5 ГТ/с LGA1155
GigaByte GA-Z68XP-UD3 rev1.3

Работа в Линуксе с  V.2009

rain

  • Global Moderator
  • *****
  • Сообщений: 663
  • Karma: +10/-0
Re: Шифрование траффика ssh squid
« Ответ #3 : 14 Января 2011, 10:38 »
> squid >>----ЗАшифрованный траффик-->>

Squid ничего не знает про твой туннель в ssh. Кроме того, 3128 - это порт, на котором слушаются запросы от приложений. Получив запрос, например, от браузера, Squid обращается, например, на 80-й порт сервера.

Далее, если ты подключаешься через ssh на тот же хост, то показанный вариант с туннелем не будет работать - порт-то уже занят squid'ом, туннель не создастся.

Если ты хочешь скрыть какие-то действия от промежуточного хоста (или сервиса на нем) - ты должен или шифровать трафик на своем хосте и дешифровать за пределами пути "твой хост - промежуточный хост", либо обойти его. В твоей схеме этого нет. Пробрасывай ssh или vpn-туннель, например, на свой домашний хост, если он имеет внешний адрес.

> vuze

Торренты вообще подразумевают подключение на любой порт

> udp

Ни ssh, ни squid не использует udp.

> не смог разобраться в синтаксисе - не подключается

Ну конечно... А написать почти то же самое, только в графической морде осилил. http://linuxoid.in/Перенаправление_портов_в_SSH
Registered Linux User # 377068
Аз есмь линуксоид <img src=\"{SMILIES_PATH}/wink.gif\" alt=\";)\" title=\"Wink\" />
Присоединяемся к акции массового перехода на Jabber -
самую современную сеть обмена мгновенными сообщениями!

Меня

trotsak

  • *
  • Сообщений: 86
  • Karma: +0/-0
Re: Шифрование траффика ssh squid
« Ответ #4 : 14 Января 2011, 10:43 »
Спасибо, rain!

Немного прояснил. С толку сбила статья: http://etutorials.org/Networking/networ ... +over+SSH/

У меня дома есть комп с инетом.

А повлияет ли это на скорость траффика (у меня дома тариф с очень маленькой скоростью, а на работе нормальная)?

Получается squid не нужен?
Debian 6.0.5
CPU Intel Core i5-2500K 3.3 ГГц/SVGA/1+6Мб/5 ГТ/с LGA1155
GigaByte GA-Z68XP-UD3 rev1.3

Работа в Линуксе с  V.2009

rain

  • Global Moderator
  • *****
  • Сообщений: 663
  • Karma: +10/-0
Re: Шифрование траффика ssh squid
« Ответ #5 : 14 Января 2011, 10:49 »
> С толку сбила статья

Как минимум, там прокси на отдельном хосте.

> А повлияет ли это на скорость траффика (у меня дома тариф с очень маленькой скоростью, а на работе нормальная)?

Да, ведь ты будешь качать через свой комп, плюс расходы на туннели, шифрование и прочее.

> Получается squid не нужен?

Если и нужен - то не локально. Кроме того, ssh может выступать в качестве socks-прокси (ключ -D)
Registered Linux User # 377068
Аз есмь линуксоид <img src=\"{SMILIES_PATH}/wink.gif\" alt=\";)\" title=\"Wink\" />
Присоединяемся к акции массового перехода на Jabber -
самую современную сеть обмена мгновенными сообщениями!

Меня

trotsak

  • *
  • Сообщений: 86
  • Karma: +0/-0
Re: Шифрование траффика ssh squid
« Ответ #6 : 14 Января 2011, 10:53 »
А есть другие варианты осуществления мечты (кроме пива для админов)?:

броузер, (неплохо бы skype, vuze) >>---незашифрованный траффик-->> ????? >>----ЗАшифрованный траффик-->> родительский прокси (комп администратора) = админ не знает куда ходил, что качал
Debian 6.0.5
CPU Intel Core i5-2500K 3.3 ГГц/SVGA/1+6Мб/5 ГТ/с LGA1155
GigaByte GA-Z68XP-UD3 rev1.3

Работа в Линуксе с  V.2009

rain

  • Global Moderator
  • *****
  • Сообщений: 663
  • Karma: +10/-0
Re: Шифрование траффика ssh squid
« Ответ #7 : 15 Января 2011, 01:19 »
А где в этой цепочке обратное преобразование шифрованного трафика в дешифрованный? Сервис-то ничего про твои операции с шифрованием не знает.

> кроме пива для админов

Цветы и конфеты? :)
Registered Linux User # 377068
Аз есмь линуксоид <img src=\"{SMILIES_PATH}/wink.gif\" alt=\";)\" title=\"Wink\" />
Присоединяемся к акции массового перехода на Jabber -
самую современную сеть обмена мгновенными сообщениями!

Меня

trotsak

  • *
  • Сообщений: 86
  • Karma: +0/-0
Re: Шифрование траффика ssh squid
« Ответ #8 : 15 Января 2011, 11:24 »
интересно, а обратно можно?:

домашний комп >>---незашифрованный траффик-->> ssh-server >>----ЗАшифрованный траффик-->> родительский прокси (комп администратора) ->ssh-client,комп на работе = админ не знает кто, откуда приходил, что качал

Цитировать
Цветы и конфеты?

я не гей, наверно, лучше нейролингвистическое программирование.
Debian 6.0.5
CPU Intel Core i5-2500K 3.3 ГГц/SVGA/1+6Мб/5 ГТ/с LGA1155
GigaByte GA-Z68XP-UD3 rev1.3

Работа в Линуксе с  V.2009

rain

  • Global Moderator
  • *****
  • Сообщений: 663
  • Karma: +10/-0
Re: Шифрование траффика ssh squid
« Ответ #9 : 16 Января 2011, 12:23 »
Цитировать
а обратно можно?
Можно. Разрешаю.

Цитировать
кто, откуда приходил, что качал
ssh-сессию с левого хоста все же можно отловить, да и насчет "что качал" ты поторопился - запросы-то исходить будут от рабочего компа и снова проходить через шлюз.

Цитировать
я не гей
/me покосился на девушку-сисадминшу в jabber-ростере

А чего, собственно...
Registered Linux User # 377068
Аз есмь линуксоид <img src=\"{SMILIES_PATH}/wink.gif\" alt=\";)\" title=\"Wink\" />
Присоединяемся к акции массового перехода на Jabber -
самую современную сеть обмена мгновенными сообщениями!

Меня

trotsak

  • *
  • Сообщений: 86
  • Karma: +0/-0
Re: Шифрование траффика ssh squid
« Ответ #10 : 16 Января 2011, 10:38 »
Цитата: "rain"
Можно. Разрешаю.

спасибо, приступаю к выполнению.

Цитировать
ssh-сессию с левого хоста все же можно отловить, да и насчет "что качал" ты поторопился - запросы-то исходить будут от рабочего компа и снова проходить через шлюз.

можно всё, но не все могут. В обоих направлениях будут шифроваться, 2 туннеля, один на входящие, другие на исходящие. мне надо скачивать, а не закачивать.
Debian 6.0.5
CPU Intel Core i5-2500K 3.3 ГГц/SVGA/1+6Мб/5 ГТ/с LGA1155
GigaByte GA-Z68XP-UD3 rev1.3

Работа в Линуксе с  V.2009