SSH over HTTPS – fantastico!
Allora…è un pò contorto ammetto, e lo scopo di una cosa del genere potrebbe essere usato per scopi maligni, per quel che mi riguarda lo scopo è controllore il mio server di casa.
Se la vostra azienda non vi passa l’SSH, non vi passa il SOCKS senza autenticazione, manco a parlarne un tunnel HTTP, a sto punto l’unica soluzione (suggeritami dalla stesse persone del nostro securiteam 
) è il tunnel over HTTPS dell’SSH.
Perchè?
Premettendo che il principio è che se è criptato non vogliamo che esca (questo è il punto contrale della sicurezza, non a torto) succede questo:
- SSH puro = è robaccia criptata la butto (eh già)
- tunnel SOCKS = traffico che ti devo abilitare su richiesta in quanto ti devo dare un ip pubblico per del traffico criptato, quindi soluzione non utilizzabile (uso di “proxychains”)
- tunnel HTTP = se è HTTP e c’è roba criptata dentro?? non mi pare corretto passarlo (uso di “proxychains”)
- tunnel HTTPS = visto che è HTTPS non mi stupisco se il traffico è criptato (that’s works! tramite “corkscrew”)
Quindi, ponendo di avere già in remoto in ascolto l’openSSH server, su Ubuntu quel che dovrete fare in locale è:
sudo apt-get install corkscrew
nano .ssh/config_tunhttps
E dentro il file inserire queste righe:
Host *
ProxyCommand corkscrew il.vostro.proxy 8080 %h %p
Queste righe nel file di configurazione indicano ad SSH di passare tutti i comandi per corkscrew, che a sua volta deve sapere quale è il vostro proxy “aziendale”.
A questo punto avete configurato Corkscrew, posto che il vostro proxy aziendale (altra supposizione) non richieda autenticazione, se lo richiede vi rimando ad una guida più estensiva (non troppo per la verità).
A questo punto il vostro comando SSH dovrebbe apparire così (supponendo il demone della macchina remota in ascolto sulla 443):
ssh -F .ssh/config_tunhttps utenzaremota@macchina.remota -p 443
Una nota, perchè il file di configurazione con il nome strano e non il solito “.ssh/config”?
Perchè di DEFAULT voglio che SSH non usi quel file, gli voglio dire io quando usarlo, ovvero quando sono in una determinata azienda che vedo mi filtra SSH.
Divertitevi!
Interessante
Complimenti per il post
Emanuele
Emanuele
13 Settembre 2008 alle 14:49
[...] Due note “legali” sul post del tunnel HTTPS… 16 09 2008 Ripensandoci forse l’avevo preso un pò alla leggera, non avendo fatto notare alcune cose, quindi provvedo ora ad aggiungere due righe “tecniche” al post dell’SSH over HTTPS. [...]
Due note “legali” sul post del tunnel HTTPS… « Svaried Blog, a bit of Linux, in itagliano
16 Settembre 2008 alle 09:04
[...] chiusi, in pratica faccio sembrare il traffico SSH come se fosse HTTPS ed il firewall ci casca: SSH over HTTPS – fantastico! Svaried Blog, a bit of Linux, in itagliano __________________ ALT: Morbo / Alhys / Efesto / Coort (banca) Was: Bonaz / Lia / Efesto / [...]
Qualcuno riesce a loggare?
22 Luglio 2009 alle 11:55