Quanto è sicuro il proxy socks5 su ssh?

Naviga le tue risposte
4

Al lavoro usiamo tutti Windows 7+, con privilegi amministrativi completi. Ogni PC ha un IP dedicato e viene utilizzato un proxy. È impostato come un proxy HTTP e l'opzione per utilizzare questo per tutti i tipi di connessioni è selezionata.

Ho a casa un router "ddwrt" con un server SSH. Uso PuTTY per stabilire una connessione SSH al router di casa utilizzando la porta 443. PuTTY è configurato per il tunneling di socks5 e Firefox è abilitato per inviare richieste DNS su SSH e anche Chrome (ho controllato dnsleaktest e la mia home page configurata su google public DNS viene utilizzato, non quello dell'azienda, nessuna fuga DNS qui). Ho dovuto impostare il proxy aziendale in Putty per accedere a Internet.

Tutto funziona bene, e penso di essere al sicuro su questo, ma il proxy che ho dovuto impostare in Putty mi disturba un po ', perché non sono sicuro che quel proxy possa vedere il traffico proveniente da Putty? Oppure la connessione è ancora crittografata, indipendentemente dal fatto che superi il proxy aziendale, il tunnel socks5 viene stabilito tramite il proxy aziendale.

Credo che vedano il mastice dell'indirizzo IP che si connette a (sulla porta 443, non 22), ma questo è tutto, non vedono nient'altro, solo il flusso criptato tra il mio router e il PC al lavoro.

Dubito che utilizzino qualsiasi proxy speciale per incorporare l'attacco Man in the Middle, sarebbe fuori dalla loro conoscenza e immagino che il software sarebbe troppo costoso per loro.

Che ne pensi?

Per favore mi risparmi delle risposte che non dovrei usare per cose personali, ecc., lo faccio con la conoscenza del mio capo, che è stufo del materiale informatico e mi ha praticamente dato l'ordine di accedere ai siti sociali .

    
posta kukori 22.07.2015 - 17:51
fonte

3 risposte

3

Un'indagine dovrebbe facilmente concludere che un computer sulla loro rete, assegnato a voi, si connette a un host ISP di livello consumer sulla porta 443 utilizzando SSH e non HTTPS (l'ispezione del contenuto può facilmente determinare quale protocollo si sta utilizzando, tra cui la possibilità di rilevare il traffico SSH ).

Il contenuto esatto di questo traffico dovrebbe essere opaco (ma anche questo non è garantito) senza qualcosa di malevolo o un'analisi molto avanzata.

Ci sono alcuni modi in cui possono essere raccolte più informazioni:

  • Perdita di dati accidentali (le altre risposte qui si riferiscono a questo)
  • Un attacco Man-in-the-Middle - Assicurati di aver ottenuto Impronta digitale SSH a destra
  • Software / hardware sul computer o area di lavoro per intercettare i dati locali non crittografati
  • Richiesta (o intercettazione) del lato non crittografato del tuo ISP home del tuo
  • Un attacco del canale laterale o analisi avanzata della frequenza.

Un esempio di analisi di frequenza: ci sono alcuni modelli di video e audio; Ho persino sentito parlare di rapporti che suggeriscono che l'audio live crittografato può essere decifrato in base al volume di dati (le pause si comprimono bene, le parole non sono così buone, ed è tutto in tempo reale).

Considerate solo le raffiche di dati, dovrebbe essere ovvio che non stai usando solo una shell. Immagino che non sarebbe difficile determinare se stai navigando sul web, anche se non so se questo sia facilmente scoperto con gli strumenti esistenti.

Considerati alcuni attributi di determinati siti Web (ad esempio, il modo in cui i siti caricano in modo dinamico nuovi contenuti richiedono una certa frequenza di polling e possono estrapolare una certa gamma ristretta di dati), potrebbe anche essere possibile notare i siti che si stanno visitando, sebbene io dubito che l'analisi della frequenza possa determinare il contenuto esatto (un attacco di canale laterale ha una buona possibilità).

Se sei preoccupato per un attacco da canale laterale o malware o hardware sofisticati (ad esempio una telecamera dietro la tua sedia), è probabile che essere licenziati sia l'ultimo dei tuoi dubbi :-) Abbiamo almeno qualche anno prima quel tipo di tecnologia diventa abbastanza onnipresente da essere schierata per mantenere i dipendenti sul bersaglio. I datori di lavoro che cercano di essere tali draconiani optano per l'opzione economica e semplicemente bloccano il traffico SSH agli host non approvati (indipendentemente dalla porta).

    
risposta data 22.07.2015 - 20:51
fonte
4

Come per il DNS: normalmente , il principio del protocollo SOCKS è che quando un client vuole connettersi al server example.com sulla porta 80, invia attraverso il tunnel il messaggio "per favore apri una connessione alla porta 80 di example.com e inoltra i byte avanti e indietro ", quindi il nome example.com verrà risolto sull'altra estremità del tunnel (qui, il tuo router di casa). Come indica @ M'vy, Firefox può fare diversamente, nel qual caso si deve supporre che il messaggio SOCKS parlerà dell'indirizzo IP risolto.

Come per il proxy aziendale, funziona come funzionerebbe per SSL: il browser invia un ordine "CONNECT" al proxy, con un nome e una porta di destinazione, e chiede al proxy di propagare i byte in entrambe le direzioni. Nel tuo caso, il proxy aziendale ritiene che stia inoltrando una connessione SSL, ma in realtà questo è un SSH. Il proxy è ancora "all'esterno" crittograficamente parlando; non vedrà i dati e, in particolare, non saprà nemmeno quali siti si sta navigando. Il proxy aziendale vede una una connessione abbastanza impegnativa, tra il tuo sistema desktop e il tuo router di casa.

Si noti, tuttavia, che i protocolli SSH e SSL non utilizzano lo stesso tipo di intestazioni, quindi il proxy aziendale potrebbe notare che ciò che passa attraverso non è SSL (anche se utilizza la porta tradizionale HTTPS 443) ma in realtà SSH. A seconda degli strumenti di sorveglianza e degli sforzi del sysadmin, il proxy può decidere che le cose sono pericolose e segnalare un allarme.

    
risposta data 22.07.2015 - 19:17
fonte
3

La connessione tra te e il tuo proxy è crittografata. Passa attraverso il proxy aziendale, che può vedere solo il traffico crittografato.

Come hai detto, il proxy registrerà una connessione con l'indirizzo IP del proxy e potrà eventualmente monitorare la quantità di dati che passa attraverso quella connessione (è un modo comune per rilevare il proxy).

È possibile che le richieste DNS non stiano andando dal tuo proxy, sembra che il browser Chrome lo faccia di default, ma non Firefox per il quale devi passare il valore di network.proxy.socks_remote_dns a True in about:config .

Riguardo ad un attacco Man In the Middle, devi assicurarti che la chiave host fornita al login corrisponda all'impronta del tuo server. Come promemoria, PuTTY memorizza l'impronta digitale nota nel registro in: HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\SshHostKeys e l'impronta digitale del server SSHd può essere verificata eseguendo: 

for file in /etc/ssh/*sa_key.pub                                                                                
do
    ssh-keygen -lf $file
done
    
risposta data 22.07.2015 - 18:01
fonte

Leggi altre domande sui tag

Applicazioni Java vulnerabili? [chiuso] Come determinare se i dati JPG EXIF sono stati modificati dal software "OEM" (senza strumenti di terze parti)?