Come offuscare il tunnel SSH Mac?

2

Sto cercando di testare un DPI (deep packet inspector). Al momento ho impostato per bloccare le connessioni SSH (che funziona correttamente).

Ho appreso che DPI può essere aggirato offuscando / crittografando l'handshake iniziale (penso, sentitevi liberi di correggere). In questo modo, il DPI non è in grado di dire che il traffico è SSH e non lo blocca. Come ottenere ciò con macOS?

Ho il controllo completo su server e client.

    
posta JBis 11.07.2018 - 15:52
fonte

1 risposta

1

La tua domanda sembra avere risposta su Stack Apple scambio . Notare che la patch menzionata sembra non essere più mantenuta, quindi potrebbe avere problemi di sicurezza se non si esegue il backport delle correzioni. Una patch più aggiornata (che supporta OpenSSH 7.6 a partire da questa risposta) è disponibile su GitHub . * Questo particolare protocollo offuscato è spiegato in maggior dettaglio sul suo sito . A giudicare da una rapida lettura della patch, questa particolare offuscazione sembra aggiungere una lunghezza casuale del padding ai pacchetti e crittografare l'handshake utilizzando una chiave già condivisa memorizzata nel file di configurazione sia del client che del server. Non è particolarmente avanzato, ma probabilmente ostacolerà il rilevamento automatico del protocollo.

Ci sono altri modi per offuscare il traffico SSH. È possibile creare un tunnel VPN offuscato tra il client e il server e connettersi con SSH attraverso questo. Ho spiegato in un'altra risposta su come impedire che il traffico OpenVPN venga rilevato come tale. Potresti utilizzare le tecniche delineate in esso ( chiavi statiche e obfsproxy ) per creare un tunnel attraverso il quale eseguire SSH. È necessaria solo una conoscenza di base della rete per creare un'interfaccia virtuale per i tunnel e assegnarvi un IP locale, in modo che sia possibile connettersi utilizzando l'utilità SSH. Puoi anche utilizzare obfsproxy direttamente su SSH.

È importante ricordare che, mentre l'offuscamento del protocollo può rendere più difficile il rilevamento automatico o la censura, è poco per impedire a un analista intelligente con accesso a discariche di traffico di rendersi conto che il traffico è traffico OpenSSH. Non c'è molto che puoi fare per proteggere da una tale minaccia mantenendo l'usabilità. Tutta l'offuscazione fa alzare la barra per il rilevamento.

* L'applicazione di una patch richiede la conoscenza di come compilare il software dal codice sorgente. Si scarica il codice sorgente per la versione esatta presa di mira dalla patch e si utilizza un comando per applicare la patch , ad esempio l'utilità patch .

    
risposta data 12.07.2018 - 05:35
fonte

Leggi altre domande sui tag