V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
geeti
V2EX  ›  Linux

啥都不懂,求教:麻烦看一下我这样做会不会有安全隐患(或者被发现)

  •  1
     
  •   geeti · 2014-06-28 08:44:53 +08:00 · 4529 次点击
    这是一个创建于 3808 天前的主题,其中的信息可能已经有所发展或是发生改变。
    背景是这样的:公司的网络是对外完全隔离,在公司里上网必须只能通过HTTPS代理。而这个代理屏蔽了非常多的网站。包括个人存储网站(icloud,dropbox,百度网盘等)以及其他不适合在公司浏览的网站。如果要在家办公的话,必须要连接IPSec的vpn,才能ssh到自己的工作站。

    我自己有一个VPS,域名假设是geeti.com

    做了两件事:
    1. 在公司里用SSH-over-HTTP通过公司的HTTPS代理,SSH连接到geeti.com,同时做了动态端口转发. (也就是 ssh -D 10002 geeti.com),这样在公司里可以通过socks5代理上一些屏蔽的网站以及一些不想被监视的网站,比如股票啥的。

    2. 同样的ssh-over-http方法,连接到geeti.com,但这次做了远程端口转发。(ssh -R 19999:localhost:22 geeti.com),这样的目的是为了做防火墙穿透。geeti.com上得sshd并没有开启gatewayport. 这样在家里时,ssh到geeti.com之后,再'ssh -p 19999 localhost'就可以登录到工作站,而不需要先登录VPN.(公司的vpn登录实在太繁琐,需要先通过app生成密码,然后登录再通过手机短信二次验证。)

    问题来了,我这样做会不会有什么安全隐患?另外公司的IT部门会不会发现有员工这样做?

    多谢各位。
    第 1 条附言  ·  2014-06-29 02:52:35 +08:00
    思考了一晚上,做了如下改动:做了一个tls wrapper,将SSH数据用TLS加密,并且通过openssl只做了一个伪装Google的证书。
    公司监控用的是DPI,对TLS的DPI只能通过SNI或者certificate-common-name来识别。自己试了一下并抓包,再DPI simulator上跑了一下,果不其然,这个隧道数据全部探测为Google。搞定。
    19 条回复    2014-06-30 00:44:59 +08:00
    ddter
        1
    ddter  
       2014-06-28 08:59:27 +08:00
    你好,我是it部,请于三个工作日来办公室接受处罚。
    henryzhou
        2
    henryzhou  
       2014-06-28 09:00:45 +08:00
    #2 绝对是主动求被炒鱿鱼的行为,严重的安全漏洞。

    流量统计上发现大量数据走geeti.com就可以找你谈话了,你准备如何解释?
    jsonline
        3
    jsonline  
       2014-06-28 09:01:50 +08:00 via Android
    你不发这个帖子的话,安全隐患会小很多。
    大部分系统的安全隐患都在于——人。
    imlonghao
        4
    imlonghao  
       2014-06-28 09:05:57 +08:00 via iPad
    it部,你是其他公司派来捣乱我们内网的么
    geeti
        5
    geeti  
    OP
       2014-06-28 09:11:09 +08:00
    @henryzhou 其实并没有多大数据量,也就偶尔从qq音乐下个无损。从理论来说,是不是只能在数据流量上看上去很奇怪?
    akfish
        6
    akfish  
       2014-06-28 09:12:02 +08:00
    po主快求删帖吧,然后给删帖前回复的人封口费,不然向你公司举报,233
    dongbeta
        7
    dongbeta  
       2014-06-28 09:13:21 +08:00
    不建议这么做,你关心的是自己的安全,不是公司制度所要保证的安全。

    虽然我觉得你们公司的制度我不喜欢。
    qian19876025
        8
    qian19876025  
       2014-06-28 09:30:21 +08:00
    这种公司多了去了 至少我呆过了好几个都是
    额 露自己水平很差了 都外包公司
    21grams
        9
    21grams  
       2014-06-28 11:10:49 +08:00
    第一条是无所谓的,我一直都是这么干的
    lm902
        10
    lm902  
       2014-06-28 11:38:54 +08:00
    SSH over HTTP也行么,我表示这种情况用SSTP VPN会方便的多吧
    ChangeTheWorld
        11
    ChangeTheWorld  
       2014-06-28 12:08:28 +08:00
    SOFTETHER SSL VPN
    jianghu52
        12
    jianghu52  
       2014-06-28 12:12:47 +08:00
    up 21grams。第一条问题还不大,毕竟公司允许你访问网站,所以他对数据流有一定的防护。
    但是第二条比较的危险,你公司一查vpn会发现一个未知的源访问工作站,这是大事。比你用https访问一个未知网站大的多。
    min
        13
    min  
       2014-06-28 12:35:14 +08:00
    2不要乱搞
    1看起来还好

    建议自己弄个7-8寸的小平板通过3g 4g上网吧
    lu18887
        14
    lu18887  
       2014-06-28 20:18:47 +08:00 via iPhone
    不要挑战网管的权威…
    geeti
        15
    geeti  
    OP
       2014-06-29 02:54:49 +08:00
    @lm902
    @min
    @jianghu52
    @ChangeTheWorld
    @21grams
    @qian19876025
    @dongbeta
    @henryzhou

    思考了一晚上,做了如下改动:做了一个tls wrapper,将SSH数据用TLS加密,并且通过openssl只做了一个伪装Google的证书。
    公司监控用的是DPI,对TLS的DPI只能通过SNI或者certificate-common-name来识别。自己试了一下并抓包,再DPI simulator上跑了一下,果不其然,这个隧道数据全部探测为Google。搞定。
    lm902
        16
    lm902  
       2014-06-29 07:38:18 +08:00 via Android
    @geeti 证书颁发者貌似有点问题
    geeti
        17
    geeti  
    OP
       2014-06-29 08:58:40 +08:00
    @lm902 就是openssl生成pem,客户端不验证就行
    xylophone21
        18
    xylophone21  
       2014-06-29 22:34:02 +08:00 via Android
    2的原理是什么?为什么你的VPS可以在不登录vpn的情况下登录工作站?
    geeti
        19
    geeti  
    OP
       2014-06-30 00:44:59 +08:00 via iPad
    @xylophone21 远程转发, 通过从内网到vps的隧道
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1948 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 00:31 · PVG 08:31 · LAX 16:31 · JFK 19:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.