Am Mittwoch, den 05.11.2008, 20:09 +0100 schrieb Michael Renner: > On Wednesday 05 November 2008, Bernhard Vodicka wrote: > > Am Mittwoch, den 05.11.2008, 07:18 +0100 schrieb Michael Renner: > > > On Tuesday 04 November 2008, Thomas Halinka wrote: > > > > Hallo zusammen, > > > > > > Moin, > > > > > [...] > > > > > Diese 2 Optionen lassen den openvpn-Server auch http-Anfragen > > > > beantworten/umleiten, sodass man mit nem Browser http sprechen kann auf > > > > port 80 und ERST wenn opvn-Pakete ankommen... > > > > > > Aber was macht der Zensor, wenn er auf Port 80 verschlüsselte Pakete > > > sieht? Je nachdem wie viel in die ..... Reinheit des Internets investiert > > > wird geht das sehr flott automatisch! > > > > Dann statt Port 80 auf Port 443, unser "Reinwasch-Proxy" in der Schule > > lässt z.B. SSH-Verbindungen über Port 443 drüber (da ja SSL) und hiermit > > kann ich wunderschön auf tinyproxy tunneln! > > ich muss dir widersprechen. Wenn du ssh auf Port 443 machst ist das erste > Paket verräterisch (gut, die weiteren nicht mehr). Siehe diesen Screenshot: > http://www.vbox4php.org/unix/network-and-scripts/unix/network-and-scripts/ethereal > > Ein sshd lauscht auf Port 443 (192.168.5.98). Ein ssh baut von 192.168.5.14 > aus eine Verbidnung auf diesen Port auf. > > Wahrscheinlich könnte man den ssh neu compilieren nachdem der Sting > entsprechend angepasst wurde. Aber auch hier fällt mir als Zensor, Lehrer > oder jemand der in Staates Aufrag das Netz 'gesetzeskonform' filtern soll, > eine Methode ein das zu ermitteln. Automatisch, für jeden (!) https--Request. Ja, ist nachzuvollziehen, hatte bisher noch keinen Proxy, der da draufgekommen ist! > > Gleiches gilt wahrscheinlich für OpenVPN, das baue ich bei Gelegenheit mal > nach. > > Zu erkennen ist meine Methode auch, jedoch nicht vom reinen zuschauen. Wenn > ich nur wüsste wie ich stunnel dazu bringe fake-Seiten auszuliefern? Über ein > Filter auf iptable-Basis, aber das ist recht aufwändig .... Dann müssten wir ein Tunneling-Programm bauen, das alle Daten in "echten" https-Requests packt! ;-) Oder hat das schon jemand? > > > Zusammengefasst: Meine Lösungen: SSH auf Port 443 und SSH-Tunnel auf den > > tinyproxy-Port. > > CU > -- > |Michael Renner E-mail: michael.renner@gmx.de | > |D-81541 Munich Germany ICQ: #112280325 | > |Germany Don't drink as root! ESC:wq > > -- Bernhard Vodicka vodi69@gmail.com OpenPGP-Verschlüsselte e-Mails werden bevorzugt. Fingerprint: 4D7E BE70 8310 67B7 43EE A1FF 46C7 CF22 AEA1 4F44 Bitte senden Sie mir keine Word- oder PowerPoint-Anhänge. Siehe http://www.gnu.org/philosophy/no-word-attachments.de.html
Attachment:
signature.asc
Description: Dies ist ein digital signierter Nachrichtenteil