Re: proxy über ssh-tunnel klappt nur bei http nicht https

To: debian-user-german@lists.debian.org
Subject: Re: proxy über ssh-tunnel klappt nur bei http nicht https
From: klaus zerwes <kzerwes@web.de>
Date: Mon, 10 May 2010 13:16:19 +0200
Message-id: <[🔎] hs8pu4$s4e$00$1@news.t-online.com>
In-reply-to: <eIyfE-3gv-31@gated-at.bofh.it>
References: <[🔎] 4BE4320D.5080303@cubewerk.de> <[🔎] hs8jv4$4q0$03$1@news.t-online.com> <[🔎] 4BE7DB73.6040503@cubewerk.de>

On 05/10/2010 12:20 PM, Stefan Bauer wrote:

Am 10.05.2010 11:34, klaus zerwes schrieb:

SSH Tunnel ist Proxy-Technisch in etwa so wie ein "transparent Proxy".
Und das funktioniert nicht für SSL, da das in etwa auch die Technik
eines "man in the middle" Angriffes wäre.


Hier musst du mir genauer erklären, was du mir eigentlich sagen
willst. Bitte auch nochmal meine erste Mail lesen, damit wir nicht
aneinander vorbei reden.

Du baust einen SSH-Tunnel auf, der localhost:8080 an kunde.ath.cx:8080weiterleitet.Sehr ähnlich geht man bei dem Einsatz eines "transparent / interceptionProxy" vor, indem man z.B. am Router Port 80 abgreift und an den Proxyweiterleitet. Dadurch kann man einen Proxy einsetzen, ohne die Clientskonfigurieren zu müssen bzw. hat die Möglichkeit Software die keineProxy-Konfiguration unterstützt über einen Proxy arbeiten zu lassen.

Bei HTTPS/TLS/SSL wird das so nicht funktionieren (OK, es gibt wohlMöglichkeiten, wenn MITM und Der Server-Endpunkt zusammenarbeiten, aberdas lasssen wir mal hier sein).HTTPS setzt eine End-Zu-End Verschlüsselung ein. Somit kann der Proxynicht transparent arbeiten weil die Authentifizierung der Endpunkte (SSLHandshake) fehlschlägt und der Proxy mit dem verschlüsselten Headernicht umgehen kann.Wenn man im Browser einen HTTPS Proxy Konfiguriert, sieht das einbisschen anders aus. Dann setzt der Browser einen speziellen Header undder Proxy öffnet eine eigenen Kanal für den Datentransfer (ohne ihn zuentschlüsseln) (CONNECT - Method). Diese HTTPS-Seiten werden in derRegel vom Proxy auch nie zwischengespeicher. (Auch hier gibt es diebekannten Ausnahmen die die Regel bestätigen. Man kann, wenn man demClient ein entsprechendes Zertifikat unterjubelt, dann sogarContent-Filtering betreiben.)

Die einzige Lösung die mir auf die Schnelle einfällt wäre ein VPN
aufzubauen und dann den Proxy im Browser eintragen - dann sollte es
problemlos gehen.


Wo ist in deinen Augen der Unterschied, ob ich mit SSH oder VPN
einen Tunnel zum Proxyserver grabe?


Portforwarding vs. Routing

Stefan


Klaus

--
Klaus Zerwes
http://www.zero-sys.net

Reply to:

Follow-Ups:
- Re: proxy über ssh-tunnel klappt nur bei http nicht https
  - From: Stefan Bauer <stefan.bauer@cubewerk.de>

References:
- proxy über ssh-tunnel klappt nur bei http nicht https
  - From: Stefan Bauer <stefan.bauer@cubewerk.de>
- Re: proxy über ssh-tunnel klappt nur bei http nicht https
  - From: klaus zerwes <kzerwes@web.de>
- Re: proxy über ssh-tunnel klappt nur bei http nicht https
  - From: Stefan Bauer <stefan.bauer@cubewerk.de>

Prev by Date: Re: proxy über ssh-tunnel klappt nur bei http nicht https
Next by Date: Re: proxy über ssh-tunnel klappt nur bei http nicht https
Previous by thread: Re: proxy über ssh-tunnel klappt nur bei http nicht https
Next by thread: Re: proxy über ssh-tunnel klappt nur bei http nicht https
Index(es):
- Date
- Thread