Обход корпоративного прокси

    httpTunnelScheme
    В определенный момент развития любой компании она приходит к осознанию того, что необходимо контролировать рабочее время своих сотрудников. К сожалению, многие из них выбирают ошибочный метод — закрытие доступов к определенным ресурсам на корпоративном прокси. Это может быть как icq, так и многие другие ресурсы, содержащие «неправильные слова». Но очень часто icq, lj и прочие ресурсы с «неправильными словами» требуются по работе, однако работодатель этого не понимает. У вас осталось множество клиентов, которые связываются с вами только через icq? В поисках ответов на своих вопросы вы натыкаетесь на решение в lj и twitter которые закрыты? Что делать?


    Безусловно, существует множество webproxy, которые могут открыть вам закрытую страницу, но что делать с аськой? И можно ли как-нибудь автоматизировать этот процесс? Да, можно.

    Для решения проблемы нам понадобится внешний сервер. В его роли может выступить как домашний компьютер под *nix, так и простая vds. К нашему счастью, многие хостеры сейчас предоставляют vds небольших мощностей совсем за копейки. Тем более, для нашей задачи серьезные ресурсы и не потребуются.

    Как это будет работать?



    Как правило открытыми остаются 80(http) и 443(ssl) порты. Этим мы и воспользуемся. Мы прокинем http туннель до нашей vds(которая не попадает под блэк-лист) через 80 порт. Все наши запросы, маскируясь под видом обычных http запросов, беспрепятственно пройдут через прокси и попадут на нашу vds. На vds туннель будет смотреть в прокси. Таким образом, после всех настроек у нас на рабочем компьютере будет запускаться своего рода прокси, на котором нет ограничений.

    Настройка



    Все дальнейшие действия актуальны для freebsd. Для других unix-систем различия должны быть только в сборке и установке. Для настройки нам понадобится:

    1) VDS или домашний unix компьютер, постоянно подключенный к Интернету.

    2) httptunnel(взять тут: nocrew.org/software/httptunnel). Если у вас windows, скачайте версию и для нее. Если сервер на freebsd, то httptunnel есть в портах /usr/ports/www/httptunnel.
    3) какой-нибудь маленький proxy(3proxy, zipproxy(этот нам еще и трафик сэкономит), polipo, etc).

    Я решил взять себе polipo, в принципе только потому, что в портах он первый попался мне на глаза. Больше, чем за год использования на туннелировании и применении на работе в бизнесс процессах он меня не подводил. Тем, кто будет устанавливать это не под freebsd, взять polipo можно тут(http://www.pps.jussieu.fr/~jch/software/polipo/)

    Начем со сборки и установки:

    $cd /usr/ports/www/httptunnel && make install && make clean
    $cd /usr/ports/www/polipo && make install && make clean

    Добавляем в /etc/rc.conf:
    polipo_enable="YES"

    Если vds, которую мы купили(или взяли уже существующую), решаем использовать только для туннелирования, то просто отключаем apache(или любой другой веб-сервер), и тем самым освобождаем нужный нам 80 порт. Однако в жизни такое случается редко, на имеющейся vds уже есть сайты, а на новой мы бы не прочь разместить новые. Для этого случая есть второй вариант: нам потребуется купить дополнительный ip(пусть это будет: 2.2.2.2, а основной ip нашей vds: 1.1.1.1), на нем на 80 порту будет туннель, а на основном — веб-сервер. Подключаем дополнительный ip:

    ifconfig em0 inet 2.2.2.2 netmask 255.255.255.255 alias

    в rc.conf:

    ifconfig_em0_alias0="inet 2.2.2.2 netmask 255.255.255.255"

    подправляем конфиг apache, чтобы он слушал строго определенный ip:

    $vi /usr/local/etc/apache/httpd.conf
    Listen 1.1.1.1:80
    Listen 1.1.1.1:443

    настраиваем конфиг polipo:

    $cd /usr/local/etc/polipo && cp ./config.simple ./config && vi ./config

    proxyAddress = "2.2.2.2"
    allowedClients = "127.0.0.1"
    proxyPort = 3128

    chunkHighMark = 819200
    objectHighMark = 128

    — Конфиг настроен, теперь запускаем его:
    $/usr/local/etc/rc.d/polipo.sh start

    Поднимаем туннель:
    hts -F 2.2.2.2:3128 2.2.2.2:80

    Проверяем, все ли в порядке и правильно ли они слушают:

    $netstat -na||grep tcp
    tcp4 0 0 2.2.2.2.80 *.* LISTEN
    tcp4 0 0 2.2.2.2.3128 *.* LISTEN

    Теперь на локальном компьютере запускаем клиент:

    htc -P proxy.company.com:3128 -F 1020 2.2.2.2:80

    Осталось исправить параметры вашего браузера, icq или прочих клиентов.
    Прописываем использовать прокси у себя с параметрами: server: localhost, port: 1020

    Все готово, и если вы все правильно настроили, icq успешно подключится к серверу. В будущем советую закрыть прокси фаерволом. не смотря на то, что мы указали ему получать запросы только с локального ip, на него постоянно будут пытаться подключиться, что несет дополнительную нагрузку.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 65

      –2
      В качестве ремарки пару моментов озвучу.
      Есть такая замечательная вещь, как Tor.
      Но обычно СБ работает над проблемой в комплексе и перво-наперво обычные сотрудники сидят под очень ограниченными пользовательскими правами.
        +2
        Запалят в логах как самый часто используемый IP и забанят твой VDS. Ещё метод HTTP-CONNECT обычно отключен. Если прав администратора нет, то USB-модем не установишь.
        Приносить с собой ноут? :)
          0
          Даже в небольшой компании твой трафик растворится в логах и уж точно в топы не попадет. Просто не стоит с этим перебарщивать и раздавать свой туннель всем сотрудникам компании :]
            0
            даже в небольшой компании трафик считается для каждого сотрудника раздельно. И подозрительный IP будет висеть в топе, и его возьмут и закроют.
            0
            Метод CONNECT нельзя отключить для SSL-портов, таких как 443 (https), иначе пользователь не сможет воспользоваться ни одним защищенным сайтом.
            Насчет «Запалят» решается несложно: для FF есть замечательное расширение — FoxyProxy, в нем можно задать несколько прокси серверов, создавать шаблоны и регэкспы, на основании которых браузер будет ходить через тот или иной прокси. Например, по умолчанию ставите корпоративный проксик, если попадается закрытый ресурс — нажимаете alt+F2 и автоматом создается шаблон-исключение, и вы идете через свой прокси. Так в логах корпоративного прокси ваша активность не будет подозрительной.
              0
              Отключенный метод CONNECT — cуровая реальность сетей почти всех государственных учреждений.
            +3
            Кстати в большинстве случаев люди пользуются интернетом не в рабочих целях ;). Но почему-то твердо уверены, что блокировать их любимую ЖЖ-шечку это плохо и т.д.
            Я ни в коем случае никого не защищаю, а только призываю подумать — а оно вам действительно надо или можно так как в статье не извращаться? =)
              –1
              Знаете, бывают разные ситуации. Я в свое время работал в университете админом в новом здании. Так вот там у нас была приличных размеров серверная и сеть. А прокся была в другом корпусе и занимался ее настройкой хрен знает кто… Так вот — интернет у университета безлимитный, в массе компьютерных классов студенты почти поголовно сидят в одноклассничках, а ты (то есть я), если тебе нужно софт скачать и единственная ссылка, которую ты нашел ведет на «неправильный» файлообменник рвешь на себе волосы и материшься. А сделать ничего не можешь — таковы правила.
              Кстати фильмы, музыку и порнуху мы качали с «правильных» мест порой гигабайт на 50 в неделю. Зачем вообще что-то нам запрещали — не понятно. Только больше мозго**ства.
                +1
                Э… т.е. вы качали нелицензионные программы?

                Ни разу не видел, чтобы репозитрии линукса закрывали.
                  0
                  у нас например tar.gz закрыт. Всякое бывает.
                    0
                    Ну, нелицензионный софт я предпочитаю не трогать. Но иногда бывает необходимость: скачать, поставить, сделать дело и удалить. Особенно, когда молодой был и про опенсорс ничего не знал.)
                  0
                  Блин, я от сотни метров до гектара в неделю выкачиваю исключительно в рабочих целях. А вот сверх этого, я на работе иногда еще и ютуб смотрю…
                  А уж сколько трафика жрет у меня чистая установка очередного *buntu, но это все-таки редко бывает
                  +2
                  Обход прокси — это, конечно, хорошо, а работать кто будет?
                    –1
                    обходить прокси приходится часто именно потому, что необходимо работать и нет возможности открыть ресурсы с адресом в стиле supersexpansion.domain.com только потому, что там встретилось sex.
                      +2
                      Административные ограничения техническими средствами решать не стоит. Это лучше провернуть служебной запиской. Мол, для работы требуется интернет без ограничений. Если из-за этих ограничений стоит бизнес, то это не Ваша проблема.
                        –1
                        требования бывают разные, в некоторых компаниях придется писать служебку на каждый ресурс аргументируя. Я посчитал, что это лишняя потеря времени и автоматизировал процесс.
                          +2
                          Это сбербанк, что ли? Вроде там для удобного рассчера кредитной картой в интернете нужно приехать в офис и перечислить на бумаге всех своих корреспондентов.

                          Служебка прикроет азд в нужный момент. Обход административных ограничений может привести к административным же мерам, вроде лишения премии и т.п. Устанете доказывать, что во имя компании страдали, вкладываясь в свой VDS и настраивая проксирование.
                            0
                            да согласен. Но я предложил один из вариантов решения проблемы, использовать или нет каждый решает для себя.
                    +3
                    В небольших компаниях методы «социальной инженерии» (пива там админу купить ;) ), как правило, более эффективны
                      0
                      А в больших — пишется служебная записка по типу «В целях эффективного выполнения моих служебных обязанностей, а именно: ..., прошу предоставить мне доступ к следующим узлам сети Интернет:… „
                        –1
                        так и есть, просто в один момент это надоело и я автоматизировал процесс.
                      0
                      Вот это понравилось:
                      У вас осталось множество клиентов, которые связываются с вами только через icq?
                      и
                      К нашему счастью, многие хостеры сейчас предоставляют vds небольших мощностей совсем за копейки.
                      «Классная» работа, где «шеф дебил» (ну неужели он не может понять, что такие клиенты есть?) и где ещё и платить надо за возможность работы (даже копейки! — напоминает «работу в компании Oriflame» — знающие люди поймут)… Мне кажется, вы просто кривите душой и вам хочется просто побалоболить и вы не согласны с политикой компании или вам валить оттуда валить надо, раз там реально такие дела (без кавычек выше насчёт шефа) :)
                        0
                        в больших компаниях решение о вводе подобных запретов идет не от вашего прямого начальника, а от руководства компании и их подобные мелочи не волнуют. Лично я настраивал эту систему дабы обойти постоянные служебки на ресурс который мне нужен. vds у меня уже была и дополнительно покупать ничего не пришлось, а вот бюрократию из своей работы вытеснил.
                      • НЛО прилетело и опубликовало эту надпись здесь
                          0
                          иногда это все проще снять парой бутылок пива местным админам)
                          • НЛО прилетело и опубликовало эту надпись здесь
                            0
                            По рукам бы Вашему админу :)
                            • НЛО прилетело и опубликовало эту надпись здесь
                                0
                                А зачем? Если на работе нечем заняться, можно и дома ерундой страдать.

                                Хотя, если ваша работа — это поиск путей обхода технических ограничений, то вопросов нет :)
                                • НЛО прилетело и опубликовало эту надпись здесь
                              0
                              вам повезло, и ваш бездарный админ не запретил метод CONNECT на 80 порту. Обычно этот метод доступен только на порту 443.
                              • НЛО прилетело и опубликовало эту надпись здесь
                                  0
                                  Например система белых списков несокрушима техническими методами. Останется только искать альтернативный канал доступа (модем, телефон, etc). Или получать индульгенцию у руководства/админа. Ну или менять работу )
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                      0
                                      отнюдь, в небольших конторах замечательно работает. И в отдельно взятых подразделениях больших контор. В одной подшефной мне конторе (халтурка, 20 человек) я 5 лет назад внедрил такой принцип. Сейчас список разрешенных ресурсов состоит из более 300 сайтов. И ничего, никто не умер, даже никто не уволился, хочу я вам сказать. Внедрение белого списка так подняло эффективность работников, что они стали получать вдвое больше (работа «сдельная», менеджеры инет-магазина), так что сами остались довольны. Но это пример больше на исключение смахивает, согласен.
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                          0
                                          Ладно хоть не foxconn )) с 800 тысячами.
                                            +1
                                            запросто. В моей текущей конторе 15000+ человек. Из них примерно половина работает в интернете только по белому списку. Действует простой принцип минимальных привилегий.
                                +1
                                Я немного не понял цели поста.
                                Если человеку не сложно выкупить VDS, снатроить его да еще и взгромоздить на него фрю с проксей, да еще и на работе такой обход учудить (котя у меня в рабочей сети такое не провернешь), то он либо одмин, либо ИТ-гуру, и трудится на соответственном поприще. А таким обычно инет не режут, так как они маси и занимаютсмя резанием интернетов для остальных сотрудников.
                                Полезность статьи для целевой аудитории явно минимальна ИМХО.
                                  –1
                                  Вот она как раз именно для того, чтобы и с минимальными знаниями можно было настроить.
                                    +1
                                    Я уже сижу и представляю секретаршу пилящую фрю на VDS…
                                      –1
                                      это вы уже в крайности. Статья может пригодится и тем, кто только начинает разбираться с подобными системами, мне кажется они именно для этого и пишутся: быстрее разбираться.
                                        +3
                                        Вы на секунду представте уровень знаний секретарши, ну или менеджера по закупу резиновых изделий, которой лет эдак 40. Я думаю ваше представление ее минимальных знаний в области администрирования серверов никак не сопоставимо с ее представлением о компьютерах в принципе.
                                        Да и не надо ей оно… пойдет к ИТ да попросит чего надо за плюшку.

                                        Ну а в целом, если у меня хотя-бы один умник найдется, который попытается воспользоваться данным методом, получет по шее от руководства — раз, и может попасть под статью — два. Надо не забывать где ты работаешь. Зачастую, гораничения не просто так появляются. В некоторых бизнесах утечка информации административно и уголовно наказуема для участников бизнеса. А особенно после принятия законов о персоональных данных, так и вовсе весело. И такие утечки необходимо ликвидировать еще до прецидентов.

                                        Ну и на последок: сейчас уже мало кто режит интернет сотрудникам. Самое действенное ограничение — это ограничение рублем. Если человек не справляется с работой — он не пригоден, не выполняет план — не получает премию. А реальные причины пусть уже работник сам для себя выясняет — из за сидения в однокласниках/вконтактах или нет.
                                          –1
                                          под статью просто за открытие туннеля? как мнимум еще доказать надо, что он через него сливал информацию. А про ограничение рублем полностью с вами согласен, именно по этой причине и написал статью.
                                            +3
                                            не просто за открытие туннеля.
                                            Я работаю в банковском сервере. И существуют определенные стребования к ИТ-микроклимату и ответственность.
                                            Исходя из этого все подозрительные/нежелательные действия пользователя логируются. Внедрены соответсвующие системы защиты. И если случится прецидент — начнется внутреннее расследование. Если выяснится, что причиной утечки конфиденциальных данных были действия пользователя, который еще и пошел в разрез правил пользовния инфраструктурой предприятия, нарушив безовасность «периметра», то соответсвующий отчет должен быть отправлен в адрес ФСТЭК, а она уже возмется за стотрудника через МВД или ФСБ, в зависимости от того, какие данные утекут. А там могут и терроризм пришить.
                                            Так что публикуя подобные руководства, думайте и о том, что люди, не особо отличающиеся умом и сообразительностью, могут воспользоваться Вашими трудами, и по незнанию такого наворотить, что мало не покажется.

                                            Был у нас в Новосибирске случай, паренек начитался «умных» книжек, типа «Хакер» по вопросу, «как не платить за интернет» и принялся искать дыры на серверах и оборудовании прова.
                                            Ищущий да найдет: умудрился получить доступ к базе биллинга. Поправил себе счет, только вот в *SQL ни чернта не понимал. Кластер успешно почил.
                                            Админам по шапке надавали, кого-то даже уволили. Кластер восстановили, а вот паренек этот, будучи совершенолетним, получил себе в дело ст. 272 УК РФ и 2 года турьмы. Вот тебе и практика.
                                              +1
                                              >Так что публикуя подобные руководства, думайте и о том, что люди, не особо отличающиеся умом и сообразительностью, могут воспользоваться Вашими трудами, и по незнанию такого наворотить, что мало не покажется.
                                              Это уже проблемы того кто прочитал и думать о них автор не обязан.
                                                +1
                                                гсоласен. просто к слову о вопросе
                                                >под статью просто за открытие туннеля? как мнимум еще доказать надо, что он через него сливал информацию…
                                                0
                                                тут ключевое — это утечка данных. Если будет желание, он уж придумает как сделать. А про парня и хостера, ну так это наверное проблема парня, а не журнала Хакер? Под этим предлогом можно и машины запретить, меня вот не так давно сбил один, специально, не нравятся ему велосипедисты на дороге.
                                                  0
                                                  меня в прошлую субботу сбил один умник. Тоже на веле ехал. Но не нужно раздирать коммент на части.
                                                  я отвечал на вопрос автора

                                                  > под статью просто за открытие туннеля?

                                                  Я ответил как смог развернуто, с примером. просто подобного рода статьи, да еще и с такими названиями граничат с провокацией и это надо учитывать. Какова статья — таковы и комментарии. Было бы не про корпоративный фаер — не упоминал бы ни статью, ни провайдера, ни паренька с двухлетним сроком.

                                                  ЗЫ — Ну не могу я давать куцие ответы.
                                                    0
                                                    я понял, в любом случае спасибо, я учту в будущем эти факты.
                                                      0
                                                      всегда пжалуйста
                                            0
                                            не сочтите за грубость, но если бы я был начинающим подаваном в области сетевых технологий, то из того что Вы написали я бы не понял ничего кроме
                                            httptunnel(взять тут: nocrew.org/software/httptunnel/)

                                            Может имеет смысл тогда чуть более развернуто описать процесс и изменить название?
                                              0
                                              спасибо за аргументированную критику, в следующих постах постараюсь писать более развернуто.
                                      0
                                      столько мучений ради icq… вот замечательный ресурс..http://www.meebo.com/ пользуйтесь на здоровье и не нужно мучаться с VDS…
                                        0
                                        icq привел я в качестве примера, через этот метод можно пускать любой необходимый вам сервис.
                                          –1
                                          Статья классная, но мне всетки кажется что легче на работе пользоваться тем же tor… такими ресурсами как meebo… ведь в конце концов на работе работать нужно)
                                          +1
                                          icq еще легко цепляется к gmail/gtalk посредством xmpp-транспорта и становится доступна из вэб-интрефейса почты и на любом андроидофоне из родного gtalk клиента.
                                            –1
                                            А что делать, если www.meebo.com попало в «чёрный список»?
                                            –2
                                            покажу этот пост нашим сотрудникам, которым я урезал инет проксей… то что вы написали не каждый админ поймет.
                                              +2
                                              а вообще, автор перепостил собственную(?) статью двухгодичной давности
                                                0
                                                все это круто и работает на основании того, что админ — м*ак.
                                                Даже в небольшой компании твой трафик растворится в логах и уж точно в топы не попадет.
                                                Конечно же, админ смотрит логи командой cat и никогда в жизни не догадается поставить lightsquid, который покажет с удовольствием покажет статистику по пользователю

                                                И уж конечно, админа не заинтересует ресурс, который пользователь посещает регулярно, да еще в течении всего дня (в аське ж вы планируете постоянно сидеть?)

                                                p.s. Имхо, обход ограничений корпоративного прокси возможен только при ленивом админе или в случае если экспириенс обходящего >= экспириенса админа
                                                  0
                                                  чорт цитирование съелось
                                                  0
                                                  Видимо есть некоторый недостаток информации про современные контентные фильтры, которые смотрят не по какому порту работает протокол, а что именно за трафик бегает по открытым портам, по этому использование открытых портов для других протоколов закрывается одним-двумя кликами.

                                                  По поводу SSL соединений, которые в большей своей массе односторонние на сертификате сервера, так же просматриваются, просто в данном случае несколько сложнее получается решение.

                                                  Для примера посмотрите решения eSafe и Websense (с другими я не работал, по этому сказать ничего не могу).
                                                    0
                                                    Не подскажете, какие фильтры режут DNS и ICMP туннели, и режут ли вообще?
                                                    –1
                                                    В универе мы ставили прокси на комп члена дирекции ввиде сервиса винды,
                                                    так что никакой vds не нужен был.

                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                    Самое читаемое