Quelles alternatives existe-t-il lorsque SSH est activement filtré?

Question

Malheureusement, notre gouvernement filtre le protocole SSH, nous ne pouvons donc plus nous connecter à notre serveur Linux.

Ils font le filtrage en vérifiant l'en-tête de chaque paquet dans la couche réseau (et non en fermant simplement le port). Ils suppriment également les protocoles VPN.

Existe-t-il un autre moyen de se connecter en toute sécurité à un serveur Linux?

petrus · Accepted Answer

De ce que j'ai entendu plus tôt aujourd'hui, https/ssl circule correctement à travers vos frontières.

Vous devriez donc vérifier Corkscrew .

De la même manière que netcat, il est utilisé pour encapsuler ssh dans https pour permettre l'utilisation de proxy https.

Une autre solution serait d'utiliser LSH qui, en ayant une signature différente de ssh, fonctionne depuis l'Iran comme Siavash l'a noté dans son message =.

nealmcb · Answer

Basé sur une conférence à la conférence CCC - 28C3: Comment les gouvernements ont essayé de bloquer Tor - le Projet Tor a le meilleur bilan dans ce domaine dynamique et stimulant, et il peut être utilisé pour SSH. L'utilisation innovante des ponts Tor est l'un des derniers développements. Le 28C3 Tor talk est également sur YouTube et les diapositives sont à https://svn.torproject.org/svn/projects/presentations/slides-28c3.pdf

Notez que l'utilisation de méthodes évasives qui peuvent être identifiées trop facilement peut exposer l'utilisateur à encore plus de violations de ses droits humains et de sa sécurité personnelle. Faites attention.

Mise à jour : L'article 19 de la La Déclaration universelle des droits de l'homme est pertinent ici:

Article 19: Chacun a droit à la liberté d'opinion et d'expression; ce droit comprend la liberté d'avoir des opinions sans ingérence et de rechercher, recevoir et communiquer des informations et des idées par le biais de tous les médias et indépendamment des frontières.

pfo · Answer

Si vous avez https non filtré, vous pouvez faire quelque chose comme AjaxTerm ou tout autre AJAX ou émulateur de terminal basé sur HTML5 s'exécutant sur un site protégé au sein d'un serveur Web qui peut se connecter à un ssh local démon ou dans certains cas à distance sur d'autres interfaces de votre machine.

Une autre option (difficile un peu obscure) si vous avez ICMP dans votre boîte serait d'exécuter TCP/IP sur ICMP si celui-ci est ouvert. Voir ici .

strtok · Answer

Essayez d'envoyer la négociation SSH sur plus d'un paquet. De nombreuses technologies de filtrage de paquets fonctionnent au niveau des paquets et ne tamponnent pas pour l'inspection.

Si cela ne fonctionne pas, essayez de le faire mais en envoyant les deux parties ou plus de la poignée de main hors service. Ce n'est que si la boîte DPI se rassemble qu'elle attrapera la poignée de main.

ashwoods · Answer

Vous avez plusieurs options pour tunneler IP sur d'autres protocoles. En plus d'utiliser quelque chose comme un tire-bouchon, vous pouvez essayer d'implémenter IP/DNS (c'est-à-dire avec iode ) ou IP/ICMP .

Dans d'autres cas, vous pouvez également utiliser quelque chose comme http://www.serfish.com/console/

Juicy Scripter · Answer

Vous pouvez également envisager de tunneliser le trafic SSH sur DNS en utilisant des outils tels que OzymanDNS ou iode

MDMarra · Answer

Vous pouvez utiliser quelque chose comme VNC, mais sans tunnel sécurisé comme un VPN ou SSH, ce n'est pas très sécurisé. S'ils filtrent cela aussi, vous allez avoir du mal.

TimB · Answer

Une autre option, mais qui nécessitera que vous ayez d'abord accès à votre serveur d'une autre manière pour pouvoir installer le démon, est telnet-ssl/telnetd-ssl.

Contrairement à certaines des autres options suggérées, cela ne nécessitera pas beaucoup de surcharge réseau et est très simple à utiliser (une fois le démon en cours d'exécution).

ttt · Answer

Si vous savez que votre connexion Internet actuelle est filtrée, utilisez une autre méthode de connexion Internet comme un fournisseur de services Internet par satellite. Il existe différents fournisseurs de services Internet par satellite: list1 , list2 .

(La question initiale de l'auteur ne faisait état d'aucune restriction quant à l'obtention d'une autre forme de connectivité.)

user606723 · Answer

Vous devriez pouvoir simplement changer le port ssh en 443, puis vous connecter via celui-ci. À moins qu'ils ne fassent une attaque d'homme au milieu, ils ne devraient pas être en mesure de faire la différence entre ssh et https.

Cela a fonctionné sur tous les pare-feu sur lesquels j'ai essayé. (certes pas beaucoup)

J'aimerais savoir si cela fonctionne. Merci.

Cela a fonctionné sur tous les pare-feu sur lesquels j'ai essayé. (certes pas beaucoup)

J'aimerais savoir si cela fonctionne. Merci.

Ali · Answer

J'ai le même problème. De nos jours, la connexion SSH initiale est établie, mais après une transmission de paquets, elle est abandonnée. Je crois qu'ils ont commencé à abandonner les paquets SSH après qu'une limite est atteinte. Je suis passé à MOSH https://mosh.mit.edu/ . Il s'authentifie à l'aide de SSH, puis passe à UDP. C'est plus rapide que SSH et facile à installer et à utiliser.

Pour l'utiliser, installez-le simplement sur votre serveur, ouvrez le port udp 60000: 61000 dans le pare-feu et connectez-vous au serveur avec un client mosh comme vous le faites avec un client ssh (il n'est pas nécessaire de démarrer quoi que ce soit).

Sudo yum install mosh Sudo iptables -I INPUT 1 -p udp --dport 60000:61000 -j ACCEPT

Un bon client Windows est MobaXTerm http://mobaxterm.mobatek.net/download-home-edition.html