¿Qué tan seguro es socks5 proxy sobre ssh?

4

En el trabajo, todos estamos usando Windows 7+, con privilegios administrativos completos. Cada PC tiene una IP dedicada y se utiliza un proxy. Está configurado como un proxy HTTP y la opción para usar esto para todos los tipos de conexiones está marcada.

Tengo en casa un enrutador "ddwrt" con un servidor SSH. Utilizo PuTTY para establecer una conexión SSH a mi enrutador doméstico utilizando el puerto 443. PuTTY está configurado para el túnel proxy socks5, y Firefox está habilitado para enviar solicitudes de DNS a través de SSH, y Chrome también (verifiqué dnsleaktest y mi hogar configuró el DNS público de Google Se usa, no la empresa, no hay fugas de DNS aquí). Tuve que configurar el proxy de la empresa en Putty para tener acceso a Internet.

Todo funciona bien, y creo que estoy seguro de esto, pero el proxy que tuve que configurar en Putty me molesta un poco, ya que no estoy seguro de si ese proxy puede ver el tráfico que proviene de Putty. O la conexión aún está encriptada, sin importar si eso pasa por el proxy de la compañía, el túnel socks5 se establece a través del proxy de la compañía.

Supongo que ven que la masilla de la dirección IP se conecta (a través del puerto 443, no 22), pero eso es todo, no ven nada más, solo la secuencia cifrada entre mi enrutador y la PC en el trabajo.

Dudo que utilicen algún proxy especial para incorporar el ataque Man in the Middle, sería imposible saberlo, y supongo que el software sería demasiado caro para ellos.

¿Qué piensas?

Por favor, evíteme las respuestas que no debería usar el trabajo para cosas personales, etc. Hago esto con el conocimiento de mi jefe, quien está harto de las cosas de TI y ella básicamente me dio instrucciones para que acceda a los sitios sociales. .

    
pregunta kukori 22.07.2015 - 17:51
fuente

3 respuestas

3

Una investigación debería concluir fácilmente que una computadora en su red, asignada a usted, se está conectando a un host ISP de nivel de consumidor en el puerto 443 usando SSH y no HTTPS (la inspección de contenido puede determinar fácilmente qué protocolo está usando, incluyendo la capacidad de detectar tráfico SSH ).

El contenido exacto de este tráfico debe ser opaco (pero incluso esto no está garantizado) sin algo malicioso o un análisis muy avanzado.

Hay algunas formas en que se puede obtener más información:

  • Fuga accidental de datos (las otras respuestas aquí abordan eso)
  • Un ataque Man-in-the-Middle : asegúrate de que tienes el Derecho de huella dactilar SSH
  • Software / hardware en su computadora o área de trabajo para interceptar sus datos locales sin cifrar
  • Solicitar (o interceptar) el lado no cifrado de su ISP de su túnel
  • Un ataque de canal lateral o análisis de frecuencia avanzado.

Un ejemplo de análisis de frecuencia: hay ciertos patrones para video y audio; Incluso he escuchado sobre informes que sugieren que el audio en vivo encriptado se puede descifrar según el volumen de datos (las pausas se comprimen bien, las palabras no también, y todo es en tiempo real).

Teniendo en cuenta las ráfagas de datos, debería ser obvio que no solo estás usando un shell. Supongo que no sería difícil determinar que estás navegando en la web, aunque no sé si esto se descubre fácilmente con las herramientas existentes.

Teniendo en cuenta ciertos atributos de ciertos sitios web (por ejemplo, la forma en que los sitios cargan dinámicamente el contenido nuevo requiere una cierta frecuencia de sondeo y puede atraer un cierto rango de datos), incluso es posible observar los sitios que está visitando, aunque Dudo que el análisis de frecuencia pueda determinar el contenido exacto (un ataque de canal lateral tiene una buena oportunidad).

Si le preocupa un ataque de canal lateral o un malware o hardware sofisticado (por ejemplo, una cámara detrás de su silla), es probable que su despido sea la menor de sus preocupaciones :-) Tenemos al menos unos años antes ese tipo de tecnología se vuelve lo suficientemente ubicuo como para ser implementado para mantener a los empleados en la mira. Los empleadores que buscan ser draconianos optarán por la opción barata y simplemente bloquearán el tráfico SSH a los hosts no aprobados (independientemente del puerto).

    
respondido por el Adam Katz 22.07.2015 - 20:51
fuente
4

En cuanto al DNS: normalmente , el principio del protocolo SOCKS es que cuando un cliente desea conectarse al servidor example.com en el puerto 80, envía a través del túnel el mensaje "por favor abra una conexión al puerto 80 de example.com y reenviará los bytes ", por lo que el nombre example.com se resolverá en el otro extremo del túnel (aquí, el enrutador de su casa). Como @M'vy indica, Firefox puede hacer lo contrario, en cuyo caso, uno tiene que asumir que el mensaje SOCKS hablará sobre la dirección IP resuelta.

En cuanto al proxy corporativo, funciona como lo haría con SSL: el navegador envía una orden "CONECTAR" al proxy, con un nombre y puerto de destino, y le pide al proxy que propague bytes en ambas direcciones. En su caso, el proxy corporativo cree que está reenviando alguna conexión SSL, pero en realidad esto es algo de SSH. El proxy todavía está "en el exterior" criptográficamente hablando; no verá los datos y, en particular, ni siquiera sabrá qué sitios está navegando. El proxy corporativo ve una conexión bastante ocupada, entre su sistema de escritorio y el enrutador de su casa.

Tenga en cuenta, sin embargo, que los protocolos SSH y SSL no usan el mismo tipo de encabezados, por lo que el proxy corporativo puede notar que lo que pasa no es SSL (a pesar de que utiliza el puerto tradicional HTTPS 443) pero en realidad es SSH. Dependiendo de las herramientas de vigilancia y los esfuerzos del administrador del sistema, el proxy puede decidir que las cosas son sospechosas y alertar.

    
respondido por el Tom Leek 22.07.2015 - 19:17
fuente
3

La conexión entre usted y su proxy está encriptada. Atraviesa el proxy corporativo, que solo puede ver el tráfico cifrado.

Como usted dijo, el proxy registrará una conexión a su dirección IP del proxy y eventualmente podrá monitorear la cantidad de datos que pasan por esa conexión (es una forma común de detectar el proxy).

Es posible que las solicitudes de DNS no vayan a su proxy, parece que el navegador Chrome lo hace de manera predeterminada, pero no Firefox para el cual tiene que cambiar el valor de network.proxy.socks_remote_dns a True en el about:config .

En relación con un ataque Man in the Middle, debe asegurarse de que la clave de host proporcionada en el inicio de sesión coincida con la huella digital de su propio servidor. Como recordatorio, PuTTY almacena la huella dactilar conocida en el registro en: HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\SshHostKeys y la huella dactilar SSHd del servidor se puede verificar ejecutando:

for file in /etc/ssh/*sa_key.pub                                                                                
do
    ssh-keygen -lf $file
done
    
respondido por el M'vy 22.07.2015 - 18:01
fuente

Lea otras preguntas en las etiquetas