Hlavní navigace

Názor ke článku Jak se bránit šmírování poskytovatelem ... od Jiří J. - SSH tunnel a squid v tomhle případě jsou...

  • 19. 8. 2010 4:54

    Jiří J. (neregistrovaný) 188.175.39.---

    SSH tunnel a squid v tomhle případě jsou jen takové odlehčené beztučné zmrzliny, daleko, ale daleko lepší je něco jako OpenVPN - osobně nechávám server naslouchat na 443 TCP, taková komunikace je často nejen povolená, ale i méně podezřelá.
    Pokud je zaměstnavatel moc paranoidní (ale stále ziskuchtivý), můžete to odůvodnit pracováním přesčas doma a kombinováním / zpracováváním práce z domu. Například.

    Celkem pěkný decoy se dá udělat i s vlastním (match) modulem pro iptables, který naslouchá speciální sekvenci dat a který matchne (a REDIRECT přesměruje na jiný port) connection s tímto příznakem na OpenVPN. Když pak systémový admin prohledá logy a řekne si, že se na ten web server podívá, iptables pravidlo nematchne (protože neměl třeba nastavený URG flag, správně bitshiftnutou jinou hodnotu, ...) a syadmin dostane krásnou page na lighttpd nebo cokoli jiného, co mu připravíte. Málokdo bude hledat, jak bylo spojení navázáno.

    Pochopitelně něco takováho lze implementovat v OpenVPN přímo, navázání šifrovaného spojení by se tedy nelišilo od navázání, použitého pro https, a hned poté by mohl openvpn server očekávat v prvním šifrovaném packetu nějaký specifický znak, pokud nebude přítomen, tak zavolat funkce http serveru a imitovat v HTTP headeru třeba apache. To by eliminovalo možnost detekovat nestandardní navazování šifrované komunikace.