Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 25 von 32

Thema: Firmenproxy umgehen

  1. #1

    Firmenproxy umgehen

    Hallo,

    ich habe schon alles versucht, habe es leider nicht geschafft.
    Komme nicht ins Internetoptionen, da es gesperrt ist. Habe diverse Google Chrome Addons installiert, die schlicht nichts gebracht haben.
    Viele VPN Seiten sind auch gesperrt. Man ist echt machtlos. Habt ihr eine Idee?
    01001000 01100101 01101100 01101100 01101111 00100000 01101110 01100110 01110011 00100001

  2. #2

    Re: Firmenproxy umgehen

    Könntest mal den "Ice Dragon" Browser von Comodo probieren. Der verwendet die DNS-Server von Comodo anstelle der von deiner Firma. Ist im Grunde ein modifizierter Firefox, mit dem "HTTPS Everywhere" AddOn könnte das zuverlässig klappen.

  3. #3
    Mitglied
    Registriert seit
    Jul 2013
    Ort
    Weinberge :)
    Beiträge
    1.027

    Re: Firmenproxy umgehen

    Je nachdem was du vor hast könnte ein webproxy schon reichen: webproxy.at

  4. #4
    ★★★★☆ (Kasparski) Avatar von Jester
    Registriert seit
    Dec 2014
    Ort
    Code Azure
    Beiträge
    788
    ngb:news Artikel
    2

    Re: Firmenproxy umgehen

    Vielleicht noch ein kleiner Hinweis: beide hier geposteten Lösungen können im schlimmsten Fall zu einer Kündigung führen, wenn es rauskommt und abhängig von Arbeitsvertrag etc. Ist es so wichtig?
    Die Welt ist grau. Und bunt!

  5. #5
    Mitglied
    Registriert seit
    Aug 2014
    Beiträge
    478

    Re: Firmenproxy umgehen

    Wie wäre es wen du einfach mal nett den Admin fragst ? Oder es einfach sein lässt ... Wird schon seinen Grund haben das Kinder nicht im Netzwerk dort rumpfuschen dürfen

    Nutze nen Stick oder dein Handy ... Dan ist es wenigstens auch dein Leitung ..

  6. #6
    White and Nerdy Avatar von DerLadendieb
    Registriert seit
    Jul 2013
    Ort
    Yellow Submarine
    Beiträge
    253

    Re: Firmenproxy umgehen

    Viele VPN Seiten sind auch gesperrt. Man ist echt machtlos. Habt ihr eine Idee?
    Werden die Seiten, oder auch VPN-Protokolle geblockt?
    Wenn Protokolle erlaubt sind, kannst du dir zuhause einen VPN-Server installieren und dann von der Firma dort hin verbinden.
    „Wo viel Licht ist, ist starker Schatten."

    ~Johann Wolfgang von Goethe~

  7. #7

    Re: Firmenproxy umgehen

    VPN ist eine gute Lösung. Solange keine DPI fähige Firewall oder ähnliches zum Einsatz kommt ist eine SSL basierte VPN Verbindung nicht erkenn- oder blockierbar.

  8. #8
    THIS CANNOT CONTINUE Avatar von KePa
    Registriert seit
    Aug 2013
    Beiträge
    519

    Re: Firmenproxy umgehen

    Ein vernünftiger Proxy macht allerdings eine SSL Terminierung, um in die Pakete reinzuschauen. Spätestens hier sollte Schluss sein.

    Wie Jester würde ich aber von solchen Versuchen abraten. Wenn die IT Abteilung ihre Infrastruktur halbwegs im Griff hat, sind deine Chancen ohnehin denkbar gering. Je nachdem könnten deine Versuche sogar auffallen (Monitoring) und für unangenehme Fragen oder gar andere Konsequenzen führen.
    Hinzu kommt, dass, sofern du mit einem VPN Erfolg haben solltest, du dein Firmennetzwerk, wenn auch nur dein PC, direkt mit unautorisierter Infrastruktur verbindest und einem erhöhten Risiko aussetzt. Das ist Grund genug, um dich achtkant rauszuwerfen. Überlege es dir ob dir das wert ist.

  9. #9
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.604
    ngb:news Artikel
    16

    Re: Firmenproxy umgehen

    @The_Emperor: wenn man ssl nicht auf macht, was ich gut und schlecht zugleich finde, dann vielleicht nur schwer übers Netzwerk (man könnte ja noch immer großzügig whitelisten bzw Verbindungen zu privaten Adressen schon mal blocken).

    Aber man kann sehr leichte die Benutzung *unerlaubter* Software auf der Client erkennen...
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  10. #10

    Re: Firmenproxy umgehen

    Zitat Zitat von KePa Beitrag anzeigen
    Ein vernünftiger Proxy macht allerdings eine SSL Terminierung, um in die Pakete reinzuschauen.
    Was wiederum unweigerlich zu einer Zertifikatswarnung führt.

  11. #11
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.604
    ngb:news Artikel
    16

    Re: Firmenproxy umgehen

    Nein warum?
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  12. #12

    Re: Firmenproxy umgehen

    Weil ein Zertifikat für den Netzwerkdienst "A" erwartet aber ein Zertifikat für "B" geliefert wird.

  13. #13
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.604
    ngb:news Artikel
    16

    Re: Firmenproxy umgehen

    Das fällt aber nur bei gepinten auf, die interne ca kann ohne Probleme für alle Domains ein gültiges Zertifikat aufstellen.... Und der vertraut der Computer in der Firma natürlich
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  14. #14
    THIS CANNOT CONTINUE Avatar von KePa
    Registriert seit
    Aug 2013
    Beiträge
    519

    Re: Firmenproxy umgehen

    @The_Emperor: Der Proxy verschlüsselt entgegen dem Client den Verkehr erneut mit einem aus der internen CA stammenden Zertifikat. Dieses Zertifikat ist dem Client als Intermediate sichtbar. Die Kette sieht dann also wie folgt aus:

    Intermediate des Proxys
    |_ Server Zertifikat des entfernten Webservers (umgeschrieben, sodass es aussieht als wäre es durch das Intermediate des Proxys ausgestellt worden)

    Dies führt bei korrekter Implementierung zu keinerlei Zertifikatswarnungen im Browser. Es kann lediglich Applikationen geben, die das nicht vertragen. Dann hilft ein SSL Inspection Whitelisting.

  15. #15
    Mitglied
    Registriert seit
    Jul 2013
    Ort
    /dev/null
    Beiträge
    2.267

    Re: Firmenproxy umgehen

    Zitat Zitat von The_Emperor Beitrag anzeigen
    Weil ein Zertifikat für den Netzwerkdienst "A" erwartet aber ein Zertifikat für "B" geliefert wird.
    Das stimmt nur bedingt. Bei den meisten Seiten ist eine SSL-inspection möglich. Da wird das originale Zertifikat dann durch das firmeneigene ausgetauscht.

    Allerdings gibt es auch bestimmte Seiten, bei denen geprüft wird, ob das Zertifikat am Client noch dasselbe ist, was der Server losgeschickt hat. Das trifft besonders auf die Internetportale der Bankenseiten zu, z.B. die DKB-Seite. Dafür müssen dann in der Firewall Ausnahmen konfiguriert werden. (s. Breitrag vom drfuture).

    Normales VPN wird in den meisten Fällen wohl auch nicht gehen, da eine Firmenfirewall sämtliche Ports sperrt bis auf 80 und 443, über die man den Proxy erreicht. Bei uns auf Arbeit kann man noch nicht mal seine privaten E-Mails per Programm abrufen, da die gängigen E-Mail-Ports (995, 993, 587, 465, 110, 143) auch mit unter die Sperre fallen.

    Dazu kommt noch, dass der Proxy meist eine Authentifizierung erfordert, was im Normalfall über die Active Directory abgehandelt wird. Entsprechend stehen im Squid-Log dann auch die Nutzerkürzel vor jedem Request. Für das Blacklisting verwenden wir UfdbGuard. Da gibt es diverse Kategorien (Spiele, XXX, Warez), die gleich haufweise Seiten sperren.

    Für die erlaubten Browser gibt's eine Whitelist. Wenn die Firma äußerst böse ist, erlaubt sie nur den Internet Explorer, da sich der ja über die Windows-Gruppenrichtlinien beschränken lässt. Für alternative Browser musst du dann einen Useragent-Faker verwenden.

    Zitat Zitat von The_Emperor Beitrag anzeigen
    Könntest mal den "Ice Dragon" Browser von Comodo probieren. Der verwendet die DNS-Server von Comodo anstelle der von deiner Firma. Ist im Grunde ein modifizierter Firefox, mit dem "HTTPS Everywhere" AddOn könnte das zuverlässig klappen.
    Siehe oben. Im Normalfall nützt Dir das wenig, da eine restriktiv konfigurierte Firmenfirewall auch Port 53 nach außen sperrt. Deine DNS-Abfragen werden entsprechend von einem internen DNS-Server beantwortet. Dazu kann noch die Browser-Whitelist kommen (siehe 2 Zeilen darüber).

    Welche Möglichkeiten gibt's dann?
    Sofern du Linux nutzen kannst: https://github.com/jpillora/chisel (nicht getestet).

    Im Normalfall wirst du aber einen Windowsrechner ohne Adminrechte haben. Und das Subsystem für Linux wird da wohl auch nicht freigeschaltet sein. Alternativ könntest du Cygwin probieren.

    Alternativ OpenVPN over HTTP:
    https://serverfault.com/questions/16...ough-only-http
    Dazu steht aber ganz unten:
    OpenVPN over HTTP requires CONNECT support which is often not implemented or simply blocked.
    Aber wie meine Vorredner ebenfalls schon richtig bemerkten, solltest du Dir des Risikos bewusst sein. Das Durchbohren der Firewall ist mit Sicherheit ein Grund für eine Abmahnung. Überleg Dir, ob es Dir das wert ist.

    Was hindert Dich daran, Dein privates Handy zum Surfen zu nutzen?

  16. #16
    Mitglied

    (Threadstarter)

    Avatar von mrnk
    Registriert seit
    May 2014
    Beiträge
    69

    Re: Firmenproxy umgehen

    ich werds nicht machen.
    01001000 01100101 01101100 01101100 01101111 00100000 01101110 01100110 01110011 00100001

  17. #17
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.604
    ngb:news Artikel
    16

    Re: Firmenproxy umgehen

    Das soll im übrigen kein "nicht helfen wollen sein" - es gibt durchaus, zum Teil aufwendige - Methoden das man auch über restriktive Proxys raus kommt.
    Nur sitzen die Leute zum Teil hier auf der anderen Seite und wir wollen dann natürlich auch dich / die anderen hier schützen da so manche Firma da keinen Spaß versteht und so etwas durchaus mal schneller und leichter auffällt als das den meisten Mitarbeitern klar ist.
    Für diesen Beitrag bedanken sich Localhorst, BurnerR
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  18. #18
    Bot #0384479 Avatar von BurnerR
    Registriert seit
    Jul 2013
    Beiträge
    3.706
    ngb:news Artikel
    1

    Re: Firmenproxy umgehen

    Zitat Zitat von KePa Beitrag anzeigen
    @The_Emperor: Der Proxy verschlüsselt entgegen dem Client den Verkehr erneut mit einem aus der internen CA stammenden Zertifikat. Dieses Zertifikat ist dem Client als Intermediate sichtbar. Die Kette sieht dann also wie folgt aus:

    Intermediate des Proxys
    |_ Server Zertifikat des entfernten Webservers (umgeschrieben, sodass es aussieht als wäre es durch das Intermediate des Proxys ausgestellt worden)

    Dies führt bei korrekter Implementierung zu keinerlei Zertifikatswarnungen im Browser. Es kann lediglich Applikationen geben, die das nicht vertragen. Dann hilft ein SSL Inspection Whitelisting.
    Das heißt zumindest kann ich sehen, dass das passiert, right? Jedenfalls wenn ich aktiv drauf schaue im Browser.
    Weil der Firmen-CA in der Cert Hierarchy auftaucht.
    Und das muss im Browser (aber geht anscheinend auch im OS?) vorkonfiguriert werden, right?

  19. #19
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.604
    ngb:news Artikel
    16

    Re: Firmenproxy umgehen

    Ja richtig.
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  20. #20
    THIS CANNOT CONTINUE Avatar von KePa
    Registriert seit
    Aug 2013
    Beiträge
    519

    Re: Firmenproxy umgehen

    @BurnerR: Richtig. Du kannst es erkennen, wenn du die Zertifikatskette anschaust.
    Unter Windows wird in der Regel das Root Zertifikat der internen CA im Trusted Root Store abgelegt. Damit werden alle darunterliegende Zertifikate als vertrauenswürdig anerkannt, so auch beschriebenes Intermediate des Proxies. So ein Root Zertifikat kann man auf den Clients relativ einfach mit Group Policies verteilen.

  21. #21

    Re: Firmenproxy umgehen

    heise hat dazu mal einen Artikel rausgebracht.

    https://www.heise.de/ct/artikel/Netz...n-1412967.html

    Mit stunnel ist es möglich, du brauchst dann aber auf der Gegenseite einen Web-proxy, der dich weiterleitet. Außerdem musst du stunnel lokal oder im Netzwerk der Firma laufen lassen.
    Für diesen Beitrag bedanken sich phre4k, musv

  22. #22
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.604
    ngb:news Artikel
    16

    Re: Firmenproxy umgehen

    Ja und ein fremdes *böses* Programm fällt lokal oder im Netz sehr leicht und schnell auf.
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  23. #23
    Mitglied Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    5.374
    ngb:news Artikel
    4

    Re: Firmenproxy umgehen

    Zitat Zitat von drfuture Beitrag anzeigen
    Ja und ein fremdes *böses* Programm fällt lokal oder im Netz sehr leicht und schnell auf.
    Nur mit white-/greylisting. Nicht jede Firma betreibt diesen Aufwand. Virenscanner dürften stunnel eigentlich auch nicht erkennen. Und wenn man wirklich sicher sein will, kann man es sich auch einfach mit 1-2 nicht-Standard-Optionen selbst kompilieren.

    Den Traffic erkennt man ja sowieso nicht, da SSL.
    Für diesen Beitrag bedankt sich Hirtec
    *mit Linux wäre das natürlich nicht passiert™
    Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. – Edward Snowden
    tilde.fun – dein kostenloser Linux-Account in der Cloud | Inoffizielle ngb-Telegram-Gruppe
    GCM/S/TW d s+:- a-----? C++$ UL+++$ P-- L+++ E---- W++++ !N ?K w- M-- !P[A-Z] Y++ PGP R* tv-- b++>++++ DI++\:\( G+ e+>++++ h*

  24. #24
    THIS CANNOT CONTINUE Avatar von KePa
    Registriert seit
    Aug 2013
    Beiträge
    519

    Re: Firmenproxy umgehen

    @phre4k: Unter Vulnerability Scanning oder Behavior Analysis (Damit brüsten sich mittlerweile diverse Hersteller) dürfte es auch auffallen, vorallem wenn es ein einzigartes Verhalten im Netz ist. Dazu würde es ein spezifisches Whitelisting noch nicht brauchen, nur eine halbwegs wachsame IT Abteilung.

  25. #25
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.604
    ngb:news Artikel
    16

    Re: Firmenproxy umgehen

    Ein Business-Virenscanner hat eigentlich immer Optionen und Listen ungewollte Anwendungen zu blocken oder zumindest anzuzeigen.
    Mit selber compilieren kommt man da durchaus weiter - aber selbst da habe ich schon Anwendungen erkannt da die Module wohl nicht nur auf Namen und Hash schauen.
    Wie genau das funktioniert k.a - das sagen sie ja nicht ^^

    Auch laufen je nach größe Inventarisierungen von Anwendungen im ganzen Unternehmen und das nicht nur wegen Lizenzen - auch um zu schauen was so los ist... und da fallen "komische" Anwendungen durchaus auch auf.

    Auch Client-Firewalls melden z.B. wenn eine unbekannte Anwendungen einen Port verwendet....

    mir fallen genug Wege ein.
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •