HTTPTUNNEL
- פותח הנושא AVI885
- פורסם בתאריך
uzi2
Active member
אפשר ואפשר
(קיים סיכוי קטן שלמרות הודעת שגיאה, נסיון שליחה קודם שלי של המכתב יגיע ואז יגיע עותק כפול של המכתב.) אפשר להעביר דרך פיירוול בתנאי שהפיירוול מאפשר HTTP לאתר ה- Host של ה- tunneling או לשרת ה- socks. אפשר גם לעבוד עם PC-Anywhere. הכל מוסבר (לגבי תוכנה ספציפית) כאן: http://www.htthost.com/httport_3_faq.htm כולל איך מגדירים לעבודה עם PC-Anywhere.
(קיים סיכוי קטן שלמרות הודעת שגיאה, נסיון שליחה קודם שלי של המכתב יגיע ואז יגיע עותק כפול של המכתב.) אפשר להעביר דרך פיירוול בתנאי שהפיירוול מאפשר HTTP לאתר ה- Host של ה- tunneling או לשרת ה- socks. אפשר גם לעבוד עם PC-Anywhere. הכל מוסבר (לגבי תוכנה ספציפית) כאן: http://www.htthost.com/httport_3_faq.htm כולל איך מגדירים לעבודה עם PC-Anywhere.
HTTPort
עוזי תודה רק עוד שלוש שאלות: 1. אני מבין שאין "דרך" לעשות זאת אלא זוהי תוכנה שעוטפת את ה"חבילות" ושולחת אותן כאילו היו http על PORT 80? 2. האם לא חייבים להתקין SERVER בצד השני (באינטרנט) עימו תקויים התקשורת? 3. האם ניתן באותה דרך גם להתקין PC ANYWHERE HOST בתוך הארגון ועליו לשלוט ממחשב הנמצא באינטרנט החיצוני? תודה
עוזי תודה רק עוד שלוש שאלות: 1. אני מבין שאין "דרך" לעשות זאת אלא זוהי תוכנה שעוטפת את ה"חבילות" ושולחת אותן כאילו היו http על PORT 80? 2. האם לא חייבים להתקין SERVER בצד השני (באינטרנט) עימו תקויים התקשורת? 3. האם ניתן באותה דרך גם להתקין PC ANYWHERE HOST בתוך הארגון ועליו לשלוט ממחשב הנמצא באינטרנט החיצוני? תודה
uzi2
Active member
זוהי תוכנה שמשתמשת בשתי דרכים
יש בעיקרון מספר דרכים לעשות HTTP Tunneling והראשונה שבהן היא יותר בחזקת Tunneling through HTTP proxy ולא ממש Tunneling via HTTP protocol. הראשונה, היא ע"י שימוש ב- SOCKS. אם הפיירוול/פרוקסי מאפשר תקשורת בפרוטוקול SOCKS אז למעשה הוא אינו יכול לדעת מה עובר שם כי ממילא הכל מוצפן. במקרה כזה, או שאתה מעביר את כל התקשורת ישירות לשרת ה- SOCKS החיצוני (אבל צריך להיות שרת כזה) או שאתה מעביר את זה דרך שרת פרוקסי שמאפשר העברה לשרת שאיתו אתה רוצה להתחבר. כמובן שלא תמיד זה עובד כי לא תמיד הפיירוול/פרוקסי מאפשר עבודה עם SOCKS ולא תמיד אתה יכול למצוא שרת SOCKS רלוונטי בצד החיצוני, ואם אין כזה אז לפעמים הפרוקסי/פיירוול בצד שלך חוסם תקשורות SOCKS לפורטים כלליים. הגישה השנייה, היא להעביר את חבילות ה- IP לשרת חיצוני (שרת ה- http tunneling) שמשמש כפרוקסי. האינפורמציה עוברת מהתוכנה שלך ל- HTTPort שמוגדר כפרוקסי אצלה, ושמתרגם אותה ל- HTTP Form of method=post, שנשלחת כחלק מתקשורת HTTP רגילה לשרת ה- HTTP tunneling החיצוני, ושם השרת מפשיל את האינפורמציה הזאת מתוך כותרי ה- HTTP/HTML שלה ומעביר אותה תחת שמו (כמו כל שרת פרוקסי) לשרת שאליו אתה רוצה להתחבר. כאשר מגיעה התשובה מהשרת הנ"ל הוא מעביר אותה כנתונים בכביכול דף WWW אל HTTPort שמצידו ממיר את האינפורמציה לחבילות IP ומעביר אותם לתוכנה שבתוך המערכת. הצמד httport/htthost לא יודע לאפשר לתוכנת שרת בצד הפנימי לעבוד עם תוכנת קליינט שנמצאת בחוץ. אבל גם צמדי תוכנות שרת/לקוח אחרים שמאפשרים HTTP Tunneling צריכים להתגבר על בעיה טכנית מאוד פשוטה: תוכנת שרת בצד הלקוח (לדוגמא PC Anywhere host) צריכים לפתוח פורט להאזנה לתקשורת יזומה מבחוץ. את זה בד"כ תוכנת ה- HTTP Tunneling שבתוך המערכת לא מסוגלת להמיר למשהו שיוזם תקשורת החוצה. (אני לא מכיר משהו כזה וזה אפשרי תאורטית אבל לא פשוט). לכן תקשורת כזאת היא אפשרית בתנאי שיש לך גישה לאיזשהו שרות שמאזין לתקשורת שיזומה מבחוץ, ואז אתה יכול לבצע דרך השרות הזה Tunneling החוצה. למשל אם הפרוקסי/פיירוול מאפשר לך להאזין לפורט 135 (RPC) אז אפשר לבצע tunneling דרך זה. אפשרות יותר פשוטה, היא שאם יש לך גישה לשרת ה- WWW של אותו מוסד, אתה יכול להתקין CGI script שיאזין לכתובת URL מסויימת באתר שלך, ויקבל http forms of method=post ושיעביר אותם לתוכנה הפנימית שתמיר את זה לתקשורת עם שרת ה- PC-Anywhere. אני יודע ש- Sun בנתה קוד כזה שמאפשר תקשורות RMI דרך פרוקסי שלא מתיר את זה, וזה דוגמא לאיך עוקפים פיירוול בתקשורת יזומה מבחוץ לתוך שרת שנמצא מבפנים (אם כי כמובן צריך לדאוג להריץ את השרת הזה במערכת).
יש בעיקרון מספר דרכים לעשות HTTP Tunneling והראשונה שבהן היא יותר בחזקת Tunneling through HTTP proxy ולא ממש Tunneling via HTTP protocol. הראשונה, היא ע"י שימוש ב- SOCKS. אם הפיירוול/פרוקסי מאפשר תקשורת בפרוטוקול SOCKS אז למעשה הוא אינו יכול לדעת מה עובר שם כי ממילא הכל מוצפן. במקרה כזה, או שאתה מעביר את כל התקשורת ישירות לשרת ה- SOCKS החיצוני (אבל צריך להיות שרת כזה) או שאתה מעביר את זה דרך שרת פרוקסי שמאפשר העברה לשרת שאיתו אתה רוצה להתחבר. כמובן שלא תמיד זה עובד כי לא תמיד הפיירוול/פרוקסי מאפשר עבודה עם SOCKS ולא תמיד אתה יכול למצוא שרת SOCKS רלוונטי בצד החיצוני, ואם אין כזה אז לפעמים הפרוקסי/פיירוול בצד שלך חוסם תקשורות SOCKS לפורטים כלליים. הגישה השנייה, היא להעביר את חבילות ה- IP לשרת חיצוני (שרת ה- http tunneling) שמשמש כפרוקסי. האינפורמציה עוברת מהתוכנה שלך ל- HTTPort שמוגדר כפרוקסי אצלה, ושמתרגם אותה ל- HTTP Form of method=post, שנשלחת כחלק מתקשורת HTTP רגילה לשרת ה- HTTP tunneling החיצוני, ושם השרת מפשיל את האינפורמציה הזאת מתוך כותרי ה- HTTP/HTML שלה ומעביר אותה תחת שמו (כמו כל שרת פרוקסי) לשרת שאליו אתה רוצה להתחבר. כאשר מגיעה התשובה מהשרת הנ"ל הוא מעביר אותה כנתונים בכביכול דף WWW אל HTTPort שמצידו ממיר את האינפורמציה לחבילות IP ומעביר אותם לתוכנה שבתוך המערכת. הצמד httport/htthost לא יודע לאפשר לתוכנת שרת בצד הפנימי לעבוד עם תוכנת קליינט שנמצאת בחוץ. אבל גם צמדי תוכנות שרת/לקוח אחרים שמאפשרים HTTP Tunneling צריכים להתגבר על בעיה טכנית מאוד פשוטה: תוכנת שרת בצד הלקוח (לדוגמא PC Anywhere host) צריכים לפתוח פורט להאזנה לתקשורת יזומה מבחוץ. את זה בד"כ תוכנת ה- HTTP Tunneling שבתוך המערכת לא מסוגלת להמיר למשהו שיוזם תקשורת החוצה. (אני לא מכיר משהו כזה וזה אפשרי תאורטית אבל לא פשוט). לכן תקשורת כזאת היא אפשרית בתנאי שיש לך גישה לאיזשהו שרות שמאזין לתקשורת שיזומה מבחוץ, ואז אתה יכול לבצע דרך השרות הזה Tunneling החוצה. למשל אם הפרוקסי/פיירוול מאפשר לך להאזין לפורט 135 (RPC) אז אפשר לבצע tunneling דרך זה. אפשרות יותר פשוטה, היא שאם יש לך גישה לשרת ה- WWW של אותו מוסד, אתה יכול להתקין CGI script שיאזין לכתובת URL מסויימת באתר שלך, ויקבל http forms of method=post ושיעביר אותם לתוכנה הפנימית שתמיר את זה לתקשורת עם שרת ה- PC-Anywhere. אני יודע ש- Sun בנתה קוד כזה שמאפשר תקשורות RMI דרך פרוקסי שלא מתיר את זה, וזה דוגמא לאיך עוקפים פיירוול בתקשורת יזומה מבחוץ לתוך שרת שנמצא מבפנים (אם כי כמובן צריך לדאוג להריץ את השרת הזה במערכת).
תודה רבה...
על התשובה המעמיקה והמפורטת. אני עוד לא מבין את כל המושגים והדרכים לבצע את כל מה שנאמר. בעיקרון יש לנו ברשת בעבודה גישת RAS דרך SHIVA BOX עם אוטנטיקציה של SECUREID (שרת ACE) אבל רק דרך טלפון מה שעולה הרבה כסף. אני רוצה להגיע למצב שבו אוכל להגיע לכל השרתים דרך האינטרנט באחת משתי דרכים: 1. חיבור מלא לרשת כמו חיבור ה RAS ואז אוכל לעבוד כאילו הייתי ברשת בעבודה אבל נראה לי כי זה יהיה קשה עד בלתי אפשרי. 2. מחשב שיותקן ברשת בעבודה ויהווה מעין PROXY עליו אתקין את כל מה שאני צריך (דואר, תוכנות ניהול לשרתים וכד´) וכן PC ANYWHERE או תוכנת שליטה מרחוק אחרת (כמו TERMINAL SERVICES) ודרכו אשלוט בכל מה שאני צריך. הבעיה העיקרית היא כמובן הפיירוול/פרוקסי אשר מותקן בארה"ב ואין לנו כל שליטה עליו כי אנחנו כעין סניף שלהם ומחוברים אליהם באמצעות קווי תקשורת. כלומר לפי מה שהבנתי דבר ראשון אני צריך להתקין את ה HTTPort על המחשב בעבודה. אני גם יכול להוסיף IIS ואולי אפשר להשתמש ב CALLBACK (אם מאפשר "התקשרות" על TCP/IP) כך שאתקשר אליו אפילו באמצעות טלפון והוא יחזור אלי דרך האינטרנט. האם ניתן לבדוק מה כן עובר בפיירוול ע"י תוכנה כל שהיא? מה אני צריך להתקין בצד השני והאם זה יכול להיות על המחשב שלי בבית? האם כל העסק הזה מאובטח כי זה עובר דרך האינטרנט? תודה רבה רבה.
על התשובה המעמיקה והמפורטת. אני עוד לא מבין את כל המושגים והדרכים לבצע את כל מה שנאמר. בעיקרון יש לנו ברשת בעבודה גישת RAS דרך SHIVA BOX עם אוטנטיקציה של SECUREID (שרת ACE) אבל רק דרך טלפון מה שעולה הרבה כסף. אני רוצה להגיע למצב שבו אוכל להגיע לכל השרתים דרך האינטרנט באחת משתי דרכים: 1. חיבור מלא לרשת כמו חיבור ה RAS ואז אוכל לעבוד כאילו הייתי ברשת בעבודה אבל נראה לי כי זה יהיה קשה עד בלתי אפשרי. 2. מחשב שיותקן ברשת בעבודה ויהווה מעין PROXY עליו אתקין את כל מה שאני צריך (דואר, תוכנות ניהול לשרתים וכד´) וכן PC ANYWHERE או תוכנת שליטה מרחוק אחרת (כמו TERMINAL SERVICES) ודרכו אשלוט בכל מה שאני צריך. הבעיה העיקרית היא כמובן הפיירוול/פרוקסי אשר מותקן בארה"ב ואין לנו כל שליטה עליו כי אנחנו כעין סניף שלהם ומחוברים אליהם באמצעות קווי תקשורת. כלומר לפי מה שהבנתי דבר ראשון אני צריך להתקין את ה HTTPort על המחשב בעבודה. אני גם יכול להוסיף IIS ואולי אפשר להשתמש ב CALLBACK (אם מאפשר "התקשרות" על TCP/IP) כך שאתקשר אליו אפילו באמצעות טלפון והוא יחזור אלי דרך האינטרנט. האם ניתן לבדוק מה כן עובר בפיירוול ע"י תוכנה כל שהיא? מה אני צריך להתקין בצד השני והאם זה יכול להיות על המחשב שלי בבית? האם כל העסק הזה מאובטח כי זה עובר דרך האינטרנט? תודה רבה רבה.
uzi2
Active member
כן - זה אני
האמת היא שאני יודע מה באופן עקרוני ניתן לעשות, אבל לא מכיר תוכנות שעושות את זה, ולכן גם אינני יכול להתייחס לאספקט האבטחתי. יש רשימות דואר שעוסקות בנושא (http tunneling), ותוכל לסרוק את Yahogroups או את Google כדי לאתר אותן (היתה אחת לפני כמה שנים פעילה ב- Onelist (שנרכשו על ידי Egroups שמצידם נרכשו אח"כ ע"י Yahoogroups). זה מה שאני זוכר להגיד לך. מצטער שאין לי משהו יותר קונקרטי.
האמת היא שאני יודע מה באופן עקרוני ניתן לעשות, אבל לא מכיר תוכנות שעושות את זה, ולכן גם אינני יכול להתייחס לאספקט האבטחתי. יש רשימות דואר שעוסקות בנושא (http tunneling), ותוכל לסרוק את Yahogroups או את Google כדי לאתר אותן (היתה אחת לפני כמה שנים פעילה ב- Onelist (שנרכשו על ידי Egroups שמצידם נרכשו אח"כ ע"י Yahoogroups). זה מה שאני זוכר להגיד לך. מצטער שאין לי משהו יותר קונקרטי.
Copyright©1996-2021,Tapuz Media Ltd. Forum software by XenForo® © 2010-2020 XenForo Ltd.