144612
Goto Top

Hilfe mit stunnel und putty

Hallo,

Ich bin angestellt bei einer Beratungsfirma und meistens bei Kunden im
Einsatz. Ich habe einen Firmenlaptop und wir arbeiten mit Lotus Notes.

Der Einsatz beim Kunden bringt zwei Nachteile mit sich: ich muss immer meinen
Firmenlaptop mit herumschleppen und muss das Replizieren immer über LTE machen,
da die Proxies beim Kunden in der Regel Lotus Notes blockieren.
Ausserdem haben die Firmenproxies die unschöne Eigenschaft, auch bestimmte
Seiten zu blockieren.

Also habe ich mir folgende Lösung ausgedacht: ich habe meinen Firmenlaptop in
eine vmware gesteckt, die ich auf dem Kundenlaptop installiere und für ein
paar Euro im Monat habe ich mir einen linux Rootserver gemietet. Nun
verbinde ich über den Firmenproxy die vmware mit dem Rootserver über stunnel
auf Port 443. So sieht der Firmenproxy einen etwas länglichen https Request,
wo er seine Nase nicht wirklich reinstecken kann. Über den stunnel mache ich
nun mit Putty eine SSH Verbindung, die mittels dynamischen Portforwardings als
tunnel fungiert. Für die Programme auf der vmware verhält sich dieser tunnel
wie ein Socks5 Proxy.

Dieses Konstrukt hat jetzt über ein Jahr lang perfekt funktioniert - bis
letzten Freitag. Das Replizieren mit Lotus Notes funktioniert noch. Ich kann
auch über den Tunnel eine ssh Verbindung zu einem anderen Rechner im Internet
aufbauen, aber der Browser funktioniert nicht mehr, weder Firefox noch Chrome.
Durch testen habe ich herausgefunden, dass ein Request bei der eingegebenen
Adresse gar nicht ankommt. Da ich an keiner Konfiguration etwas geändert habe
bin ich etwas ratlos. Ich habe sowohl auf der vmware als auch auf dem
rootserver den log level für stunnel und ssh hochgedreht. Richtig geholfen
hat mir das aber nicht.

Hat jemand eine Idee, wie ich hier systematisch vorgehen kann?

Content-ID: 579488

Url: https://administrator.de/contentid/579488

Ausgedruckt am: 19.11.2024 um 07:11 Uhr

erikro
erikro 16.06.2020 um 12:37:27 Uhr
Goto Top
Moin,

Zitat von @144612:
Ich bin angestellt bei einer Beratungsfirma und meistens bei Kunden im
Einsatz. Ich habe einen Firmenlaptop und wir arbeiten mit Lotus Notes.

OK

Der Einsatz beim Kunden bringt zwei Nachteile mit sich: ich muss immer meinen
Firmenlaptop mit herumschleppen und muss das Replizieren immer über LTE machen,

Wo ist da genau der Nachteil? Ein Notebook bei sich zu haben ist doch nun wirklich nichts ausßergewöhnliches.

da die Proxies beim Kunden in der Regel Lotus Notes blockieren.

Dann ist das so.

Ausserdem haben die Firmenproxies die unschöne Eigenschaft, auch bestimmte
Seiten zu blockieren.

Dann ist das so.

Also habe ich mir folgende Lösung ausgedacht: ich habe meinen Firmenlaptop in
eine vmware gesteckt, die ich auf dem Kundenlaptop installiere und für ein
paar Euro im Monat habe ich mir einen linux Rootserver gemietet.

Kurz gesagt: Du umgehst auf einem Notebook, das Dir der Kunde zur Verfügung stellt, die Sicherheitseinstellungen des Kundennetzwerkes. Wenn wir Dein Kunde wären, wärest Du nicht mehr unser Dienstleister.

Liebe Grüße

Erik
brammer
brammer 16.06.2020 um 12:42:59 Uhr
Goto Top
Hallo,

ich habe meinen Firmenlaptop in
eine vmware gesteckt, die ich auf dem Kundenlaptop installiere und für ein
paar Euro im Monat habe ich mir einen linux Rootserver gemietet.

dafür hättest du bei uns die Fristlose Kündigung bekommen.

brammer
maretz
maretz 16.06.2020 um 13:55:05 Uhr
Goto Top
Ja... fahre in deine Firma, räume deinen Schreibtisch aus und melde dich beim nächsten Arbeitsamt.

Sorry - deine Aussagen sind zum teil einfach schon blödsinnig falsch - und auch in keiner Weise für einen "Berater" der im Geschützten Bereich eines Kunden arbeitet zu verstehen.

a) Man kann in HTTPS nicht reingucken? Hast du ne Ahnung... Schau dir mal an was heutige Firewalls spielend nebenbei machen -> und du wirst merken wie schnell das geht. Und selbst wenn ich dann die Verbindung ggf. nicht erkennen kann würde es eben auffallen um zu erkennen das es eben KEIN https-Traffic ist. Und nebenbei - selbst wenn ich den Traffic nicht entschlüssele fällt es auf weil die Verbindungsdauer auf normalen http-Seiten eher nicht nen ganzen Tag is und auch nich ständig zu einer bestimmten IP (oder DNS-Namen). Das einzige was du also schaffst wäre das man eben nicht sehen kann WAS du überträgst - aber das es kein normaler Traffic ist sieht jeder Azubi im ersten Lehrjahr der grad mal leserechte auf der Firewall hat.

b) Du hast extra dafür ein Laptop bekommen...Oh, whow, du musst es tragen... Frage doch mal in deiner Firma nach ob die dir nich nen Praktikanten mitgeben können der dir das Laptop trägt und ggf. auch noch den Ar... abwischt...

c) Ja, Firmen-Proxys blockieren auch Seiten. Das ist keine unschöne Eigenschaft, das nennt sich Firmen-Policy. Wenn es dir nicht passt - dann nimm halt keinen Auftrag bei den Kunden an ODER nimm halt deinen LTE-Stick...achso, nee, da musst du ja das ganze Laptop schleppen, welche Anforderung für einen Berater der idR. mehrere 100 bis weit über 1000 Euro pro Tag kostet...

Die Lösung ist also einfach: Nimm halt DEINEN Laptop - der hat keine Verbindung zum Kundennetz (hoffentlich) und damit liegt es nur an dir was du damit machst. Und ganz nebenbei ist es auch im Sinne DEINER Firma - denn wenn ich als Firma dich als Berater bei sowas sehe kann es passieren das ich dich ohne Vorwarnung von deinem Rechner hole und du deine Firmen-VM nicht mal mehr zumachen kannst... D.h. als Kunde habe ich danach einen vollen Zugriff auf alle deine Mails und was auch immer du sonst noch in deiner VM hast. Spätestens DANN wirst du allerdings eh keine Sorgen mehr haben - ich vermute das die Rückfahrt zu deiner Firma die letzte Fahrt ist die du für diese Firma je machen wirst. Denn dem Chef zu erklären das du nich nur den Kunden verärgert hast, das du dessen Richtlinien umgangen hast UND das du dem noch frei haus alle ggf. vertraulichen Infos auf den Rechner gepackt hast - eine GUTE idee... Und wenn du jetzt denkst "das macht doch eh keiner da reingucken - dürfen die ja gar nicht" -> stimmt, genausowenig wie du Firmensysteme umgehen darfst...

Ganz ehrlich - wenn ich soviel Unsinn lese frage ich mich wirklich welche Anforderungen an Berater gestellt werden. Im Sinne des Kunden handeln kann ich ja schon mal ausschließen....
ziqz00ma
ziqz00ma 17.06.2020 um 00:07:34 Uhr
Goto Top
Die Grundmotivation kann ich schon verstehen. Im Kundenprojekt irgendwo auswärts sein, Woche für Woche mit der überfüllten Bahn (oft ohne Sitzplatz) an- und abreisen, dabei Hemden-/Anzugtasche, Rollkoffer und drei Laptops (Kundenlaptop, Firmenlaptop, privater Laptop) mitschleppen, kann schon die Frusttoleranz kitzeln. Schlimmstenfalls sind die Kunden- und Firmenlaptops auch noch irgendwelche 3kg+ Monstren (der private vielleicht auch, aber da ist man dann selbst schuld).

Soviel zur verständlichen Grundmotivation.

Die obige "Lösung" ist komplett für die Tonne. Interne Daten deiner Firma haben nix auf dem Kundenrechner zu suchen. Basta.

(Ob du dann auch noch irgendwelche Proxies umgehst/durchtunnelst ist da sogar eher vernachlässigbar...)


Zitat von @maretz:
(...) aber das es kein normaler Traffic ist sieht jeder Azubi im ersten Lehrjahr der grad mal leserechte auf der Firewall hat.
Eine eher optimistische Annahme, dass da überhaupt jemand reinguckt face-wink

Zitat von @maretz:
(...) Berater der idR. mehrere 100 bis weit über 1000 Euro pro Tag kostet...
Je nachdem, für was für eine Beratungsklitsche er/sie unterwegs ist, kommt von den Tagessätzen nicht allzuviel beim eigentlichen Berater an.

Zitat von @maretz:
Die Lösung ist also einfach: Nimm halt DEINEN Laptop - der hat keine Verbindung zum Kundennetz (hoffentlich) und damit liegt es nur an dir was du damit machst. Und ganz nebenbei ist es auch im Sinne DEINER Firma - denn wenn ich als Firma dich als Berater bei sowas sehe kann es passieren das ich dich ohne Vorwarnung von deinem Rechner hole und du deine Firmen-VM nicht mal mehr zumachen kannst... D.h. als Kunde habe ich danach einen vollen Zugriff auf alle deine Mails und was auch immer du sonst noch in deiner VM hast. Spätestens DANN wirst du allerdings eh keine Sorgen mehr haben - ich vermute das die Rückfahrt zu deiner Firma die letzte Fahrt ist die du für diese Firma je machen wirst. Denn dem Chef zu erklären das du nich nur den Kunden verärgert hast, das du dessen Richtlinien umgangen hast UND das du dem noch frei haus alle ggf. vertraulichen Infos auf den Rechner gepackt hast - eine GUTE idee... Und wenn du jetzt denkst "das macht doch eh keiner da reingucken - dürfen die ja gar nicht" -> stimmt, genausowenig wie du Firmensysteme umgehen darfst...
Da bin ich absolut deiner Meinung.
maretz
maretz 17.06.2020 um 07:44:48 Uhr
Goto Top
Zitat von @ziqz00ma:

Die Grundmotivation kann ich schon verstehen. Im Kundenprojekt irgendwo auswärts sein, Woche für Woche mit der überfüllten Bahn (oft ohne Sitzplatz) an- und abreisen, dabei Hemden-/Anzugtasche, Rollkoffer und drei Laptops (Kundenlaptop, Firmenlaptop, privater Laptop) mitschleppen, kann schon die Frusttoleranz kitzeln. Schlimmstenfalls sind die Kunden- und Firmenlaptops auch noch irgendwelche 3kg+ Monstren (der private vielleicht auch, aber da ist man dann selbst schuld).

Nun - das habe ich selbst auch einige Jahre lang gemacht. Es gibt einige Hotels (u.a. Radisson am Flughafen Hamburg) an dem ich wirklich JEDES Zimmer kenne, vom normalen bis zur 3-Zimmer-Suite (genauso wie einige meiner ehemaligen Kollegen auch). Ich habe selbst jetzt noch genug Bonuspunkte + nen Hotelstatus obwohl ich seid über 2 Jahren nicht mehr da arbeite, bei Kollegen die noch da sind die könnten sich vermutlich mit den Bonuspunkten nicht nen Zimmer sondern mal das ganze Hotel für nen paar Tage nehmen ;). Und selbst jetzt bin ich - wenns nich grad nen Virus gäbe - einige Monate im Jahr unterwegs. Wer das nicht will - Augen auf bei der Berufswahl! Sorry, aber das ist kein Grund - idR. erfährt man schon beim ersten Gespräch wenn viel Reisetätigkeit enthalten ist... Wenn man das nicht will - fein, es gibt auch andere Jobs.


Soviel zur verständlichen Grundmotivation.

Deshalb der Vorschlag mit dem Arbeitsamt - wenn ihm/ihr das zu viel ist dann haben die beim Arbeitsamt da Fachkräfte die helfen können (wenn man nicht selbst nen neuen Job suchen kann/will).



Zitat von @maretz:
(...) aber das es kein normaler Traffic ist sieht jeder Azubi im ersten Lehrjahr der grad mal leserechte auf der Firewall hat.
Eine eher optimistische Annahme, dass da überhaupt jemand reinguckt face-wink

Wenn nicht ist die Firewall nur nen Durchlauferhitzer und kann auch ganz weggelassen werden. Aber selbst in der Wochenstatistik (die ja dann gerne an die IT per Mail geht) fällt es ggf. schon auf wenn "unbekannte" Server in den Top-10 sind. Und natürlich - es fällt nich am ersten Tag auf... Nur WENN es auffällt hat es eben Konsequenzen. Hier ist es dann ganz einfach: Da ganz offentsichtlich das Firmensystem umgangen werden kann geht das bis zu dem Punkt das man Systeme ausmachen muss um erst mal zu prüfen was passiert ist -> all das kann der Person in Rechnung gestellt werden. Ob die eigene Firma dann noch dahinter steht ist fraglich - und ob man bei einem Konstrukt wie hier angegeben noch von "leicht fahrlässig" sprechen kann halte ich auch für sehr unwahrscheinlich... D.h. die Person kann im dümmsten Fall privat vollständig haftbar sein - viel Spass...



Zitat von @maretz:
(...) Berater der idR. mehrere 100 bis weit über 1000 Euro pro Tag kostet...
Je nachdem, für was für eine Beratungsklitsche er/sie unterwegs ist, kommt von den Tagessätzen nicht allzuviel beim eigentlichen Berater an.

Was interessiert es den Kunden was beim Berater ankommt? Der sieht was er zahlt - fertig... Und wenn der Berater pro Tag nur 5 Stockhiebe bekommt - dumm verhandelt, nich das Kundenproblem.
brammer
brammer 17.06.2020 um 07:59:49 Uhr
Goto Top
Guten Morgen,

die Hauptfrage des TO war ja:

Hat jemand eine Idee, wie ich hier systematisch vorgehen kann?

Ich gehe davon aus das nach den Ratschlägen klar geworden ist, das er sich eine andere Strategie einfallen lassen muss.
Der erste Weg wäre jetzt mit seiner IT Kontakt aufnehmen und ein Lösung finden mit der er, seine IT und auch die Kunden IT umgehen kann.

Das wir bisher kein Feedback direkt bekommen haben, lässt mich aber annehmen das wir kaum noch Feedback bekommen werden.

brammer
erikro
erikro 17.06.2020 um 09:54:42 Uhr
Goto Top
Moin,

Zitat von @brammer:
Das wir bisher kein Feedback direkt bekommen haben, lässt mich aber annehmen das wir kaum noch Feedback bekommen werden.

Vielleicht liegt das ja daran, dass er nicht mehr antworten kann, weil Firmen- und Kundennotebook mittlerweile eingezogen wurden. Dass es nicht mehr geht, spricht ja ganz gewaltig dafür, dass es jemand gemerkt hat. face-wink

Liebe Grüße

Erik
brammer
brammer 17.06.2020 um 10:04:22 Uhr
Goto Top
Hallo,

Vielleicht liegt das ja daran, dass er nicht mehr antworten kann, weil Firmen- und Kundennotebook mittlerweile eingezogen wurden

Vielleicht liest sein Admin ja hier mit....

brammer