Hilfe mit stunnel und putty

Mitglied: 144612

144612 (Level 1)

16.06.2020 um 12:01 Uhr, 431 Aufrufe, 8 Kommentare

Hallo,

Ich bin angestellt bei einer Beratungsfirma und meistens bei Kunden im
Einsatz. Ich habe einen Firmenlaptop und wir arbeiten mit Lotus Notes.

Der Einsatz beim Kunden bringt zwei Nachteile mit sich: ich muss immer meinen
Firmenlaptop mit herumschleppen und muss das Replizieren immer über LTE machen,
da die Proxies beim Kunden in der Regel Lotus Notes blockieren.
Ausserdem haben die Firmenproxies die unschöne Eigenschaft, auch bestimmte
Seiten zu blockieren.

Also habe ich mir folgende Lösung ausgedacht: ich habe meinen Firmenlaptop in
eine vmware gesteckt, die ich auf dem Kundenlaptop installiere und für ein
paar Euro im Monat habe ich mir einen linux Rootserver gemietet. Nun
verbinde ich über den Firmenproxy die vmware mit dem Rootserver über stunnel
auf Port 443. So sieht der Firmenproxy einen etwas länglichen https Request,
wo er seine Nase nicht wirklich reinstecken kann. Über den stunnel mache ich
nun mit Putty eine SSH Verbindung, die mittels dynamischen Portforwardings als
tunnel fungiert. Für die Programme auf der vmware verhält sich dieser tunnel
wie ein Socks5 Proxy.

Dieses Konstrukt hat jetzt über ein Jahr lang perfekt funktioniert - bis
letzten Freitag. Das Replizieren mit Lotus Notes funktioniert noch. Ich kann
auch über den Tunnel eine ssh Verbindung zu einem anderen Rechner im Internet
aufbauen, aber der Browser funktioniert nicht mehr, weder Firefox noch Chrome.
Durch testen habe ich herausgefunden, dass ein Request bei der eingegebenen
Adresse gar nicht ankommt. Da ich an keiner Konfiguration etwas geändert habe
bin ich etwas ratlos. Ich habe sowohl auf der vmware als auch auf dem
rootserver den log level für stunnel und ssh hochgedreht. Richtig geholfen
hat mir das aber nicht.

Hat jemand eine Idee, wie ich hier systematisch vorgehen kann?
Mitglied: erikro
16.06.2020 um 12:37 Uhr
Moin,

Zitat von 144612:
Ich bin angestellt bei einer Beratungsfirma und meistens bei Kunden im
Einsatz. Ich habe einen Firmenlaptop und wir arbeiten mit Lotus Notes.

OK

Der Einsatz beim Kunden bringt zwei Nachteile mit sich: ich muss immer meinen
Firmenlaptop mit herumschleppen und muss das Replizieren immer über LTE machen,

Wo ist da genau der Nachteil? Ein Notebook bei sich zu haben ist doch nun wirklich nichts ausßergewöhnliches.

da die Proxies beim Kunden in der Regel Lotus Notes blockieren.

Dann ist das so.

Ausserdem haben die Firmenproxies die unschöne Eigenschaft, auch bestimmte
Seiten zu blockieren.

Dann ist das so.

Also habe ich mir folgende Lösung ausgedacht: ich habe meinen Firmenlaptop in
eine vmware gesteckt, die ich auf dem Kundenlaptop installiere und für ein
paar Euro im Monat habe ich mir einen linux Rootserver gemietet.

Kurz gesagt: Du umgehst auf einem Notebook, das Dir der Kunde zur Verfügung stellt, die Sicherheitseinstellungen des Kundennetzwerkes. Wenn wir Dein Kunde wären, wärest Du nicht mehr unser Dienstleister.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: brammer
16.06.2020 um 12:42 Uhr
Hallo,

ich habe meinen Firmenlaptop in
eine vmware gesteckt, die ich auf dem Kundenlaptop installiere und für ein
paar Euro im Monat habe ich mir einen linux Rootserver gemietet.

dafür hättest du bei uns die Fristlose Kündigung bekommen.

brammer
Bitte warten ..
Mitglied: maretz
16.06.2020 um 13:55 Uhr
Ja... fahre in deine Firma, räume deinen Schreibtisch aus und melde dich beim nächsten Arbeitsamt.

Sorry - deine Aussagen sind zum teil einfach schon blödsinnig falsch - und auch in keiner Weise für einen "Berater" der im Geschützten Bereich eines Kunden arbeitet zu verstehen.

a) Man kann in HTTPS nicht reingucken? Hast du ne Ahnung... Schau dir mal an was heutige Firewalls spielend nebenbei machen -> und du wirst merken wie schnell das geht. Und selbst wenn ich dann die Verbindung ggf. nicht erkennen kann würde es eben auffallen um zu erkennen das es eben KEIN https-Traffic ist. Und nebenbei - selbst wenn ich den Traffic nicht entschlüssele fällt es auf weil die Verbindungsdauer auf normalen http-Seiten eher nicht nen ganzen Tag is und auch nich ständig zu einer bestimmten IP (oder DNS-Namen). Das einzige was du also schaffst wäre das man eben nicht sehen kann WAS du überträgst - aber das es kein normaler Traffic ist sieht jeder Azubi im ersten Lehrjahr der grad mal leserechte auf der Firewall hat.

b) Du hast extra dafür ein Laptop bekommen...Oh, whow, du musst es tragen... Frage doch mal in deiner Firma nach ob die dir nich nen Praktikanten mitgeben können der dir das Laptop trägt und ggf. auch noch den Ar... abwischt...

c) Ja, Firmen-Proxys blockieren auch Seiten. Das ist keine unschöne Eigenschaft, das nennt sich Firmen-Policy. Wenn es dir nicht passt - dann nimm halt keinen Auftrag bei den Kunden an ODER nimm halt deinen LTE-Stick...achso, nee, da musst du ja das ganze Laptop schleppen, welche Anforderung für einen Berater der idR. mehrere 100 bis weit über 1000 Euro pro Tag kostet...

Die Lösung ist also einfach: Nimm halt DEINEN Laptop - der hat keine Verbindung zum Kundennetz (hoffentlich) und damit liegt es nur an dir was du damit machst. Und ganz nebenbei ist es auch im Sinne DEINER Firma - denn wenn ich als Firma dich als Berater bei sowas sehe kann es passieren das ich dich ohne Vorwarnung von deinem Rechner hole und du deine Firmen-VM nicht mal mehr zumachen kannst... D.h. als Kunde habe ich danach einen vollen Zugriff auf alle deine Mails und was auch immer du sonst noch in deiner VM hast. Spätestens DANN wirst du allerdings eh keine Sorgen mehr haben - ich vermute das die Rückfahrt zu deiner Firma die letzte Fahrt ist die du für diese Firma je machen wirst. Denn dem Chef zu erklären das du nich nur den Kunden verärgert hast, das du dessen Richtlinien umgangen hast UND das du dem noch frei haus alle ggf. vertraulichen Infos auf den Rechner gepackt hast - eine GUTE idee... Und wenn du jetzt denkst "das macht doch eh keiner da reingucken - dürfen die ja gar nicht" -> stimmt, genausowenig wie du Firmensysteme umgehen darfst...

Ganz ehrlich - wenn ich soviel Unsinn lese frage ich mich wirklich welche Anforderungen an Berater gestellt werden. Im Sinne des Kunden handeln kann ich ja schon mal ausschließen....
Bitte warten ..
Mitglied: ziqz00ma
17.06.2020 um 00:07 Uhr
Die Grundmotivation kann ich schon verstehen. Im Kundenprojekt irgendwo auswärts sein, Woche für Woche mit der überfüllten Bahn (oft ohne Sitzplatz) an- und abreisen, dabei Hemden-/Anzugtasche, Rollkoffer und drei Laptops (Kundenlaptop, Firmenlaptop, privater Laptop) mitschleppen, kann schon die Frusttoleranz kitzeln. Schlimmstenfalls sind die Kunden- und Firmenlaptops auch noch irgendwelche 3kg+ Monstren (der private vielleicht auch, aber da ist man dann selbst schuld).

Soviel zur verständlichen Grundmotivation.

Die obige "Lösung" ist komplett für die Tonne. Interne Daten deiner Firma haben nix auf dem Kundenrechner zu suchen. Basta.

(Ob du dann auch noch irgendwelche Proxies umgehst/durchtunnelst ist da sogar eher vernachlässigbar...)


Zitat von maretz:
(...) aber das es kein normaler Traffic ist sieht jeder Azubi im ersten Lehrjahr der grad mal leserechte auf der Firewall hat.
Eine eher optimistische Annahme, dass da überhaupt jemand reinguckt

Zitat von maretz:
(...) Berater der idR. mehrere 100 bis weit über 1000 Euro pro Tag kostet...
Je nachdem, für was für eine Beratungsklitsche er/sie unterwegs ist, kommt von den Tagessätzen nicht allzuviel beim eigentlichen Berater an.

Zitat von maretz:
Die Lösung ist also einfach: Nimm halt DEINEN Laptop - der hat keine Verbindung zum Kundennetz (hoffentlich) und damit liegt es nur an dir was du damit machst. Und ganz nebenbei ist es auch im Sinne DEINER Firma - denn wenn ich als Firma dich als Berater bei sowas sehe kann es passieren das ich dich ohne Vorwarnung von deinem Rechner hole und du deine Firmen-VM nicht mal mehr zumachen kannst... D.h. als Kunde habe ich danach einen vollen Zugriff auf alle deine Mails und was auch immer du sonst noch in deiner VM hast. Spätestens DANN wirst du allerdings eh keine Sorgen mehr haben - ich vermute das die Rückfahrt zu deiner Firma die letzte Fahrt ist die du für diese Firma je machen wirst. Denn dem Chef zu erklären das du nich nur den Kunden verärgert hast, das du dessen Richtlinien umgangen hast UND das du dem noch frei haus alle ggf. vertraulichen Infos auf den Rechner gepackt hast - eine GUTE idee... Und wenn du jetzt denkst "das macht doch eh keiner da reingucken - dürfen die ja gar nicht" -> stimmt, genausowenig wie du Firmensysteme umgehen darfst...
Da bin ich absolut deiner Meinung.
Bitte warten ..
Mitglied: maretz
17.06.2020 um 07:44 Uhr
Zitat von ziqz00ma:

Die Grundmotivation kann ich schon verstehen. Im Kundenprojekt irgendwo auswärts sein, Woche für Woche mit der überfüllten Bahn (oft ohne Sitzplatz) an- und abreisen, dabei Hemden-/Anzugtasche, Rollkoffer und drei Laptops (Kundenlaptop, Firmenlaptop, privater Laptop) mitschleppen, kann schon die Frusttoleranz kitzeln. Schlimmstenfalls sind die Kunden- und Firmenlaptops auch noch irgendwelche 3kg+ Monstren (der private vielleicht auch, aber da ist man dann selbst schuld).

Nun - das habe ich selbst auch einige Jahre lang gemacht. Es gibt einige Hotels (u.a. Radisson am Flughafen Hamburg) an dem ich wirklich JEDES Zimmer kenne, vom normalen bis zur 3-Zimmer-Suite (genauso wie einige meiner ehemaligen Kollegen auch). Ich habe selbst jetzt noch genug Bonuspunkte + nen Hotelstatus obwohl ich seid über 2 Jahren nicht mehr da arbeite, bei Kollegen die noch da sind die könnten sich vermutlich mit den Bonuspunkten nicht nen Zimmer sondern mal das ganze Hotel für nen paar Tage nehmen ;). Und selbst jetzt bin ich - wenns nich grad nen Virus gäbe - einige Monate im Jahr unterwegs. Wer das nicht will - Augen auf bei der Berufswahl! Sorry, aber das ist kein Grund - idR. erfährt man schon beim ersten Gespräch wenn viel Reisetätigkeit enthalten ist... Wenn man das nicht will - fein, es gibt auch andere Jobs.


Soviel zur verständlichen Grundmotivation.

Deshalb der Vorschlag mit dem Arbeitsamt - wenn ihm/ihr das zu viel ist dann haben die beim Arbeitsamt da Fachkräfte die helfen können (wenn man nicht selbst nen neuen Job suchen kann/will).



Zitat von maretz:
(...) aber das es kein normaler Traffic ist sieht jeder Azubi im ersten Lehrjahr der grad mal leserechte auf der Firewall hat.
Eine eher optimistische Annahme, dass da überhaupt jemand reinguckt

Wenn nicht ist die Firewall nur nen Durchlauferhitzer und kann auch ganz weggelassen werden. Aber selbst in der Wochenstatistik (die ja dann gerne an die IT per Mail geht) fällt es ggf. schon auf wenn "unbekannte" Server in den Top-10 sind. Und natürlich - es fällt nich am ersten Tag auf... Nur WENN es auffällt hat es eben Konsequenzen. Hier ist es dann ganz einfach: Da ganz offentsichtlich das Firmensystem umgangen werden kann geht das bis zu dem Punkt das man Systeme ausmachen muss um erst mal zu prüfen was passiert ist -> all das kann der Person in Rechnung gestellt werden. Ob die eigene Firma dann noch dahinter steht ist fraglich - und ob man bei einem Konstrukt wie hier angegeben noch von "leicht fahrlässig" sprechen kann halte ich auch für sehr unwahrscheinlich... D.h. die Person kann im dümmsten Fall privat vollständig haftbar sein - viel Spass...



Zitat von maretz:
(...) Berater der idR. mehrere 100 bis weit über 1000 Euro pro Tag kostet...
Je nachdem, für was für eine Beratungsklitsche er/sie unterwegs ist, kommt von den Tagessätzen nicht allzuviel beim eigentlichen Berater an.

Was interessiert es den Kunden was beim Berater ankommt? Der sieht was er zahlt - fertig... Und wenn der Berater pro Tag nur 5 Stockhiebe bekommt - dumm verhandelt, nich das Kundenproblem.
Bitte warten ..
Mitglied: brammer
17.06.2020 um 07:59 Uhr
Guten Morgen,

die Hauptfrage des TO war ja:

Hat jemand eine Idee, wie ich hier systematisch vorgehen kann?

Ich gehe davon aus das nach den Ratschlägen klar geworden ist, das er sich eine andere Strategie einfallen lassen muss.
Der erste Weg wäre jetzt mit seiner IT Kontakt aufnehmen und ein Lösung finden mit der er, seine IT und auch die Kunden IT umgehen kann.

Das wir bisher kein Feedback direkt bekommen haben, lässt mich aber annehmen das wir kaum noch Feedback bekommen werden.

brammer
Bitte warten ..
Mitglied: erikro
17.06.2020 um 09:54 Uhr
Moin,

Zitat von brammer:
Das wir bisher kein Feedback direkt bekommen haben, lässt mich aber annehmen das wir kaum noch Feedback bekommen werden.

Vielleicht liegt das ja daran, dass er nicht mehr antworten kann, weil Firmen- und Kundennotebook mittlerweile eingezogen wurden. Dass es nicht mehr geht, spricht ja ganz gewaltig dafür, dass es jemand gemerkt hat.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: brammer
17.06.2020 um 10:04 Uhr
Hallo,

Vielleicht liegt das ja daran, dass er nicht mehr antworten kann, weil Firmen- und Kundennotebook mittlerweile eingezogen wurden

Vielleicht liest sein Admin ja hier mit....

brammer
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
Cisco RIPv1 RIPv2
MrLabelFrageRouter & Routing26 Kommentare

Hallo Zusammen, ich muss nochmal auf eine schon behandelte Frage eingehen. Bitte jemand, der auch den Cisco Paket Tracer ...

LAN, WAN, Wireless
RJ45 Buchsen Verbindung
gelöst DennisAdm1nFrageLAN, WAN, Wireless17 Kommentare

Ich habe als Aufgabe bekommen die LAN-Verbindung in einem Haus zu fixen, dabei ist mir aufgefallen, dass der RJ45-Stecker ...

Windows 10
Windows 7 zu Windows 10 weiterhin kostenlos möglich?
gelöst CubeHDFrageWindows 1013 Kommentare

Guten Abend, ist es möglich einen vorhandenen Windows 7 Key für Windows 10 zu verwenden? Kennt ihr vielleicht andere ...

Windows 10
Windows10 Hilfsprogramme endgültig löschen
istike2FrageWindows 1012 Kommentare

Hallo, wir sind gerade dabei mit Windows OOBE ein Image vorzubereiten. Wir würden gerne Xbox, HP Hilfsprogramme, Cortana usw. ...

Windows 10
Achtung: Upgrade auf Win10 20H2 löscht unter Umständen eigene Zertifikate
DerWoWussteInformationWindows 1011 Kommentare

Microsoft untersucht es derzeit, siehe Windows 10 ,Feature Update to 1909, Certificates missing after Wer ebenso untersuchen möchte was ...

LAN, WAN, Wireless
Suche Access Point Wandhalterung
gelöst EZimmerFrageLAN, WAN, Wireless11 Kommentare

Einen schöne guten Tag, wir haben uns bei einer Ausschreibung beteiligt und sind nun auch der Suche nach folgendem ...

Ähnliche Inhalte
Batch & Shell
Brauche hilf bei einer batch Datei
gelöst PilllllleFrageBatch & Shell7 Kommentare

hallo, ich versuche mit Hilfe von einer batch- Datei eine bestimmt Zeile aus einer txt- Datei in eine neue ...

Netzwerkmanagement
"Neue" Putty Version?
brammerFrageNetzwerkmanagement11 Kommentare

Hallo, hat sich jemand schon mit der neuen Putty Version von Solarwinds beschäftigt? Mich ärgert schon beim ersten öffnen ...

Ubuntu
Ubuntu-Putty hilfe
gelöst 141874FrageUbuntu53 Kommentare

Hallo Wie ändere ich einen ssh Port auf Linux Ubuntu? LG Nickolas

Hardware
PUTTY mit APU verbinden
gelöst MiStFrageHardware6 Kommentare

Hallo, ich habe hier eine APU liegen, auf die ich gerne per PUTTY über COM4 zugreifen möchten. Leider bekomme ...

Sicherheits-Tools
Putty hat heftige Bugs korrigiert!
LochkartenstanzerInformationSicherheits-Tools12 Kommentare

Moin, Wie man aus herauslesen kann, sind in den Versionen vor 0.71 gravierende Bugs, die es angeraten erscheinen lassen, ...

Windows Tools

Putty: Konfiguration per Kommandozeile ändern

ralfkauskFrageWindows Tools24 Kommentare

Hallo zusammen Ich möchte per Kommandozeile eine bestehende Konfiguration ändern. Um genau zu sein die Zieladresse. Hintergrund: An meinem ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT