NTLMプロキシの背後にあるクライアントからSSHサーバーに接続する
企業ネットワークからインターネット上のSSHサーバーにアクセスしようとしています。外部インターネットへのすべての接続は、各リクエストで各クライアントのNTLMハッシュをチェックするサーバーを介してプロキシされる必要があります。そのために Cntlm を使用していますが、これは半分しか機能しません。 HTTPベースの接続では正常に機能しますが、SSHスタイルの接続では機能しません。プラグインを取得および更新するために Sublime Text の Package Control Plugin に接続できるので、これを知っています。ただし、Cntlmのトンネル構成を使用してサーバーにSSHで接続することはできません。
Cntlmのログを見ると、次のことがわかります...
cntlm: PID 1460: 127.0.0.1 TUNNEL ts.io:443
Tunneling to ts.io:443 for client 6...
Starting authentication...
NTLM Request:
Domain: domain.tld
Hostname: D-HOSTNAME
Flags: 0xA208B205
NTLMハンドシェイク(タイプ1)
Sending PROXY auth request...
Proxy-Connection => keep-alive
Proxy-Authorization => NTLM [REDACTED]
Content-Length => 0
プロキシ認証応答を読み取っています...
HEAD: HTTP/1.1 407 Proxy Authentication Required ( Access is denied. )
Via => 1.1 FOLLICLE
Proxy-Authenticate => NTLM [REDACTED]
Connection => Keep-Alive
Proxy-Connection => Keep-Alive
Pragma => no-cache
Cache-Control => no-cache
Content-Type => text/html
Content-Length => 0
NTLM Challenge:
Challenge: 4AC9211DC2875FFF (len: 178)
Flags: 0xA2898205
NT domain: NTDOMAIN
Server: PROXY
Domain: domain.tld
FQDN: proxy.domain.tld
TLD: domain.tld
TBofs: 64
TBlen: 114
ttype: 0
NTLMv2:
Nonce: CB4E6617ABF19C24
Timestamp: -1581153408
NTLM Response:
Hostname: 'D-HOSTNAME'
Domain: 'domain.tld'
Username: 'username'
Response: '[REDACTED]' (162)
Response: '[REDACTED]' (24)
Sending real request:
Proxy-Connection => keep-alive
Proxy-Authorization => NTLM [REDACTED]
そして最後に私はこれを手に入れます...
Reading real response:
HEAD: HTTP/1.1 200 Connection established
Via => 1.1 PROXY
Connection => Keep-Alive
Proxy-Connection => Keep-Alive
Ok CONNECT response. Tunneling...
tunnel: select cli: 6, srv: 7
Joining thread 537272664; rc: 0
ファイアウォールはポート80とポート443からのプロキシサーバーを介した外部インターネットへの接続のみを許可するため、ポート443からの接続を受け入れるようにSSHサーバーを再構成しました。
私が目にしている問題は、SSH接続を試行すると、接続が SFTPプラグイン を使用すると、Sublime Textからの接続タイムアウトとして報告されることです。 PuTTYを使用すると、瞬時にPuTTY Fatal Error: Server unexpectedly closed network connection。 Google Chrome Extension Secure Shell とすると、ssh_exchange_identification: Connection closed by remote Host NaCl plugin exited with status code 255.
Cntlm構成
# The username of the client you wish to masquerade as.
#
Username username
# The domain name of the network you are connected too.
#
Domain domain.tld
# The Password, LM, NTLM, or NTLMv2 Password.
# You should leave this blank and then start cntlm
# with the -M arg to get the hash information, then
# place that information here.
#
PassNTLMv2 [REDACTED]
# Specify the netbios hostname cntlm will send to the parent
# proxies. Normally the value is auto-guessed.
#
Workstation D-HOSTNAME
# List of parent proxies to use. More proxies can be defined
# one per line in format <proxy_ip>:<proxy_port>
#
Proxy PROXY:8080
# Specify the port cntlm will listen on
# You can bind cntlm to specific interface by specifying
# the appropriate IP address also in format <local_ip>:<local_port>
# Cntlm listens on 127.0.0.1:3128 by default
#
Listen 3128
# Use -M first to detect the best NTLM settings for your proxy.
# Default is to use the only secure hash, NTLMv2, but it is not
# as available as the older stuff.
#
# This example is the most universal setup known to man, but it
# uses the weakest hash ever. I won't have it's usage on my
# conscience. :) Really, try -M first.
#
Auth NTLMv2
# Tunnels mapping local port to a machine behind the proxy.
# The format is <local_port>:<remote_Host>:<remote_port>
#
Tunnel 1443:ts.io:443
これは、Cntlm内のトンネルに使用している構成セクションです。
PuTTY構成
IP:PORT localhost:1443
これは私がPuTTY接続に使用しているものです。
崇高なテキスト
"http_proxy": "http://localhost:3128",
これを修正するために私ができることは何ですか?サーバーにSSHで接続したいのですが、Cntlmのトンネリング機能のみを使用してこれを行う方法が必要です。何が間違っているのかわかりません。
企業ネットワークの外部からポート443を使用してSSHサーバーに接続できると言えます。
PuTTYでCNTLMを介してSSHサーバーに接続しようとすると、407応答がありました。 Forefront TMGプロキシは、SSHトラフィック自体ではなく、PuTTYからのDNSルックアップに反対していました。 PuTTY設定のProxyページでプロキシエンドでDNS名の検索を行うをオフにする必要があります。 No設定は機能し、AutoまたはYesは407応答になります。
ログを読み取る代わりに、-vオプションを指定してcntlmを呼び出すことができます。これにより、ログがフォアグラウンドに保持され、生成された瞬間に診断出力が端末に出力されます。
認証とトンネル設定の両方が正しく機能しているように見えます。したがって、接続が機能しない理由の説明もありません(「localhost」が127.0.0.1に正しく解決されない場合を除いて)。
私はSSH転送をテストしました(実際にはユーザー認証が必要ないという単純な場合)-コマンドを発行した後、比較するためにここに示します
$ cntlm -L 443:remotehost:22 -v
section: global, Username = ...
section: global, Domain = ...
section: global, PassNTLMv2 = ...
section: global, Proxy = '139.23.33.27:81'
section: global, NoProxy = 'localhost, 127.0.0.*, 10.*, 192.168.*'
Default config file opened successfully
Adding no-proxy for: 'localhost'
Adding no-proxy for: '127.0.0.*'
Adding no-proxy for: '10.*'
Adding no-proxy for: '192.168.*'
cntlm: Workstation name used: mchn256c
cntlm: Using following NTLM hashes: NTLMv2(1) NT(0) LM(0)
cntlm[27413]: Cntlm ready, staying in the foreground
(別の端末で 'ssh -p 443 localhost'を発行した場合):
NO: remotehost (localhost)
NO: remotehost (127.0.0.*)
NO: remotehost (10.*)
NO: remotehost (192.168.*)
cntlm[27413]: Using proxy 139.23.33.27:81
cntlm[27413]: Resolving proxy 139.23.33.27...
Resolve 139.23.33.27:
-> 139.23.33.27
cntlm[27413]: 127.0.0.1 TUNNEL remotehost:22
Tunneling to remotehost:22 for client 6...
Starting authentication...
NTLM Request:
Domain: ...
Hostname: ...
Flags: 0xA208B205
Sending PROXY auth request...
Proxy-Connection => keep-alive
Proxy-Authorization => NTLM ...
Content-Length => 0
Reading PROXY auth response...
HEAD: HTTP/1.1 200 Connection established
Via => 1.1 MCHP941X
Connection => Keep-Alive
Proxy-Connection => Keep-Alive
Ok CONNECT response. Tunneling...
tunnel: select cli: 6, srv: 7