[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?

El vie, 08-08-2008 a las 19:58 -0300, Victor H De la Luz escribió:
> 2008/8/8 Jose Luis Gómez <jose.gnu@gmail.com>:
> > El sáb, 09-08-2008 a las 00:38 +0200, Jose Luis Gómez escribió:
> >> El vie, 08-08-2008 a las 17:20 -0500, Roberto V. escribió:
> >> > Jose Luis Gómez escribió:
> >> > > El vie, 08-08-2008 a las 16:54 -0500, Roberto V. escribió:
> >> > >> Que tal lista,
> >> > >>
> >> > >> He buscado por google y no me ha quedado bien lo que a continuación
> >> > >> pregunto:
> >> > >>
> >> > >> En mi trabajo han bloqueado el puerto 80, es decir ya no podemos ver
> >> > >> páginas web, pero tenemos acceso al correo a través del puerto 110 de
> >> > >> pop3 y salida de correo por el puerto 25 que es smtp. Entonces me
> >> > >> gustaria saber si es posible usar algún proxy o tunnel para salir a
> >> > >> través del 110. Es decir en mi casa, por ejemplo, mi PC que tiene salida
> >> > >> a internet sin restricción estaria el proxy/tunnel.
> >> > >> Lo que tenia pensado era cambiar en el firefox la conexión de "conexión
> >> > >> directa a internet" a "usar un proxy" y en poner la dir. de la
> >> > >> computadora de mi casa y en el puerto poner el puerto 110. y la PC de mi
> >> > >> casa estaria escuchando por ese puerto y me devolveria las peticiones
> >> > >> por el 110. ¿Es posible?
> >> > >>
> >> > >> Si es asi, que programa (claro, en debian) me serviria? ¿Serviria para
> >> > >> esto el squid?
> >> > >>
> >> > >> Saludos y gracias
> >> > >>
> >> > >>
> >> > > En principio si, con un squid en tu casa te sobraría.
> >> > >
> >> > > Digo en principio pq depende de un millón de cosas.:
> >> > >
> >> > >   1) Dices que tienes salida por smtp : Si se han molestado en caparte la
> >> > > navegación, casi seguro que tienes filtrado por IP destino las
> >> > > conexiones smtp. Permitirán al relay de donde te den el hosting/housing
> >> > > del correo y poco más.
> >> > >
> >> > >   2) Que no tengan filtro a nivel de capa 7 : Si solo filtran por
> >> > > protocolo pasas, pero si filtran a nivel de aplicación, por mucho que lo
> >> > > pases por el puerto que sea, van a pescar que es navegación (o lo que
> >> > > proceda).
> >> > >
> >> > > Dudo que las máquinas estén habilitadas para el acceso directo a
> >> > > internet, este tema se suele montar con proxy y despues un firewall de
> >> > > primera linea que deja salir a ciertas IPs a Internet mediante NAT. Así
> >> > > controlas que máquinas salen y con que IP pública salen.
> >> > >
> >> > > Origen            Destino         Servicio        Origen          Destino
> >> > > MáquinaX  Original        ANY             Interface-NAT   Original
> >> > >
> >> > > Esto en término de NAT, despues capas puertos con firewall.
> >> > >
> >> > > En resumen ... depende de lo chapucera que sea tu empresa.
> >> > >
> >> > > Un Saludo.
> >> > >
> >> > >
> >> > Pues aun no entiendo bien si tienen filtrado por capa 7, pero puedo
> >> > comentar que para la navegación, tambien tienen restricciones, es decir.
> >> > Los usuarios normales no tenemos acceso a nada de http, solo correo. Los
> >> > "jefes intermedios", por asi llamarlos, tienen acceso a páginas web,
> >> > pero solo las que sean http, no https ni tampoco tienen acceso a ciertas
> >> > páginas ni pueden bajar ciertos archivos (audio, video, comprimidos,
> >> > exe, etc). y los jefes de alto rango si tienen acceso total al internet.
> >> > Esto lo logran "logueandose" al firewall y dependiendo del usuario es el
> >> > nivel de acceso a internet. La empresa tiene un firewall llamadao
> >> > "Firebox/Watchguard".
> >> > Con esta información un poco más amplia es posible saber si se puede
> >> > hacer lo que planteaba yo en mi pregunta original?
> >> >
> >> > Saludos y gracias.
> >> >
> >> >
> >> Todo lo que comentas puede realizarse con mucha o poca logística, eso
> >> tampoco determina las medidas proactivas de seguridad que tengan. Me
> >> explico ...
> >>
> >> Que haya distintos perfiles a la hora de navegación garantiza que hay
> >> por ahí un proxy (además del firewall) ... si tu empresa es Windowsiana,
> >> casi seguro que tendrá un ISA y las políticas de grupo las mira contra
> >> el AD. Si es Linuxera, tendrá un Squid y gestiona esos perfiles con ACLs
> >> o un LDAP, OAS o la madre que me parió.
> >>
> >> Por lo que comentas, casi estoy seguro, que tendrá una configuración del
> >> tipo Firewall+Proxy+Gestor de contenidos (websense o los millones que
> >> hay) ... eso suele ser lo más normal.
> >>
> >> También existe la posibilidad, de que tu empresa maneje panoja y se haya
> >> gastado 30.000 € en la implantación de un IPS/IDS estilo Intrushield o
> >> gaitas similares, con lo que a parte del Firewall + Gestor de
> >> Contenidos, tendrá filtro capa 7.
> >>
> >> Siento no darte ninguna respuesta concreta, quiero que te llegue el
> >> mensaje de que con los datos que disponemos no podemos determinar nada.
> >> Aun caben todas las posibilidades.
> >>
> >> Para saber más sobre el ámbito en el que te estás moviendo, si no
> >> conoces la topología de red, te aconsejo tirar de herramientas tipo
> >> netdiscover y esnifar para obtener info de como está montada la red.
> >>
> >> Por ejemplo, si la red estuviera mal conmutada y el envio de user/pass
> >> se hiciera en crudo, puede ser tan facil como pescar al vuelo un user y
> >> passwd con privilegios para validar contra el proxy y no complicarte más
> >> la vida.
> >>
> >> Ufff es que esto nunca es una ciencia exacta, si lo fuera, los auditores
> >> estarían en el puto paro >:)
> >>
> >> Un Saludo.
> >
> > Donde dije OAS, quise decir OID.
> >
> >
> > --
> > To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> > with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> >
> >
> 
> O puede pasar lo que me ha sucedido hace algunos dias, simplemente
> pones la direccion ip de la maquina en una terminal usando lynx y ya
> :s ...
> 
> Aun sigo sin entender como es que esta configurada esta red, tiene
> (prox... con y al final, ya que tambien bloquea esta palabra), te
> logeas en el prox... para poder salir, te bloquean palabras, puertos y
> paginas web, tienes que ir con el administrador para darte permisos en
> un nodo especial a partir de tu mac, mucha publicidad de que te
> rastrean tus conexiones, identificacion casi de voz y pues de nada
> sirve.
> 
> Por cierto, todo esto de la configuracion del proxy me costo 3 dias de
> trabajo, ya que un include de un script tenia la frase "hac..er" con
> una k en medio y por no darme cuenta (recordar lo del estupido prox )
> no me bajaba el archivo consiguiendo un mal funcionamiento y un
> misterio casi irresolvible. Estuve a punto de botar javascript!!!
> 
> Por cierto, no le agradeci a Jose por su ayuda, gracias k!
> 
> -- 
> Atte
> 
> ItZtLi
> 
> ¤º°°º¤ø,¸¸,ø¤º°°º¤ø,¸¸,ø¤º°`°º¤ø,¸
>  Nahui Tonalli Icniuhtli.
> ¤º°°º¤ø,¸¸,ø¤º°°º¤ø,¸¸,ø¤º°`°º¤ø,¸
> 
> 
Ojú, no currarás en guantanamo, ¿no? >:P

Por lo que cuentas, más que un sysadmin, en tu trabajo tendrán un bofh y
encima se le pira un poco el bolo. Que sepas, que dependiendo del país
donde vivas (consulta la LOPD y leyes relacionadas) puede incurrir en
delito si te logea tus conexiones, correos o incluso si te para el puto
spam (si, hay paises donde es ilegal bloquear el spam sin que llegue al
usuario, al menos reportes).

Yo también tengo experiencia con sistemas de captura MAC y bueno ...
tuvo su momento, pero hoy por hoy, es una castaña. Pillar una MAC
legítima y suplantarla es cuestión de un momento, otro gallo canta con
el 802.11X >:)

Lo del bloqueo de palabras ... pues encima lo veo contraproducente ...
si se basa en el bloqueo de contenidos, es que os fuerza a tirar en
crudo, en vez de implementar SSL y similares.

Intenta, con nmap, scanear el smtp de gmail (por ejemplo) 
nmap -P0 -p 25 216.239.59.109

Si el puerto te da Open, vas a tener suerte, quizá no estés limitado a
IP destino a nivel de firewall. En este caso, tal vez puedas hacer la
pirula de poner la máquina tuya remota como proxy.

Prueba a ver que pacha.
Reply to: