Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
El vie, 08-08-2008 a las 19:22 -0500, Roberto Velázquez escribió:
> El día 8 de agosto de 2008 18:13, Jose Luis Gómez <jose.gnu@gmail.com> escribió:
> > El vie, 08-08-2008 a las 19:58 -0300, Victor H De la Luz escribió:
> >> 2008/8/8 Jose Luis Gómez <jose.gnu@gmail.com>:
> >> > El sáb, 09-08-2008 a las 00:38 +0200, Jose Luis Gómez escribió:
> >> >> El vie, 08-08-2008 a las 17:20 -0500, Roberto V. escribió:
> >> >> > Jose Luis Gómez escribió:
> >> >> > > El vie, 08-08-2008 a las 16:54 -0500, Roberto V. escribió:
> >> >> > >> Que tal lista,
> >> >> > >>
> >> >> > >> He buscado por google y no me ha quedado bien lo que a continuación
> >> >> > >> pregunto:
> >> >> > >>
> >> >> > >> En mi trabajo han bloqueado el puerto 80, es decir ya no podemos ver
> >> >> > >> páginas web, pero tenemos acceso al correo a través del puerto 110 de
> >> >> > >> pop3 y salida de correo por el puerto 25 que es smtp. Entonces me
> >> >> > >> gustaria saber si es posible usar algún proxy o tunnel para salir a
> >> >> > >> través del 110. Es decir en mi casa, por ejemplo, mi PC que tiene salida
> >> >> > >> a internet sin restricción estaria el proxy/tunnel.
> >> >> > >> Lo que tenia pensado era cambiar en el firefox la conexión de "conexión
> >> >> > >> directa a internet" a "usar un proxy" y en poner la dir. de la
> >> >> > >> computadora de mi casa y en el puerto poner el puerto 110. y la PC de mi
> >> >> > >> casa estaria escuchando por ese puerto y me devolveria las peticiones
> >> >> > >> por el 110. ¿Es posible?
> >> >> > >>
> >> >> > >> Si es asi, que programa (claro, en debian) me serviria? ¿Serviria para
> >> >> > >> esto el squid?
> >> >> > >>
> >> >> > >> Saludos y gracias
> >> >> > >>
> >> >> > >>
> >> >> > > En principio si, con un squid en tu casa te sobraría.
> >> >> > >
> >> >> > > Digo en principio pq depende de un millón de cosas.:
> >> >> > >
> >> >> > > 1) Dices que tienes salida por smtp : Si se han molestado en caparte la
> >> >> > > navegación, casi seguro que tienes filtrado por IP destino las
> >> >> > > conexiones smtp. Permitirán al relay de donde te den el hosting/housing
> >> >> > > del correo y poco más.
> >> >> > >
> >> >> > > 2) Que no tengan filtro a nivel de capa 7 : Si solo filtran por
> >> >> > > protocolo pasas, pero si filtran a nivel de aplicación, por mucho que lo
> >> >> > > pases por el puerto que sea, van a pescar que es navegación (o lo que
> >> >> > > proceda).
> >> >> > >
> >> >> > > Dudo que las máquinas estén habilitadas para el acceso directo a
> >> >> > > internet, este tema se suele montar con proxy y despues un firewall de
> >> >> > > primera linea que deja salir a ciertas IPs a Internet mediante NAT. Así
> >> >> > > controlas que máquinas salen y con que IP pública salen.
> >> >> > >
> >> >> > > Origen Destino Servicio Origen Destino
> >> >> > > MáquinaX Original ANY Interface-NAT Original
> >> >> > >
> >> >> > > Esto en término de NAT, despues capas puertos con firewall.
> >> >> > >
> >> >> > > En resumen ... depende de lo chapucera que sea tu empresa.
> >> >> > >
> >> >> > > Un Saludo.
> >> >> > >
> >> >> > >
> >> >> > Pues aun no entiendo bien si tienen filtrado por capa 7, pero puedo
> >> >> > comentar que para la navegación, tambien tienen restricciones, es decir.
> >> >> > Los usuarios normales no tenemos acceso a nada de http, solo correo. Los
> >> >> > "jefes intermedios", por asi llamarlos, tienen acceso a páginas web,
> >> >> > pero solo las que sean http, no https ni tampoco tienen acceso a ciertas
> >> >> > páginas ni pueden bajar ciertos archivos (audio, video, comprimidos,
> >> >> > exe, etc). y los jefes de alto rango si tienen acceso total al internet.
> >> >> > Esto lo logran "logueandose" al firewall y dependiendo del usuario es el
> >> >> > nivel de acceso a internet. La empresa tiene un firewall llamadao
> >> >> > "Firebox/Watchguard".
> >> >> > Con esta información un poco más amplia es posible saber si se puede
> >> >> > hacer lo que planteaba yo en mi pregunta original?
> >> >> >
> >> >> > Saludos y gracias.
> >> >> >
> >> >> >
> >> >> Todo lo que comentas puede realizarse con mucha o poca logística, eso
> >> >> tampoco determina las medidas proactivas de seguridad que tengan. Me
> >> >> explico ...
> >> >>
> >> >> Que haya distintos perfiles a la hora de navegación garantiza que hay
> >> >> por ahí un proxy (además del firewall) ... si tu empresa es Windowsiana,
> >> >> casi seguro que tendrá un ISA y las políticas de grupo las mira contra
> >> >> el AD. Si es Linuxera, tendrá un Squid y gestiona esos perfiles con ACLs
> >> >> o un LDAP, OAS o la madre que me parió.
> >> >>
> >> >> Por lo que comentas, casi estoy seguro, que tendrá una configuración del
> >> >> tipo Firewall+Proxy+Gestor de contenidos (websense o los millones que
> >> >> hay) ... eso suele ser lo más normal.
> >> >>
> >> >> También existe la posibilidad, de que tu empresa maneje panoja y se haya
> >> >> gastado 30.000 € en la implantación de un IPS/IDS estilo Intrushield o
> >> >> gaitas similares, con lo que a parte del Firewall + Gestor de
> >> >> Contenidos, tendrá filtro capa 7.
> >> >>
> >> >> Siento no darte ninguna respuesta concreta, quiero que te llegue el
> >> >> mensaje de que con los datos que disponemos no podemos determinar nada.
> >> >> Aun caben todas las posibilidades.
> >> >>
> >> >> Para saber más sobre el ámbito en el que te estás moviendo, si no
> >> >> conoces la topología de red, te aconsejo tirar de herramientas tipo
> >> >> netdiscover y esnifar para obtener info de como está montada la red.
> >> >>
> >> >> Por ejemplo, si la red estuviera mal conmutada y el envio de user/pass
> >> >> se hiciera en crudo, puede ser tan facil como pescar al vuelo un user y
> >> >> passwd con privilegios para validar contra el proxy y no complicarte más
> >> >> la vida.
> >> >>
> >> >> Ufff es que esto nunca es una ciencia exacta, si lo fuera, los auditores
> >> >> estarían en el puto paro >:)
> >> >>
> >> >> Un Saludo.
> >> >
> >> > Donde dije OAS, quise decir OID.
> >> >
> >> >
> >> > --
> >> > To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> >> > with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> >> >
> >> >
> >>
> >> O puede pasar lo que me ha sucedido hace algunos dias, simplemente
> >> pones la direccion ip de la maquina en una terminal usando lynx y ya
> >> :s ...
> >>
> >> Aun sigo sin entender como es que esta configurada esta red, tiene
> >> (prox... con y al final, ya que tambien bloquea esta palabra), te
> >> logeas en el prox... para poder salir, te bloquean palabras, puertos y
> >> paginas web, tienes que ir con el administrador para darte permisos en
> >> un nodo especial a partir de tu mac, mucha publicidad de que te
> >> rastrean tus conexiones, identificacion casi de voz y pues de nada
> >> sirve.
> >>
> >> Por cierto, todo esto de la configuracion del proxy me costo 3 dias de
> >> trabajo, ya que un include de un script tenia la frase "hac..er" con
> >> una k en medio y por no darme cuenta (recordar lo del estupido prox )
> >> no me bajaba el archivo consiguiendo un mal funcionamiento y un
> >> misterio casi irresolvible. Estuve a punto de botar javascript!!!
> >>
> >> Por cierto, no le agradeci a Jose por su ayuda, gracias k!
> >>
> >> --
> >> Atte
> >>
> >> ItZtLi
> >>
> >> ¤º°°º¤ø,¸¸,ø¤º°°º¤ø,¸¸,ø¤º°`°º¤ø,¸
> >> Nahui Tonalli Icniuhtli.
> >> ¤º°°º¤ø,¸¸,ø¤º°°º¤ø,¸¸,ø¤º°`°º¤ø,¸
> >>
> >>
> > Ojú, no currarás en guantanamo, ¿no? >:P
> >
> > Por lo que cuentas, más que un sysadmin, en tu trabajo tendrán un bofh y
> > encima se le pira un poco el bolo. Que sepas, que dependiendo del país
> > donde vivas (consulta la LOPD y leyes relacionadas) puede incurrir en
> > delito si te logea tus conexiones, correos o incluso si te para el puto
> > spam (si, hay paises donde es ilegal bloquear el spam sin que llegue al
> > usuario, al menos reportes).
> >
> > Yo también tengo experiencia con sistemas de captura MAC y bueno ...
> > tuvo su momento, pero hoy por hoy, es una castaña. Pillar una MAC
> > legítima y suplantarla es cuestión de un momento, otro gallo canta con
> > el 802.11X >:)
> >
> > Lo del bloqueo de palabras ... pues encima lo veo contraproducente ...
> > si se basa en el bloqueo de contenidos, es que os fuerza a tirar en
> > crudo, en vez de implementar SSL y similares.
> >
> > Intenta, con nmap, scanear el smtp de gmail (por ejemplo)
> > nmap -P0 -p 25 216.239.59.109
> >
> > Si el puerto te da Open, vas a tener suerte, quizá no estés limitado a
> > IP destino a nivel de firewall. En este caso, tal vez puedas hacer la
> > pirula de poner la máquina tuya remota como proxy.
> >
> > Prueba a ver que pacha.
> >
> >
> > --
> > To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> > with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> >
> >
>
> Hola
>
> Gracias por la información. La red de la empresa es totalmente
> windowsera, cuidan mas que nada que la gente no se ponga a chatear ni a
> distraerse en lugar de estar trabajando (de ahi el bloqueo de paginas
> como youtube, webmails, etc). Claro tambien intentan con estas medidas
> hacer que el ancho de banda no se sature, porque hay usuarios que luego
> bajan mp3 y videos. Me parecian hasta cierto punto razonables las
> medidas tomadas, pero que te bloqueen la navegación siento que si es
> exagerar mucho.
> Por cierto para quien sugirió que sólo ponga la dir IP a las páginas a
> las cuales quiero acceder, pues lamento decir que a mi eso no me
> funciona, serán windowseros los de la red de la empresa pero no son tan
> tontos como para dejar una seguridad tan ligera jeje.
> Ahora me surge una duda, no se podra hacer nada con el GNU httptunnel
> +ssh?
>
> Saludos
>
> --
> ______________________________________________
> Please avoid sending me Word or PowerPoint attachments.
> See http://www.gnu.org/philosophy/no-word-attachments.html
>
>
Revisa lo que te escribimos.
Reply to: