Re: Filtrar tunel SOCKS/HTTP
Lo que puedes hacer un volcado de los paquetes que saca http tunnel y
observar su compartamiento. Después en base a ese estudio, puedes generar
una regla en snort-inline para que deniegue esas conexiones.
Un saludo y suerte ;)
Iñaki R.
----- Original Message -----
From: "Alejandro" <alejandro_facultad@yahoo.com.ar>
To: "Iñaki R." <mra@euskalnet.net>; "Debian Lista"
<debian-user-spanish@lists.debian.org>
Sent: Tuesday, February 15, 2005 6:50 PM
Subject: Re: Filtrar tunel SOCKS/HTTP
> Iñaki, gracias por responder.
>
> Pero justamente este software no usa el metodo CONNECT (eso creo yo) dado
> que el SQUID tiene denegado dicho metodo hacia ningun otro port que no sea
> el 443, y asi y todo el trafico sale igual por HTTP.
>
> Y la explicacion del software
> (http://www.http-tunnel.com/html/solutions/http_tunnel/client.asp) dice
que
> saca todo el trafico a traves del port 80 (y no del 443 o algun otro
> accesado por el metodo CONNECT)...me confunde.
>
> En fin...vere si lo puedo sacar.
> Muchas gracias !!!
>
> Alejandro
>
>
>
> ----- Original Message -----
> From: "Iñaki R." <mra@euskalnet.net>
> To: "Debian Lista" <debian-user-spanish@lists.debian.org>
> Sent: Tuesday, February 15, 2005 2:20 PM
> Subject: Re: Filtrar tunel SOCKS/HTTP
>
>
> > Hola Alejandro,
> >
> > puedes probar una solución como integrar snort-inline dentro del
firewall
> > para cazar esos connects y denegarlos.
> >
> > Un saludo,
> >
> > Iñaki R.
> > ----- Original Message -----
> > From: "Alejandro" <alejandro_facultad@yahoo.com.ar>
> > To: "Debian Lista" <debian-user-spanish@lists.debian.org>
> > Sent: Tuesday, February 15, 2005 6:08 PM
> > Subject: Filtrar tunel SOCKS/HTTP
> >
> >
> > > Hola, dias atras habia preguntado cosas sobre tuneles que usaban el
> metodo
> > > CONNECT y ya esta, ya lo tengo clarito.
> > >
> > > Ahora mi duda es con los tuneles que usan ciertos softwares como el
> > > http-tunnel para Windows (www.http-tunnel.com), el cual instala un
> server
> > > SOCKS en la PC de una LAN que escucha peticiones de programas como el
> > > navegador, P2P, clientes FTP, etc. y luego convierte todas esas
> peticiones
> > > en trafico HTTP que pasa por el port 80 del firewall tranquilamente.
Ese
> > > > trafico se direcciona a un servidor de tunel que esta en USA y este
es
> > el
> > > encargado en realizar las peticiones y devolverlas al cliente
original.
> En
> > > definitiva, el firewall/proxy de la LAN solo ve pasar trafico web y no
> > sabe
> > > nada de su contenido.
> > >
> > > Yo tengo un esquema de seguridad con linux/iptables/squid pero cuando
> > activo
> > > el http-tunnel en una Windows de mi red interna, me saltea toda la
> > seguridad
> > > y no se como hacer para filtrarlo. Supongo que algun firewall con
> filtrado
> > > de contenido en capa 7 podria hacerlo, pero me gustaria que me digan
> uds.
> > > que harian y si se puede filtrar este tipo de tunel.
> > >
> > > Muchas gracias como siempre.
> > >
> > > Alejandro
> > >
> > >
> > > --
> > > To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> > > with a subject of "unsubscribe". Trouble? Contact
> > listmaster@lists.debian.org
> > >
> >
> >
> > --
> > To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> > with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
> >
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
>
Reply to: