Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
El vie, 08-08-2008 a las 17:20 -0500, Roberto V. escribió:
> Jose Luis Gómez escribió:
> > El vie, 08-08-2008 a las 16:54 -0500, Roberto V. escribió:
> >> Que tal lista,
> >>
> >> He buscado por google y no me ha quedado bien lo que a continuación
> >> pregunto:
> >>
> >> En mi trabajo han bloqueado el puerto 80, es decir ya no podemos ver
> >> páginas web, pero tenemos acceso al correo a través del puerto 110 de
> >> pop3 y salida de correo por el puerto 25 que es smtp. Entonces me
> >> gustaria saber si es posible usar algún proxy o tunnel para salir a
> >> través del 110. Es decir en mi casa, por ejemplo, mi PC que tiene salida
> >> a internet sin restricción estaria el proxy/tunnel.
> >> Lo que tenia pensado era cambiar en el firefox la conexión de "conexión
> >> directa a internet" a "usar un proxy" y en poner la dir. de la
> >> computadora de mi casa y en el puerto poner el puerto 110. y la PC de mi
> >> casa estaria escuchando por ese puerto y me devolveria las peticiones
> >> por el 110. ¿Es posible?
> >>
> >> Si es asi, que programa (claro, en debian) me serviria? ¿Serviria para
> >> esto el squid?
> >>
> >> Saludos y gracias
> >>
> >>
> > En principio si, con un squid en tu casa te sobraría.
> >
> > Digo en principio pq depende de un millón de cosas.:
> >
> > 1) Dices que tienes salida por smtp : Si se han molestado en caparte la
> > navegación, casi seguro que tienes filtrado por IP destino las
> > conexiones smtp. Permitirán al relay de donde te den el hosting/housing
> > del correo y poco más.
> >
> > 2) Que no tengan filtro a nivel de capa 7 : Si solo filtran por
> > protocolo pasas, pero si filtran a nivel de aplicación, por mucho que lo
> > pases por el puerto que sea, van a pescar que es navegación (o lo que
> > proceda).
> >
> > Dudo que las máquinas estén habilitadas para el acceso directo a
> > internet, este tema se suele montar con proxy y despues un firewall de
> > primera linea que deja salir a ciertas IPs a Internet mediante NAT. Así
> > controlas que máquinas salen y con que IP pública salen.
> >
> > Origen Destino Servicio Origen Destino
> > MáquinaX Original ANY Interface-NAT Original
> >
> > Esto en término de NAT, despues capas puertos con firewall.
> >
> > En resumen ... depende de lo chapucera que sea tu empresa.
> >
> > Un Saludo.
> >
> >
> Pues aun no entiendo bien si tienen filtrado por capa 7, pero puedo
> comentar que para la navegación, tambien tienen restricciones, es decir.
> Los usuarios normales no tenemos acceso a nada de http, solo correo. Los
> "jefes intermedios", por asi llamarlos, tienen acceso a páginas web,
> pero solo las que sean http, no https ni tampoco tienen acceso a ciertas
> páginas ni pueden bajar ciertos archivos (audio, video, comprimidos,
> exe, etc). y los jefes de alto rango si tienen acceso total al internet.
> Esto lo logran "logueandose" al firewall y dependiendo del usuario es el
> nivel de acceso a internet. La empresa tiene un firewall llamadao
> "Firebox/Watchguard".
> Con esta información un poco más amplia es posible saber si se puede
> hacer lo que planteaba yo en mi pregunta original?
>
> Saludos y gracias.
>
>
Todo lo que comentas puede realizarse con mucha o poca logística, eso
tampoco determina las medidas proactivas de seguridad que tengan. Me
explico ...
Que haya distintos perfiles a la hora de navegación garantiza que hay
por ahí un proxy (además del firewall) ... si tu empresa es Windowsiana,
casi seguro que tendrá un ISA y las políticas de grupo las mira contra
el AD. Si es Linuxera, tendrá un Squid y gestiona esos perfiles con ACLs
o un LDAP, OAS o la madre que me parió.
Por lo que comentas, casi estoy seguro, que tendrá una configuración del
tipo Firewall+Proxy+Gestor de contenidos (websense o los millones que
hay) ... eso suele ser lo más normal.
También existe la posibilidad, de que tu empresa maneje panoja y se haya
gastado 30.000 € en la implantación de un IPS/IDS estilo Intrushield o
gaitas similares, con lo que a parte del Firewall + Gestor de
Contenidos, tendrá filtro capa 7.
Siento no darte ninguna respuesta concreta, quiero que te llegue el
mensaje de que con los datos que disponemos no podemos determinar nada.
Aun caben todas las posibilidades.
Para saber más sobre el ámbito en el que te estás moviendo, si no
conoces la topología de red, te aconsejo tirar de herramientas tipo
netdiscover y esnifar para obtener info de como está montada la red.
Por ejemplo, si la red estuviera mal conmutada y el envio de user/pass
se hiciera en crudo, puede ser tan facil como pescar al vuelo un user y
passwd con privilegios para validar contra el proxy y no complicarte más
la vida.
Ufff es que esto nunca es una ciencia exacta, si lo fuera, los auditores
estarían en el puto paro >:)
Un Saludo.
Reply to: