Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
El sáb, 09-08-2008 a las 00:38 +0200, Jose Luis Gómez escribió:
> El vie, 08-08-2008 a las 17:20 -0500, Roberto V. escribió:
> > Jose Luis Gómez escribió:
> > > El vie, 08-08-2008 a las 16:54 -0500, Roberto V. escribió:
> > >> Que tal lista,
> > >>
> > >> He buscado por google y no me ha quedado bien lo que a continuación
> > >> pregunto:
> > >>
> > >> En mi trabajo han bloqueado el puerto 80, es decir ya no podemos ver
> > >> páginas web, pero tenemos acceso al correo a través del puerto 110 de
> > >> pop3 y salida de correo por el puerto 25 que es smtp. Entonces me
> > >> gustaria saber si es posible usar algún proxy o tunnel para salir a
> > >> través del 110. Es decir en mi casa, por ejemplo, mi PC que tiene salida
> > >> a internet sin restricción estaria el proxy/tunnel.
> > >> Lo que tenia pensado era cambiar en el firefox la conexión de "conexión
> > >> directa a internet" a "usar un proxy" y en poner la dir. de la
> > >> computadora de mi casa y en el puerto poner el puerto 110. y la PC de mi
> > >> casa estaria escuchando por ese puerto y me devolveria las peticiones
> > >> por el 110. ¿Es posible?
> > >>
> > >> Si es asi, que programa (claro, en debian) me serviria? ¿Serviria para
> > >> esto el squid?
> > >>
> > >> Saludos y gracias
> > >>
> > >>
> > > En principio si, con un squid en tu casa te sobraría.
> > >
> > > Digo en principio pq depende de un millón de cosas.:
> > >
> > > 1) Dices que tienes salida por smtp : Si se han molestado en caparte la
> > > navegación, casi seguro que tienes filtrado por IP destino las
> > > conexiones smtp. Permitirán al relay de donde te den el hosting/housing
> > > del correo y poco más.
> > >
> > > 2) Que no tengan filtro a nivel de capa 7 : Si solo filtran por
> > > protocolo pasas, pero si filtran a nivel de aplicación, por mucho que lo
> > > pases por el puerto que sea, van a pescar que es navegación (o lo que
> > > proceda).
> > >
> > > Dudo que las máquinas estén habilitadas para el acceso directo a
> > > internet, este tema se suele montar con proxy y despues un firewall de
> > > primera linea que deja salir a ciertas IPs a Internet mediante NAT. Así
> > > controlas que máquinas salen y con que IP pública salen.
> > >
> > > Origen Destino Servicio Origen Destino
> > > MáquinaX Original ANY Interface-NAT Original
> > >
> > > Esto en término de NAT, despues capas puertos con firewall.
> > >
> > > En resumen ... depende de lo chapucera que sea tu empresa.
> > >
> > > Un Saludo.
> > >
> > >
> > Pues aun no entiendo bien si tienen filtrado por capa 7, pero puedo
> > comentar que para la navegación, tambien tienen restricciones, es decir.
> > Los usuarios normales no tenemos acceso a nada de http, solo correo. Los
> > "jefes intermedios", por asi llamarlos, tienen acceso a páginas web,
> > pero solo las que sean http, no https ni tampoco tienen acceso a ciertas
> > páginas ni pueden bajar ciertos archivos (audio, video, comprimidos,
> > exe, etc). y los jefes de alto rango si tienen acceso total al internet.
> > Esto lo logran "logueandose" al firewall y dependiendo del usuario es el
> > nivel de acceso a internet. La empresa tiene un firewall llamadao
> > "Firebox/Watchguard".
> > Con esta información un poco más amplia es posible saber si se puede
> > hacer lo que planteaba yo en mi pregunta original?
> >
> > Saludos y gracias.
> >
> >
> Todo lo que comentas puede realizarse con mucha o poca logística, eso
> tampoco determina las medidas proactivas de seguridad que tengan. Me
> explico ...
>
> Que haya distintos perfiles a la hora de navegación garantiza que hay
> por ahí un proxy (además del firewall) ... si tu empresa es Windowsiana,
> casi seguro que tendrá un ISA y las políticas de grupo las mira contra
> el AD. Si es Linuxera, tendrá un Squid y gestiona esos perfiles con ACLs
> o un LDAP, OAS o la madre que me parió.
>
> Por lo que comentas, casi estoy seguro, que tendrá una configuración del
> tipo Firewall+Proxy+Gestor de contenidos (websense o los millones que
> hay) ... eso suele ser lo más normal.
>
> También existe la posibilidad, de que tu empresa maneje panoja y se haya
> gastado 30.000 € en la implantación de un IPS/IDS estilo Intrushield o
> gaitas similares, con lo que a parte del Firewall + Gestor de
> Contenidos, tendrá filtro capa 7.
>
> Siento no darte ninguna respuesta concreta, quiero que te llegue el
> mensaje de que con los datos que disponemos no podemos determinar nada.
> Aun caben todas las posibilidades.
>
> Para saber más sobre el ámbito en el que te estás moviendo, si no
> conoces la topología de red, te aconsejo tirar de herramientas tipo
> netdiscover y esnifar para obtener info de como está montada la red.
>
> Por ejemplo, si la red estuviera mal conmutada y el envio de user/pass
> se hiciera en crudo, puede ser tan facil como pescar al vuelo un user y
> passwd con privilegios para validar contra el proxy y no complicarte más
> la vida.
>
> Ufff es que esto nunca es una ciencia exacta, si lo fuera, los auditores
> estarían en el puto paro >:)
>
> Un Saludo.
Donde dije OAS, quise decir OID.
Reply to: