On Tue, 12 Aug 2003, Mario Herrera G. wrote:
>
> Mae alf o al que le interesa. Por ahi me encontre en un empresa una
> gente que usa varas para salir aunque haya un firewall, en este caso en
> que esta gente estaba utilizando era:
>
> http://teliadk.tucows.com/preview/212977.html
S�, este tipo de aplicaciones es un problema bastante serio para la
administraci�n de redes. Para quienes no lo conocen, la idea es:
[C1] [C3]
+---+---+...+---[FW]---{Internet}---[SS]
[C2] [Cn]
[C1]..[Cn] son estaciones de trabajo en una red local, protegida de la
Internet por el Firewall/Proxy [FW]. [SS] es el Servidor Sat�nico. Lo que
se encuentra entre [FW] y [SS] es la nube de Internet.
[FW] impone restricciones sobre el contenido y los servicios que pueden
acceder y ofrecer [C1]..[Cn], de acuerdo con una pol�tica de uso aceptable
dada por los administradores de [FW].
Los due�os de [SS] ofrecen un servicio que, para todos los efectos, parece
ser una p�gina web segura: corre en el puerto 443 (https) y est� en una
direcci�n v�lida de Internet.
Pero no es realmente una p�gina, sino el servidor para un cliente
propietario que los due�os de [SS] distribuyen y que parece un cliente de
Web. Pero no es realmente un navegador.
Los usuarios de la red local instalan el cliente en su m�quina [Cx] y ese
cliente se pega a [SS], de manera que [FW] ve una conexi�n de https, que
[FW] deja pasar y, por el protocolo que es, est� impedido de abrir los
paquetes que viajan de [Cx] a [SS], por lo que no tiene una manera directa
para saber que los datos que andan por all� no son, efectivamente, de una
leg�tima transacci�n de acceso a una p�gina segura.
El cliente provee a la m�quina local un proxy de SOCKS a trav�s de la
conexi�n hacia [SS], con lo que [Cx] se comporta como si estuviera en la
red local de [SS], en donde aplican las reglas de los due�os de [SS], no
las de los administradores de [FW].
Para los usuarios locales esto significa que pueden usar b�sicamente lo
que les d� la gana - clientes de P2P, de chat, mail bombers... todo lo que
se permita por medio de [SS].
Por supuesto, si las reglas de los due�os de [SS] incluyen la instalaci�n
de un servicio de control remoto en [Cx], efectivamente se abri� una
ventana desde el mundo exterior hacia la red local, circunviniendo la
protecci�n de [FW].
Es, entonces, un problema bastante serio.
> Esto para que lo tome en cuenta, no se si squid lo detine o que pero
> solo para que lo tomen en cuenta...
Nope. Squid no lo detiene porque, como en este ejemplo, se acostumbra
servir el t�nel desde algo que parece un servidor de https. S�lo se puede
estar alerta e ir cerrando las direcciones que sirven t�neles conforme
vayan surgiendo y monitorear el uso que se le da a los recursos de red.
Saludos,
______________________________________
_ ___
___ | || | ' Complexity is human
<_> || || |- simplicity, divine
<___||_||_| SLACKWARE LINUX
--
Desuscripci�n: escriba a [EMAIL PROTECTED], tema 'unsubscribe'
Problemas a: [EMAIL PROTECTED] http://www.linux.or.cr/listas
