Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
El vie, 08-08-2008 a las 19:22 -0500, Roberto Velázquez escribió: El día 8 de agosto de 2008 18:13, Jose Luis Gómez [EMAIL PROTECTED] escribió: El vie, 08-08-2008 a las 19:58 -0300, Victor H De la Luz escribió: 2008/8/8 Jose Luis Gómez [EMAIL PROTECTED]: El sáb, 09-08-2008 a las 00:38 +0200, Jose Luis Gómez escribió: El vie, 08-08-2008 a las 17:20 -0500, Roberto V. escribió: Jose Luis Gómez escribió: El vie, 08-08-2008 a las 16:54 -0500, Roberto V. escribió: Que tal lista, He buscado por google y no me ha quedado bien lo que a continuación pregunto: En mi trabajo han bloqueado el puerto 80, es decir ya no podemos ver páginas web, pero tenemos acceso al correo a través del puerto 110 de pop3 y salida de correo por el puerto 25 que es smtp. Entonces me gustaria saber si es posible usar algún proxy o tunnel para salir a través del 110. Es decir en mi casa, por ejemplo, mi PC que tiene salida a internet sin restricción estaria el proxy/tunnel. Lo que tenia pensado era cambiar en el firefox la conexión de conexión directa a internet a usar un proxy y en poner la dir. de la computadora de mi casa y en el puerto poner el puerto 110. y la PC de mi casa estaria escuchando por ese puerto y me devolveria las peticiones por el 110. ¿Es posible? Si es asi, que programa (claro, en debian) me serviria? ¿Serviria para esto el squid? Saludos y gracias En principio si, con un squid en tu casa te sobraría. Digo en principio pq depende de un millón de cosas.: 1) Dices que tienes salida por smtp : Si se han molestado en caparte la navegación, casi seguro que tienes filtrado por IP destino las conexiones smtp. Permitirán al relay de donde te den el hosting/housing del correo y poco más. 2) Que no tengan filtro a nivel de capa 7 : Si solo filtran por protocolo pasas, pero si filtran a nivel de aplicación, por mucho que lo pases por el puerto que sea, van a pescar que es navegación (o lo que proceda). Dudo que las máquinas estén habilitadas para el acceso directo a internet, este tema se suele montar con proxy y despues un firewall de primera linea que deja salir a ciertas IPs a Internet mediante NAT. Así controlas que máquinas salen y con que IP pública salen. OrigenDestino ServicioOrigen Destino MáquinaX OriginalANY Interface-NAT Original Esto en término de NAT, despues capas puertos con firewall. En resumen ... depende de lo chapucera que sea tu empresa. Un Saludo. Pues aun no entiendo bien si tienen filtrado por capa 7, pero puedo comentar que para la navegación, tambien tienen restricciones, es decir. Los usuarios normales no tenemos acceso a nada de http, solo correo. Los jefes intermedios, por asi llamarlos, tienen acceso a páginas web, pero solo las que sean http, no https ni tampoco tienen acceso a ciertas páginas ni pueden bajar ciertos archivos (audio, video, comprimidos, exe, etc). y los jefes de alto rango si tienen acceso total al internet. Esto lo logran logueandose al firewall y dependiendo del usuario es el nivel de acceso a internet. La empresa tiene un firewall llamadao Firebox/Watchguard. Con esta información un poco más amplia es posible saber si se puede hacer lo que planteaba yo en mi pregunta original? Saludos y gracias. Todo lo que comentas puede realizarse con mucha o poca logística, eso tampoco determina las medidas proactivas de seguridad que tengan. Me explico ... Que haya distintos perfiles a la hora de navegación garantiza que hay por ahí un proxy (además del firewall) ... si tu empresa es Windowsiana, casi seguro que tendrá un ISA y las políticas de grupo las mira contra el AD. Si es Linuxera, tendrá un Squid y gestiona esos perfiles con ACLs o un LDAP, OAS o la madre que me parió. Por lo que comentas, casi estoy seguro, que tendrá una configuración del tipo Firewall+Proxy+Gestor de contenidos (websense o los millones que hay) ... eso suele ser lo más normal. También existe la posibilidad, de que tu empresa maneje panoja y se haya gastado 30.000 € en la implantación de un IPS/IDS estilo Intrushield o gaitas similares, con lo que a parte del Firewall + Gestor de Contenidos, tendrá filtro capa 7. Siento no darte ninguna respuesta concreta, quiero que te llegue el mensaje de que con los datos que disponemos no podemos determinar nada. Aun caben todas las posibilidades. Para saber más sobre el ámbito en el que te estás moviendo, si no conoces la topología de red, te aconsejo tirar de herramientas tipo netdiscover y
Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
Roberto V. escreveu: Que tal lista, He buscado por google y no me ha quedado bien lo que a continuación pregunto: En mi trabajo han bloqueado el puerto 80, es decir ya no podemos ver páginas web, pero tenemos acceso al correo a través del puerto 110 de pop3 y salida de correo por el puerto 25 que es smtp. Entonces me gustaria saber si es posible usar algún proxy o tunnel para salir a través del 110. Es decir en mi casa, por ejemplo, mi PC que tiene salida a internet sin restricción estaria el proxy/tunnel. Lo que tenia pensado era cambiar en el firefox la conexión de conexión directa a internet a usar un proxy y en poner la dir. de la computadora de mi casa y en el puerto poner el puerto 110. y la PC de mi casa estaria escuchando por ese puerto y me devolveria las peticiones por el 110. ¿Es posible? Si es asi, que programa (claro, en debian) me serviria? ¿Serviria para esto el squid? Saludos y gracias Bueno... realmente querés buscar una manerar de saltear las medidas de seguridad que la empresa para la cual trabajás puso a funcionar? Creo que estás buscando problemas. Independientemente del tipo de como esté armado todo el mecanismo, seguramente tendrán un control de tráfico y les resultará extraño ver que de tu PC sale mucho correo electrónico. Más extraño aún será ver que el tráfico en cuestión está encriptado y va hacia una PC hogareña!!! Peor todavía, hay mucho tráfico hacia la PC hogareña, siendo que en una conexión POP3 la mayoría del tráfico viene hacia el cliente (en este caso, tu estación de trabajo)!!! Puede llevar 1 dia, 1 semana o 1 año para que se den cuenta, pero van a percibir ese tipo de comportamiento. En fin... suerte. -- Miguel Da Silva Administrador Junior de Sistemas Unix Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
El sáb, 09-08-2008 a las 13:28 -0300, Miguel Da Silva - Centro de Matemática escribió: Roberto V. escreveu: Que tal lista, He buscado por google y no me ha quedado bien lo que a continuación pregunto: En mi trabajo han bloqueado el puerto 80, es decir ya no podemos ver páginas web, pero tenemos acceso al correo a través del puerto 110 de pop3 y salida de correo por el puerto 25 que es smtp. Entonces me gustaria saber si es posible usar algún proxy o tunnel para salir a través del 110. Es decir en mi casa, por ejemplo, mi PC que tiene salida a internet sin restricción estaria el proxy/tunnel. Lo que tenia pensado era cambiar en el firefox la conexión de conexión directa a internet a usar un proxy y en poner la dir. de la computadora de mi casa y en el puerto poner el puerto 110. y la PC de mi casa estaria escuchando por ese puerto y me devolveria las peticiones por el 110. ¿Es posible? Si es asi, que programa (claro, en debian) me serviria? ¿Serviria para esto el squid? Saludos y gracias Bueno... realmente querés buscar una manerar de saltear las medidas de seguridad que la empresa para la cual trabajás puso a funcionar? Creo que estás buscando problemas. Independientemente del tipo de como esté armado todo el mecanismo, seguramente tendrán un control de tráfico y les resultará extraño ver que de tu PC sale mucho correo electrónico. Más extraño aún será ver que el tráfico en cuestión está encriptado y va hacia una PC hogareña!!! Peor todavía, hay mucho tráfico hacia la PC hogareña, siendo que en una conexión POP3 la mayoría del tráfico viene hacia el cliente (en este caso, tu estación de trabajo)!!! Puede llevar 1 dia, 1 semana o 1 año para que se den cuenta, pero van a percibir ese tipo de comportamiento. En fin... suerte. -- Miguel Da Silva Administrador Junior de Sistemas Unix Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy Pues yo en este punto discrepo. Creo que una vez saltadas las medidas de seguridad perimetrales, ya no te pescan. Tengo el culo ya un poco pelao y aun no vi lugar en que se realicen las actividades que dices ... ¿Monitorizar Tráfico de Workstations? -- Bastante trabajoso es monitorizar las cosas importantes (servidores, routers, switches ...) como para ponerte a monitorizar Workstations. ¿Detectar tráfico cifrado? -- Más cosas pasarán por SSL , supongo (y espero) que la gente que tiene navegación les dejen utilizar el https. ¿Monitorizar IPs destino y detectar la de tu casa? -- Ojú, una empresa medio normal ... conecta a unas cuantas IPs al día eh?. Aunque claro, todo es relativo, si la infraestructura TI se reduce a tu Workstation y las conexiones salientes permitidas a 2 IPs en concreto ... tonces si que pueden pescarte. Un Saludo. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
Jose Luis Gómez escreveu: El sáb, 09-08-2008 a las 13:28 -0300, Miguel Da Silva - Centro de Matemática escribió: Roberto V. escreveu: Que tal lista, He buscado por google y no me ha quedado bien lo que a continuación pregunto: En mi trabajo han bloqueado el puerto 80, es decir ya no podemos ver páginas web, pero tenemos acceso al correo a través del puerto 110 de pop3 y salida de correo por el puerto 25 que es smtp. Entonces me gustaria saber si es posible usar algún proxy o tunnel para salir a través del 110. Es decir en mi casa, por ejemplo, mi PC que tiene salida a internet sin restricción estaria el proxy/tunnel. Lo que tenia pensado era cambiar en el firefox la conexión de conexión directa a internet a usar un proxy y en poner la dir. de la computadora de mi casa y en el puerto poner el puerto 110. y la PC de mi casa estaria escuchando por ese puerto y me devolveria las peticiones por el 110. ¿Es posible? Si es asi, que programa (claro, en debian) me serviria? ¿Serviria para esto el squid? Saludos y gracias Bueno... realmente querés buscar una manerar de saltear las medidas de seguridad que la empresa para la cual trabajás puso a funcionar? Creo que estás buscando problemas. Independientemente del tipo de como esté armado todo el mecanismo, seguramente tendrán un control de tráfico y les resultará extraño ver que de tu PC sale mucho correo electrónico. Más extraño aún será ver que el tráfico en cuestión está encriptado y va hacia una PC hogareña!!! Peor todavía, hay mucho tráfico hacia la PC hogareña, siendo que en una conexión POP3 la mayoría del tráfico viene hacia el cliente (en este caso, tu estación de trabajo)!!! Puede llevar 1 dia, 1 semana o 1 año para que se den cuenta, pero van a percibir ese tipo de comportamiento. En fin... suerte. -- Miguel Da Silva Administrador Junior de Sistemas Unix Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy Pues yo en este punto discrepo. Creo que una vez saltadas las medidas de seguridad perimetrales, ya no te pescan. Tengo el culo ya un poco pelao y aun no vi lugar en que se realicen las actividades que dices ... ¿Monitorizar Tráfico de Workstations? -- Bastante trabajoso es monitorizar las cosas importantes (servidores, routers, switches ...) como para ponerte a monitorizar Workstations. ¿Detectar tráfico cifrado? -- Más cosas pasarán por SSL , supongo (y espero) que la gente que tiene navegación les dejen utilizar el https. ¿Monitorizar IPs destino y detectar la de tu casa? -- Ojú, una empresa medio normal ... conecta a unas cuantas IPs al día eh?. Aunque claro, todo es relativo, si la infraestructura TI se reduce a tu Workstation y las conexiones salientes permitidas a 2 IPs en concreto ... tonces si que pueden pescarte. Un Saludo. Si vos lo decís... bien por vos. Suerte en pila. -- Miguel Da Silva Administrador Junior de Sistemas Unix Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
[OT] Tuneleo/Proxy puerto 110/80, es posible?
Que tal lista, He buscado por google y no me ha quedado bien lo que a continuación pregunto: En mi trabajo han bloqueado el puerto 80, es decir ya no podemos ver páginas web, pero tenemos acceso al correo a través del puerto 110 de pop3 y salida de correo por el puerto 25 que es smtp. Entonces me gustaria saber si es posible usar algún proxy o tunnel para salir a través del 110. Es decir en mi casa, por ejemplo, mi PC que tiene salida a internet sin restricción estaria el proxy/tunnel. Lo que tenia pensado era cambiar en el firefox la conexión de conexión directa a internet a usar un proxy y en poner la dir. de la computadora de mi casa y en el puerto poner el puerto 110. y la PC de mi casa estaria escuchando por ese puerto y me devolveria las peticiones por el 110. ¿Es posible? Si es asi, que programa (claro, en debian) me serviria? ¿Serviria para esto el squid? Saludos y gracias -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
El vie, 08-08-2008 a las 16:54 -0500, Roberto V. escribió: Que tal lista, He buscado por google y no me ha quedado bien lo que a continuación pregunto: En mi trabajo han bloqueado el puerto 80, es decir ya no podemos ver páginas web, pero tenemos acceso al correo a través del puerto 110 de pop3 y salida de correo por el puerto 25 que es smtp. Entonces me gustaria saber si es posible usar algún proxy o tunnel para salir a través del 110. Es decir en mi casa, por ejemplo, mi PC que tiene salida a internet sin restricción estaria el proxy/tunnel. Lo que tenia pensado era cambiar en el firefox la conexión de conexión directa a internet a usar un proxy y en poner la dir. de la computadora de mi casa y en el puerto poner el puerto 110. y la PC de mi casa estaria escuchando por ese puerto y me devolveria las peticiones por el 110. ¿Es posible? Si es asi, que programa (claro, en debian) me serviria? ¿Serviria para esto el squid? Saludos y gracias En principio si, con un squid en tu casa te sobraría. Digo en principio pq depende de un millón de cosas.: 1) Dices que tienes salida por smtp : Si se han molestado en caparte la navegación, casi seguro que tienes filtrado por IP destino las conexiones smtp. Permitirán al relay de donde te den el hosting/housing del correo y poco más. 2) Que no tengan filtro a nivel de capa 7 : Si solo filtran por protocolo pasas, pero si filtran a nivel de aplicación, por mucho que lo pases por el puerto que sea, van a pescar que es navegación (o lo que proceda). Dudo que las máquinas estén habilitadas para el acceso directo a internet, este tema se suele montar con proxy y despues un firewall de primera linea que deja salir a ciertas IPs a Internet mediante NAT. Así controlas que máquinas salen y con que IP pública salen. Origen Destino ServicioOrigen Destino MáquinaXOriginalANY Interface-NAT Original Esto en término de NAT, despues capas puertos con firewall. En resumen ... depende de lo chapucera que sea tu empresa. Un Saludo. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
Jose Luis Gómez escribió: El vie, 08-08-2008 a las 16:54 -0500, Roberto V. escribió: Que tal lista, He buscado por google y no me ha quedado bien lo que a continuación pregunto: En mi trabajo han bloqueado el puerto 80, es decir ya no podemos ver páginas web, pero tenemos acceso al correo a través del puerto 110 de pop3 y salida de correo por el puerto 25 que es smtp. Entonces me gustaria saber si es posible usar algún proxy o tunnel para salir a través del 110. Es decir en mi casa, por ejemplo, mi PC que tiene salida a internet sin restricción estaria el proxy/tunnel. Lo que tenia pensado era cambiar en el firefox la conexión de conexión directa a internet a usar un proxy y en poner la dir. de la computadora de mi casa y en el puerto poner el puerto 110. y la PC de mi casa estaria escuchando por ese puerto y me devolveria las peticiones por el 110. ¿Es posible? Si es asi, que programa (claro, en debian) me serviria? ¿Serviria para esto el squid? Saludos y gracias En principio si, con un squid en tu casa te sobraría. Digo en principio pq depende de un millón de cosas.: 1) Dices que tienes salida por smtp : Si se han molestado en caparte la navegación, casi seguro que tienes filtrado por IP destino las conexiones smtp. Permitirán al relay de donde te den el hosting/housing del correo y poco más. 2) Que no tengan filtro a nivel de capa 7 : Si solo filtran por protocolo pasas, pero si filtran a nivel de aplicación, por mucho que lo pases por el puerto que sea, van a pescar que es navegación (o lo que proceda). Dudo que las máquinas estén habilitadas para el acceso directo a internet, este tema se suele montar con proxy y despues un firewall de primera linea que deja salir a ciertas IPs a Internet mediante NAT. Así controlas que máquinas salen y con que IP pública salen. Origen Destino ServicioOrigen Destino MáquinaXOriginalANY Interface-NAT Original Esto en término de NAT, despues capas puertos con firewall. En resumen ... depende de lo chapucera que sea tu empresa. Un Saludo. Pues aun no entiendo bien si tienen filtrado por capa 7, pero puedo comentar que para la navegación, tambien tienen restricciones, es decir. Los usuarios normales no tenemos acceso a nada de http, solo correo. Los jefes intermedios, por asi llamarlos, tienen acceso a páginas web, pero solo las que sean http, no https ni tampoco tienen acceso a ciertas páginas ni pueden bajar ciertos archivos (audio, video, comprimidos, exe, etc). y los jefes de alto rango si tienen acceso total al internet. Esto lo logran logueandose al firewall y dependiendo del usuario es el nivel de acceso a internet. La empresa tiene un firewall llamadao Firebox/Watchguard. Con esta información un poco más amplia es posible saber si se puede hacer lo que planteaba yo en mi pregunta original? Saludos y gracias. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
El vie, 08-08-2008 a las 17:20 -0500, Roberto V. escribió: Jose Luis Gómez escribió: El vie, 08-08-2008 a las 16:54 -0500, Roberto V. escribió: Que tal lista, He buscado por google y no me ha quedado bien lo que a continuación pregunto: En mi trabajo han bloqueado el puerto 80, es decir ya no podemos ver páginas web, pero tenemos acceso al correo a través del puerto 110 de pop3 y salida de correo por el puerto 25 que es smtp. Entonces me gustaria saber si es posible usar algún proxy o tunnel para salir a través del 110. Es decir en mi casa, por ejemplo, mi PC que tiene salida a internet sin restricción estaria el proxy/tunnel. Lo que tenia pensado era cambiar en el firefox la conexión de conexión directa a internet a usar un proxy y en poner la dir. de la computadora de mi casa y en el puerto poner el puerto 110. y la PC de mi casa estaria escuchando por ese puerto y me devolveria las peticiones por el 110. ¿Es posible? Si es asi, que programa (claro, en debian) me serviria? ¿Serviria para esto el squid? Saludos y gracias En principio si, con un squid en tu casa te sobraría. Digo en principio pq depende de un millón de cosas.: 1) Dices que tienes salida por smtp : Si se han molestado en caparte la navegación, casi seguro que tienes filtrado por IP destino las conexiones smtp. Permitirán al relay de donde te den el hosting/housing del correo y poco más. 2) Que no tengan filtro a nivel de capa 7 : Si solo filtran por protocolo pasas, pero si filtran a nivel de aplicación, por mucho que lo pases por el puerto que sea, van a pescar que es navegación (o lo que proceda). Dudo que las máquinas estén habilitadas para el acceso directo a internet, este tema se suele montar con proxy y despues un firewall de primera linea que deja salir a ciertas IPs a Internet mediante NAT. Así controlas que máquinas salen y con que IP pública salen. Origen Destino ServicioOrigen Destino MáquinaXOriginalANY Interface-NAT Original Esto en término de NAT, despues capas puertos con firewall. En resumen ... depende de lo chapucera que sea tu empresa. Un Saludo. Pues aun no entiendo bien si tienen filtrado por capa 7, pero puedo comentar que para la navegación, tambien tienen restricciones, es decir. Los usuarios normales no tenemos acceso a nada de http, solo correo. Los jefes intermedios, por asi llamarlos, tienen acceso a páginas web, pero solo las que sean http, no https ni tampoco tienen acceso a ciertas páginas ni pueden bajar ciertos archivos (audio, video, comprimidos, exe, etc). y los jefes de alto rango si tienen acceso total al internet. Esto lo logran logueandose al firewall y dependiendo del usuario es el nivel de acceso a internet. La empresa tiene un firewall llamadao Firebox/Watchguard. Con esta información un poco más amplia es posible saber si se puede hacer lo que planteaba yo en mi pregunta original? Saludos y gracias. Todo lo que comentas puede realizarse con mucha o poca logística, eso tampoco determina las medidas proactivas de seguridad que tengan. Me explico ... Que haya distintos perfiles a la hora de navegación garantiza que hay por ahí un proxy (además del firewall) ... si tu empresa es Windowsiana, casi seguro que tendrá un ISA y las políticas de grupo las mira contra el AD. Si es Linuxera, tendrá un Squid y gestiona esos perfiles con ACLs o un LDAP, OAS o la madre que me parió. Por lo que comentas, casi estoy seguro, que tendrá una configuración del tipo Firewall+Proxy+Gestor de contenidos (websense o los millones que hay) ... eso suele ser lo más normal. También existe la posibilidad, de que tu empresa maneje panoja y se haya gastado 30.000 € en la implantación de un IPS/IDS estilo Intrushield o gaitas similares, con lo que a parte del Firewall + Gestor de Contenidos, tendrá filtro capa 7. Siento no darte ninguna respuesta concreta, quiero que te llegue el mensaje de que con los datos que disponemos no podemos determinar nada. Aun caben todas las posibilidades. Para saber más sobre el ámbito en el que te estás moviendo, si no conoces la topología de red, te aconsejo tirar de herramientas tipo netdiscover y esnifar para obtener info de como está montada la red. Por ejemplo, si la red estuviera mal conmutada y el envio de user/pass se hiciera en crudo, puede ser tan facil como pescar al vuelo un user y passwd con privilegios para validar contra el proxy y no complicarte más la vida. Ufff es que esto nunca es una ciencia exacta, si lo fuera, los auditores estarían en el puto paro :) Un Saludo. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
El sáb, 09-08-2008 a las 00:38 +0200, Jose Luis Gómez escribió: El vie, 08-08-2008 a las 17:20 -0500, Roberto V. escribió: Jose Luis Gómez escribió: El vie, 08-08-2008 a las 16:54 -0500, Roberto V. escribió: Que tal lista, He buscado por google y no me ha quedado bien lo que a continuación pregunto: En mi trabajo han bloqueado el puerto 80, es decir ya no podemos ver páginas web, pero tenemos acceso al correo a través del puerto 110 de pop3 y salida de correo por el puerto 25 que es smtp. Entonces me gustaria saber si es posible usar algún proxy o tunnel para salir a través del 110. Es decir en mi casa, por ejemplo, mi PC que tiene salida a internet sin restricción estaria el proxy/tunnel. Lo que tenia pensado era cambiar en el firefox la conexión de conexión directa a internet a usar un proxy y en poner la dir. de la computadora de mi casa y en el puerto poner el puerto 110. y la PC de mi casa estaria escuchando por ese puerto y me devolveria las peticiones por el 110. ¿Es posible? Si es asi, que programa (claro, en debian) me serviria? ¿Serviria para esto el squid? Saludos y gracias En principio si, con un squid en tu casa te sobraría. Digo en principio pq depende de un millón de cosas.: 1) Dices que tienes salida por smtp : Si se han molestado en caparte la navegación, casi seguro que tienes filtrado por IP destino las conexiones smtp. Permitirán al relay de donde te den el hosting/housing del correo y poco más. 2) Que no tengan filtro a nivel de capa 7 : Si solo filtran por protocolo pasas, pero si filtran a nivel de aplicación, por mucho que lo pases por el puerto que sea, van a pescar que es navegación (o lo que proceda). Dudo que las máquinas estén habilitadas para el acceso directo a internet, este tema se suele montar con proxy y despues un firewall de primera linea que deja salir a ciertas IPs a Internet mediante NAT. Así controlas que máquinas salen y con que IP pública salen. OrigenDestino ServicioOrigen Destino MáquinaX OriginalANY Interface-NAT Original Esto en término de NAT, despues capas puertos con firewall. En resumen ... depende de lo chapucera que sea tu empresa. Un Saludo. Pues aun no entiendo bien si tienen filtrado por capa 7, pero puedo comentar que para la navegación, tambien tienen restricciones, es decir. Los usuarios normales no tenemos acceso a nada de http, solo correo. Los jefes intermedios, por asi llamarlos, tienen acceso a páginas web, pero solo las que sean http, no https ni tampoco tienen acceso a ciertas páginas ni pueden bajar ciertos archivos (audio, video, comprimidos, exe, etc). y los jefes de alto rango si tienen acceso total al internet. Esto lo logran logueandose al firewall y dependiendo del usuario es el nivel de acceso a internet. La empresa tiene un firewall llamadao Firebox/Watchguard. Con esta información un poco más amplia es posible saber si se puede hacer lo que planteaba yo en mi pregunta original? Saludos y gracias. Todo lo que comentas puede realizarse con mucha o poca logística, eso tampoco determina las medidas proactivas de seguridad que tengan. Me explico ... Que haya distintos perfiles a la hora de navegación garantiza que hay por ahí un proxy (además del firewall) ... si tu empresa es Windowsiana, casi seguro que tendrá un ISA y las políticas de grupo las mira contra el AD. Si es Linuxera, tendrá un Squid y gestiona esos perfiles con ACLs o un LDAP, OAS o la madre que me parió. Por lo que comentas, casi estoy seguro, que tendrá una configuración del tipo Firewall+Proxy+Gestor de contenidos (websense o los millones que hay) ... eso suele ser lo más normal. También existe la posibilidad, de que tu empresa maneje panoja y se haya gastado 30.000 € en la implantación de un IPS/IDS estilo Intrushield o gaitas similares, con lo que a parte del Firewall + Gestor de Contenidos, tendrá filtro capa 7. Siento no darte ninguna respuesta concreta, quiero que te llegue el mensaje de que con los datos que disponemos no podemos determinar nada. Aun caben todas las posibilidades. Para saber más sobre el ámbito en el que te estás moviendo, si no conoces la topología de red, te aconsejo tirar de herramientas tipo netdiscover y esnifar para obtener info de como está montada la red. Por ejemplo, si la red estuviera mal conmutada y el envio de user/pass se hiciera en crudo, puede ser tan facil como pescar al vuelo un user y passwd con privilegios para validar contra el proxy y no complicarte más la vida. Ufff es que esto nunca es una ciencia exacta, si lo fuera, los auditores estarían en el puto paro :) Un Saludo. Donde dije OAS, quise decir OID. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble?
Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
2008/8/8 Jose Luis Gómez [EMAIL PROTECTED]: El sáb, 09-08-2008 a las 00:38 +0200, Jose Luis Gómez escribió: El vie, 08-08-2008 a las 17:20 -0500, Roberto V. escribió: Jose Luis Gómez escribió: El vie, 08-08-2008 a las 16:54 -0500, Roberto V. escribió: Que tal lista, He buscado por google y no me ha quedado bien lo que a continuación pregunto: En mi trabajo han bloqueado el puerto 80, es decir ya no podemos ver páginas web, pero tenemos acceso al correo a través del puerto 110 de pop3 y salida de correo por el puerto 25 que es smtp. Entonces me gustaria saber si es posible usar algún proxy o tunnel para salir a través del 110. Es decir en mi casa, por ejemplo, mi PC que tiene salida a internet sin restricción estaria el proxy/tunnel. Lo que tenia pensado era cambiar en el firefox la conexión de conexión directa a internet a usar un proxy y en poner la dir. de la computadora de mi casa y en el puerto poner el puerto 110. y la PC de mi casa estaria escuchando por ese puerto y me devolveria las peticiones por el 110. ¿Es posible? Si es asi, que programa (claro, en debian) me serviria? ¿Serviria para esto el squid? Saludos y gracias En principio si, con un squid en tu casa te sobraría. Digo en principio pq depende de un millón de cosas.: 1) Dices que tienes salida por smtp : Si se han molestado en caparte la navegación, casi seguro que tienes filtrado por IP destino las conexiones smtp. Permitirán al relay de donde te den el hosting/housing del correo y poco más. 2) Que no tengan filtro a nivel de capa 7 : Si solo filtran por protocolo pasas, pero si filtran a nivel de aplicación, por mucho que lo pases por el puerto que sea, van a pescar que es navegación (o lo que proceda). Dudo que las máquinas estén habilitadas para el acceso directo a internet, este tema se suele montar con proxy y despues un firewall de primera linea que deja salir a ciertas IPs a Internet mediante NAT. Así controlas que máquinas salen y con que IP pública salen. OrigenDestino ServicioOrigen Destino MáquinaX OriginalANY Interface-NAT Original Esto en término de NAT, despues capas puertos con firewall. En resumen ... depende de lo chapucera que sea tu empresa. Un Saludo. Pues aun no entiendo bien si tienen filtrado por capa 7, pero puedo comentar que para la navegación, tambien tienen restricciones, es decir. Los usuarios normales no tenemos acceso a nada de http, solo correo. Los jefes intermedios, por asi llamarlos, tienen acceso a páginas web, pero solo las que sean http, no https ni tampoco tienen acceso a ciertas páginas ni pueden bajar ciertos archivos (audio, video, comprimidos, exe, etc). y los jefes de alto rango si tienen acceso total al internet. Esto lo logran logueandose al firewall y dependiendo del usuario es el nivel de acceso a internet. La empresa tiene un firewall llamadao Firebox/Watchguard. Con esta información un poco más amplia es posible saber si se puede hacer lo que planteaba yo en mi pregunta original? Saludos y gracias. Todo lo que comentas puede realizarse con mucha o poca logística, eso tampoco determina las medidas proactivas de seguridad que tengan. Me explico ... Que haya distintos perfiles a la hora de navegación garantiza que hay por ahí un proxy (además del firewall) ... si tu empresa es Windowsiana, casi seguro que tendrá un ISA y las políticas de grupo las mira contra el AD. Si es Linuxera, tendrá un Squid y gestiona esos perfiles con ACLs o un LDAP, OAS o la madre que me parió. Por lo que comentas, casi estoy seguro, que tendrá una configuración del tipo Firewall+Proxy+Gestor de contenidos (websense o los millones que hay) ... eso suele ser lo más normal. También existe la posibilidad, de que tu empresa maneje panoja y se haya gastado 30.000 € en la implantación de un IPS/IDS estilo Intrushield o gaitas similares, con lo que a parte del Firewall + Gestor de Contenidos, tendrá filtro capa 7. Siento no darte ninguna respuesta concreta, quiero que te llegue el mensaje de que con los datos que disponemos no podemos determinar nada. Aun caben todas las posibilidades. Para saber más sobre el ámbito en el que te estás moviendo, si no conoces la topología de red, te aconsejo tirar de herramientas tipo netdiscover y esnifar para obtener info de como está montada la red. Por ejemplo, si la red estuviera mal conmutada y el envio de user/pass se hiciera en crudo, puede ser tan facil como pescar al vuelo un user y passwd con privilegios para validar contra el proxy y no complicarte más la vida. Ufff es que esto nunca es una ciencia exacta, si lo fuera, los auditores estarían en el puto paro :) Un Saludo. Donde dije OAS, quise decir OID. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe.
Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
El vie, 08-08-2008 a las 19:58 -0300, Victor H De la Luz escribió: 2008/8/8 Jose Luis Gómez [EMAIL PROTECTED]: El sáb, 09-08-2008 a las 00:38 +0200, Jose Luis Gómez escribió: El vie, 08-08-2008 a las 17:20 -0500, Roberto V. escribió: Jose Luis Gómez escribió: El vie, 08-08-2008 a las 16:54 -0500, Roberto V. escribió: Que tal lista, He buscado por google y no me ha quedado bien lo que a continuación pregunto: En mi trabajo han bloqueado el puerto 80, es decir ya no podemos ver páginas web, pero tenemos acceso al correo a través del puerto 110 de pop3 y salida de correo por el puerto 25 que es smtp. Entonces me gustaria saber si es posible usar algún proxy o tunnel para salir a través del 110. Es decir en mi casa, por ejemplo, mi PC que tiene salida a internet sin restricción estaria el proxy/tunnel. Lo que tenia pensado era cambiar en el firefox la conexión de conexión directa a internet a usar un proxy y en poner la dir. de la computadora de mi casa y en el puerto poner el puerto 110. y la PC de mi casa estaria escuchando por ese puerto y me devolveria las peticiones por el 110. ¿Es posible? Si es asi, que programa (claro, en debian) me serviria? ¿Serviria para esto el squid? Saludos y gracias En principio si, con un squid en tu casa te sobraría. Digo en principio pq depende de un millón de cosas.: 1) Dices que tienes salida por smtp : Si se han molestado en caparte la navegación, casi seguro que tienes filtrado por IP destino las conexiones smtp. Permitirán al relay de donde te den el hosting/housing del correo y poco más. 2) Que no tengan filtro a nivel de capa 7 : Si solo filtran por protocolo pasas, pero si filtran a nivel de aplicación, por mucho que lo pases por el puerto que sea, van a pescar que es navegación (o lo que proceda). Dudo que las máquinas estén habilitadas para el acceso directo a internet, este tema se suele montar con proxy y despues un firewall de primera linea que deja salir a ciertas IPs a Internet mediante NAT. Así controlas que máquinas salen y con que IP pública salen. OrigenDestino ServicioOrigen Destino MáquinaX OriginalANY Interface-NAT Original Esto en término de NAT, despues capas puertos con firewall. En resumen ... depende de lo chapucera que sea tu empresa. Un Saludo. Pues aun no entiendo bien si tienen filtrado por capa 7, pero puedo comentar que para la navegación, tambien tienen restricciones, es decir. Los usuarios normales no tenemos acceso a nada de http, solo correo. Los jefes intermedios, por asi llamarlos, tienen acceso a páginas web, pero solo las que sean http, no https ni tampoco tienen acceso a ciertas páginas ni pueden bajar ciertos archivos (audio, video, comprimidos, exe, etc). y los jefes de alto rango si tienen acceso total al internet. Esto lo logran logueandose al firewall y dependiendo del usuario es el nivel de acceso a internet. La empresa tiene un firewall llamadao Firebox/Watchguard. Con esta información un poco más amplia es posible saber si se puede hacer lo que planteaba yo en mi pregunta original? Saludos y gracias. Todo lo que comentas puede realizarse con mucha o poca logística, eso tampoco determina las medidas proactivas de seguridad que tengan. Me explico ... Que haya distintos perfiles a la hora de navegación garantiza que hay por ahí un proxy (además del firewall) ... si tu empresa es Windowsiana, casi seguro que tendrá un ISA y las políticas de grupo las mira contra el AD. Si es Linuxera, tendrá un Squid y gestiona esos perfiles con ACLs o un LDAP, OAS o la madre que me parió. Por lo que comentas, casi estoy seguro, que tendrá una configuración del tipo Firewall+Proxy+Gestor de contenidos (websense o los millones que hay) ... eso suele ser lo más normal. También existe la posibilidad, de que tu empresa maneje panoja y se haya gastado 30.000 € en la implantación de un IPS/IDS estilo Intrushield o gaitas similares, con lo que a parte del Firewall + Gestor de Contenidos, tendrá filtro capa 7. Siento no darte ninguna respuesta concreta, quiero que te llegue el mensaje de que con los datos que disponemos no podemos determinar nada. Aun caben todas las posibilidades. Para saber más sobre el ámbito en el que te estás moviendo, si no conoces la topología de red, te aconsejo tirar de herramientas tipo netdiscover y esnifar para obtener info de como está montada la red. Por ejemplo, si la red estuviera mal conmutada y el envio de user/pass se hiciera en crudo, puede ser tan facil como pescar al vuelo un user y passwd con privilegios para validar contra el proxy y no complicarte más la vida. Ufff es que esto nunca es una
Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
El día 8 de agosto de 2008 18:13, Jose Luis Gómez [EMAIL PROTECTED] escribió: El vie, 08-08-2008 a las 19:58 -0300, Victor H De la Luz escribió: 2008/8/8 Jose Luis Gómez [EMAIL PROTECTED]: El sáb, 09-08-2008 a las 00:38 +0200, Jose Luis Gómez escribió: El vie, 08-08-2008 a las 17:20 -0500, Roberto V. escribió: Jose Luis Gómez escribió: El vie, 08-08-2008 a las 16:54 -0500, Roberto V. escribió: Que tal lista, He buscado por google y no me ha quedado bien lo que a continuación pregunto: En mi trabajo han bloqueado el puerto 80, es decir ya no podemos ver páginas web, pero tenemos acceso al correo a través del puerto 110 de pop3 y salida de correo por el puerto 25 que es smtp. Entonces me gustaria saber si es posible usar algún proxy o tunnel para salir a través del 110. Es decir en mi casa, por ejemplo, mi PC que tiene salida a internet sin restricción estaria el proxy/tunnel. Lo que tenia pensado era cambiar en el firefox la conexión de conexión directa a internet a usar un proxy y en poner la dir. de la computadora de mi casa y en el puerto poner el puerto 110. y la PC de mi casa estaria escuchando por ese puerto y me devolveria las peticiones por el 110. ¿Es posible? Si es asi, que programa (claro, en debian) me serviria? ¿Serviria para esto el squid? Saludos y gracias En principio si, con un squid en tu casa te sobraría. Digo en principio pq depende de un millón de cosas.: 1) Dices que tienes salida por smtp : Si se han molestado en caparte la navegación, casi seguro que tienes filtrado por IP destino las conexiones smtp. Permitirán al relay de donde te den el hosting/housing del correo y poco más. 2) Que no tengan filtro a nivel de capa 7 : Si solo filtran por protocolo pasas, pero si filtran a nivel de aplicación, por mucho que lo pases por el puerto que sea, van a pescar que es navegación (o lo que proceda). Dudo que las máquinas estén habilitadas para el acceso directo a internet, este tema se suele montar con proxy y despues un firewall de primera linea que deja salir a ciertas IPs a Internet mediante NAT. Así controlas que máquinas salen y con que IP pública salen. OrigenDestino ServicioOrigen Destino MáquinaX OriginalANY Interface-NAT Original Esto en término de NAT, despues capas puertos con firewall. En resumen ... depende de lo chapucera que sea tu empresa. Un Saludo. Pues aun no entiendo bien si tienen filtrado por capa 7, pero puedo comentar que para la navegación, tambien tienen restricciones, es decir. Los usuarios normales no tenemos acceso a nada de http, solo correo. Los jefes intermedios, por asi llamarlos, tienen acceso a páginas web, pero solo las que sean http, no https ni tampoco tienen acceso a ciertas páginas ni pueden bajar ciertos archivos (audio, video, comprimidos, exe, etc). y los jefes de alto rango si tienen acceso total al internet. Esto lo logran logueandose al firewall y dependiendo del usuario es el nivel de acceso a internet. La empresa tiene un firewall llamadao Firebox/Watchguard. Con esta información un poco más amplia es posible saber si se puede hacer lo que planteaba yo en mi pregunta original? Saludos y gracias. Todo lo que comentas puede realizarse con mucha o poca logística, eso tampoco determina las medidas proactivas de seguridad que tengan. Me explico ... Que haya distintos perfiles a la hora de navegación garantiza que hay por ahí un proxy (además del firewall) ... si tu empresa es Windowsiana, casi seguro que tendrá un ISA y las políticas de grupo las mira contra el AD. Si es Linuxera, tendrá un Squid y gestiona esos perfiles con ACLs o un LDAP, OAS o la madre que me parió. Por lo que comentas, casi estoy seguro, que tendrá una configuración del tipo Firewall+Proxy+Gestor de contenidos (websense o los millones que hay) ... eso suele ser lo más normal. También existe la posibilidad, de que tu empresa maneje panoja y se haya gastado 30.000 € en la implantación de un IPS/IDS estilo Intrushield o gaitas similares, con lo que a parte del Firewall + Gestor de Contenidos, tendrá filtro capa 7. Siento no darte ninguna respuesta concreta, quiero que te llegue el mensaje de que con los datos que disponemos no podemos determinar nada. Aun caben todas las posibilidades. Para saber más sobre el ámbito en el que te estás moviendo, si no conoces la topología de red, te aconsejo tirar de herramientas tipo netdiscover y esnifar para obtener info de como está montada la red. Por ejemplo, si la red estuviera mal conmutada y el envio de user/pass se hiciera en crudo, puede ser tan facil como pescar al vuelo un user y passwd con privilegios para
