Lo que puedes hacer un volcado de los paquetes que saca http tunnel y observar su compartamiento. Después en base a ese estudio, puedes generar una regla en snort-inline para que deniegue esas conexiones.
Un saludo y suerte ;) Iñaki R. ----- Original Message ----- From: "Alejandro" <[EMAIL PROTECTED]> To: "Iñaki R." <[EMAIL PROTECTED]>; "Debian Lista" <debian-user-spanish@lists.debian.org> Sent: Tuesday, February 15, 2005 6:50 PM Subject: Re: Filtrar tunel SOCKS/HTTP > Iñaki, gracias por responder. > > Pero justamente este software no usa el metodo CONNECT (eso creo yo) dado > que el SQUID tiene denegado dicho metodo hacia ningun otro port que no sea > el 443, y asi y todo el trafico sale igual por HTTP. > > Y la explicacion del software > (http://www.http-tunnel.com/html/solutions/http_tunnel/client.asp) dice que > saca todo el trafico a traves del port 80 (y no del 443 o algun otro > accesado por el metodo CONNECT)...me confunde. > > En fin...vere si lo puedo sacar. > Muchas gracias !!! > > Alejandro > > > > ----- Original Message ----- > From: "Iñaki R." <[EMAIL PROTECTED]> > To: "Debian Lista" <debian-user-spanish@lists.debian.org> > Sent: Tuesday, February 15, 2005 2:20 PM > Subject: Re: Filtrar tunel SOCKS/HTTP > > > > Hola Alejandro, > > > > puedes probar una solución como integrar snort-inline dentro del firewall > > para cazar esos connects y denegarlos. > > > > Un saludo, > > > > Iñaki R. > > ----- Original Message ----- > > From: "Alejandro" <[EMAIL PROTECTED]> > > To: "Debian Lista" <debian-user-spanish@lists.debian.org> > > Sent: Tuesday, February 15, 2005 6:08 PM > > Subject: Filtrar tunel SOCKS/HTTP > > > > > > > Hola, dias atras habia preguntado cosas sobre tuneles que usaban el > metodo > > > CONNECT y ya esta, ya lo tengo clarito. > > > > > > Ahora mi duda es con los tuneles que usan ciertos softwares como el > > > http-tunnel para Windows (www.http-tunnel.com), el cual instala un > server > > > SOCKS en la PC de una LAN que escucha peticiones de programas como el > > > navegador, P2P, clientes FTP, etc. y luego convierte todas esas > peticiones > > > en trafico HTTP que pasa por el port 80 del firewall tranquilamente. Ese > > > > trafico se direcciona a un servidor de tunel que esta en USA y este es > > el > > > encargado en realizar las peticiones y devolverlas al cliente original. > En > > > definitiva, el firewall/proxy de la LAN solo ve pasar trafico web y no > > sabe > > > nada de su contenido. > > > > > > Yo tengo un esquema de seguridad con linux/iptables/squid pero cuando > > activo > > > el http-tunnel en una Windows de mi red interna, me saltea toda la > > seguridad > > > y no se como hacer para filtrarlo. Supongo que algun firewall con > filtrado > > > de contenido en capa 7 podria hacerlo, pero me gustaria que me digan > uds. > > > que harian y si se puede filtrar este tipo de tunel. > > > > > > Muchas gracias como siempre. > > > > > > Alejandro > > > > > > > > > -- > > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > > > with a subject of "unsubscribe". Trouble? Contact > > [EMAIL PROTECTED] > > > > > > > > > -- > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] > > > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
