El sáb, 09-08-2008 a las 00:38 +0200, Jose Luis Gómez escribió: > El vie, 08-08-2008 a las 17:20 -0500, Roberto V. escribió: > > Jose Luis Gómez escribió: > > > El vie, 08-08-2008 a las 16:54 -0500, Roberto V. escribió: > > >> Que tal lista, > > >> > > >> He buscado por google y no me ha quedado bien lo que a continuación > > >> pregunto: > > >> > > >> En mi trabajo han bloqueado el puerto 80, es decir ya no podemos ver > > >> páginas web, pero tenemos acceso al correo a través del puerto 110 de > > >> pop3 y salida de correo por el puerto 25 que es smtp. Entonces me > > >> gustaria saber si es posible usar algún proxy o tunnel para salir a > > >> través del 110. Es decir en mi casa, por ejemplo, mi PC que tiene salida > > >> a internet sin restricción estaria el proxy/tunnel. > > >> Lo que tenia pensado era cambiar en el firefox la conexión de "conexión > > >> directa a internet" a "usar un proxy" y en poner la dir. de la > > >> computadora de mi casa y en el puerto poner el puerto 110. y la PC de mi > > >> casa estaria escuchando por ese puerto y me devolveria las peticiones > > >> por el 110. ¿Es posible? > > >> > > >> Si es asi, que programa (claro, en debian) me serviria? ¿Serviria para > > >> esto el squid? > > >> > > >> Saludos y gracias > > >> > > >> > > > En principio si, con un squid en tu casa te sobraría. > > > > > > Digo en principio pq depende de un millón de cosas.: > > > > > > 1) Dices que tienes salida por smtp : Si se han molestado en caparte la > > > navegación, casi seguro que tienes filtrado por IP destino las > > > conexiones smtp. Permitirán al relay de donde te den el hosting/housing > > > del correo y poco más. > > > > > > 2) Que no tengan filtro a nivel de capa 7 : Si solo filtran por > > > protocolo pasas, pero si filtran a nivel de aplicación, por mucho que lo > > > pases por el puerto que sea, van a pescar que es navegación (o lo que > > > proceda). > > > > > > Dudo que las máquinas estén habilitadas para el acceso directo a > > > internet, este tema se suele montar con proxy y despues un firewall de > > > primera linea que deja salir a ciertas IPs a Internet mediante NAT. Así > > > controlas que máquinas salen y con que IP pública salen. > > > > > > Origen Destino Servicio Origen Destino > > > MáquinaX Original ANY Interface-NAT Original > > > > > > Esto en término de NAT, despues capas puertos con firewall. > > > > > > En resumen ... depende de lo chapucera que sea tu empresa. > > > > > > Un Saludo. > > > > > > > > Pues aun no entiendo bien si tienen filtrado por capa 7, pero puedo > > comentar que para la navegación, tambien tienen restricciones, es decir. > > Los usuarios normales no tenemos acceso a nada de http, solo correo. Los > > "jefes intermedios", por asi llamarlos, tienen acceso a páginas web, > > pero solo las que sean http, no https ni tampoco tienen acceso a ciertas > > páginas ni pueden bajar ciertos archivos (audio, video, comprimidos, > > exe, etc). y los jefes de alto rango si tienen acceso total al internet. > > Esto lo logran "logueandose" al firewall y dependiendo del usuario es el > > nivel de acceso a internet. La empresa tiene un firewall llamadao > > "Firebox/Watchguard". > > Con esta información un poco más amplia es posible saber si se puede > > hacer lo que planteaba yo en mi pregunta original? > > > > Saludos y gracias. > > > > > Todo lo que comentas puede realizarse con mucha o poca logística, eso > tampoco determina las medidas proactivas de seguridad que tengan. Me > explico ... > > Que haya distintos perfiles a la hora de navegación garantiza que hay > por ahí un proxy (además del firewall) ... si tu empresa es Windowsiana, > casi seguro que tendrá un ISA y las políticas de grupo las mira contra > el AD. Si es Linuxera, tendrá un Squid y gestiona esos perfiles con ACLs > o un LDAP, OAS o la madre que me parió. > > Por lo que comentas, casi estoy seguro, que tendrá una configuración del > tipo Firewall+Proxy+Gestor de contenidos (websense o los millones que > hay) ... eso suele ser lo más normal. > > También existe la posibilidad, de que tu empresa maneje panoja y se haya > gastado 30.000 € en la implantación de un IPS/IDS estilo Intrushield o > gaitas similares, con lo que a parte del Firewall + Gestor de > Contenidos, tendrá filtro capa 7. > > Siento no darte ninguna respuesta concreta, quiero que te llegue el > mensaje de que con los datos que disponemos no podemos determinar nada. > Aun caben todas las posibilidades. > > Para saber más sobre el ámbito en el que te estás moviendo, si no > conoces la topología de red, te aconsejo tirar de herramientas tipo > netdiscover y esnifar para obtener info de como está montada la red. > > Por ejemplo, si la red estuviera mal conmutada y el envio de user/pass > se hiciera en crudo, puede ser tan facil como pescar al vuelo un user y > passwd con privilegios para validar contra el proxy y no complicarte más > la vida. > > Ufff es que esto nunca es una ciencia exacta, si lo fuera, los auditores > estarían en el puto paro >:) > > Un Saludo.
Donde dije OAS, quise decir OID. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
