El vie, 08-08-2008 a las 19:22 -0500, Roberto Velázquez escribió: > El día 8 de agosto de 2008 18:13, Jose Luis Gómez <[EMAIL PROTECTED]> > escribió: > > El vie, 08-08-2008 a las 19:58 -0300, Victor H De la Luz escribió: > >> 2008/8/8 Jose Luis Gómez <[EMAIL PROTECTED]>: > >> > El sáb, 09-08-2008 a las 00:38 +0200, Jose Luis Gómez escribió: > >> >> El vie, 08-08-2008 a las 17:20 -0500, Roberto V. escribió: > >> >> > Jose Luis Gómez escribió: > >> >> > > El vie, 08-08-2008 a las 16:54 -0500, Roberto V. escribió: > >> >> > >> Que tal lista, > >> >> > >> > >> >> > >> He buscado por google y no me ha quedado bien lo que a continuación > >> >> > >> pregunto: > >> >> > >> > >> >> > >> En mi trabajo han bloqueado el puerto 80, es decir ya no podemos > >> >> > >> ver > >> >> > >> páginas web, pero tenemos acceso al correo a través del puerto 110 > >> >> > >> de > >> >> > >> pop3 y salida de correo por el puerto 25 que es smtp. Entonces me > >> >> > >> gustaria saber si es posible usar algún proxy o tunnel para salir a > >> >> > >> través del 110. Es decir en mi casa, por ejemplo, mi PC que tiene > >> >> > >> salida > >> >> > >> a internet sin restricción estaria el proxy/tunnel. > >> >> > >> Lo que tenia pensado era cambiar en el firefox la conexión de > >> >> > >> "conexión > >> >> > >> directa a internet" a "usar un proxy" y en poner la dir. de la > >> >> > >> computadora de mi casa y en el puerto poner el puerto 110. y la PC > >> >> > >> de mi > >> >> > >> casa estaria escuchando por ese puerto y me devolveria las > >> >> > >> peticiones > >> >> > >> por el 110. ¿Es posible? > >> >> > >> > >> >> > >> Si es asi, que programa (claro, en debian) me serviria? ¿Serviria > >> >> > >> para > >> >> > >> esto el squid? > >> >> > >> > >> >> > >> Saludos y gracias > >> >> > >> > >> >> > >> > >> >> > > En principio si, con un squid en tu casa te sobraría. > >> >> > > > >> >> > > Digo en principio pq depende de un millón de cosas.: > >> >> > > > >> >> > > 1) Dices que tienes salida por smtp : Si se han molestado en > >> >> > > caparte la > >> >> > > navegación, casi seguro que tienes filtrado por IP destino las > >> >> > > conexiones smtp. Permitirán al relay de donde te den el > >> >> > > hosting/housing > >> >> > > del correo y poco más. > >> >> > > > >> >> > > 2) Que no tengan filtro a nivel de capa 7 : Si solo filtran por > >> >> > > protocolo pasas, pero si filtran a nivel de aplicación, por mucho > >> >> > > que lo > >> >> > > pases por el puerto que sea, van a pescar que es navegación (o lo > >> >> > > que > >> >> > > proceda). > >> >> > > > >> >> > > Dudo que las máquinas estén habilitadas para el acceso directo a > >> >> > > internet, este tema se suele montar con proxy y despues un firewall > >> >> > > de > >> >> > > primera linea que deja salir a ciertas IPs a Internet mediante NAT. > >> >> > > Así > >> >> > > controlas que máquinas salen y con que IP pública salen. > >> >> > > > >> >> > > Origen Destino Servicio Origen > >> >> > > Destino > >> >> > > MáquinaX Original ANY Interface-NAT Original > >> >> > > > >> >> > > Esto en término de NAT, despues capas puertos con firewall. > >> >> > > > >> >> > > En resumen ... depende de lo chapucera que sea tu empresa. > >> >> > > > >> >> > > Un Saludo. > >> >> > > > >> >> > > > >> >> > Pues aun no entiendo bien si tienen filtrado por capa 7, pero puedo > >> >> > comentar que para la navegación, tambien tienen restricciones, es > >> >> > decir. > >> >> > Los usuarios normales no tenemos acceso a nada de http, solo correo. > >> >> > Los > >> >> > "jefes intermedios", por asi llamarlos, tienen acceso a páginas web, > >> >> > pero solo las que sean http, no https ni tampoco tienen acceso a > >> >> > ciertas > >> >> > páginas ni pueden bajar ciertos archivos (audio, video, comprimidos, > >> >> > exe, etc). y los jefes de alto rango si tienen acceso total al > >> >> > internet. > >> >> > Esto lo logran "logueandose" al firewall y dependiendo del usuario es > >> >> > el > >> >> > nivel de acceso a internet. La empresa tiene un firewall llamadao > >> >> > "Firebox/Watchguard". > >> >> > Con esta información un poco más amplia es posible saber si se puede > >> >> > hacer lo que planteaba yo en mi pregunta original? > >> >> > > >> >> > Saludos y gracias. > >> >> > > >> >> > > >> >> Todo lo que comentas puede realizarse con mucha o poca logística, eso > >> >> tampoco determina las medidas proactivas de seguridad que tengan. Me > >> >> explico ... > >> >> > >> >> Que haya distintos perfiles a la hora de navegación garantiza que hay > >> >> por ahí un proxy (además del firewall) ... si tu empresa es Windowsiana, > >> >> casi seguro que tendrá un ISA y las políticas de grupo las mira contra > >> >> el AD. Si es Linuxera, tendrá un Squid y gestiona esos perfiles con ACLs > >> >> o un LDAP, OAS o la madre que me parió. > >> >> > >> >> Por lo que comentas, casi estoy seguro, que tendrá una configuración del > >> >> tipo Firewall+Proxy+Gestor de contenidos (websense o los millones que > >> >> hay) ... eso suele ser lo más normal. > >> >> > >> >> También existe la posibilidad, de que tu empresa maneje panoja y se haya > >> >> gastado 30.000 € en la implantación de un IPS/IDS estilo Intrushield o > >> >> gaitas similares, con lo que a parte del Firewall + Gestor de > >> >> Contenidos, tendrá filtro capa 7. > >> >> > >> >> Siento no darte ninguna respuesta concreta, quiero que te llegue el > >> >> mensaje de que con los datos que disponemos no podemos determinar nada. > >> >> Aun caben todas las posibilidades. > >> >> > >> >> Para saber más sobre el ámbito en el que te estás moviendo, si no > >> >> conoces la topología de red, te aconsejo tirar de herramientas tipo > >> >> netdiscover y esnifar para obtener info de como está montada la red. > >> >> > >> >> Por ejemplo, si la red estuviera mal conmutada y el envio de user/pass > >> >> se hiciera en crudo, puede ser tan facil como pescar al vuelo un user y > >> >> passwd con privilegios para validar contra el proxy y no complicarte más > >> >> la vida. > >> >> > >> >> Ufff es que esto nunca es una ciencia exacta, si lo fuera, los auditores > >> >> estarían en el puto paro >:) > >> >> > >> >> Un Saludo. > >> > > >> > Donde dije OAS, quise decir OID. > >> > > >> > > >> > -- > >> > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > >> > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > >> > > >> > > >> > >> O puede pasar lo que me ha sucedido hace algunos dias, simplemente > >> pones la direccion ip de la maquina en una terminal usando lynx y ya > >> :s ... > >> > >> Aun sigo sin entender como es que esta configurada esta red, tiene > >> (prox... con y al final, ya que tambien bloquea esta palabra), te > >> logeas en el prox... para poder salir, te bloquean palabras, puertos y > >> paginas web, tienes que ir con el administrador para darte permisos en > >> un nodo especial a partir de tu mac, mucha publicidad de que te > >> rastrean tus conexiones, identificacion casi de voz y pues de nada > >> sirve. > >> > >> Por cierto, todo esto de la configuracion del proxy me costo 3 dias de > >> trabajo, ya que un include de un script tenia la frase "hac..er" con > >> una k en medio y por no darme cuenta (recordar lo del estupido prox ) > >> no me bajaba el archivo consiguiendo un mal funcionamiento y un > >> misterio casi irresolvible. Estuve a punto de botar javascript!!! > >> > >> Por cierto, no le agradeci a Jose por su ayuda, gracias k! > >> > >> -- > >> Atte > >> > >> ItZtLi > >> > >> ¤º°°º¤ø,¸¸,ø¤º°°º¤ø,¸¸,ø¤º°`°º¤ø,¸ > >> Nahui Tonalli Icniuhtli. > >> ¤º°°º¤ø,¸¸,ø¤º°°º¤ø,¸¸,ø¤º°`°º¤ø,¸ > >> > >> > > Ojú, no currarás en guantanamo, ¿no? >:P > > > > Por lo que cuentas, más que un sysadmin, en tu trabajo tendrán un bofh y > > encima se le pira un poco el bolo. Que sepas, que dependiendo del país > > donde vivas (consulta la LOPD y leyes relacionadas) puede incurrir en > > delito si te logea tus conexiones, correos o incluso si te para el puto > > spam (si, hay paises donde es ilegal bloquear el spam sin que llegue al > > usuario, al menos reportes). > > > > Yo también tengo experiencia con sistemas de captura MAC y bueno ... > > tuvo su momento, pero hoy por hoy, es una castaña. Pillar una MAC > > legítima y suplantarla es cuestión de un momento, otro gallo canta con > > el 802.11X >:) > > > > Lo del bloqueo de palabras ... pues encima lo veo contraproducente ... > > si se basa en el bloqueo de contenidos, es que os fuerza a tirar en > > crudo, en vez de implementar SSL y similares. > > > > Intenta, con nmap, scanear el smtp de gmail (por ejemplo) > > nmap -P0 -p 25 216.239.59.109 > > > > Si el puerto te da Open, vas a tener suerte, quizá no estés limitado a > > IP destino a nivel de firewall. En este caso, tal vez puedas hacer la > > pirula de poner la máquina tuya remota como proxy. > > > > Prueba a ver que pacha. > > > > > > -- > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > > > > > > Hola > > Gracias por la información. La red de la empresa es totalmente > windowsera, cuidan mas que nada que la gente no se ponga a chatear ni a > distraerse en lugar de estar trabajando (de ahi el bloqueo de paginas > como youtube, webmails, etc). Claro tambien intentan con estas medidas > hacer que el ancho de banda no se sature, porque hay usuarios que luego > bajan mp3 y videos. Me parecian hasta cierto punto razonables las > medidas tomadas, pero que te bloqueen la navegación siento que si es > exagerar mucho. > Por cierto para quien sugirió que sólo ponga la dir IP a las páginas a > las cuales quiero acceder, pues lamento decir que a mi eso no me > funciona, serán windowseros los de la red de la empresa pero no son tan > tontos como para dejar una seguridad tan ligera jeje. > Ahora me surge una duda, no se podra hacer nada con el GNU httptunnel > +ssh? > > Saludos > > -- > ______________________________________________ > Please avoid sending me Word or PowerPoint attachments. > See http://www.gnu.org/philosophy/no-word-attachments.html > > Revisa lo que te escribimos.
-- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
