saltar squid y firewalls - Análisis update: 2010-04-06

Imagen de falcom

Forums: 

Bueno espero les sirva a alguien, recientemente me di cuenta q un user en particular disponia de servicio de internet sin autorizacion, como?? se preguntaran uds (en especial con todas las restricciones q les pongo }:) ), bueno primero le coloque un tcpdump para ver lo que hacia y bingo encontre algunas cosillas interesantes.

tcpdump -i eth0 host dir_ip and port 8080

luego con la ayuda de jnettop, iptraf y whirelesshark con los filtros respectivos me di cuenta de que en verdad navegaba asi no tenga los permisos respectivos (dir ip+mac+autentificacion) para mi caso.

Luego me dedique a probar x 2 dias varias herramientas que encontre en inet (y que les listo a continuacion) casi la mayoria son para mocosoft, solo encotre una para GNU/linux.

Análisis
Os Server: Centos 5.3
Squid version: 2.6 stable21
firewall: iptables 1.3.5

Aca les dejo un listado de programas que se saltan el squid + sus restricciones o encapsulan el trafico haciendo tunneling.
- Ultrasurf: (este fue el prg con el que se conectaba el usuario en cuestion) bastante elaborado utiliza el pto 9666 que son ptos locales, pero igual da la opcion de colocar cualquier otro pto. No requiere instalacion (ejecutable)
- Gpass: oculta nuestra ip mientras navegamos, fluye video/audio, etc, interfaz grafica
- Freegate, prg cliente contra censuras, no requiere instalacion (ejecutable)
- Gtunnel:Trabaja como http local o simula un proxy server, el trafico pasa a traves de gtnunnel y lo dirige a los servers de gtunnel luego hacia el inter (como hacen varios proxys publicos).
- JAP: navegacion anonima, en vez de navegar directamente se conecta en forma cifrada utiulizando servers intermedios y mezclas supuestas.
- PingFu Iris: permite hacer tunneled con minima letencia desde los firewalls o hacer un bypass a los proxy servers. permite 128 bit de encrypcion.
- PingFu UDP: Transmite UDP packets encapsulados en el protocolo de comunicacion TCP, estes es el unico protocolo disponible para los users detras de los firewalls y proxy servers.
- AutoTunnel GG usa algo llamado 'proxification' los drivers interceptan todas las comunicaciones TCP y UDP desde las aplicaciones lanzadas desde el AutoTunnel GG client. Estas comunicaciones son tunneled ('proxified') usando los tunneling servers para acceder a los servers seleccionados.
- Freedom: Es un web proxy abierto y sin censura, se conecta usando anonymous SOCKS, es el mayor programa usado en paices o lugares donde hay restricciones.
- ip spoofing: Aca hay una muy buena descripcion del programa
- cgiproxy: Es el unico soft para gnu/linux mas info ACA
- Hide IP platinum: Evita que las webs que visitas te monitoricen a través de tu IP fija, evita que tu información personal sea usada para que te envíen Spam, proteger tu PC del ataque de hackers, etc...
- Torpark: Es una herramienta de navegación anónima en Internet, que ofrece un cliente por la red anónima tor (distribuye el trafico por diferentes sistemas o nodos Tor) que dificulta el rastreo del origen de la conexión, el Torpark lo puedes llevar en una memoria USB ya que es ejecutable y free.
- Proxyway: Esconde la ip real, buscador de Proxy, chequeo de proxy, intercambiador de proxys, filtrado de proxys, trabaja con CGI proxies, soporta todos los tipos de proxys. Mas info aca
- Secure Tunnel: Provee conexion con encrypcion para todas las formas de navegacion, incluyendo http, news, mail, y el especialmente vulnerable IRC e ICQ. El programa no sólo muestra una IP diferente, sino que esta se modifica (automática o manualmente) mientras navegamos para evitar un seguimiento.

Conclusiones:
- De cada una de las aplicaciones indicadas podriamos hablar dias enteros o hilos enteros, ya que algunas inclusive nos permiten escoger las aplicaciones a ejecutar hablese de browsers, mensajeria instantanea, streaming, etc
- 0j0 no todos los programas fueron o son creados con el animo de jodernos (o hacking) la vida a los administradores algunos o la mayoria son usados en paises o ambientes hostiles hablese de CHINA, Korea del Norte o CUBA donde la navegacion es muy restringida.
- Solo liste los mas importantes o los mas usados, segurante hay muchos mas pero estos son los mas usados.
- Cabe indicar que me di la molestosa tarea de probar todos estos en mi red y gracias a dios no funcionan ni siquiera se conectan lo que me da la seguridad que mis reglas en mi firewall estan correctas.
- Pues nada siempre hay que estar actualizandose en los diversos tipos de prgs que salen para saltarse los bloqueos tanto del proxy como de los firewalls, espero le haya servido a mas de uno.
UPDATE: 06-04-2010
Pues nada que han lanzado la nueva version del ultrasurf la version 9.95 pero igual las reglas en el firewall lo bloquean, testeado!

hombre no es nada del otro

Imagen de falcom

hombre no es nada del otro mundo tienes q cerrar el pto 443 y crear un whitelist donde listas las pag permitidas, mucho ojo con esto, no es la solucion mas acertada pero igual funciona (digo x la cantidad de sitios tipo https q hay q meterle a la lista)
primero cierras el pto 443 en tu iptables

iptables -A FORWARD -p tcp --dport 443 -j DROP

luego en tu squid

acl sitios-https url_regex "/ruta-al-listado-de-sitios.txt"
# Regla que permitira conexiones HTTPS solo a los sitios del listado creado arriba
http_access allow CONNECT sitios-https
http_access deny CONNECT all

hombre el whitelist debe

Imagen de falcom

hombre el whitelist debe tener algo como esto

.edu.ec
.gob.ec
.gob
.edu
.bancomio.com
.bancotuyo.com
.cualquier-dominio-que-se-quiera-permitir.algo
.sitio-de-mi-empresa.algo
.sitios-de-mis-proveedores.algo
.sitios-de-mis-clientes.algo
.sitios-de-noticias.algo
.cualquier-sitio-que-ofrezca-algún-servicio-útil.algo

Que pasa si la ip del cliente no la enmascaras?

Imagen de chilino

Hola Falcom,

El usuario que saltaba la seguridad, tenia enmascarada la ip privada con la ip publica de tu linux para acceder a internet?

Que tipo de politicas por defecto en el Firewall tienes actualmente configurado? DROP o ACCEPT. Aqui podria estar el problema. Si unicamente le das permisos a los usuarios con destino al puerto 80, 443 y 8080, podria ser la solucion, así no das chance a que estos programas conecten a dichos puertos.

Espero tus comentarios por favor.

Salu2

Chilino

nop era un user comun de la

Imagen de falcom

nop era un user comun de la red interna, q usaba el ultrasurf para navegar
La solucion te funciona bloqueando el pto 443 como indique en este mismo post, el lio se hace cuando tienes proxy transparente!

Buen post, sin embargo

Imagen de chilino

Buen post falcom, obviamente se tiene que controlar los servicios a fin de que los usuarios netamente intranet no puedan encontrarse con la oportunidad de utilizar estos aplicativos para tener acceso a Internet. Esto quiere decir, de que si no hubieras tenido el proxy transparente, el no podia hacer uso del programita, por tanto, restringiendo en squid, tambien se puede dar la solución.

Chilino

es muy relativo x mas

Imagen de falcom

es muy relativo x mas controles q tengas, siempre abra una valvula de escape un ejem
Bloqueo descarga de archivos, controlde ancho de banda etc, pero el user se va al cyber de en frente y baja el ultrasurf en su usb, regresa a la empresa y ejecuta su programa y listo...
Si usas proxy transparente estas reglas no funcionan recuerdalo! para eso debes implementar layer 7 en tu kernel
Espero haberme hecho entender

Falcom ya tego layer 7 ?

Imagen de sistemas7

ok ya tengo layer 7 , ahora es tiempo de borrar el puto ultrasurf , eh perdido mucho respeto por usuarios que me han sacado la vuelta con este programita.

Necesito Aprender !!

Gracias por la solución. solo

Imagen de waylara8

Gracias por la solución. solo tengo una duda, en mi oficina esta configurado el servidor pero lo administran desde webmin, ingrese al administrador del firewall para crear la regla pero lo vi algo imposible por la cantidad de para metros que necesito ingresar.

Lo que quiero es modificar el archivo de configuracion del firewall que me genera o usa el webmin y asi solo agregar las dos lineas que tu comentas.

Que archivo modifico?

te recomiendo crear tu script

Imagen de falcom

te recomiendo crear tu script de iptables a pata, alli colocas las reglas necesarias y con eso tienes control totoal de cada una de las lineas y lo q hacen c/u de ellas, x webmin controlar un script no lo he hecho nunca, todo a pata lo hago

falcom

Imagen de sistemas7

hola mi gente ?

Saben si hay link's de como usar layer 7 en la ultima version de Debian 6.0

Gracias y disculpen la molestia

Necesito Aprender !!

Páginas