Seguridad en una empresa. Consulta

NOTA: incluso con proxy. se puede saltar (no tienes razon en

un poco mas dificil ya que hay que encapsular en el origen el protocolo,
cambiandolo a protocolo proxy http

¿donde dices que nos invitan a comer?.. :-P

A ver, con tal que exista abiertos un puerto en salida uno solo, y sin
proxy: la seguridad a nivel de lo que comenta es cero pelotero. (esto viene
bien tambien para los histericos de la seguridad que no se fian del
cortafuegos del sistema, por ejemplo y se dedican a instalar de terceros
diciendo -falso- que los de terceros son mas seguros -ja!... y mas faciles
de engañar y de meter la pata... amen de las vulnerabilidades).

Veamos como se lo puedes demostrar: en el PC de tu casa, por ejemplo (o en
cualquier PC exterior que esté comprometido), se instala un bouncer. Por
ejemploel FPIPE: http://www.foundstone.com/resources.../fpipe.htm
(ocupa solo 10 KBs)

Un bouncer no es nada mas que un socket de proposito general que escucha a
una IP por un puerto y redirige a otra IP por otro.

Maquiina Local <-> FPipe server <> Maquina Remota

Vamos a escribir un mensaje en estas newws, (es la manera para
demostrarselo), desde la empresa esa. La Ip de msnews.microsoft.com es
207.46.248.16

En ese caso, dejas en ejecucion el programa, en tu casa, con el comando:

fpipe -c 1024 -l 80 -s 80 -r 119 207.46.248.16

que lo que quiere decir es: admitir 1024 conexiones (el OE usa un monton de
sockets abiertos y por defecto ese programa si no, estaria limitado a 32),
que esté en listening (escucha) por el puerto 80, que devuelva mewnsajes por
el 80 tambien, y que la maquina remota acceda por el 119 (es el de news).

Con esto, configuras el OE en tu empresa, y le pones como server de news, la
IP de tu casa, y le configuras para que en vez de salir por el 119, salga
por el 80.

Y a correr ya estas escribiendo en las news perfecatamente. Esto es
aplicable a cualquier programa que admita configuracion, si no la admite,
además, me monto otro fpipe en la maquina de la empresa, de tal manera que
el puerto pòr donde escriba, lo intercepte fpipe, se comunique con la
maquina de mi casa por el 80, y el fpipe en mi casa, rediriga al destino y
puerto original.

NOTA: incluso con proxy. se puede saltar (no tienes razon en todo), es
un poco mas dificil ya que hay que encapsular en el origen el protocolo,
cambiandolo a protocolo proxy http. No es dificil e instalandose en la
maquina local un interprete de perl, puede hacerse mediante un simple script
(el resto del circuito con el fpipe en una maquina intermedia es el mismo).

en su proxy configura conexiones saliente a destinos concretos,

Primer error
"Con esto, configuras el OE en tu empresa, y le pones como server de
news, la IP de tu casa"


Un administrator serio no torela eso, en su proxy configura conexiones
saliente a destinos concretos, no a la ip de tu casa. ( preferentemente
a donimos de su empresa)

Te quedaste sin invento



Segundo error

> NOTA: incluso con proxy. se puede saltar (no tienes razon en
todo), es
> un poco mas dificil ya que hay que encapsular en el origen el protocolo,
> cambiandolo a protocolo proxy http



Un administrator serio no solo gestiona trafico por protocolo, si no,
tambien por mime. ( html, zip etc.)

Te quedaste sin invento.

Esos trucos Jose Manuel son para aficionados de hacker.





JM Tella Llop [MVP Windows] escribió:
> ¿donde dices que nos invitan a comer?.. :-P
>
> A ver, con tal que exista abiertos un puerto en salida uno solo, y sin
> proxy: la seguridad a nivel de lo que comenta es cero pelotero. (esto viene
> bien tambien para los histericos de la seguridad que no se fian del
> cortafuegos del sistema, por ejemplo y se dedican a instalar de terceros
> diciendo -falso- que los de terceros son mas seguros -ja!... y mas faciles
> de engañar y de meter la pata... amen de las vulnerabilidades).
>
> Veamos como se lo puedes demostrar: en el PC de tu casa, por ejemplo (o en
> cualquier PC exterior que esté comprometido), se instala un bouncer. Por
> ejemploel FPIPE: http://www.foundstone.com/resources.../fpipe.htm
> (ocupa solo 10 KBs)
>
> Un bouncer no es nada mas que un socket de proposito general que escucha a
> una IP por un puerto y redirige a otra IP por otro.
>
> Maquiina Local <-> FPipe server <> Maquina Remota
>
> Vamos a escribir un mensaje en estas newws, (es la manera para
> demostrarselo), desde la empresa esa. La Ip de msnews.microsoft.com es
> 207.46.248.16
>
> En ese caso, dejas en ejecucion el programa, en tu casa, con el comando:
>
> fpipe -c 1024 -l 80 -s 80 -r 119 207.46.248.16
>
> que lo que quiere decir es: admitir 1024 conexiones (el OE usa un monton de
> sockets abiertos y por defecto ese programa si no, estaria limitado a 32),
> que esté en listening (escucha) por el puerto 80, que devuelva mewnsajes por
> el 80 tambien, y que la maquina remota acceda por el 119 (es el de news).
>
> Con esto, configuras el OE en tu empresa, y le pones como server de news, la
> IP de tu casa, y le configuras para que en vez de salir por el 119, salga
> por el 80.
>
> Y a correr ya estas escribiendo en las news perfecatamente. Esto es
> aplicable a cualquier programa que admita configuracion, si no la admite,
> además, me monto otro fpipe en la maquina de la empresa, de tal manera que
> el puerto pòr donde escriba, lo intercepte fpipe, se comunique con la
> maquina de mi casa por el 80, y el fpipe en mi casa, rediriga al destino y
> puerto original.
>
> NOTA: incluso con proxy. se puede saltar (no tienes razon en todo), es
> un poco mas dificil ya que hay que encapsular en el origen el protocolo,
> cambiandolo a protocolo proxy http. No es dificil e instalandose en la
> maquina local un interprete de perl, puede hacerse mediante un simple script
> (el resto del circuito con el fpipe en una maquina intermedia es el mismo).
>
>

en su proxy configura conexiones saliente a destinos concretos,

Primer error
"Con esto, configuras el OE en tu empresa, y le pones como server de
news, la IP de tu casa"


Un administrator serio no torela eso, en su proxy configura conexiones
saliente a destinos concretos, no a la ip de tu casa. ( preferentemente
a donimos de su empresa)

Te quedaste sin invento



Segundo error

> NOTA: incluso con proxy. se puede saltar (no tienes razon en
todo), es
> un poco mas dificil ya que hay que encapsular en el origen el protocolo,
> cambiandolo a protocolo proxy http



Un administrator serio no solo gestiona trafico por protocolo, si no,
tambien por mime. ( html, zip etc.)

Te quedaste sin invento.

Esos trucos Jose Manuel son para aficionados de hacker.





JM Tella Llop [MVP Windows] escribió:
> ¿donde dices que nos invitan a comer?.. :-P
>
> A ver, con tal que exista abiertos un puerto en salida uno solo, y sin
> proxy: la seguridad a nivel de lo que comenta es cero pelotero. (esto viene
> bien tambien para los histericos de la seguridad que no se fian del
> cortafuegos del sistema, por ejemplo y se dedican a instalar de terceros
> diciendo -falso- que los de terceros son mas seguros -ja!... y mas faciles
> de engañar y de meter la pata... amen de las vulnerabilidades).
>
> Veamos como se lo puedes demostrar: en el PC de tu casa, por ejemplo (o en
> cualquier PC exterior que esté comprometido), se instala un bouncer. Por
> ejemploel FPIPE: http://www.foundstone.com/resources.../fpipe.htm
> (ocupa solo 10 KBs)
>
> Un bouncer no es nada mas que un socket de proposito general que escucha a
> una IP por un puerto y redirige a otra IP por otro.
>
> Maquiina Local <-> FPipe server <> Maquina Remota
>
> Vamos a escribir un mensaje en estas newws, (es la manera para
> demostrarselo), desde la empresa esa. La Ip de msnews.microsoft.com es
> 207.46.248.16
>
> En ese caso, dejas en ejecucion el programa, en tu casa, con el comando:
>
> fpipe -c 1024 -l 80 -s 80 -r 119 207.46.248.16
>
> que lo que quiere decir es: admitir 1024 conexiones (el OE usa un monton de
> sockets abiertos y por defecto ese programa si no, estaria limitado a 32),
> que esté en listening (escucha) por el puerto 80, que devuelva mewnsajes por
> el 80 tambien, y que la maquina remota acceda por el 119 (es el de news).
>
> Con esto, configuras el OE en tu empresa, y le pones como server de news, la
> IP de tu casa, y le configuras para que en vez de salir por el 119, salga
> por el 80.
>
> Y a correr ya estas escribiendo en las news perfecatamente. Esto es
> aplicable a cualquier programa que admita configuracion, si no la admite,
> además, me monto otro fpipe en la maquina de la empresa, de tal manera que
> el puerto pòr donde escriba, lo intercepte fpipe, se comunique con la
> maquina de mi casa por el 80, y el fpipe en mi casa, rediriga al destino y
> puerto original.
>
> NOTA: incluso con proxy. se puede saltar (no tienes razon en todo), es
> un poco mas dificil ya que hay que encapsular en el origen el protocolo,
> cambiandolo a protocolo proxy http. No es dificil e instalandose en la
> maquina local un interprete de perl, puede hacerse mediante un simple script
> (el resto del circuito con el fpipe en una maquina intermedia es el mismo).
>
>

en su proxy configura conexiones saliente a destinos concretos,

Primer error
"Con esto, configuras el OE en tu empresa, y le pones como server de
news, la IP de tu casa"


Un administrator serio no torela eso, en su proxy configura conexiones
saliente a destinos concretos, no a la ip de tu casa. ( preferentemente
a donimos de su empresa)

Te quedaste sin invento



Segundo error

> NOTA: incluso con proxy. se puede saltar (no tienes razon en
todo), es
> un poco mas dificil ya que hay que encapsular en el origen el protocolo,
> cambiandolo a protocolo proxy http



Un administrator serio no solo gestiona trafico por protocolo, si no,
tambien por mime. ( html, zip etc.)

Te quedaste sin invento.

Esos trucos Jose Manuel son para aficionados de hacker.





JM Tella Llop [MVP Windows] escribió:
> ¿donde dices que nos invitan a comer?.. :-P
>
> A ver, con tal que exista abiertos un puerto en salida uno solo, y sin
> proxy: la seguridad a nivel de lo que comenta es cero pelotero. (esto viene
> bien tambien para los histericos de la seguridad que no se fian del
> cortafuegos del sistema, por ejemplo y se dedican a instalar de terceros
> diciendo -falso- que los de terceros son mas seguros -ja!... y mas faciles
> de engañar y de meter la pata... amen de las vulnerabilidades).
>
> Veamos como se lo puedes demostrar: en el PC de tu casa, por ejemplo (o en
> cualquier PC exterior que esté comprometido), se instala un bouncer. Por
> ejemploel FPIPE: http://www.foundstone.com/resources.../fpipe.htm
> (ocupa solo 10 KBs)
>
> Un bouncer no es nada mas que un socket de proposito general que escucha a
> una IP por un puerto y redirige a otra IP por otro.
>
> Maquiina Local <-> FPipe server <> Maquina Remota
>
> Vamos a escribir un mensaje en estas newws, (es la manera para
> demostrarselo), desde la empresa esa. La Ip de msnews.microsoft.com es
> 207.46.248.16
>
> En ese caso, dejas en ejecucion el programa, en tu casa, con el comando:
>
> fpipe -c 1024 -l 80 -s 80 -r 119 207.46.248.16
>
> que lo que quiere decir es: admitir 1024 conexiones (el OE usa un monton de
> sockets abiertos y por defecto ese programa si no, estaria limitado a 32),
> que esté en listening (escucha) por el puerto 80, que devuelva mewnsajes por
> el 80 tambien, y que la maquina remota acceda por el 119 (es el de news).
>
> Con esto, configuras el OE en tu empresa, y le pones como server de news, la
> IP de tu casa, y le configuras para que en vez de salir por el 119, salga
> por el 80.
>
> Y a correr ya estas escribiendo en las news perfecatamente. Esto es
> aplicable a cualquier programa que admita configuracion, si no la admite,
> además, me monto otro fpipe en la maquina de la empresa, de tal manera que
> el puerto pòr donde escriba, lo intercepte fpipe, se comunique con la
> maquina de mi casa por el 80, y el fpipe en mi casa, rediriga al destino y
> puerto original.
>
> NOTA: incluso con proxy. se puede saltar (no tienes razon en todo), es
> un poco mas dificil ya que hay que encapsular en el origen el protocolo,
> cambiandolo a protocolo proxy http. No es dificil e instalandose en la
> maquina local un interprete de perl, puede hacerse mediante un simple script
> (el resto del circuito con el fpipe en una maquina intermedia es el mismo).
>
>

en su proxy configura conexiones saliente a destinos concretos,

Más bien sería lo contrario... denegar todo a todos los sitios... y luego
habilitar excepciones, aunque dudo que filtren todo un rango de IPs, más bien
se autorizan protocolos como HTTP o HTTPs y/o FTP y poco más.