Seguridad en una empresa. Consulta

Un administrator serio no torela eso, en su proxy ..

Primer error
"Con esto, configuras el OE en tu empresa, y le pones como server de news,
la IP de tu casa"


Un administrator serio no torela eso, en su proxy configura conexiones
saliente a destinos concretos, no a la ip de tu casa. ( preferentemente a
donimos de su empresa)

Te quedaste sin invento



Segundo error

> NOTA: incluso con proxy. se puede saltar (no tienes razon en
todo), es
> un poco mas dificil ya que hay que encapsular en el origen el protocolo,
> cambiandolo a protocolo proxy http



Un administrator serio no solo gestiona trafico por protocolo, si no,
tambien por mime. ( html, zip etc.)

Te quedaste sin invento.

Esos trucos Jose Manuel son para aficionados de hacker.





JM Tella Llop [MVP Windows] escribió:

¿donde dices que nos invitan a comer?.. :-P

A ver, con tal que exista abiertos un puerto en salida uno solo, y
sin proxy: la seguridad a nivel de lo que comenta es cero pelotero. (esto
viene bien tambien para los histericos de la seguridad que no se fian del
cortafuegos del sistema, por ejemplo y se dedican a instalar de terceros
diciendo -falso- que los de terceros son mas seguros -ja!... y mas
faciles de engañar y de meter la pata... amen de las vulnerabilidades).

Veamos como se lo puedes demostrar: en el PC de tu casa, por ejemplo (o
en cualquier PC exterior que esté comprometido), se instala un bouncer.
Por ejemploel FPIPE:
http://www.foundstone.com/resources.../fpipe.htm (ocupa solo 10
KBs)

Un bouncer no es nada mas que un socket de proposito general que escucha
a una IP por un puerto y redirige a otra IP por otro.

Maquiina Local <-> FPipe server <> Maquina Remota

Vamos a escribir un mensaje en estas newws, (es la manera para
demostrarselo), desde la empresa esa. La Ip de msnews.microsoft.com es
207.46.248.16

En ese caso, dejas en ejecucion el programa, en tu casa, con el comando:

fpipe -c 1024 -l 80 -s 80 -r 119 207.46.248.16

que lo que quiere decir es: admitir 1024 conexiones (el OE usa un monton
de sockets abiertos y por defecto ese programa si no, estaria limitado a
32), que esté en listening (escucha) por el puerto 80, que devuelva
mewnsajes por el 80 tambien, y que la maquina remota acceda por el 119
(es el de news).

Con esto, configuras el OE en tu empresa, y le pones como server de news,
la IP de tu casa, y le configuras para que en vez de salir por el 119,
salga por el 80.

Y a correr ya estas escribiendo en las news perfecatamente. Esto
es aplicable a cualquier programa que admita configuracion, si no la
admite, además, me monto otro fpipe en la maquina de la empresa, de tal
manera que el puerto pòr donde escriba, lo intercepte fpipe, se comunique
con la maquina de mi casa por el 80, y el fpipe en mi casa, rediriga al
destino y puerto original.

NOTA: incluso con proxy. se puede saltar (no tienes razon en todo),
es un poco mas dificil ya que hay que encapsular en el origen el
protocolo, cambiandolo a protocolo proxy http. No es dificil e
instalandose en la maquina local un interprete de perl, puede hacerse
mediante un simple script (el resto del circuito con el fpipe en una
maquina intermedia es el mismo).

Un administrator serio no torela eso, en su proxy ..

Primer error
"Con esto, configuras el OE en tu empresa, y le pones como server de news,
la IP de tu casa"


Un administrator serio no torela eso, en su proxy configura conexiones
saliente a destinos concretos, no a la ip de tu casa. ( preferentemente a
donimos de su empresa)

Te quedaste sin invento



Segundo error

> NOTA: incluso con proxy. se puede saltar (no tienes razon en
todo), es
> un poco mas dificil ya que hay que encapsular en el origen el protocolo,
> cambiandolo a protocolo proxy http



Un administrator serio no solo gestiona trafico por protocolo, si no,
tambien por mime. ( html, zip etc.)

Te quedaste sin invento.

Esos trucos Jose Manuel son para aficionados de hacker.





JM Tella Llop [MVP Windows] escribió:

¿donde dices que nos invitan a comer?.. :-P

A ver, con tal que exista abiertos un puerto en salida uno solo, y
sin proxy: la seguridad a nivel de lo que comenta es cero pelotero. (esto
viene bien tambien para los histericos de la seguridad que no se fian del
cortafuegos del sistema, por ejemplo y se dedican a instalar de terceros
diciendo -falso- que los de terceros son mas seguros -ja!... y mas
faciles de engañar y de meter la pata... amen de las vulnerabilidades).

Veamos como se lo puedes demostrar: en el PC de tu casa, por ejemplo (o
en cualquier PC exterior que esté comprometido), se instala un bouncer.
Por ejemploel FPIPE:
http://www.foundstone.com/resources.../fpipe.htm (ocupa solo 10
KBs)

Un bouncer no es nada mas que un socket de proposito general que escucha
a una IP por un puerto y redirige a otra IP por otro.

Maquiina Local <-> FPipe server <> Maquina Remota

Vamos a escribir un mensaje en estas newws, (es la manera para
demostrarselo), desde la empresa esa. La Ip de msnews.microsoft.com es
207.46.248.16

En ese caso, dejas en ejecucion el programa, en tu casa, con el comando:

fpipe -c 1024 -l 80 -s 80 -r 119 207.46.248.16

que lo que quiere decir es: admitir 1024 conexiones (el OE usa un monton
de sockets abiertos y por defecto ese programa si no, estaria limitado a
32), que esté en listening (escucha) por el puerto 80, que devuelva
mewnsajes por el 80 tambien, y que la maquina remota acceda por el 119
(es el de news).

Con esto, configuras el OE en tu empresa, y le pones como server de news,
la IP de tu casa, y le configuras para que en vez de salir por el 119,
salga por el 80.

Y a correr ya estas escribiendo en las news perfecatamente. Esto
es aplicable a cualquier programa que admita configuracion, si no la
admite, además, me monto otro fpipe en la maquina de la empresa, de tal
manera que el puerto pòr donde escriba, lo intercepte fpipe, se comunique
con la maquina de mi casa por el 80, y el fpipe en mi casa, rediriga al
destino y puerto original.

NOTA: incluso con proxy. se puede saltar (no tienes razon en todo),
es un poco mas dificil ya que hay que encapsular en el origen el
protocolo, cambiandolo a protocolo proxy http. No es dificil e
instalandose en la maquina local un interprete de perl, puede hacerse
mediante un simple script (el resto del circuito con el fpipe en una
maquina intermedia es el mismo).

Un administrator serio no torela eso, en su proxy ..

Primer error
"Con esto, configuras el OE en tu empresa, y le pones como server de news,
la IP de tu casa"


Un administrator serio no torela eso, en su proxy configura conexiones
saliente a destinos concretos, no a la ip de tu casa. ( preferentemente a
donimos de su empresa)

Te quedaste sin invento



Segundo error

> NOTA: incluso con proxy. se puede saltar (no tienes razon en
todo), es
> un poco mas dificil ya que hay que encapsular en el origen el protocolo,
> cambiandolo a protocolo proxy http



Un administrator serio no solo gestiona trafico por protocolo, si no,
tambien por mime. ( html, zip etc.)

Te quedaste sin invento.

Esos trucos Jose Manuel son para aficionados de hacker.





JM Tella Llop [MVP Windows] escribió:

¿donde dices que nos invitan a comer?.. :-P

A ver, con tal que exista abiertos un puerto en salida uno solo, y
sin proxy: la seguridad a nivel de lo que comenta es cero pelotero. (esto
viene bien tambien para los histericos de la seguridad que no se fian del
cortafuegos del sistema, por ejemplo y se dedican a instalar de terceros
diciendo -falso- que los de terceros son mas seguros -ja!... y mas
faciles de engañar y de meter la pata... amen de las vulnerabilidades).

Veamos como se lo puedes demostrar: en el PC de tu casa, por ejemplo (o
en cualquier PC exterior que esté comprometido), se instala un bouncer.
Por ejemploel FPIPE:
http://www.foundstone.com/resources.../fpipe.htm (ocupa solo 10
KBs)

Un bouncer no es nada mas que un socket de proposito general que escucha
a una IP por un puerto y redirige a otra IP por otro.

Maquiina Local <-> FPipe server <> Maquina Remota

Vamos a escribir un mensaje en estas newws, (es la manera para
demostrarselo), desde la empresa esa. La Ip de msnews.microsoft.com es
207.46.248.16

En ese caso, dejas en ejecucion el programa, en tu casa, con el comando:

fpipe -c 1024 -l 80 -s 80 -r 119 207.46.248.16

que lo que quiere decir es: admitir 1024 conexiones (el OE usa un monton
de sockets abiertos y por defecto ese programa si no, estaria limitado a
32), que esté en listening (escucha) por el puerto 80, que devuelva
mewnsajes por el 80 tambien, y que la maquina remota acceda por el 119
(es el de news).

Con esto, configuras el OE en tu empresa, y le pones como server de news,
la IP de tu casa, y le configuras para que en vez de salir por el 119,
salga por el 80.

Y a correr ya estas escribiendo en las news perfecatamente. Esto
es aplicable a cualquier programa que admita configuracion, si no la
admite, además, me monto otro fpipe en la maquina de la empresa, de tal
manera que el puerto pòr donde escriba, lo intercepte fpipe, se comunique
con la maquina de mi casa por el 80, y el fpipe en mi casa, rediriga al
destino y puerto original.

NOTA: incluso con proxy. se puede saltar (no tienes razon en todo),
es un poco mas dificil ya que hay que encapsular en el origen el
protocolo, cambiandolo a protocolo proxy http. No es dificil e
instalandose en la maquina local un interprete de perl, puede hacerse
mediante un simple script (el resto del circuito con el fpipe en una
maquina intermedia es el mismo).

Un administrator serio no torela eso, en su proxy configura conexiones
saliente a destinos concretos,

Primer error
"Con esto, configuras el OE en tu empresa, y le pones como server de news,
la IP de tu casa"


Un administrator serio no torela eso, en su proxy configura conexiones
saliente a destinos concretos, no a la ip de tu casa. ( preferentemente a
donimos de su empresa)

Te quedaste sin invento



Segundo error

> NOTA: incluso con proxy. se puede saltar (no tienes razon en
todo), es
> un poco mas dificil ya que hay que encapsular en el origen el protocolo,
> cambiandolo a protocolo proxy http



Un administrator serio no solo gestiona trafico por protocolo, si no,
tambien por mime. ( html, zip etc.)

Te quedaste sin invento.

Esos trucos Jose Manuel son para aficionados de hacker.





JM Tella Llop [MVP Windows] escribió:

¿donde dices que nos invitan a comer?.. :-P

A ver, con tal que exista abiertos un puerto en salida uno solo, y
sin proxy: la seguridad a nivel de lo que comenta es cero pelotero. (esto
viene bien tambien para los histericos de la seguridad que no se fian del
cortafuegos del sistema, por ejemplo y se dedican a instalar de terceros
diciendo -falso- que los de terceros son mas seguros -ja!... y mas
faciles de engañar y de meter la pata... amen de las vulnerabilidades).

Veamos como se lo puedes demostrar: en el PC de tu casa, por ejemplo (o
en cualquier PC exterior que esté comprometido), se instala un bouncer.
Por ejemploel FPIPE:
http://www.foundstone.com/resources.../fpipe.htm (ocupa solo 10
KBs)

Un bouncer no es nada mas que un socket de proposito general que escucha
a una IP por un puerto y redirige a otra IP por otro.

Maquiina Local <-> FPipe server <> Maquina Remota

Vamos a escribir un mensaje en estas newws, (es la manera para
demostrarselo), desde la empresa esa. La Ip de msnews.microsoft.com es
207.46.248.16

En ese caso, dejas en ejecucion el programa, en tu casa, con el comando:

fpipe -c 1024 -l 80 -s 80 -r 119 207.46.248.16

que lo que quiere decir es: admitir 1024 conexiones (el OE usa un monton
de sockets abiertos y por defecto ese programa si no, estaria limitado a
32), que esté en listening (escucha) por el puerto 80, que devuelva
mewnsajes por el 80 tambien, y que la maquina remota acceda por el 119
(es el de news).

Con esto, configuras el OE en tu empresa, y le pones como server de news,
la IP de tu casa, y le configuras para que en vez de salir por el 119,
salga por el 80.

Y a correr ya estas escribiendo en las news perfecatamente. Esto
es aplicable a cualquier programa que admita configuracion, si no la
admite, además, me monto otro fpipe en la maquina de la empresa, de tal
manera que el puerto pòr donde escriba, lo intercepte fpipe, se comunique
con la maquina de mi casa por el 80, y el fpipe en mi casa, rediriga al
destino y puerto original.

NOTA: incluso con proxy. se puede saltar (no tienes razon en todo),
es un poco mas dificil ya que hay que encapsular en el origen el
protocolo, cambiandolo a protocolo proxy http. No es dificil e
instalandose en la maquina local un interprete de perl, puede hacerse
mediante un simple script (el resto del circuito con el fpipe en una
maquina intermedia es el mismo).

Un administrator serio no torela eso, en su proxy configura conexiones
saliente a destinos concretos,

Primer error
"Con esto, configuras el OE en tu empresa, y le pones como server de news,
la IP de tu casa"


Un administrator serio no torela eso, en su proxy configura conexiones
saliente a destinos concretos, no a la ip de tu casa. ( preferentemente a
donimos de su empresa)

Te quedaste sin invento



Segundo error

> NOTA: incluso con proxy. se puede saltar (no tienes razon en
todo), es
> un poco mas dificil ya que hay que encapsular en el origen el protocolo,
> cambiandolo a protocolo proxy http



Un administrator serio no solo gestiona trafico por protocolo, si no,
tambien por mime. ( html, zip etc.)

Te quedaste sin invento.

Esos trucos Jose Manuel son para aficionados de hacker.





JM Tella Llop [MVP Windows] escribió:

¿donde dices que nos invitan a comer?.. :-P

A ver, con tal que exista abiertos un puerto en salida uno solo, y
sin proxy: la seguridad a nivel de lo que comenta es cero pelotero. (esto
viene bien tambien para los histericos de la seguridad que no se fian del
cortafuegos del sistema, por ejemplo y se dedican a instalar de terceros
diciendo -falso- que los de terceros son mas seguros -ja!... y mas
faciles de engañar y de meter la pata... amen de las vulnerabilidades).

Veamos como se lo puedes demostrar: en el PC de tu casa, por ejemplo (o
en cualquier PC exterior que esté comprometido), se instala un bouncer.
Por ejemploel FPIPE:
http://www.foundstone.com/resources.../fpipe.htm (ocupa solo 10
KBs)

Un bouncer no es nada mas que un socket de proposito general que escucha
a una IP por un puerto y redirige a otra IP por otro.

Maquiina Local <-> FPipe server <> Maquina Remota

Vamos a escribir un mensaje en estas newws, (es la manera para
demostrarselo), desde la empresa esa. La Ip de msnews.microsoft.com es
207.46.248.16

En ese caso, dejas en ejecucion el programa, en tu casa, con el comando:

fpipe -c 1024 -l 80 -s 80 -r 119 207.46.248.16

que lo que quiere decir es: admitir 1024 conexiones (el OE usa un monton
de sockets abiertos y por defecto ese programa si no, estaria limitado a
32), que esté en listening (escucha) por el puerto 80, que devuelva
mewnsajes por el 80 tambien, y que la maquina remota acceda por el 119
(es el de news).

Con esto, configuras el OE en tu empresa, y le pones como server de news,
la IP de tu casa, y le configuras para que en vez de salir por el 119,
salga por el 80.

Y a correr ya estas escribiendo en las news perfecatamente. Esto
es aplicable a cualquier programa que admita configuracion, si no la
admite, además, me monto otro fpipe en la maquina de la empresa, de tal
manera que el puerto pòr donde escriba, lo intercepte fpipe, se comunique
con la maquina de mi casa por el 80, y el fpipe en mi casa, rediriga al
destino y puerto original.

NOTA: incluso con proxy. se puede saltar (no tienes razon en todo),
es un poco mas dificil ya que hay que encapsular en el origen el
protocolo, cambiandolo a protocolo proxy http. No es dificil e
instalandose en la maquina local un interprete de perl, puede hacerse
mediante un simple script (el resto del circuito con el fpipe en una
maquina intermedia es el mismo).