[opensuse-es] Estan engañando a mi squid
Hola a todos, desde hace un tiempo tenia la sospecha de que alguien en el trabajo estaba usando un software que se burlaba de la configuracion de mi squid y hace un par de dias lo confirme, estan usando el "Hide IP platinum" que segun veo camufla la ip del PC y pueden saltar las reglas configuradas en el proxy. Saben de alguna configuracion que me permita contrarrestar esta situacion y ponerle fin a este agujero en los controles de acceso..? Saludos JCarlos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
tienes que comentar como tienes tu red para ver si te estan pasando de
pillos , tienes NAT en toda tu red , proxy transparente etcc .. tienes
para comenzar el suse firewall para comenzar !!!
El 1/03/07, Juan Carlos Bravo Celis
Hola a todos,
desde hace un tiempo tenia la sospecha de que alguien en el trabajo estaba usando un software que se burlaba de la configuracion de mi squid y hace un par de dias lo confirme, estan usando el "Hide IP platinum" que segun veo camufla la ip del PC y pueden saltar las reglas configuradas en el proxy.
Saben de alguna configuracion que me permita contrarrestar esta situacion y ponerle fin a este agujero en los controles de acceso..?
--------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 01/03/07, gnu forever
tienes que comentar como tienes tu red para ver si te estan pasando de pillos , tienes NAT en toda tu red , proxy transparente etcc .. tienes para comenzar el suse firewall para comenzar !!!
tengo mi red lan 192.168.X.X , la DMZ con 10.10.10.X y luego el mundo,,, entre mi LAN y la DMZ hay un proxy con squid y el Susefirewall, este a su vez se conecta a otro Firewall que es el que da la cara al mundo, las ACL de mi squid.conf me dan salida con autenticacion requerida,, excepto para un grupo de IP de la LAN, que no requieren autenticacion, segun estas ACL los usuarios solo tienen permitido ver su hotmail y otras paginas web, en un horario de 12:30 - 14:30 y el messenger esta bloqueado,, lo cual funciona con todos los equipos, excepto con los que tienen el "hide ip platinum" instalado, este si sale a internet burlando las reglas del squid. Alguna idea de que es lo que debo revisar..? alguien conoce como trabaja este software burla proxy..? Saludos JCarlos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 02/03/2007 7:34:31 Juan Carlos Bravo Celis escribió: elbravito> Alguna idea de que es lo que debo revisar..? alguien conoce como elbravito> trabaja este software burla proxy..? Te lo comentaba en un mensaje anterior. Puedes sacar tus propias conclusiones aquí: http://www.hide-ip-soft.com/hide-ip-platinum/index.htm -- Saludos, Josep M. Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-02 a las 09:35 +0100, Josep M. Queralt escribió:
elbravito> Alguna idea de que es lo que debo revisar..? alguien conoce como elbravito> trabaja este software burla proxy..?
Te lo comentaba en un mensaje anterior. Puedes sacar tus propias conclusiones aquí:
Hide IP Platinum will find the proxy server available to you and set it as your proxy server automatically. ... * Bypass the restrictions by some owners of Internet resources on users from certain countries or geographical regions O sea, lo que están haciendo es buscar automáticamente un proxy externo más "amable" que tú, y desde ahí navegar a donde les de la gana. Habla con dirección, estos con personal, y mes y sueldo a quien pillen. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFF6ANhtTMYHG2NR9URAsnnAJ95xjoF+2k3S1ZoBUK+PB/iwp6ZLACfe+0C PQQsN2SRZW//q3cHkvL9tJo= =Aw4p -----END PGP SIGNATURE-----
El 02/03/2007 11:58:32 Carlos E. R. escribió: robin.listas> > http://www.hide-ip-soft.com/hide-ip-platinum/index.htm robin.listas> robin.listas> Hide IP Platinum will find the proxy server available to you and set it robin.listas> as your proxy server automatically. robin.listas> ... robin.listas> * Bypass the restrictions by some owners of Internet resources on users robin.listas> from certain countries or geographical regions No, lo que le pasa no es eso. Fíjate que ahí se habla de saltarse las restricciones para zonas geográficas o países. Esa sería una forma de burlar las prohibiciones (la censura) de acceder a determinados recursos que establecen algunos paises, y Juan Carlos hablanba de un acceso local no permitido al proxy de la red local. Lo realmente importante para Juan Carlos es saber si realmente este programa es capaz de falsificar la IP _interna_ para poder saltarse o engañar a su SQUID y de allí acceder a Internet. Si el SQUID lo tiene mal configurado cualquiera desde Internet y usando este programa, puede estar usándolo para camuflar su identidad. A falta de ver el manual del programa yo me inclino por esta última opción por los motivos que exponía en mi primer mensaje de respuesta sobre este tema, es decir, es una palicación de "privacidad" que tiene como misión principal buscar un proxy anónimo, conectarse a él y operar desde él; en definitiva lo que se puede hacer con aquel procedimiento que he explicado un par de veces de usar http://wwwproxy4free.com con el navegador, pero con la diferencia de que este programa lo hace automáticamente y pagando (es shareware) y yo expliqué la configuración manual y de gratis. :-) Si realmente se trata de un acceso local (cosa que yo dudo) lo que debe hacer es efectivamente lo que tu dices. Hablar con dirección o, si quiere hacer la buena obra del año, hablar con el gilip*llas que lo está usando para que deje de jugarse el empleo por una gilip*llez. -- Saludos, Josep M. Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-02 a las 12:25 +0100, Josep M. Queralt escribió:
El 02/03/2007 11:58:32 Carlos E. R. escribió:
robin.listas> > http://www.hide-ip-soft.com/hide-ip-platinum/index.htm robin.listas> robin.listas> Hide IP Platinum will find the proxy server available to you and set it robin.listas> as your proxy server automatically. robin.listas> ... robin.listas> * Bypass the restrictions by some owners of Internet resources on users robin.listas> from certain countries or geographical regions
No, lo que le pasa no es eso. Fíjate que ahí se habla de saltarse las restricciones para zonas geográficas o países. Esa sería una forma de burlar las prohibiciones (la censura) de acceder a determinados recursos que establecen algunos paises, y Juan Carlos hablanba de un acceso local no permitido al proxy de la red local.
No, es el mismo caso. Lo de los paises se refiere a los paises comunistas: tienen un gigantesco proxy que les impide, por ejemplo, llegar al google. Usando ese software automáticamente les busca un proxy externo a China al que puedan acceder, y navegan a través de él (o sea, dos proxys en cadena: el chino, y el anonimizador). Funciona mientras los censores no se dan cuenta de cual es la IP del proxy externo y la bloqueen tammbién. El caso de Juan es el mismo: salen por el proxy de la empresa (no está prohibida toda la navegación, sólo algunos sitios), llegan a un proxy externo (que el programa encuentra no se como), y desde ahí a todo el mundo. Reglas evitadas. (Piensa que paises equivale a rango de IPs) Otra posibilidad es que dentro de la empresa haya otro proxy y el programa lo haya encontrado. La solución es prohibir toda la navegación, y digo toda. Luego se permite unicamente abrir ciertos sitios uno a uno y explícitamente, previa petición. Ajo y agua.
Si realmente se trata de un acceso local (cosa que yo dudo) lo que debe hacer es efectivamente lo que tu dices. Hablar con dirección o, si quiere hacer la buena obra del año, hablar con el gilip*llas que lo está usando para que deje de jugarse el empleo por una gilip*llez.
Mismamente. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFF6BIItTMYHG2NR9URAh3+AJ0TNDMM4ppNhmr2i083vI1XW3835ACeKDja O2A9rpcXECgOCm1/MVKOJfA= =vepz -----END PGP SIGNATURE-----
El 02/03/2007 13:01:11 Carlos E. R. escribió: robin.listas> > robin.listas> * Bypass the restrictions by some owners of Internet resources on users robin.listas> > robin.listas> from certain countries or geographical regions robin.listas> > robin.listas> > No, lo que le pasa no es eso. Fíjate que ahí se habla de saltarse las restricciones robin.listas> > para zonas geográficas o países. Esa sería una forma de burlar las robin.listas> > prohibiciones (la censura) de acceder a determinados recursos que robin.listas> > establecen algunos paises, y Juan Carlos hablanba de un acceso local no robin.listas> > permitido al proxy de la red local. robin.listas> robin.listas> No, es el mismo caso. Oño, pues eso decía yo. robin.listas> Lo de los paises se refiere a los paises comunistas: Si caben dentro de lo que entre paréntesis ponía (la censura) si, se refiere a estos, pero también a otros, como Arabia Saudita y algunos más. robin.listas> cadena: el chino, y el anonimizador). Funciona mientras los censores no se robin.listas> dan cuenta de cual es la IP del proxy externo y la bloqueen tammbién. No hace falta, hay programas en Perl y en PHP que lo hacen automáticamente. Yo uso un par de ellos para cortar el acceso a los "spambots" desde proxyes robin.listas> El caso de Juan es el mismo: salen por el proxy de la empresa (no está robin.listas> prohibida toda la navegación, sólo algunos sitios), llegan a Yo entendí de su mensaje que eran IPs internas que, con ese programa, se saltaban los proxies internos. Es decir que falsificaban su IP para tener acceso al SQUID de la empresa y salir a Internet. robin.listas> un proxy externo (que el programa encuentra no se como), Es lo que yo tenía explicado por aquí, pero hecho de forma manual. Parece que este programa lo hace automáticamente. -- Saludos, Josep M. Queralt
On 02/03/07, Josep M. Queralt
El 02/03/2007 13:01:11 Carlos E. R. escribió:
robin.listas> > robin.listas> * Bypass the restrictions by some owners of Internet resources on users robin.listas> > robin.listas> from certain countries or geographical regions robin.listas> > robin.listas> > No, lo que le pasa no es eso. Fíjate que ahí se habla de saltarse las restricciones robin.listas> > para zonas geográficas o países. Esa sería una forma de burlar las robin.listas> > prohibiciones (la censura) de acceder a determinados recursos que robin.listas> > establecen algunos paises, y Juan Carlos hablanba de un acceso local no robin.listas> > permitido al proxy de la red local. robin.listas> robin.listas> No, es el mismo caso.
Oño, pues eso decía yo.
robin.listas> Lo de los paises se refiere a los paises comunistas:
Si caben dentro de lo que entre paréntesis ponía (la censura) si, se refiere a estos, pero también a otros, como Arabia Saudita y algunos más.
robin.listas> cadena: el chino, y el anonimizador). Funciona mientras los censores no se robin.listas> dan cuenta de cual es la IP del proxy externo y la bloqueen tammbién.
No hace falta, hay programas en Perl y en PHP que lo hacen automáticamente. Yo uso un par de ellos para cortar el acceso a los "spambots" desde proxyes
robin.listas> El caso de Juan es el mismo: salen por el proxy de la empresa (no está robin.listas> prohibida toda la navegación, sólo algunos sitios), llegan a
interesante, solo me queda insalar en un equipo este software y poner un sniffer para observar su actividad, creo que de esa forma podre lograr algo.
Yo entendí de su mensaje que eran IPs internas que, con ese programa, se saltaban los proxies internos. Es decir que falsificaban su IP para tener acceso al SQUID de la empresa y salir a Internet.
Yo tambien pensaba lo mismo
robin.listas> un proxy externo (que el programa encuentra no se como),
Es lo que yo tenía explicado por aquí, pero hecho de forma manual. Parece que este programa lo hace automáticamente.
por lo que entendi hasta ahora es que el programa usa una regla permitida de mi proxy y se conecta a un proxy anonimo de algun lugar del mundo, y luego navega a traves de este ultimo a lo lugares que mi proxy no le permite,, ahora si esta suposicion es correcta, voy un poco mas alla y supongo tambien que el programa usa alguna base de datos en la que tiene todos los proxys anonimos, y de esa forma no tarda mucho su conexion, que opinan ustedes..? Saludos JCarlos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-02 a las 10:13 -0500, Juan Carlos Bravo Celis escribió:
por lo que entendi hasta ahora es que el programa usa una regla permitida de mi proxy y se conecta a un proxy anonimo de algun lugar del mundo, y luego navega a traves de este ultimo a lo lugares que mi proxy no le permite,, ahora si esta suposicion es correcta, voy un poco mas alla y supongo tambien que el programa usa alguna base de datos en la que tiene todos los proxys anonimos, y de esa forma no tarda mucho su conexion, que opinan ustedes..?
Es posible, sí. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFF6EQutTMYHG2NR9URAo1TAKCTS2kbN7w5Y33TqkCOT1MGsCgS1ACglOzz 7oO4ElhCRzdnl4Fvnr1U1Ik= =Sazh -----END PGP SIGNATURE-----
El 2/03/07, Juan Carlos Bravo Celis escribió:
por lo que entendi hasta ahora es que el programa usa una regla permitida de mi proxy y se conecta a un proxy anonimo de algun lugar del mundo, y luego navega a traves de este ultimo a lo lugares que mi proxy no le permite,,
Aquí veo dos problemas de seguridad: - Permitir al usuario la instalación de programas - Permitir al proxy salir por otro lado que no sea tu cortafuegos
ahora si esta suposicion es correcta, voy un poco mas alla y supongo tambien que el programa usa alguna base de datos en la que tiene todos los proxys anonimos, y de esa forma no tarda mucho su conexion, que opinan ustedes..?
Los programas de navegación anónima son muy conocidos. Por ejemplo, tor* y multiproxy**, pero la configuración de tu squid no debería dejar pasar a tu cortafuegos ese tráfico que viene de los programas. * http://tor.eff.org/ ** http://www.multiproxy.org/multiproxy.htm Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-02 a las 16:50 +0100, Camaleón escribió:
Aquí veo dos problemas de seguridad:
- Permitir al usuario la instalación de programas - Permitir al proxy salir por otro lado que no sea tu cortafuegos
No hace falta que salga por otro lado, puede estar saliendo perfectamente por el proxy de la empresa. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFF6GuVtTMYHG2NR9URArMqAJ9eMuEFd2+0L/vBEBbeVPGOxLfrBACfdpCJ CkDak25sKJdDU7ZX1KKvjD0= =k4JJ -----END PGP SIGNATURE-----
El 2/03/07, Carlos E. R. escribió:
No hace falta que salga por otro lado, puede estar saliendo perfectamente por el proxy de la empresa.
Salir sale seguro por el cortafuegos de la empresa, de lo contrario no podría navegar. Pero no sale con la IP de la empresa, sino la que le dan los proxys a través del programa. Pero lo que no veo normal es que ni squid ni el cortafuegos permitan el tráfico saliente que venga de ese programa, sin autenficación. Por eso decía que el cortafuegos (último punto de salida a la red) debe permitr sólo las conexiones que vengan de squid, y squid no debe permitir ninguna conexión que no sea la generada por el equipo del cliente por los puertos habituales que se permitan. La pregunta es ¿quien "cede el paso" squid o el cortafuegos? Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-02 a las 19:40 +0100, Camaleón escribió:
El 2/03/07, Carlos E. R. escribió:
No hace falta que salga por otro lado, puede estar saliendo perfectamente por el proxy de la empresa.
Salir sale seguro por el cortafuegos de la empresa, de lo contrario no podría navegar. Pero no sale con la IP de la empresa, sino la que le dan los proxys a través del programa.
Pero lo que no veo normal es que ni squid ni el cortafuegos permitan el tráfico saliente que venga de ese programa, sin autenficación. Por eso decía que el cortafuegos (último punto de salida a la red) debe permitr sólo las conexiones que vengan de squid, y squid no debe permitir ninguna conexión que no sea la generada por el equipo del cliente por los puertos habituales que se permitan.
La pregunta es ¿quien "cede el paso" squid o el cortafuegos?
No lo pillas :-) Mi hipótesis es que salen "legalmente" a través del squid, de manera normal, porque las reglas no prohiben toda la navegación: sólo prohiben la navegación a determinados sitios, como hotmail. Salen por la frontera correctamente, sin nada que declarar. No van a hotmail, sino que van a un sitio anonimizador de colegas del programa ese. Es ahí cuando le dicen a ese colega que quieren ir a hotmail... y los aduaneros ni se enteran, porque sólo miran el billete de salida, no las maletas por dentro. ¿Capishi? :-) - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFF6HKNtTMYHG2NR9URAqOyAKCQx5IQoBw9Bdtz2k1DiZLCwXBovwCeNQ1/ 8wzoMg8J2+mZbaWL3+C0tbs= =tAXO -----END PGP SIGNATURE-----
El 2/03/07, Carlos E. R. escribió:
Mi hipótesis es que salen "legalmente" a través del squid, de manera normal, porque las reglas no prohiben toda la navegación: sólo prohiben la navegación a determinados sitios, como hotmail.
Agujero nº1. Si squid no se entera, apaga y vámonos. Se supone que el proxy debe impedir este tipo de conexiones, ¿no? Se trata de un programa, pero ¿y si fuera un virus, mail bombing...? ¿O un ataque al cortafuegos para dejarlo K.O.? ¿Vía libre?
Salen por la frontera correctamente, sin nada que declarar. No van a hotmail, sino que van a un sitio anonimizador de colegas del programa ese. Es ahí cuando le dicen a ese colega que quieren ir a hotmail... y los aduaneros ni se enteran, porque sólo miran el billete de salida, no las maletas por dentro.
Pues o squid se queda corto en opciones o está mal configurado. Los mayores problemas siempre vienen desde dentro, no desde fuera de la red local y es ahí donde debe haber más control. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-02 a las 20:02 +0100, Camaleón escribió:
El 2/03/07, Carlos E. R. escribió:
Mi hipótesis es que salen "legalmente" a través del squid, de manera normal, porque las reglas no prohiben toda la navegación: sólo prohiben la navegación a determinados sitios, como hotmail.
Agujero nº1. Si squid no se entera, apaga y vámonos. Se supone que el proxy debe impedir este tipo de conexiones, ¿no? Se trata de un programa, pero ¿y si fuera un virus, mail bombing...? ¿O un ataque al cortafuegos para dejarlo K.O.? ¿Vía libre?
¿Pero porqué iba a bloquearlo? No se salta las reglas del squid. Las aprovecha.
Salen por la frontera correctamente, sin nada que declarar. No van a hotmail, sino que van a un sitio anonimizador de colegas del programa ese. Es ahí cuando le dicen a ese colega que quieren ir a hotmail... y los aduaneros ni se enteran, porque sólo miran el billete de salida, no las maletas por dentro.
Pues o squid se queda corto en opciones o está mal configurado. Los mayores problemas siempre vienen desde dentro, no desde fuera de la red local y es ahí donde debe haber más control.
Date cuenta que esa gente no pone en su navegador "http:/hotmail....", sino que lo que sale de su máquina es una petición a "http://no quiero que sepas donde voy.com". El squid, al analizar el paquete con destino al puerto 80, y no ver la dirección http de ningún sitio prohibido (o la IP, no se como va eso), pues no lo prohibe. No tiene derecho a prohibirlo, es legal. Lo que pasa es que al llegar a ese sitio, lo que hacen es rellenar un formulario que dice que le hagan el favor de reflejarle la web de hotmail... y como eso va en el contenido de las maletas y no en su etiqueta, la aduana del squid no lo va a ver ni en broma. La historia está en que el pavo no se tiene que molestar en buscar el sitio anónimo. El "vé" hotmail en su navegador, es el programita ese el que hace la petición al formulario, que estará diseñado para que el programa lo maneje de forma automática y transparente. Insisto, es mi hipótesis. An educated guess, que dijen en el idioma ese. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFF6HehtTMYHG2NR9URAr+qAJ4sWIDZPkmJeP9bDeLqVjaKM8/+kQCcC6Tw yTpR65J5ivPfrpSaLPCNMYw= =cymJ -----END PGP SIGNATURE-----
El 2/03/07, Carlos E. R. escribió:
¿Pero porqué iba a bloquearlo? No se salta las reglas del squid. Las aprovecha.
Vale, squid sólo actúa como cacheador de webs junto con unas pocas reglas que impiden / permiten el acceso a determinadas páginas. Squid es inocente, no analiza ni el tipo de conexión ni el tipo de paquete que le llega. Pero alguien tendrá que hacerlo ¿no?
Date cuenta que esa gente no pone en su navegador "http:/hotmail....", sino que lo que sale de su máquina es una petición a "http://no quiero que sepas donde voy.com". El squid, al analizar el paquete con destino al puerto 80, y no ver la dirección http de ningún sitio prohibido (o la IP, no se como va eso), pues no lo prohibe. No tiene derecho a prohibirlo, es legal.
Das por hecho que el usuario tiene configurado a squid como puerta de enlace / salida, pero puede no ser así. Si puede instalar programas, podría configurar su navegador para no utilizar squid...
La historia está en que el pavo no se tiene que molestar en buscar el sitio anónimo. El "vé" hotmail en su navegador, es el programita ese el que hace la petición al formulario, que estará diseñado para que el programa lo maneje de forma automática y transparente.
Proxy o cortafuegos tiene que evitar "salidas" de ese tipo, bueno, bien, squid no, no es lo suyo, pero el cortafegos sí. Por algún puerto saldrá ese programa que se podrá bloquear... hace falta un sniffer. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-02 a las 20:27 +0100, Camaleón escribió:
El 2/03/07, Carlos E. R. escribió:
¿Pero porqué iba a bloquearlo? No se salta las reglas del squid. Las aprovecha.
Vale, squid sólo actúa como cacheador de webs junto con unas pocas reglas que impiden / permiten el acceso a determinadas páginas.
Squid es inocente, no analiza ni el tipo de conexión ni el tipo de paquete que le llega. Pero alguien tendrá que hacerlo ¿no?
Supongo. Pero sería una guerra similar a la del spam y antispammers.
Das por hecho que el usuario tiene configurado a squid como puerta de enlace / salida, pero puede no ser así. Si puede instalar programas, podría configurar su navegador para no utilizar squid...
Y se toparía con el cortafuegos, que supongo bien configurado y que no deja salir libremente las conexiones http.
La historia está en que el pavo no se tiene que molestar en buscar el sitio anónimo. El "vé" hotmail en su navegador, es el programita ese el que hace la petición al formulario, que estará diseñado para que el programa lo maneje de forma automática y transparente.
Proxy o cortafuegos tiene que evitar "salidas" de ese tipo, bueno, bien, squid no, no es lo suyo, pero el cortafegos sí. Por algún puerto saldrá ese programa que se podrá bloquear... hace falta un sniffer.
Por el 80, el de http. Ya te he dicho que sale legalmente por la frontera ;-) El cortafuegos no puede hacer nada de nada. El cortafuegos bloquea el 80 o reenvía al squid, punto, no puede mirar contenidos. El squid sí puede mirar algo de los contenidos, pero supongo que lo que hace es mirar las cabeceras de los paquetes para saber a qué sitio quieres navegar para bloquear o cachear. Bueno, es más complejo que eso, pero más o menos eso. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFF6H5GtTMYHG2NR9URAtlLAJ41W3tijBR2TgidjuJKvjgJY+BlcgCfegTR VkzHBsKDxssV1uIA6dX3ImU= =WGDb -----END PGP SIGNATURE-----
Proxy o cortafuegos tiene que evitar "salidas" de ese tipo, bueno, bien, squid no, no es lo suyo, pero el cortafegos sí. Por algún puerto saldrá ese programa que se podrá bloquear... hace falta un sniffer.
Según esta teoría el programa actualizará su base de datos por "http" con lo cual será también perfectamente legal ya que lo hará a través de SQUID. -- Salutacions - Saludos, Josep M. Queralt
Pues o squid se queda corto en opciones o está mal configurado. Los mayores problemas siempre vienen desde dentro, no desde fuera de la red local y es ahí donde debe haber más control.
Es que realmente si el problema es este, ni siquiera le hace falta el programa de marras para hacer eso. Con firefox (v2.0.0.1): Te vas a herramientas->Opciones->Avanzado Abrir la pestaña de Red->Parámetros de como Firefox se conecta a Internet. Se selecciona la configuración manual del servidor y se le pone uno de los proxys de http://www.proxy4free.com que funcione. Y listos, a saltar el SQUID, sin pagar por programas, sin craquear y siimplemente rellenando dos campos (IP y puerto) En definitiva, y para todos los navegadores IE, Firefox, Konqueror, Opera, Nautilus .... todos tienen la opción de salir a Internet mediante un proxy. Simplemente hay que indicarle la IP y el puerto de este proxy. La base de datos está en proxy4free.com y en decenas de sitios similares. -- Salutacions - Saludos, Josep M. Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-02 a las 20:44 +0100, Josep M. Queralt escribió:
Pues o squid se queda corto en opciones o está mal configurado. Los mayores problemas siempre vienen desde dentro, no desde fuera de la red local y es ahí donde debe haber más control.
Es que realmente si el problema es este, ni siquiera le hace falta el programa de marras para hacer eso.
Con firefox (v2.0.0.1):
Te vas a herramientas->Opciones->Avanzado
Abrir la pestaña de Red->Parámetros de como Firefox se conecta a Internet. Se selecciona la configuración manual del servidor y se le pone uno de los proxys de http://www.proxy4free.com que funcione.
No, no. El navegador sale a través del proxy de la empresa, y va a otro proxy. Dos proxys en cascada. Uno prohibitivo, y otro diseñado para saltarse las normas. Es decir, lo que hace es poner en la barra de navegación la dirección del proxy externo, y una vez en la página de ese proxy, en un formulario interior, pone la dirección de hotmail, que está prohibida. Lo que hace el programa es hacer ese paso transparente, de modo que directamente pone la dirección de hotmail en el navegador - sin cambiar la configuración del navegador, se sigue usando el proxy de la empresa. O algo de esa guisa. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFF6IMftTMYHG2NR9URAmTtAJwIp33Nh7KvOvaDY+14PC1NZCJkGwCfS/nN 6ZmY3gxRksilWmYfPv3V+NE= =JVNg -----END PGP SIGNATURE-----
El 2/03/07, Carlos E. R. escribió:
Lo que hace el programa es hacer ese paso transparente, de modo que directamente pone la dirección de hotmail en el navegador - sin cambiar la configuración del navegador, se sigue usando el proxy de la empresa.
Lo mejor en estos casos es investigar al "enemigo" para ver su funcionamiento :-): http://www.hide-ip-soft.com/faq.htm Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2/03/07, Carlos E. R. escribió:
Lo que hace el programa es hacer ese paso transparente, de modo que directamente pone la dirección de hotmail en el navegador - sin cambiar la configuración del navegador, se sigue usando el proxy de la empresa.
Lo mejor en estos casos es investigar al "enemigo" para ver su funcionamiento :-):
Puse la página al inicio de este tema, pero la verdad es que la documentación brilla por su ausencia. Quizá bajando el programa se podría averiguar algo más o lleva la documentación en el paquete. Pero eso debería hacerlo el interesado, no nosotros. Que se baje el programa, un "hack" de astalavista.us (el shareware ese creo que solo dura 3 días) y que mire como funciona. :-) Aunque sigo diciendo que, para ver como funciona, el tema es mejor el método que he puesto en un mensaje anterior. -- Salutacions - Saludos, Josep M. Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-02 a las 21:17 +0100, Camaleón escribió:
Lo mejor en estos casos es investigar al "enemigo" para ver su funcionamiento :-):
Tienes razón. Se descarga una lista: | Anonther reason is that proxy list is out of date. We suggest you | uninstall the old one and download the latest version. Register user | could get daily udpdate to avoid this problem. Luego una manera de bloquerlo es descargar esa lista todos los dias y bloquearla entera, linea a linea. Además, parece que efectivamente, cambia los ajustes del navegador, los de proxy. Si es así, es que a lo peor pueden salir sin el proxy de la empresa. O bien, la empresa tiene el proxy puesto como transparente, con lo cual tu puedes poner un proxy, pero primero pasas por el de la empresa. O bien, el proxy que pone el chisme este usa un puerto distinto del 80, con lo cual se salta el proxy de la empresa. Estamos buenos... - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFF6IqatTMYHG2NR9URAiGZAJwJcwf/zHm6sOuH4Mj/J7fkOE3LCwCcDdPW RGBmdZrdB3NRSsIfdSinewo= =UeL3 -----END PGP SIGNATURE-----
On 02/03/07, Camaleón
El 2/03/07, Carlos E. R. escribió:
Lo que hace el programa es hacer ese paso transparente, de modo que directamente pone la dirección de hotmail en el navegador - sin cambiar la configuración del navegador, se sigue usando el proxy de la empresa.
Lo mejor en estos casos es investigar al "enemigo" para ver su funcionamiento :-):
Opino lo mismo, de que hay que investigar al enemigo, asi que revisando y segun comentan en correos posteriores Josep, Carlos y Lluis, lo primero que estoy haciendo es escuchando la red y grabando lo que pasa, deje instalado en un equipo el software para ver que hace,, pues segun lei descarga una lista de proxys,, asi mismo en cuanto llegue al trabajo, voy a poner a trabajar al squidguard,pues si entendi bien, tambien actualiza una lista de proxys anonimos y los bloquea,, ya les contare como va. Saludos JCarlos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 03/03/07, Juan Carlos Bravo Celis
On 02/03/07, Camaleón
wrote: El 2/03/07, Carlos E. R. escribió:
Lo que hace el programa es hacer ese paso transparente, de modo que directamente pone la dirección de hotmail en el navegador - sin cambiar la configuración del navegador, se sigue usando el proxy de la empresa.
Lo mejor en estos casos es investigar al "enemigo" para ver su funcionamiento :-):
Despues de investigar sobre este software, efectivamente hace esto, poner un proxy tras un proxy y tras otro, sin cambiar la configuracion del navegador,, ahora, una solucion a esto es usar el squidguard y configurarle como blacklist la lista de proxys. ahora se me presentan otras dudas, como se hace para que esta lista se actualice todos los dias..? squidguard lo hace..? que opinion tiene ustedes de dansguardian..? este ultimo puede actualizar los blacklist diariamente..? Saludos y gracias JCarlos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 3/7/07, Juan Carlos Bravo Celis
On 03/03/07, Juan Carlos Bravo Celis
wrote: On 02/03/07, Camaleón
wrote: El 2/03/07, Carlos E. R. escribió:
Lo que hace el programa es hacer ese paso transparente, de modo que directamente pone la dirección de hotmail en el navegador - sin cambiar la configuración del navegador, se sigue usando el proxy de la empresa.
Lo mejor en estos casos es investigar al "enemigo" para ver su funcionamiento :-):
Despues de investigar sobre este software, efectivamente hace esto, poner un proxy tras un proxy y tras otro, sin cambiar la configuracion del navegador,, ahora, una solucion a esto es usar el squidguard y configurarle como blacklist la lista de proxys. ahora se me presentan otras dudas, como se hace para que esta lista se actualice todos los dias..? squidguard lo hace..? que opinion tiene ustedes de dansguardian..? este ultimo puede actualizar los blacklist diariamente..?
Y no puedes sniffar la red para ver quien pide esos proxies? A aquellos que lo pidan... puro de RRHH a canto. -- Saludos, miguel Los agujeros negros son lugares donde dios dividió por cero. Black holes are places where god divided by zero. --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
configurarle como blacklist la lista de proxys. ahora se me presentan otras dudas, como se hace para que esta lista se actualice todos los dias..? squidguard lo hace..? que opinion tiene ustedes de dansguardian..? este ultimo puede actualizar los blacklist diariamente..?
Por si te interesa mi opinión the diré que ambos sistemas se basan en premisas distintas. Para mi gusto es mejor opción DansGuardian, ya que se basa en el filtro de URLS, palabras, etc, es decir, en filtrar el contenido de las páginas que sirve. Por contra requiere un poco más de tiempo de entreno y ajuste. Por el contrario SquidGuard se basa en las IP de los proxys baneados, pero este baneado no es dinámico, sino que se basa en listas negras elaboradas por terceros y los proxyes cambian constantemente. Para las listas negras mírate la página del SquidGuard: http://www.squidguard.org/blacklists.html -- Salutacions - Saludos, Josep M. Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-07 a las 22:24 +0100, Josep M. Queralt escribió:
Por si te interesa mi opinión the diré que ambos sistemas se basan en premisas distintas.
Para mi gusto es mejor opción DansGuardian, ya que se basa en el filtro de URLS, palabras, etc, es decir, en filtrar el contenido de las páginas que sirve. Por contra requiere un poco más de tiempo de entreno y ajuste.
Por el contrario SquidGuard se basa en las IP de los proxys baneados, pero este baneado no es dinámico, sino que se basa en listas negras elaboradas por terceros y los proxyes cambian constantemente.
Pues entonces, usad los dos, ¿no? - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFF7zNktTMYHG2NR9URAqFcAJ9WmNO9Yqn6pM02WGELJdaV03K0TwCgh4B3 k1iINGdlxCyKJstZvku1LKo= =HVeL -----END PGP SIGNATURE-----
El navegador sale a través del proxy de la empresa, y va a otro proxy. Dos proxys en cascada. Uno prohibitivo, y otro diseñado para saltarse las normas.
Vale, quieres decir llamar a un web como ese: http://www.freeproxy.ca/
Lo que hace el programa es hacer ese paso transparente, de modo que directamente pone la dirección de hotmail en el navegador - sin cambiar la configuración del navegador, se sigue usando el proxy de la empresa.
Como decía en otro mensaje, habria que probar el programa. -- Salutacions - Saludos, Josep M. Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-02 a las 22:42 +0100, Josep M. Queralt escribió:
El navegador sale a través del proxy de la empresa, y va a otro proxy. Dos proxys en cascada. Uno prohibitivo, y otro diseñado para saltarse las normas.
Vale, quieres decir llamar a un web como ese:
Eso pensaba, pero parece que no es eso lo que hace.
Lo que hace el programa es hacer ese paso transparente, de modo que directamente pone la dirección de hotmail en el navegador - sin cambiar la configuración del navegador, se sigue usando el proxy de la empresa.
Como decía en otro mensaje, habria que probar el programa.
Pues sí, porque estamos dando palos de ciego, y yo un montón. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD4DBQFF6LAxtTMYHG2NR9URApSoAJiImjFD3FAGLFTgsNAb9AfuCqLKAJ92wD6h kigi0p1p7smJ1OYQC6I8cg== =3Wyf -----END PGP SIGNATURE-----
La pregunta es ¿quien "cede el paso" squid o el cortafuegos?
En este escenario ninguno de los dos. Si sale legalmente sale por el camino que marca el Squid, se conecta al proxy anónimo y este se lo manda al Squid que lo entrega al usuario. En la suposición mía, - quien usa el SQUID es un tercero con ese programa - fallaría Squid ya que permitiría conexiones desde fuera de la LAN. -- Salutacions - Saludos, Josep M. Queralt
El 02/03/2007 16:13:58 Juan Carlos Bravo Celis escribió: elbravito> voy un elbravito> poco mas alla y supongo tambien que el programa usa alguna base de elbravito> datos en la que tiene todos los proxys anonimos, y de esa forma no elbravito> tarda mucho su conexion, que opinan ustedes..? Los proxyes anónimos son muy volátiles, ya que aparecen y desaparecen con mucha frecuencia. Podría ser que usara una base de datos, pero yo creo que edsa sería inútil si no la actualizara de alguna parte. -- Saludos, Josep M. Queralt
2007/3/2, Josep M. Queralt
El 02/03/2007 16:13:58 Juan Carlos Bravo Celis escribió:
elbravito> voy un elbravito> poco mas alla y supongo tambien que el programa usa alguna base de elbravito> datos en la que tiene todos los proxys anonimos, y de esa forma no elbravito> tarda mucho su conexion, que opinan ustedes..?
Los proxyes anónimos son muy volátiles, ya que aparecen y desaparecen con mucha frecuencia. Podría ser que usara una base de datos, pero yo creo que edsa sería inútil si no la actualizara de alguna parte.
sinceramente a mi lo que me parece extrano, es que una maquina pueda andar por ahi, buscando proxies para conectarse... que pasa con las reglas del firewall, como es que esa maquina puede salir libremente para buscar un mejor proxy libremente...es como raro no? -- Ciao, Javier linux counter #393724 GPG Key Fingerprint = 46B76CFEDB0161089D9ECB22FEFDE7EBA8C2007E --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-02 a las 14:01 -0400, javier rojas escribió:
Los proxyes anónimos son muy volátiles, ya que aparecen y desaparecen con mucha frecuencia. Podría ser que usara una base de datos, pero yo creo que edsa sería inútil si no la actualizara de alguna parte.
sinceramente a mi lo que me parece extrano, es que una maquina pueda andar por ahi, buscando proxies para conectarse...
que pasa con las reglas del firewall, como es que esa maquina puede salir libremente para buscar un mejor proxy libremente...es como raro no?
Pues por eso, saldrá por http a alguna web que tenga la base de datos. Si averiguais donde está, bloqueándola bloqueas el programa, hasta que el pavo encuentre otra manera, como bajarse la lista en casa y llevarla en un disquete. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFF6Gs8tTMYHG2NR9URAiNIAJ9p9pnuDn8BTP+jhZU64m6HoCpsRQCbBANg 7oXeYCnUid0Ki6/leoXxKFo= =6OUs -----END PGP SIGNATURE-----
que pasa con las reglas del firewall, como es que esa maquina puede salir libremente para buscar un mejor proxy libremente...es como raro no?
Si, de ahí la confusión en que si _realmente_ estábamos hablando de una IP de la red local. Esta aplicación, el "Hide IP Platinum", se usa para la "privacidad" de la IP _pública_ del usuario. De ahí que dijera que no tienen mucho sentido usarlo en una red local salvo que sea capaz de saltarse también el Squid. -- Salutacions - Saludos, Josep M. Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-02 a las 20:27 +0100, Josep M. Queralt escribió:
que pasa con las reglas del firewall, como es que esa maquina puede salir libremente para buscar un mejor proxy libremente...es como raro no?
Si, de ahí la confusión en que si _realmente_ estábamos hablando de una IP de la red local.
Esta aplicación, el "Hide IP Platinum", se usa para la "privacidad" de la IP _pública_ del usuario. De ahí que dijera que no tienen mucho sentido usarlo en una red local salvo que sea capaz de saltarse también el Squid.
Está diseñada para saltarse proxies, como el squid. Si se salta los proxies de los paises censores, ¿no va a saltarse el squid? - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFF6H7DtTMYHG2NR9URAoHyAJ9wcALnhfXaCImuewuXZtjk2d8MQQCbBHDA 3s+kfvQ1JXZubZtpxD3zAXc= =dW39 -----END PGP SIGNATURE-----
Está diseñada para saltarse proxies, como el squid. Si se salta los proxies de los paises censores, ¿no va a saltarse el squid?
Me parece que no. Trabaja sobre las IP públicas, no sobre las de de propia LAN. La finalidad es camuflar la IP pública, no la privada.. Los proxies de los paises con censura, como bien decías en un anterior mensaje, trabajan sobre rangos de IPs (paises) y también sobre listas negras de IPs públicas de sitios WeB. (sitios pornográficos, disitentes etc.) Cuando alguien quiere salir a una IP prohibida el proxy le corta el paso y punto. Si la IP no está prohibida, cual es el caso de una petición a un proxy p.e. de Andorra (por poner algo neutro), el proxy la dejará pasar. Como tu decías, el "malo" hará la petición al proxy de Andorra y será el Proxy de Andorra (que no se lo salta, sino que trabaja para el "malo") el que le va a traer Hotmail, el sitio disidente o lo que sea. Pero es que, además, a efectos de terceros, si el proxy de Andorra es "anónimo" a efectos de terceros, pensarán que el "malo", por su IP, es un andorrano que les quiere vender tabaco y queso. Si el proxy es transparente, saldrán las dos IP. En terminología de Apache ahí tienes un ejempl de una detección de un proxy: Abuse detected from IP: (REMOTE_ADDR)->193.68.35.226, (X_IP_CLIENT)->empty, (HTTP_X_FORWARDED_FOR)->10.1.103.110, (HTTP_VIA)->1.0 proxy.mavrt.hu:3128 (squid/2.6.STABLE1) Auto added abusing IP address to .htaccess file. 193.68.35.226, Fíjate en la diferencia de IP entre REMOTE_ADDR y HTTP_X_FORWARDED_FOR, La primera es la dirección del Proxy, que es el hace la petición y da la cara. La segunda es una IP privada que no puedes saber, con esos datos de donde viene. Es pues un proxy anónimo. Si yo soy el "malo" y puedo conectar (directamente o a través de mi Squid) a 193.68.35.226 (en Hungría) este me traerá todo lo que yo le pida, y además lo hará desde su IP pública, no desde la mía que, además no aparecerá en ningún sitio. De la misma manera, si el Squid de Juan Carlos está mal configurado, yo puedo hacerle peticiones a su IP pública para que trabaje para mi. -- Salutacions - Saludos, Josep M. Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-02 a las 21:20 +0100, Josep M. Queralt escribió:
Está diseñada para saltarse proxies, como el squid. Si se salta los proxies de los paises censores, ¿no va a saltarse el squid?
Me parece que no. Trabaja sobre las IP públicas, no sobre las de de propia LAN. La finalidad es camuflar la IP pública, no la privada..
¿Y qué mas da? Salen desde la red local, hacen nat o squid, salen con la ip publica, llegan al proxy externo, cambian de ip publica a otra, y llegan a hotmail. Es lo que tú cuentas, con un paso más. Lo que quise decir, es que el software está diseñado para salir de paises que prohiben salir, que es el mismo caso, pero con ips publicas en vez de privadas. Es lo mismo.
En terminología de Apache ahí tienes un ejempl de una detección de un proxy:
Abuse detected from IP: (REMOTE_ADDR)->193.68.35.226, (X_IP_CLIENT)->empty, (HTTP_X_FORWARDED_FOR)->10.1.103.110, (HTTP_VIA)->1.0 proxy.mavrt.hu:3128 (squid/2.6.STABLE1) Auto added abusing IP address to .htaccess file. 193.68.35.226,
Fíjate en la diferencia de IP entre REMOTE_ADDR y HTTP_X_FORWARDED_FOR,
La primera es la dirección del Proxy, que es el hace la petición y da la cara. La segunda es una IP privada que no puedes saber, con esos datos de donde viene.
Es pues un proxy anónimo.
Claro. Duda: ¿Porqué lo consideras abusivo? :-?
Si yo soy el "malo" y puedo conectar (directamente o a través de mi Squid) a 193.68.35.226 (en Hungría) este me traerá todo lo que yo le pida, y además lo hará desde su IP pública, no desde la mía que, además no aparecerá en ningún sitio.
Claro. Eso es el objetivo.
De la misma manera, si el Squid de Juan Carlos está mal configurado, yo puedo hacerle peticiones a su IP pública para que trabaje para mi.
Pero eso sería otro problema distinto. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFF6I2ftTMYHG2NR9URAtZXAJ4i936oDz5Up2CShuWqL2cjwckMaACgl3QH AG/2YG1RTIMGZYoCMZxoh90= =cQYB -----END PGP SIGNATURE-----
Me parece que no. Trabaja sobre las IP públicas, no sobre las de de propia LAN. La finalidad es camuflar la IP pública, no la privada..
¿Y qué mas da?
Que no se lo salta, trabaja para él. Si el Squid de Juan Carlos no dejara a determinadas IP privadas acceder a Internet, el programa no les serviría de nada a esas IPs. IP privada -> IP Squid Servidor -> IP Proxy Anónimo
Duda: ¿Porqué lo consideras abusivo? :-?
Porque es un servidor que está bajo un ataque de ordenadores "zombies". El "testeo" del ataque se hace desde proxies para evitar la identificación y si intentan la entrada también se acostumbra a hacer así, ya que de lo contrario les pillamos la IP de verdad. Ya se que es injusto y bla, bla bla .... pero es lo que hay. Todos los proxies son abusivos mientras dure la tormenta. :-)
De la misma manera, si el Squid de Juan Carlos está mal configurado, yo puedo hacerle peticiones a su IP pública para que trabaje para mi.
Pero eso sería otro problema distinto.
Es que, en realidad yo no me he enterado a ciencia cierta cual es el problema _real_ de Juan Carlos ni como ha llegado a la conclusión de que el "Hiden IP Platimum" se estaba usando desde dentro de su red. Si sabe el programa lo lógico es que supiera tambien la IP interna que lo ha ejecutado. Vas directo al individuo/a le cantas las 40 o te vas a dirección. Pienso que también podría estar equivocado y que en realidad sea su Squid el que está haciendo de buen samaritano -- Salutacions - Saludos, Josep M. Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-02 a las 22:06 +0100, Josep M. Queralt escribió:
Me parece que no. Trabaja sobre las IP públicas, no sobre las de de propia LAN. La finalidad es camuflar la IP pública, no la privada..
¿Y qué mas da?
Que no se lo salta, trabaja para él. Si el Squid de Juan Carlos no dejara a determinadas IP privadas acceder a Internet, el programa no les serviría de nada a esas IPs.
Es que lo tiene puesto para que puedan navegar por ciertos sitios en horas de trabajo, y con algunos sitios "de perder el tiempo" prohibidos.
IP privada -> IP Squid Servidor -> IP Proxy Anónimo
Claro.
Duda: ¿Porqué lo consideras abusivo? :-?
Porque es un servidor que está bajo un ataque de ordenadores "zombies".
El "testeo" del ataque se hace desde proxies para evitar la identificación y si intentan la entrada también se acostumbra a hacer así, ya que de lo contrario les pillamos la IP de verdad.
Ah, ya: no es que estén navegando vuestra web usando un proxy, sino que alguien os ataca usando proxys, por lo que bloqueais todos los que pillais.
Ya se que es injusto y bla, bla bla .... pero es lo que hay. Todos los proxies son abusivos mientras dure la tormenta. :-)
Lo que pasa es que en ese saco se mete a gente como los de telefónica que teníamos un proxy puesto sin enterarnos, y había veces que los sitios nos negaban la navegación.
De la misma manera, si el Squid de Juan Carlos está mal configurado, yo puedo hacerle peticiones a su IP pública para que trabaje para mi.
Pero eso sería otro problema distinto.
Es que, en realidad yo no me he enterado a ciencia cierta cual es el problema _real_ de Juan Carlos ni como ha llegado a la conclusión de que el "Hiden IP Platimum" se estaba usando desde dentro de su red.
Se lo habrá visto a alguno.
Si sabe el programa lo lógico es que supiera tambien la IP interna que lo ha ejecutado. Vas directo al individuo/a le cantas las 40 o te vas a dirección.
Claro.
Pienso que también podría estar equivocado y que en realidad sea su Squid el que está haciendo de buen samaritano
Es que lo tiene puesto no en plan malvado, sino en plan util... - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFF6LPxtTMYHG2NR9URAqWyAJ9EQOQ+MW/UX7jUlupvdlNLvwkwhACeN5zE g40IiQVZ8vzAfDY5XQUhxfY= =4rfJ -----END PGP SIGNATURE-----
Ah, ya: no es que estén navegando vuestra web usando un proxy, sino que alguien os ataca usando proxys, por lo que bloqueais todos los que pillais.
Exacto. Bueno, no del todo, los ataques fuertes vienen fundamentalmente desde IP's de ordenadores domésticos infectados con troyanos. El ataque desde proxys no supone un problema en si mismo. El bloqueo se hace para evitar que puedan intentar entrar anónimamente y para dificultar que comprueben los resultados del ataque.
Ya se que es injusto y bla, bla bla .... pero es lo que hay. Todos los proxies son abusivos mientras dure la tormenta. :-)
Lo que pasa es que en ese saco se mete a gente como los de telefónica que teníamos un proxy puesto sin enterarnos, y había veces que los sitios nos negaban la navegación.
Cuando (T) usaba el proxy nos lo teníamos que pensar mucho _antes_ de activar el bloqueo por cuestiones comerciales. Ahora eso no ocurre. Ahora los inocentes más perjudicados son los usuarios de AOL que también son obligados a salir a Internet desde proxy. No se les puede "salvar" porque los proxyes de AOL son abiertos y pueden ser usados por terceros. También por razones comerciales hay algunos proxyes que son excepciones a la regla de bloqueo, pero claro, como eso es secreto no diré el nombre, solo diré, como ejemplo, qye hay uno que empieza por "goo" y acaba en "gle". -- Salutacions - Saludos, Josep M. Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-03 a las 10:55 +0100, Josep M. Queralt escribió:
Cuando (T) usaba el proxy nos lo teníamos que pensar mucho _antes_ de activar el bloqueo por cuestiones comerciales. Ahora eso no ocurre. Ahora los inocentes más perjudicados son los usuarios de AOL que también son obligados a salir a Internet desde proxy. No se les puede "salvar" porque los proxyes de AOL son abiertos y pueden ser usados por terceros. También por razones comerciales hay algunos proxyes que son excepciones a la regla de bloqueo, pero claro, como eso es secreto no diré el nombre, solo diré, como ejemplo, qye hay uno que empieza por "goo" y acaba en "gle".
Jo. No te envidio... - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFF6VdctTMYHG2NR9URAk90AJ9nvM1OkFALvk9ihKfSu3O0K2dUBwCfX82R gfi+ZfAKH+wxqUKFDgKjZGg= =3MrQ -----END PGP SIGNATURE-----
El vie, 02-03-2007 a las 22:06 +0100, Josep M. Queralt escribió:
Si sabe el programa lo lógico es que supiera tambien la IP interna que lo ha ejecutado. Vas directo al individuo/a le cantas las 40 o te vas a dirección.
Si la IP esta falsificada, se puede localizar la maquina mediante la direccion MAC, esa es mas dificil de cambiar. Yo dejaria a Ethereal grabando un rato para inspeccionar luego lo que esta pasando. -- Saludos Lluis
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-02 a las 15:28 +0100, Josep M. Queralt escribió:
robin.listas> El caso de Juan es el mismo: salen por el proxy de la empresa (no está robin.listas> prohibida toda la navegación, sólo algunos sitios), llegan a
Yo entendí de su mensaje que eran IPs internas que, con ese programa, se saltaban los proxies internos. Es decir que falsificaban su IP para tener acceso al SQUID de la empresa y salir a Internet.
Esa es otra posibilidad, pero de la descripción de ese programa no parece que vayan los tiros por ahí. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFF6Gw8tTMYHG2NR9URAgHVAJ9n4Mxohmgs2OgX5uoROGMz8yQCPgCfaWvO hydFyCy9xWi81mWkUVp2yUQ= =1ahw -----END PGP SIGNATURE-----
2007/3/2, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2007-03-02 a las 15:28 +0100, Josep M. Queralt escribió:
robin.listas> El caso de Juan es el mismo: salen por el proxy de la empresa (no está robin.listas> prohibida toda la navegación, sólo algunos sitios), llegan a
Yo entendí de su mensaje que eran IPs internas que, con ese programa, se saltaban los proxies internos. Es decir que falsificaban su IP para tener acceso al SQUID de la empresa y salir a Internet.
Esa es otra posibilidad, pero de la descripción de ese programa no parece que vayan los tiros por ahí.
bueno pero porque no bloquear toda salida de ese grupo de ips en el firewall, obligado tienen que pasar por ahi.... cuando el tipo pregunte la razon...listo... -- Ciao, Javier linux counter #393724 GPG Key Fingerprint = 46B76CFEDB0161089D9ECB22FEFDE7EBA8C2007E --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-02 a las 14:27 -0400, javier rojas escribió:
Esa es otra posibilidad, pero de la descripción de ese programa no parece que vayan los tiros por ahí.
bueno pero porque no bloquear toda salida de ese grupo de ips en el firewall, obligado tienen que pasar por ahi....
cuando el tipo pregunte la razon...listo...
Si no me equivoco, salen todos por el squid, el cortafuegos corta. Tienen permitida la navegación parcial, no total. Por tanto, la trampa está en salir navegando al anonimizador, y de ahí al universo. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFF6G9ftTMYHG2NR9URAqZgAJ9fqKIumAhfGWI6I0Enx0aMfaMV2QCffBAV 0qIGh0GSSccOCiMKt8n2K3M= =g8cT -----END PGP SIGNATURE-----
Esa es otra posibilidad, pero de la descripción de ese programa no parece que vayan los tiros por ahí.
No, y por eso yo le decía que en realidad lo que puede estar pasando es que sean máquinas exteriores a su red local las que esten usando su SQUID como proxy si no estuviera bien configurado. -- Salutacions - Saludos, Josep M. Queralt
El 2/03/07, Juan Carlos Bravo Celis escribió:
este a su vez se conecta a otro Firewall que es el que da la cara al mundo,
Entiendo que este cortafuegos (el que tiene acceso a Internet) es el que debe estar configurado para impedir la salida de los equipos de forma directa, vamos, que sólo debe permitir salir al proxy. De esta forma fuerzas a todos a pasar por squid y evitas estas cosas. Tal y como comentas, es como si el equipo que tiene instalado ese programa no utilizara squid para salir y se va directamente al cortafuegos que le da acceso a Internet. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Hola a todos,
desde hace un tiempo tenia la sospecha de que alguien en el trabajo estaba usando un software que se burlaba de la configuracion de mi squid y hace un par de dias lo confirme, estan usando el "Hide IP platinum" que segun veo camufla la ip del PC y pueden saltar las reglas configuradas en el proxy.
Hasta donde yo se, el Hide IP Platinum se utiliza _desde_fuera_ de la red local, y lo que hace es "engancharse" a un proxy _anónimo_ para usarlo como su propio proxy. En realidad es una herramienta que se utiliza pues para camuflar la propia IP, es de las llamadas de "privacidad". Creo que integra un "pluggin" para acoplarse al Firefox. No tiene demasiado sentido que se use desde _dentro_ de tu red local. Habría que mirar en el manual del "bicho" si ello es posible para burlar el control de las IP´s internas que tienen acceso al SQUID. -- Salutacions - Saludos, Josep M. Queralt
El 1/03/07, Josep M. Queralt
Hola a todos,
desde hace un tiempo tenia la sospecha de que alguien en el trabajo estaba usando un software que se burlaba de la configuracion de mi squid y hace un par de dias lo confirme, estan usando el "Hide IP platinum" que segun veo camufla la ip del PC y pueden saltar las reglas configuradas en el proxy.
Hasta donde yo se, el Hide IP Platinum se utiliza _desde_fuera_ de la red local, y lo que hace es "engancharse" a un proxy _anónimo_ para usarlo como su propio proxy.
En realidad es una herramienta que se utiliza pues para camuflar la propia IP, es de las llamadas de "privacidad". Creo que integra un "pluggin" para acoplarse al Firefox.
No tiene demasiado sentido que se use desde _dentro_ de tu red local. Habría que mirar en el manual del "bicho" si ello es posible para burlar el control de las IP´s internas que tienen acceso al SQUID.
yo veo, mucho sentido !!! :D como puede ver, yo puedo cambiar la IP de mi equipo (que tiene restricciones) para la IP de mi gerente (que tiene acesso total a internet) !!!! :D mmm.. creo que deberias de mirar como implementar autentificacion en el proxy !! salu2 y suerte -- -- Victor Hugo dos Santos Linux Counter #224399 --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (9)
-
Camaleón
-
Carlos E. R.
-
gnu forever
-
javier rojas
-
Josep M. Queralt
-
Juan Carlos Bravo Celis
-
lluis
-
miguel gmail
-
Victor Hugo dos Santos