Saltarse firewalls y proxys mediante HTTPort y HTTHost

Este artículo es similar al anterior, Saltarse un firewall mediante túneles SSH

Explica mediante un método bastante parecido, cómo saltarse los filtros que tenemos habilitados hacia una dirección o protocolo, haciendo un salto intermedio que nos redirija al destino que directamente estaría denegado, encapsulando el tráfico en HTTP mediante las herramientas HTTPort y HTTHost.

HTTPort es una herramienta que funciona como un proxy que permite encapsular cualquier tipo de tráfico en tráfico HTTP.  Basta con definir en la herramienta el puerto local de escucha, y el destino y puerto remoto al que redirigir las conexiones. De esta forma, el tráfico saldrá a ojos de nuestro firewall con apariencia de HTTP y los paquetes tendrán como puerto destino TCP/80, lo cual permitirá que los proxys y/o firewalls lo dejen pasar (en caso, evidentemente, de que la navegación esté permitida).

Más información sobre qué es HTTPort aquí.

Podemos descargar HTTPort aquí. Una vez descargado, instalación por defecto y lo abrimos.

En la pestaña “Proxy” será útil si en nuestra red corporativa sólo podemos acceder a internet mediante proxy. Aquí configuraremos lo relativo a nuestro proxy, la dirección, puerto de escucha, usuario y contraseña en caso de que requiera autenticación, etc.  Las opciones son bastante claras, y además, como pone el texto del botón de la esquina inferior, “este botón ayuda”.

En la siguiente pestaña “Port mapping” configuraremos la redirección de puertos en si. Vienen unas cuantas preconfiguradas a modo de ejemplo. Pinchando en “Add” podremos añadir la que queramos simplemente con 3 datos: puerto local de escucha, dirección remota, puerto remoto.

Ejemplo: queremos acceder a una máquina remota de correo (puerto TCP/25)

Ajustes HTTPort (pestaña Port Mapping):

Local port: 9125 (por ejemplo)

Remote host: casa.dyndns.org

Remote port: 25

Ajustes en el cliente de correo:

Simplemente tener en cuenta que en el cliente de correo tendremos que configurar como destino “Localhost”, y como puerto no pondremos el TCP/25, sino en este caso el que hemos configurado en la redirección, es decir TCP/9125

Pero para hacer esto, necesitamos también que el destino de estas conexiones colabore, es decir, haga la redirección que necesitamos. Para ello existen en internet múltiples servidores contra los que ir para después alcanzar el destino al que queremos llegar, basta con buscar un poco, pero son lentos y sobretodo quizá no sea recomendable confiar en enviar allí nuestro tráfico…

Por eso podemos montar este servicio en una máquina de internet que controlemos para que haga de bypass. Para ello descargamos el software HTTHost desde aquí, lo instalamos, abrimos los puertos del router correspondientes y lo configuramos. Es muy sencillo, no merece mayor explicación. Podemos incluso restringir desde qué direcciones acepta conexiones.

En definitiva, con otro ejemplo, si lo que queremos en conectarnos al equipo de casa mediante Escritorio Remoto, partiendo de que sólo tenemos permitido desde el equipo corporativo el tráfico HTTP a través del proxy empresarial por el puerto TCP/8888 (y denegado el tráfico directo a internet por cualquier puerto), lo que haría la conexión usando este método sería:

[Cliente RDP equipo corporativo] =>HTTPort:3389=> ProxyCorporativo:8888=>HTTHostRemoto:80=>ServidorRDP:3389

Está muy bien explicado en el siguiente artículo:

http://lopezivan.blogspot.com/2007/01/httport-htthost-o-cmo-saltarse-proxy.html