Saltarse firewalls y proxys mediante HTTPort y HTTHost

22 02 2009

Este artículo es similar al anterior, Saltarse un firewall mediante túneles SSH

Explica mediante un método bastante parecido, cómo saltarse los filtros que tenemos habilitados hacia una dirección o protocolo, haciendo un salto intermedio que nos redirija al destino que directamente estaría denegado, encapsulando el tráfico en HTTP mediante las herramientas HTTPort y HTTHost.

HTTPort es una herramienta que funciona como un proxy que permite encapsular cualquier tipo de tráfico en tráfico HTTP.  Basta con definir en la herramienta el puerto local de escucha, y el destino y puerto remoto al que redirigir las conexiones. De esta forma, el tráfico saldrá a ojos de nuestro firewall con apariencia de HTTP y los paquetes tendrán como puerto destino TCP/80, lo cual permitirá que los proxys y/o firewalls lo dejen pasar (en caso, evidentemente, de que la navegación esté permitida).

Más información sobre qué es HTTPort aquí.

Podemos descargar HTTPort aquí. Una vez descargado, instalación por defecto y lo abrimos.

En la pestaña “Proxy” será útil si en nuestra red corporativa sólo podemos acceder a internet mediante proxy. Aquí configuraremos lo relativo a nuestro proxy, la dirección, puerto de escucha, usuario y contraseña en caso de que requiera autenticación, etc.  Las opciones son bastante claras, y además, como pone el texto del botón de la esquina inferior, “este botón ayuda”.HTTPort

En la siguiente pestaña “Port mapping” configuraremos la redirección de puertos en si. Vienen unas cuantas preconfiguradas a modo de ejemplo. Pinchando en “Add” podremos añadir la que queramos simplemente con 3 datos: puerto local de escucha, dirección remota, puerto remoto.

Port Mapping

Ejemplo: queremos acceder a una máquina remota de correo (puerto TCP/25)

Ajustes HTTPort (pestaña Port Mapping):

Local port: 9125 (por ejemplo)

Remote host: casa.dyndns.org

Remote port: 25

Ajustes en el cliente de correo:

Simplemente tener en cuenta que en el cliente de correo tendremos que configurar como destino “Localhost”, y como puerto no pondremos el TCP/25, sino en este caso el que hemos configurado en la redirección, es decir TCP/9125

Pero para hacer esto, necesitamos también que el destino de estas conexiones colabore, es decir, haga la redirección que necesitamos. Para ello existen en internet múltiples servidores contra los que ir para después alcanzar el destino al que queremos llegar, basta con buscar un poco, pero son lentos y sobretodo quizá no sea recomendable confiar en enviar allí nuestro tráfico…

Por eso podemos montar este servicio en una máquina de internet que controlemos para que haga de bypass. Para ello descargamos el software HTTHost desde aquí, lo instalamos, abrimos los puertos del router correspondientes y lo configuramos. Es muy sencillo, no merece mayor explicación. Podemos incluso restringir desde qué direcciones acepta conexiones.

HTTHost

En definitiva, con otro ejemplo, si lo que queremos en conectarnos al equipo de casa mediante Escritorio Remoto, partiendo de que sólo tenemos permitido desde el equipo corporativo el tráfico HTTP a través del proxy empresarial por el puerto TCP/8888 (y denegado el tráfico directo a internet por cualquier puerto), lo que haría la conexión usando este método sería:

[Cliente RDP equipo corporativo] =>HTTPort:3389=> ProxyCorporativo:8888=>HTTHostRemoto:80=>ServidorRDP:3389

Está muy bien explicado en el siguiente artículo:

http://lopezivan.blogspot.com/2007/01/httport-htthost-o-cmo-saltarse-proxy.html


Acciones

Information

3 responses

23 02 2009
Luis Miguel

Si en casa instalas un servidor de ssh, puedes usar el putty para hacer túneles a los diferentes servicios que tengas montados (web, vnc, etc.). El putty también permite usar un proxy.

Me parece útil usar un router Linksys con firmware linux (tomato, ddwrt…), de manera que se abre el puerto de ssh del router, y no abres puertos a los ordenadores que puedas tener dentro de tu red.

23 02 2009
carlosfvz

Muy buenos post Marquinos, jodidamente buenos

23 02 2009
albertestevez

Prueba a tener un Firewall de PaloAlto Networks “Firewall 2.0” y prueba a ver si te funciona amigo. Este es un ejemplo mas de como las aplicaciones han evolucionado pero los firewalls no, esta es la clave de los firewalls de paloAlto, son capaces de abrir SSL y llegar hasta el fondo del paquete para ver que estas haciendo.

Mira en su web, yo los he probado y flipas🙂

Albert
securlabs.wordpress.com
http://www.paloaltonetworks.com

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




A %d blogueros les gusta esto: