Re: Bypassare firewall aziendali con tunnel HTTP/HTTPS

Matteo Sgalaberni writes:

> acl connect_anche_no method CONNECT
> http_access deny connect_anche_no 
> 
> Uno squid senza questa acl è configurato criminosalmente, IMHO... 
> detto questo secondo me il problema si risolve...

anche no.. nel senso che con con quella acl di solito imbufalisci 
l'utenza... questo risolve le problematiche di CONNECT via http, ma ti 
impedisce di usare l'https. 

Poiche' normalmente almeno le connect verso le well-know https sono 
consentite, generalmente quel genere di tunnel funziona quasi sempre verso 
porte 443 o 563 o simili, salvo fw che facciano content inspection per 
controllare che sia effettivamente https (e anche in quel caso, visto che + 
che verificare quello non puo'... basta usare https_tunnel, per capirci) o 
fw che facciano mitm ssl... 

senza contare che poi uno puo' usare/codarsi una qualsiasi cosa che usi 
traffico ancora meno evidentemente illegittimo per fare covert channels 
("theories in covert channels"), tipo l'esempio che portava naif..., ci 
vogliono 20 minuti per farsi una shell su pop3, piuttosto che ftp, http 
(basta una cgi shell->http su un server "di la'") o un qualsiasi altro 
protocollo che verosimilmente viene fatto passare... 

visto che i tool sono meno diffusi, e' piu' difficile aspettarsi che un 
utente aziendale medio sia in grado di farlo, ma non e' certo semplice 
proteggersi da uno che voglia assolutamente bypassare le restrizioni in 
uscita o una backdoor tailorata sulla rete che deve attaccare... 

bye
Koba (moderatore) 

--  

Igor Falcomata'
IT Security Manager & Consultant
Infosec srl - http://www.infosec.it
Network Security and Data Defense
 --
free advertising: www.sikurezza.org - Italian Security Mailing List 

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List