Tunneling: Esquivando restricciones de Proxies y Firewalls

Esteban Saavedra LopezCEO AtixLibre CEO Opentelematics email: esteban.saavedra@atixlibre.orghttp://esteban.opentelematics.org

Objetivo

• Realizar una presentación de las principales alternativas y características de como esquivar restricciones en una red de datos.

Agenda

• Situación actual• Métodos de anonimato• Escenarios de Tunneling• Conclusiones

Situación Actual

Situación actual

• Los administradores de redes y telecomunicaciones de las empresas se dedican a establecer medidas de control y filtrado del trafico, ya sea por temas de seguridad o de gestión de ancho de banda.

NOC Network Operation Center

Geolocalización y rastreo de IP

Control del Origen y Destino

Ventajas para la Empresa

• Solo se permite trafico necesario para el acceso a servicios públicos necesarios por los usuarios.

• Mayor velocidad y ancho de banda para servicios relevantes dentro de la empresa (para accederlos o para brindarlos).

• El acceso irrestricto a servicios públicos, se convierte en una amenaza a la seguridad de la empresa.

• El acceso restringido es una forma de precautelar saturación de canales de comunicación, posibles ataques, robo de información, registro en black list, vaneo de IPs, etc.

Desventajas para los usuarios

• No pueden acceder a servicios que no estén permitidos por políticas de la empresa.

• Se sienten limitados para poder hacer uso de servicios públicos y acceso a la información.

• Piensan que el control de trafico es atentar contra su privacidad.

Como usuarios debemos ver que hacer?

Acceso Anónimo

Navegación Anónima

• La navegación anónima por Internet, es ocultarle nuestra identidad (dirección IP) al servidor que aloja la página web a la que deseamos ingresar.

• De esta manera, el servidor no tendrá una ubicación exacta de nuestro PC en la red y será imposible el rastreo de nuestro equipo.

Esquema de conexiones anónimas

Métodos para el anonimato

1.Utilizar Anonimizadores2.Utilizar Proxies3.Utilizar Tunneling

1. Anonimizadores

1. Anonimizadores

Este método se basa en utilizar un servicio de anonimato web, que consiste en la ejecución de poderosos filtros de seguridad, los cuales, se incrustan en el navegador web y funcionan como una especie de barrera entre nuestro PC y el servidor web destino.

Esquema de Anonimizadores

2. Servidores proxy

2. Servidores proxy

• La idea básica de un servidor proxy es actuar de pasarela (gateway) entre tu máquina o tu red local y la Internet.

• Un proxy actúa como interlocutor o intermediario al momento de realizar peticiones a través de un cortafuegos (firewall).

• También sirven para prestar servicios como caché de documentos y sitios que son pedidos por muchos clientes, reduciendo el coste de tráfico de red y acelerando las conexiones.

Esquema 1: Conexión Pública

Esquema 2: Conexión con Proxy

Esquema 3: Conexión por tunel

3. Tunneling

3. Tunneling

• Es una tecnología que permite enviar datos en una red mediante otras conexiones de la red.

• La técnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un túnel dentro de una red de computadoras.

Formas de hacer tunneling

• Tunneling sobre SSH• Tunneling sobre HTTP• Tunneling sobre DNS• Tunneling sobre ICMP

Escenario Inicial

INTERNET

LAN

FIREWALL

Escenario para el Tunneling

FIREWALL

LAN

INTERNET

PROXY - TUNEL

Tunneling sobre SSH

• Requisitos> Tener instalado ssh en el cliente y en el servidor

• Pasos> Crear el tunel> Servidor:

– ssh -D 8080 tunel.atixlibre.org

> Configurar los servicios de Socks para hacer uso del tunel.

Tunneling sobre HTTP

• Requisitos> Tener instalado httptunnel en el cliente y en el servidor

• Pasos> Crear el tunel

– Servidor:– hts -F 200.80.100.100:22 200.80.100.100:8585– Cliente:– htc 200.80.100.100:80 -F 8585 – htc -P 190.10.20.30:3128 200.80.100.100:80 -F 8585

> Configurar los servicios de Socks para hacer uso del tunel.

Tunneling sobre DNS

• Requisitos> Tener instalado iodine en el cliente y en el servidor

• Pasos> Crear el tunel

– Servidor:– Iodined -f 10.0.0.1 tunel.atixlibre.org– Cliente:– Iodined tunel.atixlibre.org

> Configurar los servicios de Socks para hacer uso del tunel.

Tunneling sobre ICMP

• Requisitos> Tener instalado ptunnel en el cliente y en el servidor

• Pasos> Crear el tunel

– Servidor:– Correr el servicio ptunnel– Cliente:– Ptunnel -p 200.80.100.100 -lp 3128 -da tunel.atixlibre.org

> Configurar los servicios de Socks para hacer uso del tunel.

Redes TOR

Redes TOR

• TOR (The Onion Routing) es un sistema o conjunto de herramientas que pretende conseguir el anonimato y acceder a servicios públicos de forma anónima por Internet.

• Usa una red de máquinas o nodos a través de los cuales enruta el tráfico de red.

Uso de SOCKS

• TOR ofrece una interfaz SOCKS a las aplicaciones, por lo que cualquier aplicación preparada para usar SOCKS podrá utilizar la red TOR sin problemas.

• El uso de SOCKS no es excluyente, dado que TOR distribuye un script llamado "torify" que permite que cualquier aplicación use la red TOR.

Funcionamiento de las redes TOR

• Realiza conexiones mediante túneles virtuales, de manera que la dirección IP de salida para los servicios TCP originales no son con las que se realiza la conexión, sino otra dirección y conexión que se puede encontrar en cualquier lugar del mundo, de manera que hace extremadamente complicado el uso de procedimientos de detección basados en geolocalización IP.

Redes TOR

Ventajas de la conexión anónima

• Enmascaramiento de nuestra dirección IP.• Aplicar políticas de navegación seguras.• Evita que puedan ingresar a nuestras preferencias

de navegación.• Disminuye el riesgo de ataques remotos.• Limita la conexión directa del servidor web con

nuestro PC.• Facilidad de uso.• Posibilidad de ejecución online.

Inconvenientes de la conexión anónima

• No funcionan con todos los sitios ni con los servidores seguros.

• Tampoco se reciben cookies (lo cual para algunos representa más bien un alivio).

• Desactivan todos los programas en Java, JavaScript, etc.

• Ralentizan la navegación.• Para un servicio óptimo hay que pagar.• Añaden a las páginas que visitamos banners con

publicidad de sus patrocinadores.

Conclusiones

• Las conexiones anónimas son buenas para los usuarios y así saltar las restricciones de proxies y firewalls.

• Las conexiones anónimas son malas para la empresa por que atentan contra las políticas de seguridad y acceso a servicios públicos fuera de la empresa.

• Existen herramientas multiplaforma para realizar conexiones anónimas.

• Se deben establecer mecanismos que permitan controlar el acceso a conexiones anónimas.

Preguntas - Consultas

Tunneling: Esquivando restricciones de Proxies y Firewalls

Esteban Saavedra LopezCEO AtixLibre CEO Opentelematics email: esteban.saavedra@atixlibre.orghttp://esteban.opentelematics.org