[eside-ghost] Bloquear proxys anónimos

Iñigo Garcia igarmer en gmail.com
Mie Feb 3 18:58:53 CET 2010 

Ahí Fernando tienes razón. La solución de capar las conexiones al
"sultanado" requiere mantener las listas actualizadas, pero yo no lo
considero tan malo ya que es la misma actualización que tiene que realizar
si monta un proxy en red tipo "squid".

Ya os digo, sin un proxy en red que puedas montar y por el cual tengan que
pasar todas las conexiones, el tema del proxy local, en mi opinión, es la
mejor solución.

El 3 de febrero de 2010 18:57, Fernando de Urien y Muñiz <
zefe en rigel.deusto.es> escribió:

>  Esto… espera que entre todos nos estamos divergiendo y no estamos
> captando el problema:
>
>
>
>
>
> La cosa es que:
>
>
>
> El ultrasurf abre un puerto local en el pc (el que sea) y fuerza al IE a
> utilizar ese puerto. Luego, coge la petición que acaba de hacer el IE y la
> reinyecta en el proxy que tengas configurado estableciendo un túnel https a
> un destino lejano en una isla remota del sultanado de kinakuta.
>
> Después se deshace el túnel y a navegar (eso sí, como si estuvieras en el
> sultanado)
>
>
>
> En este punto, el problema es que no puedes capar las conexiones https así
> a la ligera ya que te cargas mucho tráfico legítimo.
>
> La cosa está en que el ultra surf se aprovecha de que tu quieres permitir
> tráfico http y https
>
>
>
> Por esto hay 2 aproximaciones:
>
> Un proxy que se zumbe las conexiones al “sultanado” así, evitamos el túnel.
> Claro, con esto te plantas en tener que mantener las listas actualizadas
>
> Evitas el hackeo del IE. Que tiene el problema de que irán saliendo también
> variaciones.
>
>
>
>
>
> Soy yo que lo estoy viendo torcido???
>
>
>
> Zefe
>
>
>
>
>
> *De:* eside-ghost-bounces en listas.deusto.es [mailto:
> eside-ghost-bounces en listas.deusto.es] *En nombre de *Jon Ander Ortiz
> *Enviado el:* miércoles, 03 de febrero de 2010 18:39
>
> *Para:* Lista de eside-ghost
> *Asunto:* Re: [eside-ghost] Bloquear proxys anónimos
>
>
>
> Iepa!
>
>
>
> Yo creo que la mejor solución es meterles un proxy local en todos los
> equipos. Si limitas la conexión a un proxy específico, no van a tardar nada
> en conectarse a otro proxy de otra URL. Es pan para hoy y hambre para
> mañana.
>
>
> WTF??
> Si limitas en el Firewall todas que todas las conexiones salientes del 443
> y 80 vengan de la ip del squid y al resto que le dén betún... a ver quién es
> el guapo que se salta eso, y eso sí libre, gratuíto y en tres lineas de
> script.
>
> Sé que para muchas cosas no hay soluciones mágicas, pero eso sí, instalar
> un proxy en local me parece una marranada del cristo (aunque la haya echo
> blue-coat): mucho mas fácil tener unas buenas directivas de Firewall y un
> buen proxy (de echo esto es bastante mejor que la mayoría de las soluciones
> comerciales que andan por ahí sueltas).
>
> Un saludete!
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en listas.deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://listas.deusto.es/mailman/private/eside-ghost/attachments/20100203/32351e68/attachment.htm

Más información sobre la lista de distribución eside-ghost