Nuestro firewall solo permite el puerto HTTP 80, pero hemos detectado que un usuario accede a otros protocolos y puertos que negamos en nuestro firewall.
Sabemos que ha desarrollado una aplicación (Console mmc.exe pero que usa HTML) en su servidor que abre otros protocolos a través de HTTP.
Me mostró el escritorio de su PC y veo que accede a otros protocolos a través del navegador mediante un convertidor que escribió y publicó en Internet Alojado en IIS en su VPX
¿Es esto posible y cómo?
Muy posible. Es por esto que un firewall solo no es una seguridad total. Por ejemplo, si permite el puerto 80, pero no aplica solo HTTP en el puerto 80, entonces el puerto podría usarse para cualquier tipo de tráfico (ssh, irc, etc.). Todo lo que necesita es un servidor en el otro lado del firewall para redirigir el tráfico al puerto esperado en otro servidor, o procesar el tráfico en sí.
Los puertos no limitan el tráfico a un determinado protocolo, solo brindan conveniencia para la estandarización de las expectativas.
Ciertamente es posible. Aunque parece que lo hizo de una manera bastante complicada. Este es, por definición, el punto de un servidor proxy que haría el trabajo mucho más fácilmente. Un cliente y un servidor dispuestos pueden establecer una conexión en cualquier número de puerto e incluso si está utilizando un firewall que tenga en cuenta el contenido, es una cosa bastante simple para realizar una transposición de datos que hará que se vea como tráfico estándar y luego haga que el servidor se convierta y retransmitirlo. (Aunque este enfoque más sigiloso probablemente requiera una codificación personalizada).
Parece que está ejecutando algo similar a muchos sistemas de administración remota para servidores web que se ejecutan a través de HTTP. Suena bastante limitado y no muy elegante por lo que describe.
Lea otras preguntas en las etiquetas firewalls protocols known-vulnerabilities