¿Cómo identifica una entidad en una red (por ejemplo, sysadmin, software de seguridad) que un usuario se está conectando a Internet con un proxy?

Navega tus respuestas
2

Por ejemplo, el software de seguridad iBoss puede detectar si está utilizando un proxy.

  

Elusión de proxy

     

Los intentos de proxy para eludir su solución de seguridad de Internet no solo violan las políticas de su organización, sino que también son posibles vías para generar amenazas avanzadas como virus, redes de bots y malware. iboss ofrece un enfoque de múltiples capas para la defensa contra proxies y aplicaciones proxy como Ultrasurf, Hotspot Shield y otros:

Lo que me pregunto es ¿cómo funciona esta detección? ¿Busca encabezados en su solicitud (s)? ¿Analiza los patrones de tráfico? ¿Detecta la comunicación a través de puertos específicos?

    
pregunta majorROM 22.09.2015 - 00:49
fuente

1 respuesta

4

Para los proxies HTTP estándar es suficiente mirar los primeros bytes de cada conexión TCP, lo que significa que ya se puede detectar sin hacer una inspección demasiado profunda. Las solicitudes de proxy HTTP se ven diferentes a las solicitudes HTTP normales, es decir, 

 non-proxy: GET / HTTP/1.1
 proxy:     GET http://example.com/ HTTP/1.1

Tiene diferencias similares para HTTPS, donde una conexión no proxy comienza con ClientHello desde el protocolo de enlace TLS mientras que una conexión proxy HTTP comienza con el uso de un método CONNECT. Los proxies SOCKS se pueden detectar de manera similar al mirar los primeros bytes del cliente.

Para otros tipos de protocolos proxy especiales (no estándar) o para soluciones VPN, probablemente simplemente detecten y bloqueen el acceso a la IP y el puerto de destino específicos, consulte Cómo detectar y bloquear el tráfico de los programas de UltraSurf y .

Estoy bastante seguro de que podrá evitar esta detección utilizando sus propios túneles, es decir, hacer túneles a través de SSH o usar herramientas como enlace . Sin embargo, los intentos iniciales de elusión por parte de la mayoría de los usuarios probablemente se detectarán y si castiga con fuerza las infracciones de la política, la mayoría de los usuarios no volverán a intentarlo con una tecnología de elusión diferente.

  

... son vías potenciales para entregar amenazas avanzadas como virus, botnets y malware

Esto significa efectivamente que al permitir conexiones arbitrarias a Internet, aumenta la posibilidad de ser infectado por publicidad indebida o pirateado o sitios web maliciosos. Esto es definitivamente cierto.

Y una vez que el malware esté dentro de la mayoría de los productos, probablemente no ayude mucho a detectar la comunicación CnC del malware porque el malware utiliza sus propios protocolos o construyó su comunicación CnC basada en sitios públicos. Para citar de un informe de FireEye 2013 "Malware Callbacks" :

  

Para evitar la detección, los servidores CnC están aprovechando los sitios de redes sociales como Facebook y Twitter para comunicarse con las máquinas infectadas. Además, para enmascarar el contenido exfiltrado, los atacantes insertan información dentro de archivos comunes, como JPG, para dar a las herramientas de escaneo de red la impresión de tráfico normal.

    
respondido por el Steffen Ullrich 22.09.2015 - 07:34
fuente

Lea otras preguntas en las etiquetas

Selfie como forma de autenticación para transacciones con tarjeta de crédito ¿Cómo puede un sistema integrado ser compatible con HTTPS y también mantener segura una clave SSL?