Configuración de red: ¿Impediendo que mi computadora sea utilizada como proxy?

Navega tus respuestas
0

Recientemente instalé una extensión para Chrome llamada Hola (salta al siguiente párrafo si lo sabes). Se llama a sí misma una VPN, pero es básicamente un grupo de proxy AFAIK. Puede elegir un país de una lista por sitio web y su conexión a ese sitio web proviene de una IP del país seleccionado a partir de ahí. Mientras tanto, usted sirve como un proxy para otros usuarios.

Intenté usarlo en mi uni, pero se atascó al "inicializar", y después de algunas pruebas (diferentes navegadores, diferentes computadoras) solo pude concluir que estaba siendo bloqueado de alguna manera. Lo que me hizo preguntarme: mi computadora está en una posición vulnerable si puede ser utilizada por otros como un proxy, posiblemente sin mi conocimiento. Así que me preguntaba qué aspecto de mi red debo configurar para evitar este tipo de cosas. Actualmente estoy usando este script para generar mis reglas de firewall (iptables): 

# Flush all rules
iptables -F
iptables -X

# Allow unlimited traffic on localhost (breaks MPI programs otherwise)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

# Allow SSH traffic
iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

# Allow incomming traffic from estabilished and related connections
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Policy: Allow outgoing, deny incoming and forwarding
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

Imaginé que la política de caída en "adelante" sería suficiente, pero no lo parece. ¿Hay algo que pueda hacer a nivel de firewall para bloquear cosas como Hola? Si no, ¿qué debería estar haciendo?

    
pregunta Alex 05.06.2016 - 05:59
fuente

1 respuesta

2

Su pregunta de por qué la regla de reenvío no funciona es esencialmente una pregunta de red, por lo que explicaré usando una analogía. Imagina que hay tres personas involucradas en el envío de una carta: Alice, Bob y tú. Alice quiere enviarle un mensaje a Bob, pero te está utilizando como intermediario (proxy). Alice podría usar una de dos técnicas:

Método 1: escriba una carta que contenga el mensaje, péguela en un sobre y envíe el sobre a Bob. Sin embargo, en lugar de darle el sobre directamente a Bob, lo deja en la puerta. Ella espera que seas lo suficientemente amable para encontrarlo, reconoce que el sobre no está dirigido a ti y encuentra a Bob para dárselo.

Método 2: Escribe una carta para ti que dice: "¿Puedes encontrar a Bob y decirle [mensaje]?" Pega la carta en un sobre y envíale el sobre. Usted (o quizás la aplicación Hola que se ejecuta en su computadora) abre el sobre, lee la carta y le dice a Bob el mensaje.

Los firewalls son bastante tontos, ya que solo pueden entender información básica como Source IP, Destination IP, puerto y algunos otros bits de metadatos. Realmente no pueden entender el contenido de los paquetes. Es análogo a solo poder mirar el exterior del sobre, sin poder leer la carta que está dentro. Por lo tanto, aunque los dos métodos anteriores darían lugar al mismo resultado (en esencia, Alice recibe un mensaje para que Bob lo use como su representante), la cadena de reenvíos solo reconoce al primero como reenvío. En lo que respecta al firewall, en el segundo caso, Alice y usted son las únicas partes involucradas en la conversación. No tiene idea de la participación de Bob, ya que tendría que "leer" la carta para saberlo.

En cuanto al bloqueo Hola, parece que el tráfico Hola puede detectarse , pero Necesitaré una herramienta que pueda "leer la carta", por así decirlo, mediante la inspección profunda de paquetes y el filtrado de la capa de aplicación. Por lo general, esto se logra utilizando un sistema de detección de intrusos en lugar de un cortafuegos básico, y sospecho que es cómo tu universidad está bloqueando Hola. Si no desea que su computadora sea utilizada como proxy, lo mejor sería no usar Hola.

    
respondido por el tlng05 05.06.2016 - 08:46
fuente

Lea otras preguntas en las etiquetas

¿Todas las aplicaciones web deben implementar una función de seguridad que almacene contraseñas históricas? [duplicar] Requisitos de OSCP (PWK de Seguridad Ofensiva) [duplicado]