יום שלישי, 28 באפריל 2009

Tunneling Http Over Smtp

חישבו על הסיטואציה הבאה סגרתם את ה - Firewall ברשת שלכם בצורה אבטחתית טובה.

הגדרתם חוקים נכונים לאן מותר לגלוש ומתי, הוספתם מסנני תוכן, מערכות Antivirus

שיושבות על ה - Gateway ואתם שקטים.

או חישבו שאתם ארגון ביטחוני אשר מונע גלישה לאינטרנט לחלוטין אך מאפשר קבלת מייל.

אחד המשתמשים שלכם חשב שזה יותר מדי מציק.

אז הוא התקין את התוכנה הבאה:


hosproxy



התוכנה המוזכרת מאפשרת לו להעביר בקשות HTTP על גבי פרטוקול SMTP

כלומר לגלוש על גבי המייל (פרוטוקול ה - SMTP ) לרשת האינטרנט.

התוכנה מתחלקת לשני חלקים: הראשונה מותקנת על מחשב העובד למטרת ביצוע Proxy,

והשנייה מותקנת על מחשב העובד בבית ומבצעת את הניתוב לאינטרנט.

להלן סירטוט רשת המסביר זאת:



6 תגובות:

גיא מזרחי אמר/ה...

העניין מוכר וקיים גם על גבי DNS ועל SSH.

ראיתי לא פעם סוסים טרויאנים שמשתמשים בטכניקות דומות.

רוני בכר אמר/ה...

כן אבל SSH יעבוד רק אם יהיה לך אינטרנט זה גם טוב למצב שיש לך רק מייל ולא אינטרנט :)

גיא מזרחי אמר/ה...

אתה צודק כמובן, כל עוד יש לך MAIL החוצה אל האינטרנט.
אם יש לך מייל לאינטרנט סביר שגם יש לך DNS לאינטרנט (לא תמיד, אבל הרבה פעמים) ולכן כבר יש פתרון.

אני לא חושב שיש סיבה לחשוב שאם יש לך גישה כלשהי לאינטרנט, לא ניתן יהיה לבצע עליה TUNNEL.
לחלק מהתעבורה יש כבר אפליקציות מוכנות ולחלק אתה תצטרך כמה שורות קוד..

אבישי רדלמן אמר/ה...

אפשר ליצור Tunnel של HTTP על גבי הרבה דברים. ראיתי כבר Tunnel כזה שמתבצע אפילו על גבי ICMP עם אפליקציה ישנה בשם Loki.

אגב, ברשת שמנוטרת בצורה טובה, אמורים לזהות כזה Tunnel כי כמו שאני מבין נשלח פה מייל בכל בקשת get (או post) ככה שתהיה פה אנומליה מבחינת כמות המיילים שנשלחת על-ידי משתמש אחד בפרק זמן קצר.

רוני בכר אמר/ה...

אבישי מסכים איתך, הפיתרון לבעיה הוא זיהוי אנומאלי הבעיה היא שרוב הרשתות היום לא מנוטרות ברמה הזאת יש לא מעט מוצרים שיודעים לזהות תוכן ואנומאליה אבל למרבית הצער לא הרבה משתמשים בהם וגם אם משתמשים בהם לא תמיד מגדירים אותם כראוי.

אבישי רדלמן אמר/ה...

בעיה אולי מבחינת הרשתות, מבחינת pen-tester היעדר ניטור זה דווקא יתרון (-;