Member of The Internet Defense League Últimos cambios
Últimos Cambios
Blog personal: El hilo del laberinto Geocaching

Los Proxies y sus Peligros

Última Actualización: 21 de Mayo de 1.998 - Jueves

Este artículo ha sido publicado en numerosos foros de seguridad y lista de correo durante Julio y Agosto de 1.997. El texto que se incluye a continuación se ha remodelado para ajustarlo más a la audiencia y contexto de una página web.


Muchas redes locales hacen uso de Proxies para permitir que todas las máquinas de la LAN puedan disponer de acceso Internet utilizando una única línea telefónica. No obstante ello obliga que se realice una correcta configuración, tanto de la máquina proxy como del cliente particular que intente acceder (algo que no es necesario si se emplean sistemas NAT, por ejemplo). Otro efecto secundario, por ejemplo, es que muchas de las explicaciones paso-a-paso de conexión a servicios que se describen en las revistas e, incluso, en nuestra propias páginas web, no sean aplicables directamente.

En general es importante recordar que en una red local con proxy, cuando un cliente desea acceder a algún servicio externo, se lo solicita a la máquina proxy y es ésta la que procede a conectarse al exterior. De ahí que sea preciso que todos los elementos de la cadena se configuren correctamente.

[...Texto borrado por no ser relevante en este contexto...]

Por otra parte, un proxy mal configurado constituye un riesgo de seguridad muy importante de cara al proveedor de acceso (en este caso, ARGO). Nuestra política habitual es informar a los administradores locales para que lo solucionen en un plazo breve, contando con toda nuestra ayuda. Si el cliente no corrige la situación en un tiempo razonable, nos vemos forzados a tomar medidas para preservar la integridad de nuestros propios sistemas.

Incluyo parte de un mensaje que envié a una lista de seguridad en castellano, sobre este particular:

Subject: Re: [seg-l] Problemas de seguridad en el Wingate 1.3
    Date: Thu, 07 Aug 1997 14:40:33 +0000
    From: "Jesús Cea Avión" <jcea@argo.es>
Reply-To: seg-l@secnet.com
Organization: Argo Redes y Servicios Telematicos, S.A.
      To: seg-l@secnet.com

Incluyo un mensaje que escribí para la lista de correo interno de IRCops del IRC-Hispano (http://www.argo.es/~jcea/irc/):

>>>>>>>>

Buenas tardes a todos. Estos últimos días he estado trabajando con L**** en el tema del proxy y parece que ya lo hemos solucionado. Le he vuelto a activar la Iline de C****, aunque me ha sorprendido ver que por A**** seguían pudiendo entrar :-?.

Resumen rápido:

Un proxy mal configurado permite que cualquier usuario de Inet se conecte a él y salga al exterior con la dirección IP del proxy. En nuestro contexto, cualquier usuario de Internet puede entrar en el IRC Hispano (¿todavía no hay nombre?) con la IP del cibercafé.

Hace un par de semanas G*** dió de baja la iline de un cibercafé de O**** (postura que comparto plenamente; se trata de un problema grave) y desde entonces he estado trabajando con su propietario (no, no es cliente mío... será la "morriña" :) para intentar solucionar el problema. Utiliza wingate y, aunque dispone de una opción de control de acceso, parece ignorar cualquier cosa que se ponga ahí.

La solución ha sido actualizar el software a wingate 2.0 Pro. Una vez hecho eso, y configurando adecuadamente el control de acceso, se limitan las conexiones exclusivamente a las IPs locales. Un escaneo de puertos muestra que el proxy sigue abierto, pero cualquier conexión no autorizada al mismo se cierra inmediatamente, lo que es completamente normal.

Pues nada, a partir de ahora habrá que revisar las ilines una a una y empezar a darlas de baja si hay problemas de este tipo... Ya no hay excusa.

Prometo que en cuanto tenga un momento haré una escabechina };-).

A propósito... ¿Quien me pasa ahora la comisión? XDDDDDD

[...]

<<<<<<<<<

Aprovecho para recordarles que, además del OpenSesame y del Wingate, existe también un proxy en castellano, disponible en http://www.simedia.es/. Merece un vistazo.


Información Adicional:



Python Zope ©1998 jcea@jcea.es

Más información sobre los OpenBadges

Donación BitCoin: 19niBN42ac2pqDQFx6GJZxry2JQSFvwAfS