Re: [Hackmeeting] Primavera e tunnel vpn

Delete this message

Reply to this message
Autor: $witch
Data:  
A: hackmeeting
Assumpte: Re: [Hackmeeting] Primavera e tunnel vpn
vecna wrote:
>
> Il discorso che segue è abbastanza stringato


> .......
>
> ciao ciao,
> vecna
>
>

ciao.

poco, lentamente, a strappi, ma sto' collaborando con baku (in CC) a
sviscerare l'argomento, insomma, faccio l'avvocato del diavolo.

steganografia a parte ti riporto le obbiezioni che ho gia' espresso a lui.

in un ambiente "corporate"

a) non basta che l'host sia un proxy (di se stesso o altro), deve anche
avere i permessi di transito (ed eventualmente NAT/PAT) per uscire;

b) deve tener conto dell'ispezione della connessione a livello 7 e dei
categorizzatori di siti.

c) le policies del PC vengono derivate da un AD, il proxy non e' a
scelta di Carlo, gli viene imposto

ovvero deve essre un proxy "istituzionale"; quindi bene broxy, ma come
secondo elemento della catena.

steganografare e' complesso, ok

ma vpn attira l'attenzione e comunque deve sottostare ad (a)

meglio se il pc "intra-corporation" chiede al proprio proxy una pagina
non catalogata in nessun modo, un url scelto a piacere sul pc "home",
con nome dominio a piacere.

questo (bproxy) accetta via https richieste per altre pagine (leggi URL,
porte, servizi), le reperisce ed incapsula in HTTPS verso pc-Carlo.

puo' funzionare, secondo me.

cioe' e' abbastanza semplice da realizzare e da essere reso operativo.

se dai la tua adesione a baku saremmo gia' in 3 ad occuparcene, e il
live-show sarebbe senz'altro piu' produttivo.

anche se sei "difficile" da leggere intervieni con pertinenza e
competenza, a me farebbe piacere sfruttare i tuoi neuroni.

a volte i gruppi rock facevano jam-sessions, non vedo perche' noi no.
tu al basso, Baku alla chitarra ed io mi becco la batteria.......
insomma, proviamoci, che ci costa?

have fun

$witch

.




                    +--------+
                    |   PC   |
                                        | Carlo  |
                                        +--------+
                        |
                        | HTTP-Alt
                        |
                    +-----------+
                    |  proxy    |
                    | aziendale |
                    +-----------+
                           |
                           | HTTPS ; URL=www.santabernarda.va
                           |
                    +------------+
                    |  firewall  |---- URL OK? -------> +---------------+
                    | or NAT/PAT |                      | URL inspector |
                    +------------+ <------PASS -------- +---------------+
                          |
                          |
                          |
                    The InterNet
                          |
                          |
                    +--------+
                    | bproxy | HTTPS payload : http://www.fica.it | ftp://ftp.sugosa.org | ......
                    +--------+
                         |
                         | HTTP | HTTPS | FTP | .......
                         |
                    The InterNet
                         |
                         |
                    +---------+
                    |  real   |
                    | target  |
                    +---------+