Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia

Túneis UDP para furar bloqueios de firewalls e hotspots

Os túneis UDP são uma forma eficaz de furar os bloqueios de acesso em redes restritas, firewalls com configurações comuns e boa parte dos hotspots wireless de hotéis, restaurantes, cafés e similares nos quais já tive oportunidade de testar.

A idéia é simples, e se aproveita do seu comportamento comum, que permite que os PCs dos usuários façam conexões DNS irrestritas para tentar acessar alguma página da web, bloqueando-o (e exibindo uma página com instruções de acesso, autenticação pagamento, etc.) só na hora em que este acesso se concretiza. Considerando este comportamento, há inúmeras soluções que estabelecem túneis ou VPNs que se aproveitam da abertura dada ao DNS (ou a outros protocolos, como o ICMP) para navegar pela web irrestritamente sem jamais dar razão para o bloqueio ser iniciado.

Este artigo apresenta o funcionamento de um destes ataques, bem como uma medida simples que pode ser adotada em roteadores baseados no Linux para evitar os túneis que fingem ser tráfego de DNS. (via adamsinfo.com)


• Publicado por Augusto Campos em 2010-03-01

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    Anderson Santos (usuário não registrado) em 1/03/2010 às 11:18 am

    So para constar, a tecnica descrita (OpenVPN usando a porta DNS UDP/53) pode ser usada tambem com o protocolo TCP em qualquer porta (25, 465, 587, 110, 143, 993, 995, etc)
    Assim, se o roteador liberar SMTP, POP, IMAP ou qualquer trafego do genero, as estacoes conseguem fazer o bypass do firewall.
    Como eh comum liberar este tipo de trafego (envio e recebimento de email), fica aberta esta brecha.
    Existem poucas formas de evitar isso, mas ja vi algumas instalacoes usando SNORT para detectar trafego nao padrao dentro das portas abertas e criar regras dinamicas de bloqueio.
    Enfim, uma grande corrida de gato e rato.

    Ou faça um tunel SOCKS5, com o openssh em casa, como eu fiz(pra acessar banco, em hotspots, ou outras url’s que estiverem bloqueadas)

    Autentica na 443 e trafega “Dinamic” na 80. Só lasca se o cara tiver um firewall a nível de aplicação, bloqueando o PROTOCOLO ssh…

    Anderson Santos (usuário não registrado) em 1/03/2010 às 12:06 pm

    Em situacoes onde a empresa eh paranoica o suficiente para querer impedir qualquer bypass, a unica solucao 100% eficiente eh criar uma DMZ com os servicos que precisam ser acessados (email, dns, etc) e permitir que a rede local acesse apenas a DMZ.

    Elimina-se a necessidade de firewalls de aplicacao (l7-layer, snort, etc) e fica tudo fechado.

    A desvantagem eh criar a DMZ, que tem um custo (entre maquinas, links e a manutencao).

Este post é antigo (2010-03-01) e foi arquivado. O envio de novos comentários a este post já expirou.