Anderson Santos (usuário não registrado) em 1/03/2010 às 11:18 am

So para constar, a tecnica descrita (OpenVPN usando a porta DNS UDP/53) pode ser usada tambem com o protocolo TCP em qualquer porta (25, 465, 587, 110, 143, 993, 995, etc)
Assim, se o roteador liberar SMTP, POP, IMAP ou qualquer trafego do genero, as estacoes conseguem fazer o bypass do firewall.
Como eh comum liberar este tipo de trafego (envio e recebimento de email), fica aberta esta brecha.
Existem poucas formas de evitar isso, mas ja vi algumas instalacoes usando SNORT para detectar trafego nao padrao dentro das portas abertas e criar regras dinamicas de bloqueio.
Enfim, uma grande corrida de gato e rato.

Ironmaniaco em 1/03/2010 às 11:26 am

Ou faça um tunel SOCKS5, com o openssh em casa, como eu fiz(pra acessar banco, em hotspots, ou outras url’s que estiverem bloqueadas)

Autentica na 443 e trafega “Dinamic” na 80. Só lasca se o cara tiver um firewall a nível de aplicação, bloqueando o PROTOCOLO ssh…

Anderson Santos (usuário não registrado) em 1/03/2010 às 12:06 pm

Em situacoes onde a empresa eh paranoica o suficiente para querer impedir qualquer bypass, a unica solucao 100% eficiente eh criar uma DMZ com os servicos que precisam ser acessados (email, dns, etc) e permitir que a rede local acesse apenas a DMZ.

Elimina-se a necessidade de firewalls de aplicacao (l7-layer, snort, etc) e fica tudo fechado.

A desvantagem eh criar a DMZ, que tem um custo (entre maquinas, links e a manutencao).