Il nostro firewall consente solo la porta HTTP 80 ma abbiamo rilevato che un utente accede ad altri protocolli e porte che neghiamo nel nostro firewall.
Sappiamo che ha sviluppato un'applicazione (Console mmc.exe ma usando HTML) nel suo server che apre altri protocolli via HTTP.
Mi ha mostrato il desktop del suo PC e vedo che accede ad altri protocolli tramite browser utilizzando un convertitore che ha scritto e pubblicato su Internet Hosted su IIS nel suo VPX
È possibile e come?
Molto possibile. Questo è il motivo per cui un firewall da solo non è una sicurezza totale. Ad esempio, se si consente la porta 80, ma non si applica solo HTTP sulla porta 80, la porta potrebbe essere utilizzata per qualsiasi tipo di traffico (ssh, irc, ecc.). Tutto ciò che serve è un server sull'altro lato del firewall per reindirizzare il traffico alla porta prevista su un altro server o elaborare il traffico stesso.
Le porte non limitano il traffico a un determinato protocollo, ma forniscono solo convenienza alla standardizzazione per le aspettative.
È certamente possibile. Sembra che l'abbia fatto in un modo piuttosto complesso. Questo è per definizione il punto di un server proxy che farebbe il lavoro molto più facilmente. Un client e un server disponibili possono stabilire una connessione su qualsiasi numero di porta e, anche se si utilizza un firewall consapevole del contenuto, è una cosa abbastanza semplice da effettuare una trasposizione dei dati che lo renderà simile al traffico standard e quindi convertire il server e trasmetterlo. (Anche se questo approccio più furtivo richiede probabilmente qualche codifica personalizzata.)
Sembra che stia eseguendo qualcosa di simile a molti sistemi di amministrazione remota per server web che girano su HTTP. Sembra piuttosto limitato e non molto elegante da quello che descrivi.
Leggi altre domande sui tag firewalls protocols known-vulnerabilities