In che modo un'entità su una rete (ad es. sysadmin, software di sicurezza) identifica che un utente si connette a Internet con un proxy?

2

Ad esempio, il software di sicurezza iBoss è in grado di rilevare se stai utilizzando un proxy.

Proxy Circumvention

Proxy attempts to circumvent your Internet security solution not only violate your organization’s policies, they are potential avenues for delivering advanced threats such as viruses, botnets and malware. iboss offers a multi-layered approach to defending against proxies and proxy applications such as Ultrasurf, Hotspot shield and others:

Quello che mi chiedo è come funziona questo rilevamento? Cerca intestazioni nelle tue richieste? Analizza i modelli di traffico? Rileva la comunicazione su porte specifiche?

    
posta majorROM 22.09.2015 - 00:49
fonte

1 risposta

4

Per i proxy HTTP standard è sufficiente guardare i primi byte di ogni connessione TCP, il che significa che può essere già rilevato senza fare un'analisi troppo approfondita. Un proxy HTTP richiede un aspetto diverso da una normale richiesta HTTP, cioè

 non-proxy: GET / HTTP/1.1
 proxy:     GET http://example.com/ HTTP/1.1

Esistono differenze simili per HTTPS, dove una connessione non proxy inizia con ClientHello dall'handshake TLS mentre una connessione proxy HTTP inizia con l'uso di un metodo CONNECT. È possibile rilevare i proxy SOCKS allo stesso modo quando si guardano i primi pochi byte dal client.

Per altri tipi di protocolli proxy speciali (non standard) o per soluzioni VPN probabilmente rilevano e bloccano l'accesso a specifici IP e porte di destinazione, vedi Come rilevare e bloccare il traffico del programma UltraSurf e Come rilevare e bloccare il traffico del programma Hotspot Shield ( applicazione openvpn) .

Sono abbastanza sicuro che sarai in grado di aggirare questi rilevamenti utilizzando i tuoi tunnel, ovvero il tunneling attraverso SSH o l'utilizzo di strumenti come link . Tuttavia, i primi tentativi di elusione da parte della maggior parte degli utenti verranno probabilmente rilevati e se punirai le violazioni delle policy abbastanza duramente la maggior parte degli utenti non tenterà di nuovo con una tecnologia di elusione diversa.

... they are potential avenues for delivering advanced threats such as viruses, botnets and malware

Ciò significa che, consentendo connessioni arbitrarie a Internet, si aumenta la possibilità di essere infettati da malversisement o siti Web compromessi o altrimenti dannosi. Questo è assolutamente vero.

E una volta che il malware è all'interno della maggior parte dei prodotti, probabilmente non sarà di grande aiuto rilevare la comunicazione CnC del malware perché il malware utilizza i propri protocolli o ha costruito la propria comunicazione CnC basata su siti pubblici. Per citare il un report di FireEye 2013 "Malware Callbacks" :

To evade detection, CnC servers are leveraging social networking sites like Facebook and Twitter for communicating with infected machines. Also, to mask exfiltrated content, attackers embed information inside common files, such as JPGs, to give network scanning tools the impression of normal traffic.

    
risposta data 22.09.2015 - 07:34
fonte

Leggi altre domande sui tag