Configurazione di rete: impedendo l'utilizzo del mio computer come proxy?

0

Recentemente ho installato un'estensione per Chrome chiamata Hola (salta al paragrafo successivo se lo conosci). Si chiama VPN, ma fondamentalmente è un pool di proxy AFAIK. È possibile scegliere un paese da un elenco in base al sito Web e la connessione a tale sito Web proviene da un IP dal paese selezionato da lì in poi. Nel frattempo, servi come proxy per altri utenti.

Ho provato ad usarlo sulla mia uni, ma è stato bloccato in "inizializzazione", e dopo alcuni test (diversi browser, diversi computer) ho potuto solo concludere che in qualche modo veniva bloccato. Il che mi ha fatto meravigliare: il mio computer si trova in una posizione vulnerabile se può essere utilizzato da altri come proxy, forse a mia insaputa. Quindi mi stavo chiedendo quale aspetto della mia rete devo configurare per evitare questo genere di cose. Attualmente sto usando questo script per generare le mie regole del firewall (iptables):

# Flush all rules
iptables -F
iptables -X

# Allow unlimited traffic on localhost (breaks MPI programs otherwise)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

# Allow SSH traffic
iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

# Allow incomming traffic from estabilished and related connections
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Policy: Allow outgoing, deny incoming and forwarding
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

Ho immaginato che la politica di rilascio in "avanti" sarebbe sufficiente, ma non sembra così. C'è qualcosa che posso fare a livello di firewall per bloccare cose come Hola? Se no, cosa dovrei fare?

    
posta Alex 05.06.2016 - 05:59
fonte

1 risposta

2

La tua domanda sul perché la regola diretta non funziona è essenzialmente una domanda di rete, quindi spiegherò usando un'analogia. Immagina che ci siano tre persone coinvolte nell'invio di una lettera: Alice, Bob e te. Alice vuole ottenere un messaggio a Bob, ma usando te come intermediario (proxy). Alice potrebbe utilizzare una delle due tecniche:

Metodo 1: Scrivi una lettera contenente il messaggio, inseriscilo in una busta e indirizza la busta a Bob. Tuttavia, invece di consegnare la busta direttamente a Bob, lo lascia a casa tua. Spera che sarai così gentile da trovarlo, riconoscere che la busta non è indirizzata a te e trovare Bob da darglielo.

Metodo 2: Scrivi una lettera, per te, che dice: "Puoi trovare Bob e dirgli [messaggio]?" Incolla la lettera in una busta e indirizzati alla busta. Tu (o forse l'app di Hola in esecuzione sul tuo computer) apri la busta, leggi la lettera e comunica a Bob il messaggio.

I firewall sono piuttosto stupidi, in quanto possono solo capire le informazioni di base come l'IP di origine, l'IP di destinazione, la porta e alcuni altri bit di metadati. Non possono realmente capire il contenuto dei pacchetti. È analogo a essere solo in grado di guardare all'esterno della busta, senza poter leggere la lettera all'interno. Quindi, anche se entrambi i metodi di cui sopra porterebbero allo stesso risultato (in pratica, Alice riceve un messaggio a Bob usando te come proxy), la catena forward riconosce solo il primo come inoltro. Per quanto riguarda il firewall, nel secondo caso Alice e tu sei le uniche parti coinvolte nella conversazione. Non ha idea del coinvolgimento di Bob, in quanto avrebbe bisogno di "leggere" la lettera per saperlo.

Per quanto riguarda il blocco di Hola, sembra che il traffico di Hola possa essere rilevato , ma tu Avremo bisogno di uno strumento in grado di "leggere la lettera", per così dire, eseguendo un'analisi approfondita dei pacchetti e il filtraggio del livello dell'applicazione. Di solito questo viene realizzato utilizzando un sistema di rilevamento delle intrusioni rispetto a un firewall di base, e sospetto che sia il modo in cui la tua uni sta bloccando Hola. Se non vuoi che il tuo computer venga usato come proxy, la soluzione migliore sarebbe semplicemente non usare Hola.

    
risposta data 05.06.2016 - 08:46
fonte

Leggi altre domande sui tag