Creo que los proxy son Bluecoat, pero no lo se seguro.

En mi organización los recursos no son un problema.

Bueno resucito este tema, porque la semana pasada me he encontrado un firewall de esos que no permiten el tunel ssh por el 443

Osea que estamos ante un firewall DPI (Deep Packet Inspection) y por tanto puede filtrar por protocolos/tipos de archivos específicos, como SOAP o XML (por ejemplo en entornos transaccionales).

Bien, 4 días después de joderme el tunel ssh, y de darle vueltas al tarro, me lo he vuelto a saltar 

obviamente no con un tunel ssh. No he probado si un tunel dns seria efectivo, pero dado que es un método sumamente lento a la hora de navegar, no me planteo utilizarlo.

Bueno, desplegando mi medios en la red del proxy pude constatar que el firewall en primera instancia te da acceso, y que pasado un tiempo al no encontrar lo que busca, bloquea la conexión.

Por eso en Bitvise da error, puede con suerte negociar la clave pero enseguida se corta la conexión.

En un principio pensé que era porque detectaba la negociación ssh que hemos comentado en los anteriores post que va en claro, y utilice métodos de ofuscación tanto del propio bitvise en sus versiones mas recientes, como de otros programas, y nada vuelta la burra al trigo.

Entonces decidí intentar una conexión tcp pura y dura, sin cifrar, y pude constatar que la conexión se establecía perfectamente en un inicio, pero enseguida bloqueaba el trafico saliente, la verdad que con el entrante no probé. Durante esa conexión tcp recibí una bonita llamada de identificación de servicio, entiendo que seria un IPS escaneandome 

pues entonces la cosa estaba clara,el firewall permite el trafico http/https mientras que el resto de conexiones tcp eran bloqueadas en milisegundos.

Pues que tiene el trafico http?

las cabeceras


Tanto si el trafico es http, como si el trafico es https, las cabeceras van en claro con un bonito HTTP, la verdad que es una regla bastante eficiente para un firewall, en vez de buscar una serie de protocolos, solo buscan la cabecera del paquete http si esta, pasa, si no esta, bloqueo de conexión.

luego el resultado esta claro, tienes que utilizar http/https si o si, ahora ya solo falta montarte tu tunel http 

Me he perdido, yo no he hablado de proxys, he hablado de firewalls, supongo que tu entiendes que el proxy ya tiene un firewall incorporado.


Puede que los casos sean diferentes, y para @djbill una simple ofuscación o vpn sea suficiente en mi caso el firewall bloquea cualquier conexión tcp.


El tunel dns y la ofuscación podrían funcionarle, pero las ultimas versiones de bitvise cuentan con un ofuscador y dice que no se conecta, no se si lo hace con una version antigua o con una moderna de bitvise, obviamente con el servidor de bitvise para que desofusque a la salida


obviamente revisar todo el trafico consume muchos recursos, el buscar en la secuencia inicial una cabecera y si existe, mantiene la conexión y si no existe, la bloquea, pues como he comentado en el post anterior es una solución muy eficiente.


ya te he comentado que el firewall bloquea la conexión de paquetes que no tengan cabecera HTTP y la vpn no tiene esa cabecera y Psiphon no deja de ser otro ofuscador mas

Buenas tardes,

Las últimas pruebas las realicé con "Bitvise SSH Client 7.27" y conectando contra un servidor OpenSSH "openssh-server_6.7p1-5+deb8u4_amd64.deb"

Mañana probaré Psiphon

muy bueno y sencillo, ya me he montado la maqueta, y lo he hecho funcionar sin problemas

el lunes si tengo un rato lo pruebo en el la red firewal DPI