ADSL/VDSL

Urge "falsear" IP fija! ... Se puede'

BocaDePez 3 febrero 2006 20:40

⋮

No, no prentendo hacer nada ilegal. A ver, comento:

Me he mudado (por enésima vez) de casa, y en la que estoy ahora contamos con una linea de 20 MB de Jazztel. Hasta ahi todo cojonudo, internet va que se las pela... El problema es viene por motivos de curro.

Curro para una empresa, pero estoy a 70 km de sus oficinas. Todos los dias he de acceder a su servidor a través de determinados programas, para introducir/modificar datos. El tema es que esta empresa opera por internet, y tras recibir hace unos meses determinados ataques informáticos, caparon prácticamente todos los accesos desde el exterior.

La unica manera en aquellos momentos de poder acceder a la empresa sin restricciones, era tener una IP fija, de manera que ellos pudieran permitior el acceso a un ordenador seguro (el mio), sin riesgo de "abrir la puerta" a otras personas. En esos momentos, contraté la IP fija con Telefónica.

Pero Jazztel no está ofertando IP fija (pese a que los pendones, cuando te ofrecen el producto y para que compres si o si, te dicen q si la tienen), y me he quedado sin acceso. Desde la empresa no pueden abrir un puerto al rango de puertos con que trabaja Jazztel, pues es muy elevado y les pondría en riesgo... pero yo he de poder acceder a la empresa para poder realizar mi trabajo.

La pregunta es:
¿Existe alguna manera, via un proxy virtual o como quiera q sea, de camuflar mi IP dinámica a una fija -aunque tenga que contratarla donde sea-, de manera que la empresa pueda abrir el puerto a ese determinado acceso sin quedarse con el culo al aire?

¿O en caso contrario, existe alguna manera SEGURA de poder autentificarme de cara a la empresa, de manera que puedan dar acceso solo a mi PC -ya sea via un programa o como sea- o al lugar desde el que me conecte?

No se... a alguien se le ocurre alguna manera que pudiera ser factible (y q no sea quitar Jazztel, porque no soy yo el que contrató la linea, y la persona que lo hizo no desea cambiarla)???

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.

overpeer 3 febrero 2006 20:43

⋮

Y montar una VPN??

Puedes falsear tu direccion ip, pero no por la que tu quieras.

✖

BocaDePez 3 febrero 2006 20:54

⋮

VPN?

He estao leyendo en Wikipedia (lo siento, pero no tenia ni idea de q era), y tpoco se como se montaria, ni sus costes tanto para le empresa o para mi. Me lo puedes aclarar un poco?

Te lo comento, porque aparte de mi muy pocos mas trabajadores se conectan a la empresa desde "fuera", por lo que si montar una vpn requiere mucho esfuerzo desde el punto de vista de la infraestructura o económico... me da q la propia empresa mandará esta posibilidad a criar malvas. No les compensaría, por una sola persona.

Mas posibilidades??? A alguien mas se le ocurre alguna???

BocaDePez 3 febrero 2006 21:04

⋮

y si contratas un nombre dns del tipo xxxxxx.com o xxxxx.no-ip.com
de esta forma tu empresa daria acceso a ese nombre de red y tu podrias cambiar la asignacion del enlace de forma dinamica tan pronto quieras, aunque tiene un 'contra' bastante grande. Hasta que los servidores dns de internet registren este cambio pueden pasar horas, incluso dias.

La solucion pasaria entonces por un nombre dns del tipo xxxxxx.no-ip.com, es una empresa que se dedica a esto, donde te bajas un programa que instalas en tu ordenador y que mediante un login y pasword actualiza tu nombre dns contratado cada vez que cambia tu ip.

No se si me he explicado bien. Si eso pregunta..

✖

wileeam 3 febrero 2006 21:51

⋮

¿Sabes lo que es DNS Spoofing?
Jamás se debe dar acceso (seguro) a una máquina por su nombre de dominio... basicamente porque mediante esta técnica yo, puedo suplantar a dicho nombre de dominio.
Piensa en que ni la empresa ni el trabajador son los que garantizan que dicho nombre de dominio corresponda a la ip del trabajador, sino que un tercero se lo confirma a la empresa... con lo que con ciertas técnicas y herramientas... se puede conseguir que el dominio adquiera la IP que yo quiera...

✖

BocaDePez 3 febrero 2006 22:03

⋮

Weno, eso echa por tierra mi post de las 21.53 (soy el bocadepez q tiene el problema, me llamo oker, por cierto)...

... aunque pa lo q dices tu, entiendo que ya hacen falta las siguientes cosas:

- Q alguien quiera entrar a esa empresa
- Q no lo pueda hacer por simple rastreo de ip's
- Q suponga q igual dan acceso a un determinado dominio...
- Y lo q entiendo mas difícil.... deberian saber a ciencia cierta el dominio al que da acceso la empresa, no?

Es decir... la empresa en cuestion se cubre las espaldas, pero no es ni mucho menos Microsoft, una web q quiera hackear tos los dias la gente. Para que se de el caso que comentas, alguien deberia saber (son ejemplos)
1º Usar el DNS Spoofing
2º Suplantar el dominio bocadepez.no-ip.com
y 3º tener la tremenda punteria, de adivinar que con ese dominio, pueden entrar en www.xxxxxxx.com

Demasiado improbable, no?

Y (respondeme tu mismo) EN ESE CASO, si de verdad consideras que es MUY IMPROBABLE (q igual no lo es si entran en mi pc, aunque quien quiera entrar en mi pc, no sabe q curro para esa empresa), consideras factible la idea q me han dado?

✖

wileeam 3 febrero 2006 23:52

⋮

Obviamente para hacer esto o bien es cuestión de ganas de jorobar o bien es aburrimiento o bien es ganas de experimentar o bien es para obtener información confidencial (no sólo la que mandes sino todo aquello a lo que tienes acceso una vez te conectes).

Con el DNS Spoofing se suplanta la IP a la que en teoría apuntaba el dominio, es decir, suplantar un dominio, no es más que hacer DNS Spoofing (SI quiero que en la página de google.es aparezca yahoo.es pues lo más eficaz es dns spoofing... pues hackear el servidor pues como que no...)

Todo es posible... y si tu empresa ha recibido ataques es por algo... no es cuestión de suerte el adivinar el dominio pues quien ha atacado esa empresa puede hacerlo para saber quien accede a ella y por lo tanto podría llegar a saber que tu estás intentando acceder y entonces dedicarse a macharcarte a tí o intentar suplantarte :)

La seguridad nunca se debe descuidar... luego ocurren las cosas y nos lamentamos... más vale prevenir que curar

BocaDePez 3 febrero 2006 21:53

⋮

Muchas gracias por la respuesta.

He andado leyendo algo en www.no-ip.com. Conocia alguno de esos dominios aunque eran para gente que queria emitir TVP2P con IP dinamica, de manera que siempre se pudiera acceder a su tracker o servidor.

Lo q pasa es q en esos casos, eramos Nosotros los q nos conectabamos a su IP. En este caso es al reves, es una determinada IP o dominio el que intenta acceder a una empresa, y esta lo ha de permitir

Asi que la pregunta es... mi empresa daria acceso al nombre de red que yo elija, y por tanto me daria acceso independientemente de la IP q tenga? En caso de ser asi, me parece una muy buena solucion.

En no-ip tb afecta lo q comentas del intervalo de horas/dias que puede pasar hasta que los servidores DNS de internet registren el cambio?? Entiendo que no... de lo contrario, con cada cambio de IP, el tracker del transmisor este de TVP2P que te he comentado, estaria varios dias con sus emisiones ilocalizables, no?

Es decir... me interesa q si tengo la IP dinámica, la empresa pueda tenerme siempre localizado, de manera q si me cambia la IP de repente, casi inmediatamente despues pueda volver a conectarme a la web, sin que tengan q dar de alta nuevos datos/IP/dominios/direcciones de "desbloqueo"... q eso si tarda tela.

Se podría hacer?

✖

BocaDePez 3 febrero 2006 23:02

⋮

Si, todo lo que dices es correcto.

El uso de internet en las empresas tiene riesgos. Estos riesgos no se pueden eliminar, entonces lo que se intenta es reducirlos al maximo teniendo en cuenta los requerimientos de cada caso.
Esta claro que lo mas seguro seria tirar un cable de la empresa hasta tu casa pero no es viable por el precio que costaria.

La solucion del nombre XXXXXX.no-ip.com parece la solucion mas facil de implantar (en euros) y los riesgos que se asumen no son demasiados a mi modo de ver.
Aqui ya van las politicas de cada uno pero para una empresa pequeña no se puede pedir seguridad 99% porque eso tiene un coste de implantacion y mantenimiento demasiado alto.

talayita 3 febrero 2006 21:28 ✎

⋮

Yo accedo a la web de mi empresa via un programa (creo que lo denominan tuneling) de la firmar NORTEL NETWORK, he de utilizar un lector de tarjetas, mi tarjeta de empleado ,clave de acceso y pasword. Cuando no utilizo este programa mas tarjeta de empleado, cualquier navegador me dice que la web de mi empresa "no existe".
Saludos

✖

BocaDePez 3 febrero 2006 22:14

⋮

Seria algo como esto?
(link roto)

Y se puede hacer lo q pido, sin q sea una movida de montar y de pagar (reitero q lo q hagan en la web, es para mi, una persona... asi q si es muy lioso o caro, me mandarán al carajo)???

BocaDePez 3 febrero 2006 21:37

⋮

Pues dile a tu empresa que contrate a algún técnico informático y que le de solución.
Ya es lo que me faltaba por ver, que una empresa tenga el problema de la conexión y tenga que ser un empleado el que se busque la solución.

✖

BocaDePez 3 febrero 2006 22:16

⋮

No es algo tan sencillo. Soy autonomo, y les ofrezco mis servicios. Si disfrutar de ellos, empieza a serles caro o complicado... pos se buscan a otro, q lo hara peor, pero no tan "complicado". Entiendes?

wileeam 3 febrero 2006 21:56

⋮

Para eso están...
Son fáciles de configurar y muy baratas (linux); el problema... pues que si usas windows (probablemente porque sino ya se te hubiera ocurrido lo de las vpns), en el momento en el que te conectes con la VPN todo tu tráfico irá por la VPN, por lo que si estás trabajando y te da por mirar una web, no usarás tu conexión local, o sea, si pero no, será la red de tu empresa la que descargue la página web y luego tu la recibas mediante la VPN.
Puedes ver la VPN como un acceso a internet proporcionado por quien te da acceso a dicha VPN, además con una VPN estarás automaticamente en la red de la empresa, con lo que accederás a todos sus recursos como si estuvieras sentado en un despacho allí mismo.

Las VPNs son muy seguras y no tienen grandes problemas...

No entendería que tu empresa descartase una de las soluciones más útiles para realizar estas tareas de teletrabajo, además por ser segura, no hace falta que den acceso a una ip o un rango, con el nombre y password podrás acceder a la VPN desde cualquier sitio... del mundo.

Por un módico precio, instalo y configuro la VPN :P (Nah es coña... se hace en un momento)

Un saludo

✖

BocaDePez 3 febrero 2006 22:22

⋮

Nas MrAnonym, chas gracias por tus respuestas... q toy aprendiendo (o intentandolo) tela de tos vosotros.

La VPN, costaría mucho dinero a la empresa? Les seria complicada de instalar? Son dos factores fundamentales para mi por lo q he dicho arriba (ande digo q soy autonomo)

Por lo demas, si, toy en Windows... pero no creo q me supusiera ningun problema lo q dices de que el trafico iria por la VPN, pues yo trabajo sin estar constantemente conectado a la empresa. Solo me conecto un par de veces al dia, para mandar el trabajo, y el periodo de tiempo rara vez supera los 5 minutos. Conecto, mando, y desconecto... simple. No me preocupa que puedan "espiar" a que webs me conecto, primero pq es mi eleccion (nadie me puede impedir q conecte a donde quiera, pos cobro por resultados, no por horas), y segundo pq el mandar los datos requiere de mucha atencion, y no me distraigo con otras cosas en esos momentos.

Una vez desconectado del VPN (q supongo q podré conectar puntualmente y desconectar cuando quiera, no?), el resto del trafico vuelve a ir por mi red?

Asias de nuevo

✖

wileeam 4 febrero 2006 00:02

⋮

Si la VPN se monta con Linux no tendría más coste que el disponer de una máquina con Linux y el proceso de configuración. Si dicha empresa tiene un informático que sepa pues podrá hacerlo esa persona.
Otra opción es mirar si hay un servidor de VPNs libre para Windows
Otra opción es comprar el software (en caso de no querer usar Linux) de VPNs para Windows.

Ojo, una cosa es el servidor y otra el cliente; el servidor de VPNs proporciona el acceso y puede o no ser de pago, y tambien puede ser libre. Como se usan estandares en estas cosas, pues vale cualquier cliente de VPNs, que Windows ya lleva uno de por si; incluso creo recordar que con Windows se puede montar una pequeña VPN

En todo caso si solo mandas datos... y no necesitas una conexion mas o menos constante... la verdad es que no te es muy util la VPN.
Pues con un acceso por SSH te vale, con una maquina Linux, se configura para que pueda acceder a los recursos que necesites y tu simplemente inicias sesion, dejas lo que quieres en tu cuenta de la maquina Linux o en los recursos que se hayan configurado y ya esta. Y el proceso de conexión es el mismo, nombre y password, y como es SSH, pues lo tendras todo encriptado

Cada cosa es para lo que es:
- SSH para trabajar en una maquina de forma remota accediendo a los recursos asociados a la misma
- VPN para trabajar en una red remota accediendo a los recursos asociados a dicha red

Lo tuyo... pues trabajas en casa y luego lo envias, algo asi como el trabajo del dia.. con lo que cualquiera te vale. Aunque si nos ponemos simplistas... con un simple correo lo apañas... lo cifras el correo y lo firmas y santas pascuas...
Ahora me diras que el fichero es muy grande... pues lo subes por FTP seguro y mas de lo mismo (SFTP es el protocolo que usa SSH para enviar los ficheros)

Define exactamente que es lo que vas a hacer y que quieres hacer... porque por lo que vas desvelando... con un simple FTP con SSL te vale...

BocaDePez 3 febrero 2006 22:24

⋮

Soy el que planteo el problema, encantao, me llamo Oker.

Solo deciros q me tais ayudando tela (q nivelazo), y q sigais asi y no os corteis. No dejeis de responderme, q todo lo q me digais me esta sirviendo un webo. Vale profundizar en las soluciones ya dadas, o aportar nuevas...

Chas gracias!

BocaDePez 4 febrero 2006 01:46

⋮

Mucho hacker de oídas veo por aquí.

Vamos a ver... si tu registras un dominio ejemplo.com y configuras los DNS con zoneedit.com, por ejemplo, no tendrás ninguna dificultad en estar siempre localizado teniendo IP dinámica... zoneedit te provee de una aplicación con la que, cada vez que te cambia la IP, se lo notifica a los servers DNS y se actualizan los registros... También hay aplicaciones de terceras partes para esa notificación.

Es una forma absolutamente segura.... y el que mantenga no contrario, que lo demuestre: que cambie la resolución de elpais.es que actualmente apunta a 212.80.177.133 a otra.

Manda huevos lo que hay que leer.

=;-)

✖

BocaDePez 4 febrero 2006 10:48

⋮

yo no tengo mucha idea pero lo mas simple seria averigual el servidor DNS que usa la empresa para resolver sus nombres, y manlarle a ese servidor DNS un mensaje de actualizacion para que la entrada xxxxxxxx.com le asigne la ip xxx.xxx.xxx.xxx
Nunca lo he intentado ni me considero hacker, solo una persona que trabaja de programador. De todas formas muchas molestias...

✖

BocaDePez 6 febrero 2006 18:55

⋮

Efectivamente, demasidadas molestias, y además muy mal configurado tendría que estar ese servidor DNS para aceptar actualizaciones no seguras. Por lo poco que he trasteado con el BIND con los ACL puedes filtrar de quién aceptas las actualizaciones así como utilizar DNSSEC para asegurarse de que los datos vienen de quien tienen que venir...

BocaDePez 4 febrero 2006 14:04

⋮

A ver, en vista de q algunos andais a ciegas por mi culpa, q no explique el caso en profundidad (de ahi que fuera logico lo q me decis del FTP), os explico lo (poco) q se al respecto:

- La empresa no es de informatica ni nada por el estilo. De hecho no creo que los ataques que les llevaron a cerrar el acceso desde el exterior salvo a IP's protegidas, no fuesen demasiados, ni que tuvieran por objeto hacerse con datos confidenciales. Vamos, la empresa no creo que tenga datos de los que merezcan que un batallon de hackers se pongan a intentar recuperarlos. Aun asi, prefirieron "protegerse", y es algo q no van a dejar de hacer.

- Mi trabajo en esa empresa, es actualizar a diario una serie de contenidos en su pagina web (q prefiero no decir)
(ejemplo: Llevar la seccion de programas de Windows en Softonic.com)

- Para ello, uso en primer lugar un FTP que me permite acceder al servidor de la empresa e introducir en el mismo los documentos html, jpg, etc... necesarios. El FTP me sigue funcionando sin problemas, mediante un user y un pass determinado.
(ejemplo: Meto las fotos q ilustran cada programa, asi como una plantilla en html donde se explica el contenido de los mismos)

- Pero la página donde actualizo los contenidos (en el ejemplo de Softonic, donde se ven los programas nuevos de cada dia y puedes acceder a su descripcion pinchando en el link), está hecha en ASP (creo).

- Esta no la modifico manualmente, sino mediante un programa casero que se hizo en su dia (y su creador ya no esta en la empresa, asi q ahi no cabe mucha modificacion), que se que usa Delphi y SQL Server (pq he de instalarlos para que el programa en cuestion funcione)
(ejemplo: En el programa tengo una tabla de registros. En cada nuevo registro a publicar en la web de softonic.com, introduzco el nombre del programa, una breve descripcion, una foto pequeña y un link a la plantilla html donde esta la descripcion mas extensa. Cuando le doy a OK, esta entrada se añade a la base de datos de la página en cuestion, y ya es visible al momento para los usuarios)

- Pues bien, este es el programa (no el FTP) q tiene capado el acceso. Si no entro desde una IP fija permitida por la empresa, me da error y no arranca, por lo que puedo subir los archivos, pero el trabajo no aparece reflejado en la web.

- Desde la red interna de la empresa se puede acceder al programa sin problema ninguno, desde ahi no esta capado.

Por lo tanto (si necesitais algun dato mas me lo preguntais), lo que necesito es una MANERA SEGURA de acceder a una de esas maquinas que tienen instalado el programa dentro de la red interna de la empresa....

... o la manera de IDENTIFICARME inequivocamente desde internet (ya sea por una IP fija que ya no tengo, o de otra manera), de manera que la red interna me permita el acceso y poder manejar dicho programa "capado" desde fuera de la empresa.

Espero haber dado mas datos... a ver si a alguien se le ocurre una solucion viable, q no requiera de demasiadas imposiciones de infraestructura a la empresa (no las aceptarian) y q no sea muy caro.

Gracias de nuevo, a ver si alguien me ayuda

tisoft 5 febrero 2006 23:27 ✎

⋮

Si no necesitas mucho ancho de banda, contratate una conexión a internet via RTB con IP Fija. (Algunas lo permiten) Es una solución un tanto cutre, pero efectiva y si encuentras un buen ISP, barata.

P.E: Arsys lo permite, aunque te saldría la bromita casi (pero sin el casi) a precio de ADSL.

BocaDePez 6 febrero 2006 15:12

⋮

Puedes contratar una shell con 1 o 2 procesos y montar un proxy en ella, luego sólo tienes que navegar a traves de ese proxy, las empresas que ofrecen shells (9 euros al mes o así) suelen concederte 1 ip fija para uso exclusivo tuyo siempre que tengas contratado un subdominio o una virtual host aunque mejor que preguntes. No creo que tengas otra solución si ninguna empresa te quiere dar una ip fija.