Интернет в локалке. Обход пароля

[ilya_sp]

Работаю я в одной крупной организации И решило наше начальство подключиться к интернету. Объединили компьютеры организации в одну большую сеть и открыли доступ к WEB. Все отлично, жизнь прекрасна. Халява сотрудникам налицо (трафик отдельно взятого компьютера по каким-то непонятным мне причинам отследить не представляется возможным). Ну, естественно, такого продолжаться долго не могло. Особо бессовестные (или недальновидные) сотрудники стали жрать трафик гигабайтами и, ессно, начальству это не понравилось.
Теперь все выходят в Интернет, вводя login/password. Насколько я понял все это устроено на ASPLinux и Apache2…
А теперь прикол: 2 программы ICQ и Mailru Agent могут выйти в Интернет БЕЗ ввода пароля (+ им плевать на правильность ввода DNS-сервера). Причем, если Аське еще надо нажать кнопку «отмена» при вводе пароля, то Mailru Agent вообще ничего не хочет, работает и все…

ВОПРОСЫ:
1 Можно ли отследить трафик, проходящий подобным образом через ICQ (там можно ж и файлами кидаться)
2 Если нельзя, то можно ли использовать эту дырку для доступа к HTTP ?

 

[diSmiSS]

Теперь все выходят в Интернет, вводя login/password.

{jntkjcm бы поточнее узнать куда они его вводят?
Не в окно же браузера?

1 Можно ли отследить трафик, проходящий подобным образом через ICQ (там можно ж и файлами кидаться)

Отследить можно любой трафик, если иметь прокси.

2 Если нельзя, то можно ли использовать эту дырку для доступа к HTTP ?

Без ответа на первый вопрос не могу сказат дырка это или фича .

 

[ilya_sp]

Вводят они его при попытке выхода в интернет (после ввода web адреса в Броузере, или если какая программа захочет чего) Внешне сильно смахивает на окно логина, скажем как на ftp...Схожу на работу , посмотрю поподробнее...

А поди его пойми прокси он или нет. Как это определить? Доступа к серверу, ессно нет.

Я не могу понять ГДЕ ICQ НАХОДИТ ИНТЕРНЕТ (???), если на одном из компов у админа не получилось настроить сеть (Работает только ping + с других компов эта машина не пингуется). Можно даже неправильно ввести адрес основного DNS... Аське все по барабану, она on-line.

 

[Ognev]

небось просто забыли аськин порт закрыть, вот и все дела. ilya_sp, ты скажи админам, что аська то работает и что они лохи
А на счет использовать это для http - маловероятно, тем более если в эту дыру будет уходить заметное количество трафика, поймают вас за хобот на раз

 

[ilya_sp]

то есть IP компа с аськой определить не проблема? а почему раньше нельзя было???
diSmiSS, заголовок окна "подключение к 192ю.168.0.2" squid proxy-caching web-server.

 

[diSmiSS]

А поди его пойми прокси он или нет. Как это определить? Доступа к серверу, ессно нет.

Для определения прокси достаточно было набрать в строке браузера несуществующий адрес. И тебе от прокси бы пришел ответ, что мол я такой-то такой-то не могу выполнить твой запрос.

Я не могу понять ГДЕ ICQ НАХОДИТ ИНТЕРНЕТ (???), если на одном из компов у админа не получилось настроить сеть (Работает только ping + с других компов эта машина не пингуется). Можно даже неправильно ввести адрес основного DNS... Аське все по барабану, она on-line.

не понял из этой фразы ситуации, но попытаюсь подойти с другой стороны....
У тебя в настройках браузера что нибудь прописано? Я имею ввиду использование прокси? Если нет то, у вас используется так называемое "автоматическое определение параметров прокси", следовательно все программы знают куда им обращаться за интернетом.
Т.о. если на squid'e открыты те порты которые нужны программе она не будет ни чего спрашивать....
Насчет паролей..... Видно у вас благотворительная организация, которая учитвает только HTTP трафик Так что радуйся и пользуйся с умом.

 

[ilya_sp]

Хм. да там вообще все криво-косо... Прокси забит в настройках соединения в броузере. Программы ничего не знают сегодня пытался обновить DRWEB... облом, Инета нету.
Нахрена Лицензионный DRWEB, если его даже обновить по-человечески нельзя да и вообще левосто какая-то. чувствую админу скоро надают по рукам.

Интересно а если я буду Ftp-клиентом качать или Flashget-ом???

И пообще просто спортивный (или не совсем ) интерес: ЕСЛИ Я НЕ ВВЕЛ ПАРОЛЬ, НО ПОЛУЧИЛ ДОСТУП К ИНФОРМАЦИИ В ИНТЕРНЕТЕ, КУДА ПРИПИШУТ ТРАФИК?
Или можно сливать потихоньку? В такой конторе никто "лишних" 50-метров не заметит...

 

[Ognev]

ilya_sp,
не ясно, есть ли у вас шлюз, но, видимо, нет. Ходите вы в инет (почти на 100%) через проксю, для выхода ты должен к ней подлогиниться. Ну забыли они тебе аську на ней заткнуть, вот она и работает. Может и еще чего забыли, а может специально оставили, чтобы вы не ныли, что нет у вас радости в жизни. Если все это так (а, видимо, так), то весь трафик идет через проксю, и его легко отследить и перекрыть, если надо.
Ну а если ты начнешь пользоваться дырами (если таковые действительно есть) и сливать чего то, то ведь не выведут же тебя во двор и не растреляют? Так что я не очень понима сути вопроса.

 

[ilya_sp]

Всем спасибо, Да мне на трафик, собственно говоря, по-барабану. Интересно просто сильно

 

[Darkness]

Объясняю. 1) Вы все ходите в инет через Squid -- это прокси сервер. 2) Порт аськи не перекрыт не на прокси, а на файерволле (скорее всего действительно чтобы не ныли, у меня по крайней мере так + почта). 3) Майл-ру агент работает оп той причине, что логин и пароль он берет из explorer'a точно не уверен, но могу проверить. Самый простой способ иметь трафф на халяву, это поставить сниффер и поиметь логин-пароль других юзеров (скорее всего у вас пашет NCSA проверка, а там пара логин:пароль летает открыто). Если есть еще вопросы или надо что-то расписать в деталях -- обращайтесь.

 

[pvk_netz]

Если весь трафик не заворачивается автоматом на прокси-сервер squid (это делается не настройками squid и называется прозрачным проксированием), то есть вероятность проскочить мимо. Если все, кроме одного единственного порта, не закрыто, конечно.
Ну так вот.
В explorer'е пользователя прописывается адрес и порт. После этого explorer тупо идет на указанный адрес и тупо долбится в определенный порт. Можно попробовать снять галочку "использовать прокси-сервер" в настройках explorera и прописать тот же самый адрес в свойства сетевой карты (сетевые подключения в xp, свойства, протокол tcp/ip, свойства, дополнительно, шлюз) в качестве шлюза.
Может прокатить.

 

[polyox]

pvk_netz

Вдогонку.

Загнул я что-то про прозрачное проксирование. В таком случае пароль как-будто вообще не должно спрашивать. Но принудительное заворачивание трафика все равно возможно.

Значит делаем так:

1. Как и написано, настраиваем шлюз.

2.1. Если в браузере был прописан некий ip-адрес прокси-сервера и порт, отличный от 80 (для примера буду использовать порт 3128, частенько используется), тогда снимаем галочку "использовать прокси-сервер".
Порт 80 считается стандартным. Браузер его использует по умолчанию. Если нет принудительного заворачивания трафика с 80 на 3128, то получаем: Squid ждет запросы по порту 3128, а мы спокойненько ходим мимо по 80.

2.2. Если порт прописан 80, то можно попробовать указать в настройках браузера какой-нибудь внешний прокси (список публичных прокси можно найти с помощью любого поисковика, останется только выбрать рабочий) с портом, отличным от 80. Т. е. Squid ждет запросы по 80 порту, а мы идем мимо на внешний прокси-сервер, используя другой порт.

Судя по тому, что ася может ходить в интернет, закрыты не все порты, либо вообще не закрыты. И если нет принудительного заворячивания http-трафика, то должно прокатить.

 

[tArAkAn]

Да просто все - на сквид, скорее всего, завернуты "стандартные" порты, используемые броузерами (80, 8080 и т.д.), там же настроена авторизация. А ася и мылру-агент пашут через NAT, скорее всего. Как попользовать такую ситуацию - возможно, помимо аси работают еще р2р клиенты - казаа и прочие ослы, торрент опять же. И если трафик считается только проходящий через проксю - то можно тянуть спокойно и безнаказанно