Pues a un usuario el programa Peer Guardian le detecta una IP del MCU (Ministerio de Cultura) y eso o bien es que dicho Ministerio anda escaneando pc´s, lo cual, no mediando orden judicial es ilegal, o bien hay funcionarios que en tiempo pagado con nuetros impuestos y con ordenadores y conexiones pagadas asimismo por nosotros hacen lo que su Ministerio reprocha a los Internautas, Conectarse a los P2P...Alguien, alguna vez debería dar algún tipo de explicación.
Comentarios
A la pregunta que haces te responderé claro y conciso, que ellos sean unos capullos no es razón suficiente para que los demás seamos unos capullos
Qué pesadez... Las redes P2P son legales, usadlas y punto. A ver si ahora va a haber que registrar a cada funcionario por no seguir las moralinas de un ministerio.
SGAE caca, canon malo, bla, bla, bla...
Pero el Ministerio no es responsable de que lo que hacen los currantes, y suponiendo que le pillen y lo despidan estaríamos hablando de injusticia, supongo.
Edito: Se me olvidaba una cosa, el emule sirve para compartir archivos, que un funcionario use el emule no quiere decir que esté descargando contenidos protegidos por copyright, se puede bajar cantidad de cosas que no infringen ninguna ley.
#12; No, no lo es, ya que para eso tendrían que tener a un controlador encima de cada empleado y a un supervisor encima de cada controlador para supervisar que controla, incluso por si el supervisor falla deberían tener a un supervisor general encima de cada supervisor.
Por supuesto en este caso la empresa podría despedir al empleado si lo pilla usando la conexión para descargar archivos de internet, sea vía emule o vía Ritalacantaora.org, pero como ya he dicho en el primer comentario si la empresa le pilla y le despide la gente pondría el grito en el cielo por tamaña injusticia.
Liamngls, piensa que a ti no te aceptan ni que grabas fotos propias en los cd´s...¿Porque tenemos que suponer que descargan archivos sin copyrigth? y eso de que no son responsables....los políticos no se cansan de hacer responsables a las cabezas de partido de cualquier majadería,¡¡¡Que comparezca Zapatero!!! la cosa es que el tema está ahí, todo dios comparte y es imparable si personal del Ministerio lo hace pues digámoslo y dejemos de decir que masturbarse poduce granos coño!!!
No Liamngls, no somos capullos, pero en la Red hay quienes la juzgan por ellos mismos y quienes la juzgamos por lo que sabemos y nos llega, tengo a varios de los webmasters de la famosa movida contra 15 webs en mi msn, me escribo con el de Frikipedia, ¿Sabes que en Internet hay muchos padres que han pagado PC´s y pagan conexiones y no tienen ni idea? se dejan impresionar y mira esto de hoy http://www.filmica.com/carlosues/archivos/004397.html mira el nombre del periodista que publica esos dos bodrios ¿D.G.P.? que curioso ¿No? el tema salta para que haga ruido y la razon son esos padres que pagan y no conocen, que sus hijos puedan decir "Mira papa...ellos también descargan" de verdad amigo, se a quien le hen quitado la conexión despues de meterle 2 hostias y habla conmigo desde un ciber...hay que combinar porque si queremos arreglar a los políticos, la SGAE, las Discográficas y los padres autistas lo tenemos muy claro...
hmm coincido con #6 (aunque a mí el guardian me gusta)
el usuario entró a la web del www.mcu.es
#14 no veo el problema, tu pides una web con tu ip enviando peticiones tcp, luego la web te responde enviando datos tcp desde su ip.
es lo que se loguea, accesos desde el servidor web del ministerio (enviando datos, en éste caso la web) a tu ip...
Para esas cosas nada mejor que las descargas directas...
En CineShare http://cineshare.blogspot.com/ recopilan links de los últimos estrenos de cine, en descarga directa.
... y se acabaron los problemas de si me escanéal el ordenador o qué hace ese gato en mi sopa.
=;-)
Lo siento, pero ésto último que he dicho está confirmado, está en los comentarios de la web de carlosues por si alguien quiere mirarlo. De todas manera copipasteo aquí:
Pues acabo de encontrar la forma de detectar conexiones que tenga como fuente a un servidor web con el Peerguardian:
Basta con que primero deshabilites el bloqueo de direcciones y, mientras se está cargando la página, lo vuelvas a habilitar. De repente salen un montón de intentos de conexión hacia tu ordenador.
Por tanto, esa prueba no es válida.
Defiende tus Derechos | 29 de Agosto de 2006 - 06:40 PM
Definitivamente la conexión de la captura tuvo que estar hecha de antemano antes de que la bloqueara el PeerGuardian.
A ver, no ricemos el rizo.
)
#22; PG banea toda IP, sea entrante o saliente. El programa se basa en IPs, no en el sentido de la conexion. Puedes probarlo de forma muy simple, solo has de instalarlo y tratar de navegar hasta el MC. Tiene una opcion que desbloquea el trafico por el 80, pero lo hace en ambos sentidos. Luego no hay vuelta de hoja, la conexion es entrante, como bien queda probado a traves del test realizado por Shironeko en #21 (por cierto, mil gracias, que eres el unico de los presentes que se ha molestado segun parece
La conexion se realiza desde el MC hasta el usuario, no hay vuelta de hoja en esto.
Asi pues, o bien hay un P2P tirando en el MC, que es lo que parece, o bien estan rastreando la Red, lo que me parece poco logico y ademas absurdo.
#25 lo dice claro: Solo hay dos puertos abiertos, 80 y 443. Bien, no se si habra algun filtro en funcion del tipo de trafico, pero parece evidente que no, y todo lo que se cuela por el 80 y NO es HTTP va a parar al ordenata que tiene el P2P. No es tan dificil de hacer, de hecho es algo habitual.
un saludo
La explicación más sencilla es que el chico se ha conectado al MCU. Respecto a la confusión fuente-destino, es más habitual de lo que parece. A ettercap le pasa algo parecido.
Además, tengo una cierta idea de como funcionan los organismos del gobierno y ni de coña son tan tontos como para poner el servidor web en la misma red que la que usan los empleados.
El servidor web está descansando en un CPD junto con otros sistemas de acceso público. Y la red local está filtrada por un cortafuegos que solo permite conexiones salientes al puerto 80 y 443. Además hay un proxy que sólo permite el acceso a una lista predefinida de direcciones web.
Por otro lado, todos los funcionarios tienen su pc con una cuenta restringida en windows. Y hasta donde yo sé, no hacen excepciones con eso. Supongo que el administrador de la red piensa que, por muy arriba que esté el funcionario, eso no le libra de pillar virus.
Es así como funcionan, parece que deben estar hartos de que sus funcionarios pierdan el tiempo visitando páginas porno e infectando la red con virus.
A ver, algo que se me ha pasado de largo. Si está en Source y de puerto 80 quiere decir que el 80 ahí es el puerto saliente del Source y en un P2P sólo configuras puertos entrantes, siendo los salientes totalmente dinámicos (y es así como funcionan todas las conexiones en internet, el puerto de entrada tiene que ser algo conocido por los que tratan conectar hacia ti, en el caso de los P2P suele ser un tercero quien lo indica).
Como tu dices, bodescu, el primer cortafuegos estará enrutando según el tráfico que le llega porque ahí supuestamente sólo está abierto el puerto de entrada al servidor web y es que por eso y tu piensas bodescu, que el administrador web se aprovecha de ello y usa un clasificador de tráfico de entrada con ese puerto. Pero no tiene sentido que para conexiones hacia fuera el P2P y el cortafuegos use el mismo puerto, de hecho se usaría uno cualquiera y no el mismo,porque dicho puerto ya estaría ocupado por al menos 2 procesos en máquinas distintas (usando clasificador claro y suponiendo que el servidor web está en la máquina del propio cortafuegos o no, quien sabe).
Y si como ya se ha dicho Peer Guardian bloquea conexiones salientes, pues una de dos, o como yo sigo pensando, al peer guardian se le fue la pelota, o esa conexión entre el MCU y el chaval con su Peer Guardian ya tuvo que existir de antemano (para que el source hable con destination desde el puerto 80) antes de bloquearla pues sería una contestación o ACK, lo cual dado que el chaval no deja claro si la conexión va a sus puertos enrutados de su NAT (y si la conexión ya estaba hecha, ya es raro que en destination haya 2 puertos distintos) para los P2P pertinentes por lo que también es más que posible que sea la contestación de una conexión por parte de la web del MCU al chaval.
Y lo que indica sildur es que la red sólo permite conexiones externas a servidores con su puertos 80 y 443 abiertos, es decir servidores web y ssl.
Y la prueba de shironeko, bueno, se acepta, pero sin saber la versión del peerguardian que usó el tipo ni nada más, pues no sé. Hay alphas para descargar del peer guardian, así que a saber.
Igual me equivoco o hay algún fallo en lo que digo, no sé. He tratado de razonarlo lo más posible.
Bueno pos nada, habrá que aceptar barco me supongo
.
bodescu, y si supongamos que peer guardian no bloquea peticiones salientes y sólo las entrantes? Acaso no saldria en los logs en source la web del ministerio con puerto 80 y en destination tu ip y un puerto cualquiera?
(y si tal prueba un tcpdump si puedes, para que veas como de posible es).
Yo porque hace mucho usaba peer guardian, pero luego llegué a las conclusiones que he expuesto en el comentario #13, que no sirve para lo que uno cree que sirve.
Es que en serio estás haciendo una bola de suposiciones, cuando la realidad pinta más sencilla.
Bueno, al final he hecho yo el test, y mirad lo que me ha salido:
1- me he descargado e instalado el programa
2- He visitado la web de MCU.es que no me caragaba porque la estaban bloqueando
3- Esto es lo que me ha dado:
4- He hecho un lookup de la Source IP, que parecer ser que es de algún proxy o algo por el que paso, porque mi IP esta no es. Es decir, visitando la web de MCU, YO soy el source:
5- He hecho un lookup de la destination IP, que es la del ministerio de cultura, ya que yo he visitado su pagina. Es decir, que visitando la web del MCU, ellos son la destination:
Conclusión: Si nos conectamos nosotros a ellos, visitando su web, nosotros somos el source y ellos el destination, pero en la foto de la noticia, es alrevés. Ellos son el source y nosotros el destination.
Por lo tanto, ellos se han conectado al usuario ese, y no alrevés. Bueno, eso supongo.
Pero reztho, sigue sin cuadrar la cuenta. Supongamos que haces la conexion al servidor web, vale. Quien es la fuente? El ordenador que hace la peticion, no? Es decir, tu, si eres tu el que va a la web. Pero en este caso, el ordenador que hace la peticion es el del MC, solo hay que ver la source. Que sea por el puerto 80 es irrelevante, el tipo (o la tipa, que de todo hay) ha aprovechado un puerto que sabe que esta abierto y que admite trafico, sin mas. Es muy sencillo de hacer, sin necesidad de grandes conocimientos.
Para #19, bueno, tiene logica lo que dices, si. Pero piensa que no hablas del ordenata de tu casa, sino de una red ministerial que necesita una seguridad alta. Por tanto, si puedo aprovechar un puerto para dos tipos de trafico, como hemos visto anteriormente, no hay necesidad de exponer otro puerto mas. En cualquier caso, coincido en que al admin no se le ocurriria, mas que nada porque un P2P es de por si un riesgo de seguridad bastante amplio.
Aun asi, me imagino, que no lo se, que la red estara segmentada, y que habra una pasarela o varias para ir a segun que ordenadores. Por tanto, el ordenador que tiene el P2P tirando, como ademas ha de hacer funciones de server, aunque usando redirecciones no ha de ser necesariamente asi, estara en una DMZ, con lo que el riesgo de usar un P2P es menor.
Y digo que no ha de ser necesariamente asi porque puedo redirigir: Todo el trafico web que entre por el 80 me lo mandas al equipo x en puerto elquesea. Todo el trafico NO web que entre por el 80 me lo mandas a otra maquina Y en puerto elquetediga. es simple en realidad.
Un saludo
Y en mi opinión, si eres administrador y tienes acceso usarías cualquier puerto antes de mascarte eso. Es más sencillo y no por ello se va a esconder más ni va a ser más sospechoso.
Y ahora que lo pienso el tipo tiene una IP privada, supongamos que use NAT, debería haber redirigido en su router al mismo puerto y en la captura se ve que al menos hay peticiones a dos puertos distintos.
Y sí pienso que mejor alguien recree la situación, pero tendrá que consultar al tipo aunque sea que versión del programa usó.
seria más facil descargarse el peerguardian, abrirlo e ir a la pagina del ministerio de cultura para ver lo que pasa, antes que seguir discutiendo aquí.
Es decir, recrear la situación.
bodescu, eso nunca lo sabremos. Porque Peer Guardian no discrimina tráfico por el tráfico sino por las IPs. Para mi la conclusión más lógica y sencilla de lo que ha pasado es que el muchacho ha conectado a la página web del ministerio. Y que no un funcionario se haya mascado las iptables para redirigir tráfico por la capa de aplicación para enchufar su emule, suponiendo que el ministerio use unix/linux como primer cortafuegos aunque sea.
Yo lo dicho, las capturas de Peer Guardian no hay que creerlas.
lo que hace falta es ejecucion. prendamos todos los ministerios, anarquia ya
Al #11: no es tu puerto 80, el puerto 80 es el del servidor web. En tu ordena se abre un puerto cualquiera de manera pseudo-aleatoria para acceder al puerto 80 del servidor web.
Efectivamente, estoy de acuerdo con #11, salvo en lo de la IP; el rango 172.16.15.x es un rango de IPs privadas. posiblemente sera la IP de su LAN.
#10, conoces algun servidor web que haga las peticiones al usuario? Lo normal es que tu solicites una web, luego tu eres la fuente de la peticion. Ademas, las peticiones a un servidor se hacen al puerto 80, si, pero no necesariamente han de salir por ese puerto.
Si el ordenador que peticiona, que es fuente, es el del MC, es evidente que no fue el usuario el que navego hasta alli, sino que desde el MC le lanzaron la peticion de conexion.
Para #13, decirle que los puertos son de contacto, pero luego los P2P usan un rango de puertos en funcion de las conexiones que tengan. Funciona como un FTP dinamico, mas o menos.
Y si configuras el P2P sobre el puerto 80, quiere decir que ahi en esa maquina no hay un server web corriendo sobre el 80, sino que esta el P2P en cuestion. Una forma burda de hacerlo seria:
Regla: Lo que entre por el puerto 80 y NO sea trafico HTTP redirigelo a tal maquina.
Cualquier IPTables puede hacer esto, no?
Un saludo
Por favor, mirad bien la imagen
Al #7 los puertos en los p2p son de entrada. ¿Estás queriendo decir que el funcionario en cuestión es el administrador del servidor de la pagina web del ministerio? Porque evidentemente ninguna máquina cliente que conecta a internet de cualquier funcionario no va a tener el puerto 80 abierto ni redirigido a ellos.
Al #9: es más que posible que el log viewer del peer guardian confunda source y destination. No sería el primer programa chapuza que lo haga.
Al #7 de nuevo: Sobre el Peer Guardian pues sirve para evitar que empresas como OverPeer te contaminen las descargas con falsos paquetes (por poner un ejemplo), porque está claro desde que IPs actuan. Pero no te sirve para nada si lo que se trata es de espiarte ya que por definición los P2P son de acceso público. Nadie impide que con notario delante y perito al lado, se conecten a un P2P mediante una conexión de Telefónica y esperar que tu les subas a ellos un archivo con copyright y ver tu IP (¿o pensáis añadir Telefónica también a vuestra base de datos de IPs bloqueadas?). Piensa que si el 50% de IPs que soporta ipv4 las bloqueas, basta con que ellos conecten contigo por el otro 50% (y la base de datos de IPs también es pública). Aparte que Peer Guardian bloquea para todas las conexiones que hagas indistintamente sea el tráfico que sea, lo cual es absurdo y provoca situaciones estúpidas como éstas. Visitas una web, Peer Guardian la bloquea, piensas que la web estará caida, luego te da por mirar los logs y piensas que el ministerio ha tratado de conectar contigo. Absurdo.
Ya puestos a bloquear conexiones, no uséis Peer Guardian, sino los propios sistemas de bloqueo de IPs de cada P2P. Si cada P2P bloquea las IPs (eMule, aMule y Azureus tienen esta posibilidad por ejemplo) no serían falsos positivos, porque evidentemente todo lo bloqueará el propio programa, pues será tráfico que le llega específicamente a ellos usando su mismo protocolo, lo cual ya dice cuales son las intenciones de quien conecta contigo o tú conectas con ellos, no sé si me explico. Y al menos así podrás navegar decentemente y que Peer Guardian no te bloquee el acceso a servidores webs legítimos. Y una captura del bloqueador específico de cada P2P yo me la creería, pero de Peer Guardian no.
También decir que para empresas como Overpeer está bien el bloquearlas, pero no hay que ser excesivamente paranoico. Seguramente todos los que usáis Peer guardian estáis cargandoos conexiones de ISPs que nada tiene que ver con espías o perturbadores de tráfico P2P, con lo cual, limitáis vuestra descarga, ya que habrá menos gente para vosotros según el archivo que estéis pillando.
Y también pensad que el ministerio está en esas listas de IPs bloqueadas por paranoia anti-gobierno, no porque alguien haya comprobado que efectivamente dicho ministerio se ha conectado a ellos.
Bueno, creo que he dicho todo.
Y acabo diciendo que lo mejor es luchar por leyes justas para todos y no lavarse las manos con el placebo de "sentirse seguros" por tener este programa puesto.
#1 el ministerio sí es responsable de lo que hacen sus empleados en horas de trabajo y mientras no sea algo imposible de controlar, que no es el caso.
Pero a ver, si el tio hubiera entrado en la web del MCU, entonces el destination Port (El suyo) sería el 80, porque estaría navegando, no el Source (El del ministerio)
Si yo navego, el puerto por el que me entran las cosas, digamos, la destinación es MI puerto 80. En la foto però, podemos ver que que el puerto 80 es por el que salen los datos del ministerio de cultura. Como si estuviera utilizando alguna web o algo para entrar, espiar, escanear al usuario o a sus puertos.
Por cierto, el tio ya podría haber censurado un poquito su Ip... esperemos para él que sea dinámica.
Fijados en la imagen http://web.estrenosdivx.com/sorpresa.mdc.jpg
Completo el comenterio #7 (no se por que, no puedo editarlo...):
Fijate que no se sostiene el argumento: La IP de MC es la fuente, luego la peticion parte de alli. Si la peticion partiese del equipo del usuario estaria tambien baneada, y figuraria la IP del equipo como peticionario.
Ademas, PG marca en azul (por defecto) las peticiones baneadas a traves del puerto 80.
Por eso, yo si le doy veracidad y credito a la imagen.
Un saludo
Cuando usaba windows y tenia instalado P2P Hazard que es un software español de baneo de ips, descubir que la SGAE habia intentado conectarse continuamente a mi equipo. No se si conservor el log de aquello pero me parecio muy muy sospechoso...espero se les descubra y se les caiga el pelo...
#6, creo que deberias justificar tu opinion, muy respetable por otro lado. Quiero decir que me ha resultado curioso eso de que no sirve para nada un filtro de conexiones...
Es posible que sea como comentas, que el user haya ido hasta la web del MC, pero no tiene por que ser asi: En los lugares con control de trafico, como deberia ser un ministerio, configurar el P2P de turno en el puerto 80 es de lo mas habitual, porque suele ser un puerto no filtrado.
Un saludo
En mi opinión, es una falsa alarma. Peer Guardian bloquea conexiones tanto salientes como entrantes a las IPs que tiene en su base de datos. Si os fijáis en la captura en Source la IP del ministerio tiene de puerto, el 80. Cosa normal porque si metéis esa IP en un navegador, accedereis a la web del ministerio de cultura. Lo que ha pasado simplemente que esa persona fue a visitar la web del MCU y Peer Guardian la bloqueó.
Y también es mi opinión, Peer Guardian no sirve para nada.