Sei sulla pagina 1di 6

Ptunnel è un applicazione che permette di instaurare connessioni TCP verso un host remoto utilizzando il protocollo

ICMP come protocollo sottostante, ed aggirare di conseguenza le limitazioni sui vari firewall. Infatti tramite questo tool è
possibile instaurare ad es. una connesione SSH o HTTP attraverso un firewall che blocca questi protocolli ma permette
ad es. gli ICMP echo request e reply (ping requests/replies).

In questo doc prima utilizzeremo il tool per instaurare una connessione HTTP tramite un host remoto utilizzando l’icmp
come protocollo di comunicazione. Successivamente proveremo prima a fare il detect con l’IPS Tippingpoint verificando
che passa tranquillamente attraverso il firewall ma viene riconosciuta dall’IPS, poi il blocco di tale applicazione tramite
l’IPS.

Sulla macchina che confideremo come server lanceremo l’applicazione mettendo in ascolto sulla scheda di rete
(necessario winpcap)

SERVER - start server:

Info: Use the -c option (enable WinPcap on the given device) else the proxy will NOT work!
For Windows use the -h option (ptunnel.exe -h) to view all Windows WinPcap Devices.

Sulla quello che sarà il client dietro il firewall (ossia quello non autorizzato a uscire in http ma solo col ping) facciamo
partire l’applicazione specificando l’ip del server, la porta locale su cui sta in ascolto il client e l’indirizzo e porta target
che vorremmo raggiungere tramite il nostro server

CLIENT - start ptunnel client with root privilege:

In un altra finestra possiamo usare un telnet per collegarci a un sito web e verificare che riusciamo a navigare tramite
l’host remoto
Microsoft Telnet> set localecho
Microsoft Telnet> open localhost 80
[invio]
GET http://www.whatismyip.com/automation/n09230945.asp HTTP/1.0
2 volte [invio]

Ricontrollando nella finestra da cui abbiamo lanciato il nostro client vediamo che il tool ha cominciato a inoltrare
pacchetti

E anche sul server si vedono i dettagli dello scambio di pacchetti ICMP


Proviamo ora a bloccare questo tipo di applicativo tramite IPS, andando nei protection profiles e cercando come filtro
tunnel e come protocollo icmp

A questo punto rilanciamo client e server e proviamo col nostro telnet


Il telnet non risponde

Sul client vediamo la perdita della connessione

E anche sul server


Nella console dell’IPS vediamo il traffico riguardante il tunnel ICMP bloccato
Autore: Fabrizio rosina

Sito: http://www.gzone.it