Esta vez pusimos a prueba el software de Filtrado empresarial Websense, un software utilizado por las empresas para limitar donde van sus empleados cuando trabajan. La solución Websense tiene un costo elevado, dependiendo del número de usuarios, para 1000 usuarios por ejemplo es costo es de 15000 dólares, para una empresa pequeña de 50 usuarios, que es el que más barato se vende por unos 1500 dólares por lo cual analizamos si vale la pena pagar por esta alternativa.
Definitivamente el software complica el hecho de conseguir cierta información, o sea si intentas ingresar a ciertas direcciones el software lo impide, pero no conseguir información. Nuestra prueba consistió en 3 tareas.
1. Ir a una url específica prohibida
Definitivamente si intentas digitar la dirección directamente no tendrás resultados e incluso si usas la IP. Sin embargo por medio de proxys HTTP si se puede, buscando un rato en google se ubico un proxy que permite el acceso, solo hay que buscar unos 5 minutos. Solamente se usó el inurl en Google, parámetro que permite buscar ciertas características de estos proxys o algunas palabras claves que siempre van en el título de los mismos. Si bien se pierde alguna funcionalidad, el usuario puede leer y acceder a los contenidos prohibidos.
Otra prueba que no pasó fue la de los túneles, el Websense sucumbió a un tunnel HTTP de prueba y a un tunnel SSH, el primero comercial y el segundo hecho por nosotros desde un ADSL corriente, esto último muy complejo para los usuarios normales, pero el primero, el HTTP requirió la descarga de un programa que si hubo que bajar de otro sitio, la ejecución, una llave de configuración que puede ser realizada por cualquier usuario incluso sin permisos de administrador.
Nuestro veredicto: Prueba fallida, si bien se requiere tiempo y un poco de persistencia un usuario medio puede burlar la protección.
2. Bajar un archivo prohibido
A diferencia de ingresar en una web ingresar a información prohibida fue más simple, intentamos bajar una archivo de un sitio de compartición de archivos. Obviamente los sitios como RapidShare y Megaupload estan bloqueados, pero con unas cuantas palabras clave y buscando en blogs fue muy simple bajarlo, no se tuvo necesidad de usar ningun proxy. Aspecto curioso que algunos idiomas como el ruso, son pocas las URL filtradas.
Como tip, si usas Google y te vas a los resultados ejemplo en la página 20 la mayoría no es conocida por Websense, obviamente el software funciona conociendo URL, proceso complicado hoy ya que surgen millones cada día.
3. Usar Messenger
Esta tarea si requirió más conocimiento, en este caso para brincarse a WebSense hubo que usar el Tunnel HTTP o SSH.
Veredicto final: si bien la solución detiene al usuario tradicional de nivel bajo es cuestión de tiempo que el usuario pase la barrera, es más esperamos pronto ver soluciones mejores que brinquen las barreras del WebSense y de una forma más simple con la popularización de los túneles, software que simula un proxy interno y de forma transparente pasa por el proxy o ISA empresarial sin nisiquiera ser detectado.
Como un comentario profesional yo ahorraría el dinero y usaría una solución Open Source como Dans Guardian que hace un trabajo similar. El costo de una solución de este tipo es de apenas $89 para 100 usuarios y $250 para 1000 de ellos, esto si deseas pagar la licencia. No siendo un proceso crítico en una organización el costo puede ser incluso 0 si deseas que el soporte sea interno la herramienta es gratis.
Enlaces:
- Dans Guardian http://dansguardian.org/
- WebSense http://www.websense.com