¿Cómo pueden los atacantes eludir los firewalls? [cerrado]

Los cortafuegos no se "pasan por alto" en el sentido en que Hollywood te haría creer. Funcionan al verificar el tráfico entrante y saliente contra un conjunto de reglas. Estas reglas pueden basarse en metadatos (por ejemplo, número de puerto, dirección IP, tipo de protocolo, etc.) o datos reales, es decir, la carga útil del paquete.

Por ejemplo:

• Eliminar todos los paquetes entrantes de la dirección IP 1.2.3.4
• Descarte todos los paquetes TCP entrantes en el puerto 22, a menos que sean de la dirección IP 2.3.4.5
• Eliminar todos los paquetes TCP entrantes con el indicador RST establecido, cuando el número de secuencia no coincide con el de una conexión conocida.
• Descarte todos los paquetes NetBIOS entrantes y salientes.
• Descarte todos los paquetes entrantes en el puerto TCP 80 que contienen la cadena ASCII 0x31303235343830303536 .

Los firewalls modernos generalmente están compuestos por los siguientes conjuntos de reglas:

• Conjunto de reglas base: generalmente "bloquear todo" seguido de una lista de excepciones para los servicios / protocolos comúnmente utilizados (por ejemplo, solicitudes HTTP salientes)
• Conjunto de reglas personalizadas: un conjunto de reglas de usuario diseñadas para anular / complementar el conjunto de reglas base.
• Conjunto de reglas de firma: un conjunto de firmas para evitar ataques conocidos. La última regla en mi lista es un ejemplo de esto: detecta la herramienta de inyección Havij SQL. Estos generalmente anulan todas las demás reglas. Este conjunto es análogo a una base de datos antimalware y debe actualizarse con frecuencia.

Pasar por alto un firewall no es realmente algo que se pueda hacer. Todo el tráfico que lo atraviesa se filtra de acuerdo con las reglas configuradas. Sin embargo, un firewall solo hace lo que se le dice: un firewall mal configurado o desactualizado podría permitir un ataque.

Formas en las que puedo pensar para sortear un firewall:

• Literalmente rodearlo. Busque otro punto de entrada a la red que no pase por el firewall. Por ejemplo, envíe algún malware o un exploit a un usuario interno por correo electrónico.
• Explota un firewall mal configurado creando paquetes que no activan las reglas. Difícil, pero potencialmente posible.
• Envíe las cargas útiles de explotación personalizada al destino en un puerto abierto. Los cortafuegos solo pueden identificar exploits conocidos.

La forma más fácil de sortear un firewall es lo que se conoce como ataques "del lado del cliente". Si una computadora en el lado protegido del firewall hace una conexión válida con un atacante, no hay nada que active una regla típica de firewall. Por ejemplo, si una computadora con firewall establece una conexión HTTP en el puerto 80 a un sitio web diseñado para explotar las vulnerabilidades del navegador (o Java), es poco lo que el firewall reconoce como malicioso: tráfico web a través de un puerto web.

Una vez que se obtiene un punto de apoyo dentro de la red, el atacante puede configurar los túneles cifrados que pasan a través del firewall en los puertos permitidos, que es otro tipo de "bypass".

Sobre el tema de los ataques directos de firewall, herramientas existe para determinar cómo se configura un cortafuegos para varios puertos. Con esta información, el tráfico se puede configurar para pasar a través del firewall. En el nivel más simple, la fragmentación de paquetes puede ser efectiva para no activar varios cortafuegos y conjuntos de reglas IPS porque cada paquete no contiene suficientes datos. El firewall debe configurarse para almacenar todo el conjunto de paquetes fragmentados antes de la inspección.

La respuesta realmente depende de su definición de "omisión".

El factor más importante para garantizar que un firewall ofrezca la máxima protección es asegurarse de que esté configurado correctamente. Un firewall es un dispositivo tonto en el sentido de que debe configurar lo que le gustaría permitir a través / bloquear. Un firewall mal configurado dejará agujeros en su superficie de ataque. Si un atacante entra, no es culpa del firewall; Solo estaba haciendo lo que se decía. Uno podría argumentar que el firewall no ha sido técnicamente "anulado" porque, en primer lugar, nunca se le dijo que restringiera el tráfico relevante.

Según el conjunto de funciones del cortafuegos, solo le permitirá restringir el acceso de ciertas maneras. Aunque algunas técnicas de penetración podrían tratar de explotar una vulnerabilidad o debilidad en el software del servidor de seguridad, que supongo que usted podría clasificar como "anulación", la mayoría de las técnicas se centran en la explotación de servidores de seguridad mal configurados (vea el punto arriba) ), o sistemas que están detrás del firewall. Como ejemplo, si tiene un servidor SSH mal configurado detrás del firewall, no es culpa del firewall que el atacante pueda autenticarse como root con "password" como contraseña. El firewall se configuró para permitir solo el acceso a través del puerto 22 (SSH), por lo que ha hecho su trabajo. Nuevamente, uno podría argumentar con razón que el firewall no se ha pasado por alto en esta situación, pero alguien todavía se ha introducido en su red.

Algunos firewalls ofrecen funciones más avanzadas, como la prevención de intrusos y el filtrado de capas de aplicaciones. Los firewalls IPS intentan comprender el contenido del tráfico que está fluyendo y bloquear algunos métodos comunes para explotar las debilidades en los sistemas alojados detrás de él. Una vez más, esto se basa en una configuración cuidadosa para ser eficaz. Si no ha habilitado las protecciones IPS correctas, entonces no es culpa del firewall si alguien explota esa vulnerabilidad con éxito. Existen algunas técnicas de penetración que intentan deslizar el tráfico más allá de estas protecciones en una forma que no activa el bloqueo, pero aún así explota la debilidad. Es un juego del gato y el ratón similar al antivirus. Supongo que podría llamar a estos "omitir" el firewall.

En resumen, un firewall es tan bueno como el administrador que lo está configurando, y solo se puede esperar que restrinja el tráfico en función de sus capacidades. No sustituye el fortalecimiento de los sistemas detrás de él, que es donde se enfocarán la mayoría de los ataques.

Los firewalls son elementos centrales en la seguridad de la red. Sin embargo, administrar reglas de firewall, especialmente para redes empresariales, es una tarea compleja y propensa a errores. Las reglas de filtrado del firewall deben estar escritas y organizadas cuidadosamente para implementar correctamente la política de seguridad. Además, la inserción o modificación de una regla de filtrado requiere un análisis exhaustivo de la relación entre esta regla y todas las demás reglas para determinar el orden correcto de esta regla y confirmar las actualizaciones. Identificar las anomalías en las configuraciones de reglas de Firewall es un tema de investigación muy acalorado y hay mucha investigación al respecto, algunas de las cuales me parecen interesantes is .

El objetivo del atacante es expandir estas anomalías en las configuraciones del cortafuegos y se realiza mediante la toma de huellas dactilares del cortafuegos, en el que envía un paquete benigno para adivinar las reglas del cortafuegos y encuentra lagunas en ellas. IPS en una llamada de patrón DMZ donde IPS trata de evitar la detección de huellas digitales a través de heurísticas o mediciones estadísticas (entropía), es decir, escaneo de puertos.