"EVADIENDO FIREWALLS: LA FRAGMENTACION"

 

cada uno de las anteriores medidas de seguridad  corresponde o bien a distintos usos o bien a diferentes funcionamientos internos de como funcionan para examinar detalladamente los paquetes.

los mas dificil de bypassear son los detectores de intrusion y los sistemas de prevencion de intrusiones,  ya que generan alarmas a los administradores de la red, donde quedara logeada nuestra direccion ip e inclusive hasta la hora desde donde nos conectamos.

cada paquete de red tiene su segmento maximo para recibir sin ser fragmentado a este concepto se le suele llamar MSS, tamaño maximo de segmento,  el otro concepto de igual importancia es la unidad maxima de transferencia (MTU) que como su nombre lo dice es el tamaño en bytes que se puede enviar en algun protocolo de comunicaciones, casi siempre este valor maximo se debe fragmentar en diversos valores para continuar con la recepcion por el paso de las rutas.

vamos a fragmentar nuestro escaneo con nmap para experimentar un poco y observar si el firewall de la red deja pasar el paquete o por el contrario, lo rechaza.

SIN ESTADO ------------->   dejan pasar el paquete sin mas, solo verifican algunas partes del mismo como por ejemplo solo las conexiones de ciertos puertos con algunas reglas ACL(listas de control acceso).

CON ESTADO ------------>  este es mas inteligente trabaja por sobre conexiones simultaneas o flujos de trafico,  si se admite un tipo de flujo tcp  , todas las conexiones sucesivas a ese flujo podran ser permitidas y despues de esto es capaz de inspeccionar cada paquete de dichas conexiones.

INSPECCION DE PAQUETES ----------->  este tipo puede filtrar conexiones en funcion  de la de-codificacion de las capas de aplicacion, examina los protocolos de la capa de aplicacion para observar y analizar su contenido y ver si lo puede permitir o rechazar,  es muy utilizado en las escuelas para bloquear ciertos contenidos como peliculas, videojuegos, redes sociales, entre otros paquetes de capas altas.

IDS/NIPS -------------------> estos tienen una base de datos que debe ser actualizada para verificar y rechazar los ataques mas conocidos,  algunos IDS mas conocidos y altamente configurable son snort, ya que es posible a partir de ciertas reglas especificas crear una base de datos por experiencia propia y que nos avise cuando tal amenaza pueda presentarse en algunos momentos.

GATEWAYS C/PROXYS ---------->  un ejemplo de este tipo puede ser el mecanismo NAT que enmascara las verdaderas ip para salir a internet con ip publicas,  se puede habilitar un servidor para hacer de intermediario y que oculte nuestra ip verdadera, o incluso se puede configurar para tener multiples proxys antes de que nuestro trafico pase por NAT, aunque esto supondra una latencia aun mayor en nuestros paquetes enviados.

ahora podemos ver la parte practica donde primeramente nos ponemos a escanear con nmap y enviar algunos fragmentos aver si nos arroja alguna valiosa informacion acerca de los puertos abiertos :

vamos a intentar primero con una MTU de 8 bytes aver como nos va:

como podemos ver, la red no admitio solo 8 bytes,  veamos que nos puede decir con algo mas:

parece que si que tenia algo que deciros pero no queria porque no admitia una mtu tan baja como 8 ,  vale destacar si jugaremos con la mtu , esta la tendremos que mover en 8,  es decir un multiplo de tal numero,  8,16,32,64, etc.

los resultados varian , dependiendo de la red y los dispositivos de seguridad que tengamos enfrente.

sin mas que decir por el momento, fue todo,  nos vemos en otra investigacion.

Pentester Diaries.