Firewalls y Sistemas de detección/prevención de intrusos en la red

Firewalls y Sistemas de detección/prevención de
intrusos en la red
German Larrosa – CI 4.561.973-5
Gastón Nicassio – CI 3.179.525-0
Definición
Un firewall es un sistema de seguridad que tiene como objetivo prevenir el acceso no autorizado a redes
privadas; los firewalls pueden ser implementados como software o hardware.
Han pasado de ser algo super complejo, manejado por los implementadores de sistemas de seguridad, a
ser utilizados por cualquier usuario con algunos conocimientos de informática, a nivel hogareño .
Que es un firewall de red ?
Básicamente lo podríamos ver como dos componentes, uno que bloquea el tráfico entre dos redes y otro
que lo habilita controlando el acceso. Dicho acceso se permite bajo una determinada política, y cuando
no tenemos bien claras las reglas que queremos establecer, probablemente fracasemos en su utilización.
De que nos protege un firewall ?
●
Conexiones no autenticadas del mundo exterior.
●
Ataques a nuestro sistema.
●
No nos protege de cualquier ataque que no pase a través de él.
●
Tampoco nos protege contra tunneling con los protocolos de otras aplicaciones.
Algunas de sus funciones más importantes son proveer un log del tráfico, auditar y armar un resumen con
los intentos de ataques, cantidad de tráfico, etc.
Por qué nos sería de utilidad ?
●
Males de nuestra sociedad reflejados en Internet.
●
El equivalente electrónico de lo que hacemos en términos de seguridad, sería el uso de firewalls.
Tipos de firewalls
Conceptualmente se dividen en 2 grupos
Los de capa de red :
Generalmente los inputs importantes son las direcciones de origen y destino y los puertos utiliza
dos en los paquetes IP.
Un router común sería un ejemplo de firewall simple de capa de red. Obviamente los más nuevos se
han vuelto muy sofisticados.
●
●
Los de capa de aplicación:
Son generalmente clientes corriendo servidores proxy, que permiten el tráfico entre redes
realizando un logueo y auditoría del mismo.
Tipos de firewalls
●
Listas de control de acceso
Se permite o rechaza el pasaje de paquetes revisando el header.
●
Proxy firewalls
Funcionan a nivel de capa de aplicación, filtrando paquete a paquete. Con el costo de enlentecer un poco al sistema.
●
Firewalls de inspección de estado
En este caso no solo chequean los haeders sino que monitorean el estado de las conecciones, pudiendo cerrar los
puertos hasta saber que se abrió una coneccion y nuevos paquetes llegarán.
●
Firewalls de manejo unificado de amenazas (UTM)
En el firewall viene incluido en un antivirus, supuestamente son las mejores soluciones en seguridad , aportando dataleak
prevention, balanceo de carga, anti-spam, vpn, etc.
Qué es y cómo funciona un servidor proxy ?
●
Aplicación que hace de intermediario en el tráfico entre una red protegida e internet.
●
Deben “entender” los protocolos de aplicación utilizados, pudiendo entonces implementar
seguridad basada en dicho protocolo.
Recursos importantes para el firewall
●
Es importante identificar los recursos críticos de la arquitectura de nuestro firewall, así por ejemplo
al momento de hacer mejoras de performance, sabemos exactamente qué debemos modificar.
●
Es en muchos casos nuestro cuello de botella, por lo que gastar grandes cantidades de dinero en
mejores y más rápidas CPU no necesariamente representan una mejora.
Cómo bloqueamos todo lo “malo” ?
●
Para los firewalls el énfasis está en la seguridad y no en la conectividad, por lo que deberíamos
considerar bloquear por defecto todo e ir viendo caso a caso qué servicios realmente necesitamos.
●
De este modo solo vamos a necesitar lidiar con un conjunto acotado de servicios.
●
Antes de habilitar un servicio debemos hacernos un par de preguntas:
Está usando un protocolo conocido ?
Que tan conocido es el servicio y producto ?
Como cambia la arquitectura de nuestro firewall al permitir este nuevo servicio?
Funcionamiento de firewalls modernos
●
Muchos creen que un firewall funciona por si solo, como si fuera un guardia en la entrada a nuestra
red al que no hay que explicarle nada.
●
Los firewalls que realizan inspección de paquetes , a diferencia de los routers comunes que realizan
por defecto forwarding basado en ip y desconocen si los paquetes tienen algo en comùn, si vienen
en secuencia ò están repetidos.
●
Los Statefull firewalls por otro lado inspeccionan los paquetes, sobrepasando las tareas de capa 3 y
procesando paquetes (capa 4) inspeccionando sesiones TCP/IP.
Funcionamiento de firewalls modernos
●
Los firewalls actuales trabajan hasta capa 7, permitiendose monitorear datos de las aplicaciones.
Las redes sociales son un perfecto ejemplo de esto, permitiendonos acceder a determinados sitios
pero gestionando los accesos a cada parte.
●
Podriamos permitir por ejemplo el acceso a facebook, pero bloquear el contenido flash o java para
evitar que los empleados pierdan tiempo con los juegos.
●
Los zone based firewalls permitieron lidiar con algunos problemas como IP spoofing. Estos utilizan
buffers separando en secciones, como funcionan las dobles puertas de seguridad en una prisión. Si
detecta una ip ingresando de una zona desconocida, rechaza el paquete.
Sistema de deteccion de intrusos ( IDS - Intrution detection system) y Sistema de
prevencion de intrusos (IPS - Intrusion prevention system)
●
Los IDS son sistemas encargados de encontrar patrones en las conexiones de red reconociendo
escaneo de puertos, firmas específicas de ciertas amenazas. Este sistema se basa en un motor de
inspección en conjunto con el estandar NAT a fin de poder reconocer patrones en el tráfico de las
redes.
Por otro lado los sistemas IPS también conocidos como sistemas de deteccion de intrusos;
basicamente este sistema esta encargado de encontrar actividad maliciosa, loguear informacion
sobre este tipo de actividad, intento de bloqueo y reporte de la misma.
Este sistema es considerado como la extension del sistema IDS, ambos se encargan de monitorear
el trafico de red pero los sistemas IPS ademas tienen como función prevenir/bloquear intrusos
detectados.
●
Clasificación de sistemas IPSs
●
NIPS (Sistema de prevención de intrusos basado en la red)
●
WIPS (Sistema de prevencion de intrusos inalambrica)
●
NBA (Analisis del comportamiento de la red)
●
Sistema de prevencion de intrusos basado en un host
Clasificación de sistemas IDSs
IDSs basados en la red
Son estratégicamente puestos en los puntos de entrada y salida para detectar ataques a los hosts en esa
red. A su vez este tipo de IDSs se dividen en 2 grupos: anomalías estadísticas e identificación de
patrones.
●
●
El primero intenta ver que usuarios están teniendo comportamiento inusual, disparando en ese
momento una alarma de intruso.
IDS basados en patrones mantienen una base de datos de los tipos de ataque, y mientras analizan
los paquetes que pasan por la red si encuentran algo que coincide con alguno de estos patrones,
dispara la alarma. Este mecanismo genera menos falsos positivos, pero a diferencia del método
anterior no pueden detectar nuevos tipos de ataques.
Para minimizar este riesgo las DB son actualizadas con frecuencia.
Clasificación de sistemas IDSs
Otra NIDS es la basada en reglas, mas avanzada y con un funcionamiento al estilo de la mente humana.
Hay una base de conocimiento programada cono reglas, que decide la salida junto con un motor de
interfaz.
Lo que asume el sistema es el resultado del motor, aca no solo existe como resultado de evaluar ciertas
reglas el SI ó NO, tambièn hay un tal vez.
Esta interfaz agrega inteligencia permitiendo sospechar sobre un posible ataque.
Clasificación de sistemas IDSs
IDSs basados en los hosts
Como el nombre lo indica, son instaladas en un host en particular y monitorean el tráfico que entra y sale
de él. Cualquier ataque a otra parte de la red no será detectado.
Algunas de las ventajas son :
● Permiten verificar si el ataque tuvo éxito, mientras que las que operan sobre la red solo disparan
alarmas.
● Monitorean la actividad del usuario, tienen la habilidad de monitorear trafico encriptado y son
económicas si la red tiene pocos hosts.
● Como desventajas podemos nombrar que consumen recursos del host,
disminuyendo el poder de procesamiento.
IDS vs IPS
●
Los sistemas IDS solamente detectan intrusiones, loguean el ataque y envian una alertas al
administrador; además no enlentecen la red como los IPS.
●
Muchas compañías prefieren sistemas IDS sobre IPS, aunque intuitivamente no tiene mucho
sentido. Se podría asumir que la mayoría de las compañías prefieren que un sistema se encargue
de manera automática a bloquear ataques y tomar acciones en vez permitir el acceso de la
amenaza y simplemente loguear una alerta hacia el administrador.
Razones :
Falso positivo que producen este tipo de sistemas si no están bien configurados. Un sistema IPS
produciendo falsos positivos puede causar que tráfico legítimo de red sea bloqueado, de lo contrario un
sistema IDS solamente se encargará de enviar alertas y loguear el falso ataque.
IDS vs IPS
Administradores que no quieren un sistema que tome decisiones a su nombre, prefieren simplemente
recibir una alerta a fin de que ellos puedan investigar sobre el posible ataque y tomar decisiones por ellos
mismos.
Por otro lado, algunas compañías ante la duda terminan optando por sistemas IPS ya que la visibilidad
tiene sentido solo si tenemos tiempo para analizar el resultado. Esto no implica que podemos olvidarnos
y creer que los sistemas IPSs funcionan por sis solos; para hacer el mejor uso de esta tecnología
debemos customizarla en base a las necesidades específicas de nuestra red y aplicaciones e invertir
tiempo analizando lo que nos dice.
Los sistemas IDS pueden ser usados inicialmente a fin de analizar como el sistema se comporta sin la
necesidad de bloquear absolutamente nada. Una vez que el sistema esta correctamente tuenado la
característica IPS se puede encender a fin de proveer una protección completa.
Firewalls de aplicación
Introducción
Surgen como una nueva opción a los firewalls de capa de red y transporte agregando mas potencia a este
tipo de sistemas a la hora de detectar amenazas en la red.
Los firewalls de aplicación se puede dividir a su vez en dos categorías:
● Firewalls de aplicaciones web (WAF - web application firewalls)
● Firewalls de base de datos (Data base firewalls)
Firewalls de aplicación
WAF (Web application firewalls)
●
Son filtros en la cual se aplican reglas sobre una conversación HTTP
●
Las reglas definidas por los WAFs permiten evitar diferentes tipos de ataques como ser:
○ Cross site scripting (código malicioso en el cliente que consulta al servidor web)
○ Sql injection (introducir en el código sentencias sql en que lleguen a ejecutarse en la BD),
○
●
Denegación de servicio (el servidor queda fuera de servicio, no pudiendo atender las
solicitudes)
Los WAFs puede funcionar en diferentes modos
○
○
Modo de aprendizaje (carga normal, carga máxima, valores
permitidos en los campos)
Modo bloqueo.
Firewalls de aplicación
Ejemplo de WAF en modo aprendizaje
●
Se tiene un sitio web de compras tal que cada cierto tiempo el waf detecta peticiones get al sitio a
fin de obtener el catálogo de productos disponibles (estas peticiones incluye un parametro ‘id’ de
tipo ‘int’).
●
Dado que el waf fue definido en modo aprendizaje este creará una regla la cual especifica que la url
encargada de obtener los productos del catálogo contiene una variable de nombre id de tipo entero.
●
Si en algun momento se realiza una petición con información inconsistente el waf detectará la
anomalía y bloqueara o redirijira esa petición cuando el waf sea activado en modo bloqueo.
●
Ejemplo de peticion hacia el sitio detectada como legítima por el WAF
GET http://sitepath.com/show_article.php?id=15
●
Ejemplo de peticion hacia el sitio detectada como anomalía por el WAF
GET http://sitepath.com/show_article.php?id=15' or 1=1 --
Firewalls de aplicación
Configuración de un WAF en modo aprendizaje
●
Se sugiere que estos sistemas se activen en modo de aprendizaje por un tiempo considerable.
●
Depende del contexto pero en general se habla del orden de meses.
●
Cuanto mas tiempo quede el WAF en este modo mejor “entrenado” estará reduciendo de esta
manera la posiblidad de generar bloqueo de peticiones legitimas (falsos positivos)
Firewalls de aplicación
Ejemplos de WAF en el mercado
No comerciales
●
-ModSecurity-www.modsecurity.org., es el WAF mas utilizado de codigo abierto (ModSecurity)
●
ModSecurity normalmente se basa en denegar todas las peticiones y solamente dejar pasar las que
son consideradas un ataque (modelo de seguridad negativo).
●
Existen desarrollos basados en este tipo de WAFs, ej: Apache anadio a su sistema un modulo que
contiene los servicios de ModSecurity.
●
Contiene un grupo de reglas que detectan los ataques web más comunes.
Firewalls de aplicación
Ejemplos de WAF en el mercado
●
El sistema recolectar logs y alertas, analizando el tráfico web y creando perfiles que pueden ser
utilizados para implementar un modelo de seguridad positivo.
●
Otro de los WAF mas utilizados a nivel NO comercial es el Microsoft URLScan
●
Es un filtro ISAPI (Los filtros de Interfaz de programación de aplicaciones para servidores de
Internet) encargados de leer la configuración de un archivo .ini en el que se definen las restricciones
●
Este tipo de sistemas corren exclusivamente en el servidor web.
Firewalls de aplicación
Ejemplos de WAF en el mercado
Comerciales
●
Dentro de las herramientas WAF comerciales podemos mencionar:
○ F5 (su módulo ASM para plataformas BIG-IP)
○ rWeb
○ sProxy deDenyAll
○ Imperva
○ IBM DataPower (exclusivamente para servicios Web)
○ Barracuda
○ Citrix
○ Breach Security
Firewalls de aplicación
DBF (Data base firewalls)
Introducción
Básicamente un sistema DBF se puede definir como un filtro el cual aplica reglas sobre peticiones sql a
fin de poder prevenir ataques SQL.
FIrewall de base de datos (Oracle)
●
A continuacion se presenta un diagrama en el que se puede observar en ejemplo de arquitectura el
cual utiliza, un DBF de Oracle además de un sistema F5 BIG-IP ASM de tipo WAF.
●
El DBF es deployado entre el servidor de aplicaciones web y la BD.
●
De esta manera se protege de ataques que fueron originados desde dentro o d
esde fuera de la red; cada petición SQL dirigida hacia la BD es analizada
por el DBF de Oracle y filtrado en caso de ser necesario.
Firewalls de aplicación
Ejemplo de DBF de Oracle (continuacion)
●
El escenario incluye ambos sistemas de seguridad (WAF Y DBF) a fin de proveer al sistema con los
beneficios de ambos productos.
●
Ambos sistemas trabajan en paralelo a fin de detectar y prevenir distintos tipos de ataques.
●
Al utilizar WAF Y DBF en simultáneo se puede detectar y recavar informacion adicional; esto es
posible dado que el WAF colocado delante del servidor web pudiendo registrar informacion extra
(como ser la direccion ip, el nombre de usario obtenidos de la peticion web) para luego el DBF
pueda registrar esa información en caso de recibir peticiones sql no autorizadas por parte del
servidor web.
Firewalls de aplicación
Ejemplo de DBF de Oracle (continuación)
Firewalls de aplicación
DBF (GreenSQL)
●
Firewall GreenSQL es un ejemplo de firewall de base de datos (DBF),
●
Es un software open source especialmente diseñado para proteger bases de datos MySQL;
previniendo el ataque de técnicas nocivas hacia la base de datos como ser SQL injection.
●
Funciona como un proxy sobre comandos sql, se basa en una matriz de riesgos en base a puntajes
a fin de decidir si un comando sql podría llegar a ser una amenaza.
●
Aplicaciones que hacen uso de GreenSQL apuntan directamente al firewall GreenSQL, luego este
analizara las consultas recibidas y en caso de no ser amenazas GreenSQL re-enviará la petición
hacia la BD.
Firewalls de aplicación
DBF (GreenSQL)
Posibles modos de uso
●
●
●
●
Modo simulacion (database IDS)
Bloqueo de comandos sospechosos
Mode aprendizaje
Protección activa de consultas desconocidas (db firewall)
Firewalls de aplicación
DBF (GreenSQL)
A continuación se muestra un diagrama el cual ejemplifica el uso de GreenSQL en una compañía:
FWs tradicionales vs FWs NGFW
Introducción
FWs NGFW (Next generation firewalls) son software o hardware el cual se diferencia del los firewalls de
primera generación ya que cuentan funcionalidades extras de seguridad pudiendo detectar y bloquear
ataques sofisticados de manera más óptima.
Integran tres características claves:
○ Capacidades de versiones corporativas de firewall:
○ Sistema de prevención de intrusos (IPS)
○ Control de aplicaciones
Incluyen funcinalidades especiales como ser:
○ Inspeccion de protocolos SSL (Secure Socket Layer) y SSH (Secure Shell)
○ Inspeccion de paquetes en profundidad
○ Deteccion de malware en base a reputacion
FWs tradicionales vs FWs NGFW
Integración de herramientas
Firewalls tradicionales
●
Compañías con FWs tradicionales complementan la seguridad de su red con otro tipo de herramientas
como ser gateways anti-malware, sistemas de detección de intrusos (IPS), paquetes de filtrado de
URLs, entre otras.
●
Compañías con FWs tradicionales deben invertir mucho dinero en licencias a fin de contar con un nivel
de seguridad aceptable (compra de licencias adicionales)
●
Alto costo de administracion dado que se precisaria administrar las n herramientas de seguridad de la
compañía (potencialmente 1 especialista por herramienta)
FWs tradicionales vs FWs NGFW
Integración de herramientas
Firewalls NGFW
●
Proveen múltiples sistemas de seguridad en un solo paquete, deployadas, configuradas y
administradas como una unidad. (Reducción costo administrativo)
●
Información sobre el comportameinto de la red, intento de ataques, etc está disponible en un solo
reporte facilitando su interpretación, como consecuencia se toman medidas de manera mas rápida
y acertada antes de que la seguridad de la organización haya sido comprometida.
FWs tradicionales vs FWs NGFW
Manejo de SSL (Secure socket layer)
Firewalls tradicionales
●
El protocolo SSL es muy utilizado a fin de proteger información sensible cuando esta fluye en la
red, por esta razón es que muchas compañías no pueden bloquear el tráfico SSL dado que
informacion legítima y necesaria para ellas viaja por esa vía.
●
Dado que los FWs tradicionales no son capaces de desencriptar e inspeccionar este tipo de tráfico.
Hackers hacen uso de esta vulnerabilidad haciendo viajar malware en base a SSL sabiendo que
companias con este tipo de firewalls no pueden inspeccionar ese tipo de tráfico.
FWs tradicionales vs FWs NGFW
Manejo de SSL (Secure socket layer)
Firewalls NGFW
●
Frewalls NGFW implementan una tecnica denominanda Inspeccion de paquetes en profundidad
(DPI) a fin de poder desencriptar e inspeccionar el trafico SSL que entra y sale de la red.
●
En base a DPI pueden bloquear malware contenido en el trafico SSL, detener mensajes de tipo
control y comando hacia los botnets, prevenir que APTs (amenazas avanzadas persistentes)
utilizen SSL a fin de obtener informacion confidencial de las companias, entre otras.
FWs tradicionales vs FWs NGFW
Característica application-aware
Firewalls tradicionales
●
Firewalls tradicionales no pueden asociar el comportamiento del tráfico de la red con aplicaciones
específicas, no tienen la llamada función de application-aware.
●
Por esta razón no cuentan con privilegios para bloquear ni controlar aplicaciones potencialmente
peligrosas, bloquear aplicaciones diseñadas para uso legítimo pero utilizadas de manera maliciosa,
visualizar y controlar el tráfico por aplicación, entre otros.
FWs tradicionales vs FWs NGFW
Característica application-aware
Firewalls NGFW
●
Firewalls NGFWs ofrecen inteligencia de aplicación y control; son capaces de reconocer tráfico de
red perteneciente a aplicaciones específicas y en base a ese conocimiento reforzar políticas
corporativas de uso.
●
NGFWs pueden alocar ancho de banda para ciertas aplicaciones de alta prioridad, permite a
administradores de red el monitoreo y visualización de tráfico, filtrar el volumen de tráfico por
aplicación, determinar fluctuaciones de ancho de banda durante ciertos periodos y la naturalez de
los mismos.
●
Todas estas nuevas características hacen que estos nuevos tipos de firewalls
provean de nuevas herramientas a fin de poder solucionar problemas de
manera mas rapida y efectiva a la vez de incrementar el poder de
administracion de la red.
FWs tradicionales vs FWs NGFW
Característica application-aware
Firewalls NGFWs
●
NGFWs permiten tener control sobre las aplicaciones a nivel de usuario y grupos de usuarios
permitiendo de esta manera reforzar las políticas aceptables de uso de modo más granular.
●
Aplicaciones como Facebook, Twiter, LinkedIn y otras sitios sociales podrían generar varias horas
de improductividad sobre un gran porcentaje de empleados de una compañía; aunque por otro lado
sucede que este tipo de sitios son herramientas de utilidad para cierto personal de la compañía (ej.
RRHH) a la hora de por ejemplo promover productos y servicios, búsqueda de recursos, entre otras.
●
NGFWs tiene la capacidad de hacer cumplir las politicas de la compania dandole acceso a sitios
especificos (ej. social media) solamente a ciertos grupos de empleados
y bloqueando el acceso al resto de los usuarios.
FWs tradicionales vs FWs NGFW
Característica application-aware
Firewalls NGFWs
●
NGFWs permite configurar el uso de funcionalidades de los distintos sitios, por ejemplo: sobre el
sitio de Twitter se podría limitar la reproducción de vídeos (usualmente problemático dado el ancho
de banda que consume) pero permitir la acción de posteo de mensajes.
●
Habilitar el streaming de videos a ciertos grupos de empleados de la compañía en horario laboral y
al resto de empleados no pertenecientes a tales grupos habilitar streaming solamente en horarios
extra laborales.
●
Estos sistemas tiene la capacidad de configurar el ancho de banda por
usuario o grupo de usuarios protegiendo este recurso de usuario que suelen hacer uso desmedido
de internet (exceso de streaming de videos, descarga de archivos,
entre otros.)
FWs tradicionales vs FWs NGFW
Security vs Performance
Firewalls tradicionales
●
Estos fws penalizan la seguridad a fin de lograr una mejore performance en la red; cuando los
administradores de red activan todas sus reglas de seguridad estos son capaces de contener el
trafico malicioso de red de manera eficaz pero NO eficiente.
●
Usuarios experimentan una mala performance en al red a nivel global, haciendo que se tengan
respuestas lentas en tiempo, demoras en descarga de archivos, entre otras.
FWs tradicionales vs FWs NGFW
Security vs Performance
Firewalls tradicionales
●
A fin de mejorar el nivel general de la red, administradores de red se ven obligados a desactivar
ciertas características, como por ejemplo: dejar de chequear puertos, deshabilitar la inspección en
profundidad de paquetes, entre otras.
●
Tomando estas acciones se contrarresta exitosamente la mala performance del sistema pero por
otro lado se compromete la seguridad general de la red.
FWs tradicionales vs FWs NGFW
Security vs Performance
Firewalls NGFW
●
Firewalls de siguiente generación tiene un rendimiento superior respecto a los tradicionales,
haciendo que administradores de red no deben penalizar seguridad a fin de lograr una buena
performance global de la red.
●
Algunos de los factores que hacen posible esta mejora son:
○
Mejoras en los procesadores utilizados.
○
○
○
Diseño mejorado del CPU logrando un mejor entendimiento en las comunicaciones.
de red mejorando de esta manera técnicas de escaneo de seguridad.
Mejora en las técnicas de procesamiento en paralelo.
Mejoras en las técnicas de inspección paquetes en profundidad.
Ejemplos de firewalls de tipo NGFWs
Firewalls NGFWs de palo alto networks
Testing de firewalls
●
A medida que avanza el tiempo las implementaciones de los firewalls a van siendo mejores en base
a tests e investigacion.
●
Es comun que los desarrolladores repiten los errores de sus predecesores re introduciendo fallas
en los nuevos desarrollos.
●
Desde la introducción del filtrado de paquetes se han desarrollado metodos para evadir software,
como por ejemplo: ataques basados en fragmentación de paquetes, ofuscacion del payload de
paquetes, entre otras.
●
Existen herramientas utilizadas a fin de testear y encontrar fallas en los firewalls, como ser: Evader,
Wireshark, TCPDump, Scapy, entre otras.
Testing de firewalls - Herramientas
●
StoneSoft Evader
Mide la capacidad de un firewall para prevenir ataques pudiendo ejecutar una o varias técnicas de
evasión en simultáneo desde la capa 3 a la 7.
●
Scapy
○
Sistema basado en Pyhton que viene incorporado con ciertas distribuciones de Linux
○
Genera y manipula trafico malicioso en base a los protocolos mas conocidos a fin de evaluar
la seguridad del firewall.
○
Puede “sniffear” y fragmentar paquetes, hacer “fuzzing”,
escanear puertos, realizar ataques combinados, entre otros.
Testing de firewalls - Escenario real con
StoneEvader y FortiGate
Flujo entre stoneEvader(herramienta para hackeo) y FortiGate (sistema de
seguridad) mostrando un ejemplo de violacion de seguridad.
○
○
○
○
○
Se realiza peticion ICMP al nodo victima a fin de confirmar conectividad a nivel de capa 3.
Se envia una peticion HTTP al nodo victima a fin de confirmar conectividad a nivel de capa 7.
Una vez confirmada la conectividad con la victima se configura una politica IPS en el FortiGate.
El evader genera un exploid payload y se envia a la victima.
FortiGate bloquea exitosamente el trafico malicioso.
○
Se activa la opcion Mongbat del Evader a fin de poner en marcha (random y en simultaneo) un
conjunto de tecnicas de evasion.
○
Minutos corriendo Evader este encuentra una combinación exitosa que
vulneró la politica IPS del FortiGate.
Testing de firewalls
Escenario real con StoneEvader y FortiGate
Conclusiones:
●
Queda demostrado que firewalls reconocidos (como FortiGate) pueden ser vulnerables a técnicas
de evasión (normalmente combinando tecnicas de evasion)
●
Muchas compañías “configuran” sus sistemas de seguridad en base a las opciones por defecto
haciendo vulnerables a sus sistemas.
●
A fin de minimizar riesgos sistemas de seguridad deben ser “tuneados” dependiendo de su
contexto.