Comportamiento de Netfilter
Netfilter utiliza cuatro diferentes tabas, las cuales almacenan reglas regulando tres tipos de operaciones sobre los paquetes:
Netfilter utiliza cuatro diferentes tabas, las cuales almacenan reglas regulando tres tipos de operaciones sobre los paquetes:
Un firewall es una pieza de equipo de cómputo con hardware, software, o ambos, el cual interpreta los paquetes de red entrantes o salientes (viniendo o dejando la red), y únicamente permite atraviesen aquellos coincidentes con ciertas condiciones previamente definidas.
En general es una buena idea deshabilitar los servicios de red no utilizados. Kali Linux hace esto fácil, pues la mayoría de servicios de red están deshabilitados por defecto.
Mientras las servicios permanezcan deshabilitados no poseen ninguna amenaza para la seguridad. Sin embargo se debe tener cuidado cuando se los habilite, debido a lo siguiente:
El script “firewall-bypass” detecta una vulnerabilidad en netfilter y otros firewalls, utilizando “helpers” o “ayudantes”, para de manera dinámica abrir puertos para protocolos como ftp o sip.
El script (NSE) de nombre “firewalk”, intenta descubrir las reglas del firewall utilizando una técnica de expiración TTL de IP, conocida como firewalking.
Las direcciones IPv6 en la actualidad son más utilizadas a nivel mundial. Cuando una organización adopta este protocolo, algunas veces olvida bloquearlo adecuadamente, así como ocurre con IPv4. O tal vez lo pueda intentar, pero podría encontrar el hardware utilizado no es compatible con las reglas para filtrado de IPv6.
Una configuración inadecuada sorprendentemente común, es confiar en el tráfico basándose únicamente en el número de puerto origen. Es fácil entender entonces como ocurre esto. Un administrador puede configurar un nuevo y brillante firewall, únicamente para ser inundado con reclamos de usuarios descontentos cuyas aplicaciones dejaron de funcionar. En particular DNS puede no funcionar, pues las respuestas UDP DNS desde servidores externos, no pueden ingresar hacia la red. FTP es otro ejemplo común.
Con un escaneo de tipo ACK utilizando Nmap podría detectarse cuales puertos están filtrados. Sin embargo, este podría no determinar cuales de los puertos factibles de ser accedidos están abiertos o cerrados. Nmap ofrece muchos métodos para el escaneo, los cuales son buenos en el intento de evadir firewalls, al mismo tiempo proporcionaría la información requerida sobre el estado del puerto. El escaneo FIN es una de tales técnicas.
Para el siguiente ejemplo se utiliza una máquina con Windows Server 2012 R2. Únicamente se utiliza por defecto el firewall de Windows.
Generalmente el protocolo TCP es dominante para realizar los escaneos. Trabajar con UDP es frecuentemente más difícil porque el protocolo no proporciona un reconocimiento de los puertos abiertos, tal como sí lo hace TCP. Muchas aplicaciones UDP podrían simplemente ignorar paquetes inesperados, dejando a Nmap sin certeza de si el puerto está abierto o filtrado.
Para el siguiente ejemplo se utiliza una máquina con Windows Server 2012 R2. Únicamente se utiliza por defecto el firewall de Windows.
El escaneo ACK envía paquetes TCP con únicamente el bit ACK definido. Debido a los puertos están abiertos o cerrados, el sistema es requerido por el RFC 793 de responder con un paquete RST. Los firewalls bloqueando la prueba, de otro lado, usualmente no responden o envían de retorno un error ICMP de destino inalcanzable. Esta distinción permite a Nmap reporte los paquetes ACK están siendo filtrados.
Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero