Un Firewall (Corta Fuegos) en un sistema con interfaces múltiples que está sujeto a diferentes redes, que cuenta con un mecanismo de filtrado para permitir o denegar el trafico entre las redes.
Los filtros de paquetes
El filtrado de paquetes analiza los paquetes en la Capa de Red (3) y la Capa de Transporte (4) del modelo ISO/OSI. Eso significa que un filtro de paquetes utiliza principalmente el siguiente criterio para acometer su decisión de filtrado:
- Los protocolos (ICMP, OSPF, AH, ESP, etc.),
- La dirección IP de origen,
- La dirección IP de destino,
- El puerto de origen,
- El puerto de destino,
- Los indicadores TCP (SYN, ACK, RST, FIN, etc.).
En la figura anterior se observa el escenario, el intruso se encuentra afuera de la red corporativa, supongamos que debemos determinar el equipo remoto en este caso Web Server al momento de realizar un Ping al WS seguramente nos devolverá un mensaje ICMP de tipo 3 esto quiere decir que el host remoto “podría” estar Down y hasta ahí llego la historia no?. No!
Utilicemos a nuestro Nmap haber que nos dice , hacemos un Escaneo SYN y utilizando nuestro wireshark se ve la secuencia de comunicación en el protocolo TCP/IP
Ahora sabemos que el host esta up , pero que si efectivamente están filtrados los paquetes los puertos ;( pero nuestra misión es determinar que S.O esta en el equipo remoto, y si esta filtrando el Fw como vamos a saber que puertos y que servicios están corriendo en el equipo para determinar el S.O.
Seguíamos con el escaneo con nuestro amigo Nmap en este caso utilizamos un parámetro de la sección de Burlar FW y demás!, el parámetro –g que indica el puerto por el cual saldríamos al equipo remoto.
De igual manera podemos utilizar los puertos más comunes y conocidos en los sistemas operativos ;) vamos a probar con los mas 139,445,443,80,25,21,53
En este caso esta se asume que es Windows el que esta corriendo, por el servicio que dice “Microsoft-ds” y si esta bloqueado , atrás de la shell se puede observar que no recibimos respuesta del equipo remoto , solo de nuestro equipo que esta enviando paquetes TCP con el Flag SYN Levantado
Hay que tener mucho cuidado ya que muchas veces puede que las herramientas arrojen Falsos Positivos !
muy interesante Israel...
ResponderEliminar