A tu propio ritmo

Explora nuestra extensa colección de cursos diseñados para ayudarte a dominar varios temas y habilidades. Ya seas un principiante o un aprendiz avanzado, aquí hay algo para todos.

Bootcamp

Aprende en vivo

Únete a nosotros en nuestros talleres gratuitos, webinars y otros eventos para aprender más sobre nuestros programas y comenzar tu camino para convertirte en desarrollador.

Próximos eventos en vivo

Catálogo de contenidos

Para los geeks autodidactas, este es nuestro extenso catálogo de contenido con todos los materiales y tutoriales que hemos desarrollado hasta el día de hoy.

Tiene sentido comenzar a aprender leyendo y viendo videos sobre los fundamentos y cómo funcionan las cosas.

Buscar en lecciones

IngresarEmpezar
← Regresar a lecciones
Editar en Github

Como evadir un firewall

¿Qué estamos tratando de evadir contra un firewall?
Métodos de evasión
Eludir un firewall utilizando SSL
Eludir un firewall utilizando NMAP Script Engine
Cómo evadir un WAF
Herramientas para verificar y evadir WAF
Evadiendo un Firewall de Aplicaciones Web

Antes de leer este artículo, recomendamos leer sobre firewalls y cómo funcionan. Nos enfocaremos en la evasión de firewalls, pero necesitas algunos conocimientos fundamentales sobre firewalls para entender la evasión.

¿Qué estamos tratando de evadir contra un firewall?

La mayoría de los firewalls examinan los paquetes de red con una serie de filtros (a nivel de aplicación o red) mientras intentan entrar en la red. Luego, dependiendo de las direcciones IP de origen y destino, los protocolos y los puertos, el firewall decide si pueden entrar. Algunos firewalls de aplicaciones web (WAF) también analizan los paquetes HTTP en busca de código malicioso, y otros incluyen antivirus, inspección de tráfico cifrado y sistemas de prevención de intrusiones (IPS).

Métodos de evasión

Aunque los firewalls e IDS pueden evitar que los paquetes maliciosos entren en una red, un atacante puede enviar paquetes modificados al objetivo para que el IDS/Firewall no los detecte. Estos son diez métodos de evasión:

  1. Cifrado de datos: al cifrar los datos transmitidos, se vuelve más difícil para el firewall o el sistema de detección de intrusos detectar cualquier actividad maliciosa.
  2. VPN: una red privada virtual (VPN) puede ayudar a evadir firewalls y sistemas de detección de intrusos enrutando el tráfico a través de un servidor seguro.
  3. Servidor proxy: Un servidor proxy puede ayudar a enmascarar el origen del tráfico, lo que dificulta que el firewall o el sistema de detección de intrusos rastreen la fuente de un ataque.
  4. TOR: La red TOR puede ayudar a enmascarar la identidad del usuario y el origen del tráfico, lo que dificulta que el firewall o el sistema de detección de intrusos detecten cualquier actividad maliciosa.
  5. Cambio de puerto: Al cambiar constantemente el puerto utilizado para transmitir datos, se vuelve más difícil para el firewall o el sistema de detección de intrusos detectar cualquier actividad maliciosa.
  6. Esteganografía: Al ocultar datos dentro de otro archivo o mensaje, es más difícil para el firewall o el sistema de detección de intrusos detectar cualquier actividad maliciosa.
  7. Protocolos de capa de aplicación: Al utilizar protocolos de capa de aplicación como HTTP o SMTP, es más difícil para el firewall o el sistema de detección de intrusos detectar cualquier actividad maliciosa.
  8. Código malicioso: Al usar código malicioso o malware, es más difícil para el firewall o el sistema de detección de intrusos detectar cualquier actividad maliciosa.
  9. Ingeniería social: Al engañar a los usuarios para que revelen información confidencial o realicen ciertas acciones, es más fácil para un atacante evadir el firewall o el sistema de detección de intrusos.
  10. Acceso físico: Al acceder físicamente a la red o al sistema, un atacante puede evadir el firewall o el sistema de detección de intrusos.
  11. Software desactualizado: Los firewalls dependen del software para funcionar correctamente, y este software debe actualizarse periódicamente para mantenerse al día con las últimas amenazas. Si no actualizas el software de tu firewall, puedes volverte vulnerable a ataques descubiertos desde la última actualización.
  12. Contraseñas débiles: Una contraseña fuerte y única es una de las formas más importantes de proteger tu firewall contra brechas de seguridad. Si utilizas una contraseña débil o fácil de adivinar, los hackers pueden acceder fácilmente a tu firewall y comprometer tu sistema.
  13. Acceso remoto inseguro: Si permites el acceso remoto a tu sistema, es esencial proteger este acceso con una contraseña fuerte y autenticación de dos factores. Si no se toman estas medidas, los hackers podrían acceder a tu firewall a través del acceso remoto.
  14. Reglas mal configuradas: Los firewalls dependen de reglas para determinar qué tráfico se permite y cuál se bloquea. Si estas reglas no se configuran correctamente, es posible que se permita pasar tráfico no deseado a través del firewall y comprometer tu sistema.

Para proteger tu firewall contra brechas de seguridad, es esencial actualizar regularmente tu software, utilizar contraseñas fuertes, proteger contra infecciones de malware, proteger el acceso remoto y configurar correctamente las reglas de tu firewall.

Eludir un firewall utilizando SSL

Existe un método para eludir las restricciones de la red encapsulando varios tipos de tráfico dentro de una conexión HTTPS en el puerto 443. Involucra configurar un servidor proxy inverso con un certificado SSL y usar Stunnel para crear un túnel cifrado que enmascare el tráfico SSH como HTTPS. Este enfoque permite a los usuarios eludir firewalls que generalmente permiten tráfico HTTPS mientras bloquean otros tipos de tráfico, disfrazando eficazmente el tráfico no web como navegación web segura. La técnica es particularmente útil en entornos menos seguros, pero puede ser menos efectiva contra firewalls avanzados con capacidades de inspección SSL.

🔥 Aquí tienes un artículo detallado sobre cómo eludir un firewall utilizando SSL.

Eludir un firewall utilizando NMAP Script Engine

El Nmap Scripting Engine (NSE) puede ser particularmente efectivo para evadir firewalls utilizando scripts específicos diseñados para eludir la detección y penetrar en redes restringidas. Estos scripts pueden manipular estructuras de paquetes, emplear escaneos señuelo o suplantar direcciones IP para engañar a los firewalls y permitir tráfico que de otro modo sería bloqueado. Los scripts NSE también pueden ayudar a identificar puertos abiertos que podrían ser pasados por alto por los firewalls o reglas de seguridad mal configuradas, proporcionando un camino para eludir las defensas de la red. Esto hace que NSE sea una herramienta poderosa para probar y eludir restricciones de firewalls durante evaluaciones de seguridad o pruebas de penetración.

🔥 Aquí tienes un artículo detallado sobre cómo utilizar el NMAP Script Engine para eludir un firewall.

Cómo evadir un WAF

¿Qué hacer para encontrar el proveedor del WAF y la dirección IP real?

Divulgación de IP real

  1. EJECUTA shodan.io o censys.io
  2. Busca registros SPF y registros TXT.

Los registros SPF y TXT pueden tener una dirección IP de una fuente no CloudFlare.

  1. También puedes verificar en securitytrails.com. Los datos históricos pueden tener la IP original en el campo de registros antiguos.

Cómo probar que el WAF está configurado correctamente:

  • Los WAF utilizan los puertos estándar 80, 443, 8000, 8008, 8080 y 8088.
  • Los WAF configuran sus cookies en las solicitudes.
  • Los WAF están asociados con encabezados separados.
  • Los WAF están expuestos en el encabezado del servidor.
  • Los WAF están expuestos en el contenido de la respuesta.
  • Los WAF responden con códigos de respuesta únicos a solicitudes maliciosas.
  • Envía una solicitud GET estándar desde un navegador, intercepta y registra los encabezados de respuesta (cookies específicas).
  • Envía una solicitud desde la línea de comandos (por ejemplo, cURL) y luego verifica el contenido y los encabezados de la respuesta.
  • Envía solicitudes GET a puertos abiertos aleatorios y verifica banners que pueden exponer la identidad de los WAF.
  • Prueba algunos payloads de inyección SQL como: or 1 = 1: para iniciar sesión en formularios o recuperar una contraseña.
  • Prueba payloads de XSS ruidosos como en algunos campos de entrada.
  • Intenta agregar ../../../etc/passwd a un parámetro aleatorio en la URL.
  • Agrega algunos payloads como ' OR SLEEP(5) OR ' al final de las URLs en cualquier parámetro aleatorio.
  • Envía solicitudes GET con protocolos obsoletos como HTTP/0.9 (HTTP/0.9 no soporta consultas POST).
  • Revisa el encabezado del servidor para diferentes tipos de interacciones.
  • Envía un paquete FIN&RST en bruto al servidor e identifica una respuesta.
  • Ataques de canal lateral: examina el comportamiento temporal del contenido de la solicitud y la respuesta.

Herramientas para verificar y evadir WAF

w3af: marco de ataque y auditoría de aplicaciones web

  • wafw00f: Identifica y realiza fingerprint del firewall de aplicaciones web

  • BypassWAF: elude firewalls abusando del historial DNS. Esta herramienta buscará registros A antiguos de DNS y verificará si el servidor responde para ese dominio.

  • CloudFail: es una herramienta de reconocimiento táctico que intenta encontrar la dirección IP original detrás del WAF de Cloudflare.

Evadiendo un Firewall de Aplicaciones Web

Existen diversas técnicas de hacking específicas que pueden utilizarse para evadir diferentes tipos de firewalls, particularmente los Firewalls de

Aplicaciones Web (WAF), como Codificación URL, Codificación Unicode, Renderizado HTML y Codificación Mixta, que modifican u ofuscan los payloads de manera que pueden eludir los mecanismos de detección del firewall.

La efectividad de estas técnicas depende del tipo de firewall al que se esté apuntando. Por ejemplo, los firewalls de filtrado de paquetes simples pueden ser más susceptibles a técnicas que manipulan parámetros, mientras que los firewalls más avanzados, como los Next-Generation Firewalls (NGFW) o los Firewalls de Aplicaciones Web (WAF), pueden requerir estrategias de evasión más sofisticadas como Generación Dinámica de Payloads o Inyección SQL basada en tiempo.

Hemos preparado el siguiente artículo sobre técnicas de evasión de Firewalls de Aplicaciones Web para comprender mejor. Esperamos que sea un recurso práctico para comprender y aplicar técnicas de evasión de firewalls en contextos de ciberseguridad.