Evasión de Firewall: Técnicas y Herramientas

Este contenido es solo con fines educativos y de concienciación sobre seguridad. Desde OSINT no fomentamos ni apoyamos el uso indebido de estas técnicas.

¿Qué es un Firewall?

Un firewall es un mecanismo de seguridad diseñado para filtrar el tráfico entrante y saliente en una red, permitiendo o bloqueando conexiones según reglas predefinidas. Su función principal es proteger sistemas y redes de accesos no autorizados, ataques y tráfico malicioso. Se implementan en hardware, software o en una combinación de ambos.

Algunos firewalls conocidos incluyen:

• pfSense (open-source, flexible y ampliamente usado en entornos corporativos).
• Cisco ASA (solución de nivel empresarial de Cisco).
• iptables (herramienta de filtrado en sistemas Linux).
• Windows Defender Firewall (integrado en los sistemas Windows).

Si bien los firewalls son fundamentales en la ciberseguridad, también existen técnicas para evadir sus reglas de filtrado, lo que puede ser aprovechado tanto por atacantes como por expertos en pruebas de penetración.

¿Qué es la evasión de Firewall?

La evasión de firewall se refiere a técnicas utilizadas para evitar que un firewall detecte o bloquee ciertos paquetes de datos, permitiendo que el tráfico restringido pase desapercibido. Estas técnicas suelen aprovechar debilidades en la configuración del firewall, protocolos de comunicación, ofuscación de tráfico o túneles encubiertos.

Técnicas de evasión

1. Fragmentación de paquetes

Los firewalls inspeccionan paquetes de datos y toman decisiones basadas en su contenido. Sin embargo, si los paquetes se fragmentan en partes más pequeñas, algunos firewalls no pueden reconstruirlos completamente para analizar su contenido.

? Ejemplo de fragmentación en Linux usando Scapy
Un atacante puede fragmentar un paquete para evitar que un firewall lo analice adecuadamente:
“Al enviar paquetes fragmentados, el firewall puede fallar en ensamblarlos correctamente y permitir su paso.”

2. Túneles encubiertos (SSH, ICMP y DNS tunneling)

Los túneles encubiertos permiten enviar datos a través de protocolos no bloqueados por el firewall.

• ICMP Tunneling: Utiliza paquetes ICMP (ping) para transportar datos de manera oculta.
• DNS Tunneling: Permite el envío de tráfico a través de solicitudes DNS aparentemente inofensivas.
• SSH Tunneling: Se emplea para reenviar tráfico bloqueado a través de conexiones SSH.

? Ejemplo de DNS tunneling con Iodine
“Los atacantes pueden configurar un túnel DNS para eludir restricciones de navegación.”

3. Uso de Proxies y VPN

El tráfico puede ser redirigido a través de servidores proxy o VPN para ocultar su origen real.

• Proxies: Actúan como intermediarios y pueden modificar la dirección IP visible para el firewall.
• VPNs: Cifran el tráfico, ocultándolo del análisis del firewall.

4. Uso de User-Agents y Encabezados HTTP Falsos

Algunos firewalls bloquean tráfico basado en encabezados HTTP y agentes de usuario (User-Agent). Modificarlos permite evadir restricciones de navegación.

? Ejemplo de cambio de User-Agent en Curl
“Los atacantes pueden modificar su User-Agent para hacer pasar tráfico sospechoso como tráfico legítimo.”

Herramientas populares

Los atacantes pueden utilizar diversas técnicas para evadir la detección y restricciones de un firewall. A continuación, exploramos diferentes métodos y herramientas utilizadas para este propósito.

1. Evasión con Nmap

Fragmentación de paquetes
El uso de paquetes fragmentados puede engañar al firewall, ya que divide el tráfico en partes más pequeñas que pueden pasar desapercibidas.
Ejemplo:
nmap -f 192.168.1.1

Escaneo con IP falsa (Spoofing)
Falsificar la dirección IP de origen puede ayudar a evitar ser detectado.
Ejemplo:
nmap -D RND:10 192.168.1.1

Uso de un puerto de origen específico
Algunos firewalls permiten el tráfico en puertos específicos, como DNS (53). Podemos hacer que nuestro escaneo parezca tráfico legítimo.
Ejemplo:
nmap -g 53 -p 80,443 192.168.1.1

2. Evasión con Hping3

Envío de paquetes TCP SYN con IP falsa
Si un firewall filtra conexiones directas, se puede falsificar una dirección IP para enviar tráfico sin ser detectado.
Ejemplo:
hping3 -S -p 80 -a 192.168.1.100 192.168.1.1

Evasión con paquetes ICMP
Algunos firewalls ignoran el tráfico ICMP, lo que puede ser utilizado para escanear o comunicarse con una red restringida.
Ejemplo:
hping3 -1 –icmp-ts -c 5 192.168.1.1

3. Evasión con Scapy

Envío de paquetes con TTL bajo
Reducir el TTL puede permitir que los paquetes lleguen a un host específico sin ser interceptados por ciertos firewalls.
Ejemplo en Python con Scapy:

from scapy.all import *
packet = IP(dst=”192.168.1.1″, ttl=2)/TCP(dport=80, flags=”S”)
send(packet)

4. Túneles para evadir Firewalls

Creación de túnel SSH
Si SSH está permitido en la red, se puede establecer un túnel para evitar restricciones.
Ejemplo:
ssh -D 8080 -C -N user@servidor.com

Túnel DNS con Iodine
Si la red bloquea la mayoría de los protocolos pero permite DNS, se puede crear un túnel de datos sobre DNS.
Ejemplo:
iodined -f -P password 10.0.0.1 tun0

5. Modificación de Headers y User-Agent

Los firewalls que inspeccionan tráfico HTTP pueden bloquear ciertos User-Agents. Cambiar esta información puede evitar restricciones.
Ejemplo:
curl -A “Mozilla/5.0 (Windows NT 10.0; WOW64)” -x http://proxy.com:8080 http://objetivo.com

La evasión de firewalls es una técnica avanzada utilizada tanto por atacantes como por expertos en seguridad para probar y fortalecer redes. Existen múltiples métodos y herramientas para evadir las restricciones impuestas por los firewalls, desde la fragmentación de paquetes hasta el uso de túneles encubiertos y proxies. Para mitigar estos riesgos, es esencial actualizar regularmente las reglas del firewall, habilitar la inspección profunda de paquetes y emplear sistemas de detección de intrusos.

#Ciberseguridad ? #Firewall ? #Pentesting ?️‍♂️ #Hacking ⚡ #Redes ? #Seguridad ? #VPN ? #DNS ?️ #Proxies ? #SeguridadInformática ?️ #Nmap ? #Anonimato ? #Evasión ?