ikimilikiliklik
Universidad H4CK3R
- Filtro de los paquetes por estado (SPF) ¿Que tal proporcionar algo de inteligencia a los microcéfalos filtros de paquetes? Una nueva tecnología de análisis de paquetes fue añadida a los filtros, permitiendoles recordar los paquetes anteriores antes de permitir la entrada a uno más reciente. Esta "memoria" se aplica en forma de una tabla de conexiones activas. Cuando se inicia una conexión, todos los datos del paquete se almacenan en ella. Si un nuevo paquete llega en dirección a la misma máquina, el SPF consulta la tabla. El nuevo paquete será aceptado si mantiene una relación o se rechaza, si no la tiene. Un ejemplo práctico es el handshake más básico de TCP. Una máquina dentro de la red envía un paquete TCP SYN, que pasa por el SPF y se coloca en la tabla. Este equipo espera un TCP SYN/ACK de la otra máquina (externa) que participa en la conexión. Cuando el paquete llega, el SPF examina la tabla, y observando que se trata de un paquete válido, permite su paso. El servidor de seguridad sabe que sólo puede aceptar el paquete SYN/ACK si es una respuesta a un SYN desde el interior de la red. Así, un experto black hat que use un ACK solitario no puede, en esta ocasión, espiar nuestra red. - Buscando las reglas del filtro de paquetes Un script kiddie por lo general deja de escanear la red si sus paquetes ACK no pasan por el firewall. Hay maneras de perforar cualquiera de los tres tipos de cortafuegos, que se estudiarán con más detalles más adelante en el libro. Por ahora, vamos a preocuparnos por la débil oposición ofrecida por los filtros de paquetes. Lamentablemente, vemos que en la gran mayoría de las redes conectadas a Internet se ha instalado sólo estos filtros. Los proxys son usados comúnmente como caché para mejorar el rendimiento de las conexiones y rara vez son usados como firewalls. Los SPFs están aún más olvidados: la mayoría de "gestores" de la red por ahí ni siquiera saben lo que son los Stateful Packet Filters. Es posible determinar, a través de los paquetes ACK, que puertos de un filtro de paquetes se dejaron abiertos. Como se mencionó anteriormente, los filtros de paquetes dejaran pasar cualquier paquete con el flag ACK, pensando que son respuestas a las solicitudes de salida SYN anteriores. Un PortScanner (por ejemplo, Nmap) puede enviar paquetes ACK para todos los puertos de una determinada dirección. Hacer esto con toda la gama de direcciones IP asignadas a dicha red puede determinar todas las reglas de filtrado de los cortafuegos.
167