Comprensión de los firewalls basados en IP y sus limitaciones
Los firewalls basados en IP, esos venerables centinelas de la seguridad de la red, permiten o deniegan el tráfico según la dirección IP de origen o destino. Sin embargo, su estoicismo no está exento de inconvenientes. Un firewall configurado para permitir únicamente solicitudes de rangos de IP permitidos puede ser burlado si una solicitud parece provenir de ese enclave de confianza. Esta es la esencia del "truco del proxy": un método a la vez elegante y subversivo, que recuerda a las magistrales intrigas de Dumas.
El truco del proxy: cómo eludir los firewalls basados en IP con relés internos
En esencia, el truco del proxy utiliza una máquina intermediaria, generalmente dentro del rango de confianza del firewall, para retransmitir el tráfico. Al orquestar cuidadosamente las solicitudes a través de este proxy, un agente externo puede hacerse pasar por un infiltrado, evadiendo la rígida fachada del firewall.
Tipos de proxies utilizados
| Tipo de proxy | Descripción | Caso de uso típico | Complejidad | Sigilo |
|---|---|---|---|---|
| Túnel SSH | Reenvía de forma segura puertos locales a través de SSH | Acceso administrativo, pruebas | Bajo | Alto |
| CONEXIÓN HTTP | Utiliza el método HTTP CONNECT para tunelizar tráfico TCP arbitrario | Acceso web y API | Medio | Medio |
| Proxy SOCKS | Relé genérico para conexiones TCP, a menudo a través de SSH o un servidor proxy dedicado | Navegación web, exfiltración de datos | Bajo | Alto |
| Proxy inverso | Reenvía tráfico de clientes externos a servicios internos | Acceso a servidores web internos | Alto | Medio |
Paso a paso: Implementación del truco del proxy con túnel SSH
Supongamos que tiene credenciales para un cuadro de salto dentro del firewall.
- Establecer un túnel SSH
intento
ssh -L 8080:servicio.interno.local:80 [email protected]
Este comando vincula el puerto 8080 de su máquina local al puerto 80 de servicio.interno.local, retransmitido a través de jumpbox.corp.com.
- Acceda al Servicio Interno
En tu navegador o con curl:
intento
rizo http://localhost:8080/
La solicitud parece tener su origen en jumpbox.corp.com, en el que confía el firewall.
Recurso: Tutorial de reenvío de puertos SSH
Creación de servidores proxy HTTP CONNECT con socat y ncat
Si el firewall permite el acceso HTTP/HTTPS saliente, el método HTTP CONNECT es una herramienta excelente. Se puede implementar un proxy ligero en un host de confianza:
- Implementar un proxy con Socat
En el host interno:
intento
socat TCP-LISTEN:3128,reuseaddr,fork TCP:target.internal:80
- Configurar su cliente
Apunte su navegador o herramienta para utilizar el host interno como un proxy HTTP (puerto 3128).
Referencia: Documentación de Socat
Proxies SOCKS: la característica más sutil de SSH
El reenvío dinámico de SSH puede transformar su sesión en un proxy SOCKS:
ssh -D 1080 [email protected]
Configure su aplicación para enrutar el tráfico a través de host local:1080El tráfico, después de ser cifrado y transportado a través de la caja de salto, emerge dentro del santuario de la red interna.
Recurso: Guía del proxy OpenSSH SOCKS
Proxies inversos: cómo transformar el firewall al revés
Para necesidades más persistentes o complejas, un proxy inverso como ngrok o frp Puede instalarse en un host interno de confianza. El proxy inverso establece un túnel de salida a un servidor externo y luego retransmite las conexiones entrantes a la red interna; por lo tanto, se altera la direccionalidad del firewall.
Ejemplo de configuración de frp (en el host interno)
[común] dirección_servidor = external.server.com puerto_servidor = 7000 [web] tipo = http puerto_local = 80 dominios_personalizados = myinternal.example.com
Comparación: Enfoques proxy para evadir firewalls
| Método | Se requiere configuración en el host interno | Control externo | Encriptación | Evasión de auditoría | Adecuado para |
|---|---|---|---|---|---|
| Túnel SSH | Servidor SSH | Sí | Sí | Moderado | Acceso manual ocasional |
| CONEXIÓN HTTP | Proxy HTTP (por ejemplo, socat) | Sí | No | Bajo | Tráfico web/API |
| Proxy SOCKS | Servidor SSH | Sí | Sí | Alto | Web, herramientas CLI, automatización |
| Proxy inverso | Software personalizado (ngrok, frp) | Sí | Varía | Bajo | Acceso web persistente |
Contramedidas prácticas
- Segmentación de red: Restrinja el acceso de los hosts proxy internos siempre que sea posible.
- Filtrado de salida: Deshabilitar o limitar las conexiones salientes desde hosts internos.
- Detección de proxy: Monitorizar procesos proxy anómalos (por ejemplo,
socat,ncat, SSH con indicadores -L/-D). - Modelos de confianza cero: Vaya más allá de la confianza basada en la propiedad intelectual; emplee TLS mutuo, servidores proxy inversos autenticados o controles de acceso por usuario.
Lectura adicional
- El arte del pivote: posexplotación con proxies
- Explicación de la tunelización SSH
- Patrones de proxy inverso y seguridad
- FRP – Proxy inverso rápido
Ejemplo: Flujo de trabajo de explotación completa
Supongamos que una aplicación web solo es accesible desde un rango de IP interno. La siguiente secuencia ilustra una explotación típica:
- Comprometer un host dentro del firewall (jump box).
- Establecer un proxy SSH SOCKS:
intento
ssh -D 1080 [email protected]
- Enrutar el tráfico del navegador o de la herramienta a través del proxy.
- Acceda a la aplicación web interna a través del proxy SOCKS local.
- Opcional: Implemente un proxy inverso (frp, ngrok) para acceso persistente.
Tabla de resumen: Pasos y herramientas prácticas
| Paso | Ejemplo de herramienta/comando | Objetivo |
|---|---|---|
| Reenvío de puerto local (SSH) | ssh -L 8080:objetivo:80 usuario@jumpbox |
Acceso a un único servicio interno |
| Proxy dinámico SOCKS (SSH) | ssh -D 1080 usuario@jumpbox |
Tráfico arbitrario mediante proxy |
| Proxy de conexión HTTP (socat/ncat) | socat TCP-LISTEN:3128,bifurcación TCP:objetivo:80 |
Proxy web/API |
| Proxy inverso (frp) | Ver configuración de frp arriba | Acceso persistente, de externo a interno |
En el ámbito de la seguridad de redes, el truco del proxy demuestra el ingenio de quienes, como el Conde de Montecristo, buscan un camino donde no se les concede. La lección para los defensores: no confíen en la dirección IP, pues no es más que una máscara que puede ser usada tanto por amigos como por enemigos.
Comentarios (0)
Aún no hay comentarios aquí, ¡puedes ser el primero!