Comprensione dei firewall basati su IP e dei loro limiti
I firewall basati su IP, venerabili sentinelle della sicurezza di rete, consentono o negano il traffico in base all'indirizzo IP di origine o di destinazione. Tuttavia, il loro stoicismo non è privo di falle. Un firewall configurato per consentire solo le richieste provenienti da intervalli IP consentiti può essere aggirato se una richiesta sembra provenire da quell'enclave attendibile. Questa è l'essenza del "trucco del proxy", un metodo al tempo stesso elegante e sovversivo, che ricorda i magistrali intrighi di Dumas.
Il trucco del proxy: bypassare i firewall basati su IP con relè interni
In sostanza, il trucco del proxy sfrutta una macchina intermedia, in genere all'interno del raggio di attendibilità del firewall, per inoltrare il traffico. Orchestrando attentamente le richieste tramite questo proxy, un attore esterno può mascherarsi da insider, eludendo la rigida facciata del firewall.
Tipi di proxy utilizzati
| Tipo di proxy | Descrizione | Caso d'uso tipico | Complessità | Furtività |
|---|---|---|---|---|
| Tunnel SSH | Inoltra in modo sicuro le porte locali tramite SSH | Accesso amministrativo, test | Basso | Alto |
| CONNESSIONE HTTP | Utilizza il metodo HTTP CONNECT per il tunneling del traffico TCP arbitrario | Accesso Web e API | Medio | Medio |
| Procuratore SOCKS | Relay generico per connessioni TCP, spesso tramite SSH o server proxy dedicato | Navigazione web, esfiltrazione di dati | Basso | Alto |
| Proxy inverso | Inoltra il traffico dai client esterni ai servizi interni | Accesso ai server web interni | Alto | Medio |
Passo dopo passo: implementazione del trucco del proxy con tunneling SSH
Supponiamo di avere le credenziali per un jump box all'interno del firewall.
- Stabilire un tunnel SSH
battere
ssh -L 8080:internal.service.local:80 [email protected]
Questo comando collega la porta 8080 sulla tua macchina locale alla porta 80 di servizio interno locale, trasmesso tramite jumpbox.corp.com.
- Accedi al servizio interno
Nel tuo browser o con curl:
battere
arricciare http://localhost:8080/
La richiesta sembra provenire da jumpbox.corp.com, di cui il firewall si fida.
Risorsa: Tutorial sull'inoltro delle porte SSH
Creazione di proxy HTTP CONNECT con socat E gatto non identificato
Se il firewall consente HTTP/HTTPS in uscita, il metodo HTTP CONNECT è uno strumento eccellente. È possibile implementare un proxy leggero su un host attendibile:
- Distribuisci un proxy con Socat
Sull'host interno:
battere
socat TCP-ASCOLTA:3128,reuseaddr,fork TCP:target.internal:80
- Configura il tuo client
Imposta il tuo browser o strumento in modo che utilizzi l'host interno come proxy HTTP (porta 3128).
Riferimento: Documentazione Socat
Proxy SOCKS: la caratteristica più sottile di SSH
L'inoltro dinamico di SSH può trasformare la tua sessione in un proxy SOCKS:
ssh -D 1080 [email protected]
Configura la tua applicazione per instradare il traffico attraverso localhost:1080Il traffico, dopo essere stato crittografato e trasportato attraverso il jump box, emerge nel santuario della rete interna.
Risorsa: Guida al proxy OpenSSH SOCKS
Proxy inversi: capovolgere il firewall
Per esigenze più persistenti o complesse, un proxy inverso come ngrok O frp Può essere installato su un host interno attendibile. Il proxy inverso stabilisce un tunnel in uscita verso un server esterno, quindi inoltra le connessioni in entrata alla rete interna, sovvertendo così la direzionalità del firewall.
Esempio di configurazione frp (su host interno)
[comune] server_addr = external.server.com server_port = 7000 [web] tipo = http local_port = 80 custom_domains = myinternal.example.com
Confronto: approcci proxy per l'elusione del firewall
| Metodo | Configurazione richiesta sull'host interno | Controllo esterno | Crittografia | Evasione dei controlli | Adatto per |
|---|---|---|---|---|---|
| Tunnel SSH | server SSH | SÌ | SÌ | Moderare | Accesso manuale occasionale |
| CONNESSIONE HTTP | Proxy HTTP (ad esempio, socat) | SÌ | NO | Basso | Traffico Web/API |
| Procuratore SOCKS | server SSH | SÌ | SÌ | Alto | Web, strumenti CLI, automazione |
| Proxy inverso | Software personalizzato (ngrok, frp) | SÌ | Varia | Basso | Accesso web persistente |
Contromisure pratiche
- Segmentazione della rete: Limitare, ove possibile, l'accesso degli host proxy interni.
- Filtraggio in uscita: Disabilita o limita le connessioni in uscita dagli host interni.
- Rilevamento proxy: Monitorare i processi proxy anomali (ad esempio,
socat,gatto non identificato, SSH con flag -L/-D). - Modelli Zero Trust: Andare oltre la fiducia basata sulla proprietà intellettuale; impiegare TLS reciproco, proxy inversi autenticati o controlli di accesso per utente.
Ulteriori letture
- L'arte del pivot: post-sfruttamento con i proxy
- SSH Tunneling spiegato
- Modelli di proxy inverso e sicurezza
- FRP – Proxy inverso rapido
Esempio: flusso di lavoro di sfruttamento completo
Supponiamo che un'applicazione web sia accessibile solo da un intervallo IP interno. La sequenza seguente illustra un tipico exploit:
- Compromettere un host all'interno del firewall (jump box).
- Stabilire un proxy SSH SOCKS:
battere
ssh -D 1080 [email protected]
- Instradare il traffico del browser o dello strumento attraverso il proxy.
- Accedere all'applicazione web interna tramite il proxy SOCKS locale.
- Facoltativo: implementare un proxy inverso (frp, ngrok) per un accesso persistente.
Tabella riassuntiva: passaggi e strumenti attuabili
| Fare un passo | Esempio di strumento/comando | Scopo |
|---|---|---|
| Inoltro delle porte locali (SSH) | ssh -L 8080:target:80 utente@jumpbox |
Accesso al singolo servizio interno |
| Proxy dinamico SOCKS (SSH) | ssh -D 1080 utente@jumpbox |
Traffico arbitrario proxy |
| Proxy HTTP CONNECT (socat/ncat) | socat TCP-LISTEN:3128,fork TCP:target:80 |
Proxy Web/API |
| Proxy inverso (frp) | Vedi la configurazione frp sopra | Accesso persistente dall'esterno all'interno |
Nell'ambito della sicurezza di rete, il trucco del proxy è una testimonianza dell'ingegnosità di coloro che, come il Conte di Montecristo, cercano un passaggio dove non ne viene concesso alcuno. La lezione per i difensori: non fidatevi dell'indirizzo IP, perché è solo una maschera che può essere indossata da amici o nemici indistintamente.
Commenti (0)
Non ci sono ancora commenti qui, potresti essere il primo!