Nuevos métodos evitan el firewall y permiten acceder a cualquier servicio TCP/UDP

 

Todos sabemos lo importante que el firewall protege a nuestros equipos pero en estas semanas nos hemos dado cuenta que según una nueva investigación sobre la seguridad. Mediante esta investigación se ha hallado un nuevo procedimiento que permiten a los atacantes  evitar que el firewall los encuentren y ellos accedan de forma remota a cualquier servicio TCP/UDP en el equipo de la víctima. Todo esto nos lleva a un gran inconveniente que pondrá en serios apuros a la protección de nuestros equipos informáticos. Se va a detallar a continuación en qué consisten estos ataques.

Un nuevo ataque permite evitar el firewall

Mediante un ataque de derivación de NAT/firewall les permiten a un atacante pueda acceder a cualquier servicio TCP/UDP. Esto es grave y se conoce como NAT Slipstreaming. Es un procedimiento que consiste en que se va enviar al objetivo, es decir al perjudicado, un vínculo a un sitio peligroso que, cuando se accede, se activa automáticamente una puerta de enlace para abrir cualquier puerto TCP/UDP en el afectado. Así logrando evitar las prohibiciones basadas en puertos en el navegador web.

Esta nueva técnica ha sido expuesta por el investigador de seguridad Samy Kamkar. Según comunica, NAT Slipstreaming detona el navegador del internauta junto con el módulo de indagación de conexión de Application Level Gateway, que está dentro de la nat, enrutadores y firewalls al atar la extracción de IP interna a través del ataque de tiempo o WebRTC, el hallazgo de fragmentación de ip y mtu remoto mecanizado, tamaño de paquetes TCP y la manipulación ilegal de la autenticación.

Se sabe que NAT es el proceso en el que un dispositivo de red, como por ejemplo el firewall, reasigna un espacio de direcciones IP a otro cambiando la información de todas las direcciones tanto ipv4 como ipv6 de los paquetes mientras ellos están en circulación.

Se puede decir que la principal ventaja es que restringe la cantidad de direcciones IP públicas utilizadas en la red interna de una organización y así mejorar la seguridad que nos va a permitir que una única dirección IP pública se comparta entre múltiples sistemas.

NAT Slipstreaming utiliza la partición de paquetes TCP e IP

NAT Slipstreaming basa en utilizar la partición de paquetes TCP e IP para adecuar de forma remota los límites del paquete y empleándolo para crear un paquete TCP/UDP empezando con un método SIP como REGISTER o INVITE. SIP nos servirá para iniciar, mantener y finalizar sesiones multimedia en vivo para aplicaciones de SMS, VoIP.

Es decir, se puede utilizar una serie de combinación en la segmentación de paquetes y tráfico de solicitudes SIP en HTTP para mentir a NAT ALG para que abra puertos de forma arbitraria para conexiones entrantes.

Lo utilizamos para lograr enviar una solicitud HTTP POST grande con una ID y un formulario web oculto que apunta a un servidor de ataque que ejecuta un rastreador de paquetes. Además nos ayuda para apresar la magnitud del unidad máxima de transferencia, el volumen del paquete de información, la dimensión de encabezado TCP e IP, etc. Consecutivamente se transmiten los datos de tamaño hacia el cliente afectado a través de un mensaje POST alejado.

Según muestra el investigador de seguridad detrás de este informe, una vez que el cliente obtiene los tamaños de los paquetes y la dirección IP interna, construye un formulario web principalmente se encuentra diseñado para que se rellene los datos POST hasta que el paquete se divide, parte en que la cual se agrega el REGISTRO SIP que contiene la dirección IP interna.