TAREA: TECNICAS DE EVASION DE FIREWALL

1. NOMBRE: Bravo Daniel

2. FECHA: 2018-JUN-30

3. NOMBRES DE LAS TECNICAS DE EVASION DE FIREWALL

 Técnica de Fragmentación de Paquetes

 Puerto de origen número de especificación

4. DESCRIPCIÓN DE LAS TECNICAS

a) Fragmentación de Paquetes

El atacante utiliza la técnica de fragmentación IP para crear fragmentos pequeños, es decir los
datagramas viajan de un lugar a otro atravesando diferentes tipos de redes para ello lo que puede variar
es el tamaño máximo MTU dependiendo del medio físico para la transmisión y forzar a la información
del encabezado TCP, ir en el próximo fragmento. Esto puede resultar en el caso de que el campo de flags
de TCP sean forzados en un segundo fragmento, los filtros no podrán revisar estos flags en el primer
octeto, por lo que ignorará los fragmentos subsecuentes. El atacante espera que solo el primer
fragmento sea examinado por el firewall y los restantes son pasados. Ese ataque es utilizado para
impedir las reglas de filtrado definidas por el usuario. Uno de los ataques por fragmentación más
conocido es Teardrop.

b) MAC Spoofing Direction (Suplantación de Dirección MAC)

Este es otro de los métodos para evadir restricciones del cortafuegos mientras realiza un escaneo de
puertos. Es muy eficaz, especialmente si hay una regla de filtrado de direcciones MAC para permitir sólo
el tráfico de determinadas direcciones MAC por lo que tendrá que descubrir qué dirección MAC es
necesario configurar para obtener resultados.

En concreto la opción-spoof-mac da la posibilidad de elegir una dirección MAC de un proveedor

específico, para elegir una dirección MAC aleatoria o para establecer una dirección MAC específica. La
prioridad de esta técnica, es realizar un análisis más sigiloso porque su verdadera dirección MAC no
aparecerá en los archivos de registro del firewall.

5. VULNERABILIDADES ASOCIADAS

El atacante aprovechó la vulnerabilidad en el caso de Teardrop que explotaba una vulnerabilidad CVE-
2009-3103 en la implementación de SMBv2 de Windows.

Esta vulnerabilidad se basa en un error de índice de array en la implementación del protocolo SMB2 en
srv2.sys de Microsoft Windows 7, Server 2008 y Vista Gold, SP1 y SP2; permite a atacantes remotos
provocar una denegación de servicio (caída del sistema) a través del carácter & (ampersand) en un
campo cabecera.

La vulnerabilidad es relativamente popular a causa de su poca complejidad. El ataque se puede efectuar

a través de la red. La explotación no necesita ninguna autentificación específica. El Score Base es de 7.3
en la versión CVSSv3.

Una actualización elimina esta vulnerabilidad, concretamente el parche MS09-050 puede ser
descargado de microsoft.com.

6. METODOS DE MITIGACION

 Mantener los parches actualizados.

 Mantener los sistemas actualizados.
 Generar paquetes TCP RST para quitar las sesiones TCP maliciosas.
 Implementar un normalizador de tráfico, una red de reenvió de elementos que intentan
eliminar tráfico de red ambiguo.
 Asegurarse de normalizar los paquetes fragmentados.

7. REFERENCIAS

[1] Herrera, J. Navarro, G. Vulnerabilidades en Redes. Universitat Oberta de Catalunya.

[2] CERTSI. Vulnerabilidad en srv2.sys en Microsoft Windows 7, Server 2008 y Vista Gold (CVE-2009-
3103). Recuperado de: https://www.certsi.es/alerta-temprana/vulnerabilidades/cve-2009-3103

[3] VULDB. Microsoft Windows Vista/Server 2008 SMB Processor EducatedScholar desbordamiento de
búfer. Recueprado de: https://vuldb.com/es/?id.4031