============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

Como se ha podido comprobar en la entrada anterior, el motor NIS ha detectado el ataque, pero sólo lo ha monitorizado. Una vez que se tenga total certeza de que las posibles consultas a un sitio Web específico están controladas y no suponen en ningún caso algún caso de una alerta de falso positivo por parte de la comprobación de MS Forefront Threat Management Gateway TMG 2010, entonces se puede poner en producción la protección contra ataques XSS habilitando la firma, pero, esta vez, para que bloquee todo tráfico malicioso o que sea una consulta “extraña”.

Una vez habilitada la firma para que deniegue el acceso a posibles ataques de XSS, podremos ver en el registro del Log lo siguiente:


Figura 19: Conexión denegada por ataque XSS

Incluso si construimos una consulta, un poco más difícil de detectar, por ejemplo utilizando la función escape de javascript, el motor de NIS lo detecta y MS Forefront TMG 2010 marca en el registro del Log lo siguiente:


Figura 20: Caracteres escapados XSS

Y por supuesto, en el monitor de alertas de Forefront TMG 2010, se encuentra la información sobre el bloqueo de la consulta y la firma que se ha visto implicada en la detección del ataque:


Figura 21: Bloqueo XSS en las alertas de Forefront TMG 2010

Como se ha podido ver a lo largo de esta serie, la activacion del motor NIS de Forefront TMG 2010 puede suponer una poderosa herramienta de defensa para las aplicaciones corporativas publicadas en Internet. Por supuesto, lo recomendable es que las aplicaciones pasen duros procesos de auditoría por parte de especialistas en seguridad, pero, aún así, utilizar una protección NIS ayudará a mejorar la seguridad de la infraestructura.

============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

En estas últimas entregas dedicadas al motor de NIS (Network Inspection System), vamos a evaluar la firma que tiene Forefront TMG 2010 para detectar ataques de tipo XSS (Cross Site Scripting) a servidores que estén protegidos con NIS. Para ello, Forefront TMG 2010 cuenta con una firma específica, la cual se va actualizando cada cierto tiempo, ya que este tipo de ataque es común que se manifieste de muchas maneras.

En el caso de la firma protagonista de este artículo, por defecto viene deshabilitada. Si en algún momento deseamos testear alguna de las aplicaciones Web que tengamos en la organización contra este tipo de ataques, Forefront TMG 2010, y su motor NIS, es una buena solución, ya que se puede modificar el comportamiento a la hora de detectar amenazas. En una primera instancia configuraremos NIS para que sólo detecte este tipo de amenazas. Esta configuración puede ser útil a la hora de detectar falsos positivos en las querys que hayan definido los desarrolladores Web.


Figura 15: XSS en aplicación de pruebas

Para modificar el comportamiento de la detección, tendremos que hacerlo desde la propia firma en sí. Para ello, bastará con dar doble clic sobre la firma, y realizar los cambios oportunos, tal y como se muestra en la siguiente imagen.


Figura 16: SÓLO detección de XSS

Una vez que se ha modificado la firma en la función de sólo detección, es hora de atacar nuestro sitio a conciencia, y ver cómo se comporta Forefront TMG 2010 y su motor NIS. Para ello, se inserta una URL construida de forma maliciosa, y examinamos los paquetes enviados y recibidos.


Figura 17: Conexión permitida XSS

Como se puede comprobar en la siguiente imagen, Forefornt TMG 2010 ha dejado pasar la conexión, incluso cuando la URL es maliciosa, pero no hay que olvidar que hemos configurado la firma para que sólo detecte. A la hora de mirar las alertas en NIS, nos podemos encontrar con lo siguiente:


Figura 18: Detección de XSS

============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

En esta cuarta entrega dedicada al motor de NIS (Network Inspection System), nos vamos a centrar en la posibilidad de que un usuario intente explotar algún tipo de vulnerabilidad en alguno de nuestros sistemas de la Red Interna. Para proteger la Red, Forefront TMG 2010 tiene, dentro de las características del sistema NIS, un motor por el cual inspecciona el tráfico de red. Este motor, lleva incluido una serie de definiciones con los exploits y malware más comunes y que más impacto pueden llegar a tener en una Red.

Para que el motor NIS haga uso de estas firmas, a la hora de inspeccionar tramas de red, éstas deben estar habilitadas. Si una firma se encuentra activa se puede configurar para bloquear la petición, o solo para detecctar el ataque. En función de una configuración u otra, Forefront TMG 2010 actuará en modo bloqueante o en modo de alerta.

Figura 11: Firma para Vulnerabilidad

A la hora de inspeccionar una trama que pueda hacer uso de esta vulnerabilidad, Forefont TMG 2010 primero deberá evaluar si el tráfico se encuentra permitido dentro de las directivas de Firewall. Si el tráfico se encuentra permitido, Forefront TMG 2010 dejará pasar las tramas, tal y como se muestra en la figura siguiente:


Figura 12: Tráfico permitido por Forefront TMG 2010

Una vez que Forefront TMG 2010 deja pasar el tráfico que coincide con una regla específica, le toca el turno al motor de NIS. Siempre que este motor se encuentre activado, junto con la inspección de Malware, Forefront TMG 2010 evaluará cada trama que pase mediante el sistema NIS, con la base de datos interna sobre Malware y Exploits. Si al evaluar la regla, ésta da positivo y se encuentra dentro del nivel específico de alerta, el motor de NIS mandará a Forefront TMG 2010 una señal de bloqueo de trama, tal y como se muestra en la siguiente imagen:

Figura 13: Tráfico bloqueado por el sistema NIS

En tiempo real, el motor de NIS escribe una alerta indicando que una trama ha coincidido con un patrón específico. Junto con la alerta, el motor de NIS indicará también la definición causante del bloqueo de tráfico, tal y como se muestra a continuación.


Figura 14: Alerta en Forefront TMG 2010 sobre bloqueo de tráfico

============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

En esta tercera entrega, vamos a centrarnos en las protecciones que tiene el motor de NIS, en cuanto a paquetes malformados. Más concretamente, hablaremos sobre suplantación de identidad en IP (IP Spoofing).

Cuando se habla de suplantación de identidad a nivel de IP, se presupone que un posible atacante pueda tomar el control de un sistema, o tener acceso no autorizado a una subred específica, construyendo un mensaje, que supuestamente provenga de una fuente de confianza. Históricamente, este concepto se conoce desde hace más de 25 años. El desarrollo del primer gusano de Internet, o el propio Kevin Mitnick, utilizaron este tipo de técnicas para ganar un control no autorizado de recursos ajenos.

El protocolo IP, opera en la capa 3 del modelo OSI. Al ser un modelo sin conexión, y sobre el cual no existe forma de determinar si el paquete llega correctamente a destino, resulta fácil la manipulación de este tipo de paquetes. A día de hoy existen muchas herramientas que proporcionan la resolución de este tipo de técnicas de manera fácil y sencilla. En general, proporcionan opciones para modificar el campo Dirección de Origen.


Figura 8: Cabecera IP

Este tipo de técnicas se suelen utilizar como técnicas de denegación de servicios. También se suele utilizar para probar autenticaciones basadas en la dirección IP del solicitante.

Si se utiliza en conjunto con TCP, éste último provee de protecciones para la suplantación de IP. TCP utiliza números de secuencia que negocia con el participante remoto, para asegurar que los datos llegan a destino, y que esos datos provienen de esa conexión. Ataques conocidos a nivel de TCP, es la predicción de números de secuencia, ataques que pueden llevar al secuestro de la sesión, o la impersonalización de un usuario. En cuanto al motor de NIS, en Forefront Threat Management Gateway, si se intenta realizar algún ataque de denegación de servicio, utilizando para ello técnicas de suplantación de IP, el motor de NIS automáticamente extrae una alerta del siguiente tipo.

Figura 9: Alerta en NIS IP Spoofing

Una vez procesada la alerta, el motor de NIS nos informará la dirección IP que se encontraba en el campo ORIGEN del paquete IP, y sobre la cual, tendremos que tomar las medidas oportunas.


Figura 10: Alerta extendida

Este tipo de alerta no nos dará una dirección IP del atacante, pero nos dará pistas para conocer qué tipo de ataque se está efectuando en nuestra organización. Denegación de servicio, autenticación basada en IP, firewalking, etc…

============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

En esta segunda entrega dedicada al motor de NIS (Network Inspection System), nos vamos a centrar en la información que un potencial atacante pueda extraer de nuestro Firewall. El primer paso a realizar consiste en buscar todo tipo de información sobre nuestro objetivo. En este caso aplicaremos técnicas básicas de fingerprinting para obtener la mayor información disponible. Este conjunto de técnicas consiste en obtener información en base a la implementación de la pila TCP/IP de un sistema operativo. Gracias a este tipo de técnicas, es posible conocer con exactitud los puertos ofertados por una máquina en particular, así como su sistema operativo. Una vez montado y activado nuestro motor de NIS, visto en el artículo anterior, vamos a intentar extraer información de nuestro servidor, utilizando para ello la herramienta NMAP.

La primera técnica que vamos a utilizar, es un escaneo básico, pero denominado oculto. En este tipo de escaneos, cuando la herramienta detecta que un puerto está abierto, manda una señal de reset, para que la comunicación a tres vías o three way handshake no se complete.

Si en una comunicación normal el intercambio a tres vías es el siguiente:
Figura 3: Three Way Handshake

Utilizando NMAP con el parámetro –sS, funcionará de la siguiente manera:


Figura 4: Half Scan

Nuestro test número uno inicia con la siguiente configuración:

Figura 5: Half Scan con NMAP

Como se puede apreciar en la imagen anterior, NMAP inicia buscando los puertos más comunes, así como la detección del servicio que use un puerto abierto. La detección del sistema operativo también se incluye en el comando anterior.

El motor de NIS automáticamente salta con una alarma en la consola de monitorización, mostrando para ello la siguiente leyenda:


Figura 6: Leyenda de detección de ataque


Figura 7: Intrusión detectada

Como se puede apreciar en las anteriores capturas, el motor de NIS detecta el tipo de escaneo, y muestra además información sobre la propia configuración de la herramienta, mostrando la leyenda de que ha detectado un escaneo con la opción de escanear todos los puertos conocidos.

En la siguiente entrega dedicaremos una atención especial a ataques de fuerza bruta y suplantación de identidad.

============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================