Firewalls y Sistemas de detección/prevención de intrusos en la red German Larrosa – CI 4.561.973-5 Gastón Nicassio – CI 3.179.525-0 Definición Un firewall es un sistema de seguridad que tiene como objetivo prevenir el acceso no autorizado a redes privadas; los firewalls pueden ser implementados como software o hardware. Han pasado de ser algo super complejo, manejado por los implementadores de sistemas de seguridad, a ser utilizados por cualquier usuario con algunos conocimientos de informática, a nivel hogareño . Que es un firewall de red ? Básicamente lo podríamos ver como dos componentes, uno que bloquea el tráfico entre dos redes y otro que lo habilita controlando el acceso. Dicho acceso se permite bajo una determinada política, y cuando no tenemos bien claras las reglas que queremos establecer, probablemente fracasemos en su utilización. De que nos protege un firewall ? ● Conexiones no autenticadas del mundo exterior. ● Ataques a nuestro sistema. ● No nos protege de cualquier ataque que no pase a través de él. ● Tampoco nos protege contra tunneling con los protocolos de otras aplicaciones. Algunas de sus funciones más importantes son proveer un log del tráfico, auditar y armar un resumen con los intentos de ataques, cantidad de tráfico, etc. Por qué nos sería de utilidad ? ● Males de nuestra sociedad reflejados en Internet. ● El equivalente electrónico de lo que hacemos en términos de seguridad, sería el uso de firewalls. Tipos de firewalls Conceptualmente se dividen en 2 grupos Los de capa de red : Generalmente los inputs importantes son las direcciones de origen y destino y los puertos utiliza dos en los paquetes IP. Un router común sería un ejemplo de firewall simple de capa de red. Obviamente los más nuevos se han vuelto muy sofisticados. ● ● Los de capa de aplicación: Son generalmente clientes corriendo servidores proxy, que permiten el tráfico entre redes realizando un logueo y auditoría del mismo. Tipos de firewalls ● Listas de control de acceso Se permite o rechaza el pasaje de paquetes revisando el header. ● Proxy firewalls Funcionan a nivel de capa de aplicación, filtrando paquete a paquete. Con el costo de enlentecer un poco al sistema. ● Firewalls de inspección de estado En este caso no solo chequean los haeders sino que monitorean el estado de las conecciones, pudiendo cerrar los puertos hasta saber que se abrió una coneccion y nuevos paquetes llegarán. ● Firewalls de manejo unificado de amenazas (UTM) En el firewall viene incluido en un antivirus, supuestamente son las mejores soluciones en seguridad , aportando dataleak prevention, balanceo de carga, anti-spam, vpn, etc. Qué es y cómo funciona un servidor proxy ? ● Aplicación que hace de intermediario en el tráfico entre una red protegida e internet. ● Deben “entender” los protocolos de aplicación utilizados, pudiendo entonces implementar seguridad basada en dicho protocolo. Recursos importantes para el firewall ● Es importante identificar los recursos críticos de la arquitectura de nuestro firewall, así por ejemplo al momento de hacer mejoras de performance, sabemos exactamente qué debemos modificar. ● Es en muchos casos nuestro cuello de botella, por lo que gastar grandes cantidades de dinero en mejores y más rápidas CPU no necesariamente representan una mejora. Cómo bloqueamos todo lo “malo” ? ● Para los firewalls el énfasis está en la seguridad y no en la conectividad, por lo que deberíamos considerar bloquear por defecto todo e ir viendo caso a caso qué servicios realmente necesitamos. ● De este modo solo vamos a necesitar lidiar con un conjunto acotado de servicios. ● Antes de habilitar un servicio debemos hacernos un par de preguntas: Está usando un protocolo conocido ? Que tan conocido es el servicio y producto ? Como cambia la arquitectura de nuestro firewall al permitir este nuevo servicio? Funcionamiento de firewalls modernos ● Muchos creen que un firewall funciona por si solo, como si fuera un guardia en la entrada a nuestra red al que no hay que explicarle nada. ● Los firewalls que realizan inspección de paquetes , a diferencia de los routers comunes que realizan por defecto forwarding basado en ip y desconocen si los paquetes tienen algo en comùn, si vienen en secuencia ò están repetidos. ● Los Statefull firewalls por otro lado inspeccionan los paquetes, sobrepasando las tareas de capa 3 y procesando paquetes (capa 4) inspeccionando sesiones TCP/IP. Funcionamiento de firewalls modernos ● Los firewalls actuales trabajan hasta capa 7, permitiendose monitorear datos de las aplicaciones. Las redes sociales son un perfecto ejemplo de esto, permitiendonos acceder a determinados sitios pero gestionando los accesos a cada parte. ● Podriamos permitir por ejemplo el acceso a facebook, pero bloquear el contenido flash o java para evitar que los empleados pierdan tiempo con los juegos. ● Los zone based firewalls permitieron lidiar con algunos problemas como IP spoofing. Estos utilizan buffers separando en secciones, como funcionan las dobles puertas de seguridad en una prisión. Si detecta una ip ingresando de una zona desconocida, rechaza el paquete. Sistema de deteccion de intrusos ( IDS - Intrution detection system) y Sistema de prevencion de intrusos (IPS - Intrusion prevention system) ● Los IDS son sistemas encargados de encontrar patrones en las conexiones de red reconociendo escaneo de puertos, firmas específicas de ciertas amenazas. Este sistema se basa en un motor de inspección en conjunto con el estandar NAT a fin de poder reconocer patrones en el tráfico de las redes. Por otro lado los sistemas IPS también conocidos como sistemas de deteccion de intrusos; basicamente este sistema esta encargado de encontrar actividad maliciosa, loguear informacion sobre este tipo de actividad, intento de bloqueo y reporte de la misma. Este sistema es considerado como la extension del sistema IDS, ambos se encargan de monitorear el trafico de red pero los sistemas IPS ademas tienen como función prevenir/bloquear intrusos detectados. ● Clasificación de sistemas IPSs ● NIPS (Sistema de prevención de intrusos basado en la red) ● WIPS (Sistema de prevencion de intrusos inalambrica) ● NBA (Analisis del comportamiento de la red) ● Sistema de prevencion de intrusos basado en un host Clasificación de sistemas IDSs IDSs basados en la red Son estratégicamente puestos en los puntos de entrada y salida para detectar ataques a los hosts en esa red. A su vez este tipo de IDSs se dividen en 2 grupos: anomalías estadísticas e identificación de patrones. ● ● El primero intenta ver que usuarios están teniendo comportamiento inusual, disparando en ese momento una alarma de intruso. IDS basados en patrones mantienen una base de datos de los tipos de ataque, y mientras analizan los paquetes que pasan por la red si encuentran algo que coincide con alguno de estos patrones, dispara la alarma. Este mecanismo genera menos falsos positivos, pero a diferencia del método anterior no pueden detectar nuevos tipos de ataques. Para minimizar este riesgo las DB son actualizadas con frecuencia. Clasificación de sistemas IDSs Otra NIDS es la basada en reglas, mas avanzada y con un funcionamiento al estilo de la mente humana. Hay una base de conocimiento programada cono reglas, que decide la salida junto con un motor de interfaz. Lo que asume el sistema es el resultado del motor, aca no solo existe como resultado de evaluar ciertas reglas el SI ó NO, tambièn hay un tal vez. Esta interfaz agrega inteligencia permitiendo sospechar sobre un posible ataque. Clasificación de sistemas IDSs IDSs basados en los hosts Como el nombre lo indica, son instaladas en un host en particular y monitorean el tráfico que entra y sale de él. Cualquier ataque a otra parte de la red no será detectado. Algunas de las ventajas son : ● Permiten verificar si el ataque tuvo éxito, mientras que las que operan sobre la red solo disparan alarmas. ● Monitorean la actividad del usuario, tienen la habilidad de monitorear trafico encriptado y son económicas si la red tiene pocos hosts. ● Como desventajas podemos nombrar que consumen recursos del host, disminuyendo el poder de procesamiento. IDS vs IPS ● Los sistemas IDS solamente detectan intrusiones, loguean el ataque y envian una alertas al administrador; además no enlentecen la red como los IPS. ● Muchas compañías prefieren sistemas IDS sobre IPS, aunque intuitivamente no tiene mucho sentido. Se podría asumir que la mayoría de las compañías prefieren que un sistema se encargue de manera automática a bloquear ataques y tomar acciones en vez permitir el acceso de la amenaza y simplemente loguear una alerta hacia el administrador. Razones : Falso positivo que producen este tipo de sistemas si no están bien configurados. Un sistema IPS produciendo falsos positivos puede causar que tráfico legítimo de red sea bloqueado, de lo contrario un sistema IDS solamente se encargará de enviar alertas y loguear el falso ataque. IDS vs IPS Administradores que no quieren un sistema que tome decisiones a su nombre, prefieren simplemente recibir una alerta a fin de que ellos puedan investigar sobre el posible ataque y tomar decisiones por ellos mismos. Por otro lado, algunas compañías ante la duda terminan optando por sistemas IPS ya que la visibilidad tiene sentido solo si tenemos tiempo para analizar el resultado. Esto no implica que podemos olvidarnos y creer que los sistemas IPSs funcionan por sis solos; para hacer el mejor uso de esta tecnología debemos customizarla en base a las necesidades específicas de nuestra red y aplicaciones e invertir tiempo analizando lo que nos dice. Los sistemas IDS pueden ser usados inicialmente a fin de analizar como el sistema se comporta sin la necesidad de bloquear absolutamente nada. Una vez que el sistema esta correctamente tuenado la característica IPS se puede encender a fin de proveer una protección completa. Firewalls de aplicación Introducción Surgen como una nueva opción a los firewalls de capa de red y transporte agregando mas potencia a este tipo de sistemas a la hora de detectar amenazas en la red. Los firewalls de aplicación se puede dividir a su vez en dos categorías: ● Firewalls de aplicaciones web (WAF - web application firewalls) ● Firewalls de base de datos (Data base firewalls) Firewalls de aplicación WAF (Web application firewalls) ● Son filtros en la cual se aplican reglas sobre una conversación HTTP ● Las reglas definidas por los WAFs permiten evitar diferentes tipos de ataques como ser: ○ Cross site scripting (código malicioso en el cliente que consulta al servidor web) ○ Sql injection (introducir en el código sentencias sql en que lleguen a ejecutarse en la BD), ○ ● Denegación de servicio (el servidor queda fuera de servicio, no pudiendo atender las solicitudes) Los WAFs puede funcionar en diferentes modos ○ ○ Modo de aprendizaje (carga normal, carga máxima, valores permitidos en los campos) Modo bloqueo. Firewalls de aplicación Ejemplo de WAF en modo aprendizaje ● Se tiene un sitio web de compras tal que cada cierto tiempo el waf detecta peticiones get al sitio a fin de obtener el catálogo de productos disponibles (estas peticiones incluye un parametro ‘id’ de tipo ‘int’). ● Dado que el waf fue definido en modo aprendizaje este creará una regla la cual especifica que la url encargada de obtener los productos del catálogo contiene una variable de nombre id de tipo entero. ● Si en algun momento se realiza una petición con información inconsistente el waf detectará la anomalía y bloqueara o redirijira esa petición cuando el waf sea activado en modo bloqueo. ● Ejemplo de peticion hacia el sitio detectada como legítima por el WAF GET http://sitepath.com/show_article.php?id=15 ● Ejemplo de peticion hacia el sitio detectada como anomalía por el WAF GET http://sitepath.com/show_article.php?id=15' or 1=1 -- Firewalls de aplicación Configuración de un WAF en modo aprendizaje ● Se sugiere que estos sistemas se activen en modo de aprendizaje por un tiempo considerable. ● Depende del contexto pero en general se habla del orden de meses. ● Cuanto mas tiempo quede el WAF en este modo mejor “entrenado” estará reduciendo de esta manera la posiblidad de generar bloqueo de peticiones legitimas (falsos positivos) Firewalls de aplicación Ejemplos de WAF en el mercado No comerciales ● -ModSecurity-www.modsecurity.org., es el WAF mas utilizado de codigo abierto (ModSecurity) ● ModSecurity normalmente se basa en denegar todas las peticiones y solamente dejar pasar las que son consideradas un ataque (modelo de seguridad negativo). ● Existen desarrollos basados en este tipo de WAFs, ej: Apache anadio a su sistema un modulo que contiene los servicios de ModSecurity. ● Contiene un grupo de reglas que detectan los ataques web más comunes. Firewalls de aplicación Ejemplos de WAF en el mercado ● El sistema recolectar logs y alertas, analizando el tráfico web y creando perfiles que pueden ser utilizados para implementar un modelo de seguridad positivo. ● Otro de los WAF mas utilizados a nivel NO comercial es el Microsoft URLScan ● Es un filtro ISAPI (Los filtros de Interfaz de programación de aplicaciones para servidores de Internet) encargados de leer la configuración de un archivo .ini en el que se definen las restricciones ● Este tipo de sistemas corren exclusivamente en el servidor web. Firewalls de aplicación Ejemplos de WAF en el mercado Comerciales ● Dentro de las herramientas WAF comerciales podemos mencionar: ○ F5 (su módulo ASM para plataformas BIG-IP) ○ rWeb ○ sProxy deDenyAll ○ Imperva ○ IBM DataPower (exclusivamente para servicios Web) ○ Barracuda ○ Citrix ○ Breach Security Firewalls de aplicación DBF (Data base firewalls) Introducción Básicamente un sistema DBF se puede definir como un filtro el cual aplica reglas sobre peticiones sql a fin de poder prevenir ataques SQL. FIrewall de base de datos (Oracle) ● A continuacion se presenta un diagrama en el que se puede observar en ejemplo de arquitectura el cual utiliza, un DBF de Oracle además de un sistema F5 BIG-IP ASM de tipo WAF. ● El DBF es deployado entre el servidor de aplicaciones web y la BD. ● De esta manera se protege de ataques que fueron originados desde dentro o d esde fuera de la red; cada petición SQL dirigida hacia la BD es analizada por el DBF de Oracle y filtrado en caso de ser necesario. Firewalls de aplicación Ejemplo de DBF de Oracle (continuacion) ● El escenario incluye ambos sistemas de seguridad (WAF Y DBF) a fin de proveer al sistema con los beneficios de ambos productos. ● Ambos sistemas trabajan en paralelo a fin de detectar y prevenir distintos tipos de ataques. ● Al utilizar WAF Y DBF en simultáneo se puede detectar y recavar informacion adicional; esto es posible dado que el WAF colocado delante del servidor web pudiendo registrar informacion extra (como ser la direccion ip, el nombre de usario obtenidos de la peticion web) para luego el DBF pueda registrar esa información en caso de recibir peticiones sql no autorizadas por parte del servidor web. Firewalls de aplicación Ejemplo de DBF de Oracle (continuación) Firewalls de aplicación DBF (GreenSQL) ● Firewall GreenSQL es un ejemplo de firewall de base de datos (DBF), ● Es un software open source especialmente diseñado para proteger bases de datos MySQL; previniendo el ataque de técnicas nocivas hacia la base de datos como ser SQL injection. ● Funciona como un proxy sobre comandos sql, se basa en una matriz de riesgos en base a puntajes a fin de decidir si un comando sql podría llegar a ser una amenaza. ● Aplicaciones que hacen uso de GreenSQL apuntan directamente al firewall GreenSQL, luego este analizara las consultas recibidas y en caso de no ser amenazas GreenSQL re-enviará la petición hacia la BD. Firewalls de aplicación DBF (GreenSQL) Posibles modos de uso ● ● ● ● Modo simulacion (database IDS) Bloqueo de comandos sospechosos Mode aprendizaje Protección activa de consultas desconocidas (db firewall) Firewalls de aplicación DBF (GreenSQL) A continuación se muestra un diagrama el cual ejemplifica el uso de GreenSQL en una compañía: FWs tradicionales vs FWs NGFW Introducción FWs NGFW (Next generation firewalls) son software o hardware el cual se diferencia del los firewalls de primera generación ya que cuentan funcionalidades extras de seguridad pudiendo detectar y bloquear ataques sofisticados de manera más óptima. Integran tres características claves: ○ Capacidades de versiones corporativas de firewall: ○ Sistema de prevención de intrusos (IPS) ○ Control de aplicaciones Incluyen funcinalidades especiales como ser: ○ Inspeccion de protocolos SSL (Secure Socket Layer) y SSH (Secure Shell) ○ Inspeccion de paquetes en profundidad ○ Deteccion de malware en base a reputacion FWs tradicionales vs FWs NGFW Integración de herramientas Firewalls tradicionales ● Compañías con FWs tradicionales complementan la seguridad de su red con otro tipo de herramientas como ser gateways anti-malware, sistemas de detección de intrusos (IPS), paquetes de filtrado de URLs, entre otras. ● Compañías con FWs tradicionales deben invertir mucho dinero en licencias a fin de contar con un nivel de seguridad aceptable (compra de licencias adicionales) ● Alto costo de administracion dado que se precisaria administrar las n herramientas de seguridad de la compañía (potencialmente 1 especialista por herramienta) FWs tradicionales vs FWs NGFW Integración de herramientas Firewalls NGFW ● Proveen múltiples sistemas de seguridad en un solo paquete, deployadas, configuradas y administradas como una unidad. (Reducción costo administrativo) ● Información sobre el comportameinto de la red, intento de ataques, etc está disponible en un solo reporte facilitando su interpretación, como consecuencia se toman medidas de manera mas rápida y acertada antes de que la seguridad de la organización haya sido comprometida. FWs tradicionales vs FWs NGFW Manejo de SSL (Secure socket layer) Firewalls tradicionales ● El protocolo SSL es muy utilizado a fin de proteger información sensible cuando esta fluye en la red, por esta razón es que muchas compañías no pueden bloquear el tráfico SSL dado que informacion legítima y necesaria para ellas viaja por esa vía. ● Dado que los FWs tradicionales no son capaces de desencriptar e inspeccionar este tipo de tráfico. Hackers hacen uso de esta vulnerabilidad haciendo viajar malware en base a SSL sabiendo que companias con este tipo de firewalls no pueden inspeccionar ese tipo de tráfico. FWs tradicionales vs FWs NGFW Manejo de SSL (Secure socket layer) Firewalls NGFW ● Frewalls NGFW implementan una tecnica denominanda Inspeccion de paquetes en profundidad (DPI) a fin de poder desencriptar e inspeccionar el trafico SSL que entra y sale de la red. ● En base a DPI pueden bloquear malware contenido en el trafico SSL, detener mensajes de tipo control y comando hacia los botnets, prevenir que APTs (amenazas avanzadas persistentes) utilizen SSL a fin de obtener informacion confidencial de las companias, entre otras. FWs tradicionales vs FWs NGFW Característica application-aware Firewalls tradicionales ● Firewalls tradicionales no pueden asociar el comportamiento del tráfico de la red con aplicaciones específicas, no tienen la llamada función de application-aware. ● Por esta razón no cuentan con privilegios para bloquear ni controlar aplicaciones potencialmente peligrosas, bloquear aplicaciones diseñadas para uso legítimo pero utilizadas de manera maliciosa, visualizar y controlar el tráfico por aplicación, entre otros. FWs tradicionales vs FWs NGFW Característica application-aware Firewalls NGFW ● Firewalls NGFWs ofrecen inteligencia de aplicación y control; son capaces de reconocer tráfico de red perteneciente a aplicaciones específicas y en base a ese conocimiento reforzar políticas corporativas de uso. ● NGFWs pueden alocar ancho de banda para ciertas aplicaciones de alta prioridad, permite a administradores de red el monitoreo y visualización de tráfico, filtrar el volumen de tráfico por aplicación, determinar fluctuaciones de ancho de banda durante ciertos periodos y la naturalez de los mismos. ● Todas estas nuevas características hacen que estos nuevos tipos de firewalls provean de nuevas herramientas a fin de poder solucionar problemas de manera mas rapida y efectiva a la vez de incrementar el poder de administracion de la red. FWs tradicionales vs FWs NGFW Característica application-aware Firewalls NGFWs ● NGFWs permiten tener control sobre las aplicaciones a nivel de usuario y grupos de usuarios permitiendo de esta manera reforzar las políticas aceptables de uso de modo más granular. ● Aplicaciones como Facebook, Twiter, LinkedIn y otras sitios sociales podrían generar varias horas de improductividad sobre un gran porcentaje de empleados de una compañía; aunque por otro lado sucede que este tipo de sitios son herramientas de utilidad para cierto personal de la compañía (ej. RRHH) a la hora de por ejemplo promover productos y servicios, búsqueda de recursos, entre otras. ● NGFWs tiene la capacidad de hacer cumplir las politicas de la compania dandole acceso a sitios especificos (ej. social media) solamente a ciertos grupos de empleados y bloqueando el acceso al resto de los usuarios. FWs tradicionales vs FWs NGFW Característica application-aware Firewalls NGFWs ● NGFWs permite configurar el uso de funcionalidades de los distintos sitios, por ejemplo: sobre el sitio de Twitter se podría limitar la reproducción de vídeos (usualmente problemático dado el ancho de banda que consume) pero permitir la acción de posteo de mensajes. ● Habilitar el streaming de videos a ciertos grupos de empleados de la compañía en horario laboral y al resto de empleados no pertenecientes a tales grupos habilitar streaming solamente en horarios extra laborales. ● Estos sistemas tiene la capacidad de configurar el ancho de banda por usuario o grupo de usuarios protegiendo este recurso de usuario que suelen hacer uso desmedido de internet (exceso de streaming de videos, descarga de archivos, entre otros.) FWs tradicionales vs FWs NGFW Security vs Performance Firewalls tradicionales ● Estos fws penalizan la seguridad a fin de lograr una mejore performance en la red; cuando los administradores de red activan todas sus reglas de seguridad estos son capaces de contener el trafico malicioso de red de manera eficaz pero NO eficiente. ● Usuarios experimentan una mala performance en al red a nivel global, haciendo que se tengan respuestas lentas en tiempo, demoras en descarga de archivos, entre otras. FWs tradicionales vs FWs NGFW Security vs Performance Firewalls tradicionales ● A fin de mejorar el nivel general de la red, administradores de red se ven obligados a desactivar ciertas características, como por ejemplo: dejar de chequear puertos, deshabilitar la inspección en profundidad de paquetes, entre otras. ● Tomando estas acciones se contrarresta exitosamente la mala performance del sistema pero por otro lado se compromete la seguridad general de la red. FWs tradicionales vs FWs NGFW Security vs Performance Firewalls NGFW ● Firewalls de siguiente generación tiene un rendimiento superior respecto a los tradicionales, haciendo que administradores de red no deben penalizar seguridad a fin de lograr una buena performance global de la red. ● Algunos de los factores que hacen posible esta mejora son: ○ Mejoras en los procesadores utilizados. ○ ○ ○ Diseño mejorado del CPU logrando un mejor entendimiento en las comunicaciones. de red mejorando de esta manera técnicas de escaneo de seguridad. Mejora en las técnicas de procesamiento en paralelo. Mejoras en las técnicas de inspección paquetes en profundidad. Ejemplos de firewalls de tipo NGFWs Firewalls NGFWs de palo alto networks Testing de firewalls ● A medida que avanza el tiempo las implementaciones de los firewalls a van siendo mejores en base a tests e investigacion. ● Es comun que los desarrolladores repiten los errores de sus predecesores re introduciendo fallas en los nuevos desarrollos. ● Desde la introducción del filtrado de paquetes se han desarrollado metodos para evadir software, como por ejemplo: ataques basados en fragmentación de paquetes, ofuscacion del payload de paquetes, entre otras. ● Existen herramientas utilizadas a fin de testear y encontrar fallas en los firewalls, como ser: Evader, Wireshark, TCPDump, Scapy, entre otras. Testing de firewalls - Herramientas ● StoneSoft Evader Mide la capacidad de un firewall para prevenir ataques pudiendo ejecutar una o varias técnicas de evasión en simultáneo desde la capa 3 a la 7. ● Scapy ○ Sistema basado en Pyhton que viene incorporado con ciertas distribuciones de Linux ○ Genera y manipula trafico malicioso en base a los protocolos mas conocidos a fin de evaluar la seguridad del firewall. ○ Puede “sniffear” y fragmentar paquetes, hacer “fuzzing”, escanear puertos, realizar ataques combinados, entre otros. Testing de firewalls - Escenario real con StoneEvader y FortiGate Flujo entre stoneEvader(herramienta para hackeo) y FortiGate (sistema de seguridad) mostrando un ejemplo de violacion de seguridad. ○ ○ ○ ○ ○ Se realiza peticion ICMP al nodo victima a fin de confirmar conectividad a nivel de capa 3. Se envia una peticion HTTP al nodo victima a fin de confirmar conectividad a nivel de capa 7. Una vez confirmada la conectividad con la victima se configura una politica IPS en el FortiGate. El evader genera un exploid payload y se envia a la victima. FortiGate bloquea exitosamente el trafico malicioso. ○ Se activa la opcion Mongbat del Evader a fin de poner en marcha (random y en simultaneo) un conjunto de tecnicas de evasion. ○ Minutos corriendo Evader este encuentra una combinación exitosa que vulneró la politica IPS del FortiGate. Testing de firewalls Escenario real con StoneEvader y FortiGate Conclusiones: ● Queda demostrado que firewalls reconocidos (como FortiGate) pueden ser vulnerables a técnicas de evasión (normalmente combinando tecnicas de evasion) ● Muchas compañías “configuran” sus sistemas de seguridad en base a las opciones por defecto haciendo vulnerables a sus sistemas. ● A fin de minimizar riesgos sistemas de seguridad deben ser “tuneados” dependiendo de su contexto.