Actualmente, cada vez es más habitual encontrarse con que las empresas disponen de políticas y sistemas de control que definen por dónde y por qué páginas Web se puede navegar. La excusa es el buen uso, por parte de los empleados, de los recursos corporativos y una mejor gestión del consumo del ancho de banda existente así como de la información empresarial. Uno de esos mecanismos de filtrado son los equipos de Fortinet que cada vez están más extendidos por su facilidad de configuración, versatilidad y funcionamiento. En hacktimes.com hemos tenido acceso a un sistema Fortigate modelo 3040B, hemos aprovechado para trastear un poco, y este artículo resume los resultados.
Se ha creado una política de bloqueo para la página de hacktimes.com y otras como megauplodad o rapidshare y, a continuación, se han probado varios de los métodos y técnicas más habituales para evadir el filtrado, y el correspondiente bloqueo, y poder acceder libremente a nuestra propia página desde nuestra estación de trabajo. La política de filtrado definida es por dominio, que es la forma más sencilla de bloquear la navegación Web por páginas que, a nivel corporativo, no se desee que puedan ser visitadas. No se ha incluido filtrado por categorías ni por palabras clave o por DNS, que hubiesen hecho que la política de bloqueo fuese mucho más fuerte y restrictiva.
Fig 1. Definición de lo que hará la política de filtrado
Fig 2. Lista de URLs a las que se denegará el acceso por parte de los usuarios
Fig 3. Mensaje de error al intentar acceder a la página Web de hacktimes.com
1. Substituir la dirección de la página Web de hacktimes.com por la dirección IP del servidor de modo que la URL queda de la siguiente forma a modo de ejemplo:
http://69.89.25.158/
La mayoría de filtros de contenido, y nuestro caso no es una excepción, al solicitar navegar por una página Web determinada se realiza una resolución inversa para comprobar la dirección IP y si esa resolución inversa está en la lista de páginas bloqueadas, el filtro actúa denegando el acceso.
2. Utilizar los traductores de idiomas de Google y Bing. El de Google suele estar ya bloqueado habitualmente en los mecanismos de filtrado Web pero el buscador de Microsoft, por ser de relativamente reciente implementación, no acostumbra a estar filtrado aún. En nuestra política creada a tal efecto, no está bloqueado:
http://translate.google.es/?hl=es#
Fig 4. Acceso a través del traductor de Google
http://www.microsofttranslator.com/?ref=SALL&br=ro
Fig 5. Acceso a través del traductor del buscador Bing
3. Usar páginas para navegación anónima. En cualquier política de filtrado, la mayoría de estas páginas suelen estar bloqueadas pero puede haber alguna que funcione:
http://anonymizer.nntime.com
http://anonymouse.org/anonwww.html
http://anonym.to/es.html
http://www.hidemyass.com
http://webwarper.netz
etc.
Basta poner en Google a buscar "anonymizer" y aparecerán diferentes URLs con las que probar. Esta opción suele fallar dado que se suele filtrar también por el contenido de la página y no únicamente por una lista negra de direcciones, pero en nuestra política no se ha creado ninguna lista negra y, como se ha visto, únicamente se filtra por dominio.
4. Utilizar los servicios de Caché de los buscadores, tanto de Google como de Bing. No se obtendrá la última versión disponible de la página en cuestión pero puede servir para acceder a hacktimes.com. Al utilizar la Caché de Google para visitar una página que está filtrada, la petición HTTP que envía Google, por ejemplo, es algo similar a la siguiente dirección:
http://webcache.googleusercontent.com/search?q=cache:7L-ZtXC20h4J:hacktimes.com/+site:hacktimes.com&cd=1&hl=es&ct=clnk&gl=es
Para el buscador BING, la petición de hacktimes.com que tiene en Caché es parecida a:
http://cc.bingj.com/cache.aspx?q=site%3ahacktimes.com&d=4984928392970616&mkt=es- ES&setlang=en-US&w=78006fc7,7574f4e8
Lo que hace que el dominio no coincida con lo establecido en la política de filtrado y que no se bloquee.
Fig 6. Acceso a través de la Caché de Google
5. Configurar un proxy Web externo en el navegador Web. En hacktimes.com ya se trató tiempo atrás el tema de los proxys de navegación Web (www.hacktimes.com/obteniendo_proxys_an_nimos_de_samair_ru/) así que es sencillo configurar uno y que la navegación Web salga por él evitando el bloqueo definido.
Fig 7. Acceso a través de la configuración de un proxy Web externo
6. Utilizar la red Tor. Si no nos importa que la velocidad de navegación disminuya sensiblemente, se puede utilizar la red Tor que existe para proporcionar cierto anonimato en Internet y, en este caso, para burlar también los controles de bloqueo definidos.
7. Utilizar el navegador Opera que desde la versión 10 tiene una nueva característica denominada “Opera Turbo Mode” que permite a una página cargarse de forma más rápida comprimiendo las imágenes y otros elementos gráficos. La página no se sirve directamente al navegador Web sino que es enviada a través de los servidores de Opera que comprimen toda la información y permiten, de esta forma, saltarse el bloqueo de la política de filtrado.
Fig 8. Acceso a través de opción del navegador Opera “Turbo Mode”
Al hacer que la política sea más restrictiva, filtrando por categorías, palabras clave, DNS y dominio, únicamente funcionan los métodos siguientes: utilizar los traductores de Google y Bind, la Caché, utilizar un proxy externo y utilizar la red Tor. Todas las páginas de “anonymizers” ya están bloqueadas de por sí, y la opción de usar Opera tampoco funciona.
Existen otros métodos incluso más efectivos como crear túneles SSH o configurar un equipo de salto accesible por VNC o RDP o a través de VPN, pero no se han tratado en este artículo. Otros métodos igual de eficientes con otros mecanismos de filtrado como añadir un punto final a la dirección (http://www.hacktimes.com./) o poner caracteres especiales en la URL no han funcionado.
Más información:
Página oficial de Fortinet: http://fortinet.es/
Foro donde se tratan las diferentes opciones de Fortigate: http://www.fortigate.es
Comentarios
que buena. lo unico que no estaba bloqueado son los traductores y me sirve para varias paginas. gracias
ayuda !!!!
Interesante bug sobre cómo evadir los mecanismos de filtrado de Fortinet descubierto recientemente: http://www.exploit-db.com/exploits/18840/
En efecto en mi opinión ninguna de estas pruebas dieron resultado positivo por lo que habla más bien de un administrador de equipos FortiGate dudoso. Saludos.
Alejandro, se trata de una prueba de concepto para aprovechar y repasar diferentes formas de evadir los típicos filtrados de contenidos Web. Los Fortigate pueden trabajar como proxy transparente o en modo router/NAT que era como estaba configurado en nuestra prueba. Gracias por tu comentario y un saludo.
Genial, pero no entiendo una cosa. ¿Cómo es posible que salga por otro proxy de Internet directamente o por la red tor? esas dos pruebas solo funcionarán si los equipos tienen salida directa a Internet y eso no tiene sentido, ¿no? Es decir, ahí el problema no es el proxy, es la red y apunta a algo mucho peor!! ¿Me estoy perdiendo algo?
Muy interesante el articulo, tomo nota
Yo utilizaba *hacktimes*, y lo bloqueaba todo. Creo que tu política de ejemplo nomás está débil. Saludos.
Añadir comentario