Este artículo proporcionará una guía detallada para después de la explotación para recopilar toda la información sobre el Firewall y la configuración de red de la víctima.
- Tabla de Contenido :
- Introducción al firewall
- Reglas de firewall
- Ventajas del firewall
- Tipos de firewall
- Importancia del cortafuegos
- Introducción a netsh
- Cómo bloquear el puerto TCP en PC remoto:
- Cómo bloquear múltiples Puertos TCP
- Cómo ver Reglas de Firewall
- Cómo eliminar reglas de Firewall
- Cómo agregar una regla en Firewall
- Ver el Estado actual del perfil
- Modificación adicional del cortafuegos
Tabla de Contenido :
- Introducción al Firewall
- Reglas de Firewall
- Ventajas de Firewall
- Tipos de Firewall
- Importancia de firewall
- Introducción a netsh
- Cómo bloquear un Puerto TCP en el PC remoto
- Cómo bloquear varios puertos TCP
- Cómo ver las reglas de firewall
- Cómo eliminar las reglas de firewall
- ¿Cómo agregar reglas de cortafuegos
- Ver perfil actual estado
- Modificar el firewall más
Introducción al firewall
Firewall es una red de seguridad del sistema diseñado para evitar el acceso no autorizado a o desde una red privada. Los cortafuegos se pueden implementar en varios modos, es decir, hardware, software o una combinación de ambos. Hay muchos tipos de firewall, como Firewall Proxy, Firewall de aplicaciones, firewall con estado, Firewall de paquetes, etc.
Los cortafuegos están conectados a la red y se utilizan con frecuencia para evitar que usuarios de Internet no autorizados accedan a redes privadas conectadas a Internet, especialmente intranets que garantizan la seguridad. Todos los mensajes que entran o salen de la intranet pasan por un firewall, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados.
Reglas de firewall
El firewall funciona en dos reglas que siempre están rodeadas por reglas de entrada y salida:
Reglas de entrada: Estas son las que filtran el tráfico que pasa de la red al equipo local en función de las condiciones de filtrado especificadas en la regla.
Reglas de salida: Estos son los que filtran el tráfico que pasa del equipo local a la red en función de las condiciones de filtrado especificadas en la regla.
Las reglas de entrada y salida se pueden configurar para permitir o bloquear el tráfico según sea necesario.
En otras palabras, podemos decir que las reglas de entrada son las reglas relacionadas con el tráfico que ingresa a su computadora. Si está ejecutando un servidor Web en su computadora, tendrá que decirle al cortafuegos que los extraños pueden conectarse a él. Además, las reglas de salida categorizan algunos programas para usar Internet, pero bloquean otros, ya que las reglas de salida están relacionadas con el tráfico que se envía desde su computadora. Querrá permitir que su navegador Web (Internet Explorer, Firefox, Safari, Chrome, Opera)) tenga acceso a Internet, pero al mismo tiempo, con la ayuda de la regla de salida, puede bloquear los sitios web deseados, por lo que se puede insertar un comando que muestra que el firewall de Windows está permitido o no permitido.
Ventajas del firewall
- Aislamiento de red
- Flexibilidad de red
- No se requiere protección contra malware
- Sin mantenimiento
Tipos de firewall
- Firewall de filtrado de paquetes
- Cortafuegos de palanca de circuito
- Cortafuegos de inspección con estado
- Cortafuegos de nivel de aplicación
- Cortafuegos de próxima generación
Importancia del cortafuegos
Un cortafuegos se ha convertido en una parte importante de una red. Firewall es importante porque :
- Protege su computadora del acceso remoto no autorizado
- Bloquea la vinculación de sus mensajes a contenido no deseado
- Bloqueará contenido innecesario e inmoral
- Coincide con los detalles de los paquetes de datos para obtener información confiable.
- La IP y el dominio también se pueden bloquear o permitir.
Introducción a netsh
Netsh es una utilidad de línea de comandos que le permite mostrar la configuración de la red de su equipo hasta el momento o puede cambiar la configuración de red de un equipo que se está ejecutando actualmente. Los comandos Netsh se pueden ejecutar escribiendo comandos en el símbolo del sistema netsh y se pueden usar en archivos por lotes o scripts. Los equipos remotos y el equipo local se pueden configurar mediante comandos netsh. Netsh también proporciona una función de scripting que le permite ejecutar un grupo de comandos en modo por lotes en un equipo especificado. Con netsh, puede guardar un script de configuración en un archivo de texto con fines de archivo o para ayudarle a configurar otros equipos.
(Referencia: https://docs.microsoft.com/en-us/windows-server/networking/technologies/netsh/netsh-contexts)
Ahora asumamos que el firewall de la PC de la víctima está habilitado:
Así que para apagar el firewall de la PC de la víctima, en primer lugar, obtener una sesión a través de meterpreter y luego tomar los privilegios de administrador de la PC remota. Pasar al shell de remote PC y escribir
netsh firewall set opmode mode=disable
Y así, el cortafuegos de remote PC estará desactivado.
Cómo bloquear el puerto TCP en PC remoto:
No solo podemos apagar o encender el firewall a través de Metasploit, sino que también podemos bloquear y permitir el acceso a cualquier puerto en particular. Sí, eso significa que también podemos controlar las reglas de Entrada y Salida. De nuevo, después de tener la sesión a través de meterpreter y pasar por alto los privilegios administrativos e ir al shell del PC remoto, simplemente escriba
netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80 action=block
Aquí,
Name = El nombre de la regla. (Elige algo descriptivo)
Protocolo = El protocolo que vamos a bloquear (UDP o TCP en la mayoría de los casos)
Dir = La dirección del bloque. Puede ENTRAR o SALIR
Puerto remoto = El puerto del host remoto que se va a bloquear
Action = Se puede bloquear o permitir. En nuestro caso, queremos bloquear la conexión
Una vez que ejecute el código anterior, se bloquearán todas las solicitudes salientes a cualquier host en el puerto 80 y se agregará una entrada al firewall de Windows:
Y si comprueba sus propiedades y hace clic en la pestaña’ Protocolos y puertos’, podrá ver el resultado.
Cómo bloquear múltiples Puertos TCP
Ahora que tenemos cómo bloquear un puerto en remote PC, profundicemos un poco más en i.e no solo podemos bloquear un puerto, sino también dos o más de dos. Y para bloquear de nuevo dos a más puertos, tome una sesión de meterpreter, así como los privilegios de administrador del PC remoto y simplemente escriba
netsh advfirewall firewall add rule name="Block Ports" protocol=TCP dir=out remoteport=80,443 action=block
Una vez que ejecute el código anterior, se bloquearán todas las solicitudes salientes a cualquier host en el puerto 80 y se agregará una entrada al firewall de Windows:
Y si comprueba sus propiedades y hace clic en la pestaña’ Protocolos y puertos’, encontrará que ahora ha bloqueado el puerto 80 y el puerto 443:
Ahora, al bloquear los puertos 80 y 443, hemos bloqueado los servicios HTTP y HTTPS en el PC remoto y, por lo tanto, nuestra víctima no podrá acceder a ningún sitio web. Y se muestra el siguiente error:
Cómo ver Reglas de Firewall
Ahora aprenderemos cómo ver reglas de entrada y salida del firewall en PC remoto, cómo eliminar una regla, cómo permitir el puerto en el que funcionará nuestra carga útil en el futuro, cómo evitar que su PC remoto sea ping.
En primer lugar, supongamos que hay un puerto bloqueado en una regla de salida en nuestro PC remoto:
Para saber qué regla está habilitada y deshabilitada en nuestro PC remoto, realice una sesión a través de meterpreter y omita los privilegios de administrador. Después de hacerlo, escriba:
netsh advfirewall firewall show rule name=all
Una vez ejecutado este comando, se mostrarán todas las reglas:
Cómo eliminar reglas de Firewall
En la imagen de arriba, podemos ver que el Puerto 80 y el Puerto 443 están bloqueados bajo el nombre de la regla «Bloquear todos los puertos». Por lo tanto, para eliminar esa regla en el equipo remoto, escriba :
netsh advfirewall firewall delete rule name="Block Ports"
Una vez ejecutado este comando, dicha regla se eliminará. Y puede ejecutar el comando
netsh advfirewall firewall show rule name=all
de nuevo para ver el resultado :
Y también podemos ver el resultado en las reglas de salida del firewall:
Cómo agregar una regla en Firewall
Nuestra carga útil normal funciona en el puerto 4444. Ahora, si queremos permitir el puerto 4444 para que podamos cargar una carga útil que funcione en el puerto 4444, solo tenemos que escribir :
netsh advfirewall firewall add rule name="Allow Port 4444" protocol=TCP dir=out remoteport=4444 action=allow
Una vez ejecutado este comando, se permitirá el puerto 4444 en nuestro PC remoto :
Ahora para bloquear el ping de nuestro PC remoto, podemos simplemente escribir :
netsh advfirewall firewall add rule name="All ICMPV4" dir=in action=block protocol=icmpv4
Cuando se ejecute este comando, se creará una regla de bloqueo de ping a nuestro PC remoto:
Y el siguiente será el resultado :
Ver el Estado actual del perfil
Ahora veremos cómo bloquear / permitir una dirección IP particular en el Firewall de PC remoto y también aprenderemos a ver los detalles de los programas agregados a la lista de excepciones/permitidas y los detalles del puerto agregado a la lista de excepciones/permitidas. Junto con esto, aprenderemos cómo ver el estado de la configuración principal del Firewall y cuál es su perfil actual, es decir, si está activado o desactivado.
netsh advfirewall show currentprofile
Después de conocer el perfil del firewall podemos ver qué programas son permitidos por el host de Remote PC. Para esto, escriba:
netsh firewall show allowedprogram
Nuestro siguiente comando es ver el estado de la configuración principal. Y para verlos, escribe:
netsh firewall show config
A continuación, también podemos ver la ubicación del archivo en el que se guardan todos los registros del firewall. Y para esto, escriba:
netsh firewall show logging
Modificación adicional del cortafuegos
El cortafuegos también nos permite bloquear una sola dirección IP mientras permite otras y viceversa. Así que primero para aprender cómo podemos Bloquear una sola IP Para esto, escriba:
netsh advfirewall firewall add rule name="IP Block" dir=in interface=any action=block remoteip=192.168.0.15/32
(En el comando anterior, «/ 32 » es una máscara de subred de IP.)
Después de ejecutar dicho comando, podemos ver el siguiente resultado:
Y ahora vemos las propiedades de la regla de bloque de IP, podemos ver que la IP: 192.168.0.15 está bloqueado
Ahora, de manera similar, para permitir una dirección IP en particular, escriba:
netsh advfirewall firewall add rule name="IP Allow" dir=in interface=any action=allow remoteip=192.168.0.15/32
(En el comando anterior, «/ 32 » es una máscara de subred de IP)
Después de ejecutar dicho comando, puede ver el siguiente resultado:
Y ahora vemos las propiedades de la regla de bloque de IP, podemos ver que la IP: 192.168.0.15 está permitida :
Autor: Yashika Dhir es una investigadora apasionada y Escritora Técnica en Artículos de Hacking. Es una entusiasta de la piratería. contacto aquí
