Los sistemas con MS-Proxy 2.0 son vulnerables a un ataque desde Internet. Pueden ser víctimas aquellos sistemas que no tienen habilitado el filtro de paquetes, o bien, los que teniéndolo utilizan la misma máquina como servidor web.
Cuando MS-Proxy es instalado en un sistema con dos tarjetas de red, el administrador especifica la dirección pública en Internet y por otro lado la dirección IP del ordenador dentro de la red local. Esta información es almacenada en el archivo LAT (Local Address Table). De esta forma el proxy conoce que tarjeta está dentro de la red local y cual es la que va a utilizarse en la comunicación con Internet.
Una vez instalado, MS-Proxy deshabilita las conexiones web, cerrando el puerto TCP 80 en la interfaz dedicada a Internet. En realidad, el puerto 80 no se encuentra inactivo al 100%, es posible crear una conexión virtual TCP, aunque no tiene mucha utilidad ya que no retorna ninguna información. Mientras tanto, la tarjeta utilizada dentro de la red acepta las conexiones y servicios requeridos a través del puerto 80. De esta manera, solo los usuarios que se encuentren en la red local tienen acceso a los servicios del proxy.
Hasta aquí todo correcto, si no fuera por el hecho de que, en realidad, es posible hacer una conexión al puerto 80 de la interfaz local desde Internet. Para lograr hacer esto debemos de tener la misma mascara de subred que la de la interfaz dedicado a Internet por el servidor que tenga el proxy, y utilizar su dirección IP como gateway predeterminado en nuestro sistema. Una vez tengamos configurada nuestra máquina, procederemos a realizar un telnet al puerto 80 del servidor proxy y darle la siguiente orden:
GET http://[IP.Local]:[puerto]/HTTP/1.0
Donde [IP.Local] corresponde a la dirección IP que utiliza el servidor proxy en la red local, y pidiendo conectarnos a través de puerto indicado en [puerto].
En este momento se produce una conexión TCP al sistema protegido a través del puerto indicado. Aunque a priori pueda parecer un importante bug, se trata en realidad de una característica del algoritmo de enrutado IP. Cuando un sistema con varias interfaz de red, no configurado como router, recibe una petición a través de un paquete TCP, el sistema chequea todas sus direcciones IP locales para poder resolver dicha petición, aunque ésta venga desde una interfaz diferente.
Para solucionar esta vulnerabilidad en nuestros sistemas deberemos proceder a habilitar el control de acceso para todos los clientes en MS-Proxy, con lo que ya será necesario suministrar nombre de usuario y contraseña antes de poder realizar una conexión a través del proxy. Otras soluciones pasa por filtrar los paquetes del interfaz expuesto a Internet, de manera que no dejemos pasar ningún paquete de entrada a través del puerto 80.
Deja un comentario