Firewall Femme Fatale (esto me sucedió en 2010): Parte 1

 ***Ladies and Gentleman: Demontre Digital Unplugged. Las confesiones amargas de un ingeniero. Ríanse de mí, mis estimados lectores…

Se los voy a contar de una vez, voy a escribir este texto de corrido y sin pausa, si no luego me va a dar tentación de inventarles o añadirles melodrama. O peor aún de decirles mentiras. Sorry, pero me tengo que super explayar nuevamente. Porque ésta es de una de esas cosas, que “sacan a relucir los trapitos al Sol”; el orgullo y el ego son expuestos claramente de quien se siente una pistola, y que no más no pasa del noob cualquiera, rozándole al lammer. Y no exagero, así me sentí alguna vez. Sobre todo cuando regresé de la Ingeniería. Cosas oscuras que uno nunca le cuenta ni al espejo, bueno ni a la almohada siquiera, ahora imagínense a un auditorio lleno de técnicos maduros y voraces y en un sitio dedicado a la tecnología como éste. Ojalá no me fulminen muchachos. Uno va por la vida y hace las cosas como se le ocurre, o se le antoja, o lo que sea, hasta que llega el punto en que dices: "espérate, qué estoy haciendo, qué diantres te sucede". Y es peor cuando combinas el hecho de que sientes que puedes solo, no pides ayuda y te tienes una confianza soberbia que no hace más que arruinarlo todo. Digo que de repente hay como una bardita que te saltas y piensas: Nadie que yo conozca se ha saltado esta barda, yo me la estoy saltando, soy un machote. Soy un hacker.

Pues hagan de cuenta que era eso lo que calculaba cuando un día, en vidas pasadas, me asignaron mi primer caso de implementación de Seguridad Perimetral, para mí solito. Me doy un poco de asco cuando recuerdo la forma en cómo sucedió todo….***

¿Cómo quieren que empiece, pues? ¿Les cuento del origen de mi apestosa calaña? ¿Quieren saber a qué edad M3 Gu5t4b4 35cr1b1r 4s1 creyéndome The Mentor? ¿Cuáles fueron mis primeros programas mágicos con un botonsote en VB que decía “HACK THE WORLD”?? Mi primera vez con el “vi” de UNIX?? Cuando creí que ya sabía Networking porque ejecutaba a la perfección “save running config”??, Cuando quité un malware con el Norton y me creía un sanguinario de los Virus?? O más romántico me quieren…mi primera princesa convertida en sapo?? ¿No prefieren que antes de eso les dé tiempo para ponerse cómodos y que se puedan “pitorrear” de mí un ratote enorme?? No creo, porque no les serviría, y además ya bastante inextricable estoy en este texto para colocarme desde ahorita en las garras de mis lectores.


I summon the vast power of certification

Pero bueno no soy ningún ingenuo, sé lo que hago, soy quien soy: el lammer caído, la oveja negra de mi cliente/víctima, el ingeniero certificado y no apto, el que está de necio tecleando quién sabe qué con la línea de comandos, el brujo de este cuento. Bueno, ni modo de esperar que me pongan de princesa, no?? No espero nada, de hecho el gran problema es que siempre he sido un desesperado: quiero acabarlo todo cuando ni he comenzado. Así que igual empiezo con un cuento. Anótenle:


Había una vez un Ingeniero en Seguridad novatón, que un día trabajaba para una compañía cuyo nombre no se revelará en esta historia. Dicho Ingeniero, A.K.A adivinen quién, disfrutaba enormemente de cada jornada laboral pues aprendía muchas cosas como esponjita. Su jefa, tenía una jefa, procuraba que su Padawan absorbiera las mejores experiencias en el área de IT Security acompañando a los más experimentados y veteranos combatientes de guerra, en cada batalla que acontecía. El Padawan pensaba que así podría instruirse en los secretos del Ingeniero, para algún día “conocer la esencia de todas las cosas, su transformación y su renovación, conocer el secreto del Sol y de la Luna, las leyes que rigen el curso de las estrellas en el firmamento; las imágenes mágicas de las nubes y el aire; los misterios del mar. Conocer los demonios que envían sueños bajo la Luna. Comprender el grito áspero de la corneja, el volar cantarín de los cisnes, la resurrección del fénix. Poder interpretar el vuelo de los cuervos, el rumbo de los peces y las ideas ciegas de los hombres, predecir todas las cosas que sucederían después y configurar adecuadamente políticas de seguridad en dispositivos perimetrales alineados a las best practices” (si les sonó a Merlín es pura coincidencia eh) haciendo honrar su puesto de trabajo, como el warrior que debía y tenía que convertirse para afrontar las futuras beligerancias. Pero al sentir el poder que da el conocimiento, el Padawan fue manoseado por el lado oscuro (súper mega cliché no?? Estereotipo al máximo… no les da asco de veras??). Y le solicitó a su jefa que le asignara un caso para él sólo, para atenderlo, triunfar sobre él y regresar con la cara en alto. Un caso complejo aparte (la ambición, la ambición…). Nadie podía explicarse cómo una mujer tan buena se había dejado seducir por aquel ingenierito de mala entraña. Entonces sus demás compañeros los vieron salir a los dos de la salita de juntas con pared de cristal y sillas verdes. Cuando le preguntaron al ingenierito cómo le había hecho para que ella aceptara, él les contó que le había prometido hacer un excelentísimo trabajo a reserva de pagar los subsiguientes desayunos por tiempo indefinido (entre otras cosas), si no podía con el paquete. Y ellos, claro, se derritieron del rencor y de la envidia, porque a pesar de que la jefa puso otras condiciones como dije, sabían que nunca en sus re corrientes vidas iban a tener una oportunidad aprobada por ella así de linda y de rifada. Pero se equivocaban, porque… si tuve que pagarle el desayuno a uno de ellos, aunque le hizo daño por envidioso. Anyway, mientras sus almas de envidiosos rascuaches se quebrantaban al unísono, se escuchaba una voz en mi interior diciendo: «Yo soy el elegido para ir a ese canal/cliente e implementar su arquitectura de seguridad, quien apueste por mí no volverá a ver la oscuridad». Fail.

Octubre de 2010, Datacenter de X y headquarters de Y

***Ser Ingeniero de Seguridad TI es como bailar: cuestión de agarrar los pasos…y los muy malos pasos. Los maestros que nos enseñaban clases de Seguridad Informática como Attack Prevention, Offensive Security y demás, en la escuela, nos decían: los pensamientos más abstractos y elaborados galopan cabalgados por demonios. Pero ser Inge no es un mal pensamiento. Es más: no es ni siquiera un pensamiento. En la universidad, los maestros nos pedían que pensáramos en Python, o en Bash, o dentro del kernel y mejor ni les digo lo que se me ocurría. ¿En qué piensas, idiota? Animal, bestia. Muy ingeniero y muy creativo, pero a la hora de la hora también piensas con la de… me ar repiento de no haberles hecho mucho caso a veces, cuando te dicen que este tipo de carrera te engolosina de más, si no sabes controlarte. Y si no te apegas a lo estrictamente académico, o le bajas los decibeles a tu curiosidad por el gusto de la curiosidad. Porque si no te controlas lo aprendes a hacer a la fea manera.

(Platicando con un Gray Hat en la Campus Party 2009, Expo Bancomer Santa Fe, Noviembre 2009, Seguridad/Redes). ***

Mi cliente me esperaba con la ciega esperanza de quien cree que todo terminará en un día. O más lastimosamente en un par de horas. No sé por qué razón los tipos que llevan más de 20 años según ellos en el campo de TI, piensan que cualquier implementación es del tipo “Siguiente >Siguiente >Aceptar”. Inverosímil.

La situación se planteaba de esta manera: Mi víctima había adquirido de nosotros un firewall de nueva generación, ustedes ya investigarán qué son estos o quizá muchos ya lo sepan, no ahondaré en ello. Les puedo adelantar únicamente que las implementaciones con este tipo de plataformas distan de ser parecidas a los firewalls “normales”. Ahora con cierta experiencia les puedo decir que instalar un Juniper, un Checkpoint, un Cisco, etc. es básicamente “la misma gata pero revolcada”, y un next generation firewall tiene su particular chiste. Bueno.

El cliente mostraba un escenario de reemplazo tecnológico, su firewall actual estaba en extinción, necesitaba un cambio de aires, y al hacer el análisis previo los puntos relevantes que involucraron mi desgracia fueron los siguientes:

1.- El Firewall se posicionaría como la frontera entre su LAN y la WAN, es decir el breakpoint entre el carrier y su red Interna.
2.- Como un clásico firewall se segmentaría en zonas; básicamente constaba de una Untrust, Trust, DMZ y una zona que yo le llamé “La morada del Nigromante”, (por qué lo llamé así, esto lo sabrán más adelante).
3.- Como una solución todoterreno también iba a tener activado los features de inspección, detección de intrusos, antivirus, que haga café irlandés, baile y cante como barítono y castrato.
4.- Por supuesto, constaría de NAT’s Internos, mapeos a servicios desde la zona Untrust, y políticas entre zonas inherentes a la configuración, whatever.

Cómo ven cachorros? A simple vista uno piensa (y no los culpo): Es posible que puedas elaborar una tragedia de semejantes cosas de rutina, (vaya un ingeniero de Seguridad Perimetral no debería tener problemotas con este escenario), en el que uno puede de antemano saber que se requieren +- 5 horas a lo sumo, para get the fucking job done??

La verdad, si les hago una confesión hecha y derecha, yo mismito agarré y casi me orino de la risa, por mi proyecto tan “complejo”. Yo sentía que ni la reina de Inglaterra merecía que le arreglara su módem, ahora imagínenme pensando “a este tlahuica, lo voy a impresionar cuando acabe con su proyecto del año en 2 horitas y me firme mi orden de servicio con una estrella de la orden teutónica”.

Pues yo llegué al sitio bien envalentonado, con mi Dell Inspiron lista, con mi cable de consola listo y mi risa malévola aún más lista. Algo que no les mencioné cachorros, de los 4 puntitos anteriores, es que en esa primera visita no iba a hacer absolutamente nada de nada. Iba a ser algo en principio millones de veces más fácil.

Sucede que este firewall de nueva generación, en particular, tiene la virtud de ponerse en modo Transparente, y de esta forma puedes meterlo sin modificar ruteo, bastante conveniente. Luego, mi querido firewall iba a estar justo por debajo del otro firewall que todavía no íbamos a quitar, porque el cliente optó por verificar la integración estable de la plataforma en su red, y que no tuviera problemas identificando cualquier tipo de tráfico. Mi respuesta fue: “ok, que el cliente se sienta cómodo, se lo dejamos así una semanita, desde mi punto de vista esto únicamente va a retrasar la instalación, y no tiene caso, pero ok”…

A partir de aquí les contaré el suplicio como un sobreviviente del apocalipsis zombie…

Bitácora de la hecatombe perimetral, Instalación del Firewall Día 1

*** Por supuesto tú no usas una computadora cualquiera cómo crees?? Es imposible que tenga menos de 16 GB en RAM, ni siquiera te pase por la cabeza que no posea mínimo un doble núcleo. Lo tuyo es un "monstruo" que corre bajo Debian. Donde se te ocurra nombrar otro sistema operativo, estarán malditas 7 generaciones antes y después de toda tu descendencia/ascendencia. Y para que no quede duda, de una vez te digo que para mí eso de utilizar GÜINDOWS, no es ni triste, ni doloroso. Ser de Microsoft es de mal gusto, punto.

(La cultura del “jaker”, clase de Seguridad Informática, Enero 2008, Lo que no debes hacer si quieres ser un Gurú informático) ***

Había ido como todos los días a mi ritual sagrado de soplarme un licuado de avena con galletitas cuando…RING RING!!

Yo: Diga?
Cliente: Hola Fer cómo estás? Mira al parecer tenemos un problema con el firewall que instalaste…
Yo: Si, qué sucede?, ayer validamos todos los servicios y estaba funcionando correctamente. 

Cliente: Pues si más o menos…es que no validamos los teléfonos. La persona que administra el PBX estaba efectuando una actualización al servidor y nosotros utilizábamos celulares mientras tanto, por eso no tuvimos oportunidad de probarlo…
Yo: Bueno, existe la posibilidad, (muy alta por cierto), de que la actualización en el PBX haya afectado la comunicación con los teléfonos, por qué no revisan esa parte.
Cliente: Si nosotros también pensamos lo mismo, pero quería que nos ayudaras a revisar los logs del firewall, para descartar que sea el equipo.
Yo: Ok yo los checo, pero se me hace raro, el equipo está en modo transparente, en teoría está dejando pasar absolutamente todo.
Cliente: Si pero quizá, nos esté tirando la conexión qué se yo! Revísalo y me mandas tu reporte no?
Yo: (Si jefazo ya sabe, estoy en cuerpo y alma para usted, [y qué parte de que está en modo transparente no entiendes?? obvio está dejando pasar todo] Ok qué protocolos y puertos utiliza su PBX?.
Cliente: Mmmm creo que es SIP pero no sé más, debe verse en el firewall no?
Yo: Si…claro.

Pasé aproximadamente unas dos horas tratando de encontrar el dichoso SIP en el log del firewall, y no encontré nada de nada, apliqué filtros, revisé las configuraciones en las zonas, y nada. Al poco rato…RING RING!

Cliente: Fer pudiste checar algo? (Nótese que todavía sigo siendo “Fer”, ustedes notarán la evolución)
Yo: Mmmm no, no visualicé nada en el firewall, al parecer ni siquiera lo ve para dejarlo pasar o para droppearlo. Si está pasando a través de él??
Cliente: Pero claro que está pasando!! Te parece bien que agendemos una ventana para mañana y poder revisarlo con calma?? Es que este servicio lo tenemos que tener listo para dentro de dos días. Ahí verificamos cuál es el problema, la actualización del PBX o el firewall. Yo: (Ok, pero no me grite) Si…me parece bien (Deos meo par favar!!).

Bitácora de la hecatombe perimetral, Instalación del Firewall Día 2

*** Mi mundo empieza en el IRC. He cambiado el nombre a mi script de mIRC y todos creen que lo he programado desde cero. Además, he instalado Winlinux que sólo uso para que todos piensen que de verdad soy un lince en este mundo. Aprendí a usar el smurf; pobre de aquel que me mande un DCC. También se programar, copiando y pegando código Java que encontré por ahí; he hecho que mi página sea mucho más vistosa...

(Manifiesto del lammer, clase de Seguridad Informática, Marzo 2008, Programando Shell coding básico)***

Llegamos por ahí de la media noche para comenzar con la tortur... DIGO LAS CONFIGURACIONES. Si en ese instante, hubiera estado en Las Vegas, les juro por mi santa laptop Alienware M11 (ay si ay si!), que apostaba mi cabeza en una guillotina a que el problema no lo tenía mi firewall.

Cliente: Vamos a dar rollback de la actualización, ponemos la versión que teníamos probada y la puenteamos para que pase por el firewall. Fer dice que como no hay políticas de contención tiene que jalar.
Yo: (Fer dice, Fer dice, no puede hablarme con tanta pasión sobre un PBX a la media noche, no puede ser tan desalmado!) Si, así lo tengo configurado para que deje pasar todo (por enésima vez!).

Dos horas después de que dieran rollback a su actualización, comencé a sentir ñáñaras en… ya saben en qué lugar se sienten las ñáñaras no?? cuando dijo:

Cliente: Fer ya está en la versión que teníamos antes, conectamos los teléfonos y el PBX a través del firewall, y todavía no vemos que se aprovisionen. Supongo deshabilitaste alguna configuración, mientras estábamos regresando a la versión anterior no??
Yo: (No la verdad yo me estaba echando un coyotito) No he tocado nada, lo dejé como ha estado desde que lo instalé.
Cliente: Ah pues mejor revisa que tiene, porque entonces si es el firewall.
Yo: No existe otro salto entre el PBX y los teléfonos, algo que esté metiendo ruido??
Cliente: No, sólo un switch que baja a todos los equipos pero el switch no tiene configuración de VLANs, ni nada, está plano.
Yo: (Dios mío del Génesis Bíblico, si es el firewall y ahora qué carajos hago?) Ok déjame checarlo por favor.
Cliente: Adelante Fernando, aquí está la ventana hasta las 6 am…
Yo: (Fernando…me llamó Fer-nan-do, eso no puede ser bueno) Esperemos acabarlo antes… Cliente: Esperemos.

Qué fue lo que hice durante tres horas? Revisar el log otra vez, ver que efectivamente no pasaba el protocolo SIP del PBX, (bueno ni se veía, qué digo pasaba), verificar los archivos en raw desde la línea de comandos para ver si salía algo, un bug, un error, un April’s fool, ALGO!, habilitar la aplicación que viene de default como SIP en una política de seguridad (pero para qué hice esto si ya tenía una política que literal era: Deja pasar any desde any a any con any y any…y anything happens shit!!), ver cómo mis interfaces poleaban, conectar y desconectar el cable (0_o!) (de verdad ya andaba bien desesperado), reiniciar la caja, actualizar a una versión de sistema operativo más nueva, volver a reiniciar la caja, ponerme internamente nervioso y al borde de la implosión, borrar toda la configuración, rehacerla desde 0, ver que nada cambiaba, que sólo se agotaba el tiempo, comenzar a pensar cómo le iba a decir elegantemente que no sabía qué demonios sucedía, mirar al techo, querer salir corriendo, ir al baño a vomitar, hablarle a mi soporte técnico (no, no, eso jamás!!!), ponerme a llorar…

Humillante, ya sé. Deprimente, descorazonador. Ladies and gentlemen, directamente desde el Data Center, con ustedes: Mister Misery. Me daba cuenta a mi alrededor como el grupo de 10 ingenieros estaban esperando a que diera una señal de vida y no solamente bajara la mirada hacia el monitor de mi laptop. La verdad yo sólo veía la luz de la pantalla, y me quedé en blanco. No se me ocurría nada más. ¿Qué hacía?, literal qué?!!. Puse el equipo abierto de patas, le entraba todo, le salía todo, que más le podía abrir?? Le quitaba la tapa delantera a la caja, a ver si dejando respirar los circuitos ya podía parir el SIP a gusto?? Le soplaba como cartucho viejo de Nintendo?? Según yo ya había hecho todo. Lo peor es que los tenía a todos a mis espaldas, midiendo cada acción nueva fallida que intentara. O sea, no me iba a poner a revisar la documentación técnica del firewall enfrente de ellos, sería…ultra mega noob. Y les iba a generar mucha más desconfianza, de la que ya se veía a leguas que me tenían. Mejor les hablaba directo con la verdad. Derecha la flecha.





Back it up, you b*st*rds!

Bitácora de la hecatombe perimetral, Instalación del Firewall Día 3

***…De todos modos hay que sentirse siempre seguro, no dudar ni un instante de lo que vas a hacer. Cuando te agarra el miedo no te mueves igual. Te pones tenso, vigilas a todo el mundo a tu alrededor, enseñas tu juego. Y así no salen bien las cosas. Hay que estar relajado, y al mismo tiempo con la cara bien dura. Saber que pase lo que pase no te vas a quebrar. Y saber que no te puedes morir jamás delante de ellos. Tienes que planear algún operativo, armar alguna trampa, zafarte de manera elegante, salirte de lo más hondo. Ah! Pero eso sí, dejándoles bien claro que toda su red, aunque esté más caída que el Muro de Berlín, toda está bajo control…

(Training de implementación de Juniper Networks, Juniper Networks, Septiembre 2010, Atendiendo a los canales/clientes) ***

Que Shiva y sus cuatro brazos me amparen. Eso pensaba cuando caminé directamente hacia ese hombre, que era el jefe de Ingeniería.

No me quería morir, eso era lo que pensaba más. Ayúdame, Diosito, soy un asco de ingeniero pero no quiero morirme. Y luego un Ave María con los ojos cerrados. Y luego una respiración honda para serenarme. Siempre apretaba fuerte los párpados cuando rezaba, para ver si se hacía mientras el milagrito, que jale inesperadamente. Pero no pasó.

Yo: Estuve revisando los logs de seguridad, del tráfico, y al parecer hay un problema con la identificación de la aplicación SIP, es posible que el equipo no lo reconozca totalmente porque…
Cliente: Cómo que no reconoce el SIP?? Tenía un firewall del año 2007 y reconocía el SIP perfectamente, me estás diciendo que una tecnología que se supone es mucho más actual y más poderosa según ustedes, no puede ver un pinche protocolo de voz??
Yo: Si… lo que sucede es que el equipo basa su inspección en la identificación de aplicativos, normalmente esto conlleva que conozca el SIP correspondiente al PBX que…
Cliente: Pero ustedes hicieron un levantamiento previo!! Se debieron dar cuenta qué tipo de tráfico teníamos, y qué problemas íbamos a experimentar de entrada. De haberlo sabido mejor no compraba esa chin… el equipo, nada más me está dando puros problemas!!
Yo: Solo es cuestión de que el equipo pueda identificar el protocolo nativo a su PBX, podemos pedirle al fabricante que haga una firma especial para él y así…
Cliente: Y eso se va a poder hacer en dos días!!??, A poco??!! Y si no qué solución me vas a dar eh?!!!, Yo ya te compré el equipo y el soporte, a lo mejor no te puedo presionar con el tema de la voz porque no estaba dentro de las cláusulas, pero si no queda en 15 días la instalación, voy a empezar con las penalizaciones Fernando!!
Yo: (Otra vez Fer-nan-do [Tomando en cuenta que el fabricante tarda 10 días hábiles en contestarte, creo que mejor meto mi CV en la bolsa de trabajo de nuevo]) Si, déjame verificar en mi área qué solución le podemos dar a tu problema. No te preocupes vamos a estar encima para que quede en los tiempos acordados…

Estoy frito.



In brightest day, in blackest night, No evil shall escape my sight Let those who worship evil's might, Beware my power...Green Lantern's light! (Ayúdame Yisus Mom!!) (Imagen ROBADIGOCORTESÍA de JULIUSTEOBSERVA.com)

Llegas al otro día a tu empresa, entras y te mueres de risa de la primera estupidez que oigas. Luego te sigues riendo de todas las que vengan. La idea es que te cuelgues un letrero que diga: Soy idiota. Que se te vea en los ojos, en la risa, en los calzones. Soy un inmenso estúpido con un enorme problema, que no le puedo contar a nadie, por lo menos no de manera directa, porque se supone que me jacté de resolverlo yo solo, una cosa se compensa con la otra. Hay como una etiqueta de la estupidez. Permítame decirle una humilde idiotez: de ninguna manera, el imbécil soy yo.

¿Con qué cara le voy a decir a mi jefa cómo me fue, si no podía ni verla a los ojos?

To be continued… 

...continúa en Firewall Femme Fatale (esto me sucedió en 2010): Parte 2

8 comentarios :

  1. ¿Un Fortinet verdad? Estoy deseando leer el final de la historia :)

    ResponderEliminar
  2. me está encantando la historia.. terminala pronto por favor!! jaja

    ResponderEliminar
  3. Haaaa nooo Fer como que va a continuar, ya paeces productor de novelas de telerisa Fernando jajajaja, Muy bueno tu relato jajaja, espero con ansia la se segunda parte. o? te la iras aventar al estilo hoollywood una trilogía jijijiij

    ResponderEliminar
  4. Que la fuerza te acompañe (Cliché), mis conocimientos no llegan a tanto, pero no me pierdo el desenlace de la historia.

    ResponderEliminar
  5. Probaste a reiniciar? :D

    ResponderEliminar
  6. Jejejeje conozco la marca y la empresa... ;)

    orgulloso!!!

    veo tu relato y te recuerdo hablando rápido cada que estabas nervioso o molesto jajajaja que buenos tiempos

    ResponderEliminar
  7. Mui bueno ... :D

    Saludos de un PenTest novato y que aprende mucho con tus aportes .. xDD

    ResponderEliminar
  8. Con todo mi respeto y aprecio: La historia buenísima y muy educativa, pero, por favor, cambia el estilo de escritura. Demasiado lento para mi gusto.

    ResponderEliminar