Firewall Femme Fatale (esto me sucedió en 2010): Parte 2


Bitácora de la hecatombe perimetral, Instalación del Firewall Día 4

*** “…Me gusta aparentar aquello que no soy, me hace sentir mejor que todos me adoren, he conseguido ser alguien importante, ¿qué piensa ahora la sociedad que tanto tiempo me ha rechazado? Sí, soy un criminal, mi crimen es ser egocéntrico, ¿y qué?, ¿quién puede pararme?, ¿quién osará desafiarme?, ¿acaso ha existido alguna vez un Dios mejor que yo? Puedes intentar pararme, pero ya tengo amigos en todas partes, ellos me apoyarán porque los muy ingenuos creen de verdad en mí…”

(Manifiesto del Lammer, clase de Seguridad Informática; México, Marzo 2008, Programando Shell Coding básico)***

Ya ni la jodes. Ahora si la regaste enteritamente completa. Parece mentira que a tu edad hagas estas estupideces de crío/infante/bebo. Y ya ves que dicen por ahí que las mugrosas estupideces son más guapas y más interesantes que las horribles madureces. Tenías que llegar, con tu carita de idiota alegre que se muere de ganas de meterse en problemas, de hacer lo que no debe, de liarla en mal plan.

Igual todo el día siguiente me estaba muriendo de pavor porque no sabía cómo iba a torturar a mi firewall para arrancarle el SIP de alguna manera, ah! y de encontrarme a la jefa por ahí, o que me llamara de pura casualidad, (y eso no saben cuántos puntos le sumaba al score de terror). ¿¿Tienen idea de lo que era deambular por los pasillos de mi trabajo, con un firewall horror story, un cliente a punto de colgarme de los… del ventrículo izquierdo, y todos preguntándome cómo había ido la ventana de la madrugada right on the road to hell??? Me va a dar una embolia, pensaba.

Firewall gurú: Cómo estuvo todo Fer, si acabaste?? Supongo sin problemas no?? Era un modo transparente me dijeron, cuánto tiempo le hiciste babysitting, unas dos horas??

Fer: (Llorando por dentro como plañidera pero de pie como conserje de primaria) Pues sí más o menos…lo que pasa es que…es que falta hacerle tunning a algunas cosas…porque tienen servicios y así, y…pues así le hacemos no? (qué diablos?!, qué dije?!)

Firewall gurú: Tunning al firewall en modo transparente? Por qué? Le aplicaste perfiles de inspección o algo así?

Fer: (Le tengo que lanzar una indirecta muy directa es mi oportunidad) No, es que quieren meter voz, pero por ahí leí (con por ahí leí quise decir: por ahí sufrí una vorágine apocalíptica que me está llevando a la silla eléctrica), que luego no reconoce muy bien el SIP, porque es un protocolo basado en UDP y cada fabricante tiene su versión, entonces por ahí presentan problemillas… (Bueno ya di algo que no te haga sonar como un noob).

Firewall gurú: Pues… de repente, la inspección bloquea por default algunas cosas pero… tuviste entonces problemas con la integración??!!

Fer: No no, para nada!!...*le crece la nariz como Pinocho*, es que quieren meter su PBX a uno de mis segmentos en el firewall, pero le van a hacer una actualización, lo haremos hoy en la noche y me preguntaron si el firewall no tenía problemas para reconocerlo, les comenté que debido a que el equipo tendía a “aplicar algoritmos estructurados de optimización combinatoria para resolver este tipo de cuestiones pseudoaleatorias en protocolos de capa 4 inherentes al modelo OSI” podía haber algunos detalles…(insisto qué diablos estoy diciendo por el amor de Yisus??!!)

Firewall Gurú: (0_o!) Ahhh si.. si creo que si…bueno…puedes checar eso en el Admin Guide, estudia las políticas de override por ahí te puede funcionar si el equipo no ve algo.

Fer: (Políticas de override??!!, ahí está el pan Yikes!) Si gracias!! (Santo es el señor…y mi Firewall Gurú)

Santo es el señor
Imagen robadTOMADA DE juliusteobserva.com

Evidentemente esa noche tenía que regresar con la solución al problema, no había de otra. Si no existía un mínimo atisbo de luz, corría el riesgo de que el cliente enojara más y bye bye darling. Afortunadamente cuando revisé la Admin Guide donde mi Firewall Gurú me había enviado, encontré la respuesta a mi dificultad con el SIP. Les platico:

Warning Geek lines coming…

Resulta que mi firewall de nueva generación tiene la capacidad de identificar aplicativos principalmente a nivel capa 7, aja? Hay veces que no puede hacer eso tan fácil y te da dos opciones: la primera, que pidas, como le dije a mi cliente, una firma especial de tu aplicación al fabricante y ya puedas ver tu tráfico a gusto, (en sí ésta era la solución desde un principio, ya lo sabía, pero resulta que hacer esto es medio engorroso) la segunda es justamente crear una política de override, mucho más rápido, pero lo desconocía totalmente: básicamente consiste en definir tu aplicación con puerto y protocolo para que cuando vea el tráfico de la misma, ya la pueda identificar. Una app no definida no se ve en el log del firewall, por eso el SIP ni se asomaba, y cuando defines una aplicación en tu política de override, con todos los parámetros necesarios ya la puedes manipular sin problemas. Ejemplo: Imaginen que ponen el Puerto 80 como “Aplicación Web super wow casual”. De esta forma todo el tráfico del puerto 80 va a ser “Aplicación Web super wow casual”, lo que en principio está mal en un estricto sentido, porque el puerto 80, es pa’l Internet papáwh, entonces “overrideas” dicha aplicación diciendo: mira mirrey firewall si observas tráfico de la red 10.0.0.0 a la red 20.0.0.0 procedente de las zonas X y Y con puerto TCP/80, vas a emparejarlo con “Aplicación Web super wow casual”, es decir, lo delimitas muy bien para que exista un match . Todo el demás tráfico lo pasas por el engine de identificación para puerto 80. Así estaba la cosa para que se pudiera mostrar el SIP.

Gracias a Ganesha-sajasranama y su trompa divina, el suplicio no duró mucho. En la noche nos echamos al PBX.

Bitácora de la hecatombe perimetral, Instalación del Firewall Día 5

***…Me sentía poderoso, no sé, invencible. Era como si todo lo que había estudiado, creído, visto, dicho y hecho en todos los años de mi vida frente a los bits de la computadora se hubiera vuelto cierto de un madrazo, como si atrás de mi ADSL, de mis scripts en Pearl, de mi tarjeta madre hubiera un juez diciendo: Tiene usted la razón. Era posible, ¿no? Por más que mis papás y mis maestros se hubieran empeñado en que mi mundo fuera una oficina o una escuela, yo estaba consiguiendo espacio. Aire. Futuro. Cosas que un estudiante de carrera bonita en Computación no puede imaginarse, y menos si su idea de vivir es no sé, alcanzar pronto un puesto gerencial en una empresa importante y vender su capitalista alma al dinero. Yo quería obedecer, pero al destino. Y a mis necesidades. Y hasta a mis caprichos, que a la hora de la hora eran los que contaban. Yo quería que contaran y mis botnets en Grid esparcidas por la Web estaban de acuerdo…

(Platicando con un Gray Hat en la Campus Party 2009, Expo Bancomer Santa Fe, México; Noviembre 2009, Seguridad/Redes). ***

Exactamente, recuperé mi confianza en cuanto supe que iba por el buen camino y viéndolo tácitamente todo se arregló tan rápido, tan viento en popa que hasta parecía que no hubiese pasado nada en absoluto. Un ligero desliz. No ocurrió fue un sueño, me dije, hubo un problema, quizá exageré, debí haber guardado la calma, al final de cuentas hoy vamos lo arreglamos, lo dejamos listo y nos pelamos de ahí.

Fer: Resulta que hemos identificado la fuente del problema. En sí, no es un problema per se, sucede que hay algunos protocolos que no llegan a verse en el firewall por cuestiones de insuficiencia de datos y hay que declararlos con una política especial de…

Cliente: No me vas a dar una solución a la brava verdad??!! Algo como un: tapo el hoyo con papel pero el hoyo sigue ahí… ni se te ocurra hacer algo así eh!! de dónde sacaste eso a ver?!! Porque se oye bien parchada tu salida!!

Fer: (Lo que me faltaba, que se me pusiera hormonal y ni siquiera hemos metido mano en su red todavía) No, la solución está documentada y soportada por el fabricante, el feature está aquí y lo vamos a aplicar sin problemas *Le enseña el procedimiento impreso (como si el otro supiera lo que le estoy enseñando)*.

Cliente: Bueno…yo sólo quiero ver que quede y que ya quede bien, solo falta el detalle del PBX y espero no salga otra cosa, porque ya no podemos tener más ventanas esta semana.

Fer: No te preocupes, enseguida aplico el cambio y probamos, no vamos a tardar, ya tengo definidos los parámetros necesarios (vamos bebé vamos!).

Cliente: Ok, empezamos.


¿Saben lo que es resolverle un problema en menos de 10 minutos a un jefe de ingeniería medio ogro, presionado porque no tenía voz en toda su red (era el último día de cambios antes del freeze de auditoría), darle un par de palabritas técnicas más o menos majaderas sobre la situación actual y controlada del firewall, que ni va a pelar al final de cuentas, pero que lo vas a dejar impactado por la rapidez y eficacia de tu resolución, y la oratoria aplicada a comentarle lo que hiciste, frente a toda la manada de ingenieros a su cargo, largarte en media hora satisfecho y vencedor del Data Center, tirarte en un bar, beberte un whisky in the rocks, mientras piensas que en realidad si has resuelto “todo un issue” estando pendiendo de un hilito hace apenas un par de días?



Lo imposible lo hago en 10 minutos, para los milagros me tardo un poco más…

Te regresa (y con creces) la confianza soberbia de la que les había hablado. Es una adicción. No es posible vivir la vida entera así, se te rostiza el alma. Es como las historias de los rockstars que nunca paran de beber, rockear y drogarse. Siempre eres el alma de la fiesta, pero si no controlas el vicio la sufres, estás cada día más despegado del suelo. No sé, hubo un momento cuando salí del DC que me dio miedo. No creía que hubiera sido tan rápido. Esto es demasiado lindo para cacarearlo, no puede ser verdad.

Bueno como sea… ya estamos peinados pa trás, ahora si me puedo encontrar a mi jefa.

Bitácora de la hecatombe perimetral, Instalación del Firewall Día 6

***“…Eres el kernel de mi Linux. Eres el html de mi corazon.com. Tucorazon.com está en mi index de inicio. Eres el socket de mi CPU. Tu RAM le da vida a mi Máquina Virtual. Eres el compilador de mi código. El .gif que anima mi vida. Siempre estás en C:/Mi/Corazon. Te pienso más que las páginas indexadas por Google. Eres como el Firefox que me sacó del infierno del Explorer. Eres el Enter de mis pensamientos. Si me dejas hago Alt-F4 a mi vida. Cuando te veo mi ciclo de CPU se acelera. Tú tienes la máxima prioridad en mi lista de procesos. Eres el linkeador de mis objetos. Tus deseos son signals para mí. Ninguna grafica podría renderizar al 100% tu perfecta figura. Sin ti mi vida sería como una web sin CSS. Tienes permisos de root en mi vida. Juntos somos como un procesador de doble núcleo. Mi sistema operativo entra en hibernación cuando no estás a mi lado. Contigo no necesito tirar de Swap. Tú eres la única que puede romper mi WPA. En la cama eres puro overclocking…


Mi amor…”

(Poema de un “haxxor” a su chica, Procrastinando en un cuarto conocido como “La nueva Procrastinopla”, Budapest, Hungría; Diciembre 2011). ***

Jefa: Fer ya quedó tu proyecto del firewall?

Fer: Si, ya está integrada la plataforma a su infraestructura, no hubo ningún problema (obvio no?), y la migración al reemplazo va a ser muy sencilla. 


Jefa: Muy bien!!, le hablamos al cliente para definir la fecha de la sustitución??

Fer: No no!, yo le hablo no te preocupes (no se le vaya a salir al hombre hormonal lo que nos pasó) Además ahorita están en freeze por auditoría…pero yo le doy seguimiento y ya cuando quede te notifico.

Jefa: De acuerdo, te espero.

C'est fini.

La vida es una ventana de downtime inagotable, una configuración en capa 3 sin agujeros, una definición de NAT’s donde decides qué dejas pasar a tu existencia. Y yo acá, “invulnerable”, tras mi laptop, como hombre consumado en seguridad perimetral a los 22 años. Veía el mundo todo en un espejo: Cómo pasar de Tony Stark a IronMan, por el eminente especialista en TI, Fernando V. Lección número uno: Consígase un proyecto usted solo donde le meta la mano a todo lo que tenga su cliente, (hasta a su cliente). Lección número dos: Riéguela al borde del abismo sin retorno, pero riéguela excelentemente. Lección número tres: Viva la adrenalina de tener que resolver todo en 10 minutos. Un miedo que se goza, eso es vida y lo demás migajas. Además compórtese siempre con cara de póker. Y claro, claro, claro, sea un bruto colosal pero un bruto confiado de lo que hace, sea la combinación nuclear.

Sólo tenía que esperar a que me dieran la ventana para migrar su viejo firewall y meter de lleno el nuevo. Hasta eso, el cliente se “olvidó” de nuestro pequeño cisma y me llamaba frecuentemente para comentarme sobre lo buena que era la plataforma, en cuanto a visibilidad, inspección y reporteo. Adulaciones inocentes.

Pues… ya quedó no?? Es el final de todo o qué piensan cachorros??

Queridos lectores es la hora de la moraleja de esta historJAJAJAJAJAJAJAJAJASJAOSJSIAJSPSJSDSFVSK!!!!! Hasta creen.

En realidad, viene lo más feo de todo lo que les he contado. En 5 días que esperé para la ventana del proyecto, y continuaba con mi feliz vida, jamás imaginé que fuera a pasar lo que nos pasó. Pero sin más, me adentro en esa parte oscura de mi relato. Chequen lo denso que se puso el siniestro. Hasta el día de hoy me acuerdo y digo: ¿Quién diablos habrá traído mi muñeco vudú aquella noche en el DC?...

Bitácora de la hecatombe perimetral, Instalación del Firewall Día 7

*** “…La bromita preferida de mi familia era decir: Tú eres adoptado. Porque cada año que pasaba me parecía menos a ellos, en todo: recluido, hacker, adicto a los videojuegos y los libros, freaky y fiero amante de los números y los códigos, ah! pero eso sí, super atleta en serio eh, nada de estereotipos imbéciles. ¿Cada año? No me chinguen: cada instante. Todavía hoy siento que mi vida es la de un pececito de agua salada al que quién sabe quién echó al agua dulce. En el agua dulce todo es más baby blue, más princess, más gentleman, no sé… más marica. Las cosas me estaban dadas desde siempre, al venir de una familia bien no puedes recordar un solo instante de tu existencia en el que no hubiera coches, commodities, escuelas privadas y empresas dispuestas a tenerte en su gerencia. Y yo en cambio, lo que me hice recordar fue esto: alimentarme de mi sed del saber, del poder y del hacer, claro… computadora en mano como ha sido mi desdichada y recontraputa costumbre. Pero ¿qué chingados va a hacer un pez de agua salada entre el agua dulce? Obviamente ser una muy malainfluencia, y para eso siempre me he pintado solitito… o no?? mis queridos rootkits envenenadores??…”

(Platicando con un Gray Hat en la Campus Party 2009, Expo Bancomer Santa Fe, México; Noviembre 2009, Seguridad/Redes). ***

No sé por qué siempre he comparado la llegada a un DC con ir a la Fortaleza de la Soledad de Superman. Debe ser el frío y que los pisos casi siempre son blancos. Aquella noche llegué como quien tiene ganas de acabar con el trabajo de volada sin saber más y listo, ya está. De hecho hasta me sentía un poco aburrido, aletargado, incluso algo dentro de mí deseaba que pasara un problema para meterle más acción a mi ventana, porque ya hasta la configuración la traía pre cargada en un archivito. Cuidado con lo que desean siempre, se les puede aparecer el diablo en lugar de un hada.

Cliente: Bueno ya está la ventana hasta las 6 am, son las 12 am, creo que es tiempo perfecto para dejar en operación la plataforma en un 70%. El tunning lo haremos gradualmente según me comentaste, pero lo que me interesa que quede ahorita son, por supuesto, el NAT de salida a Internet de los usuarios, los mapeos a los servicios internos desde la nube, y la segmentación de las zonas. Hay gran cantidad de redes pero yo espero que si terminemos.

Fer: No te preocupes, gracias al diagrama que me proporcionaron de su topología ya traigo bastante configuración metida de su red (6 horas en el DC no jales, se nos van a caer los dedos del frío). En cuanto termine de configurar podemos probar los servicios y con eso quedamos hoy. El resto de la configuración incluso la podemos manejar de forma remota.

Cliente: Eso estaría perfecto, pues comenzamos.

Esto les va a sonar a deja vú cachorros, pero adivinen qué pasó cuando metí la configuración y quería probar la salida a Internet??: Exacto no pasó nada. Literal, no salió, no me dejó, no pasaba, Internet me pintó cremas. A ver tranquilo mi rey, a lo mejor el switch que está antes del router del carrier todavía no vacía sus tablas ARP del anterior firewall y por eso no pasa tu tráfico. Vacío el switch. Nada *grillito cantando cri cri cri*. Ok, vamos a quitar la configuración y levantar únicamente el NAT de salida a Internet a manita y probamos…Oh for God’s sake: no sale. A ver…calma desde el inicio, probemos nada más que el firewall le llegue con una traza a la dirección pública del router del carrier: “Tiempo de espera agotado para esta solicitud”… Me lleva!!! A carajo cómo por qué!!, a ver estoy atrasito, en el trasero del router del carrier, en el mismo segmento de red!!, por qué no lo veo. No no, de seguro es el cable, el polling, no estamos negociando bien la velocidad de la interfaz por eso no es exitosa la traza…No puede ser…mi interfaz está en auto, no es eso... Qué es??...Ya sé!! un access-list en el router, no puedo pasar por un access-list del router y no tiene habilitado el barrido en las interfaces, claro!!...”Me pueden dar un user de lectura para ver los parámetros del router de su carrier?? Necesito verificar sus interfaces, gracias =)”…Las interfaces están abiertas, les puedes tirar trazas, solamente tiene configurada una ruta estática hacia otra red pública y ningún access-list de bloqueo…*Recuerde que tiene su cianuro en la muela del lado izquierdo, para poder usarlo en cualquier momento*

Fer: Algo está pasando con la configuración del firewall, creo que el equipo no está integrándose con el router frontera, quizá tengamos una falla en el hardware…

Cliente: Cómo??!! A ver pero estaba funcionando bien en modo transparente, qué le pasó o qué??!!


Fer: Hay que revisarlo con calma porque una simple ruta estática, no responde con tu router frontera. Eso es muy extraño. Aunque…no tienes un bloqueo en tu appliance que esté impidiendo la conectividad con mi equipo??

Cliente: Para nada!! Mira… **Entramos al router en modo root y efectivamente, como vimos anteriormente no hay nada de nada**

Fer: Si, no hay ningún bloqueo, quizá si sea el equipo. Debemos dar rollback y traer otro porque al parecer no lo ve y quizá el engine esté fallando.

Cliente: No puede ser de verdad no puede ser!! Pero estás seguro que sea el equipo??, capaz que traes otro y sale lo mismo!!!

Fer: SiNOSiNO…(diablos diablos!!) Vamos a checarlo en nuestro laboratorio hoy mismo y verificamos. 


Cliente: Fernando, esto ya es demasiado, el equipo está bien o no??!! Si sabes configúralo o vienes aquí a probar nada más eh??!!! 

Fer: (Eso si me ardió en el hígado horriblemente) El día de hoy lo revisamos junto con el área de ingeniería. Así veremos el detalle más rápido, de ser necesario te traemos otro…



Creen que debí haber comprado uno de esos?...

Si algo he aprendido de las desgracias en Seguridad Perimetral es que cuando uno teme que van a pasar, es porque en sí, ya empezaron y no van a detenerse. Y la verdad es que todo siempre puede estar peor.

Murphy te odio.

Si te amputan un brazo te queda el otro. Si faltan los dos brazos, te quedan las piernas. También tenemos los ojos, las orejas, los dientes, la lengua, los vellitos, hasta el cabello y todavía entonces Murphy, todo puede estar peor. Sólo los muertos tocan fondo. Salí de ahí con el alma, y nuevamente el orgullo hecho pedazos; ahora sí, mi problema tenía una jeta enorme de que estaba bien podrido, y de que mínimo a mi almohada debía decírselo para hacer teamback, sin andarme con rodeos de indirectas. Eso o irme de rodillas a Chalma, para ver si todavía me hacían un milagrito.

"Van a ser unos días y unas noches muy largas, creo que vamos a vivir en Tattoine un largo rato…”

To be continued (ya casi, ya casi se los juro)…


Comentarios

  1. Wuaaaaa!!!, Vaya historia!!! En lo mejorcito nos vamos a los anuncios.... :D . Sabes bien guardar la intriga, pero macho, me tienes en ascuas por saber como acaba el tema.
    Gran relato del que se extrae mucho contenido, si señor!

    ResponderEliminar
  2. Hola Fer!!
    Por fin pude leer tu post... Lo leí en el metrobus y deberías haber visto las miradas de las personas cuando continuamente sonreía y aguantaba la risa al leer tu historia, definitivamente fuiste " El .gif que anima mi vida". Nunca me contaste esta historia así que en verdad estoy en ascuas, ya quiero saber qué pasó.
    Me encanta cómo escribes!!

    ResponderEliminar
  3. Jaaa yo pense que esto me iba aburrir y ahora estoy decepcionado pero por que ya no supe el final de tu historia...

    Ademas que divertido es leer esto.. cuaando estas de este lado claro...

    Congrats!

    ResponderEliminar
  4. Tienes una forma de redactar que vaya, si le quitamos todas las referencias geek y lugares comunes a tu relato cabe perfectamente en 5 cuartillas, o eres muy intenso o sufriste mucho con este caso, seguiré muy pendiente del desenlace.

    ResponderEliminar

Publicar un comentario