Poniendo a prueba el filtrado Web de

Fortigate
Publicado el 19/12/2011 | www proxy educativo

Actualmente, cada vez es ms habitual encontrarse con que las empresas disponen de polticas y
sistemas de control que definen por dnde y por qu pginas Web se puede navegar. La excusa es el
buen uso, por parte de los empleados, de los recursos corporativos y una mejor gestin del consumo del
ancho de banda existente as como de la informacin empresarial. Uno de esos mecanismos de filtrado
son los equipos de Fortinet que cada vez estn ms extendidos por su facilidad de configuracin,
versatilidad y funcionamiento. En hacktimes.com hemos tenido acceso a un sistema Fortigate modelo
3040B, hemos aprovechado para trastear un poco, y este artculo resume los resultados.
Se ha creado una poltica de bloqueo para la pgina de hacktimes.com y otras como megauplodad o
rapidshare y, a continuacin, se han probado varios de los mtodos y tcnicas ms habituales para
evadir el filtrado, y el correspondiente bloqueo, y poder acceder libremente a nuestra propia pgina
desde nuestra estacin de trabajo. La poltica de filtrado definida es por dominio, que es la forma ms
sencilla de bloquear la navegacin Web por pginas que, a nivel corporativo, no se desee que puedan ser
visitadas. No se ha incluido filtrado por categoras ni por palabras clave o por DNS, que hubiesen hecho
que la poltica de bloqueo fuese mucho ms fuerte y restrictiva.

Fig 1. Definicin de lo que har la poltica de filtrado

Fig 2. Lista de URLs a las que se denegar el acceso por parte de los usuarios

Fig 3. Mensaje de error al intentar acceder a la pgina Web de hacktimes.com

1. Substituir la direccin de la pgina Web de hacktimes.com por la direccin IP del servidor de modo
que la URL queda de la siguiente forma a modo de ejemplo:
http://69.89.25.158/
La mayora de filtros de contenido, y nuestro caso no es una excepcin, al solicitar navegar por una
pgina Web determinada se realiza una resolucin inversa para comprobar la direccin IP y si esa
resolucin inversa est en la lista de pginas bloqueadas, el filtro acta denegando el acceso.
2. Utilizar los traductores de idiomas de Google y Bing. El de Google suele estar ya bloqueado
habitualmente en los mecanismos de filtrado Web pero el buscador de Microsoft, por ser de
relativamente reciente implementacin, no acostumbra a estar filtrado an. En nuestra poltica creada
a tal efecto, no est bloqueado:
http://translate.google.es/?hl=es#

Fig 4. Acceso a travs del traductor de Google

http://www.microsofttranslator.com/?ref=SALL&br=ro

Fig 5. Acceso a travs del traductor del buscador Bing

3. Usar pginas para navegacin annima. En cualquier poltica de filtrado, la mayora de estas pginas
suelen estar bloqueadas pero puede haber alguna que funcione:
http://anonymizer.nntime.com
http://anonymouse.org/anonwww.html
http://anonym.to/es.html
http://www.hidemyass.com
http://webwarper.netz
etc.
Basta poner en Google a buscar "anonymizer" y aparecern diferentes URLs con las que probar. Esta
opcin suele fallar dado que se suele filtrar tambin por el contenido de la pgina y no nicamente por
una lista negra de direcciones, pero en nuestra poltica no se ha creado ninguna lista negra y, como se
ha visto, nicamente se filtra por dominio.
4. Utilizar los servicios de Cach de los buscadores, tanto de Google como de Bing. No se obtendr la
ltima versin disponible de la pgina en cuestin pero puede servir para acceder a hacktimes.com. Al
utilizar la Cach de Google para visitar una pgina que est filtrada, la peticin HTTP que enva Google,
por ejemplo, es algo similar a la siguiente direccin:
http://webcache.googleusercontent.com/search?q=cache:7L-ZtXC20h4J:hacktimes.com/
+site:hacktimes.com&cd=1&hl=es&ct=clnk&gl=es
Para el buscador BING, la peticin de hacktimes.com que tiene en Cach es parecida a:
http://cc.bingj.com/cache.aspx?q=site%3ahacktimes.com&d=4984928392970616&mkt=esES&setlang=en-US&w=78006fc7,7574f4e8
Lo que hace que el dominio no coincida con lo establecido en la poltica de filtrado y que no se bloquee.

Fig 6. Acceso a travs de la Cach de Google

5. Configurar un proxy Web externo en el navegador Web. En hacktimes.com ya se trat tiempo atrs
el tema de los proxys de navegacin Web
(www.hacktimes.com/obteniendo_proxys_an_nimos_de_samair_ru/) as que es sencillo configurar
uno y que la navegacin Web salga por l evitando el bloqueo definido.

Fig 7. Acceso a travs de la configuracin de un proxy Web externo

6. Utilizar la red Tor. Si no nos importa que la velocidad de navegacin disminuya sensiblemente, se
puede utilizar la red Tor que existe para proporcionar cierto anonimato en Internet y, en este caso, para
burlar tambin los controles de bloqueo definidos.
7. Utilizar el navegador Opera que desde la versin 10 tiene una nueva caracterstica denominada

Opera Turbo Mode que permite a una pgina cargarse de forma ms rpida comprimiendo las
imgenes y otros elementos grficos. La pgina no se sirve directamente al navegador Web sino que es
enviada a travs de los servidores de Opera que comprimen toda la informacin y permiten, de esta
forma, saltarse el bloqueo de la poltica de filtrado.

Fig 8. Acceso a travs de opcin del navegador Opera Turbo Mode

Al hacer que la poltica sea ms restrictiva, filtrando por categoras, palabras clave, DNS y dominio,
nicamente funcionan los mtodos siguientes: utilizar los traductores de Google y Bind, la Cach,
utilizar un proxy externo y utilizar la red Tor. Todas las pginas de anonymizers ya estn bloqueadas
de por s, y la opcin de usar Opera tampoco funciona.
Existen otros mtodos incluso ms efectivos como crear tneles SSH o configurar un equipo de salto
accesible por VNC o RDP o a travs de VPN, pero no se han tratado en este artculo. Otros mtodos igual
de eficientes con otros mecanismos de filtrado como aadir un punto final a la direccin
(http://www.hacktimes.com./) o poner caracteres especiales en la URL no han funcionado.
Ms informacin:
Pgina oficial de Fortinet: http://fortinet.es/
Foro donde se tratan las diferentes opciones de Fortigate: http://www.fortigate.es