GoodbyeDPI como "prueba de estrés" para NGFW: cómo someter al DPI corporativo a cargas sin riesgos

GoodbyeDPI como "prueba de estrés" para NGFW: cómo someter al DPI corporativo a cargas sin riesgos

Casi cualquier cortafuegos de próxima generación (NGFW) moderno promete "ver a través del cifrado" y detectar las técnicas más exóticas de ocultación de tráfico. Sin embargo, en la práctica verificar esas afirmaciones suele ser más difícil que plasmarlas en un folleto de marketing. Aquí entra en escena GoodbyeDPI: una utilidad compacta capaz de simular decenas de manipulaciones ingeniosas de paquetes que normalmente solo se ven en bancos de pruebas avanzados o en nubes híbridas. Funciona sobre el controlador WinDivert y no requiere intervenir la infraestructura de red: basta ejecutarla en un host de prueba. 

Por qué es útil para los equipos de seguridad

Incluso un modelo NGFW de primera gama le ofrecerá una lista enorme de firmas, inspecciones y analítica "inteligente". Pero en una red real importa otra cosa: si estos mecanismos se activan ante versiones impredecibles y "sucias" de paquetes que nunca aparecen en el segmento fintech, pero que algún día pueden llegar desde el portátil de un auditor. GoodbyeDPI permite:

  • Fragmentar TCP-flujo en microsegmentos y observar si el NGFW reacciona al tamaño anómalo de MSS.
  • Dividir el encabezado HTTP Host: en varios paquetes, comprobando exactamente dónde el DPI "pega" la cadena.
  • Manipular los valores TTL para detectar dispositivos que dependen de la profundidad de la ruta.
  • Cambiar dinámicamente el Window Size, evaluando la robustez de los mecanismos de reensamblado.
  • Crear "ruido" añadiendo campos adicionales pero legítimos en las opciones TCP, observando si aparecen falsos positivos.

Mini-laboratorio: topología y la primera sangre

El banco de pruebas básico se monta en media hora:

  1. Levante una máquina virtual (Windows 10/11) en el mismo segmento L2 donde está ubicado el NGFW.
  2. Instale WinDivert ( sitio oficial) y descomprima GoodbyeDPI en un directorio conveniente.
  3. Configure en la VM una ruta estática a través del NGFW de prueba, para que el tráfico pase estrictamente por él.
  4. Ejecute, por ejemplo:
    goodbyedpi.exe -j -w 10 -s 8192
    — con opciones de fragmentación HTTP y ajuste del tamaño de ventana.
  5. Genere carga (curl, wget o un script de Selenium) contra el servicio web de prueba y observe los registros del NGFW.

En la mayoría de los casos verá exactamente dos extremos: o el NGFW deja pasar todo como HTTPS "limpio", o interrumpe sesiones en una fase temprana del apretón de manos TLS. En cualquier caso, es un excelente indicador de que es hora de pasar del modo "laboratorio" al operativo.

Análisis: qué mirar exactamente en los registros del NGFW

A continuación, una lista de verificación que usamos en las auditorías de redes corporativas:

  • IPS ID. ¿Se registró alguna activación de la firma IPS? Si no — la base necesita actualización.
  • DPI Engine Verdict. ¿El motor detecta la entrega diferida del Application ID tras la fragmentación?
  • Session Age / Bytes. ¿Quedó la sesión en "Established" hasta que expiró el tiempo de espera?
  • Threat Score. ¿Marca el NGFW banderas TCP no estándar como sospechosas?
  • SSL Handshake. ¿Se completó correctamente y en qué fase las políticas lo interrumpieron?

Automatización de experimentos: CI/CD para NetSec

Las ejecuciones puntuales dan una "foto" del estado, pero la red corporativa vive y cambia. Integre GoodbyeDPI con Jenkins o GitLab CI: un script invoca distintos presets de opciones, ejecuta pruebas con curl y cada vez almacena los registros en S3. Así puede construir una simple retrospectiva de la robustez de las reglas NGFW y detectar el momento en que una actualización de firmware rompió el DPI.

Buenas prácticas y detalles finos

  • Subred aislada. Nunca haga pasar tráfico experimental por la pasarela de producción de la empresa: asigne un VLAN o incluso un VRF separado.
  • Política clara de "máquina limpia". Tras las pruebas, restaure el snapshot o reinstale el sistema: WinDivert y los controladores tienden a quedarse en memoria.
  • Capturas PCAP. Grabe todo con tcpdump/Wireshark — ayudará a analizar casos discutibles con el proveedor del NGFW.
  • Versionado de configuraciones. Guarde los presets de GoodbyeDPI en Git para ver qué combinación de flags "rompió" una política en una versión concreta del NGFW.
  • Coordinación con el equipo de TI. A pesar del carácter de laboratorio, la utilidad trabaja con paquetes en bruto; asegúrese de que nadie bloquee accidentalmente su host de prueba con sistemas NAC.

Conclusiones

GoodbyeDPI no es un "botón mágico", sino un microscopio de laboratorio para NGFW. Permite sin generadores de tráfico pesados mostrar hasta qué punto su DPI recoge correctamente una sesión "rota" y en qué punto exactamente las reglas fallan. Cuando los folletos de marketing prometen un millón de TPS y "transparencia" a nivel de enlace, ese microscopio se vuelve una herramienta obligatoria del escepticismo racional. Es, por tanto, la garantía de que su perímetro soportará no solo paquetes perfectos según los RFC, sino también el tráfico real, a veces bastante exótico, de la red corporativa.

¡Felices pruebas — que RST,ACK esté con ustedes!

Alt text
article-title

Niko Nepo