it-swarm-eu.dev

Jak mohou útočníci obejít brány firewall?

Přečetl jsem článek Wikipedie o firewallech , ale nerozumím bezpečnosti firewallu a jak útočník z vnějšku může obejít firewall k hackování cílového systému.

Všichni víme, že se to stane, ale jaké metody to umožňují?

8
Ted

Firewally nejsou „obcházeny“ v tom smyslu, že by vám Hollywood věřil. Fungují tak, že kontrolují příchozí a odchozí provoz na základě souboru pravidel. Tato pravidla mohou být založena na metadatech (např. Číslo portu, IP adresa, typ protokolu atd.) Nebo na skutečných datech, tj. Užitečné zatížení paketu.

Například:

  • Vypusťte všechny příchozí pakety z IP adresy 1.2.3.4
  • Zaškrtněte všechny příchozí TCP pakety) na portu 22, pokud nejsou z IP adresy 2.3.4.5
  • Pokud pořadové číslo neodpovídá známému připojení, zrušte všechny příchozí TCP pakety s nastaveným příznakem RST).
  • Vypusťte všechny příchozí a odchozí pakety NetBIOS.
  • Přetáhněte všechny příchozí pakety na TCP port 80, který obsahuje řetězec ASCII řetězec 0x31303235343830303536.

Moderní brány firewall obvykle sestávají z následujících sad pravidel:

  • Sada základních pravidel - obvykle „blokovat vše“ následovaná seznamem výjimek pro běžně používané služby/protokoly (např. Odchozí požadavky HTTP)
  • Vlastní sada pravidel - sada uživatelských pravidel navržená k přepsání/doplnění základní sady pravidel.
  • Sada podpisových pravidel - sada podpisů, která zabrání známým zneužitím. Příkladem toho je poslední pravidlo v mém seznamu - detekuje nástroj pro vstřikování Havij SQL. Tito obvykle potlačí všechna ostatní pravidla. Tato sada je analogická s anti-malware databází a musí být často aktualizován.

Obcházení brány firewall není ve skutečnosti něco, co lze udělat. Veškerý provoz, který jím prochází, je filtrován podle nakonfigurovaných pravidel. Firewall však provádí pouze to, co je řečeno - chybně nakonfigurovaný nebo zastaralý firewall může útok umožnit.

Způsoby, jak přemýšlet, jak obejít firewall:

  • Doslova to obejít. Najděte další vstupní bod do sítě, která neprochází bránou firewall. Například pošlete nějaký malware nebo zneužití internímu uživateli e-mailem.
  • Využijte nesprávně nakonfigurovaný firewall vytvořením paketů, které pravidla nespouštějí. Obtížné, ale potenciálně možné.
  • Odesílejte vlastní využitelná užitečná zatížení do cíle na otevřeném portu. Brány firewall mohou identifikovat pouze známé využití.
30
Polynomial

Nejjednodušší způsob, jak obejít bránu firewall, je tzv. Útoky na straně klienta. Pokud počítač na chráněné straně brány firewall vytvoří platné připojení k útočníkovi, nelze spustit typické pravidlo brány firewall. Pokud například počítač s bránou firewall naváže spojení HTTP na portu 80 s webem určeným k zneužití zranitelností prohlížeče (nebo Java), firewall nemůže rozpoznat jako škodlivý: webový provoz přes webový port.

Jakmile se v síti získá opora, může útočník nastavit šifrované tunely, které prochází bránou firewall na povolených portech, což je další druh „obtoku“.

Pokud jde o přímé útoky na firewall, toolsexist mapujte, jak je firewall konfigurován pro různé porty. Na základě těchto informací lze provoz nakonfigurovat tak, aby procházel bránou firewall. Na nejjednodušší úrovni mohou být fragmentační pakety účinné při nespouštění různých firewallů a IPS pravidel pravidel, protože každý paket neobsahuje dostatek dat. Firewall musí být nakonfigurován tak, aby uložil celou fragmentovanou sadu paketů dříve, než inspekce.

7
schroeder

Odpověď opravdu závisí na vaší definici „obtoku“.

Nejdůležitějším faktorem při zajišťování maximální ochrany brány firewall je zajistit, aby byl správně nakonfigurován. Firewall je hloupé zařízení v tom smyslu, že musíte nakonfigurovat, co chcete, aby umožňoval skrz/blokovat. Špatně nakonfigurovaný firewall ponechá ve vaší útočné ploše mezery. Pokud se útočník dostane dovnitř, není to chyba brány firewall; dělalo to, co bylo řečeno. Dalo by se namítnout, že firewall nebyl technicky „obcházen“, protože nebylo nikdy řečeno, aby omezoval relevantní přenos na prvním místě.

V závislosti na sadě funkcí brány firewall vám to umožní omezit přístup pouze určitými způsoby. Přestože se některé penetrační techniky mohou pokusit zneužít zranitelnost nebo slabost v softwaru brány firewall - což je podle vás mohlo by třídu jako „obejití“ - většina technik je zaměřena na využití špatně nakonfigurovaných firewallů (viz bod výše) ) nebo systémy, které jsou za bránou firewall. Například pokud máte špatně nakonfigurovaný server SSH za bránou firewall, pak to není chyba brány firewall, kterou by útočník mohl ověřit jako root s heslem jako heslem. Firewall byl nakonfigurován tak, aby umožňoval přístup pouze přes port 22 (SSH), takže je hotovo. Opět lze správně tvrdit, že firewall nebyl v této situaci obcházen, ale někdo se stále dostal do vaší sítě.

Některé brány firewall nabízejí pokročilejší funkce, jako je prevence narušení a filtrování aplikační vrstvy. IPS firewally se pokoušejí porozumět obsahu provozu, který proudí, a blokovat některé běžné metody zneužívání slabých stránek v systémech hostovaných za ním. Opět se to spoléhá na pečlivou konfiguraci, aby byla účinná. nepovolili správnou ochranu IPS), pak to není chyba brány firewall, pokud někdo tuto chybu zabezpečení úspěšně zneužije. Existují některé techniky penetrace, které se pokoušejí proklouznout přenos kolem těchto ochran ve formě, která není spusťte blok, ale stále využívá slabost. Je to hra typu kočka a myš podobná antiviru. Myslím, že byste mohli nazvat tyto „obejití“ brány firewall.

Stručně řečeno, firewall je jen tak dobrý jako administrátor, který jej konfiguruje, a lze očekávat, že omezí provoz na základě svých schopností. Není to náhrada za zpevnění systémů za tím, na které se soustředí většina útoků.

3
dbr

Firewall je klíčovým prvkem zabezpečení sítě. Správa pravidel brány firewall, zejména pro podnikové sítě, je však složitá a náchylná k chybám. Pravidla filtrování brány firewall musí být pečlivě napsána a uspořádána, aby bylo možné správně implementovat zásady zabezpečení. Kromě toho vložení nebo úprava pravidla filtrování vyžaduje důkladnou analýzu vztahu mezi tímto pravidlem a všemi ostatními pravidly, aby bylo možné určit správné pořadí tohoto pravidla a provést aktualizace. Identifikace anomálií v konfiguracích pravidel Firewallu je velmi vytápěným tématem výzkumu a je na něm mnoho výzkumů, z nichž některé považuji za zajímavé is .

Cílem útočníka je odhalit tyto anomálie v konfiguracích brány firewall a provádí se pomocí otisku prstu, ve kterém odesílá benigní paket, aby uhodl pravidla brány firewall a nalezl v nich mezery. Aby se zabránilo takovému vykořisťování, většina firewallů je nasazena zaIPS ve vzorovém volání DMZ kde IPS) se snaží zabránit otiskům brány firewall pomocí heuristiky nebo statistického měření (entropie), tj. Skenování portů.

1
Ali Ahmad