it-swarm-eu.dev

Wie können Angreifer Firewalls umgehen?

Ich habe den Wikipedia-Artikel über Firewalls gelesen, verstehe aber nicht die Firewall-Sicherheit und wie ein Angreifer von außen die Firewall umgehen kann, um das Zielsystem zu hacken.

Wir alle wissen, dass es passiert, aber welche Methoden machen es möglich?

8
Ted

Firewalls werden nicht in dem Sinne "umgangen", wie Hollywood Sie glauben machen würde. Sie prüfen den eingehenden und ausgehenden Verkehr anhand einer Reihe von Regeln. Diese Regeln können auf Metadaten (z. B. Portnummer, IP-Adresse, Protokolltyp usw.) oder realen Daten basieren, d. H. Der Nutzlast des Pakets.

Zum Beispiel:

  • Verwerfen Sie alle eingehenden Pakete von der IP-Adresse 1.2.3.4
  • Löschen Sie alle eingehenden TCP - Pakete an Port 22, es sei denn, sie stammen von der IP-Adresse 2.3.4.5
  • Löschen Sie alle eingehenden TCP -Pakete mit gesetztem RST-Flag, wenn die Sequenznummer nicht mit der einer bekannten Verbindung übereinstimmt.
  • Verwerfen Sie alle eingehenden und ausgehenden NetBIOS-Pakete.
  • Verwerfen Sie alle eingehenden Pakete auf TCP Port 80, der die Zeichenfolge ASCII string 0x31303235343830303536 Enthält).

Moderne Firewalls bestehen normalerweise aus den folgenden Regelsätzen:

  • Basisregelsatz - normalerweise "Alle blockieren", gefolgt von einer Liste von Ausnahmen für häufig verwendete Dienste/Protokolle (z. B. ausgehende HTTP-Anforderungen)
  • Benutzerdefinierter Regelsatz - Ein Satz von Benutzerregeln, die den Basisregelsatz überschreiben/ergänzen sollen.
  • Signaturregelsatz - Ein Satz von Signaturen, um bekannte Exploits zu verhindern. Die letzte Regel in meiner Liste ist ein Beispiel dafür - sie erkennt das Havij SQL-Injection-Tool. Diese überschreiben normalerweise alle anderen Regeln. Dieser Satz ist analog zu einer Anti-Malware-Datenbank und muss regelmäßig aktualisiert werden.

Das Umgehen einer Firewall ist nicht wirklich möglich. Der gesamte Datenverkehr wird gemäß den konfigurierten Regeln gefiltert. Eine Firewall macht jedoch nur das, was ihr gesagt wird - eine falsch konfigurierte oder veraltete Firewall kann einen Angriff zulassen.

Möglichkeiten, wie ich mir vorstellen kann, um eine Firewall zu umgehen:

  • Gehen Sie buchstäblich darum herum. Suchen Sie einen anderen Einstiegspunkt in das Netzwerk, der die Firewall nicht durchläuft. Senden Sie beispielsweise Malware oder einen Exploit per E-Mail an einen internen Benutzer.
  • Nutzen Sie eine falsch konfigurierte Firewall aus, indem Sie Pakete erstellen, die die Regeln nicht auslösen. Schwierig, aber möglicherweise möglich.
  • Senden Sie benutzerdefinierte Exploit-Nutzdaten an einem offenen Port an das Ziel. Firewalls können nur bekannte Exploits identifizieren.
30
Polynomial

Der einfachste Weg, um eine Firewall zu umgehen, sind sogenannte clientseitige Angriffe. Wenn ein Computer auf der geschützten Seite der Firewall eine gültige Verbindung zu einem Angreifer herstellt, gibt es nichts, was eine typische Firewall-Regel auslösen könnte. Wenn beispielsweise ein Firewall-Computer über Port 80 eine HTTP-Verbindung zu einer Website herstellt, die Schwachstellen im Browser (oder Java) ausnutzt, kann die Firewall nur wenig als bösartig erkennen: Webdatenverkehr über einen Webport.

Sobald im Netzwerk Fuß gefasst ist, kann der Angreifer verschlüsselte Tunnel einrichten, die an zulässigen Ports durch die Firewall verlaufen. Dies ist eine andere Art der Umgehung.

Zum Thema direkte Firewall-Angriffe Toolsvorhanden , um herauszufinden, wie eine Firewall für verschiedene Ports konfiguriert ist. Mit diesen Informationen kann der Datenverkehr so ​​konfiguriert werden, dass er durch die Firewall geleitet wird. Auf der einfachsten Ebene kann das Fragmentieren von Paketen effektiv dazu führen, dass verschiedene Firewall- und IPS -Regelsätze) nicht ausgelöst werden, da jedes Paket nicht genügend Daten enthält. Die Firewall muss so konfiguriert sein, dass der gesamte zuvor fragmentierte Paketsatz gespeichert wird Inspektion.

7
schroeder

Die Antwort hängt wirklich von Ihrer Definition von "Umgehen" ab.

Der wichtigste Faktor, um sicherzustellen, dass eine Firewall maximalen Schutz bietet, ist die ordnungsgemäße Konfiguration. Eine Firewall ist ein dummes Gerät in dem Sinne, dass Sie konfigurieren müssen, was Sie möchten, dass es durch/blockiert. Eine schlecht konfigurierte Firewall hinterlässt klaffende Löcher in Ihrer Angriffsfläche. Wenn ein Angreifer eintritt, ist dies nicht die Schuld der Firewall. es tat nur das, was es gesagt wurde. Man könnte argumentieren, dass die Firewall technisch nicht "umgangen" wurde, weil nie gesagt wurde, dass sie den relevanten Verkehr überhaupt einschränken soll.

Abhängig vom Funktionsumfang der Firewall können Sie den Zugriff nur auf bestimmte Weise einschränken. Obwohl einige Penetrationstechniken versuchen könnten, eine Schwachstelle oder Schwachstelle in der Firewall-Software auszunutzen - was ich denke könnte als "Bypass" klassifizieren -, konzentrieren sich die meisten Techniken auf die Ausnutzung schlecht konfigurierter Firewalls (siehe Punkt oben) ) oder Systeme, die sich hinter der Firewall befinden. Wenn Sie beispielsweise einen schlecht konfigurierten SSH-Server hinter der Firewall haben, ist es nicht die Schuld der Firewall, dass sich der Angreifer als root mit "password" als Kennwort authentifizieren konnte. Die Firewall wurde so konfiguriert, dass nur der Zugriff über Port 22 (SSH) möglich ist. Auch hier könnte man zu Recht argumentieren, dass die Firewall in dieser Situation nicht umgangen wurde, aber immer noch jemand in Ihr Netzwerk gelangt ist.

Einige Firewalls bieten erweiterte Funktionen wie Intrusion Prevention und Filterung auf Anwendungsebene. IPS Firewalls versuchen, den Inhalt des fließenden Datenverkehrs zu verstehen, und blockieren einige gängige Methoden zum Ausnutzen von Schwachstellen in dahinter gehosteten Systemen. Dies setzt wiederum eine sorgfältige Konfiguration voraus, um effektiv zu sein Ich habe den richtigen IPS - Schutz nicht aktiviert. Dann ist es nicht die Schuld der Firewall, wenn jemand diese Sicherheitsanfälligkeit erfolgreich ausnutzt. Es gibt einige Penetrationstechniken, die versuchen, den Datenverkehr in einer Form, die dies nicht tut, an diesen Schutzmaßnahmen vorbeizuschieben Lösen Sie den Block aus, nutzen Sie aber trotzdem die Schwäche aus. Es ist ein Katz-und-Maus-Spiel, das dem Virenschutz ähnelt. Ich denke, Sie könnten diese als "Umgehen" der Firewall bezeichnen.

Kurz gesagt, eine Firewall ist nur so gut wie der Administrator, der sie konfiguriert, und es kann nur erwartet werden, dass sie den Datenverkehr aufgrund ihrer Funktionen einschränkt. Es ist kein Ersatz für das Härten der dahinter liegenden Systeme, auf die sich die meisten Angriffe konzentrieren werden.

3
dbr

Firewalls sind Kernelemente der Netzwerksicherheit. Das Verwalten von Firewall-Regeln, insbesondere für Unternehmensnetzwerke, ist jedoch eine komplexe und fehleranfällige Aufgabe. Firewall-Filterregeln müssen sorgfältig geschrieben und organisiert werden, um die Sicherheitsrichtlinie korrekt zu implementieren. Darüber hinaus erfordert das Einfügen oder Ändern einer Filterregel eine gründliche Analyse der Beziehung zwischen dieser Regel und allen anderen Regeln, um die richtige Reihenfolge dieser Regel zu bestimmen und die Aktualisierungen festzuschreiben. Das Erkennen der Anomalien in Firewall-Regelkonfigurationen ist ein sehr heißes Forschungsthema, und es gibt eine Menge Forschung darüber, von denen ich einige interessant finde is .

Das Ziel des Angreifers ist es, diese Anomalien in Firewall-Konfigurationen zu beseitigen. Dies geschieht durch Firewall-Fingerabdrücke, bei denen er harmlose Pakete sendet, um Firewall-Regeln zu erraten und Lücken darin zu finden. Um eine solche Art der Ausnutzung zu verhindern, werden die meisten Firewalls hinter IPS in einem Musteraufruf DMZ wobei IPS versucht, Firewall-Fingerabdrücke durch Heuristik oder statistische Messung (Entropie), dh Port-Scanning, zu verhindern.

1
Ali Ahmad