phải thực tế chạm đến hệ đích. Firewalk làm việc bằng cách kiến tạo các gói tin với một IP TTL đợc tính toán để kết thúc một chãng vợt quá bức tường lửa. Về lý thuyết, nếu gói tin đợc bức tường lửa cho phép, nó sẽ đợc phép đi qua và sẽ kết thúc nh dự kiến, suy ra một thông điệp "ICMP TTL expired in transit." Mặt khác, nếu gói tin bị ACL của bức tường lửa phong tỏa, nó sẽ bị thả, và hoặc không có đáp ứng nào sẽ đợc gửi, hoặc một gói tin lọc bị ICMP type 13 admin ngăn cấm sẽ đợc gửi. Code: # firewalk -pTCP -S135 -140 10.22.3.1 192.168.1.1 Ramping up hopcounts to binding host . . . probe : 1 TTL : 1 port 33434 : expired from [exposed.acme.com] probe : 2 TTL : 2 port 33434 : expired from [rtr.isp.net] probe : 3 TTL : 3 port 33434 : Bound scan at 3 hops [rtr.isp.net] port open port 136 : open port 137 : open port 138 : open port 139 : * port 140 : open Sự cố duy nhất mà chúng ta gặp khi dùng Firewalk đó là nó có thể ít hơn dự đoán, vì một số bức tường lửa sẽ phát hiện gói tin hết hạn trước khi kiểm tra các ACL của nó và cứ thế gửi trả một gói tin ICMP TTL EXPI#800000. Kết quả là, Firewalk mặc nhận tất cả các cổng đều mở. Biện Pháp Phòng Chống Bạn có thể phong tỏa các gói tin ICMP TTL EXPI#800000 tại cấp giao diện bên ngoài, nhưng điều này có thể tác động tiêu cực đến khả năng vận hành của nó, vì các clien hợp pháp đang nối sẽ không bao giờ biết điều gì đã xảy ra với tuyến nối của chúng. IV. Lọc gói tin Các bức tường lửa lọc gói tin nh Firewall-1 của Check Point, Cisco PIX, và IOS của Cisco (vâng, Cisco IOS có thể đợc xác lập dới dạng một bức tường lửa) tùy thuộc vào các ACL (danh sách kiểm soát truy cập) hoặc các quy tắc để xác định xem luồng traffic có đợc cấp quyền để truyền vào/ra mạng bên trong. Ða phần, các ACL này đợc sắp đặt kỹ và khó khắc phục. Nhưng thông thờng, bạn tình cờ gặp một bức tường lửa có các ACL tự do, cho phép vài gói tin đi qua ở tình trạng mở. . Các ACL Tự Do Các danh sách kiểm soát truy cập (ACL) tự do thờng gặp trên các bức tường lửa nhiều hơn ta tưởng. Hãy xét trờng hợp ở đó có thể một tổ chức phải cho phép ISP thực hiện các đợt chuyển giao miền. Một ACL tự do nh "Cho phép tất cả mọi hoạt động từ cổng nguồn 53" có thể đợc sử dụng thay vì cho phép hoạt động từ serverDNS của ISP với cổng nguồn 53 và cổng đích 53." Nguy cơ tồn tại các cấu hình sai này có thể gây tàn phá thực sự, cho phép một hắc cơ quét nguyên cả mạng từ bên ngoài. Hầu hết các cuộc tấn công này đều bắt đầu bằng một kẻ tấn công tiến hành quét một server đằng sau bức tường lửa và đánh lừa nguồn của nó dới dạng cống 53 (DNS). Biện Pháp Phòng Chống Bảo đảm các quy tắc bức tường lửa giới hạn ai có thể nối ở đâu. Ví dụ, nếu ISP yêu cầu khả năng chuyển giao miền, thì bạn phải rõ ràng về các quy tắc của mình. Hãy yêu cầu một địa chỉ IP nguồn và mã hóa cứng địa chỉ IP đích (serverDNS bên trong của bạn) theo quy tắc mà bạn nghĩ ra. Nếu đang dùng một bức tường lửa Checkpoint, bạn có thể dùng quy tắc sau đây để hạn chế một cổng nguồn 53 (DNS) chỉ đến DNS của ISP. Ví dụ, nếu DNS của ISP là 192.168.66.2 và DNS bên trong của bạn là 172.30.140.1, bạn có thể dùng quy tắc dới đây: Nguồn gốc Ðích Dịch vụ Hành động Dấu vết 192.168.66.2 172.30. 140.1 domain-tcp Accept Short V. Tunneling ICMP và UDP Tunneling ICMP là khả năng đóng khung dữ liệu thực trong một phần đầu ICMP. Nhiều bộ định tuyến và bức tường lửa cho phép ICMP ECHO, ICMP ECHO REPLY, và các gói tin UDP mù quáng đi qua, và như vậy sẽ dễ bị tổn thơng trước kiểu tấn công này. Cũng như chỗ yếu Checkpoint DNS, cuộc tấn công Tunneling ICMP và UDP dựa trên một hệ thống đã bị xâm phạm đứng sau bức tường lửa. Jeremy Rauch và Mike D. Shiffman áp dụng khái niệm Tunneling vào thực tế và đã tạo các công cụ để khai thác nó : loki và lokid (clien và server) -xem http://www.phrack.com/search.phtml?view&article=p49-6. Nếu chạy công cụ serverlokid trên một hệ thống đứng sau bức tường lửa cho phép ICMP ECHO và ECHO REPLY, bạn cho phép attacker chạy công cụ clien (loki), đóng khung mọi lệnh gửi đi trong các gói tin ICMP ECHO đến server(lokid). công cụ lokid sẽ tháo các lệnh, chạy các lệnh cục bộ , và đóng khung kết xuất của các lệnh trong các gói tin ICMP ECHO REPLY trả lại cho bọn tấn công. Dùng kỹ thuật này, attacker có thể hoàn toàn bỏ qua bức tường lửa. Biện Pháp Phòng Chống Ðể ngăn cản kiểu tấn công này, bạn v hiệu hóa khả năng truy cập ICMP thông qua bức tường lừa hoặc cung cấp khả năng truy cập kiểm soát chi tiết trên luồng lu thông ICMP. Ví dụ, Cisco ACL dới đây sẽ v hiệu hóa toàn bộ luồng lu thông ICMP phía ngoài mạng con 172.29.10.0 (DMZ) vì các mục tiêu điều hành: Code: access - list 101 permit icmp any 172.29.10.0 0.255.255.255 8 ! echo access - list 101 permit icmp any 172.29.10.0 0.255.255.255 0 ! echo- reply access - list 102 deny ip any any log ! deny and log all else Cảnh giác: nếu ISP theo dõí thời gian hoạt động của hệ thống bạn đằng sau bức tường lửa của bạn với các ping ICMP (hoàn toàn không nên!), thì các ACL này sẽ phá vỡ chức năng trọng yếu của chúng. Hãy liên hệ với ISP để khám phá xem họ có dùng các ping ICMP để kiểm chứng trên các hệ thống của bạn hay không. Tóm Tắt Trong thực tế một bức tường lửa đợc cấu hình kỹ có thể cũng khó vợt qua. Nhưng dùng các công cụ thu thập thông tin như traceroute, hping, và nmap, attacker có thể phát hiện (hoặc chí ít suy ra) các lộ trình truy cập thông qua bộ định tuyến và bức tường lửa cũng như kiểu bức tường lửa mà bạn đang dùng. Nhiều chỗ yếu hiện hành là do cấu hình sai trong bức tường lửa hoặc thiếu sự giám sát cấp điều hành, nhưng dẫu thế nào, kết quả có thể dẫn đến một cuộc tấn công đại họa nếu được khai thác. Một số điểm yếu cụ thể tồn tại trong các hệ uỷ nhiệm lẫn các bức tường lửa lọc gói tin, bao gồm các kiểu đăng nhập web, telnet, và localhost không thẩm định quyền. Ða phần, có thể áp dụng các biện pháp phòng chống cụ thể để ngăn cấm khai thác chỗ yếu này, và trong vài trờng hợp chỉ có thể đúng kỹ thuật phát hiện. Nhiều người tin rằng tương lai tất yếu của các bức tường lửa sẽ là một dạng lai ghép giữa uỷ nhiệm ứng dụng và công nghệ lọc gói tin hữu trạng [stateful] sẽ cung cấp vài kỹ thuật để hạn chế khả năng cấu hình sai. Các tính năng phản ứng cũng sẽ là một phần của bức tường lửa thế hệ kế tiếp. NAI đã thực thi một dạng như vậy với kiến trúc Active Security. Nhờ đó, ngay khi phát hiện cuộc xâm phạm, các thay đổi đã đợc thiết kế sẵn sẽ tự động khởi phát và áp dụng cho bức tường lửa bị ảnh hưởng. Ví dụ, nếu một IDS có thể phát hiện tiến trình Tunneling ICMP, sản phẩm có thể hướng bức tường lửa đóng các yêu cầu ICMP ECHO vào trong bức tường lửa. Bối cảnh như vậy luân là cơ hội cho một cuộc tấn công DDoS; đó là lý do tại sao luân cần có mặt các nhân viên bảo mật kinh nghiệm. Theo: Hacking exposed Firewall + phương pháp của Hacker + cách phòng chống Tác giả: KiemKhach HVAOnline 1. Tổng quan về tường lửa : - Theo tớ được biết thì hiện nay trên thị trường có 2 loại tường lửa : ủy nhiệm ứng dụng(application proxies) và cổng lọc gói tin ( packet filtering getways ). 2. Nhận dạng tương lửa -Hầu hết thì các tường lửa thường có 1 số dạng đặc trưng, chỉ cần thực hiện một số thao tác như quét cổng và firewalking và lấy banner (thông tin giới thiệu-tiêu đề ) là hacker có thể xác định được loại tường lửa, phiên bản và quy luật của chúng. -Theo các bạn thì tại sao nhận dạng tường lửa lại quan trọng ? và câu trả lời là Bởi nếu như đã biết được các thông tin đích xác về tường lửa và cách khai thác những điểm yếu này . a. Quét trực tiếp - kỹ thuật lộ liễu + Cách tiến hành -Một cách đơn giản nhất để tìm ra tường lửa là quét các cổng mặc định. Theo tớ được biết thì một vài tường lửa trên thị trường tự nhận dạng mình bằng việc quét cổng - ta chỉ cần biết những cổng nào cần quét . Ví dụ như Proxy Sever của Microsoft nghe các cổng TCP 1080 va 1745 etc Như vậy để tìm tường lửa ta sử dụng nmap đơn giản như sau : Nmap -n -vv -p0 -p256,1080,1745 192.168.50.1 -60.250 Từ những kẻ tấn công vụng về cho đến những kẻ sành sỏi đều dùng phương pháp quét diện rộng đối với mạng làm việc của bạn để nhận diện tường lửa.Tuy nhiên , những hacker nguy hiểm sẽ tiến hành công việc quét càng thầm lặng , càng kín đáo càng tốt . Các hacker có thềdung nhiều kĩ thuật để thoát khỏi sự phát hiện của chúng ta bao gồm ping ngẫu nhiên Các hệ thống dò xâm nhập ( IDS - Intruction Detection System ) không thể phát hiện những hành động quét cổng áp dụng những kĩ thuật tinh vi để lẩn tránh bởi chúng được ngầm định lập cấu hình chỉ để nghe những hành động quét cổng lộ liễu nhất mà thôi . Trừ khi chúng ta có những thiết lập đúng đắn cho IDS , nếu không việc quét cổng sẽ diễn ra rất âm thầm và nhanh chóng. Chúng ta hoàn toàn có thể tạo ra những hành vi quét cổng như vậy khi sử dụng những đoạn script có sẵn trên nhiều trang web như : www.hackingexposed.com *** Cách đối phó *** Nếu các bồ dùng RealSecure 3.0 thì có thể làm như sau: -Để RealSecure 3.0 có thể phát hiện ra các hành vi quét cổng , chúng ta cần phải nâng cao tính nhạy cảm của nó , có thể sử dụng những thay đổi sau : - Chọn Network Engine Policy - Tìm "Port Scan " và chọn nút Options - Sửa Ports thành 5 ports - Sửa Delta thành 60 seconds - Để ngăn chặn việc quét cổng tường lửa từ Internet ta cần phải khóa các cổng này ở những router đứng trước Firewall.Trong trường hợp những thiết bị này do ISP quản lý, ta phải liên hệ với họ. b. Lần theo tuyến (Route tracking )- Sử dụng chương trình traceroute để nhận diện tương lửa trên một mạng làm việc là một phương pháp âm thầm và không khéo hơn. Chúng ta có thể sử dụng traceroute trên môi trường UNIX và tracert.exe trên môi trường Windows NT để tìm đường đến mục tiêu. Traceroute của LINUX có khóa lựa chọn -I để thực hiện việc lần theo tuyến bằng cách gửi đi các gói ICMP [vtt]$ traceroute -I 192.168.51.100 traceroute to 192.168.51.101 (192.168.51.100), 30 hops max, 40 byte packages 1 attack-gw (192.168.50.21) 5.801 ms 5.105 ms 5.445 ms 2 gw1.smallisp.net (192.168.51.1) 15 192.168.51.101 (192.168.51.100) . của bạn để nhận diện tường lửa.Tuy nhiên , những hacker nguy hiểm sẽ tiến hành công việc quét càng thầm lặng , càng kín đáo càng tốt . Các hacker có thềdung nhiều kĩ thuật để thoát khỏi sự. một số thao tác như quét cổng và firewalking và lấy banner (thông tin giới thiệu-tiêu đề ) là hacker có thể xác định được loại tường lửa, phiên bản và quy luật của chúng. -Theo các bạn thì. mặt các nhân viên bảo mật kinh nghiệm. Theo: Hacking exposed Firewall + phương pháp của Hacker + cách phòng chống Tác giả: KiemKhach HVAOnline 1. Tổng quan về tường lửa : - Theo