Đang tải... (xem toàn văn)
Các kiểu tấn công vào Firewall và các biện pháp phòng chống
Các kiểu công vào Firewall biện pháp phòng chống : trang đọc lần Suốt từ Cheswick Bellovin viết anh hùng ca cách xây dựng tường lửa theo dõi hacker quỷ quyệt tên Berferd, ý tưởng thiết đặt hệ phục vụ web Internet mà không triển khai tường lửa xem tự sát Cũng tự sát định phó mặc nhiệm vụ tường lửa vào tay kỹ sư mạng Tuy giới tìm hiểu quan hệ mật thiết kỹ thuật tường lửa, song lại khơng hịa chung nhịp thở với hệ bảo mật tìm hiểu não trạng kỹ thuật tay hacker quỷ quyệt Kết là, tường lửa bị chọc thủng cấu hình sai, cho phép bọn công nhảy bổ vào mạng gây đại họa I Phong cảnh tường lửa Hai kiểu tường lửa thống lĩnh thị trường hỉện nay: hệ giám quản ứng dụng (application proxies) cácôngõ thông lọc gói tin (packet filtering gateway) Tuy hệ giám quản ứng dụng xem an ninh cácôngỏ thơng lọc gói tin, song chất hạn hẹp hạn chế khả vận hành chúng giới hạn chúng vào luồng lưu thông công ty thay luồng lưu thơng vào hệ phục vụ web cơng ty Trong đó, ta gặp cácơngỏ thơng lọc gói tin, cácơngỏ thơng lọc gói tin hữu trạng (stateful) phức hợp hơn, mặt khác, nhiều tổ chức lớn có yêu cầu khả vận hành cao.Nhiều người tin cha xuất bứcc tường lửa hoàn hảo , nhng tương lai đầy sán lạn Một số hăng kinh doanh nh Network Associates Inc (NAI), AXENT, Internet Dynamics, Microsoft phát triển cơng nghệ cung cấp tính bảo mật công nghệ giám quản với khả vận hành cơng nghệ lọc gói tin (một dạng lai ghép hai công nghệ) Nhưng chúng cha già dặn.Suốt từ tường lửa cài đặt, tường lửa bảo vệ vô số mạng tránh cặp mắt tò mò bọn phá hoại lâu chúng trở thành phương thuốc trị bách bệnh bảo mật Các chỗ yếu bảo mật phát hàng năm với kiểu tường lửa thị trường.Tệ hại hơn, hầu hết tường lửa thường bị cấu hình sai, khơng bảo trì, khơng giám sát, biến chúng trở thành vật cản cửa điện tử (giữ cho cácôngỏ thông rộng mở) Nến không phạm sai lầm, tường lửa thiết kế, cấu hình, bảo trì kỹ lưỡng khơng thể đột nhập Thực tế, hầu hết kẻ cơng có tay nghề cao biết điều đơn giản tránh vòng qua tường lửa cách khai thác tuyến quan hệ ủy quản (trust relationships) chỗ yếu bảo mật nối kết lỏng lẻo nhất, tránh hồn tồn cách cơng qua tài khoản quay số Ðiểm bản: hầu hết bọn cơng dồn nỗ lực để vịng qua tường lửa mạnh - mục tiêu tạo tường lửa mạnh Với tư cách điều hành viên tường lửa, ta biết rõ tầm quan trọng việc tìm hiểu kẻ địch Nắm bước mà bọn công thực để bỏ qua tường lửa giúp bạn nhiều việc phát phản ứng lại công Chương hướng dẫn bạn qua kỹ thuật thường dùng để phát điểm danh tường lửa, đồng thời mô tả vài cách mà bọn công gắng bỏ qua chúng Với kỹ thuật, ta tìm hiểu cách phát ngăn chặn công II Ðịnh danh tường lửa Hầu hết tường lửa mang "mùi hơng" điện tử Nghĩa là, với tiến trình quét cổng, lập cầu lửa, nắm giữ biểu ngữ đơn giản, bọn ng hiệu xác định kiểu, phiên bản, quy tắc hầu hết tường lửa mạng Tại việc định danh lại quan trọng? Bởi ánh xạ tường lửa, chúng bắt đầu tìm hìểu điểm yếu gắng khai thác chúng Quét trực tiếp : Kỹ thuật Noisy Cách dễ để tìm kiếm tường lửa quét cổng ngầm định cụ thể Một số tường lửa thị trường tự định danh đợt quét cổng đơn giản bạn cần biết nội dung tìm kiếm Ví dụ, Firewall-1 Check point lắng chờ cổng TCP 256, 257, 258, Proxy Server Microsoft thường lắng chờ cổng TCP 1080 1745 Với hiểu biết này, trình tìm kiếm kiểu tường lửa chẳng có khó với quét cổng nmap: nmap -n -vv -P0 -p256,1080,1745 192.168.50.1 - 60.254 Dùng khóa chuyển -PO để v hiệu hóa tính ping ICMP trước quét Ðiều quan trọng hầu hết tường lửa không đáp ứng yêu cầu dội ICMP Cả bọn công nhút nhát lẫn bạo tiến hành quét rộng rãi mạng bạn theo cách này, tìm kiếm tường lửa tìm kiếm khe hở két sắt vành đai bạn Nhng bọn công nguy hiểm lùng sục vành đai bạn lút tốt Có nhiều kỹ thuật mà bọn cơng sử dụng để hạ sập radar bạn, bao gồm ngẫu nhiên hóa ping, cổng đích, địa đích, cổng nguồn;dùng hệ chủ cò mồi; thực đợt quét nguồn có phân phối Nếu cho hệ thống phát xâm nhập (IDS) bạn nh RealSecure Internet Security Systems SessionWall-3 Abirnet phát bọn công nguy hiểm này, bạn nên suy nghĩ lại Hầu hết IDS ngầm định cấu hình để nghe đợt quét cổng ngu đần ồn Trừ phi bạn sử dụng IDS nhanh nhạy tinh chỉnh ký danh phát hiện, hầu hết cơng hồn tồn làm ngơ Bạn tạo đợt quét ngẫu nhiên hóa nh cách dùng ký mã Perl cung cấp chuyên khu web www.osborne.com/ hacking Các biện pháp phòng chống Bạn cần phong tỏa kiểu quét định tuyến biên dùng kiểu công cụ phát đột nhập miễn phí thơng mại Mặc dù thế, đợt quét cổng đơn lẻ không đợc thu nhặt theo ngầm định hầu hết IDS bạn phải tinh chỉnh độ nhạy cảm trước dựa vào tính phát Phát Hiện Ðể xác phát đợt quét cổng tính ngẫu nhiên hóa hệ chủ cò mồi, bạn cần tinh chỉnh lý danh phát quét cổng Tham khảo tài liệu hướng dẫn sử dụng hãng kinh doanh IDS để biết thêm chi tiết Nêu muốn dùng RealSecure 3.0 để phát tiến trình quét đây, bạn phải nâng cao độ nhạy cảm theo đợt quét cổng đơn lẻ bàng cách sửa đổi tham số ký danh quét cổng Bạn nên thay đổi nội dung dới để tạo độ nhạy cảm cho quét này: Lựa tùy biến (Customize) Network Engine Policy 2 Tìm "Port Scan" lựa tùy chọn Options Thay đổi ports thành cổng Thay đổi Delta thành 60 giây Nếu dùng Firewall-l với UNIX, bạn dùng trình tiện ích Lance Spitzner để phát đợt quét cổng Firewall-1 www.enteract.com/~lspitz/intrusion.html Ký mã alert.sh ng cấu hình Check point để phát giám sát đợt quét cổng chạy User Defined Alert đợc ứng tác Phòng Chống Ðể ngăn cản đợt quét cổng tường lửa từ Internet, bạn cần phong tỏa cổng định tuyến đứng trước tường lửa Nếu thiết bị ISP quản lý, bạn cần liên hệ với họ để tiến hành phong tỏa Nếu tự bạn quản lý chúng, bạn dùng Cisco ACL dớí để phong tỏa rõ rệt đợt quét nêu đây: access - list 101 deny tcp any any eq 256 log ! Block Firewall-l scans access - list 101 deny tcp any any eq 257 log ! Block Firewall-l scans access - list 101 deny tcp any any eq 258 log ! Block Firewall-l scans access - list 101 deny tcp any any eq 1080 log ! Block Socks scans access - list 101 deny tcp any any eq 1745 log ! Block Winsock scans Ghi : Nếu phong tỏa cổng Check Point (256-258) dịnh tuyến biên, bạn quản lửa bừc từờng lửa từ lnternet Ngoài ra, tất định tuyến phải có quy tắc dọn dẹp (nếu khơng khước từ gói tìn theo ngầm định), có hiệu ứng nh định tác vụ khước từ: access - list 101 deny ip any any log ! Deny and log any packet that got through our ACLs above Rà Tuyến Ðờng Một cách thinh lặng tinh tế để tìm tường lửa mạng dùng traceroute Bạn dùng traceroute UNIX tracert.exe NT để tìm chặng dọc trên đường truyền đến đích tiến hành suy diễn Traceroute Linux có tùy chọn -I, thực rà đường cách gửi gói tin ICMP, trái với kỹ thuật gói tin UDP ngầm định [ sm@atsunami sm] $ traceroute - I www.yourcompany.com traceroute to www.yourcompany.com ( 172.17.100.2 ) , 30 hops max, 140 byte packets attack-gw ( 192.168.50.21) 5.801 ms 5.105 ms 5.445 ms gw1.smallisp.net ( 192.168.51.l) gw2.smallisp.net ( 192.168.52.2) 13 hssi.bigisp.net ( 10.55.201.2 ) 14 seriall.bigisp.net ( 10.55.202.l) 15 www.yourcompany.com ( 172.29.11.2) Có may chặng đứng trước đích ( 10.55.202.1) tường lửa, nhng ta cha biết Cần phải đào sâu thêm chút Ví dụ tuyệt vời định tuyến bạn hệ phục vụ đích đáp ứng gói tin có TTL hết hạn Nhng số định tuyến tường lửa đợc xác lập để khơng trả gói tin ICMP có TTL hết hạn (từ gói tin ICMP lẫn UDP) Trong trờng hợp này, suy diễn khoa học Tất bạn thực chạy traceroute xem chặng đáp ứng cuối cùng, suy tường lửa chí định tuyến đường truyền bắt đầu phong tỏa tính tracerouting Ví dụ, ICMP bị phong tỏa đến đích nó, khơng có đáp ứng từ định tuyến vợt client gw.smallisp.net : stoneface (192.168.10.33) 12.640 ms 8.367 ms gw1.localisp.net (172.31.10.1) 214.582 ms 197.992 ms gw2.localisp.net (172.31.10.2) 206.627 ms 38.931 ms dsl.localisp.net (172.31.12.254) 47.167 ms 52.640 ms 14 ATM6.LAX2.BIGISP.NET (10.50.2.1) 250.030 ms 391.716 ms 15 ATM7.SDG.BIGISP.NET (10.50.2.5) 234.668 ms 384.525 ms 16 client-gw.smallisp.net (10.50.3.250) 244.065 ms ! X * * 17 * * * 18 * * * Các Biện Pháp Phòng Chống Việc chỉnh sửa rò rỉ thơng tin traceroute hạn chế tối đa tường lửa định tuyến đáp ứng gói tin có TTL hết hạn Tuy nhiên, điều lúc n m dới kiểm sốt bạn nhiều định tuyến n m dới s điều khiển cúa ISP Phát Hiện Ðể phát traceroute chuẩn biên, bạn cần giám sát gói tin UDP ICMP có giá trị TTL Ðể thực điều với RealSecure 3.0, bạn bảo đảm đánh dấu TRACE_ROUTE decode name Security Events Network Engine Policy Phòng chống Ðể ngăn cản traceroute chạy biên, bạn cấu hình định tuyến khơng đáp ứng thơng điệp TTL EXPI#800000 nhận gói tin có TTL ACL dới làm việc với định tuyến Cisco: access - list 101 deny ip any any 11 ! ttl-exceeded Hoặc theo lý tởng, bạn nên phong tỏa toàn luồng lu thông UDP không cần thiết định tuyến biên Nắm Giữ Biểu Ngữ Kỹ thuật quét tìm cổng tường lừa hữu ích việc định vị tường lửa, nhng hầu hết tường lửa không lắng chờ cổng ngầm định nh Check point Microsoft, việc phát phải đợc suy diễn Nhiều tường lứa phổ dụng công bố diện chúng cách đơn giản nối với chúng Ví dụ , nhiều tường lửa giám quản công bố chức cúa chúng với t cách tường lửa, số quảng cáo kiểu phiên chúng Ví dụ, ta nối với máy tin tường lửa netcat cổng 21 (FTP ), ta thấy số thông tin thú vị : C:\TEMP>nc -v -n 192.168.51.129 l [UNKNOWN] [ 192.168.5l.129 ] l ( ? ) open 220 Secure Gateway FTP server ready Biểu ngữ "Secure Gateway server FTP ready" dấu hiệu lộ tẩy hộp Eagle Raptor cũ Việc nối thêm với cổng 23 (telnet) xác nhận tên tường lửa "Eagle." C:\TEMP>nc -v -n 192.168.51.129 23 [UNKNOWN] [ 192.168.5l.129 ] 23 ( ? ) open Eagle Secure Gateway Hostname : Và cuối chưa bị thuyết phục hệ chủ bạn tường lửa bạn netcat với cổng 25 ( SMTP ), sê báo cho ban biết gì: C:\TEMP>nc -v -n 192.168.51.129 25 [UNKNOWN] [ 192.168.5l.129 ] 25 ( ? ) open 421 fw3.acme.com Sorry, the firewall does not provide mail service to you Như thấy ví dụ đây, thơng tin biều ngữ cung cấp thơng tin q giá cho bọn công định danh tường lửa Dùng thơng tin này, chúng khai thác chỗ yếu phổ biến cấu hình sai chung Biện Pháp Phòng Chống Ðể chỉnh sửa chỗ yếu rị rỉ thơng tin này, bạn giới hạn thơng tin biểu ngữ quảng cáo Một biểuu ngữ tốt kèm theo mục cảnh giác mang tính pháp lý tất nỗ lực giao kết đợc ghi sổ Các chi tiết thay đổi cụ thể biểu ngữ ngầm định tùy thuộc nhiều vào tường lửa cụ thể, bạn cần liên hệ hãng kinh doanh tường lửa Phòng Chống Ðể ngăn cản bọn công giành nhiều thông tin tường lửa từ biểu ngữ quảng cáo, bạn thay đổi tập tin cấu hình biểu ngữ Các khuyến nghị cụ thể thờng tùy thuộc vào hãng kinh doanh tường lửa Trên tường lửa Eagle Raptor, bạn thay đổi biểu ngữ ftp telnet cách sửa đổi tập tin thông báo ngày: tập tin ftp.motd telnet.motd Kỹ Thuật Phát Hiện Bức tường Lửa Cao Cấp Nếu tiến trình quét cổng tìm tường lửa trực tiếp, dò theo đường truyền, nắm giữ biểu ngữ không mang lại hiệu quả, bọn công áp dụng kỹ thuật điểm danh tường lửa theo cấp Có thể suy diễn tường lửa quy tắc ACL chúng cách dị tìm đích lu ý lộ trình phải theo (hoặc khơng theo) để đến Suy Diễn Ðơn Giản với nmap Nmap công cụ tuyệt vời để phát thông tin tường lửa chúng t i liên tục dùng Khi nmap qt hệ chủ, khơng báo cho bạn biết cổng mở đóng, mà cịn cho biết cổng bị phong tỏa Lợng (hoặc thiếu) thông tin nhận đợc từ đợt quét cổng cho biết nhiều cấu hình tường lửa Một cổng lọc nmap biểu cho ba nội dung sau: · khơng nhận gói tin SYN/ACK · khơng nhận gói tin RST/ACK · Ðã nhận thơng báo ICMP type (Destination Unreachable ) có mã 13 ( Communication Administratively Prohibited - [RFC1812]) Nmap gom chung ba điều kiện báo cáo dới dạng cổng "đã lọc." Ví dụ, quét www.mycompany.com , ta nhận hai gói tin ICMP cho biết tường lửa phong tỏa cổng 23 111 từ hệ thống cụ thể [ root@bldg_043 /opt ] # nmap -p20, 21, 23, 53, 80, 111 - P0 -vv www.mycompany.com Starting nmap V 2.08 by Fyodor ( fyodor@dhp.com , www.insecure.org/nmap/ ) Initiating TCP connect ( ) scan agains t ( 172.32.12.4 ) Adding TCP port 53 (state Open) Adding TCP port 111 ( state Firewalled ) Adding TCP port 80 ( state Open) Adding TCP port 23 ( state Firewalled) Interesting ports on ( 172.17.12.4 ) : port State Protocol Service 23 filtered tcp telnet 53 open tcp domain 80 open tcp http 111 filtered tcp sunrpc Trạng thái "Firewalled", kết xuất đây, kết việc nhận ICMP type 3, mã 13 (Admin Prohibited Filter), nh gặp kết xuất tcpdump: 23 : 14 : 01.229743 10.55.2.1 > 172.29.11.207 : icmp : host 172.32.12.4 nreachable - admin prohibited filter 23 : 14 : 01.97 9743 10.55.2.l > 172.29.11.207 : icmp : host 172.32.12.4 nreachable - admin prohibited filter Làm để nmap kết hợp gói tin với gói tin ban đầu, chúng vài biển gói tin ríu rít mạng? Vâng, gói tin ICMP đợc gửi trở lại cho máy quét chứa đựng tất liệu cần thiết để tìm hiều nội dung xảy Cổng bị phong tỏa phần byte phần đầu ICMP byte 0x41 ( byte), tường lửa lọc gửi thông điệp n m phần IP gói tin byte 0x1b (4 byte) Cuối cùng, cổng cha lọc nmap xuất bạn quét số cổng nhận trở lại gói tin RST/ACK Trong trạng thái "unfiltered", đợt quét qua tường lửa hệ đích báo cho biết khơng lắng chờ cổng đó, tường lửa đáp ứng đích đánh lừa địa IP với cờ RST/ACK đợc ấn định Ví dụ, đợt quét hệ thống cục cho ta hai cổng cha lọc nhận hai gói tin RST/ACK từ hệ chủ Sự kiện xảy với số tường lửa nh Check point (với quy tắc REJECT) đáp ứng đích gửi trả gói tin RST/ACK đánh lừa địa IP nguồn đích [ root@bldg_043 sniffers ] # nmap - sS -p1 -300 172.18.20.55 Starting nmap V 2.08 by Fyodor ( fyodor@dhp.com , www.insecure.org/nmap/ ) Interesting ports on ( 172.18.20.55 ) : (Not showing ports in state : filtered) Port State Protocol Service unfiltered tcp echo 53 unfilteres tcp domain 256 open tcp rap 257 open tcp set 258 open tcp yak-chat Nmap run completed - IP address ( host up ) scanned in 15 seconds Ðợt rà gói tin tcpdump kết hợp nêu gói tin RST/ACK nhận 21 :26 :22.742482 172.18.20.55.258 > 172.29.11.207.39667 : S 415920470 : 1415920470 ( ) ack 3963453111 win 9112 (DF ) (ttl 254, id 50438 ) 21 :26 :23.282482 172.18.20.55.53 > 172.29.11.207.39667 : R : ( ) ack 3963453111 win (DF ) ( ttl 44, id 50439 ) 21 :2 6: 24.362482 172.18.20.55.257 > 172.29.111.207.39667 : S 1416174328 : 1416174328 ( ) ack 396345311 win X112 ( DF ) ( ttl 254, id 504 ) 21: 26: 26.282482 172.18.20.55.7 > 17.2.29.11.207.39667 : R : ( ) ack 3963453111 win ( DF ) ( ttl 44, id 50441) Các Biện Pháp Phịng Chống Ðể ngăn cản bọn cơng điểm danh ACL định tuyến tường lửa thông qua kỹ thuật admin prohibited filter", bạn v hiệu hóa khả đáp ứng với gói tin ICMP type 13 định tuyến Trên Cisco, bạn thực điều bàng cách phong tỏa thiết bị đáp ứng thông điệp IP đụng đến no ip unreachables Ðịnh Danh Cổng Một số tường lửa có dấu ấn xuất híện dới dạng sêri số phân biệt với tường lửa khác Ví dụ, Check Point hiển sêri số bạn nối với cổng quản lý SNMP chúng, TCP 257 Tuy diện đơn cổng 256-259 hệ thống thờng đủ dấu báo diện Firewall-1 Check Point song trắcơnghiệm sau xác nhận : [ root@bldg_043 # nc -v -n 192.168.51.1 257 ( UNKNOWN) [ 192.168.51.1] 257 ( ? ) open 30000003 [ root@bldg_043 # nc -v -n 172.29.11.19l 257 (UNKNOWN ) [ 172.29.11.191] 257 ( ? ) open 31000000 Các Biện Pháp Phòng Chống Phát Hiện Ðể phát tuyến nối kẻ công với cổng bạn bạn bố sung kiện tuyến nối RealSecure Theo bớc sau: Hiệu chỉnh nội quy Lựa tab Connection Events Lựa nut Add Connection, điền mục cho Check Point Lựa đích kéo xuống lựa nút Add Ðiền dịch vụ cổng, nhắp OK Lựa cổng mới, nhắp lại OK Giờ lựa OK áp dụng lại nội quy cho động Phòng Chống Ðể ngăn cản tuyến nối với cổng TCP 257, bạn phong tỏa chúng định tuyến thượng nguồn Một Cisco ACL đơn giản nh dới khước từ rõ rệt nỗ lực bọn công: access -list 101 deny tcp any any eq 257 log ! Block Firewall- l scans III Quét qua tường lửa Ðừng lo, đoạn khơng có ý cung cấp cho bọn nhóc ký mã số kỹ thuật ma thuật để vô hiệu hóa tường lửa Thay thế, ta tìm hiểu số kỹ thuật để nhảy múa quanh tường lửa thu thập số thơng tin quan trọng lộ trình khác xuyên qua vòng quanh chúng hping hping (www.Genocide2600.com/-tattooman/scanners/hping066.tgz), Salvatore Sanfilippo, làm việc cách gửi gói tin TCP đến cổng đích báo cáo gói tin mà nhận trở lại hping trả nhiều đáp ứng khác tùy theo v số điều kiện Mỗi gói tin phần tồn thể cung cấp tranh rõ kiểu kiểm sốt truy cập tường lửa Ví dụ, dùng hping ta phát hlện gói tin mở, bị phong tỏa, thả, loại bỏ Trong ví dụ sau đây, hping báo cáo cổng 80 mở sẵn sàng nhận tuyến nối Ta biết điều nhận gói tin với cờ SA đợc ấn định (một gói tin SYN/ACK) [ root@bldg_043 / opt ] # hping www.yourcompany.com -c2 - S -p80 -n HPING www.yourcomapany.com ( eth0 172.30.1.2 ) : S set, 40 data bytes 60 bytes from 172.30.1.20 : flags=SA seq=0 ttl=242 id= 65121 win= 64240 time=144.4 ms Giờ ta biết có cống mở thơng đến đích, nhng cha biết nơi tường lửa Trong ví dụ kế tiếp, hping báo cáo nhận ICMP unreachable type 13 từ 192.168.70.2 Một ICMP type 13 gói tin lọc bị ICMP admin ngăn cấm, thờng đợc gửi từ định tuyến lọc gói tin [root@bldg_043 /opt ] # hping www.yourcompany.com -c2 -S -p23 -n HPING www.yourcompany.com ( eth0 172.30.1.20 ) : S set, 40 data bytes ICMP Unreachable type 13 f rom 192.168.70.2 Giờ đợc xác nhận, 192.168.70.2 tường lửa, ta biết rõ rệt phong tỏa cổng 23 đến đích Nói cách khác, hệ thống định tuyến Cisco có dịng tập tin config: access -list 101 deny tcp any any 23 ! telnet Trong ví dụ kế tiếp, ta nhận đợc gói tin RST/ACK trả lại báo hiệu hai viêc: (1) gói tin lọt qua tường lửa hệ chủ khơng lắng chờ cổng có , (2) tường lửa thải bỏ gói tin (như trường hợp quy tắc reject Check Point) [ root@bldg_043 /opt ] # hping 192.168.50.3 -c2 -S -p22 -n HPING 192.168.50.3 ( eth0 192.168.50.3 ) : S set, 40 data bytes 60 bytes from 192.168.50.3 : flags=RA seq= ttl= 59 id= win= time=0.3 ms Do nhận gói tin ICMP type 13 đây, nên ta suy tường lửa ( 192.168.70.2) cho phép gói tin qua tường lửa, nhng hệ chủ khơng lắng chờ cổng Nếu tường lửa mà bạn quét qua Check point, hping báo cáo địa IP nguồn đích, nhng gói tin thực đợc gửi từ NIC bên tường lửa Check Point Ðiểm rắc rối Check Point đáp ứng hệ thống bên , gửi đáp ứng lừa bịp địa đích Tuy nhiên, bọn công đụng điều kiện Internet, chúng khác biệt địa MAC không chạm máy chúng Cuối cùng, tường lửa phong toả gói tin đến cổng, bạn thờng khơng nhận đợc trở lại [ root@bldg_04 /opt ] # hping 192.168.50.3 -c2 -S -p2 -n HPING 192.168.50.3 ( eth0 192.168.50.3 ) : S set, 40 data Kỹ thuật hping có hai ý nghĩa: (1) gói tin khơng thể đạt đến đích bị đường truyền, (2) có nhiều khả hơn, thiết bị (ắt tường lửa 192.168.70.2 ) bỏ gói tin sàn dới dạng phần quy tắc ACL Biện Pháp Phịng Chống Phịng Chống Ngăn ngừa công hping dễ Tốt nhất, ta việc phong tỏa thông điệp ICMP type 13 ( nh m tả đoạn phòng chống tiến trình quét nmap ) Cầu Lửa Firewalk (http://www.packetfactory.net/firewalk/) công cụ nhỏ tiện dụng, nh quét cổng, đợc dùng để phát cổng mở đàng sau tường lửa Ðợc viết Mike Schiffnlan, gọi Route Dave Goldsmith, trình tiện ích qt hệ chủ xu i dòng từ tường lửa báo cáo trở lại quy tắc đợc phép đến hệ chủ mà khơng phải thực tế chạm đến hệ đích Firewalk làm việc cách kiến tạo gói tin với IP TTL đợc tính tốn để kết thúc chãng vợt tường lửa Về lý thuyết, gói tin đợc tường lửa cho phép, đợc phép qua kết thúc nh dự kiến, suy thông điệp "ICMP TTL expired in transit." Mặt khác, gói tin bị ACL tường lửa phong tỏa, bị thả, khơng có đáp ứng đợc gửi, gói tin lọc bị ICMP type 13 admin ngăn cấm đợc gửi [ root@exposed / root ] # firewalk -pTCP -S135 -140 10.22.3.1 192.168.1.1 Ramping up hopcounts to binding host probe : TTL : port 33434 : expired from [exposed.acme.com] probe : TTL : port 33434 : expired from [rtr.isp.net] probe : TTL : port 33434 : Bound scan at hops [rtr.isp.net] port open port 136 : open port 137 : open port 138 : open port 139 : * port 140 : open Sự cố mà chúng t i gặp dùng Firewalk dự đốn, số tường lửa phát gói tin hết hạn trước kiểm tra ACL gửi trả gói tin ICMP TTL EXPI#800000 Kết là, Firewalk mặc nhận tất cổng mở Biện Pháp Phịng Chống Phịng Chống Bạn phong tỏa gói tin ICMP TTL EXPI#800000 cấp giao diện bên ngồi, điều tác động tiêu eực đến khả vận hành nó, hệ khách hợp pháp nối khơng biết điều xảy với tuyến nối chúng IV Lọc gói tin Các tường lửa lọc gói tin nh Firewall-1 Check Point, Cisco PIX, IOS Cisco (vâng, Cisco IOS đợc xác lập dới dạng tường lửa) tùy thuộc vào ACL (danh sách kiểm soát truy cập) quy tắc để xác định xem luồng lu thơng có đợc cấp quyền để truyền vào/ra mạng bên Ða phần, ACL đợc đặt kỹ khó khắc phục Nhng thơng thờng, bạn tình cờ gặp tường lửa có ACL tự do, cho phép vài gói tin qua tình trạng mở Các ACL Tự Do Các danh sách kiểm soát truy cập (ACL) tự thờng gặp tường lửa nhiều ta tưởng Hãy xét trờng hợp tổ chức phải cho phép ISP thực đợt chuyển giao miền Một ACL tự nh "Cho phép tất hoạt động từ cổng nguồn 53" đợc sử dụng thay cho phép hoạt động từ hệ phục vụ DNS ISP với cổng nguồn 53 cổng đích 53." Nguy tồn cấu hình sai gây tàn phá thực sự, cho phép hắc quét nguyên mạng từ bên Hầu hết công bắt đầu kẻ công tiến hành quét hệ chủ đằng sau tường lửa đánh lừa nguồn dới dạng cống 53 (DNS) Biện Pháp Phịng Chống Phòng Chống Bảo đảm quy tắc tường lửa giới hạn nối đâu Ví dụ, ISP yêu cầu khả chuyển giao miền, bạn phải rõ ràng quy tắc Hãy yêu cầu địa IP nguồn mã hóa cứng địa IP đích (hệ phục vụ DNS bên bạn) theo quy tắc mà bạn nghĩ Nếu dùng tường lửa Checkpoint, bạn dùng quy tắc sau để hạn chế cổng nguồn 53 (DNS) đến DNS ISP Ví dụ, DNS ISP 192.168.66.2 DNS bên bạn 172.30.140.1, bạn dùng quy tắc dới đây: Nguồn gốc Ðích Dịch vụ Hành động Dấu vết 192.168.66.2 172.30 140.1 domain-tcp Accept Short V Phân Luồng ICMP UDP Phân lạch (tunneling) ICMP khả đóng khung liệu thực phần đầu ICMP Nhiều định tuyến tường lửa cho phép ICMP ECHO, ICMP ECHO REPLY, gói tin UDP mù quáng qua, nh dễ bị tổn thơng trước kiểu công Cũng nh chỗ yếu Checkpoint DNS, công phân lạch ICMP UDP dựa hệ thống bị xâm phạm đ ng sau tường lửa Jeremy Rauch Mike D Shiffman áp dụng khái niệm phân lạch vào thực tế tạo công cụ để khai thác : loki lokid (hệ khách hệ phục vụ ) -xem Nếu chạy công cụ hệ phục vụ lokid hệ thống đ ng sau tường lửaa cho phép ICMP ECHO ECHO REPLY, bạn cho phép bọn công chạy công cụ hệ khách (loki), đóng khung lệnh gửi gói tin ICMP ECHO đến hệ phục vụ (lokid) công cụ lokid tháo lệnh, chạy lệnh cục , đóng khung kết xuất lệnh gói tin ICMP ECHO REPLY trả lại cho bọn công Dùng kỹ thuật này, bọn cơng hồn tồn bỏ qua tường lửa Biện Pháp Phòng Chống Phòng Chống Ðể ngăn cản kiểu cơng này, bạn v hiệu hóa khả truy cập ICMP thông qua tường lừa cung cấp khả truy cập kiểm soát chi tiết luồng lu thơng ICMP Ví dụ, Cisco ACL dới v hiệu hóa tồn luồng lu thơng ICMP phía ngồi mạng 172.29.10.0 (DMZ) mục tiêu điều hành: access - list 101 permit icmp any 172.29.10.0 0.255.255.255 ! echo access - list 101 permit icmp any 172.29.10.0 0.255.255.255 ! echo- reply access - list 102 deny ip any any log ! deny and log all else Cảnh giác: ISP theo dõí thời gian hoạt động hệ thống bạn đằng sau tường lửa bạn với ping ICMP (hồn tồn khơng nên!), ACL phá vỡ chức trọng yếu chúng Hãy liên hệ với ISP để khám phá xem họ có dùng ping ICMP để kiểm chứng hệ thống bạn hay không Tóm Tắt Trong thực tế tường lửa đợc cấu hình kỹ v khó vợt qua Nhng dùng công cụ thu thập thông tin nh traceroute, hping, nmap, bọn cơng phát (hoặc chí suy ra) lộ trình truy cập thông qua định tuyến tường lửa nh kiểu tường lửa mà bạn dùng Nhiều chỗ yếu hành cấu hình sai tường lửa thiếu giám sát cấp điều hành, nhng nào, kết dẫn đến công đại họa đợc khai thác Một số điểm yếu cụ thể tồn hệ giám quản lẫn tường lửa lọc gói tin, bao gồm kiểu đăng nhập web, telnet, localhost khơng thẩm định quyền Ða phần, áp dụng biện pháp phòng chống cụ thể để ngăn cấm khai thác chỗ yếu này, vài trờng hợp dúng kỹ thuật phát Nhiều người tin tương lai tất yếu tường lửa dạng lai ghép ứng dụng giám quản cơng nghệ lọc gói tin hữu trạng [stateful] cung cấp vài kỹ thuật để hạn chế khả cấu hình sai Các tính phản ứng phần tường lửa hệ NAI thực thi dạng nh với kiến trúc Active Security Nhờ đó, phát xâm phạm, thay đổi đợc thiết kế sẵn tự động khởi phát áp dụng cho tường lửa bị ảnh hởng Ví dụ, IDS phát tiến trình phân lạch ICMP, sản phẩm hướng tường lửa đóng yêu cầu ICMP ECHO vào tường lửa Bối cảnh nh lu n hội cho công khước từ dịch vụ; lý lu n cần có mặt nhân viên bảo mật kinh nghiệm ... nhiên hóa nh cách dùng ký mã Perl cung cấp chuyên khu web www.osborne.com/ hacking Các biện pháp phòng chống Bạn cần phong tỏa kiểu quét định tuyến biên dùng kiểu cơng... quét nguyên mạng từ bên Hầu hết công bắt đầu kẻ công tiến hành quét hệ chủ đằng sau tường lửa đánh lừa nguồn dới dạng cống 53 (DNS) Biện Pháp Phòng Chống Phòng Chống Bảo đảm quy tắc tường lửa... 17.2.29.11.207.39667 : R : ( ) ack 3963453111 win ( DF ) ( ttl 44, id 50441) Các Biện Pháp Phòng Chống Ðể ngăn cản bọn công điểm danh ACL định tuyến tường lửa thông qua kỹ thuật admin prohibited