Firewall related paper.
2228fd4d7daf4d6e0dfd0626154974ef7b3d62db75ec57dc04ae501b9ca2860e[========================== Îáíàðóæåíèå è Îáõîä Firewall ===========================]
/T /I
/ |/ | .-~/
T\ Y I |/ / _
/T | \I | I Y.-~/
I l /I T\ | | l | T /
T\ | \ Y l /T | \I l \ ` l Y
__ | \l \l \I l __l l \ ` _. |
\ ~-l `\ `\ \ \\ ~\ \ `. .-~ |
\ ~-. "-. ` \ ^._ ^. "-. / \ |
.--~-._ ~- ` _ ~-_.-"-." ._ /._ ." ./ Written by
>--. ~-. ._ ~>-" "\\ 7 7 ]
^.___~"--._ ~-{ .-~ . `\ Y . / |
<__ ~"-. ~ /_/ \ \I Y : |
^-.__ ~(_/ \ >._: | l ______
^--.,___.-~" /_/ ! `-.~"--l_ / ~"-.
(_/ . ~( /' "~"--,Y -=b-. _)
(_/ . \ : / l c"~o \
\ / `. . .^ \_.-~"~--. )
(_/ . ` / / ! )/
/ / _. '. .': / '
~(_/ . / _ ` .-<_
/_/ . ' .-~" `. / \ \ ,z=.
~( / ' : | K "-.~-.______//
"-,. l I/ \_ __{--->._(==.
//( \ < ~"~" //
/' /\ \ \ ,v=. ((
.^. / /\ " }__ //===- `
/ / ' ' "-.,__ {---(==-
.^ ' : T ~" ll -D4rk Eagle
/ . . . : | :! \\
(_/ / | | j-" ~^
~-<_(_.^-~"
Ñîäåðæàíèå :
1. Âñòóïëåíèå
2. Ïðèíöèï îáíàðóæåíèÿ
3. Ïðèíöèï îáõîäà
4. Âûâîä
[ 1. Âñòóïëåíèå ]
Ìíîãèå ñòàòüè, îïèñûâàþùèå ïðèíöèïû îáõîæäåíèÿ áðàíäìàóýðîâ íå îïèñûâàþò ãëàâíîãî!
Òîãî êàê ìîæíî èõ îáíàðóæèòü... Â äàííîé ñòàòüå ÿ ïîñòàðàþñü âîñïîëíèòü
ýòîò ïðîáåë è ðàññêàçàòü âàì ñðàçó î äâóõ ïðèíöèïàõ : ïðèíöèïå îáíàðóæåíèÿ è
îáõîæäåíèÿ ôàåðâîëëà...
Èòàê ïîåõàëè...
[ 2. Ïðèíöèï îáíàðóæåíèÿ ]
Êàê è ñëåäóåò îæèäàòü, êàæäûé ôàåðâîëë èìååò ñâîå èìÿ, çíà÷èò èìååò íåêîå "êëåéìî" â
ñåòè, ò.å. íåêîòîðûå ôàåðâîëëû îòêðûâàþò ñïåö. ïîðò, ïî êîòîðîìó âû ìîæåòå óçíàòü
âåðñèþ, íàçâàíèå è äðóãóþ èíòåðåñíóþ èíôîðìàöèþ. Ïðè îáíàðóæåíèè ôàåðâîëëà íóæíî áûòü
î÷åíü âíèìàòåëüíûì è íå óïóñêàòü íè÷åãî ìèìî ñâîèõ ãëàç. Ïî ñóòè îáíàðóæåíèå ôàåðâîëëà
äåëèòñÿ íà íåñêîëüêî ýòàïîâ...Ýòî è áàíàëüíîå ñêàíèðîâàíèå, ýòî îòñëåæèâàíèå ìàðøðóòîâ,
ñ÷èòûâàíèå ñåðâèñíûõ áàíåðîâ è ò.ä.Ïðî êàæäûé ïóíêò îáíàðóæåíèÿ ÿ ïîñòàðàþñü ðàññêàçàòü
ïîäðîáíåå. Òàê æå õî÷ó ñêàçàòü, ÷òî ñóùåñòâóåò íåêîòîðîå êîëè÷åñòâî ñïåö. óòèëèò, êîòîðûå
î÷åíü õîðîøî ïîìîãàþò ïðè îáíàðóæåíèè ôàåðâîëëîâ... Ïðî íèõ ÿ òîæå ïîñòàðàþñü ïîäðîáíåå
ðàññêàçàòü.
Èòàê, ïðèøëî âðåìÿ ïîäðîáíåå óçíàòü î ïðèíöèïàõ îáíàðóæåíèÿ.
A. Áàíàëüíîå ñêàíèðîâàíèå
Íàäåþñü ìíîãèå èç âàñ ñêàíèðîâàëè â ñåòè ïîðòû êàêîãî-ëèáî IP-àäðåñà...Ó êàæäîãî ñåðâèñà
åñòü ñâîé óíèêàëüíûé ïîðò, áóäü òî ftp (21), http (80), ssh (22) è ò.ä., íå îáîøëî âíèìà
íèåì è ôàåðâîëëîâ, íî íå âñåõ... Ñðàçó ñêàæó, ÷òî íå âñå ôàåðâîëëû ñëóøàþò ïîðò. Íåêîòî
ðûå ìàñêèðóþòñÿ ïîä äåìîíû âðîäå ïîðòà 23 (íà íèõ îáû÷íî âèñèò Cisco Router èëè åìó ïî
äîáíûå). Ïðèâåäó íåêîòîðûé ñïèñîê ïîðòîâ, íà êîòîðûõ èíîãäà âèñÿò ôàåðâîëëû èëè èõ ìåíå
äæåðû ïî óìîë÷àíèþ :
ïðèëîæåíèå: ïîðò:
cisco-manager (mgmt) 4001 (6001, 2001)
checkpoint DNS (53udp/tcp) RIP (520udp)
cisco-xremotesrv 9001
wingate 8080, 81
realsecure 2998/2997/2999
Ýòî, âîçìîæíî, ñàìûå ðàñïðîñòðàíåííûå ôàåðâîëëû íà ñåãîäíÿøíèé äåíü.
Èòàê, ïðè ïîäêëþ÷åíèè íà âûøå îïèñàííûå ïîðòû, âîçìîæíî, ñ÷èòàòü ñåðâèñíûé áàíåð ôàåðâîëëà.
Íî îïÿòü æå ïîâòîðþñü, ÷òî íå âñåãäà! Ñêàæó åùå, ÷òî ãðàìîòíî ñêîíôèãóðèðîâàííûé ôàåðâîëë
íå äàñò âàì ñêàíèðîâàòü ïîðòû â "ìàññàõ", ò.å. âû íå ñìîæåòå ïðîñêàíèðîâàòü àäðåñ, ïðè ñêà
íèðîâàíèè áîëåå îäíîãî ïîðòà... Òîãäà äåéñòâèòåëüíî çàäà÷à àòàêóþùåãî óñëîæíÿåòñÿ è ïðèõî
äèòñÿ âûäóìûâàòü íåêèå ñïîñîáû ñêàíèðîâàíèÿ ( áóäü òî ñêàíèðîâàíèå ñ ïîäìåííîé source àäðåñà ).
Òàê æå õî÷ó ñêàçàòü, ÷òî íåêîòîðûå ôàåðâîëëû êîíôèãóðèðóþòñÿ òàê, ÷òî âî âíóòðåííþþ ñåòü
äîñòóï çàïðåùåí âñåì, êðîìå èõ æå âíóòðåííåé ñåòè ò.å. âû íå ñìîæåòå ïðèñîåäèíèòüñÿ ê ïîðòàì,
êîòîðûå ôèëüòðóþòñÿ ôàåðâîëëîì, åñëè âû íå ïðèíàäëåæèòå ê âíóòðåííåé ñåòè õîñòèíãà èëè
ëîêàëüíîé ñåòè... Ñïîñîáîâ îáõîäà òàêèõ çàùèò íå òàê óæ ìíîãî. Ñêàæó ëèøü òî, ÷òî îäèí èç
ñïîñîáîâ ñêàíèðîâàíèÿ "çà ôàåðâîëëîì" ïðèäóìàë íåáåçûçâåñòíûé âñåì áûâøèé ðåäàêòîð æóðíàëà
Phrack - Route. Åãî óòèëèòà Firewalk ñïîñîáíà ñêàíèðîâàòü ïîðòû êàê áû çà ôàåðâîëëîì. Íî
ïðè ýòîì òàê æå íå íóæíî ïîëàãàòüñÿ íà âñå 100%, ÷òî îíà ïðàâèëüíî ïðîñêàíèðóåò ïîðòû ò.ê.
ìíîãèå ôàåðâîëëû êîíôèãóðèðóþòñÿ òàê, ÷òî ôàåðâîëë ìîæåò îïðåäåëèòü TLL ïàêåòà äî åãî ïðè
áûòèÿ (ïðîâåðêè ïî ñïèñêó). Ïîýòîìó ïàêåòû òèïà ICMP îïîâåùàþùèå î èñòå÷åíèè TLL áóäóò îòñû
ëàòüñÿ â ëþáîì ñëó÷àå...
Òåïåðü ïåðåéäåì ê ïóíêòó îá îòñëåæèâàíèè ìàðøðóòà ïðîõîæäåíèÿ ïàêåòà ïî ñåòè...
B. Tracerouting
Ìíîãèå íàäåþñü, ñòàëêèâàëèñü ñ ïðîãðàììîé òèïà tracert èëè traceroute, òàê âîò ñêàæó, òî ÷òî
ýòè ïðîãðàììû ñïîñîáíû îòñëåäèòü ìàðøðóò ïðîõîæäåíèÿ ïàêåòà ïî ñåòè...
 WIN32 ñèñòåìàõ, óòèëèòà tracert.exe, à â Unix Like ñèñòåìàõ - traceroute.
Äàâàéòå ðàññìîòðèì ïðèìåð ïðîõîæäåíèÿ ïàêåòà, ÷òîáû èäåíòèôèöèðîâàòü ôàåðâîëë íà ïóòè ïðîõî
æäåíèÿ íàøåãî udp/icmp ïàêåòà :
Òðàññèðîâêà ìàðøðóòà ê 168.75.176.102
ñ ìàêñèìàëüíûì ÷èñëîì ïðûæêîâ 30:
1 * 4366 ms * Loopback0.GW8.ALA2.nursat.net [195.82.29.53]
2 3373 ms * 4287 ms Ethernet0-0-2.GW1.ALA2.nursat.net [195.82.28.7]
3 * 4463 ms * Serial6-1.GW2.MOW1.nursat.net [195.82.28.198]
4 * * * Ïðåâûøåí èíòåðâàë îæèäàíèÿ äëÿ çàïðîñà.
5 * * * Ïðåâûøåí èíòåðâàë îæèäàíèÿ äëÿ çàïðîñà.
6 * * * Ïðåâûøåí èíòåðâàë îæèäàíèÿ äëÿ çàïðîñà.
7 * * * Ïðåâûøåí èíòåðâàë îæèäàíèÿ äëÿ çàïðîñà.
8 2274 ms 971 ms 958 ms so-2-3-1-zar1.skt.cw.net [166.63.220.69]
9 928 ms 945 ms 958 ms ge-3-3-0-ycr1.skt.cw.net [166.63.220.129]
10 954 ms 958 ms * so-1-0-0-ycr1.cpi.cw.net [208.173.216.25]
11 958 ms 958 ms 971 ms so-2-0-0-ycr2.cpi.cw.net [208.173.216.2]
12 981 ms 958 ms 958 ms so-2-0-0-bcr1.amd.cw.net [208.173.211.233]
13 1059 ms 1050 ms 1049 ms dcr1.nyk.cw.net [195.2.1.3]
14 1050 ms 1037 ms 1036 ms 65.59.192.13
15 1041 ms 1050 ms 1063 ms ge-0-3-0.bbr2.NewYork1.Level3.net [209.247.9.209]
16 1050 ms 1036 ms 1076 ms ge-7-0-0.edge1.NewYork1.Level3.net [64.159.4.150]
17 1050 ms 1063 ms 1050 ms xo-level3-oc12.NewYork1.Level3.net [209.244.160.178]
18 1050 ms 1062 ms 1076 ms p5-0-0.RAR1.NYC-NY.us.xo.net [65.106.3.37]
19 1115 ms 1523 ms 1757 ms p6-0-0.RAR2.Chicago-IL.us.xo.net [65.106.0.29]
20 1324 ms 1471 ms 1324 ms p1-0-0.RAR1.Dallas-TX.us.xo.net [65.106.0.34]
21 1141 ms 1141 ms 1141 ms p6-0-0.RAR2.LA-CA.us.xo.net [65.106.0.14]
22 1732 ms 1377 ms 1456 ms p4-0-0.MAR2.LasVegas-NV.us.xo.net [65.106.5.34]
23 1155 ms 1141 ms 1128 ms p15-0.CHR1.LasVegas-NV.us.xo.net [207.88.81.78]
24 1404 ms 1181 ms * 66.238.47.34.ptr.us.xo.net [66.238.47.34]
25 1614 ms 1378 ms 1378 ms 168.75.176.102
Òðàññèðîâêà çàâåðøåíà.
 âûøå ïðèâåäåííîì ïðèìåðå î÷åíü ÿðêî îòîáðàæàåòñÿ ñòðóêòóðà ïðîõîæäåíèÿ ïàêåòà ïî ñåòè.
Ìîæíî ïðåäïîëîæèòü, ÷òî ôàåðâîëë ñîçäàåò íåêóþ öåïî÷êó àäðåñîâ, ïî êîòîðûì ïðîõîäèò íàø
ïàêåò... Â òðàññèðîâêå ïî ïðûæêàì 1-3 ìîæíî íàáëþäàòü, ÷òî dialup ñåðâåð ôèëüòðóåò âõîäÿ
ùèå ïàêåòû, äàëåå ïðîèñõîäèò ïîñëàíèå ïàêåòà ïî ñåòè ïî öåïî÷êå àäðåñîâ...  êîíå÷íîì
èòîãå ìîæíî âèäåòü, ÷òî íàø ïàêåò ïðèõîäèò ê ìåñòó íàçíà÷åíèÿ - 168.75.176.102...  ýòî
ñëó÷àå ìîãó ñêàçàòü, ÷òî âåðîÿòíåå âñåãî ôàåðâîëë - 66.238.47.34, õîòÿ 100 ïðîöåíòíûõ ðå
çóëüòàòîâ ÿ íå äàþ, ò.ê. â ýòîì äåëå íóæíî áûòü êðàéíå âíèìàòåëüíûì...
C. Ñ÷èòûâàíèå ñåðâèñíûõ áàíåðîâ.
Íó ýòîò ñïîñîá ÿ äóìàþ êðàéíå ïðîñò, õîòÿ íà äàííûé ìîìåíò êðàéíå òðóäíî íàéòè òàêîé ôàåð
âîëë, êîòîðûé áû âûâîäèë î ñåáå èíôîðìàöèþ, íî îïÿòü æå "÷åì ÷åðò íå øóòèò"... Ñ÷èòûâàíèå
áàíåðîâ çàêëþ÷àåòñÿ â òîì, ÷òî ïðè ïîäêëþ÷åíèè ê ôàåðâîëëó, âû ïîëó÷àåòå íåêîå ïîñëàíèå
îò óäàëåííîãî ôàåðâîëëà... Ò.å. ïðè ñîåäèíåíèè, íàïðèìåð 295 (ïîðò CheckPoint Firewall),
âàì âûâîäèòüñÿ èíôîðìàöèÿ î âåðñèè ôàåðâîëëà, òîãäà âû ñ óâåðåííîñòüþ ìîæåòå èäòè èñêàòü
â bugtraq óÿçâèìîñòü â ýòîì ôàåðâîëëå, ÷àùå âñåãî, êîãäà ÿ ñòàëêèâàëñÿ ñ ôàåðâîëëàìè
CheckPoint, ìíå âûõîäèëà íåêàÿ èíôîðìàöèÿ, ÿ ïîíà÷àëó ñîâñåì íå ïîíèìàë ÷òî îíà
îáîçíà÷àåò... À çàêëþ÷àåòñÿ îíà â òîì, ÷òî ïðè ïîäêëþ÷åíèè ê ôàåðâîëëó CheckPoint, îí âû
âîäèò íåêóþ ïîñëåäîâàòåëüíîñòü öèôð, íàïðèìåð: 30003, 30002 è ò.ä. Êàê ïîçæå ÿ óçíàë, ÷òî
ýòî ñâîéñòâåííî ôàåðâîëëó CheckPoint...
Íó âîò ïî ñóòè ñàìûå ðàñïðîñòðàíåííûå ñïîñîáû îáíàðóæåíèÿ âðàæåñêîãî ôàåðâîëëà... Òåïåðü
ÿ õî÷ó ïîâåäàòü âàì íåñêîëüêî ñïîñîáîâ îáõîäà îáíàðóæåííîãî ôàåðâîëëà...
Èòàê, ïîåõàëè...
[ 3. Ïðèíöèï îáõîäà ]
Íà÷íåì ìû ñ òîãî, ÷òî êàæäûé ôàåðâîëë íàñòðîåí íà òî, ÷òîáû ôèëüòðîâàòü ïàêåòû, êîòîðûå âû
ïîñûëàåòå, êîãäà ñîåäèíÿåòåñü ñ êàêèì-ëèáî ïîðòîì óäàëåííîé ìàøèíû. À ýòî ïðîèñõîäèò íà îñ
íîâàíèè ñîñòàâëåííûõ ïðàâèë ôàåðâîëëà. Ò.å. ïðè ïîäêëþ÷åíèè ôàåðâîëë ñ÷èòûâàåò ïàêåò è àíà
ëèçèðóåò âñå äàííûå... Ò.å. åñëè âàø àäðåñ íå ñòîèò â áàçå ôàåðâîëëà, ôàåðâîëë íå ïðîïóñòèò
âàñ âî âíóòðåííþþ ñåòü... Íà óì ïðèõîäèò ìíîæåñòâî ñïîñîáîâ îáõîäà ôàåðâîëëà. Ïåðâûé, ïîæà
ëóé ñàìûé ëåãêèé ñïîñîá îáõîäà, ýòî ñêàíèðîâàíèå ïîäñåòè ôàåðâîëëà íà íàõîæäåíèå óÿçâèìûõ ìà
øèí è ïîñëåäóþùèì âçëîìîì èõ... Òàê æå ñêàæó, ÷òî íå âñåãäà ýòîò ñïîñîá ïðîêàòûâàåò, ò.ê. õî
ðîøèé àäìèíèñòðàòîð ñêîðåå âñåãî íå áóäåò ñòàâèòü ðàçðåøåíèå âõîäà íà âñþ ïîäñåòü, îí ñêîðåå
ïîñòàâèò ðàçðåøåíèå íà èçáðàííûå ñåòåâûå ìàøèíû...
Ñóùåñòâóåò åùå îäèí î÷åíü èíòåðåñíûé ñïîñîá : Òóíåëèðîâàíèå ICMP/UDP ïàêåòàìè... Îíî çàêëþ÷à
þòñÿ â òîì, ÷òî ó íåêîòîðûõ ôàåðâîëëîâ íåò ïðàâèëà íà áëîêèðîâàíèå ICMP ECHO, ICMP ECHO REPLY,
UDP. Âñå ýòî ñïîñîáñòâóåò õîðîøåé àòàêè... Ñêàçó ñêàæó, ÷òî ýòîò ñïîñîá ïðîõîäèò, åñëè âû íàõî
äèòåñü â ïîäñåòè ôàåðâîëëà. Äëÿ åãî îñóùåñòâëåíèÿ âàì ïîíàäîáÿòñÿ äâå ïðîãðàììû - loki, lokid
(äåìîí). Äëÿ òîãî ÷òîáû îñóùåñòâèòü àòàêó, âàì ñëåäóåò óñòàíîâèòü äåìîí çà ôàåðâîëëîì è ïîñëå
äóþùåé ýêñïëóàòàöèåé ñ ïîìîùüþ óòèëèòû loki...
[ 4. Âûâîä ]
Âûâîä ìîæíî ñäåëàòü îäèí - íåò íè÷åãî ñîâåðøåííîãî!  êàæäîì óñòðîéñòâå, ïðîãðàììå è
ò.ä. âñåãäà íàéäóòñÿ ñïîñîáû, ÷òîáû âñÿ÷åñêè å¸ ñëîìàòü, îáîéòè è ò.ä. Êîíå÷íî â äàííîé ñòàòüå
íå ïðåäñòàâëåíû âñå ñïîñîáû îáõîäà ôàåðâîëëîâ... Ñïîñîáîâ î÷åíü ìíîãî... Ïî ìåðå òîãî, êàê ñòà
íóò ïîÿâëÿòüñÿ íîâûå óñòðîéñòâà, áóäóò ïîÿâëÿòüñÿ íîâûå ñïîñîáû...
Íà ïîñëåäîê õî÷ó äàòü âàì íåêîòîðûé ñïèñîê ïðîãðàìì, êîòîðûå ïîìîãóò âàì â âàøåé ïîâñåäíåâíîé æèçíè :)
1. hping - êñòàòè, íà securitylab.ru íåäàâíî âûøëà íîâàÿ âåðñèÿ ýòîé çàìå÷àòåëüíî ïðîãðàììû... Ñîâåòóþ
âàì âñåì å¸ áûñòðî ñêà÷àòü.
2. Firewalk - òâîðåíèå îäíîãî èç ðåäàêòîðîâ Phrack "Route". Òîæå î÷åíü ïðèãîäèòñÿ. Ñîâåòóþ ñêà÷àòü.
3. Datapipe - òóò äóìàþ, êîììåíòàðèè èçëèøíè...
P.S. ×èòàéòå Bugtraq è ñëåäèòå çà íîâîñòÿìè èç ìèðà IT :-)
P.P.S. Âàøè êîììåíòàðèè ïî ïîâîäó ñòàòüè áóäó ðàä ïî÷èòàòü. Ïèñàòü íà darkeagle@list.ru
(C) Copyright by D4rk Eagle
© 2022 Packet Storm. All rights reserved.
%7Cutmcsr%3D(direct)%7Cutmcmd%3D(none)){kind=small}
Follow us on Twitter
Follow us on Facebook
Subscribe to an RSS Feed