Útoky na Firewall

Přímé skenování: Snadno detekovatelná technika

Nejjednodušší způsob, jak identifikovat váš firewall, je skenování specifických portů. Stačí pouze vědět, co hledat. Například Check Point Firewall-1 naslouchá na TCP portech 256, 257 a 258. Microsoft Proxy server obvykle na TCP portech 1080 a 1745. Není nic jednoduššího, než najít v síti tento typ firewallů, například pomocí skeneru nmap následujícím způsobem: nmap -n -vv -PO -p256,1080,1745 192.168.50.1-60.254

Trasování

Poněkud méně nápadný a jemnější způsob vyhledávání firewallů v síti spočívá v použití programutraceroute a trochy dedukce. Linuxová verze programu traceroute má přepínač -I, který způsobí, žemísto paketů UDP budou k trasování použity pakety ICMP.

Pročítání úvodních bannerů

Protože mnoho firewallů nenaslouchá na definovaných portech jako CheckPoint nebo Microsoft, je třeba použít k jejich identifikaci jiné metody. V kapitole 3 jsme se naučili, jak určit jméno aplikace a její verzi prostým připojením a přečtením úvodního banneru. Podobně lze identifikovat i firewall. Mnoho firewallů (ve většině případů se jedná o proxy servery) na sebe vyzradí spoustu podrobností hned po pouhémpřipojení. Lze tak zjistit nejenom to, že zařízení, na které jste se právě připojili, je firewall, ale lze určit jeho typ a verzi. Když se například programem netcat napojíme na port 21 (FTP) počítače, o kterém se domníváme, že je firewallem, můžeme získat zajímavé informace.

Jednoduchá analýza programem nmap

Skenujeme-li programem nmap cílový počítač, získáváme nejen informace o tom, které porty jsou otevřenya které uzavřeny, ale i informace o tom, které porty jsou blokovány. Přítomnost nebo nepřítomnostinformace o jednotlivých portech může vypovídat o konfiguraci firewallu umístěného mezi námia cílovým počítačem.

Identifikace portů

Některé firewally vrací unikátní sekvenci čísel, která je odlišuje od ostatních zařízení podobného typu.
Například CheckPoint Firewall-1 vrátí sérii čísel při navázání spojení na TCP portu 257.

Generování testovacích paketů

Program hping (http://www.kyuzz.org/antirez/hping.html) autora Salvátore Sanfilippa je schopen posílatTCP pakety na zadaný port a vypisovat odezvy, které tyto pakety vyvolají. Pomocí hping lze odhalitotevřené a blokované porty i zahozené a odmítnuté pakety.

Utilita firewaik

Jedná se o utilitku, která je schopna odhalit, které porty cílového serveru jsou skrz firewall dostupné, anižby bylo nutné skenovat přímo cílový server. Utilitu vytvořil Mike Schiffman alias Route a Dave Goldsmith.Najít ji můžete na následující adrese: http://www.packetfactory.net/projects/firewalk/.

Útoky ze zdrojových portů

Pokud je jako paketový filtr použit například směrovač Cisco, má to jednu zásadní nevýhodu. Operační systém tohoto směrovače neudržuje status spojení. Co to znamená? Jestliže filtr neudržuje status spojení, nedokáže určit, zda bylo spojení iniciováno z vnější nebo vnitřní strany firewallu. Hacker tedy může jako odchozí port pro své útoky použít některý z běžně firewallem povolených portů, jako například 53 (DNSzone transfery) nebo 20 (FTP data).

Liberální ACL

Liberální ACL vznikají nepochopením principů fungování protokolů TCP/IP. Organizace například potřebuje povolit svému poskytovateli připojení do Internetu provádět DNS zone transfery z vnitřní sítě. Správný postup by byl takový, že se na paketovém filtru definuje pravidlo, které povolí iniciovat transfery pouze z DNS serveru poskytovatele a pouze z portu 53 tohoto serveru na cílový port 53 ve vnitřní síti organizace. Místo toho je definováno pravidlo, které povoluje libovolnou aktivitu z portu 53 z vnější sítě (Internetu). Takovéto pravidlo ovšem, jak již víme, umožňuje útočníkovi z vnější sítě oskenovat celou vnitřní síť. Stačí sken provádět z povoleného TCP portu 53 (DNS).

CheckPoint průnik

CheckPoint firewall verze 3-0 a 4.0 má v implicitní konfiguraci otevřeny porty UDP 53 (DNS dotazy), TCP53 (DNS zone transfery) a UDP 520 (RIP). Přenosy jsou navíc povoleny z libovolného počítače na libovolnýpočítač a nejsou logovány.

ICMP a UDP tunely

ICMP tunel je útok, kdy jsou reálná data zapouzdřena do ICMP datagramu. Většina firewallů a směrovačů,jež propouštějí ICMP ECHO, ICMP ECHO REPLY a UDP pakety, tím tento útok umožňují. Princip útokuje podobný jako princip CheckPoint průniku (popsaný výše). Jeho podmínkou je také ovládnutí systémuza firewallem.

Hostname: localhost

Na starších unixových proxy serverech je snadné zapomenout nakonfigurovat omezení lokálního přístupuk firewallu. Pokud přístup neomezíme, může se uživatel, který běžně používá firewall k připojení doInternetu, pokusit uhádnout jméno a heslo konta na firewallu. Pokud se mu to podaří, může se přihlásitpřímo na firewall. Zda je firewall k tomuto útoku náchylný, lze ověřit následujícím postupem.

Neautorizovaný vnější přístup k WWW proxy serveru

Tato chyba se spíše vyskytuje u firewallů, které používají transparentní proxy servery, ale lze ji nalézt i u klasických proxy serverů. Správce firewallů sice pečlivě zabezpečí samotný server a vytvoří neprůstřelné filtry, ale zapomene zablokovat přístup k proxy serveru zvenčí. To umožní útočníkovi dva způsoby využití této chyby: Útočník může využít takovýto proxy server k anonymním útokům na webové servery v Internetu (útok bude vypadat, jako by vycházel od vás) nebo se může napojovat na webové servery, které se nacházejí v intranetu za firewallem.

Neautorizovaný přístup k web (SOCKS) proxy serveru

Některé WinGate verze (zvláště 2.1. pro NT) umožňují napojení na WWW proxy stejně jako v případěneautorizovaného přístupu k WWW proxy serveru (popsaného výše). Navíc umožňují i neautorizovanépoužití SOCKS proxy serveru (TCP port 1080).

Neautorizovaný telnet

Neautorizovaný telnet lze využít stejně jako web k anonymnímu připojování k cizím serverům. Telnetvšak je mnohem silnější a univerzálnější nástroj, takže nebezpečí, které představuje, je vyšší. Zda proxyserver umožňuje použití neautorizovaného telnetu, zjistíte následujícím způsobem.

Prohlížení souborů

Wingate 30 umožňuje prostřednictvím svého řídicího portu (8010) implicitně komukoli prohlížet soubory nacházející se na počítači, na kterém je instalován. Váš systém (192.168.51.101) obsahuje tuto chybu, pokud po napojení na http://192.168.51.101:8010/c:/http://192.168.51.101:8010//http://192.168.51.101:8010/..../