it-swarm.dev

Come possono gli attaccanti aggirare i firewall?

Ho letto articolo di Wikipedia sui firewall ma non capisco la sicurezza del firewall e come un attaccante dall'esterno può bypassare il firewall per hackerare il sistema di destinazione.

Sappiamo tutti che succede, ma quali metodi consentono di farlo?

8
Ted

I firewall non vengono "esclusi", nel senso che Hollywood vorrebbe farti credere. Operano controllando il traffico in entrata e in uscita rispetto a una serie di regole. Queste regole potrebbero essere basate su metadati (ad es. Numero di porta, indirizzo IP, tipo di protocollo, ecc.) O dati reali, ovvero il carico utile del pacchetto.

Per esempio:

  • Rilascia tutti i pacchetti in arrivo dall'indirizzo IP 1.2.3.4
  • Elimina tutti i pacchetti in arrivo TCP sulla porta 22, a meno che non provengano dall'indirizzo IP 2.3.4.5
  • Elimina tutti i pacchetti in arrivo TCP con il flag RST impostato, quando il numero di sequenza non corrisponde a quello di una connessione nota.
  • Elimina tutti i pacchetti NetBIOS in entrata e in uscita.
  • Rilascia tutti i pacchetti in arrivo su TCP porta 80 che contiene la stringa ASCII 0x31303235343830303536.

I firewall moderni sono generalmente costituiti dai seguenti set di regole:

  • Set di regole di base: in genere "blocca tutto" seguito da un elenco di eccezioni per i servizi/protocolli di uso comune (ad es. Richieste HTTP in uscita)
  • Set di regole personalizzato: un set di regole utente progettate per sostituire/integrare il set di regole di base.
  • Set di regole per le firme: un set di firme per impedire exploit noti. L'ultima regola nella mia lista ne è un esempio: rileva lo strumento di iniezione SQL Havij. Questi di solito hanno la precedenza su tutte le altre regole. Questo set è analogo a un database anti-malware e deve essere aggiornato frequentemente.

Bypassare un firewall non è davvero qualcosa che può essere fatto. Tutto il traffico che lo attraversa viene filtrato in base alle regole configurate. Tuttavia, un firewall fa solo ciò che viene detto: un firewall non configurato correttamente o obsoleto potrebbe consentire un attacco.

Modi a cui posso pensare di aggirare un firewall:

  • Letteralmente aggirarlo. Trova un altro punto di accesso alla rete che non passi attraverso il firewall. Ad esempio, invia un malware o un exploit a un utente interno via e-mail.
  • Sfrutta un firewall non configurato correttamente creando pacchetti che non attivano le regole. Difficile, ma potenzialmente possibile.
  • Invia payload di exploit personalizzati alla destinazione su una porta aperta. I firewall possono identificare solo exploit noti.
30
Polynomial

Il modo più semplice per aggirare un firewall è ciò che è noto come attacchi "lato client". Se un computer sul lato protetto del firewall stabilisce una connessione valida a un utente malintenzionato, non è possibile attivare una regola firewall tipica. Ad esempio, se un computer con firewall effettua una connessione HTTP sulla porta 80 a un sito Web progettato per sfruttare le vulnerabilità del browser (o Java), il firewall riconosce ben poco: traffico Web su una porta Web.

Una volta acquisito un punto d'appoggio all'interno della rete, l'aggressore può impostare tunnel crittografati che passano attraverso il firewall su porte consentite, che è un altro tipo di "bypass".

Sull'argomento degli attacchi firewall diretti, strumentiesiste per mappare come un firewall è configurato per varie porte. Con queste informazioni, il traffico può essere configurato per passare attraverso il firewall. Al livello più semplice, i pacchetti di frammentazione possono essere efficaci nel non attivare vari firewall e IPS regole perché ogni pacchetto non contiene abbastanza dati. Il firewall deve essere configurato per memorizzare l'intero set di pacchetti frammentato prima ispezione.

7
schroeder

La risposta dipende davvero dalla tua definizione di "bypass".

Il fattore più importante per garantire che un firewall offra la massima protezione è assicurarsi che sia configurato in modo appropriato. Un firewall è un dispositivo stupido, nel senso che è necessario configurare ciò che si desidera consentire attraverso/bloccare. Un firewall mal configurato lascerà buchi nella tua superficie di attacco. Se un attaccante entra, non è colpa del firewall; stava solo facendo ciò che gli era stato detto. Si potrebbe sostenere che il firewall non è stato tecnicamente "bypassato" perché non gli è mai stato detto di limitare il traffico rilevante in primo luogo.

A seconda del set di funzionalità del firewall, ti consentirà di limitare l'accesso solo in determinati modi. Sebbene alcune tecniche di penetrazione potrebbero tentare di sfruttare una vulnerabilità o debolezza nel software del firewall - che immagino tu potrebbe classificare come "bypass", la maggior parte delle tecniche è focalizzata sullo sfruttamento di firewall mal configurati (vedi punto sopra ) o sistemi dietro il firewall. Ad esempio, se si dispone di un server SSH mal configurato dietro il firewall, non è colpa del firewall che l'attaccante è stato in grado di autenticarsi come root con "password" come password. Il firewall è stato configurato per consentire l'accesso solo tramite la porta 22 (SSH), quindi ha fatto il suo lavoro. Ancora una volta, si potrebbe giustamente sostenere che il firewall non è stato aggirato in questa situazione, ma qualcuno è ancora entrato nella tua rete.

Alcuni firewall offrono funzionalità più avanzate come la prevenzione delle intrusioni e il filtro a livello di applicazione. IPS i firewall tentano di comprendere il contenuto del traffico che scorre e bloccano alcuni metodi comuni di sfruttamento delle debolezze nei sistemi ospitati dietro di esso. Ancora una volta, questo si basa su un'attenta configurazione per essere efficace. non ha abilitato le corrette IPS protezioni, quindi non è colpa del firewall se qualcuno sfrutta con successo quella vulnerabilità. Esistono alcune tecniche di penetrazione che tentano di far passare il traffico oltre queste protezioni in una forma che non innescare il blocco, ma sfrutta ancora la debolezza. È un gioco gatto e topo simile all'antivirus. Immagino che potresti chiamare questi "aggirando" il firewall.

In breve, un firewall è valido solo come l'amministratore che lo sta configurando e ci si può aspettare che limiti il ​​traffico solo in base alle sue capacità. Non è un sostituto per rafforzare i sistemi dietro di esso, che è dove si concentrerà la maggior parte degli attacchi.

3
dbr

I firewall sono elementi fondamentali nella sicurezza della rete. Tuttavia, la gestione delle regole del firewall, in particolare per le reti aziendali, è un'attività complessa e soggetta a errori. Le regole di filtraggio del firewall devono essere scritte e organizzate con cura al fine di attuare correttamente la politica di sicurezza. Inoltre, l'inserimento o la modifica di una regola di filtro richiede un'analisi approfondita della relazione tra questa regola e tutte le altre regole al fine di determinare l'ordine corretto di questa regola e eseguire il commit degli aggiornamenti. Identificare le anomalie nelle configurazioni delle regole del Firewall è un argomento di ricerca molto acceso e ci sono molte ricerche su di esso alcune delle quali trovo interessanti is .

L'obiettivo dell'attaccante è di esporre queste anomalie nelle configurazioni del firewall ed è fatto attraverso l'impronta digitale del firewall in cui invia un pacchetto benigno per indovinare le regole del firewall e trovare scappatoie. Per prevenire questo tipo di sfruttamento, la maggior parte dei firewall sono implementati dietro IPS in una chiamata di modello DMZ dove IPS cerca di impedire l'impronta digitale del firewall attraverso l'euristica o la misurazione statistica (entropia), cioè la scansione delle porte.

1
Ali Ahmad