Основан 26 Июля 2013 года
freehacks.ru fhacksnplmzxaaoo.onion
ДДОС СЕРВИС
Магазин Qiwi,Yandex Кошельков

Показано с 1 по 2 из 2
  1. #1
    TopicStarter
    Аватар для Fischer2014

    Статус
    Offline
    Регистрация
    25.04.2014
    Сообщений
    378
    Репутация
    143 + / -
    Программист

    Определить правило фильтрации фаервола

    Данная задачка относится к теме сбора данных о цели и сегодня скрывает за собой такую технику, как firewalking. Те, кто достаточно бородат, могут пропустить ее, остальных же прошу к столу .

    Итак, представим, что мы желаем проникнуть из интернета в сеть какой-то организации. У нее есть некие серверы, которые доступны из инета, но есть и файрвол где-то между нами и серверами. Так вот, правила фильтрации этого файрвола мы и можем определить, используя эту технику. Конечно, firewalking, которую придумали когда-то давно М. Шиф-ман (M. Schiffman) и Д. Голдсмит (D. Goldsmith), может показаться трухлявым пнем: и вендоры в теме, и админчики вроде тоже… Но так как эта бага относится к ряду misconfiguration, то и встречается она на практике систематически.

    Перейдем к делу. Для начала, чтобы понять эту технику, давай вспомним такое поле, как TTL в заголовке IP-пакета. Вики говорит, что «значение TTL может рассматриваться как верхняя граница времени существования IP-датаграммы в сети». В IP-пакете данное поле уменьшается на 1 на каждом из узлов между источником и получателем. Оно необходимо для того, чтобы в сети не было пакетов, которые по тем или иным причинам вечно бы курси-ровали в ней. А как только TTL становится равен 0, хост (на котором это про-изошло) должен отправить источнику IP-датаграммы ICMP-пакет с типом «ICMP_TIME_EXCEEDED».

    В общем-то, на основе этого работает программа traceroute (или tracert под Win). Мы указываем некий хост, до которого хотим построить трейс, и посылаем пакет (UDP для первой и ICMP для второй) со значением TTL, равным 1. И ближайший хост присылает нам сообщение ICMP о том, что пакет удален. Далее мы увеличиваем TTL и еще раз отправляем пакет. Ситуация повторяется, и мы узнаем следующий узел на нашем пути. Таким вот образом мы доходим до нашей цели. Причем здесь важно отметить, что так как TTL — часть IP-заголовка, то более высокий протокол мы можем использовать любой: и UDP, и ICMP, и даже TCP. Теперь же, помня все это, мы подходим к методике firewalking’а

    Суть ее заключается в том, что на основе анализа ответов от файрвола с TTL у посылаемых пакетов больше, чем до файрвола, на 1, мы можем понять, какой порт по какому протоколу фильтруется, а какой нет. Сейчас поясню на примере

    Методика состоит из двух шагов. Первым, ясное дело, надо определить месторасположение файрвола на трейсе. Для этого мы можем использовать любой метод трейса. Итогом будем некое значение TTL до файрвола.

    Второе — это само сканирование файрвола. Предположим, мы пошлем какой-то TCP-пакет на хост за файрволом, но TTL будет равен TTL до него. Тогда нам файрвол ответит, что время жизни пакета исчерпано.
    А если же мы пошлем на единицу больше, то есть на один хост за файрвол? Тогда сработает магия. Если данный TCP-порт фильтруется файрволом, тогда он ответит нам молчанием. Если же не фильтруется, то нам тогда придет сообщение «ICMP_TIME_EXCEEDED», но уже от узла, следующего за файрволом. Данный узел принято в контексте firewalking’а называть metric.

    Таким образом, если фильтруется — мы не видим ответа на свой TCP-запрос, а если не фильтруется, то мы видим ICMP-пакет в ответ. Ну и как уже было сказано, используя данную логику, мы можем определить правила фильтрации на файрволе как по TCP-, так и по UDP-протоколу. Что еще приятно — мы можем определить правила на нескольких файр-волах. Для этого нужно сделать все то же самое, но метрикой выставить хост
    за вторым файрволом.

    Теперь поговорим об основных проблемах. Во-первых, исходящие ICMP в правильной конфигурации должны фильтроваться файрволом. Это-то и является той мисконфигурацией, которая позволяет нам его анализировать.
    Во-вторых, есть некие более умные девайсы, которые знают расстояние до итоговой цели, а потому, если TTL меньше необходимого, отбраковывают пакеты. Кроме того, общее ограничение — нам надо знать внешний IP хоста за файрволом, то есть NAT не даст возможности заюзать данную технику.

    Конечно, ограничения эти достаточно суровы, но, с другой стороны, внутри корпоративной сети (из одного сегмента атака на другой) многие из них уже не будут действовать, что даст нам возможность для firewalking’а.Реализовать сами атаки можно либо с помощью тулзы firewalk (есть в BT, Kali), либо используя NSE-скрипт firewalk в Nmap’е.


  2. 2 пользователя(ей) сказали cпасибо:
  3. #2
    Trust
    Админ негодует :3
    Аватар для admin

    Статус
    Offline
    Регистрация
    27.07.2013
    Сообщений
    1,724
    Репутация
    222 + / -
    Безопасность
    Полезно, спасибо.
    [Только зарегистрированные могут видеть это. ]
    JID: [Только зарегистрированные могут видеть это. ] - пока не сижу там, только ЛС.

Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Информация на сайте предоставлена исключительно в ознакомительных целях, использование знаний в противозаконных целях преследуется по закону! Администрация не несет ответственности за ваши деяния.