- Suốt từ khi Cheswick và Bellovin viết cuốn anh hùng ca về cách xây dựng các bức tờng lửa và theo dõi một hắc cơ quỷ quyệt tên Berferd, ý tởng thiết đặt một hệ phục vụ web trên Internet mà không triển khai một bức tờng lửa đã đợc xem là tự sát. - Cũng bằng nh tự sát nếu quyết định phó mặc các nhiệm vụ về bức tờng lửa vào tay các kỹ s mạng. - Tuy giới này có thể tìm hiểu các quan hệ mật thiết về kỹ thuật của một bức tờng lửa, song lại không hòa chung nhịp thở với hệ bảo mật và tìm hiểu não trạng cũng nh các kỹ thuật của các tay hắc cơ quỷ quyệt. - Kết quả là, các bức tờng lửa có thể bị chọc thủng do cấu hình sai, cho phép bọn tấn công nhảy bổ vào mạng và gây ra đại họa.. - Phong cảnh bức tờng lửa. - Hai kiểu bức tờng lửa đang thống lĩnh thị trờng hỉện nay: hệ giám quản ứng dụng (application proxies) và các ngỏ thông lọc gói tin (packet filtering gateway). - Nhiều ngời tin rằng hiện cha xuất hiện bứcc tờng lửa “hoàn hảo”, nhng tơng lai đầy sán lạn. - Suốt từ khi bức tờng lửa đầu tiên đợc cài đặt, các bức tờng lửa đã bảo vệ vô số mạng tránh đợc những cặp mắt tò mò và bọn phá hoại nhng còn lâu chúng mới trở thành phơng thuốc trị bách bệnh bảo mật. - Các chỗ yếu bảo mật đều đợc phát hiện hàng năm với hầu nh mọi kiểu bức tờng lửa trên thị trờng.. - Tệ hại hơn, hầu hết các bức tờng lửa thờng bị cấu hình sai, không bảo trì, và không giám sát, biến chúng trở thành một vật cản cửa điện tử (giữ cho các ngỏ thông luôn rộng mở).. - Nến không phạm sai lầm, một bức tờng lửa đợc thiết kế, cấu hình, và bảo trì kỹ lỡng hầu nh kh. - Thực tế, hầu hết các kẻ tấn công có tay nghề cao đều biết điều này và sẽ đơn giản tránh vòng qua bức tờng lửa bằng cách khai thác các tuyến quan hệ ủy quản (trust relationships) và các chỗ yếu bảo mật nối kết lỏng lẻo nhất, hoặc tránh nó hoàn toàn bằng cách tấn công qna một tài khoản. - Điểm căn bản: hầu hết bọn tấn công dồn mọi nỗ lực để vòng qua một bức tờng lửa mạnh - mục tiêu ở đây là tạo một bức tờng lửa mạnh.. - Với t cách là điều hành viên bức tờng lửa, ta biết rõ tầm quan trọng của việc tìm hiểu kẻ địch. - Nắm đợc các bớc đầu tiên mà một bọn tấn công thực hiện để bỏ qua các bức tờng lửa sẽ giúp bạn rất nhiều trong việc phát hiện và phản ứng lại một cuộc tấn công. - Chơng này sẽ hớng dẫn bạn qua các kỹ thuật thờng dùng hiện nay để phát hiện và điểm danh các bức tờng lửa, đồng thời mô tả vài cách mà bọn tấn công gắng bỏ qua chúng. - Định danh các bức tờng lửa. - Hầu hết mọi bức tờng lửa đều mang một "mùi hơng". - Nghĩa là, với một tiến trình quét cổng, lập cầu lửa, và nắm giữ biểu ngữ đơn giản, bọn tấn công có thể hiệu quả xác định kiểu, phiên bản, và các quy tắc của hầu hết mọi bức tờng lửa trên mạng. - Tại sao việc định danh này lại quan trọng? Bởi vì một khi đã ánh xạ đợc các bức tờng lửa, chúng có thể bắt đầu tìm hìểu các điểm yếu và gắng khai thác chúng.. - Cách dễ nhất để tìm kiếm các bức tờng lửa đó là quét các cổng ngầm định cụ thể. - Với sự hiểu biết này, quá trình tìm kiếm các kiểu bức tờng lửa này chẳng có gì khó với một bộ quét cổng nh nmap:. - Điều này quan trọng bởi hầu hết bức tờng lửa không đáp ứng các yêu cầu dội ICMP.. - Cả bọn tấn công nhút nhát lẫn hung bạo đều tiến hành quét rộng rãi mạng của bạn theo cách này, tìm kiếm các bức tờng lửa này và tìm kiếm mọi khe hở trong két sắt vành đai của bạn. - Để ngăn cản các đợt quét cổng bức tờng lửa từ Internet, bạn cần phong tỏa các cổng này trên các bộ. - định tuyến đứng trớc các bức tờng lửa. - Một cách thinh lặng và tinh tế hơn để tìm các bức tờng lửa trên một mạng đó là dùng traceroute . - Có cơ may chặng đứng ngay trớc đích là bức tờng lửa, nhng ta cha biết chắc. - Nhng một số bộ định tuyến và bức tờng lửa đợc xác lập để không trả về các gói tin ICMP có TTL hết hạn (từ các. - gói tin ICMP lẫn UDP). - Tất cả những gì bạn có thể thực hiện đó là chạy traceroute và xem chặng nào đáp ứng cuối cùng, và suy ra đây là một bức tờng lửa hoặc chí ít là bộ định tuyến đầu tiên trong đờng truyền bắt đầu phong tỏa tính năng tracerouting. - Việc chỉnh sửa sự rò rỉ thông tin traceroute đó là hạn chế tối đa các bức tờng lửa và bộ định tuyến đáp ứng các gói tin có TTL hết hạn. - Kỹ thuật quét tìm các cổng bức tờng lừa là hữu ích trong việc định vị các bức tờng lửa, nhng hầu hết các bức tờng lửa không lắng chờ trên các cổng ngầm định nh Check point và Microsoft, do đó việc phát hiện phải đợc suy diễn. - Nhiều bức tờng lứa phổ dụng sẽ công bố sự hiện diện của chúng bằng cách đơn giản nối với chúng. - Ví dụ , nhiều bức tờng lửa giám quản sẽ công bố chức năng cúa chúng với t cách một bức tờng lửa, và một số sẽ quảng cáo kiểu và phiên bản của chúng. - Ví dụ, khi ta nối với một máy đợc tin là một bức tờng lửa bằng netcat trên cổng 21 (FTP. - Việc nối thêm với cổng 23 (telnet) sẽ xác nhận tên bức tờng lửa là "Eagle.". - nếu vẫn cha bị thuyết phục hệ chủ của bạn là một bức tờng lửa. - cho bọn tấn công trong khi định danh các bức tờng lửa. - Các chi tiết thay đổi cụ thể của các biểu ngữ ngầm định sẽ tùy thuộc nhiều vào bức tờng lửa cụ thể, do đó bạn cần liên hệ hãng kinh doanh bức tờng lửa.. - Để ngăn cản bọn tấn công giành đợc quá nhiều thông tin về các bức tờng lửa từ các biểu ngữ quảng cáo, bạn có thể thay đổi các tập tin cấu hình biểu ngữ. - ng kinh doanh bức tờng lửa.. - Trên các bức tờng lửa Eagle Raptor, bạn có thể thay đổi các biểu ngữ ftp và telnet bằng cách sửa đổi các tập tin thông báo trong ngày: tập tin ftp.motd và telnet.motd.. - Kỹ Thuật Phát Hiện Bức Tờng Lửa Cao Cấp. - Nếu tiến trình quét cổng tìm các bức tờng lửa trực tiếp, dò theo đờng truyền, và nắm giữ biểu ngữ kh. - ông mang lại hiệu quả, bọn tấn công sẽ áp dụng kỹ thuật điểm danh bức tờng lửa theo cấp kế tiếp. - Có thể suy diễn các bức tờng lửa và các quy tắc ACL của chúng bằng cách dò tìm các đích và lu ý các lộ trình phải theo (hoặc không theo) để đến đó.. - Nmap là một công cụ tuyệt vời để phát hiện thông tin bức tờng lửa và chúng tôi liên tục dùng nó. - Lợng (hoặc thiếu) thông tin nhận đợc từ một đợt quét cổng có thể cho biết khá nhiều về cấu hình của bức tờng lửa.. - ã Không nhận gói tin SYN/ACK nào.. - ã Không nhận gói tin RST/ACK nào.. - Ví dụ, khi quét www.mycompany.com <http://www.mycompany.com>, ta nhận hai gói tin ICMP cho biết bức tờng lửa đã phong tỏa các cổng 23 và 111 từ hệ thống cụ thể của chúng ta.. - Trong trạng thái "unfiltered", đợt quét của chúng ta hoặc đang đi qua bức tờng lửa và hệ. - đích của chúng ta đang báo cho biết nó không lắng chờ trên cổng đó, hoặc bức tờng lửa đang đáp ứng. - Sự kiện này cũng có thể xảy ra với một số bức tờng lửa nh Check point (với quy tắc REJECT) khi nó đáp ứng đích đang gửi trả một gói tin RST/ACK và đánh lừa địa chỉ IP nguồn của đích. - Để ngăn cản bọn tấn công điểm danh các ACL bộ định tuyến và bức tờng lửa thông qua kỹ thuật. - “admin prohibited filter", bạn có thể vô hiệu hóa khả năng đáp ứng với gói tin ICMP type 13 của bộ. - Một số bức tờng lửa có một dấu ấn duy nhất xuất híện dới dạng một sêri con số phân biệt với các bức t- ờng lửa khác. - Quét qua các bức tờng lửa. - hiệu hóa các bức tờng lửa. - Thay vì thế, ta sẽ tìm hiểu một số kỹ thuật để nhảy múa quanh các bức tờng lửa và thu thập một số thông tin quan trọng về các lộ trình khác nhau xuyên qua và vòng quanh chúng.. - Mỗi gói tin từng phần và toàn thể có thể cung cấp một bức tranh khá rõ về các kiểu kiểm soát truy cập của bức tờng lửa. - Ví dụ, khi dùng hping ta có thể phát hlện các gói tin mở, bị phong tỏa, thả, và loại bỏ.. - Giờ đây ta biết có một cống mở thông đến đích, nhng cha biết nơi của bức tờng lửa. - Giờ đây nó đợc xác nhận ắt hẳn là bức tờng lửa, và ta biết nó đang rõ rệt phong tỏa cổng 23 đến đích của chúng ta. - lọt qua bức tờng lửa và hệ chủ không lắng chờ cổng có , hoặc (2) bức tờng lửa thải bỏ gói tin (nh trờng hợp của quy tắc reject của Check Point).. - Do đã nhận gói tin ICMP type 13 trên đây, nên ta có thể suy ra bức tờng lửa . - đang cho phép gói tin đi qua bức tờng lửa, nhng hệ chủ không lắng chờ trên cổng đó.. - Nếu bức tờng lửa mà bạn đang quét qua là Check point, hping sẽ báo cáo địa chỉ IP nguồn của. - đích, nhng gói tin thực sự đang đợc gửi từ NIC bên ngoài của bức tờng lửa Check Point. - Cuối cùng, khi một bức tờng lửa đang phong toả các gói tin đến một cổng, bạn thờng không nhận đợc gì trở lại.. - Kỹ thuật hping này có thể có hai ý nghĩa: (1) gói tin không thể đạt đến đích và đã bị mất trên đ-. - ờng truyền, hoặc (2) có nhiều khả năng hơn, một thiết bị (ắt là bức tờng lửa của chúng ta đã bỏ gói tin trên sàn dới dạng một phần các quy tắc ACL của nó.. - Firewalk (http://www.packetfactory.net/firewalk/) là một công cụ nhỏ tiện dụng, nh một bộ quét cổng, đợc dùng để phát hiện các cổng mở đàng sau một bức tờng lửa. - Đợc viết bởi Mike Schiffnlan, còn gọi là Route và Dave Goldsmith, trình tiện ích này sẽ quét một hệ chủ xuôi dòng từ một bức tờng lửa và báo cáo trở lại các quy tắc đợc phép đến hệ chủ đó mà không phải thực tế chạm đến hệ đích.. - Firewalk làm việc bằng cách kiến tạo các gói tin với một IP TTL đợc tính toán để kết thúc một chãng vợt quá bức tờng lửa. - Về lý thuyết, nếu gói tin đợc bức tờng lửa cho phép, nó sẽ đợc phép đi qua và sẽ kết thúc nh dự kiến, suy ra một thông điệp "ICMP TTL expired in transit.". - Mặt khác, nếu gói tin. - bị ACL của bức tờng lửa phong tỏa, nó sẽ bị thả, và hoặc không có đáp ứng nào sẽ đợc gửi, hoặc một gói tin lọc bị ICMP type 13 admin ngăn cấm sẽ đợc gửi.. - Sự cố duy nhất mà chúng tôi gặp khi dùng Firewalk đó là nó có thể ít hơn dự đoán, vì một số bức tờng lửa sẽ phát hiện gói tin hết hạn trớc khi kiểm tra các ACL của nó và cứ thế gửi trả một gói tin ICMP TTL EXPIRED. - Lọc gói tin. - Các bức tờng lửa lọc gói tin nh Firewall-1 của Check Point, Cisco PIX, và IOS của Cisco (vâng, Cisco IOS có thể đợc xác lập dới dạng một bức tờng lửa) tùy thuộc vào các ACL (danh sách kiểm soát truy cập) hoặc các quy tắc để xác định xem luồng lu thông có đợc cấp quyền để truyền vào/ra mạng bên trong. - Nhng thông thờng, bạn tình cờ gặp một bức tờng lửa có các ACL tự do, cho phép vài gói tin đi qua ở tình trạng mở. - Các danh sách kiểm soát truy cập (ACL) tự do thờng gặp trên các bức tờng lửa nhiều hơn ta t-. - ng sau bức tờng lửa và đánh lừa nguồn của nó dới dạng cống 53 (DNS).. - Bảo đảm các quy tắc bức tờng lửa giới hạn ai có thể nối ở đâu. - Nếu đang dùng một bức tờng lửa Checkpoint, bạn có thể dùng quy tắc sau đây để hạn chế một cổng nguồn 53 (DNS) chỉ đến DNS của ISP. - Nhiều bộ định tuyến và bức tờng lửa cho phép ICMP ECHO, ICMP ECHO REPLY, và các gói tin UDP mù quáng đi qua, và nh vậy sẽ dễ bị tổn thơng trớc kiểu tấn công này. - Nếu chạy công cụ hệ phục vụ lokid trên một hệ thống đằng sau bức tờng lửaa cho phép ICMP ECHO và ECHO REPLY, bạn cho phép bọn tấn công chạy công cụ hệ khách (loki), đóng khung mọi lệnh gửi đi trong các gói tin ICMP ECHO đến hệ phục vụ (lokid). - Dùng kỹ thuật này, bọn tấn công có thể hoàn toàn bỏ qua bức tờng lửa.. - Để ngăn cản kiểu tấn công này, bạn vô hiệu hóa khả năng truy cập ICMP thông qua bức tờng lừa hoặc cung cấp khả năng truy cập kiểm soát chi tiết trên luồng lu thông ICMP. - Cảnh giác: nếu ISP theo dõí thời gian hoạt động của hệ thống bạn đằng sau bức tờng lửa của bạn với các ping ICMP (hoàn toàn không nên. - Trong thực tế một bức tờng lửa đợc cấu hình kỹ có thể vô cùng khó vợt qua. - ông cụ thu thập thông tin nh traceroute, hping, và nmap, bọn tấn công có thể phát hiện (hoặc chí ít suy ra) các lộ trình truy cập thông qua bộ định tuyến và bức tờng lửa cũng nh kiểu bức tờng lửa mà bạn. - Nhiều chỗ yếu hiện hành là do cấu hình sai trong bức tờng lửa hoặc thiếu sự giám sát eấp. - Một số điểm yếu cụ thể tồn tại trong các hệ giám quản lẫn các bức tờng lửa lọc gói tin, bao gồm các kiểu đăng nhập web, telnet, và localhost không thẩm định quyền. - Nhiều ngời tin rằng tơng lại tất yếu của các bức tờng lửa sẽ là một dạng lai ghép giữa ứng dụng giám quản và công nghệ lọc gói tin hữu trạng [stateful] sẽ cung cấp vài kỹ thuật để hạn chế khả năng cấu hình sai. - Các tính năng phản ứng cũng sẽ là một phần của bức tờng lửa thế hệ kế tiếp. - đổi đã đợc thiết kế sẵn sẽ tự động khởi phát và áp dụng cho bức tờng lửa bị ảnh hởng. - Ví dụ, nếu một IDS có thể phát hiện tiến trình phân lạch ICMP, sản phẩm có thể hớng bức tờng lửa đóng các yêu cầu ICMP ECHO vào trong bức tờng lửa
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt