In che modo gli attaccanti possono ignorare i firewall? [chiuso]

I firewall non vengono "bypassati" nel senso in cui Hollywood vorrebbe far credere. Operano controllando il traffico in entrata e in uscita rispetto a un insieme di regole. Queste regole potrebbero essere basate su metadati (ad esempio numero di porta, indirizzo IP, tipo di protocollo, ecc.) O dati reali, cioè il carico utile del pacchetto.

Ad esempio:

• Elimina tutti i pacchetti in arrivo dall'indirizzo IP 1.2.3.4
• Elimina tutti i pacchetti TCP in ingresso sulla porta 22, a meno che non provengano dall'indirizzo IP 2.3.4.5
• Elimina tutti i pacchetti TCP in entrata con il flag RST impostato, quando il numero di sequenza non corrisponde a quello di una connessione conosciuta.
• Elimina tutti i pacchetti NetBIOS in entrata e in uscita.
• Rilascia tutti i pacchetti in arrivo sulla porta TCP 80 che contengono la stringa ASCII 0x31303235343830303536 .

I firewall moderni sono solitamente composti dalle seguenti serie di regole:

• Set di regole di base - in genere "blocca tutto" seguito da un elenco di eccezioni per servizi / protocolli comunemente utilizzati (ad esempio richieste HTTP in uscita)
• Set di regole personalizzate: una serie di regole utente progettate per sovrascrivere / integrare il set di regole di base.
• Set di regole di firma: una serie di firme per prevenire gli exploit noti. L'ultima regola nella mia lista è un esempio di questo: rileva lo strumento di iniezione Havij SQL. Questi di solito sovrascrivono tutte le altre regole. Questo set è analogo a un database anti-malware e deve essere aggiornato frequentemente.

Bypassare un firewall non è davvero qualcosa che può essere fatto. Tutto il traffico che lo attraversa viene filtrato in base alle regole configurate. Tuttavia, un firewall fa solo ciò che viene detto - un firewall mal configurato o non aggiornato potrebbe consentire un attacco.

Modi che posso pensare di aggirare un firewall:

• Fai letteralmente il giro. Trova un altro punto di accesso alla rete che non passa attraverso il firewall. Ad esempio, invia malware o un exploit a un utente interno tramite posta elettronica.
• Sfruttare un firewall configurato erroneamente creando pacchetti che non attivano le regole. Difficile, ma potenzialmente possibile.
• Invia payload exploit personalizzati alla destinazione su una porta aperta. I firewall possono identificare solo gli exploit noti.

Il modo più semplice per aggirare un firewall è quello che è noto come attacco "lato client". Se un computer sul lato protetto del firewall crea una connessione valida con un utente malintenzionato, non c'è nulla che attivi una tipica regola del firewall. Ad esempio, se un computer firewall esegue una connessione HTTP sulla porta 80 a un sito Web progettato per sfruttare le vulnerabilità del browser (o Java), c'è poco che il firewall riconosca come dannoso: traffico web su una porta web.

Una volta raggiunto il punto d'appoggio all'interno della rete, l'attaccante può impostare tunnel cifrati che passano attraverso il firewall sulle porte consentite, che è un altro tipo di "bypass".

Per quanto riguarda gli attacchi diretti ai firewall, strumenti esiste per mappare il modo in cui un firewall è configurato per varie porte. Con queste informazioni, il traffico può essere configurato per passare attraverso il firewall. Al livello più semplice, frammentare i pacchetti può essere efficace nel non attivare vari set di regole firewall e IPS poiché ogni pacchetto non contiene dati sufficienti. Il firewall deve essere configurato per memorizzare l'intero pacchetto frammentato prima dell'ispezione.

La risposta dipende in realtà dalla definizione di "bypass".

Il fattore più importante per garantire che un firewall fornisca la massima protezione è assicurarsi che sia configurato in modo appropriato. Un firewall è un dispositivo stupido nel senso che è necessario configurare ciò che si desidera autorizzare tramite / block. Un firewall configurato male lascerà buchi nella tua superficie di attacco. Se un aggressore entra, non è colpa del firewall; stava solo facendo quello che è stato detto. Si potrebbe obiettare che il firewall non è stato tecnicamente "bypassato" perché non è mai stato detto di limitare il traffico pertinente in primo luogo.

A seconda del set di funzionalità del firewall, ti consentirà solo di limitare l'accesso in determinati modi. Sebbene alcune tecniche di penetrazione possano tentare di sfruttare una vulnerabilità o debolezza nel software del firewall - che suppongo che potrebbe classare come "bypassare" - la maggior parte delle tecniche sono focalizzate sullo sfruttamento di firewall configurati male (vedere il punto sopra ), o sistemi che sono dietro il firewall. Ad esempio, se hai un server SSH mal configurato dietro il firewall, non è colpa del firewall che l'autore dell'attacco sia stato in grado di autenticarsi come root con "password" come password. Il firewall è stato configurato per consentire solo l'accesso tramite la porta 22 (SSH), quindi ha fatto il suo lavoro. Di nuovo, si potrebbe giustamente sostenere che il firewall non è stato aggirato in questa situazione, ma qualcuno è ancora entrato nella tua rete.

Alcuni firewall offrono funzionalità più avanzate come la prevenzione delle intrusioni e il filtraggio dei livelli delle applicazioni. I firewall IPS tentano di comprendere il contenuto del traffico che scorre e bloccano alcuni metodi comuni di sfruttamento delle debolezze nei sistemi ospitati dietro di esso. Di nuovo, questo dipende da un'attenta configurazione per essere efficace. Se non hai abilitato le protezioni IPS corrette, non è colpa del firewall se qualcuno riesce a sfruttare questa vulnerabilità. Esistono alcune tecniche di penetrazione che cercano di far passare il traffico oltre queste protezioni in una forma che non innesca il blocco, ma sfrutta ancora la debolezza. È un gioco di gatto e topo simile all'anti-virus. Immagino che potresti chiamare questi "bypassando" il firewall.

In breve, un firewall è valido solo quanto l'amministratore che lo sta configurando e si può prevedere che limiterà il traffico solo in base alle sue capacità. Non è un sostituto per indurire i sistemi dietro di esso, che è dove la maggior parte degli attacchi si concentrerà.

I firewall sono elementi fondamentali nella sicurezza della rete. Tuttavia, la gestione delle regole del firewall, in particolare per le reti aziendali, è un'attività complessa e soggetta a errori. Le regole di filtraggio del firewall devono essere accuratamente scritte e organizzate per implementare correttamente la politica di sicurezza. Inoltre, l'inserimento o la modifica di una regola di filtro richiede un'analisi approfondita della relazione tra questa regola e tutte le altre regole al fine di determinare l'ordine corretto di questa regola e di eseguire il commit degli aggiornamenti. Identificare le anomalie nelle configurazioni delle regole del firewall è un tema di ricerca molto acceso e ci sono molte ricerche su di esso, alcune delle quali trovo interessante è .

L'obiettivo dell'attaccante è di esporre queste anomalie nelle configurazioni del firewall ed è fatto attraverso il fingerprinting del firewall in cui invia pacchetti benigni per indovinare le regole del firewall e trovare scappatoie in esse. Per evitare questo tipo di sfruttamento la maggior parte del firewall si schiera dietro L'IPS in un pattern chiama DMZ dove IPS tenta di impedire il fingerprinting del firewall attraverso l'euristica o la misurazione statistica (entropia), ad esempio la scansione delle porte.