it-swarm-tr.com

Saldırganlar güvenlik duvarlarını nasıl atlayabilir?

Güvenlik duvarlarındaki Wikipedia makalesini okudum ama güvenlik duvarı güvenliğini ve dışarıdan bir saldırganın hedef sistemi kesmek için güvenlik duvarını nasıl atlayabildiğini anlamıyorum.

Hepimiz bunun olduğunu biliyoruz, ancak hangi yöntemler bunu yapmayı mümkün kılıyor?

8
Ted

Güvenlik duvarları, Hollywood'un size inandığı anlamda "atlanmıyor". Gelen ve giden trafiği bir dizi kurala göre kontrol ederek çalışırlar. Bu kurallar meta verilere (ör. Bağlantı noktası numarası, IP adresi, protokol türü vb.) Veya gerçek verilere, yani paketin yüküne dayanabilir.

Örneğin:

  • Gelen tüm paketleri IP adresinden bırakın 1.2.3.4
  • IP adresinden gelmedikleri sürece, gelen tüm TCP 22 numaralı bağlantı noktasındaki paketleri bırakın) 2.3.4.5
  • Sıra numarası bilinen bir bağlantının numarasıyla eşleşmediğinde, gelen tüm TCP paketleri RST bayrağı ayarlı olarak bırakın).
  • Gelen ve giden tüm NetBIOS paketlerini bırakın.
  • Tüm gelen paketleri TCP 80 numaralı bağlantı noktasını ASCII dize 0x31303235343830303536.

Modern güvenlik duvarları genellikle aşağıdaki kural kümelerinden oluşur:

  • Temel kural seti - genellikle "tümünü engelle" ve ardından sık kullanılan hizmetler/protokoller için bir istisna listesi (örneğin, giden HTTP istekleri)
  • Özel kural kümesi - temel kural kümesini geçersiz kılmak/tamamlamak için tasarlanmış bir kullanıcı kuralları kümesi.
  • İmza kuralı seti - bilinen istismarlara karşı korunmak için bir dizi imza. Listemdeki son kural buna bir örnektir - Havij SQL enjeksiyon aracını algılar. Bunlar genellikle diğer tüm kuralları geçersiz kılar. Bu küme bir kötü amaçlı yazılımdan koruma veritabanına benzer ve zorunl sık sık güncellenir.

Bir güvenlik duvarını atlamak gerçekten yapılabilecek bir şey değildir. İçinden geçen tüm trafik yapılandırılmış kurallara göre filtrelenir. Ancak, bir güvenlik duvarı sadece söylenenleri yapar - yanlış yapılandırılmış veya eski bir güvenlik duvarı saldırıya izin verebilir.

Bir güvenlik duvarı etrafında dolaşmanın yolları:

  • Kelimenin tam anlamıyla onun etrafında dolaş. Ağa, güvenlik duvarından geçmeyen başka bir giriş noktası bulun. Örneğin, dahili bir kullanıcıya e-posta yoluyla kötü amaçlı yazılım veya istismar gönderin.
  • Kuralları tetiklemeyen paketleri işleyerek yanlış yapılandırılmış bir güvenlik duvarından yararlanın. Zor, ama potansiyel olarak mümkün.
  • Açık bir bağlantı noktasındaki hedefe özel istismar yükleri gönderin. Güvenlik duvarları yalnızca bilinen açıkları tanımlayabilir.
30
Polynomial

Güvenlik duvarından geçmenin en kolay yolu, "istemci tarafı" saldırıları olarak bilinen şeydir. Güvenlik duvarının korumalı tarafındaki bir bilgisayar bir saldırganla geçerli bir bağlantı kurarsa, tipik bir güvenlik duvarı kuralını tetikleyecek hiçbir şey yoktur. Örneğin, güvenlik duvarı olan bir bilgisayar 80 numaralı bağlantı noktasında tarayıcı (veya Java) güvenlik açıklarından yararlanmak için tasarlanmış bir web sitesine HTTP bağlantısı kurarsa, güvenlik duvarının bir web bağlantı noktası üzerinden kötü amaçlı olarak algılayacağı çok az şey vardır.

Ağ içinde bir dayanak sağlandığında, saldırgan izin verilen bağlantı noktalarındaki güvenlik duvarından geçen şifreli tünelleri ayarlayabilir, bu da başka bir 'baypas' türüdür.

Doğrudan güvenlik duvarı saldırıları konusunda, araçlarmevcut bir güvenlik duvarının çeşitli bağlantı noktaları için nasıl yapılandırıldığını haritalamak için. Bu bilgilerle trafik güvenlik duvarından geçecek şekilde yapılandırılabilir. En basit düzeyde, parçalama paketleri çeşitli güvenlik duvarını ve IPS kural kümelerini tetiklememede etkili olabilir, çünkü her paket yeterli veri içermiyor.) denetim.

7
schroeder

Cevap gerçekten "baypas" tanımınıza bağlıdır.

Bir güvenlik duvarının maksimum koruma sağlamasında en önemli faktör, uygun şekilde yapılandırıldığından emin olmaktır. Güvenlik duvarı, içinden/engellemesine izin vermek istediğiniz şeyi yapılandırmanız gerektiği anlamında aptal bir cihazdır. Kötü yapılandırılmış bir güvenlik duvarı saldırı yüzeyinizde boşluklar bırakacaktır. Bir saldırgan içeri girerse, güvenlik duvarının hatası değildir; sadece söylenenleri yapıyordu. Güvenlik duvarının teknik olarak "atlanmadığı" iddia edilebilir çünkü hiçbir zaman ilgili trafiği ilk etapta kısıtlaması söylenmemiştir.

Güvenlik duvarının özellik setine bağlı olarak, erişimi yalnızca belirli şekillerde kısıtlamanıza izin verir. Her ne kadar bazı penetrasyon teknikleri güvenlik duvarının yazılımında bir güvenlik açığından veya zayıflıktan yararlanmaya çalışsa da - sanırım olabilir sınıfı "baypas" olarak sınıflasın - tekniklerin çoğu kötü yapılandırılmış güvenlik duvarlarından yararlanmaya odaklanmıştır (yukarıdaki noktaya bakın) ) veya güvenlik duvarının arkasındaki sistemler. Örneğin, güvenlik duvarının arkasında kötü yapılandırılmış bir SSH sunucunuz varsa, saldırganın parola olarak "parola" ile kök olarak kimlik doğrulaması yapması güvenlik duvarının hatası değildir. Güvenlik duvarı yalnızca port 22 (SSH) üzerinden erişime izin verecek şekilde yapılandırıldı, bu yüzden işini yaptı. Yine, haklı olarak güvenlik duvarının bu durumda atlanmadığını, ancak yine de birisinin ağınıza girdiğini iddia edebiliriz.

Bazı güvenlik duvarları izinsiz giriş önleme ve uygulama katmanı filtreleme gibi daha gelişmiş özellikler sunar. IPS güvenlik duvarları, akan trafiğin içeriğini anlamaya çalışır ve arkasında barındırılan sistemlerde zayıf noktalardan yararlanmanın bazı yaygın yöntemlerini engeller. Yine, bu, etkili yapılandırmanın etkili olması için kullanılır. doğru IPS korumaları etkinleştirmediyse, birisi bu güvenlik açığından başarıyla yararlanırsa güvenlik duvarının hatası değildir. Bu korumaları geçmeyen bir biçimde trafiği geçmeye çalışan bazı penetrasyon teknikleri mevcuttur blok tetiklemek, ama yine de zayıflık sömürüyor.Bu anti-virüs benzer bir kedi-fare oyunu sanırım bu güvenlik duvarı "bypass" diyebilirsiniz.

Kısacası, bir güvenlik duvarı yalnızca onu yapılandıran yönetici kadar iyidir ve yalnızca trafiği yeteneklerine göre kısıtlaması beklenebilir. Çoğu saldırının odaklanacağı arkasındaki sistemleri sertleştirmenin yerini tutmaz.

3
dbr

Güvenlik duvarları ağ güvenliğinin temel unsurlarıdır. Ancak, özellikle kurumsal ağlar için güvenlik duvarı kurallarını yönetmek karmaşık ve hataya açık bir görevdir. Güvenlik politikasını doğru bir şekilde uygulamak için güvenlik duvarı filtreleme kuralları dikkatlice yazılmalı ve organize edilmelidir. Ayrıca, bir filtreleme kuralının eklenmesi veya değiştirilmesi, bu kuralın doğru sırasını belirlemek ve güncellemeleri yürütmek için bu kural ile diğer tüm kurallar arasındaki ilişkinin ayrıntılı bir analizini gerektirir. Güvenlik Duvarı kural yapılandırmalarındaki anormallikleri belirlemek çok ısınmış bir araştırma konusudur ve üzerinde ilginç bulduğum çok fazla araştırma vardır is .

Saldırganın amacı, güvenlik duvarı yapılandırmalarında bu anormallikleri açıklamaktır ve güvenlik duvarı kurallarını tahmin etmek ve içlerinde boşluklar bulmak için iyi huylu paket gönderdiği güvenlik duvarı parmak izi ile yapılır. Bu tür sömürüyü önlemek için çoğu güvenlik duvarı arkasına yerleştirilir IPS bir kalıp çağrısında DMZ burada IPS sezgisel tarama veya istatistiksel ölçüm (entropi), yani port tarama yoluyla güvenlik duvarı parmak izini önlemeye çalışır).

1
Ali Ahmad