Firewall+phương pháp của Hacker +cách phòng chống

1. Tổng quan v�? tư�?ng lửa :

- Theo tớ được biết thì hiện nay trên thị trư�?ng có 2 loại tư�?ng lửa : ủy nhiệm ứng dụng(application proxies) và cổng l�?c gói tin ( packet filtering getways ).

2. Nhận dạng tương lửa

-Hầu hết thì các tư�?ng lửa thư�?ng có 1 số dạng đặc trưng, chỉ cần thực hiện một số thao tác như quét cổng và firewalking và lấy banner (thông tin giới thiệu-tiêu đ�? ) là hacker có thể xác định được loại tư�?ng lửa, phiên bản và quy luật của chúng.

-Theo các bạn thì tại sao nhận dạng tư�?ng lửa lại quan tr�?ng ? và câu trả l�?i là
Bởi nếu như đã biết được các thông tin đích xác v�? tư�?ng lửa và cách khai thác những điểm yếu này .

a. Quét trực tiếp - kỹ thuật lộ liễu
+ Cách tiến hành
-Một cách đơn giản nhất để tìm ra tư�?ng lửa là quét các cổng mặc định. Theo tớ được biết thì một vài tư�?ng lửa trên thị trư�?ng tự nhận dạng mình bằng việc quét cổng - ta chỉ cần biết những cổng nào cần quét . Ví dụ như Proxy Sever của Microsoft nghe các cổng TCP 1080 va 1745 etc..

Như vậy để tìm tư�?ng lửa ta sử dụng nmap đơn giản như sau :

Nmap -n -vv -p0 -p256,1080,1745 192.168.50.1 -60.250

Từ những kẻ tấn công vụng v�? cho đến những kẻ sành s�?i đ�?u dùng phương pháp quét diện rộng đối với mạng làm việc của bạn để nhận diện tư�?ng lửa.Tuy nhiên , những hacker nguy hiểm sẽ tiến hành công việc quét càng thầm lặng , càng kín đáo càng tốt . Các hacker có th�?dung nhi�?u kĩ thuật để thoát kh�?i sự phát hiện của chúng ta bao gồm ping ngẫu nhiên ... Các hệ thống dò xâm nhập ( IDS - Intruction Detection System ) không thể phát hiện những hành động quét cổng áp dụng những kĩ thuật tinh vi để lẩn tránh bởi chúng được ngầm định lập cấu hình chỉ để nghe những hành động quét cổng lộ liễu nhất mà thôi .

Trừ khi chúng ta có những thiết lập đúng đắn cho IDS , nếu không việc quét cổng sẽ diễn ra rất âm thầm và nhanh chóng. Chúng ta hoàn toàn có thể tạo ra những hành vi quét cổng như vậy khi sử dụng những đoạn script có sẵn trên nhi�?u trang web như :
www.hackingexposed.com

*** Cách đối phó ***
Nếu các bồ dùng RealSecure 3.0 thì có thể làm như sau:

-�?ể RealSecure 3.0 có thể phát hiện ra các hành vi quét cổng , chúng ta cần phải nâng cao tính nhạy cảm của nó , có thể sử dụng những thay đổi sau :
- Ch�?n Network Engine Policy
- Tìm "Port Scan " và ch�?n nút Options
- Sửa Ports thành 5 ports
- Sửa Delta thành 60 seconds

- �?ể ngăn chặn việc quét cổng tư�?ng lửa từ Internet ta cần phải khóa các cổng này ở những router đứng trước Firewall.Trong trư�?ng hợp những thiết bị này do ISP quản lý, ta phải liên hệ với h�?.

b. Lần theo tuyến (Route tracking )
- Sử dụng chương trình traceroute để nhận diện tương lửa trên một mạng làm việc là một phương pháp âm thầm và không khéo hơn. Chúng ta có thể sử dụng traceroute trên môi trư�?ng UNIX và tracert.exe trên môi trư�?ng Windows NT để tìm đư�?ng đến mục tiêu. Traceroute của LINUX có khóa lựa ch�?n -I để thực hiện việc lần theo tuyến bằng cách gửi đi các gói ICMP

[vtt]$ traceroute -I 192.168.51.100
traceroute to 192.168.51.101 (192.168.51.100), 30 hops max, 40 byte packages
1 attack-gw (192.168.50.21) 5.801 ms 5.105 ms 5.445 ms
2 gw1.smallisp.net (192.168.51.1)
....
15 192.168.51.101 (192.168.51.100)

3.Lấy banner (banner grabbing)

- Quét cổng là một biện pháp rất hiệu quả trong việc xác định firewall nhưng chỉ có Checkpoint và Microsoft nghe trên các cổng ngầm định , còn hầu hết các tư�?ng lửa thì không như vậy , do đó chúng ta cần phải suy diễn thêm . Nhi�?u tư�?ng lửa phổ biến thư�?ng thông báo sự có mặt của mình mỗi khi có kết nối tới chúng.Bằng việc kết nối tới một địa chỉ nào đó,ta có thể biết được chức năng hoạt động , loại và phiên bản tương lửa. Ví dụ khi chúng ta dùng chương trình netcat để kết nối tới một máy tính nghi ngh�? có tư�?ng lửa qua cổng 21( F b s�? tê) ta có thể thấy một số thông tin thú vị như sau :
c:\>nc -v -n 192.168.51.129 21
(unknown) [192.168.51.129] 21 (?) open
220 Secure Gateway FTP sever ready

-Dòng thông báo (banner) "Secure Gateway FTP sever ready" là dấu hiệu của một loại tư�?ng lửa cũ của Eagle Raptor. �?ể chắc chắn hơn chúng ta có thể kết nối tới cổng 23 (telnet) :
C:\>nc -v -n 192.168.51.129 23
(unknown) [192.168.51.129] 23 (?) open
Eagle Secure Gateway.
Hostname :

-Cuối cùng nếu vẫn chưa chắc chắn ta có thể sử dụng netcat với cổng 25(SMTP)

C:\>nc -v -n 192.168.51.129 25
(unknown) [192.168.51.129] 25 (?) open
421 fw3.acme.com Sorry, the firewall does not provide mail service to you

-Với những thông tin và giá trị thu thập được từ banner,hacker có thể khai thác các điểm yếu của Firewall( đã dc phát hiện ra từ trước ) để tấn công .

==**===Cách đối phó
- Theo tớ hiểu thì để đối phó thì chugns ta cần phải giảm thiểu thông tin banner, đi�?u này phụ thuộc rất nhi�?u vào các nhà cung câp firewall. Ta có thể ngăn chặn việc bị lộ quá nhi�?u thông tin tư�?ng lửa bằng cách thư�?ng xuyên sủa đổi các file cấu hình banner. �?i�?u này thì các bạn nên tham khảo thêm từ các nhà cung cấp dịch vụ.

4.Nhận diện cổng (port identification)

Một vài firewall có "dấu hiệu nhận dạng " có thể được dùng để phân biệt với các loại tư�?ng lửa khác bằng cách hiện ra một sẻi các con số .Ví dụ như CheckPoint Firewall khi ta kết nối tới cổng TCP 257 quản lý SNMP. Sự hiện diện của các cổng từ 256 tới 259 trên hệ thống chính là dấu hiệu báo trước sự có mặt của CheckPoint Firewall-1 , ta có thể thử như sau:

[vtt]# nc -v -n 192.168.51.1 257
(unknown) [192.168.51.1] 257 (?) open
30000003

[vtt]# nc -v -n 172.29.11. 191 257
(unknown) [172.29.11. 191] 257 (?) open
30000000