Firewall+phương pháp của Hacker +cách phòng chống
1. Tổng quan vá»? tÆ°á»?ng lá»a :
- Theo tá»› được biết thì hiện nay trên thị trÆ°á»?ng có 2 loại tÆ°á»?ng lá»a : ủy nhiệm ứng dụng(application proxies) và cổng lá»?c gói tin ( packet filtering getways ).
2. Nháºn dạng tÆ°Æ¡ng lá»a
-Hầu hết thì các tÆ°á»?ng lá»a thÆ°á»?ng có 1 số dạng đặc trÆ°ng, chỉ cần thá»±c hiện má»™t số thao tác nhÆ° quét cổng và firewalking và lấy banner (thông tin giá»›i thiệu-tiêu Ä‘á»? ) là hacker có thể xác định được loại tÆ°á»?ng lá»a, phiên bản và quy luáºt của chúng.
-Theo các bạn thì tại sao nháºn dạng tÆ°á»?ng lá»a lại quan trá»?ng ? và câu trả lá»?i lÃ
Bởi nếu nhÆ° đã biết được các thông tin Ä‘Ãch xác vá»? tÆ°á»?ng lá»a và cách khai thác những Ä‘iểm yếu nà y .
a. Quét trá»±c tiếp - kỹ thuáºt lá»™ liá»…u
+ Cách tiến hà nh
-Má»™t cách Ä‘Æ¡n giản nhất để tìm ra tÆ°á»?ng lá»a là quét các cổng mặc định. Theo tá»› được biết thì má»™t và i tÆ°á»?ng lá»a trên thị trÆ°á»?ng tá»± nháºn dạng mình bằng việc quét cổng - ta chỉ cần biết những cổng nà o cần quét . Và dụ nhÆ° Proxy Sever của Microsoft nghe các cổng TCP 1080 va 1745 etc..
NhÆ° váºy để tìm tÆ°á»?ng lá»a ta sá» dụng nmap Ä‘Æ¡n giản nhÆ° sau :
Nmap -n -vv -p0 -p256,1080,1745 192.168.50.1 -60.250
Từ những kẻ tấn công vụng vá»? cho đến những kẻ sà nh sá»?i Ä‘á»?u dùng phÆ°Æ¡ng pháp quét diện rá»™ng đối vá»›i mạng là m việc của bạn để nháºn diện tÆ°á»?ng lá»a.Tuy nhiên , những hacker nguy hiểm sẽ tiến hà nh công việc quét cà ng thầm lặng , cà ng kÃn đáo cà ng tốt . Các hacker có thá»?dung nhiá»?u kÄ© thuáºt để thoát khá»?i sá»± phát hiện của chúng ta bao gồm ping ngẫu nhiên ... Các hệ thống dò xâm nháºp ( IDS - Intruction Detection System ) không thể phát hiện những hà nh Ä‘á»™ng quét cổng áp dụng những kÄ© thuáºt tinh vi để lẩn tránh bởi chúng được ngầm định láºp cấu hình chỉ để nghe những hà nh Ä‘á»™ng quét cổng lá»™ liá»…u nhất mà thôi .
Trừ khi chúng ta có những thiết láºp đúng đắn cho IDS , nếu không việc quét cổng sẽ diá»…n ra rất âm thầm và nhanh chóng. Chúng ta hoà n toà n có thể tạo ra những hà nh vi quét cổng nhÆ° váºy khi sá» dụng những Ä‘oạn script có sẵn trên nhiá»?u trang web nhÆ° :
www.hackingexposed.com
*** Cách đối phó ***
Nếu các bồ dùng RealSecure 3.0 thì có thể là m như sau:
-Ä?ể RealSecure 3.0 có thể phát hiện ra các hà nh vi quét cổng , chúng ta cần phải nâng cao tÃnh nhạy cảm của nó , có thể sá» dụng những thay đổi sau :
- Chá»?n Network Engine Policy
- Tìm "Port Scan " và ch�n nút Options
- Sá»a Ports thà nh 5 ports
- Sá»a Delta thà nh 60 seconds
- Ä?ể ngăn chặn việc quét cổng tÆ°á»?ng lá»a từ Internet ta cần phải khóa các cổng nà y ở những router đứng trÆ°á»›c Firewall.Trong trÆ°á»?ng hợp những thiết bị nà y do ISP quản lý, ta phải liên hệ vá»›i há»?.
b. Lần theo tuyến (Route tracking )
- Sá» dụng chÆ°Æ¡ng trình traceroute để nháºn diện tÆ°Æ¡ng lá»a trên má»™t mạng là m việc là má»™t phÆ°Æ¡ng pháp âm thầm và không khéo hÆ¡n. Chúng ta có thể sá» dụng traceroute trên môi trÆ°á»?ng UNIX và tracert.exe trên môi trÆ°á»?ng Windows NT để tìm Ä‘Æ°á»?ng đến mục tiêu. Traceroute của LINUX có khóa lá»±a chá»?n -I để thá»±c hiện việc lần theo tuyến bằng cách gá»i Ä‘i các gói ICMP
[vtt]$ traceroute -I 192.168.51.100
traceroute to 192.168.51.101 (192.168.51.100), 30 hops max, 40 byte packages
1 attack-gw (192.168.50.21) 5.801 ms 5.105 ms 5.445 ms
2 gw1.smallisp.net (192.168.51.1)
....
15 192.168.51.101 (192.168.51.100)
3.Lấy banner (banner grabbing)
- Quét cổng là má»™t biện pháp rất hiệu quả trong việc xác định firewall nhÆ°ng chỉ có Checkpoint và Microsoft nghe trên các cổng ngầm định , còn hầu hết các tÆ°á»?ng lá»a thì không nhÆ° váºy , do đó chúng ta cần phải suy diá»…n thêm . Nhiá»?u tÆ°á»?ng lá»a phổ biến thÆ°á»?ng thông báo sá»± có mặt của mình má»—i khi có kết nối tá»›i chúng.Bằng việc kết nối tá»›i má»™t địa chỉ nà o đó,ta có thể biết được chức năng hoạt Ä‘á»™ng , loại và phiên bản tÆ°Æ¡ng lá»a. Và dụ khi chúng ta dùng chÆ°Æ¡ng trình netcat để kết nối tá»›i má»™t máy tÃnh nghi nghá»? có tÆ°á»?ng lá»a qua cổng 21( F b sá»? tê) ta có thể thấy má»™t số thông tin thú vị nhÆ° sau :
c:\>nc -v -n 192.168.51.129 21
(unknown) [192.168.51.129] 21 (?) open
220 Secure Gateway FTP sever ready
-Dòng thông báo (banner) "Secure Gateway FTP sever ready" là dấu hiệu của má»™t loại tÆ°á»?ng lá»a cÅ© của Eagle Raptor. Ä?ể chắc chắn hÆ¡n chúng ta có thể kết nối tá»›i cổng 23 (telnet) :
C:\>nc -v -n 192.168.51.129 23
(unknown) [192.168.51.129] 23 (?) open
Eagle Secure Gateway.
Hostname :
-Cuối cùng nếu vẫn chưa chắc chắn ta có thể sỠdụng netcat với cổng 25(SMTP)
C:\>nc -v -n 192.168.51.129 25
(unknown) [192.168.51.129] 25 (?) open
421 fw3.acme.com Sorry, the firewall does not provide mail service to you
-Vá»›i những thông tin và giá trị thu tháºp được từ banner,hacker có thể khai thác các Ä‘iểm yếu của Firewall( đã dc phát hiện ra từ trÆ°á»›c ) để tấn công .
==**===Cách đối phó
- Theo tá»› hiểu thì để đối phó thì chugns ta cần phải giảm thiểu thông tin banner, Ä‘iá»?u nà y phụ thuá»™c rất nhiá»?u và o các nhà cung câp firewall. Ta có thể ngăn chặn việc bị lá»™ quá nhiá»?u thông tin tÆ°á»?ng lá»a bằng cách thÆ°á»?ng xuyên sủa đổi các file cấu hình banner. Ä?iá»?u nà y thì các bạn nên tham khảo thêm từ các nhà cung cấp dịch vụ.
4.Nháºn diện cổng (port identification)
Má»™t và i firewall có "dấu hiệu nháºn dạng " có thể được dùng để phân biệt vá»›i các loại tÆ°á»?ng lá»a khác bằng cách hiện ra má»™t sẻi các con số .Và dụ nhÆ° CheckPoint Firewall khi ta kết nối tá»›i cổng TCP 257 quản lý SNMP. Sá»± hiện diện của các cổng từ 256 tá»›i 259 trên hệ thống chÃnh là dấu hiệu báo trÆ°á»›c sá»± có mặt của CheckPoint Firewall-1 , ta có thể thá» nhÆ° sau:
[vtt]# nc -v -n 192.168.51.1 257
(unknown) [192.168.51.1] 257 (?) open
30000003
[vtt]# nc -v -n 172.29.11. 191 257
(unknown) [172.29.11. 191] 257 (?) open
30000000
Re: Firewall+phương pháp của Hacker +cách phòng chống
Hay quá - bạn có thể giúp mình cáchc config con Pix 506E được không??? mình chỉ muốn mở port 80 và POP3 , SMTP - còn lại chặn hết
Int EthNet : 192.168.1.1 Out EthNet : 10.0.0.10