Các kiểu tấn công Firewall và cách phòng chống
Nội dung tài liệu
Tải xuống
Link tài liệu:
Các tài liệu liên quan
Có thể bạn quan tâm
Thông tin tài liệu
Ch¬ng IV : C¸c kiÓu tÊn c«ng vµo Firewall vµ c¸c biÖn ph¸p
phßng chèng
Suèt tõ khi Cheswick vµ Bellovin viÕt cuèn anh hïng ca vÒ c¸ch x©y dùng c¸c bøc têng löa vµ
theo dâi mét h¾c c¬ quû quyÖt tªn Berferd, ý tëng thiÕt ®Æt mét hÖ phôc vô web trªn Internet mµ kh«ng
triÓn khai mét bøc têng löa ®· ®îc xem lµ tù s¸t. Còng b»ng nh tù s¸t nÕu quyÕt ®Þnh phã mÆc c¸c
nhiÖm vô vÒ bøc têng löa vµo tay c¸c kü s m¹ng. Tuy giíi nµy cã thÓ t×m hiÓu c¸c quan hÖ mËt thiÕt vÒ
kü thuËt cña mét bøc têng löa, song l¹i kh«ng hßa chung nhÞp thë víi hÖ b¶o mËt vµ t×m hiÓu n·o tr¹ng
còng nh c¸c kü thuËt cña c¸c tay h¾c c¬ quû quyÖt. KÕt qu¶ lµ, c¸c bøc têng löa cã thÓ bÞ chäc thñng
do cÊu h×nh sai, cho phÐp bän tÊn c«ng nh¶y bæ vµo m¹ng vµ g©y ra ®¹i häa.
I. Phong c¶nh bøc têng löa
Hai kiÓu bøc têng löa ®ang thèng lÜnh thÞ trêng hØÖn nay: hÖ gi¸m qu¶n øng dông (application
proxies) vµ c¸c ngá th«ng läc gãi tin (packet filtering gateway). Tuy c¸c hÖ gi¸m qu¶n øng dông ®îc
xem lµ an ninh h¬n c¸c ngá th«ng läc gãi tin, song b¶n chÊt h¹n hÑp vµ c¸c h¹n chÕ kh¶ n¨ng vËn hµnh
http://www.llion.net
1
cña chóng ®· giíi h¹n chóng vµo luång lu th«ng ®i ra c«ng ty thay v× luång lu th«ng ®i vµo hÖ
phôc vô web cña c«ng ty. Trong khi ®ã, ta cã thÓ gÆp c¸c ngá th«ng loc gãi tin, hoÆc c¸c ngá th«ng läc
gãi tin h÷u tr¹ng (stateful) phøc hîp h¬n, mÆt kh¸c, trong nhiÒu tæ chøc lín cã c¸c yªu cÇu kh¶ n¨ng
vËn hµnh cao.
NhiÒu ngêi tin r»ng hiÖn cha xuÊt hiÖn bøcc têng löa “hoµn h¶o”, nhng t¬ng lai ®Çy s¸n l¹n. Mét
sè h¨ng kinh doanh nh Network Associates Inc. (NAI), AXENT, Internet Dynamics, vµ Microsoft ®·
ph¸t triÓn c«ng nghÖ cung cÊp tÝnh n¨ng b¶o mËt cña c«ng nghÖ gi¸m qu¶n víi kh¶ n¨ng vËn hµnh cña
c«ng nghÖ läc gãi tin (mét d¹ng lai ghÐp gi÷a hai c«ng nghÖ). Nhng chóng vÉn cha giµ dÆn.
Suèt tõ khi bøc têng löa ®Çu tiªn ®îc cµi ®Æt, c¸c bøc têng löa ®· b¶o vÖ v« sè m¹ng tr¸nh ®îc
nh÷ng cÆp m¾t tß mß vµ bän ph¸ ho¹i nhng cßn l©u chóng míi trë thµnh ph¬ng thuèc trÞ b¸ch bÖnh b¶o
mËt. C¸c chç yÕu b¶o mËt ®Òu ®îc ph¸t hiÖn hµng n¨m víi hÇu nh mäi kiÓu bøc têng löa trªn thÞ trêng.
TÖ h¹i h¬n, hÇu hÕt c¸c bøc têng löa thêng bÞ cÊu h×nh sai, kh«ng b¶o tr×, vµ kh«ng gi¸m s¸t, biÕn
chóng trë thµnh mét vËt c¶n cöa ®iÖn tö (gi÷ cho c¸c ngá th«ng lu«n réng më).
NÕn kh«ng ph¹m sai lÇm, mét bøc têng löa ®îc thiÕt kÕ, cÊu h×nh, vµ b¶o tr× kü lìng hÇu nh kh
«ng thÓ ®ét nhËp. Thùc tÕ, hÇu hÕt c¸c kÎ tÊn c«ng cã tay nghÒ cao ®Òu biÕt ®iÒu nµy vµ sÏ ®¬n gi¶n
tr¸nh vßng qua bøc têng löa b»ng c¸ch khai th¸c c¸c tuyÕn quan hÖ ñy qu¶n (trust relationships) vµ c¸c
chç yÕu b¶o mËt nèi kÕt láng lÎo nhÊt, hoÆc tr¸nh nã hoµn toµn b»ng c¸ch tÊn c«ng qna mét tµi kho¶n
http://www.llion.net
2
quay sè.
§iÓm c¨n b¶n: hÇu hÕt bän tÊn c«ng dån mäi nç lùc ®Ó vßng qua mét bøc têng löa m¹nh - môc
tiªu ë ®©y lµ t¹o mét bøc têng löa m¹nh.
Víi t c¸ch lµ ®iÒu hµnh viªn bøc têng löa, ta biÕt râ tÇm quan träng cña viÖc t×m hiÓu kÎ ®Þch. N¾m ®îc
c¸c bíc ®Çu tiªn mµ mét bän tÊn c«ng thùc hiÖn ®Ó bá qua c¸c bøc têng löa sÏ gióp b¹n rÊt nhiÒu trong
viÖc ph¸t hiÖn vµ ph¶n øng l¹i mét cuéc tÊn c«ng. Ch¬ng nµy sÏ híng dÉn b¹n qua c¸c kü thuËt thêng
dïng hiÖn nay ®Ó ph¸t hiÖn vµ ®iÓm danh c¸c bøc têng löa, ®ång thêi m« t¶ vµi c¸ch mµ bän tÊn c«ng
g¾ng bá qua chóng. Víi tõng kü thuËt, ta sÏ t×m hiÓu c¸ch ph¸t hiÖn vµ ng¨n chÆn c¸c cuéc tÊn c«ng.
II. §Þnh danh c¸c bøc têng löa
HÇu hÕt mäi bøc têng löa ®Òu mang mét "mïi h¬ng" ®iÖn tö duy nhÊt. NghÜa lµ, víi mét tiÕn
tr×nh quÐt cæng, lËp cÇu löa, vµ n¾m gi÷ biÓu ng÷ ®¬n gi¶n, bän tÊn c«ng cã thÓ hiÖu qu¶ x¸c ®Þnh kiÓu,
phiªn b¶n, vµ c¸c quy t¾c cña hÇu hÕt mäi bøc têng löa trªn m¹ng. T¹i sao viÖc ®Þnh danh nµy l¹i quan
träng? Bëi v× mét khi ®· ¸nh x¹ ®îc c¸c bøc têng löa, chóng cã thÓ b¾t ®Çu t×m h×Óu c¸c ®iÓm yÕu vµ
g¾ng khai th¸c chóng.
http://www.llion.net
3
1. QuÐt trùc tiÕp : Kü thuËt Noisy
C¸ch dÔ nhÊt ®Ó t×m kiÕm c¸c bøc têng löa ®ã lµ quÐt c¸c cæng ngÇm ®Þnh cô thÓ. Mét sè bøc têng löa trªn thÞ trêng sÏ tù ®Þnh danh duy nhÊt b»ng c¸c ®ît quÐt cæng ®¬n gi¶n b¹n chØ cÇn biÕt néi
dung t×m kiÕm.
VÝ dô, Firewall-1 cña Check point l¾ng chê trªn c¸c cæng TCP 256, 257, 258, vµ Proxy Server
cña Microsoft thêng l¾ng chê trªn c¸c cæng TCP 1080 vµ 1745. Víi sù hiÓu biÕt nµy, qu¸ tr×nh t×m
kiÕm c¸c kiÓu bøc têng löa nµy ch¼ng cã g× khã víi mét bé quÐt cæng nh nmap:
nmap -n -vv -P0 -p256,1080,1745 192.168.50.1 - 60.254
Dïng khãa chuyÓn -PO ®Ó v« hiÖu hãa tÝnh n¨ng ping ICMP tríc khi quÐt. §iÒu nµy quan träng
bëi hÇu hÕt bøc têng löa kh«ng ®¸p øng c¸c yªu cÇu déi ICMP.
C¶ bän tÊn c«ng nhót nh¸t lÉn hung b¹o ®Òu tiÕn hµnh quÐt réng r·i m¹ng cña b¹n theo c¸ch nµy, t×m
kiÕm c¸c bøc têng löa nµy vµ t×m kiÕm mäi khe hë trong kÐt s¾t vµnh ®ai cña b¹n. Nhng bän tÊn c«ng
nguy hiÓm h¬n sÏ lïng sôc
vµnh ®ai cña b¹n cµng lÐn lót cµng tèt. Cã nhiÒu kü thuËt mµ bän tÊn c«ng cã thÓ sö dông ®Ó h¹ sËp
radar cña b¹n, bao gåm ngÉu nhiªn hãa c¸c ping, c¸c cæng ®Ých, c¸c ®Þa chØ ®Ých, vµ c¸c cæng nguån;
dïng c¸c hÖ chñ cß måi; vµ thùc hiÖn c¸c ®ît quÐt nguån cã ph©n phèi.
NÕu cho r»ng hÖ thèng ph¸t hiÖn x©m nhËp (IDS) cña b¹n nh RealSecure cña Internet Security Systems
http://www.llion.net
4
hoÆc SessionWall-3 cña Abirnet sÏ ph¸t hiÖn bän tÊn c«ng nguy hiÓm nµy, b¹n nªn suy nghÜ l¹i. HÇu
hÕt c¸c IDS ®Òu ngÇm ®Þnh cÊu h×nh ®Ó chØ nghe c¸c ®ît quÐt cæng ngu ®Çn vµ ån µo nhÊt. Trõ phi b¹n
sö dông IDS nhanh nh¹y vµ tinh chØnh c¸c ký danh ph¸t hiÖn, hÇu hÕt c¸c cuéc tÊn c«ng sÏ hoµn toµn
lµm ng¬. B¹n cã thÓ t¹o mét ®ît quÐt ngÉu nhiªn hãa nh vËy b»ng c¸ch dïng c¸c ký m· Perl cung cÊp
trªn chuyªn khu web www.osborne.com/ . Ký m· alert.sh cña «ng sÏ cÊu h×nh Check point ®Ó ph¸t hiÖn vµ gi¸m s¸t c¸c
®ît quÐt cæng vµ ch¹y mét User Defined Alert khi ®îc øng t¸c.
http://www.llion.net
6
Phßng Chèng
§Ó ng¨n c¶n c¸c ®ît quÐt cæng bøc têng löa tõ Internet, b¹n cÇn phong táa c¸c cæng nµy trªn c¸c bé
®Þnh tuyÕn ®øng tríc c¸c bøc têng löa. NÕu c¸c thiÕt bÞ nµy do ISP qu¶n lý, b¹n cÇn liªn hÖ víi hä ®Ó
tiÕn hµnh phong táa. NÕu tù b¹n qu¶n lý chóng, b¹n cã thÓ dïng c¸c Cisco ACL díÝ ®©y ®Ó phong táa
râ rÖt c¸c ®ît quÐt ®· nªu trªn ®©y:
access - list 101 deny tcp any any eq 256 log ! Block Firewall-l scans
access - list 101 deny tcp any any eq 257 log ! Block Firewall-l scans
access - list 101 deny tcp any any eq 258 log ! Block Firewall-l scans
access - list 101 deny tcp any any eq 1080 log ! Block Socks scans
access - list 101 deny tcp any any eq 1745 log ! Block Winsock scans
Ghi chó : NÕu phong táa c¸c cæng cña Check Point (256-258) t¹i c¸c bé dÞnh tuyÕn biªn, b¹n sÏ kh«ng
thÓ qu¶n löa bõc tõêng löa tõ lnternet.
Ngoµi ra, tÊt c¶ c¸c bé ®Þnh tuyÕn ph¶i cã mét quy t¾c dän dÑp (nÕu kh«ng khíc tõ c¸c gãi t×n
theo ngÇm ®Þnh), sÏ cã cïng hiÖu øng nh khi chØ ®Þnh c¸c t¸c vô khíc tõ:
access - list 101 deny ip any any log ! Deny and log any packet that got through our ACLs above
2. Rµ TuyÕn §êng
http://www.llion.net
7
Mét c¸ch thinh lÆng vµ tinh tÕ h¬n ®Ó t×m c¸c bøc têng löa trªn mét m¹ng ®ã lµ dïng traceroute . B¹n
cã thÓ dïng traceroute cña UNIX hoÆc tracert.exe cña NT ®Ó t×m tõng chÆng däc trªn trªn ®êng truyÒn
®Õn ®Ých vµ tiÕn hµnh suy diÔn. Traceroute cña Linux cã tïy chän -I, thùc hiÖn rµ ®êng b»ng c¸ch göi
c¸c gãi tin ICMP, tr¸i víi kü thuËt gãi tin UDP ngÇm ®Þnh.
[ sm@atsunami sm] $ traceroute - I www.yourcompany.com
traceroute to www.yourcompany.com ( 172.17.100.2 ) , 30 hops max, 140 byte packets
1 attack-gw ( 192.168.50.21) 5.801 ms 5.105 ms 5.445 ms
2 gw1.smallisp.net ( 192.168.51.l)
3 gw2.smallisp.net ( 192.168.52.2)
.....
13 hssi.bigisp.net ( 10.55.201.2 )
14 seriall.bigisp.net ( 10.55.202.l)
15 www.yourcompany.com ( 172.29.11.2)
Cã c¬ may chÆng ®øng ngay tríc ®Ých ( 10.55.202.1) lµ bøc têng löa, nhng ta cha biÕt ch¾c. CÇn
ph¶i ®µo s©u thªm mét chót.
VÝ dô trªn ®©y lµ tuyÖt vêi nÕu c¸c bé ®Þnh tuyÕn gi÷a b¹n vµ c¸c hÖ phôc vô ®Ých ®¸p øng c¸c
gãi tin cã TTL hÕt h¹n. Nhng mét sè bé ®Þnh tuyÕn vµ bøc têng löa ®îc x¸c lËp ®Ó kh«ng tr¶ vÒ c¸c gãi
tin ICMP cã TTL hÕt h¹n (tõ c¸c
http://www.llion.net
8
gãi tin ICMP lÉn UDP). Trong trêng hîp nµy, sù suy diÔn Ýt khoa häc h¬n. TÊt c¶ nh÷ng g× b¹n cã thÓ
thùc hiÖn ®ã lµ ch¹y traceroute vµ xem chÆng nµo ®¸p øng cuèi cïng, vµ suy ra ®©y lµ mét bøc têng löa
hoÆc chÝ Ýt lµ bé ®Þnh tuyÕn ®Çu tiªn trong ®êng truyÒn b¾t ®Çu phong táa tÝnh n¨ng tracerouting. VÝ dô,
ë ®©y ICMP ®ang bÞ phong táa ®Õn ®Ých cña nã, vµ kh«ng cã ®¸p øng nµo tõ c¸c bé ®Þnh tuyÕn vît qu¸
client - gw.smallisp.net :
1 stoneface (192.168.10.33) 12.640 ms 8.367 ms
2 gw1.localisp.net (172.31.10.1) 214.582 ms 197.992 ms
3 gw2.localisp.net (172.31.10.2) 206.627 ms 38.931 ms
4 dsl.localisp.net (172.31.12.254) 47.167 ms 52.640 ms
........
14 ATM6.LAX2.BIGISP.NET (10.50.2.1) 250.030 ms 391.716 ms
15 ATM7.SDG.BIGISP.NET (10.50.2.5) 234.668 ms 384.525 ms
16 client-gw.smallisp.net (10.50.3.250) 244.065 ms ! X * *
17 * * *
18 * * *
C¸c BiÖn Ph¸p Phßng Chèng
ViÖc chØnh söa sù rß rØ th«ng tin traceroute ®ã lµ h¹n chÕ tèi ®a c¸c bøc têng löa vµ bé ®Þnh tuyÕn ®¸p
øng c¸c gãi tin cã TTL hÕt h¹n. Tuy nhiªn, ®iÒu nµy kh«ng ph¶i lóc nµo còng n»m díi sù kiÓm so¸t
cña b¹n v× nhiÒu bé ®Þnh tuyÕn
http://www.llion.net
9
cã thÓ n»m díi s ®iÒu khiÓn cóa ISP.
Ph¸t HiÖn
§Ó ph¸t hiÖn c¸c traceroute chuÈn trªn biªn, b¹n cÇn gi¸m s¸t c¸c gãi tin UDP vµ ICMP cã gi¸ trÞ TTL
lµ 1. §Ó thùc hiÖn ®iÒu nµy víi RealSecure 3.0, b¹n b¶o ®¶m ®¸nh dÊu TRACE_ROUTE decode name
trong Security Events cña Network Engine Policy.
Phßng chèng
§Ó ng¨n c¶n c¸c traceroute ch¹y trªn biªn, b¹n cã thÓ cÊu h×nh c¸c bé ®Þnh tuyÕn kh«ng ®¸p øng c¸c th
«ng ®iÖp TTL EXPIRED khi nã nhËn mét gãi tin cã TTL lµ 0 hoÆc 1. ACL díi ®©y sÏ lµm viÖc víi c¸c
bé ®Þnh tuyÕn Cisco:
access - list 101 deny ip any any 11 0 ! ttl-exceeded
HoÆc theo lý tëng, b¹n nªn phong táa toµn bé luång lu th«ng UDP kh«ng cÇn thiÕt t¹i c¸c bé ®Þnh
tuyÕn biªn.
3. N¾m Gi÷ BiÓu Ng÷
http://www.llion.net
10