Tài liệu An toàn mạng - Chương 4: Các kiểu tấn công vào Firewall và các viện pháp phòng chống

pdf 32 trang hoanguyen 3370
Bạn đang xem 20 trang mẫu của tài liệu "Tài liệu An toàn mạng - Chương 4: Các kiểu tấn công vào Firewall và các viện pháp phòng chống", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdftai_lieu_an_toan_mang_chuong_4_cac_kieu_tan_cong_vao_firewal.pdf

Nội dung text: Tài liệu An toàn mạng - Chương 4: Các kiểu tấn công vào Firewall và các viện pháp phòng chống

  1. Ch¬ng IV : C¸c kiÓu tÊn c«ng vµo Firewall vµ c¸c biÖn ph¸p phßng chèng Suèt tõ khi Cheswick vµ Bellovin viÕt cuèn anh hïng ca vÒ c¸ch x©y dùng c¸c bøc têng löa vµ theo dâi mét h¾c c¬ quû quyÖt tªn Berferd, ý tëng thiÕt ®Æt mét hÖ phôc vô web trªn Internet mµ kh«ng triÓn khai mét bøc têng löa ®· ®îc xem lµ tù s¸t. Còng b»ng nh tù s¸t nÕu quyÕt ®Þnh phã mÆc c¸c nhiÖm vô vÒ bøc têng löa vµo tay c¸c kü s m¹ng. Tuy giíi nµy cã thÓ t×m hiÓu c¸c quan hÖ mËt thiÕt vÒ kü thuËt cña mét bøc têng löa, song l¹i kh«ng hßa chung nhÞp thë víi hÖ b¶o mËt vµ t×m hiÓu n·o tr¹ng còng nh c¸c kü thuËt cña c¸c tay h¾c c¬ quû quyÖt. KÕt qu¶ lµ, c¸c bøc têng löa cã thÓ bÞ chäc thñng do cÊu h×nh sai, cho phÐp bän tÊn c«ng nh¶y bæ vµo m¹ng vµ g©y ra ®¹i häa. I. Phong c¶nh bøc têng löa Hai kiÓu bøc têng löa ®ang thèng lÜnh thÞ trêng hØÖn nay: hÖ gi¸m qu¶n øng dông (application proxies) vµ c¸c ngá th«ng läc gãi tin (packet filtering gateway). Tuy c¸c hÖ gi¸m qu¶n øng dông ®îc xem lµ an ninh h¬n c¸c ngá th«ng läc gãi tin, song b¶n chÊt h¹n hÑp vµ c¸c h¹n chÕ kh¶ n¨ng vËn hµnh 1
  2. cña chóng ®· giíi h¹n chóng vµo luång lu th«ng ®i ra c«ng ty thay v× luång lu th«ng ®i vµo hÖ phôc vô web cña c«ng ty. Trong khi ®ã, ta cã thÓ gÆp c¸c ngá th«ng loc gãi tin, hoÆc c¸c ngá th«ng läc gãi tin h÷u tr¹ng (stateful) phøc hîp h¬n, mÆt kh¸c, trong nhiÒu tæ chøc lín cã c¸c yªu cÇu kh¶ n¨ng vËn hµnh cao. NhiÒu ngêi tin r»ng hiÖn cha xuÊt hiÖn bøcc têng löa “hoµn h¶o”, nhng t¬ng lai ®Çy s¸n l¹n. Mét sè h¨ng kinh doanh nh Network Associates Inc. (NAI), AXENT, Internet Dynamics, vµ Microsoft ®· ph¸t triÓn c«ng nghÖ cung cÊp tÝnh n¨ng b¶o mËt cña c«ng nghÖ gi¸m qu¶n víi kh¶ n¨ng vËn hµnh cña c«ng nghÖ läc gãi tin (mét d¹ng lai ghÐp gi÷a hai c«ng nghÖ). Nhng chóng vÉn cha giµ dÆn. Suèt tõ khi bøc têng löa ®Çu tiªn ®îc cµi ®Æt, c¸c bøc têng löa ®· b¶o vÖ v« sè m¹ng tr¸nh ®îc nh÷ng cÆp m¾t tß mß vµ bän ph¸ ho¹i nhng cßn l©u chóng míi trë thµnh ph¬ng thuèc trÞ b¸ch bÖnh b¶o mËt. C¸c chç yÕu b¶o mËt ®Òu ®îc ph¸t hiÖn hµng n¨m víi hÇu nh mäi kiÓu bøc têng löa trªn thÞ trêng. TÖ h¹i h¬n, hÇu hÕt c¸c bøc têng löa thêng bÞ cÊu h×nh sai, kh«ng b¶o tr×, vµ kh«ng gi¸m s¸t, biÕn chóng trë thµnh mét vËt c¶n cöa ®iÖn tö (gi÷ cho c¸c ngá th«ng lu«n réng më). NÕn kh«ng ph¹m sai lÇm, mét bøc têng löa ®îc thiÕt kÕ, cÊu h×nh, vµ b¶o tr× kü lìng hÇu nh kh «ng thÓ ®ét nhËp. Thùc tÕ, hÇu hÕt c¸c kÎ tÊn c«ng cã tay nghÒ cao ®Òu biÕt ®iÒu nµy vµ sÏ ®¬n gi¶n tr¸nh vßng qua bøc têng löa b»ng c¸ch khai th¸c c¸c tuyÕn quan hÖ ñy qu¶n (trust relationships) vµ c¸c chç yÕu b¶o mËt nèi kÕt láng lÎo nhÊt, hoÆc tr¸nh nã hoµn toµn b»ng c¸ch tÊn c«ng qna mét tµi kho¶n 2
  3. quay sè. §iÓm c¨n b¶n: hÇu hÕt bän tÊn c«ng dån mäi nç lùc ®Ó vßng qua mét bøc têng löa m¹nh - môc tiªu ë ®©y lµ t¹o mét bøc têng löa m¹nh. Víi t c¸ch lµ ®iÒu hµnh viªn bøc têng löa, ta biÕt râ tÇm quan träng cña viÖc t×m hiÓu kÎ ®Þch. N¾m ®îc c¸c bíc ®Çu tiªn mµ mét bän tÊn c«ng thùc hiÖn ®Ó bá qua c¸c bøc têng löa sÏ gióp b¹n rÊt nhiÒu trong viÖc ph¸t hiÖn vµ ph¶n øng l¹i mét cuéc tÊn c«ng. Ch¬ng nµy sÏ híng dÉn b¹n qua c¸c kü thuËt thêng dïng hiÖn nay ®Ó ph¸t hiÖn vµ ®iÓm danh c¸c bøc têng löa, ®ång thêi m« t¶ vµi c¸ch mµ bän tÊn c«ng g¾ng bá qua chóng. Víi tõng kü thuËt, ta sÏ t×m hiÓu c¸ch ph¸t hiÖn vµ ng¨n chÆn c¸c cuéc tÊn c«ng. II. §Þnh danh c¸c bøc têng löa HÇu hÕt mäi bøc têng löa ®Òu mang mét "mïi h¬ng" ®iÖn tö duy nhÊt. NghÜa lµ, víi mét tiÕn tr×nh quÐt cæng, lËp cÇu löa, vµ n¾m gi÷ biÓu ng÷ ®¬n gi¶n, bän tÊn c«ng cã thÓ hiÖu qu¶ x¸c ®Þnh kiÓu, phiªn b¶n, vµ c¸c quy t¾c cña hÇu hÕt mäi bøc têng löa trªn m¹ng. T¹i sao viÖc ®Þnh danh nµy l¹i quan träng? Bëi v× mét khi ®· ¸nh x¹ ®îc c¸c bøc têng löa, chóng cã thÓ b¾t ®Çu t×m h×Óu c¸c ®iÓm yÕu vµ g¾ng khai th¸c chóng. 3
  4. 1. QuÐt trùc tiÕp : Kü thuËt Noisy C¸ch dÔ nhÊt ®Ó t×m kiÕm c¸c bøc têng löa ®ã lµ quÐt c¸c cæng ngÇm ®Þnh cô thÓ. Mét sè bøc t- êng löa trªn thÞ trêng sÏ tù ®Þnh danh duy nhÊt b»ng c¸c ®ît quÐt cæng ®¬n gi¶n b¹n chØ cÇn biÕt néi dung t×m kiÕm. VÝ dô, Firewall-1 cña Check point l¾ng chê trªn c¸c cæng TCP 256, 257, 258, vµ Proxy Server cña Microsoft thêng l¾ng chê trªn c¸c cæng TCP 1080 vµ 1745. Víi sù hiÓu biÕt nµy, qu¸ tr×nh t×m kiÕm c¸c kiÓu bøc têng löa nµy ch¼ng cã g× khã víi mét bé quÐt cæng nh nmap: nmap -n -vv -P0 -p256,1080,1745 192.168.50.1 - 60.254 Dïng khãa chuyÓn -PO ®Ó v« hiÖu hãa tÝnh n¨ng ping ICMP tríc khi quÐt. §iÒu nµy quan träng bëi hÇu hÕt bøc têng löa kh«ng ®¸p øng c¸c yªu cÇu déi ICMP. C¶ bän tÊn c«ng nhót nh¸t lÉn hung b¹o ®Òu tiÕn hµnh quÐt réng r·i m¹ng cña b¹n theo c¸ch nµy, t×m kiÕm c¸c bøc têng löa nµy vµ t×m kiÕm mäi khe hë trong kÐt s¾t vµnh ®ai cña b¹n. Nhng bän tÊn c«ng nguy hiÓm h¬n sÏ lïng sôc vµnh ®ai cña b¹n cµng lÐn lót cµng tèt. Cã nhiÒu kü thuËt mµ bän tÊn c«ng cã thÓ sö dông ®Ó h¹ sËp radar cña b¹n, bao gåm ngÉu nhiªn hãa c¸c ping, c¸c cæng ®Ých, c¸c ®Þa chØ ®Ých, vµ c¸c cæng nguån; dïng c¸c hÖ chñ cß måi; vµ thùc hiÖn c¸c ®ît quÐt nguån cã ph©n phèi. NÕu cho r»ng hÖ thèng ph¸t hiÖn x©m nhËp (IDS) cña b¹n nh RealSecure cña Internet Security Systems 4
  5. hoÆc SessionWall-3 cña Abirnet sÏ ph¸t hiÖn bän tÊn c«ng nguy hiÓm nµy, b¹n nªn suy nghÜ l¹i. HÇu hÕt c¸c IDS ®Òu ngÇm ®Þnh cÊu h×nh ®Ó chØ nghe c¸c ®ît quÐt cæng ngu ®Çn vµ ån µo nhÊt. Trõ phi b¹n sö dông IDS nhanh nh¹y vµ tinh chØnh c¸c ký danh ph¸t hiÖn, hÇu hÕt c¸c cuéc tÊn c«ng sÏ hoµn toµn lµm ng¬. B¹n cã thÓ t¹o mét ®ît quÐt ngÉu nhiªn hãa nh vËy b»ng c¸ch dïng c¸c ký m· Perl cung cÊp trªn chuyªn khu web www.osborne.com/ hacking . C¸c biÖn ph¸p phßng chèng B¹n cÇn phong táa c¸c kiÓu quÐt nµy t¹i c¸c bé ®Þnh tuyÕn biªn hoÆc dïng mét kiÓu c«ng cô ph¸t hiÖn ®ét nhËp nµo ®ã miÔn phÝ hoÆc th¬ng m¹i. MÆc dï thÕ, c¸c ®ît quÐt cæng ®¬n lÎ sÏ kh«ng ®îc thu nhÆt theo ngÇm ®Þnh trong hÇu hÕt c¸c IDS do ®ã b¹n ph¶i tinh chØnh ®é nh¹y c¶m cña nã tríc khi cã thÓ dùa vµo tÝnh n¨ng ph¸t hiÖn. Ph¸t HiÖn §Ó chÝnh x¸c ph¸t hiÖn c¸c ®ît quÐt cæng b»ng tÝnh n¨ng ngÉu nhiªn hãa vµ c¸c hÖ chñ cß måi, b¹n cÇn tinh chØnh tõng lý danh ph¸t hiÖn quÐt cæng. Tham kh¶o tµi liÖu híng dÉn sö dông cña h·ng kinh doanh IDS ®Ó biÕt thªm chi tiÕt. Nªu muèn dïng RealSecure 3.0 ®Ó ph¸t hiÖn tiÕn tr×nh quÐt trªn ®©y, b¹n ¾t ph¶i n©ng cao ®é nh¹y c¶m cña nã theo c¸c ®ît quÐt cæng ®¬n lÎ bµng c¸ch söa ®æi c¸c tham sè cña ký danh quÐt cæng. B¹n nªn thay ®æi c¸c néi dung díi ®©y ®Ó t¹o ®é nh¹y c¶m cho quÐt nµy: 5
  6. 1. Lùa vµ tïy biÕn (Customize) Network Engine Policy. 2. T×m "Port Scan" vµ lùa tïy chän Options. 3. Thay ®æi ports thµnh 5 cæng. 4. Thay ®æi Delta thµnh 60 gi©y. NÕu ®ang dïng Firewall-l víi UNIX, b¹n cã thÓ dïng tr×nh tiÖn Ých cña Lance Spitzner ®Ó ph¸t hiÖn c¸c ®ît quÐt cæng Firewall-1 www.enteract.com/~lspitz/intrusion.html . Ký m· alert.sh cña «ng sÏ cÊu h×nh Check point ®Ó ph¸t hiÖn vµ gi¸m s¸t c¸c ®ît quÐt cæng vµ ch¹y mét User Defined Alert khi ®îc øng t¸c. 6
  7. Phßng Chèng §Ó ng¨n c¶n c¸c ®ît quÐt cæng bøc têng löa tõ Internet, b¹n cÇn phong táa c¸c cæng nµy trªn c¸c bé ®Þnh tuyÕn ®øng tríc c¸c bøc têng löa. NÕu c¸c thiÕt bÞ nµy do ISP qu¶n lý, b¹n cÇn liªn hÖ víi hä ®Ó tiÕn hµnh phong táa. NÕu tù b¹n qu¶n lý chóng, b¹n cã thÓ dïng c¸c Cisco ACL díÝ ®©y ®Ó phong táa râ rÖt c¸c ®ît quÐt ®· nªu trªn ®©y: access - list 101 deny tcp any any eq 256 log ! Block Firewall-l scans access - list 101 deny tcp any any eq 257 log ! Block Firewall-l scans access - list 101 deny tcp any any eq 258 log ! Block Firewall-l scans access - list 101 deny tcp any any eq 1080 log ! Block Socks scans access - list 101 deny tcp any any eq 1745 log ! Block Winsock scans Ghi chó : NÕu phong táa c¸c cæng cña Check Point (256-258) t¹i c¸c bé dÞnh tuyÕn biªn, b¹n sÏ kh«ng thÓ qu¶n löa bõc tõêng löa tõ lnternet. Ngoµi ra, tÊt c¶ c¸c bé ®Þnh tuyÕn ph¶i cã mét quy t¾c dän dÑp (nÕu kh«ng khíc tõ c¸c gãi t×n theo ngÇm ®Þnh), sÏ cã cïng hiÖu øng nh khi chØ ®Þnh c¸c t¸c vô khíc tõ: access - list 101 deny ip any any log ! Deny and log any packet that got through our ACLs above 2. Rµ TuyÕn §êng 7
  8. Mét c¸ch thinh lÆng vµ tinh tÕ h¬n ®Ó t×m c¸c bøc têng löa trªn mét m¹ng ®ã lµ dïng traceroute . B¹n cã thÓ dïng traceroute cña UNIX hoÆc tracert.exe cña NT ®Ó t×m tõng chÆng däc trªn trªn ®êng truyÒn ®Õn ®Ých vµ tiÕn hµnh suy diÔn. Traceroute cña Linux cã tïy chän -I, thùc hiÖn rµ ®êng b»ng c¸ch göi c¸c gãi tin ICMP, tr¸i víi kü thuËt gãi tin UDP ngÇm ®Þnh. [ sm@atsunami sm] $ traceroute - I www.yourcompany.com traceroute to www.yourcompany.com ( 172.17.100.2 ) , 30 hops max, 140 byte packets 1 attack-gw ( 192.168.50.21) 5.801 ms 5.105 ms 5.445 ms 2 gw1.smallisp.net ( 192.168.51.l) 3 gw2.smallisp.net ( 192.168.52.2) 13 hssi.bigisp.net ( 10.55.201.2 ) 14 seriall.bigisp.net ( 10.55.202.l) 15 www.yourcompany.com ( 172.29.11.2) Cã c¬ may chÆng ®øng ngay tríc ®Ých ( 10.55.202.1) lµ bøc têng löa, nhng ta cha biÕt ch¾c. CÇn ph¶i ®µo s©u thªm mét chót. VÝ dô trªn ®©y lµ tuyÖt vêi nÕu c¸c bé ®Þnh tuyÕn gi÷a b¹n vµ c¸c hÖ phôc vô ®Ých ®¸p øng c¸c gãi tin cã TTL hÕt h¹n. Nhng mét sè bé ®Þnh tuyÕn vµ bøc têng löa ®îc x¸c lËp ®Ó kh«ng tr¶ vÒ c¸c gãi tin ICMP cã TTL hÕt h¹n (tõ c¸c 8
  9. gãi tin ICMP lÉn UDP). Trong trêng hîp nµy, sù suy diÔn Ýt khoa häc h¬n. TÊt c¶ nh÷ng g× b¹n cã thÓ thùc hiÖn ®ã lµ ch¹y traceroute vµ xem chÆng nµo ®¸p øng cuèi cïng, vµ suy ra ®©y lµ mét bøc têng löa hoÆc chÝ Ýt lµ bé ®Þnh tuyÕn ®Çu tiªn trong ®êng truyÒn b¾t ®Çu phong táa tÝnh n¨ng tracerouting. VÝ dô, ë ®©y ICMP ®ang bÞ phong táa ®Õn ®Ých cña nã, vµ kh«ng cã ®¸p øng nµo tõ c¸c bé ®Þnh tuyÕn vît qu¸ client - gw.smallisp.net : 1 stoneface (192.168.10.33) 12.640 ms 8.367 ms 2 gw1.localisp.net (172.31.10.1) 214.582 ms 197.992 ms 3 gw2.localisp.net (172.31.10.2) 206.627 ms 38.931 ms 4 dsl.localisp.net (172.31.12.254) 47.167 ms 52.640 ms 14 ATM6.LAX2.BIGISP.NET (10.50.2.1) 250.030 ms 391.716 ms 15 ATM7.SDG.BIGISP.NET (10.50.2.5) 234.668 ms 384.525 ms 16 client-gw.smallisp.net (10.50.3.250) 244.065 ms ! X * * 17 * * * 18 * * * C¸c BiÖn Ph¸p Phßng Chèng ViÖc chØnh söa sù rß rØ th«ng tin traceroute ®ã lµ h¹n chÕ tèi ®a c¸c bøc têng löa vµ bé ®Þnh tuyÕn ®¸p øng c¸c gãi tin cã TTL hÕt h¹n. Tuy nhiªn, ®iÒu nµy kh«ng ph¶i lóc nµo còng n»m díi sù kiÓm so¸t cña b¹n v× nhiÒu bé ®Þnh tuyÕn 9
  10. cã thÓ n»m díi s ®iÒu khiÓn cóa ISP. Ph¸t HiÖn §Ó ph¸t hiÖn c¸c traceroute chuÈn trªn biªn, b¹n cÇn gi¸m s¸t c¸c gãi tin UDP vµ ICMP cã gi¸ trÞ TTL lµ 1. §Ó thùc hiÖn ®iÒu nµy víi RealSecure 3.0, b¹n b¶o ®¶m ®¸nh dÊu TRACE_ROUTE decode name trong Security Events cña Network Engine Policy. Phßng chèng §Ó ng¨n c¶n c¸c traceroute ch¹y trªn biªn, b¹n cã thÓ cÊu h×nh c¸c bé ®Þnh tuyÕn kh«ng ®¸p øng c¸c th «ng ®iÖp TTL EXPIRED khi nã nhËn mét gãi tin cã TTL lµ 0 hoÆc 1. ACL díi ®©y sÏ lµm viÖc víi c¸c bé ®Þnh tuyÕn Cisco: access - list 101 deny ip any any 11 0 ! ttl-exceeded HoÆc theo lý tëng, b¹n nªn phong táa toµn bé luång lu th«ng UDP kh«ng cÇn thiÕt t¹i c¸c bé ®Þnh tuyÕn biªn. 3. N¾m Gi÷ BiÓu Ng÷ 10
  11. Kü thuËt quÐt t×m c¸c cæng bøc têng lõa lµ h÷u Ých trong viÖc ®Þnh vÞ c¸c bøc têng löa, nhng hÇu hÕt c¸c bøc têng löa kh«ng l¾ng chê trªn c¸c cæng ngÇm ®Þnh nh Check point vµ Microsoft, do ®ã viÖc ph¸t hiÖn ph¶i ®îc suy diÔn. NhiÒu bøc têng løa phæ dông sÏ c«ng bè sù hiÖn diÖn cña chóng b»ng c¸ch ®¬n gi¶n nèi víi chóng. VÝ dô , nhiÒu bøc têng löa gi¸m qu¶n sÏ c«ng bè chøc n¨ng cóa chóng víi t c¸ch mét bøc têng löa, vµ mét sè sÏ qu¶ng c¸o kiÓu vµ phiªn b¶n cña chóng. VÝ dô, khi ta nèi víi mét m¸y ®îc tin lµ mét bøc têng löa b»ng netcat trªn cæng 21 (FTP ), ta sÏ thÊy mét sè th«ng tin thó vÞ : C:\TEMP>nc -v -n 192.168.51.129 2 l [UNKNOWN] [ 192.168.5l.129 ] 2 l ( ? ) open 220 Secure Gateway FTP server ready . BiÓu ng÷ "Secure Gateway server FTP ready" lµ mét dÊu hiÖu lé tÈy cña mét hép Eagle Raptor cò. ViÖc nèi thªm víi cæng 23 (telnet) sÏ x¸c nhËn tªn bøc têng löa lµ "Eagle." C:\TEMP>nc -v -n 192.168.51.129 23 [UNKNOWN] [ 192.168.5l.129 ] 23 ( ? ) open Eagle Secure Gateway . Hostname : Vµ cuèi cïng. nÕu vÉn cha bÞ thuyÕt phôc hÖ chñ cña b¹n lµ mét bøc têng löa. b¹n cã thÓ netcat víi cæng 25 ( SMTP ), vµ nã sª b¸o cho ban biÕt nã lµ g×: C:\TEMP>nc -v -n 192.168.51.129 25 11
  12. [UNKNOWN] [ 192.168.5l.129 ] 25 ( ? ) open 421 fw3.acme.com Sorry, the firewall does not provide mail service to you. Nh ®· thÊy trong c¸c vÝ dô trªn ®©y, th«ng tin biÒu ng÷ cã thÓ cung cÊp c¸c th«ng tin quý gi¸ cho bän tÊn c«ng trong khi ®Þnh danh c¸c bøc têng löa. Dïng th«ng tin nµy, chóng cã thÓ khai th¸c c¸c chç yÕu phæ biÕn hoÆc c¸c cÊu h×nh sai chung. BiÖn Ph¸p Phßng Chèng §Ó chØnh söa chç yÕu rß rØ th«ng tin nµy, b¹n giíi h¹n th«ng tin biÓu ng÷ qu¶ng c¸o. Mét biÓuu ng÷ tèt cã thÓ kÌm theo mét môc c¶nh gi¸c mang tÝnh ph¸p lý vµ tÊt c¶ mäi nç lùc giao kÕt sÏ ®îc ghi sæ. C¸c chi tiÕt thay ®æi cô thÓ cña c¸c biÓu ng÷ ngÇm ®Þnh sÏ tïy thuéc nhiÒu vµo bøc têng löa cô thÓ, do ®ã b¹n cÇn liªn hÖ h·ng kinh doanh bøc têng löa. Phßng Chèng §Ó ng¨n c¶n bän tÊn c«ng giµnh ®îc qu¸ nhiÒu th«ng tin vÒ c¸c bøc têng löa tõ c¸c biÓu ng÷ qu¶ng c¸o, b¹n cã thÓ thay ®æi c¸c tËp tin cÊu h×nh biÓu ng÷. C¸c khuyÕn nghÞ cô thÓ thêng tïy thuéc vµo h· ng kinh doanh bøc têng löa. 12
  13. Trªn c¸c bøc têng löa Eagle Raptor, b¹n cã thÓ thay ®æi c¸c biÓu ng÷ ftp vµ telnet b»ng c¸ch söa ®æi c¸c tËp tin th«ng b¸o trong ngµy: tËp tin ftp.motd vµ telnet.motd. 4. Kü ThuËt Ph¸t HiÖn Bøc Têng Löa Cao CÊp NÕu tiÕn tr×nh quÐt cæng t×m c¸c bøc têng löa trùc tiÕp, dß theo ®êng truyÒn, vµ n¾m gi÷ biÓu ng÷ kh «ng mang l¹i hiÖu qu¶, bän tÊn c«ng sÏ ¸p dông kü thuËt ®iÓm danh bøc têng löa theo cÊp kÕ tiÕp. Cã thÓ suy diÔn c¸c bøc têng löa vµ c¸c quy t¾c ACL cña chóng b»ng c¸ch dß t×m c¸c ®Ých vµ lu ý c¸c lé tr×nh ph¶i theo (hoÆc kh«ng theo) ®Ó ®Õn ®ã. Suy DiÔn §¬n Gi¶n víi nmap Nmap lµ mét c«ng cô tuyÖt vêi ®Ó ph¸t hiÖn th«ng tin bøc têng löa vµ chóng t«i liªn tôc dïng nã. Khi nmap quÐt mét hÖ chñ, nã kh«ng chØ b¸o cho b¹n biÕt c¸c cæng nµo ®ang më hoÆc ®ãng, mµ cßn cho biÕt c¸c cæng nµo ®ang bÞ phong táa. Lîng (hoÆc thiÕu) th«ng tin nhËn ®îc tõ mét ®ît quÐt cæng cã thÓ cho biÕt kh¸ nhiÒu vÒ cÊu h×nh cña bøc têng löa. Mét cæng ®· läc trong nmap biÓu hiÖn cho mét trong ba néi dung sau: · Kh«ng nhËn gãi tin SYN/ACK nµo. 13
  14. · Kh«ng nhËn gãi tin RST/ACK nµo. · §· nhËn mét th«ng b¸o ICMP type 3 (Destination Unreachable ) cã mét m· 13 ( Communication Administratively Prohibited - [RFC1812]). Nmap gom chung c¶ ba ®iÒu kiÖn nµy vµ b¸o c¸o nã díi d¹ng mét cæng "®· läc." VÝ dô, khi quÐt www.mycompany.com , ta nhËn hai gãi tin ICMP cho biÕt bøc têng löa ®· phong táa c¸c cæng 23 vµ 111 tõ hÖ thèng cô thÓ cña chóng ta. [ root@bldg_043 /opt ] # nmap -p20, 21, 23, 53, 80, 111 - P0 -vv www.mycompany.com Starting nmap V. 2.08 by Fyodor ( fyodor@dhp.com , www.insecure.org/nmap/ ) Initiating TCP connect ( ) scan agains t ( 172.32.12.4 ) Adding TCP port 53 (state Open) Adding TCP port 111 ( state Firewalled ) Adding TCP port 80 ( state Open) Adding TCP port 23 ( state Firewalled) . Interesting ports on ( 172.17.12.4 ) : port State Protocol Service 23 filtered tcp telnet 14
  15. 53 open tcp domain 80 open tcp http 111 filtered tcp sunrpc Tr¹ng th¸i "Firewalled", trong kÕt xuÊt trªn ®©y, lµ kÕt qu¶ cña viÖc nhËn mét ICMP type 3, m· 13 (Admin Prohibited Filter), nh ®· gÆp trong kÕt xuÊt tcpdump: 23 : 14 : 01.229743 10.55.2.1 > 172.29.11.207 : icmp : host 172.32.12.4 nreachable - admin prohibited filter 23 : 14 : 01.97 9743 10.55.2.l > 172.29.11.207 : icmp : host 172.32.12.4 nreachable - admin prohibited filter Lµm sao ®Ó nmap kÕt hîp c¸c gãi tin nµy víi c¸c gãi tin ban ®Çu, nhÊt lµ khi chóng chØ lµ mét vµi trong biÓn c¶ c¸c gãi tin ®ang rÝu rÝt trªn m¹ng? V©ng, gãi tin ICMP ®îc göi trë l¹i cho m¸y quÐt sÏ chøa ®ùng tÊt c¶ c¸c d÷ liÖu cÇn thiÕt ®Ó t×m hiÒu néi dung ®ang x¶y ra. Cæng ®ang bÞ phong táa lµ phÇn mét byte trong phÇn ®Çu ICMP t¹i byte 0x41 ( 1 byte), vµ bøc têng löa läc göi th«ng ®iÖp sÏ n»m trong phÇn IP cña gãi tin t¹i byte 0x1b (4 byte). Cuèi cïng, mét cæng “cha läc” nmap chØ xuÊt hiÖn khi b¹n quÐt mét sè cæng vµ nhËn trë l¹i mét gãi tin RST/ACK. Trong tr¹ng th¸i "unfiltered", ®ît quÐt cña chóng ta hoÆc ®ang ®i qua bøc têng löa vµ hÖ ®Ých cña chóng ta ®ang b¸o cho biÕt nã kh«ng l¾ng chê trªn cæng ®ã, hoÆc bøc têng löa ®ang ®¸p øng 15
  16. ®Ých vµ ®¸nh lõa ®Þa chØ IP cña nã víi cê RST/ACK ®îc Ên ®Þnh. VÝ dô, ®ît quÐt mét hÖ thèng côc bé cho ta hai cæng cha läc khi nã nhËn hai gãi tin RST/ACK tõ cïng hÖ chñ. Sù kiÖn nµy còng cã thÓ x¶y ra víi mét sè bøc têng löa nh Check point (víi quy t¾c REJECT) khi nã ®¸p øng ®Ých ®ang göi tr¶ mét gãi tin RST/ACK vµ ®¸nh lõa ®Þa chØ IP nguån cña ®Ých. . [ root@bldg_043 sniffers ] # nmap - sS -p1 -300 172.18.20.55 Starting nmap V . 2.08 by Fyodor ( fyodor@dhp.com , www.insecure.org/nmap/ ) Interesting ports on ( 172.18.20.55 ) : (Not showing ports in state : filtered) Port State Protocol Service 7 unfiltered tcp echo 53 unfilteres tcp domain 256 open tcp rap 257 open tcp set 258 open tcp yak-chat Nmap run completed - 1 IP address ( 1 host up ) scanned in 15 seconds §ît rµ gãi tin tcpdump kÕt hîp nªu c¸c gãi tin RST/ACK ®· nhËn. 21 :26 :22.742482 172.18.20.55.258 > 172.29.11.207.39667 : S 415920470 : 1415920470 ( 0 ) ack 3963453111 win 9112 (DF ) (ttl 254, id 50438 ) 16
  17. 21 :26 :23.282482 172.18.20.55.53 > 172.29.11.207.39667 : R 0 : 0 ( 0 ) ack 3963453111 win 0 (DF ) ( ttl 44, id 50439 ) 21 :2 6: 24.362482 172.18.20.55.257 > 172.29.111.207.39667 : S 1416174328 : 1416174328 ( 0 ) ack 396345311 win X112 ( DF ) ( ttl 254, id 504 0 ) 21: 26: 26.282482 172.18.20.55.7 > 17.2.29.11.207.39667 : R 0 : 0 ( 0 ) ack 3963453111 win 0 ( DF ) ( ttl 44, id 50441) 17
  18. C¸c BiÖn Ph¸p Phßng Chèng Phßng Chèng §Ó ng¨n c¶n bän tÊn c«ng ®iÓm danh c¸c ACL bé ®Þnh tuyÕn vµ bøc têng löa th«ng qua kü thuËt “admin prohibited filter", b¹n cã thÓ v« hiÖu hãa kh¶ n¨ng ®¸p øng víi gãi tin ICMP type 13 cña bé ®Þnh tuyÕn. Trªn Cisco, b¹n cã thÓ thùc hiÖn ®iÒu nµy bµng c¸ch phong táa thiÕt bÞ ®¸p øng c¸c th«ng ®iÖp IP kh«ng thÓ ®ông ®Õn no ip unreachables 5. §Þnh Danh Cæng Mét sè bøc têng löa cã mét dÊu Ên duy nhÊt xuÊt hÝÖn díi d¹ng mét sªri con sè ph©n biÖt víi c¸c bøc t- êng löa kh¸c. VÝ dô, Check Point sÏ hiÓn th× mét sªri c¸c con sè khi b¹n nèi víi cæng qu¶n lý SNMP cña chóng, TCP 257. Tuy sù hiÖn diÖn ®¬n thuÇn cña c¸c cæng 256-259 trªn mét hÖ thèng thêng còng ®ñ lµ mét dÊu chØ b¸o vÒ sù hiÖn diÖn cña Firewall-1 cña Check Point song tr¾c nghiÖm sau ®©y sÏ x¸c nhËn nã : [ root@bldg_043 # nc -v -n 192.168.51.1 257 ( UNKNOWN) [ 192.168.51.1] 257 ( ? ) open 30000003 18
  19. [ root@bldg_043 # nc -v -n 172.29.11.19l 257 (UNKNOWN ) [ 172.29.11.191] 257 ( ? ) open 31000000 C¸c BiÖn Ph¸p Phßng Chèng Ph¸t HiÖn §Ó ph¸t hiÖn tuyÕn nèi cña mét kÎ tÊn c«ng víi c¸c cæng cña b¹n. b¹n bè sung mét sù kiÖn tuyÕn nèi trong RealSecure. Theo c¸c bíc sau: 1. HiÖu chØnh néi quy 2. Lùa tab Connection Events. 3. Lùa nut Add Connection, vµ ®iÒn mét môc cho Check Point. 4. Lùa ®Ých kÐo xuèng vµ lùa nót Add. 5. §iÒn dÞch vô vµ cæng, nh¾p OK. 6. Lùa cæng míi, vµ nh¾p l¹i OK. 7. Giê ®©y lùa OK vµ ¸p dông l¹i néi quy cho ®éng c¬. 19
  20. Phßng Chèng §Ó ng¨n c¶n c¸c tuyÕn nèi víi cæng TCP 257, b¹n phong táa chóng t¹i c¸c bé ®Þnh tuyÕn thîng nguån. Mét Cisco ACL ®¬n gi¶n nh díi ®©y cã thÓ khíc tõ râ rÖt mét nç lùc cña bän tÊn c«ng: access -list 101 deny tcp any any eq 257 log ! Block Firewall- l scans III. QuÐt qua c¸c bøc têng löa §õng lo, ®o¹n nµy kh«ng cã ý cung cÊp cho bän nhãc ký m· mét sè kü thuËt ma thuËt ®Ó v« hiÖu hãa c¸c bøc têng löa. Thay v× thÕ, ta sÏ t×m hiÓu mét sè kü thuËt ®Ó nh¶y móa quanh c¸c bøc têng löa vµ thu thËp mét sè th«ng tin quan träng vÒ c¸c lé tr×nh kh¸c nhau xuyªn qua vµ vßng quanh chóng. 1. hping hping (www.Genocide2600.com/-tattooman/scanners/hping066.tgz), cña Salvatore Sanfilippo, lµm viÖc b»ng c¸ch göi c¸c gãi tin TCP ®Õn mét cæng ®Ých vµ b¸o c¸o c¸c gãi tin mµ nã nhËn trë l¹i. hping tr¶ vÒ nhiÒu ®¸p øng kh¸c nhau tïy theo v« sè ®iÒu kiÖn. Mçi gãi tin tõng phÇn vµ toµn thÓ cã thÓ cung cÊp mét bøc tranh kh¸ râ vÒ c¸c kiÓu kiÓm so¸t truy cËp cña bøc têng löa. VÝ dô, khi dïng hping ta cã thÓ ph¸t hlÖn c¸c gãi tin më, bÞ phong táa, th¶, vµ lo¹i bá. 20
  21. Trong vÝ dô sau ®©y, hping b¸o c¸o cæng 80 ®ang më vµ s½n sµng nhËn mét tuyÕn nèi. Ta biÕt ®iÒu nµy bëi nã ®· nhËn mét gãi tin víi cê SA ®îc Ên ®Þnh (mét gãi tin SYN/ACK). [ root@bldg_043 / opt ] # hping www.yourcompany.com -c2 - S -p80 -n HPING www.yourcomapany.com ( eth0 172.30.1.2 0 ) : S set, 40 data bytes 60 bytes from 172.30.1.20 : flags=SA seq=0 ttl=242 id= 65121 win= 64240 time=144.4 ms Giê ®©y ta biÕt cã mét cèng më th«ng ®Õn ®Ých, nhng cha biÕt n¬i cña bøc têng löa. Trong vÝ dô kÕ tiÕp, hping b¸o c¸o nhËn mét ICMP unreachable type 13 tõ 192.168.70.2. Mét ICMP type 13 lµ mét gãi tin läc bÞ ICMP admin ng¨n cÊm, thêng ®îc göi tõ mét bé ®Þnh tuyÕn läc gãi tin. [root@bldg_043 /opt ] # hping www.yourcompany.com -c2 -S -p23 -n HPING www.yourcompany.com ( eth0 172.30.1.20 ) : S set, 40 data bytes ICMP Unreachable type 13 f rom 192.168.70.2 Giê ®©y nã ®îc x¸c nhËn, 192.168.70.2 ¾t h¼n lµ bøc têng löa, vµ ta biÕt nã ®ang râ rÖt phong táa cæng 23 ®Õn ®Ých cña chóng ta. Nãi c¸ch kh¸c, nÕu hÖ thèng lµ mét bé ®Þnh tuyÕn Cisco nã ¾t cã mét dßng nh díi ®©y trong tËp tin config: access -list 101 deny tcp any any 23 ! telnet Trong vÝ dô kÕ tiÕp, ta nhËn ®îc mét gãi tin RST/ACK tr¶ l¹i b¸o hiÖu mét trong hai viªc: (1) gãi tin 21
  22. lät qua bøc têng löa vµ hÖ chñ kh«ng l¾ng chê cæng cã , hoÆc (2) bøc têng löa th¶i bá gãi tin (nh trêng hîp cña quy t¾c reject cña Check Point). [ root@bldg_043 /opt ] # hping 192.168.50.3 -c2 -S -p22 -n HPING 192.168.50.3 ( eth0 192.168.50.3 ) : S set, 40 data bytes 60 bytes from 192.168.50.3 : flags=RA seq= 0 ttl= 59 id= 0 win= 0 time=0.3 ms Do ®· nhËn gãi tin ICMP type 13 trªn ®©y, nªn ta cã thÓ suy ra bøc têng löa ( 192.168.70.2) ®ang cho phÐp gãi tin ®i qua bøc têng löa, nhng hÖ chñ kh«ng l¾ng chê trªn cæng ®ã. NÕu bøc têng löa mµ b¹n ®ang quÐt qua lµ Check point, hping sÏ b¸o c¸o ®Þa chØ IP nguån cña ®Ých, nhng gãi tin thùc sù ®ang ®îc göi tõ NIC bªn ngoµi cña bøc têng löa Check Point. §iÓm r¾c rèi vÒ Check Point ®ã lµ nã sÏ ®¸p øng c¸c hÖ thèng bªn trong cña nã , göi mét ®¸p øng vµ lõa bÞp ®Þa chØ cña ®Ých. Tuy nhiªn, khi bän tÊn c«ng ®ông mét trong c¸c ®iÒu kiÖn nµy trªn Internet, chóng kh«ng hÒ biÕt sù kh¸c biÖt bëi ®Þa chØ MAC sÏ kh«ng bao giê ch¹m m¸y cña chóng. Cuèi cïng, khi mét bøc têng löa ®ang phong to¶ c¸c gãi tin ®Õn mét cæng, b¹n thêng kh«ng nhËn ®îc g× trë l¹i. [ root@bldg_04 3 /opt ] # hping 192.168.50.3 -c2 -S -p2 2 -n HPING 192.168.50.3 ( eth0 192.168.50.3 ) : S set, 40 data Kü thuËt hping nµy cã thÓ cã hai ý nghÜa: (1) gãi tin kh«ng thÓ ®¹t ®Õn ®Ých vµ ®· bÞ mÊt trªn ®- 22
  23. êng truyÒn, hoÆc (2) cã nhiÒu kh¶ n¨ng h¬n, mét thiÕt bÞ (¾t lµ bøc têng löa cña chóng ta 192.168.70.2 ) ®· bá gãi tin trªn sµn díi d¹ng mét phÇn c¸c quy t¾c ACL cña nã. BiÖn Ph¸p Phßng Chèng Phßng Chèng Ng¨n ngõa mét cuéc tÊn c«ng hping kh«ng ph¶i lµ dÔ . Tèt nhÊt, ta chØ viÖc phong táa c¸c th«ng ®iÖp ICMP type 13 ( nh m« t¶ trong ®o¹n phßng chèng tiÕn tr×nh quÐt nmap trªn ®©y ). 2. CÇu Löa Firewalk ( lµ mét c«ng cô nhá tiÖn dông, nh mét bé quÐt cæng, ®îc dïng ®Ó ph¸t hiÖn c¸c cæng më ®µng sau mét bøc têng löa. §îc viÕt bëi Mike Schiffnlan, cßn gäi lµ Route vµ Dave Goldsmith, tr×nh tiÖn Ých nµy sÏ quÐt mét hÖ chñ xu«i dßng tõ mét bøc têng löa vµ b¸o c¸o trë l¹i c¸c quy t¾c ®îc phÐp ®Õn hÖ chñ ®ã mµ kh«ng ph¶i thùc tÕ ch¹m ®Õn hÖ ®Ých. Firewalk lµm viÖc b»ng c¸ch kiÕn t¹o c¸c gãi tin víi mét IP TTL ®îc tÝnh to¸n ®Ó kÕt thóc mét ch·ng vît qu¸ bøc têng löa. VÒ lý thuyÕt, nÕu gãi tin ®îc bøc têng löa cho phÐp, nã sÏ ®îc phÐp ®i qua vµ sÏ kÕt thóc nh dù kiÕn, suy ra mét th«ng ®iÖp "ICMP TTL expired in transit." MÆt kh¸c, nÕu gãi tin 23
  24. bÞ ACL cña bøc têng löa phong táa, nã sÏ bÞ th¶, vµ hoÆc kh«ng cã ®¸p øng nµo sÏ ®îc göi, hoÆc mét gãi tin läc bÞ ICMP type 13 admin ng¨n cÊm sÏ ®îc göi. [ root@exposed / root ] # firewalk -pTCP -S135 -140 10.22.3.1 192.168.1.1 Ramping up hopcounts to binding host . . . probe : 1 TTL : 1 port 33434 : expired from [exposed.acme.com] probe : 2 TTL : 2 port 33434 : expired from [rtr.isp.net] probe : 3 TTL : 3 port 33434 : Bound scan at 3 hops [rtr.isp.net] port open port 136 : open port 137 : open port 138 : open port 139 : * port 140 : open Sù cè duy nhÊt mµ chóng t«i gÆp khi dïng Firewalk ®ã lµ nã cã thÓ Ýt h¬n dù ®o¸n, v× mét sè bøc têng löa sÏ ph¸t hiÖn gãi tin hÕt h¹n tríc khi kiÓm tra c¸c ACL cña nã vµ cø thÕ göi tr¶ mét gãi tin ICMP TTL EXPIRED. KÕt qu¶ lµ, Firewalk mÆc nhËn tÊt c¶ c¸c cæng ®Òu më. 24
  25. BiÖn Ph¸p Phßng Chèng Phßng Chèng B¹n cã thÓ phong táa c¸c gãi tin ICMP TTL EXPIRED t¹i cÊp giao diÖn bªn ngoµi, nhng ®iÒu nµy cã thÓ t¸c ®éng tiªu eùc ®Õn kh¶ n¨ng vËn hµnh cña nã, v× c¸c hÖ kh¸ch hîp ph¸p ®ang nèi sÏ kh «ng bao giê biÕt ®iÒu g× ®· x¶y ra víi tuyÕn nèi cña chóng. IV. Läc gãi tin C¸c bøc têng löa läc gãi tin nh Firewall-1 cña Check Point, Cisco PIX, vµ IOS cña Cisco (v©ng, Cisco IOS cã thÓ ®îc x¸c lËp díi d¹ng mét bøc têng löa) tïy thuéc vµo c¸c ACL (danh s¸ch kiÓm so¸t truy cËp) hoÆc c¸c quy t¾c ®Ó x¸c ®Þnh xem luång lu th«ng cã ®îc cÊp quyÒn ®Ó truyÒn vµo/ra m¹ng bªn trong. §a phÇn, c¸c ACL nµy ®îc s¾p ®Æt kü vµ khã kh¾c phôc. Nhng th«ng thêng, b¹n t×nh cê gÆp mét bøc têng löa cã c¸c ACL tù do, cho phÐp vµi gãi tin ®i qua ë t×nh tr¹ng më. . C¸c ACL Tù Do C¸c danh s¸ch kiÓm so¸t truy cËp (ACL) tù do thêng gÆp trªn c¸c bøc têng löa nhiÒu h¬n ta t- 26
  26. ëng. H·y xÐt trêng hîp ë ®ã cã thÓ mét tæ chøc ph¶i cho phÐp ISP thùc hiÖn c¸c ®ît chuyÓn giao miÒn. Mét ACL tù do nh "Cho phÐp tÊt c¶ mäi ho¹t ®éng tõ cæng nguån 53" cã thÓ ®îc sö dông thay v× “cho phÐp ho¹t ®éng tõ hÖ phôc vô DNS cña ISP víi cæng nguån 53 vµ cæng ®Ých 53." Nguy c¬ tån t¹i c¸c cÊu h×nh sai nµy cã thÓ g©y tµn ph¸ thùc sù, cho phÐp mét h¾c c¬ quÐt nguyªn c¶ m¹ng tõ bªn ngoµi. HÇu hÕt c¸c cuéc tÊn c«ng nµy ®Òu b¾t ®Çu b»ng mét kÎ tÊn c«ng tiÕn hµnh quÐt mét hÖ chñ ®» ng sau bøc têng löa vµ ®¸nh lõa nguån cña nã díi d¹ng cèng 53 (DNS). BiÖn Ph¸p Phßng Chèng Phßng Chèng B¶o ®¶m c¸c quy t¾c bøc têng löa giíi h¹n ai cã thÓ nèi ë ®©u. VÝ dô, nÕu ISP yªu cÇu kh¶ n¨ng chuyÓn giao miÒn, th× b¹n ph¶i râ rµng vÒ c¸c quy t¾c cña m×nh. H·y yªu cÇu mét ®Þa chØ IP nguån vµ m· hãa cøng ®Þa chØ IP ®Ých (hÖ phôc vô DNS bªn trong cña b¹n) theo quy t¾c mµ b¹n nghÜ ra. NÕu ®ang dïng mét bøc têng löa Checkpoint, b¹n cã thÓ dïng quy t¾c sau ®©y ®Ó h¹n chÕ mét cæng nguån 53 (DNS) chØ ®Õn DNS cña ISP. VÝ dô, nÕu DNS cña ISP lµ 192.168.66.2 vµ DNS bªn trong cña b¹n lµ 172.30.140.1, b¹n cã thÓ dïng quy t¾c díi ®©y: Nguån gèc §Ých DÞch vô Hµnh ®éng DÊu vÕt 27
  27. 192.168.66.2 172.30. 140.1 domain-tcp Accept Short V. Ph©n Luång ICMP vµ UDP Ph©n l¹ch (tunneling) ICMP lµ kh¶ n¨ng ®ãng khung d÷ liÖu thùc trong mét phÇn ®Çu ICMP. NhiÒu bé ®Þnh tuyÕn vµ bøc têng löa cho phÐp ICMP ECHO, ICMP ECHO REPLY, vµ c¸c gãi tin UDP mï qu¸ng ®i qua, vµ nh vËy sÏ dÔ bÞ tæn th¬ng tríc kiÓu tÊn c«ng nµy. Còng nh chç yÕu Checkpoint DNS, cuéc tÊn c«ng ph©n l¹ch ICMP vµ UDP dùa trªn mét hÖ thèng ®· bÞ x©m ph¹m ®»ng sau bøc t- êng löa. Jeremy Rauch vµ Mike D. Shiffman ¸p dông kh¸i niÖm ph©n l¹ch vµo thùc tÕ vµ ®· t¹o c¸c c«ng cô ®Ó khai th¸c nã : loki vµ lokid (hÖ kh¸ch vµ hÖ phôc vô ) -xem . NÕu ch¹y c«ng cô hÖ phôc vô lokid trªn mét hÖ thèng ®»ng sau bøc têng löaa cho phÐp ICMP ECHO vµ ECHO REPLY, b¹n cho phÐp bän tÊn c«ng ch¹y c«ng cô hÖ kh¸ch (loki), ®ãng khung mäi lÖnh göi ®i trong c¸c gãi tin ICMP ECHO ®Õn hÖ phôc vô (lokid). C«ng cô lokid sÏ th¸o c¸c lÖnh, ch¹y c¸c lÖnh côc bé , vµ ®ãng khung kÕt xuÊt cña c¸c lÖnh trong c¸c gãi tin ICMP ECHO REPLY tr¶ l¹i cho bän tÊn c«ng. Dïng kü thuËt nµy, bän tÊn c«ng cã thÓ hoµn toµn bá qua bøc têng löa. 28
  28. BiÖn Ph¸p Phßng Chèng Phßng Chèng §Ó ng¨n c¶n kiÓu tÊn c«ng nµy, b¹n v« hiÖu hãa kh¶ n¨ng truy cËp ICMP th«ng qua bøc têng lõa hoÆc cung cÊp kh¶ n¨ng truy cËp kiÓm so¸t chi tiÕt trªn luång lu th«ng ICMP. VÝ dô, Cisco ACL díi ®©y sÏ v« hiÖu hãa toµn bé luång lu th«ng ICMP phÝa ngoµi m¹ng con 172.29.10.0 (DMZ) v× c¸c môc tiªu ®iÒu hµnh: access - list 101 permit icmp any 172.29.10.0 0.255.255.255 8 ! echo access - list 101 permit icmp any 172.29.10.0 0.255.255.255 0 ! echo- reply access - list 102 deny ip any any log ! deny and log all else C¶nh gi¸c: nÕu ISP theo dâÝ thêi gian ho¹t ®éng cña hÖ thèng b¹n ®»ng sau bøc têng löa cña b¹n víi c¸c ping ICMP (hoµn toµn kh«ng nªn!), th× c¸c ACL nµy sÏ ph¸ vì chøc n¨ng träng yÕu cña chóng. H·y liªn hÖ víi ISP ®Ó kh¸m ph¸ xem hä cã dïng c¸c ping ICMP ®Ó kiÓm chøng trªn c¸c hÖ thèng cña 29
  29. b¹n hay kh«ng. 30
  30. Tãm T¾t Trong thùc tÕ mét bøc têng löa ®îc cÊu h×nh kü cã thÓ v« cïng khã vît qua. Nhng dïng c¸c c «ng cô thu thËp th«ng tin nh traceroute, hping, vµ nmap, bän tÊn c«ng cã thÓ ph¸t hiÖn (hoÆc chÝ Ýt suy ra) c¸c lé tr×nh truy cËp th«ng qua bé ®Þnh tuyÕn vµ bøc têng löa còng nh kiÓu bøc têng löa mµ b¹n ®ang dïng. NhiÒu chç yÕu hiÖn hµnh lµ do cÊu h×nh sai trong bøc têng löa hoÆc thiÕu sù gi¸m s¸t eÊp ®iÒu hµnh, nhng dÉu thÕ nµo, kÕt qu¶ cã thÓ dÉn ®Õn mét cuéc tÊn c«ng ®¹i häa nÕu ®îc khai th¸c. Mét sè ®iÓm yÕu cô thÓ tån t¹i trong c¸c hÖ gi¸m qu¶n lÉn c¸c bøc têng löa läc gãi tin, bao gåm c¸c kiÓu ®¨ng nhËp web, telnet, vµ localhost kh«ng thÈm ®Þnh quyÒn. §a phÇn, cã thÓ ¸p dông c¸c biÖn ph¸p phßng chèng cô thÓ ®Ó ng¨n cÊm khai th¸c chç yÕu nµy, vµ trong vµi trêng hîp chØ cã thÓ dóng kü thuËt ph¸t hiÖn. NhiÒu ngêi tin r»ng t¬ng l¹i tÊt yÕu cña c¸c bøc têng löa sÏ lµ mét d¹ng lai ghÐp gi÷a øng dông gi¸m qu¶n vµ c«ng nghÖ läc gãi tin h÷u tr¹ng [stateful] sÏ cung cÊp vµi kü thuËt ®Ó h¹n chÕ kh¶ n¨ng cÊu h×nh sai. C¸c tÝnh n¨ng ph¶n øng còng sÏ lµ mét phÇn cña bøc têng löa thÕ hÖ kÕ tiÕp. NAI ®· thùc thi mét d¹ng nh vËy víi kiÕn tróc Active Security. Nhê ®ã, ngay khi ph¸t hiÖn cuéc x©m ph¹m, c¸c thay ®æi ®· ®îc thiÕt kÕ s½n sÏ tù ®éng khëi ph¸t vµ ¸p dông cho bøc têng löa bÞ ¶nh hëng. VÝ dô, nÕu mét IDS cã thÓ ph¸t hiÖn tiÕn tr×nh ph©n l¹ch ICMP, s¶n phÈm cã thÓ híng bøc têng löa ®ãng c¸c yªu cÇu ICMP ECHO vµo trong bøc têng löa. Bèi c¶nh nh vËy lu«n lµ c¬ héi cho mét cuéc tÊn c«ng khíc tõ 31
  31. dÞch vô; ®ã lµ lý do t¹i sao lu«n cÇn cã mÆt c¸c nh©n viªn b¶o mËt kinh nghiÖm. 32