it-swarm-id.com

Bagaimana penyerang bisa melewati firewall?

Saya telah membaca artikel Wikipedia tentang firewall tetapi tidak mengerti keamanan firewall dan bagaimana penyerang dari luar dapat mem-bypass firewall untuk meretas sistem target.

Kita semua tahu itu terjadi tetapi metode apa yang memungkinkan untuk melakukan itu?

8
Ted

Firewall tidak "dilewati" dalam arti Hollywood, menurut Anda. Mereka beroperasi dengan memeriksa lalu lintas masuk dan keluar terhadap seperangkat aturan. Aturan ini mungkin didasarkan pada metadata (mis. Nomor port, alamat IP, tipe protokol, dll) atau data nyata, mis. Muatan paket.

Sebagai contoh:

  • Jatuhkan semua paket yang masuk dari alamat IP 1.2.3.4
  • Jatuhkan semua yang masuk TCP paket pada port 22, kecuali mereka dari alamat IP 2.3.4.5
  • Jatuhkan semua paket TCP yang masuk dengan set flag RST, ketika nomor urut tidak cocok dengan koneksi yang diketahui.
  • Jatuhkan semua paket NetBIOS yang masuk dan keluar.
  • Letakkan semua paket yang masuk pada TCP port 80 yang berisi string ASCII 0x31303235343830303536.

Firewall modern biasanya terdiri dari seperangkat aturan berikut:

  • Set aturan dasar - biasanya "memblokir semua" diikuti oleh daftar pengecualian untuk layanan/protokol yang umum digunakan (mis. Permintaan HTTP keluar)
  • Kumpulan aturan khusus - seperangkat aturan pengguna yang dirancang untuk menggantikan/melengkapi set aturan dasar.
  • Kumpulan aturan tanda tangan - seperangkat tanda tangan untuk mencegah dari eksploitasi yang diketahui. Aturan terakhir dalam daftar saya adalah contohnya - ini mendeteksi alat injeksi Havij SQL. Ini biasanya mengesampingkan semua aturan lain. Set ini analog dengan database anti-malware, dan harus sering diperbarui.

Melewati firewall bukanlah sesuatu yang bisa dilakukan. Semua lalu lintas yang melewatinya disaring sesuai dengan aturan yang dikonfigurasi. Namun, firewall hanya melakukan apa yang diperintahkan - firewall yang salah konfigurasi atau ketinggalan zaman dapat memungkinkan serangan.

Cara yang bisa saya pikirkan untuk menyelesaikan firewall:

  • Secara harfiah berkeliling. Temukan titik masuk lain ke jaringan yang tidak melewati firewall. Misalnya, kirim beberapa malware atau exploit ke pengguna internal melalui email.
  • Mengeksploitasi firewall yang salah konfigurasi dengan membuat paket yang tidak memicu aturan. Sulit, tetapi berpotensi terjadi.
  • Kirim muatan eksploit kustom ke target di port terbuka. Firewall hanya dapat mengidentifikasi eksploitasi yang diketahui.
30
Polynomial

Cara termudah untuk menyiasati firewall adalah apa yang dikenal sebagai serangan 'sisi klien'. Jika komputer di sisi yang dilindungi dari firewall membuat koneksi yang valid ke penyerang, tidak ada yang memicu aturan firewall yang khas. Misalnya, jika komputer firewall membuat koneksi HTTP pada port 80 ke situs web yang dirancang untuk mengeksploitasi kerentanan browser (atau Java), ada sedikit untuk firewall untuk mengenali sebagai berbahaya: lalu lintas web melalui port web.

Setelah pijakan diperoleh dalam jaringan, penyerang dapat mengatur terowongan terenkripsi yang melewati firewall pada port yang diizinkan, yang merupakan jenis 'bypass' lainnya.

Pada topik serangan firewall langsung, alatada untuk memetakan bagaimana firewall dikonfigurasi untuk berbagai port. Dengan informasi ini, lalu lintas dapat dikonfigurasi untuk melewati firewall. Pada tingkat paling sederhana, paket-paket yang terpecah-pecah bisa efektif dalam tidak memicu berbagai firewall dan aturan IPS karena setiap paket tidak berisi data yang cukup. Firewall harus dikonfigurasi untuk menyimpan seluruh paket yang terfragmentasi sebelum inspeksi.

7
schroeder

Jawabannya benar-benar tergantung pada definisi Anda "melewati".

Faktor terpenting dalam memastikan firewall memberikan perlindungan maksimum adalah memastikan firewall dikonfigurasi dengan tepat. Firewall adalah perangkat bodoh dalam arti bahwa Anda harus mengkonfigurasi apa yang Anda inginkan untuk dibolehkan melalui/blokir. Firewall yang dikonfigurasi dengan buruk akan membuat lubang menganga di permukaan serangan Anda. Jika penyerang masuk, itu bukan kesalahan firewall; itu hanya melakukan apa yang diperintahkan. Orang dapat berargumen bahwa firewall secara teknis tidak "dilewati" karena tidak pernah diperintahkan untuk membatasi lalu lintas yang relevan.

Bergantung pada set-fitur firewall, itu hanya akan memungkinkan Anda untuk membatasi akses dengan cara tertentu. Meskipun beberapa teknik penetrasi mungkin mencoba untuk mengeksploitasi kerentanan atau kelemahan pada perangkat lunak firewall - yang saya kira Anda bisa kelas sebagai "memintas" - sebagian besar teknik difokuskan pada pemanfaatan firewall yang tidak terkonfigurasi dengan baik (lihat poin di atas ), atau sistem yang ada di belakang firewall. Sebagai contoh, jika Anda memiliki server SSH yang tidak terkonfigurasi dengan benar di belakang firewall, maka itu bukan kesalahan firewall bahwa penyerang dapat mengautentikasi sebagai root dengan "kata sandi" sebagai kata sandi. Firewall telah dikonfigurasi untuk hanya mengizinkan akses melalui port 22 (SSH), jadi itu sudah selesai. Sekali lagi, orang dapat dengan tepat berpendapat bahwa firewall belum dilewati dalam situasi ini, tetapi seseorang masih masuk ke jaringan Anda.

Beberapa firewall menawarkan fitur yang lebih canggih seperti pencegahan intrusi dan penyaringan lapisan aplikasi. IPS firewall membuat upaya untuk memahami konten lalu lintas yang mengalir dan memblokir beberapa metode umum untuk mengeksploitasi kelemahan dalam sistem yang dihosting di belakangnya. Sekali lagi, ini bergantung pada konfigurasi yang cermat agar efektif. Jika Anda belum mengaktifkan perlindungan yang benar IPS, maka itu bukan kesalahan firewall jika seseorang berhasil mengeksploitasi kerentanan itu. Beberapa teknik penetrasi ada yang mencoba menyelinap lalu lintas melewati perlindungan ini dalam bentuk yang tidak memicu blok, tetapi masih mengeksploitasi kelemahan. Ini adalah permainan kucing-dan-tikus yang mirip dengan anti-virus. Saya kira Anda bisa menyebut ini "melewati" firewall.

Singkatnya, firewall hanya sebagus admin yang mengonfigurasinya, dan hanya dapat diharapkan untuk membatasi lalu lintas berdasarkan kemampuannya. Ini bukan pengganti untuk pengerasan sistem di belakangnya, yang mana sebagian besar serangan akan fokus.

3
dbr

Firewall adalah elemen inti dalam keamanan jaringan. Namun, mengelola aturan firewall, terutama untuk jaringan perusahaan adalah tugas yang kompleks dan rawan kesalahan. Aturan penyaringan firewall harus ditulis dan diatur dengan hati-hati agar dapat menerapkan kebijakan keamanan dengan benar. Selain itu, menyisipkan atau memodifikasi aturan penyaringan membutuhkan analisis menyeluruh dari hubungan antara aturan ini dan semua aturan lain untuk menentukan urutan aturan ini dan melakukan pembaruan. Mengidentifikasi anomali dalam konfigurasi aturan Firewall adalah topik penelitian yang sangat panas dan ada banyak penelitian tentangnya yang beberapa di antaranya menurut saya menarik is .

Tujuan penyerang adalah untuk mengekspos anomali-anomali ini dalam konfigurasi firewall dan ini dilakukan melalui sidik jari firewall di mana ia mengirim paket jinak untuk menebak aturan firewall dan menemukan celah di dalamnya. Untuk mencegah eksploitasi semacam itu, kebanyakan firewall ditempatkan di belakang IPS dalam panggilan pola DMZ di mana IPS mencoba untuk mencegah sidik jari firewall melalui heuristik atau pengukuran statistik (entropi) yaitu pemindaian port).

1
Ali Ahmad