Hacke igennem stealth firewall?

Det er muligt at hacker gennem enhver firewall. lad mig give en lidt løs beskrivelse at hvad jeg selv har prøvet på kursus

Jeps jeg vil gerne høre din forklaring :D

Du kan downloade værktøjer til at hacke dig gennem en firewall. Noget software er bedre til det end andet, og du bør desuden gøre det via flere servere for at sløre dine spor. Det kan lade sig gøre, men nemt er det ikke.

Ups, sorry buffer :o)

mit netværk er stillet op således at jeg har en firewall på først (ZyXEL ZyWall 100) og bagefter en linux dhcp..
Hvor lang tid ville det tage at komme igennem begge dele til min windows maskine, og vil det ik kræve utrolig mange skills?

Kurset havde opstillet en 2000 advanced server med en IIS 5.0 bagved en firewall, konfigureret således at man kun kunne tilgå http (hjemmesider) via port 80. Indefra var alt det normale tiladt, mail (port 25 og 110) ftp (port 20 og 21) web (port 80), man kun indefra og ud.

Vi tilgik serveren via port 80 og kørte en exploit, der via et bufferoverflow dumpede webserveren og gav en kommandopromt med system rettigheder. Denne kommandopromt med system rettigheder tillader at vi med en ftp klient kunne logge op til vores egen ftp server indefra og ud og hente alle vores værktøjer op på serveren, hvorefter vi kunne dumpe password filen, vi så kunne cracke hvorefter vi med nogle andre værktøjer kunne hæve vores rettigheder til administrator.

På 20 minutter ejede vi serveren og kunne alt vi ville, gennem en firewall.

mere følger

Firewallen er kun en del af den samlede sikkerhed. Det er faktisk hullerne i systemerne bagved der giver mulighederne. Hvis der ikke er nogle huller, er der ikke brug for en firewall.

Ingen firewall kan sikre dig hvis der er huller, heller ikke en stealth

buffer>men der var jo ikke selve firewallen i angreb..

hvordan sikrer jeg huller på en windows server?

Skaderne ved det bufferzone beskriver, kan begrænses ved at have en DMZ zone. Herved får evt hackere ikke adgang til det internet netværk.

Heh oki, hvad er en DMZ zone? har godt set det i min firewall men hvad kan det og hvordan sætter man det op

Jeg ønsker jo fortsat at køre server med websider på

Kort fortalt er to 2 firewalls: en ydre og en indre. Den ydre lader HTTP passere ind til en web server i DMZ zonen. Den indre tillader intet trafik udefra og ind på det interne netværk.

Default DMZ Server

der skal jeg angive en IP?!

squashguy>præcis, hvis du har huller (eller firewallen er fejlkonfigureret) er firewallen desværre irellevant.

gnuffel>Mange ting at gøre, For det første skal du altid sørge for at systemet er helt updatet, og med systemet mener jeg både operativsystemet og alle programmer på systemet. Sørg for at have så få systemer som muligt på systemet, og undgå især programmer der giver mulighed for kommunikation (ICQ, Messenger, frontpage, PC anywere, Netop osv osv )

Istedet for at bruge nyeste software, brug i steder det næst nyeste. F.eks. er der pt færre huller i NT 4.0 og IIS 4.0 end i 2000 og NT 5.0.

DMZ er en god ide, men det skal gøres rent. Hvis du f.eks. har en web server i DMZ, der tilgår en SQL server på dit indterne net, har du store problemer. Placer Web, mail og FTP i DMZ og placer de SQL servere de anvender der også. og lad være med at have fortroligt data i DMZ

Husk at hvis du anvender DMZ, så skal det være hardware DMZ. Altså 3 netkort i firewallen, et til internettet, et til DMZ og et til det indterne net. Det med at opgive en IP som DMZ, holder ikke en meter, det her reelt intet med DMZ at gøre

squashguy> Det du beskriver har ikke noget med DMZ at gøre. Det er noget smarte producenter har lavet for at kunne sige at deres billige firewalls har DMZ. Hvis du skal have DMZ, skal din firewall have 3 netkort, og der skal opsættes 2(3) forskellige netværk.
Din firewall skal være en applikations proxy hvis det skal have mening.

De der software firewalls, der afsætter en ip adresse som DMZ er til grin, har du først administrator rettigheder er de jo intet problem

Okay jeg takker jer! :D
squashguy smid lige et svar

bufferzone>Den model jeg beskrev, er jo netop hvad man får ved en hardware løsning med 3 netkort..

Et eksempel kunne være at smide en linux baseret firewall som den ydereste, og en ISA som inderste.

Internet - linux firewall - DMZ - ISA - Internt netværk

Min NApT router har også en DMZ funktion, som bruges hvis jeg i eet huk, skal have alle porte forwardet til en bestemt maskine.

Som jo faktisk er det modsatte af en rigtig DMZ: den åbner for fuld adgang udefra til denne maskine.

squashguy>fint, så læste jeg ikke nøjagtigt nok, beklager

squashguy>nu må jeg nok protestere, DMZ er ikke at åbne for fuld adgang udefra til denne maskine. Der kan være lige så lukket til DMZ som til det interne net. DMZ er allene opdeling af nettet i zoner, så du kan opsætte regler for hvad der må bevæge sig mellem disse zoner. Det er derfor jeg skriver at det faktisk kræver en applikationsporxy. Ved en løsning med DMZ og en applikationsp proxy håndtere firewallen alt kommunikation mellem alle tre zoner og alle regler

bufferzone>Kan kun sige at vi er enige..

Min sidste post var bare den "falske" DMZ du omtalte, som ingen sikkerhed giver.

glæder mig

mit netværk er stillet op således at jeg har en firewall på først (ZyXEL ZyWall 100) og bagefter en linux dhcp..
Hvor lang tid ville det tage at komme igennem begge dele til min windows maskine, og vil det ik kræve utrolig mange skills?

Kjenner ikke til ZyWall 100 spesifikt og skjønner ikke helt hva Linux dhcp betyr i denne sammenheng.

Men helt generelt: Tviler på at det er særlig enkelt å hacke seg gjennom en hardwarefirewall av rimelig god kvalitet og en optimalt konfigurert Linux firewall bak denne.

Det forhold at firewall er satt opp til å slippe gjennom port 80 og at serveren bak som kjører på port 80 har et rottent operativsystem har jo ingen ting med å gjøre at firewall blir hacket. Den slipper jo i det tilfellet bare gjennom den trafikken den skal slippe gjennom.

Det gjelder ellers en spesiell problemstilling for alle statefull inspection firewalls. Disse er satt opp til å holde en form for kartotek over all trafikk slik at den er i stand til å åpne for porter dynamisk etter behov. Zywall 100 er vel i normal konfigurasjon en av disse. Dette bokholderi legger beslag på en del prosessorkapasitet og minne slik at det er en teoretisk mulighet å lage en lags overbelastningssituesjon der den logiske struktur som statefull inpection firewall bygger på bryter sammen. Den slipper så teoretisk sett gjennom trafikk. Dersom man skal optimalisere sikkerheten for firewallen selv, så må man konfigurere vekk statefull inspection funksjonen og kjøre den i static inspection mode i stedet. Dette vil imidelertid ikke si det samme som at sikkerheten for nettverket som helhet blir bedre, den blir sannsynlig vis heller dårligere.

En betydelig og viktig del av denne problemstillingen det er også om man kjører NAT routing eller ikke.

Gitt den forusetning at LAN kjører med lokale adresser via en NAT router. Hvis man i et hypotetisk tilfelle klarer å skaffe root kontroll over en firewall router, hvordan skal man kunne bruke denne som basis for et videre angrep mot en Linux firewall. Det viktige poenget det er jo at den lokale adressen bak en NAT forbindelse ikke kan adresseres fra Internett slik at den eneste måten å angripe på blir via den inntatte router som angrepsplattform.

En god og sikker firewall bør være helt uten mulighet for fjernkontroll eller remoote pålogging. Den eneste veien inn bør være via direkte tilkopling av tastatur og skjerm enten direkte eller via serieport. Når det overhodet ikke finnes noen mulighet for remootepålogging da er det heller ikke så enket å få til dette for en hacker.

En gratis firewall som kan minimaliseries slik at det ikke finnes noes serverfunksjoner tilbake på  firewall som kan angripes er floppyfirewall, en Linux variant. Har teset den og mener å huske at den kan kjøre både i statefull inspection mode og i static mode. Tenker man i retning av å optimalisere sikkerheten til firewall selv så velger man static mode. Tenker man sikkerhet for nettverket som helhet så velger man statefull inspection.

http://www.zelow.no/floppyfw/

Ellers genelrelt, desto flere firewalls og sikerhetsbastioner desto bedre. Kjører for eksempel web server og mail server på hver sin fysiske boks med hver sin indiviuelle firewall så vil ikke mail servern være hacket ved at web serveren blir hacket.

Setter man ellers opp en floppyfw som firewall natrouter med en Linux workstation bak som har riktig konfigurert firewall og som er uten serverfunksjoner så vil jeg mene at det er tvilsomt om noen kan hacke seg gjennom dette. 

Eventuelt, hvordan ??