Identificação de Firewall

[_Dr4k0_]

Neste POST, irei abordar um assunto que se voce quiser se tornar um
ELITE, deverá saber todos os seu parâmetros....
Aprendendo uma técnica, nada lhe impedirá de fazer todas !
Praticamente, cada "firewall" deixa escapar um "cheiro" eletrônico único.
Com um pouco de varredura de portas, firewalking e obtenção de banner,
um atacante pode determinar o tipo, versão e regras de praticamente qual-
quer firewall de uma rede. Por que tal identificação é importante ?
Por que, uma vez que um atacante tenha mapeado os firewalls de uma rede,
ele pode conhecer suas fraquezas e tentar explorá-las.

A Maneira mais fácil de identificar firewalls é por meio da varredura de
portas, varrendo em busca de portas-padrão específicas. Alguns firewalls
no mercado podem ser identificados sem qualquer dúvida usando varreduras
de porta simples - você só precisa saber o que está procurando. Por exem-
plo, o firewall-1 da CheckPoint ouve nas portas TCP 256,257 e 258, ao
passo que o Proxy Server da Microsoft normalmente ouve nas portas TCP
1080, e 1745. Com tal conhecimento, procurar esses tipos de firewall é
trivial, com um varredor de portas como o 'nmap'.

nmap -n -vv -p0 -p256,1080,1745 192.168.50.1-60.254

Obs: A opção '-p0' desativa o pinging ICMP antes da varredura. Isto é
importante porque a maioria dos firewalls não responde a solicitação de
eco ICMP.

Rastreamento de Rota:
~~~~~~~~~~~~~~~~~~~~~

Uma forma mais quieta e sutil de descobrir firewalls de uma rede é usar
o 'traceroute'. Você pode usar o 'traceroute' do UNIX ou 'tracert.exe'
do NT para descobrir cada salto ao longo do caminho até o alvo e então
fazer algumas deduções.
O 'traceroute' do UNIX possui a opção -I, que executa tracerouters envi-
ando pacotes ICMP ao contrário da técnica de pacotes UDP padrão.

[acidmud]$ traceroute -I 192.168.51.100
traceroute to 192.168.51.100 (192.168.51.100), 30 hops max, 40
byte packets
1 attack-gw (192.168.50.21) 5.801 ms 5.445 ms
2 gw1.smallisp.net (192.168.51.1)
3 gw2.smallisp.net (192.168.52.2)
....

13 hssi.bigisp.net (10.55.201.2)
14 serial1.bigisp.net (10.55.202.1)
15 192.168.51.101 (192.168.51.100)

Há boas chances de que o salto imediatamente antes do alvo(10.55.202.1)
seja o firewall, mas ainda não temos certeza. Precisamos fazer algumas
pesquisas adicionais.
O exemplo anterior é excelente se os roteadores entre você e seus ser
vidores-alvo responderem a pacotes com TTL vencido. Mas alguns roteado-
res e firewalls são configurados de modo a não retornar pacotes ICMP de
TTL vencido(tanto em respostas a pacotes ICMP quanto UDP). Neste caso,
a dedução será menos científica.
Tudo o que você pode fazer é executar o traceroute, ver qual o último
salto que responde e deduzir que ele é um firewall completo ou, pelo
menos, o primeiro roteador no caminho que começa a bloquear o trace-
routing. Por exemplo, aqui o ICMP está sendo bloqueado até seu destino,
não havendo resposta de roteadores além de client-gw.smallisp.net:

1 stoneface (192.168.10.33) 12.640 ms 8.367 ms
2 gw1.localisp.net (172.31.10.1) 214.582 ms 197.992 ms
3 gw2.localisp.net (172.31.10.2) 206.627 ms 38.931 ms
4 ds1.localisp.net (172.31.12.254) 47.167 ms 52.640 ms
...

14 ATM6.LAX2.BIGISP.NET (10.50.2.1) 250.030 ms 391.716 ms
15 ATM7.SDG.BIGISP.NET (10.50.2.5) 234.668 ms 384.525 ms
16 client-gw.smallisp.net (10.50.3.250) 244.065 ms !X * *
17 * * *
18 * * *

---EOF---

Créditos :AciDmuD

[HadeS]

Só uma coisa... Se os firewalls de hoje em dia ignoram pacotes ICMP_echo_request (echo ICMP), por que ele manda usar traceroute? Já que o traceroute não passa de um ICMP_echo_request.

Disse e repito, esses textos do AciDmuD estão fraquinhos.

Obs: "Elite"?!? Hauhau

HadeS

[DDHora]

Valew, estou começando agora a estudar sobre pentest e ficava mesmo muito preocupado quanto ao firewall.
Já deu pra esclarecer um bocado.
Abs