August 2019
SunMonTueWedThuFriSat
    123
45678910
11121314151617
18192021222324
25262728293031

Calendar Calendar

Liện Hệ

 dailongcomputer_printer

Thống Kê
Hiện có 4 người đang truy cập Diễn Đàn, gồm: 0 Thành viên, 0 Thành viên ẩn danh và 4 Khách viếng thăm

Không

[ View the whole list ]


Số người truy cập cùng lúc nhiều nhất là 627 người, vào ngày Sat Dec 11, 2010 9:11 pm
Statistics
Diễn Đàn hiện có 3728 thành viên
Chúng ta cùng chào mừng thành viên mới đăng ký: khongluibuoc882

Tổng số bài viết đã gửi vào diễn đàn là 404 in 379 subjects
Kho Phần Mềm
KHẢO SÁT MỘT SỐ CÁCH  DETECT FIREWALL RULES Logo15
Gallery


KHẢO SÁT MỘT SỐ CÁCH  DETECT FIREWALL RULES Empty

KHẢO SÁT MỘT SỐ CÁCH DETECT FIREWALL RULES

Go down

KHẢO SÁT MỘT SỐ CÁCH  DETECT FIREWALL RULES Empty KHẢO SÁT MỘT SỐ CÁCH DETECT FIREWALL RULES

Bài gửi by Admin on Fri Jan 22, 2010 7:20 pm

I. Giới thiệu:


Khi xây dựng các server dịch vụ, việc
bảo vệ và quản lý các kết nối đến
server là cần thiết. Để làm điều này, nhà quản
trị sẽ thiết lập một firewall mục đích
chặn lọc các luồng dữ liệu không hợp lệ
đến với các server.


Bạn muốn kiểm tra firewall cho phép
những
kết nối nào vào trong hệ thống, bài viết nhỏ
sau giúp bạn tìm hiểu cách thức truyền dữ liệu
và kiểm tra một số rule trên firewall.
II.
Tóm lược một số kiến
thức cơ bản:



-
Bộ giao thức TCP/IP:


KHẢO SÁT MỘT SỐ CÁCH  DETECT FIREWALL RULES Image002


Theo mô tả trên, các ứng dụng nhận sẽ
dữ liệu từ tầng Transport, và 2 giao thức
được dùng tại tầng này là TCP và UDP. Trong đó
TCP là giao thức đáp ứng độ tin cậy
nên được dùng chính trong các ứng dụng cần sự
đảm bảo về dữ liệu.


Thông tin về TCP Header:


KHẢO SÁT MỘT SỐ CÁCH  DETECT FIREWALL RULES Image004


Trên 1 Server có thể có nhiều ứng dụng,
để phân biệt ứng dụng nào sẽ nhận luồng
dữ liệu từ tầng transport đưa lên, mỗi ứng
dụng sẽ đăng ký 1 cổng (port). Máy client khi gửi
yêu cầu sẽ đóng gói giá trị TCP port destination
tương ứng để TCP sẽ chuyển đến
đúng ứng dụng tại Server.


3-Way Handshake: TCP là giao thức hướng
kết
nối, do đó trước khi truyền dữ liệu 2 hệ
thống cần thiết lập kết nối trước,
quá trình này thực hiện qua 3 bước, với các giá trị
cờ được dùng (xem hình trên):


o Kết
nối được thiết lập (Server mở port):


KHẢO SÁT MỘT SỐ CÁCH  DETECT FIREWALL RULES Image006


o Kết
nối không thể thiết lập (Server đóng port)


KHẢO SÁT MỘT SỐ CÁCH  DETECT FIREWALL RULES Image008


Thông thường để chỉ cho phép những
ứng dụng nào được sử dụng, người
quản trị sẽ thiết lập trên Firewall các rule giới
hạn hoặc chỉ cho phép những Port tương ứng.


III. Thực hiện:


Mô hình:


KHẢO SÁT MỘT SỐ CÁCH  DETECT FIREWALL RULES Image042


Với sơ đồ
trên có thể thấy mạng internal có thể có nhiều ứng
dụng và firewall có thể mở nhiều cổng để
cho phép kết nối đến. Vậy làm thế nào để
biết bao nhiêu cổng được cho phép?!


Về nguyên lý, để biết được
các chính sách này ta có thể chọn 1 server/device bên trong để
truyền vào một packet với destination port muốn kiểm
tra? Nếu firewall chặn, packet sẽ bị drop, nếu
cho phép packet sẽ đến với server/device bên trong,
điều quan trọng là phải xác nhận được
dữ liệu đã qua firewall. Với nguyên lý trong quá trình bắt
tay 3 bước trên ta có thể dễ dàng xác nhận thông
qua 1 thông tin phản hồi: SYN+ACK hay RST+ACK.


Xét về nguyên lý hoạt
động, Firewall có thể chia làm 4 nhóm sau:
- IP Packet Filters
- Circuit Level Gateways
- Application Level Gateways
- Stateful multilayer inspection firewalls


Tùy thuộc loại firewall
mà cách thức có thể khác nhau

1. IP Packet Filters:
* Một số đặc điểm của loại
firewall này:
- Đây là firewall làm việc trên tầng Network
- Firewall có chức năng kiểm soát thông tin Protocol, Source
IP, Destination IP và Port number.
- Đây là tính năng sẵn có trên hầu hết các Router,
không cần đầu tư thêm hệ thống và có chi phí
thấp.
Tóm lại, Firewall loại này chỉ thực hiện kiểm
tra từng packet đơn, nếu xét thấy thỏa
điều kiện tại lớp 3, và lớp 4 là cho qua.


Thực
hiện kiểm tra trên Firewall sử dụng IP Packet filter
trên Windows:



-
Cấu hình dùng RRAS cho phép 3 port
(80,3389,25):


KHẢO SÁT MỘT SỐ CÁCH  DETECT FIREWALL RULES Image010


KHẢO SÁT MỘT SỐ CÁCH  DETECT FIREWALL RULES Image012


KHẢO SÁT MỘT SỐ CÁCH  DETECT FIREWALL RULES Image014


Kiểm
nghiệm bằng nmap:



KHẢO SÁT MỘT SỐ CÁCH  DETECT FIREWALL RULES Image016


Ta
gửi vào 4 packet với 4 port: 80,25,110 và 3389. Trong đó có 3
port được trả lời 1 port filter tương ứng
với các cổng mở bởi firewall.



Đối
với loại firewall này, thay vì dùng cờ SYN sẽ theo dõi
kết quả khi thử nghiệm với cờ ACK.



Kết
quả khi dùng cờ ACK đến các port đóng và mở:



KHẢO SÁT MỘT SỐ CÁCH  DETECT FIREWALL RULES Image018


Ta nhận thấy kết
quả trả về đều là RST khi đến open port
(80) hay close port(110). Vậy thay vì nhận dạng qua 2 loại
kết quả trả về ta dùng cờ ACK để xác
nhận chỉ qua cờ RST.


KHẢO SÁT MỘT SỐ CÁCH  DETECT FIREWALL RULES Image020





2. Đối với Firewall còn lại:


- Circuit Level Gateways: Firewall làm
việc tại
tầng TCP, nó theo dõi session và quá trình TCP handshake và xác định
các gói tin hợp lệ.


- Application Level Gateways: Firewall
còn được
gọi là proxies, nó có thể lọc thông tin tại tầng ứng
dụng. Do đó có thể lọc các command của ứng dụng.
Vd: HTTP POST.GET


- Stateful
multilayer
inspection firewalls: đây là firewall kết hợp bởi tất
cả các tính năng của firewall trên.


Thực
hiện kiểm tra trên Firewall sử dụng ISA Server 2006:



Cấu
hình:



-
Thay đổi relationship giữa
Internal và External: Route


KHẢO SÁT MỘT SỐ CÁCH  DETECT FIREWALL RULES Image022


KHẢO SÁT MỘT SỐ CÁCH  DETECT FIREWALL RULES Image024


-
Tạo rule: allow HTTP (80), SMTP (25),
RDP(3389)


KHẢO SÁT MỘT SỐ CÁCH  DETECT FIREWALL RULES Image026


Kiểm tra bằng nmap với ACK:


KHẢO SÁT MỘT SỐ CÁCH  DETECT FIREWALL RULES Image028


Ta nhận thấy không thể dùng ACK vì các
packet đều bị firewall drop. Do các session được
theo dõi chặt chẽ, nếu chưa thực hiện việc
handshake thì packet này sẽ bị firewall chặn:


KHẢO SÁT MỘT SỐ CÁCH  DETECT FIREWALL RULES Image030


-
Thay ACK
bằng SYN:


KHẢO SÁT MỘT SỐ CÁCH  DETECT FIREWALL RULES Image032





Ngoài việc
dùng các giá trị cờ một kỹ thuật khác
được dùng là TTL. Cách thức này là tạo ra một
packet với TTL=n+1, và địa chỉ đích là server với
TTL đến được là n+m. Do sau khi đến hop
n+1 TTL=0 nên thiết bị sẽ trả về với
message
ICMP_TIME_EXCEEDED đây
cũng là kỹ thuật dùng
trong traceroute.
Công cụ Firewalking
được phát triển bởi Mike Schiffman và David
Goldsmith dùng kỹ thuật này.



KHẢO SÁT MỘT SỐ CÁCH  DETECT FIREWALL RULES Image035


Thử
nghiệm với firewalk thấy có 3 port phản hồi
từ Router:



KHẢO SÁT MỘT SỐ CÁCH  DETECT FIREWALL RULES Image043




Cảm
ơn bạn đã đọc bài viết!

_________________
KHẢO SÁT MỘT SỐ CÁCH  DETECT FIREWALL RULES Anhso-095551_LT0.8600899_1_1
-------Ký tên: Admin---------
Admin
Admin
Ban Quản Trị
Ban Quản Trị

Dog
Tổng số bài gửi : 993
Số Điễm : 2909
Join date : 18/08/2009
Age : 36
Đến từ : Quảng Ngãi

Xem lý lịch thành viên http://dailong.forum-viet.net

Về Đầu Trang Go down

Về Đầu Trang


 
Permissions in this forum:
Bạn không có quyền trả lời bài viết