Latest topics
Thống Kê
Hiện có 3 người đang truy cập Diễn Đàn, gồm: 0 Thành viên, 0 Thành viên ẩn danh và 3 Khách viếng thăm Không
Số người truy cập cùng lúc nhiều nhất là 627 người, vào ngày Sat Dec 11, 2010 9:11 pm
Statistics
Diễn Đàn hiện có 3728 thành viênChúng ta cùng chào mừng thành viên mới đăng ký: khongluibuoc882
Tổng số bài viết đã gửi vào diễn đàn là 404 in 379 subjects
Kho Phần Mềm
KHẢO SÁT MỘT SỐ CÁCH DETECT FIREWALL RULES
Trang 1 trong tổng số 1 trang
KHẢO SÁT MỘT SỐ CÁCH DETECT FIREWALL RULES
by Admin Fri Jan 22, 2010 7:20 pm
I. Giới thiệu:
Khi xây dựng các server dịch vụ, việc
bảo vệ và quản lý các kết nối đến
server là cần thiết. Để làm điều này, nhà quản
trị sẽ thiết lập một firewall mục đích
chặn lọc các luồng dữ liệu không hợp lệ
đến với các server.
Bạn muốn kiểm tra firewall cho phép
những
kết nối nào vào trong hệ thống, bài viết nhỏ
sau giúp bạn tìm hiểu cách thức truyền dữ liệu
và kiểm tra một số rule trên firewall.
II.
Tóm lược một số kiến
thức cơ bản:
-
Bộ giao thức TCP/IP:
Theo mô tả trên, các ứng dụng nhận sẽ
dữ liệu từ tầng Transport, và 2 giao thức
được dùng tại tầng này là TCP và UDP. Trong đó
TCP là giao thức đáp ứng độ tin cậy
nên được dùng chính trong các ứng dụng cần sự
đảm bảo về dữ liệu.
Thông tin về TCP Header:
Trên 1 Server có thể có nhiều ứng dụng,
để phân biệt ứng dụng nào sẽ nhận luồng
dữ liệu từ tầng transport đưa lên, mỗi ứng
dụng sẽ đăng ký 1 cổng (port). Máy client khi gửi
yêu cầu sẽ đóng gói giá trị TCP port destination
tương ứng để TCP sẽ chuyển đến
đúng ứng dụng tại Server.
3-Way Handshake: TCP là giao thức hướng
kết
nối, do đó trước khi truyền dữ liệu 2 hệ
thống cần thiết lập kết nối trước,
quá trình này thực hiện qua 3 bước, với các giá trị
cờ được dùng (xem hình trên):
o Kết
nối được thiết lập (Server mở port):
o Kết
nối không thể thiết lập (Server đóng port)
Thông thường để chỉ cho phép những
ứng dụng nào được sử dụng, người
quản trị sẽ thiết lập trên Firewall các rule giới
hạn hoặc chỉ cho phép những Port tương ứng.
III. Thực hiện:
Mô hình:
Với sơ đồ
trên có thể thấy mạng internal có thể có nhiều ứng
dụng và firewall có thể mở nhiều cổng để
cho phép kết nối đến. Vậy làm thế nào để
biết bao nhiêu cổng được cho phép?!
Về nguyên lý, để biết được
các chính sách này ta có thể chọn 1 server/device bên trong để
truyền vào một packet với destination port muốn kiểm
tra? Nếu firewall chặn, packet sẽ bị drop, nếu
cho phép packet sẽ đến với server/device bên trong,
điều quan trọng là phải xác nhận được
dữ liệu đã qua firewall. Với nguyên lý trong quá trình bắt
tay 3 bước trên ta có thể dễ dàng xác nhận thông
qua 1 thông tin phản hồi: SYN+ACK hay RST+ACK.
Xét về nguyên lý hoạt
động, Firewall có thể chia làm 4 nhóm sau:
- IP Packet Filters
- Circuit Level Gateways
- Application Level Gateways
- Stateful multilayer inspection firewalls
Tùy thuộc loại firewall
mà cách thức có thể khác nhau
1. IP Packet Filters:
* Một số đặc điểm của loại
firewall này:
- Đây là firewall làm việc trên tầng Network
- Firewall có chức năng kiểm soát thông tin Protocol, Source
IP, Destination IP và Port number.
- Đây là tính năng sẵn có trên hầu hết các Router,
không cần đầu tư thêm hệ thống và có chi phí
thấp.
Tóm lại, Firewall loại này chỉ thực hiện kiểm
tra từng packet đơn, nếu xét thấy thỏa
điều kiện tại lớp 3, và lớp 4 là cho qua.
Thực
hiện kiểm tra trên Firewall sử dụng IP Packet filter
trên Windows:
-
Cấu hình dùng RRAS cho phép 3 port
(80,3389,25):
Kiểm
nghiệm bằng nmap:
Ta
gửi vào 4 packet với 4 port: 80,25,110 và 3389. Trong đó có 3
port được trả lời 1 port filter tương ứng
với các cổng mở bởi firewall.
Đối
với loại firewall này, thay vì dùng cờ SYN sẽ theo dõi
kết quả khi thử nghiệm với cờ ACK.
Kết
quả khi dùng cờ ACK đến các port đóng và mở:
Ta nhận thấy kết
quả trả về đều là RST khi đến open port
(80) hay close port(110). Vậy thay vì nhận dạng qua 2 loại
kết quả trả về ta dùng cờ ACK để xác
nhận chỉ qua cờ RST.
2. Đối với Firewall còn lại:
- Circuit Level Gateways: Firewall làm
việc tại
tầng TCP, nó theo dõi session và quá trình TCP handshake và xác định
các gói tin hợp lệ.
- Application Level Gateways: Firewall
còn được
gọi là proxies, nó có thể lọc thông tin tại tầng ứng
dụng. Do đó có thể lọc các command của ứng dụng.
Vd: HTTP POST.GET
- Stateful
multilayer
inspection firewalls: đây là firewall kết hợp bởi tất
cả các tính năng của firewall trên.
Thực
hiện kiểm tra trên Firewall sử dụng ISA Server 2006:
Cấu
hình:
-
Thay đổi relationship giữa
Internal và External: Route
-
Tạo rule: allow HTTP (80), SMTP (25),
RDP(3389)
Kiểm tra bằng nmap với ACK:
Ta nhận thấy không thể dùng ACK vì các
packet đều bị firewall drop. Do các session được
theo dõi chặt chẽ, nếu chưa thực hiện việc
handshake thì packet này sẽ bị firewall chặn:
-
Thay ACK
bằng SYN:
Ngoài việc
dùng các giá trị cờ một kỹ thuật khác
được dùng là TTL. Cách thức này là tạo ra một
packet với TTL=n+1, và địa chỉ đích là server với
TTL đến được là n+m. Do sau khi đến hop
n+1 TTL=0 nên thiết bị sẽ trả về với
message ICMP_TIME_EXCEEDED đây
cũng là kỹ thuật dùng
trong traceroute.
Công cụ Firewalking
được phát triển bởi Mike Schiffman và David
Goldsmith dùng kỹ thuật này.
Thử
nghiệm với firewalk thấy có 3 port phản hồi
từ Router:
Cảm
ơn bạn đã đọc bài viết!
Khi xây dựng các server dịch vụ, việc
bảo vệ và quản lý các kết nối đến
server là cần thiết. Để làm điều này, nhà quản
trị sẽ thiết lập một firewall mục đích
chặn lọc các luồng dữ liệu không hợp lệ
đến với các server.
Bạn muốn kiểm tra firewall cho phép
những
kết nối nào vào trong hệ thống, bài viết nhỏ
sau giúp bạn tìm hiểu cách thức truyền dữ liệu
và kiểm tra một số rule trên firewall.
II.
Tóm lược một số kiến
thức cơ bản:
-
Bộ giao thức TCP/IP:
Theo mô tả trên, các ứng dụng nhận sẽ
dữ liệu từ tầng Transport, và 2 giao thức
được dùng tại tầng này là TCP và UDP. Trong đó
TCP là giao thức đáp ứng độ tin cậy
nên được dùng chính trong các ứng dụng cần sự
đảm bảo về dữ liệu.
Thông tin về TCP Header:
Trên 1 Server có thể có nhiều ứng dụng,
để phân biệt ứng dụng nào sẽ nhận luồng
dữ liệu từ tầng transport đưa lên, mỗi ứng
dụng sẽ đăng ký 1 cổng (port). Máy client khi gửi
yêu cầu sẽ đóng gói giá trị TCP port destination
tương ứng để TCP sẽ chuyển đến
đúng ứng dụng tại Server.
3-Way Handshake: TCP là giao thức hướng
kết
nối, do đó trước khi truyền dữ liệu 2 hệ
thống cần thiết lập kết nối trước,
quá trình này thực hiện qua 3 bước, với các giá trị
cờ được dùng (xem hình trên):
o Kết
nối được thiết lập (Server mở port):
o Kết
nối không thể thiết lập (Server đóng port)
Thông thường để chỉ cho phép những
ứng dụng nào được sử dụng, người
quản trị sẽ thiết lập trên Firewall các rule giới
hạn hoặc chỉ cho phép những Port tương ứng.
III. Thực hiện:
Mô hình:
Với sơ đồ
trên có thể thấy mạng internal có thể có nhiều ứng
dụng và firewall có thể mở nhiều cổng để
cho phép kết nối đến. Vậy làm thế nào để
biết bao nhiêu cổng được cho phép?!
Về nguyên lý, để biết được
các chính sách này ta có thể chọn 1 server/device bên trong để
truyền vào một packet với destination port muốn kiểm
tra? Nếu firewall chặn, packet sẽ bị drop, nếu
cho phép packet sẽ đến với server/device bên trong,
điều quan trọng là phải xác nhận được
dữ liệu đã qua firewall. Với nguyên lý trong quá trình bắt
tay 3 bước trên ta có thể dễ dàng xác nhận thông
qua 1 thông tin phản hồi: SYN+ACK hay RST+ACK.
Xét về nguyên lý hoạt
động, Firewall có thể chia làm 4 nhóm sau:
- IP Packet Filters
- Circuit Level Gateways
- Application Level Gateways
- Stateful multilayer inspection firewalls
Tùy thuộc loại firewall
mà cách thức có thể khác nhau
1. IP Packet Filters:
* Một số đặc điểm của loại
firewall này:
- Đây là firewall làm việc trên tầng Network
- Firewall có chức năng kiểm soát thông tin Protocol, Source
IP, Destination IP và Port number.
- Đây là tính năng sẵn có trên hầu hết các Router,
không cần đầu tư thêm hệ thống và có chi phí
thấp.
Tóm lại, Firewall loại này chỉ thực hiện kiểm
tra từng packet đơn, nếu xét thấy thỏa
điều kiện tại lớp 3, và lớp 4 là cho qua.
Thực
hiện kiểm tra trên Firewall sử dụng IP Packet filter
trên Windows:
-
Cấu hình dùng RRAS cho phép 3 port
(80,3389,25):
Kiểm
nghiệm bằng nmap:
Ta
gửi vào 4 packet với 4 port: 80,25,110 và 3389. Trong đó có 3
port được trả lời 1 port filter tương ứng
với các cổng mở bởi firewall.
Đối
với loại firewall này, thay vì dùng cờ SYN sẽ theo dõi
kết quả khi thử nghiệm với cờ ACK.
Kết
quả khi dùng cờ ACK đến các port đóng và mở:
Ta nhận thấy kết
quả trả về đều là RST khi đến open port
(80) hay close port(110). Vậy thay vì nhận dạng qua 2 loại
kết quả trả về ta dùng cờ ACK để xác
nhận chỉ qua cờ RST.
2. Đối với Firewall còn lại:
- Circuit Level Gateways: Firewall làm
việc tại
tầng TCP, nó theo dõi session và quá trình TCP handshake và xác định
các gói tin hợp lệ.
- Application Level Gateways: Firewall
còn được
gọi là proxies, nó có thể lọc thông tin tại tầng ứng
dụng. Do đó có thể lọc các command của ứng dụng.
Vd: HTTP POST.GET
- Stateful
multilayer
inspection firewalls: đây là firewall kết hợp bởi tất
cả các tính năng của firewall trên.
Thực
hiện kiểm tra trên Firewall sử dụng ISA Server 2006:
Cấu
hình:
-
Thay đổi relationship giữa
Internal và External: Route
-
Tạo rule: allow HTTP (80), SMTP (25),
RDP(3389)
Kiểm tra bằng nmap với ACK:
Ta nhận thấy không thể dùng ACK vì các
packet đều bị firewall drop. Do các session được
theo dõi chặt chẽ, nếu chưa thực hiện việc
handshake thì packet này sẽ bị firewall chặn:
-
Thay ACK
bằng SYN:
Ngoài việc
dùng các giá trị cờ một kỹ thuật khác
được dùng là TTL. Cách thức này là tạo ra một
packet với TTL=n+1, và địa chỉ đích là server với
TTL đến được là n+m. Do sau khi đến hop
n+1 TTL=0 nên thiết bị sẽ trả về với
message ICMP_TIME_EXCEEDED đây
cũng là kỹ thuật dùng
trong traceroute.
Công cụ Firewalking
được phát triển bởi Mike Schiffman và David
Goldsmith dùng kỹ thuật này.
Thử
nghiệm với firewalk thấy có 3 port phản hồi
từ Router:
Cảm
ơn bạn đã đọc bài viết!
Admin- Ban Quản Trị
-
Tổng số bài gửi : 993
Số Điễm : 2909
Join date : 18/08/2009
Age : 41
Đến từ : Quảng Ngãi -
Similar topics» Cách Quay Tọa Độ Bấu Vật Vcoin + Gp Trong CF Vd : RPK -Gold – GatlingGun-gold – B By Cách Quay Tọa Độ Bấu Vật Vcoin + Gp Trong CF Vd : RPK -Gold – GatlingGun-gold – B By admin | Published: August 2, 2011 Xem 130 Kênh TiVi Online - Nhanh, Không Giật - Mi
» 10 cách tùy chỉnh Windows 7
» Hướng dẫn cách tạo Windows 7 Lite 1 CD
» VÕ LÂM CHÍ TÔN PHONG CÁCH NÓI NÊN ĐẲNG CẤP OPEN 8H SÁNG HÔM NAY
» Tổng hợp Killmark, Theme CF đẹp Cách sử dụng *Đối với Theme* B1: Giải nén B2: Mở ra cho đến khi nào thấy các file tên có chữ đầu UI_...., ví dụ như UI_Badge, UI_Channel, UI_Login, UI_Lobby,.... B3: Copy toàn bộ các thư mục đó B4: mở file X:\ABC\VTCGame
» 10 cách tùy chỉnh Windows 7
» Hướng dẫn cách tạo Windows 7 Lite 1 CD
» VÕ LÂM CHÍ TÔN PHONG CÁCH NÓI NÊN ĐẲNG CẤP OPEN 8H SÁNG HÔM NAY
» Tổng hợp Killmark, Theme CF đẹp Cách sử dụng *Đối với Theme* B1: Giải nén B2: Mở ra cho đến khi nào thấy các file tên có chữ đầu UI_...., ví dụ như UI_Badge, UI_Channel, UI_Login, UI_Lobby,.... B3: Copy toàn bộ các thư mục đó B4: mở file X:\ABC\VTCGame
Trang 1 trong tổng số 1 trang
Permissions in this forum:
Bạn không có quyền trả lời bài viết|
|
|
» Khai Mở Cụm Máy Chủ Công Thành Chiến Ngay Hôm Nay Chiến Ngay Kẻo Lỡ
» Ra Mắt Bản CTC volamnguoihungpk.com Chào Đón Anh Hùng Võ Lâm Về Cùng Đọ Sức
» Võ Lâm Garena Đánh giá hot nhất 2014 Thử nghiệm 2 ngày tham gia ngay
» volamtrongdong Aplates Tính Năng Mới Nhất Tháng 7 Phiên Bản Đồ Xanh
» volamtienhai.com test thử nghiệm 2 ngày + tính năng mới nhất tháng 7
» [JX] 19h30 Thứ 4 Ngày 9-7-2014 Võ Lâm Hợp Nhất Open Beta
» [JX] Đúng 11h30 Trưa Mai Thứ 4 Võ Lâm Hợp Nhất Open Chính Thức
» [JX] Khai Mở Máy Chủ Võ Lâm Tam Hợp+Nhieu Tinh Nang Cần Kham Pha
» volam-vietnam Server Được Đánh Giá Hot Nhất 2014