FireWall因协议设计而存在的缺陷(下).docVIP

FireWall因协议设计而存在的缺陷(下) 对于SecuRemote连接FIREWALL-1的简单通道协议证明在bootstrapping insertion attacks against stateful inspection非常有用，这个协议(FWZ tunnelling via IP protocol 94)pre-inspection最开始时解封装，在任何实际分析之前执行，被解封装的信息包然后在通过inspection进程来提交。为了使用这个封装协议就没有必须去认证或者加密信息包。此外，我们发现没有方法来关闭这项功能。 　　一个普通的FWZ封装IP是按照这样的方式的：原始源地址IP地址和协议作为一个尾部trailer追加到信息包得到最后，并通过目标地址（防火墙的其中一接口）和IP协议94来代替原始头。这个TRAILER的长度是5个字节数，在IP ID上通过使用KEYD HASH并XOR使其杂乱。虽然我们不能恢复用在HASH中的KEY，但我们的工具通过修改IP ID和XOR来欺骗一个静态HASH。 　　在这种方式下，FWZ封装可以用来通过防火墙发送目的信息包到本来不可路由的地方，如一些DMZ或者INTRANET到INTERNET的信息包，或者那些被指定为多播地址，或者信息包地址在NAT后面的或者是RFC1918所定义的一些非公开网络地址。 [如图： -------------------------- | s-addr= | IP Header | d-addr=9 | | d-addr= | 封装信息 -------------------------- ---------- ---- ---------- |10.x.x.x|----|防|----||----|火|----|墙| ---- 信息包达到不可路由的地方 ] 3.3 IP Spoofing Protection -------------------------- 　　FIREWALL-1中的IP伪造保护(IP spoofing protection)在每一个接口级别上的网络模块都被配置。一般典型的配置如下面所示： 　　1.DMZ和INTRANET接口设置为“This Net” 或者可能是“This Net +”，限制接口上的合法源IP地址直接到达网络或者路由到它的网络。 　　2.外部接口设置为“Others”，不允许信息包的地址是源自任何DMZ或者内部网络的地址。 　　这样的配置看起来已经足够了，但它没有保护最重要的一个IP地址--防火墙的外部接口，拒绝来自防火墙接口的伪造信息包一般在所有FIRWALL-1中都默认激活的，除了version 4.1 Service Pack 1。同样默认规则还有一条允许ISAKMP信息包，这个漏洞允许攻击者发送任何UDP数据帧到外部防火墙接口。 　　还有一个存在的问题就是默认规则允许ISAKMP信息包，这个漏洞允许攻击者发送任何UDP数据包到外部防火墙接口。 　　另一个逃避IP伪造保护的可能就是使用目的地址是多播地址() ，作为提交信息包到防火墙底下的操作系统，在我们的演示中，我们使用FWZ封装来伪造一个从多播地址的信息包到我们的攻击主机，允许我们回应发送到多播地址的信息包到我们攻击的主机，允许我们辉映一个以多播地址的信息包，通过防火墙。这个攻击方法也可以使用广播地址来实现。 [我们在用图来解释下上面关于多播的情况： 1.-------------------------- 2.------------------------- | s-addr= | | s-addr= | | d-addr= | | d-addr= | -------------------------- ------------------------ | s-port=161 | | s-port=53 | | d-port=53 | | d-port=161 | -------------------------- ------------------------ | d-addr= | | d-addr= | -------------------------- ------------------------ ---- 1,伪造的 DNS 请求 ------------- |防|-------------------------- || |火| 2，防火墙通道 ------------- |墙|---- 4 Stateful Inspection--------------------- Stateful inspection firewalls 4 Stateful Inspection ----------------