Firewall

防火牆的基本概念:避免入侵者進入,防止機密資料外洩
設計目標:
 所有由內到外或由外到內的流量需經防火牆
 經過授權才可通過
 對入侵具有免疫力
ps:70%的攻擊是來自防火牆內部

防火牆一般架構:外部封包過濾路由器+應用閘道器+內部封包過濾路由器
防火牆主要技術:服務監控,方向監控,使用者監控,行為監控
防火牆主要種類:封包過濾,應用程式閘道器,電路層閘道器,狀態記憶體封包檢查引擊
額外功能:nat,vpn,稽核記錄,熱備援hotstandby,認證,Traffic Shaping(頻寬管理)

…………………………………………………………………………

firewall
hardward firewall
ex:
Netscreen
Cisco Pix Firewall
software firewall
ex:
ipfw/natd 防護bsd
netfilter/iptables 防護linux
wf/ics 防護windows

……………….

types of firewalls:
packet filters
SPI
circuit level gateways
application level gateways
stateful multilayer inspection firewalls

比較如下
packet filitering 
 可依ip,protocol,port過濾資料
 無法判斷連線是否合法
 無法對應用層的資料做處理
SPI 
 包含packet filter功能
 可用連線狀態表,判斷該判斷連線是否合法
 無法對應用層的資料做處理
application gateways
 包含SPI功能 
 可看到每個封包內容,因此可對應用層的資料做處理

packet filitering(封包過濾)
運作在network layer
判斷依據:來源與目地端ip,來源和目地port,protocol(TCP,UDP,ICMP),介面
優點:low cost,對網路效能影響小,most routers support
缺點:相較其他類型firewall較不安全,無法檢視上層資料,允許和不可信任主機直接連線,擴充性差,可能遭到假冒攻擊,會允許所有ack封包通過

封包過濾策略有:
開放型網路:只擋掉幾種不要的封包
封閉型網路:只讓幾種事先核准的封包過通

封包過濾器可反制
a.ip位址偽裝:封包來源ip偽裝為內部主機ip時,丟棄封包
b.來源路徑攻擊:
c.細微區段攻擊法:切割ip封包這個選擇性欄位,產生微小區段,並將tcp標頭置入另一封包區段,以繞過檢查
類似dos的TearDrop攻擊,若偏移量為1即丟棄

ps:
約1983年於路由器同時出現

… 

SPI(stateful packet-inspection,狀態記憶式封包檢查)
又稱dynamic packet filter(動態封包過濾)
判斷依據:connection state table(連線狀態表)
根據一組和封包過濾器類似的規則組決定封包的通行
會追蹤每一條連線的狀態,依連線需求動態開啟或關閉連接埠
只有當進入的封包與連線狀態表的任一資料相符時,才允許進入的流量使用
ex:依據SYN,ACK,序號,其他TCP標頭所含資料
優點:
 依據連線狀態表(含可連port及ip)
 可有效防堵假冒己存在連線封包(因假冒連線不會在記錄在表中)
 不會隨便讓ack封包通過,可分辦那些ACK封包是真的或假的
 可針對特定封包類型深入檢查其資料
缺點:
 允許不可信任主機與可信任主機間直接連線

ps:
動態封包過濾為Bob Braden於1992年所研發,之後又演變為SPI 

…..

circuit-level gateways(電路式閘道)
運作在session layer
監控tcp handshaking判斷session是否合法
運作方式:
1先阻隔端對端的TCP連接,使用者對外部主機的連線均透過Circuit Level Gateway轉置
2連線己建立即可不需通過檢查(不過濾個別packet)就安全通過
主要是以檢查是否可在兩主機間建立連線來達成其安全要求
ex:SOCKS代理器

ps:
貝爾實驗室的Dave Presotto和Howard Trickey推出的第二代防火牆,也是應用層閘道的前身

…..

application gateways(應用層閘道)
運作在application layer,負責應用層級訊息轉送, 依OSI每一層封包資訊做存取控制決策
可以是bastion host(保壘主機),proxy gateway(代理閘道器),proxy server(代理伺服器)
常做電子郵件,FTP,telnet,HTTP等應用程式中介
可檢視每個傳入或外送訊息,並針對表頭欄位,訊息長度,內容來決定丟棄或傳輸
能執行額外身份驗證與資訊記錄,具備足夠能力可執行資料轉換,也可移除網頁中的activex或 javascripts
可建立虛擬連線自動將內部用戶端電腦的IP位址隱藏起來,不讓Interne網際網路的人知曉內部網路的架構。
優點:高安全
缺點:須額外處理每個連線效能差,缺乏透通性(完成使用者要求),無法在某些服務上做運作

…..

stateful multilayer inspection(狀態多階層檢查)
運作在application,session,network layer
缺點:high cost


…………………………………………………………………………………………………………………

DMZ(demilitarized zone,網際網路安全區)
也稱為perimeter network(鄰界網路),或routing network(選徑網路)
通常放置一些不含機密資訊的公用伺服器,比如Web、Mail、FTP等
外網的訪問者可以訪問DMZ中的服務,但不能 接觸到內網中的公司機密或私人資訊等
即使DMZ中伺服器受到破壞,也不會對內網中的機密資訊造成影響
所能達到的最高安全境界是阻擋任何從internet直接到 intranet的資料,及從intranet直接到internet的資料,雙方都需透過dmz
可以nat當成內部路由器,增加駭客刺探內部網 路的困難度

佈署架構
Dual-Homed Host(雙介面主機):進出皆透過一個防火牆
screening router(單一路由器防火牆): 路由器內建封包過濾器
Screened Host Gateway(屏障式閘道器防火牆):外部封包過濾路由器+應用閘道器
有分single-homed bastion及dual-homed bastion
Screened Subnet(屏障式子網防火牆):一般架構,外部封包過濾路由器+應用閘道器+內部封包過濾路由器
Belt & Suspenders(雙屏障式子網防火牆):屏障式子網的延伸,太過保護效率低


…………………………………………………………………………………………………………

firewall identification
port scanning:tool有nmap,…等
firewalking:藉由 send一些pakcet看是否被阻擋,tool有firewalk
banner grabbing:tool有telnet,…等

breaching firewalls:
insider
vulnerable services
vulnerable external server
hijacking connections

影響 firewall作法
使用tunnel,通常用以下方法
bypassing a firewall using http tunnel:tool有httptunnel
placing backdoors through firewall
hiding behind a covert channel:tool有loki,ncovert
ack tunneling:在ack裡包一些資料
使用tor突破firewall
使用socks 協定突破firewall,通常使用tcp1080

ps
loki:運用icmp傳指令的backdoor,方式是將指令放進icmp的payload裡
ncovert:透過特殊方法隱藏傳送中的檔案和ip

突破firewall tool
007shell
icmp shell
ack cmd
covert_tcp

firewall,ids test tool
ftester(firewall tester)
traffic iq professional
nides(next-generation intrusion detection expert system),第一個perl寫的
secure host
snare
tcpopera:可以對設備測payload
firewall informer