防火牆的基本概念:避免入侵者進入,防止機密資料外洩
設計目標:
所有由內到外或由外到內的流量需經防火牆
經過授權才可通過
對入侵具有免疫力
ps:70%的攻擊是來自防火牆內部
防火牆一般架構:外部封包過濾路由器+應用閘道器+內部封包過濾路由器
防火牆主要技術:服務監控,方向監控,使用者監控,行為監控
防火牆主要種類:封包過濾,應用程式閘道器,電路層閘道器,狀態記憶體封包檢查引擊
額外功能:nat,vpn,稽核記錄,熱備援hotstandby,認證,Traffic Shaping(頻寬管理)
…………………………………………………………………………
firewall
hardward firewall
ex:
Netscreen
Cisco Pix Firewall
software firewall
ex:
ipfw/natd 防護bsd
netfilter/iptables 防護linux
wf/ics 防護windows
……………….
types of firewalls:
packet filters
SPI
circuit level gateways
application level gateways
stateful multilayer inspection firewalls
比較如下
packet filitering
可依ip,protocol,port過濾資料
無法判斷連線是否合法
無法對應用層的資料做處理
SPI
包含packet filter功能
可用連線狀態表,判斷該判斷連線是否合法
無法對應用層的資料做處理
application gateways
包含SPI功能
可看到每個封包內容,因此可對應用層的資料做處理
…
packet filitering(封包過濾)
運作在network layer
判斷依據:來源與目地端ip,來源和目地port,protocol(TCP,UDP,ICMP),介面
優點:low cost,對網路效能影響小,most routers support
缺點:相較其他類型firewall較不安全,無法檢視上層資料,允許和不可信任主機直接連線,擴充性差,可能遭到假冒攻擊,會允許所有ack封包通過
封包過濾策略有:
開放型網路:只擋掉幾種不要的封包
封閉型網路:只讓幾種事先核准的封包過通
封包過濾器可反制
a.ip位址偽裝:封包來源ip偽裝為內部主機ip時,丟棄封包
b.來源路徑攻擊:
c.細微區段攻擊法:切割ip封包這個選擇性欄位,產生微小區段,並將tcp標頭置入另一封包區段,以繞過檢查
類似dos的TearDrop攻擊,若偏移量為1即丟棄
ps:
約1983年於路由器同時出現
…
SPI(stateful packet-inspection,狀態記憶式封包檢查)
又稱dynamic packet filter(動態封包過濾)
判斷依據:connection state table(連線狀態表)
根據一組和封包過濾器類似的規則組決定封包的通行
會追蹤每一條連線的狀態,依連線需求動態開啟或關閉連接埠
只有當進入的封包與連線狀態表的任一資料相符時,才允許進入的流量使用
ex:依據SYN,ACK,序號,其他TCP標頭所含資料
優點:
依據連線狀態表(含可連port及ip)
可有效防堵假冒己存在連線封包(因假冒連線不會在記錄在表中)
不會隨便讓ack封包通過,可分辦那些ACK封包是真的或假的
可針對特定封包類型深入檢查其資料
缺點:
允許不可信任主機與可信任主機間直接連線
ps:
動態封包過濾為Bob Braden於1992年所研發,之後又演變為SPI
…..
circuit-level gateways(電路式閘道)
運作在session layer
監控tcp handshaking判斷session是否合法
運作方式:
1先阻隔端對端的TCP連接,使用者對外部主機的連線均透過Circuit Level Gateway轉置
2連線己建立即可不需通過檢查(不過濾個別packet)就安全通過
主要是以檢查是否可在兩主機間建立連線來達成其安全要求
ex:SOCKS代理器
ps:
貝爾實驗室的Dave Presotto和Howard Trickey推出的第二代防火牆,也是應用層閘道的前身
…..
application gateways(應用層閘道)
運作在application layer,負責應用層級訊息轉送, 依OSI每一層封包資訊做存取控制決策
可以是bastion host(保壘主機),proxy gateway(代理閘道器),proxy server(代理伺服器)
常做電子郵件,FTP,telnet,HTTP等應用程式中介
可檢視每個傳入或外送訊息,並針對表頭欄位,訊息長度,內容來決定丟棄或傳輸
能執行額外身份驗證與資訊記錄,具備足夠能力可執行資料轉換,也可移除網頁中的activex或 javascripts
可建立虛擬連線自動將內部用戶端電腦的IP位址隱藏起來,不讓Interne網際網路的人知曉內部網路的架構。
優點:高安全
缺點:須額外處理每個連線效能差,缺乏透通性(完成使用者要求),無法在某些服務上做運作
…..
stateful multilayer inspection(狀態多階層檢查)
運作在application,session,network layer
缺點:high cost
…………………………………………………………………………………………………………………
DMZ(demilitarized zone,網際網路安全區)
也稱為perimeter network(鄰界網路),或routing network(選徑網路)
通常放置一些不含機密資訊的公用伺服器,比如Web、Mail、FTP等
外網的訪問者可以訪問DMZ中的服務,但不能 接觸到內網中的公司機密或私人資訊等
即使DMZ中伺服器受到破壞,也不會對內網中的機密資訊造成影響
所能達到的最高安全境界是阻擋任何從internet直接到 intranet的資料,及從intranet直接到internet的資料,雙方都需透過dmz
可以nat當成內部路由器,增加駭客刺探內部網 路的困難度
佈署架構
Dual-Homed Host(雙介面主機):進出皆透過一個防火牆
screening router(單一路由器防火牆): 路由器內建封包過濾器
Screened Host Gateway(屏障式閘道器防火牆):外部封包過濾路由器+應用閘道器
有分single-homed bastion及dual-homed bastion
Screened Subnet(屏障式子網防火牆):一般架構,外部封包過濾路由器+應用閘道器+內部封包過濾路由器
Belt & Suspenders(雙屏障式子網防火牆):屏障式子網的延伸,太過保護效率低
…………………………………………………………………………………………………………
firewall identification
port scanning:tool有nmap,…等
firewalking:藉由 send一些pakcet看是否被阻擋,tool有firewalk
banner grabbing:tool有telnet,…等
breaching firewalls:
insider
vulnerable services
vulnerable external server
hijacking connections
影響 firewall作法
使用tunnel,通常用以下方法
bypassing a firewall using http tunnel:tool有httptunnel
placing backdoors through firewall
hiding behind a covert channel:tool有loki,ncovert
ack tunneling:在ack裡包一些資料
使用tor突破firewall
使用socks 協定突破firewall,通常使用tcp1080
ps
loki:運用icmp傳指令的backdoor,方式是將指令放進icmp的payload裡
ncovert:透過特殊方法隱藏傳送中的檔案和ip
突破firewall tool
007shell
icmp shell
ack cmd
covert_tcp
…
firewall,ids test tool
ftester(firewall tester)
traffic iq professional
nides(next-generation intrusion detection expert system),第一個perl寫的
secure host
snare
tcpopera:可以對設備測payload
firewall informer