您当前的位置 >> 首页     

透过不同结构的防火墙放置后门

/ns/wz/sys/data/20030803223535.htm

这篇文章描述了透过不同结构的防火墙放置后门。不管怎样,这篇文章也能告诉你在其它环境中,黑客是怎样掩饰他们进入一个系统的。 黑客总想保留进入他们已经攻破的系统的能力,即使目标主机更新了防火墙或修复了已知弱点。要实现这一点,攻击者必须要安装一个后门,而且它一定能工作并且不容易被发现。后门的种类要视目标主机的防火墙的类型而定。 作为一个机关和proof-of-concept,一个好的后门对于任何入侵方法都有效。 防火墙结构: 这里将提到两个基本的防火墙结构并且每一个都有一个增强版本。 包过滤: 这是基于主机或路由器的,它依照允许/拒绝的规则在包穿过正确的界面之前检查每一个包。有非常简单的一种它只能过滤源主机,目的主机和目的端口,还有一种也能决定基于界面,源端口,时间和简单的tcp/ip 标志。这可以是一个简单的路由器,(任何CISCO类型),或是一个打开防火墙功能的LINUX 主机。 正式的过滤器(Stateful Filters): 这是包过滤的增强版本。它仍然依照规则对包进行同样的检查且只对允许的包进行路由,但它也记录诸如IP序列号这样的信息。应用协议允许欺骗诸如在内部网中为被指定在特定FTP会话的ftp-data通道而打开的端口。这些过滤器能(或多或少的)使UDP包(DNS,RPC)安全的通过防火墙。(这是因为 UDP不是面向连接的协议。并且对RPC服务更是如此)这可以是一个大型的带IP包过滤的OpenBSD主机,一个CISCO PIX,堡垒主机,或者是著名的Checkpoint FW-1(一个防火墙程序)。 代理/电路级网关: 一个代理防火墙主机可以是任何没有路由功能的但有代理功能的服务器。代理服务器可用来代理WWW服务请求,一个发送邮件中继或就是一个SOCKD。 应用网关: 这是代理服务器的增强版本。就象一个代理服务器,一个起代理作用的程序被安装后,每个应用都将以被代理的方式通过防火墙。不管怎样,应用网关很实用并且检查每一个请求和应答,比如一个FTP会话可以单向传输数据但不能双向传输数据,并且下载后数据没有病毒,应答时没有缓冲区溢出发生等等。有人会说SQUID是一个应用网关,因为它做许多安全的检查且它让你过滤一切,但它并不是为在安全环境中的设备所编写的,它还有许多bug. 对此,一个好的免费软件包是TIS防火墙工具包。 提供商在市场上卖的防火墙,许多都是复合型的,这意味这它们有比单一型多的功能;比如IBM防火墙是一个简单的带SOCKS的包过滤和一些代理功能的防火墙。 我不想说那一个防火墙是最好的,因为本文不是一篇如何购买防火墙的文章,但我要说,到目前为止应用网关是最安全的,尽管(因为)价钱,速度,附加协议,开放网络策略等原因,愚蠢的经销商,笨拙的管理部门可能不考虑它们。 进一步 在我们讨论后门是什么之前,我们将弄明白怎样在第一时间穿过防火墙。注意,穿过防火墙对于哪些 “script- kiddies”(注:真正的HACKER对那些只会模仿的--水平低下的年青人的谑称)来说并不是很容易的事,这必须经过仔细而周密的计划。 有4种可能性: 内部的人:有一些人在公司的内部(你,男/女朋友,同居者)由他们安装后门,这是最简单的方法。 易受攻击的服务: 几乎所有的网络都提供各种各样的服务,象邮件发送服务,WWW,DNS,这些服务可能由防火墙主机本身提供,或在DZM的主机(这区域在防火墙前端,常常不受防火墙保护),内部主机提供。如果一个攻击者能在这些服务中找到漏洞,他已得到了进入系统的大好机会。你可能在笑,如果你看到有许多防火墙在运行邮件中继... 易受攻击的外部服务: 在防火墙后面的人有时工作在外部主机。如果一个攻击者能黑了这些外部主机,他能导致对系统的严重的损害,比如,如果目标主机通过X中继或sshd使用它(外部主机)将导致X攻击。攻击者也能发送伪装的 FTP 应答使FTP客户端程序的缓冲区产生溢出,在WEB服务器端替换一个GIF图象使netscape死机并且执行一个命令(我从没有检查过它是否真的工作,netscape是否死机,YEAH,但我不知道它是不是一个可利用的溢出 ). 有许多可能性,但需要一些公司的信息。不管怎样,通常一个公司内部的WEB服务器是一个好的开端。
一些防火墙被设置成可以允许从一些机器上用TELNET连接,因此任何人能嗅探并得到它。对于美国这是特别的事实,在那里大学院校和工业部门/军队共同工作。 截获连接: 许多公司认为他们如果在一些安全认证的基础上比如SecureID(安全?)允许TELNET进入,他们是安全的。任何人能在认证结束后截获这些(安全认证)并进入...其它截获连接的方法是修改协议启用时的应答用来产生一个溢出(X). 后门: 许多事情可以用一个特洛依木马。它可以是一个GZIP文件,它产生一个缓冲区溢出(需要一个老版本的 GZIP才能安装),一个TAR文件窜改 ~/.LOGOUT 执行一些命令,或修改一个可执行的或源代码使攻击者以某种方式进入。

著:van Hauser / THC << vh@reptile.rug.ac.be >>

=========================
文章类型:转载 提交:秋阳 核查:NetDemon

关于我们 | 加入我们 | 网站结构 | 交换连接 | 联系我们

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Network Security Group.
All Rights Reserved.
W3C XHTML 1.0 Strict & CSS 1.2 Valid.