Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Взлом и защита » Для новичков
Страницы: 1
RSS
Хелп. Обход Фаерволла.
 
#1
Это нравится:0Да/0Нет
13.10.2010 14:02:59
Доброго времени суток!
Пишу диплом на тему Инф. Безопасности.
И столкнулся с такой проблемой:
Обосновать наличие NIDS Snort в сети, перед Фаерволлом.  :?:
Вижу практическое решение, нужно обойти фаерволл (не важно какой, только не Agnitum Outpost Firewall Pro версия 1.0 =) ) из внешний сети без установленного сенсора Snort.
Есть полноценная литература? Совет был бы супер.
Пытаюсь реализовать набором прог BackTrack  8)
 
 
 
#2
Это нравится:0Да/0Нет
14.10.2010 10:47:06
Еще раз и членораздельнее.
Цитата
Sp1nal пишет:
Обосновать наличие NIDS Snort в сети, перед Фаерволлом.
"Обосновать наличие" - это вопрос или утверждение? Или другими словами, обнаружить или обосновать установку?
Цитата
Sp1nal пишет:
Вижу практическое решение, нужно обойти фаерволл из внешний сети без установленного сенсора Snort.
Если видите, то и прекрасно. В чем вопрос? В том, где взять одей эксплоит?
 
 
 
#3
Это нравится:0Да/0Нет
14.10.2010 10:53:28
скорее всего тебе придётся использовать что то похожее на соц инженерию (прислать кому то из внутренней сети письмо счастья или отправить пользователя на страницу со скриптов) и потом на пользователе поднять какой либо прокси-сервер.
и следовательно обоснование будет аля: "нет ничего совершенного. легальный трафик по http (разрешённый в firewall`е) и POP3 (разрешённый в firewall`е) дал возможность зайти злоумышленнику в нашу сеть" и дальше в зависимости от того про какое правило в snort`е будешь рассказывать, про то и лепи сказочную историю.
 
 
 
#4
Это нравится:0Да/0Нет
14.10.2010 15:58:27
IDS внутри сети ставится для отслеживания инсайд атак (ДМЗ-ДМЗ, ЛОКАЛКА-ДМЗ).
Или если, например, используется VPN шлюз на пограничном роутере.
Из Вашего описания непонятно, чего от Вас хотят. Зависит от темы дипломной.
 
 
 
#5
Это нравится:0Да/0Нет
15.10.2010 00:58:31
Цитата
Sp1nal пишет:
Обосновать наличие NIDS Snort в сети, перед Фаерволлом.
Цитата
RU_LIDS пишет:
"Обосновать наличие" - это вопрос или утверждение? Или другими словами, обнаружить или обосновать установку?
Да. Обосновать установку в периметре сети перед фаерволлом.
Если в сети присутствует фаервол то собственно нужна ли необходимость устанавливать сенсор?... Вот на этот вопрос нужно дать обоснование, привести доводы.


Цитата
Sp1nal пишет:
Вижу практическое решение, нужно обойти фаерволл из внешний сети без установленного сенсора Snort.
Цитата
RU_LIDS пишет:
Если видите, то и прекрасно. В чем вопрос? В том, где взять одей эксплоит?
Эксплоит, литературу, инфу.... совет ;) ... не от чего не откажусь ))))
Так как фаерволл на периметре сети это что то новенькое и необузданное  :)


Цитата
[mad]Mega пишет:
скорее всего тебе придётся использовать что то похожее на соц инженерию (прислать кому то из внутренней сети письмо счастья или отправить пользователя на страницу со скриптов) и потом на пользователе поднять какой либо прокси-сервер.
И следовательно обоснование будет аля: "нет ничего совершенного. легальный трафик по http (разрешённый в firewall`е) и POP3 (разрешённый в firewall`е) дал возможность зайти злоумышленнику в нашу сеть" и дальше в зависимости от того про какое правило в snort`е будешь рассказывать, про то и лепи сказочную историю.
Это как альтернатива...
Сделать инжект в доверенный процесс... м.б... надо думать.
Но согласись.. когда раскурочивают фаерволл, то хочется от этого уберечься?  8)


Цитата
Alexey Sintsov пишет:
IDS внутри сети ставится для отслеживания инсайд атак (ДМЗ-ДМЗ, ЛОКАЛКА-ДМЗ).

Или если, например, используется VPN шлюз на пограничном роутере.

Из Вашего описания непонятно, чего от Вас хотят. Зависит от темы дипломной.
Пока что ( по ходу дела можно будет изменить защищаемые объекты информатизации, будет зависит как дела пойдут ) цель в дипломе, защитить HTTP и SQL сервера от удалённых атак и слива инфы.
Здесь не тема, а то что я решил писать про средство защиты информации с открытым исходным кодом.
Вот и приходиться решать определённые запары.


Тут есть интересное начало:
https://x@kepy.cc/showthread.php?t=66863&p=355653&viewfull=1#post355653

Но и отсюда есть что покурить:
  • _http://www.xakep.ru/magazine/xa/094/042/1.asp
  • _http://www2.packetstormsecurity.org/cgi-bin/search/search.cgi?searchvalue=Kaspersky+Anti-Hacker&type=archives&[search].x=21&[search].y=5
  • _http://dinamit.easyforum.ru/viewtopic.php?id=28
  • _https://x@kepy.cc/showthread.php?t=54521&highlight=firewall
  • _https://x@kepy.cc/showthread.php?t=66210
  • _https://x@kepy.cc/showthread.php?t=66210
  • _http://www.xakep.ru/post/20246/default.asp
  • _http://www.securitylab.ru/contest/212116.php
  • _http://www.wasm.ru/article.php?article=outpostk
  • _http://www.xakep.ru/post/12058/default.asp
  • _http://www.xakep.ru/post/28354/default.asp
  • _http://www.xakep.ru/post/28048/default.asp
  • _http://www.xakep.ru/post/35541/default.asp
  • _http://www.xakep.ru/magazine/xs/047/074/1.asp
  • _http://www.xakep.ru/magazine/xs/048/040/2.asp
  • _http://www.xakep.ru/magazine/xa/054/068/1.asp
  • _http://www.opennet.ru/opennews/art.shtml?num=24832
  • _http://bugtraq.ru/library/security/luka/firewall2.html
  • _http://bugtraq.ru/rsn/archive/2005/09/07.html
  • _http://itsecure.org.ua/publ/11-1-0-241
  • _http://www.xakep.ru/magazine/xa/072/112/1.asp
  • _http://www.xakep.ru/magazine/xs/048/040/1.asp
  • _http://www.wasm.ru/article.php?article=fwb
  • _http://www.wasm.ru/print.php?article=sasapi
  • _http://www.wasm.ru/forum/viewtopic.php?pid=287762
:o
Изменено: Sp1nal - 15.10.2010 01:09:47
 
 
 
#6
Это нравится:0Да/0Нет
15.10.2010 01:51:23
... я бы сказал, что есть отличия между ними в том, что фаер работает на основании предустановленных правил\шаблонов... это знают и нарушители.
С помощью IDS\NIDS системы можно и нужно уметь определять попытки обхода шаблонов фаерволла и его правил. Манипуляций для его обмана.
Это коротко и своими словами, поскольку учёных степеней не имею и в данной среде совсем недавно. :|  Ведь фраза "Обход фаерволла - звучит очень явно". Фаерволл можно обойти, а как узнать, что его обошли, когда это сделали, какими средствами?
Почитать думаю можно:
Стивен Норткат - Анализ типовых нарушений безопасности в сетях,
Стивен Норкат - Обнаружение нарушений безопасности в сетях.
Извините за расплывчатые формулировки, если что. Обе книги есть в сети.
 
 
 
#7
Это нравится:0Да/0Нет
15.10.2010 14:23:28
Цитата
Sp1nal пишет:
Так как фаерволл на периметре сети это что то новенькое и необузданное
Что означает эта фраза?!! Вы хотите сказать, что локальная сеть не должна отделяться от глобальной файерволом? Это действительно "необузданно"!
Цитата
Sp1nal пишет:
цель в дипломе, защитить HTTP и SQL сервера от удалённых атак и слива инфы.
Если Вам нужно контролировать защиту DMZ, то Снорт нужно ставить внутри DMZ. Потому что неавторизованныей доступ, как правило, осуществлятся инсайдерами, либо внешним злоумышленником, но через эксплуатацию компа из локальной сети. От удаленного злоумышленника DMZ защишается сильно, а взлом шлюза с файерволом, как правило проблематичен.
Если у Вас стоит задача контроля шлюза с файерволом, то сенсоры нужно ставить и снаружи и внутри, что бы видеть картину в целом. Ведь внешний сенсор не будет видить источник нелегетимного трафика, который, возможно, всего лишь транслируется шлюзом из локальной сети.
Изменено: RU_LIDS - 15.10.2010 14:24:00
 
 
 
#8
Это нравится:0Да/0Нет
15.10.2010 20:31:47
Цитата
Sp1nal пишет:
Так как фаерволл на периметре сети это что то новенькое и необузданное
Цитата
RU_LIDS пишет:
Что означает эта фраза?!! Вы хотите сказать, что локальная сеть не должна отделяться от глобальной файерволом? Это действительно "необузданно"!
Приношу свои извинения. Хотел сказать: Так как фаерволл на периметре сети это что то новенькое и необузданное для меня.
Т.к. не являюсь профи в области сетевой безопасности, то для меня фаерволл это:
1. прикрытие определенных портов. TCP/UDP.
2. контроля вх\исх трафика ( по определенным правилам ) от конкретных приложений.
3. Работает в основном на сетевом, транспортном и прикладном уровни модели OSI ( отсюда ICMP, ARP, HTTP etc ), ну и на канальном немного ( подмена mac адреса ). В отличии от Snort, который может охватывать все уровни ( по моему кроме физического ).
4. Прячет определённые сегменты сети от других сегментов или от внешний сети.
5. Использует фильтр пакетов. Фильтр заголовков но не фильтр данных пакета. В отличии от Snort'a.
Если что то упустил из виду поправьте.

А вот что касается структурирования сети с фаерволлом и подробное описание функций фаерволла (и что он в точности делает) на различных местах в сети, в этом то как раз таки что то новое и не обузданное.
 


Цитата
RU_LIDS пишет:
Если Вам нужно контролировать защиту DMZ, то Снорт нужно ставить внутри DMZ. Потому что неавторизованныей доступ, как правило, осуществлятся инсайдерами, либо внешним злоумышленником, но через эксплуатацию компа из локальной сети.

(1)


(2)


Так понимаю первый вариант?

Цитата
Nith пишет:
Фаерволл можно обойти, а как узнать, что его обошли, когда это сделали, какими средствами?
Думаю часть работы будет посвящена именно этому. С помощью Snort'a выявить атаку на фаерволл. А если она была удачной и не была детектирована, то по логам выяснить как происходило всё.
"Сломать и починить".

Цитата
Nith пишет:
Почитать думаю можно:
Стивен Норткат - Анализ типовых нарушений безопасности в сетях,
Стивен Норкат - Обнаружение нарушений безопасности в сетях.
Благодарю за литературу. Пригодиться.
Пока что нашел только, Стивен Норткат - Обнаружение нарушений безопасности в сетях.

Пойду переваривать информацию...и читать недочитанное и разбирать не разобранное..
... а то скоро кашка-малашка начнется.
Изменено: Sp1nal - 16.10.2010 16:35:53
 
 
 
#9
Это нравится:0Да/0Нет
17.10.2010 14:53:06
Код
Думаю часть работы будет посвящена именно этому. С помощью Snort'a выявить атаку на фаерволл. А если она была удачной и не была детектирована, то по логам выяснить как происходило всё.
"Сломать и починить".


Snort, размещённый перед FW, у Вас решает задачи выявления и уточнения природы сетевых аномалий, а непосредственно FW - блокирование реализации соответствующих угроз, которые их породили. Другой вопрос, что многие продукты в настоящее время интегрируют модули IDS/FW в совокупный продукт (например, Cisco IOS Firewall Intrusion Detection System).
 
 
 
Страницы: 1
Читают тему