CEH v10

[CEH-Module 12] Phần 5: Trốn tránh tường lửa, Đối phó trốn tránh

Posted on by Thiên Phong

Trốn tránh tường lửa

Nhận dạng tường lửa

Nhận dạng tường lửa là việc firewall fingerprinting để lấy thông tin nhạy cảm như các cổng đang mở, thông tin phiên bản của dịch vụ đang chạy, v.v. Thông tin này được trích xuất bằng các kỹ thuật khác nhau như Port scanning, Fire-walking, Banner grabbing.

Port Scanning

Quét cổng là quy trình kiểm tra để xác định các cổng đang mở. Việc quét cổng không phải lúc nào cũng dẫn đến một cuộc tấn công, tuy nhiên nó dùng để trinh sát mạng có thể được sử dụng trước một cuộc tấn công để thu thập thông tin. Trong trường hợp này, các gói đặc biệt được chuyển đến một máy chủ, mà phản hồi của nó được kẻ tấn công kiểm tra để lấy thông tin về các cổng đang mở.

Fire-walking

Fire-walking là kỹ thuật trong đó kẻ tấn công sử dụng gói ICMP tìm ra vị trí của tường lửa và bản đồ mạng bằng cách thăm dò yêu cầu ICMP echo với các giá trị TTL vượt quá từng cái một. Nó giúp kẻ tấn công tìm ra số bước nhảy.

Banner Grabbing

Lấy biểu ngữ là kỹ thuật trong đó thông tin từ biểu ngữ được lấy. Các thiết bị khác nhau như bộ định tuyến, tường lửa và máy chủ web thậm chí còn hiển thị biểu ngữ trong bảng điều khiển sau khi đăng nhập qua FTP, telnet. Thông tin nhà cung cấp cho thiết bị mục tiêu và phiên bản chương trình cơ sở có thể được trích xuất từ biểu ngữ.

Giả mạo địa chỉ IP

Như đã định nghĩa trước đó, IP Spoofing là kỹ thuật được sử dụng để truy cập trái phép vào các máy bằng cách giả mạo địa chỉ IP. Kẻ tấn công mạo danh bất kỳ máy người dùng nào bằng cách gửi các gói IP bị thao túng với địa chỉ IP giả mạo. Quy trình giả mạo liên quan đến việc sửa đổi tiêu đề với địa chỉ IP nguồn giả mạo, tổng kiểm tra và các giá trị thứ tự.

Định tuyến nguồn

Định tuyến nguồn là kỹ thuật gửi gói tin qua tuyến đường đã chọn. Trong Session Hijacking, kỹ thuật này được sử dụng để cố gắng giả mạo IP như một máy chủ hợp pháp và hướng lưu lượng truy cập qua đường dẫn giống với đường dẫn của nạn nhân.

Các kỹ thuật Bypassing

Bỏ qua các trang web bị chặn bằng địa chỉ IP

Trong kỹ thuật này, trang web bị chặn trong mạng được truy cập bằng địa chỉ IP. Hãy xem xét tường lửa chặn lưu lượng đến dành cho một miền cụ thể. Nó có thể được truy cập bằng cách nhập địa chỉ IP vào URL thay vì nhập tên miền trừ khi địa chỉ IP cũng bị cấu hình trong danh sách kiểm soát truy cập.

Bỏ qua các trang web bị chặn bằng proxy

Việc truy cập các trang web bị chặn bằng proxy là rất phổ biến. Có rất nhiều giải pháp proxy trực tuyến có sẵn để ẩn địa chỉ IP thực của bạn để cho phép truy cập các trang web bị hạn chế.

Vượt tường lửa thông qua đường hầm ICMP

ICMP tunneling là phương pháp tự ý đưa dữ liệu vào trọng tải của gói echo và chuyển tiếp đến máy chủ đích. Các chức năng của đường hầm ICMP là các gói ICMP echo yêu cầu và trả lời. Về cơ bản, giao tiếp TCP được đào hầm qua yêu cầu ping và trả lời vì trường trọng tải của gói ICMP không được hầu hết các tường lửa kiểm tra, trong khi một số quản trị viên mạng cho phép ICMP vì mục đích khắc phục sự cố.

Vượt tường lửa thông qua đường hầm HTTP

HTTP tunneling là một cách khác để vượt qua tường lửa. Hãy xem xét một công ty có lưu lượng truy cập máy chủ web lắng nghe trên cổng 80 cho lưu lượng truy cập HTTP. HTTP tunneling cho phép kẻ tấn công bỏ qua các hạn chế của tường lửa bằng cách đóng gói dữ liệu trong lưu lượng HTTP. Tường lửa sẽ cho phép cổng 80 và kẻ tấn công có thể thực hiện các tác vụ ẩn trong HTTP, chẳng hạn như sử dụng FTP qua giao thức HTTP.

Một số công cụ HTTP Tunneling:

  • HTTPort
  • HTTHost
  • Super Network Tunnel
  • HTTP-Tunnel

Vượt tường lửa thông qua đường hầm SSH

OpenSSH là một giao thức mã hóa được sử dụng để bảo mật lưu lượng truy cập khỏi các mối đe dọa và tấn công khác nhau như nghe trộm, chiếm quyền điều khiển, v.v. Kết nối SSH chủ yếu được các ứng dụng sử dụng để kết nối với các máy chủ ứng dụng. Kẻ tấn công sử dụng OpenSSH để mã hóa lưu lượng nhằm tránh bị các thiết bị bảo mật phát hiện.

Tấn công qua hệ thống bên ngoài

Vượt qua hệ thống bên ngoài là quá trình session hijacking của người dùng hợp pháp trong mạng công ty được phép kết nối với mạng bên ngoài. Kẻ tấn công có thể dễ dàng đánh hơi lưu lượng truy cập để trích xuất thông tin, đánh cắp SessionID, cookie và mạo danh để vượt tường lửa.

Kẻ tấn công cũng có thể lây nhiễm malware hoặc Trojan vào hệ thống bên ngoài được người dùng hợp pháp sử dụng để lấy cắp thông tin.

Mind Map

Các biện pháp đối phó với trốn tránh IDS/Firewall

Quản lý và ngăn chặn một kỹ thuật trốn tránh là một thách thức lớn. Có rất nhiều kỹ thuật để làm cho kẻ tấn công khó tránh khỏi bị phát hiện. Các kỹ thuật phòng thủ và giám sát này đảm bảo hệ thống phát hiện có thể bảo vệ mạng và kiểm soát nhiều lưu lượng truy cập hơn.

Một số kỹ thuật là xử lý sự cố và giám sát cơ bản, trong khi một số tập trung vào cấu hình IPS/IDS và tường lửa thích hợp. Ban đầu, hãy quan sát và khắc phục sự cố tường lửa bằng cách:

  • Quét cổng
  • Lấy biểu ngữ
  • Đi bộ trên lửa
  • Giả mạo địa chỉ IP
  • Định tuyến nguồn
  • Vượt tường lửa bằng IP trong URL
  • Cố gắng tấn công phân mảnh
  • Khắc phục sự cố hành vi sử dụng máy chủ proxy
  • Khắc phục sự cố hành vi sử dụng đường hầm ICMP

Những bước hiệu quả ngăn chặn các cuộc tấn công này:

  • Tắt các cổng không sử dụng và các cổng liên quan các cuộc tấn công đã biết
  • Thực hiện phân tích chuyên sâu
  • Thiết lập lại phiên độc hại
  • Cập nhật các bản vá
  • Triển khai IDS
  • Chuẩn hóa gói phân mảnh
  • Tăng thời hạn TTL, chặn gói TTL hết hạn
  • Tập hợp lại gói tại IDS
  • Tăng cường bảo mật
  • Thực thi các chính sách
Thiên Phong

Người mà bạn trông đợi, chỉ có mình bản thân bạn mà thôi! There is a crack in everything, that's where the light gets in. Dám thử thách, bước ra khỏi vùng an toàn, may mắn sẽ tới.

Leave a Reply

This site uses cookies to offer you a better browsing experience. By browsing this website, you agree to our use of cookies.
More info Accept