防火墙的安全性分析与配置指南(2)

发表于:2007-06-23来源:作者:点击数: 标签:
防火墙的安全性分析与配置指南 5.非法攻击防火墙的基本“招数” a.通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值得一试。下面我们以数据包过滤防火墙为例,简

   
  防火墙的安全性分析与配置指南
  5.非法攻击防火墙的基本“招数”

  a.通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值得一试。下面我们以数据包过滤防火墙为例,简要描述可能的攻击过程。

  这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件,而这恰恰是实施攻击的突破口。许多防火墙软件无法识别数据包到底来自哪个网络接口,因此攻击者无需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地址缺乏识别和验证的机制。

  通常主机A与主机B的TCP连接(中间有或无防火墙) 是通过主机A向主机B提出请求建立起来的, 而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初始序列号ISN。

  具体分三个步骤:

  1.主机A产生它的ISN,传送给主机B,请求建立连接;

  2.B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息ACK一同返回给A;

  3. A再将B传送来的ISN及应答信息ACK返回给B。

  至此,正常情况,主机A与B的TCP连接就建立起来了。

  IP地址欺骗攻击的第一步是切断可信赖主机。

  这样可以使用TCP淹没攻击(TCPSynFloodAttack) ,使得信赖主机处于"自顾不暇"忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障, 只能发出无法建立连接的RST包而无暇顾及其他。

  攻击者最关心的是猜测目标主机的ISN。为此,可以利用SMTP的端口(25),通常它是开放的,邮件能够通过这个端口,与目标主机打开(Open) 一个TCP连接,因而得到它的ISN。在此有效期间,重复这一过程若干次,以便能够猜测和确定ISN的产生和变化规律,这样就可以使用被切断的可信赖主机的IP地址向目标主机发出连接请求。请求发出后,目标主机会认为它是TCP连接的请求者,从而给信赖主机发送响应(包括SYN) ,而信赖主机目前仍忙于处理Flood淹没攻击产生的"合法"请求,因此目标主机不能得到来自于信赖主机的响应。

  现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主机。

  随着不断地纠正预测的ISN, 攻击者最终会与目标主机建立一个会晤。通过这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网络。

  归纳起来,防火墙安全防护面临威胁的几个主要原因有:SOCK的错误配置;不适当的安全政策; 强力攻击;允许匿名的FTP协议;允许TFTP协议;允许Rlogin命令;允许X-Windows或OpenWindows;端口映射;可加载的NFS协议;允许Win95/NT文件共享;Open端口。

  b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的职能,处于失效状态。

  C.需要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后,随意访问被严格禁止了, 这样内部人员无法在闲暇的时间通过Te.net浏览邮件或使用FTP向外发 送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,因此不仅涉及网络安全,还涉及主机安全问题。

  以上分析表明,防火墙的安全防护性能依赖的因素很多。防火墙并非万能,它最多只能防护经过其本身的非法访问和攻击,而对不经防火墙的访问和攻击则无能为力。从技术来讲,绕过防火墙进入网络并非不可能。

  目前大多数防火墙都是基于路由器的数据包分组过滤类型,防护能力差,存在各种网络外部或网络内部攻击防火墙的技术手段。

原文转自:http://www.ltesting.net