firewall

syntax

New member
firewall

שלום, הגדרתי firewall אצלי ברשת (smoothwall מבוסס לינוקס ) פתחתי את פורט 80 בשביל IIS ואני לא מבין מה עכשיו חסום אצלי כי לכאורה פתחתי את הרשת לעולם דרך הפורט הזה לא??? אני יודע שזה בסיסי אבל עדיין אני לא מבין איך בעצם זה עובד. אם יש לי firewall אבל הפורט שלי פתוח לעולם אז איפה האבטחה פה? איפה הfirewall תופס את מקומו באבטחה ? זה לא אומר שאפשר לפרות לי לרשת דרך הפורט הזה???? בתודה מראש לעוזרים
 
פתחת פנימה או החוצה?

בגדול - פורט הוא קישור ישיר לתוכנה מסוימת שרצה אצלך על המחשב. כשהפורט פתוח, התוכנה מטפלת בכל המידע שמגיע דרך הפורט. כשהפורט סגור, המידע לא חודר בכלל למחשב. אבל מה קורה אם הפורט פתוח ואין אף תוכנה שמחכה למידע? תוקף יכול לנצל מצב כזה כדי ליצר זרם מידע שייתן לו שליטה על המחשב, במקרה הגרוע. אם יש תוכנה שמאזינה לפורט, היא אמורה לטפל בכל מידע שמגיע אליה, מבלי לאפשר למידע הזה לזלוג לשאר המערכת. זה בגדול מאוד. בפועל המצב מסובך יותר - פיירוול איכותי יאזין גם לפורט פתוח, ויחפש הן תבניות תקיפה מוכרות והן אנומליות בזרימת המידע דרך הפורט. מצד שני לרוב התוכנות שתפקידן להאזין לפורט מסוים (כמו IIS) יש באמת פגיעויות שתוקף יכול לנצל. אז לשאלתך, בקיצור נמרץ - הפיירוול ששמת זה רק השלב הראשון. השלב הבא זה לחסום גם את פורט 80, להחליף את IIS באפאצ'י, לוודא שהוא בכלל מותקן על מחשב אחר ולא על המחשב שלך*, לוודא שעל המחשב שלך יש עדכוני אבטחה מעודכנים, ולקוות לטוב. *זו אחת הסיבות (סיבה משנית אמנם, אך בכל זאת) שאנשים משתמשים בשירותי אירוח לאתרים הפרטיים שלהם, במקום להריץ אותם מהמחשב בבית. הסיבה העיקרית היא כמון רוחב פס, אם כי היום כשהוט מציעה עסקת 2/1 בפחות מ300 ש"ח, ובזק בינלאומי נותנת לזה שירות בכ60$, רוחב פס כבר אינו המכשלה הנוראית שהיה.
 

Kiru

New member
איך בעצם?

בהנחה שאין איזשהו סוס טרויאני או so-called תוכנת שרת קטנה במחשב הניפרץ, איך אפשר לפרוץ דרך פורט שאף אחד לא מקשיב למידע שזורם בו? אני לא מחפש הנחיות פריצה כמובן, רק להבין איך זה מתרחש.
 

Kiru

New member
ובמחשבה שניה

זה הרי ברור איך זה יכול לקרות – ניצול של כשלי אבטחה, כמו שעשה הבלאסטר. לא?
 

jboy

New member
ידוע לך אולי איך הבלאסטר עשה את זה?

אני גם לא מחפש הנחיות פריצה כמובן, רק להבין איך זה מתרחש.
 

uzi2

Active member
אבל שם היתה תוכנה (RPCSS) שהאזינה

הפורט היה פתוח ותוכנה בשם RPCSS האזינה לתקשורת וטיפלה בה. חור אבטחה ב- RPCSS נוצל ע"י ה- MS-Blaster.
 

hananbn

New member
בתקרית הבלאסטר

נוצלה פירצת אבטחה בlsass, שמאזין על פורט 135. side effect מעצבן, שנגרם בגלל באג בתולעת בלאסטר, גרם להפעלה מחדש (סתם ידע כללי) אם המחשב לא מאזין לפורט מסויים, אזי מחשב אחר ברשת לא יכול לתקשר באותו הפורט (המידע פשוט לא יגיע לשום מקום) דוגמא מעולה היא פעילות הNAT בנתבים. בשביל לזהות איזה פורטים פתוחים על המחשב, ניתן להריץ מתוך דוס את הפקודה netstat -na . מה שמופיע בצד ימין כlistening, אלו הם פורטים פתוחים במערכת. (דרך מעולה לזהות טרויאנים פשוטים)
 

uzi2

Active member
אתה מתבלבל בין הבלאסטר לסאסר

הסאסר ניצל חור אבטחה ב- LSASS. הבלאסטר - ב- RPCSS.
 

uzi2

Active member
ועוד נקודה

ה- side effect לא היה בגלל באג בתולעת, ("חיפושית בתולעת" - מונח יפה), אלא בגלל הדרך שבה האקספלויט עבד. כלומר הדרך לשתול את הקוד המזיק, היתה דרך גרימת באפר אוברפלוו בשרות המדובר, דבר שמן הסתם גם גרם לקריסת השרות, ובברירת המחדל של מערכת ההפעלה - להפעלה מחדש שלה.
 

hananbn

New member
באג מוחלט.

ההפעלה מחדש הייתה בהחלא באג. אילולא זה, לבלאסטר לא הייתה מודעות כ"כ גבוהה. תולעת הבלאסטר שולחת בקשות לסינכרון (syn_sent) בפרוטוקול TCPIP למחשבים שנמצאים בclass B של pool הIP שלך. ב80% מהמקרים התולעות תנסה לתקוף מערכות XP, ב20% הנותרים היא תנסה לתקוף מערכות 2K. ברגע שהתולעת מנסה לנצל את הRPC של חלונות XP בחלונות 2K, וההיפך, היישום יבצע שגיאה ויסגר, מה שגורם להודעה של ההפעלה מחדש. הפעלה של הפיירוול תמנע את ההפעלה מחדש בפעם הבאה בגלל שהתולעת לא תוכל להיכנס למערכת. מה שתואר פה הוא באג שהמתכנת לא לקח בחשבון. כמו כן, אתה צודק שם, בילבלתי בין RPC לLASSAS.
 

uzi2

Active member
צודק

עכשיו תורי היה להתבלבל. במקרה ה- MS-Blaster, הקריסה באה כאשר האקספלויט לא התאים למערכת ההפעלה. לא בהכרח באג (כיוון שזה פישט את המנגנון משמעותית).
 

uzi2

Active member
יש כאן בדיון בלבול קטן

אם אף תוכנה לא מאזינה לפורט, אז הוא סגור. נקודה. אם בטבלאות מופיע שתוכנה מאזינה, אבל היא לא, אז המידע יזרק.
 
לא בהכרח, לדעתי.

אולי אני טועה בגדול, אבל אם FW לא חוסם פורט באופן מפורש, אז המצב באותו פורט לא מוגדר. כלומר, אם קיימת פגיעות במימוש הTCPIP STACK של מערכת ההפעלה, גם אם אף תוכנה לא מאזינה לפורט תוקף יכול לנצל אותו. או שאני כותב שטויות מוחלטות...
 

uzi2

Active member
אתה צודק תאורטית, וזה לא סותר

את מה שכתבתי. אפשר במידה ויש חור אבטחה ב- TCP stack לפרוץ בכפיפות לאופי חור האבטחה, ולאופי של הפיירוול. אפשר גם תאורטית לנצל חור אבטחה בפיירוול כדי לפרוץ וכל אלו גם כאשר אין האזנה לפורט המדובר. אבל זה עדיין עדיף על מצב שבו תוכנות מאזינות לפורטים המדוברים.
 

jboy

New member
את יודעת אם SMOOTHWALL הוא FW

איכותי כמו שציינת? איפה אפשר לקרוא על FW שונים , כדי לדעת איזה להתקין (אולי צקפוינט?)
 

syntax

New member
מצטרף לשאלה + עוד שאלה

האם ברגע שיש לי FIREWALL ראשי בארגון מסוג כלשהו האם אני צריך FIREWALLנוסף ונפרד ל DC שלי ? או שהFIREWALL של הרשת מכסה גם את הDC? וגם רציתי לדעת לגבי נושא מוזר - אם יש לי FIREWALL בארגון שלי ומן הסתם כל הפורטים חסומים ( למעט אלא שפתחתי במיוחד ) אז איך זה שהמסנגר שלי עובד? SKYPE? ותוכנות דומות כאלה שדורשות פתיחת פורטים ??? הרי אם יש לי FIREWALL הוא אמור לחסום את כל התוכנות הקטנות האלה שרצות על התחנות לא??
 
הדעות, לידיעתי, חלוקות

מצד אחד, אם אתה פרנואיד - תוסיף FW לכל DC, כמו גם לשרת הדואר ולשרת הקבצים, ובעצם לכל שרת המכיל מידע קריטי בארגון. מצד שני - חלק גדול מהשרותים של השרתים השונים, בייחוד אלו העובדים על AD או netware או מערכות דומות, מבוצעים על פורטים רבים. הגדרת FW על DC משמעה תוספת אוברהד גדול לתחזוקת הרשת - פתיחת פורטים חדשים לפי הצורך, מיפוי רולז לפי השירותים המשתנים ששרתים שונים נותנים, וכאשר יש עדכוני/התקנות תוכנה - ניהול מחדש של ה FW בנוסף לזמן המושקע בהתקנה. השאלה העיקרית - עד כמה אתה חושש מפגיעה פנימית. כולם מסכימים שאם יש לפטופים בארגון, חייבים לשים עליהם FW. חייבים לשים FW חיצוני אחד לפחות בedge. מעבר לכך - שיקולי תקציב ונוחות עבודה יכריעו. במקום FW על הDC, למשל, אפשר להשתמש ב FW-switch, אליו יהיו מחוברים כל הDC. זה יקר יותר מסוויץ' מנוהל רגיל, אבל מבטיח עוד הגנה, גם אם תוקף עקף או חדר את הedge. למשל http://www.cisco.com/en/US/products/hw/modules/ps2706/ps4452/index.html אם יש לך כסף מיותר, להוסיף על סוויץ' מסדרת 6500, שגם ככה עולה יותר מדי. לגבי סקייפ - ראה שם http://support.skype.com/?_a=knowledgebase&_j=questiondetails&_i=148 זה יעבוד גם על פורט 80, אך עדיף לאפשר פורט ייעודי. לגבי מסנג'ר, אני מנחש שהתשובה דומה, אם כי MSN דומה יותר לתולעת במובן זה. למשל, בהנתן המידע הבא: Ports listed apply to both LOCAL & REMOTE ports: Yahoo: TCP: 80, 5000-5050 UDP: 5000-5050 MSN: TCP: 1863, UDP: 1503, 3389, 5004-65535 AOL IM: TCP: 5190-5193 UDP: 5190-5193 היית מנחש שקל לחסום אותם, אולם התשובה היא שגם יאהו וגם מסנג'ר יעברו לפורט 80 אם יש חסימה, ואם גם 80 חסום, הם ינסו להשתמש בכל פורט פתוח במערכת.
 

operandx

New member
האמת שאני לא מבין שום דבר!

גם ככה CHECKPOINT FW-1 עולה הון תועפות לכתובת IP אחת מסכנה.. אז מה השאלה? האם לקנות עוד כמה כאלה לכל שרת חשוב? בא נאמר שיש לנו 20 תחנות עבודה, שרת SMTP - MAIL RELAY, שרת EXCHANGE + DC, שרת FW ואיזה שרת IIS מסכן, לדוגמא. אפשר להשתמש באיזה SWITCH חביב, עם תמיכה ב VLAN, להגדיר - WAN, LAN, DMZ. לחבר את כולם לשרת ה FW אשר יכיל לפחות שלושה כרטיסי רשת... ו.. לי זה נראה טוב! מגדירים חוקים כמו שצריך... אפשר לעבור על הלוגים, אפשר לקבל התרעות, אפשר להתקין IDS נוסף פשוט וחביב - SNORT למשל... לא יודע, אני הרגשתי מאוד בטוח עם FW אחד. יש הרבה ספרים שמסבירים איך לאבטח ארגון ומביאים הרבה דוגמאות ו scenarios...
 
למעלה