آموزش های تخصصی شبکه و امنیت و ضد امنیت

شکستن Firewall امروز در مورد Firewalk ميخوام صحبت کنم . اين نرم افزار ، نرم افزاريه که بوسيله اوون می توان ديوار آتش رو تجزيه و تحليل کرد . 
Firewalk سعی می کنه تا پورتهايی رو که بوسيله ديوار آتش باز موونده رو پيدا کنه . مزيت اين نرم افزار نسبت به Nmap اينه که می توونه پورتها حتی با وجود Firewall چک کنه . کاری که Nmap نمی توونست با اطمينان انجام بده .
حالا ببينيم عملکرد راهروی آتش چيه ؟ راهروی آتش سعی می کنه تا بفهمه ديوار آتش چه بسته هايی رو حذف می کنه . برای اينکار به دو آدرس احتياج داره . يکی آدرس مسيرياب ***** کننده و ديگری آدرس ماشين هدف . اين در آدرس رو می توونيد با استفاده از Nmap بدست بياريد . 
در مرحله بعدی سعی می کنه قواعد ديوار آتش رو بدست بياره . اينکار رو در دو مرحله انجام می ده :
در اولين مرحله سعی می کنه تا تعداد مسير يابها تا شبکه مورد نظر رو بدست بياره . اينکار با استفاده از فيلد TTL و با تنظيم اوون به 1 و 2 و 3 و ... انجام می شه . در اين مرحله فقط تعداد مسيريابها تا شبکه هدف با توجه به پاسخ دريافتی تعيين می شه . 
سپس پورتهايی رو که بوسيله ديوار آتش بسته شدند رو پيدا می کنه . برای اينکار يه سری بسته با TTL معادل N+1 و تنظيم TCP با پورت مورد جستجو بسمت هدف ارسال می کنه تا بسته رو دقيقا ماشين بعد از ديوار آتش دريافت کنه . اگر در پاسخ ، بسته ICMP Time Exceeded ارسال بشه ، Firewalk نتيجه می گيره که پورت مورد نظر در ديوار آتش باز است . و اگر پاسخی برنگشت ، نتيجه می گيره که پورت مورد نظر در ديوار آتش بسته است .
اما نکاتی که در مورد راهروی اتش مهمه :
1- راهروی اتش برای تست پورتهای هست که بوسيله ديوار اتش حفاظت می شوند و نه شبکه های مجهز به ***** .
2- وقتی راهروی اتش پورتی رو باز اعلا می کنه يا می گه که بسته است ، به اين معنيه که Firewall اوون پورت بلوکه کرده باشه يا آزاد گذاشته باشه و به اين معنی نيست که اوون پورت هموون وضعيت رو روی ماشين هدف داره .
حالا اگه يه پورت بوسيله Firewall باز موونده باشه ولی در ماشين هدف پروسه ای برای پردازش بسته های ارسالی به اوون پورت نباشه ، هکر سعی می کنه تا پروسه ای روی ماشين هدف فعال کنه تا به اوون پورت گوش بده . در اين صورت بسته ها بدون مزاحمت از جانب ديوار آتش به ماشين هدف می رسند .
برای جلوگيری از اين گونه خطرات بهتره :
1- تمام پورتهای باز به استثنای اوونايی که بايد باز باشند ، رو ببنديد .
2- برای اطمينان به جای ديوار اتش از پروکسی استفاده کنيد .
3- سعی کنيد روی ماشينهای مهم شبکه ICMP رو غيرفعال کنيد .


Fire Walkچگونه كار می كند!؟

Fire Walkاز فيلد TTL مربوط به IP Header استفاده ميكند و از آنجايی كهTTL ، بخشی از هدر IP است، مهاجم می تواند از Fire Walk استفاده كند تا دريابد كدام درگاهها برای UDP و يا - TCP كه در بالای IP سوار می شوند -***** می شود .

Fire Walkمستلزم اين است كه مهاجم دو آدرسIP ، وارد كند تا پويش خود را شروع كند. اولين آدرسIP ، آدرس خود ***** است و IP دوم، مربوط به ماشين مقصد و طرف مقابل ***** بسته است .

Fire Walkيك سری بسته باTTL های افزايشی ميفرستد تا تعيين كند چند جهش، بين ابزار و ديوار آتش وجود دارد .اگر بسته از ***** عبور كند، پيغام ICMP Time Exceeded بلافاصله توسط سيستم در طرف ديگر ***** فرستاده ميشود .اگر اين پيغام برگردد،Fire Walk ميداند كه درگاه از طريق ديوار آتش باز است .اگر هيچ چيز برنگردد، به احتمال زياد درگاه توسط ديوار آتش ***** شده است .نفوذگر با ارسال اين بستهها با شماره درگاههای TCP و UDP در حال افزايش، ميتواند اطلاعات بسيار دقيقی از قوانين و قواعد ***** به دست آورد .

ضعف اين برنامه اين است كه بر روی ديوارهای آتش مبتنی بر پراكسی كار نميكند، زيرا پراكسی بسته ها را ارسال نمی كند، بلكه بسته ها را از يك طرف گيت وی جذب و يك اتصال جديد در طرف ديگر ايجاد ميكند و تمام اطلاعات TTL را از بين می برد .

دفاع در برابرFire Walk 

راههای متعددی برای دفاع در برابر اين برنامه قدرتمند وجود دارد كه به برخی از آنها اشاره می شود:

راه اول: جايگزين كردن برنامه های ***** بسته با ديوارهای آتش مبتنی بر پراكسی است. از آنجايی كه پراكسيها اطلاعات TTL را ارسال نمی كنند، مهاجم ديگر نمی تواند از Fire Walk استفاده كند. اين روش می تواند مشكلاتی نيز برای شما ايجاد كند از جمله ديوارهای آتش مبتنی بر پراكسی، كارآيی كمتری نسبت به فيلترهای بسته دارند، از اين رو اين راه حل مبارزه با Fire Walk ميتواند باعث كندی شبكه شود. رهايی از دست فيلترهای بسته ممكن است سرويسهايی را كه ارائه می كنيد، محدود كند .

راه دوم : می توانيد با ***** كردن پيغامهای ICMP Time Exceeded كه از شبكه شما خارج ميشوند، در برابر Fire Walk دفاع كنيد .در يك ديوار آتش خارجی، تمام اين نوع پيغامها را متوقف كنيد .بدين ترتيب نفوذگر نخواهد توانست پيغام مورد استفاده Fire Walk را دريافت كند تا مجموعه قواعد ديوار آتش را پيدا كند .با اين حال اگر هنوز هم از حمله Fire Walk و ضعف ديوار آتش خود نگرانيد، ميتواند علاوه بر اين تكنيكها از تكنيكهای پيشنهادی كارشناسان خبره نيز استفاده كنيد.