זיהוי המצאות Windows Personal Firewall על גבי מחשב מרוחק

  
כידוע, Firewall מאפשר לבצע סינון של המידע על פי מספר קריטריונים (לדוגמא: כתובות IP, מספרי פורטים וכו'), יכולותיו של ה-Firewall תלויות בארכיטקטורה שלו ועל גבי איזו שכבת תקשורת הוא פועל. לדוגמא, ניתן תינן להגדיר כי Firewall העובד בשכבה ה-SESSION יסנן מידע העובר ע"ג פרוטוקול HTTP המכיל מילים מסוימות.

בגליון ה-6 של DigitalWhisper ניתן לקרוא מאמר הסוקר את סוגי טכנולוגיות ה-Firewalling השונות והשכבות בהן הן פועלות.

לאחרונה, ביצעתי מחקר קצר בנושא, ושמתי לב כי ה-"Windows Personal Firewall" של מיקרוסופט (המגיע כברירת מחדל עם מערכת הפעלה Windows XP) עובד באופן שונה מ-Firewall של חברות אחרות (בבדיקה  נעשה שימוש עם המוצר של Symantec). תצורת עבודתו השונה (שבהמשך הפרט עליה), מאפשרת לאדם היושב על מחשב מרוחק לזהות המצאות שלו על גבי המחשב המותקף, נתון זה כשלעצמו אינו מהווה סיכון, אך במידה ותמצא חולשה בקוד של התוכנה ניתן יהיה לאתר מחשבים פגיעים בעזרת טכניקה זו.

הבדיקה עצמה, כללה התקנת Netcat על 2 מחשבים כאשר אחד מוגדר כ-Client והשני כ-Server וביצוע התקשרות דרך פורט מסוים בין שניהם.

בשלב הראשון, על מחשב ה-"Server", הרצתי את Netcat באופן הבא:
Nc.exe –L –p 5000
השלב השני כלל חסימת הפורט בתוכנת ה-Firewall אותן בדקתי:
  
(חסימת הפורט ב-"Windows Personal Firewall" של מערכת ההפעלה) 
 
  
(חסימת הפורט ב-"Endpoint Protection" של Symantec
 
 
 
והשלב השלישי כלל ניסיון התחברות לפורט החסום בעזרת Netcat ממחשב ה-"Client", באופן הבא:
Nc.exe IP.IP.IP.IP 5000

כאשר נחסם פורט מסוים דרך ה-Firewall של Symantec על מחשב ה-Server, ניתן היה לראות (תוך צפייה ב-Wireshark המותקן על מחשב ה-Client) כי לאחר שליחת הודעת SYN ממחשב ה-Client (דרך הפורט שהוגדר כחסום) למחשב ה-Server, לא התקבלה שום הודעה ממחשב ה-Server למחשב ה-Client:
 
אך לעומת זאת, כאשר נחסם פורט מסוים דרך ה-Firewall של מיקרוסופט על מחשב ה-Server, ניתן היה לראות (תוך צפייה ב-Wireshark המותקן על מחשב ה-Client) כי לאחר שליחת הודעת SYN ממחשב ה-Client (דרך הפורט שהוגדר כחסום) למחשב ה-Server, מחשב ה-Server החזיר הודעת RST:
 
ההבדל בין התגובות מאפשר לנו, בתור תוקפים, לדעת מרחוק איזו תוכנת אבטחה חוסמת אותנו.
 
כאמור, זיהוי מוצר ספציפי המותקן על מחשב אינו חולשה בפני עצמו, אך על סמך מידע זה ניתן להרכיב וקטור תקיפה יעודי, המנצל חולשות הידועות מראש באותו המוצר.
 
לקריאה נוספת:
http://hcsw.org/nmap/QSCAN
http://www.antionline.com/showthread.php?247707-firewall-detection-and-network-probing
 
 
פוסט זה נכתב ע"י יניב מרקס.
 


תגובות על 'זיהוי המצאות Windows Personal Firewall על גבי מחשב מרוחק':



#1 

cp77fk4r:
תודה רבה ליניב מרקס על הפוסט הנהדר :)
19.10.2012 16:39:54

#2 

iTK98:
אני לא יודע איזה מערכת הפעלה נבדקה (כנראה חלונות XP) אבל ההתנהגות הזאת לא נורמלית לחלונות ויסטה ומעלה.

http://technet.microsoft.com/en-us/library/dd448557%28v=ws.10%29.aspx
19.10.2012 20:37:31

#3 

cp77fk4r:
ה-Firewall בויסטה שונה לחלוטין מה-Firewall ב-XP, מיקרוסופט שינו אותו לגמרי...
20.10.2012 00:21:18

#4 

Dw4rf (אורח):
רעיון ממש נחמד! אפשר להכין רשימה של כל תוכנה ותוכנה ואיך היא מגיבה...
20.10.2012 19:26:30

#5 

Dw4rf (אורח):
אפשר שמי שרוצה מהקוראים יבצע את הבדיקה אצלו וככה נשתף אחד את השני וניצור את הרשימה ביחד!
20.10.2012 19:27:11

#6 

שמיל (אורח):
מגניב, פוסט יפה!
21.10.2012 01:54:22

#7 

שלמה (אורח):
עם יידע כזה כדאי שתפנה לעבוד ברשות ממלכתית...............
23.10.2012 09:26:18

#8 

Do5 (אורח):
אממ... סליחה שאני משבית שמחות, אבל נראה לי שלשלוח RST זו התנהגות קלאסית ישנה של פיירוולים. ברגע שמישהו הצליח להבין סוף סוף שזה עוזר במיפוי התנהגויות של FW, פשוט התחילו להשתמש ב-Stealth Mode (כמו שקראו לזה בכתבה של מייקרוסופט) כדי לא להחזיר תשובה כלל - ככה תוקף/סורק לא יודע אם הפורט סגור או חסום.
עם כל הכבוד, אני בספק אם אפשר להתחיל למפות ככה סוגים של FW. זה מאפיין מאד מזערי וקלאסי.

סתם דוגמא, PF שרץ על OpenBSD למשל, אפשר להחליט בקלות האם ישלחו RST או לא.
25.10.2012 19:46:47

#9 

D056Tr (אורח):
הערה ל-Do5 - עד היום, ישנם לא מעט מחשבים מבוססי XP וגם לא מדובר במיפוי של FW מאחר ומדובר בהשוואה רק בין מיקרוסופט לשאר ה-FW ולא במיפוי של סוגי FW.
25.10.2012 21:41:22

#10 

cp77fk4r:
הרעיון הוא לא רק מיפוי בעזרת השוואה בין האם הנתקף החזיר RST או לא. את המיפוי ניתן לבצע בעוד הרבה דרכים נוספות (סוגי תגובה כמו כאן, מאפיינים שונים של אותה הבקשה, כגון גודל, מאפייני frame וכו׳, מזהים נוספים שניתן לדעת כדוגמאת פורטים ספציפים שתוכנת ה-Firewall מאזינים עליהם ועוד...), אני מאמין שבעתיד הקרוב (נגזרת ישירה של כמות הזמן הפנוי שיהיה לי) נפרסם מאמר מלא על סוגי הבדיקות שנתן לבצע על מנת למפות רכיבים כאלה.

ו-Do5, אתה אף פעם לא משבית שמחות :)
26.10.2012 15:41:31



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2017 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.