Иллюстрированный самоучитель по Secure Web


Дополнительное исследование брандмауэров - часть 3


(ttl 254, id 50438)

21:26:23.282482 172.18.20.55.53 > 172.29.11.207.39667:

R 0:0(0) ack 3963453111 win 0 (DF) (ttl 44, id 50439) 21:26:24.362482

172.18.20.55.257 > 172.29.11.207.39667: S 1416174328:1416174328(0)

ack 3963453111 win 9112 <mss 536>

(DF) (ttl 254, id 50440)

21:26:26.282482 172.18.20.55.7 > 172.29.11.207.39667:

R 0:0(0) ack 3963453111 win 0 (DF) (ttl 44, id 50441)

Контрмеры против применения утилиты nmар


Обнаружение


Для выявления попыток сканирования с использованием утилиты nmap можно применять подходы, описанные в главе 2. Кроме того, можно также дать следующий совет. Настройте процедуру обнаружения сканирования таким образом, чтобы отдельно получать информацию о попытках сканирования брандмауэров.

Предотвращение


Для того чтобы предотвратить возможность инвентаризации списков ACL маршрутизаторов и брандмауэров, нужно отключить на них режим передачи ответных сообщений ICMP с типом 13. На маршрутизаторах Cisco это можно осуществить, запретив передачу ответных IP-сообщений о недостижимости цели. no ip unreachables

Идентификация портов


Некоторые брандмауэры имеют уникальные характеристики, отличающие их от других брандмауэров и представленные в виде последовательности цифр. Например, такую последовательность можно получить при подключении к TCP-порту 257 (SNMP) брандмауэров Checkpoint. Наличие портов 256-259 является хорошим признаком брандмауэра Firewall-1 компании Checkpoint. А следующий тест поможет в этом удостовериться.

[root]# nc -v -n 192.168.51.1 257
(UNKNOWN) [192.168.51.1] 257 (?)

open

30000003

[root]# no -v -n 172.29.11.191 257

(UNKNOWN) [172.29.11.191] 257 (?)

open 31000000

Контрмеры: защита от идентификации портов


Обнаружение


Факт подключения злоумышленника к портам можно выявить, добавив аудит соответствующего события в программе RealSecure. Вот что для этого нужно сделать.

1. Активизируйте режим редактирования политики.

2. Перейдите во вкладку Connection Events.

3. Щелкните на кнопке Add Connection и введите параметры записи, соответствующие брандмауэру Checkpoint.

4. Выберите диапазон портов и щелкните на кнопке Add.

5. Введите значения в поля службы и порта, а затем щелкните на кнопке ОК.

6. Выберите новый порт и снова щелкните на кнопке ОК.

7. Щелкните на кнопке ОК, чтобы применить политику с измененными параметрами.

Предотвращение


Возможность подключения к TCP-порту можно предотвратить, заблокировав его на маршрутизаторе исходящих сообщений. Следующий простой список ACL брандмауэров Cisco поможет явно запретить все попытки подключения. access-list 101 deny tcp any any eq 257 log ! Блокирование сканирования Firewall-1





Начало  Назад  Вперед