Wir haben Taktiken zur Firewall-Umgehung behandelt, die bei der Durchführung eines Red-Team-Einsatzes erforderlich sind. Zu den Firewall-Umgehungstaktiken gehört die Verwendung eines NMAP-Scanners zum Senden geänderter Pakete sowie die Verwendung von Netzwerktools wie Ncat und SSh zur Durchführung von Portweiterleitung oder Tunneling.

Holen Sie sich Hinweise zum OSCP-Zertifikat

Der komplette praktische Kurs zum Penetrationstest von Webanwendungen

Video-Highlights

Eine Firewall ist eine Hardware- oder Softwarekomponente, die den Netzwerkverkehr überwacht und ihn mit einer Reihe von Regeln vergleicht, bevor sie ihn zulässt oder verweigert. Ein Wachmann oder Pförtner am Eingang einer Veranstaltung ist eine einfache Analogie. Dieser Pförtner kann den Ausweis einer Person mit einer Liste von Vorschriften vergleichen, bevor er ihr den Zutritt (oder den Ausgang) gestattet.

Firewall-Typen basierend auf Paketfilterung

Paketfilter-Firewalls oder als Stateless Firewalls bezeichnet. Diese Firewalls prüfen jedes Datenpaket, während es durch ein Netzwerk reist. Sie entscheiden, ob ein bestimmtes Paket basierend auf den konfigurierten Regeln blockiert wird.
Firewalls auf Anwendungsebenekann ein physisches Gerät sein, das seine eigene Hardware verwendet, oder softwarebasiert, das auf einem anderen Rechner installiert ist, wie ein Plug-in oder ein Filter. Diese Arten von Firewalls zielen auf Anwendungen ab und überwachen deren Verhalten. Wenn sie beispielsweise vor einem Webserver platziert werden, können sie Anfragen für HTTP-Verbindungen prüfen und ungewöhnliche Datenfluten blockieren, die auf einen DOS-Angriff hinweisen.
Firewalls auf Schaltungsebene Überprüfen Sie, ob TCP- und UDP-Verbindungen in einem Netzwerk gültig sind, bevor Daten ausgetauscht werden. Beispielsweise kann diese Art von Firewall zunächst prüfen, ob die Quell- und Zieladressen, der Benutzer, die Uhrzeit und das Datum bestimmten definierten Regeln entsprechen. Wenn diese Prüfungen erfolgreich sind, werden Daten ohne weitere Untersuchung zwischen den Parteien ausgetauscht und eine Sitzung gestartet.
Proxyserver-Firewallsoder als Web Application Firewalls bezeichnet. Sie kontrollieren die Informationen, die in ein Netzwerk hinein- und hinausgehen. Diese Fähigkeit bedeutet, dass der Server Datenanfragen an ein Netzwerk und von einem Netzwerk überwachen, filtern und zwischenspeichern kann. Firewall-Proxyserver bieten allen Geräten in einem Netzwerk einen sicheren Internetzugang. Wie in der Abbildung unten dargestellt, kann ohne den Proxyserver keine Kommunikation zwischen dem Client-Rechner und dem Internet stattfinden.
Zustandsbehaftete Firewalls Überprüfen Sie Verbindungen in einem Netzwerk. Wenn der Datenverkehr die Firewall erreicht, überwacht sie alle Pakete, die sie passieren, und speichert eine Kombination von Informationen über die Pakete in einer Statustabelle. Die Statustabelle verfolgt Sitzungen, indem sie Portnummern aufzeichnet, wenn Sitzungen innerhalb des Netzwerks beginnen und außerhalb des Netzwerks übertragen werden. Das Sammeln dieser Informationen hilft der Firewall zu erkennen, wie legitimer Datenverkehr mit den richtigen Portnummern bei seiner Rückkehr aussehen sollte, und ermöglicht so legitime Antworten zurück in das Netzwerk.
Firewalls der nächsten GenerationFühren Sie viele der gleichen Funktionen wie Stateful-Firewalls aus, verfügen jedoch über mehr Funktionen anderer Firewall-Typen, z. B. Paketfilterung und VPN-Unterstützung. Diese Art von Firewall untersucht Pakete im Vergleich zu Stateful Firewalls auch gründlicher. Beispielsweise kann eine Firewall der nächsten Generation die Nutzlast jedes Pakets untersuchen und auf verdächtige Merkmale und Malware untersuchen. Beispiele hierfür sind die Juniper SRX-Serie und Cisco Firepower.

Firewall-Klassifizierungen

1. Hardware-Firewall: Eine Appliance-Firewall ist ein separates Stück Hardware, das der Netzwerkverkehr passieren muss. Beispiele hierfür sind Cisco ASA (Adaptive Security Appliance), WatchGuard Firebox und Netgate pfSense Plus Appliance.
2. Software-Firewall: Dies ist eine Software, die im Betriebssystem enthalten ist oder die Sie als zusätzlichen Dienst installieren können. MS Windows verfügt über eine integrierte Firewall, die Windows Defender Firewall, die zusammen mit den anderen Betriebssystemdiensten und Benutzeranwendungen ausgeführt wird. Ein weiteres Beispiel sind Linux iptables und firewalld.

Firewall-Umgehungstechniken auf den Punkt gebracht

  • Decoy-Scans mit Nmap
  • Gefälschte IP mit Nmap
  • Verwendung von Proxys mit Nmap
  • Porttunnelung und -weiterleitung mit SSH und Ncat.
  • Paketfragmentierung mit Nmap

Möchten Sie Ihre Firewall-Umgehungsfähigkeiten üben? Kasse TryHackMe-Firewalls Zimmer. Nachfolgend finden Sie auch die Antworten

Wenn Sie Telnet blockieren möchten, was TCP Portnummer würden Sie leugnen?

Sie möchten HTTPS zulassen, was TCP welche Portnummer müssen Sie zulassen?

Was ist eine Alternative TCP Für HTTP verwendete Portnummer? Sie wird als „HTTP Alternate“ bezeichnet.

Sie müssen SNMP zulassen über SSH, snmpssh. Welcher Port soll zugelassen werden?

Was ist der grundlegendste Firewall-Typ?

Welcher ist der fortschrittlichste Firewall-Typ, den Sie auf dem Firmengelände einsetzen können?

Finden Sie mit dieser einfachen Technik heraus, welche Portnummer das folgende Ziel hat TCP Portnummern sind vom geschützten System aus erreichbar.

  • 21
  • 23
  • 25
  • 26
  • 27

Wir haben einen Webserver, der dies überwacht HTTP Port 80. Die Firewall blockiert den Datenverkehr zu Port 80 vom nicht vertrauenswürdigen Netzwerk. Wir haben jedoch festgestellt, dass der Datenverkehr zum TCP-Port 8008 nicht blockiert wird. Wir verwenden weiterhin das Webformular aus Aufgabe 6, um das einzurichten ncat Listener, der die empfangenen Pakete an den weitergeleiteten Port weiterleitet. Navigieren Sie mithilfe von Port-Tunneling zum Webserver und rufen Sie das Flag ab.

Wir verwenden weiterhin das Webformular aus Aufgabe 6 zur Einrichtung der ncat Listener. Da die Firewall keine Pakete an Zielport 8081 blockiert, verwenden Sie ncat um auf eingehende Verbindungen zu warten und die Bash-Shell auszuführen. Verwenden Sie die AttackBox, um eine Verbindung mit der abhörenden Shell herzustellen. Wie lautet der Benutzername, mit dem Sie angemeldet sind?

Wie groß ist die Nummer der höchsten OSI-Schicht, die eine NGFW verarbeiten kann?

Video-Komplettlösung | Youtube

Video-Komplettlösung | Rumpeln

, ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen