streSS teSt Firewall'ов

Discussion in 'Безопасность и Анонимность' started by Elekt, 1 Feb 2006.

  1. Elekt

    Elekt Banned

    Joined:
    5 Dec 2005
    Messages:
    944
    Likes Received:
    427
    Reputations:
    508
    Просматривая тему безопасности на античате, я заметил, что никто ранее не озаботился хорошенько протестить популярные сетевые экраны на предмет качества их защиты. Мало того, пропарсив инет на подобную тему самым достойным вариантом явился августовский наХер, где опять же подробно рассматривалась тема защиты "изнутри", сведя внешние тесты лишь к порт-скану. И практически не оказалось достойных статей на внешнее вторжение.

    С удовольствием поделюсь своми наработками.

    А мы тут плюшками балуемся... :

    1. Безобразие начинается
    2. Подопотные
    3. Обещания разработчиков
    4. Флудим

    - SYN
    - ICMP
    - IGMP
    - UDP

    5. Нюкаем
    6. Эксплоиты
    7. Прослушиваем
    8. Сканим
    9. Отключаем
    10. Кто здесь Лидер?

    Посмотрим же как реализуют себя стенки в защите вашего любимого компа. Сейчас мы будем их жестоко тестить на предмет противодействия различным видам сетевых атак. Выясним же, кто действительно стоит того, чтобы занимать достойное место в системе, защищая её от всяческих напастей; а кто - разрекламированный друшлаг.

    Заниматься мы будем простейшим и в то же время важнейшим делом - валить систему в синий экран всеми доступнымии способами. Вот щас и выясним - кто тут лидер ))).

    А если говорить интелегентно - мы будем испытывать фаерволы на предмет противодействия атакам, вызывающим отказ в обслуживании,.. и не только.
    Предполагается начальные знания читателя основы ТСР\!Р протокола, а также некоторого хакерского опыта =] .

    Итак, мы имеем:

    1. Винда ХРеновая\SamPostavil_2, пропатченная под завязку.
    2. Фаерволы популярные:
    - Kaspersky AntiHacker v.1.7.130
    - OutpostPro_v3.0.543.431 RUS Final
    - ZoneAlarm_PRO_60.667
    2. Четыре вида флудеров: SYN, ICMP, IGMP, UDP.
    3. Вагон нюкеров с маленькой тележкой: WinNuke, SmbDie, Fragmentation....
    4. Три самых популярных масдайных эксплоита\червя: LoveSun, Sasser, Messenger, UP&P.
    5. Снифер, крутой и професиональный.
    6. Сканер портовый, многофункциональный.
    7. Мозг - воспалённый, руки - выпрямленные :-]


    Замечу что производители этих фаерволов обещали защищать нас конкретно от:

    1. Kaspersky AntiHacker v.1.7.130

    - Ping of Death - Эта атака состоит в отправке на ваш компьютер ICMP - пакета, размер которого превышает допустимое значение в 64 КБ. Эта атака может привести к аварийному завершению работы.
    - Land - Эта атака заклюсается в отправке на ваш компьютер большого количества запросов на установку соединения с самим собой. Атака приводит к тому, что компьютер не реагирует на другие попытки установить соединения.
    - Сканирование TCP-портов - Эта атака заключается в попытке определить открытые TCP-порты на вашем компьютере. Атака используется для поиска слабых мест и предшествует более опасным атакам.
    - Сканирование UDP-портов - Эта атака заключается в попытке определить открытые UDP-порты на вашем компьютере. Атака используется для поиска слабых мест и предшествует более опасным атакам.
    - SYN-Flood - Эта атака заключается в отпраке на ваш компьютер большого кол-ва запросов на установку соединения. Атака приводит к тому, что компьютер не реагирует на другие попытки установить соединения.
    - UDP-Flood - Эта атака заключается в отправке специальных UDP-пакетов, которые бесконечно пересылаються между атакованными компьютерами. В результате атаки тратяться ресурсы компьютеров и загружается центральный процессор.
    - ICMP-Flood - Эта атака заключается в отправке большого кол-ва ICMP-пакетов на ваш компьютер. Атака приводит к большому росту загрузки процессора в силу реагирования на каждый пакет.
    - Helkern - Эта атака заключается в в отпраке на ваш компьютер UDP-пакетов специального вида, способных выполнить вредоносный код. Атака приводит к замедлению работы в интернете.
    - SmbDie - Эта атака заключается в попытке установить соединение с вашим компьютером по SMB-протоколу, в случае успеха на компьютер отправляется пакет особого вида, который пытаеться переполнить буфер. Атаке подвержены ОС Windows 2k\XP\NT.
    - Lovesan - Эта атака заключается в попытке обнаружения на вашем компьютере бреши в сервисе DCOM_RPC операционной системе Windows и пересылке вредоносной программы с её использованием, которая потенциально позволит производить любые манипуляции на вашем компьютере.

    2. OutpostPro_v3.0.543.431 RUS Final

    - Сканирование порта - атакующий запрашивает TCP и UDP порты Вашей системы, чтобы определить к какому порту он может подсоединиться, чтобы получить контроль.
    - Denial of Service - Большое кол-во данных посылается на порт вашей системы при попытке вызвать ошибку или зависание системы.
    - Fragmented ICMP - пакет ICMP, посланный в виде фрагментов, превышает 1472 байта после сборки. Это может привести к сбоям в стеке TCP и зависанию системы.
    - Fragmented IGMP - пакет IGMP, посланный в виде фрагментов, превышает 1472 байта после сборки. Это может привести к сбоям в стеке TCP и зависанию системы.
    - Short fragments - Пакет разбивается на несколько фрагментов, которые затем изменяються таким образом, что после сборки пакет приводит к зависанию системы.
    - Teardrop - ещё один вид Short fragments атаки.
    - My Address - Атака, состоящая в перехвате IP - адреса Вашей системы, имитации системы в сети и захвате всех соединений.
    - Перекрывающиеся фрагменты - Пакет разбивается на несколько фрагментов , которые затем изменяються таким образом, что накладываються друг на друга и вызывают зависание системы из-зи ошибок памяти.
    - WinNuke - Источник проблемы состоит в уязвимости протокола TCP, приводящей к зависанию некоторых версий операционных систем Windows при получении специфических пакетотв.
    - Nestea - опасное перекрытие IP - пакетов, вызываемое программой Nestea, может привести к нестабильности и зависанию системы.
    - Iseping - Большой ICMP пакет разбивается на большое число фрагментов. После сборки приводит к зависанию системы.
    - ICMP атака - TCP\IP стек Windows некорректно обрабатывает фрагментированные ICMP-пакеты. Система, получившая такой пакет, с большой вероятностью, зависнет.
    - Opentear - программа Opentear использует фрагментированные UDP-пакеты, чтобы подвергнуть компьютер жертвы перезагрузке.
    - Nuke - Попытка захватить TCP-соединение и обойти брандмауэр и другие системы обнаружения атак.
    - IGMP атака - TCP\IP стек Windows некорректно обрабатывает фрагментированные IGMP-пакеты. Система, получившая такой пакет, с большой вероятностью, зависнет.
    - Port139 - Фрейм с нулевым полем имени, который может привести системы Windows 95 или 98 к нестабильному состояниюили зависанию.
    - Неверное поле IP Options - атака использует переполнение буфера стэка TCP\IP (когда размер поля IP Options превышает 38 байт) для выполнения вредоносного кода на вашем компьютере.
    - Атака RPC DCOM - Различные черви и утилиты используют RPC_DCOM - уязвимость, что может привести к выполнению злонамеренного кода и падениям системы.
    - Отравление ARP-кеша - опасная атака направленная на перехват трафика.

    3. ZoneAlarm_PRO_60.667


    - Детектора атак нету
    - Зато защита ARP-кэша есть
    - А остальное надо ручками настраивать, ибо фаервол очень серьёзный.

    Итак, приступим. Выставим фаерволам вот такие режимы. Для Касперского - это "Высокий". Для Аутпоста - "Блокировать". А вот Мистер Аларм на высоком уровне защиты блокировал ВСЕ мои домогательства (можно считать его вне конкуренции и лидером в области высокого уровня запрета), поэтому, чтоб было интересней, я его перевёл в средний режим тревожности.

    Начнём сначала, испытывая флудеры:

    - SYN-флудер
    *Без фаервола система падала секунд за 10.
    *Касперский, как положено, опознал атаку и заблокировал айпи негодяя, однако процессор всё равно грузился (?). Какого.. ! Видимо, приоритет загруженного драйвера фаервола стоит на равном (или ниже) виндового, в чем я так же убедился на других атаках. Это вери бэд, ибо по сути должного противодействия атаке не оказывается. Это означает, что если атакующих будет двое или более - системе пипец.
    *Аутпост не опознал атаку(замечу, что опознание флуд-атак в него не заложено!!!), и загрузка процессора была вдвое больше.
    *Аларм молчал (детектора атак у него вообще нет), однако каким-то чудом не давал процессору загружаться. Хм.. может флудер не правильный?..

    - ICMP-флудер
    *Касперский определяет флуд... и всё равно грузит проц.
    *Аутпост даже при стандартных настройках режет ICMP по самое не балуйся. Урезав всё вручную и оставив только необходимое он превратился в настоящую ICMP-крепость, которой до такого флуда просто пофиг. Респект.
    *Аларм был настроен на фильтрацию этих пакетов. Атака провалена.


    - IGMP-флудер
    *Без фаервола процессор грузился на 100%, однако система была работоспособна(приоритет IGMP низок).
    Касперский не знает ничего об IGMP вообще и молчал. Процессор на 80%.
    *Outpost при первом включении обычно спрашивает, разрешать ли обработку IGMP. Нах. И так как IGMP был просто запрещен, проц - 50%.
    *Аларм был настроен на фильтрацию пакетов. Проц 35%.

    - UDP-флудер
    *Без фаерволов проц на 100%(приоритет удп выше чем тср) , система жутко тормозила, но (я оч удивлен) всё же выжила.
    *Касперский, как обычно всё распознал... и продолжал грузить процессор )))
    *Аутпост каким то неизвестным образом умудрялся противостоять натиску без блокировки.
    *Аларм как обычно молчал, не давая мне ни шанса ($ly ..!!!).

    Теперь по-нюкаем

    *Касперский опознал лишь LAND атаку - пожалуй единственную, которой подвержена ХР. Вобщем то можно сказать, что ставить фаервол от дяди каспера можно только на пропатченную ХР, так как если б это была другая винда - она свалилась бы без вопросов.
    *Аутпост как и было обещано опознал многие типы нюкеров. А вот с LAND как раз не справился.
    *По причине отсутствия детектора атак, Алармик был безмолвен. Если его ставить на старую систему, есть реальный шанс свалить её, при условии достаточно демократичных настроек фаервола.

    Эксплоиты.

    Ну с DCOM'ом и Lsass'ом как оказалось, был знаком KAV и Outpost. А вот остальные сплоиты они видели явно впервые ) А ещё говорят, что если слегка переписать код эксплоита, то его ваще никто не замечает...

    Снифер - тест

    Теперь заценим новую фичу Аутпоста - защиту от отравления арп-кэша. Берём специальный снифер и травим кэш жертвы. Вот, без фаервола ВЕСЬ трафик между сервером и жертвой пошел через нас. А из него мы можем легко выловить пароли. Включаем Аутпост - тревожная табличка и все хакеры идут лесом ))).
    А так же обратим внимание на встроенный в Аутпост антиспайвэа-модуль, который призван находить в вашей системе разных шпионов. Фича полезная. Определила 3 из 3-х запущенных шпионских паблик-прог.
    Про огромную гору фишек в Аларме я рассказывать устану. Там их дофигища. Защита АРП-кэша имеется.

    Сканим порты.
    Ну теперь - самое любимое ))

    При сканировании нескольких портов каждый фаер сразу опознавал нарушителя, независимо от типа сканирования.

    Теперь усложним задачу. Кто мешает нам посканить один порт? Прально. А если удасться, то через секунд 10 можно просканить и ещё один, и ещё...
    Сканить будем в два этапа. Оба - стелс-сканирование, первое поверхностное, второе - углубленное.

    Скажу, что на поверхностном удалось просканить всех.

    *Касперский показал неплохой результат, заблокировав хакера при начале углубленного скана.
    *Аутпост при стандартных настройках сканиться просто на ура. Однако слегка поднастроив детектор атак он показал отличный результат.
    *Аларм ничего не стал скрывать и устроил моему сканеру чистосердечное признание, сдав систему и сервисы с потрохами :)))

    Отключаем

    Теперь просто и незатейлево пытаемся изменить настройки\отключить\деинсталировать фаервол и посмотрим его реакцию. Предположим, мы удаленно получили доступ к командной строке с привелегиями SYSTEM или Администратора. Из-за криво настроенного фаервола мы имеем сам доступ, однако нам этого мало и надо любой ценой устранить сетевой экран.

    *Касперский абсолютно не возражал против отключения своего сервиса и убийства процесса. У него даже защиты паролем нет.
    *Аутпост был защищён паролем. Однако умер от простейшего тасккила с выгрузкой сервиса(можно сбацать сишную прогу с "TerminateProcess")
    *Аларм послал меня куда подальше, вывел табличку с предупреждением. Мало того, он защищен паролем и от деинсталяции. Безупречно. Отключив таки сервис, загрузившись в безопасносном режиме, я снова потерпел неудачу.
    Оказывается, Аларм глубоко интегрируется в сетевые дровишки и при его несанкционированном отключении происходит полная блокировка сетевого трафика. Просто зверюга.

    Кто здесь Лидер?

    Ну вот. Чтож, могу сказать, что фаервол Касперского я бы назвал не Анти-Хакер, а Анти-Ламер ))) ибо защищает он лишь от них. Также использование его на системах, отличных от WinXP\SP2 будем иметь печальный итог. Тут уж я и не знаю кто кого и от кого защищает )).
    Меня сильно позабавил смачный глюк, когда несмотря на "блокировку атакующего" я таки смог определить открытые порты. Ето вери-вери бэд.

    Аутпост показал неплохую устойчивость от различного вида атак. Огорчает его безразличие к флуду (однако айпи хакера можно легко посмотреть, открыв вкладку сетевой активности), но радует повышенная безопасность от сниферства, spy-детектор и гибкость настроек детектора атак (да и всех остальных модулей - оч. профессиональный подход). Почти некчему придраться.

    Зон Аларм ваще зверь, но только при высоком уровне защиты. Видите ли, разработчики делали режимы фаервола в расчете на СТРАШНЫЙ Интернет и БЕЗОПАСНУЮ локальную сеть... Поэтому, если вам все надоели, вы хакер, единоличник, или агент FBI - ставьте Алармик и врубайте высокий режим защиты. Тогда достучаться до вас можно будет только через дверь :-]

    =======================================================

    Надеюсь, кого-нить спасёт... или наоборот =] .
     
    11 people like this.
  2. SladerNon

    SladerNon Адам

    Joined:
    6 Mar 2005
    Messages:
    1,636
    Likes Received:
    935
    Reputations:
    355
    У меня только один вопрос:. Это твоё личное исследование?. Или статья копи-паст?
     
  3. Elekt

    Elekt Banned

    Joined:
    5 Dec 2005
    Messages:
    944
    Likes Received:
    427
    Reputations:
    508
    Копи-паст терпеть не могу. Если и использую, то сильно переработав, и лишь как подспорье. Стараюсь ссылаться на источники. Плагиат маст дай. Люблю творчество.
     
    1 person likes this.
  4. virgoz

    virgoz Elder - Старейшина

    Joined:
    16 Sep 2004
    Messages:
    151
    Likes Received:
    28
    Reputations:
    15
    КУл! Сразу представил картину как афтар сидит за столом, справа ноут, слева комп... :)
     
  5. censored!

    censored! Green member

    Joined:
    2 Nov 2004
    Messages:
    1,160
    Likes Received:
    299
    Reputations:
    156
    рульно!
     
    _________________________
  6. A110ut

    A110ut Elder - Старейшина

    Joined:
    31 Dec 2005
    Messages:
    505
    Likes Received:
    263
    Reputations:
    92
    Супер! Спасибо Elekt.
     
  7. Deal

    Deal New Member

    Joined:
    16 Jan 2006
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    классная статья, но ZoneAlarm_PRO у меня вешает комп если я подключаюсь к своему ВПНу.
     
  8. NeitR1N0

    NeitR1N0 New Member

    Joined:
    5 Mar 2006
    Messages:
    17
    Likes Received:
    0
    Reputations:
    0
    Kaspersky AntiHacker v.1.7.130 - рулит, маленькая и классная! в комплекте с антивирем крутая вещь!!!!
     
  9. ascas

    ascas Elder - Старейшина

    Joined:
    19 Jan 2006
    Messages:
    56
    Likes Received:
    4
    Reputations:
    2
    каждый божий день так сижу, задолбало уже ;)

    А статья хорошая
     
  10. limpompo

    limpompo Новичок

    Joined:
    27 Aug 2005
    Messages:
    1,402
    Likes Received:
    308
    Reputations:
    453
    Статья дествитьльно очень познавательная
     
    2 people like this.
  11. w4rd3n

    w4rd3n Banned

    Joined:
    6 Oct 2005
    Messages:
    143
    Likes Received:
    3
    Reputations:
    -4
    И у уого еще каспер стоит в роде фаервола???
    Я просто вчера потер зонеАларм така как он меня жутко заеб*л.
     
  12. DRON-ANARCHY

    DRON-ANARCHY Отец порядка

    Joined:
    4 Mar 2005
    Messages:
    713
    Likes Received:
    142
    Reputations:
    50
    Не знаю, как там антикакер, но антивирус каспера-зе бест! =))))))))))))))
     
  13. Happer

    Happer New Member

    Joined:
    25 Feb 2006
    Messages:
    24
    Likes Received:
    3
    Reputations:
    0
    2Elekt
    а Wipfw так не тестил? фаер тоже набирает популярность, хотелось бы знать уровень безопасности
     
  14. DRON-ANARCHY

    DRON-ANARCHY Отец порядка

    Joined:
    4 Mar 2005
    Messages:
    713
    Likes Received:
    142
    Reputations:
    50
    #14 DRON-ANARCHY, 1 Apr 2006
    Last edited: 1 Apr 2006
  15. KEZ

    KEZ Ненасытный школьник

    Joined:
    18 May 2005
    Messages:
    1,604
    Likes Received:
    754
    Reputations:
    397
    хреновая статья
    автор ты хоть сам в курсе что такое приоритет потока, Syn-фрейм и низкоуровневую обработку Igmp ?
     
  16. nc.STRIEM

    nc.STRIEM Members of Antichat

    Joined:
    5 Apr 2006
    Messages:
    1,036
    Likes Received:
    347
    Reputations:
    292
    а че по поводу фаера от McAffe ктонибуть проверял, или пользовался ???
     
  17. asm33

    asm33 Elder - Старейшина

    Joined:
    19 Jan 2006
    Messages:
    55
    Likes Received:
    7
    Reputations:
    4
    Есть еще такой фаер CORE FORCE, дык даже nmap не может ничего просканить :(((
     
  18. ground_zero

    ground_zero Elder - Старейшина

    Joined:
    11 Oct 2006
    Messages:
    398
    Likes Received:
    85
    Reputations:
    5
    Core Force хм ... ставил этот фаер Ids напроч отсутствует с защитой Arp тоже не всё так гладко толи она есть толи её нет толком не понятно одним словом комунити решение ... впрочем ничево плохова сказать не могу
     
  19. AzzkyAspid

    AzzkyAspid New Member

    Joined:
    21 Mar 2007
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    Обновить бы статьи... Вот интересным обещает быть знакомство с Comodo Firewall (всё-таки бесплатный, а говорят мощный).
    Да и Zone Alarm заматерел, вес набрал, но держит ли он форму???

    KIS юзал. Вроде бы неплох, но, может быть, просто серьезно никто не лез...

    А так то, что есть очень познавательно! По крайней мере вывились критерии подбора межсетевого экрана...
     
  20. GreenBear

    GreenBear наркоман с медалью

    Joined:
    7 May 2005
    Messages:
    2,547
    Likes Received:
    1,398
    Reputations:
    612
    http://www.matousec.com/projects/windows-personal-firewall-analysis/
    вот тут еще есть =)