Идентификация брандмауэров
Предотвращение
Для того чтобы предотвратить сканирование портов брандмауэра из Internet, нужно заблокировать эти порты на маршрутизаторе, расположенном перед брандмауэром. Если эти устройства управляются вашим провайдером услуг Internet, то этот вопрос придется согласовать с ним. Если же вы самостоятельно управляете маршрутизатором, то для явного блокирования попыток сканирования воспользуйтесь следующим списком ACL компании Cisco.
access-list 101 deny tcp any any eq 256 log! Блокирование сканирования Firewall-1 access-list 101 deny tcp any any eq 257 log! Блокирование сканирования Firewall-1 access-list 101 deny tcp any any eq 258 log! Блокирование сканирования Firewall-1 access-list 101 deny tcp any any eq 1080 log! Блокирование сканирования Socks access-list 101 deny tcp any any eq 1745 log! Блокирование сканирования Winsock
Если вы заблокируете порты Checkpoint (256-258) на пограничных маршрутизаторах, то не сможете управлять брандмауэром по Internet. Администратор Cisco может без особых проблем применить вышеперечисленные правила. Нужно просто перейти в режим редактирования параметров и ввести по очереди предыдущие строки. После этого необходимо выйти из режима редактирования и ввести команду write, чтобы внесенные изменения были внесены в конфигурационный файл.
Кроме того, на всех маршрутизаторах в любом случае должно быть задано правило очистки (если они не препятствуют поступлению пакетов по умолчанию), которое имеет тот же смысл, что и приведенная ниже операция.
access-list 101 deny ip any any log! Запрещение и регистрация любого пакета, удовлетворяющего приведенному списку ACL
Отслеживание маршрута
Более скрытый и изощренный метод поиска брандмауэров в сети заключается в использовании утилиты traceroute. Для поиска каждого сегмента пути к целевому узлу можно воспользоваться утилитой traceroute системы UNIX или аналогичной утилитой tracert.exe системы NT. Затем на основании полученной информации можно сделать некоторые логические предположения. В версии утилиты traceroute из системы Linux имеется параметр -I, при указании которого для поиска сегментов будут посылаться пакеты ICMP, а не UDP-пакеты, используемые по умолчанию.
[sm]$ traceroute – I 192.168.51.100 traceroute to 192.168.51.101 (192.168.51.100), 30 hops max, 40 byte packets 1 attack-gw (192.168.50.21) 5.801 ms 5.105 ms 5.445 ms 2 gwl.smallisp.net (192.168.51.1) 3 gw2.smallisp.net (192.168.52.2) 13 hssi.bigisp.net (10.55.201.2) 14 seriall.bigisp.net (10.55.202.1) 15 192.168.51.101 (192.168.51.100)
Особого внимания заслуживает сегмент, предшествующий целевому узлу (10. 55.202.1). Почти наверняка по этому адресу находится брандмауэр, однако для полной уверенности в этом необходимо выполнить некоторые дополнительные исследования.
Предыдущая команда предоставит большое количество информации, если маршрутизатор, расположенный между целевым сервером и компьютером взломщика, отвечает на пакеты, время жизни которых, определяемое значением TTL (Time-To-Live), истекло. Однако некоторые маршрутизаторы и брандмауэры настроены таким образом, что они не возвращают lCMP-пакеты в ответ на поступившие ICMP- и UDP-пакеты с истекшим временем TTL. Все, что в данном случае можно сделать, – это воспользоваться утилитой traceroute и посмотреть на последний сегмент полученного маршрута. Этот узел может оказаться полнофункциональным брандмауэром или, как минимум, первым маршутизатором пути, с которого началось блокирование пакетов с истекшим временем TTL. В приведенном ниже примере произошло блокирование передачи ICMP-пакетов источнику назначения. Как следствие, данные о маршрутизаторах, расположенных на пути к целевому узлу дальше маршрутизатора client-gw.smallisp.net, в полученной информации отсутствуют.
1 stoneface (192.168.10.33) 12.640 ms 8.367 ms 2 gwl.localisp.net (172.31.10.1) 214.582 ms 197.992 ms 3 gw2.localisp.net (172.31.10.2) 2C6.627 ms 38.931 ms 4 dsl.localisp.net (172.31.12.254) 47.167 ms 52.640 ms 14 ATM6.LAX2.BIGISP.NET (10.50.2.1) 250.030 ms 391.716 ms 15 ATM7.SDG.BIGISP.NET (10.50.2.5) 234.668 ms 384.525 ms 16 client~gw.smallisp.net (10.50.3.250) 244.065 ms!X * * 17 * * * 18 * * *