|
|
|
|
Des firewalls
(filtres IP ou proxies applicatifs) peuvent bloquer l�acc�s � certains
services ou � certaines machines. Pour les contourner, et donc acc�der aux
services priv�s potentiellement moins s�curis�s, plusieurs techniques:
|
|
-usage de ports sources sp�ciaux (filtres IP):
mauvaises r�gles autorisant en entr�e les paquets ayant un port source donn�
(20 -> FTPDATA pour TCP, 53 -> DNS pour UDP).
|
|
-Rebonds � partir de proxies applicatifs ou de
services ouverts vers machines prot�g�es:
|
|
-les firewalls de type proxies applicatifs
(Gauntlet, socks, �) ou les proxies d�optimisation (caches HTTP, �) peuvent
�tre mal configur�s et autoriser les clients ext�rieurs � se connecter au
service de proxy, et effectuer des connexions vers d�autres machines � partir
du proxy. En particulier, proxy HTTP vers intranet ou vers autres machines
DMZ. GET http://10.0.1.108:8080/ HTTP/1.0 , �
|
|
-Certains services publics peuvent offrir des
possibilit�s de rebonds: FTP bounce scanning. Un serveur FTP
��classique�� (Solaris) permet d�ouvrir une connexion TCP vers
n�importe quel port de n�importe quelle machine. PORT, RETR, �
|
|
-Fragmentation IP: IP offre une fonctionnalit�
de fragmentation des paquets pour s�adapter au MTU du lien. En d�coupant un
paquet pour que les informations de d�cision (Accepter / Refuser) soient
situ�es hors du premier fragment, on peut passer certains filtres. Ces
filtres ne font pas de r�assemblage (d�fragmentation) pour des raisons de
performance.
|
|
-S�mantique de la d�fragmentation: chaque
fragment est replac� dans la cha�ne des fragments par un champ qui sp�cifie
l�offset du premier octet du fragment dans le paquet. Comment doit se
comporter le filtre si des fragments se chevauchent, en recouvrant par
exemple les informations de d�cision du pr�c�dent? Les stacks IP r�agissent
de fa�on diff�rente (d�o� le nom de ��s�mantique��).
|
|
-Bugs des stacks IP ou des firewalls: nombreux
exemples, peu de firewalls n�ont jamais �t� touch� par des bugs de conception
ou d�implantation
|
|
-Checkpoint FW 4.0 et ant�rieurs: encapsulation
FWZ permet d�envoyer au FW des paquets non routables, qui seront pass�s dans
la rulebase comme des paquets normaux
|
|
|
|
|