Wie erkennt eine Firewall ein genattetes paket als solches ?
geschrieben am 09.05.2007 um 16:03 von Otaku19
und zwar folgender (theoretischer) Setup:
10+Clients - NAT Device - SonicWall
Angeblich schafft es eine auf 10 User lizensierte Sonicwall auch hinter einem NAT Deviceversteckte User zu enttarnen, sie lässt dann auch nur die verbindungen von 10 usern gleichzeitig nach draussen zu...
meien frage, wie zum Geier schafft sie das ?
geschrieben am 09.05.2007 um 21:24 von Mirko
Es gibt schon ein paar Ansätze NAT zu erkennen. Auf IP-Ebene wären das Felder wie TOS, Identification und TTL. Pakete mit unterschiedlicher TTL von einem Host sind schon sehr verdächtig.
Bei TCP könnte man sich die Source-Ports, die Sequence-Number, die Window-Size und die Options ansehen. Wenn ein Host mal Window Scaling macht und mal nicht...
Ähnliches dann auch höheren Layer wie HTTP. Zum Beispiel unterschiedliche User Agents.
Das Alles ist allerdings schon recht aufwendig. Also einfach mal ausprobieren.
Mirko
geschrieben am 10.05.2007 um 13:38 von Otaku19
hm, glaube wenn, dann bist du mit dem Tipp richtung IP und TCP Header schon richtig, die Sonicwall kann zwar Layer 7 Inspection, allerdings kann ich mir nicht vorstellen das grade die kleinen Geräte von haus aus deswegen bis in Layer 7 vordringen. Denen geht ja schon bei manch anderer Aufgabe die Puste aus
geschrieben am 10.05.2007 um 13:55 von bewa
hm, glaube wenn, dann bist du mit dem Tipp richtung IP und TCP Header schon richtig, die Sonicwall kann zwar Layer 7 Inspection, allerdings kann ich mir nicht vorstellen das grade die kleinen Geräte von haus aus deswegen bis in Layer 7 vordringen. Denen geht ja schon bei manch anderer Aufgabe die Puste aus
Der mit Abstand beliebteste "Angriffspunkt" für sowas waren eine Zeit lang die TCP-Sequenznummern. Die fangen ja nicht bei 0 an, sondern an einem zufällig gewählten Startpunkt - so wirklich zufällig war das bei vielen Betriebssystemen aber nicht. Daher konnte man mit recht kleinem Analyseaufwand sehen, ob mehrere Betriebssysteme dahinter kommunizieren. Inzwischen ist das überall gepatcht und bietet gegenüber der alten Lösung fast keine Angriffsfläche mehr.
[ Dieses Thema im Live-Forum aufrufen ]
|