Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Netzwerkkomponenten

 
Wie erkennt eine Firewall ein genattetes paket als solches ?

geschrieben am 09.05.2007 um 16:03 von Otaku19

und zwar folgender (theoretischer) Setup:

10+Clients - NAT Device - SonicWall

Angeblich schafft es eine auf 10 User lizensierte Sonicwall auch hinter einem NAT Deviceversteckte User zu enttarnen, sie lässt dann auch nur die verbindungen von 10 usern gleichzeitig nach draussen zu...

meien frage, wie zum Geier schafft sie das ?
 

geschrieben am 09.05.2007 um 21:24 von Mirko

Es gibt schon ein paar Ansätze NAT zu erkennen. Auf IP-Ebene wären das Felder wie TOS, Identification und TTL. Pakete mit unterschiedlicher TTL von einem Host sind schon sehr verdächtig.

Bei TCP könnte man sich die Source-Ports, die Sequence-Number, die Window-Size und die Options ansehen. Wenn ein Host mal Window Scaling macht und mal nicht...

Ähnliches dann auch höheren Layer wie HTTP. Zum Beispiel unterschiedliche User Agents.

Das Alles ist allerdings schon recht aufwendig. Also einfach mal ausprobieren.

Mirko
 

geschrieben am 10.05.2007 um 13:38 von Otaku19

hm, glaube wenn, dann bist du mit dem Tipp richtung IP und TCP Header schon richtig, die Sonicwall kann zwar Layer 7 Inspection, allerdings kann ich mir nicht vorstellen das grade die kleinen Geräte von haus aus deswegen bis in Layer 7 vordringen. Denen geht ja schon bei manch anderer Aufgabe die Puste aus
 

geschrieben am 10.05.2007 um 13:55 von bewa

"Otaku19" wrote:
hm, glaube wenn, dann bist du mit dem Tipp richtung IP und TCP Header schon richtig, die Sonicwall kann zwar Layer 7 Inspection, allerdings kann ich mir nicht vorstellen das grade die kleinen Geräte von haus aus deswegen bis in Layer 7 vordringen. Denen geht ja schon bei manch anderer Aufgabe die Puste aus


Der mit Abstand beliebteste "Angriffspunkt" für sowas waren eine Zeit lang die TCP-Sequenznummern. Die fangen ja nicht bei 0 an, sondern an einem zufällig gewählten Startpunkt - so wirklich zufällig war das bei vielen Betriebssystemen aber nicht. Daher konnte man mit recht kleinem Analyseaufwand sehen, ob mehrere Betriebssysteme dahinter kommunizieren. Inzwischen ist das überall gepatcht und bietet gegenüber der alten Lösung fast keine Angriffsfläche mehr.
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 13.05.2019