Comment les attaquants peuvent-ils contourner les pare-feu?

Les pare-feu ne sont pas "contournés" au sens où Hollywood voudrait vous le faire croire. Ils fonctionnent en vérifiant le trafic entrant et sortant par rapport à un ensemble de règles. Ces règles peuvent être basées sur des métadonnées (par exemple, le numéro de port, l'adresse IP, le type de protocole, etc.) ou des données réelles, c'est-à-dire la charge utile du paquet.

Par exemple:

• Supprimer tous les paquets entrants de l'adresse IP 1.2.3.4
• Supprimez tous les paquets TCP TCP entrants sur le port 22, sauf s'ils proviennent de l'adresse IP 2.3.4.5
• Supprimez tous les paquets entrants TCP avec l'indicateur RST défini, lorsque le numéro de séquence ne correspond pas à celui d'une connexion connue.
• Supprimez tous les paquets NetBIOS entrants et sortants.
• Déposez tous les paquets entrants sur TCP port 80 contenant la chaîne ASCII _ 0x31303235343830303536.

Les pare-feu modernes sont généralement composés des ensembles de règles suivants:

• Ensemble de règles de base - généralement "tout bloquer" suivi d'une liste d'exceptions pour les services/protocoles couramment utilisés (par exemple, les requêtes HTTP sortantes)
• Ensemble de règles personnalisé - un ensemble de règles utilisateur conçues pour remplacer/compléter l'ensemble de règles de base.
• Ensemble de règles de signature - un ensemble de signatures pour éviter les exploits connus. La dernière règle de ma liste en est un exemple: elle détecte l'outil d'injection Havij SQL. Celles-ci remplacent généralement toutes les autres règles. Cet ensemble est analogue à une base de données anti-malware et doit être mis à jour fréquemment.

Le contournement d'un pare-feu n'est pas vraiment quelque chose qui peut être fait. Tout le trafic qui le traverse est filtré selon les règles configurées. Cependant, un pare-feu ne fait que ce qu'on lui dit - un pare-feu mal configuré ou obsolète peut permettre une attaque.

Façons de penser à contourner un pare-feu:

• Contournez-le littéralement. Trouvez un autre point d'entrée sur le réseau qui ne passe pas par le pare-feu. Par exemple, envoyez un malware ou un exploit à un utilisateur interne par e-mail.
• Exploitez un pare-feu mal configuré en créant des paquets qui ne déclenchent pas les règles. Difficile, mais potentiellement possible.
• Envoyez des charges utiles d'exploitation personnalisées à la cible sur un port ouvert. Les pare-feu ne peuvent identifier que les exploits connus.

Le moyen le plus simple de contourner un pare-feu est ce que l'on appelle les attaques "côté client". Si un ordinateur du côté protégé du pare-feu établit une connexion valide avec un attaquant, rien ne déclenche une règle de pare-feu typique. Par exemple, si un ordinateur doté d'un pare-feu établit une connexion HTTP sur le port 80 avec un site Web conçu pour exploiter les vulnérabilités du navigateur (ou Java), il n'y a pas grand-chose que le pare-feu puisse reconnaître comme malveillant: le trafic Web sur un port Web.

Une fois que vous avez pris pied dans le réseau, l'attaquant peut configurer des tunnels chiffrés qui passent à travers le pare-feu sur les ports autorisés, ce qui est un autre type de "contournement".

Sur le sujet des attaques directes par pare-feu, toolsexist pour cartographier la configuration d'un pare-feu pour différents ports. Avec ces informations, le trafic peut être configuré pour traverser le pare-feu. Au niveau le plus simple, la fragmentation des paquets peut être efficace pour ne pas déclencher divers pare-feu et IPS ensembles de règles car chaque paquet ne contient pas suffisamment de données. Le pare-feu doit être configuré pour stocker l'ensemble des paquets fragmentés avant inspection.

La réponse dépend vraiment de votre définition du "contournement".

Le facteur le plus important pour assurer un pare-feu offre une protection maximale est de s'assurer qu'il est configuré de manière appropriée. Un pare-feu est un périphérique stupide dans le sens où vous devez configurer ce que vous souhaitez qu'il autorise à traverser/bloquer. Un pare-feu mal configuré laissera des trous béants dans votre surface d'attaque. Si un attaquant entre, ce n'est pas la faute du pare-feu; il faisait juste ce qu'on lui avait dit. On pourrait faire valoir que le pare-feu n'a pas été techniquement "contourné" car il n'a jamais été dit de restreindre le trafic concerné en premier lieu.

En fonction de l'ensemble de fonctionnalités du pare-feu, il vous permettra uniquement de restreindre l'accès de certaines manières. Bien que certaines techniques de pénétration puissent essayer d'exploiter une vulnérabilité ou une faiblesse du logiciel du pare-feu - que je suppose que vous pourrait classer comme "contournant" - la majorité des techniques se concentrent sur l'exploitation de pare-feu mal configurés (voir le point ci-dessus ) ou des systèmes situés derrière le pare-feu. Par exemple, si vous avez un serveur SSH mal configuré derrière le pare-feu, ce n'est pas la faute du pare-feu que l'attaquant a pu s'authentifier en tant que root avec "mot de passe" comme mot de passe. Le pare-feu a été configuré pour autoriser uniquement l'accès via le port 22 (SSH), il a donc fait son travail. Encore une fois, on pourrait à juste titre affirmer que le pare-feu n'a pas été contourné dans cette situation, mais quelqu'un est toujours entré dans votre réseau.

Certains pare-feu offrent des fonctionnalités plus avancées telles que la prévention des intrusions et le filtrage des couches d'application. IPS les pare-feu tentent de comprendre le contenu du trafic qui circule et bloquent certaines méthodes courantes d'exploitation des faiblesses des systèmes hébergés derrière. Encore une fois, cela dépend d'une configuration soignée pour être efficace. Si vous n'ont pas activé les bonnes protections IPS, ce n'est pas la faute du pare-feu si quelqu'un exploite avec succès cette vulnérabilité. Il existe des techniques de pénétration qui tentent de faire passer le trafic au-delà de ces protections sous une forme qui ne déclencher le blocage, mais exploite toujours la faiblesse. C'est un jeu de chat et de souris similaire à l'antivirus. Je suppose que vous pourriez appeler cela "contourner" le pare-feu.

En bref, un pare-feu n'est aussi bon que l'administrateur qui le configure, et il ne peut que restreindre le trafic en fonction de ses capacités. Cela ne remplace pas le durcissement des systèmes qui se trouvent derrière, c'est là que la plupart des attaques se concentreront.

Les pare-feu sont des éléments essentiels de la sécurité des réseaux. Cependant, la gestion des règles de pare-feu, en particulier pour les réseaux d'entreprise, est une tâche complexe et sujette aux erreurs. Les règles de filtrage du pare-feu doivent être soigneusement écrites et organisées afin de mettre correctement en œuvre la politique de sécurité. De plus, l'insertion ou la modification d'une règle de filtrage nécessite une analyse approfondie de la relation entre cette règle et toutes les autres règles afin de déterminer le bon ordre de cette règle et de valider les mises à jour. L'identification des anomalies dans les configurations de règles de pare-feu est un sujet de recherche très animé et il y a beaucoup de recherches à ce sujet, dont certaines me semblent intéressantes is .

Le but de l'attaquant est d'exploiter ces anomalies dans les configurations de pare-feu et cela se fait par le biais d'empreintes digitales de pare-feu dans lesquelles il envoie un paquet bénin pour deviner les règles du pare-feu et y trouver des failles. Pour empêcher ce type d'exploitation, la plupart des pare-feu sont déployés derrière IPS dans un appel de modèle DMZ où IPS essaie d'empêcher les empreintes digitales du pare-feu par le biais d'heuristiques ou de mesures statistiques (entropie), c'est-à-dire le balayage des ports).