זיהוי המצאות Windows Personal Firewall על גבי מחשב מרוחק

כידוע, Firewall מאפשר לבצע סינון של המידע על פי מספר קריטריונים (לדוגמא: כתובות IP, מספרי פורטים וכו’), יכולותיו של ה-Firewall תלויות בארכיטקטורה שלו ועל גבי איזו שכבת תקשורת הוא פועל. לדוגמא, ניתן תינן להגדיר כי Firewall העובד בשכבה ה-SESSION יסנן מידע העובר ע”ג פרוטוקול HTTP המכיל מילים מסוימות.

בגליון ה-6 של DigitalWhisper ניתן לקרוא מאמר הסוקר את סוגי טכנולוגיות ה-Firewalling השונות והשכבות בהן הן פועלות.

לאחרונה, ביצעתי מחקר קצר בנושא, ושמתי לב כי ה-“Windows Personal Firewall” של מיקרוסופט (המגיע כברירת מחדל עם מערכת הפעלה Windows XP) עובד באופן שונה מ-Firewall של חברות אחרות (בבדיקה נעשה שימוש עם המוצר של Symantec). תצורת עבודתו השונה (שבהמשך הפרט עליה), מאפשרת לאדם היושב על מחשב מרוחק לזהות המצאות שלו על גבי המחשב המותקף, נתון זה כשלעצמו אינו מהווה סיכון, אך במידה ותמצא חולשה בקוד של התוכנה ניתן יהיה לאתר מחשבים פגיעים בעזרת טכניקה זו.

הבדיקה עצמה, כללה התקנת Netcat על 2 מחשבים כאשר אחד מוגדר כ-Client והשני כ-Server וביצוע התקשרות דרך פורט מסוים בין שניהם.

בשלב הראשון, על מחשב ה-“Server”, הרצתי את Netcat באופן הבא:

Nc.exe –L –p 5000

השלב השני כלל חסימת הפורט בתוכנת ה-Firewall אותן בדקתי:

(חסימת הפורט ב-“Windows Personal Firewall” של מערכת ההפעלה)

(חסימת הפורט ב-“Endpoint Protection” של Symantec)

והשלב השלישי כלל ניסיון התחברות לפורט החסום בעזרת Netcat ממחשב ה-“Client”, באופן הבא:

Nc.exe IP.IP.IP.IP 5000

כאשר נחסם פורט מסוים דרך ה-Firewall של Symantec על מחשב ה-Server, ניתן היה לראות (תוך צפייה ב-Wireshark המותקן על מחשב ה-Client) כי לאחר שליחת הודעת SYN ממחשב ה-Client (דרך הפורט שהוגדר כחסום) למחשב ה-Server, לא התקבלה שום הודעה ממחשב ה-Server למחשב ה-Client:

אך לעומת זאת, כאשר נחסם פורט מסוים דרך ה-Firewall של מיקרוסופט על מחשב ה-Server, ניתן היה לראות (תוך צפייה ב-Wireshark המותקן על מחשב ה-Client) כי לאחר שליחת הודעת SYN ממחשב ה-Client (דרך הפורט שהוגדר כחסום) למחשב ה-Server, מחשב ה-Server החזיר הודעת RST:

ההבדל בין התגובות מאפשר לנו, בתור תוקפים, לדעת מרחוק איזו תוכנת אבטחה חוסמת אותנו.

כאמור, זיהוי מוצר ספציפי המותקן על מחשב אינו חולשה בפני עצמו, אך על סמך מידע זה ניתן להרכיב וקטור תקיפה יעודי, המנצל חולשות הידועות מראש באותו המוצר.

לקריאה נוספת:

• http://hcsw.org/nmap/QSCAN

• http://www.antionline.com/showthread.php?247707-firewall-detection-and-network-probing

פוסט זה נכתב ע”י יניב מרקס.