Archief - De topics van lang geleden

Stateful Filter

12-01-2004, 18:42 door Anoniem, 9 reacties
Stel ik heb een firewall met een stateful filter. Daar worden ergens tabellen
in bijgehouden over de 'state' van verbindingen. Stel dat ik als aanvaller
bij die tabel kan komen, dan kan ik dat misbruiken, of niet ? (Bijv. een
sessie overnemen)
Reacties (9)
13-01-2004, 14:08 door Anoniem
Eigenlijk wordt dat al aangegeven met het woord stateful,
dat waarden worden bewaard om vergelijkingen te kunnen
maken, in dit geval ter verificatie.

Μπας
13-01-2004, 15:19 door Anoniem
Zie overigens bijvoorbeeld ook ip_conntrack en ip_conntrack_max

Μπας
13-01-2004, 15:29 door SirDice
In theorie is dit mogelijk ja. Je kan alleen niet zomaar bij die
tabellen (of je moet admin zijn op die FW). Dus een remote attacker
zal alles in 1 keer (portnummers, sequencenummers, src ip, dest ip
etc.) moeten raden wil het pakketje er doorheen komen. De kans
dat dat lukt is wel heel erg klein.
13-01-2004, 17:42 door Anoniem
van de vraagsteller:
Stateful inspection gaat ervan uit dat je ook in de berichten kunt kijken.
Hoe zit het dan met versleutelde connecties ?
Is het niet zo dat het heel erg aan de soort communicatie ligt of je de tabel
zou kunnen misbruiken ?
13-01-2004, 21:50 door Anoniem
Versleutelde connecties: man-in-the-middle-attack, zoals met
SSL het geval kan zijn.
14-01-2004, 14:03 door SirDice
Door Anoniem
van de vraagsteller:
Stateful inspection gaat ervan uit dat je ook in de berichten
kunt kijken.
Nee, dat noemen ze content-scanning. Stateful betekent dat de
firewall toegestaan verkeer een bepaalde kant op ziet gaan en dan
vervolgens weet dat er ook nog iets terug moet komen. Dit wordt
gewoon mbv de tcp/ip headers gedaan.
14-01-2004, 16:17 door Anoniem
Okay.
In zo'n tabel staat dan bijv:
* source IP <--> dest. IP
* source port <--> dest port (hmm, lijkt wel een NAT tabel)
* protocol
* fase waarin protocol zich bevind (bijv. verbinding geinitieerd, wacht op
antwoord?)
* nog meer ?

Om op de eerste vraag terug te komen: als ik de tabel kan lezen heb ik daar
niet veel aan, als ik de tabel ook kan beschrijven wel want dan zet ik bijv.
mijn IP erin om een sessie over te nemen, right ?
Thx !
15-01-2004, 13:40 door Anoniem
Wrong...je moet ook aan de tcp sequense numbering denken...je kunt niet
simpelweg met een combi van source ip en source poort etc...een tcp
sessie overnemen.

Meer over dit en tevens een classic in hacking...(k.mitnick)
http://www.networkcomputing.com/unixworld/security/001.txt.html
15-01-2004, 18:01 door Anoniem
THX !
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search