Como testar seu Firewall?

Aproveitei pra tirar esta mensagem da lista de discussao Pericia Forense. Um post muito interessante.

Re: RES: [Perícia Forense] Testar Firewall
Enviado por: “Martin Fallon” mar_fallon@yahoo.com.br mar_fallon
Sex, 14 de Dez de 2007 8:24 am
Como vai, pessoal?

Deixa eu dar meus dois cents quanto a isso…

Inicialmente é bom ter um objetivo mais claro quanto a um teste de firewall… por exemplo, testar firewall pra ver se ele bloqueia portas? Se a máquina dele aguenta tráfego? Se as regras tão ok? Enfim ter um foco em mente.

Então, é imprescindível que se determine objetivos para se chegar a resultados bem focados.

Sobre bloqueio de portas, você pode usar o NMAP e suas features para ver se o bloqueio é consistente.

Pode ainda executar ataques de SYN/FYN/HALF Scan para ver se o firewall exige conexão estabelecida ( -m state –state ESTABLISHED em iptables). Isso é importante em vários casos como, por exemplo, impedir convert channel que se utiliza apenas de pacotes SYN ou ACK.

Voce pode ainda checar se a pilha tcp/ip do sistema operacional hospedeiro randomiza os valores de IPID e Serial Number de modo efetivo(um Iddle Scan pode te mostrar isso).

O tráfego de saída deve seguir a mesma metodologia, se você utiliza um firewall statefull pode determinar se determinados tipos de pacotes não saem da rede,
como pacotes ICMP, isso pode ser bem observado usando uma ferramenta chamada HPING.

Você pode ainda “stressar” teu firewall pra ver se ele aguenta o rojão e se ele não tem uma policy que permita que pacotes “fujam” caso a pilha tcp/ip esteja entupida. Há uma ferramenta chamada FTESTER (procure outras ferramentas de stress de firewall também).

Ainda sobre as policies é bom setar daemons e tentar conexões em portas não-padrão, especialmente UDP.

Além disso é bom ver como o firewall se comporta com pacotes TCP/IP “inválidos”(por isso staatefull é importante), há várias ferramentas que permitem isso como ISIC e PACKIT(http://www.packetfa ctory.net/)

Um aspecto que jamais deve ser esquecido é setar corretamente as zonas e impedir que endereços internos sejam acessíveis de fora. Por exemplo, se alguém na internet tiver o mesmo IP da DMZ, se o firewall bloqueia corretamente “sabendo” que nenhum endereço da
DMZ poderia vir pela interface externa(muita gente vacila nesse ponto!).

Pra finalizar, lembre-se sempre que firewall é um software como outro qualquer sujeito a falhas. Então, muita atenção em programas que trabalham em cima de firewall como libpq(muito usada em MSN Sniffers) e outros módulos/devices que podem tornar o
firewall inseguro e o próprio sistema operacional onde o firewall está rodando ser uma verdadeira ameaça a segurança da rede.

Vejo muito hoje em dia se venderem caixinhas que fazem
mil e uma maravilhas como Firewall, Proxy, POP, IMAP, IDS, Controle de Banda e etc tudo numa máquina só, podendo ser facilmente vitimadas. Então, muita atenção
nessas coisas, uma boa prática de segurança é rodar um firewall pra ser apenas firewall, nada mais do que isso.

Isso tudo se aplica a nível de firewall para servidores, quanto a firewalls pessoais, sinceridade. . não se deve confiar nele, ainda mais vivendo na era de XSS Worm, e java applets e ActiveX rodando em tudo quanto é buraco. Até Flash, Adobe Reader e etc abrem
conexões hoje em dia e podem ser usados como vetores de ataques e backdoors. Então, a nível de firewall pessoal, é na base da confiança mesmo. Deve-se setar os programas que deseja acessar a internet(teoricamente só os browser) e os demais sempre pedir confirmação.

Se você for paranóico pode até mesmo fazer com que o browser figure fora da lista…:).

Um cordial abraço a todos,

Martin Fallon.

> —–Mensagem original—- –
> De: PericiaForense@ yahoogrupos. com.br
> [mailto:PericiaForense@ yahoogrupos. com.br] Em nome
> de Rodrigo Hashimoto
> Enviada em: quinta-feira, 6 de dezembro de 2007
> 15:31
> Para: periciaforense@ yahoogrupos. com.br
> Assunto: [Perícia Forense] Testar Firewall
>
> Olá Pessoal,
>
> Configurei um firewall e gostaria de saber como
> posso testá-lo para ver o
> quanto está seguro?
>
> Se alguém tiver alguma idéia post aqui por favor.
>
> Obrigado
>

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s