Przebic sie przez firewalla

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
Awatar użytkownika
kktm
CCIE
CCIE
Posty: 2025
Rejestracja: 20 paź 2004, 14:43
Lokalizacja: Wrocław

Przebic sie przez firewalla

#1

#1 Post autor: kktm »

Problem:

w jaki sposob nawiazac tunel z miejsca za zasieka firewalow stanowych, gdzie wypuszczany jest standardowy ruch (co niektore- 80,25,53,110,995,443,22).

Oczekiwanie nawiazac tunel do innego miejsca (czytaj domu), idealnie by bylo jeszcze aby pozniej z tego miejsca miec dostep spowrotem (czytaj do firmy)- po uprzednim nawiazaniu tunelu.

Znane mi sa rozwiazania w stylu http tuenling, ssh tuneling.

problemiki pomniejsze:
Http tuneling moze byc wykryty obecnie na firewallach (technologie w stylu http port misuse)
dns tuneling - nie wiem jak z wykrywaniem- no i trzeba miec fake'owego dns
ssh tunel- wada- musze wiedziec dokladnie gdzie sie lacze i na ktore porty- a ja chce pachac wszystko w tunel ew cale zakresy portow do dowolnych adresow ip

Moze ktos walczyl z tym z checia zapoznam sie z:
uwagami
nowosciami
dostepnymi programami
innymi sposobami

ps. Pewnie Gorion tuneluje pakiety przez layer 8 iso/osi od dawna :)
"Trust no one"

pjeter
CCIE
CCIE
Posty: 1391
Rejestracja: 17 lis 2003, 17:29

#2

#2 Post autor: pjeter »

ssh tunel- wada- musze wiedziec dokladnie gdzie sie lacze i na ktore porty- a ja chce pachac wszystko w tunel ew cale zakresy portow do dowolnych adresow ip
Nieprawda :P
ssh -D <portlok> <zdalna maszyna>
tsocks (wrapper shella, jest jako paczka np. w debianie)

Konfigurujesz /etc/tsocks.conf zeby wskazywal localhost <portlok>
Odpalasz pozniej:
tsocks <aplikacja>
Tuneluje po automacie.

Ja tak mam i pieknie dziala - dostaniesz sie wszedzie. Nie zawsze trzeba wykorzystywac wrappera tsocks - np. firefox umie rozmawiac bezpostrednio z portem socks. Pod winda tez pieknie dziala - w putty jest tez mozliwosc tworzenia tunelu socks.
http://tinyurl.com/y4jg66 Zaznaczasz "dynamic". Tworzy proxy, ale nie wiem czy jest jakis wrapper pod winde dla aplikacji nie supportujacych socksow. Jesli aplikacja supportuje - dostanie sie wszedzie.

Pamietaj o bezpieczenstwie - kazdy moze korzystac z tego portu. Trzeba go ofirewallowac albo uzyc socks v5 - z autentykacja.

Swego czasu nawet probowalem jakies p2p tak odpalic i dzialalo jak z pelnym dostepem. :))

Ostre, nie ? :))) Ale ciiiiii, bo wiekszosc lamowatych userow o tym nie wie. :)
I wtedy nachodzi portrzeba rate-limitowania portu 22. ;)

PJ
Ostatnio zmieniony 12 sty 2007, 16:45 przez pjeter, łącznie zmieniany 1 raz.

Awatar użytkownika
kktm
CCIE
CCIE
Posty: 2025
Rejestracja: 20 paź 2004, 14:43
Lokalizacja: Wrocław

#3

#3 Post autor: kktm »

pjeter pisze:
Ostre, nie ?

PJ
no :)
"Trust no one"

pjeter
CCIE
CCIE
Posty: 1391
Rejestracja: 17 lis 2003, 17:29

#4

#4 Post autor: pjeter »

Jest wrapper pod winde:
The Hummingbird SOCKS client "socksifies" any TCP/IP application, eliminating the need to re-code applications. Hummingbird Connectivity no-charge software – Connectivity SSL, Connectivity Kerberos, HostTest and Socks.
http://tinyurl.com/y4uh2u

PJ

pjeter
CCIE
CCIE
Posty: 1391
Rejestracja: 17 lis 2003, 17:29

#5

#5 Post autor: pjeter »

idealnie by bylo jeszcze aby pozniej z tego miejsca miec dostep spowrotem (czytaj do firmy)- po uprzednim nawiazaniu tunelu.
Ostre ? Hmmm, w sumie srednio w porownaniu z tym co wymyslilem teraz:

DOM - (internet) ---- Firewall ---- (intranet, firma) - H1

Na obu hostach DOM i H1 musisz miec odpalone serwery ssh.

Najpierw klientem z H1 tunelujesz na zewnatrz do serwera DOM, swoj port 22 z H1 - statyczny tunel. Banał.
Port 22 z maszyny H1 pojawia sie na maszynie DOM na porcie np. 5678
pozniej na maszynie DOM:
ssh -D 1234 DOM:5678
Czyli laczysz sie z DOM do serwera DOM:5678 => H1:22.
Otwiera sie port 1234, ktory jest dynamiczym proxy zaterminowanym na serwerze H1.

Teraz na porcie 1234 hosta DOM masz caly intranet np. firmy. TADAAA!
ssh(socks) over ssh, ale czego sie nie robi dla wygody. :)

Konsekwencje takiego dzialania uzytego niewlasciwie sa tragiczne dla intranetu/firmy.
Tym oto prostym sposobem miliony wydane na firewalle ida sie paść, dzieki 1-nemu otwartemu portowi w kierunku inside->outside ... dzieki byle ktoremu portowi TCP. :)

Powyzsze informacje stanowia wylacznie material edukacyjny i nie powinny byc wykorzystywane w praktyce! :)

PJ

pjeter
CCIE
CCIE
Posty: 1391
Rejestracja: 17 lis 2003, 17:29

#6

#6 Post autor: pjeter »

Moznaby tez prosciej - zestawic np. OpenVPN z H1 do serwera OpenVPN DOM na porcie 53. OpenVPN - malutki, baaardzo konfigurowalny, prosty klient/serwer VPNa. Moze pracowac na TCP lub UDP do wyboru. Ma tez jeden fajowy feature ktory mi sie bardzo podoba:
The tls-auth directive adds an additional HMAC signature to all SSL/TLS handshake packets for integrity verification. Any UDP packet not bearing the correct HMAC signature can be dropped without further processing.
Czyli nasz serwer zdropuje wszystkie pakiety inicjalizacji polaczen, ktore nie sa podpisane wczesniej wygenerowanym kluczem - taki stealth server.

PJ

Awatar użytkownika
enceladus
inner circle
inner circle
Posty: 506
Rejestracja: 27 paź 2003, 14:32
Lokalizacja: Poznan

#7

#7 Post autor: enceladus »

Kiedyś w jednej firmie pokazałem taką metodę ( bo wierzyli w swoje 2 kaskadowo połączone firewall-e) - serwer SSH na porcie HTTPS, połączenie przechodziło przez Websensowe proxy. Efekt był taki, że szef IT był prawie gotów odciąć ludziom internet :) Trzeba mu było wytłumaczyć, że na to praktycznie metody nie ma .... chyba że ktoś będzie zatwierdzał manualnie dostęp do każdej strony w Websensie :)
<: Enceladus :>

Awatar użytkownika
kktm
CCIE
CCIE
Posty: 2025
Rejestracja: 20 paź 2004, 14:43
Lokalizacja: Wrocław

#8

#8 Post autor: kktm »

pjeter pisze:
Ja tak mam i pieknie dziala - dostaniesz sie wszedzie. Nie zawsze trzeba wykorzystywac wrappera tsocks - np. firefox umie rozmawiac bezpostrednio z portem socks. Pod winda tez pieknie dziala - w putty jest tez mozliwosc tworzenia tunelu socks.
http://tinyurl.com/y4jg66 Zaznaczasz "dynamic". Tworzy proxy, ale nie wiem czy jest jakis wrapper pod winde dla aplikacji nie supportujacych socksow. Jesli aplikacja supportuje - dostanie sie wszedzie.
:) musialem upgradowac putty bo w poprzenich nie bylo opcji "dynamic"
ech, moja najbardziej pozadana aplikacja (p2p) wspiera socks5.

---------
Ale cyrk! lama wypuscila osla zakladajac mu skarpety.
"Trust no one"

pjeter
CCIE
CCIE
Posty: 1391
Rejestracja: 17 lis 2003, 17:29

#9

#9 Post autor: pjeter »

enceladus pisze:serwer SSH na porcie HTTPS, połączenie przechodziło przez Websensowe proxy.
Zwykly serwer ssh na 443 ?
Websense jakos przez wccp czy jako primary proxy ktore jako jedyne mialo wyjscie do internetu ? Hmm, mozesz rozwinac dokladniej ?

Jesli chodzi o samego websense'a to najprosciej mozna ominac przez
http://www.jmarshall.com/tools/cgiproxy/ wystawionym gdziekolwiek w sieci po sslu.
Sam przez dwa lata tak omijalem korporacyjne filtry tresci. :)

PJ

pjeter
CCIE
CCIE
Posty: 1391
Rejestracja: 17 lis 2003, 17:29

#10

#10 Post autor: pjeter »

kktm pisze: lama wypuscila osla zakladajac mu skarpety.
Nie nazwalem Cie lama wiec sobie juz nie ublizaj. :)
SOCKS is an abbreviation for "SOCKetS" wiec raczej "gniazdka" ;)

PJ

Awatar użytkownika
kktm
CCIE
CCIE
Posty: 2025
Rejestracja: 20 paź 2004, 14:43
Lokalizacja: Wrocław

#11

#11 Post autor: kktm »

pjeter pisze: SOCKS is an abbreviation for "SOCKetS" wiec raczej "gniazdka" ;)

PJ
e tam
skarpeta to skarpeta :)

anyway spojrz na pierwsza strone artykulu ktory wczoraj czytalem (na dole ) podczas doksztalcania sie ze "skarpet" :) :)

skarpety rozmiar 5
Ostatnio zmieniony 13 sty 2007, 14:52 przez kktm, łącznie zmieniany 1 raz.
"Trust no one"

Awatar użytkownika
enceladus
inner circle
inner circle
Posty: 506
Rejestracja: 27 paź 2003, 14:32
Lokalizacja: Poznan

#12

#12 Post autor: enceladus »

pjeter pisze: Zwykly serwer ssh na 443 ?
Tak. Może być nawet redir.
pjeter pisze: Websense jakos przez wccp czy jako primary proxy ktore jako jedyne mialo wyjscie do internetu ? Hmm, mozesz rozwinac dokladniej ?
Primary proxy mające dostęp do netu.
pjeter pisze: Jesli chodzi o samego websense'a to najprosciej mozna ominac przez
http://www.jmarshall.com/tools/cgiproxy/ wystawionym gdziekolwiek w sieci po sslu.
Sam przez dwa lata tak omijalem korporacyjne filtry tresci. :)
Ja przez SSH łączyłem się do squid-a, gdy PW przycinała pasmo dla portów 80, 8080 :)

Proste metody, a jak cieszą :)
<: Enceladus :>

Awatar użytkownika
glowas
wannabe
wannabe
Posty: 320
Rejestracja: 28 lip 2005, 21:40
Lokalizacja: Bydgoszcz
Kontakt:

#13

#13 Post autor: glowas »

enceladus pisze: Ja przez SSH łączyłem się do squid-a, gdy PW przycinała pasmo dla portów 80, 8080 :)
Ja z kolei obchodziłem filtry stron w firmie wystawiając sobie squida na 80tym ;)
enceladus pisze:Proste metody, a jak cieszą :)
Dokładnie, banalne ale cieszą ;)
Prawie pół mojego zespołu z tego korzystało ;)
Marcin

Awatar użytkownika
wowtek
wannabe
wannabe
Posty: 53
Rejestracja: 29 kwie 2006, 19:23
Lokalizacja: Poznan Bydgoszcz
Kontakt:

#14

#14 Post autor: wowtek »

Najłatwiej jednak było znać dobrego wspierającego zespół adminów i drugiego firewalla tylko dla siebie, zero zmian w polityce i logow... hehe.

Powaznie chyba najskuteczniejsze metody obecnie działają po SSLu od mało wydziwianych SSL-VPN (są free serwerki) po takie dziwactwa które działają po SSLu tworzą sieć która pozwala na połączenia do dowolnych serwerków i dodatkowo anonimizują cię w interenecie :)
Przykład TOR, świetna zabawka nie do zablokowania na FW jeśli dostępny jest SSL, pozwala połączyć się gdziekoliwek bez jakijkolwiek wiedzy adminów, pozwala udostępnić dowolną uslugę na swym PCcie bez wiedzy admina, no i co ważne nie wymaga instalacji żadnego oprogramowania a jedynie odpalenie klienta:)

Straszne... ale prawdziwe...
Na pewnej dużej konferencji dot. security padło pytanie jaki admin/oficer jest wstanie zabronić w swojej korporacji SSL'a po chwili milczenia i żadnego odzewu z sali prowadzący usłyszał głosem adminów z mojej firmy że ja:)

pjeter
CCIE
CCIE
Posty: 1391
Rejestracja: 17 lis 2003, 17:29

#15

#15 Post autor: pjeter »

Prawde gadacie, jednak:
1) mega korporacji nie interesuje zdanie pracownikow - tylko czesc pracownikow (uprawnionych) ma dostep do netu przez proxy - a co sie z tym wiaze moga z dnia na dzien wylaczyc support ssla - albo udostepnic tylko w uzasadnionych przypadkach do okreslonych site'ow - kwestia procedur.
1a) nawet jesli masz znajomego u osob wykonujacych konfiguracje danego kawalka sieci, wszelkie jego zmiany sa zatwierdzane i monitorowane przez ludzi ktorzy siedza po drugiej stronie globu, wiec takie znajomosci nic nie pomoga. Nawet osoby które wykonują zmiany na urządzeniach/FW/proxy nie mają uprawnień RW. RW dostają po spełnieniu procedur - następnie są dogłębnie monitorowani z przeprowadzonych działań.
"Szpilki nie wetkniesz" - bo wylecisz w ciagu kilku dni - najlepiej oddaje sens tych procedur.

2) widzialem juz komercyjne rozwiazania ssl proxy - z punktu widzenia uzytkownika mniej bezpieczenie. Z punktu widzenia firmy - tzw. mile-stone.

PJ

ODPOWIEDZ