透过不同结构的防火墙进行后门的放置

这篇文章描述了透过不同结构的防火墙放置后门。不管怎样，这篇文章也能告诉您在其他环境中，黑客是怎样掩饰他们进入一个系统的。

黑客总想保留进入他们已攻破的系统的能力，即使目标主机更新了防火墙或修复了已知弱点。要实现这一点，攻击者必须要安装一个后门，而且他一定能工作并且不容易被发现。后门的种类要视目标主机的防火墙的类型而定。

作为一个机关和proof-of-concept，一个好的后门对于任何入侵方法都有效。

防火墙结构:

这里将提到两个基本的防火墙结构并且每一个都有一个增强版本。

包过滤：

这是基于主机或路由器的，他依照允许/拒绝的规则在包穿过正确的界面之前检查每一个包。有很简单的一种他只能过滤源主机，目的主机和目的端口，更有一种也能决定基于界面，源端口，时间和简单的tcp/ip 标志。这能够是个简单的路由器，（任何CISCO类型），或是个打开防火墙功能的LINUX主机。

正式的过滤器（Stateful Filters）：

这是包过滤的增强版本。他仍然依照规则对包进行同样的检查且只对允许的包进行路由，但他也记录诸如IP序列号这样的信息。应用协议允许欺骗诸如在内部网中为被指定在特定FTP会话的ftp-data通道而打开的端口。这些过滤器能（或多或少的）使UDP包（DNS，RPC）安全的通过防火墙。（这是因为UDP不是面向连接的协议。并且对RPC服务更是如此）这能够是个大型的带IP包过滤的OpenBSD主机，一个CISCO PIX，堡垒主机，或是著名的Checkpoint FW-1（一个防火墙程式）。

代理/电路级网关：

一个代理防火墙主机能够是任何没有路由功能的但有代理功能的服务器。代理服务器可用来代理WWW服务请求，一个发送邮件中继或就是个SOCKD。

应用网关：

这是代理服务器的增强版本。就象一个代理服务器，一个起代理作用的程式被安装后，每个应用都将以被代理的方式通过防火墙。不管怎样，应用网关很实用并且检查每一个请求和应答，比如一个FTP会话能够单向传输数据但不能双向传输数据，并且下载后数据没有病毒，应答时没有缓冲区溢出发生等等。有人会说SQUID是个应用网关，因为他做许多安全的检查且他让您过滤一切，但他并不是为在安全环境中的设备所编写的，他更有许多bug。对此，一个好的免费软件包是TIS防火墙工具包。

提供商在市场上卖的防火墙，许多都是复合型的，这意味这他们有比单一型多的功能；比如IBM防火墙是个简单的带SOCKS的包过滤和一些代理功能的防火墙。 我不想说那一个防火墙是最好的，因为本文不是一篇如何购买防火墙的文章，但我要说，到现在为止应用网关是最安全的，尽管（因为）价钱，速度，附加协议，开放网络策略等原因，愚蠢的经销商，笨拙的管理部门可能不考虑他们。

进一步

在我们讨论后门是什么之前，我们将弄明白怎样在第一时间穿过防火墙。注意，穿过防火墙对于哪些“script-kiddies”（注：真正的HACKER对那些只会模仿的--水平低下的年青人的谑称）来说并不是很容易的事，这必须经过仔细而周密的计划。

有4种可能性：

内部的人：有一些人在公司的内部（您，男/女朋友，同居者）由他们安装后门，这是最简单的方法。

易受攻击的服务：

几乎任何的网络都提供各种各样的服务，象邮件发送服务，WWW，DNS，这些服务可能由防火墙主机本身提供，或在DZM的主机（这区域在防火墙前端，常常不受防火墙保护），内部主机提供。假如一个攻击者能在这些服务中找到漏洞，他已得到了进入系统的大好机会。您可能在笑，假如您看到有许多防火墙在运行邮件中继。

易受攻击的外部服务：

在防火墙后面的人有时工作在外部主机。假如一个攻击者能黑了这些外部主机，他能导致对系统的严重的损害，比如，假如目标主机通过X中继或sshd使用他（外部主机）将导致X攻击。攻击者也能发送伪装的FTP应答使FTP客户端程式的缓冲区产生溢出，在WEB服务器端替换一个GIF图象使netscape死机并且执行一个命令（我从没有检查过他是否真的工作，netscape是否死机，YEAH，但我不知道他是不是个可利用的溢出)。

有许多可能性，但需要一些公司的信息。不管怎样，通常一个公司内部的WEB服务器是个好的开端。一些防火墙被配置成能够允许从一些机器上用TELNET连接，因此任何人能嗅探并得到他。对于美国这是特别的事实，在那里大学院校和工业部门/军队一起工作。

截获连接：

许多公司认为他们假如在一些安全认证的基础上比如SecureID（安全？）允许TELNET进入，他们是安全的。

任何人能在认证结束后截获这些（安全认证）并进入。其他截获连接的方法是修改协议启用时的应答用来产生一个溢出（X）。

后门：

许多事情能够用一个特洛依木马。他能够是个GZIP文档，他产生一个缓冲区溢出（需要一个老版本的GZIP才能安装），一个TAR文档窜改 ~/.LOGOUT 执行一些命令，或修改一个可执行的或源代码使攻击者以某种方式进入。 让某人运行这些，可使用邮件电子欺骗或在内部服务器上放置“originals”，外部职员访问内部服务器并有规律的更新他们的软件（能够检查FTP XFER 文档和WWW 日志以得知他们是哪个文档）。

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!