廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2309 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
t0306894 手機
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎
頭銜:
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[Server][討論] Windows XP 內建的 ICF
Windows XP 內建了一個 ICF(Internet Connection Firewall)防火牆。ICF 是一套非常好用的個人防火牆,能夠防止 Internet上大部份的攻擊,然而缺乏細部的控制,對於進階使用者的限制太多。誠如他們所說,You can't live with it, you can't live without it.

在這篇文章是以實驗的方式來測試防火牆,並且讓駭客(安全測試員) 看看這套防火牆的功效。以下將簡介 ICF 並以模儗攻擊來看看 ICF 的成效,以及討論 ICF 的優缺點。

ICF 簡介

ICF 是為一套狀態檢視防火牆(stateful packet filter) ,比傳統的封包過濾器更具有廣泛的設定規則。ICF ruleset 預設上是非常安全的,且拒絕所有來自 Internet的流量,包含 ICMP echo requests (ping 封包)。對於企圖探測你的機器的攻擊者而言,像是看不見一樣。

設定"services" 或使用 ICF API 可手動修改 ICF ruleset。ICF 包含標準的服務,如FTP和 HTTP。除此之外,ICF 允許新增自定的服務通訊埠,然而此 ruleset缺乏一項重要的設定,就是無法針對某個特定的 IP 位址進行存取設定。如果你允許 HTTP 服務 PORT 80 的存取需求,便可讓全世界的人都可以連到你機器上的 PORT 80。你無法限制某個IP 或某個範圍的 IP 位址來作存取需求。這可以說是 ICF 重大的缺點。

除了手動設定 ruleset,ICF 包含一個 API 可允許應用程式暫時修改 ruleset。這是個很好也是很可怕的特色。好的原因是因為它允許應用程式如 Windows messenger 可以跟ICF互動。這對於會開啟任意通訊埠的應用程式是非常有用的。 同時,大部份的安全專家對於應用程式能修改規則集,會提出安全性的警告。不過人們常會抱怨使用 ICF API 時,需要管理者的權限。如果你的 Windows XP 帳號是一個受限的帳號,應用程式會無法使用ICF API 修改 ICF ruleset。

關於 ICF API 的資訊可參閱

About Internet Connection Sharing and Internet Connection Firewall.

... ection_firewall.asp

最後,ICF 除了標準的有狀態性的封包過濾之外,還有某些額外的安全檢查,如:

1.強制一個 3-way handshake - 這對於防止特殊的掃描技術是很有用的。

2.拒絕不可能會出現的 TCP flag 選項。(如同時擁有 SYN 和 FIN 位元的封包 - 防止無效封包的 IP 堆疊攻擊。

3.使用 Raw Sockets 和 IP_HDRINCL 選項,防止 IP 欺騙 - 有效防止某些型態的分散式阻斷服務攻擊。

微軟官方 ICF 的簡介,請參閱 Internet Connection Firewall overview

... anding_firewall.asp

攻擊 ICF

為了測試的需要,我們使用 Windows XP 網路並啟用 ICF。但不以 ICS(Internet connection sharing)開啟 ICF,並使用一般的設定。攻擊採用兩種方式,一種是從 Internet,另外一種是從本機。

工具

我們使用下列工具作為測試使用:

1. ISIC - IP 堆疊完整性檢查



2. FSCAN - Windows 平台通訊埠掃描



3. Nmap - 通訊 ..

訪客只能看到部份內容,免費 加入會員 或由臉書 Google 可以看到全部內容




介紹大家一個透過facebook來玩的網頁遊戲 : 海盜王
獻花 x0 回到頂端 [樓 主] From:台灣中華電信 | Posted:2005-02-10 13:49 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.054112 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言