AVG Internet Security – Firewall Bypass

Pershendetjeeeee,
ja ku po i kthehemi dhe njehere siguris,… kesaj rradhe me nje teme goxha te veçant e cila evitohet te trajtohet nga te gjithe pak a shum pasi nga njera ane, jane kompanit qe prodhojn firewalle \ IDS \IPS \NIDS, dhe spara duan keto lloj materialesh e nga ana tjeter dhe ata qe perdorin teknika per bypass apo firewalking siç quhen nuk duan te hapin edhe aq shume informacion pasi vete ata jane si shefa sigurie ne ndonje kompani dhe keto jane pak informacione te rezervuara :)
Une nuk mbaj pergjegjesi per perdorimin e tyre per qellime negative, keto jane vetem per zhvillimin e horizontit dhe zgjerimin e njohurive.
Kesaj teme do i drejtohemi ne 2 prespektiva te ndryshme, ne prespektiven e atij qe thjesht po teston qe do e quajm PLAYER, e ne prespektiven e atij qe realisht i intereson dhe merret me keto pune.. Penetration Testerit apo “Hackerit” siç quhet nga masa..
Kjo teme nuk eshte per script kiddiez keshtu qe nese jeni duke lexuar, go sql-inject something xD.

PLAYER

Ne kete nivel jam dhe une qe po beja qejf (testing) me firewallin e shokut tim i cili ka nje windows xp :( + avg internet security te fundit, e as nuk di se kush eshte i fundit pasi nuk me interesojn antiviruset te gjith ta shpifin pa perjashtim.Keshtu qe meqenese ata ta shpifin thash ti hedhim nje sy firewallit..
Kjo pak a shum eshte pamja kur kemi te bejm me nje network ku kemi nje firewall hardware dhe nje kompiuter mbas tij..

Por rasti im nuk eshte ky, ne kete rast ku une duhet te luaj pak me kompiuterin , vete hosti (kompiuteri) eshte firewall dhe luan rolin e tij duke filtruar lidhjet me networkun qoft te brendshem qoft te jashtem.
Keshtu qe , do merremi pak me firewallin.
Per te mos e komplikuar shume si teme , po permend vetem ato qe mund ti behen ketij firewalli me nje aplikacion te njohur si nmap (po i le menjan hping3, ftester, firewalk etj)
Le te testojm dhe firewallin tone…
Ne kete rast, une kam ip 192.168.1.100 kurse viktima ka ip 1 me shum (192.168.1.101).
Ne keto raste e dime qe firewalli meqenese eshte i axhornuar dhe eshte i vitit 2009 e dime qe do te bej filtrim dhe e rendesishme eshte per ne qe mos te regjistrohen loget e skanimit ne firewall, normale bypass dmth qe duhet te bypass-ojm rregullat e firewallit \filtrimit keshtu qe si i behet?
Per kete na vijn ne ndihm keto opcione tek nmap (v 4.7x)
-T (T0 deri tek T5)
-f ose –mtu
-D , decoy
dhe si gjithmon tradicionali half-open scan me opcionin -sS (SYN Scan).
-T eshte koha ne baze te se ciles nmap do te çoj paketat -T 5 eshte maksimumi i paketave qe do te çoj (normalisht kerkon nje network te shpejt dhe nje ip te afert [perdor –traceroute per info] dhe -T 0 dhe -T 1 ne keto raste jane opcionet me te mira pasi i çojn nga nje paket here mbas here por ashtu siç paketat dergohen shume ngadal duhet te kemi te qarte qe dhe skanimi do te jete shume i ngadalt dhe mund te zgjasi 18 ore , e per te evituar kete keshillohet te perdoret dhe opcioni -F per te skanuar portat me te zakonshme.
-f eshte fragmentation attack, dhe nuk eshte asgje tjeter perveç se te ndaj paketat ne paketa me te vogla gje qe ndodh shume shpesh qe hoste windows nuk e suportojn (hostet linux e suportojn) e ne kete menyre behet bypass analizuesve te paketave pasi behet i veshtire analizimi i paketave ndersa -D decoy eshte nje lloj sulmi tjeter i cili i thote targetit qe po sulmohet nga ip qe i percaktojm ne, nderkohe qe tonen perpiqet ta fsheh.
Si fragmentation attack me -f (qofte dhe me opcionin me te avancuar –mtu duke i bere split paketave ne 8 bit secila) ashtu dhe -D nuk funksionuan me Firewallin e AVG dhe firewalli mbajti loget e skanimit.
Perpara se te fillojm njeher, me macchanger ndryshojm mak adresen tone keshtu qe nuk kemi nevoje ti bejm spoof ne momentin qe perdorim nmap, e keshillueshme eshte te perdorim nje host qe eshte i besueshem tek viktima.
Vazhdojm, me skanimet e bera ky Firewall filtrat e tij ne pergjithesi i kishte te bazuar ne koh dhe asgje tjeter xD, keshtu qe per ti bere bypass e per te mos rregjistruar skanimin ne loget e tij mjafton qe te perdorim opcionin -T0 apo -T1 dhe firewalli nuk do e regjistroj aktivitetin e skanimit.
Po ashtu, nese bejm ip spoofing psh:
nmap -S 127.0.0.1 –mtu 8 -sS -A -T 5 -f -p0-65535 -PN 192.168.1.101 -e wlan0
Ne kete rast paketat firewallit i vijn nga localhost dhe edhe pse trafiku eshte ne maksimum ai nuk i shikon paketat qe i dergohen, kjo ip mund te jete dhe serveri qe ben update antivirusi dhe gjithashtu firewalli nuk do e regjistroj as kete aktivitet porse ne kete rast skanimi nuk do te jete konstruktiv sepse skanimi do i pergjigjet ip-s qe eshte ne headerin TCP e jo neve (pra do i pergjigjet 127.0.0.1-shit dhe jo neve) po atehere cili eshte perfitimi i ketij skanimi?
Do e shohim tek pjesa e dyte.
E mira e ketij firewalli eshte se i filtronte te gjitha portat qe nga 0 deri tek e fundit 65535, biles pash qe te bllokonte dhe vet trafikun e brendshem (netbios) midis portave 138-139 edhe pse ky ishte UDP.
Po ashtu filtronte dhe kerkesat ICMP\IGMP.
Keshtu qe perfundimi per kete firewall eshte qe mund ti behet bypass duke evituar qe te kapesh , porse ky skanim ne kete rast eshte pa dobi pasi kemi skanuar nje laptop personal i cili nuk ofron asnje sherbim dhe per me teper eshte ne nje intranet.
Gjate skanimeve eshte shume e keshillueshme qe te perdoret wireshark per te pare nese realisht po ndodh ajo qe i kemi komanduar nmap-it (psh ne disa raste ndodh qe nuk ben copetimin (-f) e paketave).
Po realiteti kur kemi te bejm me korporata eshte ndryshe :), sepse ato ofrojn sherbime dhe qe te ofrojn sherbime duhet te kene ndonje port hapur 😀

PEN-TESTER

Eh, ne kete rast behet seriozisht :)
Tani nuk kemi me nje kompiuter, por kemi nje IDS te mire e te modifikuar nga nje ekspert e ne kete rast bllokon dhe sulmet Xmas scan, Fin Scan, e sidomos sS Syn Scan i cili eshte me i perdoruri per keto pune..
Ne kete rast kemi dhe nje IPS (intrusion prevention system) , si dhe Honyepot.
Nuk do ua mbush mendjen me budallalleqe e tu them se eshte diçka e lehte, e sidomos me rastin e Honeypot, per keto gjera duhet eksperienc, njohuri dhe mbi te gjitha nje intuit e tmerrshme, e si i behet hallit kur kemi te bejm me keto raste?
Ne psh, e dim qe ‘ata’ e kane nje port te hapur (perderisa jane kompani dhe ofrojn sherbime) po cila.. ?
Keshtu qe duhet te skanojm:

Rregulli 1.
Ku ta çojm ip-n ore :S, po mac adresen?, keshtu qe  do te perdorim  opcionin -sI e ç’fare eshte ky opcion?
Do i dergojm paketat ndermjet nje makine tjeter, qofte ky server diku qe eshte nen kontrollin tone, e keshtu  te pakten nuk do  te shohim ip-n tone nese nuk bejn kerkime  ISP mbas ISP-je e idealja eshte psh qe te kemi nje server ne rusi, po ne kine apo diku ku autoritetet te mos kene forc per te shkuar atje e per te marre vesh se kush ka qene roshi 😉
E keshtu pra ky opcion -sI na lejon qe te specifikojm nje host tjeter, e kjo eshte kryesore ne keto lloj rastesh.
Ne nderrim te kesaj, do te sugjeroj nje teknik tjeter shume me te mire 😀
E zeme se ne kemi nje server ne  korene e veriut nen sundimin tone, dhe ai ka nje ip po e zem  127.127.127.127 :P, atehere ne i bejm spoof ip-s dhe tek serveri ne kohen e skanimit instalojm nje snifer i cili do te rregjistroj te gjitha paketat qe do vijn e po ju kursej se kur vjen ACK eshte porta e hapur etj etj etj .
Keshtu ne kete form, ne mund ta dergojm skanimin nga nje ZOMBIE nderkohe qe hosti do i pergjigjet paketave ne nje server qe nga ana e tij eshte ne qetesi dhee gjith kjo nga nje IP spoofing e adreses se serverit.
Normalisht mos harroni te nderroni mac adresen.
Rregulli 2.
-T 0 (pranaoid) duke derguar sa me pak paketa qe te jete e mundur ose mund te specifikojm dhe vet ne kohen qe duhet te presi nmap mbas dergimit te nje pakete, me te vertet do shume kohe por nese ja vlen barra qirane atehere dhe durimi eshte pjese kryesore.
Rregulli 3.
Po mir mo zoti Ardit, the qe ai Zoti CSO (Chief Security Officer) ka nje ids qe na bllokon ne si skanimin -sS\-sU\-sF\-sN\-sX atehere si i behet?
hehe, vertet egzistojn filtra ne IDS kunder paketave qe vijn me Flag SYN apo [] (null) apo FIN, apo URG, PSH, FIN siç eshte Xmas e si i behet hallit ketu?
Ketu vjen ne ndihme opcioni –scanflags duke krijuar nje lloj skanimi te personalizuar pasi IDS-ja psh ka rregullin qe te bllokoj vetem FIn scan, SYn SCAn, Xmas Scan, Null Scan e jo skanim te personalizuar siç mund te jete psh –scanflags SYNFIN (me flags te dyzuar) apo SYNACK, e keshtu me rradhe.
E nese ka filtra edhe per keta?, atehere kemi te bejm me NSA xD po ka perseri metoda bypass-i por nuk eshte as koha e as vendi per to (ps, thash qe do perdorim vetem nmap duke lene anash te tjeret 😉 ).
Rregulli 4.
Fragmentimi i paketave do te bej te veshtire analizimin e tyre, keshtu qe i japim nje –mtu 8 ose –mtu 16 ose –mtu 32 (  plotpjestohen me 8  ) ne menyre qe te ndajm paketat.
PS nese perdorni opcionin –mtu nuk perdoret me -f pasi me -f ju i lini nmapit te zgjedhi se ne sa bite do ti ndaj paketat ndersa me –mtu i specifikoni vet.
Rregulli 4.
Mos bej ping dhe mos bej reverse DNS. Jane ne demin tend keshtu qe po shtojm -PN dhe -n.

Finalizimi..
nmap -S 127.127.1.1 -n -sI 127.127.127.2:80 -PN –mtu 8 –scanflags SYNFIN -T 0 -F TARGET -e wlan0 –reason
Kete lloj skanimi po e pagezojm me SuperStealth pasi ne realitet paketat do te dergohen nga nje  kompiuter Zombie i cili eshte nen kontrollin tone dhe ne keto paketa IP-ja do jete e nje serveri tjeter (jo ip-ja e Zombiet) tek i cili do te kthehen pergjigjet nga hosti i skanuar (sepse i kthen pergjigjet tek IP-ja qe shikon dhe IP-ja eshte Spoofed qe do te thote se eshte e Serverit tone ne kore 8) ) e lind pyetja, kur pergjigjet ACK\SYN etj do te dergohen tek hosti atehere si do marrim vesh se cilat porta jane hapur e cilat jane mbyllur?
Tek ai host do te leme wireshark aktiv dhe ne perfundim te tij do te shohim te gjith aktivitetin e skanimit dhe do analizojm paketat me dore, per kete thash se nuk eshte pune per script kiddiez pasi duhet te njohesh lloin e skanimit –scanflags SYNFIN apo diçka tjeter dhe pergjigjet (ACK apo DROP, etj) qe jep nje host kur ka porta te mbyllura te hapura, apo te filtruara.
Komentojm skanimin.

127.127.1.1 eshte serveri yne ne korene e veriut 😛 ku kemi instaluar nje snifer i cili do te rregjistroj gjith trafikun e mbas perfundimit te skanimit do te kontrollojm me dore per pergjigje qe kane porta te hapura.
Me opcionin -S ne manipulojm paketat qe dergon nmap duke bere keshtu qe adresa derguese te jete 127.127.1.1 nderkohe qe skanimi realisht po behet nga zombi i cili gjendet ne adresen 127.127.127.2:80 (perdorem porten 80 pasi eshte nje port e zakonshme e ne varesi te targetit dhe sherbimit qe ofron behet dhe kerkesa per porten). -PN per te mos ber ping ICMP tek hosti duke marre persiper qe hosti eshte online, –mtu 8 per ti bere split paketave tona ne grupe prej 8 bitesh ne menyre qe te behet i veshtire analizimi nga IDS-t, apo nga Packet filtruesit. –scanflags SYNFIN per ta bere skanimin te pakapshem nga IDS-ja e kjo eshte me e rendesishmja, paketat nuk duhet te bllokohen nga Firewalli apo sistemet e ndryshme mbrojtese. -n per te kursyer kohen per te bere reverse DNS , -T 0 per ta bere dergimin e paketave shume te ngadalt nje menyre kjo e nevojshme per te bere evadimin nga sistemet e sigurise dhe mund te specifikojm dhe interface eth0, wlan0, ath0 varet se ç’fare karte rrjeti po perdorim dhe –reason per te pare aryen se pse nmap na ka dhene open\filtred\closed etj etj per nje port te caktuar.
Mbi kete normalisht duhet te dime se ne baze te skanimit ç’fare eshte pergjigja qe tregon per nje porte te filtruar e per nje porte te mbyllur e per nje honeypot xD 😉
Per kete nuk ka tutoriale.
Besoj se e shijuat deri ne fund, nese nuk keni kuptuar gje apo keni gjera qe nuk i kuptoni nuk eshte fai im.
Pyesni.