juninho85
02-04-2005, 12:38
A questo (http://www.sicurezzainrete.com/links_outbound_firewall.htm) indirizzo viene data una soddisfacente presentazione di questo programma...ecco quanto viene detto:
"
Firewall : Funzionamento e caratteristiche
La quasi totalità dei firewall in circolazione basano il loro funzionamento attraverso il filtro delle applicazioni. Questo ha il compito di segnalare all’utente quali programmi vogliono accedere alla rete, per poi lasciare a quest’ultimo la facoltà di stabilire i criteri di accesso a internet. Il filtro delle applicazioni è utile per vedere se “applicazioni sconosciute” come programmi Troiani o Backdoor vogliono accedere a internet all’insaputa dell’utente. Negli ultimi due anni, tuttavia, si è riuscito a dimostrare che i firewall si possono “bucare” e il filtro delle applicazioni, di conseguenza, ha perso la sua validità. E’ possibile aggirare un firewall utilizzando programmi che avviano una connessione verso l’esterno utilizzando applicazioni che hanno l’accesso a internet, in questa situazione si parla di “privilegi rubati”. Le tecniche che permettono di aggirare un firewall sono fondamentalmente due ma esistono diverse varianti. La prima tecnica chiamata dll injection consiste “nell’iniettare”, appunto, del codice nello stesso spazio di indirizzamento di un qualche processo che e' in esecuzione nel sistema. Per esempio è possibile contaminare una dll. Lo scopo e' semplice: non far apparire un processo nella lista dei processi che potrebbe essere bloccato dal firewall. Nella seconda tecnica vengono manipolati i PID (Numero di identificazione) dei processi. In questo modo il firewall non è in grado di capire chi ha chiamato una applicazione con accesso a internet e viene, di conseguenza, aggirato facilmente. Diverse case produttrici, presa visione della situazione, hanno integrato nei loro prodotti delle funzionalità che cercano di arginare questo problema. Per una protezione globale molti firewall dispongo di ulteriori caratteristiche come la possibilità di bloccare i banner pubblicitari, le finestre pop up, gestire in modo efficiente i cookie e infine evitare l’invio di informazione riservate, ovvero il blocco dei Refferer. Un aspetto negativo che accomuna tutti i firewall esaminati è la mancanza di una protezione per l’accesso remoto, ovvero il blocco dei dialer. Per chi dispone di una connessione 56k o isdn, un firewall deve essere in grado di bloccare il tentativo di connessione dei dialer.
E' possibile testare il proprio firewall con i leaktest per verificare se è sicuro nei tentativi di aggiramento. Per ogni leaktest è spiegata la tecnica usata per aggirare il firewall.
Se l test dimostrano che il firewall che si utilizza viene aggirato significa che il programma usato non effettua veramente il controllo accurato del traffico in uscita ma si limita a permette l'accesso solo alle applicazioni che hanno il permesso senza preoccuparsi di segnalare chi chiama queste applicazioni.
AntiSpam Aziendale Consigliato
Leaktest
Tipo di Test : Sostiuzione
Funzionamento : In questo test viene rinominata l'applicazione (Leaktest) in una che ha l'autorizzazione per uscire e quindi per bypassare il firewall. Attualmente i firewall dispongono di una firma digitale per le applicazioni, in questo modo si accorgono del tentativo di aggiramento. Se il firewall viene aggirato dimostra che questo si limita ad lasciar passare tutte quelle applicazioni che hanno il nome nella lista di quelle permesse.
TooLeaky
Tipo di Test : Avvio Applicazione
Funzionamento : Viene aperta in modo nascosto una finestra di Internet Explorer e se il browser ha il permesso per accedere a internet trasmette le informazioni attraverso la porta 80. Se il test ha successo, significa che il firewall non controlla quale applicazione ha avviato un'altra con accesso a internet.
FireHole
Tipo di Test : Avvio Applicazione e DLL Injection
Funzionamento : In questo test viene usato il browser di default per inviare dati verso l'esterno. Per fare questo viene installata una DLL nello stesso spazio di indirizzamento di un processo che ha il permesso per uscire. Se il test ha successo indica che il firewall non controlla quali applicazioni chiamano quelle con accesso ad internet ed in più è vulnerabile al DLL Injection.
Yalta
Tipo di Test : Test su regole e su collegamento diretto alla rete
Funzionamento : Yalta si compone di due test, il primo cerca di trasmettere informazioni mediante pacchetti UDP attraverso porte che di solito hanno accesso ad internet. Nel secondo test viene utilizzato un driver apposito per mandare informazioni verso l'esterno usando il TCP/IP. Il test avanzato funziona solamente con Windows 98-Me.
Copycat
Tipo di Test : Process Injection
Funzionamento : Copycat inietta (Injection) direttamente del codice all'interno del processo del Browser con l'intento di evitare che il firewall blocchi il tentativo di uscita.
WallBreaker
Tipo di Test : Avvio Applicazione
Funzionamento : E' composto da tre test differenti; nel primo viene usato explorer.exe per avviare iexplore.exe e poi l'accesso ad internet. In questa situazione è una applicazione di Windows che chiama un'altra applicazione e non WallBreaker. Il secondo test è un trucco, semplicemente lancia IE direttamente, in una maniera tale da non farsi accorgere dai firewall. Il terzo test, infine, è una variante del primo in cui viene avviato prima cmd.exe (linea di comando) e poi successivamente explorer.exe e iexplore.exe.
PcAudit 3
Tipo di Test : DLL Injection
Funzionamento : Anche questo test usa la tecnica del DLL Injection, se il firewall non segnala il tentativo di accesso del file pcaudit.exe significa che il firewall è vulnerabile.
Ghost
Tipo di Test : Avvio applicazione e Timing Attack
Funzionamento : Quando una applicazione ha accesso a internet, il firewall usa le API di Windows per avere il PID (numero di identificazione del processo) e il nome. Ghost per aggirare il firewall cerca di modificare questo PID.
AWFT3 (numero test limitato)
Tipo di Test : Implementa diversi Test
Funzionamento : E' composto da 6 test che usano diverse tecniche già discusse in precedenza. Per mostrare l'efficacia del firewall viene dato un punteggio variabile da 1 a 10
Thermite
Tipo di Test : DLL Injection
Funzionamento : Come il test Copycat viene iniettato del codice nello spazio di indirizzamento di un processo che ha il permesso per uscire. In questo caso viene creato un nuovo processo (Thread) all'interno di quello che ha l'accesso alla rete."
"
Firewall : Funzionamento e caratteristiche
La quasi totalità dei firewall in circolazione basano il loro funzionamento attraverso il filtro delle applicazioni. Questo ha il compito di segnalare all’utente quali programmi vogliono accedere alla rete, per poi lasciare a quest’ultimo la facoltà di stabilire i criteri di accesso a internet. Il filtro delle applicazioni è utile per vedere se “applicazioni sconosciute” come programmi Troiani o Backdoor vogliono accedere a internet all’insaputa dell’utente. Negli ultimi due anni, tuttavia, si è riuscito a dimostrare che i firewall si possono “bucare” e il filtro delle applicazioni, di conseguenza, ha perso la sua validità. E’ possibile aggirare un firewall utilizzando programmi che avviano una connessione verso l’esterno utilizzando applicazioni che hanno l’accesso a internet, in questa situazione si parla di “privilegi rubati”. Le tecniche che permettono di aggirare un firewall sono fondamentalmente due ma esistono diverse varianti. La prima tecnica chiamata dll injection consiste “nell’iniettare”, appunto, del codice nello stesso spazio di indirizzamento di un qualche processo che e' in esecuzione nel sistema. Per esempio è possibile contaminare una dll. Lo scopo e' semplice: non far apparire un processo nella lista dei processi che potrebbe essere bloccato dal firewall. Nella seconda tecnica vengono manipolati i PID (Numero di identificazione) dei processi. In questo modo il firewall non è in grado di capire chi ha chiamato una applicazione con accesso a internet e viene, di conseguenza, aggirato facilmente. Diverse case produttrici, presa visione della situazione, hanno integrato nei loro prodotti delle funzionalità che cercano di arginare questo problema. Per una protezione globale molti firewall dispongo di ulteriori caratteristiche come la possibilità di bloccare i banner pubblicitari, le finestre pop up, gestire in modo efficiente i cookie e infine evitare l’invio di informazione riservate, ovvero il blocco dei Refferer. Un aspetto negativo che accomuna tutti i firewall esaminati è la mancanza di una protezione per l’accesso remoto, ovvero il blocco dei dialer. Per chi dispone di una connessione 56k o isdn, un firewall deve essere in grado di bloccare il tentativo di connessione dei dialer.
E' possibile testare il proprio firewall con i leaktest per verificare se è sicuro nei tentativi di aggiramento. Per ogni leaktest è spiegata la tecnica usata per aggirare il firewall.
Se l test dimostrano che il firewall che si utilizza viene aggirato significa che il programma usato non effettua veramente il controllo accurato del traffico in uscita ma si limita a permette l'accesso solo alle applicazioni che hanno il permesso senza preoccuparsi di segnalare chi chiama queste applicazioni.
AntiSpam Aziendale Consigliato
Leaktest
Tipo di Test : Sostiuzione
Funzionamento : In questo test viene rinominata l'applicazione (Leaktest) in una che ha l'autorizzazione per uscire e quindi per bypassare il firewall. Attualmente i firewall dispongono di una firma digitale per le applicazioni, in questo modo si accorgono del tentativo di aggiramento. Se il firewall viene aggirato dimostra che questo si limita ad lasciar passare tutte quelle applicazioni che hanno il nome nella lista di quelle permesse.
TooLeaky
Tipo di Test : Avvio Applicazione
Funzionamento : Viene aperta in modo nascosto una finestra di Internet Explorer e se il browser ha il permesso per accedere a internet trasmette le informazioni attraverso la porta 80. Se il test ha successo, significa che il firewall non controlla quale applicazione ha avviato un'altra con accesso a internet.
FireHole
Tipo di Test : Avvio Applicazione e DLL Injection
Funzionamento : In questo test viene usato il browser di default per inviare dati verso l'esterno. Per fare questo viene installata una DLL nello stesso spazio di indirizzamento di un processo che ha il permesso per uscire. Se il test ha successo indica che il firewall non controlla quali applicazioni chiamano quelle con accesso ad internet ed in più è vulnerabile al DLL Injection.
Yalta
Tipo di Test : Test su regole e su collegamento diretto alla rete
Funzionamento : Yalta si compone di due test, il primo cerca di trasmettere informazioni mediante pacchetti UDP attraverso porte che di solito hanno accesso ad internet. Nel secondo test viene utilizzato un driver apposito per mandare informazioni verso l'esterno usando il TCP/IP. Il test avanzato funziona solamente con Windows 98-Me.
Copycat
Tipo di Test : Process Injection
Funzionamento : Copycat inietta (Injection) direttamente del codice all'interno del processo del Browser con l'intento di evitare che il firewall blocchi il tentativo di uscita.
WallBreaker
Tipo di Test : Avvio Applicazione
Funzionamento : E' composto da tre test differenti; nel primo viene usato explorer.exe per avviare iexplore.exe e poi l'accesso ad internet. In questa situazione è una applicazione di Windows che chiama un'altra applicazione e non WallBreaker. Il secondo test è un trucco, semplicemente lancia IE direttamente, in una maniera tale da non farsi accorgere dai firewall. Il terzo test, infine, è una variante del primo in cui viene avviato prima cmd.exe (linea di comando) e poi successivamente explorer.exe e iexplore.exe.
PcAudit 3
Tipo di Test : DLL Injection
Funzionamento : Anche questo test usa la tecnica del DLL Injection, se il firewall non segnala il tentativo di accesso del file pcaudit.exe significa che il firewall è vulnerabile.
Ghost
Tipo di Test : Avvio applicazione e Timing Attack
Funzionamento : Quando una applicazione ha accesso a internet, il firewall usa le API di Windows per avere il PID (numero di identificazione del processo) e il nome. Ghost per aggirare il firewall cerca di modificare questo PID.
AWFT3 (numero test limitato)
Tipo di Test : Implementa diversi Test
Funzionamento : E' composto da 6 test che usano diverse tecniche già discusse in precedenza. Per mostrare l'efficacia del firewall viene dato un punteggio variabile da 1 a 10
Thermite
Tipo di Test : DLL Injection
Funzionamento : Come il test Copycat viene iniettato del codice nello spazio di indirizzamento di un processo che ha il permesso per uscire. In questo caso viene creato un nuovo processo (Thread) all'interno di quello che ha l'accesso alla rete."