¿Cómo prueban los usuarios experimentados firewall de estado con TCP / IPv6?
Mi caso de prueba incluye:
- respuesta de eco sin solicitud
- tcp ack without syn
¿Hay más casos de prueba, especialmente con IPv6?
NAT Traversal
Un método para dos clientes, cada uno aislado detrás de firewalls separados que trabajan en NAT, puede establecer comunicación entre ellos, incluso si la conexión está explícitamente permitida.
Los paquetes UDP no contienen ningún estado. Cuando un paquete UDP inicial deja el firewall con NAT, permitirá que el tráfico UDP sea devuelto a través de la misma "sesión".
Cuando los clientes inician el envío masivo de paquetes udp entre sí (la misma tupla de puerto de origen / destino), en algún momento, ambos firewalls creerán que iniciaron el tráfico y permitirán el tráfico entre los dos clientes, cada uno aislado por un Cortafuegos NAT.
Seguimiento de conexión
Algunos firewalls no solo rastrean las conexiones basadas en el estado de conexión tcp, sino también la solicitud del protocolo de la aplicación para, por ejemplo, enviar un archivo a través de irc o ftp. Si bien esta es una función cuando funciona según lo previsto, también se puede usar para hacer que el firewall se abra para conexiones no intencionadas.
Un ejemplo de esto es el ataque XSS IRC DCC: enlace
Parece que querrá instalarse con una taza de café, una copia de las especificaciones y las páginas de manual de libpcap.
No debería ser demasiado difícil escribir un programa que diseñará y transmitirá estos paquetes para usted. El flujo de alto nivel será
Después de desarrollar esto para cada uno de sus casos de prueba, simplemente puede ejecutar la aplicación y observar el firewall para ver el comportamiento correcto. Por supuesto, capturaría el tráfico y me aseguraría de que algo como wireshark lo decida correctamente como parte de su proceso de prueba / qa.