¿Cómo prueban los usuarios experimentados el firewall con estado?

6

¿Cómo prueban los usuarios experimentados firewall de estado con TCP / IPv6?

Mi caso de prueba incluye:

  1. respuesta de eco sin solicitud
  2. tcp ack without syn

¿Hay más casos de prueba, especialmente con IPv6?

    
pregunta deepsky 14.10.2011 - 06:31
fuente

2 respuestas

3

NAT Traversal

Un método para dos clientes, cada uno aislado detrás de firewalls separados que trabajan en NAT, puede establecer comunicación entre ellos, incluso si la conexión está explícitamente permitida.

Los paquetes UDP no contienen ningún estado. Cuando un paquete UDP inicial deja el firewall con NAT, permitirá que el tráfico UDP sea devuelto a través de la misma "sesión".

Cuando los clientes inician el envío masivo de paquetes udp entre sí (la misma tupla de puerto de origen / destino), en algún momento, ambos firewalls creerán que iniciaron el tráfico y permitirán el tráfico entre los dos clientes, cada uno aislado por un Cortafuegos NAT.

enlace

Seguimiento de conexión

Algunos firewalls no solo rastrean las conexiones basadas en el estado de conexión tcp, sino también la solicitud del protocolo de la aplicación para, por ejemplo, enviar un archivo a través de irc o ftp. Si bien esta es una función cuando funciona según lo previsto, también se puede usar para hacer que el firewall se abra para conexiones no intencionadas.

Un ejemplo de esto es el ataque XSS IRC DCC: enlace

    
respondido por el Dog eat cat world 16.10.2011 - 16:12
fuente
2

Parece que querrá instalarse con una taza de café, una copia de las especificaciones y las páginas de manual de libpcap.

No debería ser demasiado difícil escribir un programa que diseñará y transmitirá estos paquetes para usted. El flujo de alto nivel será

  1. Iterar a través de sus casos de uso (usemos la respuesta de eco, por ejemplo)
  2. Rellene la estructura de datos que contiene el encabezado físico apropiado con las direcciones apropiadas
  3. Rellene la estructura de datos del encabezado de IP con las direcciones y marcas apropiadas
  4. Rellene la estructura de datos de ICMP con los códigos de tipo de respuesta de eco y una carga útil adecuada
  5. Copie todas estas piezas en un char *
  6. Abra un socket RAW y envíe su paquete de char * por el cable

Después de desarrollar esto para cada uno de sus casos de prueba, simplemente puede ejecutar la aplicación y observar el firewall para ver el comportamiento correcto. Por supuesto, capturaría el tráfico y me aseguraría de que algo como wireshark lo decida correctamente como parte de su proceso de prueba / qa.

    
respondido por el Scott Pack 16.10.2011 - 15:10
fuente

Lea otras preguntas en las etiquetas