|
Detsel
Гость
|
 |
« : 01-06-2004 11:28 » |
|
Люди, может кто знает, где в стэке драйверов лежит IP Filter Driver (ipfltdrv.sys) в Windows2000. Стоит основываясь на нем делать Firewall, если смотреть с позиции вероятности его обойти? Подскажите, а то в ДДК ничего толком не сказано про это!
|
|
|
|
|
Записан
|
|
|
|
|
lion_ts
Гость
|
|
« Ответ #1 : 01-06-2004 23:10 » |
|
Если ты решил делать файрвол, то тебе прийдётся выбрать или использовать всё вместе: NDISIM, TDI, патч вызовов NDIS.SYS, контроль создания процессов в системе и их попытки доступа к сетевым интерфейсам и т.д.
А вшитая в вин2000 и выше фильтрация пакетов отсекает только входящий траффик, поэтому и ставят себе personal firewall типа zonealarm и т.п.
|
|
|
|
|
Записан
|
|
|
|
|
maaaaaad
Гость
|
|
« Ответ #2 : 02-06-2004 09:42 » |
|
а что это за проект? ссылочки на него имеются?
|
|
|
|
|
Записан
|
|
|
|
|
Detsel
Гость
|
|
« Ответ #3 : 02-06-2004 11:06 » |
|
to lion_ts: имменно персональный брандмауэр и надо сделать. Если говорить еще проще, то просто фильтр входящих исходящих пакетов. А то что ты мне предлагаешь, это уже почти IDS  Так вот, мне интересно какая существует вероятность его обхода. Где же он лежит в стэке драйверов! to maaaaaad (сорри если ошибся с кол-вом букв "а" ): вот тебе ссылочка на этот проект http://www.codeproject.com/tools/firewallpapi.asp |
|
|
|
|
Записан
|
|
|
|
|
maaaaaad
Гость
|
|
« Ответ #4 : 02-06-2004 18:50 » |
|
какая существует вероятность его обхода. Где же он лежит в стэке драйверов
Не волнуйся, обойдем =) спасибо за ссылку, где то я это уже видел =))) фильтр над TDI лежит над TDI =). Между afs.sys и tdi.sys, стек под tdi. 1. обходы - через минипорт по UDP. 2. TDI клиент, который встает между тобой и TDI. Запросы его ты не отфильтруешь. =) |
|
|
|
|
Записан
|
|
|
|
|
maaaaaad
Гость
|
|
« Ответ #5 : 02-06-2004 18:55 » |
|
ты главное расскажи как защита в конечном варианте будет работать будет...
где вставать и что перехватывать, а мы уже как-нибудь сами разберемся, как обойти....
|
|
|
|
|
Записан
|
|
|
|
|
maaaaaad
Гость
|
|
« Ответ #6 : 02-06-2004 18:55 » |
|
|
|
|
|
|
Записан
|
|
|
|
|
lion_ts
Гость
|
|
« Ответ #7 : 02-06-2004 20:04 » |
|
to Detsel. Если ты не будешь строить файрволл с учётом всего, что я перечислил (а я перечислил не всё), то его обойдёт любой банальный trojan. Если хочешь создать качественный продукт, не верь никому (Я имею в виду процессы на локалмешин и входящие пакеты). Тебе необходимо всё отследить: и NDIS уровень, и TDI, и всё, что сможешь, включая новые процессы с попыткой 'act as a server' и 'connect to'. А ещё создание адекватных правил фильтрации (например, чтоб ты с ходу не зарубил какой-нибудь VPN)... Если это твоя работа, то тебе нужна команда, самому такой объём трудно поднять... Если выпустишь продукт - кинь ссылку, буду рад посмотреть.  |
|
|
|
|
Записан
|
|
|
|
|
maaaaaad
Гость
|
|
« Ответ #8 : 03-06-2004 08:54 » |
|
хорошо смеется тот, кто смеется последним, кто загрузиля последним тот и имеет систему =) И еще=) как низко ты бы не пробовал срубить дерево всегда его можно будет срубить чуть ниже =)
О банальности трояна, который бы обошел защиту, хотябы на уровне TDI я бы не говорил, но все же....
|
|
|
|
|
Записан
|
|
|
|
|
maaaaaad
Гость
|
|
« Ответ #9 : 03-06-2004 09:05 » |
|
и еще, я относительно недавно встречал exploit именно для файервола, который отсеивал пакеты на уровне TDI
|
|
|
|
|
Записан
|
|
|
|
|
Detsel
Гость
|
|
« Ответ #10 : 03-06-2004 11:58 » |
|
to lion_ts: Я с тобой полгостью согласен, но то про что ты говоришь это уже получается хороший такой межсетевой экран:) К нему бы еще IDS присобачить и вообще тогда не было бы ему цены... Но задача стоит в банальной фильтрации сетевого траффика! По заданным портам и IP! Я бы с удовольствием взялся бы за такой проект, но пока нет не времени, не людей не достаточного кол-ва знаний  to maaaaaad: Естественно обойти можно все что угодно (ну или почти )! Но как я сказал выше задача стоит просто в отсеиании траффика! Я пробовал писать фильтр подключающийся к TDI устройствам, но погряз там и наверное сидел бы долго(перый самостоятельный драйвер). Потом нашел тот фильтр на который кидал ссылку и он показался легче. Тут еще сроки поджимают и еще сессия (седня сдал 1 экз ) и я переключился на него! Вот теперь и думаю сильно я потеряю в плане защиты пересев на этот IP filter driver! Теперь по поводу твоих ариантов обхода TDI. 1. Что ты имел ввиду под: через минипорт по UDP? 2. А причем тут клиент??? Я же фильтрую все пакеты которые направляются к TDI! То есть сначала я а потом уже он!! Если конечно захочу! |
|
|
|
|
Записан
|
|
|
|
|
maaaaaad
Гость
|
|
« Ответ #11 : 03-06-2004 12:21 » |
|
1. Что ты имел ввиду под: через минипорт по UDP?
Обычный снифер, который работает над минипортом. Позволяет перехватывать не только ETH пакеты но и достаточно просто отправить самому в сеть UDP пакет (можно конечно и реализовать поддержку TCP, но для трояна и UDP хватит).
Я же фильтрую все пакеты которые направляются к TDI! То есть сначала я а потом уже он!!
ах,да...=) ну тогда можно подменить записи указателей диспечеров твоего драйверобжекта на пустые, которые просто пропускают вниз (/device/udp /device/tcp) irp и уже безопасно=) работать с сокетами даже на уровне winsock |
|
|
|
|
Записан
|
|
|
|
|
maaaaaad
Гость
|
|
« Ответ #12 : 03-06-2004 12:23 » |
|
так, надо бы записать, проверять верхние фильтры tdi /device/udp /device/tcp....
еще методики защиты имеются?
|
|
|
|
|
Записан
|
|
|
|
|
maaaaaad
Гость
|
|
« Ответ #13 : 03-06-2004 12:24 » |
|
до нижних фильтров мы пока еще не добрались? =)
|
|
|
|
|
Записан
|
|
|
|
|
Detsel
Гость
|
|
« Ответ #14 : 03-06-2004 12:49 » |
|
to maaaaaad! Ну хорошо обошел, сломал, взорвал и выкинул Но как ты будешь менять удаленно записи указателей диспечеров моего драйвер обжекта? Я это пытаюсь понять! Мы же рассматриваем вариант когда ты стучишься ко мне с удаленного хоста! Может быть я конечно и не прав, но как можно получить такие приилегии чтобы ты менял у меня указатели диспетчера? Расскажи! Оч. интересно! |
|
|
|
|
Записан
|
|
|
|
|
Detsel
Гость
|
|
« Ответ #15 : 03-06-2004 12:51 » |
|
to maaaaaaad! И еще, ответь пожалуйста на мессагу в разделе ZwReadFile |
|
|
|
|
Записан
|
|
|
|
|
maaaaaad
Гость
|
|
« Ответ #16 : 03-06-2004 13:42 » |
|
Удалено - не получится. Удалено и не получится со всеми установленными sp. А вот с установленными sp и с не особо отлаженным firewall, с маленькими зелененькими жучками, может и получится...
|
|
|
|
|
Записан
|
|
|
|
|
Detsel
Гость
|
|
« Ответ #17 : 03-06-2004 14:10 » |
|
Вот я как раз это и имел в виду. То есть какой фаерволл надежнее был бы: TDI или IP filter driver:) в общем прихожу к выводу что в принципе особой разницы и нет... Хотя все таки интересно как и через что рботает этот виндовский драйвер ipfltdrv.sys А то просто полагаться на него не очень очется:)
|
|
|
|
|
Записан
|
|
|
|
|
maaaaaad
Гость
|
|
« Ответ #18 : 03-06-2004 14:45 » |
|
да, вернемся к нашим баранам...
Где лежит IP filter driver в стэке драйверов?
=)
|
|
|
|
|
Записан
|
|
|
|
|
maaaaaad
Гость
|
|
« Ответ #19 : 03-06-2004 14:48 » |
|
ты кстати можешь посмотреть сам =)
утилита DeviceTree by Osr
|
|
|
|
|
Записан
|
|
|
|
|
|
|
