Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1]   Вниз
  Печать  
Автор Тема: Где лежит IP filter driver в стэке драйверов?  (Прочитано 19641 раз)
0 Пользователей и 6 Гостей смотрят эту тему.
Detsel
Гость
« : 01-06-2004 11:28 » 

Люди, может кто знает, где в стэке драйверов лежит IP Filter Driver (ipfltdrv.sys) в Windows2000. Стоит основываясь на нем делать Firewall, если смотреть с позиции вероятности его обойти? Подскажите, а то в ДДК ничего толком не сказано про это!
Записан
lion_ts
Гость
« Ответ #1 : 01-06-2004 23:10 » 

Если ты решил делать файрвол, то тебе прийдётся выбрать или использовать всё вместе: NDISIM, TDI, патч вызовов NDIS.SYS, контроль создания процессов в системе и их попытки доступа к сетевым интерфейсам и т.д.
А вшитая в вин2000 и выше фильтрация пакетов отсекает только входящий траффик, поэтому и ставят себе personal firewall типа zonealarm и т.п.
Записан
maaaaaad
Гость
« Ответ #2 : 02-06-2004 09:42 » 

а что это за проект? ссылочки на него имеются?
Записан
Detsel
Гость
« Ответ #3 : 02-06-2004 11:06 » 

to lion_ts: имменно персональный брандмауэр и надо сделать. Если говорить еще проще, то просто фильтр входящих исходящих пакетов. А то что ты мне предлагаешь, это уже почти IDS Улыбаюсь Так вот, мне интересно какая существует вероятность его обхода. Где же он лежит в стэке драйверов!  
to maaaaaad (сорри если ошибся с кол-вом букв "а" Улыбаюсь ): вот тебе ссылочка на этот проект http://www.codeproject.com/tools/firewallpapi.asp
Записан
maaaaaad
Гость
« Ответ #4 : 02-06-2004 18:50 » 

Цитата

какая существует вероятность его обхода. Где же он лежит в стэке драйверов


Не волнуйся, обойдем =)
спасибо за ссылку, где то я это уже видел =)))
фильтр над TDI лежит над TDI =). Между afs.sys и tdi.sys, стек под tdi.
1. обходы - через минипорт по UDP.
2. TDI клиент, который встает между тобой и TDI. Запросы его ты не отфильтруешь. =)
Записан
maaaaaad
Гость
« Ответ #5 : 02-06-2004 18:55 » 

ты главное расскажи как защита в конечном варианте будет работать будет...
где вставать и что перехватывать, а мы уже как-нибудь сами разберемся, как обойти....
Записан
maaaaaad
Гость
« Ответ #6 : 02-06-2004 18:55 » 

Улыбаюсь
Записан
lion_ts
Гость
« Ответ #7 : 02-06-2004 20:04 » 

to Detsel.
Если ты не будешь строить файрволл с учётом всего, что я перечислил (а я перечислил не всё), то его обойдёт любой банальный trojan.
Если хочешь создать качественный продукт, не верь никому (Я имею в виду процессы на локалмешин и входящие пакеты). Тебе необходимо всё отследить: и NDIS уровень, и TDI, и всё, что сможешь, включая новые процессы с попыткой 'act as a server' и 'connect to'. А ещё создание адекватных правил фильтрации (например, чтоб ты с ходу не зарубил какой-нибудь VPN)...
Если это твоя работа, то тебе нужна команда, самому такой объём трудно поднять...
Если выпустишь продукт - кинь ссылку, буду рад посмотреть. Ага
Записан
maaaaaad
Гость
« Ответ #8 : 03-06-2004 08:54 » 

хорошо смеется тот, кто смеется последним, кто загрузиля последним тот и имеет систему =) И еще=) как низко ты бы не пробовал срубить дерево всегда его можно будет срубить чуть ниже =)

О банальности трояна, который бы обошел защиту, хотябы на уровне TDI я бы не говорил, но все же....
Записан
maaaaaad
Гость
« Ответ #9 : 03-06-2004 09:05 » 

и еще, я относительно недавно встречал exploit именно для файервола, который отсеивал пакеты на уровне TDI
Записан
Detsel
Гость
« Ответ #10 : 03-06-2004 11:58 » 

to lion_ts: Я с тобой полгостью согласен, но то про что ты говоришь это уже получается хороший такой межсетевой экран:) К нему бы еще IDS присобачить и вообще тогда не было бы ему цены... Но задача стоит в банальной фильтрации сетевого траффика! По заданным портам и IP!  Я бы с удовольствием взялся бы за такой проект, но пока нет не времени, не людей не достаточного кол-ва знаний Жаль
to maaaaaad: Естественно обойти можно все что угодно (ну или почти Улыбаюсь )! Но как я сказал выше задача стоит просто в отсеиании траффика! Я пробовал писать фильтр подключающийся к TDI устройствам, но погряз там и наверное сидел бы долго(перый самостоятельный драйвер). Потом нашел тот фильтр на который кидал ссылку и он показался легче. Тут еще сроки поджимают и еще сессия (седня сдал 1 экз Улыбаюсь ) и я переключился на него! Вот теперь и думаю сильно я потеряю в плане защиты пересев на этот IP filter driver!  
Теперь по поводу твоих ариантов обхода TDI.
1. Что ты имел ввиду под: через минипорт по UDP?
2. А причем тут клиент??? Я же фильтрую все пакеты которые направляются к TDI! То есть сначала я а потом уже он!! Если конечно захочу! Улыбаюсь
Записан
maaaaaad
Гость
« Ответ #11 : 03-06-2004 12:21 » 

Цитата

1. Что ты имел ввиду под: через минипорт по UDP?


Обычный снифер, который работает над минипортом. Позволяет перехватывать не только ETH пакеты но и достаточно просто отправить самому в сеть UDP пакет (можно конечно и реализовать поддержку TCP, но для трояна и UDP хватит).

Цитата

Я же фильтрую все пакеты которые направляются к TDI! То есть сначала я а потом уже он!!


ах,да...=) ну тогда можно подменить записи указателей диспечеров твоего драйверобжекта на пустые, которые просто пропускают вниз (/device/udp /device/tcp) irp и уже безопасно=) работать с сокетами даже на уровне winsock
Записан
maaaaaad
Гость
« Ответ #12 : 03-06-2004 12:23 » 

так, надо бы записать, проверять верхние фильтры tdi /device/udp /device/tcp....

еще методики защиты имеются?
Записан
maaaaaad
Гость
« Ответ #13 : 03-06-2004 12:24 » 

до нижних фильтров мы пока еще не добрались? =)
Записан
Detsel
Гость
« Ответ #14 : 03-06-2004 12:49 » 

to maaaaaad! Ну хорошо обошел, сломал, взорвал и выкинул Улыбаюсь Но как ты будешь менять удаленно записи указателей диспечеров моего драйвер обжекта? Я это пытаюсь понять! Улыбаюсь Мы же рассматриваем вариант когда ты стучишься ко мне с удаленного хоста! Может быть я конечно и не прав, но как можно получить такие приилегии чтобы ты менял у меня указатели диспетчера?  Расскажи! Оч. интересно!
Записан
Detsel
Гость
« Ответ #15 : 03-06-2004 12:51 » 

to maaaaaaad! И еще, ответь пожалуйста на мессагу в разделе ZwReadFile Улыбаюсь
Записан
maaaaaad
Гость
« Ответ #16 : 03-06-2004 13:42 » 

Удалено - не получится. Удалено и не получится со всеми установленными sp. А вот с установленными sp и с не особо отлаженным firewall, с маленькими зелененькими жучками, может и получится...
Записан
Detsel
Гость
« Ответ #17 : 03-06-2004 14:10 » 

Вот я как раз это и имел в виду. То есть какой фаерволл надежнее был бы: TDI или IP filter driver:) в общем прихожу к выводу что в принципе особой разницы и нет... Хотя все таки интересно как и через что рботает этот виндовский драйвер ipfltdrv.sys А то просто полагаться на него не очень очется:)
Записан
maaaaaad
Гость
« Ответ #18 : 03-06-2004 14:45 » 

да, вернемся к нашим баранам...
Где лежит IP filter driver в стэке драйверов?
=)
Записан
maaaaaad
Гость
« Ответ #19 : 03-06-2004 14:48 » 

ты кстати можешь посмотреть сам =)
утилита DeviceTree by Osr
Записан
lion_ts
Гость
« Ответ #20 : 04-06-2004 22:20 » new

Да, идрить-колотить, ма...аd прав, посмотри уже, кто фильтрует пакеты на карточке, а кто на 'устройствах' /TCP /UDP /RAW.
Соответственно и реализация будет разная, а результат один.
 Улыбаюсь
Хреновый.
Я уже кидал ссылки примеров пассру2 и ТДИ в форум. Оба отлично фильтруют пакеты, немножко их докрутишь и сдашь 'лёгонький' файрвол. Ага
http://www.ntkernel.com/downloads/tdi_fw.zip
http://www.wd-3.com/downloads/PassThru2.zip
Записан
Страниц: [1]   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines