– root@injetionsec:~#

Encapsulamento e tunelamento

11.02.2014 (6:23 pm) – Filed under: Hacking ::

Vamos falar um pouco dessas formas usadas pelos atacantes, para bay passar os IDS/IPS ,firewall e outros tipos de dispositivos de interceptação de trafego

COVERT CHANEL E ADMINISTRAÇÃO CLANDESTINA

Para combater com eficacia e contornar o acesso a rede , tem-se criado tunelamento e metodos de encapsulamento de protocolo em outro,alguns protocolos e utilitarios usados:

• Tunelamento no protocolo TCP : Stunnel, TCP Tunnel, Tor, SSH, WinTunnel, Sixtynine, Zebedee
• Tunelamento no protocolo UDP : SSH, NetCallback, CIPE, Tunnel, Zebedee
• Tunelamento no protocolo TCP : ICMP: Ptunnel, Itun, Itunnel, Skeeve, icmpt

Todos os três métodos podem ser utsado para encapsular as formas de comunicação para encobertar a tranferencia de arquivos, comunicação secreta e assim por diante,são geralmente usado para passar trafego atraves de firewall para não serem bloqueados ou detectados,um exemplo que as portas bloqueam por um politica de segurança e tudo mais,como protocolos web(HTTP,HTTPS e FTP).

DETECÇÃO E PREVENÇÃO DE TUNNELING

A detecção abrange vários metodos de metodologias e robustez e confiabilidade,vejamos as metodoligias:
– Baseado em assinatura de detecção: Se algun tipo de trafego esta sendo conhecido usamos a seguinte assinatura de detecção que pode ser util, muitos IPSs ajudam na identificação desses tuneis proporcionando a nçao incriptação
– Baseado em detecção de protocolo: usando um protocolo de detecção, implicando assim na busca de anomalias
– Comportamento baseado em detecção: envolve a criação de perfis de usuarios e maquinas que podem ser utilizados como referencia e comparação e execução de fluxo de analise.