Tổng quan về vấn đề
Các hệ thống tường lửa thế hệ mới (Next Generation Firewall – NGFW) thường sử dụng các engine IDS/IPS để kiểm tra và phân tích lưu lượng mạng, nhằm phát hiện các hành vi tấn công cũng như kiểm soát truy cập. Tuy nhiên, trong quá trình phân tích, các engine này vẫn cho phép một vài gói tin đầu tiên đi qua trước khi có đủ thông tin để quyết định chặn hay cho phép lưu lượng. Đây là một lỗ hổng về thiết kế mà các kỹ thuật viên tấn công có thể khai thác để vượt qua bảo mật, sử dụng công cụ như Fragtunnel.
Phân tích chi tiết cơ chế hoạt động
1. Cơ chế kiểm tra của NGFW
- NGFW sử dụng IDS/IPS để phân tích các gói tin, nhưng chỉ quyết định hành động khi đã thu thập đủ dữ liệu.
- Trong thời gian này, một số gói tin ban đầu được cho phép đi qua firewall đến máy chủ đích.
- Lưu lượng độc hại nếu được chia nhỏ thành nhiều fragment nhỏ, mỗi fragment chứa rất ít thông tin và không đủ để IDS/IPS xác định là độc hại, sẽ có khả năng “lọt lưới”.
2. Lợi dụng kỹ thuật Fragmentation
- Kẻ tấn công chia nhỏ payload thành nhiều gói tin nhỏ (fragment) trước khi gửi đi.
- Mỗi fragment là một phần của dữ liệu gốc, không đủ đặc trưng để IDS/IPS phát hiện.
- Khi đến đích, hệ điều hành sẽ tự động reassemble các fragment thành payload gốc.
- Nếu payload độc hại được chia nhỏ đủ mức, firewall sẽ không phát hiện ra cho đến khi payload đã vào sâu bên trong hệ thống.
3. Công cụ Fragtunnel
- Fragtunnel là một công cụ mã nguồn mở được thiết kế để tự động hóa quá trình chia nhỏ (fragmentation) và gửi dữ liệu qua firewall.
- Cấu trúc hoạt động của Fragtunnel như sau:
| Thành phần | Chức năng |
|---|---|
| Fragtunnel Client | Chạy ở phía attacker, chia nhỏ payload, gửi từng fragment tới server |
| Firewall/IDS/IPS | Phân tích từng fragment, nhưng không đủ thông tin để phát hiện payload gốc |
| Fragtunnel Server | Nhận fragment, ghép lại thành payload gốc và chuyển tiếp vào hệ thống nội bộ |
4. Quy trình tấn công điển hình
- Attacker cài đặt Fragtunnel trên máy của mình và máy chủ trung gian (server).
- Payload được chia nhỏ thành các fragment cực nhỏ (gói tin UDP, TCP).
- Các fragment này vượt qua firewall vì không bị nhận diện là độc hại.
- Fragtunnel server nhận từng fragment, ghép lại thông điệp hoàn chỉnh và chuyển giao cho hệ thống nội bộ.
- Từ đó, attacker có thể giao tiếp với máy chủ nội bộ qua firewall mà không bị phát hiện.
5. Minh họa bằng lưu đồ
| Bước | Mô tả |
|---|---|
| 1 | Attacker gửi payload qua Fragtunnel client (chia fragment) |
| 2 | Các fragment vượt qua firewall/IDS/IPS |
| 3 | Fragtunnel server nhận fragment, ghép lại và chuyển tiếp payload |
| 4 | Hệ thống nội bộ nhận được payload gốc mà firewall không phát hiện |
Đánh giá tính hiệu quả và rủi ro
- Kỹ thuật này đặc biệt hiệu quả với các tường lửa dựa trên signature hoặc chỉ phân tích các gói tin lớn.
- Fragtunnel có thể vượt qua nhiều giải pháp NGFW phổ biến nếu cấu hình không chặn hoặc phân tích sâu toàn bộ fragment.
- Nếu firewall không tiến hành reassembly trước khi phân tích hoặc không lưu trạng thái đủ lâu, kỹ thuật này sẽ thành công.
Giải pháp phòng chống
- Cấu hình firewall để reassemble các fragment trước khi chuyển cho IDS/IPS phân tích.
- Thiết lập các luật kiểm soát fragment (ví dụ: hạn chế số lượng fragment, kiểm tra fragment size bất thường).
- Giám sát lưu lượng bất thường, cảnh báo khi phát hiện nhiều fragment nhỏ liên tục từ một nguồn.
- Cập nhật firmware và engine IDS/IPS thường xuyên để vá các lỗ hổng liên quan.
Kết luận
Kỹ thuật sử dụng Fragtunnel để vượt qua tường lửa thế hệ mới dựa trên một lỗ hổng thiết kế căn bản trong quá trình xử lý các gói tin fragment. Đây là minh chứng rõ nét cho thấy việc chỉ dựa vào NGFW không đủ để bảo vệ hệ thống nếu không có sự giám sát, cấu hình và cập nhật phù hợp. Cần kết hợp các giải pháp an ninh khác nhau để đảm bảo hệ thống mạng luôn an toàn trước các kỹ thuật tấn công ngày càng tinh vi.
Source link: Bypassing Next Generation Firewalls with fragtunnel
