💭 Jeremys Brain

firewalk-tool

2 min read

Firewalk-Tool: Analyse von Netzwerk-Firewalls und Gateway-Filtern

Einführung

Das Firewalk-Tool ist ein fortschrittliches Netzwerk-Diagnosewerkzeug, das zur Analyse von Paketfilterregeln in Firewalls und Gateway-Routern eingesetzt wird. Es ermöglicht Sicherheitsanalysten und Netzwerkadministratoren, die Regelwerke von Firewalls zu untersuchen und potenzielle Schwachstellen zu identifizieren.

Funktionsweise

Firewalk nutzt TTL-basierte Paket-Scanning-Techniken, um Informationen über die hinter einer Firewall oder einem Gateway erreichbaren Hosts zu sammeln. Es sendet speziell konstruierte Pakete mit variierenden Time-To-Live (TTL)-Werten, um festzustellen, welche Ports durch die Firewall erlaubt und welche blockiert sind.

TTL-basiertes Scanning

  • TTL-Wert-Inkrementierung: Durch schrittweises Erhöhen des TTL-Werts der Pakete versucht Firewalk, die Reaktionen von zwischengeschalteten Geräten zu provozieren.
  • ICMP-Antworten: Basierend auf den erhaltenen ICMP-”Time Exceeded”- oder “Port Unreachable”-Meldungen kann das Tool Rückschlüsse auf die Filterregeln ziehen.

Einsatzmöglichkeiten

  • Firewall-Auditing: Überprüfung der implementierten Firewall-Regeln auf mögliche Fehlkonfigurationen.
  • Netzwerk-Mapping: Identifikation der Netzwerktopologie hinter Firewalls und Gateways.
  • Sicherheitsanalyse: Aufdeckung von Sicherheitslücken im Netzwerk-Perimeter.

Voraussetzungen

  • Netzwerkzugriff: Direkter Zugriff auf das Zielnetzwerk oder das zu prüfende Gerät.
  • Erweiterte Berechtigungen: Oftmals werden Administratorrechte benötigt, um spezielle Pakete zu versenden.
  • Rechtliche Rahmenbedingungen: Die Anwendung von Firewalk sollte nur mit ausdrücklicher Genehmigung und unter Beachtung gesetzlicher Vorschriften erfolgen.

Befehlssyntax

Die grundlegende Syntax für die Verwendung von Firewalk lautet:

firewalk [Optionen] -n <Ziel-IP>

Wichtige Optionen

  • -S <Start-TTL>: Startwert für TTL.
  • -E <End-TTL>: Endwert für TTL.
  • -p <Protokoll>: Zu verwendendes Protokoll (TCP oder UDP).
  • -i <Schnittstelle>: Netzwerkschnittstelle für den Versand der Pakete.
  • -n <Ziel-IP>: IP-Adresse des Zielhosts.

Beispiel

Durchführung eines Scans mit Start-TTL 1 und End-TTL 25 auf die IP-Adresse 192.168.1.1 über TCP:

firewalk -S 1 -E 25 -p TCP -n 192.168.1.1

Einschränkungen

  • Erkennung durch Sicherheitslösungen: Moderne Intrusion Detection Systeme (IDS) können Firewalk-Scans erkennen und blockieren.
  • Komplexe Netzwerke: In Netzwerken mit asymmetrischem Routing oder dynamischen Paketfiltern können die Ergebnisse unzuverlässig sein.
  • Protokollbeschränkungen: Einige Firewalls können spezifische Protokolle oder ICMP-Meldungen blockieren, was die Effektivität von Firewalk reduziert.

Schlagwörter

FirewalkNetzwerksicherheitFirewallAnalyseTTLScanningNetzwerkdiagnose

Gehacktes-Overview

Graph View