เอาล่ะ วันนี้เรามามีสาระกันบ้าง…
ก่อนอื่นที่เราจะทราบถึงเรื่องนี้ เรามาดูพื้นฐานการทำงานของ Firewall กันก่อนครับ
Firewall คืออะไร?
Firewall คือโปรแกรม หรืออุปกรณ์ชนิดหนึ่ง ที่ทำหน้าที่เป็นตัวกลาง หรือกำแพง ระหว่างเครื่องผู้ใช้กับอินเตอร์เน็ต และเป็นตัวกรองข้อมูลก่อนทีมันจะมาถึงเครื่องเรา ตามกฏที่เราตั้งไว้ อันนี้คือความคิดเห็นของผมล้วนๆ โปรดอย่าอ้างอิงไปในทางวิชาการนะครับ
ซึ่งระบบ Firewall นั้น ในระดับ Enterprise แล้ว ก็มักจะมี IPS (Intrusion Prevention System) ร่วมอยู่ด้วย ซึ่ง IPS นี้ ทำหน้าที่ตรวจสอบข้อมูลที่เข้ามา คล้ายๆ กับยาม โดยมีความสามารถเหนือกว่า IDS ตรงที่สามารถดรอป Packet ที่คาดว่าจะเป็นอันตรายทิ้งไปได้ และบางครั้งสามารถ Alert ไปยังผู้ดูแลระบบได้
ทีนี้ พื้นฐานการทำงานของ Firewall แทบทุกแห่งก็คือ “บล๊อกขาเข้า อนุญาตขาออก” พอจะเห็นภาพอะไรมั้ยครับ? ถ้ายัง ขออธิบายเพิ่มเติม
ในบริษัทของเรานั้น เราจะไม่สามารถเปิดโปรแกรมประเภท Server หรือโปรแกรมที่ต้องเปิด Port รอการเชื่อมต่อจากภายนอกเข้ามาได้ เพราะว่า Firewall ไม่อนุญาต Packet ขาเข้านั่นเองครับ รวมถึงการเปิดโปรแกรมอะไรก็ตาม เช่น Web Server ถ้า Firewall ไม่อนุญาต ผู้คนภายนอกก็จะไม่สามารถเชื่อมต่อเข้ามาได้
ทีนี้ “อนุญาตขาออก” หมายถึง การปล่อยผ่านขาออก ที่ไม่มีในกฏให้ออกไปข้างนอกได้ เช่น อนุญาตให้เราเข้าเว็บไซต์ต่างๆ ได้ เช่น facebook, youtube ครับ เพราะการเชื่อมต่อนี้เป็นการเชื่อมต่อขาออก ทำให้ Firewall ไม่เข้มงวดอะไรมากนัก
ทีนี้ Firewall ส่วนมาก ไม่ค่อยเข้มงวดกับ packet ขาออกมากนัก เราจะใช้จุดนี้นี่แหละครับ ในการเจาะระบบเข้าไป
อ่าๆ คิดดูดีๆ เราจะเจาะเข้าไปยังไง?
เทคนิคนี้เรียกว่า Reverse Connection ครับ วิธีการทำงานของมันคือ แอบฝังโปรแกรมที่มีลักษณะเป็น Reverse Connection RAT ไปยังเครื่องเป้าหมายของบริษัทนั้นๆ ซึ่งการทำงานของมันคือ โปรแกรมจะเชื่อมต่อขาออกไปยัง Server ที่เราเตรียมไว้เพื่อรอรับคำสั่ง ทำให้ Firewall ที่ตั้งกฏไว้ไม่เข้มงวด (ขาออก) มากนัก ปล่อยผ่านไปได้สบายๆ
ทีนี้ หากเราฝังโปรแกรมไว้ที่เครื่องในบริษัทเป้าหมายได้แล้ว (เทคนิคก็แล้วแต่คนเลย ไม่ว่าจะเป็น Social Engineering หรือแอบส่งเมลไปก็ตามแต่) ทีนี้ เราก็ต้องมาตรวจสอบการเชื่อมต่อ เพื่อสร้างแผนผังเครือข่ายก่อน ว่าเครื่องนั้นสามารถเชื่อมต่อไปยังระบบภายใน (Intranet) ที่ใหนได้บ้าง
พอสร้างแผนผังเครือข่าย + ตรวจดูพฤติกรรมผู้ใช้งานเครื่องได้แล้ว ทีนี้ก็เสร็จโจรครับ ระบบภายในถูกบุกรุกโดยผู้ไม่หวังดีเรียบร้อยแล้ว โดยใช้เครื่องภายในสำนักงานนั่นแหละเป็น Zombie
รายละเอียดทางเทคนิค และวิธีการขอไม่เปิดเผยนะครับ อันนี้มาแชร์ความรู้เบื้องต้นเฉยๆ เทคนิคการ Bypass Firewall นั้นยังมีอีกหลายวิธีครับ
ใส่ความเห็น
คุณต้องเข้าสู่ระบบ เพื่อจะพิมพ์ความเห็น