Матеріал з Xgu.ru Автор: Ігор Чубин
Firewall Piercing (англ., Дослівно: проколювання брандмауера) - різноманітні техніки, що використовуються для подолання обмежень брандмауера, що супроводжуються, як правило, утворенням тунелю для передачі IP-трафіку або будь-якого іншого трафіку певного виду.
Для успішного проколювання необхідно дві умови:
- Зовні є приймаюча сторона (пірсинг-сервер);
- Між пірсинг-сервером і пірсинг-клієнтом можна забезпечити двосторонній обмін інформацією будь-яким способом.
Всі види пірсингу припускають участь двох сторін: однієї, яка перебуває всередині мережі, і другий, що знаходиться в Інтернеті, яка готова прийняти створюваний тунель і буде обробляти весь трафік користувача, що знаходиться всередині мережі, з другої сторони тунелю.
Друга вимога передбачає, грубо кажучи, що ви можете при бажанні переслати байт в одну сторону і отримати байт у відповідь (в дійсності, для того щоб нормально працювали деякі протоколи існують ще вимоги за часом).
Найпростіший вид пірсингу: прокладання тунелю поверх HTTP-проксі . Більш складні: ICMP-tunneling і DNS-tunneling , Дозволяють організувати IP-тунель поверх ICMP і DNS-пакетів відповідно. Фактично це означає, що можна отримати повноцінний вихід в Інтернет в обхід брандмауера, якщо у клієнта існує хоча б можливість пінгувати зовнішні машини або ні перетворювати зовнішні імена зсередини мережі.
Приклади практичних ситуацій, коли може застосовуватися проколювання брандмауера (в порядку зростання складності і рідкості):
- HTTP-proxy. Ви перебуваєте в мережі, де дозволений доступ тільки через проксі-сервер, а вам потрібен повноцінний доступ в мережу, зокрема SSH, SMTP і прочее.-
- Тунель через термінал. Ви можете потрапити всередину мережі через кілька проміжних SSH-заходів (в тому числі на мережеві пристрої, які не підтримують SSH port forwarding), але прямого доступу цієї мережі в Інтернет немає.
- DNS-тунель. Дозволена обробка DNS-запитів, передача іншого трафіку заборонена.
- ICMP-тунель. Дозволена наскрізна пересилка ICMP-трафіку, а передача іншого трафіку заборонена.
- ICMP-тунель + IP-spoofing. Заборонено наскрізна пересилка ICMP-трафіку і будь-якого іншого трафіку, але немає захисту від підміни IP-адрес (IP-spoofing).