Danas je gotovo svaki računalni sustav zaštićen nekom vrstom vatrozida. Njihovim neispravnim korištenjem oni umjesto zaštite mogu postati slaba točka sustava.
Firewalking je jedna od tehnika napada na vatrozid. To je vrlo jednostavna tehnika temeljena na alatu traceroute. Koristi se za prikupljanje informacija o sustavu, a ne kako bi se njime ovladalo.
Tvorci spomenute tehnike napravili su alat Firewalk koji ju u potpunosti implementira. Kasnije je ona ugrađena i u nekolicinu drugih specijaliziranih alata. Alati za firewalking danas se često koriste u penetracijskim testiranjima. U dokumentu je objašnjena tehnika firewalking, alati koji ju koriste te načini obrane od takvih napada.
Firewalking je tehnika koja služi za prikupljanje informacija o računalnim sustavima. Informacije prikupljene na taj način mogu se iskoristiti u zlonamjerne svrhe. Najčešća meta takvih napada su vatrozidi i demilitarizirane zone (eng. DMZ, demilitarized zone) zaštićene vatrozidima.
Firewalking je jednostavna metoda koja je nastala na temelju alata traceroute. Traceroute je alat uz pomoć kojeg se mogu saznati svi usmjernici kojima putuje paket u IP mreži. Ukoliko je negdje u mreži postavljen vatrozid, traceroute neće moći ispisati usmjernike koji se nalaze iza njega. Vatrozid se ponekad može zaobići ako se pažljivo primjenjuju opcije alata traceroute. Tehnike koje to postižu su protocol subterfuge i nascent port seeding.
U većini slučajeva vatrozidi ipak blokiraju alat traceroute. Firewalking tehnika iskorištava činjenicu da alat traceroute radi na IP sloju i da se poruke mogu slati na bilo koju priključnicu (eng. port). Naime, unutar IP paketa mogu se nalaziti razni transportni protokoli (ICMP, UDP, TCP) te se takve poruke mogu slati raznim mrežnim servisima. Firewalking pokušava zloćudne poruke maskirati u dobroćudne i na taj način zaobići vatrozid.
Tvorci firewalking tehnike Mike D. Schiffman i David Goldsmith ujedno su i tvorci alata Firewalk. To je prvi alat koji implementira firewalking. Njegovim korištenjem mogu se saznati informacije o topologiji i listama filtriranja (eng. ACL, access control list) sustava koji je meta napada. Osim tog alata, firewalking tehniku su kasnije preuzeli i neki alati specijalizirani za istraživanje mreža (nmap, hping).
Osim u zloćudne svrhe, firewalking se često primjenjuje prilikom penetracijskog testiranja sustava. Često se koristi zajedno sa drugim tehnikama, jer sam po sebi nije dovoljan za izvođenje ozbiljnijih napada. No ipak, informacije prikupljene tom tehnikom često su od iznimne važnosti.
Najvažniji korak u obrani od bilo koje vrste napada je stjecanje svjesnosti o njoj. Kako je firewalking ipak relativno stara tehnika (nastala je krajem 90ih godina 20. stoljeća), lako se nje obraniti. Najjednostavniji način obrane je onemogućiti izlazne TTL Time Exceeded in Transit poruke, no time se potpuno onemogućuje korištenje alata traceroute što ponekad nije zadovoljavajuće. Moguće se obraniti korištenjem raznih IDS sustava (eng. IntrusionDetectionSystem), korištenjem NAT protokola unutar lokalne mreže te korištenjem posredničkih (eng. Proxy) vatrozida.
Važno je primijetiti kako vrlo jednostavni alati i tehnike mogu ozbiljno narušiti sigurnost sustava ukoliko se ne primjenjuju pažljivo. Vatrozid se stoga treba koristiti u kombinaciji sa drugim elementima zaštite kako bi se osigurala željena razina sigurnosti u sustavu.
Posljednje sigurnosne preporuke