Windows XP ICF(Internet Connection Firewall)

**131520** · 2003-05-08, 03:55 PM

Windows XP 內建了一個 ICF(Internet Connection Firewall)防火牆。ICF 是一套非常好用的個人防火牆，能夠防止 Internet上大部份的攻擊，然而缺乏細部的控制，對於進階使用者的限制太多。誠如他們所說，You can't live with it, you can't live without it.

在這篇文章是以實驗的方式來測試防火牆，並且讓安全測試員（Whitehat Hacker白帽駭客）看看這套防火牆的功效。以下將簡介 ICF 並以模擬攻擊來看看 ICF 的成效，以及討論 ICF 的優缺點。

ICF 簡介

ICF 是為一套狀態檢視防火牆(stateful packet filter) ，比傳統的封包過濾器更具有廣泛的設定規則。ICF ruleset 預設上是非常安全的，且拒絕所有來自 Internet的流量，包含 ICMP echo requests (ping 封包)。對於企圖探測你的機器的攻擊者而言，像是看不見一樣。

設定"services" 或使用 ICF API 可手動修改 ICF ruleset。ICF 包含標準的服務，如FTP和 HTTP。除此之外，ICF 允許新增自定的服務通訊埠，然而此 ruleset缺乏一項重要的設定，就是無法針對某個特定的 IP 位址進行存取設定。如果你允許 HTTP 服務 PORT 80 的存取需求，便可讓全世界的人都可以連到你機器上的 PORT 80。你無法限制某個IP 或某個範圍的 IP 位址來作存取需求。這可以說是 ICF 重大的缺點。

除了手動設定 ruleset，ICF 包含一個 API 可允許應用程式暫時修改 ruleset。這是個很好也是很可怕的特色。好的原因是因為它允許應用程式如 Windows messenger 可以跟 ICF互動。這對於會開啟任意通訊埠的應用程式是非常有用的。同時，大部份的安全專家對於應用程式能修改規則集，會提出安全性的警告。不過人們常會抱怨使用 ICF API 時，需要管理者的權限。如果你的 Windows XP 帳號是一個受限的帳號，應用程式會無法使用ICF API 修改 ICF ruleset。關於 ICF API 的資訊可參閱

About Internet Connection Sharing and Internet Connection Firewall.
http://msdn.microsoft.com/library/d...on_firewall.asp

最後，ICF 除了標準的有狀態性的封包過濾之外，還有某些額外的安全檢查，如：
1.強制一個 3-way handshake - 這對於防止特殊的掃描技術是很有用的。
2.拒絕不可能會出現的 TCP flag 選項。（如同時擁有 SYN 和 FIN 位元的封包 - 防止無效封包的 IP 堆疊攻擊。
3.使用 Raw Sockets 和 IP_HDRINCL 選項，防止 IP 欺騙 - 有效防止某些型態的分散式阻斷服務攻擊。

微軟官方 ICF 的簡介，請參閱 Internet Connection Firewall overview
http://www.microsoft.com/technet/tr...ng_firewall.asp

攻擊 ICF

為了測試的需要，我們使用 Windows XP 網路並啟用 ICF。但不以 ICS(Internet connection sharing)開啟 ICF，並使用一般的設定。攻擊採用兩種方式，一種是從Internet，另外一種是從本機。

工具

我們使用下列工具作為測試使用：
1. ISIC - IP 堆疊完整性檢查
http://www.packetfactory.net/Projects/ISIC/

2. FSCAN - Windows 平台通訊埠掃描
http://www.foundstone.com/knowledge/proddesc/fscan.html

3. Nmap - 通訊埠掃描
http://www.insecure.org/nmap/

4. Foundscan - 漏洞測試工具
http://www.foundstone.com/services/mvas.html

5. Nessus - 漏洞測試工具
http://www.nessus.org/

6. fragrouter - IP 封包分割工具。
http://online.securityfocus.com/dat...uter-1.6.tar.gz

方法及結果

我們模擬駭客攻擊的方式來攻擊使用 ICF 使用者。為了模擬攻擊的需要，使用公開的免費軟體及商業的通訊埠掃描和漏洞測試工具。除此之外，我們使用像 ISIC 和fragrouter 工具攻擊 ICF 防火牆。此測試方法使用之前其它防火牆所無法處理的攻擊，來確認微軟是否犯了相同的錯誤。

我們將焦點放在從 Internet 來的攻擊，因為大部份對於個人防火牆的攻擊會是來自於Internet。

除此之外，測試本機上惡意使用者的攻擊，並企圖從攻擊中獲得額外的利益。

執行 ISIC、通訊埠掃描和漏洞測試工具來測試 ICF的安全性。大多數的駭客會使用通訊埠掃描和漏洞測試工具試圖找出有哪些服務和潛在的漏洞。ISIC 和 NMAP 是用來產生非 RFC標準的封包，企圖讓 ICF 無法作用。但 ICF 阻擋了所有的攻擊，而且使用者並不會注意這個攻擊，ICF 會阻擋那些無效的封包。

接下來的攻擊我們使用 fragrouter 去分割 IP 封包。它能夠將單一的 TCP 封包切割成多個封包，以企圖穿越 ICF 的保護。不過也是沒有成功。雖然試著使用其它的標準攻擊方式來對於防火牆，如分段重疊攻擊。不過 ICF 對於這些攻擊也能有效的防護。

大多數的狀態檢視防火牆會因為狀態表(state table) 滿載而對內部使用者產生 DoS 的問題，我們從 ICF box 執行 Fscan port scanner，發現了一個令人驚訝的地方。雖然並沒有 DoS 的情況發生，但不論是掃描那一台主機，PORT 21,389,1002,1720 通常都是開啟的。這個情況是出乎我們的意料之外：為什麼 ICF 開啟這些通訊埠？是後門嗎？在加以研究之後，判斷是由於 ICF/ICS service 中的應用層代理伺服器所開啟。這是因為微軟為了支援在防火牆裡並無法運作平順的特殊通訊協定所建置的。

那些特殊通訊協定會動態的開啟連入的連線，但這於有狀態檢視防火牆是不可能辦到的。

以 FTP 和 H.323 為例，在一個的 FTP 連線裡(非PASV)，FTP client 會由 port 21 連到FTP server，並使用 PORT 指令告知 FTP server 連回 FTP client，並使用任意通訊埠傳送資料。

如果防火牆無法偵測和處理 PORT 指令，便會丟掉這些封包。所以 ICF便建置了FTP proxy處理 PORT 指令。

同樣的，H.323是用來建立 VOIP 的呼叫，可是這是只用來建議呼叫而己。真實聲音和影像RTP 串流的傳送是使用動態的通訊埠。ICF為了讓這些封包流入，它必須監聽此類呼叫的建立。

PORT 389 和 1002 是 LDAP 和 ILS (Internet Locator Service)作為 Netmeeting。

應用層代理伺服器的存在是因為 ICS 所發展的。當 ICS 和 ICF 被建置成為單一服務時，即使沒有開啟 ICS 服務，這個代理伺服器還是仍然會開啟。雖然這些代理伺理器可能會有漏洞存在，但是我們的測試僅到此而己。但如果駭客已經隱藏在內部 ICS 網路當中，你可能會有大麻煩。無論如何，應用層代理伺服器對於你想要研究的漏洞可能會是一個很好的議題。

Port Service Reason

21 FTP NTP PORT command

398 LDAP Netmeeting

1002 ILS Netmeeting

1720 H.323 Netmeeting

雖然 ICF 對於來自網路上的攻擊能應付得很好，但是如果能經由 e-mail 作木馬的攻擊，很明顯能夠很簡單的穿越防火牆的保護。無可否認地，ICF並不是一個病毒或是木馬的偵測器，然而 ICF 缺乏對外的過濾機制，防止木馬 "phone home" 並對外開啟連線。除此之外，雖然 ICF 能防止 DDoS 的攻擊，但我們仍然能經由 NDIS 的呼叫修改 IP 的來源位址。

相關 "phone home" 的攻擊。請參閱 SecurityFocus 文章 "When Dreamcasts Attack"。

總結的來說，ICF 對於攻擊的防護作的不錯，但缺乏對外過濾則是一個很大的缺失。

優點

Windows ICF 有很多特色和優點。特別是下列所述：

* ICF 是免費的。你無從抱怨和整合進內部的作業系統裡。除非你是 Netscape 或法官。

* ICF 在高負載的時候，也能夠運作得很好。

* ICF 能防止網路上大部份的攻擊。預設的防火牆規則非常的嚴格，能預防大多數的攻擊，但無法防止病毒和其他從你的電腦所發出的攻擊。

* ICF 為有狀態檢視防火牆。狀態檢視防火牆一般而言會比封包過濾防火牆更安全。

* ICF 己經安裝並啟動。如果你己經使用網路安裝精靈，就己經開啟了 ICF。

* ICF API 允許應用程式在 ICF 中開啟一個通訊埠，並允許對內的傳輸。這對於像是Windows Messenger 和遊戲像 Warcraft 3 需要對內的連線是非常有用的。

* 應用層代理伺服器允許 ICF 以異常協定的防火牆運作。

缺點

儘管擁有上述優點，Windows ICF也會引起某些問題的產生。特別是對於公司的使用者和有權控制防火牆的 power user。下列可能是此類使用者較難接受的問題：

* ICF 阻擋了許多應用程式。ICF 無法針於信任的主機的存取設定，也不支援RPC，以致於Outlook 中的訊息提示無法運作。除此之外，檔案分享的服務也無法運作。

* ICF 無法過濾對外連線。然而這使得 ICF 對於木馬或者惡意應用程式毫無作用。

* ICF 缺乏即時攻擊的通知。ICF可以設定允許登錄或拒絕傳輸，但並不提供即時的通知。

* 應用程式要動態開啟通訊埠必須要有 administrative 層級的權限。如果你使用"最小權限原則(Principle of Least Privileges)" ，而且你的帳號是一個受限制的帳號，應用程式便無法利用 ICF API 和動態開啟通訊埠。

結論

ICF對於大多數的人而言是一個非常好的安全工具，它阻擋了大多數網路上的攻擊，並且可讓 ICF API 應用程式運作得很好。它也支援工業的標準協定，像是FTP, H.323 和 PPTP。

然而，如果你是一個公司的使用者或是 power user，可能需要另外一套個人防火牆來作一些更詳盡的存取控制。若沒有詳細的存取設定，power user 需關掉防火牆，以便某些應用程式能夠運作。

我們的建議是：若 ICF 對你而言是有用的，那就使用 ICF。否則就關掉防火牆，並購買另一套個人防火牆作更進階的存取設定。