У меня вопрос к людям, которые имели дело с этим чудом техники. Суть вопроса следующая. В компании стоит один на фаер на всю сеть. Он находится на компьютере, выполняющем функции шлюза. На локальных компах только АВ. Допустим я установил троян на локальный комп через брешь в браузере. АВ не палит троян. Троян постоянно стучится на мой сервер, спрашивает команды. Посылаю команду на скачивание файла. Файл не присылается. Троян полностью эмулирует трафик браузера. Файлы передаются через запрос POST. Get запрос получается проходит, раз трой стучится ко мне. Пока не пробовал, но хочу попробовать передавать файлы через GET. А вопрос в том, что проверяет корпоративный фаер? В частности у трафика браузеров.
Попробуй отправлять файл не в RAW, а зашифрованый. Желатеьно каким-то своим алгоритмом, или с ключем. Это если фаер рубит по содержимому, а если он рубит по портам, то тут ничего не сделать, разве что слушать у себя 80-й порт и принимать на него все, что приходит.
По портам скорее всего он не рубит мой трой. Он ведь выходит на связь с моим сервером. Для фаера это просто общение браузера с сервером. Мне интересно что фаер делает с трафиком браузеров. На что обращает в трафике внимание. То ли на все POST запросы, то ли на содержимое(тогда что является хорошим содержимым, а что нет) и т.д.
eshkinkot Корпоративный фаирвол, как правило, это еще прокси-сервер, НАТ, и 1 айпи на всю контору. Я сам такое настраивал. Сквозь НАТ пробрасывается только 1 (2,3 максимум) IP из локалки - прокси-сервер, и по необходимости еще кто-нибудь. Все остальные даже проскакивая разрешения-запреты, туда отправить что-то могут, типа "Хей, пакет от 192.168.ххх.ууу примите", а вот соединение уже не проходит, потому что ответ на 192.168.ххх.ууу попадает хрен знает куда. Для успешной связи обратный адрес должен быть внешним IP организации. А такое происходит только с пакетами, идущими от конкретного узла. И работает интернет, только если у юзеров указан прокси-сервер. А все, что прокси-сервер настроить не позволяет, идет лесом. И вообще, такое возможно только если шлюзов больше одного. Скорее всего, там каскадом нормальный шлюз, и что-то типа "Континента". Во исполнение закона о защите информации. Поэтому кто-то тут недосмотрел (лень было грамотно второй шлюз настраивать - уровень подготовки безопасников как правило ниже уровня подготовки админов) и получился такой косяк. Из-за нормально настроенного фаирвола твой троян до сервера в принципе недостучится, даже в одну сторону.
При чем здесь прокси-сервер и NAT? Я же говорю, что бот сквозь всю эту хрень пробивается. посылает на мой веб-сервер запросы. Команды отдаются боту в виде хтмл-страниц моего веб-сервера. а так как он общается с моим веб-сервером, то, значит, и видит команды. Но обратно не может мне выслать файл. т.е. скорее всего режется пост-запрос. меня интересует что режет или фильтрует фаер у обычных браузеров
А видит, точно? Вы уверены? Я как бы намекаю, что ваш бот не общается с сервером. А только стучится из неведомого далека, а ответа уже не слышит.
Ну раз бот обращается к странице на моем сервере, значит, он создает соединение с сервером (SYN, ACK). а следовательно получает ответ.
Вот меня и интересует мнение о параметрах фильтрации трафика браузеров. насчет объема не уверен. потому что режется даже посылка файла объемом 400-600 байт. какие еще есть мнения о фильтрации трафика браузеров. может кто настраивал это чудо техники?
