Fragroute sniker seg forbi snokvarsleren

Monkey.org tilbyr åpenkildekodeverktøyet Fragroute som avdekker hull i snokvarslere og brannmurer.

Monkey.org er en fri og uformell sammenslutning av entusiaster fra åpen kildekodefellesskapet. Et av de sentrale medlemmene, Dug Song, som har sitt daglige virke i sikkerhetsselskapet Arbor Networks, har begått verktøyet Fragroute, et hjelpemiddel til å sjekke sikkerheten i brannmurer og snokvarslingssystemer.

Fragroute er beregnet på systemansvarlige på jakt etter sårbarheter og lekkasjer og kan selvfølgelig også misbrukes av hackere som ønsker å utnytte sårbarheter og lekkasjer.

I sin beskrivelse av Fragroute, skriver Song at verktøyet fanger opp og endrer trafikk rettet mot en bestemt vert, og implementerer angrep skissert i en offentlig rapport som sikkerhetsselskapet Secure Networks, siden fusjonert inn i Network Associates, offentliggjorde i januar 1998 under tittelen "Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection". Det finnes en lenke til denne rapporten fra Network Associates' bakgrunnsside om "Intrusion Detection".

Det pågår en diskusjon om Fragroute på Bugtraq, der det rettes et spesielt søkelys mot snokvarsleren Snort, også et åpenkildekodeverktøy.

Opphavet til Snort, Martin Roesch, sier at han har samarbeidet med Song i flere måneder, og at de fleste hullene som Fragroute er i stand til å utnytte i Snort, allerede er tettet. Han lover at de øvrige vil tettes i løpet av uka. Roesch, som er kjent blant annet for sin deltakelse i HoneyNet Project, sier at også kommersielle brannmurer og snokvarslere er sårbare. Minst én leverandør, Internet Security Systems, har rykket ut med en erklæring om at deres produkt er tett mot Fragroute.

Les også

Fragroute utnytter snokvarsleres og brannmurers manglende etterkontroll med sekvenser som slippes gjennom etter å ha blitt vasket. Hvis du for eksempel vil fore en server med sekvensen "kjentondsinnetkode", og du vet at serveren er beskyttet av et system som automatisk luker ut nettopp denne sekvensen, sender du i stedet sekvensen "kjentkjentondsinnetkodeondsinnetkode". Når systemet luker ut "kjentondsinnetkode" fra denne sekvensen, vil sekvensen som slippes gjennom, bare bestå av det som gjenstår når sekvensen er lappet sammen igjen, det vil si nettopp "kjentondsinnetkode".

Til toppen