Поскольку МЭ является первым элементом, то на них, как правило, сосредотачиваются основные усилия атакующих при проведении атак на корпоративные сети. Из анализа существующих тенденций и средств обхода МЭ можно выделить два основных подхода: постепенный подход и туннелирование.
Постепенный подход
Под постепенным подходом понимается методика информации об удаленной сети, защищенной МЭ. Этот метод использует посылку и анализ IP — пакетов подобно утилите traceroute для определения возможности определенного пакета пройти на хост назначения через устройство фильтрации пакетов. Метод позволяет определить открытые порты данного устройства, возможность прохождения пакетов для различных служб через данный порт.
Утилита traceroute предназначена для пересечения всех хостов на маршруте к цели. Она посылает на хост назначения UDP или ICMP echo пакеты, в которых постепенно увеличивается значения поля TTL после каждого удачного шага. Если используется пакет UDP, то номер порта назначения увеличивается на единицу с каждой пробой.
При получении пакета с ТТД =0 маршрутизатор удаляет пакет и посылает на хост-инициатор ICMP error message. Это позволяет хосту-инициатору узнать, на каком маршрутизаторе пакет удален.
Чтобы удостоверится, что получен ответ о хоста — назначения, утилита traceroute посылает следующий пакет UDP на порт с большим номером, который вероятнее всего не используется приложениями.
На основе утилиты tracerouteразработаны средства, позволяющие проводить требуемый анализ. Одним из таких средств является fire walk. Средство fire walk посылает TCP и UDPпакеты с TTL, значение которого на единицу больше целевого шлюза. Есл шлюз пропускает трафик, то пакет проходит на следующее устройство, на котором значение TTL будет равно 0. Если же шлюз не пропускает данный пакет, то удаляет его, не посылая никаких сообщений. Подход позволяет определить элементы списка управления доступом шлюза.
