Способы обхода межсетевых экранов.

Межсетевой экран или сетевой экран - комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача - не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

• 
  традиционный сетевой (или межсетевой ) экран - программа (или неотъемлемая часть операционной системы) на шлюзе (сервере, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
• 
  персональный сетевой экран - программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:

• 
  сетевом уровне , когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
• 
  сеансовом уровне (также известные как stateful) - отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях - сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
• 
  уровне приложений , фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.

В зависимости от отслеживания активных соединений сетевые экраны бывают:

• 
  stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
• 
  stateful, (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т.п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

Как обходят межсетевые экраны.

1. 
   ^ Угроза изнутри. Не всегда угрозы идут только с внешней стороны МСЭ, из сети Internet. Большое количество потерь связано как раз с инцидентами защиты со стороны внутренних пользователей (по статистике - до 80% инцидентов исходят изнутри). Необходимо уточнить, что межсетевой экран только просматривает трафик на границах между внутренней сетью и сетью Internet. Если трафик, использующий "бреши" в защите, никогда не проходит через межсетевой экран, то МСЭ и не находит никаких проблем.

Пример на слайде
1. 
   Туннели . Межсетевой экран фильтрует трафик и принимает решения о пропуске или блокировании сетевых пакетов, опираясь на информацию об используемом протоколе. Как правило, правила предусматривают соответствующую проверку с целью определения того, разрешен или нет конкретный протокол. Например, если на МСЭ разрешен 25 и 80 порты, то тем самым разрешается пропуск во внутреннюю сеть почтового (SMTP) и Web (HTTP) трафика. Именно этот принцип обработки и используется квалифицированными злоумышленниками. Вся несанкционированная деятельность осуществляется в рамках разрешенного протокола, создавая тем самым в нем туннель, по которому злоумышленник и реализует атаку. Самый простой пример, демонстрирующий применение туннелей - Internet-черви и макровирусы, заносимые в корпоративную сеть в виде вложений (attachments) в сообщения электронной почты. Если межсетевой экран разрешает прохождение SMTP-трафика (а мне не приходилось видеть МСЭ, который бы этого не делал), то во внутреннюю сеть может попасть и "вирусная инфекция".

   Распространенной современной атакой на скрытые каналы является атака Loki. Эта атака использует протокол ICMP для передачи данных, хотя этот протокол не был разработан для использования таким образом, он предназначен лишь для отправки сообщений о текущем статусе и ошибках. Но кто-то разработал специальный инструмент (Loki), который позволяет злоумышленнику записывать данные сразу после заголовка ICMP.
   Это позволяет злоумышленнику организовать связь с другой системой посредством скрытого канала. Часто такая атака оказывается весьма успешной, поскольку большинство межсетевых экранов настроены на разрешение входящего и исходящего трафика ICMP. Это скрытый канал, т.к. он использует для связи протокол, который не был разработан для этого. Подробную информацию об атаке Loki можно найти на http://xforce.iss.net/xforce/xfdb/1452 .

2. 
   Шифрование. Очень часто из уст многих отечественных разработчиков средств VPN можно услышать, что разработанное им средство построения виртуальных частных сетей способно решить многие проблемы безопасности. Они упирают на то, что раз защищаемая сеть общается со своими оппонентами (удаленными офисами, партнерами, заказчиками и т.д.) только по VPN-соединению, то никакая "зараза" в нее не проникнет. Отчасти это так, но только при условии, что и оппоненты также ни с кем не общаются по незащищенным каналам. А это уже представить себе трудно. И поскольку большинство организаций используют шифрование для защиты внешних сетевых соединений, интерес злоумышленника будет направлен к тем местам в сети, где информация, представляющая для него интерес, вероятно, не является защищенной, то есть к узлам или сетям, с которым установлены доверенные отношения. И даже в случае создания VPN-соединений между сетью, защищаемой при помощи МСЭ с функциями VPN, и доверенной сетью, злоумышленник сможет с той же эффективностью реализовывать свои атаки. Мало того, эффективность его атак будет еще выше, поскольку зачастую требования по безопасности к доверенным узлам и сетям намного ниже всех остальных узлов. Злоумышленник сможет проникнуть в доверенную сеть, а уж затем из нее осуществлять свои несанкционированные действия по отношению к цели своей атаки.

   

3. 
   ^ Уязвимости в межсетевых экранах. Атаковав МСЭ и выведя его из строя, злоумышленники могут спокойно, не боясь быть обнаруженными, реализовывать свои преступные замысли по отношению к ресурсам защищаемой сети. Например, с начала 2001 года было обнаружено немало уязвимостей в реализации различных известных межсетевых экранов.
4. 
   ^ Подмена адреса - это способ сокрытия реального адреса злоумышленника. Однако он может использоваться и для обхода защитных механизмов межсетевого экрана. Такой простейший способ, как замена адреса источника сетевых пакетов на адрес из защищаемой сети, уже не может ввести в заблуждение современные межсетевые экраны. Все они используют различные способы защиты от такой подмены. Однако сам принцип подмены адреса остается по-прежнему актуальным. Например, злоумышленник может подменить свой реальный адрес на адрес узла, у которого установлены доверенные отношения с атакуемой системой и реализовать атаку типа "отказ в обслуживании" на нее.

"Нормальные герои всегда идут в обход"

Зачем пытаться проникнуть к защищаемым ресурсам через защитные средства, когда можно попытаться обойти их? Это можно проиллюстрировать примером из смежной области. В среду, 21 февраля 1990 г., Мэри Пирхем, аналитик по бюджету одной американской компании, пришла на работу. Однако она не смогла пройти на свое рабочее место даже после набора четырехзначного кода и произнесения кодового слова в системе контроля доступа. Желая все-таки попасть на работу, Мэри обошла здание и открыла дверь черного хода при помощи пилки для ногтей и пластмассовой расчески. Новейшая защитная система, которую обошла Мэри Пирхем, рекламировалась как "безотказная и надежная" и стоила несколько десятков тысяч долларов. Аналогично и с межсетевыми экранами, только роль черного хода может выполнять модем. Знаете ли вы, сколько в вашей сети установлено модемов и для чего они используются? Не отвечайте сразу утвердительно, подумайте. При обследовании одной сети начальники отдела защиты информации и автоматизации рвали на себе рубаху, утверждая, что они знают все до единого модема, установленные в их сети. Запустив систему анализа защищенности Internet Scanner, мы действительно обнаружили указанные ими модемы, используемые для обновления баз данных бухгалтерской и юридической систем. Однако было обнаружено и два неизвестных модема. Один использовался сотрудником аналитического отдела с целью получения доступа к рабочим каталогам из дома. Второй модем использовался для доступа в Internet, в обход межсетевого экрана.

С возможностью обхода МСЭ связан и другой пример. Не всегда угрозы идут только с внешней стороны МСЭ, из сети Internet. Большое количество потерь связано как раз с инцидентами защиты со стороны внутренних пользователей (по статистике - до 80% инцидентов исходят изнутри). Необходимо уточнить, что межсетевой экран только просматривает трафик на границах между внутренней сетью и сетью Internet. Если трафик, использующий "бреши" в защите, никогда не проходит через межсетевой экран, то МСЭ и не находит никаких проблем. В 1985 году на одном из российских судостроительных заводов была разоблачена преступная группа из свыше 70 (!) человек, которая в течение 1981-1985 гг. путем введения в информационную систему расчета зарплаты фальшивых документов похитила более 200 тыс. рублей. Аналогичные случаи были зафиксированы на заводах г. Ленинграда и г. Горького. Ни один, даже самый эффективный межсетевой экран, не смог бы обнаружить такую деятельность.

Туннели используются не только в метро

Но даже просмотр трафика на границе между внешней и внутренней сетями не гарантирует полной защиты. Межсетевой экран фильтрует трафик и принимает решения о пропуске или блокировании сетевых пакетов, опираясь на информацию об используемом протоколе. Чаще всего, правила предусматривают соответствующую проверку с целью определения того, разрешен или нет конкретный протокол. Например, если на МСЭ разрешен 25 и 80 порты, то тем самым разрешается пропуск во внутреннюю сеть почтового (SMTP) и Web (HTTP) трафика. Именно этот принцип обработки и используется квалифицированными злоумышленниками. Вся несанкционированная деятельность осуществляется в рамках разрешенного протокола, создавая тем самым в нем туннель, по которому злоумышленник и реализует атаку. Самый простой пример, демонстрирующий применение туннелей - Internet-черви и макровирусы, заносимые в корпоративную сеть в виде вложений (attachments) в сообщения электронной почты. Если межсетевой экран разрешает прохождение SMTP-трафика (а мне не приходилось видеть МСЭ, который бы этого не делал), то во внутреннюю сеть может попасть и "вирусная инфекция". Приведу более сложный пример. Например, Web-сервер, функционирующий под управлением программного обеспечения компании Microsoft (Internet Information Server), защищается межсетевым экраном, на котором разрешен только 80-ый порт. На первый взгляд обеспечивается полная защита. Но только на первый взгляд. Если используется IIS версии 3.0, то обращение по адресу: http://www.domain.ru/default.asp. (с точкой в конце) позволяет злоумышленнику получить доступ к содержимому ASP-файла, который может хранить конфиденциальные данные (например, пароль доступа к базе данных). В системе обнаружения атак RealSecure эта атака получила название "HTTP IIS 3.0 Asp Dot". И даже, если вы установили самую последнюю версию IIS 5.0, то и в этом случае вы не можете чувствовать себя в полной безопасности. Обращение к адресу:

http://SOMEHOST/scripts/georgi.bat/..%C1%9C..%C1%9C..%C1%9Cwinnt/system32/cmd.exe?/c%20dir%20C:\

приводит к выполнению команды "dir C:\". Аналогичным образом можно прочитать любой файл, в том числе и содержащий конфиденциальную информацию:

http://SOMEHOST/scripts/georgi.asp/..%C1%9C..%C1%9C..%C1%9Ctest.txt

Последним примером может служить атака Loki, которая позволяет туннелировать различные команды (например, запрос на передачу файла паролей /etc/passwd) в запросы ICMP Echo Request и реакцию на них в ответы ICMP Echo Reply.

Шифруй, не шифруй, все равно…

Очень часто из уст многих отечественных разработчиков средств VPN можно услышать, что разработанное им средство построения виртуальных частных сетей способно решить многие проблемы безопасности. Они упирают на то, что раз защищаемая сеть общается со своими оппонентами (удаленными офисами, партнерами, заказчиками и т.д.) только по VPN-соединению, то никакая "зараза" в нее не проникнет. Отчасти это так, но только при условии, что и оппоненты также ни с кем не общаются по незащищенным каналам. А это уже представить себе трудно. И поскольку большинство организаций используют шифрование для защиты внешних сетевых соединений, интерес злоумышленника будет направлен к тем местам в сети, где информация, представляющая для него интерес, вероятно, не является защищенной, то есть к узлам или сетям, с которым установлены доверенные отношения. И даже в случае создания VPN-соединений между сетью, защищаемой при помощи МСЭ с функциями VPN, и доверенной сетью, злоумышленник сможет с той же эффективностью реализовывать свои атаки. Мало того, эффективность его атак будет еще выше, поскольку зачастую требования по безопасности к доверенным узлам и сетям намного ниже всех остальных узлов. Злоумышленник сможет проникнуть в доверенную сеть, а уж затем из нее осуществлять свои несанкционированные действия по отношению к цели своей атаки. В марте 1995 г. администратор безопасности Космического Центра Джонсона (Johnson Space Center) получил сообщение о том, что два компьютера этого центра были атакованы злоумышленниками. Однако в результате расследования выяснилось, что данные компьютеры были скомпрометированы еще в декабре 1994 года, и на них были установлены программы-перехватчики пользовательских идентификаторов и паролей. Журналы регистрации этих программ содержали около 1300 идентификаторов и паролей пользователей из более 130 систем, подключенных к скомпрометированным узлам.

И вновь о подмене

Подмена адреса - это способ сокрытия реального адреса злоумышленника. Однако он может использоваться и для обхода защитных механизмов межсетевого экрана. Такой простейший способ, как замена адреса источника сетевых пакетов на адрес из защищаемой сети, уже не может ввести в заблуждение современные межсетевые экраны. Все они используют различные способы защиты от такой подмены. Однако сам принцип подмены адреса остается по-прежнему актуальным. Например, злоумышленник может подменить свой реальный адрес на адрес узла, у которого установлены доверенные отношения с атакуемой системой и реализовать атаку типа "отказ в обслуживании" на нее.

Межсетевой экран - как цель атаки

Межсетевые экраны часто сами являются объектами атаки. Атаковав МСЭ и выведя его из строя, злоумышленники могут спокойно, не боясь быть обнаруженными, реализовывать свои преступные замысли по отношению к ресурсам защищаемой сети. Например, с начала 2001 года было обнаружено немало уязвимостей в реализации различных известных межсетевых экранов. Например, неправильная обработка TCP-пакетов с флагом ECE в МСЭ ipfw или ip6fw позволяла удаленному злоумышленнику обойти созданные правила. Еще одна уязвимость была обнаружена в межсетевом экране BorderWare Firewall Server 6.1.2. Использование данной уязвимости, связанной с широковещательной посылкой запросов ICMP Echo Request, приводила к нарушению доступности МСЭ BorderWare. В стороне не остались и другие межсетевые экраны - Cisco Secure Pix Firewall, WatchGuard Firebox и т.д.

Стой, кто идет? Предъявите паспорт!

Абсолютное большинство межсетевых экранов построено на классических моделях разграничения доступа, разработанных в 70-х, 80-х годах прошлого столетия в военных ведомствах. Согласно этим моделям субъекту (пользователю, программе, процессу или сетевому пакету) разрешается или запрещается доступ к какому-либо объекту (например, файлу или узлу сети) при предъявлении некоторого уникального, присущего только этому субъекту, элемента. В 80% случаев этим элементом является пароль. В других случаях таким уникальным элементом является таблетка Touch Memory, Smart или Proximity Card, биометрические характеристики пользователя и т.д. Для сетевого пакета таким элементом являются адреса или флаги, находящиеся в заголовке пакета, а также некоторые другие параметры.

Можно заметить, что самым слабым звеном этой схемы является уникальный элемент. Если нарушитель каким-либо образом получил этот самый элемент и предъявил межсетевому экрану, то он воспринимает его, как "своего" и разрешает действовать в рамках прав того субъекта, секретным элементом которого несанкционированно воспользовались. При современных темпах развития технологий получить доступ к такому секретному элементу не составляет большого труда. Его можно "подслушать" при передаче по сети при помощи анализаторов протоколов, в том числе и встроенных в операционные системы (например, Network Monitor в Windows NT 4.0). Его можно подобрать при помощи специальных программ, доступных в Internet, например, при помощи L0phtCrack для Windows или Crack для Unix.

Т.о. даже самый мощный и надежный межсетевой экран не защитит от проникновения в корпоративную сеть нарушителя, если последний смог подобрать или украсть пароль авторизованного пользователя. Мало того, межсетевой экран даже не зафиксирует нарушения, так как для него нарушитель, укравший пароль, является авторизованным пользователем. Например, 22 марта 1995 г. неустановленный злоумышленник при помощи украденного пароля и программного обеспечения Пинского филиала БелАКБ "Магнатбанк" проник в компьютерную сеть Белорусского межбанковского расчетного центра и перевел на расчетный счет ООО "Арэса ЛТД" в Советское отделение БелАКБ "Промстройбанк" 1 млрд. 700 млн. рублей.

Администратор - царь и бог

В каждой организации есть пользователи, обладающие практически неограниченными правами в сети. Это сетевые администраторы. Они никому неподконтрольны и могут делать в сети практически все, что угодно. Как правило, они используют свои неограниченные права для выполнения своих функциональных обязанностей. Но представьте на минуту, что администратор чем-то обижен. Будь-то низкой зарплатой, недооценкой его возможностей, местью и т.п. Известны случаи, когда такие обиженные администраторы "портили кровь" не одной компании и приводили к очень серьезному ущербу. Осенью 1985 года директор по компьютерной безопасности компании USPA & IRA Дональд Берлисон попытался через руководство компании добиться снижения суммы налога на прибыль, которую ему постоянно приходилось выплачивать, и чем он был недоволен. Однако он был уволен. Через три дня после увольнения он пришел на работу и, получив доступ в сеть компании, удалил 168000 записей базы данных о страховании и защите торговых сделок. Затем он запустил в сеть несколько программ-червей, которые должны были продолжать удалять аналогичные записи в будущем. И Россия не осталась в стороне. В 1991 г. при помощи компьютерной техники произошло хищение валютных средств из Внешэкономбанка на сумму 125,5 тыс. долларов и подготовка к хищению еще свыше 500 тыс. долларов. Механизм хищения был очень прост. Житель Москвы совместно с начальником отдела автоматизации неторговых операций ВЦ Внешэкономбанка открыл по шести поддельным паспортам счета и внес на них по 50 долларов. Затем, путем изменения банковского программного обеспечения на открытые счета были переведены 125 тысяч долларов, которые и были получены по поддельным паспортам.

Два этих примера демонстрируют, что даже самый эффективный межсетевой экран не смог бы защитить корпоративную сеть, если бы на нее совершил нападение ее администратор.

Заключение

Межсетевые экраны не обеспечивают достаточного уровня защищенности корпоративных сетей. Хотя ни в коем случае от них нельзя отказываться. Они помогут обеспечить необходимый, но явно недостаточный, уровень защиты корпоративных ресурсов. Как уже не раз отмечалось, традиционные средства, к которым можно отнести и межсетевые экраны, были построены на основе моделей, разработанных в то время, когда сети не получили широкого распространения и способы атак на эти сети не были так развиты, как сейчас. Чтобы на должном уровне противодействовать этим атакам, необходимо применение новых технологий. Например, технология обнаружение атак (intrusion detection), которая стала активно развиваться за рубежом и четыре года назад попала в Россию. Эта технология, ярким представителем которой является семейство средств RealSecure компании Internet Security Systems, позволяет эффективно дополнять существующие межсетевые экраны, обеспечивая более высокий уровень защищенности.

Q.Я пользуюсь динамическим IP адресом - стоит ли мне заботиться о безопасности?

A.Хотя и бытует мнение,что нет,на самом деле это все враки. Во-первых, если приблизительно известен временной диапазон, в котором компьютер может быть подключен к Internet,то произвести сканирование всего пространства динамических адресов провайдера - не так уж сложно. Во-вторых,многие атаки производятся "наугад" - без какой-либо конкретной цели. И в-третьих,динамический адрес можно успеть "засветить" на irc,www и т.п. - при пользовании практически любым сетевым сервисом.

Q.А что,собственно,мне угрожает?

A.Да все,что угодно. Ваш копльютер могут "подвесить", причем иногда - даже для этого вообще не нужно,чтобы ваша машина принимала какие-либо соединения,могут украсть или подменить какую-либо ценную информацию.

Q.Какие базовые предосторожности необходимы?

A.Для начала неплохо оценить,во что обойдутся возможные последствия - это поможет принять _адекватные_ меры. Если нужно подключить к Internet небольшую офисную сеть из десятка-полутора машин, да еще при том,что некоторые из них содержат конфиденциальную информацию,вполне возможно, что имеет смысл приобрести несложный firewall - или сделать его своими силами,если есть возможность. Для того,чтобы более-мнее безопасно выходить в Internet с домашнего компьютера, достаточно принять некоторые базовые предосторожности.

Во-первых,нужно отключить разделение ресурсов компьютера по TCP/IP. Это можно сделать как минимум двумя способами - первый, который рекомендует фирма Microsoft состоит в том,чтобы выключить разделение ресурсов вообще (Settings -> Control Panel -> Network -> File and Print Sharing)

Pазумеется, он пригоден в том случае,если вы не собираетесь активно использовать эту возможность.

Второй способ - отсоединить интерфейс Netbios от TCP/IP (Settings -> Control Panel -> Network -> TCP/IP ->Properties -> Bindings)

Во-вторых,полезно убедиться,что используемые версии Win95\NT и сетевого ПО являются последними и что для них не выходило никаких апдейтов,сервис-паков и т.д. Ну а о том,что не нужно пользоваться сомнительным ПО, запускать любой файл,приходящий по email и вообще совершать подобные глупости,наверное, и упоминать не стоит. Напомню только,что в любом word-документе может оказаться macro-вирус.

Q.Какое ПО может представлять дополнительную опасность?

A.Почти любое;-). Чуть подробнее:

При использовании наиболее распространенных WWW browser"ов, таких как Netscape Navigator или MS Internet Explorer возможны проблемы и более серьезные,чем "падение" в результате внутренней ошибки - включая, например, чтение любого файла с вашего диска - по-настоящему, а не так,как это реализовано в дурацкой шутке,которой уже не первый год пугают лопухов. Как защититься от этого?

Использовать последние версии browser"ов, в которых _известные_ "дырки" более-менее заткнуты,а если нужно в некоторой мере обезопасить себя от неизвестных - могу разве что посоветовать выключить поддержку ActiveX,Java и Javascript.

В случае с email"ом - опять же,если не делать глупостей и не запускать приходящие.exe файлы (и помнить о макро-вирусах!),вряд ли придется столкнуться с большей нериятностью,чем приходящие с завидной регулярностью идиотические письма с предложениями купить что-нибудь ненужное или поучаствовать в очередной дурацкой пирамиде с посыланием денег в конверте черт-те куда. Это называется spam - и бороться с этим можно, вычисляя по заголовкам письма интернет-провайдера,допускающего подобный бардак и начиная с ним ругаться. Другого способа,по всей видимости,нет - кроме автоматизации удаления подобных писем (Inbox Assistant как раз умеет это делать). Теоретически MIME,расширенный формат сообщений, часто (а то и чаще, чем нужно) используемый в Internet _может_ представлять проблемы с безопасностью,но на практике это случается нечасто. News с точки зрения безопасности клиента не сильно отличается от email. Если вы пользуетесь IRC,то,скорее всего,самое главное - это то, что ip-адрес вашего компьютера, версия irc-клиента и зачастую тип и версия операционной системы становятся известными ну действительно всем и каждому - что явно не есть хорошо. Любителей испробовать на вас свои (чаще - не свои;-) технические достижения может оказаться больше, чем кажется на первый взгляд. Кроме того,скрипт или даже сам irc клиент может содержать закладки с практически любыми возможностями. Больше всего неприятностей может доставить протокол dcc - кстати,его можно просто выключить в большинстве irc-клиентов. Если вы не понимаете в деталях,как работает предлагаемый скрипт - ставить его ни в коем случае нельзя - разве что если знающий человек его проверит. ICQ еще мало изучен в данном вопросе - но известно про него две вещи: a) любой клиент можно "свалить" потоком бессмысленных данных на тот порт,где он отвечает - "И это -только начало" (c) AO MMM b) он не предоставляет никаких дополнительных возможностей по сравнению с irc. Я бы вообще не рекомендовал пользоваться ICQ.

Q.Я использую старый абонентский комплект с MSIE 3.01. Насколько это опасно и что нужно сделать?

A.Версия 3.01 MS Internet Explorer может принести несколько довольно-таки неприятных проблем с безопасностью: эта версия может запускать программы на том компьютере,где она работает - без согласия пользователя. По этой причине лучше заменить ее на более новую версию 3.02. Версия, которая в настоящий момент входит в абонентский комплект (3.02) тоже не лишена аналогичной ошибки,но во-первых,она относится не к самому MSIE,а к его совместному использованию с PowerPoint"ом, а во-вторых _такая_ ошибка (пока) известна только одна. Да и fix к ней имеется. К сожалению,мы пока не имеем возможности заменить версию MSIE внутри абонентского комплекта (программа для его генерации в "лучших" традициях фирмы Microsoft довольно-таки закрытая) на _самый_ последний релиз 3.02 ("Last Updated June 13, 1997"),но эта разница уже не столь принципиальна.

Q.Что, вкратце, можно сказать про Netscape Communicator 4.0-release?

A.Эта версия,также как и предыдущие версии Web-browser"ов фирмы Netscape, имеет баг в реализации javascript, позволяющий (при стандартных установках) читать любой файл с вашего компьютера. Можно либо заменить ее на версию 4.01, либо изменить установки Netscape так, чтобы эта опасность перестала быть актуальной (меню Security Advisor - включить подтверждения на отправку данных по сети).

Q.Почему меры безопасности не принимает провайдер?

A.Дело в том, что, например, запретив обращения к портам,используемым Windows/Samba для разделения ресурсов, мы лишим наших клиентов возможности использовать это для вполне законных и иногда даже необходимых целей. Поэтому мы обеспечиваем безопасность на своем участке сети - и ваша задача обеспечить ее на своем. Я,конечно, могу помочь это сделать - но не обязан делать это бесплатно;-).

Q.Мне пришло письмо с предупреждением о вирусе, распространяющемся через email..

A.Подобная бредятина распространяется по сети уже не первый год - это просто очередной вариант "святого письма". Тот факт,что рост Internet"a обеспечивает постоянный приток свежих идиотов,готовых рассылать всем такие вещи - поистине удручает. Самая большая опасность,которой подвергает свои жертвы этот вирус - возможность пополнить вышеупомянутые ряды.

Q.Является ли UUCP подключение полностью безопасным?

A.Практически - да. Полностью - нет. Практически - потому,что что во-первых, случаи "взлома" uucp почти не известны - для этого нужна прямая связь с атакуемой машиной именно по протоколу uucp. Однако,по крайней мере в некоторых версиях самой популярной реализации uucp для *DOS - uupc/@ by Ache мной был обнаружен баг, позволяющий обойти встроенную защиту обработчика команды uucp и прочитать/записать любой файл в любом директории - всего лишь используя относительный путь вида ~/../../somewhere. А во-вторых, оффлайновый способ взаимодействия машины с сетью делает невозможным получение информации немедленно и облегчает обнаружение попыток взлома. Разумеется,сказанное про email в значительной степени относится в том числе и к uucp подключению.

Файрволы и Backdoors

Vollter, по материалам SecurityFocus

Может ли ваша инфраструктура безопасности защитить вас, если вы оставили ключ под ковриком?

Как современный IT-профессионал, вы сделали все: вы защитили вашу сеть файрволами и/или прокси, установили антивирусное программное обеспечение на всех компьютерах и защитили ваши мобильные рабочие станции персональными файрволами. Казалось бы – все сделано по инструкциям, все правильно настроено. Но даже со всем этим, действительно ли системы в безопасности? Могут ли ваши многочисленные защитные системы противостоять современным методам вторжения?

Эта статья представляет краткий обзор современных backdoor технологий, обсуждает то, как они могут быть использованы для обхода инфраструктуры защиты, которая существует в большинстве сетей, призывает задуматься людей, которые полагаются на эти технологии для защиты их систем/сетей.

Фундамент - файрвол

Перед обсуждением современных backdoor технологий необходимо сначала взглянуть на то, через какие препятствия должен пройти нападающий. Файрвол - неотъемлемая часть всесторонней структуры безопасности для вашей сети. Если на них возлагать слишком много, то они также могут быть и самым слабым звеном в вашей стратегии защиты.

Существуют различные разновидности/комбинации «стандартных» файрволов для выбора в зависимости от ваших условий:

Packet-filtering firewall (Межсетевой экран с фильтрацией пакетов) - межсетевой экран, который является маршрутизатором или компьютером, на котором работает программное обеспечение, сконфигурированное таким образом, чтобы отфильтровывать определенные виды входящих и исходящих пакетов. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP-заголовках пакетов (адреса отправителя и получателя, их номера портов и др.)

• Работают на 3 уровне
• Также известны, как файрволы на основе порта
• Каждый пакет сравнивается со списками правил (адрес источника/получателя, порт источника/получателя)
• Недорогой, быстрый, но наименее безопасный
• Технология 20-летней давности
• Нарушает более сложные приложения (например, FTP)
• Пример: access control lists (ACL) маршрутизатора

Circuit-level gateway (Шлюз сеансового уровня) - межсетевой экран, который исключает прямое взаимодействие между авторизированным клиентом и внешним хостом. Сначала он принимает запрос доверенного клиента на определенные услуги и, после проверки допустимости запрошенного сеанса, устанавливает соединение с внешним хостом. После этого шлюз просто копирует пакеты в обоих направлениях, не осуществляя их фильтрации.

• Работает на 4 уровне
• Передает TCP подключения, основываясь на порте
• Недорогой, но более безопасный, чем фильтр пакетов
• Вообще требует работы пользователя или программы конфигурации для полноценной работы
• Пример: SOCKS файрвол

Application-level gateways (Шлюз прикладного уровня) - межсетевой экран, который исключает прямое взаимодействие между авторизированным клиентом и внешним хостом, фильтруя все входящие и исходящие пакеты на прикладном уровне модели OSI. Связанные с приложением программы-посредники перенаправляют через шлюз информацию, генерируемую конкретными сервисами TCP/IP.

• Работает на 5 уровне
• Специфический для приложений
• Умеренно дорогой и медленный, но более безопасный и допускает регистрацию деятельности пользователей
• Требует работы пользователя или программы конфигурации для полноценной работы
• Пример: Web (http) proxy

Stateful inspection firewall - межсетевой экран экспертного уровня, который проверяет содержимое принимаемых пакетов на трех уровнях модели OSI: сетевом, сеансовом и прикладном. При выполнении этой задачи используются специальные алгоритмы фильтрации пакетов, с помощью которых каждый пакет сравнивается с известным шаблоном авторизированных пакетов.

• Фильтрация 3 уровня
• Проверка правильности на 4 уровне
• Осмотр 5 уровня
• Высокие уровни стоимости, защиты и сложности
• Пример: CheckPoint Firewall-1

Некоторые современные файрваллы используют комбинацию вышеперечисленных методов и обеспечивают дополнительные способы защиты, как сетей, так и систем:

«Персональные»/host файрволы

Этот класс файрволов позволяет далее расширять защиту, допуская управление по тому, какие типы системных функций или процессов имеют доступ к ресурсам сети. Эти файрволы могут использовать различные типы сигнатур и условий, для того, чтобы разрешать или отвергать трафик. Вот некоторые из общих функций персональных файрволов:

• Блокирование драйвера протокола – не разрешать «нестандартным» драйверам протокола быть загруженными и использоваться программами
• Блокирование на уровне приложений – позволять лишь некоторым приложениям или библиотекам исполнять сетевые действия или принимать входящие подключения
• Блокирование на основе сигнатуры – постоянно контролировать сетевой трафик и блокировать все известные атаки.

Дополнительный контроль увеличивает сложность управления безопасностью из-за потенциально большого количества систем, которые могут быть защищены персональным файрволом. Это также увеличивает риск повреждения и уязвимости из-за плохой настройки.

Динамические межсетевые экраны

Динамические файрволы объединяют в себе стандартные файрволы (перечислены выше) и методы обнаружения вторжений, чтобы обеспечить блокирование «на лету» сетевых подключений, которые соответствуют определённой сигнатуре, позволяя при этом подключения от других источников к тому же самому порту. Например, можно блокировать деятельность сетевых червей, не нарушая работу нормального трафика.

Основы Backdoor технологий

Что такое Backdoor? Backdoor - это «механизм, тайно внедрённый в компьютерную систему для облегчения несанкционированного доступа к системе и может быть классифицирован на (не менее чем) три категории:

Активные

Активные Backdoor создают подключения с одним или более удаленными компьютерами. Эти могут быть либо постоянные сетевые подключения (например, туннели) между компьютерами, либо backdoor активно контролирует скомпрометированную систему, собирает информацию, отправляет данные отдельными «порциями» и получает подтверждения и/или команды от удалённых систем.

Пассивные

Пассивные Backdoor прослушивают один или более портов на входящие подключения от одного или более удаленных компьютеров. Подобно активным Backdoor, эти программы могут использоваться, чтобы установить туннель в скомпрометированную сеть, либо для принятия команд и возвращения нужной информации.

Атакующие Backdoor

Как правило, такие Backdoor являются результатом переполнения буфера в плохо написанной программе, который приводит к некоторому типу доступа (например, уровня root/администратора, либо уровня пользователя).

Есть один общий признак трёх типов Backdoor – они все работают, обходя сложную, «эшелонированную» инфраструктуру защиты, которую вы старательно разрабатывали. Настоящий хакер (т.е. не недоученный подросток и не пользователь готовых скриптов) может довольно быстро определить, стоит ли нападать на вашу систему лобовой атакой. Стандартные методы могут быть относительно легко использованы для обнаружения типов и конфигурации оборудования, которое защищает границы вашей сети. Некоторые из этих средств могут даже помочь обнаружить активные IDS. Большинство сетей достаточно хорошо защищены по периметру, поэтому Backdoor являются основным методом проникновения в сеть по ряду причин:

Они не будут немедленно обнаружены даже правильно сконфигурированными файволами, NIDS и HIDS системами

Лобовая атака обязана (или, по крайней мере, должна) вызвать ошеломляющий эффект – все защитные системы просто взвоют сигналами тревоги. И если вы не заказывали испытания на возможность взлома, это значит, что вас атакуют.

Некоторые защитные системы будут немедленно блокировать IP-адрес сканирующего. Но даже если это не так, все равно избегая лобовой атаки, хакер удаляет первичную причину тревоги, и получает возможность работать свободно и без помех.

Они полагаются на специализированные методы нападений.

Что труднее: построение точного SYN-Frag нападения, необходимого для переполнения буфера в CheckPoint файрволах (такая возможность была обнаружена дважды за последние 4 года) или заставить пользователя открыть вложенный файл?

Для осуществления лобовой атаки, требуется 4-6 специализированных хакерских методов, без гарантии того, что один из них не приведёт к зависанию или перезагрузке системы, что сделает всю попытку бесполезной. Это трудно, так как требует определенных знаний и навыков. Вместо этого можно намекнуть юзеру, что по электронной почте он получил крайне важное или интересное послание – новую работу с астрономической зарплатой, астрологический прогноз или фотографии обнаженной Анны Курниковой…

Они используют уязвимости программ внутренней сети.

Сколько в вашей сети компьютеров с Windows или *nix? Сколько пользователей используют каждую из этих систем? Сколько у вас маршрутизаторов, файрволов и IDS? Скорее всего, много. Или очень много. В большинстве организаций хакеру значительно проще найти непропатченную Windows иди *nix систему внутри, чем найти уязвимость в защищенном периметре.

Внутренняя работа

Хотя эта статья рассматривает Backdoor в контексте попыток вторжения внешних злоумышленников, они не ограничены этой узкой областью практики. Backdoor могут использоваться служащими, клиентами или сотрудниками, чтобы обеспечить себе не обнаруживаемый удалённый доступ в вашу сеть.

Независимо от типа backdoor, существует два первичных способа ввести их в вашу сеть. Первый метод: пользователи неосторожно загружают и выполняют программу в своей системе. Чрезвычайно распространенные примеры - это вложенные файлы в электронной почте, которые эксплуатируют неисправленную уязвимость в системе клиента, страница в интернете, которая содержит неожиданный скрытый «груз», и программы "spyware". К сожалению, эти методы слишком обычны и могут привести к серьезной потерей конфиденциальности и секретности. В случае "spyware" установлены нужные программы, заданы ключи реестра, что позволяет прослеживать каждое движение в сети, которое делает пользователь. Это слежение не ограничено интернет-сайтами, позволяя, таким образом, легко составлять карту из всех важных мест внутренней сети компании.

Даже не загружая "spyware" backdoor, пользователь может все еще быть подвержен к более легальным формам backdoor. Real Networks player постоянно поддерживают связь со своей домашней сетью, и это почти невозможно дезактивировать без его переустановки. Пользователей Windows можно контролировать, если они используют Automatic Updates или синхронизируют время с серверами Microsoft.

Второй метод состоит в фактическом пребывании в вашей сети. Тривиальный пример: установка программы, которая имеет заранее созданный самим программистом backdoor. Эти типы backdoor могут быть злонамеренны, но они обычно программируются в обход стандартных процессов разработки программного обеспечения, чтобы сэкономить время. Это может быть backdoor самой старой разновидности, который первоначально использовался для обхода telnet/rlogin ограничения. Установка является довольно простой: пользователь устанавливает программу, которая не требует повышенных привилегий для выполнения, затем программа запускается, и ждет соединений на порту, который не блокирован устройствами контроля доступа. Этот удалённый доступ может быть к многопользовательской системе или на автоматизированное индивидуальное рабочее место. Первоначально ориентированные на Unix, эти типы программ весьма распространились и могут быть весьма трудны для обнаружения.

Этот тип backdoor более легко воспринимается на конкретном примере:

Программа:
	Exploits/bindshell
	Пассивный

Эта программа легко модифицируется для запуска на любом определённом порту – например, TCP 1234 – и не поддерживает пароль, таким образом, позволяя всем осуществлять подключения. Для подключения удалённый пользователь просто устанавливает телнет соединение с нужным хостами на определённом порту:

telnet some.insecure.host.org 1234

Существуют несколько технологий для обнаружения этой программы, не одна из технологий не обеспечивает простой или прямой изоляции. Во всех случаях необходимо знание нормального состояния ОС.

• ‘netstat -a’ эта программа, которая поставляется вместе с операционной системой UNIX и используется для просмотра статуса сетевых подключений. Может просматривать порты, которые не находятся в нормальном состоянии.
• ‘nmap’ или ‘strobe’ сканеры портов, которые могут использоваться для идентификации активных и прослушиваемых портов. Опять же знание нормального состояния может быть полезно.
• ‘lsof -i’ программа, которая может быть использована для просмотра всех открытых файлов и используемых ими ресурсов. Может искать запущенные пользователем необычные приложения, которые требуют использования сетевых портов.

Программа:
	Exploits/sneakin
	Активный

Эта программа требует поднятых привилегий и в основном ждёт два специально обработанных ICMP пакета, для того чтобы создать что-то очень похожие на обратный телнет сеанс, который устанавливается с удалённой системой. Sneakin требует LINUX и netcat .

Режим «прослушивания» столь же сложно обнаружить, как и в вышеупомянутом примере. Внешний сканер портов не будет работать, т.к. программа перехватывает и обрабатывает ICMP пакеты, пока разрешён доступ к ним ядром операционной системы. LSOF покажет процесс, который обращается к сетевому адаптеру в беспорядочном режиме. Вообще LSOF мог бы быть лучшим инструментом, чтобы обнаружить NIC в этом режиме. Netcat также обеспечит ключ к этому специфическому backdoor, т.к. покажет два ICMP порта использующих сырой протокол. Когда «sneakin» перейдёт в АКТИВНОЕ состояние, LSOF и Netcat покажут дополнительные процессы, которые используют сетевые порты.

Программа:
	/bugtraq/1999-q4/
	На основе нападения

GIFtpD - один из стандартных примеров атакующих backdoor. Нападающий пользуется преимуществом от нескольких плохо сконфигурированных особенностей ftp-сервера, что позволяет закачать и выполнить backdoor код, в этом случае BindShell .

Sneaking и bindshell – классические средства, используемые против слабой файрвол-стратегии. Многие сайты развертывают чрезвычайно сильную стратегию, мешая получить прямой доступ к прослушивающимся портам. Без прямого доступа, большинство backdoor не могут работать. Однако даже самая сильная стратегия может быть легко уничтожена активными backdoor, используя методику «туннелирования». Туннель, в контексте backdoor, лучше всего объясняется как программа, которая находится внутри защищенной части сети и устанавливает подключение с внешним хостом, что приводит к потоку двунаправленного трафика между этими системами и/или сетями. Это серьезная угроза даже самой современной архитектуре безопасности. Популярный пример такого соединения мог бы создать зашифрованное сетевое подключение между двумя компьютерами, используя VPN программное обеспечение.

Должным образом сконфигурированный VPN туннель должен обеспечить полный и неограниченный доступ к сетям, для которых компьютеры это шлюзы. Когда обеспечивается законный удаленный доступ для служащих и деловых партнеров, VPN может увеличить производительность, сэкономить время и уменьшить затраты. Когда же они используются в незаконных целях, то они будут иметь только противоположный эффект.

VPN технология все еще довольно нова и требует больше чем случайного знакомства с установкой и с поддержкой, когда они используется законно. И тем более странно, когда они используются как инструмент backdoor. Не обязательно использовать VPN для туннеля. Делая шаг назад, скажу, что два компьютера можно подключить, используя более традиционное и широко известное программное обеспечение – secure shell. Secure shell - или SSH , поскольку на неё чаше всего ссылаются - может использоваться, чтобы установить туннель между двумя компьютерами, позволяя переназначить порт на клиенте (вне файрвола) к порту на сервере (за файрволом). Например, можно зарегистрировать клиентский 2200 порт к 23 порту на сервере. Пользователь обращается к клиенту (вне файрвола), подключается через telnet к localhost на 2200 порт и получает 23 порт на удалённом компьютере (за файрволом). Слабая стратегия позволяет подключению быть сгенерированным компьютером за файрволом. Это простая и популярная уловка.

Также чрезвычайно просто получить доступ к внутренним web сайтам организации. Пользователь просто устанавливает копию прокси агента - например, «squid» web прокси или Apache «httpd» демоне с поддержкой прокси, откомпилированной в некоторой внутренней системе. Может использоваться стандартная программная конфигурация для любого агента. Пользователь тогда использовал бы SSH порт, чтобы подключить клиентский порт 3128 к серверу на 3128 порт. Клиент, опять же вне файрвола, теперь имеет прокси-доступ к внутреннему web серверу организации через 3128 прокси порт.

Этот пример может быть далее расширен, для того чтобы дать возможность больше чем одному внешнему компьютеру иметь доступ к внутренним web-узлам. Добавление простой системы переадресации порта может сделать туннелированное прокси-подключение доступным (на 3128 порту) всем пользователям удаленной сети.

Обычные методы не могут использоваться для идентификации существования туннеля этого типа. В зависимости от используемой платформы, можно контролировать использование сети и искать непротиворечивые или постоянные процессы с установленными сетевыми подключениями с внешней стороной. На уровне хоста, идентифицируя backdoor этим способом, требуется создание и обслуживание базового сетевого состояния (возможно использование программных методов, упомянутых ранее). Также возможно опрашивать граничные файрволы и контролировать таблицы состояний подключений, исследуя установленные подключения.

Готовая Защита

Есть небольшой способ, который может полностью защитить сеть от использования backdoor. Использование сетевых IDS или host-IDS трудно для конфигурирования, развертывания и эффективного использования, особенно в больших организациях. Без развития программ специального назначения, предназначенных для контроля систем и сетей на предмет присутствия backdoor, единственный способ защититься от этих методов это изменение мышления. Руководители службы безопасности, которые думают, что они могут просто скрыть свои сети за файрволами, а потом сидят и упрямо твердят, что "никто не может войти, я закрыл все двери", должны изменить свои взгляды. Хорошая защита против backdoor должна начаться с изменения в философии доступа к сети. Начать следует с разработки сильной стратегии доступа в Internet и технологий, которые смогли бы ограничить доступ через хорошо сконфигурированный файрвол.

На сетевом уровне, предотвратить backdoor - означает делать очень трудным для них установить подключения вне вашей инфраструктуры. Один подход состоял бы в том, чтобы использовать шлюз сеансового уровня (т.е. SOCKS/порт redirection) как средство ограничения backdoor от использования любых TCP портов. В то время как это ограничивает число внешних ресурсов, к которым могут получить доступ приложения, это также может создать дополнительные административные и рабочие нагрузки и может не работать с некоторыми приложениями. С современными SOCKS шлюзами, администрирование может стать на глобальный уровень стратегии с небольшим воздействием на работу и с почти никаким воздействием на приложения.

Альтернативно можно использовать сильно ограниченную стратегию доступа – в которой разрешаются очень немногие прямые внешние подключения - и Web/(специфические для приложения) прокси, которые предварительно требуют идентификации, преже, чем разрешается доступ. Цель подобна переназначению порта: остановить бесконтрольный доступ к внешним компьютерам. В то время, как самые традиционные методы защиты предлагают закрыть все двери и окна, современному бизнесу для нормального функционирования необходимо иметь доступ к внешним ресурсам. К сожалению, почти любой механизм внешнего доступа потенциально может использоваться, чтобы обеспечить тунель для backdoor. Архитектура сети, использующая прокси сервер, дает детальный контроль над тем, что позволяется вне вашей сети, так как приложения должны "говорить на правильном языке", чтобы получить доступ. Туннели могут быть установлены через прокси (особенно через SSL-подключения ), но они намного тяжелее для конфигурирования и правильного развертывания.

Даже с этими методами, требующими значительного времени и ресурсов для их развертывания - разработка архитектуры доступа в сеть, которая облегчит пользователям выполнение своей работы и затруднит работу для backdoor, это не тривиальная задача. Ваша цель должна состоять в том, чтобы проектировать инфраструктуру, которая сделает ее настолько эффективной, насколько это вообще возможно, чтобы связать сетевые подключения с пользователями.

Google против межсетевых экранов

Как сообщается в 21 номере "PCWeek/RE" за 2001 год, из-за временного отключения межсетевого экрана в Южном политехническом университете Атланты поисковая машина Google проиндексировала внутреннюю сеть этого вуза и смогла получить доступ к файлам о студентах - домашним адресам, номерам социального страхования и т. д.

Общее непонимание состоит в том, что межсетевой экран не распознает атаки и не блокирует их. Межсетевой экран (МСЭ) - это устройство, которое сначала запрещает все, а потом разрешает только "хорошие" вещи. То есть при установке межсетевого экрана первым делом запрещаются все соединения между защищаемой и открытой сетями. Затем администратор добавляет специфичные правила, которые позволяют определенному трафику проходить через МСЭ. Типичная конфигурация МСЭ запретила бы весь входящий трафик ICMP, оставив разрешенным только исходящий трафик и некоторый входящий трафик на базе UDP- и TCP-протоколов (например, HTTP, DNS, SMTP и т. д.). Это позволит сотрудникам защищаемой организации работать с Internet и запретит доступ злоумышленников к внутренним ресурсам. Однако не стоит забывать, что МСЭ - это просто системы, основанные на правилах, которые разрешают или запрещают прохождение трафика через них. Даже МСЭ, использующие технологию "stateful inspection", не позволяют с точностью сказать, присутствует ли атака в трафике или нет. Они могут лишь уведомить, соответствует ли трафик правилу.

Можно провести хорошую аналогию с физическим миром. Межсетевой экран - это просто ограждение вокруг вашей сети, которое не может обнаружить, когда кто-то роет подкоп под него. МСЭ просто ограничивает доступ к некоторым точкам за вашим ограждением. А чтобы не быть голословными, приведем несколько примеров, когда межсетевые экраны не спасут вас от злоумышленников [Лукацкий1-01].

Атаки через туннели в межсетевом экране

Туннелирование является методом инкапсуляции (маскирования) сообщений одного типа (которые могут быть блокированы фильтрами МСЭ) внутри сообщений другого типа , Атаки через "туннели" возникают вследствие наличия соответствующих свойств у многих сетевых протоколов. МСЭ фильтрует сетевой трафик и принимает решения о пропуске или блокировании пакетов, опираясь на информацию об используемом сетевом протоколе. Обычно правила предусматривают соответствующую проверку с целью определения того, задействован или нет конкретный протокол. Например, если на МСЭ разрешены 25-й и 80-й порты, то тем самым разрешается пропуск во внутреннюю сеть почтового (SMTP) и Web- (HTTP) трафика. Именно этот принцип обработки и используется квалифицированными злоумышленниками. Вся несанкционированная деятельность осуществляется в рамках разрешенного протокола, создавая тем самым в нем туннель, по которому злоумышленник и реализует атаку. Например, такой дефект в межсетевых экранах используется при реализации атаки LOKI, которая позволяет туннелировать различные команды в запросы ICMP Echo Request и реакции на них в ответы ICMP Echo Reply, что существенно изменяет размер поля данных по сравнению со стандартным.

Для межсетевого экрана и любого другого традиционного средства сетевой безопасности данные действия выглядят вполне обычно. Например, вот как отображается передача файла паролей в 1СМР-"туннеле" анализатором протоколов TCPdump.
Другим примером туннельных атак можно назвать атаки на уровне приложений, которые связаны с практикой использования уязвимостей в приложениях путем отправки пакетов, непосредственно связанных с этими приложениями.

Рис. 1.3. Атака через туннели в межсетевом экране

Самый простой пример, демонстрирующий применение таких туннелей, - Internet-черви и макровирусы, заносимые в корпоративную сеть в виде вложений (attachments) в сообщения электронной почты. Если межсетевой экран разрешает прохождение SMTP-трафика (автору не приходилось видеть МСЭ, который бы этого не делал), то во внутреннюю сеть может попасть и "вирусная инфекция". Приведем более сложный пример. Например, Web-сервер, функционирующий под управлением программного обеспечения компании Microsoft (Internet Information Server), защищается межсетевым экраном, на котором разрешен только 80-й порт. На первый взгляд, обеспечивается эффективная защита. Но только на первый взгляд. Если используется IIS версии 3.0, то обращение по адресу http://www.domain.ru/default.asp. (с точкой на конце) позволяет злоумышленнику получить доступ к содержимому ASP-файла, который может хранить конфиденциальные данные (например, пароль доступа к базе данных). И даже если вы установили самую последнюю версию IIS 5.0.

Мало того, большое количество правил снижает производительность межсетевого экрана и, как следствие, пропускную способность каналов связи, проходящих через него.

Атаки, осуществляемые в обход межсетевого экрана

Слова песни из детского фильма "Айболит-66" - "Нормальные герои всегда идут в обход" - как нельзя лучше иллюстрируют следующую проблему, присущую межсетевым экранам. Зачем пытаться проникнуть к защищаемым ресурсам через защитные средства, когда можно попытаться их обойти?

Пример из смежной области

21 февраля 1990 года аналитик по бюджету Мэри Пирхем (Mary Pircham) пришла на работу. Однако она не смогла пройти на свое рабочее место даже после набора четырехзначного кода и произнесения кодового слова в системе безопасности. Желая все же войти, Мэри открыла дверь черного хода при помощи пластиковой вилки и карманной отвертки. Новейшая защитная система, которую обошла Мэри Пирхем, рекламировалась как "безотказная и надежная" и стоила 44 тыс. долларов [Вакка1-97].

Аналогично и с межсетевыми экранами, только роль черного хода может выполнять модем. Знаете ли вы, сколько в вашей сети установлено модемов, и для чего они используются? Не отвечайте сразу утвердительно, подумайте. При обследовании одной сети руководители отдела защиты информации и автоматизации рвали на себе рубахи, утверждая, что они знают все до единого модема, установленные в их сети. Запустив систему анализа защищенности Internet Scanner, мы действительно нашли указанные ими модемы, используемые для обновления баз данных бухгалтерской и юридической систем. Однако было обнаружено и два неизвестных модема. Одним пользовался сотрудник аналитического отдела с целью получения доступа к рабочим каталогам из дома. Второй модем служил для доступа в Internet в обход межсетевого экрана.

С возможностью обхода МСЭ связан и другой пример. Не всегда угрозы идут только с внешней стороны МСЭ, из сети Internet. Большое количество потерь, как свидетельствует статистика, связано как раз с инцидентами защиты со стороны внутренних пользователей, изнутри. Необходимо-уточ-нить, что межсетевой экран только просматривает трафик на границах между внутренней сетью и сетью Internet. Если трафик, использующий бреши в защите, никогда не проходит через межсетевой экран, то МСЭ и не находит никаких проблем

Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди трех критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения :

1. Контроль функций приложений и их подприложений
2. Управление неизвестным трафиком
3. Сканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портам
4. Обеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройств
5. Упрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложений
6. Обеспечение той же пропускной способности и производительности при полностью включенной системе контроля приложений
7. Поддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе

2. Ваш межсетевой экран нового поколения должен идентифицировать и контролировать инструменты, позволяющие обходить средства обеспечения безопасности.

Скриншот : Сетевой трафик туннеля TCP-over-DNS. Зашифрованные данные передаются в поле Text. Обычный межсетевой экран видит этот трафик как DNS запросы.

Реальный пример. Сегодня программисты специально пишут приложения, чтобы они обходили межсетевые экраны. Это им нужно для так называемого User Experience.

Программисты хотят, чтобы вам было удобно! Чтобы вы поставили skype и он сразу "засветился зелененьким". Вы получите удовольствие от того факта, что вам не потребовалось уговаривать администратора прописать правила на межсетевом экране, поскольку такие приложения находят и используют уже открытые поты для других приложений. Такими портами являются часто порты 80, 53, 123, 25, 110. Или же программа забирает и использует настройки прокси-сервера из браузера.
Современные средства защиты не идеальны. Их тоже пишут программисты. 20 лет назад при создании Интернет договорились, что для идентификации приложений будут использоваться порты. 80 - HTTP, 25 - SMTP, 21 - FTP и так далее. Ситуация изменилась: внутри этих портов могут ходить любые приложения. Изменились ли средства защиты? Могут ли они определить что по стандартному порту для HTTP (порт 80) сейчас идет другое приложение, отличное от HTTP?

Обход правил межсетевого экрана путем нестандартного использования стандартных портов.

Сейчас существует достаточный набор приложений в вашей сети которые можно использовать для целенаправленного обхода политик безопасности, защищающих вашу организацию. Как вы это контролируете?
К инструментам обхода средств безопасности относятся приложения двух классов - приложения, изначально разрабатываемые для обхода средств защиты (например, внешние прокси и зашифрованные туннельные приложения (не VPN)), и приложения, которые можно адаптировать для выполнения этой задачи (например, инструменты управления удаленным сервером/рабочим столом).

• Внешние прокси и зашифрованные туннельные приложения (не VPN), оснащенные рядом методик маскировки, специально используются для обхода средств обеспечения защиты. Поскольку эти приложения изначально создаются для обхода средств безопасности и поэтому способствуют рискам для бизнеса и защиты, они не имеют для вашей сети никакой бизнес-ценности.

• Инструменты управления удаленным сервером/рабочим столом, такие как RDP и Teamviewer, обычно используются работниками служб поддержки и ИТ-специалистами в целях повышения эффективности работы. Они также часто используются сотрудниками организаций для подключения к домашним и другим компьютерам за пределами корпоративной сети в обход межсетевого экрана. Злоумышленники прекрасно знают об использовании таких приложений, и в официально публикуемых отчетах Verizon Data Breach Report (DBIR) сообщалось о том, что эти инструменты удаленного доступа использовались на одном или нескольких этапах сетевых атак. И до сих пор используются.

Несут ли стандартные приложения в сети какой-то риск? Ведь и приложения для удаленного доступа, и многие зашифрованные туннельные приложения могут использоваться администраторами и сотрудниками. Однако эти же инструменты все чаще используются злоумышленниками на разных этапах в их сложных атаках. Примером такого инструмента в 2017 году является Cobalt Strike. Если организации не смогут контролировать использование этих инструментов обхода средств безопасности, они не смогут успешно выполнять политики безопасности и подвергнут себя всем рискам, для защиты от которых эти средства безопасности предназначены.

Требования. Существуют различные типы приложений обхода средств защиты, и методики, которыми оснащаются приложения каждого из этих типов, слегка различаются. Существуют публичные и частные внешние прокси, которые могут использовать и HTTP, и HTTPS. Например крупная база данных публичных прокси представлена на сайте proxy.org (запрещен на территории РФ и должен быть запрещен в вашей корпоративной сети) Частные прокси часто настраиваются на базе не классифицируемых IP-адресов (например, домашних компьютеров) с такими приложениями, как PHProxy или CGIProxy. Такие приложения удаленного доступа, как RDP, Teamviewer или GoToMyPC, имеют законное применение, однако из-за дополнительного риска, который они вносят, должны строго контролироваться. Большинство других приложений для обхода защиты (например, Ultrasurf, Tor, Hamachi) не имеют никакого бизнес-значения для вашей сети. Независимо от состояния вашей политики безопасности, ваш межсетевой экран нового поколения должен быть оснащен специальными методиками, позволяющими идентифицировать и контролировать все перечисленные приложения, не привязываясь к конкретному порту, протоколу, методу шифрования или другой тактике обхода.
И еще один важный момент: приложения, обеспечивающие обход средств защиты, регулярно обновляются, что еще больше затрудняет их выявление и контроль. Поэтому очень важно знать, как часто выполняется обновление и обслуживание функций контроля приложений, которыми оснащен ваш межсетевой экран.

Реальный пример. Используются ли стандартные протоколы на нестандартных портах в ваше сети? Может ли администратор переместить RDP со стандартного порта 3389 на другой порт? Может. Может ли HTTP ходить по другому порту отличному 80? Не только может, но и ходит. Может ли FTP сервер в Интернет работать на другом порту отличном от 21 - да таких огромное количество. Видят ли это ваши средства защиты. Если нет, то для сотрудника компании или хакера это стандартный ход для уклонения от проверок политик. Просто переместить FTP на порту 25 - окажется что ваше средство защиты думает, что это SMTP. Ваши сигнатуры IPS или антивируса работают только для порта 80 или 110 (POP3)? Злоумышленник передаст трафик на любой другой порт. Например 10000.

4.13.2. Обход сетевого экрана

Сетевой экран не может обеспечить абсолютной безопасности, потому что алгоритм его работы несовершенен. В нашем мире нет ничего безупречного, стопроцентно надежного, иначе жизнь была бы скучной и неинтересной.

Как Firewall защищает ваш компьютер или сервер? Все базируется на определенных правилах, по которым экран проверяет весь проходящий через сетевой интерфейс трафик и выносит решение о возможности его пропуска. Но не существует такого фильтра, кроме абсолютного запрета, который может обеспечить безопасность, и нет такого правила, которое нельзя обойти.

На большинстве сетевых экранов очень легко реализовать атаку DoS. Когда мы рассматривали технологию этой атаки (см. разд. 1.1.6 ), то говорили о том, что она легко организуется в двух случаях:

1. Мощность вашего канала больше, чем у противника.

2. На сервере есть задача, требующая больших ресурсов компьютера, и есть возможность ее выполнить.

Сетевой экран - это сложная программная система, которой необходим значительный технический потенциал для анализа всего проходящего трафика, большая часть которого тратится на пакеты с установленным флагом syn , т.е. на запрос соединения. Параметры каждого такого пакета должны сравниваться со всеми установленными правилами.

В то же время для отправки syn-пакетов больших ресурсов и мощного канала не надо. Хакер без проблем может забросать разрешенный порт сервера sun- пакетами, в которых адрес отправителя подставляется случайным образом. Процессор атакуемой машины может не справиться с большим потоком запросов, которые надо сверять с фильтрами, и выстроится очередь, которая не позволит обрабатывать подключения добропорядочных пользователей.

Самое страшное, если сетевой экран настроен на отправку сообщений с ошибками. В этом случае нагрузка на процессор увеличивается за счет создания и посылки пакетов на несуществующие или не принадлежащие хакеру адреса.

Если клиент посылает слишком много данных, которые не могут быть помещены в один пакет, то информация разбивается на несколько блоков. Этот процесс называется фрагментацией пакетов. Большинство сетевых экранов анализируют только первые блоки в сессии, а все остальные считаются правильными. Логика такого контроля понятна, если первый пакет верен, то зачем проверять их все и тратить на это драгоценные ресурсы сервера? В противном случае от остальных не будет толка, потому что соединение не установлено и нарушена целостность информации.

Чтобы сетевой экран пропустил данные хакера, пакеты могут быть специальным образом фрагментированы. От подобной атаки можно защититься, только если Firewall осуществляет автоматическую сборку фрагментированных пакетов и просматривает их в собранном виде. В большинстве сетевых экранов такая возможность отсутствует.

Сетевой экран очень часто становится объектом атаки, и не факт, что попытка не окажется успешной. Если злоумышленнику удастся захватить Firewall, то сеть станет открытой, как на ладони. В этом случае вас смогут спасти от тотального разгрома только персональные сетевые экраны на каждом компьютере. На практике политика безопасности на персональном компьютере не такая жесткая, но может быть вполне достаточной для предотвращения дальнейшего проникновения хакера в сеть.

Атака на сетевой экран не зависит от его реализации. Ошибки бывают как в ОС Linux, так и в маршрутизирующих устройствах с возможностями фильтрации.

Основная задача, которую решает сетевой экран, - запрет доступа к заведомо закрытым ресурсам. Но существуют открытые ресурсы. Например, если необходимо, чтобы Web-сервер был доступен пользователям Интернета, то сетевой экран не сможет защитить от взлома через ошибки в сценариях на Web-сервере.

Максимальная безопасность приносит некоторые неудобства. Так, я уже говорил, что лучше всего запретить любые попытки подключения извне. Соединение может быть установлено только по инициативе клиента вашей сети, но не удаленного компьютера. В этом случае хакер останется за бортом, но и у пользователей сети могут возникнуть проблемы, например, при попытке подсоединения к FTP-серверу в активном режиме. Мы уже знаем, что этот сервис работает на двух портах: ftp и ftp-data (ftpd). Пользователь подключается к серверному порту ftp, а когда вы запрашиваете получение файла, сервер сам инициирует соединение с клиентом, а этого сетевой экран не разрешит. Для FTP-сервиса решили эту проблему, добавив возможность работы в пассивном режиме, но в других программах (например, в чатах) вопрос остается открытым.

Хакер может установить соединение с защищенной сетью через туннель на открытом порту и с дозволенным адресом внутри сети. От этого уже никуда не денешься, потому что хоть что-то, но должно быть разрешено.

В крупных компаниях в одной сети может быть несколько серверов. Я только водной фирме и в кино видел, как администраторы для управления каждым из них работают за несколькими мониторами и клавиатурами одновременно. В реальной жизни такие специалисты слишком ленивы, да и однообразный труд утомляет, поэтому они сидят только за одним компьютером, а для подключения к серверу используют удаленное соединение.