Стюарт Мак-Клар, Джоел Скембрэй, Джордж Куртц. Секреты хакеров. Безопасность сетей - готовые решения
Подождите немного. Документ загружается.
Нестрогие списки ACL
Популярность
Простота
Опасность
Степень риска
8
2
2
4
Нестрогие списки ACL применяются на гораздо большем числе брандмауэров, чем
это можно себе представить. Предположим, что провайдеру услуг Internet какой-то
организации необходимо разрешить перенос зоны. В этом случае вместо нестрогого
списка ACL, такого как "Разрешить выполнение действий с сервера DNS провайдера
услуг Internet с исходного TCP-порта 53 и порта назначения 53", может быть реализо-
ван следующий: "Разрешить выполнение любых действий с исходного TCP-порта 53".
Подобные ошибки в
конфигурации
могут оказаться поистине разрушительными, по-
скольку злоумышленник сможет просканировать всю сеть извне. Большинство из та-
ких атак начинается со сканирования узла, расположенного позади брандмауэра, и
использования в качестве исходного ложного TCP-порта 53 (DNS).
О Контрмеры: нестрогие списки ACL
Предотвращение
Удостоверьтесь, что правила вашего брандмауэра разрешают лишь определенные
подключения. Например, если вашему провайдеру услуг Internet требуется выполнять
перенос зоны, это должно быть явно указано в установленных правилах. При этом
требуйте указания в правиле как исходного IP-адреса, так и IP-адреса назначения
(внутреннего сервера DNS).
Если вы используете брандмауэр Checkpoint, то для ограничения возможности ис-
пользования исходного порта 53 (DNS) лишь службой DNS провайдера можно реали-
зовать следующее правило. Например, если адресом сервера DNS провайдера является
192.168.
66.2,
а адресом внутреннего сервера DNS —
172.
30.140.1,
то это правило
будет иметь следующий вид.
Source
(источник)
192.168.66.2
Destination
(назначение)
172.30.140.1
Service
(служба)
domain-tcp
Action
(действие)
Accept
Track
(регистрация)
Short
\
о
'
0
j
0
Обход брандмауэров Checkpoint
Популярность
<?
Простота 2
Опасность 2
Степень риска
Брандмауэры Checkpoint 3.0 и 4.0 предоставляют открытые порты по умолчанию.
Порты, используемые для обратного поиска DNS (UDP 53), переноса зоны DNS (TCP
53) и маршрутизации RIP (UDP 520), могут быть задействованы любым узлом для дос-
тупа к любому узлу. В дополнение ко всему эти операции не регистрируются в сис-
Глава
11.
Брандмауэры 503
темных журналах. В результате после "захвата" узла внутренней сети у взломщика по-
являются интересные возможности.
Выше вы узнали, насколько просто идентифицировать брандмауэр CheckPoint. На
основе полученных знаний злоумышленник может эффективно обойти его правила.
Однако для осуществления такого подхода должно выполняться несколько сущест-
венных предварительных условий. Сначала взломщик должен получить в свое распо-
ряжение компьютер, расположенный позади брандмауэра, или обманным путем вне-
дрить на внутренний узел "троянского коня".
В любом случае на взломанном узле должна быть запущена программа прослуши-
вания netcat. Эта утилита либо обеспечит доступ взломщика к удаленной командной
оболочке, либо предоставит ему возможность вводить команды и выполнять их ло-
кально на удаленном узле. Подобные "потайные ходы" подробно рассматриваются в
главе 14, "Расширенные методы", а сейчас для лучшего понимания проблемы мы
лишь кратко рассмотрим описанный подход.
Как видно из следующего рисунка, брандмауэр CheckPoint пропускает данные через
TCP-порт 53 без регистрации. После установки на взломанном удаленном узле про-
граммы netcat, связанной с портом 53, и "захвата" удаленной командной оболочки
/bin/sh
через свой собственный порт 53, находящийся в состоянии ожидания запросов,
взломщик "прорубит окно" в брандмауэре и получит доступ к любой системе.
В одном окне
взломщик использует
утилиту netcat, чтобы
подсоединиться через
порт 53 к узлу,
,
-^
расположенному
/
\.
На ранее взломанной
позади брандмауэра
/
аг=\
>__,
системе запущена
'
связанная
с портом 53
утилита netcat,
передающая на
компьютер взломщика
результаты обработки
его
запросов
Взломщик Checkpoint
Firewall-1
Взломанная система
В другом окне утилита
netcat
прослушивает
порт 53 и ожидает
поступления данных со
взломанного узла
О Контрмеры: защита от обхода брандмауэров Checkpoint
Предотвращение
В зависимости от требований к конфигурации можно запретить большую часть
трафика, разрешенного по умолчанию. При этом необходимо соблюдать осторож-
ность, поскольку можно случайно запретить и передачу авторизованных данных. Для
ограничения доступа выполните следующие действия.
1. В диалоговом окне редактирования политики безопасности выберите команду
Policy^Properties.
2. Сбросьте флажки Accept, расположенные рядом с именами всех функций, ко-
торые не являются необходимыми. Например, пользователям многих узлов не
требуется выполнять загрузку данных DNS. В этом случае нужно сбросить
флажок Accept Domain Name Downloads. Этот же прием можно использовать для
управления трафиком RIP и DNS.
504
Часть III. Хакинг сетей
3. Создайте свое собственное правило, разрешающее обмен данными DNS с опре-
деленным авторизованным сервером
DNS
(как описано в разделе "Контрмеры:
нестрогие списки
ACL").
^
О I
в
Туннелирование трафика ICMP и UDP
Популярность
Простота
Опасность
Степень риска
Туннелирование трафика ICMP — это возможность инкапсуляции реальных данных
в заголовке пакета ICMP. Против такой атаки бессильны многие маршрутизаторы, раз-
решающие
прохождение
ICMP-пакетов
ECHO, ECHO REPLY
и
UDP-пакетов. Подобно
ситуации с брандмауэром Checkpoint, связанной с передачей данных DNS, возможность
использования
туннелирования
трафика ICMP и
UDP
базируется на том, что в распо-
ряжении взломщика уже имеется взломанный узел, находящийся позади брандмауэра.
Джереми
Раух
(Jeremy Rauch) и Майк Шифман (Mike
Schiffman)
тщательно иссле-
довали эту концепцию и создали средства для ее использования: утилиты
loki
и
lokid
(клиент и сервер). Более подробная информация содержится по адресу
http://phrack.infonexus.com/search.phtml?view&article=p49-6.
После запус-
ка сервера lokid на взломанном узле, расположенном позади брандмауэра, который
разрешает прохождение ICMP-пакетов
ECHO
и
ECHO REPLY,
взломщик может запус-
тить клиентскую часть (loki), чтобы помещать каждую передаваемую серверу lokid
команду
в
ICMP-пакет
ECHO.
После этого утилита
lokid
будет
"извлекать"
получен-
ные команды, выполнять их локально, а затем помещать полученные результаты в
ICMP-пакеты
ECHO REPLY
и
передавать
их
обратно взломщику.
При
использовании
такого подхода у злоумышленников имеется возможность полного обхода брандмау-
эра. Описанная концепция и средства, которые ее реализуют, подробно рассматрива-
ются в главе 14, "Расширенные методы".
Контрмеры: защита от туннелирования трафика
ICMP и UDP
Предотвращение
Для защиты от атак такого типа можно полностью запретить доступ по протоколу
ICMP через брандмауэр или обеспечить управляемую избирательную передачу ICMP-
пакетов. Например, следующий список ACL брандмауэров Cisco позволит полностью
запретить передачу административных данных ICMP за пределы подсети
172.29.10.0
(демилитаризованной зоны).
access-list
101
permit
icmp
any
172.29.10.0
0.255.255.255
8 !
echo
access-list
101
permit
icmp
any
172.29.10.0
0.255.255.255
0 !
echo-reply
access-list
102
deny
ip any any log !
запретить,
иначе регистрировать
все события
I Если ваш провайдер услуг Internet отслеживает работоспособность компью-
теров, расположенных позади брандмауэра, с помощью утилиты ping
(чего
мы не советуем делать), то такие списки ACL нарушат этот процесс. Уточните
у своего провайдера, применяет ли он эту утилиту.
Глава
11.
Брандмауэры 505
Изъяны программных посредников
Вообще, уязвимость программных посредников не очень высока. После защиты
самого брандмауэра и реализации надежных правил, используемых программным по-
средником, вероятность обхода брандмауэра будет значительно ниже. Однако, как и
следует ожидать, зачастую брандмауэр оказывается настроен неправильно.
«w°
Имя
узла:
localhost
Популярность
Простота
Опасность
Степень риска
_
,
-
4
2
9
5
Прежде программные посредники системы UNIX не заботились о необходимости
ограничения локального доступа. Несмотря на контроль пользователей, работающих с
Internet,
внутренний
пользователь мог получить локальный доступ к самому брандмау-
эру. Несомненно, при использовании такой атаки требуется знание корректного имени
пользователя или пароля, используемых на брандмауэре. Однако вы очень удивитесь по-
сле
того,
как
узнаете,
насколько легко их подобрать в некоторых случаях. Для того что-
бы проверить, уязвим ли ваш программный посредник, выполните следующие действия.
После появления на экране приглашения на регистрацию выполните следующие
действия.
С:\>
nc
-v
-п 192.168.51.129 23
(UNKNOWN)
[192.168.51.129]
23 (?)
open
Eagle Secure Gateway.
Hostname:
1.
Введите
localhost.
2. Введите известное имя пользователя и пароль (или попробуйте с нескольких
попыток их
подобрать).
3. Если процесс аутентификации успешно завершился, значит, вы получили ло-
кальный доступ к брандмауэру.
4. Воспользуйтесь одним из средств генерации переполнения локального буфера
(например, утилитой
rdist)
или
любой другой аналогичной программой,
что-
бы получить привилегии администратора.
О Контрмеры: защита от использования имени
localhost
Предотвращение
Способ устранения ошибок конфигурации во многом зависит от типа используе-
мого брандмауэра. В любом случае можно реализовать правило, ограничивающее воз-
можность доступа с определенных узлов. Конечно, лучше всего вообще запретить ре-
гистрацию с использованием имени localhost. Однако если это все же необходимо,
установите TCP-оболочку (например, загрузив ее с узла
ftp://coast.cs.purdue.edu/
pub/tools/unix/netutils/tcp_wrappers), с помощью которой можно разрешить
соединение лишь узлам с определенными
IP-адресами.
506 Часть III. Хакинг сетей
Неавторизованный внешний доступ
к программному посреднику
Популярность
Простота
Опасность
Степень риска
8
8
4
7
Такой подход наиболее удобен для доступа к брандмауэрам, реализующим прозрачные
функции, однако мы довольно часто сталкиваемся с его использованием. Администратор
может уделить самое пристальное внимание обеспечению безопасности брандмауэра и ус-
тановить строгие правила доступа, однако в то же время забыть о необходимости блокиро-
вания
доступа-извне.
В этом случае сразу же возникнет два типа опасности:
(1)
взломщик
может воспользоваться proxy-сервером для атак на всевозможные узлы Internet, активно
применяя изъяны сценариев
CGI
и различные методы мошенничества в Web, и (2) с по-
мощью средств Web злоумышленник сможет получить доступ к вашей корпоративной се-
ти. Нам приходилось встречать подобным образом сконфигурированные брандмауэры и
каждый раз мы могли получить доступ ко всей корпоративной сети.
Для того чтобы узнать, уязвим ли ваш брандмауэр для такой атаки, измените в бро-
узере параметры proxy-сервера так, чтобы они указывали на подозрительный (т.е. прове-
ряемый) брандмауэр. В броузере Netscape для этого выполните следующие действия.
1. Выберите команду
EditoPreferences.
2. Выделите поддеревья Advanced и Proxies.
3. Щелкните на кнопке Manual Proxy Configuration.
4. Щелкните на кнопке View.
5. Добавьте адрес тестируемого брандмауэра в соответствующий список адресов HTTP
и выберите порт, находящийся в состоянии прослушивания. (Обычно 80, 81, 8000
или 8080, однако реальные номера могут варьироваться. Для определения коррект-
ного порта воспользуйтесь утилитой
nmap
или другим аналогичным
средством.)
6. Введите в броузере адрес своего любимого Web-узла и следите за информацией,
появляющейся в строке состояния.
Если в строке состояния отобразится адрес proxy-сервера, а затем на экране появится
Web-страница, то, очевидно, вы имеете дело с неавторизованным proxy-сервером.
Если у вас имеется IP-адрес внутреннего Web-узла (не важно, маршрутизируется
он или нет), то аналогичным образом можно попытаться получить доступ и к нему.
Иногда этот внутренний IP-адрес можно встретить во время просмотра исходного ко-
да HTTP. Зачастую Web-дизайнеры помещают имена узлов и IP-адреса в атрибуте
HREF дескрипторов Web-страниц.
Контрмеры: защита от неавторизованного внешнего
доступа к программному посреднику
Предотвращение
Для того чтобы предотвратить такую атаку, нужно запретить доступ к программ-
ному посреднику со стороны внешнего интерфейса брандмауэра. Поскольку конкрет-
ный алгоритм решения этой задачи сильно зависит от производителя, свяжитесь с
ним для получения более подробной дополнительной информации.
Глава
11.
Брандмауэры 507
На уровне сети необходимо ограничить входящий трафик к программному посред-
нику на пограничных маршрутизаторах. Это без особых проблем можно осуществить,
задав списки ACL этих маршрутизаторов.
Изъяны
WinGate
Известно, что популярный программный брандмауэр WinGate систем Windows
95/NT
(http://wingate.deerfield.com/)
обладает несколькими уязвимыми местами.
Большинство из них связано со значениями параметров, установленными по умолча-
нию, разрешающими неавторизованное использование служб telnet, SOCKS и Web.
Хотя доступ к этим службам можно ограничить на уровне отдельных пользователей (и
интерфейсов), чаше всего установка и использование этого программного пакета вы-
полняется без учета каких бы то ни было требований к защите. Список серверов
WinGate можно найти на узле группы энтузиастов
CyberArmy
по адресу
http://
www.cyberarmy.com/lists/wingate/.
x
.°
о'"
Неавторизованный просмотр
Популярность
Простота
Опасность
,,,,
Степень риска
9
9
2
7
Как и многие другие неправильно сконфигурированные программные посредники, оп-
ределенные версии брандмауэра WinGate (в частности,
2.
Id
для NT) позволяют внешним
пользователям
абсолютно анонимно просматривать Internet. Такая возможность оказыва-
ется чрезвычайно важной для взломщиков, нацеленных на "захват" приложений Web-
сервера, поскольку его содержимое можно получить без риска быть пойманным.
Защи-
титься от Web-атак очень сложно, поскольку весь трафик туннелируется и направляется на
порт 80. Более подробно
хакинг
в Web рассматривается в главе 15,
"Хакинг
в Web".
Для того чтобы проверить, уязвим ли ваш сервер WinGate, выполните следующие действия.
1. Подключитесь к Internet с помощью нефильтруемого соединения (лучше всего
удаленного).
2. Измените параметры броузера так, чтобы они указывали на proxy-сервер.
3. Задайте адрес проверяемого сервера и номер требуемого порта.
Еще одним изъяном конфигурации, используемой по умолчанию, является воз-
можность неавторизованного доступа к службе SOCKS (TCP 1080). Как и в случае от-
крытого TCP-порта 80, используемого службами Web, взломщик может просматривать
ресурсы Internet, оставаясь практически полностью незамеченным (особенно, если от-
ключен режим регистрации системных событий).
О Контрмеры: защита от неавторизованного просмотра
Предотвращение
Для того чтобы нейтрализовать описанный изъян сервера WinGate, нужно просто огра-
ничить привязку определенных служб. Для ограничения возможности использования
служб proxy-сервера на
многоадаптерном
(multihomed) узле выполните следующие действия.
1. Откройте диалоговое окно свойств службы SOCKS или WWW Proxy Server.
2. Перейдите во вкладку Bindings.
3. Выберите режим Connections Will Be Accepted On The Following Interface Only и
задайте внутренний интерфейс сервера WinGate.
508 Часть III. Хакинг сетей
•
°j>"
Лучший подарок хакеру:
неконтролируемый доступ к службе telnet
Популярность
Простота
Опасность
Степень риска
9
9
6
8
Неавторизованный доступ к службе telnet гораздо опаснее возможности просмотра
ресурсов Web. Средства telnet чрезвычайно важны для взломщика. Подключившись к
службе telnet неправильно сконфигурированного WinGate, злоумышленники могут
использовать его для сокрытия следов своей деятельности.
Чтобы найти уязвимые серверы, выполните следующие действия.
1. С
помощью утилиты
telnet
попробуйте подсоединиться
к
серверу.
[root]#
telnet
172.29.11.191
Trying
172.29.11.191...
Connected to
172.29.11.191.
Escape character is
<л
]'.
Wingate>
10.50.21.5
2. После появления на экране приведенного выше текста введите адрес узла для
подключения.
3. Если на экране появилось новое приглашение для регистрации, значит, вы
имеете дело с уязвимым сервером.
Connecting to host
10.50.21.5...Connected
SunOS
5.6
login:
Контрмеры:
защита от неавторизованного доступа
к службе telnet
Предотвращение
В данном случае можно воспользоваться теми же рекомендациями, что приведены
в разделе "Контрмеры: защита от неавторизованного просмотра". Для устранения
проблемы просто ограничьте привязку определенных служб сервера WinGate. На
многоадаптерном
узле выполните для этого следующие действия.
1. Откройте диалоговое окно свойств сервера Telnet.
2. Перейдите во вкладку Bindings.
3. Выберите режим Connections Will Be Accepted On The Following Interface Only и
задайте внутренний интерфейс сервера WinGate.
Просмотр файлов
Популярность
,„
,
Простота
Опасность
Степень риска
9
9
9
9
Глава
11.
Брандмауэры 509
По умолчанию сервер WinGate 3.0 через порт управления 8010 позволяет любому
пользователю просматривать файлы системы. Для того чтобы проверить, уязвима ли
ваша система, выполните следующие инструкции.
http://192.168.51.101:8010/c:/
http://192.168.51.101:8010//
http://192.168.51.101:8010/
/
Если система уязвима, то вы сможете просмотреть каждый файл каталога, а также
перемещаться по иерархии каталогов по своему усмотрению. Такая возможность чрез-
вычайно опасна, поскольку некоторые приложения хранят имена пользователей и паро-
ли в виде незашифрованного текста. Например, если для удаленного управления серве-
рами на вашем компьютере установлены программы Remotely Possible или ControlIT
компании Computer Associates, то имена пользователей и пароли, используемые при ау-
тентификации, хранятся либо в незашифрованном виде, либо в форме, которую не со-
ставляет труда расшифровать (см. главу 13, "Изъяны средств удаленного управления").
О Контрмеры: предотвращение просмотра файлов
Для текущей версии сервера WinGate в настоящее время нет модуля обновления,
позволяющего устранить проблему просмотра файлов. Для получения более подроб-
ной информации о доступных модулях обновления обратитесь на соответствующий
узел поддержки по адресу http:
//wingate.deerfield.com/helpdesk/.
Резюме
На самом деле правильно сконфигурированный брандмауэр оказывается чрезвы-
чайно хорошо защищенным. Однако при использовании средств сбора информации,
таких как утилиты traceroute, hping и
nmap,
взломщики могут исследовать потен-
циальные пути прохождения маршрутизатора и брандмауэра, а также определить их
тип (или как минимум сделать на этот счет определенные предположения). Большин-
ство из известных в настоящее время изъянов связано с неправильной настройкой
брандмауэра или недостаточным вниманием к его администрированию. Использова-
ние взломщиком любого из них может привести к настоящей катастрофе.
Кроме
того,
в обоих типах брандмауэров имеются свои собственные специфиче-
ские изъяны, в том числе возможность использования служб Web, telnet и локаль-
ной регистрации. Для предотвращения большинства из рассмотренных слабых мест
можно воспользоваться определенными контрмерами, однако в некоторых случаях
возможно лишь их выявление.
Многие считают, что в будущем неизбежно произойдет слияние обеих технологий —
программных посредников и брандмауэров с фильтрацией пакетов, — что позволит ог-
раничить количество ошибок, возникающих при их конфигурировании в настоящее
время. Подсистема противодействия также станет составной частью брандмауэров но-
вого поколения. Компания NAI уже реализовала свою архитектуру такой подсистемы —
Active Security. После выявления вторжения она позволяет автоматически инициировать
предопределенные изменения конфигурации сервера, подвергнувшегося атаке. Напри-
мер, если системой выявления вторжений обнаружено
туннелирование
пакетов
ICMP,
то она может направить брандмауэру сообщение о необходимости игнорирования за-
просов
ECHO.
Однако
в
таком сценарии по-прежнему остается место
для
атак
DoS,
так
что сотрудникам службы безопасности не стоит забывать об этом.
510
Часть III. Хакинг сетей
ГЛАВА
12
В
зрыв и медленно рассеивающееся облако. Нет, сейчас речь пойдет не о детском
безалкогольном напитке. Мы познакомимся с различными средствами, кото-
рыми пользуются взломщики. В последние годы их применение приводит к
опустошительному хаосу в Internet. Ежегодно атаки DoS (Denial of Service — отказ в
обслуживании) стоят различным компаниям миллионы долларов и таят в себе серьез-
ную угрозу для любой системы или сети. И как результат, длительные простои систе-
мы, потерянная прибыль, большие объемы работ по идентификации атак и подготов-
ка адекватных ответных мер. По существу, атака DoS нарушает или полностью блоки-
рует обслуживание легитимных пользователей, сетей, систем или других ресурсов.
Цель любой из таких атак обычно не имеет ничего общего с благими намерениями, и
ее достижение зачастую не требует высокой квалификации, поскольку все необходи-
мые средства абсолютно доступны.
В последние
годы
упоминания о многочисленных атаках DoS заполонили заголов-
ки периодических изданий. Одной из таких атак оказались подвержены несколько из-
вестных Web-узлов, таких как Yahoo, eBay, Buy.com, CNN.com,
E*TRADE,
ZDNet и
PANIX,
что привело к их кратковременной неработоспособности. Требуемые контр-
меры, а также восстановление работоспособности удалось осуществить лишь через не-
сколько дней. Эти атаки из-за присущей им жестокости были сразу же охарактеризо-
ваны как распределенные атаки DoS (Distributed DoS), последствия которых являются
гораздо более разрушительными, чем результаты обычных атак DoS.
Большинство подобных атак базировалось на использовании изъяна в основном
протоколе Internet (TCP/IP), в частности на способе обработки системами запросов
SYN. Эта ситуация усугублялась еще тем, что взломщики, чтобы сохранить свою ано-
нимность, использовали ложные исходные адреса. Таким образом, значительно за-
труднялось выявление реальных злоумышленников. Эти события оказали огромное
влияние на сообщество Internet и еще раз подчеркнули несостоятельность применяе-
мых в глобальной сети технологий обеспечения безопасности. Хотя уже несколько лет
назад подобные атаки были теоретически предсказаны, только в настоящее время
можно оценить всю опасность деловой активности в Век Информатизации.
Причины использования атак DoS
На протяжении этой книги обсуждались и демонстрировались многочисленные средст-
ва и приемы, используемые взломщиками для нарушения системы защиты различных сис-
тем. Зачастую политика обеспечения безопасности, реализованная в целевой системе или
сети, способна предотвратить проникновение неквалифицированных злоумышленников.
Ощущая свое бессилие, взломщик может прибегнуть к последнему средству — атаке DoS.
Кроме того, к атаке DoS могут прибегнуть те злоумышленники, у которых есть
личная или политическая неприязнь к некоторым людям или организациям. Многие
эксперты по вопросам безопасности считают, что число таких атак возрастает из-за
быстрого распространения систем Windows NT/95/98. Система Windows — заветная
цель многих взломщиков. Кроме того, многие средства DoS абсолютно доступны, и
для их использования не требуется высокая квалификация.
Хотя большинство атак связано с приведенными выше мотивами, некоторые из них
могут пригодиться взломщикам и для взлома уязвимой системы. Как известно многим ад-
министраторам системы Windows NT, к сожалению, для вступления в силу внесенных из-
менений ее нужно перезагрузить. Таким образом, после внесения изменений в параметры
NT, которые в будущем позволят взломщику получить привилегии администратора, он
должен вызвать крах системы с ее последующей перезагрузкой. Несмотря на то что эта си-
туация должна привлечь внимание администраторов, большинство из них не обращают на
нее никакого внимания и без особых раздумий перезагружают систему.
512
Часть III. Хакинг сетей