أمن الاتصالات الموحد. توصيات بوليكوم

جوجل مقابل جدران الحماية

كما ورد في PCWeek/RE 21، 2001، بسبب انقطاع مؤقت في جدار الحماية في جامعة أتلانتا بوليتكنيك، محرك البحثقام Google بفهرسة شبكة الإنترانت الخاصة بالجامعة وتمكن من الوصول إلى الملفات الخاصة بالطلاب - عناوين المنازل وأرقام الضمان الاجتماعي وما إلى ذلك.

من سوء الفهم الشائع أن جدار الحماية لا يتعرف على الهجمات ولا يمنعها. جدار الحماية(الاتحاد الدولي للاتصالات) هو جهاز يحظر كل شيء أولاً ثم يسمح فقط بالأشياء "الجيدة". وهذا هو، عند تثبيت جدار الحماية، فإن الخطوة الأولى هي حظر كافة الاتصالات بين المحمي و الشبكات المفتوحة. يقوم المسؤول بعد ذلك بإضافة قواعد محددة تسمح لحركة مرور معينة بالمرور عبر جدار الحماية. من شأن تكوين جدار الحماية النموذجي أن يحظر كل شيء حركة المرور الواردة ICMP، مع ترك حركة المرور الصادرة فقط وبعض حركة المرور الواردة بناءً على بروتوكولات UDP وTCP (على سبيل المثال، HTTP، DNS، SMTP، وما إلى ذلك) مسموح بها. سيسمح هذا لموظفي المؤسسة المحمية بالعمل مع الإنترنت ومنع المهاجمين من الوصول إلى الموارد الداخلية. ومع ذلك، لا تنس أن جدران الحماية هي ببساطة أنظمة قائمة على القواعد تسمح أو تمنع حركة المرور من خلالها. حتى جدران الحماية التي تستخدم تقنية الفحص الدقيق لا تسمح لأحد أن يقول على وجه اليقين ما إذا كان الهجوم موجودًا في حركة المرور أم لا. يمكنهم فقط إعلام ما إذا كانت حركة المرور تتطابق مع القاعدة.

يمكن رسم تشبيه جيد بالعالم المادي. جدار الحماية هو مجرد سياج حول شبكتك ولا يمكن اكتشافه عندما يقوم شخص ما بالحفر تحته. يقوم الاتحاد الدولي للاتصالات ببساطة بتقييد الوصول إلى نقاط معينة خارج السياج الخاص بك. وحتى لا تكون بلا أساس، سنقدم عدة أمثلة عندما لا تنقذك جدران الحماية من المتسللين [Lukatsky1-01].

الهجمات من خلال أنفاق جدار الحماية

يعد الاتصال النفقي طريقة لتغليف (إخفاء) رسائل من نوع واحد (والتي يمكن حظرها بواسطة مرشحات الاتحاد الدولي للاتصالات) داخل رسائل من نوع آخر. تنشأ الهجمات عبر "الأنفاق" بسبب وجود الخصائص المقابلة في العديد من بروتوكولات الشبكة. مرشحات الاتحاد الدولي للاتصالات ازدحام انترنتويتخذ قرارات بشأن السماح بالحزم أو حظرها بناءً على معلومات حول بروتوكول الشبكة المستخدم. عادةً ما توفر القواعد فحصًا مناسبًا لتحديد ما إذا كان بروتوكول معين ممكّنًا أم لا. على سبيل المثال، إذا تم السماح بالمنفذين 25 و80 في الاتحاد الدولي للاتصالات، فسيتم السماح لحركة مرور البريد (SMTP) والويب (HTTP) بالمرور إلى الشبكة الداخلية. هذا هو مبدأ المعالجة الذي يستخدمه المهاجمون المهرة. يتم تنفيذ جميع الأنشطة غير المصرح بها في إطار البروتوكول المسموح به، وبالتالي إنشاء نفق ينفذ من خلاله المهاجم الهجوم. على سبيل المثال، يتم استخدام مثل هذا الخلل في جدران الحماية لتنفيذ هجوم LOKI، والذي يسمح بحفر الأنفاق أوامر مختلفةفي طلبات صدى ICMP وردود الفعل عليها في استجابات رد صدى ICMP، والتي تغير بشكل كبير حجم حقل البيانات مقارنة بالمجال القياسي.

لجدار الحماية وأي أداة تقليدية أخرى أمن الشبكةتبدو هذه الإجراءات طبيعية تمامًا. على سبيل المثال، هذه هي الطريقة التي يتم بها عرض إرسال ملف كلمة المرور في "نفق" 1CMR بواسطة محلل بروتوكول TCPdump.
مثال آخر على هجمات الأنفاق هو هجمات طبقة التطبيقات، والتي تتضمن ممارسة استغلال نقاط الضعف في التطبيقات عن طريق إرسال حزم مرتبطة مباشرة بتلك التطبيقات.

أرز. 1.3. الهجوم من خلال أنفاق جدار الحماية

أبسط مثال يوضح استخدام مثل هذه الأنفاق هو ديدان الإنترنت وفيروسات الماكرو التي يتم إدخالها إلى شبكة الشركة في شكل مرفقات بالرسائل. بريد إلكتروني. إذا كان جدار الحماية يسمح بمرور حركة مرور SMTP (لم ير المؤلف مطلقًا جدار حماية لم يفعل ذلك)، فعندئذٍ " عدوى فيروسية". دعونا نعطي المزيد مثال معقد. على سبيل المثال، خادم ويب قيد التشغيل برمجةشركة مايكروسوفت (Internet Information Server)، محمية بجدار الحماية الذي يسمح به فقط المنفذ 80. للوهلة الأولى، يتم توفيرها حماية فعالة. ولكن فقط للوهلة الأولى. إذا كنت تستخدم الإصدار 3.0 من IIS، فاتصل بـ http://www.domain.ru/default.asp. (بنقطة في النهاية) يسمح للمهاجم بالوصول إلى محتويات ملف ASP الذي قد يخزن بيانات حساسة (على سبيل المثال، كلمة مرور الوصول إلى قاعدة البيانات). وحتى لو قمت بتثبيت أكثر احدث اصدارإيس 5.0.

علاوة على ذلك، فإن عددًا كبيرًا من القواعد يقلل من أداء جدار الحماية، ونتيجة لذلك، الإنتاجيةقنوات الاتصال التي تمر عبره.

الهجمات التي تتجاوز جدار الحماية

كلمات الأغنية من فيلم الأطفال "Aibolit-66" - "الأبطال العاديون يسلكون منعطفًا دائمًا" - توضح ذلك تمامًا المشكلة القادمةالمتأصلة في جدران الحماية. لماذا تحاول الوصول إلى الموارد المحمية من خلال التدابير الأمنية عندما يمكنك محاولة تجاوزها؟

مثال من منطقة ذات صلة

في 21 فبراير 1990، ظهرت محللة الميزانية ماري بيرشام للعمل. ومع ذلك، لم تتمكن من الذهاب إليها مكان العملحتى بعد طلب الرمز المكون من أربعة أرقام والقول كلمة الكودفي نظام الأمن. ولرغبتها في الدخول، فتحت ماري الباب الخلفي باستخدام شوكة بلاستيكية ومفك براغي. تم الإعلان عن أحدث نظام أمني، والذي تجاوزته ماري بيرهام، على أنه "آمن من الفشل وموثوق به" وتكلف 44000 دولار [Vakka1-97].

وبالمثل مع جدران الحماية، يمكن للمودم فقط أن يعمل كباب خلفي. هل تعرف عدد أجهزة المودم المثبتة على شبكتك وفي أي غرض يتم استخدامها؟ لا تجيب بالإيجاب على الفور، فكر في الأمر. أثناء إجراء مسح لإحدى الشبكات، قام رؤساء قسم أمن المعلومات والأتمتة بتمزيق قمصانهم، زاعمين أنهم يعرفون كل مودم مثبت على شبكتهم. بعد إطلاق نظام التحليل الأمني Internet Scanner، وجدنا بالفعل أجهزة المودم التي أشاروا إليها، والتي تستخدم لتحديث المحاسبة و النظم القانونية. ومع ذلك، تم اكتشاف جهازي مودم غير معروفين أيضًا. تم استخدام أحدهما من قبل أحد موظفي قسم التحليل للوصول إلى أدلة العمل من المنزل. تم استخدام المودم الثاني للوصول إلى الإنترنت وتجاوز جدار الحماية.

مثال آخر يتعلق بإمكانية تجاوز جدار الحماية. ولا تأتي التهديدات دائما من خارج الاتحاد الدولي للاتصالات فقط، من الإنترنت. يرتبط عدد كبير من الخسائر، كما تظهر الإحصائيات، بالحوادث الأمنية من جانب المستخدمين الداخليين، من الداخل. يجب توضيح أن جدار الحماية يقوم فقط بفحص حركة المرور عند الحدود بين الشبكة الداخلية والشبكة شبكة الإنترنت. إذا لم تمر حركة المرور التي تستغل الثغرات الأمنية عبر جدار الحماية، فلن يجد جدار الحماية أي مشاكل

جدار الحمايةأو جدار الحماية- مجمع من الأجهزة أو برمجة، الذي يتحكم ويصفي من يمر عبره حزم الشبكةوفقا للقواعد المحددة.
الغرض الرئيسي من جدار الحماية هو الحماية شبكات الحاسبأو العقد الفردية من الوصول غير المصرح به. أيضًا، غالبًا ما تسمى جدران الحماية عوامل التصفية، نظرًا لأن مهمتها الرئيسية هي عدم السماح بمرور (تصفية) الحزم التي لا تفي بالمعايير المحددة في التكوين.
اعتمادًا على تغطية تدفقات البيانات الخاضعة للرقابة، تنقسم جدران الحماية إلى:

الشبكة التقليدية(أو الشبكة البينية) شاشة- البرنامج (أو جزء لا يتجزأ منه نظام التشغيل) على البوابة (خادم ينقل حركة المرور بين الشبكات) أو حل الأجهزة الذي يتحكم في تدفقات البيانات الواردة والصادرة بين الشبكات المتصلة.
جدار الحماية الشخصي- البرنامج المثبت عليه كمبيوتر المستخدمومصممة لحماية هذا الكمبيوتر فقط من الوصول غير المصرح به.

اعتمادًا على المستوى الذي يتم عنده التحكم في الوصول، هناك تقسيم إلى جدران الحماية التي تعمل على:

مستوى الشبكة، عندما تتم التصفية بناءً على عناوين مرسل ومستلم الحزم، وأرقام منافذ طبقة النقل لنموذج OSI والقواعد الثابتة التي يحددها المسؤول؛
مستوى الجلسة(المعروف أيضًا باسم الحالة) - جلسات التتبع بين التطبيقات التي لا تسمح للحزم التي تنتهك مواصفات TCP/IP بالمرور، وغالبًا ما تستخدم في العمليات الضارة - فحص الموارد، والاختراق من خلال تطبيقات TCP/IP غير الصحيحة، والاتصالات المنقطعة/البطيئة، وحقن البيانات .
مستوى التطبيق، التصفية بناءً على تحليل بيانات التطبيق المرسلة داخل الحزمة. تسمح لك هذه الأنواع من الشاشات بحظر نقل المعلومات غير المرغوب فيها والتي قد تكون ضارة بناءً على السياسات والإعدادات.

اعتمادًا على مراقبة الاتصالات النشطة، تكون جدران الحماية:

عديمي الجنسية(تصفية بسيطة)، والتي لا تراقب الاتصالات الحالية (على سبيل المثال، TCP)، ولكنها تقوم بتصفية تدفق البيانات بناءً على القواعد الثابتة فقط؛
دولة(التصفية المدركة للسياق)، ومراقبة الاتصالات الحالية وتمرير فقط تلك الحزم التي تلبي المنطق والخوارزميات الخاصة بالبروتوكولات والتطبيقات المقابلة. هذه الأنواع من جدران الحماية تجعل من الممكن القتال بشكل أكثر فعالية أنواع مختلفةهجمات DoS ونقاط الضعف في بعض بروتوكولات الشبكة. بالإضافة إلى ذلك، فهي توفر تشغيل البروتوكولات مثل H.323 وSIP وFTP وما إلى ذلك، والتي تستخدم دوائر معقدةنقل البيانات بين المستلمين، والذي يصعب وصفه بقواعد ثابتة، وغالبًا ما يكون غير متوافق مع القواعد القياسية، عديمي الجنسيةجدران الحماية.

كيفية تجاوز جدران الحماية.

^ التهديد من الداخل.فالتهديدات لا تأتي دائما من خارج الاتحاد الدولي للاتصالات فقط، من الإنترنت. يرتبط عدد كبير من الخسائر على وجه التحديد بالحوادث الأمنية من جانب المستخدمين الداخليين (إحصائيًا، ما يصل إلى 80٪ من الحوادث تأتي من الداخل). يجب توضيح أن جدار الحماية ينظر فقط إلى حركة المرور عند الحدود بين الشبكة الداخلية والإنترنت. إذا لم تمر حركة المرور التي تستغل الثغرات الأمنية عبر جدار الحماية، فلن يجد جدار الحماية أي مشاكل.

الأنفاق. يقوم جدار الحماية بتصفية حركة المرور ويتخذ قرارات بشأن السماح بحزم الشبكة أو حظرها بناءً على معلومات حول البروتوكول المستخدم. وبشكل عام، توفر القواعد اختبارًا مناسبًا لتحديد ما إذا كان بروتوكول معين مسموحًا به أم لا. على سبيل المثال، إذا تم السماح بالمنفذين 25 و80 في الاتحاد الدولي للاتصالات، فسيتم السماح لحركة مرور البريد (SMTP) والويب (HTTP) بالمرور إلى الشبكة الداخلية. هذا هو مبدأ المعالجة الذي يستخدمه المهاجمون المهرة. يتم تنفيذ جميع الأنشطة غير المصرح بها في إطار البروتوكول المسموح به، وبالتالي إنشاء نفق ينفذ من خلاله المهاجم الهجوم. أبسط مثال يوضح استخدام الأنفاق هو ديدان الإنترنت وفيروسات الماكرو التي يتم إدخالها إلى شبكة الشركة في شكل مرفقات برسائل البريد الإلكتروني. إذا كان جدار الحماية يسمح بمرور حركة مرور SMTP (ولم أر قط جدار حماية لم يفعل ذلك)، فيمكن أن تدخل "العدوى الفيروسية" إلى الشبكة الداخلية.
هجوم القناة السرية الحديثة الشائعة هو هجوم Loki. يستخدم هذا الهجوم بروتوكول ICMP لنقل البيانات، وعلى الرغم من أن البروتوكول لم يتم تصميمه ليتم استخدامه بهذه الطريقة، إلا أنه يهدف فقط إلى إرسال رسائل الحالة والخطأ. ولكن قام شخص ما بتطوير أداة خاصة (Loki) تسمح للمهاجم بكتابة البيانات مباشرة بعد رأس ICMP.
وهذا يسمح للمهاجم بالتواصل مع نظام آخر من خلال قناة سرية. غالبًا ما يكون هذا الهجوم ناجحًا جدًا لأن معظم جدران الحماية تم تكوينها للسماح بحركة مرور ICMP الواردة والصادرة. هذه قناة مخفية، لأن... ويستخدم بروتوكولًا للاتصال لم يتم تصميمه لهذا الغرض. معلومات مفصلةيمكن العثور على معلومات حول هجوم Loki على http://xforce.iss.net/xforce/xfdb/1452.
التشفير.في كثير من الأحيان من شفاه العديد من المطورين المحليين يعني VPNيمكنك أن تسمع أن الأداة التي طورها لبناء شبكات خاصة افتراضية يمكنها حل العديد من المشكلات الأمنية. ويصرون على أنه بما أن الشبكة المحمية تتواصل مع خصومها (المكاتب البعيدة، والشركاء، والعملاء، وما إلى ذلك) فقط عبر اتصال VPN، فلن تخترقها أي "عدوى". وهذا صحيح جزئيا، ولكن بشرط ألا يتواصل المعارضون أيضا مع أي شخص عبر قنوات غير آمنة. وهذا أمر يصعب بالفعل تخيله. وبما أن معظم المؤسسات تستخدم التشفير للحماية الخارجية اتصالات الشبكة، سيتم توجيه اهتمام المهاجم إلى تلك الأماكن في الشبكة التي من المحتمل أن تكون المعلومات التي تهمه فيها غير آمنة، أي إلى العقد أو الشبكات التي تم إنشاء علاقات موثوقة معها. وحتى إذا تم إنشاء اتصالات VPN بين شبكة محمية بجدار حماية مزود بوظائف VPN وشبكة موثوقة، فسيتمكن المهاجم من تنفيذ هجماته بنفس الكفاءة. علاوة على ذلك، فإن فعالية هجماته ستكون أعلى، منذ المتطلبات الأمنية العقد الموثوقةوالشبكات أقل بكثير من جميع العقد الأخرى. سيتمكن المهاجم من اختراق شبكة موثوقة، وعندها فقط يقوم بتنفيذ إجراءات غير مصرح بها ضد هدف هجومه من هناك.
^ نقاط الضعف في جدران الحماية. بعد مهاجمة جدار الحماية وتعطيله، يمكن للمهاجمين بهدوء، دون خوف من اكتشافهم، تنفيذ خططهم الإجرامية فيما يتعلق بموارد الشبكة المحمية. على سبيل المثال، منذ بداية عام 2001، تم اكتشاف العديد من نقاط الضعف في تنفيذ العديد من جدران الحماية المعروفة.
^ عنوان انتحال- هذه طريقة لإخفاء العنوان الحقيقي للمهاجم. ومع ذلك، يمكن استخدامه أيضًا لتجاوز آليات حماية جدار الحماية. لم تعد هذه الطريقة البسيطة، مثل استبدال عنوان مصدر حزم الشبكة بعنوان من الشبكة المحمية، قادرة على خداع جدران الحماية الحديثة. كلهم يستخدمون طرق مختلفةالحماية ضد مثل هذا الاستبدال. ومع ذلك، يظل مبدأ استبدال العنوان نفسه صالحًا. على سبيل المثال، يمكن للمهاجم أن يحل محل مهاجمه العنوان الحقيقيإلى عنوان العقدة التي أنشأت علاقة موثوقة مع النظام الذي تمت مهاجمته وتنفيذ هجوم رفض الخدمة ضده.

الفئة: غير مصنف

معظم شبكات الشركات محاطة بجدران حماية غير ديمقراطية حول محيطها، مما يحمي المستخدمين الداخليين من أنفسهم ويمنع المتسللين المبتدئين. وفي الوقت نفسه، بالنسبة للمتسلل ذي الخبرة، حتى جدار الحماية عالي الجودة والمُهيأ بشكل جيد لا يشكل عائقًا.

جدار الحماية (المعروف أيضًا باسم جدار الحماية) بشكل عام هو مجموعة من الأنظمة التي توفر المستوى المناسب من التحكم في الوصول، ويتم تحقيقه من خلال التحكم في حركة المرور وفقًا لمجموعة أكثر أو أقل مرونة من المعايير (قواعد السلوك). باختصار، يسمح جدار الحماية فقط بذلك الجزء من حركة المرور المسموح به صراحةً من قبل المسؤول ويمنع كل شيء آخر.

هناك نوعان من جدران الحماية يسيطران على السوق - مرشحات الحزم، والتي تسمى أيضًا بوابات مرشح الحزم، ووكلاء التطبيقات. مثال على النوع الأول هو Firewall from Check Point، والثاني هو Microsoft Proxy Server.

تتسم عوامل تصفية الحزم بالشفافية التامة للمستخدمين، كما أنها ذات أداء عالٍ، ولكنها ليست موثوقة بدرجة كافية. في الواقع، إنها نوع من أجهزة التوجيه التي تتلقى الحزم من خارج الشبكة وداخلها، وتقرر ما يجب فعله بها - تمريرها أو تدميرها، إذا لزم الأمر، مع إخطار المرسل بأن حزمته قد ماتت. تعمل معظم جدران الحماية من هذا النوع على مستوى IP، ويترك اكتمال دعم بروتوكول IP وجودة التصفية الكثير مما هو مرغوب فيه، بحيث يمكن للمهاجم خداعهم بسهولة. على أجهزة الكمبيوتر المنزلية، لا تزال جدران الحماية هذه منطقية، ولكن إذا كان لديك جهاز توجيه سيئ، فإنها تزيد فقط من تكلفة النظام دون إعطاء أي شيء في المقابل، حيث يمكن تعيين نفس قواعد تصفية الحزمة على جهاز التوجيه!

وكلاء البرامج عبارة عن خوادم وكيلة عادية تستمع على منافذ محددة (على سبيل المثال، 25، 110، 80) وتدعم التفاعل مع قائمة محددة مسبقًا من خدمات الشبكة. على عكس المرشحات التي تنقل حزم IP "كما هي"، يقوم الوكلاء بجمع حزم TCP بشكل مستقل، وانتزاع بيانات المستخدم منها، ووضع رأس جديد عليها، وتحليل الحزمة المستلمة مرة أخرى إلى IP، وإجراء ترجمة العنوان إذا لزم الأمر. إذا لم يكن جدار الحماية يحتوي على أخطاء، فلن يكون من الممكن خداعه على مستوى الشبكة؛ بالإضافة إلى أنه يخفي الهيكل عن المهاجم الشبكة الداخلية- يبقى جدار الحماية فقط في الخارج. ولتحقيق أعلى مستويات الأمان، يمكن للمسؤول التنظيم على جدار الحماية إجراءات إضافيةالتفويضات والتوثيقات، "الانقضاض" على العدو حتى في خطوط الدفاع البعيدة. وكانت هذه الفضائل. أما بالنسبة للعيوب، فإن وكلاء البرامج يحدون من قدرة المستخدمين على اختيار التطبيقات. إنها تعمل بشكل أبطأ بكثير من مرشحات الحزمة وتقلل الأداء بشكل كبير (خاصة على القنوات السريعة).

يتضمن كلا النوعين من جدران الحماية عادةً إصدارًا مبسطًا إلى حدٍ ما من نظام كشف الدخلاء (IDS)، الذي يحلل طبيعة طلبات الشبكة ويحدد الإجراءات الخطيرة المحتملة - الوصول إلى منافذ غير موجودة (نموذجية للفحص)، والحزم ذات TTL لواحد، (نموذجي للتتبع)، وما إلى ذلك. كل هذا يجعل الهجوم أكثر صعوبة، ويجب على المتسلل أن يتصرف بحذر شديد، لأن أي خطوة خاطئة ستكشف عنه على الفور. ومع ذلك، فإن ذكاء أنظمة التعرف المتكاملة منخفض للغاية، ويقوم معظم المسؤولين الذين يحترمون أنفسهم بتحويل هذه المهمة إلى أكتاف الحزم المتخصصة، مثل Real Secure من Internet Security System.

اعتمادًا على تكوين الشبكة، قد يتم تثبيت جدار الحماية على جهاز كمبيوتر مخصص أو قد يتم مشاركته موارد النظاممع شخص آخر. جدران الحماية الشخصية، تستخدم على نطاق واسع في عالم ويندوز، في الغالبية العظمى من الحالات، يتم تثبيتها مباشرة على الكمبيوتر المحمي نفسه. إذا تم تنفيذ مرشح الحزمة هذا دون أخطاء، فلن يتأثر أمان النظام على الإطلاق وسيكون من الصعب مهاجمته كما هو الحال في جدار الحماية المخصص. تحمي وكلاء البرامج المحلية الكمبيوتر فقط من أنواع معينة من الهجمات (على سبيل المثال، تمنع إرسال أحصنة طروادة عبر IE)، مما يترك النظام مفتوحًا بالكامل. في الأنظمة المشابهة لنظام UNIX، يوجد مرشح الحزمة في البداية، وتتضمن الحزمة القياسية عددًا كبيرًا من خوادم الوكيل المختلفة، لذلك ليست هناك حاجة لشراء برامج إضافية.
ما الذي يفعله جدار الحماية وما لا يحمي منه

تسمح لك عوامل تصفية الحزم عمومًا بإغلاق جميع منافذ TCP الواردة/الصادرة، وحظر بعض البروتوكولات كليًا أو جزئيًا (على سبيل المثال، ICMP)، ومنع الاتصالات بعناوين IP هذه، وما إلى ذلك. يجب أن تتكون الشبكة التي تم تكوينها بشكل صحيح من منطقتين على الأقل: داخلية شبكة الشركة(شبكة الشركة)، محاطة بجدار الحماية ومليئة بمحطات العمل، طابعات الشبكةوخوادم الإنترانت وخوادم قواعد البيانات والموارد الأخرى من هذا النوع؛ فضلا عن منطقة منزوعة السلاح، أو DMZ باختصار، حيث توجد خوادم عامة يمكن الوصول إليها من خلال الإنترنت. يجب أن يكون جدار الحماية الذي تم تكوينه لمستوى الأمان الأكثر قسوة:
إغلاق جميع المنافذ باستثناء المنافذ العامة خدمات الشبكة(HTTP، FTP، SMTP، وما إلى ذلك)؛
يجب إرسال الحزم التي تصل إلى منفذ معين إلى تلك العقد التي تم تثبيت الخدمات المقابلة عليها فقط (على سبيل المثال، إذا كان خادم WWW موجودًا على العقدة A وخادم FTP على العقدة B، فسيتم توجيه الحزمة إلى المنفذ 80 من العقدة B يجب أن يتم حظرها بواسطة جدار الحماية)؛
حظر الاتصالات الواردة من شبكة خارجية موجهة إلى شبكة الشركة (ومع ذلك، في هذه الحالة، لن يتمكن مستخدمو الشبكة من العمل مع خوادم FTP الخارجية في الوضع النشط);
حظر الاتصالات الصادرة من المنطقة المجردة من السلاح الموجهة إلى الشبكة الداخلية (باستثناء خوادم FTP وDNS التي تتطلب اتصالات صادرة)؛
حظر الاتصالات الواردة من المنطقة المجردة من السلاح الموجهة إلى الشبكة الداخلية (إذا لم يتم ذلك، فسوف يخترق المهاجم الذي سيطر على أحد الخوادم العامة شبكة الشركة بسهولة).
حظر الاتصالات الواردة إلى المنطقة المجردة من السلاح من شبكة خارجية عبر بروتوكولات الخدمة التي تُستخدم غالبًا للهجمات (على سبيل المثال، ICMP؛ ومع ذلك، يؤدي الحظر الكامل لـ ICMP إلى حدوث مشكلات كبيرة، على وجه الخصوص، يتوقف ping عن العمل ويصبح مستحيلًا الكشف التلقائي MTU الأكثر تفضيلاً)؛
حظر الاتصالات الواردة/الصادرة بالمنافذ و/أو عناوين IP للشبكة الخارجية المحددة من قبل المسؤول.

في الواقع، يتمثل دور جدار الحماية في حماية شبكة الشركة من أي أشخاص فضوليين يتجولون عبر الإنترنت. ومع ذلك، فإن قوة هذا السياج واضحة فقط. إذا كان أحد عملاء شبكة الشركة يستخدم إصدارًا ضعيفًا من المتصفح أو عميل البريد الإلكتروني (ومعظم البرامج معرضة للخطر!)، فلا يحتاج المهاجم إلا إلى استدراجه إلى صفحة ويب مصابة بفيروس طروادة أو إرسال بريد إلكتروني إليه يحتوي على فيروس بداخله، وباختصار الوقت سوف تتأثر الشبكة المحلية. حتى إذا تم حظر الاتصالات الصادرة من شبكة الشركة، فسيكون كود القشرة قادرًا على استخدام اتصال TCP الذي تم إنشاؤه بالفعل والذي تم من خلاله إرساله إلى المضيف المهاجم، ونقل التحكم في النظام البعيد إلى المتسلل.

يمكن أن يكون جدار الحماية نفسه هدفًا للهجوم، لأنه، مثل أي برنامج معقد، لا يخلو من الثغرات ونقاط الضعف. يتم اكتشاف الثغرات الموجودة في جدران الحماية كل عام تقريبًا ولا يتم سدها على الفور (خاصة إذا تم تنفيذ جدار الحماية على مستوى "الأجهزة"). إنه أمر مضحك، لكن جدار الحماية السيئ لا يزيد من أمان النظام فحسب، بل يؤدي أيضًا إلى تفاقم أمان النظام (ينطبق هذا في المقام الأول على جدران الحماية الشخصية، والتي تحظى بشعبية كبيرة في مؤخراعالية بشكل غير عادي).
كشف جدار الحماية وتحديد الهوية

مفتاح الهجوم الناجح هو اكتشاف جدار الحماية وتحديده في الوقت المناسب (أو، بشكل عام، IDS، ولكن في سياق هذه المقالة سنفترض أنه مدمج مع جدار الحماية).

تتجاهل معظم جدران الحماية الحزم التي انتهت صلاحيتها TTL (مدة البقاء)، وبالتالي تمنع تتبع المسار وتكشف نفسها. تقوم بعض أجهزة التوجيه بنفس الشيء، ولكن كما ذكرنا أعلاه، لا يوجد فرق جوهري بين جهاز التوجيه ومرشح الحزمة.

عادةً ما يتم تتبع المسار بواسطة الأداة المساعدة Traceroute، التي تدعم التتبع من خلاله بروتوكولات ICMPوUDP، مع حظر ICMP في كثير من الأحيان. بعد تحديد عقدة معروفة بأنها محمية بواسطة جدار الحماية (على سبيل المثال، www.intel.ru)، سنحاول تتبع المسار إليها باستخدام الأمر Traceroute -I wwww.intel.ru.

$traceroute -أنا wwww.intel.ru

تتبع المسار إلى Bouncer.glb.intel.com

1 1352 مللي ثانية 150 مللي ثانية 150 مللي ثانية 62.183.0.180

2 140 مللي ثانية 150 مللي ثانية 140 مللي ثانية 62.183.0.220

3 140 مللي ثانية 140 مللي ثانية 130 مللي ثانية 217.106.16.52

4200 مللي ثانية 190 مللي ثانية 191 مللي ثانية aksai-bbn0-po2-2.rt-comm.ru

5 190 مللي ثانية 211 مللي ثانية 210 مللي ثانية msk-bbn0-po1-3.rt-comm.ru

6200 مللي ثانية 190 مللي ثانية 210 مللي ثانية spb-bbn0-po8-1.rt-comm.ru

7 190 مللي ثانية 180 مللي ثانية 201 مللي ثانية ستوكهولم-bgw0-po0-3-0-0.rt-comm.ru

8 180 مللي ثانية 191 مللي ثانية 190 مللي ثانية POS4-0.GW7.STK3.ALTER.NET

9 190 مللي ثانية 191 مللي ثانية 190 مللي ثانية 146.188.5.33

10190 مللي ثانية 190 مللي ثانية 200 مللي ثانية 146.188.11.230

11311 مللي ثانية 310 مللي ثانية 311 مللي ثانية 146.188.5.197

12291 مللي ثانية 310 مللي ثانية 301 مللي ثانية so-0-0-0.IL1.DCA6.ALTER.NET

13381 مللي ثانية 370 مللي ثانية 371 مللي ثانية 152.63.1.137

14371 مللي ثانية 450 مللي ثانية 451 مللي ثانية 152.63.107.150

15381 مللي ثانية 451 مللي ثانية 450 مللي ثانية 152.63.107.105

16370 مللي ثانية 461 مللي ثانية 451 مللي ثانية 152.63.106.33

17361 مللي ثانية 380 مللي ثانية 371 مللي ثانية 157.130.180.186

18370 مللي ثانية 381 مللي ثانية 441 مللي ثانية 192.198.138.68

19 * * * تم تجاوز المهلة المحددة للطلب.

20 * * * تم تجاوز المهلة المحددة للطلب.

انظر: ينتقل التتبع إلى المضيف 192.198.138.68 ثم يتوقف، مما يشير إما إلى وجود جدار حماية أو جهاز توجيه مخادع. بعد ذلك بقليل، سنوضح كيف يمكنك اختراقها، ولكن الآن سنختار عقدة أخرى للتتبع، على سبيل المثال، www.zenon.ru

$traceroute -أنا www.zenon.ru

تتبع المسار إلى Distributed.zenon.net

مع الحد الأقصى لعدد القفزات 30:

1 2444 مللي ثانية 1632 مللي ثانية 1642 مللي ثانية 62.183.0.180

2 1923 مللي 1632 مللي 1823 مللي 62.183.0.220

3 1632 مللي ثانية 1603 مللي ثانية 1852 مللي ثانية 217.106.16.52

4 1693 مللي 1532 مللي 1302 مللي أكساي-bbn0-po2-2.rt-comm.ru

5 1642 مللي ثانية 1603 مللي ثانية 1642 مللي ثانية 217.106.7.93

6 1562 مللي ثانية 1853 مللي ثانية 1762 مللي ثانية msk-bgw1-ge0-3-0-0.rt-comm.ru

7 1462 مللي ثانية 411 مللي ثانية 180 مللي ثانية mow-b1-pos1-2.telia.net

8 170 مللي ثانية 180 مللي ثانية 160 مللي ثانية mow-b2-geth2-0.telia.net

9 160 مللي ثانية 160 مللي ثانية 170 مللي ثانية 213.248.78.178

10160 مللي ثانية 151 مللي ثانية 180 مللي ثانية 62.113.112.67

11 181 مللي ثانية 160 مللي ثانية 170 مللي ثانية css-rus2.zenon.net

اكتمل التتبع.

هذه المرة يسير التتبع على ما يرام. وتبين أنه لا يوجد جدار الحماية حول زينون؟ قد يكون الأمر كذلك، ولكننا بحاجة إلى إجابة واثقة معلومات إضافية. ينتمي المضيف 195.2.91.193 إلى شبكة من الفئة C (أهم ثلاث بتات من عنوان IP هي 110)، وما لم تكن هذه الشبكة محمية بجدار الحماية، فإن معظم عقدها يجب أن تستجيب لـ ping، وهو ما في هذه الحالةويحدث ذلك. يكشف المسح 65 عناوين مفتوحة. لذلك، إما أن جهاز التوجيه ليس هنا، أو أنه يمرر اختبار الاتصال لدينا بسهولة.

إذا كنت ترغب في ذلك، يمكنك محاولة فحص المنافذ، ومع ذلك، أولاً، فإن وجود المنافذ المفتوحة لا يعني شيئًا (ربما يحظر جدار الحماية منفذًا واحدًا فقط، ولكن المنفذ الأكثر ضرورة، على سبيل المثال، يحمي RPC المتسرب من الهجمات الخارجية )، وثانيًا، ثانيًا، عند إجراء المسح، سيكون من الصعب على المتسلل أن يظل دون أن يلاحظه أحد. من ناحية أخرى، يتم فحص المنافذ من قبل الجميع، ولم ينتبه المسؤولون لهذا لفترة طويلة.

تسمح لك الأداة المساعدة nmap باكتشاف بعض جدران الحماية عن طريق ضبط حالة المنفذ على \"جدار الحماية\". يحدث هذا عندما يقوم المضيف البعيد، استجابةً لـ SYN، بإرجاع حزمة ICMP من النوع 3 بالرمز 13 (عامل التصفية المحظور من قبل المسؤول) مع عنوان IP صالح لجدار الحماية في الرأس (لا يعرضه nmap؛ اكتب الماسح الضوئي الخاص بك أو استخدم أي شخص متشمم، افعل ذلك بنفسك لتحليل الحزمة التي تم إرجاعها). إذا عاد SYN/ACK، يكون المنفذ الذي تم فحصه مفتوحًا. يشير RST/ACK إلى منفذ مغلق أو محظور بواسطة جدار الحماية. لا تقوم جميع جدران الحماية بإنشاء RST/ACK عند محاولة الاتصال بالمنافذ المحظورة (يقوم Check Point Firewall بذلك)، ويرسل بعضها رسالة ICMP، كما هو موضح أعلاه، أو لا يرسل شيئًا على الإطلاق.

تدعم معظم جدران الحماية جهاز التحكمعبر الإنترنت عن طريق فتح واحد أو أكثر من منافذ TCP الفريدة لكل جدار حماية. على سبيل المثال، يفتح Check Point Firewall المنافذ 256 و257 و258، ويفتح Microsoft Proxy المنافذ 1080. تقوم بعض جدران الحماية بتوصيل اسمها وإصدارها بشكل صريح منتج برمجيعند الاتصال بهم عبر netcat (أو telnet)، تكون الخوادم الوكيلة مذنبة بشكل خاص بهذا. من خلال الاستطلاع التسلسلي لجميع العقد الموجودة أمام المضيف قيد التحقيق للاستماع على المنافذ المميزة لجدران الحماية، في معظم الحالات، لا يمكننا اكتشاف وجودها فحسب، بل يمكننا أيضًا تحديد عنوان IP! بالطبع، يمكن إغلاق هذه المنافذ على جدار الحماية نفسه (على الرغم من أن جميع جدران الحماية لا تسمح بذلك) وعلى جهاز التوجيه الذي يسبقه (ولكن لن يكون من الممكن إدارة جدار الحماية عبر الإنترنت).
المسح والتتبع من خلال جدار الحماية

غالبًا ما يتبين أن التتبع المباشر عبر جدار الحماية مستحيل (أي نوع من المسؤولين يحب الكشف عن تفاصيل حميمة عن طوبولوجيا شبكاتهم)، ويتعين على المهاجم اللجوء إلى جميع أنواع الحيل.

تعتبر أداة Firewalk أداة تتبع كلاسيكية ترسل حزم TCP أو UDP بحيث تصبح مدة البقاء (TTL) الخاصة بها على المضيف الموجود خلف جدار الحماية مباشرةً صفرًا، مما يتسبب في قيام النظام بإنشاء رسالة ICMP_TIME_EXCEEDED. بفضل هذا، يعمل Firewalk بشكل موثوق حتى في أي مكان الوسائل العاديةلم يعد بإمكانهم التأقلم، على الرغم من أنه بالطبع لا يمكنهم اختراق جدار الحماية المحمي بإحكام، ويتعين على المهاجم استخدام خوارزميات أكثر تقدمًا.

سنفترض أنه مع كل حزمة IP يتم إرسالها، يقوم النظام بزيادة معرفه بمقدار واحد (كما يحدث هذا غالبًا). من ناحية أخرى، وفقًا لمواصفات RFC-793، التي تصف بروتوكول TCP، فإن أي مضيف يتلقى حزمة غريبة لا تتعلق باتصالات TCP المنشأة يجب أن يستجيب لها باستخدام RST. لتنفيذ الهجوم، نحتاج إلى عقدة بعيدة لا تقوم بالمعالجة هذه اللحظةلا توجد حركة مرور غريبة وتوليد تسلسل معرف يمكن التنبؤ به. في دوائر المتسللين، تسمى هذه العقدة بالعقدة الغبية (تفريغ). يعد اكتشاف مضيف غبي أمرًا بسيطًا للغاية - ما عليك سوى إرسال سلسلة من حزم IP إليه وتحليل المعرف الذي تم إرجاعه في الرؤوس. دعونا نتذكر (اكتبها على قطعة من الورق) معرف الحزمة الأخيرة. ثم نختار الضحية ونرسل لها حزمة SYN، مع الإشارة إلى IP الخاص بالعقدة الصامتة في عنوان المرسل. المضيف الذي تمت مهاجمته، معتقدًا أن المضيف الغبي يريد إنشاء اتصال TCP معه، سوف يستجيب: SYN/ACK. المضيف الغبي، الذي اكتشف SYN/ACK غريبًا، سيعيد RST، مما يزيد من عداد المعرف الخاص به بمقدار واحد. من خلال إرسال حزمة IP أخرى إلى المضيف الغبي وتحليل المعرف الذي تم إرجاعه، يمكننا معرفة ما إذا كان المضيف الغبي قد أرسل حزمة RST إلى الضحية أم لا. إذا تم الإرسال، فهذا يعني أن المضيف المهاجم نشط ويؤكد إنشاء اتصال TCP بالمنفذ المحدد. إذا رغبت في ذلك، يمكن للمتسلل فحص جميع المنافذ التي تهمه دون المخاطرة بملاحظة ذلك، لأنه يكاد يكون من المستحيل حساب عنوان IP الخاص به - يتم إجراء المسح بواسطة "أيدي" العقدة الصامتة ومن وجهة نظر من الهجوم يبدو وكأنه فحص SYN عادي.

لنفترض أن المضيف الغبي موجود داخل المنطقة المجردة من السلاح وأن الضحية موجود داخل شبكة الشركة. بعد ذلك، من خلال إرسال حزمة SYN إلى المضيف الصامت نيابة عن الضحية، سنكون قادرين على اختراق جدار الحماية، لأنه سيعتقد أن مضيفًا داخليًا يتصل به، ويسمح بالاتصالات من هذا النوع في 99.9% من الحالات (إذا تم رفضها، فلن يتمكن مستخدمو شبكة الشركة من العمل مع شبكتهم الخاصة خوادم عامة). وبطبيعة الحال، يجب على جميع أجهزة التوجيه الموجودة على المسار من المتسلل إلى المضيف الغبي ألا تحظر حزمة ذات عنوان إرجاع مخادع، وإلا فسوف تموت الحزمة قبل وقت طويل من وصولها إلى وجهتها.

تنفذ الأداة المساعدة hping هذا النوع من نصوص المسح، مما يجعلها الأداة الرئيسية للمهاجم لاستكشاف شبكات الشركات المحمية بجدار الحماية.

وبدلاً من ذلك، يمكن للمتسلل الاستيلاء على إحدى العقد الموجودة داخل المنطقة المنزوعة السلاح، واستخدامها كنقطة انطلاق لمزيد من الهجمات.
اختراق جدار الحماية

تدعم جدران الحماية عالية الجودة فقط إعادة تجميع حزم TCP المجزأة، بينما تقوم جميع الجدران النارية الأخرى بتحليل الجزء الأول فقط، وتخطي الباقي بحرية. من خلال إرسال حزمة TCP مجزأة للغاية، "توزيع" رأس TCP على عدة حزم IP، سيقوم المتسلل بإخفاء رقم الإقرار من جدار الحماية ولن يتمكن من تحديد ما إذا كانت حزمة TCP تنتمي إلى جلسة TCP المقابلة (ربما ينتمي إلى اتصال شرعي أنشأه مستخدم الشركة). وما لم يتم تمكين خيار "قطع الحزم المجزأة" على جدار الحماية، فإن نجاح عملية الاختراق مضمون. يؤدي حظر الحزم المجزأة إلى إنشاء العديد من المشكلات والمنع عملية عاديةالشبكات. من الناحية النظرية، من الممكن حظر الحزم ذات رأس TCP المجزأ فقط، ولكن ليس كل جدار حماية يدعم سياسة التكوين المرنة هذه. يتمتع هذا النوع من الهجمات، والذي يسمى Tiny Fragment Attack، باختراق قوي للغاية، وبالتالي فهو الأسلوب المفضل لجميع المتسللين.

تعتبر الهجمات التي تستخدم التوجيه الداخلي (المعروف أيضًا باسم توجيه المصدر) أقل أهمية بكثير، ولكننا سنظل نأخذها في الاعتبار. كما تعلم، يتيح لك بروتوكول IP تضمين معلومات التوجيه في الحزمة. عند إرسال حزمة IP إلى الضحية، غالبًا ما يتم تجاهل التوجيه الذي يفرضه المتسلل، ويتم تحديد مسار الحزمة فقط بواسطة أجهزة التوجيه الوسيطة، ولكن يتم إرجاع حزم الاستجابة على طول المسار المعاكس المحدد في رأس IP، مما يؤدي إلى إنشاء الظروف المواتية لتزويرها. يقتصر الإصدار الأكثر بساطة من الهجوم على انتحال عنوان IP الخاص بالمرسل فقط. تعمل أجهزة التوجيه التي تم تكوينها بشكل صحيح (ومعظم نسخ UNIX) على حظر الحزم الموجهة داخليًا. تمثل الحزم ذات عناوين IP المخادعة عدة مشكلة كبيرةومع ذلك، يمكن لجدار الحماية عالي الجودة تصفيتها أيضًا.

يمكن تغيير جداول التوجيه ديناميكيًا عن طريق إرسال رسالة إعادة توجيه ICMP، مما يسمح بذلك على الأقل، من الناحية النظرية) لتوجيه حركة مرور المتسللين لتجاوز جدار الحماية (انظر أيضًا انتحال ARP)، ومع ذلك، لم تعد هذه الأنظمة الآمنة اليائسة موجودة عمليًا.
الهروب من وراء جدار الحماية

إن مستخدمي الشبكة الداخلية المحمية بجدار حماية غير ديمقراطي تكون خياراتهم محدودة للغاية. لقد تحدثنا بالفعل عن استحالة العمل مع خوادم FTP في الوضع النشط. قد يتم أيضًا حظر بعض البروتوكولات وقد يتم إغلاق المنافذ التي تحتاجها. في الحالات السريرية، يحتفظ المسؤولون بقوائم سوداء لعناوين IP، مما يمنع الوصول إلى المواقع ذات المواضيع "غير المناسبة".

نظرًا لأن جدران الحماية مصممة للحماية من الخارج، وليس من الداخل، فمن السهل جدًا اختراقها من خلف جدرانها؛ ما عليك سوى استخدام أي خادم وكيل مناسب موجود على الشبكة الخارجية ولم يتم إدراجه في القائمة السوداء بعد من قبل المسؤول. بخاصة، العميل الشعبييسمح لك برنامج ICQ بتبادل الرسائل ليس بشكل مباشر، ولكن من خلال خادم (ليس بالضرورة خادم الشركة المطورة). هناك الآلاف من الخوادم الداعمة عمل آي سي كيو. بعضها موجود بشكل أو بآخر دون تغيير لعدة سنوات، والبعض الآخر يظهر ويختفي ديناميكيًا. وإذا كان لا يزال من الممكن وضع "الأكباد الطويلة" في قائمة الإيقاف، فلن يتمكن المسؤول ببساطة من تتبع خوادم اليوم الواحد!

يمكنك أيضًا استخدام بروتوكول SSH ( صدفه آمنه)، تم تصميمه في الأصل للعمل من خلال جدار الحماية ودعم تشفير حركة المرور (في حالة ما إذا قرر جدار الحماية البحث عن كلمات \"ممنوعة\" مثل \"sex\"، و\"hack\"، وما إلى ذلك). يمكن أن يعمل بروتوكول SSH على أي منفذ متاح، على سبيل المثال، 80، ثم من وجهة نظر جدار الحماية، سيبدو كل شيء وكأنه عمل قانوني مع خادم الويب. وفي الوقت نفسه، فإن SSH هو الأساس فقط للبروتوكولات الأخرى، والتي أود أولاً أن أذكر منها telnet، الذي يوفر التفاعل مع المحطات البعيدة. من خلال دفع حوالي 20 دولارًا مقابل الاستضافة لأي مزود، ستتلقى حسابًا يدعم SSH ويسمح لك بإنشاء اتصالات مع عقد الشبكة الأخرى ( استضافة مجانيةغالبًا ما يتم حرمان هذه الفرصة أو يتم فرض قيود صارمة عليها).

وأخيرًا، يمكنك استخدام الهاتف الخلوي، واتصالات المودم المباشرة، وأدوات الاتصال الأخرى التي تنشئ اتصالاً بمزود الخدمة الخاص بك، متجاوزًا جدار الحماية.
خاتمة

تقنيات بناء جدران الحماية لا تقف ساكنة، والمتخصصون في ذلك أمن المعلوماتلا تنام. تزداد صعوبة القرصنة يومًا بعد يوم، لكن القرصنة لن تختفي تمامًا أبدًا. بعد كل شيء، يتم استبدال الثقوب المسدودة بأخرى. الشيء الرئيسي هو عدم الجلوس مكتوفي الأيدي، ولكن تجربة جدران الحماية بشكل إبداعي، ودراسة المعايير والمواصفات، ودراسة قوائم أدوات التجميع والبحث، والبحث، والبحث...

ماسح ضوئي شائع للمنافذ يسمح لك باكتشاف بعض أنواع جدران الحماية. حر. النصوص المصدرية متوفرة. على الموقع http://www.insecure.org/nmap البحر معلومات تقنيةعلى المشكلة.
فايرووك

أداة مساعدة لتتبع الشبكة من خلال جدار الحماية، وتعمل على بروتوكولات TCP/UDP وعلى أساس TTL. حر. http://www.packetfactory.net/firewalk. قبل الاستخدام، يوصى بقراءة الوثائق http://www.packetfactory.net/firewalk/firewalk-final.pdf.
HPING

أداة تقوم بتنفيذ المسح من خلال مضيف غبي. سلاح قوي لاستكشاف الشبكة الداخلية خلف جدار الحماية. مجانية وموثقة بشكل جيد. http://www.hping.org/papers.html.
عميل SSH

عميل Secure Shell الذي يستخدمه مستخدمو الشبكة الداخلية للتغلب على قيود وقيود جدار الحماية. حر. وزعت مع كود المصدر. http://www.openssh.com.
الأسئلة الشائعة

الأسئلة الشائعة التفصيلية حول جدران الحماية باللغة الإنجليزية. www.interhack.net/pubs/fwfaq/firewalls-faq.pdf. ترجمته الروسية، التي ليست حديثة بشكل خاص، موجودة على ln.com.ua/~openxs/articles/fwfaq.html.
جدران الحماية

ملاحظات محاضرة عن جدران الحماية (باللغة الإنجليزية) للأستاذ التايواني Yeali S. Sun. http://www.im.ntu.edu.tw/~sunny/pdf/IS/Firewall.pdf
الشبكة المفتوحة

بوابة ضخمة حول أمن الشبكات، بما في ذلك معلومات حول الثغرات الموجودة في جدران الحماية الشائعة (باللغتين الروسية و اللغات الانجليزية). http://www.opennet.ru

جدران الحماية حساسة عدد كبيرهجمات DoS، مثل عاصفة الصدى أو فيضان SYN، والتي لا يستطيعون مقاومتها بشكل أساسي.

جدار الحماية عبارة عن جهاز توجيه وخادم وكيل ونظام كشف التسلل في جهاز واحد.

جدران الحماية لا تحمي من الهجمات، بل تحمي فقط شبكه محليهسياج من الطوب يسهل تسلقه.

في معظم الحالات، يمكنك اختراق جدار الحماية الخاص بجدار الحماية عن طريق تغليف البيانات المرسلة في رأس ICMP لاختراق نفق ICMP.

يمكن مهاجمة جدار الحماية ليس فقط من الخارج، ولكن أيضًا من داخل شبكة الشركة.

تستجيب جدران الحماية المختلفة بشكل مختلف لحزم TCP غير القياسية، مما يسمح لها بتعريف نفسها.

جدران الحماية التي تفتح المنفذ 53 ( خدمة DNS) ليس فقط عند جهاز الاستقبال (على سبيل المثال، Check Point Firewall)، ولكن أيضًا عند المصدر، مما يسمح للمتسلل بفحص الشبكة الداخلية بالكامل.

تكون نقاط ضعف وكلاء البرامج منخفضة بشكل عام، ويتم مهاجمتها بشكل أساسي من خلال أخطاء تجاوز سعة المخزن المؤقت.

تكون بعض جدران الحماية عرضة لتصفح الملفات غير المصرح به على المنفذ 8010 وطلبات مثل http://www.host.com::8010/c:/ أو http://www.host.com::8010//.
احتياجات خدمة DCOM مدى واسعفتح المنافذ، مما يقلل بشكل كبير من درجة أمان النظام، مما يجعل استخدام جدار الحماية لا معنى له.

4.13.2. تجاوز جدار الحماية

لا يمكن لجدار الحماية توفير الأمان المطلق لأن خوارزمية التشغيل الخاصة به غير كاملة. في عالمنا لا يوجد شيء لا تشوبه شائبة، يمكن الاعتماد عليه بنسبة مائة في المائة، وإلا فإن الحياة ستكون مملة وغير مثيرة للاهتمام.

كيف يقوم جدار الحماية بحماية جهاز الكمبيوتر أو الخادم الخاص بك؟ يعتمد كل شيء على قواعد معينة، والتي بموجبها تتحقق الشاشة من كل شيء يمر عبرها واجهة الشبكةحركة المرور ويتخذ قرارًا بشأن إمكانية تجاوزها. لكن لا يوجد فلتر غير الحظر المطلق الذي يمكن أن يضمن السلامة، ولا توجد قاعدة لا يمكن التحايل عليها.

من السهل جدًا تنفيذ هجوم DoS على معظم جدران الحماية. عندما نظرنا إلى التكنولوجيا المستخدمة في هذا الهجوم ( انظر القسم 1.1.6)، ثم قالوا إنه يمكن تنظيمه بسهولة في حالتين:

1. قوة قناتك أعظم من قوة العدو.

2. هناك مهمة على الخادم تتطلب الكثير من موارد الكمبيوتر، وهناك فرصة لإكمالها.

جدار الحماية هو نظام برمجي معقد يتطلب قدرات تقنية كبيرة لتحليل كل حركة المرور المارة، والتي يتم إنفاق معظمها على حزم مع مجموعة إشارات Syn، أي. إلى طلب اتصال. يجب مقارنة معلمات كل حزمة من هذا القبيل بجميع القواعد المعمول بها.

وفي الوقت نفسه، ليست هناك حاجة إلى موارد كبيرة وقناة قوية لإرسال حزم المزامنة. يمكن للمتسلل بسهولة إغراق منفذ الخادم المسموح به بحزم الشمس التي يتم فيها استبدال عنوان المرسل بشكل عشوائي. قد لا يتمكن معالج الجهاز الذي تمت مهاجمته من التعامل مع التدفق الكبير للطلبات التي تحتاج إلى التحقق من المرشحات، وسيتم إنشاء قائمة انتظار لن تسمح بمعالجة الاتصالات من المستخدمين المحترمين.

أسوأ شيء هو إذا تم تكوين جدار الحماية لإرسال رسائل خطأ. في هذه الحالة، يزداد حمل المعالج بسبب إنشاء وإرسال حزم إلى عناوين غير موجودة أو لا تنتمي إلى المتسلل.

إذا أرسل العميل الكثير من البيانات التي لا يمكن احتواؤها في حزمة واحدة، فسيتم تقسيم المعلومات إلى عدة كتل. وتسمى هذه العملية تجزئة الحزمة. تقوم معظم جدران الحماية بتحليل الكتل الأولى فقط في الجلسة، وتعتبر جميع الأجزاء المتبقية صحيحة. منطق هذا التحكم واضح: إذا كانت الحزمة الأولى صحيحة، فلماذا يتم فحصها جميعًا وإهدار موارد الخادم الثمينة عليها؟ وإلا فلن تكون هناك أي فائدة للآخرين، لأنه لم يتم إنشاء الاتصال وتعرض سلامة المعلومات للخطر.

للتأكد من أن جدار الحماية يسمح لبيانات المتسلل بالمرور، يمكن تجزئة الحزم بطريقة خاصة. لا يمكنك حماية نفسك من مثل هذا الهجوم إلا إذا قام جدار الحماية تلقائيًا بإعادة تجميع الحزم المجزأة وعرضها في شكل مجمع. معظم جدران الحماية لا تملك هذه الميزة.

غالبًا ما يصبح جدار الحماية هدفًا للهجوم، وليس حقيقة أن المحاولة لن تكون ناجحة. إذا تمكن أحد المهاجمين من الاستيلاء على جدار الحماية، فستصبح الشبكة مفتوحة على مرأى ومسمع. في هذه الحالة، فقط جدران الحماية الشخصية الموجودة على كل كمبيوتر يمكنها إنقاذك من الهزيمة الكاملة. في الممارسة العملية، السياسة الأمنية على كمبيوتر شخصيليست صارمة جدًا، ولكنها قد تكون كافية تمامًا لمنع المزيد من اختراق المتسلل للشبكة.

الهجوم على جدار الحماية لا يعتمد على تنفيذه. تحدث الأخطاء في نظام التشغيل Linux وفي أجهزة التوجيه ذات إمكانيات التصفية.

المهمة الرئيسية التي يحلها جدار الحماية هي منع الوصول إلى الموارد الخاصة بشكل واضح. ولكن هناك موارد مفتوحة. على سبيل المثال، إذا كان من الضروري أن يكون خادم الويب في متناول مستخدمي الإنترنت، فلن يتمكن جدار الحماية من الحماية من الاختراق من خلال الأخطاء في البرامج النصية الموجودة على خادم الويب.

الحد الأقصى من الأمن يأتي مع بعض المضايقات. لذلك قلت بالفعل أنه من الأفضل حظر أي محاولات للاتصال من الخارج. لا يمكن إنشاء الاتصال إلا بمبادرة من العميل الموجود على شبكتك، لكن لا حاسب يستخدم عن بعد. في هذه الحالة، سيتم ترك المتسلل، ولكن قد يواجه مستخدمو الشبكة أيضًا مشكلات، على سبيل المثال، عند محاولة الاتصال بخادم FTP في الوضع النشط. نحن نعلم بالفعل أن هذه الخدمة تعمل على منفذين: ftp وftp-data (ftpd). يتصل المستخدم بمنفذ بروتوكول نقل الملفات الخاص بالخادم، وعندما تطلب استلام ملف، يبدأ الخادم نفسه بالاتصال بالعميل، ولن يسمح جدار الحماية بذلك. بالنسبة لخدمة FTP قمنا بحل هذه المشكلة عن طريق إضافة القدرة على العمل فيها مزاج سيءولكن في البرامج الأخرى (على سبيل المثال، في الدردشات) يظل السؤال مفتوحًا.

يمكن للمتسلل إنشاء اتصال بشبكة آمنة من خلال نفق منفذ مفتوحومع عنوان صالح داخل الشبكة. لا مفر من هذا، لأنه على الأقل يجب السماح بشيء ما.

قد يكون لدى الشركات الكبيرة عدة خوادم على نفس الشبكة. لقد رأيت فقط في شركة مياه وفي الأفلام كيف يعمل المسؤولون خلف العديد من الشاشات ولوحات المفاتيح في نفس الوقت لإدارة كل واحدة منها. في الحياه الحقيقيهمثل هؤلاء المتخصصين كسالى للغاية، والعمل الرتيب متعب، لذلك يجلسون على جهاز كمبيوتر واحد فقط ويستخدمون اتصالاً عن بعد للاتصال بالخادم.

في عام 1999، كتبت مقالًا بعنوان "جدار الحماية ليس حلًا سحريًا" ناقشت فيه أوجه القصور المختلفة الكامنة في التقنية المستخدمة في جدران الحماية (Firewalls). كنت آمل أن يتوقف الموردون المحليون، وخاصة المطورين، عن خداع العملاء من خلال الادعاء بأن جدار الحماية الخاص بهم هو الدواء الشافي لجميع العلل، وأنه سيحل جميع مشاكل العملاء، مما يضمن حماية موثوقة لجميع موارد شبكة الشركة. لكن هذا لم يحدث، وأريد العودة إلى هذا الموضوع مرة أخرى. علاوة على ذلك، وكما تظهر تجربتي في إلقاء المحاضرات حول أمن المعلومات، فإن هذه القضية تحظى باهتمام كبير من قبل المتخصصين الذين يستخدمون بالفعل جدران الحماية في مؤسساتهم.

هناك عدد من المشاكل التي أود التحدث عنها والتي يمكن توضيحها بمثال. جدار الحماية هو مجرد سياج حول شبكتك. قد يكون طويلًا جدًا أو سميكًا جدًا بحيث يمكنك تسلقه أو إحداث ثقب فيه. لكن... هذا السياج لا يمكنه اكتشاف قيام شخص ما بحفر نفق تحته أو محاولة السير على جسر ملقى فوق السياج. يقوم الاتحاد الدولي للاتصالات ببساطة بتقييد الوصول إلى نقاط معينة خارج السياج الخاص بك.

الناس يخطئون

كما تعلم، يتم تكوين جدران الحماية، مثل التدابير الأمنية الأخرى، من قبل الأشخاص. ويميل الناس إلى ارتكاب الأخطاء، حتى المتخصصين في أمن المعلومات. هذه هي الحقيقة التي يستخدمها العديد من المهاجمين. يكفي أن تجد نقطة ضعف واحدة فقط في إعدادات جدار الحماية، وهذا كل شيء، يمكننا أن نفترض أن "هذه هي مشكلتك". وهذا ما تؤكده الدراسات المختلفة. على سبيل المثال، تظهر الإحصائيات التي تم جمعها في عام 1999 من قبل جمعية ICSA (http://www.icsa.net) أن ما يصل إلى 70% من جميع جدران الحماية معرضة للخطر بسبب تكوين غير صحيحوالإعدادات. لا أريد أن أتحدث عن عدم الكفاءة أو المؤهلات المنخفضة لمدير الاتحاد الدولي للاتصالات (على الرغم من أن هذه الأسباب ليست نادرة بأي حال من الأحوال) - سأصف مثالاً آخر. مباشرة بعد التخرج من الجامعة، انتهى بي الأمر في قسم الأتمتة في شركة كبيرة. حماية الإنترنتتم توفيره بواسطة جدار الحماية، الذي يتحكم فيه مسؤول قسم أمن المعلومات. اضطررت أكثر من مرة إلى التعامل مع موقف اقترب فيه أصدقاء من أقسام أخرى في الشركة من هذا المسؤول وطلبوا السماح لهم مؤقتًا بالوصول إلى الخوادم التي تحتوي على ألعاب. ذات مرة شهدت حادثة مروعة. اتصل رئيس قسم العمل مع الشركاء بمسؤول الاتحاد الدولي للاتصالات وطالب بمنحه حق الوصول إلى أحد موارد الإنترنت. وردًا على ذلك، هدد الرئيس بمنح المسؤول "حياة سعيدة"، وبعد ذلك كان على الأخير اتباع الأمر وتغيير إعدادات جدار الحماية. والأمر الأكثر إثارة للدهشة هو أن الوضع لا يتحسن بمرور الوقت. لقد أجرينا مؤخرًا دراسة استقصائية في إحدى المنظمات ووجدنا نفس الوضع تمامًا هناك. يسمح جدار الحماية بالوصول عبر بروتوكولات ICQ وRealAudio وما إلى ذلك. بدأوا في اكتشاف ذلك - اتضح أن ذلك تم بناءً على طلب موظف في أحد الأقسام، والذي أقام معه المسؤول علاقات ودية.

"الأبطال العاديون يسلكون منعطفًا دائمًا"

جزء من أغنية من فيلم الأطفال "Aibolit-69" يوضح تمامًا المشكلة التالية المتأصلة في جدران الحماية. لماذا تحاول الوصول إلى الموارد المحمية من خلال التدابير الأمنية عندما يمكنك محاولة تجاوزها؟ ويمكن توضيح ذلك بمثال من مجال ذي صلة. في يوم الأربعاء الموافق 21 فبراير 1990، جاءت ماري بيرهام، محللة الميزانية في إحدى الشركات الأمريكية، إلى العمل. ومع ذلك، لم تتمكن من دخول مكان عملها حتى بعد إدخال الرمز المكون من أربعة أرقام ونطق الكلمة الرمزية في نظام التحكم في الوصول. أرادت ماري الاستمرار في العمل، فتجولت حول المبنى وفتحت الباب الخلفي باستخدام مبرد أظافر ومشط بلاستيكي. تم الإعلان عن أحدث نظام أمني تجاوزته ماري بيرهام على أنه "آمن من الفشل وموثوق به" ويكلف عشرات الآلاف من الدولارات. وبالمثل مع جدران الحماية، يمكن للمودم فقط أن يعمل كباب خلفي. هل تعرف عدد أجهزة المودم المثبتة على شبكتك وفي أي غرض يتم استخدامها؟ لا تجيب بالإيجاب على الفور، فكر في الأمر. أثناء فحص إحدى الشبكات، قام رؤساء قسم أمن المعلومات والأتمتة بتمزيق قمصانهم، زاعمين أنهم يعرفون كل مودم مثبت على شبكتهم. وبعد تشغيل نظام التحليل الأمني Internet Scanner، وجدنا بالفعل أن أجهزة المودم التي أشاروا إليها تم استخدامها لتحديث قواعد بيانات الأنظمة المحاسبية والقانونية. ومع ذلك، تم اكتشاف جهازي مودم غير معروفين أيضًا. تم استخدام أحدهما من قبل أحد موظفي قسم التحليل للوصول إلى أدلة العمل من المنزل. تم استخدام المودم الثاني للوصول إلى الإنترنت، وتجاوز جدار الحماية.