Bezpieczeństwo ujednoliconej komunikacji. Zalecenia firmy Polycom
Google kontra zapory ogniowe
Jak podano w PCWeek/RE 21, 2001, z powodu tymczasowej awarii zapory ogniowej na Politechnice w Atlancie, wyszukiwarka Google zaindeksował intranet uniwersytetu i uzyskał dostęp do plików dotyczących studentów – adresów domowych, numerów ubezpieczenia społecznego itp.
Częstym nieporozumieniem jest to, że firewall nie rozpoznaje ataków i ich nie blokuje. Zapora sieciowa(ITU) to urządzenie, które najpierw zabrania wszystkiego, a potem pozwala tylko na „dobre” rzeczy. Oznacza to, że podczas instalowania zapory ogniowej pierwszym krokiem jest zablokowanie wszystkich połączeń między chronionymi i sieci otwarte. Następnie administrator dodaje określone reguły, które zezwalają na przepuszczanie określonego ruchu przez zaporę. Typowa konfiguracja zapory blokuje wszystko ruch przychodzący Dozwolony jest protokół ICMP, pozostawiający tylko ruch wychodzący i część ruchu przychodzącego w oparciu o protokoły UDP i TCP (na przykład HTTP, DNS, SMTP itp.). Umożliwi to pracownikom chronionej organizacji pracę z Internetem i odmówi atakującym dostępu do zasobów wewnętrznych. Nie należy jednak zapominać, że zapory ogniowe to po prostu systemy oparte na regułach, które zezwalają na ruch przez nie lub blokują go. Nawet zapory ogniowe korzystające z technologii kontroli stanowej nie pozwalają z całą pewnością stwierdzić, czy w ruchu występuje atak, czy nie. Mogą jedynie powiadamiać, czy ruch pasuje do reguły.
Dobrą analogię można przeprowadzić ze światem fizycznym. Zapora sieciowa to po prostu ogrodzenie wokół Twojej sieci, którego nie można wykryć, gdy ktoś będzie pod nią kopał. ITU po prostu ogranicza dostęp do niektórych punktów poza płotem. Aby nie być bezpodstawnym, podamy kilka przykładów, kiedy zapory ogniowe nie uchronią cię przed intruzami [Lukatsky1-01].
Ataki poprzez tunele zapory ogniowej
Tunelowanie to metoda enkapsulacji (maskowania) wiadomości jednego typu (które mogą być blokowane przez filtry ITU) w wiadomościach innego typu.Ataki poprzez „tunele” powstają w wyniku obecności odpowiednich właściwości w wielu protokołach sieciowych. Filtry ITU ruch sieciowy i podejmuje decyzje o dopuszczeniu lub zablokowaniu pakietów na podstawie informacji o używanym protokole sieciowym. Zwykle reguły przewidują odpowiednie sprawdzenie w celu ustalenia, czy dany protokół jest włączony. Na przykład, jeśli w ITU dozwolone są porty 25 i 80, wówczas ruch pocztowy (SMTP) i WWW (HTTP) może przechodzić do sieci wewnętrznej. Z tej zasady przetwarzania korzystają wykwalifikowani atakujący. Wszelka nieautoryzowana aktywność odbywa się w ramach dozwolonego protokołu, tworząc w ten sposób tunel, przez który atakujący przeprowadza atak. Przykładowo taka usterka w firewallach wykorzystywana jest do realizacji ataku LOKI, który umożliwia tunelowanie różne polecenia na żądania ICMP Echo Requests i reakcje na nie na odpowiedzi ICMP Echo Reply, co znacząco zmienia wielkość pola danych w porównaniu do standardowego.
Do zapory ogniowej i innych tradycyjnych narzędzi bezpieczeństwo sieci Działania te wyglądają całkiem normalnie. Tak np. wygląda transfer pliku z hasłami w „tunelu” 1CMR przez analizator protokołu TCPdump.
Innym przykładem ataków tunelowych są ataki w warstwie aplikacji, które polegają na wykorzystywaniu luk w zabezpieczeniach aplikacji poprzez wysyłanie pakietów bezpośrednio związanych z tymi aplikacjami.
Ryż. 1.3. Atak przez tunele zapory ogniowej
Najprostszym przykładem wykorzystania takich tuneli są robaki internetowe i makrowirusy wprowadzane do sieci firmowej w postaci załączników do wiadomości. E-mail. Jeśli zapora sieciowa pozwala na przepuszczanie ruchu SMTP (autor nigdy nie widział zapory sieciowej, która by tego nie robiła), wówczas „ Infekcja wirusowa„.Dajmy więcej złożony przykład. Na przykład działający serwer WWW oprogramowanie Firma Microsoft (Internet Information Server) jest chroniona zaporą sieciową, na której dozwolony jest tylko port 80. Na pierwszy rzut oka jest to zapewnione skuteczna ochrona. Ale tylko na pierwszy rzut oka. Jeśli używasz IIS w wersji 3.0, skontaktuj się z http://www.domain.ru/default.asp. (z kropką na końcu) umożliwia atakującemu uzyskanie dostępu do zawartości pliku ASP, który może przechowywać wrażliwe dane (na przykład hasło dostępu do bazy danych). I nawet jeśli zainstalowałeś ich najwięcej Ostatnia wersja IIS 5.0.
Co więcej, duża liczba reguł zmniejsza wydajność zapory ogniowej, a w rezultacie wydajność przechodzące przez nią kanały komunikacyjne.
Ataki omijające zaporę ogniową
Doskonale ilustrują to słowa piosenki z filmu dla dzieci „Aibolit-66” – „Normalni bohaterowie zawsze obierają objazd” następny problem nieodłącznym elementem zapór ogniowych. Po co próbować uzyskać dostęp do chronionych zasobów za pomocą środków bezpieczeństwa, skoro można je ominąć?
Przykład z pokrewnego obszaru
21 lutego 1990 roku analityk budżetowy Mary Pircham pojawiła się w pracy. Nie mogła jednak do niej pójść Miejsce pracy nawet po wybraniu czterocyfrowego kodu i powiedzeniu słowo kodowe w systemie bezpieczeństwa. Chcąc nadal wejść, Mary otworzyła tylne drzwi za pomocą plastikowego widelca i kieszonkowego śrubokręta. Najnowszy system bezpieczeństwa, który ominęła Mary Pierham, był reklamowany jako „bezpieczny i niezawodny” i kosztował 44 000 dolarów [Vakka1-97].
Podobnie w przypadku zapór sieciowych, jedynie modem może służyć jako tylne drzwi. Czy wiesz, ile modemów jest zainstalowanych w Twojej sieci i do czego służą? Nie odpowiadaj od razu twierdząco, przemyśl to. Podczas przeglądu jednej z sieci szefowie działów bezpieczeństwa informacji i automatyzacji rozdarli koszule, twierdząc, że znają każdy modem zainstalowany w ich sieci. Po uruchomieniu systemu analizy bezpieczeństwa Internet Scanner rzeczywiście znaleźliśmy wskazane przez nich modemy, służące do aktualizacji księgowości i systemy prawne. Jednak odkryto również dwa nieznane modemy. Jeden był używany przez pracownika działu analitycznego, aby uzyskać dostęp do katalogów roboczych z domu. Drugi modem służył do uzyskania dostępu do Internetu z pominięciem zapory sieciowej.
Inny przykład związany jest z możliwością ominięcia firewalla. Zagrożenia nie zawsze pochodzą wyłącznie z zewnątrz ITU, z Internetu. Duża liczba strat, jak pokazują statystyki, wiąże się właśnie z incydentami bezpieczeństwa ze strony użytkowników wewnętrznych, od wewnątrz. Należy doprecyzować, że zapora sieciowa sprawdza jedynie ruch na granicach pomiędzy siecią wewnętrzną a Sieć internetowa. Jeśli ruch wykorzystujący luki w zabezpieczeniach nigdy nie przejdzie przez zaporę, wówczas zapora nie wykryje żadnych problemów
Zapora sieciowa Lub zapora sieciowa- kompleks sprzętu lub oprogramowanie, która kontroluje i filtruje osoby przez nią przechodzące pakiety sieciowe zgodnie z podanymi zasadami.Głównym celem zapory ogniowej jest ochrona sieć komputerowa lub poszczególnych węzłów przed nieautoryzowanym dostępem. Zapory sieciowe często nazywane są także filtrami, gdyż ich głównym zadaniem jest nieprzepuszczanie (filtrowanie) pakietów, które nie spełniają kryteriów zdefiniowanych w konfiguracji.
W zależności od zasięgu kontrolowanych przepływów danych zapory ogniowe dzielą się na:
sieć tradycyjna(Lub intersieć) ekran- program (lub jego integralna część system operacyjny) na bramce (serwerze przesyłającym ruch pomiędzy sieciami) lub na rozwiązaniu sprzętowym kontrolującym przepływ danych przychodzących i wychodzących pomiędzy połączonymi sieciami.
zapora osobista- program zainstalowany na komputer użytkownika i zaprojektowane tak, aby chronić wyłącznie ten komputer przed nieupoważnionym dostępem.
poziom sieci, gdy filtrowanie odbywa się w oparciu o adresy nadawcy i odbiorcy pakietów, numery portów warstwy transportowej modelu OSI oraz reguły statyczne określone przez administratora;
poziom sesji(znany również jako stanowy) - śledzenie sesji między aplikacjami, które nie pozwalają na przejście pakietów naruszających specyfikacje TCP/IP, często wykorzystywane w złośliwych operacjach - skanowanie zasobów, hakowanie poprzez nieprawidłowe implementacje protokołu TCP/IP, zrywane/wolne połączenia, wstrzykiwanie danych .
poziom aplikacji, filtrowanie na podstawie analizy danych aplikacji przesyłanych w pakiecie. Tego typu ekrany umożliwiają blokowanie przesyłania niechcianych i potencjalnie szkodliwych informacji w oparciu o zasady i ustawienia.
bezpaństwowiec(proste filtrowanie), które nie monitorują bieżących połączeń (np. TCP), ale filtrują strumień danych wyłącznie w oparciu o reguły statyczne;
stanowy,(filtrowanie kontekstowe), monitorowanie bieżących połączeń i przepuszczanie tylko tych pakietów, które spełniają logikę i algorytmy odpowiednich protokołów i aplikacji. Tego typu zapory sieciowe umożliwiają skuteczniejszą walkę różne rodzaje Ataki DoS i luki w zabezpieczeniach niektórych protokołów sieciowych. Dodatkowo zapewniają działanie protokołów takich jak H.323, SIP, FTP itp., które wykorzystują złożone obwody przesyłanie danych pomiędzy odbiorcami, trudne do opisania statycznymi regułami i często niezgodne ze standardowymi, bezpaństwowiec zapory ogniowe.
^ Zagrożenie od wewnątrz. Zagrożenia nie zawsze pochodzą wyłącznie z zewnątrz ITU, z Internetu. Duża liczba strat wiąże się właśnie z incydentami bezpieczeństwa po stronie użytkowników wewnętrznych (statystycznie aż 80% incydentów ma miejsce od wewnątrz). Należy doprecyzować, że zapora sieciowa patrzy jedynie na ruch na granicach pomiędzy siecią wewnętrzną a Internetem. Jeśli ruch wykorzystujący luki w zabezpieczeniach nigdy nie przejdzie przez zaporę, wówczas zapora nie wykryje żadnych problemów.
Tunele. Zapora filtruje ruch i podejmuje decyzje o dopuszczaniu lub blokowaniu pakietów sieciowych na podstawie informacji o używanym protokole. Ogólnie rzecz biorąc, zasady zapewniają odpowiednie testy w celu ustalenia, czy dany protokół jest dozwolony, czy nie. Na przykład, jeśli w ITU dozwolone są porty 25 i 80, wówczas ruch pocztowy (SMTP) i WWW (HTTP) może przechodzić do sieci wewnętrznej. Z tej zasady przetwarzania korzystają wykwalifikowani atakujący. Wszelka nieautoryzowana aktywność odbywa się w ramach dozwolonego protokołu, tworząc w ten sposób tunel, przez który atakujący przeprowadza atak. Najprostszym przykładem wykorzystania tuneli są robaki internetowe i makrowirusy wprowadzane do sieci firmowej w postaci załączników do wiadomości e-mail. Jeśli zapora sieciowa umożliwia przepływ ruchu SMTP (a nigdy nie widziałem zapory, która by tego nie robiła), wówczas do sieci wewnętrznej może przedostać się „infekcja wirusowa”.Powszechnym współczesnym atakiem ukrytym kanałem jest atak Lokiego. Atak ten wykorzystuje protokół ICMP do przesyłania danych, chociaż protokół ten nie został zaprojektowany do użycia w ten sposób, jego zadaniem jest jedynie wysyłanie komunikatów o stanie i błędach. Ale ktoś opracował specjalne narzędzie (Loki), które pozwala atakującemu zapisać dane bezpośrednio po nagłówku ICMP.
Umożliwia to atakującemu komunikację z innym systemem za pośrednictwem ukrytego kanału. Atak ten często kończy się sukcesem, ponieważ większość zapór sieciowych jest skonfigurowana tak, aby zezwalać na przychodzący i wychodzący ruch ICMP. To ukryty kanał, bo... wykorzystuje protokół do komunikacji, który nie został zaprojektowany do tego celu. Dokładna informacja na temat ataku Lokiego można znaleźć pod adresem http://xforce.iss.net/xforce/xfdb/1452.
Szyfrowanie. Bardzo często z ust wielu krajowych deweloperów VPN oznacza Słychać, że opracowane przez niego narzędzie do budowy wirtualnych sieci prywatnych może rozwiązać wiele problemów związanych z bezpieczeństwem. Twierdzą, że skoro chroniona sieć komunikuje się ze swoimi przeciwnikami (odległymi biurami, partnerami, klientami itp.) wyłącznie za pośrednictwem połączenia VPN, to żadna „infekcja” do niej nie przedostanie się. Jest to częściowo prawdą, ale tylko pod warunkiem, że przeciwnicy również nie będą się z nikim komunikować niezabezpieczonymi kanałami. A to już trudno sobie wyobrazić. A ponieważ większość organizacji używa szyfrowania do ochrony zewnętrznej połączenia sieciowe, zainteresowanie atakującego zostanie skierowane do tych miejsc w sieci, w których interesujące go informacje prawdopodobnie nie są bezpieczne, czyli do węzłów lub sieci, z którymi nawiązano zaufane relacje. I nawet jeśli między siecią chronioną zaporą sieciową z funkcjami VPN a siecią zaufaną zostaną utworzone połączenia VPN, atakujący będzie mógł przeprowadzić swoje ataki z taką samą skutecznością. Co więcej, skuteczność jego ataków będzie jeszcze wyższa, ponieważ wymogi bezpieczeństwa dla zaufane węzły i sieci są znacznie niższe niż wszystkie inne węzły. Osoba atakująca będzie mogła przedostać się do zaufanej sieci i dopiero stamtąd przeprowadzić nieautoryzowane działania przeciwko celowi swojego ataku.
^ Luki w zaporach ogniowych. Po zaatakowaniu firewalla i jego wyłączeniu napastnicy mogą spokojnie, bez obawy, że zostaną wykryci, realizować swoje przestępcze plany w odniesieniu do zasobów chronionej sieci. Na przykład od początku 2001 roku wykryto wiele luk we wdrażaniu różnych znanych zapór sieciowych.
^Zajmij się fałszowaniem- Jest to sposób na ukrycie prawdziwego adresu atakującego. Można go jednak również wykorzystać do ominięcia mechanizmów ochrony zapory ogniowej. Tak prosta metoda, jak zastąpienie adresu źródłowego pakietów sieciowych adresem z sieci chronionej, nie jest już w stanie oszukać nowoczesnych firewalli. Wszyscy korzystają różne drogi zabezpieczenie przed taką substytucją. Jednakże sama zasada podstawienia adresu pozostaje aktualna. Na przykład atakujący może zastąpić swój prawdziwy adres na adres węzła, który nawiązał zaufaną relację z zaatakowanym systemem i przeprowadził przeciwko niemu atak typu „odmowa usługi”.
Przykład na slajdzie
- Kategoria: Bez kategorii
Większość sieci korporacyjnych jest otoczona na całym obwodzie niedemokratycznymi zaporami sieciowymi, chroniącymi użytkowników wewnętrznych przed nimi samymi i odstraszającymi początkujących hakerów. Tymczasem dla doświadczonego hakera nawet wysokiej jakości i dobrze skonfigurowany firewall nie jest przeszkodą.
Zapora sieciowa (znana również jako zapora sieciowa) ogólnie to zbiór systemów zapewniających odpowiedni poziom kontroli dostępu, osiągany poprzez kontrolowanie przechodzącego ruchu według mniej lub bardziej elastycznego zestawu kryteriów (reguł zachowania). Krótko mówiąc, zapora sieciowa przepuszcza tylko tę część ruchu, która jest wyraźnie dozwolona przez administratora i blokuje całą resztę.
Na rynku dominują dwa typy zapór sieciowych – filtry pakietów, zwane także bramami filtrów pakietów, oraz serwery proxy aplikacji. Przykładem pierwszego typu jest Firewall firmy Check Point, a drugim Microsoft Proxy Server.
Filtry pakietów są całkowicie przejrzyste dla użytkowników i są bardzo wydajne, ale nie są wystarczająco niezawodne. W rzeczywistości są to rodzaj routera, który odbiera pakiety zarówno z zewnątrz, jak i wewnątrz sieci i decyduje, co z nimi zrobić - przekazać je dalej lub w razie potrzeby zniszczyć, powiadamiając nadawcę, że jego pakiet umarł. Większość firewalli tego typu działa na poziomie IP, a kompletność obsługi protokołu IP i jakość filtrowania pozostawiają wiele do życzenia, dlatego atakujący może je łatwo oszukać. Na komputerach domowych takie zapory ogniowe nadal mają sens, ale jeśli masz nawet zły router, tylko zwiększają koszt systemu, nie dając nic w zamian, ponieważ na routerze można ustawić te same reguły filtrowania pakietów!
Programowe serwery proxy to zwykłe serwery proxy, które nasłuchują na określonych portach (na przykład 25, 110, 80) i obsługują interakcję z wcześniej ustaloną listą usług sieciowych. W przeciwieństwie do filtrów, które przesyłają pakiety IP „takie, jakie są”, serwery proxy niezależnie zbierają pakiety TCP, przechwytują z nich dane użytkownika, umieszczają na nich nowy nagłówek i ponownie analizują odebrany pakiet na adres IP, dokonując w razie potrzeby translacji adresów. Jeśli zapora sieciowa nie będzie zawierała błędów, nie będzie już możliwości jej oszukać na poziomie sieci; dodatkowo ukrywa konstrukcję przed atakującym wewnętrzna sieć- na zewnątrz pozostaje tylko zapora sieciowa. Aby osiągnąć najwyższy poziom bezpieczeństwa, administrator może zorganizować zaporę sieciową dodatkowe procedury autoryzacje i uwierzytelnienia, „rzucając się” na wroga nawet na najdalszych liniach obrony. To były cnoty. Jeśli chodzi o wady, oprogramowanie proxy ogranicza użytkowników w wyborze aplikacji. Działają znacznie wolniej niż filtry pakietów i znacznie zmniejszają wydajność (szczególnie na szybkich kanałach).
Obydwa typy zapór sieciowych zazwyczaj zawierają mniej lub bardziej uproszczoną wersję systemu wykrywania intruzów (IDS), który analizuje charakter żądań sieciowych i identyfikuje potencjalnie niebezpieczne działania - dostęp do nieistniejących portów (typowy dla skanowania), pakiety z TTL wynoszący jeden (typowy dla śledzenia) itp. Wszystko to znacznie utrudnia atak, a haker musi działać bardzo ostrożnie, ponieważ każdy zły krok natychmiast go zdradzi. Jednak inteligencja zintegrowanych systemów rozpoznawania jest dość niska i większość szanujących się administratorów przenosi to zadanie na barki wyspecjalizowanych pakietów, takich jak Real Secure z Internet Security System.
W zależności od konfiguracji sieci, zapora sieciowa może być zainstalowana na dedykowanym komputerze lub może być udostępniana zasoby systemowe z kimś innym. Zapory osobiste, szeroko stosowane w Świat Windowsa, w zdecydowanej większości przypadków, są instalowane bezpośrednio na chronionym komputerze. Jeśli ten filtr pakietów zostanie zaimplementowany bez błędów, bezpieczeństwo systemu w ogóle nie ucierpi, a zaatakowanie go będzie równie trudne, jak w przypadku dedykowanej zapory ogniowej. Lokalne serwery proxy chronią komputer tylko przed niektórymi rodzajami ataków (na przykład blokują wysyłanie trojanów przez IE), pozostawiając system całkowicie otwarty. W systemach typu UNIX początkowo występuje filtr pakietów, a standardowy pakiet zawiera dużą liczbę różnych serwerów proxy, dzięki czemu nie ma potrzeby zakupu dodatkowego oprogramowania.
Przed czym chroni zapora sieciowa, a przed czym nie
Ogólnie rzecz biorąc, filtry pakietów pozwalają zamknąć wszystkie przychodzące/wychodzące porty TCP, całkowicie lub częściowo zablokować niektóre protokoły (na przykład ICMP), uniemożliwić połączenia z tymi adresami IP itp. Prawidłowo skonfigurowana sieć powinna składać się z co najmniej dwóch stref: wewnętrznej sieć korporacyjna(sieć korporacyjna), otoczona zaporą ogniową i obsadzona stacjami roboczymi, drukarki sieciowe, serwery intranetowe, serwery baz danych i inne zasoby tego typu; a także strefę zdemilitaryzowaną, w skrócie DMZ, w której zlokalizowane są publiczne serwery dostępne z Internetu. Zapora sieciowa skonfigurowana pod kątem najbardziej drakońskiego poziomu bezpieczeństwa powinna:
zamknąć wszystkie porty z wyjątkiem tych, które należą do społeczeństwa usługi sieciowe(HTTP, FTP, SMTP itp.);
pakiety przychodzące na dany port powinny być wysyłane do tych i tylko tych węzłów, na których zainstalowane są odpowiednie usługi (przykładowo, jeśli serwer WWW znajduje się w węźle A, a serwer FTP w węźle B, to pakiet kierowany na port 80 węzła B musi być blokowane przez zaporę ogniową);
blokować połączenia przychodzące z sieci zewnętrznej kierowane do sieci firmowej (jednak w tym przypadku użytkownicy sieci nie będą mogli pracować z zewnętrznymi serwerami FTP w tryb aktywny);
blokować połączenia wychodzące ze strefy DMZ kierowane do sieci wewnętrznej (z wyłączeniem serwerów FTP i DNS wymagających połączeń wychodzących);
blokować połączenia przychodzące ze strefy DMZ kierowane do sieci wewnętrznej (jeśli nie zostanie to zrobione, atakujący, który przejmie kontrolę nad jednym z serwerów publicznych, z łatwością przedostanie się do sieci korporacyjnej).
blokować połączenia przychodzące do strefy DMZ z sieci zewnętrznej poprzez protokoły usług często wykorzystywane do ataków (np. ICMP; jednak całkowite zablokowanie ICMP stwarza duże problemy, w szczególności ping przestaje działać i staje się niemożliwy) automatyczne wykrywanie najbardziej preferowany MTU);
blokować połączenia przychodzące/wychodzące do portów i/lub adresów IP sieci zewnętrznej określonych przez administratora.
Tak naprawdę rola firewalla sprowadza się do ochrony sieci korporacyjnej przed ciekawskimi osobami błąkającymi się po Internecie. Jednak siła tego ogrodzenia jest tylko pozorna. Jeśli klient sieci korporacyjnej korzysta z podatnej na ataki wersji przeglądarki lub klienta poczty e-mail (a większość oprogramowania jest podatna na ataki!), osoba atakująca musi jedynie zwabić go na stronę internetową zawierającą trojana lub wysłać mu wiadomość e-mail zawierającą wirusa i w krótkim czasie czas, w którym będzie to miało wpływ na sieć lokalną. Nawet jeśli połączenia wychodzące z sieci firmowej są zabronione, kod powłoki będzie mógł wykorzystać już nawiązane połączenie TCP, przez które został wysłany do zaatakowanego hosta, przekazując hakerowi kontrolę nad zdalnym systemem.
Sama zapora sieciowa może być celem ataku, ponieważ, jak każdy złożony program, nie jest pozbawiona dziur i luk. Dziury w firewallach odkrywane są niemal co roku i nie są od razu załatane (szczególnie jeśli firewall jest wdrożony na poziomie „sprzętowym”). To zabawne, ale zła zapora sieciowa nie tylko nie zwiększa, ale nawet pogarsza bezpieczeństwo systemu (dotyczy to przede wszystkim zapór osobistych, które są popularne w Ostatnio niezwykle wysoki).
Wykrywanie i identyfikacja zapory sieciowej
Kluczem do udanego ataku jest wczesne wykrycie i identyfikacja firewalla (lub ogólnie IDS, ale w kontekście tego artykułu założymy, że jest on połączony z firewallem).
Większość zapór sieciowych odrzuca pakiety, których wartość przekroczyła TTL (Time To Live), blokując w ten sposób śledzenie tras i ujawniając się. Niektóre routery robią to samo, jednak, jak wspomniano powyżej, nie ma zasadniczej różnicy między routerem a filtrem pakietów.
Śledzenie tras jest zwykle wykonywane przez narzędzie traceroute, które obsługuje śledzenie Protokoły ICMP i UDP, przy czym ICMP jest blokowany znacznie częściej. Po wybraniu węzła, o którym wiadomo, że jest chroniony zaporą ogniową (na przykład www.intel.ru), spróbujemy prześledzić trasę do niego za pomocą polecenia traciroute -I wwww.intel.ru.
$traceroute -I wwww.intel.ru
Prześledź trasę do bramkarza.glb.intel.com
1 1352 ms 150 ms 150 ms 62.183.0.180
2 140 ms 150 ms 140 ms 62.183.0.220
3 140 ms 140 ms 130 ms 217.106.16.52
4 200 ms 190 ms 191 ms aksai-bbn0-po2-2.rt-comm.ru
5 190 ms 211 ms 210 ms msk-bbn0-po1-3.rt-comm.ru
6 200 ms 190 ms 210 ms spb-bbn0-po8-1.rt-comm.ru
7 190 ms 180 ms 201 ms sztokholm-bgw0-po0-3-0-0.rt-comm.ru
8 180 ms 191 ms 190 ms POS4-0.GW7.STK3.ALTER.NET
9 190 ms 191 ms 190 ms 146.188.5.33
10 190 ms 190 ms 200 ms 146.188.11.230
11 311 ms 310 ms 311 ms 146.188.5.197
12 291 ms 310 ms 301 ms so-0-0-0.IL1.DCA6.ALTER.NET
13 381 ms 370 ms 371 ms 152.63.1.137
14 371 ms 450 ms 451 ms 152.63.107.150
15 381 ms 451 ms 450 ms 152.63.107.105
16 370 ms 461 ms 451 ms 152.63.106.33
17 361 ms 380 ms 371 ms 157.130.180.186
18 370 ms 381 ms 441 ms 192.198.138.68
19 * * * Przekroczono limit czasu żądania.
20 * * * Przekroczono limit czasu dla żądania.
Spójrz: ślad trafia do hosta 192.198.138.68, a następnie umiera, wskazując albo zaporę sieciową, albo fałszywy router. Nieco później pokażemy, jak możesz go przeniknąć, ale na razie wybierzemy inny węzeł do śledzenia, na przykład www.zenon.ru
$traceroute -I www.zenon.ru
Śledź trasę do distributed.zenon.net
z maksymalną liczbą skoków 30:
1 2444 ms 1632 ms 1642 ms 62.183.0.180
2 1923 ms 1632 ms 1823 ms 62.183.0.220
3 1632 ms 1603 ms 1852 ms 217.106.16.52
4 1693 ms 1532 ms 1302 ms aksai-bbn0-po2-2.rt-comm.ru
5 1642 ms 1603 ms 1642 ms 217.106.7.93
6 1562 ms 1853 ms 1762 ms msk-bgw1-ge0-3-0-0.rt-comm.ru
7 1462 ms 411 ms 180 ms mow-b1-pos1-2.telia.net
8 170 ms 180 ms 160 ms mow-b2-geth2-0.telia.net
9 160 ms 160 ms 170 ms 213.248.78.178
10 160 ms 151 ms 180 ms 62.113.112.67
11 181 ms 160 ms 170 ms css-rus2.zenon.net
Śledzenie zostało zakończone.
Tym razem śledzenie przebiega prawidłowo. Okazuje się, że wokół zenon nie ma firewalla? Być może tak jest, ale potrzebujemy pewnej odpowiedzi Dodatkowe informacje. Host 195.2.91.193 należy do sieci klasy C (trzy najważniejsze bity adresu IP to 110) i jeśli sieć nie jest chroniona zaporą sieciową, większość jej hostów powinna odpowiedzieć na polecenie ping, czyli w tym przypadku i to się dzieje. Skan ujawnia 65 otwarte adresy. Dlatego albo routera tu nie ma, albo z łatwością przechodzi nasz ping.
Jeśli chcesz, możesz spróbować przeskanować porty, jednak po pierwsze, obecność otwartych portów nic nie oznacza (być może zapora blokuje tylko jeden port, ale ten najbardziej potrzebny, np. chroni nieszczelny RPC przed atakami z zewnątrz ), a po drugie, podczas skanowania hakerowi trudno będzie pozostać niezauważonym. Z drugiej strony porty są skanowane przez wszystkich, a administratorzy już dawno nie zwracali na to uwagi.
Narzędzie nmap umożliwia wykrycie niektórych zapór ogniowych poprzez ustawienie statusu portu na „zapora sieciowa”. Dzieje się tak za każdym razem, gdy w odpowiedzi na sygnał SYN zdalny host zwraca pakiet ICMP typu 3 z kodem 13 (filtr zabroniony przez administratora) z prawidłowym adresem IP zapory sieciowej w nagłówku (nmap go nie wyświetla; napisz własny skaner lub używając dowolny sniffer, zrób to sam i przeanalizuj zwrócony pakiet). Jeśli komunikat SYN/ACK powróci, skanowany port jest otwarty. RST/ACK wskazuje port, który jest zamknięty lub blokowany przez zaporę ogniową. Nie wszystkie zapory generują RST/ACK podczas próby połączenia z zablokowanymi portami (tak robi zapora Check Point), niektóre wysyłają komunikat ICMP, jak pokazano powyżej, lub nie wysyłają wcale.
Większość zapór sieciowych obsługuje pilot przez Internet, otwierając jeden lub więcej portów TCP unikalnych dla każdej zapory. Na przykład zapora Check Point otwiera porty 256, 257 i 258, a Microsoft Proxy otwiera port 1080. Niektóre zapory sieciowe jawnie komunikują swoją nazwę i wersję Produkt oprogramowania podczas łączenia się z nimi przez netcat (lub telnet) serwery proxy są szczególnie winne tego. Odpytując sekwencyjnie wszystkie węzły znajdujące się przed badanym hostem pod kątem nasłuchiwania na portach charakterystycznych dla firewalli, w większości przypadków możemy nie tylko wykryć ich obecność, ale także określić adres IP! Oczywiście porty te można zamknąć zarówno na samej zaporze (choć nie wszystkie zapory na to pozwalają), jak i na poprzedzającym ją routerze (ale wtedy zaporą nie będzie można zarządzać przez Internet).
Skanuj i śledź przez zaporę sieciową
Bezpośrednie śledzenie przez zaporę sieciową najczęściej okazuje się niemożliwe (co za administrator lubi ujawniać intymne szczegóły topologii swoich sieci), a atakujący musi uciekać się do najróżniejszych trików.
Narzędzie Firewalk to klasyczny moduł śledzący, który wysyła pakiety TCP lub UDP, tak że na hoście bezpośrednio za zaporą ich TTL wynosi zero, co powoduje, że system wygeneruje komunikat ICMP_TIME_EXCEEDED. Dzięki temu Firewalk działa niezawodnie nawet wszędzie regularne środki nie dają sobie już rady, choć oczywiście nie jest w stanie przedostać się przez szczelnie chroniony firewall i atakujący musi skorzystać z bardziej zaawansowanych algorytmów.
Zakładamy, że z każdym wysłanym pakietem IP system zwiększa swój identyfikator o jeden (co zdarza się najczęściej). Z drugiej strony, zgodnie ze specyfikacją RFC-793, która opisuje protokół TCP, każdy host, który odbierze obcy pakiet niezwiązany z nawiązanymi połączeniami TCP, musi odpowiedzieć na niego za pomocą RST. Aby przeprowadzić atak, potrzebujemy zdalnego węzła, który nie przetwarza ten moment brak obcego ruchu i generowanie przewidywalnej sekwencji identyfikacyjnej. W kręgach hakerskich taki węzeł nazywany jest głupim węzłem (zrzutem). Wykrycie głupiego hosta jest bardzo proste - wystarczy wysłać do niego serię pakietów IP i przeanalizować identyfikator zwrócony w nagłówkach. Zapamiętajmy (zapiszmy to na kartce papieru) dowód osobisty ostatnia paczka. Następnie wybieramy ofiarę i wysyłamy do niej pakiet SYN, podając w adresie zwrotnym adres IP cichego węzła. Zaatakowany host, myśląc, że głupi host chce nawiązać z nim połączenie TCP, odpowie: SYN/ACK. Głupi host, który przechwycił obcy sygnał SYN/ACK, zwróci RST, zwiększając swój licznik ID o jeden. Wysyłając kolejny pakiet IP do głupiego hosta i analizując zwrócony identyfikator, możemy dowiedzieć się, czy głupi host wysłał do ofiary pakiet RST, czy nie. Jeśli zostanie wysłany, oznacza to, że zaatakowany host jest aktywny i potwierdza nawiązanie połączenia TCP z określonym portem. W razie potrzeby haker może przeskanować wszystkie interesujące go porty bez ryzyka wykrycia, ponieważ obliczenie jego adresu IP jest prawie niemożliwe - skanowanie odbywa się „rękami” cichego węzła i z punktu widzenia zaatakowanego wygląda jak zwykły skan SYN.
Załóżmy, że głupi host znajduje się w strefie DMZ, a ofiara w sieci korporacyjnej. Następnie wysyłając w imieniu ofiary pakiet SYN do cichego hosta, będziemy mogli przedostać się przez zaporę ogniową, ponieważ będzie ona myślała, że łączy się z nią host wewnętrzny, a połączenia tego typu są dozwolone w 99,9% przypadków przypadkach (w przypadku odmowy użytkownicy sieci korporacyjnej nie będą mogli pracować z własnymi serwery publiczne). Oczywiście wszystkie routery na drodze od hakera do głupiego hosta nie mogą blokować pakietu ze sfałszowanym adresem zwrotnym, w przeciwnym razie pakiet umrze na długo przed dotarciem do miejsca przeznaczenia.
Narzędzie hping implementuje tego typu skrypt skanujący, co czyni go głównym narzędziem atakującego do eksploracji sieci korporacyjnych chronionych zaporą ogniową.
Alternatywnie haker może przejąć jeden z węzłów znajdujących się w strefie DMZ i wykorzystać go jako odskocznię do dalszych ataków.
Penetracja zapory ogniowej
Tylko najwyższej jakości zapory ogniowe obsługują ponowne składanie pofragmentowanych pakietów TCP, podczas gdy wszystkie inne analizują tylko pierwszy fragment, swobodnie pomijając całą resztę. Wysyłając bardzo pofragmentowany pakiet TCP, „rozkładając” nagłówek TCP na kilka pakietów IP, haker ukryje numer potwierdzenia przed zaporą sieciową i nie będzie w stanie określić, czy pakiet TCP należy do odpowiedniej sesji TCP (być może należy do legalnego połączenia nawiązanego przez użytkownika korporacyjnego). O ile w zaporze sieciowej nie jest włączona opcja „wytnij pofragmentowane pakiety”, powodzenie operacji hakerskiej jest gwarantowane. Blokowanie pofragmentowanych pakietów stwarza wiele problemów i zapobiega normalna operacja sieci. Teoretycznie możliwe jest blokowanie tylko pakietów z pofragmentowanym nagłówkiem TCP, jednak nie każdy firewall obsługuje tak elastyczną politykę konfiguracyjną. Ten rodzaj ataku, zwany atakiem Tiny Fragment, charakteryzuje się niezwykle silną penetracją i dlatego jest ulubioną techniką wszystkich hakerów.
Ataki wykorzystujące routing wewnętrzny (znany również jako routing źródłowy) są znacznie mniej istotne, ale nadal je rozważymy. Jak wiadomo, protokół IP umożliwia dołączenie do pakietu informacji o routingu. Podczas wysyłania pakietu IP do ofiary narzucony przez hakera routing jest najczęściej ignorowany, a trajektoria pakietu jest wyznaczana wyłącznie przez routery pośrednie, natomiast pakiety odpowiedzi zwracane są przeciwną trasą określoną w nagłówku IP, co tworzy sprzyjające warunki do jego fałszowania. Bardziej uproszczona wersja ataku ogranicza się po prostu do fałszowania adresu IP nadawcy. Prawidłowo skonfigurowane routery (i większość klonów UNIX) blokują pakiety kierowane wewnętrznie. Pakietów ze sfałszowanymi adresami IP jest kilka wielki problem jednak wysokiej jakości zapora ogniowa również może je odfiltrować.
Tabele routingu można dynamicznie zmieniać, wysyłając komunikat przekierowania ICMP, zezwalając co najmniej teoretycznie) w celu kierowania ruchu hakerskiego z pominięciem zapory ogniowej (patrz także fałszowanie ARP), jednak obecnie tak beznadziejnie bezpieczne systemy praktycznie już nie występują.
Ucieknij zza firewalla
Użytkownicy sieci wewnętrznej chronionej przez niedemokratyczną zaporę sieciową mają poważnie ograniczone możliwości. Mówiliśmy już o niemożności pracy z serwerami FTP w trybie aktywnym. Niektóre protokoły mogą być również zabronione, a potrzebne porty mogą być zamknięte. W przypadkach klinicznych administratorzy prowadzą czarne listy adresów IP, blokując dostęp do stron o „nieodpowiedniej” tematyce.
Ponieważ firewalle mają chronić od zewnątrz, a nie od wewnątrz, bardzo łatwo jest wyrwać się zza ich ścian, wystarczy skorzystać z dowolnego odpowiedniego serwera proxy znajdującego się w sieci zewnętrznej i nie znajdującego się jeszcze na czarnej liście administratora. W szczególności, popularny klient ICQ umożliwia wymianę wiadomości nie bezpośrednio, ale poprzez serwer (niekoniecznie serwer firmy deweloperskiej). Obsługiwane są tysiące serwerów Praca ICQ. Niektóre istnieją w mniej więcej niezmienionej formie od kilku lat, inne dynamicznie pojawiają się i znikają. A jeśli nadal można umieścić „długie wątroby” na liście stopów, administrator po prostu nie jest w stanie śledzić serwerów jednodniowych!
Można także skorzystać z protokołu SSH ( Bezpieczna powłoka), pierwotnie zaprojektowany do pracy przez zaporę sieciową i obsługiwania szyfrowania ruchu (na wypadek, gdyby zapora zdecydowała się szukać „zakazanych” słów, takich jak „seks”, „hack” itp.). Protokół SSH może pracować na dowolnym dostępnym porcie np. 80 i wtedy z punktu widzenia firewalla wszystko będzie wyglądało jak legalna praca z serwerem WWW. Tymczasem SSH jest jedynie podstawą dla innych protokołów, z których przede wszystkim chciałbym wspomnieć o telnecie, który umożliwia interakcję z zdalne terminale. Płacąc około 20 dolarów za hosting u dowolnego dostawcy, otrzymasz konto obsługujące SSH i umożliwiające nawiązywanie połączeń z innymi węzłami sieci ( darmowy hosting możliwości tej najczęściej się pozbawia lub nakłada się na nią surowe ograniczenia).
Wreszcie możesz korzystać z telefonii komórkowej, bezpośrednich połączeń modemowych i innych narzędzi komunikacyjnych, które nawiązują połączenie z Twoim dostawcą, omijając zaporę ogniową.
Wniosek
Technologie budowy zapór sieciowych nie stoją w miejscu, a specjaliści ds bezpieczeństwo informacji nie śpij. Hakowanie staje się z dnia na dzień coraz trudniejsze, ale nigdy nie zniknie całkowicie. W końcu zatkane dziury są zastępowane innymi. Najważniejsze to nie siedzieć bezczynnie, ale kreatywnie eksperymentować z zaporami ogniowymi, studiować standardy i specyfikacje, przeglądać listy dezasemblerów i szukać, szukać, szukać...
Popularny skaner portów umożliwiający wykrycie niektórych typów zapór sieciowych. Bezpłatny. Dostępne są teksty źródłowe. Na stronie internetowej http://www.insecure.org/nmap sea Specyfikacja na problemie.
Ognisty Spacer
Narzędzie do śledzenia sieci przez zaporę ogniową, działające na protokołach TCP/UDP i oparte na TTL. Bezpłatny. http://www.packetfactory.net/firewalk. Przed użyciem zaleca się zapoznanie z dokumentacją http://www.packetfactory.net/firewalk/firewalk-final.pdf.
HPING
Narzędzie, które implementuje skanowanie przez głupi host. Potężna broń do eksploracji sieci wewnętrznej za zaporą ogniową. Bezpłatny i dobrze udokumentowany. http://www.hping.org/papers.html.
Klient SSH
Klient Secure Shell używany przez użytkowników sieci wewnętrznej do przezwyciężania ograniczeń i ograniczeń zapory ogniowej. Bezpłatny. Rozpowszechniany z kodem źródłowym. http://www.openssh.com.
Często zadawane pytania
Szczegółowe pytania dotyczące zapór sieciowych w języku angielskim. www.interhack.net/pubs/fwfaq/firewalls-faq.pdf. Jego rosyjskie tłumaczenie, które nie jest szczególnie świeże, można znaleźć pod adresem ln.com.ua/~openxs/articles/fwfaq.html.
Zapory ogniowe
Notatki z wykładów na temat zapór sieciowych (w języku angielskim) prowadzone przez tajwańskiego profesora Yeali S. Sun. http://www.im.ntu.edu.tw/~sunny/pdf/IS/Firewall.pdf
Otwarta sieć
Ogromny portal poświęcony bezpieczeństwu sieci, zawierający informacje o dziurach w popularnych zaporach sieciowych (w języku rosyjskim i Języki angielskie). http://www.opennet.ru
Zapory ogniowe są podatne duża liczba Ataki DoS, takie jak echostorm czy SYN Flood, którym w zasadzie nie są w stanie się oprzeć.
Zapora sieciowa to router, serwer proxy i system wykrywania włamań w jednym.
Firewalle nie chronią przed atakami, one jedynie chronią lokalna sieć ceglany płot, po którym łatwo przejść.
W większości przypadków można przedostać się przez ceglaną ścianę zapory ogniowej, zawijając przesyłane dane w nagłówku ICMP, aby przedostać się przez tunel ICMP.
Zapora sieciowa może zostać zaatakowana nie tylko z zewnątrz, ale także z wnętrza sieci firmowej.
Różne zapory sieciowe w różny sposób reagują na niestandardowe pakiety TCP, umożliwiając im identyfikację.
Zapory sieciowe otwierające port 53 ( Usługa DNS) nie tylko u odbiorcy (np. Check Point Firewall), ale także u źródła, pozwalają hakerowi przeskanować całą sieć wewnętrzną.
Luka w zabezpieczeniach oprogramowania proxy jest ogólnie niska i są one atakowane głównie poprzez błędy przepełnienia bufora.
Niektóre zapory ogniowe są podatne na nieautoryzowane przeglądanie plików na porcie 8010 i żądania takie jak http://www.host.com::8010/c:/ lub http://www.host.com::8010//.
Wymagana usługa DCOM szeroki zasięg otwarte porty, co znacząco obniża stopień bezpieczeństwa systemu, sprawiając, że stosowanie firewalla staje się bezsensowne.
4.13.2. Obejście zapory ogniowej
Zapora sieciowa nie może zapewnić całkowitego bezpieczeństwa, ponieważ jej algorytm działania jest niedoskonały. W naszym świecie nie ma nic bezbłędnego, stuprocentowo niezawodnego, inaczej życie byłoby nudne i nieciekawe.
W jaki sposób zapora sieciowa chroni Twój komputer lub serwer? Wszystko opiera się na pewnych zasadach, według których ekran sprawdza wszystko, co przechodzi Interfejs sieciowy ruchu drogowego i podejmuje decyzję o możliwości jego przejechania. Ale nie ma innego filtra niż bezwzględny zakaz, który mógłby zapewnić bezpieczeństwo i nie ma reguły, której nie da się obejść.
Bardzo łatwo jest wdrożyć atak DoS na większość zapór sieciowych. Kiedy przyjrzeliśmy się technologii tego ataku ( Patrz sekcja 1.1.6), to potem powiedzieli, że da się to łatwo zorganizować w dwóch przypadkach:
1. Siła twojego kanału jest większa niż wroga.
2. Na serwerze znajduje się zadanie wymagające dużych zasobów komputera i istnieje możliwość jego wykonania.
Zapora ogniowa to złożony system oprogramowania, który wymaga znacznych możliwości technicznych do analizy całego przechodzącego ruchu, którego większość jest wydawana na pakiety z ustawioną flagą syn, tj. na żądanie połączenia. Parametry każdego takiego pakietu należy porównać ze wszystkimi ustalonymi regułami.
Jednocześnie do wysyłania pakietów syn nie są potrzebne duże zasoby i potężny kanał. Haker może łatwo zalać dozwolony port serwera pakietami Sun, w których adres nadawcy jest losowo zastępowany. Procesor zaatakowanej maszyny może nie być w stanie obsłużyć dużego przepływu żądań, które należy sprawdzić pod kątem filtrów, w związku z czym utworzy się kolejka, która nie pozwoli na przetwarzanie połączeń od szanowanych użytkowników.
Najgorsze jest to, że zapora sieciowa jest skonfigurowana do wysyłania komunikatów o błędach. W tym przypadku obciążenie procesora wzrasta w wyniku tworzenia i wysyłania pakietów na adresy, które nie istnieją lub nie należą do hakera.
Jeśli klient prześle zbyt dużo danych, których nie da się zmieścić w jednym pakiecie, wówczas informacja jest dzielona na kilka bloków. Proces ten nazywany jest fragmentacją pakietów. Większość zapór sieciowych analizuje tylko pierwsze bloki w sesji, a całą resztę uważa za prawidłową. Logika takiej kontroli jest jasna: jeśli pierwszy pakiet jest poprawny, to po co sprawdzać je wszystkie i marnować na nie cenne zasoby serwera? W przeciwnym razie pozostałe będą bezużyteczne, ponieważ połączenie nie zostanie nawiązane i integralność informacji zostanie naruszona.
Aby mieć pewność, że zapora ogniowa umożliwi przejście danych hakera, pakiety można fragmentować w specjalny sposób. Możesz uchronić się przed takim atakiem tylko wtedy, gdy Zapora sieciowa automatycznie ponownie złoży pofragmentowane pakiety i wyświetli je w postaci złożonej. Większość zapór sieciowych nie ma tej funkcji.
Zapora sieciowa bardzo często staje się celem ataku i nie jest faktem, że próba ta nie zakończy się sukcesem. Jeśli atakującemu uda się przejąć zaporę sieciową, sieć stanie się otwarta w pełnym widoku. W takim przypadku tylko osobiste zapory ogniowe na każdym komputerze mogą uchronić Cię przed całkowitą porażką. W praktyce polityka bezpieczeństwa dot komputer osobisty nie tak rygorystyczne, ale mogą być wystarczające, aby zapobiec dalszej penetracji hakera do sieci.
Atak na zaporę ogniową nie jest zależny od jej implementacji. Błędy występują zarówno w systemie operacyjnym Linux, jak i na urządzeniach routingowych z możliwością filtrowania.
Głównym zadaniem, jakie rozwiązuje zapora ogniowa, jest odmowa dostępu do oczywiście prywatnych zasobów. Ale istnieją otwarte zasoby. Na przykład, jeśli konieczne jest, aby serwer WWW był dostępny dla użytkowników Internetu, wówczas zapora sieciowa nie będzie w stanie zabezpieczyć się przed włamaniem poprzez błędy w skryptach na serwerze WWW.
Maksymalne bezpieczeństwo wiąże się z pewnymi niedogodnościami. Powiedziałem już, że najlepiej zabronić wszelkich prób łączenia się z zewnątrz. Połączenie można nawiązać tylko z inicjatywy klienta w Twojej sieci, ale nie komputer zdalny. W takim przypadku haker pozostanie w tyle, ale problemy mogą mieć również użytkownicy sieci, na przykład podczas próby połączenia się z serwerem FTP w trybie aktywnym. Wiemy już, że usługa ta działa na dwóch portach: ftp i ftp-data (ftpd). Użytkownik łączy się z portem FTP serwera, a kiedy żądasz odebrania pliku, serwer sam inicjuje połączenie z klientem, a zapora na to nie pozwoli. W przypadku usługi FTP rozwiązaliśmy ten problem, dodając możliwość pracy tryb pasywny, ale w innych programach (na przykład na czatach) pytanie pozostaje otwarte.
Haker może nawiązać połączenie z bezpieczną siecią poprzez tunel włączony otwarty port i z ważnym adresem w sieci. Nie ma od tego ucieczki, bo przynajmniej na coś trzeba pozwolić.
Duże firmy mogą mieć kilka serwerów w tej samej sieci. Widziałem tylko w przedsiębiorstwie wodociągowym i na filmach, jak administratorzy pracują za kilkoma monitorami i klawiaturami jednocześnie, aby zarządzać każdym z nich. W prawdziwe życie Tacy specjaliści są zbyt leniwi, a monotonna praca jest męcząca, dlatego siedzą tylko przy jednym komputerze i korzystają z połączenia zdalnego, aby połączyć się z serwerem.
W 1999 roku napisałem artykuł „Zapora ogniowa nie jest panaceum”, w którym omówiłem różne niedociągnięcia nieodłącznie związane z technologią stosowaną w zaporach ogniowych (zaporach sieciowych). Miałem nadzieję, że krajowi dostawcy, a zwłaszcza deweloperzy, przestaną oszukiwać klientów, twierdząc, że ich firewall jest panaceum na wszelkie bolączki i rozwiąże wszystkie problemy klienta, zapewniając niezawodną ochronę wszystkich zasobów sieci korporacyjnej. Tak się jednak nie stało i chcę jeszcze raz wrócić do tego tematu. Co więcej, jak pokazuje moje doświadczenie w prowadzeniu wykładów na temat bezpieczeństwa informacji, zagadnienie to cieszy się dużym zainteresowaniem specjalistów, którzy już korzystają z firewalli w swoich organizacjach.
Jest wiele problemów, o których chciałbym porozmawiać i które można zilustrować na przykładzie. Zapora ogniowa to po prostu ogrodzenie wokół Twojej sieci. Może być bardzo wysoki lub bardzo gruby, tak że można się po nim wspiąć lub zrobić w nim dziurę. Ale... to ogrodzenie nie jest w stanie wykryć, kiedy ktoś kopie pod nim tunel lub próbuje przejść po moście przerzuconym przez płot. ITU po prostu ogranicza dostęp do niektórych punktów poza płotem.
Ludzie popełniają błędy
Jak wiadomo, zapory ogniowe, podobnie jak inne środki bezpieczeństwa, są konfigurowane przez ludzi. A ludzie mają tendencję do popełniania błędów, nawet specjaliści ds. bezpieczeństwa informacji. Właśnie ten fakt wykorzystuje wielu napastników. Wystarczy znaleźć choć jedną słabość w ustawieniach firewalla i to wszystko, możemy założyć, że „to twój problem”. Potwierdzają to różne badania. Na przykład statystyki zebrane w 1999 r. przez stowarzyszenie ICSA (http://www.icsa.net) pokazują, że aż 70% wszystkich zapór sieciowych jest podatnych na ataki z powodu nieprawidłowa konfiguracja i ustawienia. Nie chcę mówić o niekompetencji czy niskich kwalifikacjach administratora ITU (choć te powody wcale nie są rzadkie) – opiszę inny przykład. Zaraz po studiach trafiłem do działu automatyki dużej firmy. Ochrona internetowa zapewniał firewall, nad którym czuwał administrator działu bezpieczeństwa informacji. Nie raz miałem do czynienia z sytuacją, gdy znajomi z innych działów firmy zgłaszali się do tego administratora i prosili o tymczasowe zezwolenie im na dostęp do serwerów z zabawkami. Kiedyś byłem świadkiem szokującego zdarzenia. Kierownik wydziału współpracy z partnerami zwrócił się do administratora ITU i zażądał udostępnienia mu jednego z zasobów Internetu. W odpowiedzi, że to niemożliwe, szef zagroził administratorowi „szczęśliwym życiem”, po czym ten musiał zastosować się do polecenia i zmienić ustawienia zapory sieciowej. Najbardziej zaskakujące jest to, że sytuacja nie poprawia się z biegiem czasu. Niedawno przeprowadziliśmy ankietę w jednej z organizacji i zastaliśmy tam dokładnie taką samą sytuację. Zapora sieciowa umożliwiała dostęp poprzez protokoły ICQ, RealAudio itp. Zaczęli się dowiadywać – okazało się, że zrobiono to na prośbę pracownika jednego z działów, z którym administrator nawiązał przyjacielskie stosunki.
„Normalni bohaterowie zawsze wybierają okrężną drogę”
Fragment piosenki z filmu dla dzieci „Aibolit-69” doskonale ilustruje następujący problem nieodłącznie związany z firewallami. Po co próbować uzyskać dostęp do chronionych zasobów za pomocą środków bezpieczeństwa, skoro można je ominąć? Można to zilustrować przykładem z pokrewnej dziedziny. W środę 21 lutego 1990 roku do pracy przyszła Mary Pierham, analityk budżetowy w amerykańskiej firmie. Nie mogła jednak wejść do swojego miejsca pracy nawet po wpisaniu czterocyfrowego kodu i wpisaniu hasła do systemu kontroli dostępu. Chcąc jeszcze zabrać się do pracy, Mary obeszła budynek i otworzyła tylne drzwi za pomocą pilnika do paznokci i plastikowego grzebienia. Najnowszy system bezpieczeństwa, który ominęła Mary Pierham, był reklamowany jako „bezpieczny i niezawodny” i kosztował dziesiątki tysięcy dolarów. Podobnie w przypadku zapór sieciowych, jedynie modem może służyć jako tylne drzwi. Czy wiesz, ile modemów jest zainstalowanych w Twojej sieci i do czego służą? Nie odpowiadaj od razu twierdząco, przemyśl to. Podczas sprawdzania jednej sieci szefowie działów bezpieczeństwa informacji i automatyzacji rozdarli koszule, twierdząc, że znają każdy modem zainstalowany w ich sieci. Po uruchomieniu systemu analizy bezpieczeństwa Internet Scanner rzeczywiście odkryliśmy, że wskazane przez niego modemy były wykorzystywane do aktualizacji baz danych systemów księgowych i prawnych. Jednak odkryto również dwa nieznane modemy. Jeden był używany przez pracownika działu analitycznego, aby uzyskać dostęp do katalogów roboczych z domu. Drugi modem służył do uzyskiwania dostępu do Internetu z pominięciem zapory sieciowej.