- •Введение
- •1 Анализ основных типов мэ и способов их применения
- •1.1 Типы межсетевых экранов
- •1.1.1 Фильтры пакетов
- •1.1.2 Фильтры пакетов с контекстной проверкой
- •1.1.3 Сервер уровня соединения
- •1.1.4 Серверы прикладного уровня
- •1.2 Способы применения межсетевых экранов
- •1.Стандартные схемы защиты отдельной локальной сети.
- •1.2.1 Стандартные схемы защиты отдельной локальной сети
- •1.2.2 Применение в составе средств коллективной защиты
- •1.3 Персональные межсетевые экраны
- •1.4 Обобщенная концепция применения межсетевых экранов
- •1.5 Обзор персональных межсетевых экранов, доступных на рынке
- •2 Классификация уязвимостей сетевых экранов, создающих предпосылки их компрометации
- •2.1 Уязвимости сетевых протоколов
- •2.1.1 Снифферы пакетов
- •2.1.2 Уязвимость маршрутизации от источника
- •2.1.4 Атаки типа “отказ в обслуживании”
- •2.1.5 Атаки syn flood
- •2.1.6 Атака Smurf
- •2.1.7 Атака Tribe Flood Network
- •2.1.8 Атака WinFreeze.
- •2.1.9 Атака Loki.
- •2.1.10 Arp атаки
- •2.1.11 Фрагментация
- •2.2 Уязвимости операционных систем
- •2.2.1 Получение прав другого пользователя
- •2.2.2 Нелегальное подключение к системе
- •2.2.3 Человеческий фактор
- •2.2.4 Совместимость с другими операционными системами
- •2.2.5 Парольные атаки
- •2.2.6 Вирусы и приложения типа "троянский конь"
- •2.3 Уязвимости программной реализации сетевых экранов
- •2.3.1 Атаки через туннели в межсетевом экране
- •2.3.2 Атаки вследствие неправильной конфигурации межсетевого экрана
- •2.3.3 Атаки осуществляемые в обход межсетевого экрана
- •2.3.4 Атаки осуществляемые из доверенных узлов и сетей
- •2.3.5 Атаки путем подмены адреса источника
- •2.3.6 Атаки на сам межсетевой экран
- •2.3.7 Атаки на подсистему аутентификации межсетевого экрана
- •2.4 Выводы
- •3 Исследование архитектуры и функционирования мэ на примере предложенного по
- •3.1 Исследование механизмов взаимодействия средств сетевой безопасности с операционной системой
- •3.1.1 Подходы к организации фильтрования трафика в ос Windows
- •3.3 Выводы
- •4 Разработка алгоритмов для проверки уязвимостей средств сетевой безопасности
- •4.1 Обобщённый алгоритм воздействия на средства сетевой безопасности
- •4.3.2.1 Инвентаризация Windows nt/2000/xp
- •4.3.2.3 Инвентаризация unix
- •4.3.3 Проникновение в сеть и захват контроля над хостом
- •4.3.3.1 Взлом хоста с ос Windows
- •4.3.3.2 Взлом хоста с ос Unix
- •4.4 Разработка алгоритмов воздействия на средства сетевой защиты изнутри защищенной сети
- •4.4.1 «Инъекции» кода
- •4.4.2 Использование виртуальной машины
- •4.4.3 Использование уязвимостей ActiveX
- •4.5 Разработка алгоритмов, основанных на уязвимостях механизма взаимодействия средств сетевой безопасности с операционной системой
- •4.6 Разработка алгоритмов установления соединения с компьютером, защищенным межсетевым экраном, персональным сетевым экраном и несколькими сетевыми экранами
- •4.6.1 Http-тунелирование
- •4.6.2 Icmp-тунелирование
- •4.6.4 Pcap-тунелирование
- •4.7 Выводы
содержание
Введение 3
1 Анализ основных типов МЭ и способов их применения 4
1.1 Типы межсетевых экранов 4
1.1.1 Фильтры пакетов 4
1.1.2 Фильтры пакетов с контекстной проверкой 5
1.1.3 Сервер уровня соединения 5
1.1.4 Серверы прикладного уровня 6
1.2 Способы применения межсетевых экранов 7
1.2.1 Стандартные схемы защиты отдельной локальной сети 8
1.2.2 Применение в составе средств коллективной защиты 8
1.3 Персональные межсетевые экраны 9
1.4 Обобщенная концепция применения межсетевых экранов 11
1.5 Обзор персональных межсетевых экранов, доступных на рынке 13
2 Классификация уязвимостей сетевых экранов, создающих предпосылки их компрометации 16
2.1 Уязвимости сетевых протоколов 16
2.1.1 Снифферы пакетов 16
2.1.2 Уязвимость маршрутизации от источника 17
2.1.3 IP-спуфинг 17
2.1.4 Атаки типа “отказ в обслуживании” 17
2.1.5 Атаки SYN flood 18
2.1.6 Атака Smurf 19
2.1.7 Атака Tribe Flood Network 19
2.1.8 Атака WinFreeze. 20
2.1.9 Атака Loki. 20
2.1.10 ARP атаки 21
2.1.11 Фрагментация 21
2.2 Уязвимости операционных систем 22
2.2.1 Получение прав другого пользователя 22
2.2.2 Нелегальное подключение к системе 23
2.2.3 Человеческий фактор 24
2.2.4 Совместимость с другими операционными системами 24
2.2.5 Парольные атаки 24
2.2.6 Вирусы и приложения типа "троянский конь" 24
2.3 Уязвимости программной реализации сетевых экранов 26
2.3.1 Атаки через туннели в межсетевом экране 26
2.3.2 Атаки вследствие неправильной конфигурации межсетевого экрана 27
2.3.3 Атаки осуществляемые в обход межсетевого экрана 28
2.3.4 Атаки осуществляемые из доверенных узлов и сетей 28
2.3.5 Атаки путем подмены адреса источника 29
2.3.6 Атаки на сам межсетевой экран 29
2.3.7 Атаки на подсистему аутентификации межсетевого экрана 29
2.4 Выводы 30
3 Исследование архитектуры и функционирования МЭ на примере предложенного ПО 32
3.1 Исследование механизмов взаимодействия средств сетевой безопасности с операционной системой 32
3.1.1 Подходы к организации фильтрования трафика в ОС Windows 32
3.2.1 Outpost Personal Firewall PRO 38
3.2.2 Outpost Office Firewall 45
3.2.3 Zone Alarm Pro 45
3.2.3 Tiny Firewall 2005 Professional 64
3.2.5 Tiny Firewall 2005 66
3.2.6 Trend Micro 66
3.2.7 Norton Personal Firewall 2006 71
3.2.8 McAfee Personal Firewall Plus 93
3.3 Выводы 96
4 Разработка алгоритмов для проверки уязвимостей средств сетевой безопасности 98
4.1 Обобщённый алгоритм воздействия на средства сетевой безопасности 98
4.3.2.1 Инвентаризация Windows NT/2000/XP 100
4.3.2.3 Инвентаризация UNIX 118
4.3.3 Проникновение в сеть и захват контроля над хостом 125
4.3.3.1 Взлом хоста с ОС Windows 125
4.3.3.2 Взлом хоста с ОС Unix 134
4.4 Разработка алгоритмов воздействия на средства сетевой защиты изнутри защищенной сети 151
4.4.1 «Инъекции» кода 151
4.4.2 Использование виртуальной машины 162
4.4.3 Использование уязвимостей ActiveX 163
4.5 Разработка алгоритмов, основанных на уязвимостях механизма взаимодействия средств сетевой безопасности с операционной системой 172
4.6 Разработка алгоритмов установления соединения с компьютером, защищенным межсетевым экраном, персональным сетевым экраном и несколькими сетевыми экранами 174
4.6.1 HTTP-тунелирование 174
4.6.2 ICMP-тунелирование 183
4.6.3 DNS-тунелирование 186
4.6.4 PCAP-тунелирование 186
4.7 Выводы 187
Введение
В разделе 1 рассмотрены основные типы и способы применения межсетевых экранов, приводится обобщённая концепция выбора межсетевых экранов, сравниваются наиболее распространённые на рынке персональные экраны.
В разделе 2 приводится классификация уязвимостей межсетевых экранов. Вводится понятие атаки на межсетевой экран. Рассмотрены различные типы атак, основанные на эксплуатации уязвимостей сетевых протоколов, операционных систем и ошибок программной реализации межсетевых экранов. В результате сформирована таблица наиболее распространённых атак, использующих известные уязвимости, с градацией по популярности использования, простоте и общей опасности.
В разделе 3 проиводятся результаты исследования архитектуры и функционирования предоставленных Заказчиком программных межсетвых экранов. Рассмотрены методы фильтрации трафика в операционных системах семейства Windows NT (NT/200/XP/2003). Проанализированы механизмы взаимодействия МЭ с сетевой подсистемой Windows, выявлены способы защиты МЭ от попыток компрометации на системном уровне. Предоставлены данные по привязке модулей МЭ к файловой системе ОС.
Раздел 4 посвящён разработке алгоритмов для проверки уязвимостей средств сетевой безопасности. Представлена обобщённая схема информационного воздействия на удалённую сеть/ПЭВМ, защищённую межсетевым экраном, подробно рассмотрены методы и средства реализации подготовки и осуществления проникновения за МЭ. Рассмотрены методы удалённого определения типа МЭ и сервисов, для идентификации их уязвимостей. Представлены результаты разработки алгоритмов компрометации МЭ, основанных на уязвимостях механизма взаимодействия средств сетевой безопасности с операционной системой, а также методы установления скрытых информационных каналов.
1 Анализ основных типов мэ и способов их применения
1.1 Типы межсетевых экранов
Межсетевой экран - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющие условия прохождения сетевых пакетов из одной части в другую в целях защиты информации на компьютерах, находящихся в защищаемом сегменте. Как правило, эта граница проводится между локальной сетью предприятия и Интернет, хотя ее можно провести и внутри. В результате межсетевой экран пропускает через себя весь трафик в- или из- защищаемой подсети, и для каждого проходящего пакета принимает решение пропускать его или отбросить. Обычно межсетевой экран - это программно-аппаратный комплекс на базе рабочей станции, функционирующий под управлением сетевой операционной системы Windows NT или UNIX.
Все межсетевые экраны можно разбить на три основных типа:
пакетные фильтры (packet filter);
серверы уровня соединения (circuit gateways);
серверы прикладного уровня (application gateways).
Все типы могут одновременно встретиться в одном брандмауэре.
1.1.1 Фильтры пакетов
Межсетевые экраны с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая в заголовке этого пакета IP-адреса, флаги или номера TCP-портов. IP-адрес и номер порта - это информация соответственно сетевого и транспортного уровней, но пакетные фильтры используют и информацию прикладного уровня - все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта. Для описания правил прохождения пакетов составляются таблицы типа:
Действие |
Тип пакета |
Адрес источника |
Порт источника |
Адрес назначения |
Порт назначения |
Флаги |
Отметим преимущества и недостатки данного типа межсетевых экранов.
Преимущества:
относительно невысокая стоимость;
небольшая задержка при прохождении пакетов.
Недостатки:
локальная сеть видна (маршрутизируется) из Интернет;
правила фильтрации довольно трудны в описании, поэтому требуются очень хорошие знания технологий TCP и UDP;
отсутствует аутентификация на пользовательском уровне;
аутентификацию с использованием IP-адреса можно обмануть при помощи IP-спуфинга, когда атакующая система выдает себя за другую, используя ее IP-адрес.