- •Введение
- •1 Анализ основных типов мэ и способов их применения
- •1.1 Типы межсетевых экранов
- •1.1.1 Фильтры пакетов
- •1.1.2 Фильтры пакетов с контекстной проверкой
- •1.1.3 Сервер уровня соединения
- •1.1.4 Серверы прикладного уровня
- •1.2 Способы применения межсетевых экранов
- •1.Стандартные схемы защиты отдельной локальной сети.
- •1.2.1 Стандартные схемы защиты отдельной локальной сети
- •1.2.2 Применение в составе средств коллективной защиты
- •1.3 Персональные межсетевые экраны
- •1.4 Обобщенная концепция применения межсетевых экранов
- •1.5 Обзор персональных межсетевых экранов, доступных на рынке
- •2 Классификация уязвимостей сетевых экранов, создающих предпосылки их компрометации
- •2.1 Уязвимости сетевых протоколов
- •2.1.1 Снифферы пакетов
- •2.1.2 Уязвимость маршрутизации от источника
- •2.1.4 Атаки типа “отказ в обслуживании”
- •2.1.5 Атаки syn flood
- •2.1.6 Атака Smurf
- •2.1.7 Атака Tribe Flood Network
- •2.1.8 Атака WinFreeze.
- •2.1.9 Атака Loki.
- •2.1.10 Arp атаки
- •2.1.11 Фрагментация
- •2.2 Уязвимости операционных систем
- •2.2.1 Получение прав другого пользователя
- •2.2.2 Нелегальное подключение к системе
- •2.2.3 Человеческий фактор
- •2.2.4 Совместимость с другими операционными системами
- •2.2.5 Парольные атаки
- •2.2.6 Вирусы и приложения типа "троянский конь"
- •2.3 Уязвимости программной реализации сетевых экранов
- •2.3.1 Атаки через туннели в межсетевом экране
- •2.3.2 Атаки вследствие неправильной конфигурации межсетевого экрана
- •2.3.3 Атаки осуществляемые в обход межсетевого экрана
- •2.3.4 Атаки осуществляемые из доверенных узлов и сетей
- •2.3.5 Атаки путем подмены адреса источника
- •2.3.6 Атаки на сам межсетевой экран
- •2.3.7 Атаки на подсистему аутентификации межсетевого экрана
- •2.4 Выводы
- •3 Исследование архитектуры и функционирования мэ на примере предложенного по
- •3.1 Исследование механизмов взаимодействия средств сетевой безопасности с операционной системой
- •3.1.1 Подходы к организации фильтрования трафика в ос Windows
- •3.3 Выводы
- •4 Разработка алгоритмов для проверки уязвимостей средств сетевой безопасности
- •4.1 Обобщённый алгоритм воздействия на средства сетевой безопасности
- •4.3.2.1 Инвентаризация Windows nt/2000/xp
- •4.3.2.3 Инвентаризация unix
- •4.3.3 Проникновение в сеть и захват контроля над хостом
- •4.3.3.1 Взлом хоста с ос Windows
- •4.3.3.2 Взлом хоста с ос Unix
- •4.4 Разработка алгоритмов воздействия на средства сетевой защиты изнутри защищенной сети
- •4.4.1 «Инъекции» кода
- •4.4.2 Использование виртуальной машины
- •4.4.3 Использование уязвимостей ActiveX
- •4.5 Разработка алгоритмов, основанных на уязвимостях механизма взаимодействия средств сетевой безопасности с операционной системой
- •4.6 Разработка алгоритмов установления соединения с компьютером, защищенным межсетевым экраном, персональным сетевым экраном и несколькими сетевыми экранами
- •4.6.1 Http-тунелирование
- •4.6.2 Icmp-тунелирование
- •4.6.4 Pcap-тунелирование
- •4.7 Выводы
4.6.4 Pcap-тунелирование
PCAP – это библиотека, созданная для обеспечения приложений возможностью доступа к сетевым интерфейсам, использующая стандартный API и направленный захват пакетов. Наиболее общий пример этого - программа Ethereal. Ethral – мультиплатформенный пакетный сниффер и анализатор протоколов, с открытым исходным кодом. С её помощью можно получить сырой вид того, что приходит и уходит с ПК. Далее представлены два сценария, использующих PCAP для демонстрации того, как можно обойти программный МЭ.
Сценарий 1
Потребуется машина с установленной Windows 2000/XP/2003 или BSD/Linux, а так же установленным и настроенным МЭ, либо МЭ поставляемым в комплекте с ОС (большинство BSD/OS X/Linux систем, а так же последние версии Windows комплектуются встроенными МЭ). МЭ сконфигурирован так, чтобы он блокировал весь входящий TCP и UDP трафик и подключите компьютер к сети. Установите Ethereal (потребуется также уcтановить libpcap/winpcap) и запустите его. Если машина подключена к свитчу, весь трафик с заголовками от и к ней будет виден вместе с широковещательным трафиком. Если машина подключена к хабу, весь сетевой трафик будет виден.
Хотя МЭ блокирует все входящие пакеты TCP и UDP, мы можем видеть сетевой трафик. Ethereal просматривает пакеты перед тем, как они достигают МЭ. Проведя полное сканирование портов ОС с помощью утилиты nmap, не получим никаких результатов. Если МЭ использует один из механизмов активной защиты, он обнаружит и пресечёт подобное сканирование, даже если политика блокировки входящего трафика не была запущена. Однако Ethereal продолжает видеть входящий трафик.
Pcap может быть использована для прослушивания входящего трафика, который предполагаемо должен блокироваться. Этот факт предоставляет возможность создания нефильтруемого входящего канала для злонамеренных программ. Если есть возможность посылать пакеты сквозь так называемый «wormhole - тоннель» тогда злонамеренная программа может получить в своё распоряжение двунаправленный канал, и оперировать с ним.
Способ отправки пакетов рассмотренным выше способом с помощью библиотеки libcap описан в [32]. Исходящий трафик проходит полностью под МЭ.
Сценарий 2
Добавим к конфигурации, описанной в первом сценарии, VPN-клиент. Запретим split tunneliung (расщепленное туннелирование) для того, чтобы убедиться, что весь трафик форсируется через VPN соединение. Запустим Etheral и проведём nmap – сканирование адреса локального сетевого интерфейса (не VPN адреса). Трафик, который по предположению должен был блокироваться как МЭ, так и программным обеспечением VPN, или, по крайней мере, должен был быть «невидимым» для программного обеспечения VPN – полностью доступен на PCAP-уровне.
В конфигурации VPN, большинство персональных МЭ конфигурируются на сброс защиты (потому что весь трафик имеет заголовки к и от доверенного устройства), таким образом, VPN клиент фактически обуза, потому что нет нужды использовать pcap для исходящего wormhole-tunnel – канала. МЭ благополучно игнорирует любые пакеты, используемые злонамеренной, и они проходят без фильтрации через «защищённое» VPN соединение.