9 Обход систем безопасности

В предыдущих главах этой книги мы уже рассмотрели различные варианты атак на информационные системы, однако для их успешной реализации необходимо одно условие — чтобы цель никто не защищал. В реальной жизни это не так.

Крупные организации нанимают специалистов по информационной безопасности и закупают специальные системы, основная цель которых — предотвращение несанкционированного доступа. Внутреннюю сеть обычно защищают системы обнаружения и предотвращения атак, брандмауэры и различные приманки.

В этой главе мы рассмотрим основные методы защиты сети и варианты их обхода.

Системы обнаружения атак

Система обнаружения атак (IDS) — это специализированное программное или аппаратное решение, анализирующее сетевой трафик сети или определенного хоста с целью обнаружения и идентификации атаки.

По сути, такая система перехватывает сетевой трафик и передает его на свой анализатор. Анализатор сверяет его со своей базой данных, в которую занесены основные маркеры векторов атак, и, в случае обнаружения атаки, оповещает об этом другие системы и администратора.

Однако системы обнаружения атак могут не ограничиваться анализом сетевого трафика. Существуют решения, которые позволяют отслеживать активность процессов отдельных хостов, анализировать журналы аудитации, а также проверять целостность файлов на случай, если кто-то попытается внедрить в них какой-либо зловредный код.

Теперь рассмотрим основные варианты обнаружения атак такими системами.

Распознавание сигнатур является одним из основных методов обнаружения. Система сравнивает входные данные с записями из своей базы данных и в случае сов­

Системы обнаружения атак    135

падения сообщает об этом администратору. Основным недостатком такого подхода является его ограниченность. Для того чтобы остаться незамеченным, атакующему достаточно изменить самую незначительную составляющую своего вектора атаки.

Второй метод заключается в поиске аномалий. Система в течение продолжительного периода времени наблюдает за трафиком и создает его модель. После того как будет создана стандартная модель, все последующие данные будут сравниваться с ней. В случае, если новые данные не вписываются в стандартную модель, система оповестит администратора. Данный способ также имеет свои недостатки. Первый — это возможность множества ложных срабатываний. Второй состоит в том, что атакующий, совершая определенные однотипные действия в течение длительного времени, может изменить модель, и в последующем такие действия будут рассматриваться как нормальные.

Третий вариант обнаружения атаки — аномалии протокола. В данном случае системе известны спецификации каждого протокола и правила, по которым он должен использоваться. Преимущество такого подхода состоит в том, что стандарты меняются довольно редко, и администратору не нужно регулярно обновлять базу данных. Однако проблемы возникают тогда, когда в сети появляется оборудование с другой реализацией определенного сетевого протокола. В таком случае администратору приходится отключать данный метод обнаружения или очень тонко его настраивать, что требует достаточно глубоких и специфичных знаний.

Что же конкретно могут отслеживать системы обнаружения атак? Изменения в файловой системе: появление новых файлов, появление новых директорий, изменения прав доступа, изменения файлов, файлы с неизвестным расширением, зашифрованные файлы, изменения атрибутов. Сетевые атаки: увеличение сетевого трафика, появление нового сетевого трафика, попытки удаленной авторизации. Непрямые признаки: исчезновение журналов аудитации, перезагрузки системы, появление новых процессов, попытки авторизации с несуществующим именем пользователя, подключения в нерабочее время, повышенное использование системных ресурсов.

Теперь остановимся подробнее на методах обхода систем обнаружения атак.

Отказ в обслуживании. Позволяет полностью или временно отключить систему обнаружения атак. В данном случае можно использовать практически любую из атак, направленных на отказ в обслуживании.

Но не обязательно вызывать классический отказ в обслуживании. Можно сделать и так, чтобы данной системой, несмотря на то что она работает и справляется с нагрузкой, невозможно было пользоваться. Для этого необходимо заставить ее обнаруживать огромное количество атак. Например, запустить множество скриптов, которые будут пытаться проводить SQL-инъекции. В это время атакующий может совершать совершенно другие действия. И даже если его активность будет замечена системой, администратор, скорее всего, не заметит ее среди тысяч других событий, особенно если она будет такого же типа.

136    Глава 9  •  Обход систем безопасности

Запутывание. Это изменение данных таким образом, чтобы система обнаружения не распознала отправленные данные, а сервис, для которого они предназначаются, смог сделать это без проблем. Приведем пример, в котором первый запрос будет однозначно определен системой обнаружения атак и веб-сервером, а второй пройдет незамеченным, но будет воспринят тем же сервером совершенно нормально:

"../../c:\winnt\system32\netstat.exe" "%2e%2e%2f%2e%2e%2fc:\winnt\system32\netstat.exe"

Фрагментация. Это процесс разбивания пакетов на более мелкие фрагменты. Они будут нормально восприниматься хостом-получателем, в то время как система обнаружения атак не сможет найти в таких пакетах признаки попытки взлома. Хотя некоторые системы могут собирать данные из нескольких пакетов, такую защиту легко обойти, растянув атаку во времени, ведь пакеты не могут находиться в буфере вечно, и через определенный промежуток времени вся информация будет стерта.

Рассмотрим небольшой пример фрагментации трафика при помощи fragroute. Данная утилита перехватывает и изменяет трафик, идущий к определенному хосту. Она может осуществлять следующие операции с пакетами: задерживать, повторять, фрагментировать, сегментировать, удалять, изменять последовательность и многое другое.

Вначале нам необходимо запустить сам fragroute:

root@kali:~# fragroute -f /etc/fragroute.conf mail.mycorp.com

Затем начнем отправлять данные на хост, который предположительно охраняется системой обнаружения атак:

root@kali:~# ping mail.mycorp.com

PING mail.mycorp.com (192.168.10.45) 56(84) bytes of data.

Теперь fragroute делает свою работу, а мы наблюдаем и анализируем выходные данные.

root@kali:~# fragroute -f /etc/fragroute.conf mail.mycorp.com fragroute: tcp_seg -> ip_frag -> ip_chaff -> order -> print 192.168.126.129 > 192.168.10.45: icmp: type 8 code 0 (frag 11757:24@0+) 192.168.126.129 > 192.168.10.45: (frag 11757:16@48)

192.168.126.129 > 192.168.10.45: (frag 11757:16@48) [delay 0.001 ms] 192.168.126.129 > 192.168.10.45: (frag 11757:24@24+) [delay 0.001 ms] 192.168.126.129 > 192.168.10.45: (frag 11757:24@24+)

192.168.126.129 > 192.168.10.45: icmp: type 101 code 116 (frag 11757:24@0+) [delay 0.001 ms]

192.168.126.129 > 192.168.10.45: (frag 11835:16@48)

192.168.126.129 > 192.168.10.45: icmp: type 117 code 56 (frag 11835:24@0+) [delay 0.001 ms]

192.168.126.129 > 192.168.10.45: (frag 11835:24@24+) [delay 0.001 ms] 192.168.126.129 > 192.168.10.45: (frag 11835:24@24+)

Брандмауэры    137

192.168.126.129 > 192.168.10.45: icmp: type 8 code 0 (frag 11835:24@0+) 192.168.126.129 > 192.168.10.45: (frag 11835:16@48) [delay 0.001 ms] 192.168.126.129 > 192.168.10.45: (frag 11927:24@24+) [delay 0.001 ms] 192.168.126.129 > 192.168.10.45: icmp: type 67 code 75 (frag 11927:24@0+) [delay 0.001 ms]

192.168.126.129 > 192.168.10.45: (frag 11927:24@24+)

...

Шифрование. Поскольку системам обнаружения необходимо анализировать проходящий трафик, одним из способов не дать им это сделать будет шифрование. Данные можно скрыть, используя SSL, SSH, IPSec. Это прекрасная возможность использовать защиту системы против нее самой.

Например, HTTPS можно использовать для таких атак, как переполнение буфера, SQL-инъекции, раскрытие директорий, перебор паролей и т. д. Поскольку шифрование данных происходит на конечном хосте, данные будут проходить по сети уже в зашифрованном виде, что предотвратит их обнаружение.

Брандмауэры

Брандмауэры, также известные как фаерволы, являются еще одним способом защиты внутренней сети от атак. Основное их предназначение — это логическое отделение внутренней сети от внешней и контроль доступа к элементам своей сети. Брандмауэры, как и остальные системы защиты, могут быть как программным решением, так и отдельностоящим специализированным оборудованием.

Как мы уже упомянули выше, брандмауэры находятся на границе сети и контролируют ее. Через них проходит весь сетевой трафик, и именно там реализуется политика безопасности предприятия, определяющая, какой вид трафика может проходить из внешней сети во внутреннюю и наоборот. Брандмауэры практически всегда ведут полную запись всех подключений и при попытке нарушения политики безопасности не только не позволяют трафику пройти через границу, но и сообщают об инциденте администратору сети.

Есть несколько типовых конфигураций брандмауэра:

1.Бастион — точка, через которую проходит весь входящий и исходящий трафик. Здесь происходит контроль по портам, типам и источникам трафика. В этом случае один интерфейс будет подключен к внутренней сети, а другой — к внешней.

2.Разделение подсетей — в данном случае на брандмауэре присутствует как минимум три интерфейса. К одному из них подключена внешняя сеть, ко второму — внутренняя, а к третьему — ДМЗ. Данная конфигурация позволяет разделять ресурсы сети, и в случае взлома одного из них другие сегменты окажутся недоступными злоумышленнику.

3.Многосетевой брандмауэр — к нему подключены, как следует из названия, несколько сетей. Обычно у таких устройств более трех интерфейсов.

138    Глава 9  •  Обход систем безопасности

4.ДМЗ — демилитаризованная зона. Обычно в такой зоне находятся устройства, к которым организация хочет разрешить публичный доступ, например почтовые и веб-серверы. Она всегда надежно отделена от внутренних ресурсов.

Принципы работы брандмауэров зависят от применяемого в них способа фильтрации трафика.

1.Брандмауэры с пакетной фильтрацией. Самый простой тип, работает на сетевом уровне и осуществляет фильтрацию по таким параметрам, как источник и пункт назначения трафика, а также тип протокола и номер порта.

2.Брандмауэры сеансного уровня. Работают на уровне сессии, это более сложный уровень проверки с отслеживанием TCP-рукопожатий. Как правило, такие брандмауэры не нацелены на фильтрацию отдельных пакетов, но отслеживают весь сеанс соединения.

3.Брандмауэры уровня приложений анализируют передающуюся по сети информацию и предотвращают сокрытие одного типа трафика под видом другого.

4.Многоуровневые брандмауэры объединяют в себе все три вышеописанные технологии.

Для того чтобы определить стратегию обхода брандмауэра, нам необходимо прежде всего узнать его тип, а еще лучше — конфигурацию. В некоторых случаях достаточно просто подключиться к определенному порту, используя обыкновенный telnet, получить баннер и таким образом узнать, что за оборудование перед нами. Даже по самому факту наличия открытых портов можно установить тип оборудования — например, у брандмауэров Check Point по умолчанию открыты TCP-порты 256–259.

Автоматизировать данный процесс можно при помощи утилиты Firewalk или Nmap. Рассмотрим оба способа.

Firewalk посылает TCP и UDP с увеличенным на единицу TTL. Это значит, что, пройдя через брандмауэр, пакет будет уничтожен, а мы получим ответ ICMP_ TIME_EXCEEDED. А в случае, когда трафик будет заблокирован брандмауэром, мы не получим никакого ответа.

В самом начале Firewalk определит количество транзитных шлюзов (hop) до цели, чтобы потом можно было выставить нужный TTL, а затем проведет сканирование.

root@kali:~# firewalk –S1024 -i eth0 -n -pTCP 192.168.1.1 192.168.10.1 Firewalk 5.0 [gateway ACL scanner]

Firewalk state initialization completed successfully. TCP-based scan.

Ramping phase source port: 53, destination port: 33434 Hotfoot through 192.168.1.1 using 192.168.10.1 as a metric. Ramping Phase:

1 (TTL 1): expired [192.168.1.1] Binding host reached.

Scan bound at 2 hops. Scanning Phase: