140 Глава 9 • Обход систем безопасности
коммуникацию даже с такими хостами, которые, по идее, не должны быть доступны извне.
Использование IP-адресов. Некоторые брандмауэры анализируют только URL, по которому осуществляется запрос. Если его заменить на IP-адрес, то такой запрос легко пройдет через систему защиты.
ICMP-туннель. Еще один способ обхода брандмауэра — создание ICMP-туннеля. Такая возможность появилась благодаря тому, что в стандарте хоть и описана структура пакета, но не сказано, какие данные могут в нем находиться. Поэтому атакующий может передавать при помощи ICMP любую информацию. Например, он может заставить сервер соединиться с хостом, находящимся во внешней сети, или отправить вирус. Для создания таких туннелей можно использовать Loki, 007shell или NCovert.
АСК-туннель. Основная идея этого метода состоит в том, что некоторые брандмауэры не проверяют пакеты, в которых установлен АСК-флаг. Это сделано потому, что, по мнению брандмауэра, АСК используется в пакетах той сессии, которая была разрешена ранее.
HTTP-туннель. Основная идея заключается в том, что множество сервисов использует HTTP, и брандмауэр разрешает ему проходить в обоих направлениях.
Приманки
Одна из самых интересных, на наш взгляд, систем, которые можно встретить во внутренней сети организации. Приманки (honeypots) — это специальные системы, основной задачей которых является привлечение внимания атакующего.
Обычно они представляют собой отдельностоящие серверы или даже несколько серверов, объединенных для выполнения определенной задачи. Например, сервер приложений, он же может быть веб-сервером, сервер базы данных и сервер авторизации. Они похожи на реальные серверы и могут даже выполнять какие-либо задачи. Их отличие только в том, что они отделены от основной сети и к ним проще получить доступ, но при этом они не содержат никакой информации, получив которую злоумышленник мог бы скомпрометировать организацию.
Несмотря на то что доступ к ним осуществить легче, чем к любому другому сегменту сети, за ними пристально следят. Ведь полученная от них информация позволяет оперативно узнавать о нелегитимных процессах, происходящих во внутренней сети. А это позволит предотвратить попытки взлома настоящих систем.
Резюме
Важно помнить, что практически все администраторы, в большей или меньшей степени, защищают свои серверы. Обычно это происходит при помощи набора
Резюме 141
программных и аппаратных средств. Учтите, что если вы не предпримете никаких мер, то в лучшем случае ваша атака будет заблокирована автоматически, а в худшем — данным случаем могут заняться персонально.
Системы обнаружения атак (IDS) анализируют файлы, трафик, данные журналов аудитации, а также используют статистические методы анализа. Их можно попытаться обойти следующим образом:
Модификация существующих или использование нестандартных методов атак;Поиск и использование плохо известных особенностей сетевых протоколов;Перегрузка IDS ложными событиями поможет скрыть ваши действия;Атака, направленная на вызов отказа в обслуживании (DoS);Фрагментация пакетов не позволит IDS проанализировать данные;
Изменяйте буквы в командах и запросах на символьные коды — это поможет обойти сигнатурный фильтр;
Используйте шифрование — часто случается так, что IDS не могут проанализировать такой трафик;
Брандмауэры, как вы помните, предназначены для отделения сетей друг от друга, прежде всего внешней от внутренний. На данный момент самыми популярными являются фаерволы, которые объединяют в себе пакетную фильтрацию, отслеживание соединений и анализ передаваемых данных.
Для анализа конфигурации фаервола используйте Nmap или Firewalk.
Обойти защиту фаервола можно, просто подменив свой IP адрес, однако такой метод не всегда эффективен, гораздо лучше работают приемы, в которых используется туннелирование.
Остерегайтесь приманок — серверов, созданных для привлечения злоумышленников: они легкодоступны и позволят администраторам вычислить вас.