книги хакеры / Trabelsi_Setevye-ataki-i-zashchita_RuLit_Me_676546

а состояние соединения TCP устанавливается в состояние SYN_RCVD. Как только два других оставшихся пакета процесса трехстороннего рукопожатия получены, состояние соединения TCP переходит в состояние ESTABLISHED. Поэтому первый пакет (пакет SYN) TCPсоединения эффективно открывает дыру в брандмауэре, а механизм кэширования позволяет обратному трафику проходить через эту дыру.

После установления TCP-соединения решение о том, разрешать или нет последующие TCP-пакеты, основывается на содержимом кэша состояний. То есть, когда последующий пакет TCP с установленным флагом SYN и установленным флагом ACK достигает межсетевого экрана, межсетевой экран проверяет, существует ли запись для соединения TCP, к которому он принадлежит, уже существует в кэше. Если соединение указано в кеше, пакет сразу пропускается. Если такого соединения не существует, пакет отклоняется. Ниже приведен пример пакета SYN нового соединения TCP:

Когда вышеупомянутый первый пакет (Пакет#1) виден межсетевым экраном, межсетевой экран сопоставляет его с набором правил фильтрации. Поскольку правило 1 (как показано на скриншоте выше для правил фильтрации брандмауэра для политики безопасности SP # 1) разрешает передачу пакета через брандмауэр, брандмауэр вставляет новую запись в кэш состояния, а состояние соединения TCP - SYN_RCVD (см. ниже).

После завершения процесса трехстороннего рукопожатия состояние соединения TCP переходит в состояние ESTABLISHED (как показано ниже).

Когда соединение TCP прерывается, брандмауэр удаляет запись в кэше, тем самым блокируя соединение. Как правило, брандмауэр также имеет значение времени ожидания; если соединение TCP становится неактивным слишком долго, брандмауэр удаляет запись из кэша и блокирует соединение.

7.6.4 Контроль состояния фильтрации пакетов

UDP

Отслеживание состояния сеанса UDP является сложным процессом, поскольку UDP является транспортным протоколом без установления соединения и, в отличие от TCP, не имеет порядковых номеров или флагов

(таких как шесть флагов TCP: SYN, ACK, FIN, PSH, URG и FIN ).

Единственный элемент, который может использовать процесс отслеживания, - это IP-адреса и номера портов клиента и сервера, участвующих в сеансе UDP.

Кроме того, UDP не имеет механизма, который объявляет конец сессии. Следовательно, записи таблицы состояний сеанса UDP должны быть очищены после достижения предопределенного значения времени ожидания. В противном случае злонамеренный пользователь может использовать это ограничение в протоколе UDP для заполнения таблицы состояний сеанса UDP поддельными сеансами, что приводит к ситуации атаки DoS.

С другой стороны, UDP полностью полагается на ICMP в качестве обработчика ошибок. Следовательно, ICMP является важной частью сеанса UDP, который необходимо учитывать при отслеживании его общего состояния. Например, в сеансе UDP клиент или серверный хост может не иметь достаточно места в буфере для обработки принимаемых пакетов. Следовательно, хост может не справиться со скоростью, с которой он принимает пакеты. В такой ситуации принимающий хост может отправить сообщение об отказе источника ICMP (Тип = 4, Код = 0), которое запрашивает, чтобы хост-отправитель уменьшил скорость отправляемых пакетов. Однако, если брандмауэр блокирует исходное

сообщение ICMP об отказе, поскольку оно не является частью обычного сеанса UDP, узел, который отправляет пакеты слишком быстро, не знает, что возникла проблема, и продолжает отправлять с той же скоростью, что приводит к потере пакетов или DoS-атаке на принимающем хосте (следующий рисунок).

Поэтому межсетевой экран с отслеживанием состояния, который отслеживает состояние сеанса UDP, должен учитывать такой связанный трафик ICMP при принятии решения о том, какой трафик следует возвращать защищенным хостам (см. Рисунок ниже).

7.6.5 Контроль состояния фильтрации пакетов

ICMP

ICMP - это протокол сообщений об ошибках и диагностики, который считается обязательной частью любой реализации IP. Существует два типа ICMP-пакетов: отчеты об ошибках и пакеты управления. Пакеты сообщений об ошибках ICMP используются для возврата сообщений об ошибках и включают одностороннюю связь. Они всегда сообщаются на исходный IP-адрес исходного пакета. Однако управляющие пакеты ICMP используются хостами для отправки сообщений запроса и получения соответствующих ответных сообщений. Следовательно, сообщения об ошибках ICMP включают двустороннюю связь или сообщения типа запрос / ответ. ICMP, как и UDP, не является протоколом с отслеживанием состояния. Однако, как и UDP, он также имеет атрибуты, которые позволяют отслеживать его соединения. Атрибутами ICMP обычно являются поля Тип, Код, Идентификатор и Порядковый номер в заголовке

ICMP.

Примерами сообщений об ошибках ICMP являются сообщение об ошибке источника ICMP (описанное в предыдущем разделе) и сообщение об превышении времени ICMP. В сообщении, превышающем время ICMP, в поле Тип должно быть установлено значение 11. Поле Код, в котором указана причина сообщения о превышении времени, включает в себя следующее:

Шлюзом генерируется сообщение об превышении времени ICMP с неустановленным полем кода, которое информирует источник отброшенного пакета о том, что поле времени жизни достигло нуля. То есть каждая машина (например, промежуточный маршрутизатор), которая пересылает IP-дейтаграмму, должна уменьшать поле времени жизни (TTL) заголовка IP на единицу. Если TTL достигает 0, в источник в источник графика данных отправляется ICMP-сообщение о

превышении времени жизни. Сообщение ICMP о превышении времени с установленным полем Код отправляется хостом, если ему не удается повторно собрать фрагментированную грамму данных в течение своего ограничения по времени.

Примером приложения, основанного на сообщениях типа запрос / ответ ICMP, является Ping. Он был создан для проверки того, существует ли конкретный компьютер в сети или в Интернете и подключен ли он. Ping - это программа, которая отправляет серию ICMP-эхо-запросов (Тип = 8, Код = 0) по сети или Интернету на конкретный компьютер для генерации эхо-ответов ICMP (Тип = 0, Код = 0) с этого компьютера.

Отслеживание ICMP-трафика, который включает одностороннюю коммуникацию, является сложным, поскольку сообщения об ошибках ICMP ускоряются запросами других протоколов (TCP, UDP). Из-за этой многопротокольной проблемы преобразование сообщений ICMP в состояние существующего сеанса UDP или TCP может привести к путанице и затруднить управление.

Однако сеансы ICMP, которые включают двустороннюю связь, менее сложно отслеживать, поскольку для каждого ответного сообщения ICMP должно быть сообщение запроса ICMP, которое было отправлено ранее. То есть сеанс ICMP отслеживается на основе адресов источника / назначения, типа, кода, идентификатора и порядкового номера сообщений запроса и ответа. В сеансе ICMP поля «Идентификатор», «Номер последовательности» и «Данные» должны быть возвращены отправителю без изменений. Идентификатор и порядковый номер могут использоваться отправителем эхо-запроса, чтобы помочь в сопоставлении ответов с эхозапросами. Идентификатор может использоваться как порт в TCP или UDP для идентификации сеанса, а номер последовательности может увеличиваться при каждом отправленном эхо-запросе. Эхо-узел возвращает эти же значения в эхо-ответ.

Этот метод отслеживания является единственным способом, которым ICMP может войти в таблицу состояний.

Например, после получения пакета эхо-запроса ICMP, показанного ниже,

межсетевой экран с сохранением состояния создает новую запись в кеше своего сеанса ICMP, как показано ниже.

Поэтому последующий пакет эхо-ответа ICMP будет принят межсетевым экраном с сохранением состояния, поскольку он включает в себя те же значения атрибутов, что и пакет эхо-запроса ICMP.

Однако следующий поддельный пакет эхо-ответа ICMP отклоняется, так как не было никакого сообщения запроса эхо-запроса ICMP, включающего те же значения атрибута.

Другая проблема с ICMP заключается в том, что, как и UDP, он не требует соединения; следовательно, он должен основывать сохранение записи таблицы состояний на заранее определенном тайм-ауте, поскольку ICMP также не имеет специального механизма для завершения своих сеансов связи.

7.6.6 Эксперимент

Этот эксперимент состоит из описания ряда шагов, позволяющих пользователям проверить, предлагает ли устройство адаптивной защиты Cisco ASA 5520 (брандмауэр) фильтрацию пакетов TCP и ICMP с сохранением состояния или без учета состояния. Те же шаги можно использовать для проверки любого другого брандмауэра.

7.6.7 Архитектура сети

На следующем рисунке показана сетевая архитектура, использованная в эксперименте. Мы предполагаем, что хост (хост#1) с IP-адресом

192.168.2.20 и хост (хост#2) с IP-адресом 192.168.3.30 подключены к интерфейсам GigabitEthernet0/0 и GigabitEthernet0/1 Cisco ASA 5520,

соответственно. Мы также предполагаем, что

*Host #1 - это хост веб-клиента.

*Host #2 является хостом веб-сервера (LiteServer - это программное обеспечение веб-сервера).

*Оба хоста используют анализатор CommView для захвата обмениваемого сетевого трафика.

На следующем снимке экрана показана конфигурация интерфейсов

GigabitEthernet0 / 0 (192.168.2.1/24) и GigabitEthernet0/1

(192.168.3.1/24) Cisco ASA 5520.

7.6.8 Шаги эксперимента

Эксперимент состоит из двух частей, чтобы проверить, предлагает ли Cisco ASA 5520 фильтрацию пакетов с отслеживанием состояния для трафика TCP и трафика ICMP соответственно.

7.6.8.1 Часть 1. Полноценное тестирование TCP пакетов.

Этот эксперимент состоит из проверки, предлагает ли Cisco ASA 5520 возможность фильтрации TCP-пакетов с отслеживанием состояния. Ниже приведены этапы эксперимента:

1.Во-первых, чтобы разрешить стандартный веб-трафик (TCP / 80) между хостом веб-клиента (Host#1) и хостом веб-сервера (Host#2), два правила фильтрации реализованы с использованием интерфейса графического интерфейса Cisco ASA 5520, как показано ниже.

2.Затем с хоста № 1 (Host#1) веб-браузер используется для подключения к веб-серверу на хосте № 2 (Host#2).

3.На хосте № 1 (Host#1) сниффер CommView используется для захвата

TCP-пакетов трехстороннего рукопожатия веб-сеанса, как показано ниже.

4.Значения основных полей пакетов трехстороннего рукопожатия, характеризующих веб-сеанс,

5.Затем CommView Visual Packet Builder используется для отправки с хоста № 1 на хост № 2 поддельного TCP-пакета, притворяющегося, что TCP-соединение на порте 80 уже установлено (SYN = 0 и ACK = 1). Поддельный TCP-пакет включает в себя одинаковые IP-адреса источника и назначения, но включает в себя порт источника, отличный от порта источника текущего активного веб-сеанса, как

показано ниже.