|
ru.internet.security
- RU.INTERNET.SECURITY ---------------------------------------------------------
From : Marхnais 2:5020/2173.2 18 Nov 2005 17:05:52
To : All
Subject : Персональные фаирволлы и выявление вторжений
--------------------------------------------------------------------------------
textsection 4 of 13 of file WUESTR.TXT
textbegin.section
Лог безопасности
Хранится в файле seclog.log. Этот файл регистрирует потенциально угрожаю-
щие виды активности, направленные к машине, напр., сканирование портов или
DoS-атаки. Лог безопасности аналогичен простой консоли IDS, перечисляющей со-
бытия, сгенерированные в логе траффика. Hиже показан формат и пример фрагмента
лога безопасности "Sygate Personal Firewall".
ЪДДДДДДДДДДДДДДДДДДДДДДДДВДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДї
і название поля і описание і
ГДДДДДДДДДДДДДДДДДДДДДДДДЕДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
іEvent number ісобытия последовательно пронумерованы і
іTime ідата и время регистрации события і
іInformation ісообщение об опасности і
іSeverity істепень серьёзности тревоги (Critical, Major, Minorі
і іили Information) і
іDirection інаправление относительно пользователя і
іProtocol ітип протокола (TCP, UDP или ICMP) і
іDestination іIP-адрес атакуемой машины і
іSource іIP-адрес машины, из которой исходит траффик і
іDestination port or ICMPіномер порта получателя или тип пришедшего ICMP-і
і ітраффика і
іSource port or ICMP іномер порта источника или тип отправленного ICMP-і
і ітраффика і
іCount іколичество зарегистрированных событий данного типа і
іApplication іназвание затронутого приложения і
іBegin time івремя начала попытки атаки і
іEnd time івремя окончания попытки атаки і
АДДДДДДДДДДДДДДДДДДДДДДДДБДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДЩ
113 11/28/2002 10:04:56 Executable File Change Denied Major Outgoing TCP 10.1ъ
0.50.4 0.0.0.0 C:\Program Files\Internet Explorer\IEXPLORE.EXE 1 11/28/2002ъ
10:04:52 11/28/2002 10:04:52
114 11/28/2002 10:05:19 Executable File Change Accepted Information Outgoing ъ
TCP 10.10.50.4 0.0.0.0 C:\Program Files\Internet Explorer\IEXPLORE.EXE 1 11ъ
/28/2002 10:05:15 11/28/2002 10:05:15
56 11/26/2002 14:02:59 Denial of Service Major Incoming ICMP 192.168.0.8 10.1ъ
0.50.3 1 11/26/2002 14:02:52 11/26/2002 14:02:52
58 11/26/2002 14:45:34 Denial of Service Major Incoming Unknown 10.10.50.4 10ъ
.10.50.3 7 11/26/2002 14:45:32 11/26/2002 14:45:34
105 11/27/2002 15:55:24 Port Scan Minor Incoming TCP 10.10.50.4 10.10.50.3 6 ъ
11/27/2002 15:55:18 11/27/2002 15:55:19
Лог траффика
Хранится в файле tralog.log. Этот файл регистрирует информацию о всех па-
кетах траффика, который входит или покидает порты охраняемой машины. Hиже по-
казан формат и пример фрагмента лога траффика "Sygate Personal Firewall". Пер-
вое поле времени (время) содержит время появления сигнала тревоги, второе поле
времени (время начала) указывает, когда началась зарегистрированная атака, и
третье поле времени (время окончания) Д когда атака закончилась. Это означает,
что отметки времени всегда подчиняются закону: время начала =< время окончания
=< время.
ЪДДДДДДДДДДДДДВДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДї
іназвание поляі описание і
ГДДДДДДДДДДДДДЕДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
іEvent number ісобытия последовательно пронумерованы і
іTime ідата и время регистрации события і
іAction ідействие, предпринятое фаирволлом (Blocked or Allowed) і
іProtocol ітип протокола, применённого при попытке (TCP, UDP, ICMP илиі
і інеизвестный) і
іDirection інаправление относительно пользователя (Incoming or Outgoing) і
іSource іIP-адрес машины, из которой исходит траффик і
іDestination іIP-адрес атакуемой машины і
іApplication іназвание затронутого приложения і
іCount іколичество зарегистрированных событий такого типа і
іBegin time івремя начала попытки атаки і
іEnd time івремя окончания попытки атаки і
АДДДДДДДДДДДДДБДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДЩ
56 11/25/2002 14:22:54 Blocked UDP Incoming 127.0.0.1 53 10.10.50.3 53 2 11/2ъ
5/2002 14:22:32 11/25/2002 14:22:50 Block_all
57 11/25/2002 14:22:54 Allowed UDP Incoming 10.10.50.4 138 10.10.50.255 138 Cъ
:\WINNT\System32\ntoskrnl.exe 1 11/25/2002 14:22:52 11/25/2002 14:22:52 GUIъ
%GUICONFIG#SRULE@NBENABLEYOU#ALLOW-UDP
30545 11/26/2002 14:01:10 Blocked ICMP Incoming 192.168.0.9 0 10.10.50.3 8 1 ъ
11/26/2002 14:00:51 11/26/2002 14:00:51 Block_all
1460410 11/28/2002 14:08:22 0.0.0.0 0 0.0.0.0 0 Outgoing Blocked C:\sygate_DFъ
W\exploits\flood\flood.exe
Пакетный лог
Хранится в файле rawlog.log. Этот файл перехватывает каждый пакет данных,
входящих или покидающих компьютер. Его можно рассматривать как сетевой сниф-
фер, работающий не в неразборчивом [promiscuous] режиме. По умолчанию опция
данного регистрирования выключена, поскольку оно может потреблять очень много
дискового пространства.
К сожалению, будучи экспортированным, пакетный лог содержит не исходные
пакеты, а только информацию, которую уже обеспечивает лог траффика, напр., IP-
адреса источника и получателя. Для того же, чтобы извлечь содержимое пакетов,
придётся написать собственный интерпретатор этого формата, который открыто не
документирован. Hо даже при обладании информацией пакетов из исходного лога,
нам ещё потребуется разработка соответствующих правил для всех возможных слу-
чаев атак, поскольку эта информация Д всего лишь "сырые" данные из пакетов, не
прошедшие отсева ни по каким критериям. Для того, чтобы обнаружить среди этих
пакетов опасные, потребуется применение к их содержимому различных правил
фильтрации. Это вточности та работа, которую уже выполняет IDS. Изобретение
колеса не имеет смысла и выходит за рамки настоящей работы. По этой причине и
потому, что в экспортированном виде данный лог обеспечивает ту же самую инфор-
мацию, что и лог траффика, он, хотя и является одним из лучших источников ин-
формации, в данной работе более не рассматривается.
Hиже показан формат и пример фрагмента пакетного лога "Sygate Personal
Firewall". Как уже было сказано, эти сообщения не содержат собственно пакетов,
поскольку полный пакет сохраняется только во внутреннем представлении файла
rawlog.log.
ЪДДДДДДДДДДДДДДДДВДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДї
і название поля і описание і
ГДДДДДДДДДДДДДДДДЕДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
іEvent number ісобытия последовательно пронумерованы і
іTime ідата и время регистрации события і
іSource іIP-адрес машины, из которой исходит траффик і
іSource port іномер исходящего порта і
іDestination іIP-адрес атакуемой машины і
іDestination portіномер входящего порта і
іDirection інаправление относительно пользователя (Incoming or Outgo-і
і іing) і
іAction ідействие, предпринятое фаирволлом (Blocked or Allowed) і
іApplication іназвание затронутого приложения і
АДДДДДДДДДДДДДДДДБДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДЩ
1019023 01/22/2003 15:41:01 10.10.50.4 80 10.10.50.3 1038 Outgoing Allowed C:ъ
\WINNT\system32\telnet.exe
1019034 01/22/2003 15:44:00 10.10.50.4 80 10.10.50.3 1040 Incoming Allowed C:ъ
\Program Files\Internet Explorer\IEXPLORE.EXE
1019035 01/22/2003 15:44:07 10.10.50.2 138 10.10.50.255 138 Incoming Blocked ъ
C:\WINNT\System32\ntoskrnl.exe
Глава 3
Условия тестирования
Эта глава описывает устройство испытательного стенда, использованного для
моделирования атак на персональные фаирволлы, выбранные для тестирования, и
вводит принятые в эксперименте допущения.
3.1 Цели тестирования
В Интернете можно найти некоторое количество сайтов, осуществляющих тес-
тирование фаирволлов с ориентацией на персональные [3]. Все встречающиеся тес-
ты просто проводят сканирование портов IP-адреса и сообщают об открытых. Таким
способом всего лишь выявляются недостатки конфигурирования, но поскольку в
данном тестировании принимается предположение, что персональные фаирволлы
сконфигурированы правильно и по максимуму их возможностей, этот аспект нас не
интересует.
Покуда предполагается доступность службы из Интернета, наличие открытых
портов само по себе опасности не представляет. В конфигурации по умолчанию все
персональные фаирволлы блокируют входящий траффик и по каждому приложению
спрашивают пользователя, разрешить его или нет. Поэтому полезность таких тес-
тирующих сайтов в проверке надёжности персональных фаирволлов сомнительна. При
этом они лишь создают у конечного пользователя впечатление безопасности, воз-
можно оставляя другие бреши в ней необнаруженными.
Поэтому внимание данной работы сосредоточено на недостатках разработки и
брешах в концепциях персональных фаирволлов, которые не могут быть устранены
лишь изменением конфигурации. Часть недостатков может быть исправлена разра-
ботчиком в последующих версиях, часть же не может быть исправлена вообще, по-
тому что связана с задачами, для решения которых персональные фаирволлы не
предназначены. Hо выявленные и проанализированные, эти лазейки можно избежать
или обезопасить другими механизмами. Т.о., внимание сосредоточено на нахожде-
нии атак, которые покрывают весь класс возможных сценариев, рассмотренных в
гл. 4.
Второй задачей процесса тестирования, разумеется, является генерация ло-
гов, которые впоследствии могут быть использованы для создания схемы коррели-
рования. Для этой цели персональные фаирволлы были сконфигурированы на регист-
рирование всей значимой информации. Для облегчения дальнейшего анализа сгене-
рированные логи с помощью небольшого пакетного скрипта перемещались в отдель-
ный для каждой атаки каталог.
3.2 Допущения
Внимание данной работы сосредоточено на концепции персональных фаирвол-
лов, поэтому вопросы, связанные со слабостями операционных систем или атаками,
возможными исключительно благодаря недостаткам в конфигурации фаирволлов, не
рассматриваются.
Поэтому принимается допущение, что нижележащая операционная система пол-
ностью пропатчена всеми необходимыми обновлениям и работает стабильно. Прини-
мается, что персональные фаирволлы работают с разумным набором правил, обеспе-
чивающим максимально достижимую безопасность. С этой целью конфигурация по
умолчанию каждого фаирволла была адаптирована согласно его возможностям. Бло-
кировался весь исходящий траффик, кроме относящегося к "Internet Explorer",
которому был разрешён доступ к TCP-портам 80, 8080 и 443, представляющим собой
стандартный порт веб-сервера, дополнительный порт веб-сервера и порт SSL-сое-
динения. Входящие соединения принимались только для сервера Telnet на TCP-пор-
ту 21. Данная конфигурация была выбрана для моделирования условий реальной эк-
сплуатации без блокирования всего траффика по умолчанию, поскольку простое
блокирование всего траффика практического смысла не имеет. Процесс ведения ло-
гов был настроен с максимально возможной детализацией, так чтобы никакой ин-
формации на этом этапе не терялось.
3.3 Испытательный стенд
Для тестирования была составлена небольшая сеть из четырёх машин. Все яв-
ляются десктопами "IBM PL300" с процессорами "Pentium II" 350 МГц и 128 Мб
ОЗУ. Три машины имеют идентично проинсталлированную "Windows 2000" и "Service
Pack 2". Hа каждой системе проинсталлирован соответствующий тестируемый персо-
нальный фаирволл. Четвёртая машина использовалась как атакующая и имеет двой-
ную систему загрузки "Windows 2000" с "Service Pack 2" и "RedHat Linux 8.0".
Все машины соединены изолированной 100-Мбитной сетью через "Netgear Hub". Hа
всех системах Windows были созданы логины администратора и ограниченного поль-
зователя.
Глава 4
Атаки
В этой главе подробно рассмотрены сценарии используемых атак и ущерб, ко-
торый они могут вызвать.
4.1 Описание использованных атак
Поскольку идея этой работы заключается в проверке сильных и слабых мест
персональных фаирволлов, а не операционных систем, атаки были направлены на
собственно фаирволлы.
Hабор атак включает много приёмов, подразумевающих для своей работы изме-
нения на локальной машине. Оправдать такое допущение можно, представив его ре-
ализацию в виде вируса или трояна, которые были запущены на машине-жертве и
теперь готовы произвести желаемые изменения. Поскольку типичные антивирусные
средства ведут поиск, основываясь на сигнатурах, очевидно, что новое малварное
приложение ими обнаружено не будет. Из этого следует, что мысль о наличии ка-
кой-либо малвари, функционирующей в машине незаметно, Д отнюдь не надуманная.
Поэтому, предположение о том, что в локальной системе имели место изменения в
целях какой-либо атаки, отнюдь не абсурдно.
Средства осуществления всех опробованных атак, за исключением программи-
ровавшихся автором самостоятельно, могут быть свободно найдены в Интернете. В
данную работу они не включены, поскольку публикация исходного кода или подроб-
ного описания работающих эксплойтов противоречит швейцарским государственным
законам. Было решено не включать и описания этих средств, поскольку данная ра-
бота не об инструментах проведения атак как таковых, а преимущественно призва-
на проиллюстрировать проблему, показав их возможность. Компетентный же техни-
чески читатель может повторить тесты самостоятельно, взяв аналогичные средства
или написав их сам.
textend.section
* Origin: 2:5020/1317.8, /2024.2, /2173.2, /2613.5, /5413.3 (2:5020/2173.2)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
