|
ru.internet.security
- RU.INTERNET.SECURITY ---------------------------------------------------------
From : Marхnais 2:5020/2173.2 18 Nov 2005 17:06:14
To : All
Subject : Персональные фаирволлы и выявление вторжений
--------------------------------------------------------------------------------
textsection 7 of 13 of file WUESTR.TXT
textbegin.section
5.1.6 Затопление SYN 4, тяжёлое
Описание атаки:
Затопить целевую машину TCP-пакетами, имеющими выставленный флаг SYN. Па-
кеты изготовлены со случайными IP-адресами источника, случайными портами ис-
точника и случайными портами получателя. Полученная загрузка сети составила
ок. 300 Кб/с, что для тестовой сети очень много.
Использованное средство:
"HGOD_flood.exe"
"Zonealarm":
Через короткое время загрузка CPU достигла 100% и оставалась таковой до
окончания атаки. Hажатие кнопки "блокировать всё" от такого вида DoS-атак не
спасает.
"Symantec Desktop Firewall":
Через короткое время загрузка CPU достигла 100% и оставалась таковой до
окончания атаки.
"Sygate Personal Firewall":
Через короткое время загрузка CPU достигла 100% и оставалась таковой до
окончания атаки. Hажатие кнопки "блокировать всё" от такого вида DoS-атак не
спасает. После атаки фаирволлу потребовалось более 60 с для возвращения в ис-
ходное состояние. При проведении теста после атаки длительностью 15 с фаирволл
в течение 80 с всё ещё потреблял 100% времени CPU. После атаки длительностью
30 с, фаирволлу для восстановления потребовалось 100 с.
Общие выводы
Против всех трёх фаирволлов удалённая DoS-атака оказалась действенной.
Это делает возможным временное блокирование охраняемой целевой машины.
Противодействие
Возможности для DoS-атак быть не должно. Пакеты должны отбрасываться со
стека как можно раньше. Справиться с этой задачей непросто, поскольку по дос-
тижении загрузкой сети некоторой точки способность корректно отрабатывать все
пакеты потеряет принимающая сетевая плата. Подобный эффект может возникать и
без фаирволла. Тем не менее, фаирволл должен защищать от таких атак.
5.1.7 Затопление ICMP
Описание атаки:
Затопить целевую машину ICMP-пакетами, тип echo request, с фиктивными
IP-адресами.
Использованное средство:
"HGOD_flood.exe"
"Zonealarm":
Сообщает о каждом пакете как об отдельном событии. Специального сообщения
не генерируется.
"Symantec Desktop Firewall":
Сообщает о каждом пакете как об отдельном событии. Специального сообщения
не генерируется.
"Sygate Personal Firewall":
Сообщает о каждом пакете как об отдельном событии. В системном логе ре-
гистрируется DoS-атака по протоколу ICMP. Hесмотря на фиктивные адреса источ-
ника, фаирволл сообщает только несколько исходящих IP-адресов.
Общие выводы
Атаки данного типа не могут быть сведены к одному сообщению о событии,
поскольку события различаются. Каждый пакет имеет различный IP-адрес источника
и не может быть выделен из общего траффика.
Противодействие
Hе требуется.
5.1.8 Затопление IGMP 1
Описание атаки:
Затопить целевую машину IGMP-пакетами. Размер пакета установлен в 1480
байт, т.е. без фрагментации. Фиктивные исходящие IP-адреса не применялись.
Использованное средство:
"HGOD_flood.exe"
"Zonealarm":
Сообщает обо всех пакетах в сообщении об одном событии с увеличивающимся
счётчиком. DoS-эффекта не возникает.
"Symantec Desktop Firewall":
Сообщает о каждом пакете как об отдельном событии. DoS-эффекта не возни-
кает. Фаирволл имеет опцию блокирования траффика IGMP, но какой-либо разницы
при включении данной опции не наблюдалось. Возможно, данная функция блокирует
не весь траффик IGMP, а только некорректно выполненные пакеты, используемые в
атаке "kiss of death" [20].
"Sygate Personal Firewall":
Фаирволл не поддерживает протокол IGMP. Поэтому он не видит никаких паке-
тов и не сообщает ни о каких событиях. Во время атаки загрузка времени CPU
составляла 100%. После окончания атаки она вернулась к нормальной. Если вклю-
чен лог "сырых" пакетов, то пакеты в нём сохраняются, но никаких сообщений о
них в логе траффика не остаётся.
Общие выводы
Все персональные фаирволлы должны уметь видеть и регистрировать траффик
IGMP. DoS-эффекта возникать не должно.
Противодействие
Реализовать в персональном фаирволле фильтр IGMP.
5.1.9 Затопление IGMP 2
Описание атаки:
Затопить целевую машину IGMP-пакетами. Размер пакета был сначала установ-
лен в 1481 байт, а затем в 65 000 байт для получения множественных фрагменти-
рованных пакетов. Фиктивные исходящие IP-адреса не применялись.
Использованное средство:
"HGOD_flood.exe"
"Zonealarm":
Сообщает обо всех пакетах в сообщении об одном событии с увеличивающимся
счётчиком. DoS-эффекта не возникает.
"Symantec Desktop Firewall":
Сообщает о каждом пакете как об отдельном событии. DoS-эффекта не возни-
кает.
"Sygate Personal Firewall":
За короткое время загрузка CPU достигает 100%. В системном логе регистри-
руется DoS-атака по неизвестному протоколу. Если посмотреть лог "сырых" паке-
тов, можно увидеть, что половина пакетов блокирована, а половина разрешена.
Причина в том, что загрузка в 1481 байт порождает два фрагментированных паке-
та.
Когда размер пакета равен 65 000 байтам, что порождает 44 фрагментирован-
ных пакета, 43 из 44 пакетов остаются незаблокированными, поскольку их бит
смещения не равен 0, а бит дополнительных фрагментов равен 0. Системный лог
регистрирует DoS-атаку. По-видимому, движком обнаружения DoS-атак регистриру-
ются пакеты только фрагментированные.
При нажатии кнопки "блокировать всё" во время атаки, загрузка CPU редко
снижается ниже 80%, чаще всего она остаётся на 100%. Hажатие этой кнопки до
начала атаки ограничивает загрузку CPU фаирволлом 50% и сохраняет её на этом
уровне в течение атаки. Это, разумеется, не то, что должно происходить в нор-
ме, поскольку предугадать, когда начнётся атака, невозможно.
Общие выводы
Те же, что и для атаки затоплением IGMP первого типа в разделе 5.1.8.
5.1.10 Затопление UDP
Описание атаки:
Затопить целевую машину UDP-пакетами со случайными исходящими IP-адресами
и случайными исходящими портами, с длиной используемых пакетов в 1000 байт.
Использованное средство:
"HGOD_flood.exe"
"Zonealarm":
Сообщает о каждом пакете как об отдельном событии. DoS-эффекта не возни-
кает.
"Symantec Desktop Firewall":
Сообщает о каждом пакете как об отдельном событии. DoS-эффекта не возни-
кает.
"Sygate Personal Firewall":
Сообщает обо всех пакетах в сообщении об одном событии с увеличивающимся
счётчиком. Сигнал тревоги о DoS-атаке не генерируется, хотя во время атаки
загрузка CPU достигает 100%.
Общие выводы
DoS-эффекта возникать не должно.
Противодействие
Изменить реализацию фильтрующего движка, так чтобы DoS-эффект не возни-
кал.
5.1.11 Изменение набора правил
Описание атаки:
Определить, где персональный фаирволл хранит набор правил. Изменить его
так, чтобы добавить пользовательские правила, которые не вызывали бы подозре-
ний и давали бы инструменту агрессии привилегии, необходимые для доступа в
Интернет.
"Zonealarm":
Сохраняет набор правил для приложений в файле IAMDB.RDB, который в систе-
ме "Windows 2000" находится в C:\WINNT\internetlogs\. Файл машинно-независим.
Это означает возможность подмены его и его копии Д файла BACKUP.RDB Д изменён-
ной версией с другой машины. Пока фаирволл работает, он держит этот файл отк-
рытым в безраздельном доступе. Как рассмотрено в разделе 5.1.1, существует
возможность терминировать процесс фаирволла и тем самым прекратить блокировку
файла правил, что даёт возможность подменить его даже ограниченному пользова-
телю.
"Symantec Desktop Firewall":
Хранит все правила в plain text в реестре. Соответствующий ключ:
\HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\IAM\FirewallObjects\IPFilterRules\Rule1
Здесь находятся все детали правил, такие как направление или протокол. Атакую-
щему не составляет труда вставить в начало последовательности правило, разре-
шающее через фаирволл любой траффик.
"Sygate Personal Firewall":
Хранит набор правил в файле STDDEF.DAT в своём инсталляционном каталоге
по умолчанию. Файл машинно-независим. Это означает возможность подмены его из-
менённой версией с другой машины. Пока фаирволл работает, он держит этот файл
открытым в безраздельном доступе. Как рассмотрено в разделе 5.1.1, существует
возможность терминировать процесс фаирволла и тем самым прекратить блокировку
файла правил, что даёт возможность подменить его даже ограниченному пользова-
телю.
Общие выводы
Hабор правил является мозгом персонального фаирволла. Если существует
возможность изменять его записи, весь фаирволл оказывается беззащитным. Экспе-
римент показал возможность добавления пользовательских правил для всех трёх
протестированных фаирволлов. Этот приём может быть реализован в виде трояна,
добавляющего всеразрешающее правило, делая возможной связь с Интернетом без
ограничений.
Противодействие
Hабор правил можно зашифровать и защитить кодом аутентификации сообщения
[message authentication code (MAC)], но все данные, в особенности ключ, необ-
ходимый для его расшифровки, придётся хранить локально в этой же машине. В
противном случае, фаирволл не будет иметь возможность читать правила после пе-
резагрузки машины. Однако, хранение секретного ключа локально оставляет воз-
можность и другому приложению читать его и далее использовать для расшифровки
правил.
Если фаирволл открывает файл в безраздельном режиме, блокируя другим про-
цессам возможность доступа к нему, возникает вопрос, не хранится ли он где-ли-
бо в памяти, где им можно было бы манипулировать?
Даже если последнее не рассматривается, как было показано в разделе 5.1.
1, остаётся возможность терминировать текущий процесс фаирволла и тем самым
отменить исключительный режим доступа к файлу правил, оставив его незащищён-
ным.
Другой выход заключается в том, что в первый раз, когда пользователь инс-
таллирует персональный фаирволл, у него запрашивается пароль. С этим паролем
набор правил заверяется с использованием асимметричного алгоритма шифрования.
Каждый раз при запуске фаирволл может использовать открытый ключ для проверки
сигнатуры набора правил, дабы убедиться в том, что он не был подменён. Если
пользователь хочет изменить некоторое правило, он предъявляет свой закрытый
ключ и набор правил обновляется. Это могло бы сработать, если бы не одна проб-
лема, заключающаяся в том, что злоумышленник может просто подменить набор пра-
вил и снабдить его соответствующим открытым ключом, так что процедуру проверки
он успешно пройдёт. Истоки проблемы в том, что мы не может полагаться ни на
какие данные, поскольку они хранятся локально, а значит, могут быть подменены
атакующим. Открытый ключ теряет аутентичность, будучи подменённым. Перемещение
же процедуры аутентификации на другую машину неудобно с практической точки
зрения.
Файлы правил можно было бы инсталлировать только при правах администрато-
ра и иметь небольшую службу, принимающую запросы на изменения только с пользо-
вательского интерфейса. Это позволило бы защитить файл правил от изменений на-
прямую, поскольку нормальный пользователь изменять этот файл прав иметь не бу-
дет.
Hо проблема в том, что нормальный пользователь возможность изменять свою
конфигурацию правил хочет иметь. Возможность для нормального пользователя из-
менять правила всегда порождает возможность для инструмента агрессии действо-
вать тем же методом. Hапр., это может быть модифицированная версия пользова-
тельского интерфейса, которая при запуске автоматически инсталлирует всеразре-
шающее правило. Для скептиков можно предложить следующий сценарий. Инструмент
агрессии делает скриншот реального пользовательского десктопа. Затем это изоб-
ражение демонстрируется поверх всего, а клавиатура отключается. Для обычного
пользователя это будет выглядеть так, будто машина "задумалась". За этим изоб-
ражением, инструмент эмулирует клики мыши и нажатия клавиш для персонального
фаирволла. Таким способом он может создать правило, разрешающее всё, как будто
это сделал нормальный пользователь. В конце скриншот будет удалён, а пользова-
тель появление нового правила не заметит.
"Sygate Personal Firewall" использует другой подход. При закрытии он за-
писывает правила из памяти обратно в файл. Это устраняет проблему манипуляции
файлом во время нормального использования. К сожалению, этот метод надёжен
только при отсутствии возможности манипулировать правилами в памяти и закры-
вать фаирволл обходными путями. Возможность последнего была доказана в разделе
5.1.1.
Увы, предложить надёжно работающее решение данной проблемы не представля-
ется возможным. По моему мнению, она должна решаться с использованием админис-
трирующего процесса, который контролирует файл правил.
textend.section
* Origin: 2:5020/1317.8, /2024.2, /2173.2, /2613.5, /5413.3 (2:5020/2173.2)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Персональные фаирволлы и выявление вторжений |
Marхnais |
18 Nov 2005 17:06:14 |
|
|
