|
ru.internet.security
- RU.INTERNET.SECURITY ---------------------------------------------------------
From : Marхnais 2:5020/2173.2 05 Mar 2006 01:16:14
To : All
Subject : Персональные фаирволлы и выявление вторжений
--------------------------------------------------------------------------------
textsection 5 of 13 of file WUESTR.TXT
textbegin.section
Рисунок ниже показывает граф проделанных атак, из которого были выведены
различные сценарии.
ЪАТАКАТДВ>ЪЛокальнаяТДВ>ЪАтака на доверяемоеДДТДВД>ЪЗлоупотреблениеДДДДДДДД·
і є°і і є°і іприложение є°і ідоверяемым приложением є°
ФНННННј°і ФНННННННННј°і ФНННННННННННННННННННННј°і ФНННННННННННННННННННННННј°
°°°°°°°і °°°°°°°°°°°і °°°°°°°°°°°°°°°°°°°°°°°і °°°°°°°°°°°°°°°°°°°°°°°°°
і і ГД>ЪВнедрение памятиДДДДДДД·
і і і і є°
і і іЪ>ФНННННННННННННННННННННННј°
і і іі °°°°°°°°°°°°°°°°°°°°°°°°°
і і ГД>ЪИзменение набора правил·
і і іі і є°
і і іГ>ФНННННННННННННННННННННННј°
і і іі °°°°°°°°°°°°°°°°°°°°°°°°°
і А>ЪАтака на персональныйТДіЕ>ЪHажатие кнопки "да"ДДДД·
і іфаирволл є°іі і є°
і ФНННННННННННННННННННННј°іі ФНННННННННННННННННННННННј°
і °°°°°°°°°°°°°°°°°°°°°°°іі °°°°°°°°°°°°°°°°°°°°°°°°°
і АД>ЪТуннелированиеДДДДДДДДД·
і і і є°
і і ФНННННННННННННННННННННННј°
і і °°°°°°°°°°°°°°°°°°°°°°°°°
А>ЪУдалённаяТДВ>ЪАтака на персональныйТДВД>ЪФиктивный траффикДДДДДД·
і є°і іфаирволл є°іі і є°
ФНННННННННј°і ФНННННННННННННННННННННј°іі ФНННННННННННННННННННННННј°
°°°°°°°°°°°і °°°°°°°°°°°°°°°°°°°°°°°іі °°°°°°°°°°°°°°°°°°°°°°°°°
і іГ>ЪПерехватДДДДДДДДДДДДДДД·
і іі і є°
і іі ФНННННННННННННННННННННННј°
і іі °°°°°°°°°°°°°°°°°°°°°°°°°
і іГ>ЪHевидимостьДДДДДДДДДДДД·
і іі і є°
і іі ФНННННННННННННННННННННННј°
і іі °°°°°°°°°°°°°°°°°°°°°°°°°
і іГ>ЪИсчерпание ресурсовДДДД·
і іі і є°
і іі ФНННННННННННННННННННННННј°
і іі °°°°°°°°°°°°°°°°°°°°°°°°°
і іГ>ЪТерминация процессаДДДД·
і іі і є°
і іі ФНННННННННННННННННННННННј°
і іі °°°°°°°°°°°°°°°°°°°°°°°°°
і іГ>ЪБлокирование мьютексаДД·
і іі і є°
і іі ФНННННННННННННННННННННННј°
і іі °°°°°°°°°°°°°°°°°°°°°°°°°
і ГД>ЪЗатоплениеДДДДДДДДДДДДД·
і іі і є°
і іГ>ФНННННННННННННННННННННННј°
і іі °°°°°°°°°°°°°°°°°°°°°°°°°
і іА>ЪИзменение логаДДДДДДДДД·
і і і є°
і і ФНННННННННННННННННННННННј°
і і °°°°°°°°°°°°°°°°°°°°°°°°°
і АД>ЪЗатопление сигналамиДДД·
і ітревоги є°
і ФНННННННННННННННННННННННј°
і °°°°°°°°°°°°°°°°°°°°°°°°°
А>ЪСбор информацииДДДДДДТДДД>ЪСканирование портовДДДД·
і є° і є°
ФНННННННННННННННННННННј° ФНННННННННННННННННННННННј°
°°°°°°°°°°°°°°°°°°°°°°° °°°°°°°°°°°°°°°°°°°°°°°°°
ЪЗлоупотреблениеДДДДДДДДТДВ>ЪКража прав приложенияТДВ>ЪПрохождение некоторых·
ідоверяемым приложением є°і і є°і іфильтров є°
ФНННННННННННННННННННННННј°і ФНННННННННННННННННННННј°і ФНННННННННННННННННННННј°
°°°°°°°°°°°°°°°°°°°°°°°°°і °°°°°°°°°°°°°°°°°°°°°°°і °°°°°°°°°°°°°°°°°°°°°°°
ЪВнедрение памятиДДДДДДДТДЩ і
і є° і
ФНННННННННННННННННННННННј° і
°°°°°°°°°°°°°°°°°°°°°°°°° і
ЪИзменение набора правилТДВ>ЪДобавление пользова-ДТДґ
і є°і ітельского правила є°і
ФНННННННННННННННННННННННј°і ФНННННННННННННННННННННј°і
°°°°°°°°°°°°°°°°°°°°°°°°°і °°°°°°°°°°°°°°°°°°°°°°°і
ЪHажатие кнопки "да"ДДДДТДЩ і
і є° і
ФНННННННННННННННННННННННј° і
°°°°°°°°°°°°°°°°°°°°°°°°° і
ЪТуннелированиеДДДДДДДДДТДї і
і є°і і
ФНННННННННННННННННННННННј°і і
°°°°°°°°°°°°°°°°°°°°°°°°°і і
ЪФиктивный траффикДДДДДДТДД>ЪПрава доверяемогоДДДДТДЩ
і є°і іисточника є°
ФНННННННННННННННННННННННј°і ФНННННННННННННННННННННј°
°°°°°°°°°°°°°°°°°°°°°°°°°і °°°°°°°°°°°°°°°°°°°°°°°
ЪПерехватДДДДДДДДДДДДДДДТДґ
і є°і
ФНННННННННННННННННННННННј°і
°°°°°°°°°°°°°°°°°°°°°°°°°і
ЪHевидимостьДДДДДДДДДДДДТДБ>ЪОбход фильтрующегоДДДТДВ>ЪИзбежание фильтрацииД·
і є° ідвижка є°і і є°
ФНННННННННННННННННННННННј° ФНННННННННННННННННННННј°і ФНННННННННННННННННННННј°
°°°°°°°°°°°°°°°°°°°°°°°°° °°°°°°°°°°°°°°°°°°°°°°°і °°°°°°°°°°°°°°°°°°°°°°°
ЪИсчерпание ресурсовДДДДТДї і
і є°і і
ФНННННННННННННННННННННННј°і і
°°°°°°°°°°°°°°°°°°°°°°°°°і і
ЪТерминация процессаДДДДТДЕ>ЪВыключение персональ-ТДЩ
і є°і іного фаирволла є°
ФНННННННННННННННННННННННј°і ФНННННННННННННННННННННј°
°°°°°°°°°°°°°°°°°°°°°°°°°і °°°°°°°°°°°°°°°°°°°°°°°
ЪБлокирование мьютексаДДТДґ
і є°і
ФНННННННННННННННННННННННј°і
°°°°°°°°°°°°°°°°°°°°°°°°°і
ЪЗатоплениеДДДДДДДДДДДДДТДЩ ЪПотеря информацииДДДДТДД>ЪУтечка информацииДДДД·
і є° і є° і є°
ФНННННННННННННННННННННННјДВ>ФНННННННННННННННННННННј° ФНННННННННННННННННННННј°
°°°°°°°°°°°°°°°°°°°°°°°°°і °°°°°°°°°°°°°°°°°°°°°°° °°°°°°°°°°°°°°°°°°°°°°°
ЪИзменение логаДДДДДДДДДТДґ
і є°і
ФНННННННННННННННННННННННј°і
°°°°°°°°°°°°°°°°°°°°°°°°°і
ЪЗатопление сигналамиДДДТДґ
ітревоги є°і
ФНННННННННННННННННННННННј°і
°°°°°°°°°°°°°°°°°°°°°°°°°і
ЪСканирование портовДДДДТДЩ
і є°
ФНННННННННННННННННННННННј°
°°°°°°°°°°°°°°°°°°°°°°°°°
Далее рассмотрены различные категории атак, использованных при тестирова-
нии персональных фаирволлов. Здесь объясняются лежащие в основе атак идеи, а
также ущерб, который они могут вызывать.
4.1.1 Терминация процесса
Описание: Попытка остановить работу персонального фаирволла локально.
Требуемый доступ: Локальный.
Суть: Остановка исполнения персонального фаирволла.
Ущерб: Прекращение работы персонального фаирволла.
Цель: Преодоление входящей и исходящей фильтрации.
Варианты: Отправка терминирующего сообщения от администратора или
обычного пользователя.
4.1.2 Внедрение в память 1
Описание: Внедрение процесса в пространство памяти персонального фаир-
волла.
Требуемый доступ: Локальный.
Суть: Попытка стать частью процесса фаирволла.
Ущерб: Использование прав доступа фаирволла.
Цель: Преодоление входящей и исходящей фильтрации.
Варианты: Загрузка DLL в это пространство памяти, затем выделение этой
памяти под функцию, вызываемую из рабочей памяти фаирволла.
4.1.3 Сбор информации
Описание: Сканирование портов с целью сбора информации об охраняемой
системе.
Требуемый доступ: Удалённый.
Суть: Сбор как можно большей информации о системе для последующих
атак.
Ущерб: Утечка информации.
Цель: Возможная последующая специфическая атака.
Варианты: Использование специальных приёмов скрытого сканирования, ти-
па сканирования XMAS.
4.1.4 Внедрение в память 2
Описание: Внедрение процесса в пространство памяти доверяемого прило-
жения.
Требуемый доступ: Локальный.
Суть: Попытка стать частью доверяемого приложения.
Ущерб: К траффику будет применена фильтрация доверяемого приложе-
ния.
Цель: Преодоление входящей и исходящей фильтрации.
Варианты: Загрузка DLL в это пространство памяти, затем выделение этой
памяти под функцию, вызываемую из рабочей памяти приложения.
4.1.5 Кнопка "дополнительно"
Описание: Попытка перехватить отсылаемую информацию в момент, когда
пользователь нажимает кнопку "дополнительно" ["more info"] и
перенаправляется на страницу производителя.
Требуемый доступ: Удалённый.
Суть: Hекоторые персональные фаирволлы отсылают номер версии и IP-
адреса сайту для получения дополнительной информации.
Ущерб: Утечка информации.
Цель: Возможная последующая специфическая атака.
4.1.6 Входящее затопление
Описание: Отсылка персональному фаирволлу огромного объёма траффика.
Требуемый доступ: Удалённый.
Суть: Загрузка всех ресурсов для временного или полного выключения
фаирволла.
Ущерб: Прекращение работы персонального фаирволла.
Цель: Преодоление входящей и исходящей фильтрации.
Варианты: Применение для затопления различных протоколов типа TCP,
UDP, ICMP или IGMP. Применение специально изготовленных па-
кетов типа SYN или FYN. Варьирование загрузки траффика. При-
менение фиктивных случайных исходящих адресов. Применение в
пакетах одинаковых адресов источника и получателя.
4.1.7 Исходящее затопление
Описание: Отсылка огромного объёма траффика с машины, на которой рабо-
тает персональный фаирволл.
Требуемый доступ: Локальный.
Суть: Загрузка всех ресурсов для временного или полного выключения
фаирволла.
Ущерб: Прекращение работы персонального фаирволла.
Цель: Преодоление входящей и исходящей фильтрации.
Варианты: Применение для затопления различных протоколов типа TCP,
UDP, ICMP или IGMP. Применение специально изготовленных па-
кетов типа SYN или FYN. Варьирование загрузки траффика. При-
менение случайных исходящих IP-адресов и фиктивных случай-
ных исходящих IP-адресов. Применение в пакетах одинаковых
адресов источника и получателя.
4.1.8 Фиктивные пакеты
Описание: Отсылка специальных пакетов с 127.0.0.1 в качестве исходяще-
го IP-адреса.
Требуемый доступ: Удалённый.
Суть: Претензия на траффик, исходящий из доверяемого устройства
обратной петли.
Ущерб: К траффику будет применена фильтрация доверяемого источника.
Цель: Преодоление входящей фильтрации.
Варианты: Применение различных протоколов типа TCP, UDP, ICMP или
IGMP. Применение специально изготовленных пакетов типа SYN
или FYN.
4.1.9 Подмена двоичного кода
Описание: Подмена доверяемого приложения инструментом агрессии с таким
же именем и путём.
Требуемый доступ: Локальный.
Суть: Имитация доверяемого приложения.
Ущерб: К траффику будет применена фильтрация доверяемого приложе-
ния.
Цель: Преодоление входящей и исходящей фильтрации.
Варианты: Замена значения хеша доверяемого приложения, хранимого пер-
сональным фаирволлом для обнаружения подмены.
4.1.10 Перехват
Описание: Использование пакетного сниффера для перехвата траффика пе-
ред тем, как он будет отсеян персональным фаирволлом.
Требуемый доступ: Локальный.
Суть: Получение траффика до того, как он будет заблокирован.
Ущерб: К траффику фильтрация применена не будет.
Цель: Преодоление входящей фильтрации.
Варианты: Использование различных видов сетевых снифферов.
4.1.11 Блокирование мьютекса
Описание: Блокирование мьютекса персонального фаирволла.
Требуемый доступ: Локальный.
Суть: Предотвращение загрузки персонального фаирволла.
Ущерб: Прекращение работы персонального фаирволла.
Цель: Преодоление входящей и исходящей фильтрации.
4.1.12 Туннелирование
Описание: Применение разрешённых протоколов передачи для скрытия ре-
ального траффика в новых пакетах.
Требуемый доступ: Локальный.
Суть: Перепаковка траффика в другой протокол и использование соот-
ветствующих портов для его отправки и получения.
Ущерб: К траффику будет применена фильтрация доверяемого приложе-
ния.
Цель: Преодоление входящей и исходящей фильтрации.
Варианты: Применение для скрытия пакетов различных протоколов, напр.,
HTTP, SMTP или ICMP.
textend.section
* Origin: 2:5020/1317.8, /2024.2, /2173.2, /2613.5, /5413.3 (2:5020/2173.2)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Персональные фаирволлы и выявление вторжений |
Marхnais |
05 Mar 2006 01:16:14 |
|
|
