|
||||
|
Недостатки средств защиты от хакерских атак |
Дата создания
сайта:
24/02/2012 |
||
![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() |
Google против межсетевых экранов Как сообщается в 21 номере "PCWeek/RE" за 2001 год, из-за временного
отключения межсетевого экрана в Южном политехническом университете
Атланты поисковая машина Google проиндексировала внутреннюю сеть этого
вуза и смогла получить доступ к файлам о студентах - домашним адресам,
номерам социального страхования и т. д. Можно провести хорошую аналогию с физическим миром. Межсетевой экран - это просто ограждение вокруг вашей сети, которое не может обнаружить, когда кто-то роет подкоп под него. МСЭ просто ограничивает доступ к некоторым точкам за вашим ограждением. А чтобы не быть голословными, приведем несколько примеров, когда межсетевые экраны не спасут вас от злоумышленников [Лукацкий1-01]. Атаки через туннели в межсетевом экране Туннелирование является методом инкапсуляции (маскирования) сообщений одного типа (которые могут быть блокированы фильтрами МСЭ) внутри сообщений другого типа [Bellovinl-94], Атаки через "туннели" возникают вследствие наличия соответствующих свойств у многих сетевых протоколов. МСЭ фильтрует сетевой трафик и принимает решения о пропуске или блокировании пакетов, опираясь на информацию об используемом сетевом протоколе. Обычно правила предусматривают соответствующую проверку с целью определения того, задействован или нет конкретный протокол. Например, если на МСЭ разрешены 25-й и 80-й порты, то тем самым разрешается пропуск во внутреннюю сеть почтового (SMTP) и Web- (HTTP) трафика. Именно этот принцип обработки и используется квалифицированными злоумышленниками. Вся несанкционированная деятельность осуществляется в рамках разрешенного протокола, создавая тем самым в нем туннель, по которому злоумышленник и реализует атаку. Например, такой дефект в межсетевых экранах используется при реализации атаки LOKI, которая позволяет туннелировать различные команды в запросы ICMP Echo Request и реакции на них в ответы ICMP Echo Reply, что существенно изменяет размер поля данных по сравнению со стандартным . Для межсетевого экрана и любого другого традиционного средства
сетевой безопасности данные действия выглядят вполне обычно. Например,
вот как отображается передача файла паролей в 1СМР-"туннеле"
анализатором протоколов TCPdump.
Рис. 1.3. Атака через туннели в межсетевом экране Самый простой пример, демонстрирующий применение таких туннелей, - Internet-черви и макровирусы, заносимые в корпоративную сеть в виде вложений (attachments) в сообщения электронной почты. Если межсетевой экран разрешает прохождение SMTP-трафика (автору не приходилось видеть МСЭ, который бы этого не делал), то во внутреннюю сеть может попасть и "вирусная инфекция". Приведем более сложный пример. Например, Web-сервер, функционирующий под управлением программного обеспечения компании Microsoft (Internet Information Server), защищается межсетевым экраном, на котором разрешен только 80-й порт. На первый взгляд, обеспечивается эффективная защита. Но только на первый взгляд. Если используется IIS версии 3.0, то обращение по адресу http://www.domain.ru/default.asp. (с точкой на конце) позволяет злоумышленнику получить доступ к содержимому ASP-файла, который может хранить конфиденциальные данные (например, пароль доступа к базе данных). И даже если вы установили самую последнюю версию IIS 5.0. Мало того, большое количество правил снижает производительность межсетевого экрана и, как следствие, пропускную способность каналов связи, проходящих через него. Атаки, осуществляемые в обход межсетевого экрана Слова песни из детского фильма "Айболит-66" - "Нормальные герои всегда идут в обход" - как нельзя лучше иллюстрируют следующую проблему, присущую межсетевым экранам. Зачем пытаться проникнуть к защищаемым ресурсам через защитные средства, когда можно попытаться их обойти? Пример из смежной области 21 февраля 1990 года аналитик по бюджету Мэри Пирхем (Mary Pircham) пришла на работу. Однако она не смогла пройти на свое рабочее место даже после набора четырехзначного кода и произнесения кодового слова в системе безопасности. Желая все же войти, Мэри открыла дверь черного хода при помощи пластиковой вилки и карманной отвертки. Новейшая защитная система, которую обошла Мэри Пирхем, рекламировалась как "безотказная и надежная" и стоила 44 тыс. долларов [Вакка1-97]. Аналогично и с межсетевыми экранами, только роль черного хода может
выполнять модем. Знаете ли вы, сколько в вашей сети установлено модемов,
и для чего они используются? Не отвечайте сразу утвердительно,
подумайте. При обследовании одной сети руководители отдела защиты
информации и автоматизации рвали на себе рубахи, утверждая, что они
знают все до единого модема, установленные в их сети. Запустив систему
анализа защищенности Internet Scanner, мы действительно нашли указанные
ими модемы, используемые для обновления баз данных бухгалтерской и
юридической систем. Однако было обнаружено и два неизвестных модема.
Одним пользовался сотрудник аналитического отдела с целью получения
доступа к рабочим каталогам из дома. Второй модем служил для доступа в
Internet в обход межсетевого экрана. Читать далее про хакерские атаки
p.s. При копировании материалов и фотографий, активная ссылка на сайт обязательна. Саратов 2007-2014 г. Посетите также наш сайт: www.matrixplus.ru
|
![]() ![]() ![]() ![]() ![]() ![]()
|
||
Главная страница | ||||
|
||||
|