Безопасность — это процесс. Часть 5

Безопасность — это процесс. Часть 5

Окончание. Начало в КГ №№ 45-48

Проблемы создания персонального файрволла в Windows 2000 с помощью IPSec
В предыдущей статье мы освежили в памяти теоретические моменты. А теперь конкретно и по делу.
По умолчанию в Windows 2000/XP/2003 IPSec не блокирует пакеты, которые связаны с Kerberos или IKE (Internet Key Exchange). То есть система пропускает любой пакет, имеющий порт источника или порт назначения UDP 88, или TCP 88 (Kerberos), или UDP 500 (IKE). Поэтому, применяя IP-spoofing (подмену адресов), опытный злоумышленник может получить доступ к любым портам, в том числе блокированным с помощью IPSec, определяя порт TCP 88 или UDP 500 как исходный порт.
В дополнение к вышесказанному политики IPSec пропускают также трафик Broadcast, Multicast, RSVP (Resource Reservation Protocol использует протокол IP 46 и относится к службе QoS).

Начиная с SP1 в Windows 2000 добавлен параметр реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC\NoDefaultExempt [dword]. Если NoDefault Exempt установлен в 1, то Windows 2000 не позволит пакетам с исходным портом TCP 88 поступать на порты компьютера, которые вы заблокировали соответствующей политикой IPSec. Этот же ключ позволяет блокировать и трафик RSVP.
Microsoft настоятельно рекомендует устанавливать этот параметр равным 1.
Если NoDefaultExempt установлен в 0, то это эквивалентно применению следующих IPSec-фильтров:


Адрес источника пакетов

Адрес назначения пакетов

Протокол

Порт источника

Порт назначения

Действие фильтра
Мой IP-адрес Любой IP-адрес UDP Любой 88
Разрешить
Любой IP-адрес Мой IP-адрес UDP 88 Любой
Разрешить
Любой IP-адрес Мой IP-адрес UDP Любой 88
Разрешить
Мой IP-адрес Любой IP-адрес UDP 88 Любой
Разрешить
Мой IP-адрес Любой IP-адрес TCP Любой 88
Разрешить
Любой IP-адрес Мой IP-адрес TCP 88 Любой
Разрешить
Любой IP-адрес Мой IP-адрес TCP Любой 88
Разрешить
Мой IP-адрес Любой IP-адрес TCP 88 Любой
Разрешить
Мой IP-адрес Любой IP-адрес UDP 500 500
Разрешить
Любой IP-адрес Мой IP-адрес UDP 500 500
Разрешить
Мой IP-адрес Любой 46 (RSVP)
Разрешить
Любой IP-адрес Мой IP-адрес 46 (RSVP)
Разрешить
Любой IP-адрес <multicast>
Разрешить
Мой IP-адрес <multicast>
Разрешить
Любой IP-адрес <broadcast>
Разрешить
Мой IP-адрес <broadcast>
Разрешить
Весь трафик по протоколу IPv6. IPSec вообще не поддерживает фильтрацию для этого протокола
Разрешить
Нижеследующая таблица описывает заданное по умолчанию поведение для разрешения трафика в различных версиях Windows 2000 и XP.


Релиз

SP1

SP2

SP3

SP4
Windows 2000 Имеет настройки пропуска трафика по умолчанию. Ключ NoDefaultExempt не поддерживается Имеет настройки пропуска трафика по умолчанию. Ключ NoDefaultExempt может принимать значения 0 или 1 То же, что и для SP1 То же, что и для SP1 По умолчанию NoDefaultExempt=1, что делает возможным блокирование трафика Kerberos и RSVP
Windows XP Имеет настройки пропуска трафика по умолчанию. Ключ NoDefaultExempt может принимать значения 0 или 1 То же, что и для релиза По умолчанию NoDefaultExempt=1, что делает возможным блокирование трафика Kerberos и RSVP

В Windows Server 2003 появились еще два допустимых значения для параметра реестра NoDefaultExempt:
• Значение NoDefault Exempt, равное 2, определяет, что multicast- и broadcast-трафик не освобождается от фильтрации IPSec. Но трафик RSVP, Kerberos и IKE — освобождается.
• Значение, равное 3, определяет, что только трафик IKE освобожден от фильтрации IPSec. Windows Server 2003 задает такое поведение по умолчанию, хотя ключ реестра NoDefaultExempt по умолчанию не существует. Однако параметр NoDefaultExempt по-прежнему не действует на пакеты IKE, и документация Microsoft объясняет этот момент следующим образом.

IKE всегда получает пакет от любого исходящего адреса. Возможно, нападающий использует порты IKE, чтобы напасть на IKE непосредственно и вызвать возможные проблемы. Однако порт IKE не может использоваться, чтобы атаковать другой открытый UDP- или TCP-порт. В этом случае IKE выполнит поиск IPSec-политики, чтобы определить, как ответить на входящий пакет. Поскольку IKE используется для того, чтобы согласовать параметры защиты между двумя хостами, то IKE в этом случае не найдет соответствующую политику защиты и не будет отвечать на входящие запросы.

IKE может быть заблокирован лишь одним способом — остановкой службы IPSec, которая отключит также и фильтры IPSec. Кроме прочего, по утверждению разработчика, в IKE используются различные методы для предотвращения DoS-атак.
Но если все-таки IKE подвергается атакам, и эта служба не используется по назначению, но вместе с тем фильтрация IPSec необходима, то возможны следующие варианты:
• используйте блокировку трафика на порту UDP 500 на вашем шлюзе или файрволле;
• используйте TCP/IP-фильтрацию (опция Разрешить только) и команду netstat -a для просмотра открытых UDP-портов;
• в Windows XP используйте встроенный файрволл.
Резюме: организация IP-брандмауэра встроенными средствами Windows 2000 и XP — не совсем простая задача. И, как верно отмечено в комментариях все к той же статье, упомянутой в начале раздела: "опыт работы показывает, что 90% попыток пользователя настроить брандмауэр, основываясь на информации, почерпнутой из указаний "нажать сюда, потом сюда", заканчиваются проблемами с доступом в сеть и звонками пользователя в службу поддержки провайдера".

Эпилог
Пока писалась эта статья, появились весьма интересные новости. "Корпорация Microsoft признала, что ее стратегия выпуска патчей для отдельных "дыр" в операционных системах по мере их появления оказалась неэффективной. Специалисты компании планируют развернуть новую стратегию в области безопасности программного обеспечения — безопасность по периметру. "Речь идет о глубоком партнерстве с миром firewall", — отметил представитель корпорации. А Стив Балмер выразился так: "Мы знаем, что плохие парни продолжают писать вирусы. Цель состоит в том, чтобы блокировать их прежде, чем они достигнут ПК".

Хотя Microsoft продолжит работать над совершенствованием процесса установки обновлений и патчей для своих операционных систем и продуктов, становится ясно, что слишком многие пользователи пренебрегают или попросту не успевают "залатывать" свои программы, оставаясь таким образом уязвимыми для вирусных и хакерских атак. До сих пор усилия Microsoft в области безопасности своих программ сводились к обеспечению надежности изначально создаваемого кода и последующему выпуску патчей по мере обнаружения новых "дыр". Однако последние вирусные атаки показали, что пользователи продолжительное время остаются незащищенными после публикации патчей на сайте Microsoft".
Для системных администраторов, уставших от установки патчей на Windows-компьютеры, главным новшеством станет переход софтверного гиганта на ежемесячный график выпуска поправок. Microsoft приступает к выпуску обновлений для своих программ один раз в месяц, за исключением тех случаев, когда, чтобы предупредить опасность атаки, поправки надо внести немедленно, сообщила директор по управлению продуктами отделения безопасности Microsoft Эми Кэрролл. "Наши заказчики жалуются, что устанавливать патчи еженедельно слишком трудоемко, — пояснила она. — А бывает, что распространение патча провоцирует появление кода-эксплойта".
На сайте Microsoft будут публиковаться ежемесячные выпуски с рекомендациями по приемам защиты, а в качестве примера для обучения системных администраторов способам защиты систем компания использует свой собственный опыт — в сериях под названием "Как Microsoft защищает Microsoft". В то же время различные специалисты высказываются в том духе, что сейчас самое время анонсировать продукт управления патчами, так как это тот рынок, на котором можно делать деньги. И это несмотря на существование Software Update Services (SUS) от самой Microsoft.

Помимо прочего шквала новостей, есть и такая: в Лос-Анджелесе уже подан гражданский иск к Microsoft, обвиняющий компанию в небезопасности ее продуктов. Иск подан от имени жительницы Лос-Анджелеса, которая утверждает, что из-за дефекта программы была украдена ее персональная информация. Иск станет также важным тестом для нового закона штата Калифорния, который требует, чтобы компании электронной коммерции предупреждали заказчиков, что их персональные данные могут быть украдены. Однако, по мнению независимых юристов, дело против софтверной компании практически невозможно выиграть, если только кто-нибудь не будет убит или ранен. Вот такие дела.

Кроме всего прочего, в октябре Microsoft выпустила еще несколько критических патчей:
• MS03-040 — кумулятивный патч для Internet Explorer версий 5.01, 5.5, 6.0, 6.0 для Windows Server 2003. Публикуемый патч закрывает все ранее обнаруженные уязвимости в системе безопасности данного клиента, а также несколько новых. Новые уязвимости состоят в некорректном определении приложением Internet Explorer типа объекта, возвращаемого веб-сервером, в случае со всплывающим окном и во время обработки XML-данных. При посещении пользователем специально разработанного сайта, созданного нападающим, или получение от последнего специальным образом сконструированного сообщения в формате HTML становится возможным запуск произвольного кода в атакуемой системе без осуществления каких-либо действий со стороны пользователя.
• MS03-041 — уязвимость в процедуре аутентификации кода может привести к запуску удаленного кода. Уязвимость состоит в процедуре аутентификации кода, когда при условии нехватки памяти становятся возможными загрузка и запуск произвольного кода в режиме удаленного доступа посредством элементов управления ActiveX. Для проведения атаки нападающему необходимо сконструировать и разместить в Интернете вредоносный веб-сайт, эксплуатирующий данную уязвимость, и каким-либо образом убедить пользователя посетить такой сайт либо отослать вредоносное почтовое сообщение в формате HTML.
• MS03-042 — переполнение буфера в сервисе диагностики ActiveX может привести к запуску кода.
• MS03-043 — переполнение буфера в Messenger Service может привести к запуску кода. Нападающий может выполнять любые действия включая создание пользовательских учетных записей с полными правами на атакуемой системе. Защита: установить соответствующий патч или отключить этот сервис.
• MS03-044 — переполнение буфера в справочной системе Windows и в Центре поддержки может привести к компрометации системы. Уязвимости подвержены все без исключения версии операционной системы MS Windows. Для проведения атаки нападающему необходимо сконструировать URL, который при обращении к нему пользователя смог бы запустить на атакуемом компьютере любой код по желанию нападающего, а также читать, удалять, вносить изменения в данные или запускать файлы в пользовательской системе. URL также может быть размещен на веб-странице или отослан непосредственно пользователю по электронной почте. Стоит отметить, что действие пользователя все же необходимо: нужно кликнуть на ссылке, но разве проблема заставить его это сделать?
Короче говоря: безопасность — это не продукт, это — процесс.

Юрий Трофимов, mr.Root@tut.by


Компьютерная газета. Статья была опубликована в номере 49 за 2003 год в рубрике soft :: win

©1997-2024 Компьютерная газета