Развалины стен или почему вы не должны спать спокойно
Однажды вы задумались о том, что пора пресечь несанкционированный доступ в вашу сеть или предотвратить это в будущем, и приобрели себе за кругленькую сумму firewall (или МСЭ — межсетевой экран — данную аббревиатуру я и буду, главным образом, использовать в дальнейшем). Теперь, просматривая отчеты ваших системных аналитиков и инженеров безопасности о выявленных и, следовательно, пресеченных попытках вторжения, вы радостно потираете ладони, а ночью спите спокойно. Но эта идилия рано или поздно закончится — это я вам могу обещать. Ну и посоветовать не слишком-то и верить рекламным проспектам компаний, предлагающих свои решения в области информационной безопасности. Они могут заявлять, что де наши аппаратно-програмные, ну или просто программные комплексы полностью защитят вашу сеть от вторжений, наши продукты даже сертифицированы Международной ассоциацией по компьютерной безопасности ICSA... Но почему-то факты свидетельствуют об обратном.
посмотрим, за что вы платите свои деньги...
Весной 2000 года трое специально приглашенных хакеров продемонстрировали атаку на файрволл Checkpoint Software Firewall-1 версии 4.0 и 5-м сервиспаком перед участниками проходящей в Лас-Вегасе конференции по информационной безопасности "Black Hat Briefings 2000". Сначала было показано, как можно обезличить доступ, закрепленный за администратором, и взять управление на себя. Затем хакеры заставили файрволл принять анонимный доступ из Интернета за VPN-доступ. Комментируя публичную демонстрацию "дыр" в файрволле, представители Checkpoint Software отметили, что эти хакерские атаки осуществлялись для конфигурации брандмауэра, не применяемой на практике, но признали, что брандмауэр имеет "дыры". А что им еще, по вашему, оставалось делать?
А ведь эти три "хакера" — Thomas Lopatic, John McDonald (TUV data protect GmbH) и Dug Song (центр интеграции информационных технологий Мичиганского университета) — не сделали больше того, что мог сделать любой другой специалист, имей он перед собой такую задачу.
Модуль аутенфикации Firewall-1 почему-то не проверял IP-адрес нападавших. В конфигурационном файле control.map изначально присутствует запись 127.0.0.1: */none
Для локального администратора это, конечно, удобно, но никто не мог помешать атакующим подменить содержимое поля IP-пакетов Source Address на 127.0.0.1 чем они и воспользовались.
Изначально МСЭ предназначен для фильтрации определенных сетевых пакетов. Но в особом режиме "fastmode" проверяются только пакеты с SYN-флагом. Поэтому достаточно лишь посылать пакеты без этого флага, и ни один из них не будет блокирован. Для составления карты "защищенной" сети атакующие в этом случае использовали стандартный Nmap с флагами -g и -sF.
С полным списком и описанием уязвимостей, ими обнаруженных, можно ознакомиться по адресу http://www.dataprotect.com/bh2000/. Вы скажете — это было 3 года назад, сейчас ситуация изменилась! А вы уверены?
Осенью 2002 года Yiming Gong, cтарщий системный администратор China Netcom, поведал, что многие МСЭ беззащитны против DoS/Denial of Service атак.
При осуществлении атаки с формированием пакетов, где в качестве адреса источника используется адрес другого сервера (IP-спуффинг), файрволлы блокируют подобный сервер. В качестве источника можно указать, например, роутер атакуемого (если известен его внутренний IP-адрес), DNS-сервер атакуемого, а также известные Интернет-серверы, к которым может обращаться атакуемый (поисковые сервера, новостные сервера). При включенной функции автоблокировки источника атаки (auto-block function on — установка по умолчанию) за короткий промежуток времени можно отрезать атакуемого от "внешнего" мира.
Уязвимости подвержены BlackICE Defender for server, BlackICE Server Protection, Norton personal firewall 2002, а также, вероятно, и другие продукты данного класса.
Symantec ответил, что информация об уязвимости передана команде разработчиков, BlackIce сообщил, что в настоящей версии файрволла ничего не может быть сделано, и они попытаются устранить проблему в будущем релизе.
Возьмем еще один известнейший МСЭ — Cisco PIX Firewall. В октябре 2001 компания Cisco сообщила, что система аутентификации Cisco PIX Firewall подвержена DoS-атакам. Потенциальной возможности быть "атакованным" подвержены все пользователи Cisco Secure PIX Firewall версии 4.0 и выше, использующие конфигурацию с ААА-аутентификацией (строчка pixfirewall# aaa authentication ...).
Суть процесса в следующем: при попытке войти в систему с одного адреса можно "забрать" все аутентификационные ресурсы системы, при этом другие пользователи войти в систему не смогут. Компания заявляет, что DoS-атаке подвержена только вышеописанная процедура, конфиденциальности данных ничто не угрожает, и возможные атаки не повлияют на уже авторизованных пользователей.Ошибка была выявлена при попытке ограничить число запросов от одного пользователя до трех. Тогда компания заявила, что больше не допустит атак DoS на эту систему. Ах, наивные...Nils Reichen 5 декабря 2002 года поведал миру, что уязвимость в TCP/IP-стеке позволяет удаленному атакующему выполнять DoS-атаку против PIX firewall. Уязвимость происходит из-за неправильной обработки адреса подсети в PIX OS стеке. Если разрешен telnet/SSH доступ для хостов внутренней сети, PIX ответит на запрос подключения, посланный адресу подсети. Использование адреса подсети в качестве адресата, позволяет обойти другой фильтр (не напоминает ли вам ситуацию с Check Point Firewall-1?). В результате, множественные TCP SYN-пакеты, посланные адресу подсети, приведут к фрагментации памяти и отказу обслуживать дальнейшие запросы. Уязвимость была обнаружена в Cisco PIX Firewall 6.2.2.
А так любимый администраторами правительственных серверов США Raptor Firewall фирмы Axent Technologies? Вы думаете и он хорош ? Как однажды сказал Иисус Христос — "Кто без греха, тот пусть поднимет и бросит в меня камень". Вы думаете кто-нибудь бросил? Все люди грешны, а файрволлы — уязвимы!!! И никуда от этого не деться. Пропускная способность вычислительной сети при использовании Raptor крайне низкая. При достижении уровня всего лишь 16 Мбит/с, Raptor начинает катастрофически сбрасывать пакеты. При 14 Мбит/с приблизительно на 26 тыс. пакетов приходилось максимум 75 сброшенных — вполне приемлемая цифра. Но при 16 Мбит/с доля потерянных пакетов составила свыше 90%. После достижения этого порога ВЧС прекратила передавать трафик, что привело к необходимости перезапуска firewall-системы. А ведь даже несколько из пропущенных пакетов могут вывести систему из строя или удовлетворить цели хакера.
Вы еще не проконсультировались со своими ребятами из отдела информационной безопасности? /* Если вы им и являетесь, «проконсультируйтесь» с материалами CERT или списков рассылки по безопасности вроде BUGTRAQ — прим. ред. */ Вы продолжаете хранить критически важные данные под защитой вашего дорогостоящего и известнейшего своей безопасностью файрволла? Зря...
посмотрим, за что вы платите свои деньги...
Весной 2000 года трое специально приглашенных хакеров продемонстрировали атаку на файрволл Checkpoint Software Firewall-1 версии 4.0 и 5-м сервиспаком перед участниками проходящей в Лас-Вегасе конференции по информационной безопасности "Black Hat Briefings 2000". Сначала было показано, как можно обезличить доступ, закрепленный за администратором, и взять управление на себя. Затем хакеры заставили файрволл принять анонимный доступ из Интернета за VPN-доступ. Комментируя публичную демонстрацию "дыр" в файрволле, представители Checkpoint Software отметили, что эти хакерские атаки осуществлялись для конфигурации брандмауэра, не применяемой на практике, но признали, что брандмауэр имеет "дыры". А что им еще, по вашему, оставалось делать?
А ведь эти три "хакера" — Thomas Lopatic, John McDonald (TUV data protect GmbH) и Dug Song (центр интеграции информационных технологий Мичиганского университета) — не сделали больше того, что мог сделать любой другой специалист, имей он перед собой такую задачу.
Модуль аутенфикации Firewall-1 почему-то не проверял IP-адрес нападавших. В конфигурационном файле control.map изначально присутствует запись 127.0.0.1: */none
Для локального администратора это, конечно, удобно, но никто не мог помешать атакующим подменить содержимое поля IP-пакетов Source Address на 127.0.0.1 чем они и воспользовались.
Изначально МСЭ предназначен для фильтрации определенных сетевых пакетов. Но в особом режиме "fastmode" проверяются только пакеты с SYN-флагом. Поэтому достаточно лишь посылать пакеты без этого флага, и ни один из них не будет блокирован. Для составления карты "защищенной" сети атакующие в этом случае использовали стандартный Nmap с флагами -g и -sF.
С полным списком и описанием уязвимостей, ими обнаруженных, можно ознакомиться по адресу http://www.dataprotect.com/bh2000/. Вы скажете — это было 3 года назад, сейчас ситуация изменилась! А вы уверены?
Осенью 2002 года Yiming Gong, cтарщий системный администратор China Netcom, поведал, что многие МСЭ беззащитны против DoS/Denial of Service атак.
При осуществлении атаки с формированием пакетов, где в качестве адреса источника используется адрес другого сервера (IP-спуффинг), файрволлы блокируют подобный сервер. В качестве источника можно указать, например, роутер атакуемого (если известен его внутренний IP-адрес), DNS-сервер атакуемого, а также известные Интернет-серверы, к которым может обращаться атакуемый (поисковые сервера, новостные сервера). При включенной функции автоблокировки источника атаки (auto-block function on — установка по умолчанию) за короткий промежуток времени можно отрезать атакуемого от "внешнего" мира.
Уязвимости подвержены BlackICE Defender for server, BlackICE Server Protection, Norton personal firewall 2002, а также, вероятно, и другие продукты данного класса.
Symantec ответил, что информация об уязвимости передана команде разработчиков, BlackIce сообщил, что в настоящей версии файрволла ничего не может быть сделано, и они попытаются устранить проблему в будущем релизе.
Возьмем еще один известнейший МСЭ — Cisco PIX Firewall. В октябре 2001 компания Cisco сообщила, что система аутентификации Cisco PIX Firewall подвержена DoS-атакам. Потенциальной возможности быть "атакованным" подвержены все пользователи Cisco Secure PIX Firewall версии 4.0 и выше, использующие конфигурацию с ААА-аутентификацией (строчка pixfirewall# aaa authentication ...).
Суть процесса в следующем: при попытке войти в систему с одного адреса можно "забрать" все аутентификационные ресурсы системы, при этом другие пользователи войти в систему не смогут. Компания заявляет, что DoS-атаке подвержена только вышеописанная процедура, конфиденциальности данных ничто не угрожает, и возможные атаки не повлияют на уже авторизованных пользователей.Ошибка была выявлена при попытке ограничить число запросов от одного пользователя до трех. Тогда компания заявила, что больше не допустит атак DoS на эту систему. Ах, наивные...Nils Reichen 5 декабря 2002 года поведал миру, что уязвимость в TCP/IP-стеке позволяет удаленному атакующему выполнять DoS-атаку против PIX firewall. Уязвимость происходит из-за неправильной обработки адреса подсети в PIX OS стеке. Если разрешен telnet/SSH доступ для хостов внутренней сети, PIX ответит на запрос подключения, посланный адресу подсети. Использование адреса подсети в качестве адресата, позволяет обойти другой фильтр (не напоминает ли вам ситуацию с Check Point Firewall-1?). В результате, множественные TCP SYN-пакеты, посланные адресу подсети, приведут к фрагментации памяти и отказу обслуживать дальнейшие запросы. Уязвимость была обнаружена в Cisco PIX Firewall 6.2.2.
А так любимый администраторами правительственных серверов США Raptor Firewall фирмы Axent Technologies? Вы думаете и он хорош ? Как однажды сказал Иисус Христос — "Кто без греха, тот пусть поднимет и бросит в меня камень". Вы думаете кто-нибудь бросил? Все люди грешны, а файрволлы — уязвимы!!! И никуда от этого не деться. Пропускная способность вычислительной сети при использовании Raptor крайне низкая. При достижении уровня всего лишь 16 Мбит/с, Raptor начинает катастрофически сбрасывать пакеты. При 14 Мбит/с приблизительно на 26 тыс. пакетов приходилось максимум 75 сброшенных — вполне приемлемая цифра. Но при 16 Мбит/с доля потерянных пакетов составила свыше 90%. После достижения этого порога ВЧС прекратила передавать трафик, что привело к необходимости перезапуска firewall-системы. А ведь даже несколько из пропущенных пакетов могут вывести систему из строя или удовлетворить цели хакера.
Вы еще не проконсультировались со своими ребятами из отдела информационной безопасности? /* Если вы им и являетесь, «проконсультируйтесь» с материалами CERT или списков рассылки по безопасности вроде BUGTRAQ — прим. ред. */ Вы продолжаете хранить критически важные данные под защитой вашего дорогостоящего и известнейшего своей безопасностью файрволла? Зря...
Павел П. aka UkR-XblP
Сетевые решения. Статья была опубликована в номере 06 за 2003 год в рубрике save ass…
