Использование недостатков идентификации ТСР-пакетов для атаки на rsh-сервер.

 

В ОС UNIX существует понятие: доверенный хост. Доверенным по отношению к данному хосту называется хост, доступ на который пользователю с данного хоста возможен без его аутентификации и идентификации с помощью r — службы. Обычно, в ОС UNIX существует файл rhost, в котором находится список имен и IP — адресов доверенных хостов. Для получения к ним удаленного доступа пользователю необходимо воспользоваться программами, входящими в r — службу (например, rlogin, rsh и.т.д.) В этом случае при использовании r — программ пользователю для получения удаленного доступа не требуется проходить стандартную процедуру идентификации и аутентификации, заключающуюся во вводе его логического имени и пароля. Аутентифицирующей информацией для r — службы является IP — адрес хоста, с которого пользователь осуществляет r — доступ. Отметим, что все программы из r — службы реализованы на базе протокола TCP. Одной из программ, входящих в r — службу, является rsh, с помощью которой возможно осуществление данной атаки. Программа rsh (remote shell) позволяет отдавать команды shell удаленному хосту. При этом, что является чрезвычайно важным в данном случае, для того, чтобы отдать команду, достаточно послать запрос, но необязательно получать на него ответ. При атаке на r — службывся сложность для атакующего заключается в том, что ему необходимо послать пакет от имени доверенного хоста, то есть, в качестве адреса отправителя необходимо указать IP — адрес доверенного хоста. Следовательно, ответный пакет будет отправлен именно на доверенный хост, а не хост атакующего.

Схема удаленной атаки на rsh — сервер была впервые описана небезызвестным Р.Т Моррисом в Bell Labs Computer Science Technical Report #117, February 25, 1985. Она заключается в следующем

Пусть хост А доверяет хосту В. Хост Х — это станция атакующего

Вначале атакующий Х открывает настоящее TCP — соединение с хостом В на любой TCP — порт (mail, echo и т.д.). В результате Х получит текущее значение на данный момент времени ISSb Далее, Х от имени А посылает на В TCP — запрос на открытие соединения

1. Х → В: SYN, ISSx

Получив этот запрос, В анализирует IP — адрес отправителя и решает, что пакет пришел с хоста А. Следовательно, В в ответ посылает на А новое значение ISSb'

2. В → А: SYN, ACK, ISSb', ACK(ISSx+1)

Х никогда не получит это сообщение от В, но, используя

предыдущее значение ISSb и схему для получения ISSb' из

п 2.4.5, может послать на В:

3. Х → В: ACK, ISSx+1, ACK(ISSb'+1)

Отметим, что для того, чтобы послать этот пакет потребуется перебрать некотрое количество возможных значений ACK(ISSb' + 1), но не потребуется подбор ISSx + 1, так как этот параметр TCP — соединения был послан с Х на В в первом пакете.

В итоге rsh — сервер на хосте В считает, что к нему подключился пользователь с доверенного хоста А, а на самом деле это атакующий с хоста Х. И хотя Х никогда не увидит пакеты с хоста В, но он сможет выполнять на нем команды.

 

Заключение.

 

Использование предложенной в данной главе классификации угроз, присущих компьютерным сетям, а также описание механизмов и причин типовых удаленных атак позволяет на практике осуществить анализ информационной безопасности любой сетевой операционной системы и сделать вывод ее защищенности. Используя приведенные в работе результаты, представляется возможным говорить о создании методики исследования безопасности компьютерных сетей. Применение данной методики подтверждается приведенными примерами удаленных атак, полученными авторами при анализе безопасности сетевой ОС Novell NetWare и сети Internet.

Следующая глава будет посвящена Firewall — методике, которая позволяет обеспечить защиту выделенного сегмента сети от некоторых видов удаленных атак, а также, является удобным средством для безопасного администрирования в глобальных сетях.

 

 

Глава 5.

Использование систем Firewall.

Зарубежные специалисты считают, что многие проблемы, связанные с безопасностью Internet, можно откорректировать или сделать менее серьезными с помощью широко известных методов и средств контроля безопасности хостов. Firewall может значительно повысить уровень безопасности сети, в то же время разрешая доступ к необходимым службам сети Internet [8]. Пример firewall, включающего маршрутизатор с фильтрацией пакетов и прикладной шлюз, приведен на рис.5.1.

					Шлюз

 

 

Сеть

 

 

 

Рисунок 5.1. Пример firewall с маршрутизатором и шлюзом.

 

Необходимо отметить, что firewall — это не просто маршрутизатор, система хостов или совокупность систем, обеспечивающих безопасность сети. Firewall — это метод обеспечения безопасности; он помогает реализовать более надежную систему обеспечения безопасности, определяющую, какие службы и какой доступ должны быть разрешены. Основная цель состоит в том, чтобы контролировать поток информации в/из защищаемой сети. Эта система реализует такой порядок доступа к сети, при котором связь осуществляется через firewall, где ее можно предотвратить.

Firewall-системой может быть маршрутизатор, ЭВМ хост или совокупность хостов, установленных специально для защиты сети или подсети, протоколов и служб, которые могут быть использованы злоумышленниками с хостов вне сети. Firewall обычно располагают на шлюзе, например, на месте соединения сети с Internet, однако эти системы могутразмещаться и на шлюзах более низких уровней для защиты меньшей совокупности хостов или подсетей.

Главный довод в пользу firewall состоит в том, что без них системы подвергаются опасности со стороны таких заведомо незащищенных служб, как NFS и NIS, а также зондированию и атакам с каких-либо других хостов внутренней сети[11]. В среде, не имеющей firewall, безопасность сети целиком зависит от безопасности хоста, подключенного к Internet, в свою очередь все хосты должны быть объединены для достижения единого уровня безопасности. Чем больше подсеть, тем менее она способна поддерживать во всех хостах одинаковый уровень безопасности. Поскольку ошибки и лазейки в системе безопасности становятся обычным явлением, нарушения возникают не в результате сложных атак, а из-за ошибок в конфигурации и ненадежности паролей.

Подход с использованием firewall предоставляет многочисленные преимущества, позволяя повысить общий уровень безопасности.

 

Достоинства применения

Firewall.

 

Firewall может значительно повысить безопасность сети и уменьшить риск для хостов подсети, фильтруя заведомо незащищенные службы. В результате, сетевая среда подвергается меньшему риску, поскольку через firewall смогут пройти только указанные протоколы.

Firewall может препятствовать получению из защищенной подсети или внедрению в защищенную подсеть информации с помощью любых уязвимых служб, типа NFS. Это позволяет предотвратить использование таких служб внешними нарушителями и использовать их с намного меньшим риском.

Firewall могут также обеспечить защиту от таких атак, как маршрутизация источника или попытки направить маршруты к скомпрометированным объектам через переназначения ICMP. Firewall может отвергать все пакеты с маршрутизацией источника или переназначенные ICMP, a затем информировать администраторов об инцидентах.

Firewall также дает возможность контролировать доступ к системам сети. Например, одни хосты можно сделать достижимыми из внешних сетей, а другие, наоборот, надежно защитить от нежелательного доступа. Сеть может запретить внешний доступ ко всем своим хостам, кроме некоторых, например, оставить доступными только почтовые или информационные серверы.

Это определяет политику доступа, основанную на принципе минимальной достаточности: firewall не разрешают удаленный доступ к хостам или службам, которые его не требуют.

Организация firewall может потребовать меньших затрат в том случае, если все или большая часть модифицированных программ и дополнительные программы безопасности будут размещены в firewall-системах, а не распределены по многим хостам. В частности, системы одноразовых паролей и другие дополнительные программы аутентификации можно поместить на firewall, вместо того, чтобы устанавливать их в каждую систему, к которой необходим доступ из сети Internet.

Другие методы решения проблемы сетевой безопасности, например, система Kerberos, требуют модификации каждой хост-системы. Конечно, организация firewall не отменяет применение Kerberos и других методов, поскольку они обладают рядом преимуществ, и в некоторых ситуациях могут быть более подходящими, чем firewall, однако, реализация firewall облегчается тем, что для их создания необходим только запуск специальных программ.

Для некоторых приложений конфиденциальность имеет огромное значение, поскольку информация, считающаяся безобидной, на самом деле может содержать ключи, которыми может воспользоваться нарушитель. С помощью firewall некоторые объекты блокируют такие службы, как finger и DNS. Finger отображает информацию о пользователях когда они в последний раз входили в систему, прочитали ли они почту и т.п. Эти данные программы finger могут быть полезными и для нарушителя, который узнает насколько часто система используется, список активных пользователей, и можно ли ее атаковать, не привлекая внимания.

Firewall можно использовать также для блокирования информации DNS таким образом, чтобы имена и IP адреса защищаемых систем были недоступны из Internet Некоторые полагают, что таким образом они скрывают информацию, которой в противном случае могли бы воспользоваться нарушители.

Если весь доступ к и от Internet осуществляется через firewall, он может регистрировать все попытки доступа и предоставлять необходимую статистику об использовании Internet. Firewall также может сообщать с помощьюсоответствующих сигналов тревоги, которые срабатывают при возникновении какой-либо подозрительной деятельности, предпринимались ли какие-либо попытки зондирования или атаки.

Сбор статистики об использовании сети и попытках нарушений важны по целому ряду причин. Самое главное — знать, насколько противостоит firewall зондированию и атакам, и определить, адекватен ли осуществляемый им контроль. Статистика использования сети также имеет значение в качестве исходных данных для изучения требований сети и анализа риска.

Firewall предоставляет средства регламентирования порядка доступа к сети, тогда как без firewall этот порядок целиком зависит от совместных действий пользователей.

 

Недостатки, связанные

С применением Firewall.

Кроме того, что существуют угрозы, которым firewall не могут противостоять, их применение создает определенные трудности.

Наиболее очевидным недостатком firewall является большая вероятность того, что он может заблокировать некоторые необходимые пользователю службы, такие как TELNET, FTP, X Windows, NFS, и т.д. Однако, эти недостатки присущи не только firewall, доступ к сети может быть ограничен также и на уровне хост-ЭВМ, в зависимости от методики обеспечения безопасности сети. Тщательно разработанная методика обеспечения безопасности должна приводить требования безопасности в соответствие с нуждами пользователя, что может оказать значительную помощь в сокращении проблем ограничения доступа к службам.

Некоторые объекты могут обладать топологией, не предназначенной для использования firewall, или использовать службы типа NFS таким образом, что его использование потребовало бы глобальной реорганизации сети. Например, объект может зависеть от использования на главных шлюзах систем NFS и NIS. В этой ситуации нужно сопоставить относительную стоимость введения firewall и размер ущерба от возможных атак, которые существовали бы при его отсутствии.

Во-вторых, firewall не защищают объект от проникновения через "люки"(ЬасК doors). Например, если на объект, защищенный firewall, все же разрешается неограниченный модемный доступ, нарушители могут с успехом обойти firewall [10]. Скорости модемов в настоящее время достаточно велики для практической реализации протоколов SLIP(Serial Line IP) и PPP(Point-to-Point); связь через протоколы SLIP и РРР в рамках защищенной подсети является, по существу, еще одним сетевым соединением и потенциальным каналом нападения.

Firewall, как правило, не обеспечивают защиту от внутренних угроз. С одной стороны, firewall можно разработать так, чтобы предотвратить получение конфиденциальных данных внешними нарушителями, однако, firewall не запрещает внутренним пользователям копировать данные на магнитную ленту или выводить их на печатающие устройства. Таким образом, было бы ошибкой полагать, что наличие firewall обеспечивает защиту от внутренних атак или вообще атак, для которых не требуется использование firewall.

Кроме вышеперечисленных, укажем еще некоторые вопросы и проблемы, связанные с firewall[5]:

WWW, gopher — Более поздние версии информационных серверов и клиентов для WWW, gopher, WAIS и др., не были предназначены для использования firewall-методик из-за своей новизны и обычно считаются рискованными. Существует возможность атак, при которых данные, обрабатываемые клиентами, могут содержать инструкции для выполнения. В этих инструкциях клиенту может быть рекомендовано внести изменения в файлы управления доступом и другие важные для обеспечения безопасности хоста файлы.

MBONE — Групповые сообщения IP (MBONE) для передачи изображения и звука инкапсулируются в других пакетах Firewall, как правило, передает пакеты, не просматривая их содержимое. Передачи MBONE представляют собой потенциальную угрозу в том случае, если пакеты содержат команды изменения параметров системы контроля безопасности, что позволит нарушителю вторгнуться в сеть.

вирусы — Firewall не защищают от загрузки пользователями зараженных вирусами программ из архивов Internet или от передачи таких программ при через электронную почту. Поскольку эти программы можно каким угодно способом закодировать или сжать, у firewall нет возможности проверить их на предмет наличия сигнатур вирусов. Проблема вирусов все еще существует, но она должна решаться с помощью других методик и антивирусного контроля.

пропускная способность — Firewall представляют собой потенциально узкое место, поскольку все соединения должны осуществляться только через него, а в некоторых случаях еще и подвергаться фильтрации. Однако, на сегодняшний день это, в общем случае не является проблемой, поскольку firewall могут передавать данные на скорости Т1 (1,5 Мбит/сек), а большинство сетей Internet имеют скорости соединения не больше Т1.

возможность общего риска — В firewall все средства безопасности сосредоточены в одном месте, а не распределены между системами. Компрометация firewall ведет к нарушению безопасности для других, менее защищенных систем. Однако, этот недостаток можно устранить, полагая, что чем больше будет систем в подсети, тем скорее будут обнаружены все упущения в безопасности.

Несмотря на эти недостатки NIST настоятельно рекомендует, чтобы объекты защищали свои ресурсы с помощью firewall и других средств и методик безопасности.