Фільтрація пакетів

Робота брандмауерів з фільтрацією пакетів (зокрема із збереженням станів) типу Firewall-1 від компанії Checkpoint, PIX і IOS від компанії Cisco (так, IOS теж можна використовувати як брандмауер) грунтується на списках ACL або правилах, службовців для визначення того, чи є авторизованим трафік, передаваний в/із внутрішньої мережі. В більшості випадків ці списки грамотно розроблені і їх дуже важко обійти. Проте часто можна обійти брандмауери з нестрогим списком ACL і передати окремі пакети у внутрішню мережу.

Нестрогі списки ACL

Нестрогі списки ACL застосовуються на набагато більшому числі брандмауерів, чим це можна собі представити. Припустимо, що провайдерові послуг Internet якійсь організації необхідно вирішити перенесення зони. В цьому випадку замість нестрогого списку ACL, такого як "Вирішити виконання дій з сервера DNS провайдера послуг Internet з початкового TCP-порта 53 і порту призначення 53", може бути реалізований наступний: "Вирішити виконання будь-яких дій з початкового TCP-порта 53". Подібні помилки в конфігурації можуть опинитися справді руйнівними, оскільки зловмисник зможе просканувати всю мережу ззовні. Більшість з таких атак починається з сканування вузла, розташованого позаду брандмауера, і використання як початковий помилковий TCP-порта 53 (DNS).

Контрзаходи проти нестрогих списків ACL 

Запобігання

Упевніться, що правила вашого брандмауера вирішують лише певні підключення. Наприклад, якщо вашому провайдерові послуг Internet потрібно виконувати перенесення зони, це повинно бути явно вказано у встановлених правилах. При цьому вимагайте вказівки в правилі як початкової IP-адреса, так і IP-адреса призначення (внутрішнього сервера DNS).
Якщо ви використовуєте брандмауер Checkpoint, то для обмеження можливості використання початкового порту 53 (DNS) лише службою DNS провайдера можна реалізувати наступне правило. Наприклад, якщо адресою сервера DNS провайдера є 192.168.66.2, а адресою внутрішнього сервера DNS — 172.30.140.1, то це правило матиме наступний вигляд.

Source	Destination	Service	Action	Track
(джерело)	(призначення)	(служба)	(дія)	(реєстрація)
192.168.66.2	172.30.140.1	domain-tcp	Accept	Short

Обхід брандмауерів Checkpoint

Брандмауери Checkpoint 3.0 і 4.0 надають відкриті порти за умовчанням. Порти, використовувані для зворотного пошуку DNS (UDP 53), перенесення зони DNS (TCP 53) і маршрутизації (RIP, UDP 520), можуть задіюватися любьш вузлом для доступу до будь-якого вузла. На додаток до всього ці операції не реєструються в системних журналах. В результаті після "захоплення" вузла внутрішньої мережі у зломщика з'являються цікаві можливості.
Вище ви дізналися, наскільки просто ідентифікувати брандмауер Checkpoint. На основі отриманих знань зловмисник може ефективно обійти його правила. Проте для здійснення такого підходу повинне виконуватися декілька істотних попередніх умов. Спочатку зломщик повинен отримати в своє розпорядження комп'ютер, розташований позаду брандмауера, або обманним шляхом упровадити на внутрішній вузол "троянського коня".
У будь-якому випадку на зламаному вузлі має бути запущена програма прослуховування netcat. Ця утиліта або забезпечить доступ зломщика до видаленої командної оболонки, або надасть йому можливість вводити команди і виконувати їх локально на видаленому вузлі. Подібні "потайні ходи" детально розглядаються в розділі 14, а зараз для кращого розуміння проблеми ми лише коротко розглянемо описаний підхід.
Як видно з наступного малюнка, брандмауер Checkpoint пропускає дані через TCP-порт 53 без реєстрації. Після установки на зламаному видаленому вузлі програми netcat, пов'язаною з портом 53, і "захоплення" видаленої командної оболонки /bin/sh через свій власний порт 53, що знаходиться в стані очікування запитів, зломщик "прорубає вікно" в брандмауері і дістане доступ до будь-якої системи.

Контрзаходи: захист від обходу брандмауерів Checkpoint

Запобігання

Залежно від вимог до конфігурації можна заборонити велику частину трафіку, дозволеного за умовчанням. При цьому необхідно дотримуйтеся обережності, оскільки можна випадково заборонити і передачу авторизованих даних. Для обмеження доступу виконаєте наступні дії.
1. У діалоговому вікні редагування політики безпеки виберіть команду Policy1* Properties.
2. Скиньте прапорці Accept, розташовані поряд з іменами всіх функцій, які не є необхідними. Наприклад, користувачам багатьох вузлів не потрібно виконувати завантаження даних DNS. В цьому випадку потрібно скинути прапорець Accept Domain Name Downloads. Цей же прийом можна використовувати також для управління трафіком RIP і DNS.
3. Створіть своє власне правило, що вирішує обмін даними DNS з певним авторизованим сервером DNS (як описано в розділі "Контрзаходу Проти Нестрогих Списків ACL").

Туннелірованіє трафіку ICMP і UDP

Туннелірованіє трафіку ICMP — це можливість інкапсуляції реальних даних в заголовку пакету ICMP. Проти такої атаки безсилі багато маршрутизаторів, що вирішують проходження ICMP-пакетов ECHO, ECHO REPLY і UDP-пакетов. Подібно до ситуації з брандмауером Checkpoint, пов'язаною з передачею даних DNS, можливість використання туннелірованія трафіку ICMP і UDP базується на тому, що у розпорядженні зломщика вже є зламаний вузол, що знаходиться позаду брандмауера.
Джеремі Раух (Jeremy Rauch) і Майк Шифман (Mike Schiffman) ретельно досліджували цю концепцію і створили засоби для її використання: утиліти loki і lokid (клієнт і сервер).  Після запуску сервера lokid на зламаному вузлі, розташованому позаду брандмауера, який вирішує проходження ICMP-пакетов ECHO і ECHO REPLY, зломщик може запустити клієнтську частину (loki), щоб перешкодити кожну передавану серверу lokid команду в ICMP-пакет ECHO. Після цього утиліта lokid "витягуватиме" отримані команди, виконуватиме їх локально, а потім перешкодити отримані результати в ICMP-пакеты ECHO REPLY і передавати їх назад зломщикові. При використанні такого підходу у зловмисників є можливість повного обходу брандмауера. Описана концепція і засоби, які її реалізують, детально розглядаються в розділі 14.

Контрзаходи: захист від туннелірованія трафіку ICMP і UDP

Запобігання

Для зашиті від атак такого типу можна повністю заборонити доступ по протоколу 1смр через брандмауер або забезпечити керовану виборчу передачу ICMP-пакетов. Наприклад, наступний список ACL брандмауерів Cisco дозволить повністю заборонити передачу адміністративних даних ICMP за межі підмережі 172.29.10.0 (демілітаризованої зони).

access-list 101 permit icmp any 172.29.10.0 0.255.255.255 8!
echo access-list 101 permit icmp any 172.29.10.0 0.255.255.255 0!
echo-reply access-list 102 deny ip any any log!
заборонити, інакше реєструвати всі події

Якщо ваш провайдер послуг Internet відстежує працездатність комп'ютерів, розташованих позаду брандмауера, за допомогою утиліти ping (чого ми не радимо робити), то такі списки ACL порушать цей процес. Уточните у свого провайдера, чи застосовує він цю утиліту.