закон 5

Міжмережеві екрани можуть захистити мережу від деяких типів нападів. Вони забезпечують корисну реєстрацію мережевого трафіку. Однак, багато в чому подібно антивірусного програмного забезпечення, міжмережеві екрани ніколи не забезпечать стовідсотковий захист. Фактично вони часто забезпечують набагато меншу захищеність.

Перш за все, навіть якби міжмережеві екрани були б на 100% ефективні і відображали б всі, хто проходить через них атаки, слід розуміти, що не всі напрямки нападів проходять через міжмережевий екран. Недобросовісні службовці, фізична безпека, модеми та інфіковані дискети все ще представляють різні загрози безпеки. В інтересах обговорення не розглядаються загрози безпеки, не пов'язані з необхідністю їх проходження через шлюзи безпеки.

Міжмережеві екрани - це пристрої і / або програмне забезпечення, розроблене для вибіркового поділу двох або більше мереж. Вони призначені для того, щоб дозволити проходження одних потоків інформації і заборонити інші. Що саме дозволяти або забороняти, зазвичай контролює людина, керуючий фаєрволом. Що дозволено або заборонено, має бути відображено в письмовій формі в політиці безпеки, яка розробляється в кожній організації.

Хіба виробники міжмережевих екранів не знають про ці проблеми? Хакери і розробники міжмережевих екранів грають в нескінченну гру «догони мене». Виробники міжмережевих екранів змушені чекати, поки хакери придумають новий тип атаки, оскільки вони не знають, як їм захиститися, і тому завжди будуть відставати.

Виявляється, є безліч способів піддатися нападу через міжмережевий екран. В ідеалі міжмережеві екрани здійснюють політику безпеки в повній мірі. Насправді міжмережевий екран створюють люди, тому він далекий від досконалості. Одна з основних проблем міжмережевих екранів полягає в тому, що його адміністратори насилу можуть обмежити саме той трафік, який вони хотіли б. Наприклад, в політиці безпеки може бути заявлено, що дозволений доступ до Інтернету по протоколу HTTP і заборонено використання RealAudio. Адміністратору брандмауера слід заборонити порти RealAudio, чи не так? Проблема полягає в тому, що люди, які написали RealAudio, розуміючи, що подібне може статися, надали користувачеві можливість завантажити файли RealAudio по протоколу HTTP. Насправді якщо ви при налаштуванні не вкажіть явно варіант доступу до вмісту RealAudio з Web-сайту, то більшість версій RealAudio виконає ряд перевірок для визначення варіанту подібного доступу. При цьому, якщо це буде потрібно, автоматично буде обраний протокол HTTP. Фактично проблема в цьому випадку полягає в тому, що будь-який протокол може бути тунелюватись по будь-якому іншому, якщо тільки синхронізація за часом не критична (тобто якщо туннелирование не призведе до надмірного уповільнення роботи). RealAudio виконує буферизацію, якщо стикається з проблемою синхронізації.

Розробники різних інтернетівських «іграшок» добре усвідомлюють, які протоколи зазвичай дозволені, а які ні. Багато програм розроблено з використанням протоколу HTTP в якості основного або резервного кошти перенесення інформації через мережу.

Ймовірно, існує багато способів нападу на компанію, захищену фаєрволом, і без будь-якого впливу на екран. Можна атакувати, використовуючи модеми, дискети, хабарі і підкуп, злом комп'ютерних систем захисту, отримання фізичного доступу до комп'ютера і т. Д. Але зараз ми розглядаємо атаки на міжмережевий екран.

Напад на незахищені сервера

Інший спосіб пройти міжмережевий екран полягає в тому, щоб напасти на незахищені ділянки мережі. Міжмережеві екрани утворюють демілітаризовану зону (DMZ), в якій розміщуються Web-cepeepa, поштові сервера і т. Д. Відомі дебати щодо того, чи є класична демілітаризована зона мережею, що знаходиться цілком поза дією брандмауера (і тому їм не захищеної), або демілітаризована зона - це деяка проміжна мережа. В даний час в більшості випадків Web-сервера, поштові сервера і т. П. Відносяться до так званого третього інтерфейсу брандмауера, який захищає їх від впливу ззовні, не дозволяючи в той же час компонентам внутрішньої мережі встановлювати з ними довірчі відносини і безпосередньо приймати від них інформацію.

Припустимо, що ви знайшли спосіб проникнути на сервер в демілітаризованій зоні. В результаті ви отримали доступ до кореневого каталогу сервера або права адміністратора на сервері. Чи означає це, що вдалося проникнути у внутрішню мережу? Поки що ні. Згадайте, що згідно з раніше цим визначенням демілітаризованої зони пристрою зони не мають доступу до внутрішньої мережі. На практиці це виконується не завжди, оскільки далеко не всі виявляють бажання займатися адмініструванням своїх серверів, сидячи за консоллю. Що, якщо на FTP-сервері, наприклад, вони захотіли б висвітлити, виключаючи себе, доступ до FTP-портам? І нехай в інтересах роботи організації найбільша частина трафіку в мережі повинна проходити від внутрішньої мережі до демілітаризованої зони. Більшість міжмережевих екранів можуть працювати як діоди, пропускаючи трафік тільки в одному напрямку. Організувати подібний режим роботи складно, але можна. У цьому випадку головна трудність проникнення у внутрішню мережу полягає в тому, що ви повинні знаходитися в очікуванні настання певних подій. Наприклад, якщо ви зловите момент початку передачі даних по протоколу FTP або момент відкриття адміністратором у внутрішній мережі вікна XWindow (XWindow вікна широко використовуються в мережевому середовищі UNIX протоколу для многооконного відображення графіки і тексту), то у вас з'явиться можливість проникнути у внутрішню мережу.

Пряме напад на міжмережевий екран

Іноді ви вважаєте, що міжмережевий екран скомпрометований. Це може статися як з доморощеними міжмережевими екранами (для яких необхідно отримати попередню експертизу у адміністратора екрана), так і з промисловими (які іноді можуть призводить до неправильного уявлення про безпеку і тому також потребують попередньої експертизи). Буває, що консультант добре налаштував міжмережевий екран, але в даний час не залишилося людини, яка знала б, як його обслуговувати. Відомості про нові напади видаються весь час, але якщо люди не звертають на них уваги, то вони не будуть знати ні про патчах, ні про їх застосування.

Проломи в системі безпеки клієнтської частини

Один з кращих способів обходу захисту мережевого доступу заснований на використанні її слабких місць. Крім вразливостей Web-браузера, до складу програм з можливими проломи в системі захисту входять такі програми, як AOL Instant Messenger, MSN Chat, ICQ, клієнт IRC і навіть Telnet і клієнти ftp. Можливо, будуть потрібні додаткові дослідження, терпіння і трохи удачі, для того щоб скористатися слабкими місцями в їх системі захисту. Рекомендується знайти користувача в організації, наміченої для нападу, який зможе запустити одну з цих програм. Багато з програм інтерактивної листування містять засоби виявлення співрозмовників, тому немає нічого дивного в тому, що люди публікують свій номер ICQ на своїй домашній сторінці. (I Seek You - система інтерактивного спілкування в Internet, що дозволяє знаходити в мережі партнерів по інтересам і обмінюватися з ними повідомленнями в реальному масштабі часу.) Значить, легко знайти програму victim.com і номер ICQ, які будуть використані для обходу системи захисту. А потім дочекатися, коли передбачуваний людина буде на роботі, і здійснити задумане з використанням його номера ICQ. Якщо скористатися серйозною проломом в системі безпеки, то, ймовірно, вдасться передати здійсненний код через міжмережевий екран, який може зробити все, що ви захочете.

Цей закон використовується в розділах 7, 11, 12, 13, 15 і 17.