Бесплатный электронный учебник по защите информации компьютера в интернет |
|
служба Компьютерная
помощь |
Фильтрация пакетов |
Антивирусная защита компьютера. Вызов мастера на дом в Кириши |
|
|||||||||||||||||
|
Фильтрация пакетов Работа брандмауэров с фильтрацией пакетов (в том числе с сохранением состояний) типа Firewall-1 от компании CheckPoint, PIX и IOS от компании Cisco (да, IOS тоже можно использовать в качестве брандмауэра) основывается на списках ACL или правилах, служащих для определения того, является ли авторизованным трафик, передаваемый в/из внутренней сети. В большинстве случаев эти списки грамотно разработаны и их очень трудно обойти. Однако зачастую можно обойти брандмауэры с нестрогим списком ACL и передать отдельные пакеты во внутреннюю сеть. |
||||||||||||||||
Нестрогие списки ACL Нестрогие списки ACL применяются на гораздо большем
числе брандмауэров, чем это можно себе представить. Предположим, что
провайдеру услуг Internet какой-то организации необходимо разрешить
перенос зоны. В этом случае вместо нестрогого списка ACL, такого как
"Разрешить выполнение действий с сервера DNS провайдера услуг
Internet с исходного TCP-порта 53 и порта назначения 53", может
быть реализован следующий: "Разрешить выполнение любых действий
с исходного TCP-порта 53". Подобные ошибки в конфигурации могут
оказаться поистине разрушительными, поскольку злоумышленник сможет
просканировать всю сеть извне. Большинство из таких атак начинается
со сканирования узла, расположенного позади брандмауэра, и использования
в качестве исходного ложного TCP-порта 53 (DNS). Контрмеры против нестрогих списков ACL Предотвращение Удостоверьтесь, что правила вашего брандмауэра разрешают
лишь определенные подключения. Например, если вашему провайдеру услуг
Internet требуется выполнять перенос зоны, это должно быть явно указано
в установленных правилах. При этом требуйте указания в правиле как
исходного IP-адреса, так и IP-адреса назначения (внутреннего сервера
DNS).
Обход брандмауэров Checkpoint Брандмауэры Checkpoint 3.0 и 4.0 предоставляют открытые
порты по умолчанию. Порты, используемые для обратного поиска DNS (UDP
53), переноса зоны DNS (TCP 53) и маршрутизации (RIP, UDP 520), могут
задействоваться любьш узлом для доступа к любому узлу. В дополнение
ко всему эти операции не регистрируются в системных журналах. В результате
после "захвата" узла внутренней сети у взломщика появляются
интересные возможности.
Контрмеры: защита от обхода брандмауэров CheckPoint Предотвращение В зависимости от требований к конфигурации можно
запретить большую часть трафика, разрешенного по умолчанию. При этом
необходимо соблюдайте осторожность, поскольку можно случайно запретить
и передачу авторизованных данных. Для ограничения доступа выполните
следующие действия. Туннелирование трафика ICMP и UDP Туннелирование трафика ICMP — это возможность инкапсуляции
реальных данных в заголовке пакета ICMP. Против такой атаки бессильны
многие маршрутизаторы, разрешающие прохождение ICMP-пакетов ECHO,
ECHO REPLY и UDP-пакетов. Подобно ситуации с брандмауэром CheckPoint,
связанной с передачей данных DNS, возможность использования туннелирования
трафика ICMP и UDP базируется на том, что в распоряжении взломщика
уже имеется взломанный узел, находящийся позади брандмауэра. Контрмеры: защита от туннелирования трафика ICMP и UDP Предотвращение Для зашиты от атак такого типа можно полностью запретить
доступ по протоколу 1СМР через брандмауэр или обеспечить управляемую
избирательную передачу ICMP-пакетов. Например, следующий список ACL
брандмауэров Cisco позволит полностью запретить передачу административных
данных ICMP за пределы подсети 172.29.10.0 (демилитаризованной зоны).
access-list 101 permit icmp any 172.29.10.0 0.255.255.255
8! Если ваш провайдер услуг Internet отслеживает работоспособность компьютеров, расположенных позади брандмауэра, с помощью утилиты ping (чего мы не советуем делать), то такие списки ACL нарушат этот процесс. Уточните у своего провайдера, применяет ли он эту утилиту. |
|||||||||||||||||
|
|
|||
|