2002 г
Способы обхода межсетевых экранов
А. В. Лукацкий
Научно-инженерное предприятие "Информзащита"
В 1999 году я написал статью "Firewall - не панацея", которая рассказывала о различных недостатках, присущих технологии, используемой в межсетевых экранах (МСЭ). Я надеялся, что отечественные поставщики и, особенно разработчики, перестанут "дурить голову" заказчикам, утверждая, что именно их межсетевой экран - это панацея от всех бед, и он решит все проблемы заказчика, обеспечив надежную защиту всех ресурсов корпоративной сети. Однако этого не произошло, и я вновь хочу вернуться к этой теме. Тем более что, как показывает мой опыт чтения лекций по защите информации, этот вопрос живо интересует специалистов, которые уже используют межсетевые экраны (firewall) в своих организациях.
Существует ряд проблем, о которых я хотел бы рассказать и которые можно проиллюстрировать на примере. Межсетевой экран - это просто ограждение вокруг вашей сети. Оно может быть очень высоким или очень толстым, чтобы его можно было перелезть или проделать в нем дыру. Но… это ограждение не может обнаружить, когда кто-то роет под ним подкоп или пытается пройти по мостику, переброшенному через ограждение. МСЭ просто ограничивает доступ к некоторым точкам за вашим ограждением.
Людям свойственно ошибаться
Как известно, межсетевые экраны, как и другие средства защиты, настраиваются людьми. А людям свойственно ошибаться, даже специалистам по защите информации. Именно этот факт и используется многими злоумышленниками. Достаточно найти всего лишь одну слабину в настройках межсетевого экрана и все, можно считать, что "ваше дело табак". Это подтверждается и различными исследованиями. Например, собранная в 1999 году ассоциацией ICSA (http://www.icsa.net) статистика показывает, что до 70% всех межсетевых экранов уязвимы из-за неправильной конфигурации и настройки. Я не хочу говорить о некомпетентности или низкой квалификации администратора МСЭ (хотя эти причины отнюдь не редки), - опишу другой примера. Сразу после института я попал в отдел автоматизации одной крупной компании. Защита Internet обеспечивалась межсетевым экраном, которым "рулил" администратор отдела защиты информации. Мне не раз приходилось сталкиваться с ситуацией, когда к этому администратору подходили друзья из других отделов компании и просили на время разрешить им доступ к серверам с игрушками. Однажды я был свидетелем вопиющего случая. К администратору МСЭ подошел начальник отдела по работе с партнерами и потребовал дать ему доступ к одному из Internet-ресурсов. На ответ, что это невозможно, начальник пригрозил устроить администратору "веселую жизнь", после чего последнему пришлось выполнить распоряжение и изменить настройки межсетевого экрана. Самое удивительное, что со временем ситуация не улучшается. Недавно мы проводили обследование в одной из организаций и обнаружили там точно такую же ситуацию. На межсетевом экране был открыт доступ по протоколам ICQ, RealAudio и т.д. Стали выяснять - оказалось, это было сделано по просьбе сотрудника одного из отдела, с которым у администратора сложились дружеские отношения.
"Нормальные герои всегда идут в обход"
Фрагмент песни из детского фильма "Айболит-69" как нельзя лучше иллюстрирует следующую проблему, присущую межсетевым экранам. Зачем пытаться проникнуть к защищаемым ресурсам через защитные средства, когда можно попытаться обойти их? Это можно проиллюстрировать примером из смежной области. В среду, 21 февраля 1990 г. Мэри Пирхем, аналитик по бюджету одной американской компании, пришла на работу. Однако она не смогла пройти на свое рабочее место даже после набора четырехзначного кода и произнесения кодового слова в системе контроля доступа. Желая все-таки попасть на работу, Мэри обошла здание и открыла дверь черного хода при помощи пилки для ногтей и пластмассовой расчески. Новейшая защитная система, которую обошла Мэри Пирхем, рекламировалась как "безотказная и надежная" и стоила несколько десятков тысяч долларов. Аналогично и с межсетевыми экранами, только роль черного хода может выполнять модем. Знаете ли вы, сколько в вашей сети установлено модемов и для чего они используются? Не отвечайте сразу утвердительно, подумайте. При обследовании одной сети начальники отдела защиты информации и автоматизации рвали на себе рубаху, утверждая, что они знают все до единого модема, установленные в их сети. Запустив систему анализа защищенности Internet Scanner, мы действительно обнаружили указанные ими модемы, используемые для обновления баз данных бухгалтерской и юридической систем. Однако было обнаружено и два неизвестных модема. Один использовался сотрудником аналитического отдела с целью получения доступа к рабочим каталогам из дома. Второй модем использовался для доступа в Internet, в обход межсетевого экрана.
С возможностью обхода МСЭ связан и другой пример. Не всегда угрозы идут только с внешней стороны МСЭ, из сети Internet. Большое количество потерь связано как раз с инцидентами защиты со стороны внутренних пользователей (по статистике - до 80% инцидентов исходят изнутри). Необходимо уточнить, что межсетевой экран только просматривает трафик на границах между внутренней сетью и сетью Internet. Если трафик, использующий "бреши" в защите, никогда не проходит через межсетевой экран, то МСЭ и не находит никаких проблем. В 1985 году на одном из российских судостроительных заводов была разоблачена преступная группа из свыше 70 (!) человек, которая в течение 1981-1985 гг. путем введения в информационную систему расчета зарплаты фальшивых документов похитила более 200 тыс. рублей. Аналогичные случаи были зафиксированы на заводах г. Ленинграда и г. Горького. Ни один, даже самый эффективный межсетевой экран, не смог бы обнаружить такую деятельность.
Туннели используются не только в метро
Но даже просмотр трафика на границе между внешней и внутренней сетями не гарантирует полной защиты. Межсетевой экран фильтрует трафик и принимает решения о пропуске или блокировании сетевых пакетов, опираясь на информацию об используемом протоколе. Как правило, правила предусматривают соответствующую проверку с целью определения того, разрешен или нет конкретный протокол. Например, если на МСЭ разрешен 25 и 80 порты, то тем самым разрешается пропуск во внутреннюю сеть почтового (SMTP) и Web (HTTP) трафика. Именно этот принцип обработки и используется квалифицированными злоумышленниками. Вся несанкционированная деятельность осуществляется в рамках разрешенного протокола, создавая тем самым в нем туннель, по которому злоумышленник и реализует атаку. Самый простой пример, демонстрирующий применение туннелей - Internet-черви и макровирусы, заносимые в корпоративную сеть в виде вложений (attachments) в сообщения электронной почты. Если межсетевой экран разрешает прохождение SMTP-трафика (а мне не приходилось видеть МСЭ, который бы этого не делал), то во внутреннюю сеть может попасть и "вирусная инфекция". Приведу более сложный пример. Например, Web-сервер, функционирующий под управлением программного обеспечения компании Microsoft (Internet Information Server), защищается межсетевым экраном, на котором разрешен только 80-ый порт. На первый взгляд обеспечивается полная защита. Но только на первый взгляд. Если используется IIS версии 3.0, то обращение по адресу: http://www.domain.ru/default.asp. (с точкой в конце) позволяет злоумышленнику получить доступ к содержимому ASP-файла, который может хранить конфиденциальные данные (например, пароль доступа к базе данных). В системе обнаружения атак RealSecure эта атака получила название "HTTP IIS 3.0 Asp Dot". И даже, если вы установили самую последнюю версию IIS 5.0, то и в этом случае вы не можете чувствовать себя в полной безопасности. Обращение к адресу:
http://SOMEHOST/scripts/georgi.bat/..%C1%9C..%C1%9C..%C1%9C winnt/system32/cmd.exe?/c%20dir%20C:\
приводит к выполнению команды "dir C:\". Аналогичным образом можно прочитать любой файл, в том числе и содержащий конфиденциальную информацию:
http://SOMEHOST/scripts/georgi.asp/..%C1%9C..%C1%9C..%C1%9Ctest.txt
Последним примером может служить атака Loki, которая позволяет туннелировать различные команды (например, запрос на передачу файла паролей /etc/passwd) в запросы ICMP Echo Request и реакцию на них в ответы ICMP Echo Reply.
Шифруй, не шифруй, все равно…
Очень часто из уст многих отечественных разработчиков средств VPN можно услышать, что разработанное им средство построения виртуальных частных сетей способно решить многие проблемы безопасности. Они упирают на то, что раз защищаемая сеть общается со своими оппонентами (удаленными офисами, партнерами, заказчиками и т.д.) только по VPN-соединению, то никакая "зараза" в нее не проникнет. Отчасти это так, но только при условии, что и оппоненты также ни с кем не общаются по незащищенным каналам. А это уже представить себе трудно. И поскольку большинство организаций используют шифрование для защиты внешних сетевых соединений, интерес злоумышленника будет направлен к тем местам в сети, где информация, представляющая для него интерес, вероятно, не является защищенной, то есть к узлам или сетям, с которым установлены доверенные отношения. И даже в случае создания VPN-соединений между сетью, защищаемой при помощи МСЭ с функциями VPN, и доверенной сетью, злоумышленник сможет с той же эффективностью реализовывать свои атаки. Мало того, эффективность его атак будет еще выше, поскольку зачастую требования по безопасности к доверенным узлам и сетям намного ниже всех остальных узлов. Злоумышленник сможет проникнуть в доверенную сеть, а уж затем из нее осуществлять свои несанкционированные действия по отношению к цели своей атаки. В марте 1995 г. администратор безопасности Космического Центра Джонсона (Johnson Space Center) получил сообщение о том, что два компьютера этого центра были атакованы злоумышленниками. Однако в результате расследования выяснилось, что данные компьютеры были скомпрометированы еще в декабре 1994 года и на них были установлены программы-перехватчики пользовательских идентификаторов и паролей. Журналы регистрации этих программ содержали около 1300 идентификаторов и паролей пользователей из более 130 систем, подключенных к скомпрометированным узлам.
И вновь о подмене
Подмена адреса - это способ сокрытия реального адреса злоумышленника. Однако он может использоваться и для обхода защитных механизмов межсетевого экрана. Такой простейший способ, как замена адреса источника сетевых пакетов на адрес из защищаемой сети, уже не может ввести в заблуждение современные межсетевые экраны. Все они используют различные способы защиты от такой подмены. Однако сам принцип подмены адреса остается по-прежнему актуальным. Например, злоумышленник может подменить свой реальный адрес на адрес узла, у которого установлены доверенные отношения с атакуемой системой и реализовать атаку типа "отказ в обслуживании" на нее.
Межсетевой экран - как цель атаки
Межсетевые экраны часто сами являются объектами атаки. Атаковав МСЭ и выведя его из строя, злоумышленники могут спокойно, не боясь быть обнаруженными, реализовывать свои преступные замысли по отношению к ресурсам защищаемой сети. Например, с начала 2001 года было обнаружено немало уязвимостей в реализации различных известных межсетевых экранов. Например, неправильная обработка TCP-пакетов с флагом ECE в МСЭ ipfw или ip6fw позволяла удаленному злоумышленнику обойти созданные правила. Еще одна уязвимость была обнаружена в межсетевом экране BorderWare Firewall Server 6.1.2. Использование данной уязвимости, связанной с широковещательной посылкой запросов ICMP Echo Request, приводила к нарушению доступности МСЭ BorderWare. В стороне не остались и другие межсетевые экраны - Cisco Secure Pix Firewall, WatchGuard Firebox и т.д.
Стой, кто идет? Предъявите паспорт!
Абсолютное большинство межсетевых экранов построено на классических моделях разграничения доступа, разработанных в 70-х, 80-х годах прошлого столетия в военных ведомствах. Согласно этим моделям субъекту (пользователю, программе, процессу или сетевому пакету) разрешается или запрещается доступ к какому-либо объекту (например, файлу или узлу сети) при предъявлении некоторого уникального, присущего только этому субъекту, элемента. В 80% случаев этим элементом является пароль. В других случаях таким уникальным элементом является таблетка Touch Memory, Smart или Proximity Card, биометрические характеристики пользователя и т.д. Для сетевого пакета таким элементом являются адреса или флаги, находящиеся в заголовке пакета, а также некоторые другие параметры.
Можно заметить, что самым слабым звеном этой схемы является уникальный элемент. Если нарушитель каким-либо образом получил этот самый элемент и предъявил межсетевому экрану, то он воспринимает его, как "своего" и разрешает действовать в рамках прав того субъекта, секретным элементом которого несанкционированно воспользовались. При современных темпах развития технологий получить доступ к такому секретному элементу не составляет большого труда. Его можно "подслушать" при передаче по сети при помощи анализаторов протоколов, в том числе и встроенных в операционные системы (например, Network Monitor в Windows NT 4.0). Его можно подобрать при помощи специальных программ, доступных в Internet, например, при помощи L0phtCrack для Windows или Crack для Unix.
Т.о. даже самый мощный и надежный межсетевой экран не защитит от проникновения в корпоративную сеть нарушителя, если последний смог подобрать или украсть пароль авторизованного пользователя. Мало того, межсетевой экран даже не зафиксирует нарушения, так как для него нарушитель, укравший пароль, является авторизованным пользователем. Например, 22 марта 1995 г. неустановленный злоумышленник при помощи украденного пароля и программного обеспечения Пинского филиала БелАКБ "Магнатбанк" проник в компьютерную сеть Белорусского межбанковского расчетного центра и перевел на расчетный счет ООО "Арэса ЛТД" в Советское отделение БелАКБ "Промстройбанк" 1 млрд. 700 млн. рублей.
Администратор - бог и царь
В каждой организации есть пользователи, обладающие практически неограниченными правами в сети. Это сетевые администраторы. Они никому неподконтрольны и могут делать в сети практически все, что угодно. Как правило, они используют свои неограниченные права для выполнения своих функциональных обязанностей. Но представьте на минуту, что администратор чем-то обижен. Будь-то низкой зарплатой, недооценкой его возможностей, местью и т.п. Известны случаи, когда такие обиженные администраторы "портили кровь" не одной компании и приводили к очень серьезному ущербу. Осенью 1985 года директор по компьютерной безопасности компании USPA & IRA Дональд Берлисон попытался через руководство компании добиться снижения суммы налога на прибыль, которую ему постоянно приходилось выплачивать, и чем он был недоволен. Однако он был уволен. Через три дня после увольнения он пришел на работу и, получив доступ в сеть компании, удалил 168000 записей базы данных о страховании и защите торговых сделок. Затем он запустил в сеть несколько программ-червей, которые должны были продолжать удалять аналогичные записи в будущем. И Россия не осталась в стороне. В 1991 г. при помощи компьютерной техники произошло хищение валютных средств из Внешэкономбанка на сумму 125,5 тыс. долларов и подготовка к хищению еще свыше 500 тыс. долларов. Механизм хищения был очень прост. Житель Москвы совместно с начальником отдела автоматизации неторговых операций ВЦ Внешэкономбанка открыл по шести поддельным паспортам счета и внес на них по 50 долларов. Затем, путем изменения банковского программного обеспечения на открытые счета были переведены 125 тысяч долларов, которые и были получены по поддельным паспортам.
Два этих примера демонстрируют, что даже самый эффективный межсетевой экран не смог бы защитить корпоративную сеть, если бы на нее совершил нападение ее администратор.
Заключение
Межсетевые экраны не обеспечивают достаточного уровня защищенности корпоративных сетей. Хотя ни в коем случае от них нельзя отказываться. Они помогут обеспечить необходимый, но явно недостаточный, уровень защиты корпоративных ресурсов. Как уже не раз отмечалось, традиционные средства, к которым можно отнести и межсетевые экраны, были построены на основе моделей, разработанных в то время, когда сети не получили широкого распространения и способы атак на эти сети не были так развиты, как сейчас. Чтобы на должном уровне противодействовать этим атакам, необходимо применение новых технологий. Например, технология обнаружение атак (intrusion detection), которая стала активно развиваться за рубежом и четыре года назад попала в Россию. Эта технология, ярким представителем которой является семейство средств RealSecure компании Internet Security Systems, позволяет эффективно дополнять существующие межсетевые экраны, обеспечивая более высокий уровень защищенности.
Об авторе:
Алексей Викторович Лукацкий, заместитель технического директора Научно-инженерного предприятия "Информзащита" (Москва), сертифицированный инструктор по безопасности компании Internet Security Systems, сертифицированный инженер по безопасности компании Check Point Software Technologies. Связаться с ним можно по тел. (095) 289-8998 или e-mail: luka@infosec.ru.
31 мая 2001 г.