Нестрогие cnucки ACL

В начале урока мы уже подчеркивали, что списки ACL должны составляться весьма тщательно, поскольку любая небрежность может открыть дорогу хакеру в защищаемую брандмауэром сеть. Любая мелочь - порядок применения правил, списки портов и протоколов доступа - все должно быть выверено очень четко. Однако вот какие ошибки очень часто встречаются при настройке брандмауэров. Может случиться так, что при создании правил фильтрации для TCP-портов компьютера А1ех-1 вместо разрешения доступа к портам FTP-сервиса в пассивном режиме с номерами портов свыше 1024 только для доверенных хостов, будут разрешены соединения для всех хостов, т.е. список правил фильтрации пакетов.

Ясно, что такой брандмауэр никак не помешает компьютеру Alex-З подсоединиться к агенту удаленного управления, скажем, трояну NetBUS, помещенному на компьютер Alex-З, поскольку по умолчанию TCP-порт для связи с сервером NetBus установлен равным 20034. Ясно, что основная причина такой удачи -небрежно составленный список ACL. Вместо точного указания доверенных хостов, которым разрешены подключения к сервису FTP в пассивном режиме, для «упрощения» настройки такие подключения разрешены всем хостам.

Эта же небрежность поможет реализовать обход брандмауэра перенаправлением трафика - скажем, раз у компьютера открыт порт 21, то перенаправив с помощью утилиты fpipe трафик с этого порта на порт 20034 установленного на хосте трояна, мы обойдем защиту брандмауэра. Однако с практической точки зрения такой метод не очень эффективен - ведь от хакера потребуется установка утилиты перенаправления на бастионном хосте, а эта задача ничем не проще переустановки трояна! Возможно, более эффективно использовать такие утилиты для перенаправления трафика с портов, которые почти всегда открыты - допустим, для Web-сервера это будет TCP-порт 80, - на порты агентов удаленного управления, и делать это сразу, вместе с установкой трояна.

Как бы там ни было, основой аспект задачи инвентаризации ACL состоит в поиске порта, пригодного для управления трояном через брандмауэр. Перед помещением на атакуемый хост троянского коня хакеру следует заранее позаботиться о возможности связи с ним, а если на входе стоит тщательно настроенный брандмауэр, то задача становится трудновыполнимой. Но вот если хакеру удастся найти дыру в списке ACL брандмауэра, то ему ничего не стоит настроить своего трояна на использование порта, допускаемого списком ACL. Вы уже поняли, что это не такая уж и безнадежная задача.

Заключение

Хорошо настроенный брандмауэр делает сетевой хост практически неуязвимым для сетевых атак, но на практике, как указано в [3], большинство брандмауэров представляют собой только полузакрытую дверь, и в оставшуюся щель вполне в состоянии проникнуть достаточно настойчивые и квалифицированные хакеры. В этой главе рассмотрены наиболее широко известные (но далеко не все) атаки на брандмауэры. Их основная цель состоит в установлении связи с функционирующей позади брандмауэра хакерской программой. Как мы видели, шансы у хакера не так уж и малы.

Антихакер же, исходя из всего этого, должен либо правильно настроить работу брандмауэра, либо вообще не подсоединяться к сети. Плохо настроенный брандмауэр - это открытые ворота в компьютерную систему. Во-первых, при настройке брандмауэра следует блокировать пакеты ICMP, поступающие на бастионный хост, что предотвратит сканирование брандмауэра. Блокирование выполняется настройкой правил фильтрации пакетов, и в случае программы WinRoute не вызывает проблем. Во-вторых, следует защититься от сбора маркеров, ограничив предоставляемую брандмауэром информацию в ответ на запросы. Однако не все брандмауэры позволяют выполнить такую процедуру. В-третьих, самое главное - это настройка правил фильтрации пакетов, что представляет собой весьма непростую задачу, и поиск недочетов в списках ACL - это то занятие, которому и хакер, и антихакер должны уделять большое внимание, каждый в своих целях.