Уязвимость удаленных соединений


Брандмауэры


Брандмауэры
Брандмауэры С тех пор как Чесвик (Cheswick) и Белоувин (Bellovin) написали свой фундаментальный труд о построении брандмауэров и борьбе с коварным хакером Берфердом (Berferd), желание подключить W...
Основные сведения
Основные сведенияНа современном рынке преобладает два типа брандмауэров: программные посредники (application proxy) и шлюзы фильтрации пакетов (packet filtering gateways). Хотя программные посред...
Идентификация брандмауэров
Идентификация брандмауэров Почти каждый брандмауэр имеет свои отличительные особенности. Поэтому с помощью сканирования портов, инвентаризации и сбора идентификационных маркеров взломщики могут п...
Прямое сканирование
Прямое сканированиеСамый простой способ поиска брандмауэров заключается в сканировании определенных портов, используемых ими по умолчанию. Некоторые современные брандмауэры можно уникально идентиф...
Контрмеры защита от прямого сканирования
Контрмеры: защита от прямого сканированияСпособы предотвращения сканирования портов брандмауэра во многом совпадают с методами, рассмотренными в главе 2. Необходимо заблокировать попытки такого ск...
Обнаружение
ОбнаружениеДля того чтобы безошибочно обнаружить факт сканирования портов по случайному закону или с применением ложных узлов, нужно тонко настроить соответствующую сигнатуру. Для получения дополн...
Предотвращение
ПредотвращениеДля того чтобы предотвратить сканирование портов брандмауэра из Internet, нужно заблокировать эти порты на маршрутизаторе, расположенном перед брандмауэром. Если эти устройства управ...
Отслеживание маршрута
Отслеживание маршрутаБолее скрытый и изощренный метод поиска брандмауэров в сети заключается в использовании утилиты traceroute. Для поиска каждого сегмента пути к целевому узлу можно воспользоват...
Обнаружение
ОбнаружениеПопытки получения маршрутов с использованием стандартных средств можно выявить на границах сети в процессе мониторинга ICMP- и UDP-пакетов со значением TTL, равным 1. Это можно осуществ...
Предотвращение
ПредотвращениеДля того чтобы предотвратить возможность отслеживания маршрутов на границе сети, маршрутизаторы необходимо настроить таким образом, чтобы они не отправляли пакеты в ответ на сообщени...
Сбор маркеров
Сбор маркеровСканирование портов позволяет определить местоположение брандмауэров, однако многие из них, подобно продуктам компаний Checkpoint и Microsoft, не прослушивают порты, установленные по...
Контрмеры защита от сбора маркеров
Контрмеры: защита от сбора маркеровДля того чтобы избежать утечки информации, необходимо ограничить количество данных, предоставляемых по внешним запросам. К каждому маркеру можно добавить также с...
Предотвращение
ПредотвращениеДля того чтобы предотвратить возможность сбора маркеров злоумышленником и, как следствие, получение им подробной информации о брандмауэре, можно изменить соответствующие конфигурацио...
Дополнительное исследование брандмауэров
Дополнительное исследование брандмауэров Если прямое сканирование портов, отслеживание маршрутов и сбор маркеров не принесли успеха, взломщики могут прибегнуть к дополнительной инвентаризации бра...
Простой способ получения данных с помощью утилиты nmар
Простой способ получения данных с помощью утилиты nmарУтилита nmар является прекрасным средством исследования брандмауэров, и мы постоянно ею пользуемся. В процессе сканирования узла эта утилита с...
Контрмеры против применения утилиты nmар
Контрмеры против применения утилиты nmар...
Обнаружение
ОбнаружениеДля выявления попыток сканирования с использованием утилиты nmap можно применять подходы, описанные в главе 2. Кроме того, можно также дать следующий совет. Настройте процедуру обнаруже...
Предотвращение
ПредотвращениеДля того чтобы предотвратить возможность инвентаризации списков ACL маршрутизаторов и брандмауэров, нужно отключить на них режим передачи ответных сообщений ICMP с типом 13. Н...
Идентификация портов
Идентификация портовНекоторые брандмауэры имеют уникальные характеристики, отличающие их от других брандмауэров и представленные в виде последовательности цифр. Например, такую последовательность...
Контрмеры защита от идентификации портов
Контрмеры: защита от идентификации портов...
Обнаружение
ОбнаружениеФакт подключения злоумышленника к портам можно выявить, добавив аудит соответствующего события в программе RealSecure. Вот что для этого нужно сделать. 1. Активизируйте режим редактиро...
Предотвращение
ПредотвращениеВозможность подключения к TCP-порту можно предотвратить, заблокировав его на маршрутизаторе исходящих сообщений. Следующий простой список ACL брандмауэров Cisco поможет явно запретит...
Война с брандмауэрами
Война с брандмауэрами Не волнуйтесь, в данном разделе мы Не будем рассматривать чудодейственные способы вывода из строя действующих брандмауэров. Мы лишь познакомимся с несколькими приемами, кото...
Передача тестовых пакетов
Передача тестовых пакетовУтилита hping, написанная Сальватором Санфилиппо (Salvatore Sanfilippo), передает TCP-пакеты на порт назначения и сообщает о том, какие ответные пакеты были получены. В за...
Предотвращение
ПредотвращениеПредотвратить атаки с использованием утилиты hping очень трудно. Лучше всего просто заблокировать передачу сообщений ICMP с типом 13 (как описано в разделе, посвященному утилите nmap...
Утилита firewalk
Утилита firewalkУтилита firewalk является небольшим прекрасным средством, которое, подобно программам-сканнерам, позволяет исследовать порты узлов, расположенных позади брандмауэра. Она написана М...
Контрмеры защита от утилиты firewalk
Контрмеры: защита от утилиты firewalk...
Предотвращение
ПредотвращениеНа уровне внешнего интерфейса можно заблокировать передачу ICMP-пакетов TTL EXPIRED, однако это может отрицательно сказаться на производительности, поскольку легитимные клиенты никог...
Сканирование с исходного порта
Сканирование с исходного портаТрадиционные брандмауэры с фильтрацией пакетов типа IOS Cisco имеют один существенный недостаток: они не сохраняют состояние! Для большинства читателей этот факт выгл...
Контрмеры защита и сканирования
Контрмеры: защита и сканирования с исходного порта ПредотвращениеРешить описанную проблему очень просто, однако это решение выглядит не очень эффектным. Необходимо запретить любые сетевые взаимоде...
Фильтрация пакетов
Фильтрация пакетов Работа брандмауэров с фильтрацией пакетов (в том числе с сохранением состояний) типа Firewall-1 от компании CheckPoint, PIX и IOS от компании Cisco (да, IOS тоже можно использо...
Нестрогие списки ACL
Нестрогие списки ACLНестрогие списки ACL применяются на гораздо большем числе брандмауэров, чем это можно себе представить. Предположим, что провайдеру услуг Internet какой-то организации необходи...
Контрмеры против нестрогих списков ACL
Контрмеры против нестрогих списков ACL ...
Предотвращение
ПредотвращениеУдостоверьтесь, что правила вашего брандмауэра разрешают лишь определенные подключения. Например, если вашему провайдеру услуг Internet требуется выполнять перенос зоны, это должно...
Обход брандмауэров Checkpoint
Обход брандмауэров CheckpointБрандмауэры Checkpoint 3.0 и 4.0 предоставляют открытые порты по умолчанию. Порты, используемые для обратного поиска DNS (UDP 53), переноса зоны DNS (TCP 53) и маршру...
Контрмеры защита от обхода брандмауэров CheckPoint
Контрмеры: защита от обхода брандмауэров CheckPoint...
Предотвращение
ПредотвращениеВ зависимости от требований к конфигурации можно запретить большую часть трафика, разрешенного по умолчанию. При этом необходимо соблюдайте осторожность, поскольку можно случайно зап...
Туннелирование трафика ICMP и UDP
Туннелирование трафика ICMP и UDPТуннелирование трафика ICMP — это возможность инкапсуляции реальных данных в заголовке пакета ICMP. Против такой атаки бессильны многие маршрутизаторы, разрешающие...
Контрмеры защита от туннелирования трафика ICMP и UDP
Контрмеры: защита от туннелирования трафика ICMP и UDP...
Предотвращение
ПредотвращениеДля зашиты от атак такого типа можно полностью запретить доступ по протоколу 1СМР через брандмауэр или обеспечить управляемую избирательную передачу ICMP-пакетов. Например, следующий...
Изъяны программных посредников
Изъяны программных посредников Вообще, уязвимость программных посредников не очень высока. После зашиты самого брандмауэра и реализации надежных правил, используемых программным посредником, веро...
Имя узла localhost
Имя узла: localhostРанние программные посредники системы UNIX не заботились о необходимости ограничения локального доступа. Несмотря на контроль пользователей, использующих Internet, было вполне в...
Контрмеры защита от использования имени localhost
Контрмеры: защита от использования имени localhost...
Предотвращение
ПредотвращениеСпособ устранения ошибок в конфигурации во многом зависит от типа используемого брандмауэра. В любом случае можно реализовать правило, ограничивающее возможность доступа с определенн...
Неавторизованный внешний доступ к программному посреднику
Неавторизованный внешний доступ к программному посредникуТакой подход наиболее пригоден для доступа к брандмауэрам, реализующим прозрачные функции, однако мы довольно часто сталкиваемся с его испо...
Контрмеры защита от неавторизованного
Контрмеры: защита от неавторизованного внешнего доступа к программному посреднику...
Предотвращение
ПредотвращениеДля того чтобы предотвратить такую атаку, нужно запретить доступ к программному посреднику со стороны внешнего интерфейса брандмауэра. Поскольку конкретный алгоритм решения этой зада...
Изъяны WinGate
Изъяны WinGateИзвестно, что популярный программный брандмауэр WinGate систем Windows 95/NT (http://wingate.deerfield.com/) обладает несколькими уязвимыми местами. Большинство из них связано со зн...
Неавторизованный просмотр
Неавторизованный просмотрКак и многие другие неправильно сконфигурированные программные посредники, определенные версии брандмауэра WinGate (в частности, 2.1 для NT) позволяют внешним пользователя...
Контрмеры защита от неавторизованного просмотра
Контрмеры: защита от неавторизованного просмотра...
Предотвращение
ПредотвращениеДля того чтобы нейтрализовать описанный изъян сервера WinGate, нужно просто ограничить привязку определенных служб. Для ограничения использования служб proxy-сервера на многоадаптерн...
Контрмеры защита от неавторизованного
Контрмеры: защита от неавторизованного доступа к службе telnet...
Предотвращение
ПредотвращениеВ данном случае можно воспользоваться теми же рекомендациями, что приведены в разделе " Контрмеры: Защита От Неавторизованного Просмотра". Для устранения проблемы просто ог...
Просмотр файлов
Просмотр файловСогласно одной из статей бюллетеня Digital Security Advisory сервер WinGate 3.0 через порт управления 8010 позволяет любому пользователю просматривать файлы системы. Для того чтобы...
Контрмеры предотвращение просмотра файлов
Контрмеры: предотвращение просмотра файловДля текущей версии сервера WinGate в настоящее время нет модуля обновления, позволяющего устранить проблему просмотра файлов. Для получения более подробно...
Резюме
Резюме На самом деле правильно сконфигурированный брандмауэр оказывается чрезвычайно хорошо защищенным. Однако при использовании средств сбора информации, таких как утилиты traceroute, hping и nm...


Начало



Книжный магазин