обзор техник атак и обхода брандмауэров

модификация ключей реестра и файлов, принадлежащих брандмауэру.Вредоносная программа анализирует реестр и уничтожает ключи реестра, принадлежащие брандмауэру. Для уничтожения ключей реестра, как правило, достаточно базы данных с именами драйверов и исполняемых файлов. Троянские программы могут содержать внушительные базы данных, насчитывающие сотни записей (причем не только для борьбы с брандмауэрами — там присутствует весь спектр программ, предназначенных для защиты компьютера). модификация базы данных брандмауэра. Любой брандмауэр должен содержать базу данных, в которой описаны правила его работы и настройки. В случае недостаточной защищенности эта база данных может быть уничтожена, подменена или модифицирована. обход драйверов, установленных брандмауэром. Обход драйвера является довольно сложной операцией, поскольку создатели большинства современных брандмауэров применяют многоуровневый контроль за сетевой активностью. Кроме того, реализация подобных методик требует разработки достаточно сложного программного кода. Тем не менее реализации известны и сводятся к установке собственного NDIS (NetworkDriverInterfaceSpecification — спецификация интерфейса сетевых драйверов, разработанная совместно Microsoft и 3Com. Скрывает особенности реализации сетевого адаптера от сетевой операционной системы) - драйвера (для работы с Сетью напрямую для реализации данной методики часто применяется пакет winpcap) или к установке драйвера, передающего IRP (Input/outputRequestPackets — пакеты запроса ввода-вывода)-пакеты в обход драйверов — фильтров брандмауэра. Последний метод наиболее эффективен против простейших TDI (TransportDriverInterface — интерфейс транспортного драйвера) - фильтров.инвентаризация списков доступа брандмауэра. Для этого производится сканирование портов бастионного хоста, например, при помощи nmap. На исследуемый порт посылаются пакеты ICMP. Если порт открыт, то в ответ сканирующему хосту отсылаются пакеты ICMP с установленными в заголовках TCP флагами SYN и АСК. Если порт заблокирован, то информация об этом передается обратно в заголовке пакета ICMP; если порт фильтруется брандмауэром, то некоторые брандмауэры помещают сообщение о фильтрации порта в IP-заголовок ответного пакета. Таким образом, анализируя структуру заголовков ответных пакетов ICMP, посылаемых на различные порты бастионного хоста (выявленные сканированием), можно достаточно точно установить, какое правило фильтрации пакетов ICMP, поступающих на сканированный порт, используется брандмауэром - порт может быть открытым, блокированным или фильтруемым.использование уязвимостей протокола FTP.В активном режиме открытие соединения по данному протоколу инициирует сервер, в пассивном – клиент. Часто заранее неизвестен номер порта, защиту которого надо настроить, поэтому возможна атака в обход защиты брандмауэра.Защита от атак в обход брандмауэраУязвимые места брандмауэровБрандмауэры не защищают от черных входов в сеть. Например, можно обойти сетевой экран, используя модемное подключение. Во-вторых, брандмауэры не обеспечивают защиту от внутренних угроз. Они не защищают от копирования конфиденциальных данных и вынос их за защищенный периметр. В - третьих, брандмауэры не защищают от вирусов и червей. В – пятых, применение брандмауэров создает в сети потенциально узкое и опасное место, так как все данные должны проходить через них, что может снизить производительность и увеличивает вероятность угрозы проникновения в сеть.Методы защиты брандмауэра от атакОсновным способом снижения угроз взлома брандмауэров является их правильная настройка. Необходимо закрыть все порты, кроме принадлежащих публичным или корпоративным сервисам. Пакеты, приходящие на определенные порты, должны пересылаться на те узлы, где установлены соответствующие службы. Конфигурация брандмауэра должна блокировать входящие соединения из внешней сети, а также исходящие соединения из демилитаризованной зоны (DMZ) направленные во внутреннюю сеть, за исключением разрешенных сервисов. Ниже приведены методы защиты от наиболее известных атак в обход брандмауэра:Защита от атаки через доверенного приложения. Брандмауэр должен контролировать запуск доверенного приложения недоверенным. Защита от внедрения постороннего кода в доверенные процессы. Защита сводится к контролю компонентов приложения и выдаче предупреждений в случае появления в памяти доверенного процесса новой подпрограммы, которая не значится в этом списке. Для уменьшения количества ложных срабатываний может применяться проверка цифровых подписей библиотек и интеграция брандмауэра с антивирусом для детектирования троянских библиотек. Защита от создания троянских потоков. Производится путем блокировки модификации машинного кода доверенных процессов или регистрация этого факта, после чего модифицированный процесс считается недоверенным. Защита от маскировки недоверенного процесса. Производится путем регистрации запуска и завершения процессов, факта загрузки/выгрузки библиотек и сопоставление полученных таким образом данных с информацией, полученной посредством стандартных функций.Защита от атаки на процессы брандмауэра. Производится путем размещения основного кода брандмауэра в невыгружаемых драйверах. В качестве дополнительных мер может применяться защита управляющего процесса или мониторинг его работоспособности. Некоторые брандмауэры блокируют обмен с сетью в случае принудительной остановки управляющего процесса.Защита от атак на управляющую оболочку. Производится путем отслеживания эмуляций различных операций со своими окнами и прочими GUI-элементами. В простейшем случае должен фиксироваться факт отправки сообщений окнам брандмауэра со стороны других приложений.Защита от модификаций файлов самого брандмауэра. Защита может быть проактивной, контролирующей модификацию файлов в реальном времени или периодической. Защита от модификации баз данных брандмауэра. База с настройками должна храниться в зашифрованном виде и обеспечивать несколько степеней защиты базы — создание ее резервных копий, защиту базы контрольными суммами и т.п. Защита от обхода драйверов, установленных брандмауэром. Производится путем многоуровневой проверки, например, применением TDIи NDIS–фильтров.ЗАКЛЮЧЕНИЕВ данной работе рассмотрены история возникновения, типы и архитектура межсетевых экранов, наиболее распространенные атаки на брандмауэры, методы защиты от них.Показано, что для снижения вероятности угроз вторжения необходимо контролировать правильность настройки и правил брандмауэра, периодически проверять работоспособность, так как проблемы с уязвимостью в большинстве случае связаны снекорректными правилами работы межсетевых экранов.Список использованной литературыИнтернет и безопасность в нем. Публикация NIST800-100. [Электронный ресурс]. Режим доступа: http://www.bourabai.kz/dbt/security/nist-handbook/index.htm (дата обращения 31 ноября 2014 г.)Обход брандмауэров снаружи и изнутри. [Электронный ресурс]. Режим доступа: http://www.hackzona.ru/hz.php?file=article&name=News&sid=9522 (дата обращения 04 декабря 2014 г.)Распространенные атаки на брандмауэры — защита и диагностика. [Электронный ресурс]. Режим доступа: http://compress.ru/article.aspx?id=15664 (дата обращения 04 декабря 2014 г.)Основы технологий брандмауэров. [Электронный ресурс]. Режим доступа: http://it-talk.org/topic8261.html (дата обращения 04 декабря 2014 г.)Персональный фаервол. [Электронный ресурс]. Режим доступа: http://ru.wikipedia.org/wiki/Персональный_файрфол (дата обращения 01 ноября 2014 г.)Безопасность. [Электронный ресурс]. Режим доступа: http://www.oszone.net/4345/ (дата обращения 02 декабря 2014 г.)Годовой отчет CISCOпо безопасности за 2014 г.[Электронный ресурс].Режимдоступа::www.cisco.com/web/RU/pdf/sc_01casr2014_cte_lig_ru.pdf(дата обращения 28 ноября 2014 г.)Обход брандмауэров снаружи и изнутри. Годовой отчет CISCOпо безопасности за 2014 г. [Электронный ресурс]. Режим доступа: http://hack-academy.ru/redirector.php?url=http://cons-urists.ru/(дата обращения 28 ноября 2014 г.) Обход брандмауэров/IDS. [Электронный ресурс]. Режим доступа: http:// http://nmap.org/man/ru/man-bypass-firewalls-ids.html(дата обращения 28 ноября 2014 г.)Network attack and Defence. [Электронныйресурс]. Режим доступа: http://book.itep.ru/depository/security/attacks-defence.pdf(дата обращения 29ноября 2014 г.)