Ви задумалися про те, що пора припинити несанкціонований доступ в вашу мережу або запобігти цьому в майбутньому і придбали собі за кругленьку суму firewall (або МСЕ — міжмережевий екран — цю абревіатуру я й буду використовувати надалі). Тепер, переглядаючи звіти ваших системних аналітиків та інженерів безпеки про виявлених і отже припинених спроби вторгнення ви радісно потираете долоні, а вночі спите спокійно. Але ця ідилія рано чи пізно закінчиться — це я вам можу обіцяти, ну і порадити не дуже то і вірити рекламним проспектам компаній, що пропонують свої рішення в області інформаційної безпеки. Так, заявляють вони, наші апаратно-програмні, ну або просто програмні комплекси, повністю захистять вашу мережу від вторгнень, наші продукти навіть сертифіковані Міжнародною асоціацією з комп’ютерної безпеки ICSA (http://www.icsa.net). Але чому то факти свідчать про протилежне…

Подивимося, за що ви платите свої гроші…

За повідомленням видавництва «Відкриті системи» навесні 2000 року троє спеціально запрошених хакерів продемонстрували атаку на брандмауер Checkpoint Software Firewall-1 версії 4.0 і 5-м Сервиспаком перед учасниками проходить в Лас-Вегасі конференції з інформаційної безпеки Black Hat Briefings 2000». Спочатку було показано, як можна знеособити доступ, закріплений за адміністратором і взяти керування на себе. Потім хакери змусили брандмауер прийняти анонімний доступ з Інтернету за доступ з мережі виду VPN. Коментуючи публічну демонстрацію «дірок» в брандмауері, представники Checkpoint Software відзначили, що ці хакерські атаки здійснювалися для конфігурації брандмауера, що не застосовується на практиці, але визнали, що брандмауер має «дірки». А що їм ще за вашим залишалося робити ?

Адже ці три «хакера»: Thomas Lopatic, John McDonald (TUV data protect GmbH) і Dug Song (центр інтеграції інформаційних технологій Мічиганського університету) не зробили більше того, що міг зробити будь-який інший фахівець, май він перед собою таке завдання.

Модуль аутенфикации Firewall-1 чомусь не перевіряв IP адреса нападників. В конфігураційному файлі control.map споконвічно присутня запис
127.0.0.1: */none

Для локального адміністратора це звичайно зручно, але ніхто не міг перешкодити атакуючим підмінити вміст поля IP-пакетів Source Address на 127.0.0.1 чим вони і скористалися.

Спочатку МСЕ призначений для фільтрації певних мережевих пакетів. Але в особливому режимі «fastmode» перевіряються тільки пакети з SYN-прапором. Тому достатньо лише посилати пакети без цього прапора і ні один з них не буде блокований. Для складання карти «захищеної» мережі атакуючі в цьому випадку використовували стандартний Nmap з прапорами -g -sF.

З повним переліком і описом вразливостей, виявлених ними, можна ознайомитися за адресою — www.dataprotect.com/bh2000/. Ви скажете — це було 3 роки тому — зараз ситуація змінилася! А ви впевнені ?

Восени 2002 року Yiming Gong, старщий системний адміністратор China Netcom, повідав, що багато МСЕ беззахисні проти DoS/Denial of Service атак.

При здійсненні атаки з формуванням в якості джерела іншого сервера (IP-спуффинг), файрволли блокують подібний сервер. В якості джерела можна вказати, наприклад, роутер атакується (якщо відомий його внутрішній IP-адресу, DNS-сервер атакується, а також відомі Інтернет-сервера, до яких може звертатися атакується (пошукові сервера, новинні сервера). При включеній функції автоблокування джерела атаки (auto-function block on — установка за замовчуванням) за короткий проміжок часу можна відрізати атакується від «зовнішнього» світу.

Уразливості схильні BlackICE Defender for server, BlackICE Server Security, Norton personal firewall 2002, а також, ймовірно, і інші продукти цього класу.

Symantec відповів, що інформація про уразливості передана команді розробників, BlackIce повідомив, що в цій версії файрволла нічого не може бути зроблено, і вони спробують вирішити цю проблему в майбутньому релізі.

Візьмемо ще один відомий МСЕ — Cisco PIX Firewall. У жовтні 2001 компанія Cisco повідомила, що система аутентифікації Cisco PIX Firewall схильна DoS-атак. Потенційної можливості бути атакованим» піддані всі користувачі Cisco Secure PIX Firewall версії 4.0 і вище, використовують конфігурацію з ААА-аутентифікацією (рядок pixfirewall# aaa authentication …).

Суть процесу в наступному: при спробі увійти в систему з однієї адреси можна «забрати» все аутентифікаційні ресурси системи, при цьому інші користувачі увійти в систему не зможуть. Компанія заявляє, що DoS-атаці піддається тільки вищеописана процедура, конфіденційності даних ніщо не загрожує, і можливі атаки не вплинуть на вже авторизованих користувачів.Помилка була виявлена при спробі обмежити число запитів від одного користувача до трьох. Тоді компанія заявила, що більше не допустить DoS-атак на цю систему. Ах, наївні…Nils Reichen 5 грудня 2002 року розповів світові, що уразливість в TCP/IP стек дозволяє віддаленому атакуючому виконувати DoS атаку проти PIX firewall. Уразливість відбувається із-за неправильної обробки адреси підмережі в PIX OS стеку. Якщо дозволений telnet/SSH доступ для хостів внутрішньої мережі, PIX відповість на запит підключення, посланий адресу підмережі. Використання адреси підмережі в якості адресата, дозволяє обійти інший фільтр. (чи не нагадує вам ситуацію з Check Point Firewall-1 ?). В результаті, множинні TCP SYN пакети послані адресу підмережі, призведуть до фрагментації пам’яті і відмови обслуговувати подальші запити. Уразливість була виявлена в Cisco PIX Firewall 6.2.2.

А так улюблений адміністраторами урядових серверів США Raptor Firewall фірми Axent Technologies? Ви думаєте і він хороший? Як одного разу сказав Ісус Христос — «Хто без гріха, той нехай підніме і кине в мене камінь». Ви думаєте хтось кинув? Всі люди грішні, а фаєрволи — вразливі!!! І нікуди від цього не дітися. Пропускна здатність обчислювальної мережі при використанні Raptor вкрай низька. При досягненні рівня всього лише 16 Мбіт/с, Raptor починає катастрофічно скидати пакети. При 14 Мбіт/с приблизно на 26 тис. пакетів доводилося максимум 75 скинутих — цілком прийнятна цифра. Але при 16 Мбіт/с частка втрачених пакетів становила понад 90%. Після досягнення цього порогу ВЧС припинила передавати трафік, що призвело до необхідності перезапуску firewall-системи. А адже навіть кілька пропущених пакетів можуть вивести систему з ладу або задовольнити цілі хакера.

Ви ще не проконсультувалися з своїми хлопцями з відділу інформаційної безпеки? Ви продовжуєте зберігати критично важливі дані під захистом вашого дорогого і відомого своєю безпекою фаєрволу? Даремно…