Для авторов Архив рассылки |
Русский English | |||
Путь: Panvasoft / Блог / Сервер ISA 2006 глазами хакера: Часть 1 – Внешние атаки |
Люди часто представляют брандмауэры в виде стены, в виде некоего волшебного решения всех проблем безопасности на предприятии. Брандмауэры дают людям чувство защиты. Тем не менее, брандмауэры не могут сделать сеть полностью защищенной, они лишь повышают уровень безопасности. Я считаю, что брандмауэры – это сито, и размер дыр этого сита зависит от того, как администрируется брандмауэр. Хакеры похожи на куски фруктов, которые не должны попасть в сок. Легальным пользователям доступ сквозь сито разрешен. Однако безопасность внутри служб также важна, как и безопасность самого брандмауэра.Я установил брандмауэр. Что дальше?Дальше начинается самое трудное: вам нужно удостовериться, что брандмауэр выполняет все то, что, как вы думаете, он должен делать. Кроме того, вам нужно убедиться, что защита, предоставляемая брандмауэром, не уменьшится из-за плохого администрирования. Из данной статьи вы узнаете:
Ниже на схеме показан общий вид примерной сети, которую бы будем использовать в нашей статье.
Доверяй, но проверяйПосле установки ISA-сервера и создания основных правил, первое, что вы обязаны сделать, - это проверка. Проверив изнутри и снаружи свой брандмауэр, вы получите четкую картину реальной площади атаки. Первое, что делает хакер, когда он хочет атаковать систему, поиск любой возможной информации об объекте. Одним из самых ценных источников информации, которые может использовать хакер, является сканеры портов. Администратор безопасности должен знать, как его система реагирует на сканирование, и какую информацию смогут получить хакеры при сканировании брандмауэра. Одним из самых известных средств для сканирования портов является Nmap. Nmap – это бесплатное средство с открытым кодом, которое поддерживает десятки методов сканирования, среди них и несколько режимов «невидимого сканирования». Найти Nmap и информацию о данном средстве можно на сайте Insecure.org Внутри сетей, ориентированных на безопасность, обычно расположены системы IDS и IPS, которые могут определить сканирование портов, однако «невидимые» режимы сканирования могут и не обнаружиться. Просканируем нашу сеть. В данном примере на 80-м порту ISA-сервера опубликован web-сайт.
Nmap показал, что 80 порт открыт. Но ISA-сервер определил странную сетевую активность. Количество соединений, которое Nmap создает с брандмауэром, заставляет ISA-сервер записать в журнал сообщение о предупреждении.
Это предупреждение пишется в журнал событий, и данное событие можно перехватить средствами наблюдения, например MOM.
Это предупреждение выдается новой функцией ISA-сервера уменьшение переполнения. Ниже вы узнаете о новых возможностях ISA-сервера подробнее. Хотя Nmap использует невидимый SYN-метод, ISA-сервер обнаруживает трафик и отклоняет все соединения, кроме тех, что направлены на 80-й порт.
Если ISA-сервер отклоняет пакет, то соединение прерывается. Сканер портов не знает, закрыт ли порт или на нем просто установлен фильтр. Другим методом является использование фрагментированных пакетов для сканирования цели, однако, поскольку ISA-сервер работает только на компьютерах под управлением Windows, по умолчанию Windows отклоняет весь фрагментированный трафик. Сканирование фрагментированными пакетами не принесет никакого результата. По умолчанию сервер ISA 2006 не пишет предупреждения или события о сканировании портов. Для изменения такого поведения необходимо активировать функцию определения сканирования портов:
За дополнительной информацией об этих установках обратитесь к статье Microsoft Предупреждения о сканировании портов в ISA-сервере (англ). После включения этих функций ISA-сервер будет записывать в журнал предупреждения о сканировании портов на основе выбранного вами критерия. Если произвести сканирование после этих изменений, вы увидите следующее.
Пишется в журнал и событие. Кроме того, Nmap предлагает и другие методы сканирования: Нулевое сканирование (Null-сканирование)Из помощи по Nmap: “Нулевое сканирование (sN)не устанавливает никаких битов (флаг заголовка tcp - 0)” Результат нулевого сканирования ISA-сервера:
Nmap не нашел открытых портов, хотя 80-й порт был открыт.
FIN-сканированиеИз помощи по Nmap:”FIN-сканирование устанавливает только FIN-бит TCP.” Результаты FIN-сканирования ISA-сервера: ISA-сервер не записывает в журнал никаких предупреждений или событий, однако Nmap не нашел открытых портов, хотя 80-й порт был открыт.
Xmas-сканированиеИз помощи по Nmap: “Xmas-сканирование устанавливает флаги FIN, PSH и URG, украшая ими пакет, как новогоднюю елку.” Результаты Xmas-сканирования: ISA-сервер не записывает в журнал никаких предупреждений или событий, однако Nmap не нашел открытых портов, хотя 80-й порт был открыт.
TCP ACK-сканированиеИз помощи по Nmap: “ACK-сканирование проводит сканирование пакетами, у которых установлен только флаг ACK (если вы не использовали Результаты ACK-сканирования: ISA-сервер не записывает в журнал никаких предупреждений или событий, однако Nmap не нашел открытых портов, хотя 80-й порт был открыт.
TCP connect-сканированиеПри TCP Connect-сканировании Nmap использует операционную систему для создания нормального соединения с портами. Этот вид сканирования легко обнаруживается системами IDS, IPS и, конечно, ISA-сервером. Результаты сканирования: ISA-сервер пишет в журнал предупреждение и событие, Nmap находит, что порт 80 открыт.
TCP Window-сканированиеИз помощи по Nmap: ”Window-сканирование в точности похоже на ACK-сканирование, за исключением того, что оно использует детали определенных систем для разделения открытых и закрытых портов вместо того, чтобы помечать их как Результаты данного сканирования: ISA-сервер не записывает в журнал никаких предупреждений или событий, однако Nmap не нашел открытых портов, хотя 80-й порт был открыт.
TCP Maimon-сканированиеИз помощи по Nmap: ” Maimon-сканирование названо так по имени открывателя данного метода, Юриэля Мэймона (Uriel Maimon). Он описал данный метод в журнале Phrack Magazine #49 (Ноябрь 1996). Nmap, использующий этот метод, был выпущен немногим позднее. Данный метод в точности повторяет Null, FIN и Xmas сканирования, за исключением того, что используется пакет FIN/ACK. В соответствии с RFC 793 (TCP), RST-пакет должен быть сгенерирован в ответ на такой пакет, в независимости от того, открыт порт или закрыт. Однако, Юриэль отмечает, что многие системы на основе BSD просто отклоняют такие пакеты, если порт открыт” Результаты TCP Maimon-сканирования: ISA-сервер не записывает в журнал никаких предупреждений или событий, однако Nmap не нашел открытых портов, хотя 80-й порт был открыт.
Таблица 1: Сканирование портов сервера ISA 2006 Реакция на сканирование портовISA-сервер может реагировать на атаки, выполняя при появлении предупреждений определенные действия.
Создать сценарий, блокирующий весь трафик из источника атаки, очень просто. «Отпечатки пальцев» брандмауэраВ Nmap есть возможность определения операционной системы. Данная функция использует базу данных «отпечатков пальцев» стэка. Nmap и другие средства могут определять наличие брандмауэра в системе Windows, но для этого им нужен как минимум один открытый и один закрытый порт. В Центе безопасности есть все известные уязвимости, и если злоумышленник попытается найти уязвимость серверов ISA 2004 и 2006, он не сможет ничего найти, кроме только одной уязвимости, которая верна для прокси, но не для брандмауэров!!.
ЗаключениеЕсли злоумышленник возьмет на себя риск быть обнаруженным, он найдет все наши открытые порты. Следующим его шагом будет попытка атаковать опубликованные на брандмауэре службы. Для этого злоумышленники используют такие средства обнаружения уязвимостей, как retina, nikto и т.д., но они не являются целью написания данной статьи. Ваш брандмауэр может быть защищен, но если вы публикуете сервер NT 4 с wet-сайтом IIS 5, будьте уверены, что ваша сеть незащищена. Вы должны защитить все серверы и службы, особенно опубликованные. В следующей части статьи мы увидим, как ISA-сервер реагирует на такие атаки из внутренней сети, как заражение ARP, спуфинг и атаку типа «man-in-the-middle». Автор: Daniel Matey (Дэниэл Мэтью)
Категория: Администрирование
Источник: isadocs.ru Опубликовал: Feeder, Дата: 30.11.2006, Просмотров сегодня: 1, Просмотров всего: 15913, Рейтинг: Расскажи друзьям: Еще статьи на угад: Загрузочная флэшка и восстановление системы. Как работают программы восстановления данных. Установка Windows XP по сети. RIS, но не Microsoft. Автоматическое изменение паролей локальных администраторов. Сервер ISA 2006 глазами хакера: Часть 1 – Внешние атаки Все о boot.ini (загрузчике ОС Windows NT/2K/XP) Обзор Exchange 2003 SP2 Ваши комментарии:
|
|