Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди трех критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения :

1. Контроль функций приложений и их подприложений
2. Управление неизвестным трафиком
3. Сканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портам
4. Обеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройств
5. Упрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложений
6. Обеспечение той же пропускной способности и производительности при полностью включенной системе контроля приложений
7. Поддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе

2. Ваш межсетевой экран нового поколения должен идентифицировать и контролировать инструменты, позволяющие обходить средства обеспечения безопасности.

Скриншот : Сетевой трафик туннеля TCP-over-DNS. Зашифрованные данные передаются в поле Text. Обычный межсетевой экран видит этот трафик как DNS запросы.

Реальный пример. Сегодня программисты специально пишут приложения, чтобы они обходили межсетевые экраны. Это им нужно для так называемого User Experience.

Программисты хотят, чтобы вам было удобно! Чтобы вы поставили skype и он сразу "засветился зелененьким". Вы получите удовольствие от того факта, что вам не потребовалось уговаривать администратора прописать правила на межсетевом экране, поскольку такие приложения находят и используют уже открытые поты для других приложений. Такими портами являются часто порты 80, 53, 123, 25, 110. Или же программа забирает и использует настройки прокси-сервера из браузера.
Современные средства защиты не идеальны. Их тоже пишут программисты. 20 лет назад при создании Интернет договорились, что для идентификации приложений будут использоваться порты. 80 - HTTP, 25 - SMTP, 21 - FTP и так далее. Ситуация изменилась: внутри этих портов могут ходить любые приложения. Изменились ли средства защиты? Могут ли они определить что по стандартному порту для HTTP (порт 80) сейчас идет другое приложение, отличное от HTTP?

Обход правил межсетевого экрана путем нестандартного использования стандартных портов.

Сейчас существует достаточный набор приложений в вашей сети которые можно использовать для целенаправленного обхода политик безопасности, защищающих вашу организацию. Как вы это контролируете?
К инструментам обхода средств безопасности относятся приложения двух классов - приложения, изначально разрабатываемые для обхода средств защиты (например, внешние прокси и зашифрованные туннельные приложения (не VPN)), и приложения, которые можно адаптировать для выполнения этой задачи (например, инструменты управления удаленным сервером/рабочим столом).

• Внешние прокси и зашифрованные туннельные приложения (не VPN), оснащенные рядом методик маскировки, специально используются для обхода средств обеспечения защиты. Поскольку эти приложения изначально создаются для обхода средств безопасности и поэтому способствуют рискам для бизнеса и защиты, они не имеют для вашей сети никакой бизнес-ценности.

• Инструменты управления удаленным сервером/рабочим столом, такие как RDP и Teamviewer, обычно используются работниками служб поддержки и ИТ-специалистами в целях повышения эффективности работы. Они также часто используются сотрудниками организаций для подключения к домашним и другим компьютерам за пределами корпоративной сети в обход межсетевого экрана. Злоумышленники прекрасно знают об использовании таких приложений, и в официально публикуемых отчетах Verizon Data Breach Report (DBIR) сообщалось о том, что эти инструменты удаленного доступа использовались на одном или нескольких этапах сетевых атак. И до сих пор используются.

Несут ли стандартные приложения в сети какой-то риск? Ведь и приложения для удаленного доступа, и многие зашифрованные туннельные приложения могут использоваться администраторами и сотрудниками. Однако эти же инструменты все чаще используются злоумышленниками на разных этапах в их сложных атаках. Примером такого инструмента в 2017 году является Cobalt Strike. Если организации не смогут контролировать использование этих инструментов обхода средств безопасности, они не смогут успешно выполнять политики безопасности и подвергнут себя всем рискам, для защиты от которых эти средства безопасности предназначены.

Требования. Существуют различные типы приложений обхода средств защиты, и методики, которыми оснащаются приложения каждого из этих типов, слегка различаются. Существуют публичные и частные внешние прокси, которые могут использовать и HTTP, и HTTPS. Например крупная база данных публичных прокси представлена на сайте proxy.org (запрещен на территории РФ и должен быть запрещен в вашей корпоративной сети) Частные прокси часто настраиваются на базе не классифицируемых IP-адресов (например, домашних компьютеров) с такими приложениями, как PHProxy или CGIProxy. Такие приложения удаленного доступа, как RDP, Teamviewer или GoToMyPC, имеют законное применение, однако из-за дополнительного риска, который они вносят, должны строго контролироваться. Большинство других приложений для обхода защиты (например, Ultrasurf, Tor, Hamachi) не имеют никакого бизнес-значения для вашей сети. Независимо от состояния вашей политики безопасности, ваш межсетевой экран нового поколения должен быть оснащен специальными методиками, позволяющими идентифицировать и контролировать все перечисленные приложения, не привязываясь к конкретному порту, протоколу, методу шифрования или другой тактике обхода.
И еще один важный момент: приложения, обеспечивающие обход средств защиты, регулярно обновляются, что еще больше затрудняет их выявление и контроль. Поэтому очень важно знать, как часто выполняется обновление и обслуживание функций контроля приложений, которыми оснащен ваш межсетевой экран.

Реальный пример. Используются ли стандартные протоколы на нестандартных портах в ваше сети? Может ли администратор переместить RDP со стандартного порта 3389 на другой порт? Может. Может ли HTTP ходить по другому порту отличному 80? Не только может, но и ходит. Может ли FTP сервер в Интернет работать на другом порту отличном от 21 - да таких огромное количество. Видят ли это ваши средства защиты. Если нет, то для сотрудника компании или хакера это стандартный ход для уклонения от проверок политик. Просто переместить FTP на порту 25 - окажется что ваше средство защиты думает, что это SMTP. Ваши сигнатуры IPS или антивируса работают только для порта 80 или 110 (POP3)? Злоумышленник передаст трафик на любой другой порт. Например 10000.

Межсетевой экран или сетевой экран - комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача - не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

• 
  традиционный сетевой (или межсетевой ) экран - программа (или неотъемлемая часть операционной системы) на шлюзе (сервере, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
• 
  персональный сетевой экран - программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:

• 
  сетевом уровне , когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
• 
  сеансовом уровне (также известные как stateful) - отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях - сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
• 
  уровне приложений , фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.

В зависимости от отслеживания активных соединений сетевые экраны бывают:

• 
  stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
• 
  stateful, (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т.п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

Как обходят межсетевые экраны.

1. 
   ^ Угроза изнутри. Не всегда угрозы идут только с внешней стороны МСЭ, из сети Internet. Большое количество потерь связано как раз с инцидентами защиты со стороны внутренних пользователей (по статистике - до 80% инцидентов исходят изнутри). Необходимо уточнить, что межсетевой экран только просматривает трафик на границах между внутренней сетью и сетью Internet. Если трафик, использующий "бреши" в защите, никогда не проходит через межсетевой экран, то МСЭ и не находит никаких проблем.

Пример на слайде
1. 
   Туннели . Межсетевой экран фильтрует трафик и принимает решения о пропуске или блокировании сетевых пакетов, опираясь на информацию об используемом протоколе. Как правило, правила предусматривают соответствующую проверку с целью определения того, разрешен или нет конкретный протокол. Например, если на МСЭ разрешен 25 и 80 порты, то тем самым разрешается пропуск во внутреннюю сеть почтового (SMTP) и Web (HTTP) трафика. Именно этот принцип обработки и используется квалифицированными злоумышленниками. Вся несанкционированная деятельность осуществляется в рамках разрешенного протокола, создавая тем самым в нем туннель, по которому злоумышленник и реализует атаку. Самый простой пример, демонстрирующий применение туннелей - Internet-черви и макровирусы, заносимые в корпоративную сеть в виде вложений (attachments) в сообщения электронной почты. Если межсетевой экран разрешает прохождение SMTP-трафика (а мне не приходилось видеть МСЭ, который бы этого не делал), то во внутреннюю сеть может попасть и "вирусная инфекция".

   Распространенной современной атакой на скрытые каналы является атака Loki. Эта атака использует протокол ICMP для передачи данных, хотя этот протокол не был разработан для использования таким образом, он предназначен лишь для отправки сообщений о текущем статусе и ошибках. Но кто-то разработал специальный инструмент (Loki), который позволяет злоумышленнику записывать данные сразу после заголовка ICMP.
   Это позволяет злоумышленнику организовать связь с другой системой посредством скрытого канала. Часто такая атака оказывается весьма успешной, поскольку большинство межсетевых экранов настроены на разрешение входящего и исходящего трафика ICMP. Это скрытый канал, т.к. он использует для связи протокол, который не был разработан для этого. Подробную информацию об атаке Loki можно найти на http://xforce.iss.net/xforce/xfdb/1452 .

2. 
   Шифрование. Очень часто из уст многих отечественных разработчиков средств VPN можно услышать, что разработанное им средство построения виртуальных частных сетей способно решить многие проблемы безопасности. Они упирают на то, что раз защищаемая сеть общается со своими оппонентами (удаленными офисами, партнерами, заказчиками и т.д.) только по VPN-соединению, то никакая "зараза" в нее не проникнет. Отчасти это так, но только при условии, что и оппоненты также ни с кем не общаются по незащищенным каналам. А это уже представить себе трудно. И поскольку большинство организаций используют шифрование для защиты внешних сетевых соединений, интерес злоумышленника будет направлен к тем местам в сети, где информация, представляющая для него интерес, вероятно, не является защищенной, то есть к узлам или сетям, с которым установлены доверенные отношения. И даже в случае создания VPN-соединений между сетью, защищаемой при помощи МСЭ с функциями VPN, и доверенной сетью, злоумышленник сможет с той же эффективностью реализовывать свои атаки. Мало того, эффективность его атак будет еще выше, поскольку зачастую требования по безопасности к доверенным узлам и сетям намного ниже всех остальных узлов. Злоумышленник сможет проникнуть в доверенную сеть, а уж затем из нее осуществлять свои несанкционированные действия по отношению к цели своей атаки.

   

3. 
   ^ Уязвимости в межсетевых экранах. Атаковав МСЭ и выведя его из строя, злоумышленники могут спокойно, не боясь быть обнаруженными, реализовывать свои преступные замысли по отношению к ресурсам защищаемой сети. Например, с начала 2001 года было обнаружено немало уязвимостей в реализации различных известных межсетевых экранов.
4. 
   ^ Подмена адреса - это способ сокрытия реального адреса злоумышленника. Однако он может использоваться и для обхода защитных механизмов межсетевого экрана. Такой простейший способ, как замена адреса источника сетевых пакетов на адрес из защищаемой сети, уже не может ввести в заблуждение современные межсетевые экраны. Все они используют различные способы защиты от такой подмены. Однако сам принцип подмены адреса остается по-прежнему актуальным. Например, злоумышленник может подменить свой реальный адрес на адрес узла, у которого установлены доверенные отношения с атакуемой системой и реализовать атаку типа "отказ в обслуживании" на нее.

• Категоря: Без рубрики

Большинство корпоративных сетей ограждено по периметру недемократично настроенными брандмауэрами, защищающими внутренних пользователей от самих себя и отпугивающими начинающих хакеров. Между тем, для опытного взломщика даже качественный и грамотно настроенный брандмауэр - не преграда.

Брандмауэр (он же фаервол) в общем случае представляет собой совокупность систем, обеспечивающих надлежащий уровень разграничения доступа, достигаемый путем управления проходящим трафиком по более или менее гибкому набору критериев (правил поведения). Короче говоря, брандмауэр пропускает только ту часть трафика, которая явно разрешена администратором и блокирует все остальное.

На рынке доминируют два типа брандмауэров - пакетные фильтры, также называемые шлюзами фильтрации пакетов (packet filter gateway), и программные прокси (application proxy). Примером первого типа является Firewall от компании Check Point, а второго - Microsoft Proxy Server.

Пакетные фильтры полностью прозрачны для пользователей и весьма производительны, однако недостаточно надежны. Фактически они представляют собой разновидность маршрутизаторов, принимающих пакеты как извне, так и изнутри сети, и решающих, как с ними поступить - пропустить дальше или уничтожить, при необходимости уведомив отправителя, что его пакет сдох. Большинство брандмауэров этого типа работает на IP-уровне, причем полнота поддержки IP-протокола и качество фильтрации оставляют желать лучшего, поэтому атакующий может легко их обмануть. На домашних компьютерах такие брандмауэры еще имеют смысл, но при наличии даже плохенького маршрутизатора они лишь удорожают систему, ничего не давая взамен, так как те же самые правила фильтрации пакетов можно задать и на маршрутизаторе!

Программные прокси представляют собой обычные прокси-сервера, прослушивающие заданные порты (например, 25, 110, 80) и поддерживающие взаимодействие с заранее оговоренным перечнем сетевых сервисов. В отличие от фильтров, передающих IP-пакеты \»как есть\», прокси самостоятельно собирают TCP-пакеты, выкусывают из них пользовательские данные, наклеивают на них новый заголовок и вновь разбирают полученный пакет на IP, при необходимости осуществляя трансляцию адресов. Если брандмауэр не содержит ошибок, обмануть его на сетевом уровне уже не удастся; к тому же, он скрывает от атакующего структуру внутренней сети - снаружи остается лишь брандмауэр. А для достижения наивысшей защищенности администратор может организовать на брандмауэре дополнительные процедуры авторизации и аутентификации, «набрасывающиеся» на противника еще на дальних рубежах обороны. Это были достоинства. Что же касается недостатков, то программные прокси ограничивают пользователей в выборе приложений. Они работают намного медленнее пакетных фильтров и здорово снижают производительность (особенно на быстрых каналах).

Брандмауэры обоих типов обычно включают в себя более или менее урезанную версию системы определения вторжений (Intruder Detection System, IDS), анализирующую характер сетевых запросов и выявляющую потенциально опасные действия — обращение к несуществующим портам (характерно для сканирования), пакеты с TTL, равным единице, (характерно для трассировки) и т.д. Все это существенно затрудняет атаку, и хакеру приходится действовать очень осторожно, поскольку любой неверный шаг тут же выдаст его с поторохами. Однако интеллектуальность интегрированных систем распознавания достаточна невелика, и большинство уважающих себя администраторов перекладывает эту задачу на плечи специализированных пакетов, таких, как Real Secure от Internet Security System.

В зависимости от конфигурации сети брандмауэр может быть установлен на выделенный компьютер или может делить системные ресурсы с кем-нибудь еще. Персональные брандмауэры, широко распространенные в мире Windows, в подавляющем большинстве случаев устанавливаются непосредственно на сам защищаемый компьютер. Если этот пакетный фильтр реализован без ошибок, то защищенность системы ничуть не страдает и атаковать ее так же сложно, как и на выделенном брандмауэре. Локальные программные прокси защищают компьютер лишь от некоторых типов атак (например, блокируют засылку троянов через IE), оставляя систему полностью открытой. В UNIX-like-системах пакетный фильтр присутствует изначально, а в штатный комплект поставки входит большое количество разнообразных прокси-серверов, поэтому приобретать дополнительное программное обеспечение не нужно.
От чего защищает и от чего не защищает брандмауэр

Пакетные фильтры в общем случае позволяют закрывать все входящие/исходящие TCP-порты, полностью или частично блокировать некоторые протоколы (например, ICMP), препятствовать установке соединений с данными IP-адресами и т.д. Правильно сконфигурированная сеть должна состоять, по меньшей мере, из двух зон: внутренней корпоративной сети (corporative network), огражденной брандмауэром и населенной рабочими станциями, сетевыми принтерами, intranet-серверами, серверами баз данных и прочими ресурсами подобного типа; а также демилитаризованной зоны (demilitarized zone, или, сокращенно, DMZ), в которой расположены публичные сервера, доступные из интернета. Брандмауэр, настроенный на наиболее драконический уровень защищенности, должен:
закрывать все порты, кроме тех, что принадлежат публичным сетевым службам (HTTP, FTP, SMTP и т.д.);
пакеты, приходящие на заданный порт, отправлять тем и только тем узлам, на которых установлены соответствующие службы (например, если WWW-сервер расположен на узле А, а FTP-сервер на узле B, то пакет, направленный на 80 порт узла B, должен блокироваться брандмауэром);
блокировать входящие соединения из внешней сети, направленные в корпоративную сеть (правда, в этом случае пользователи сети не смогут работать с внешними FTP-серверами в активном режиме);
блокировать исходящие соединения из DMZ-зоны, направленные во внутреннюю сеть (исключая FTP- и DNS-сервера, которым исходящие соединения необходимы);
блокировать входящие соединения из DMZ-зоны, направленные во внутреннюю сеть (если этого не сделать, то атакующий, захвативший управление одним из публичных серверов, беспрепятственно проникнет и в корпоративную сеть).
блокировать входящие соединения в DMZ-зону из внешней сети по служебным протоколам, часто использующимся для атаки (например, ICMP; правда, полное блокирование ICMP создает большие проблемы, в частности, перестает работать ping и становится невозможным автоматическое определение наиболее предпочтительного MTU);
блокировать входящие/исходящие соединения с портами и/или IP-адресами внешней сети, заданными администратором.

Фактически роль брандмауэра сводится к ограждению корпоративной сети от всяких любопытствующих, блуждающих по просторам инета. Тем не менее, прочность этого ограждения только кажущаяся. Если клиент корпоративной сети использует уязвимую версию браузера или клиента электронной почты (а большая часть программного обеспечения уязвима!), атакующему достаточно заманить его на троянизированную WEB-страничку или послать ему письмо с вирусом внутри, и через короткое время локальная сеть окажется поражена. Даже если исходящие соединения из корпоративной сети запрещены, shell-код сможет воспользоваться уже установленным TCP-соединением, через которое он был заброшен на атакованный узел, передавая хакеру управление удаленной системой.

Брандмауэр может и сам являться объектом атаки, ведь он, как и всякая сложная программа, не обходится без дыр и уязвимостей. Дыры в брандмауэрах обнаруживаются практически каждый год и далеко не сразу затыкаются (особенно если брандмауэр реализован на \»железном\» уровне). Забавно, но плохой брандмауэр не только не увеличивает, но даже ухудшает защищенность системы (в первую очередь это относится к персональным брандмауэрам, популярность которых в последнее время необычайно высока).
Обнаружение и идентификация брандмауэра

Залогом успешной атаки является своевременное обнаружение и идентификация брандмауэра (или, в общем случае, IDS, но в контексте настоящей статьи мы будем исходить из того, что она совмещена с брандмауэром).

Большинство брандмауэров отбрасывают пакеты с истечением TTL (Time To Live - время жизни), блокируя тем самым трассировку маршрута, чем разоблачают себя. Аналогичным образом поступают и некоторые маршрутизаторы, однако, как уже говорилось выше, между маршрутизатором и пакетным фильтром нет принципиальной разницы.

Отслеживание маршрута обычно осуществляется утилитой traceroute, поддерживающей трассировку через протоколы ICMP и UDP, причем ICMP блокируется гораздо чаще. Выбрав узел, заведомо защищенный брандмауэром (например, www.intel.ru), попробуем отследить к нему маршрут командой traceroute -I wwww.intel.ru.

$traceroute -I wwww.intel.ru

Трассировка маршрута к bouncer.glb.intel.com

1 1352 ms 150 ms 150 ms 62.183.0.180

2 140 ms 150 ms 140 ms 62.183.0.220

3 140 ms 140 ms 130 ms 217.106.16.52

4 200 ms 190 ms 191 ms aksai-bbn0-po2-2.rt-comm.ru

5 190 ms 211 ms 210 ms msk-bbn0-po1-3.rt-comm.ru

6 200 ms 190 ms 210 ms spb-bbn0-po8-1.rt-comm.ru

7 190 ms 180 ms 201 ms stockholm-bgw0-po0-3-0-0.rt-comm.ru

8 180 ms 191 ms 190 ms POS4-0.GW7.STK3.ALTER.NET

9 190 ms 191 ms 190 ms 146.188.5.33

10 190 ms 190 ms 200 ms 146.188.11.230

11 311 ms 310 ms 311 ms 146.188.5.197

12 291 ms 310 ms 301 ms so-0-0-0.IL1.DCA6.ALTER.NET

13 381 ms 370 ms 371 ms 152.63.1.137

14 371 ms 450 ms 451 ms 152.63.107.150

15 381 ms 451 ms 450 ms 152.63.107.105

16 370 ms 461 ms 451 ms 152.63.106.33

17 361 ms 380 ms 371 ms 157.130.180.186

18 370 ms 381 ms 441 ms 192.198.138.68

19 * * * Превышен интервал ожидания для запроса.

20 * * * Превышен интервал ожидания для запроса.

Смотри: трассировка доходит до узла 192.198.138.68, а затем умирает, что указывает либо на брандмауэр, либо на недемократичный маршрутизатор. Чуть позже мы покажем, как можно проникнуть сквозь него, а пока выберем для трассировки другой узел, например, www.zenon.ru

$traceroute -I www.zenon.ru

Трассировка маршрута к distributed.zenon.net

с максимальным числом прыжков 30:

1 2444 ms 1632 ms 1642 ms 62.183.0.180

2 1923 ms 1632 ms 1823 ms 62.183.0.220

3 1632 ms 1603 ms 1852 ms 217.106.16.52

4 1693 ms 1532 ms 1302 ms aksai-bbn0-po2-2.rt-comm.ru

5 1642 ms 1603 ms 1642 ms 217.106.7.93

6 1562 ms 1853 ms 1762 ms msk-bgw1-ge0-3-0-0.rt-comm.ru

7 1462 ms 411 ms 180 ms mow-b1-pos1-2.telia.net

8 170 ms 180 ms 160 ms mow-b2-geth2-0.telia.net

9 160 ms 160 ms 170 ms 213.248.78.178

10 160 ms 151 ms 180 ms 62.113.112.67

11 181 ms 160 ms 170 ms css-rus2.zenon.net

Трассировка завершена.

На этот раз трассировка проходит нормально. Выходит, что никакого брандмауэра вокруг zenon\’а нет? Очень может быть, но для уверенного ответа нам требуется дополнительная информация. Узел 195.2.91.193 принадлежит сети класса С (три старших бита IP-адреса равны 110), и, если эта сеть не защищена брандмауэром, большинство ее узлов должно откликаться на ping, что в данном случае и происходит. Сканирование выявляет 65 открытых адресов. Следовательно, либо маршрутизатора здесь нет, либо он беспрепятственно пропускает наш ping.

При желании можно попробовать просканировать порты, однако, во-первых, наличие открытых портов еще ни о чем не говорит (быть может, брандмауэр блокирует лишь один порт, но самый нужный, например, защищает дырявый RPC от посягательств извне), а, во-вторых, при сканировании хакеру будет трудно остаться незамеченным. С другой стороны, порты сканируют все кому не лень, и администраторы уже давно не обращают на это внимания.

Утилита nmap позволяет обнаруживать некоторые из брандмауэров, устанавливая статут порта во \»firewalled\». Такое происходит всякий раз, когда в ответ на SYN удаленный узел возвращает ICMP-пакет типа 3 с кодом 13 (Admin Prohibited Filter) с действительным IP-адресом брандмауэра в заголовке (nmap его не отображает; пиши собственный сканер или, используя любой снифер, самостоятельно проанализируй возвращаемый пакет). Если возвратится SYN/ACK - сканируемый порт отрыт. RST/ACK указывает на закрытый или заблокированный брандмауэром порт. Не все брандмауэры генерируют RST/ACK при попытке подключения к заблокированным портам (Check Point Firewall - генерирует), некоторые отсылают ICMP-сообщение, как было показано выше, или ничего не посылают вообще.

Большинство брандмауэров поддерживает удаленное управление через интернет, открывая один или несколько TCP-портов, уникальных для каждого брандмауэра. Так, например, Check Point Firewall открывает 256, 257 и 258 порты, а Microsoft Proxy - 1080. Некоторые брандмауэры явным образом сообщают свое имя и версию программного продукта при подключении к ним по netcat (или telnet), в особенности этим грешат прокси-сервера. Последовательно опрашивая все узлы, расположенные впереди исследуемого хоста, на предмет прослушивания характерных для брандмауэров портов, мы в большинстве случаев сможем не только выявить их присутствие, но и определить IP-адрес! Разумеется, эти порты могут быть закрыты как на самом брандмауэре (правда, не все брандмауэры это позволяют), так и на предшествующем ему маршрутизаторе (но тогда брандмауэром будет нельзя управлять через интернет).
Сканирование и трассировка через брандмауэр

Прямая трассировка через брандмауэр чаще всего оказывается невозможной (какому администратору приятно раскрывать интимные подробности топологии своих сетей), и атакующему приходится прибегать к всевозможным ухищрениям.

Утилита Firewalk представляет собой классический трассер, посылающий TCP- или UDP-пакеты, с таким расчетом, чтобы на узле, следующем непосредственно за брандмауэром, их TTL обращался в ноль, заставляя систему генерировать сообщение ICMP_TIME_EXCEEDED. Благодаря этому Firewalk уверенно работает даже там, где штатные средства уже не справляются, хотя крепко защищенный брандмауэр ей, конечно, не пробить и атакующему приходится использовать более продвинутые алгоритмы.

Будем исходить из того, что с каждым отправляемым IP-пакетом система увеличивает его ID на единицу (как это чаще всего и случается). С другой стороны, согласно спецификации RFC-793, описывающей TCP-протокол, всякий хост, получивший посторонний пакет, который не относится к установленным TCP-соединениям, должен реагировать на него посылкой RST. Для реализации атаки нам понадобится удаленный узел, не обрабатывающий в данный момент никакого постороннего трафика и генерирующий предсказуемую последовательность ID. В хакерских кругах такой узел называется немым (dump). Обнаружить немой хост очень просто - достаточно лишь отправить ему серию IP-пакетов и проанализировать ID, возвращенный в заголовках. Запомним (запишем на бумажку) ID последнего пакета. Затем выберем жертву и отправим ей SYN-пакет, указав в обратном адресе IP немого узла. Атакуемый узел, думая, что немой хост хочет установить с ним TCP-соединение, ответит: SYN/ACK. Немой хост, словив посторонний SYN/ACK, возвратит RST, увеличивая свой счетчик ID на единицу. Отправив немому хосту еще один IP-пакет и проанализировав возвращенный ID, мы сможем узнать, посылал ли немой хост жертве RST-пакет или нет. Если посылал, значит, атакуемый хост активен и подтверждает установку TCP-соединения на заданный порт. При желании хакер может просканировать все интересующие его порты, не рискуя оказаться замеченным, ведь вычислить его IP практически невозможно - сканирование осуществляется \»руками\» немого узла и с точки зрения атакуемого выглядит как обычное SYN-сканирование.

Предположим, что немой хост расположен внутри DMZ, а жертва находится внутри корпоративной сети. Тогда, отправив немому хосту SYN-пакет от имени жертвы, мы сможем проникнуть через брандмауэр, поскольку он будет думать, что с ним устанавливает соединение внутренний хост, а соединения этого типа в 99,9% случаях разрешены (если их запретить, пользователи корпоративной сети не смогут работать со своим же собственными публичными серверами). Естественно, все маршрутизаторы на пути от хакера к немому хосту не должны блокировать пакет с поддельным обратным адресом, в противном случае пакет умрет задолго до того, как доберется до места назначения.

Утилита hping как раз и реализует сценарий сканирования данного типа, что делает ее основным орудием злоумышленника для исследования корпоративных сетей, огражденных брандмауэром.

Как вариант, хакер может захватить один из узлов, расположенных внутри DMZ, используя их как плацдарм для дальнейших атак.
Проникновение через брандмауэр

Сборку фрагментированных TCP-пакетов поддерживают только самые качественные из брандмауэров, а все остальные анализируют лишь первый фрагмент, беспрепятственно пропуская все остальные. Послав сильно фрагментированный TCP-пакет, \»размазывающий\» TCP-заголовок по нескольким IP-пакетам, хакер скроет от брандмауэра Acknowledgment Number и он не сможет определить принадлежность TCP-пакета к соответствующей ему TCP-сессии (быть может, он относится к легальному соединению, установленному корпоративным пользователем). Если только на брандмауэре не активирована опция \»резать фрагментированные пакеты\», успех хакерской операции гарантирован. Блокирование фрагментированных пакетов создает множество проблем и препятствует нормальной работе сети. Теоретически возможно блокировать лишь пакеты с фрагментированным TCP-заголовком, однако далеко не всякий брандмауэр поддерживает столь гибкую политику настройки. Атаки данного типа, называемые Tiny Fragment Attack, обладают чрезвычайно мощной проникающей способностью и потому являются излюбленным приемом всех хакеров.

Атаки с использованием внутренней маршрутизации (она же маршрутизация от источника, или source routing) намного менее актуальны, но мы все же их рассмотрим. Как известно, IP-протокол позволяет включать в пакет информацию о маршрутизации. При отправке IP-пакета жертве навязанная хакером маршрутизация чаще всего игнорируется, и траектория перемещения пакета определяется исключительно промежуточными маршрутизаторами, но ответные пакеты возвращаются по маршруту, обратному указанному в IP-заголовке, что создает благоприятные условия для его подмены. Более упрощенный вариант атаки ограничивается одной лишь подменой IP-адреса отправителя. Грамотно настроенные маршрутизаторы (и большинство клонов UNIX) блокируют пакеты с внутренней маршрутизацией. Пакеты с поддельными IP-адресами представляют несколько большую проблему, однако качественный брандмауэр позволяет отсеивать и их.

Таблицы маршрутизации могут быть динамически изменены посылкой сообщения ICMP Redirect, что позволяет (по крайней мере, теоретически) направить хакерский трафик в обход брандмауэра (см. также ARP- spoofing), впрочем, сейчас такие безнадежно инсекьюрные системы практически уже не встречаются.
Побег из-за брандмауэра

Пользователи внутренней сети, огражденной недемократичным брандмауэром, серьезно ограничены в своих возможностях. Про невозможность работы с FTP-серверами в активном режиме мы уже говорили. Также могут быть запрещены некоторые протоколы и закрыты необходимые тебе порты. В клинических случаях администраторы ведут черных списки IP-адресов, блокируя доступ к сайтам \»нецелесообразной\» тематики.

Поскольку брандмауэры рассчитаны на защиту извне, а не изнутри, вырваться из-за их застенков очень просто, достаточно лишь воспользоваться любым подходящим прокси-сервером, находящимся во внешней сети и еще не занесенным администратором в черный список. В частности, популярный клиент ICQ позволяет обмениваться сообщениями не напрямую, а через сервер (не обязательно сервер компании-разработчика). Существуют тысячи серверов, поддерживающих работу ICQ. Одни существуют в более или менее неизменном виде уже несколько лет, другие динамически то появляются, то исчезают. И если \»долгожителей\» еще реально занести в стоп-лист, то уследить за серверами-однодневками администратор просто не в состоянии!

Также можно воспользоваться протоколом SSH (Secure Shell), изначально спроектированным для работы через брандмауэр и поддерживающим шифрование трафика (на тот случай, если брандмауэр вздумает искать в нем \»запрещенные\» слова типа \»sex\», \»hack\» и т.д.). SSH-протокол может работать по любому доступному порту, например, 80, и тогда с точки зрения брандмауэра все будет выглядеть как легальная работа с WEB-сервером. Между тем, SSH является лишь фундаментом для остальных протоколов, из которых в первую очередь хотелось бы отметить telnet, обеспечивающий взаимодействие с удаленными терминалами. Заплатив порядка 20$ за хостинг любому провайдеру, ты получишь аккаунт, поддерживающий SSH и позволяющий устанавливать соединения с другими узлами сети (бесплатные хостинги этой возможности чаще всего лишены или накладывают на нее жесткие ограничения).

Наконец, можно воспользоваться сотовой телефонией, прямым модемным подключением и прочими коммуникационными средствами, устанавливающими соединение с провайдером, в обход брандмауэра.
Заключение

Технологии построения брандмауэров не стоят на месте, и специалисты по информационной безопасности не дремлют. С каждым днем хакерствовать становится все труднее и труднее, однако полностью хакерство не исчезнет никогда. Ведь на смену заткнутым дырам приходят другие. Главное, не сидеть сложа руки, а творчески экспериментировать с брандмауэрами, изучать стандарты и спецификации, изучать дизассемблерные листинги и искать, искать, искать…

Популярный сканер портов, позволяющий обнаруживать некоторые типы брандмауэров. Бесплатен. Исходные тексты доступны. На сайте http://www.insecure.org/nmap море технической информации по проблеме.
FireWalk

Утилита для трассировки сети через брандмауэр, работающая на TCP/UDP-протоколах и основанная на TTL. Бесплатна. http://www.packetfactory.net/firewalk. Перед использованием рекомендуется ознакомиться с документацией http://www.packetfactory.net/firewalk/firewalk-final.pdf.
HPING

Утилита, реализующая сканирование через немой хост. Мощное оружие для исследования внутренней сети по-за брандмауэром. Бесплатна и хорошо документирована. http://www.hping.org/papers.html.
SSH-клиент

Secure Shell клиент, используемый пользователями внутренней сети для преодоления запретов и ограничений, наложенных брандмауэром. Бесплатен. Распространяется вместе с исходными текстами. http://www.openssh.com.
FFAQ

Подробный FAQ по брандмауэрам на английском языке. www.interhack.net/pubs/fwfaq/firewalls-faq.pdf. Его русский перевод, не отличающейся особой свежестью, лежит на ln.com.ua/~openxs/articles/fwfaq.html.
Firewalls

Конспект лекций по брандмауэрам (на английском языке) от тайваньского профессора Yeali S. Sun. http://www.im.ntu.edu.tw/~sunny/pdf/IS/Firewall.pdf
OpenNet

Огромный портал по сетевой безопасности, содержащий в том числе и информацию о дырах в популярных брандмауэрах (на русском и английском языках). http://www.opennet.ru

Брандмауэры подвержены большому количеству DoS-атак, таких, как эхо-шторм или SYN-flood, которым они в принципе неспособны противостоять.

Брандмауэр - это маршрутизатор, проски-север и система обнаружения вторжений в одном флаконе.

Брандмауэры не защищают от атак, а лишь ограждают локальную сеть кирпичным забором, через который легко перелезть.

В большинстве случаев сквозь кирпичную стену брандмауэра можно пробить ICMP-тоннель, обернув передаваемые данные ICMP-заголовком.

Брандмауэр можно атаковать не только извне, но и изнутри корпоративной сети.

Различные брандмауэры по-разному реагируют на нестандартные TCP-пакеты, позволяя идентифицировать себя.

Брандмауэры, открывающие 53 порт (служба DNS) не только на приемнике (например, Check Point Firewall), но и на источнике, позволяют хакеру просканировать всю внутреннюю сеть.

Уязвимость программных прокси в общем случае невелика, и в основном они атакуются через ошибки переполнения буфера.

Некоторые брандмауэры подвержены несанкционированному просмотру файлов через порт 8010 и запросы типа http://www.host.com::8010/c:/ или http://www.host.com::8010//.
Служба DCOM нуждается в широком диапазоне открытых портов, что существенно снижает степень защищенности системы, обессмысливая использование брандмауэра.

28.08.2012 18:06

2050 прочтений

Технологию объединенных коммуникаций (UC) можно рассматривать как новый набор данных и протоколов, использующих IP-сети. С точки зрения обеспечения безопасности, эти сервисы мало чем отличаются от других сервисов передачи данных по IP-сетям, а рекомендации по использованию передового опыта включают в себя технологии и методы, используемые для защиты других сервисов. В этом документе описываются проблемы безопасности, которые необходимо учитывать при развертывании систем объединенных коммуникаций, а также приводятся рекомендации Polycom по их защите.

Вопросы, связанные с межсетевым экраном

Устройства объединенных коммуникаций Polycom — это вычислительные устройства, снабженные функциями удаленного управления (с помощью веб-интерфейса или других API-интерфейсов). Так же как и любые объекты ИТ-инфраструктуры, их не следует развертывать за пределами корпоративного межсетевого экрана без отключения таких интерфейсов. Polycom рекомендует развертывать системы UC под защитой межсетевого экрана (как при обычном развертывании любого особо ценного ИТ-ресурса) и использовать решение Polycom Video Border Proxy (VBP) для обеспечения обхода межсетевого экрана трафиком сигнализации H.323 и мультимедийными потоками. Это поможет исключить возможность случайных подключений злоумышленников, действующих в Интернете, к незащищенным конечным устройствам UC.

Интернет-злоумышленники не смогут добраться до открытых портов и сервисов на устройствах UC, развернутых под защитой межсетевого экрана. Внешние пользователи, заказчики и деловые партнеры по-прежнему будут иметь возможность совершать видеовызовы на устройство UC.

Организациям потребуется развернуть решение для обхода межсетевого экрана UC, например, решение Polycom Video Border Proxy (VBP).

Примечание. В тех организациях, которые не могут позволить себе использование межсетевого экрана для защиты видеотерминалов по экономическим соображениям, следует отключить функцию удаленного управления в меню настроек Security -> Enable Remote Management (Безопасность -> Включить удаленное управление), чтобы полностью исключить возможность выбора веб-интерфейса, Telnet и SNMP.

Обход межсетевого экрана

Обход межсетевого экрана позволяет использовать общедоступные видеосервисы в конфигурации с действующим межсетевым экраном организации, не подвергая инфраструктуру UC или все остальные компьютеры организации опасности интернет-атак. Устройство VBP можно использовать как для предоставления доступа к системам видеосвязи удаленным пользователям, так и для осуществления видеовызовов между компаниями, как показано на рисунке 1.

Преимущество более высокого уровня безопасности. Корпоративный межсетевой экран обеспечивает защиту устройств UC точно так же, как и других ИТ-ресурсов. Внешние пользователи, заказчики и деловые партнеры по-прежнему могут совершать видеовызовы на устройство UC.

Другие аспекты, которые следует учитывать . Организациям следует провести анализ существующей архитектуры трансляции сетевых адресов (NAT). Возможно, потребуется ее корректировка для включения функции обхода межсетевого экрана.

Вопросы, связанные с оценкой системы безопасности

Polycom рекомендует периодически проверять корпоративные устройства UC, так же как и любой другой ИТ-ресурс, с помощью сканеров уязвимостей, чтобы подтвердить способность системных конфигураций противостоять выявленным рискам. Это особенно важно при развертывании новых устройств UC, чтобы убедиться в том, что изменение всех конфигураций и паролей по умолчанию было выполнено. Необходимо выполнять сканирование как устройств, находящихся в зоне действия межсетевого экрана организации, так и за его пределами. Это дает полное представление о возможных сценариях вероятных действий злоумышленников или злоупотреблений внутри организации.

Следует отметить, что процесс выпуска продуктов Polycom предусматривает сканирование уязвимостей.

Преимущество более высокого уровня безопасности. Сканирование уязвимостей позволяет предупреждать об отсутствии необходимых исправлений или, что особенно важно во многих сценариях развертывания корпоративных решений UC, о наличии неверных настроек в системе обеспечения безопасности. Существует множество коммерческих и бесплатных сканеров уязвимостей, включая сервисы сканирования в Интернете. Сканирование, осуществляемое с внешней стороны корпоративного межсетевого экрана, позволяет выявлять уязвимости, которыми может воспользоваться злоумышленник, действуя через Интернет.

Другие аспекты, которые следует учитывать. Необходимо периодически выполнять сканирование для проверки отсутствия изменений в конфигурациях. Сканирование активирует вывод аварийных оповещений, генерируемых межсетевыми экранами и системами обнаружения вторжений (IDS). Обратите внимание, что Polycom не дает советов относительно конкретных инструментов сканирования. Организациям следует провести собственный анализ, чтобы сделать верный выбор в зависимости от своих потребностей.

Управление системой

С точки зрения администрирования, ИТ-администраторам следует рассматривать видеоустройства UC как обычные вычислительные устройства. Чтобы обеспечить безопасность, при работе с этими устройствами администраторы должны применять такие же процедуры, как и при работе с серверами.
Следует отключать неиспользуемые коммуникационные сервисы.Если организация не планирует использовать протокол SNMP для мониторинга устройств, он должен быть отключен. Если организация не использует устройство управления Polycom CMA (приложение для управления контентом), Telnet следует отключить. Если для мониторинга используется протокол SNMP, необходимо изменить значение параметра SNMP Community String (пароли доступа) по умолчанию ("public").

Сканеры уязвимостей определяют, какие сервисы являются открытыми и доступными. Неиспользуемые сервисы следует отключить.
Преимущество более высокого уровня безопасности. Чем меньше сервисов включено, тем меньше точек потенциальных атак доступно злоумышленникам.

Другие аспекты, которые следует учитывать. Организациям необходимо периодически просматривать системные конфигурации для выявления внесенных в них изменений. Сканеры уязвимостей позволяют автоматизировать этот процесс. Рекомендуется их использовать для периодических проверок (раз в месяц).

Вопросы, связанные с использованием автоответчика

Функция автоответчика — это возможность конечного устройства видеоконференций отвечать на входящие вызовы в автоматическом режиме. Эта функция позволяет существенно упростить пользование системой. Тем не менее, необходимо понимать последствия для корпоративной системы безопасности, связанные с использованием автоответчика.

Почему это важно. Во многих организациях при использовании видеосвязи придают особое значение удобству автоответчика. Например, в университетах, где используются программы дистанционного обучения, запланированные лекции читаются преподавателями в определенных аудиториях. Обычно подключение к запланированным конференциям в удаленных классах происходит автоматически, и этот процесс зависит от корректной работы автоответчика. С точки зрения угроз безопасности, риск для организации относительно невелик, особенно если случайные интернет-злоумышленники не могут набрать номер для установления связи с конференциями, проходящими в этих классах. Polycom признает необходимость нахождения некого баланса между безопасностью и удобством работы и рекомендует два лучших варианта решения этой проблемы.

Организациям следует оценить уровень допустимых рисков при выборе одного из этих вариантов.

Наиболее безопасный вариант. Отключить автоответчик.

Риск для безопасности. Риск минимален для удаленных автоматических подключений. Если автоответчик отключен, дозвониться в определенное место просто невозможно без активного взаимодействия с пользователем, находящимся в той же комнате.

Другие аспекты, которые следует учитывать. Это не повлияет на запланированные вызовы (интеграция с Outlook, Polycom RMX и т.д.), но пользователю потребуется пульт дистанционного управления или сенсорная панель управления Polycom Touch Control или иная система управления для ответа на входящий вызов (точно так же, как при телефонном вызове). Обратите внимание, что при отсутствии ответа в течение 30 секунд, вызов отключается.

Менее безопасный вариант. Автоответчик включен (никаких действий пользователя для ответа на входящий вызов не требуется).

Риск для безопасности. Возможно удаленное автоматическое подключение к видеоустройствам. Для снижения риска вы можете:

1. Удостовериться, что установлен режим "Mute Auto Answer Calls" (выключить микрофон для вызовов автоответчика). Приложение Polycom Converged Management Appliance (CMA) может вызвать сброс этой настройки.

2. Отключить управление камерой на удаленной площадке (приложение Polycom CMA может вызвать сброс этой настройки).

3. Надеть крышку на объектив камеры, когда система не используется.

4. Функции защиты шлюза приложений CMA и Polycom Distributed Media Application (DMA) направляют вызовы только на те устройства, которые были зарегистрированы для работы с ними. По существу, формируется закрытая группа устройств, для которой автоответчик включен, но действует только для некоторого известного набора конечных устройств. (См. параметры сервера обработки вызовов в "Руководстве по эксплуатации DMA").

5. Проверяйте журналы записей данных вызова (CDR), чтобы отслеживать незапланированные или совершаемые в неурочное время вызовы.

Другие аспекты, которые следует учитывать. Важно обеспечить доступность пульта дистанционного управления. При этом пользователи должны помнить о том, что в этом режиме им требуется включить микрофон для вызова.

Вопросы, связанные с комнатой для совещаний

Автоответчик предполагает использование схемы "набора номера": внешние участники набирают номер для связи с видеосистемой в конференц-зале. Устройства Polycom UC также поддерживают другую схему набора номера: видеоустройства отправляют вызов в комнату для совещаний из центрального сервера многосторонней видеоконференцсвязи (MCU). Эта архитектура более безопасна по своей сути, чем схема "набора номера", поскольку прямое соединение между конечными устройствами не устанавливается. Если видеосистема в комнате не подключена к серверу MCU, удаленный нарушитель просто не может получить доступ к этой комнате, даже если он получил доступ к MCU.

Polycom еще больше расширяет эти возможности благодаря организации виртуальных комнат для совещаний с использованием решения DMA. Это не только позволяет распределить нагрузку по всем доступным серверам MCU, но и мешает злоумышленнику определить адрес определенной видеоконференции.

Следует отметить, что "набор номера" в запланированных конференциях возможен даже при использовании серверов MCU или комнат для совещаний — сервер MCU в назначенное время автоматически направит вызов на видеотерминалы, обеспечивая высокий уровень безопасности в сочетании с максимальной простотой использования.

Риск для безопасности. Эта конфигурация требует использования сервера MCU видеоконференцсвязи, например, Polycom RMX. Его развертывание должно проводиться согласно рекомендациям, изложенным в этом документе.

Другие аспекты, которые следует учитывать. В этом режиме конечные устройства необходимо установить на "включить микрофон при ответе".

Вопросы удаленного доступа

Многие организации устанавливают видеотерминалы удаленно, в небольших или домашних офисах (SOHO). Эти устройства требуют точно такой же защиты, что и любой другой удаленный ИТ-ресурс. Самым безопасным и легко управляемым способом защиты является, пожалуй, технология VPN. Многие поставщики предлагают недорогие устройства VPN с централизованным управлением, которые вполне подходят для защиты видеоустройства в удаленном домашнем офисе. Многие из них (например, как Aruba RAP) включают в себя также и встроенную функцию межсетевого экрана.

Риск для безопасности: VPN позволяет логически включить видеоустройства в корпоративную сеть, защищенную корпоративным межсетевым экраном. Интернет-пользователи не могут получить к нему доступ, за исключением обхода межсетевого экрана во время обычного видеовызова, как в любой видеосистеме. Управление видеоустройством с логическим включением в корпоративную сеть, осуществляется точно так же, как и другими корпоративными видеоустройствами.

Другие аспекты, которые следует учитывать. Следует отметить, что в некоторых домашних маршрутизаторах (например, 2Wire) существуют проблемы, связанные с функцией NAT и функцией обхода межсетевого экрана. Удаленное устройство VPN позволяет избежать этих проблем.

Использование паролей

Устройства Polycom UC представляют собой вычислительные устройства, и, хотя они не являются универсальными компьютерами, подобно серверам или настольным системам, они обладают почти такой же архитектурой системы безопасности. Одним и примеров является использование учетных записей и паролей пользователей.

Каждое устройство Polycom поставляется с предустановленнымпаролем по умолчанию. Во время его установки, как и любого другого вычислительного устройства, выполняется смена пароля. Пароль не может быть пустым, должен быть допустимой длины и периодически меняться. Устройства Polycom UC реализуют эти аспекты политики надежных паролей.

В некоторых организациях предпочитают использовать службу Active Directory корпорации Microsoft для управления учетными записями и паролями пользователей. Устройства Polycom поддерживают эту конфигурацию.

Риск для безопасности. Существует вероятность простого проникновения даже в самое хорошо защищенное устройство, если оно обладает ненадежным паролем или паролем по умолчанию. Организациям следует помнить о том, что списки паролей по умолчанию можно легко найти в Интернете.

Анализ журнала регистрации

Устройства Polycom UC поддерживают журнал регистрации всех исходящих и входящих вызовов. Этот журнал называется журналом CDR (записей данных вызова). Его необходимо регулярно проверять, а именно, выяснять, были ли случаи непредусмотренного использования системы UC — неизвестными или несанкционированными удаленными устройствами, в неурочное время (по ночам или тогда, когда комната, где находится устройство, не была занята или запланирована для использования).

Устройство управления Polycom CMA извлекает журналы CDR для анализа из всех управляемых устройств.

Другие аспекты, которые следует учитывать. Необходимо обязать сотрудников ИТ-отдела проводить анализ записей журнала регистрации.

Шифрование

Наибольший риск для служб объединенных коммуникаций представляет не подслушивание, а атаки злоумышленников в попытке получить доступ непосредственно к устройствам UC. Тем не менее, возможно и подслушивание; существует целый ряд инструментов, выполняющих это в автоматическом режиме. Шифрование видеосвязи позволяет предотвращать эту угрозу.

Устройства UC необходимо настраивать на использование шифрования по возможности. Это позволит использовать в конференциях UC имеющиеся устройства или устройства сторонних поставщиков, которые не поддерживают шифрование. Организации с более высокими требованиями к безопасности (или те, которым не требуется поддерживать имеющиеся более старые системы) могут настраивать устройства UC на режим "всегда использовать шифрование".

Обратите внимание, что шифрование Polycom соответствует стандарту FIPS-140, сертифицированному правительством США.
Другие аспекты, которые следует учитывать. Организации, которым требуется режим "всегда использовать шифрование" требуется, не смогут использовать имеющиеся устройства или устройства сторонних поставщиков, которые не поддерживают шифрование.

Вопросы мобильности

С изменением характера видеоконференций и переходом от статических систем (например, систем в комнатах для совещаний) на мобильные устройства (ноутбуки или настольные системы) организации сталкиваются с дополнительными проблемами обеспечения безопасности. Хотя в программное обеспечение для видеосвязи заложены возможности безопасной работы (например, с помощью шифрования и т.д.), само устройство подвергается рискам, которые не свойственны статическим системам — просто потому, что устройство является мобильным и находится за пределами корпоративной защиты.

Компания Polycom рекомендует централизованное управление видеоприложениями для мобильных систем, способное обеспечить корректную настройку параметров безопасности. Устройство управления Polycom CMA предоставляет такую возможность.

Polycom рекомендует также устанавливать на мобильных устройствах ПО для обеспечения безопасности сторонних поставщиков, например, антивирусное ПО, приложения для персонального межсетевого экрана и поддержки достоверности конфигураций. Кроме того, в организациях должна быть разработана стратегия выполнения автоматических обновлений ОС и приложений на мобильных устройствах, а также удаленной очистки конфиденциальных данных на случай потери или кражи устройства.

Риск для безопасности. Без централизованного управления безопасностью конфигураций видеосистем и конечных устройств невозможно предугадать, можно ли использовать некое мобильное устройство в качестве промежуточного средства для совершения интернет-атаки на организацию.

Другие аспекты, которые следует учитывать. Большинство поставщиков антивирусного ПО предлагают клиентские приложения для мобильных устройств, которые встраиваются в существующую консоль антивирусной защиты организации.

Передовой опыт межкорпоративной связи

Видеовызовы, совершаемые между различными организациями, создают особые риски для безопасности, поскольку каждая организация имеет свою политику безопасности и свои средства управления. В отличие от вызовов внутри одной организации, при выполнении вызовов между разными организациями потоки данных необходимо направлять только на устройства, участвующие в вызове.

Наиболее безопасный вариант. Использовать комнату для совещаний.

Риск для системы безопасности. Риск минимален, если исключить прямые, двухточечные и межкорпоративные вызовы. Конечные устройства в обеих организациях отправляют вызов серверу многосторонних видеоконференций (MCU), который развернут в незащищенной области сети (DMZ). Такие серверы MCU предназначены именно для этого типа развертывания и позволяют подключать конечные устройства к одному вызову. Следует подчеркнуть, что сервер MCU должен быть настроен в соответствии рекомендациями, изложенными в этом документе.

Другие аспекты, которые следует учитывать. Сервер MCU может дозваниваться до обоих конечных устройств в запланированное для начала конференции время. Тем не менее, удаленная организация должна настроить свое конечное устройство так, чтобы обеспечить безопасность такого соединения.

Менее безопасный вариант. Использование списков контроля доступа для ограничения входящих вызовов. Настоятельно рекомендуем частую проверку журнала регистрации, чтобы выявить непредусмотренные входящие или исходящие вызовы.

Риск для безопасности. Возможно удаленное автоматическое подключение к видеоустройствам. Необходимы меры для предупреждения несанкционированных подключений к автоответчику.

Другие аспекты, которые следует учитывать. Необходимо настроить правила межсетевого экрана, разрешающие устанавливать входящие соединения, инициированные удаленным устройством.

Вопросы, связанные с утилизацией устройств и очисткой данных

Когда после окончания срока полезного использования вычислительных устройств наступает время их утилизации, необходимо стирать с них конфиденциальные корпоративные данные. Устройства объединенных коммуникаций Polycom обладают функцией сброса настроек, восстанавливая все заводские установки первоначальной предустановленной конфигурации. Этот процесс стирает все конфиденциальные данные (адресные книги, истории вызовов, журналы с записями данных вызовов и т.д.).

Polycom советует восстанавливать все заводские настройки устройств UC перед их утилизацией.

Примечание. При сбросе конфигурации устройства важно использовать параметр "Erase Flash" (очистить флэш-память) для удаления персональных данных.

Развитие сети Internet обострило и в очередной раз выявило проблемы, возникающие при безопасном подключении к Internet корпоративной сети. Связано это в первую очередь с тем, что сеть Internet разрабатывалась как открытая, предназначенная для всех, система. Вопросам безопасности при проектировании стека протоколов TCP/IP, являющихся основой Internet, уделялось очень мало внимания.

Для устранения проблем, связанных с безопасностью, было разработано много различных решений, самым известным и распространенным из которых является применение межсетевых экранов (firewall). Их использование — это первый шаг, который должна сделать любая организация, подключающая свою корпоративную сеть к Internet. Первый, но далеко не последний. Одним межсетевым экраном для построения надежного и защищенного соединения с Internet не обойтись. Необходимо реализовать целый ряд технических и организационных мер, чтобы обеспечить приемлемый уровень защищенности корпоративных ресурсов от несанкционированного доступа.

Межсетевые экраны реализуют механизмы контроля доступа из внешней сети к внутренней путем фильтрации всего входящего и исходящего трафика, пропуская только авторизованные данные. Все межсетевые экраны функционируют на основе информации, получаемой от различных уровней эталонной модели ISO/OSI, и чем выше уровень OSI, на основе которого построен межсетевой экран, тем выше уровень защиты, им обеспечиваемый. Существует три основных типа межсетевых экранов — пакетный фильтр (packet filtering), шлюз на сеансовом уровне (circuit-level gateway) и шлюз на прикладном уровне (application-level gateway). Очень немногие существующие межсетевые экраны могут быть однозначно отнесены к одному из названных типов. Как правило, МСЭ совмещает в себе функции двух или трех типов. Кроме того, недавно появилась новая технология построения межсетевых экранов, объединяющая в себе положительные свойства всех трех вышеназванных типов. Эта технология была названа Stateful Inspection. И в настоящий момент практически все предлагаемые на рынке межсетевые экраны анонсируются, как относящиеся к этой категории (Stateful Inspection Firewall).

На российском рынке средств защиты информации сейчас сложилась такая ситуация, что многие поставщики межсетевых экранов (МСЭ), предлагая свой продукт, утверждают, что он один решит все проблемы заказчика, обеспечив надежную защиту всех ресурсов корпоративной сети. Однако, это не так. И не потому что предлагаемый межсетевой экран не обеспечивает необходимых защитных механизмов (правильный выбор межсетевого экрана — это тема отдельной статьи), а потому что самой технологии присущи определенные недостатки.

В данной статье я не буду говорить о достоинствах названных типов межсетевых экранов (этому посвящено немало публикаций), а основное внимание уделю недостаткам, присущим всей технологии в целом.

Отсутствие защиты от авторизованных пользователей

Наиболее очевидный недостаток межсетевых экранов — невозможность защиты от пользователей, знающих идентификатор и пароль для доступа в защищаемый сегмент корпоративной сети. Межсетевой экран может ограничить доступ посторонних лиц к ресурсам, но он не может запретить авторизованному пользователю скопировать ценную информацию или изменить какие-либо параметры финансовых документов, к которым этот пользователь имеет доступ. А по статистике не менее 70% всех угроз безопасности исходит со стороны сотрудников организации. Поэтому, даже если межсетевой экран защитит от внешних нарушителей, то останутся нарушители внутренние, неподвластные МСЭ.

Для устранения этого недостатка нужны новые подходы и технологии. Например, использование систем обнаружения атак (intrusion detection systems). Данные средства, ярким примером которых является система RealSecure, обнаруживают и блокируют несанкционированную деятельность в сети независимо от того, кто ее реализует — авторизованный пользователь (в т.ч. и администратор) или злоумышленник. Такие средства могут работать как самостоятельно, так и совместно с межсетевым экраном. Например, система RealSecure обладает возможностью автоматической реконфигурации межсетевого экрана CheckPoint Firewall-1 путем изменения правил, запрещая тем самым доступ к ресурсам корпоративной сети с атакуемого узла.

Отсутствие защиты новых сетевых сервисов

Вторым недостатком межсетевых экранов можно назвать невозможность защиты новых сетевых сервисов. Как правило, МСЭ разграничивают доступ по широко распространенным протоколам, таким как HTTP, Telnet, SMTP, FTP и ряд других. Реализуется это при помощи при помощи механизма «посредников» (proxy), обеспечивающих контроль трафика, передаваемого по этим протоколам или при помощи указанных сервисов. И хотя число таких «посредников» достаточно велико (например, для МСЭ CyberGuard Firewall их реализовано более двухсот), они существуют не для всех новых протоколов и сервисов. И хотя эта проблема не столь остра (многие пользователи используют не более десятка протоколов и сервисов), иногда она создает определенные неудобства.

Многие производители межсетевых экранов пытаются решить указанную проблему, но удается это далеко не всем. Некоторые производители создают proxy для новых протоколов и сервисов, но всегда существует временной интервал от нескольких дней до нескольких месяцев между появлением протокола и соответствующего ему proxy. Другие разработчики межсетевых экранов предлагают средства для написания своих proxy (например, компания CyberGuard Corporation поставляет вместе со своим МСЭ подсистему ProxyWriter позволяющую создавать proxy для специфичных или новых протоколов и сервисов). В этом случае необходима высокая квалификация и время для написания эффективного proxy, учитывающего специфику нового сервиса и протокола. Аналогичная возможность существует и у межсетевого экрана CheckPoint Firewall-1, который включает в себя мощный язык INSPECT, позволяющий описывать различные правила фильтрации трафика.

Ограничение функциональности сетевых сервисов

Некоторые корпоративные сети используют топологию, которая трудно «уживается» с межсетевым экраном, или используют некоторые сервисы (например, NFS) таким образом, что применение МСЭ требует существенной перестройки всей сетевой инфраструктуры. В такой ситуации относительные затраты на приобретение и настройку межсетевого экрана могут быть сравнимы с ущербом, связанным с отсутствием МСЭ.

Решить данную проблему можно только путем правильного проектирования топологии сети на начальном этапе создания корпоративной информационной системы. Это позволит не только снизить последующие материальные затраты на приобретение средств защиты информации, но и эффективно встроить межсетевые экраны в существующую технологию обработки информации. Если сеть уже спроектирована и функционирует, то, возможно, стоит подумать о применении вместо межсетевого экрана какого-либо другого решения, например, системы обнаружения атак.

Потенциальная опасность обхода межсетевого экрана

Межсетевые экраны не могут защитить ресурсы корпоративной сети в случае неконтролируемого использования в ней модемов. Доступ в сеть через модем по протоколам SLIP или PPP в обход межсетевого экрана делает сеть практически незащищенной. Достаточно распространена ситуация, когда сотрудники какой-либо организации, находясь дома, при помощи программ удаленного доступа типа pcAnywhere или по протоколу Telnet обращаются к данным или программам на своем рабочем компьютере или через него получают доступ в Internet. Говорить о безопасности в такой ситуации просто не приходится, даже в случае эффективной настройки межсетевого экрана.

Для решения этой задачи необходимо строго контролировать все имеющиеся в корпоративной сети модемы и программное обеспечение удаленного доступа. Для этих целей возможно применение как организационных, так и технических мер. Например, использование систем разграничения доступа, в т.ч. и к COM-портам (например, Secret Net) или систем анализа защищенности (например, Internet Scanner и System Scanner). Правильно разработанная политика безопасности обеспечит дополнительный уровень защиты корпоративной сети, установит ответственность за нарушение правил работы в Internet и т.п. Кроме того, должным образом сформированная политика безопасности позволит снизить вероятность несанкционированного использования модемов и иных устройств и программ для осуществления удаленного доступа.

Потенциально опасные возможности

Новые возможности, которые появились недавно, и которые облегчают жизнь пользователям Internet, разрабатывались практически без учета требований безопасности. Например, WWW, Java, ActiveX и другие сервисы, ориентированные на работу с данными. Они являются потенциально опасными, так как могут содержать в себе враждебные инструкции, нарушающие установленную политику безопасности. И если операции по протоколу HTTP могут достаточно эффективно контролироваться межсетевым экраном, то защиты от «мобильного» кода Java и ActiveX практически нет. Доступ такого кода в защищаемую сеть либо полностью разрешается, либо полностью запрещается. И, несмотря на заявления разработчиков межсетевых экранов о контроле апплетов Java, сценариев JavaScript и т.п., на самом деле враждебный код может попасть в защищаемую зону даже в случае полного их блокирования в настройках межсетевого экрана.

Защита от таких полезных, но потенциально опасных возможностей должна решаться в каждом конкретном случае по-своему. Можно проанализировать необходимость использования новой возможности и совсем отказаться от нее; а можно использовать специализированные защитные средства, например, систему SurfinShield компании Finjan или SafeGate компании Security-7 Software, обеспечивающие безопасность сети от враждебного «мобильного» кода.

Вирусы и атаки

Практически ни один межсетевой экран не имеет встроенных механизмов защиты от вирусов и, в общем случае, от атак. Как правило, эта возможность реализуется путем присоединения к МСЭ дополнительных модулей или программ третьих разработчиков (например, система антивирусной защиты ViruSafe для МСЭ CyberGuard Firewall или система обнаружения атак RealSecure для МСЭ CheckPoint Firewall-1). Использование нестандартных архиваторов или форматов передаваемых данных, а также шифрование трафика, сводит всю антивирусную защиту «на нет». Как можно защититься от вирусов или атак, если они проходят через межсетевой экран в зашифрованном виде и расшифровываются только на оконечных устройствах клиентов?

В таком случае лучше перестраховаться и запретить прохождение через межсетевой экран данных в неизвестном формате. Для контроля содержимого зашифрованных данных в настоящий момент ничего предложить нельзя. В этом случае остается надеяться, что защита от вирусов и атак осуществляется на оконечных устройствах. Например, при помощи системных агентов системы RealSecure.

Снижение производительности

Несмотря на то, что подсоединение к сетям общего пользования или выход из корпоративной сети осуществляется по низкоскоростным каналам (как правило, при помощи dialup-доступа на скорости до 56 Кбит или использование выделенных линий до 256 Кбит), встречаются варианты подключения по каналам с пропускной способностью в несколько сотен мегабит и выше (ATM, T1, E3 и т.п.). В таких случаях межсетевые экраны являются самым узким местом сети, снижая ее пропускную способность. В некоторых случаях приходится анализировать не только заголовок (как это делают пакетные фильтры), но и содержание каждого пакета («proxy»), а это существенно снижает производительность межсетевого экрана. Для сетей с напряженным трафиком использование межсетевых экранов становится нецелесообразным.

В таких случаях на первое место надо ставить обнаружение атак и реагирование на них, а блокировать трафик необходимо только в случае возникновения непосредственной угрозы. Тем более что некоторые средства обнаружения атак (например, RealSecure) содержат возможность автоматической реконфигурации межсетевых экранов.

Компромисс между типами межсетевых экранов — более высокая гибкость в пакетных фильтрах против большей степени защищенности и отличной управляемости в шлюзах прикладного уровня. Хотя на первый взгляд кажется, что пакетные фильтры должны быть быстрее, потому что они проще и обрабатывают только заголовки пакетов, не затрагивая их содержимое, это не всегда является истиной. Многие межсетевые экраны, построенные на основе прикладного шлюза, показывают более высокие скоростные характеристики, чем маршрутизаторы, и представляют собой лучший выбор для управления доступом при Ethernet-скоростях (10 Мбит/сек).

Отсутствие контроля своей конфигурации

Даже если все описанные выше проблемы решены, остается опасность, что межсетевой экран неправильно сконфигурирован. Приходится сталкиваться с ситуацией, когда приобретается межсетевой экран, первоначальная конфигурация которого осуществляется специалистами поставщика и тем самым, как правило, обеспечивается высокий уровень защищенности корпоративных ресурсов. Однако, с течением времени, ситуация меняется, — сотрудники хотят получить доступ к новым ресурсам Internet, работать с новым сервисами (RealAudio, VDOLive и т.п.) и т.п. Таким образом, постепенно защита, реализуемая межсетевым экраном, становится дырявой как решето, и огромное число правил, добавленных администратором, сводятся к одному: «разрешено все и всем».

В этом случае помогут средства анализа защищенности. Средства анализа защищенности могут тестировать межсетевой экран как на сетевом уровне (например, подверженность атакам типа «отказ в обслуживании»), так и на уровне операционной системы (например, права доступа к конфигурационным файлам межсетевого экрана). Кроме того, при сканировании возможна реализация атак типа «подбор пароля», позволяющие обнаружить «слабые» пароли или пароли, установленные производителем по умолчанию. К средствам, проводящим такие проверки, можно отнести, например, систему Internet Scanner американской компании Internet Security Systems (ISS).