Учебное пособие Ставрополь сф мггу им. М. А. Шолохова 2009

230
В устанавливается свое начальное значение счетчика - ISSb; поле
Acknowledgment Number содержит значение ISSa, полученное в первом пакете от хоста А и увеличенное на единицу.
3. А, завершая рукопожатие (handshake), посылает:
A → B: ACK, ISSa+1, ACK(ISSb+1)
В этом пакете установлен бит ACK; поле Sequence Number содержит
ISSa + 1; поле Acknowledgment Number содержит значение ISSb + 1.
Посылкой этого пакета на хост В заканчивается трехступенчатый handshake, и TCP-соединение между хостами А и В считается установленным.
4. Теперь хост А может посылать пакеты с данными на хост В по только что созданному виртуальному TCP-каналу:
A → B: ACK, ISSa+1, ACK(ISSb+1); DATA
Рис. 16.10 - Схема создания TCP-соединения
Из рассмотренной выше схемы создания TCP-соединения видно, что единственными идентификаторами TCP-абонентов и TCP-соединения являются два 32-бит-ных параметра Sequence Number и Acknowledgment
Number. Следовательно, для формирования ложного TCP-пакета атакующему необходимо знать текущие идентификаторы для данного соединения - ISSa и
ISSb.
Проблема возможной подмены TCP-сообщения становится еще более важной, так как анализ протоколов FTP и TELNET, реализованных на базе протокола TCP, показал, что проблема идентификации FTP- и TELNET- пакетов целиком возлагается данными протоколами на транспортный уровень, то есть на TCP. Это означает, что атакующему достаточно, подобрав соответствующие текущие значения идентификаторов TCP-пакета для данного TCP-соединения (например, данное соединение может представлять собой FTP- или TELNET-подклю-чение), послать пакет с любого хоста в

231
сети Internet от имени одного из участников данного соединения (например, от имени клиента), и данный пакет будет воспринят как верный! К тому же, так как FTP и TELNET не проверяют IP-адреса отправителей, от которых им приходят сообщения, то в ответ на полученный ложный пакет, FTP- или
TELNET-сервер отправит ответ на указанный в ложном пакете настоящий
IP-адрес атакующего, то есть атакующий начнет работу с FTP- или
TELNET-сервером
со
своего
IP-адреса,
но
с
правами
легально
подключившегося пользователя, который, в свою очередь, потеряет связь с
сервером из-за рассогласования счетчиков.
16.6 Нарушение работоспособности хоста в сети Internet при
использовании направленного «шторма» ложных TCP-запросов
на создание соединения, либо при переполнении очереди
запросов
Из рассмотренной в предыдущем пункте схемы создания TCP- соединения следует, что на каждый полученный TCP-запрос на создание соединения операционная система должна сгенерировать начальное значение идентификатора ISN и отослать его в ответ на запросивший хост. При этом, так как в сети Internet (стандарта IP v.4) не предусмотрен контроль за IP- адресом отправителя сообщения, то невозможно отследить истинный маршрут, пройденный IP-пакетом, и, следовательно, у конечных абонентов сети нет возможности ограничить число возможных запросов, принимаемых в единицу времени от одного хоста. Поэтому возможно осуществление типовой УА «Отказ в обслуживании», которая будет заключаться в передаче на атакуемый хост как можно большего числа ложных TCP-запросов на создание соединения от имени любого хоста в сети (рис. 16.11).
Рис. 16.11 - Нарушение работоспособности хоста в Internet, использующее направленный шторм ложных TCP-запросов на создание соединения
При этом атакуемая сетевая ОС в зависимости от вычислительной мощности компьютера либо - в худшем случае - практически зависает, либо - в лучшем случае - перестает реагировать на легальные запросы на подключение (отказ в обслуживании). Это происходит из-за того, что для всей массы полученных ложных запросов система должна, во-первых, сохранить в памяти полученную в каждом запросе информацию и, во- вторых, выработать и отослать ответ на каждый запрос. Таким образом, все

232 ресурсы системы «съедаются» ложными запросами: переполняется очередь запросов и система занимается только их обработкой. Эффективность данной удаленной атаки тем выше, чем больше пропускная способность канала между атакующим и целью атаки, и тем меньше, чем больше вычислительная мощь атакуемого компьютера (число и быстродействие процессоров, объем
ОЗУ и т. д.).
Другая разновидность атаки «Отказ в обслуживании» состоит в передаче на атакуемый хост нескольких десятков (сотен) запросов на подключение к серверу, что может привести к временному (до 10 минут) переполнению очереди запросов на сервере. Это происходит из-за того, что некоторые сетевые ОС устроены так, чтобы обрабатывать только первые несколько запросов на подключение, а остальные - игнорировать. То есть при получении N запросов на подключение, ОС сервера ставит их в очередь и генерирует соответственно N ответов. Далее, в течение определенного промежутка времени, сервер будет дожидаться от предполагаемого клиента сообщения, завершающего handshake и подтверждающего создание виртуального канала с сервером. Если атакующий пришлет на сервер количество запросов на подключение, равное максимальному числу одновременно обрабатываемых запросов на сервере, то в течение тайм-аута остальные запросы на подключение будут игнорироваться и к серверу будет невозможно подключиться.
Необходимо отметить, что в существующем стандарте сети Internet
IP v4 нет приемлемых способов надежно обезопасить свои системы от этой удаленной атаки. К счастью, атакующий в результате осуществления описанной атаки не сможет получить несанкционированный доступ к вашей информации. Он сможет лишь «съесть» вычислительные ресурсы вашей системы и нарушить ее связь с внешним миром. Остается надеяться, что нарушение работоспособности вашего хоста просто никому не нужно.

233
17. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ СИСТЕМ ВХОДЯЩИХ В
СОСТАВ ГЛОБАЛЬНЫХ КОМПЬЮТЕРНЫХ СЕТЕЙ
17.1 Межсетевые экраны (firewall)
Межсетевой экран (firewall) - это устройство контроля доступа в
сеть, предназначенное для блокировки всего трафика, за исключением
разрешенных данных. Прохождение трафика на межсетевом экране можно настраивать по службам, IP-адресам отправителя и получателя, по идентификаторам пользователей, запрашивающих службу. Межсетевые экраны позволяют осуществлять централизованное управление безопасностью. В одной конфигурации администратор может настроить разрешенный входящий трафик для всех внутренних систем организации.
Этим оно отличается от маршрутизатора, функцией которого является доставка трафика в пункт назначения в максимально короткие сроки.
Межсетевые экраны, представляют собой программные пакеты,
базирующиеся на операционных системах общего назначения (таких как
Windows NT и Unix) или на аппаратной платформе межсетевых экранов.
Набор правил политики определяет, каким образом трафик передается из
одной сети в другую. Если в правиле отсутствует явное разрешение на
пропуск трафика, межсетевой экран отклоняет или аннулирует пакеты.
Правила политики безопасности усиливаются посредством использования модулей доступа.
Типы межсетевых экранов:
- межсетевые экраны прикладного уровня;
- межсетевые экраны с пакетной фильтрацией;
- гибридные межсетевые экраны.
17.1.1 Межсетевые экраны прикладного уровня
В межсетевом экране прикладного уровня каждому разрешаемому
протоколу должен соответствовать свой собственный модуль доступа.
Лучшими модулями доступа считаются те, которые построены специально
для разрешаемого протокола.
Например, модуль доступа FTP предназначен для протокола FTP и может определять, соответствует ли проходящий трафик этому протоколу и разрешен ли этот трафик правилами политики безопасности. При использовании межсетевого экрана прикладного уровня все соединения проходят через него (см. рис. 17.1).

234
Рис. 17.1 - Соединения модуля доступа межсетевого экрана прикладного уровня
Как показано на рисунке, соединение начинается на системе-клиенте и поступает на внутренний интерфейс межсетевого экрана. Межсетевой экран принимает соединение, анализирует содержимое пакета и используемый протокол и определяет, соответствует ли данный трафик правилам политики безопасности. Если это так, то межсетевой экран инициирует новое соединение между своим внешним интерфейсом и системой-сервером.
Межсетевые экраны прикладного уровня используют модули доступа для входящих подключений. Модуль доступа в межсетевом экране принимает входящее подключение и обрабатывает команды перед отправкой трафика получателю. Таким образом, межсетевой экран защищает системы от атак, выполняемых посредством приложений.
17.1.2 Межсетевые экраны с пакетной фильтрацией
Правила политики в межсетевых экранах с пакетной фильтрацией
устанавливаются посредством использования фильтров пакетов. Фильтры
изучают пакеты и определяют, является ли трафик разрешенным, согласно
правилам политики и состоянию протокола (проверка с учетом состояния).
Если протокол приложения функционирует через TCP, определить
состояние относительно просто, так как TCP сам по себе поддерживает
состояния. Это означает, что когда протокол находится в определенном состоянии, разрешена передача только определенных пакетов.
При использовании межсетевого экрана с пакетной фильтрацией
соединения не прерываются на межсетевом экране (см. рис.
16.2), а
направляются непосредственно к конечной системе. При поступлении
пакетов межсетевой экран выясняет, разрешен ли данный пакет и
состояние соединения правилами политики. Если это так, пакет передается
по своему маршруту. В противном случае пакет отклоняется или
аннулируется.

235
Рис. 17.2 - Передача трафика через межсетевой экран с фильтрацией пакетов
Межсетевые экраны с фильтрацией пакетов не используют модули
доступа для каждого протокола и поэтому могут использоваться с любым
протоколом, работающим через IP. Некоторые протоколы требуют распознавания межсетевым экраном выполняемых ими действий. Например,
FTP будет использовать одно соединение для начального входа и команд, а другое - для передачи файлов. Соединения, используемые для передачи файлов, устанавливаются как часть соединения FTP, и поэтому межсетевой экран должен уметь считывать трафик и определять порты, которые будут использоваться новым соединением.
Если межсетевой экран не поддерживает эту функцию, передача файлов невозможна.
17.1.3 Гибридные межсетевые экраны
Как и многие другие устройства, межсетевые экраны изменяются и совершенствуются с течением времени, т. е. эволюционируют. Так технология модуля доступа Generic Services Proxy (GSP) разработана для поддержки модулями доступа прикладного уровня других протоколов, необходимых системе безопасности и при работе сетевых администраторов.
В действительности GSP обеспечивает работу межсетевых экранов прикладного уровня в качестве экранов с пакетной фильтрацией.
Производители межсетевых экранов с пакетной фильтрацией также добавили некоторые модули доступа в свои продукты для обеспечения более высокого уровня безопасности некоторых широко распространенных протоколов. В то время как базовая функциональность межсетевых экранов обоих типов осталась прежней, (что является причиной большинства
«слабых мест» этих устройств), сегодня на рынке присутствуют гибридные межсетевые экраны. Практически невозможно найти межсетевой экран, функционирование которого построено исключительно на прикладном уровне или фильтрации пакетов. Это позволяет администраторам, отвечающим за безопасность, настраивать устройство для работы в конкретных условиях.

236
17.1.4 Пример конфигурирования межсетевого экрана
Стандартная архитектура использования межсетевого экрана показана на рис. 17.3. В данной архитектуре используется один межсетевой экран для защиты внутренней сети, так и любых других систем, доступных из интернета. Эти системы располагаются в отдельной сети.
Рис. 17.3 - Использование межсетевого экрана
Таблица 17.1. Правила межсетевого экрана для архитектуры на рис. 17.3
Номер Исходный IP
Конечный IP
Служба
Действие
1
Любой
Веб-сервер
HTTP
Принятие
2
Любой
Почтовый сервер
SMTP
Принятие
3
Почтовый сервер
Любой
SMTP
Принятие
4
Внутренняя сеть
Любой
HTTP, HTTPS, FTP,
Telnet
Принятие
5
Внутренняя
DNS
Любой
DNS
Принятие
6
Любой
Любой
Любая
Сброс
Таблица 17.2. Краткий список номеров портов (для протокола TCP)
Протокол : номер порта
Протокол : номер порта
HTTP: 80, 8080
FTP: 21 для команд, 20 для данных
SSH: 22
TFTP: 69/UDP
POP3: 110
ICQ: 5190
SMTP: 25 telnet: 23
IMAP: 143
DNS: 53 (обычно UDP)

237
17.2 Организация и эксплуатация виртуальных частных сетей
(VPN)
Частные сети состоят из каналов связи, арендуемых у различных телефонных компаний и поставщиков услуг интернета. Эти каналы связи характеризуются тем, что они соединяют только два объекта, будучи отделенными от другого трафика, так как арендуемые каналы обеспечивают двустороннюю связь между двумя сайтами.
Частные сети обладают множеством преимуществ:
- Информация сохраняется в секрете.
- Удаленные сайты могут осуществлять обмен информацией
незамедлительно.
- Удаленные пользователи не ощущают себя изолированными от
системы, к которой они осуществляют доступ.
К сожалению, этот тип сетей обладает одним большим недостатком - высокой стоимостью. С увеличением числа пользователей интернета многие организации перешли на использование виртуальных частных сетей (Virtual
Private Network -VPN). Виртуальные частные сети обеспечивают многие преимущества частных сетей за меньшую цену.
17.2.1 Определение виртуальных частных сетей
Значительная часть Internet трафика передается в открытом виде, и любой пользователь, наблюдающий за этим трафиком, сможет его распознать. Это относится к большей части почтового и веб-трафика, а также сеансам связи через протоколы telnet и FTP. Трафик Secure Shell (SSH) и
Hyper text Transfer Protocol Secure (HTTPS) является шифруемым трафиком, и его не сможет просмотреть пользователь, отслеживающий пакеты. Тем не менее, трафик типа SSH и HTTPS не образует виртуальную частную сеть
VPN.
Виртуальные
частные
сети
обладают
следующими
характеристиками:
- Трафик шифруется для обеспечения защиты от прослушивания.
- Осуществляется аутентификация удаленного сайта.
- Виртуальные частные сети обеспечивают поддержку множества
протоколов.
- Соединение обеспечивает связь только между двумя конкретными
абонентами.
Так как SSH и HTTPS не способны поддерживать несколько протоколов, то же самое относится и к реальным виртуальным частным сетям. VPN-пакеты смешиваются с потоком обычного трафика в интернете и существуют отдельно по той причине, что данный трафик может считываться только конечными точками соединения.

238
VPN соединяет два конкретных объекта, образуя таким образом уникальный канал связи между двумя абонентами. Каждая из конечных точек VPN может единовременно поддерживать несколько соединений VPN с другими конечными точками, однако каждая из точек является отдельной от других, и трафик разделяется посредством шифрования.