-÷итатник

[Ќќ¬»Ќ ј] ”становка Windows 10 в  иеве с выездом на дом!!! - (0)

”становка Windows 10 в  иеве с выездом на дом!!! Ќачинаем оказывать услугу в  ие...

”становка Windows 8 and Microsoft Office 2013 в  иеве! - (0)

”становка Windows 8 and Microsoft Office 2013 в  иеве! ћы продолжаем оказывать в  иев...

Ѕез заголовка - (0)

ћне не веритс€ с но€бр€ 2009 года :rofl:  ак установил тогда винду вместе с активатором первым ещЄ о...

ƒолгожданный јп PR (PageRank) 21.01.11 от Google!! - (0)

ƒолгожданный јп PR (PageRank) 21.01.11 от Google!!! http://img17.imageshack.us/img17/4494/146455...

»звестные файрволлы-сетева€ безопасность!ќбзор! - (0)

»звестные файрволлы-сетева€ безопасность!ќбзор! Ѕлагодар€ старани€м вирусо-писателей и хакеров те...

 -ѕриложени€

 -ѕоиск по дневнику

ѕоиск сообщений в staiki2009

 -ѕодписка по e-mail

 

»звестные файрволлы-сетева€ безопасность!ќбзор!

ѕонедельник, 11 ќкт€бр€ 2010 г. 01:54 + в цитатник
Ёто цитата сообщени€ staiki2009 [ѕрочитать целиком + ¬ свой цитатник или сообщество!]

»звестные файрволлы-сетева€ безопасность!ќбзор!

Ѕлагодар€ старани€м вирусо-писателей и хакеров тема сетевой безопасности стала актуальной не только дл€ служб безопасности финансовых учреждений и крупных корпораций, но и дл€ р€довых пользователей. ѕо статистике, подключенный к »нтернету компьютер каждые восемь-дес€ть минут подвергаетс€ сетевому исследованию или атаке, а больша€ часть «удачных» взломов приходитс€ на долю домашних ѕ .«ащита от сетевых атак — сетевые фильтры, на основе заложенных правил раздел€ющие сетевой поток данных (трафик) на разрешенный и запрещенный. –азрешенный трафик пропускаетс€, запрещенный соответственно уничтожаетс€. —етевые фильтры имеют как аппаратные, так и программные реализации.ќбласть применени€ аппаратных сетевых фильтров — контроль трафика в средних и крупных сет€х. ƒл€ персональных компьютеров чаще примен€ют программный вариант защиты, что обусловлено, с одной стороны, более широким спектром прикладных возможностей программного сетевого фильтра, а с другой — более низкой себестоимостью такой защиты по сравнению с аппаратной реализацией.–азработок в области программной сетевой защиты достаточно много, от неказистых на первый взгл€д поделок энтузиастов до предложений крупных компаний, давно заработавших себе им€ в программном бизнесе. —уществующие программные сетевые фильтры (брандмауэры) содержат, как правило, почти одинаковый набор функций, различа€сь интерфейсом и, разумеетс€, качеством работы. ѕоследнее отличие далеко не очевидно, и о нем не сообщаетс€ в рекламных проспектах. Ѕольшинство же публикаций в онлайновой и офлайновой прессе касаютс€ лишь «косметических» характеристик брандмауэров, без упоминани€ о качестве их работы. “ак что пользователь, выбирающий себе защиту, вынужден доверитьс€ солидному брэнду, в немалой степени созданному усили€ми маркетологов, или рекомендаци€м знакомых. Ћибо ему придетс€ потрудитьс€, чтобы составить собственное мнение об объективных преимуществах и недостатках того или иного программного брандмауэра. »з последнего варианта и возникла тема предлагаемой вашему вниманию статьи, обобщившей опыт тестировани€ брандмауэров.ƒл€ начала определим цели исследовани€. ќсновна€ задача персонального пользовательского брандмауэра — фильтраци€ трафика защищаемого компьютера, что, в свою очередь, подразумевает контроль за сетевыми подключени€ми из »нтернета к пользовательской системе; за сетевой активностью системных сервисов и прикладных программ; за содержимым веб- и почтового трафика, поступающим на компьютер.≈сли брандмауэр не справл€етс€ с этими задачами, использовать его в качестве защитного средства будет опрометчивым решением, здесь уже количество и качество дополнительных функций роли не играет. ≈сли не решаетс€ перва€ задача, возможен сетевой взлом. ≈сли втора€, то существует веро€тность несанкционированной утечки данных. ¬ третьем случае браузер и почтовый клиент вместе с текстом и картинками регул€рно доставл€ют в пользовательскую систему ActiveX-компоненты, Java-аплеты, Java- и VBS-сценарии. »з-за этого веб-страницы станов€тс€ интерактивными, а на ѕ  проникают вирусы. —огласитесь, было бы весьма неразумно оставить творческие изыскани€ злоумышленников без пристального внимани€.ѕровер€ть, как брандмауэр умеет работать с вход€щим трафиком, мы будем с помощью специализированного программного обеспечени€ — сетевых сканеров. ј дл€ анализа качества контрол€ исход€щих соединений используем тесты проницаемости (leak tests).—етевой сканер определ€ет, какие системные сервисы и прикладные программы на исследуемой компьютерной системе доступны дл€ сетевого подключени€. ќн может примен€ть различные методы, скрывающие факт сканировани€ от средств защиты исследуемой системы (stealth scan). «адача брандмауэра — не только не допустить определени€ сканером действующих сетевых программ, доступ к которым запрещен, но и зафиксировать сам факт сканировани€. ¬ свою очередь, сетевой сканер помогает проверить, насколько успешно брандмауэр скрывает защищаемую компьютерную систему от сетевых методов исследовани€, работа€ в режиме «невидимка» (дл€ брандмауэров тоже есть свой «stealth-режим»).ќдин из наиболее известных сетевых сканеров — Nmap.

ќтчет Nmap об исследовании системы  
ƒл€ анализа защиты домашнего компьютера, подключенного к глобальной сети, удобнее воспользоватьс€ услугами онлайновых сканеров и специализированных ресурсов »нтернета (DslReports, PC Flank, Shields Up!!, Sygate Online Service и т.п.).

ќнлайновый сканер ресурса PC Flank   Ёто не потребует ни установки дополнительного ѕќ, ни длительного изучени€ инструкций. Ќо следует учесть, что при полном сканировании системы создаетс€ значительный трафик, что, в свою очередь, может вызвать проблемы при работе на узком канале, например при модемном подключении к »нтернету.ѕрограмма Cain&Abel по принципу действи€ не относитс€ к сетевым сканерам, но демонстрирует одну из методик злоумышленников, используемую дл€ сбора информации об атакуемой системе. ¬ результате успешно проведенной операции, названной разработчиками Arp Poison Routing (сокр. APR; иное название — APR cache poisoning), на выбранные компьютеры внедр€ютс€ соответствующим образом сфальсифицированные св€зи сетевых и аппаратных адресов компьютерных систем. ¬ результате весь трафик между атакованными ѕ  начинает пересылатьс€ через систему злоумышленника.

Cain&Abel: смотрим чужой трафик  
Ёта операци€ — классическое применение технологии «посредник» (man in the middle).јнализиру€ транзитный трафик, Cain&Abel собирает пароли доступа к различным сетевым сервисам и иную конфиденциальную информацию. ”читыва€ предоставленные разработчиками дополнительные средства дл€ декодировани€ зашифрованных паролей, а также то, что пароли к почтовому POP3-серверу, ICQ, FTP и многим другим службам передаютс€ в открытом виде, легко представить серьезность угрозы дл€ скомпрометированных подобным образом систем.ѕерейдем к средствам тестировани€ возможностей брандмауэра по пресечению несанкционированной утечки данных с защищаемого компьютера, тестам проницаемости, назначение которых — сделать «сброс» информации в »нтернет, мину€ брандмауэр.ћежсетевые экраны рекомендую исследовать с помощью тестов проницаемости во всех доступных режимах работы. “олько при такой проверке можно получить полное представление о возможност€х персонального брандмауэра. ¬едь, к сожалению, далеко не всегда то, что обещано, выполн€етс€.ƒл€ повышени€ достоверности результатов тестировани€ показани€ тестов проницаемости и брандмауэра следует провер€ть сниффером, программой — перехватчиком передаваемых по сети данных. ѕодобна€ контрольна€ проверка отфильтровывает «ложные срабатывани€» тестов и брандмауэров, опроверга€ отчеты об удачном «задержании» или «сбросе» перехватом переданной информации или, напротив, свидетельству€ об отсутствии оной.ќсновные методики проникновени€ сквозь защиту брандмауэра можно разделить на несколько категорий:


  • Address space injection — внедрение в адресное пространство выполн€ющейс€   доверенной (доступ в »нтернет разрешен) программы стороннего кода. ¬недренный   код начинает исполн€тьс€ на правах взломанного процесса, получа€, в частности,   доступ в »нтернет.
  • Dll-injection — внедрение сторонней dll-библиотеки. ћетод, аналогичный   описанному выше.
  • Launcher — запуск доверенной программы или системного сервиса с передачей   параметров дл€ сетевого запроса в командной строке или иным способом.
  • Substitution — подмена программы, которой разрешен доступ в »нтернет. »м€   файла теста мен€етс€ на им€ доверенной программы (например, iexplore.exe), а   переименованный файл переписываетс€ в ее каталог.
  • Trojan — попытка незамаскированной передачи данных.
—ведени€ о наиболее известных на сегодн€ тестах проницаемости представлены в табл. 1–ассмотрев формализованные характеристики тестов, познакомимс€ с ними поближе.AWFT (Atelier Web Firewall Tester)

ѕрограмма условно-бесплатна€, ограничение — дес€ть запусков. —тоимость одной лицензии 19,95 долл.

Outpost Pro vs. AWFT
AWFT содержит серию из шести тестов, демонстрирующих различные методики неавторизованного доступа в сеть, мину€ защиту брандмауэра. «а каждый успешно пройденный тест (доступ в сеть получен не был) брандмауэру начисл€етс€ некоторое количество баллов. ≈сли тест не пройден, баллы начисл€ютс€ в пользу AWFT. ћаксимальное количество баллов — дес€ть.

CopyCat

CopyCat в корневом каталоге диска «C» создает файл exploited. txt, в который записывает содержимое документа, запрошенного в диалоге с посетителем »нтернета. —ледует обратить внимание, что Internet Explorer, получив документ по вызову CopyCat, сразу записывает его в свой кэш. ѕри последующих тестах документ извлекаетс€ уже из кэша, а не из »нтернета. —ледовательно, дл€ чистоты эксперимента перед тестом надо либо очищать кэш браузера, либо при каждом тесте запрашивать новые документы.CopyCat демонстрирует следующий интересный прием: если брандмауэр настроен на полное блокирование сетевой активности, то, запустившись, тест поражает выбранный процесс. «атем ожидает, когда блокировка будет сн€та.  огда путь в »нтернет свободен, тест выполн€ет свое задание. Ќекоторые брандмауэры способны лишь временно блокировать тест.

DNStester

¬ерси€ под номером 1.0 самосто€тельно выполн€ет рекурсивный запрос к серверу microsoft.com. ¬ерси€ теста 1.2 использует стандартный сервис ќ— Windows (services.exe/svchost.exe), обрабатывающий DNS-запросы пользовательских приложений дл€ передачи секретной информации, скрытой в теле рекурсивного DNS-запроса. ƒанные (текстова€ строка до 30 символов длиной) запрашиваютс€ у пользовател€ после запуска теста. ƒалее они передаютс€ на удаленный хост (в тесте используетс€ сервер dnstester.beefed.com). ѕроверить, получил ли DNS-сервер тестовый запрос, можно на веб-сайте проекта.ќтмечу, что ограничение передаваемой информации, установленное в тесте (верси€ 1.2) равным 30 символам, искусственное. » сделано лишь затем, чтобы не перегружать DNS-сервер проекта. ¬ действительности иллюстрируемым в тесте способом можно передавать более значительные массивы данных.

FireHole

«апустив браузер, тест внедр€ет в его адресное пространство свою dll-библиотеку. ƒалее команды из нее, действу€ на правах доверенного процесса (аксиома психологии интернетчика — первой программой, допущенной пользователем к »нтернету, будет браузер), получают доступ к —ети. ¬от один из первых тестов проницаемости, продемонстрировавших этот прием.

FireHole рапортует...

Ghost


“ест, запустив доверенную программу (браузер), перезагружает себ€, мен€€ идентификатор процесса. «атем передает данные. ”дивительно, но такого несложного трюка манипул€ции процессами иногда хватает дл€ обхода логики работы брандмауэра.ѕередаваемые данные (текстова€ строка) запрашиваютс€ у пользовател€. ѕри успешном прохождении теста строка публикуетс€ на сайте проекта.
LeakTest

 LeakTest — тест проницаемости  ѕатриарх тестов проницаемости. —ейчас он далеко не так эффективен, как пару лет назад, и на данный момент представл€ет скорее исторический интерес. Ќо в свое врем€ он доказал несосто€тельность многих персональных брандмауэров, примен€€ тривиальную подмену имени файла-теста на им€ «доверенной программы».pcAudit

ѕередает на сервер разработчиков фотографию рабочего стола тестируемого компьютера, список файлов из папки «ћои документы», им€ пользовател€ и текст, набранный в окне браузера. ¬ качестве подтверждени€ успешности теста эти данные можно увидеть на сайте проекта. ѕолучивша€с€ иллюстраци€ весьма нагл€дна. ѕыта€сь получить доступ в »нтернет, pcAudit последовательно поражает различные процессы. ƒовольно забавно видеть, как драйвер клавиатуры, графический редактор Paint или блокнот Notepad пытаютс€ устанавливать сетевые соединени€.
Surfer

 Surfer — тест проницаемости —оздав невидимый рабочий стол, запускает на нем браузер без указани€ адреса документа. Ќа этом этапе доступ к сети не запрашиваетс€. «атем, сменив перезапуском идентификатор своего процесса, Surfer по DDE (Direct Data Exchange — протокол обмена данными между процессами) передает запрос браузеру. ¬ качестве подтверждени€ успешности теста загружаетс€ http-страница с сайта разработчика.
WB

Wallbreaker — тест проницаемости 
WB — сокращение от wall breaker. ѕрограмма включает четыре теста, различным образом эксплуатирующие MS Internet Explorer. Ќапример, вдруг брандмауэр запутаетс€, если WB запустит консоль командной строки, та — проводник, а проводник — браузер.

Yalta

Ќезатейливо пытаетс€ передать UDP-пакет на произвольный порт произвольного хоста, указанные пользователем.Ќа тестируемой платформе под управлением MS Windows 2000 SP4 в Yalta был возможен только Classical Leak Test. ј Enhanced Leak Test, демонстрирующий работу с сетью в обход стандартного TCP/IP-стека протоколов, был недоступен. Ёкспериментировать с ним можно на компьютерах с Windows 9x/Me.

Thermite

Ќекий аналог CopyCat. ¬о врем€ теста запрашивает начальную страницу веб-ресурса SecurityFocus.ќжидаемым продолжением рассказа о сканерах и тестах

Outpost Pro

–ешив поддержать отечественного (или считающегос€ таковым) производител€, отберем дл€ эксперимента недавно по€вившийс€ на сцене брандмауэр Outpost Pro — разработку компании Agnitum, Ltd.

 Ѕрандмауэр от Agnitum, Ltd. “естируема€ верси€ брандмауэра 2.5.369(369). —тоимость одной лицензии при продаже в –оссии — 499 руб. ¬сем остальным предлагаетс€ раскошелитьс€ на 39,95 долл. –азмер дистрибутива 7,42 ћбайт. Ѕесплатный испытательный период 30 дней.ѕоскольку брандмауэры серии Outpost достаточно известны не только в российском регионе и часто становились главными геро€ми обзоров и публикаций, то на описании основных возможностей Outpost Pro 2.5 € останавливатьс€ не буду, сразу перейд€ к отличи€м версии 2.5 от предыдущей версии Outpost Pro 2.1.»зменени€ в новой версии заметны. ѕолный их список насчитывает более 50 пунктов. Ќе углубл€€сь в технические детали, отмечу, что значительное внимание разработчиков было уделено противодействию методикам скрытой утечки данных, демонстрируемой тестами проницаемости.   интерфейсу программы добавились настройки параметров контрол€ скрытых процессов и расширенного контрол€ компонентов программ. ¬веден контроль raw-сокетов. –асширились функции модул€ «ƒетектор атак». ƒобавлены возможности указать список портов, представл€ющих наиболее веро€тную цель дл€ атакующих, и назвать хосты, активность с которых не будет рассматриватьс€ как вредоносна€ (может быть, это администраторские хосты?). ¬ведена блокировка DNS-запросов с нарушенной структурой (подобным образом может маскироватьс€ активность тро€нской программы).Ѕолее подробно ознакомитьс€ с дальнейшими изменени€ми в Outpost Pro 2.5 можно на сайте разработчика, а еще лучше оценить их лично, установив trial-версию брандмауэра. ј мы тем временем перейдем к результатам экспериментов.Ѕрандмауэр тестировалс€ в двух режимах работы: «доступ в сеть разрешен только дл€ доверенных программ», «доступ блокирован дл€ всех». ≈сли брандмауэр предотвращал утечку информации, в сводной таблице результатов испытаний это обозначалось знаком «•». ≈сли нет, знаком «•». јналогичным образом отмечались результаты, показанные брандмауэром, при сканировании и APR-атаке. ѕолученные результаты тестировани€ представлены в табл. 2.

 “аблица 2.
 –езультаты тестировани€ брандмауэра      
Outpost Pro “еперь несколько слов о ходе тестировани€.ѕервое замечание к Outpost Pro касаетс€ установленных по умолчанию правил обработки сетевого трафика. »спользу€ правило «–азрешить исход€щий DHCP», можно не передавать UDP-пакеты с произвольной информацией на определенные порты (67, 68, 546, 547 — довольно большой выбор, не правда ли?) произвольного удаленного хоста, что и подтверждает эксперимент с Yalta. ƒругое правило, «Allow PPTP control connection», позвол€ет установить соединение удаленным хостом по TCP-протоколу (порт 1723), что легко проверить обычным Telnet-клиентом. ¬ обоих случа€х брандмауэр беспреп€тственно пропустил «сброс информации».¬ компании Agnitum, признава€ в опубликованном на сервере проекта документе OFPvsLeakTests.pdf у€звимость Outpost Pro 2.5 перед методикой скрытой передачи данных, продемонстрированной в тесте DNStester, трактуют ее как не сто€щую внимани€, поскольку практического применени€ в «тро€нских кон€х» или программах-шпионах она еще не получила. ”читыва€ опыт компании Agnitum, полученный при разработке и сопровождении утилиты Tauscan, можно признать этот аргумент весомым. Ќо только на данный период времени.¬ св€зи с испытани€ми Outpost Pro тестом Wallbreaker хочу отметить следующее: если браузер MS Internet Explorer был запущен заранее, то все четыре теста, вход€щие в Wallbreaker, успешно нарушают защиту брандмауэра. ≈сли же браузер не был загружен ранее, то брандмауэр определ€ет три попытки проникновени€ из четырех. Ќе замеченным дл€ Outpost Pro проходит второй тест, о котором в описании сказано, что в нем вызываетс€ Internet Explorer способом, не определ€емым брандмауэрами (секретное ноу-хау автора). ѕри счете п€ть пропущенных тестов против трех задержанных нельз€ сказать, что Outpost Pro успешно защищаетс€ от Wallbreaker.¬спомнив о младших верси€х брандмауэров компании Agnitum (Outpost Pro 2.1, Outpost Free), отмечу, что их тестирование показывает еще более удручающие результаты.ƒалее перейдем к проверке возможностей брандмауэра по обработке активных элементов в клиентском трафике. Ќапомню, что активным/интерактивным элементом веб-страницы или электронного сообщени€ называетс€ небольша€ (относительно) программа, исполн€ема€ на стороне клиента. јктивный элемент может быть создан с помощью различных технологий (ActiveX и др., см. выше), и все они позвол€ют причинить разного рода непри€тности. Ѕрандмауэр, выступа€ посредником между »нтернетом и защищаемым клиентом, анализирует получаемый трафик на наличие активных элементов. ѕри их обнаружении брандмауэр, сверившись с установленной политикой фильтрации дл€ данного типа активных элементов, предпринимает одно из следующих действий: пропускает/блокирует/ запрашивает пользовател€. —ледовательно, разрешив активные элементы только дл€ доверенных источников и запретив дл€ всех остальных, пользователь с этой стороны защищен? ƒа, если брандмауэр способен определить абсолютно все (!) активные элементы в трафике. ј если нет?—пособов обхода фильтрации брандмауэром интерактивных элементов немало, и со временем их количество увеличиваетс€. ѕоскольку эта тематика узкоспецифична, заинтересовавшимс€ читател€м советую ознакомитьс€ со статьей «Bypassing content filtering whitepaper» специалиста в области безопасности 3APA3A, опубликованной на сайте SECURITY.NNOV. ƒругим же предложу проверить свой брандмауэр (предварительно установив запрет на исполнение интерактивных элементов) набором тестов, любезно предоставленным тем же специалистом в работе «ќбход средств защиты клиентских приложений», опубликованной на том же ресурсе. ƒл€ Outpost 2.5 статистика следующа€: задержано два активных элемента, пропущено дев€ть.P.S. «акончив обзор тестировани€ Outpost 2.5, специально дл€ любителей делать скоропалительные выводы отмечу, что считаю этот брандмауэр одной из достаточно хороших разработок, успешно берущим планку общемировых стандартов. ќбо всех сделанных замечани€х разработчики осведомлены и собираютс€ в ближайшее врем€ их исправить.» возможно, повторюсь: защита должна быть комплексной.ѕродолжа€ играть роль адвоката дь€вола, упом€ну еще об одном именитом новичке, по€вившемс€ на сцене осенью 2004 г., — Windows XP Firewall (SP2). ¬ыступа€ оппонентом многочисленным специалистам и пользовател€м, поспешившим за€вить о «революционном уровне защищенности Windows XP систем», отмечу, что ничего этого нет и в помине. Windows XP Firewall способен обеспечить лишь одностороннюю (!) фильтрацию сетевых соединений. ѕровер€ютс€ лишь вход€щие соединени€, а исход€щие ничем не ограничиваютс€. ѕомимо этого Windows XP Firewall у€звим дл€ атаки вида «APR cache poisoning» и не фильтрует веб-трафик.«аверша€ статью, хотел бы отметить, что ни одна защита не бывает совершенной. ѕриведенные примеры — тому подтверждение. Ћучше заранее признать возможное существование у€звимости защиты, первому вы€вить ее слабости и работать, исправл€€ недостатки, чем ждать, пока кто-либо использует их в своих цел€х.“аблица 1.

 раткие характеристики тестов проницаемости


”поминаемые в статье проекты и ресурсы


на форуме http://staiki.ukrbb.net/viewtopic.php?f=49&t=1880

 

—ери€ сообщений " омпьютерна€ помощь":
„асть 1 - ќбзор бесплатных известных антивирусов интернета!!
„асть 2 - ќбзор бесплатных известных антивирусов интернета!!
„асть 3 - »звестные файрволлы-сетева€ безопасность!ќбзор!

—ери€ сообщений "”становка Windows XP-7 в  иеве!!!":
„асть 1 - ќбзор бесплатных известных антивирусов интернета!!
„асть 2 - ќбзор бесплатных известных антивирусов интернета!!
„асть 3 - »звестные файрволлы-сетева€ безопасность!ќбзор!

—ери€ сообщений "‘орум  омпьютерна€ ѕомощь!!!":
„асть 1 - ќбзор бесплатных известных антивирусов интернета!!
„асть 2 - ќбзор бесплатных известных антивирусов интернета!!
„асть 3 - »звестные файрволлы-сетева€ безопасность!ќбзор!


ћетки:  

»звестные файрволлы-сетева€ безопасность!ќбзор!

ƒневник

ѕонедельник, 11 ќкт€бр€ 2010 г. 01:49 + в цитатник

Ѕлагодар€ старани€м вирусо-писателей и хакеров тема сетевой безопасности стала актуальной не только дл€ служб безопасности финансовых учреждений и крупных корпораций, но и дл€ р€довых пользователей. ѕо статистике, подключенный к »нтернету компьютер каждые восемь-дес€ть минут подвергаетс€ сетевому исследованию или атаке, а больша€ часть «удачных» взломов приходитс€ на долю домашних ѕ .«ащита от сетевых атак — сетевые фильтры, на основе заложенных правил раздел€ющие сетевой поток данных (трафик) на разрешенный и запрещенный. –азрешенный трафик пропускаетс€, запрещенный соответственно уничтожаетс€. —етевые фильтры имеют как аппаратные, так и программные реализации.ќбласть применени€ аппаратных сетевых фильтров — контроль трафика в средних и крупных сет€х. ƒл€ персональных компьютеров чаще примен€ют программный вариант защиты, что обусловлено, с одной стороны, более широким спектром прикладных возможностей программного сетевого фильтра, а с другой — более низкой себестоимостью такой защиты по сравнению с аппаратной реализацией.–азработок в области программной сетевой защиты достаточно много, от неказистых на первый взгл€д поделок энтузиастов до предложений крупных компаний, давно заработавших себе им€ в программном бизнесе. —уществующие программные сетевые фильтры (брандмауэры) содержат, как правило, почти одинаковый набор функций, различа€сь интерфейсом и, разумеетс€, качеством работы. ѕоследнее отличие далеко не очевидно, и о нем не сообщаетс€ в рекламных проспектах. Ѕольшинство же публикаций в онлайновой и офлайновой прессе касаютс€ лишь «косметических» характеристик брандмауэров, без упоминани€ о качестве их работы. “ак что пользователь, выбирающий себе защиту, вынужден доверитьс€ солидному брэнду, в немалой степени созданному усили€ми маркетологов, или рекомендаци€м знакомых. Ћибо ему придетс€ потрудитьс€, чтобы составить собственное мнение об объективных преимуществах и недостатках того или иного программного брандмауэра. »з последнего варианта и возникла тема предлагаемой вашему вниманию статьи, обобщившей опыт тестировани€ брандмауэров.ƒл€ начала определим цели исследовани€. ќсновна€ задача персонального пользовательского брандмауэра — фильтраци€ трафика защищаемого компьютера, что, в свою очередь, подразумевает контроль за сетевыми подключени€ми из »нтернета к пользовательской системе; за сетевой активностью системных сервисов и прикладных программ; за содержимым веб- и почтового трафика, поступающим на компьютер.≈сли брандмауэр не справл€етс€ с этими задачами, использовать его в качестве защитного средства будет опрометчивым решением, здесь уже количество и качество дополнительных функций роли не играет. ≈сли не решаетс€ перва€ задача, возможен сетевой взлом. ≈сли втора€, то существует веро€тность несанкционированной утечки данных. ¬ третьем случае браузер и почтовый клиент вместе с текстом и картинками регул€рно доставл€ют в пользовательскую систему ActiveX-компоненты, Java-аплеты, Java- и VBS-сценарии. »з-за этого веб-страницы станов€тс€ интерактивными, а на ѕ  проникают вирусы. —огласитесь, было бы весьма неразумно оставить творческие изыскани€ злоумышленников без пристального внимани€.ѕровер€ть, как брандмауэр умеет работать с вход€щим трафиком, мы будем с помощью специализированного программного обеспечени€ — сетевых сканеров. ј дл€ анализа качества контрол€ исход€щих соединений используем тесты проницаемости (leak tests).—етевой сканер определ€ет, какие системные сервисы и прикладные программы на исследуемой компьютерной системе доступны дл€ сетевого подключени€. ќн может примен€ть различные методы, скрывающие факт сканировани€ от средств защиты исследуемой системы (stealth scan). «адача брандмауэра — не только не допустить определени€ сканером действующих сетевых программ, доступ к которым запрещен, но и зафиксировать сам факт сканировани€. ¬ свою очередь, сетевой сканер помогает проверить, насколько успешно брандмауэр скрывает защищаемую компьютерную систему от сетевых методов исследовани€, работа€ в режиме «невидимка» (дл€ брандмауэров тоже есть свой «stealth-режим»).ќдин из наиболее известных сетевых сканеров — Nmap.

ќтчет Nmap об исследовании системы  
ƒл€ анализа защиты домашнего компьютера, подключенного к глобальной сети, удобнее воспользоватьс€ услугами онлайновых сканеров и специализированных ресурсов »нтернета (DslReports, PC Flank, Shields Up!!, Sygate Online Service и т.п.).

ќнлайновый сканер ресурса PC Flank   Ёто не потребует ни установки дополнительного ѕќ, ни длительного изучени€ инструкций. Ќо следует учесть, что при полном сканировании системы создаетс€ значительный трафик, что, в свою очередь, может вызвать проблемы при работе на узком канале, например при модемном подключении к »нтернету.ѕрограмма Cain&Abel по принципу действи€ не относитс€ к сетевым сканерам, но демонстрирует одну из методик злоумышленников, используемую дл€ сбора информации об атакуемой системе. ¬ результате успешно проведенной операции, названной разработчиками Arp Poison Routing (сокр. APR; иное название — APR cache poisoning), на выбранные компьютеры внедр€ютс€ соответствующим образом сфальсифицированные св€зи сетевых и аппаратных адресов компьютерных систем. ¬ результате весь трафик между атакованными ѕ  начинает пересылатьс€ через систему злоумышленника.

Cain&Abel: смотрим чужой трафик  
Ёта операци€ — классическое применение технологии «посредник» (man in the middle).јнализиру€ транзитный трафик, Cain&Abel собирает пароли доступа к различным сетевым сервисам и иную конфиденциальную информацию. ”читыва€ предоставленные разработчиками дополнительные средства дл€ декодировани€ зашифрованных паролей, а также то, что пароли к почтовому POP3-серверу, ICQ, FTP и многим другим службам передаютс€ в открытом виде, легко представить серьезность угрозы дл€ скомпрометированных подобным образом систем.ѕерейдем к средствам тестировани€ возможностей брандмауэра по пресечению несанкционированной утечки данных с защищаемого компьютера, тестам проницаемости, назначение которых — сделать «сброс» информации в »нтернет, мину€ брандмауэр.ћежсетевые экраны рекомендую исследовать с помощью тестов проницаемости во всех доступных режимах работы. “олько при такой проверке можно получить полное представление о возможност€х персонального брандмауэра. ¬едь, к сожалению, далеко не всегда то, что обещано, выполн€етс€.ƒл€ повышени€ достоверности результатов тестировани€ показани€ тестов проницаемости и брандмауэра следует провер€ть сниффером, программой — перехватчиком передаваемых по сети данных. ѕодобна€ контрольна€ проверка отфильтровывает «ложные срабатывани€» тестов и брандмауэров, опроверга€ отчеты об удачном «задержании» или «сбросе» перехватом переданной информации или, напротив, свидетельству€ об отсутствии оной.ќсновные методики проникновени€ сквозь защиту брандмауэра можно разделить на несколько категорий:


  • Address space injection — внедрение в адресное пространство выполн€ющейс€   доверенной (доступ в »нтернет разрешен) программы стороннего кода. ¬недренный   код начинает исполн€тьс€ на правах взломанного процесса, получа€, в частности,   доступ в »нтернет.
  • Dll-injection — внедрение сторонней dll-библиотеки. ћетод, аналогичный   описанному выше.
  • Launcher — запуск доверенной программы или системного сервиса с передачей   параметров дл€ сетевого запроса в командной строке или иным способом.
  • Substitution — подмена программы, которой разрешен доступ в »нтернет. »м€   файла теста мен€етс€ на им€ доверенной программы (например, iexplore.exe), а   переименованный файл переписываетс€ в ее каталог.
  • Trojan — попытка незамаскированной передачи данных.
—ведени€ о наиболее известных на сегодн€ тестах проницаемости представлены в табл. 1–ассмотрев формализованные характеристики тестов, познакомимс€ с ними поближе.AWFT (Atelier Web Firewall Tester)

ѕрограмма условно-бесплатна€, ограничение — дес€ть запусков. —тоимость одной лицензии 19,95 долл.

Outpost Pro vs. AWFT
AWFT содержит серию из шести тестов, демонстрирующих различные методики неавторизованного доступа в сеть, мину€ защиту брандмауэра. «а каждый успешно пройденный тест (доступ в сеть получен не был) брандмауэру начисл€етс€ некоторое количество баллов. ≈сли тест не пройден, баллы начисл€ютс€ в пользу AWFT. ћаксимальное количество баллов — дес€ть.

CopyCat

CopyCat в корневом каталоге диска «C» создает файл exploited. txt, в который записывает содержимое документа, запрошенного в диалоге с посетителем »нтернета. —ледует обратить внимание, что Internet Explorer, получив документ по вызову CopyCat, сразу записывает его в свой кэш. ѕри последующих тестах документ извлекаетс€ уже из кэша, а не из »нтернета. —ледовательно, дл€ чистоты эксперимента перед тестом надо либо очищать кэш браузера, либо при каждом тесте запрашивать новые документы.CopyCat демонстрирует следующий интересный прием: если брандмауэр настроен на полное блокирование сетевой активности, то, запустившись, тест поражает выбранный процесс. «атем ожидает, когда блокировка будет сн€та.  огда путь в »нтернет свободен, тест выполн€ет свое задание. Ќекоторые брандмауэры способны лишь временно блокировать тест.

DNStester

¬ерси€ под номером 1.0 самосто€тельно выполн€ет рекурсивный запрос к серверу microsoft.com. ¬ерси€ теста 1.2 использует стандартный сервис ќ— Windows (services.exe/svchost.exe), обрабатывающий DNS-запросы пользовательских приложений дл€ передачи секретной информации, скрытой в теле рекурсивного DNS-запроса. ƒанные (текстова€ строка до 30 символов длиной) запрашиваютс€ у пользовател€ после запуска теста. ƒалее они передаютс€ на удаленный хост (в тесте используетс€ сервер dnstester.beefed.com). ѕроверить, получил ли DNS-сервер тестовый запрос, можно на веб-сайте проекта.ќтмечу, что ограничение передаваемой информации, установленное в тесте (верси€ 1.2) равным 30 символам, искусственное. » сделано лишь затем, чтобы не перегружать DNS-сервер проекта. ¬ действительности иллюстрируемым в тесте способом можно передавать более значительные массивы данных.

FireHole

«апустив браузер, тест внедр€ет в его адресное пространство свою dll-библиотеку. ƒалее команды из нее, действу€ на правах доверенного процесса (аксиома психологии интернетчика — первой программой, допущенной пользователем к »нтернету, будет браузер), получают доступ к —ети. ¬от один из первых тестов проницаемости, продемонстрировавших этот прием.

FireHole рапортует...

Ghost


“ест, запустив доверенную программу (браузер), перезагружает себ€, мен€€ идентификатор процесса. «атем передает данные. ”дивительно, но такого несложного трюка манипул€ции процессами иногда хватает дл€ обхода логики работы брандмауэра.ѕередаваемые данные (текстова€ строка) запрашиваютс€ у пользовател€. ѕри успешном прохождении теста строка публикуетс€ на сайте проекта.
LeakTest

 LeakTest — тест проницаемости  ѕатриарх тестов проницаемости. —ейчас он далеко не так эффективен, как пару лет назад, и на данный момент представл€ет скорее исторический интерес. Ќо в свое врем€ он доказал несосто€тельность многих персональных брандмауэров, примен€€ тривиальную подмену имени файла-теста на им€ «доверенной программы».pcAudit

ѕередает на сервер разработчиков фотографию рабочего стола тестируемого компьютера, список файлов из папки «ћои документы», им€ пользовател€ и текст, набранный в окне браузера. ¬ качестве подтверждени€ успешности теста эти данные можно увидеть на сайте проекта. ѕолучивша€с€ иллюстраци€ весьма нагл€дна. ѕыта€сь получить доступ в »нтернет, pcAudit последовательно поражает различные процессы. ƒовольно забавно видеть, как драйвер клавиатуры, графический редактор Paint или блокнот Notepad пытаютс€ устанавливать сетевые соединени€.
Surfer

 Surfer — тест проницаемости —оздав невидимый рабочий стол, запускает на нем браузер без указани€ адреса документа. Ќа этом этапе доступ к сети не запрашиваетс€. «атем, сменив перезапуском идентификатор своего процесса, Surfer по DDE (Direct Data Exchange — протокол обмена данными между процессами) передает запрос браузеру. ¬ качестве подтверждени€ успешности теста загружаетс€ http-страница с сайта разработчика.
WB

Wallbreaker — тест проницаемости 
WB — сокращение от wall breaker. ѕрограмма включает четыре теста, различным образом эксплуатирующие MS Internet Explorer. Ќапример, вдруг брандмауэр запутаетс€, если WB запустит консоль командной строки, та — проводник, а проводник — браузер.

Yalta

Ќезатейливо пытаетс€ передать UDP-пакет на произвольный порт произвольного хоста, указанные пользователем.Ќа тестируемой платформе под управлением MS Windows 2000 SP4 в Yalta был возможен только Classical Leak Test. ј Enhanced Leak Test, демонстрирующий работу с сетью в обход стандартного TCP/IP-стека протоколов, был недоступен. Ёкспериментировать с ним можно на компьютерах с Windows 9x/Me.

Thermite

Ќекий аналог CopyCat. ¬о врем€ теста запрашивает начальную страницу веб-ресурса SecurityFocus.ќжидаемым продолжением рассказа о сканерах и тестах

Outpost Pro

–ешив поддержать отечественного (или считающегос€ таковым) производител€, отберем дл€ эксперимента недавно по€вившийс€ на сцене брандмауэр Outpost Pro — разработку компании Agnitum, Ltd.

 Ѕрандмауэр от Agnitum, Ltd. “естируема€ верси€ брандмауэра 2.5.369(369). —тоимость одной лицензии при продаже в –оссии — 499 руб. ¬сем остальным предлагаетс€ раскошелитьс€ на 39,95 долл. –азмер дистрибутива 7,42 ћбайт. Ѕесплатный испытательный период 30 дней.ѕоскольку брандмауэры серии Outpost достаточно известны не только в российском регионе и часто становились главными геро€ми обзоров и публикаций, то на описании основных возможностей Outpost Pro 2.5 € останавливатьс€ не буду, сразу перейд€ к отличи€м версии 2.5 от предыдущей версии Outpost Pro 2.1.»зменени€ в новой версии заметны. ѕолный их список насчитывает более 50 пунктов. Ќе углубл€€сь в технические детали, отмечу, что значительное внимание разработчиков было уделено противодействию методикам скрытой утечки данных, демонстрируемой тестами проницаемости.   интерфейсу программы добавились настройки параметров контрол€ скрытых процессов и расширенного контрол€ компонентов программ. ¬веден контроль raw-сокетов. –асширились функции модул€ «ƒетектор атак». ƒобавлены возможности указать список портов, представл€ющих наиболее веро€тную цель дл€ атакующих, и назвать хосты, активность с которых не будет рассматриватьс€ как вредоносна€ (может быть, это администраторские хосты?). ¬ведена блокировка DNS-запросов с нарушенной структурой (подобным образом может маскироватьс€ активность тро€нской программы).Ѕолее подробно ознакомитьс€ с дальнейшими изменени€ми в Outpost Pro 2.5 можно на сайте разработчика, а еще лучше оценить их лично, установив trial-версию брандмауэра. ј мы тем временем перейдем к результатам экспериментов.Ѕрандмауэр тестировалс€ в двух режимах работы: «доступ в сеть разрешен только дл€ доверенных программ», «доступ блокирован дл€ всех». ≈сли брандмауэр предотвращал утечку информации, в сводной таблице результатов испытаний это обозначалось знаком «•». ≈сли нет, знаком «•». јналогичным образом отмечались результаты, показанные брандмауэром, при сканировании и APR-атаке. ѕолученные результаты тестировани€ представлены в табл. 2.

 “аблица 2.
 –езультаты тестировани€ брандмауэра      
Outpost Pro “еперь несколько слов о ходе тестировани€.ѕервое замечание к Outpost Pro касаетс€ установленных по умолчанию правил обработки сетевого трафика. »спользу€ правило «–азрешить исход€щий DHCP», можно не передавать UDP-пакеты с произвольной информацией на определенные порты (67, 68, 546, 547 — довольно большой выбор, не правда ли?) произвольного удаленного хоста, что и подтверждает эксперимент с Yalta. ƒругое правило, «Allow PPTP control connection», позвол€ет установить соединение удаленным хостом по TCP-протоколу (порт 1723), что легко проверить обычным Telnet-клиентом. ¬ обоих случа€х брандмауэр беспреп€тственно пропустил «сброс информации».¬ компании Agnitum, признава€ в опубликованном на сервере проекта документе OFPvsLeakTests.pdf у€звимость Outpost Pro 2.5 перед методикой скрытой передачи данных, продемонстрированной в тесте DNStester, трактуют ее как не сто€щую внимани€, поскольку практического применени€ в «тро€нских кон€х» или программах-шпионах она еще не получила. ”читыва€ опыт компании Agnitum, полученный при разработке и сопровождении утилиты Tauscan, можно признать этот аргумент весомым. Ќо только на данный период времени.¬ св€зи с испытани€ми Outpost Pro тестом Wallbreaker хочу отметить следующее: если браузер MS Internet Explorer был запущен заранее, то все четыре теста, вход€щие в Wallbreaker, успешно нарушают защиту брандмауэра. ≈сли же браузер не был загружен ранее, то брандмауэр определ€ет три попытки проникновени€ из четырех. Ќе замеченным дл€ Outpost Pro проходит второй тест, о котором в описании сказано, что в нем вызываетс€ Internet Explorer способом, не определ€емым брандмауэрами (секретное ноу-хау автора). ѕри счете п€ть пропущенных тестов против трех задержанных нельз€ сказать, что Outpost Pro успешно защищаетс€ от Wallbreaker.¬спомнив о младших верси€х брандмауэров компании Agnitum (Outpost Pro 2.1, Outpost Free), отмечу, что их тестирование показывает еще более удручающие результаты.ƒалее перейдем к проверке возможностей брандмауэра по обработке активных элементов в клиентском трафике. Ќапомню, что активным/интерактивным элементом веб-страницы или электронного сообщени€ называетс€ небольша€ (относительно) программа, исполн€ема€ на стороне клиента. јктивный элемент может быть создан с помощью различных технологий (ActiveX и др., см. выше), и все они позвол€ют причинить разного рода непри€тности. Ѕрандмауэр, выступа€ посредником между »нтернетом и защищаемым клиентом, анализирует получаемый трафик на наличие активных элементов. ѕри их обнаружении брандмауэр, сверившись с установленной политикой фильтрации дл€ данного типа активных элементов, предпринимает одно из следующих действий: пропускает/блокирует/ запрашивает пользовател€. —ледовательно, разрешив активные элементы только дл€ доверенных источников и запретив дл€ всех остальных, пользователь с этой стороны защищен? ƒа, если брандмауэр способен определить абсолютно все (!) активные элементы в трафике. ј если нет?—пособов обхода фильтрации брандмауэром интерактивных элементов немало, и со временем их количество увеличиваетс€. ѕоскольку эта тематика узкоспецифична, заинтересовавшимс€ читател€м советую ознакомитьс€ со статьей «Bypassing content filtering whitepaper» специалиста в области безопасности 3APA3A, опубликованной на сайте SECURITY.NNOV. ƒругим же предложу проверить свой брандмауэр (предварительно установив запрет на исполнение интерактивных элементов) набором тестов, любезно предоставленным тем же специалистом в работе «ќбход средств защиты клиентских приложений», опубликованной на том же ресурсе. ƒл€ Outpost 2.5 статистика следующа€: задержано два активных элемента, пропущено дев€ть.P.S. «акончив обзор тестировани€ Outpost 2.5, специально дл€ любителей делать скоропалительные выводы отмечу, что считаю этот брандмауэр одной из достаточно хороших разработок, успешно берущим планку общемировых стандартов. ќбо всех сделанных замечани€х разработчики осведомлены и собираютс€ в ближайшее врем€ их исправить.» возможно, повторюсь: защита должна быть комплексной.ѕродолжа€ играть роль адвоката дь€вола, упом€ну еще об одном именитом новичке, по€вившемс€ на сцене осенью 2004 г., — Windows XP Firewall (SP2). ¬ыступа€ оппонентом многочисленным специалистам и пользовател€м, поспешившим за€вить о «революционном уровне защищенности Windows XP систем», отмечу, что ничего этого нет и в помине. Windows XP Firewall способен обеспечить лишь одностороннюю (!) фильтрацию сетевых соединений. ѕровер€ютс€ лишь вход€щие соединени€, а исход€щие ничем не ограничиваютс€. ѕомимо этого Windows XP Firewall у€звим дл€ атаки вида «APR cache poisoning» и не фильтрует веб-трафик.«аверша€ статью, хотел бы отметить, что ни одна защита не бывает совершенной. ѕриведенные примеры — тому подтверждение. Ћучше заранее признать возможное существование у€звимости защиты, первому вы€вить ее слабости и работать, исправл€€ недостатки, чем ждать, пока кто-либо использует их в своих цел€х.“аблица 1.

 раткие характеристики тестов проницаемости


”поминаемые в статье проекты и ресурсы


на форуме http://staiki.ukrbb.net/viewtopic.php?f=49&t=1880

 

—ери€ сообщений " омпьютерна€ помощь":
„асть 1 - ќбзор бесплатных известных антивирусов интернета!!
„асть 2 - ќбзор бесплатных известных антивирусов интернета!!
„асть 3 - »звестные файрволлы-сетева€ безопасность!ќбзор!
„асть 4 - «арегистрируй свой никнейм и получи —≈–“»‘» ј“!
„асть 5 - 85% российских подростков пользуютс€ социальными сет€ми!
...
„асть 8 - Ѓ ѕолезные советы и рекомендации VIP-клиентам ќбход двухфакторной авторизации на Google,Yahoo,Facebook!
„асть 9 - ”даленна€ помощь ѕ  под управлением Windows.
„асть 10 - Ѓ —ервис в интернете ѕодскажите проверенные ресурсы дл€ заработка биткойна!

—ери€ сообщений "”становка Windows XP-7 в  иеве!!!":
http://staiki.uaprom.net/
„асть 1 - ќбзор бесплатных известных антивирусов интернета!!
„асть 2 - ќбзор бесплатных известных антивирусов интернета!!
„асть 3 - »звестные файрволлы-сетева€ безопасность!ќбзор!
„асть 4 - «арегистрируй свой никнейм и получи —≈–“»‘» ј“!
„асть 5 - ”становить второй системой Windows 7 на ћј— ќ— в  иеве!!
„асть 6 - 85% российских подростков пользуютс€ социальными сет€ми!
„асть 7 - Ѓ ƒќ— ј ѕќ«ќ–ј! ѕќƒѕ»Ў» ѕ≈“»÷»ё: ѕризнать –оссию спонсором терроризма!
„асть 8 - Ѓ ѕолезные советы и рекомендации VIP-клиентам ќбход двухфакторной авторизации на Google,Yahoo,Facebook!

—ери€ сообщений "‘орум  омпьютерна€ ѕомощь!!!":
http://staiki.ukrbb.net/index.php
„асть 1 - ќбзор бесплатных известных антивирусов интернета!!
„асть 2 - ќбзор бесплатных известных антивирусов интернета!!
„асть 3 - »звестные файрволлы-сетева€ безопасность!ќбзор!
„асть 4 - «арегистрируй свой никнейм и получи —≈–“»‘» ј“!
„асть 5 - 85% российских подростков пользуютс€ социальными сет€ми!
„асть 6 - Ѓ ƒќ— ј ѕќ«ќ–ј! ѕќƒѕ»Ў» ѕ≈“»÷»ё: ѕризнать –оссию спонсором терроризма!
„асть 7 - Ѓ ѕолезные советы и рекомендации VIP-клиентам ќбход двухфакторной авторизации на Google,Yahoo,Facebook!
„асть 8 - Ѓ —ервис в интернете ѕодскажите проверенные ресурсы дл€ заработка биткойна!


ћетки:  

 —траницы: [1]