Сервер ISA 2006 глазами хакера: Часть 2 – Внутренние атаки

Это заключительная часть статьи о том, какими наши брандмауэры видятся хакерам. В этой части мы посмотрим, как ISA-сервер реагирует на атаки из внутренней сети, такие как заражение ARP, спуфинг и атаку типа «man-in-the-middle».

Ну вот, теперь я знаю о моем внешнем интерфейсе. Может, отдохнем?

К сожалению, нет. 80% атак исходят из внутренней сети. Обычно в Интернете вы публикуете максимум десяток серверов, но во внутренней сети их могут быть сотни.

Ниже на рисунке представлена общая схема сети, которую мы будем использовать в нашей статье для примера.

Схема 1: Пример сети

Внутренняя сеть – это кошмар администратора безопасности. Обычно внутренние сети объединены в DMZ, но пользователи и серверы часто находятся в одной сети.

Для серверов, которые не расположены в DMZ, можно использовать IPSec или внутренние брандмауэры, но... Что будет с DMZ, если хакер попадет внутрь?

Есть два варианта: заражение ARP во всех его проявлениях и программы сканирования сети.

Администраторы ISA-сервера внутренних сетей для определения авторизованных пользователей могут использовать два элемента:

• IP-адрес источника: IP-адрес компьютера легко подменяется. С помощью различных методов управления ARP есть возможность взломать сеть через IP и MAC-адреса. Хакеры в Интернете могут только видеть порты, которые брандмауэр публикует для всех IP-адресов или общих подсетей, но хакеры внутренних сетей могут найти все порты, опубликованные брандмауэром для внутренней сети, хотя у хакеров и нет нужного IP-адреса для доступа.
• Пользователь, зарегистрировавшийся на компьютере-источнике; используя заражение ARP и программы сканирования сети, можно легко узнать пароли. Во внутренних сетях, где защита ниже, чем в Интернете, работают сотни различных служб, которые, в большинстве случаев, являются старыми, не обновленными версиями. Базовая и явная аутентификация, а также службы, такие как шифрованные терминальные службы, прокси и web, дают возможность хакерам перехватывать пароли.

Для дальнейших тестов нашего ISA-сервера мы будем использовать правило, разрешающее трафик из всей внутренней сети, кроме одного IP-адреса (адрес внутреннего хакера), к серверу в DMZ (192.168.10.2).

Рисунок 1: Правило ISA-сервера для тестирования

Рисунок 2: Детали правила (1)

Рисунок 3: Детали правила (2)

Теперь, если мы просканируем Web-сервер, находящийся в DMZ, все порты будут показаны как открытые или с установленным на них фильтром.

Рисунок 4: Результаты сканирования

Единственное, что нам не хватает, это подмена нашего IP-адреса и пароля.

А что если для отправки пакетов на подмену IP-адреса мы используем Nmap? И что будет, если это IP принадлежит другой сети с ISA-сервером?

Рисунок 5: Использование NMap для подмены IP –адреса другого сегмента с помощью команды “nmap –p 80-90 –e eth0 –S 10.10.10.2 –P0 192.168.10.2”

Рисунок 6: ISA-сервер определяет пакеты и отклоняет трафик

Рисунок 7: ISA-сервер определяет атаку и создает событие

Хорошо. Но что если пакет придет из другой сети?

Программу Nmap можно использовать для подмены MAC и IP адресов, но лучшим средство для этого является IRS от компании Cain & Abel.

С помощью IRS мы можем сканировать порты и подменять IP-адреса всей подсети. Помимо этого, можно подменять и MAC-адрес источника атаки.

Рисунок 8: Использование IRS (1)

Рисунок 9: Использование IRS (2), настройка интерфейса

Рисунок 10: Использование IRS(3), настройка цели

Рисунок 11: Использование IRS (4), Результаты

Теперь мы знаем, какие адреса имеют доступ к источнику.

ARP и сканировщики сети дают нам и другие интересные возможности.

Мы можем просканировать сеть на предмет поиска пароля. На самом деле, безопасность – вещь достаточно относительная: либо защищено все, либо ничего. Если вы пользуйтесь незащищенными системами и не можете их защитить, изолируйте их от остальных систем вашей сети. Создайте для незащищенных систем отдельный домен и используйте для доступа к ним отдельные учетные записи пользователей. Если пользователи используют один и тот же пароль для доступа к защищенным и незащищенным системам, хакер, с помощью сканера и ARP-атак типа «man-in-the-middle» (mitm), может определить эти пароли. Программное обеспечение, наподобие Ettercap, может сканировать сети с помощью декодеров протоколов, осуществлять поиск паролей, а также позволяет проводить некоторые атаки типа «man-in-the-middle».

Рисунок 12: Использование Ettercap (1) Сканирование сети

Рисунок 13: Использование Ettercap (2) Протоколы и дополнительные программные модули загружены, начало сканирования

Рисунок 14: Использование Ettercap (3) Пароли определены

Рисунок 15: Использование Ettercap (4), атаки типа «man-in-the-middle»

После всего этого у хакера во внутренней сети есть вся информация для атаки служб из DMZ, но… что если хакер является серьезным взломщиком, а мы не приняли всех необходимых мер предосторожности? Сможет ли хакер обойти соединения брандмауэра с другими сетями, включая внешнюю сеть? В нашем примере брандмауэр выходит в Интернет через маршрутизатор с IP-адресом 10.10.10.2. Что если хакер обманет брандмауэр с помощью поддельного MAC-адреса маршрутизатора? Ответ: брандмауэр не сможет соединиться с внешней сетью; это атака типа D.O.S (Denial Of Service – отказ от обслуживания).

Рисунок 16: Использование Nemesis для отсылки ARP-пакета брандмауэру

Ну вот, вы видели все плохое и очень плохое. Теперь посмотрим, что тут есть хорошего

Главное, что нужно знать об атаках ARP и MITM, это то, что их очень трудно осуществить из Интернета. Хакеры обладают средствами, но и у администраторов они тоже есть. Для того, чтобы избежать атак типа DOS или MITM ARP обязательно добавьте статические записи ARP на ваши брандмауэры и сетевые устройства. Для этого используйте команду ARP.

Рисунок 17: Creating a static ARP entry

Сетевые устройства могут служить отличными союзниками в борьбе против спуфинга и сканироващиков сети. Для устранения широковещательной рассылки ARP можно создать виртуальные локальные сети VLAN, а у многих сетевых устройств есть функции для усиления безопасности сети. Также администраторы могут использовать IDS (Intrusion Detection System – Система обнаружения вторжения). IDS используют сканеры сети для анализа сетевого трафика и нахождения уязвимостей с помощью правил. Программа Snort – это одна из самых известных бесплатных систем IDS, в которой клиентская часть называется IDSCenter. Можно настроить Snort на определение ARP-атак на IP-адреса брандмауэров, маршрутизаторов, прокси-серверов и т.д. Snort также определяет сканирование портов и сотни других событий, относящихся к защите и безопасности.

Рисунок 18: Настройка Snort на определение ARP-атак

Кроме того, Snort можно настроить на запуск сценариев для блокирования трафика с IP-адреса хакера и отсылку почты при появлении предупреждения.

Рисунок 19: Настройка оповещения

Рисунок 20: Событие: определена подмена ARP

Рисунок 21: Событие: обнаружено сканирование портов

Если на сервер Snort вы установите MOM-агент, вы сможете читать предупреждения журнале событий и обрабатывать предупреждения в консоли MOM.

Защита от переполнения

Одной из новых возможностей сервера ISA 2006 является защита от переполнения, которая позволяет избежать атак типа D.O.S, червей и других проблем.

Рисунок 22: Защита от переполнения (1)

Рисунок 23: Защита от переполнения (2)

Рисунок 24: Защита от переполнения (3)

Для каждой потенциальной атаки вы можете определить предел и настраиваемый предел. Настраиваемый предел применяется только к списку исключений IP-адресов. В нашем примере мы включили IP-адрес одного из внутренних компьютеров в список исключений и определили настраиваемый предел равный 3-м одновременным соединениям TCP/IP.

Рисунок 25: Защита от переполнения (4)

Рисунок 26: Защита от переполнения (5)

Рисунок 27: Защита от переполнения (6)

С такими настройками компьютер с адресом 192.168.0.30 обладает количеством одновременных соединений равным 3.

Используем telnet для создания соединений с адреса 192.168.0.30, а для просмотра одновременных TCP-соединений используем на ISA-сервере монитор производительности.

Рисунок 28: Защита от переполнения (7)

Когда компьютер пытается создать четвертое соединение, ISA-сервер отклоняет трафик и записывает событие в журнал.

Резюме

ISA-сервер – это великолепный продукт, обладающий сертификатом высокого уровня безопасности и «защищенный по умолчанию». Система Windows предоставляет нам множество функций защиты для борьбы с атаками хакеров, но главная ответственность за безопасность сети находится в ваших руках и все зависит от вашего профессионализма.