Побег через брандмаузер

         

Что может и что не может брандмаузер


Брандмаузер может наглухо закрыть любой порт, выборочно или полностью блокируя как входящие, так и исходящие соединения, однако, этот порт не может быть портом действительно нужной публичной службы, от которой нельзя отказаться. Так например, если фирма имеет собственный почтовый сервер, в обязательном порядке должен быть отрыт 25'й SMTP порт (а иначе как прикажите письма получать?). Соответственно, наличие WEB-сервера предполагает возможность подключения к 80-порту из "внешнего мира".

Допустим, что одна или несколько так служб содержат уязвимости, допускающие возможность переполнения буфера со всеми вытекающими отсюда последствиями (захват управления, несанкционированная авторизация и т.д.). Тогда, никакой, даже самый продвинутый, брандмаузер не сможет предотвратить вторжение, поскольку пакеты с диверсионным shell-кодом на сетевом уровне неотличимы от пакетов с легальными данными. Исключение составляет поиск и отсечение головы вполне конкретного червя, сигнатура которого хорошо известна брандмауэру. Однако, наложение заплатки на уязвимый сервис будет намного более эффективным средством борьбы (случай, когда червь опережает заплатку мы не рассматриваем, поскольку такие существуют только теоретически). Кстати говоря, брандмаузер и сам по себе представляет довольно соблазнительный объект для атаки (некоторые из брандмауэров имели переполняющиеся буфера, допускающие захват управления).

Но, как бы там ни было, срыву буфера уязвимой службы брандмаузер никак не препятствует. Единственное, что он может сделать – это свести количество потенциальных дыр к разумному минимуму, закрыв порты всех служб, не требующих доступа извне. В частности, червь Love San, распространяющийся через редко используемый 135-порт, давно и небезуспешно отсекается брандмауэрами, стоящими на магистральных Интернет - каналах, владельцы которых посчитали, что лучше слегка ограничить своих пользователей в правах, чем нести моральную ответственность за поддержание жизнедеятельности всякой заразы. Однако, в отношении червей, распространяющихся через стандартные порты популярных сетевых служб, этот прием не срабатывает, и брандмаузер беспрепятственно пропускает голову червя внутрь корпоративной сети.

\



Содержание раздела