Обход межсетевых экранов это

Обновлено: 04.07.2024

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Мельников Владимир Геннадьевич, Трифанов Александр Владимирович

В данной работе рассматривается применение Web Application Firewall (WAF) для защиты веб-приложений от атак. Рассмотрены основные виды и функции WAF и их эффективность. Показано, что несмотря на высокую степень защиты, WAF помогает защититься только от простых атак.

WAF BYPASS

This paper examies Web Application Firewall (WAF) using to protect web applications from attacks. The effectiveness of WAF basic types and functions are considered. It is shown that the WAF helps to prevent only simple attacks despite the high protection degree.

Текст научной работы на тему «Методы обхода межсетевых экранов для приложений»

МЕТОДЫ ОБХОДА МЕЖСЕТЕВЫХ ЭКРАНОВ ДЛЯ ПРИЛОЖЕНИЙ

Владимир Геннадьевич Мельников

Александр Владимирович Трифанов

Ключевые слова: межсетевой экран для веб-приложений, обход защиты межсетевых экранов.

Vladimir G. Melnikov

Aleksandr V. Trifanov

Key words: Web Application Firewall, WAF bypass.

Для защиты различных сервисов используются - межсетевые экраны, системы обнаружения вторжения, антивирусное ПО и системы управления угрозами. Для веб-приложений существует своя специфика и она предполагает, что за один сеанс работы пользователя с веб-сервером может осуществляться большое количество различных TCP-соединений, которые открываются с различных адресов, но имеют один (возможно динамический) идентификатор сессии. Это приводит к тому, что для эффективной защиты веб-трафика необходима платформа на основе полнофункционального реверс-прокси-серверах[4].

Но разница в технологической платформе - не единственное, что отличает защиту веб-приложений. Это создает целый ряд новых угроз, с которыми традиционные межсетевые экраны не справляются. По оценкам компании Positive

Technologies, в 2014 году 60 % атак на корпоративные сети осуществлялись через веб-приложения, невзирая на наличие традиционных защитных средств [1].

- автоматическое обучение, поведенческий анализ;

- корреляция, цепочки атак.

Технология WAF достаточно эффективна - отражает до 98 % атак. Но несмотря на свою эффективность, имеются и недостатки. Существует несколько вариантов обхода WAF. Но перед этим нужно сначала разобраться, как же выглядит механизм работы Web Application Firewall [2]. Этапы обработки входящего трафика в большинстве WAF одинаковы и условно выделяют 5 этапов:

- Выбор правил в зависимости от типа входящего параметра.

- Нормализация данных до вида, пригодного для анализа.

- Применение правила детектирования.

- Вынесение решения о вредоносности пакета. На этом этапе WAF либо обрывает соединение, либо пропускает дальше - на уровень приложения.

Все этапы, кроме применения правил детектирования, хорошо изучены и в большинстве межсетевых экранов одинаковы. О четвертом пункте - правилах детектирования - дальше и пойдет речь. Если проанализировать виды логик обнаружения атак в пятнадцати наиболее популярных WAF, то лидировать будут:

- токенайзеры, лексические анализаторы;

Большинство WAF используют именно механизмы регулярных выражений для поиска атак. На это есть две причины. Во-первых, так исторически сложилось, ведь именно регулярные выражения использовал первый WAF, написанный в 1997 году. Вторая причина также вполне естественна - это простота подхода, используемого регулярными выражениями. Регулярные выражения вы-

полняют поиск подстроки в тексте. Web Application Firewall обладают следующими недостатками:

- Невозможно полностью защитить Web-приложения от всех возможных уязвимостей.

- Обработка возвращаемого трафика клиенту.

- При использовании универсальных фильтров WAF приходится балансировать между эффективностью фильтра и минимизацией ошибок блокировки легитимного трафика [3].

Выделяют следующие типы обхода WAF за счет уязвимости в правилах:

- Модификаторы, числовые квантификаторы и позиционные указатели.

- Особенности парсеров и опечатки.

- Уязвимые регулярные выражения.

Для демонстрации обхода за счет уязвимости в модификаторах. числовых квантификаторов и позиционных указателей будет использоваться следующий пример:

Это выражение, которое защищает функцию _exec(). Регулярное выражение пытается найти паттерн attackpayload в GET-параметре a и, если он найден, предотвратить исполнение вредоносного кода.

Вторая проблема - это символы начала и конца строки (л$). Выражение ищет вредоносную нагрузку, жестко привязываясь к позиции в строке. В большинстве языков, для которых предназначается вредоносная нагрузка (например, SQL), пробелы в начале и в конце строки не влияют на синтаксис. Таким образом, если добавить пробелы в начале и конце строки, защиту удастся обойти: attackpayioad .Чтобы не допускать подобного обхода, нужно обращать особое внимание на то, как используются явные указатели начала и конца строки.

К последней проблеме относятся квантификаторы. В данном примере это квантификаторы . Регулярное выражение ищет количество вхождений от одного до трех.

Соответственно, написав полезную нагрузку четыре или более раз, можно ее обойти: attackpayloadattackpayloadattackpayloadattackpayload.

регулярные выражения, в которых используется паттерн , перестали быть верными, и открылась возможность для обхода.

Ниже представлены примеры обхода, основанные на ошибках логики:

Первое выражение - это пример так называемого ReDoS, отказа в обслуживании при парсинге текста уязвимым регулярным выражением. Проблема в том, что это регулярное выражение будет обрабатываться парсером слишком долго из-за чрезмерного количества вхождений в строку. То есть если мы передадим aaaaaaa. aaaaaaaab, то в некоторых парсерах такой поиск будет выполнять 2An операций сравнивания, что и приведет к отказу в обслуживании запущенной функции.

В третьем выражении используется черный список. Всегда нужно помнить, что большинству Unicode-символов существуют эквивалентные альтернативы, которые могут быть не учтены в списке регулярных выражений. Использовать черный списки нужно с осторожностью. В данном случае обойти правило можно так: a\rb.

Обходы, осуществляемые за счет особенностей парсеров и опечаток будет демонстрироваться на следующих примерах:

Первый пример содержит слишком широкий разрешенный диапазон. Кроме желаемых диапазонов символов a-z и a-z, такое выражение разрешает еще и ряд спецсимволов, в числе которых \,,[,] и так далее, что в большинстве случаев может привести к выходу за контекст.

В следующем выражении отсутствует двоеточие до и после класса digit (POSIX character set). В данном случае это просто набор из четырех символов, все остальные разрешены.

Третье выражение предполагает две особенности. В первом случае допущен лишний пробел - такое выражение будет искать не «а или Ь», а «а пробел, или Ь». Во втором случае подразумевался один оператор «или», а написано два. Такое выражение найдет все вхождения а и пустые строки (ведь после | идет пустая строка), но не Ь.

В последнем примере конструкции с обратными косыми чертами неоднозначны, так как в разных парсерах спецсимволы могут обрабатываться по-разному в зависимости от контекста. В разных парсерах спецсимволы могут

обрабатываться по-разному. В этом примере \11 может быть как бэклинком с номером 11, так и символом табуляции (0x09 в восьмеричном коде); \e может интерпретироваться как очень редко описываемый в документации wildcard (символ Esc); \q - просто экранированный символ q. Казалось бы, один и тот же символ, но читается он по-разному в зависимости от условий и конкретного парсера.

Несмотря на то, что WAF отражает большое количество атак, он все же несовершенен. Принципы его работы имеют хорошие перспективы и позволяют отражать несложные и автоматические атаки злоумышленников.

Как известно, межсетевые экраны, как и другие средства защиты, настраиваются людьми. А людям свойственно ошибаться, даже специалистам по защите информации. Именно этот факт и используется многими злоумышленниками.

Достаточно найти всего лишь одну слабину в настройках межсетевого экрана и все, можно считать, что "ваше дело табак". Это подтверждается и различными исследованиями.

"Нормальные герои всегда идут в обход"

Зачем пытаться проникнуть к защищаемым ресурсам через защитные средства, когда можно попытаться обойти их? Это можно проиллюстрировать примером из смежной области. В среду, 21 февраля 1990 г. Мэри Пирхем, аналитик по бюджету одной американской компании, пришла на работу. Однако она не смогла пройти на свое рабочее место даже после набора четырехзначного кода и произнесения кодового слова в системе контроля доступа. Желая все - таки попасть на работу, Мэри обошла здание и открыла дверь черного хода при помощи пилки для ногтей и пластмассовой расчески.

Новейшая защитная система, которую обошла Мэри Пирхем, рекламировалась как "безотказная и надежная" и стоила несколько десятков тысяч долларов. Аналогично и с межсетевыми экранами, только роль черного хода может выполнять модем. Знаете ли вы, сколько в вашей сети установлено модемов и для чего они используются? Не отвечайте сразу утвердительно, подумайте. При обследовании одной сети начальники отдела защиты информации и автоматизации рвали на себе рубаху, утверждая, что они знают все до единого модема, установленные в их сети.

Запустив систему анализа защищенности Internet Scanner, мы действительно обнаружили указанные ими модемы, используемые для обновления баз данных бухгалтерской и юридической систем. Однако было обнаружено и два неизвестных модема.

Один использовался сотрудником аналитического отдела с целью получения доступа к рабочим каталогам из дома. Второй модем использовался для доступа в Internet, в обход межсетевого экрана.

С возможностью обхода МСЭ связан и другой пример. Не всегда угрозы идут только с внешней стороны МСЭ, из сети Internet.

Большое количество потерь связано как раз с инцидентами защиты со стороны внутренних пользователей (по статистике - до 80 % инцидентов исходят изнутри). Необходимо уточнить, что межсетевой экран только просматривает трафик на границах между внутренней сетью и сетью Internet. Если трафик, использующий "бреши" в защите, никогда не проходит через межсетевой экран, то МСЭ и не находит никаких проблем. В 1985 году на одном из российских судостроительных заводов была разоблачена преступная группа из свыше 70 (!) человек, которая в течение 1981 - 1985 гг. путем введения в информационную систему расчета зарплаты фальшивых документов похитила более 200 тыс. рублей.

Аналогичные случаи были зафиксированы на заводах г. Ленинграда и г. Горького. Ни один, даже самый эффективный межсетевой экран, не смог бы обнаружить такую деятельность.

Туннели используются не только в метро

Но даже просмотр трафика на границе между внешней и внутренней сетями не гарантирует полной защиты. Межсетевой экран фильтрует трафик и принимает решения о пропуске или блокировании сетевых пакетов, опираясь на информацию об используемом протоколе. Как правило, правила предусматривают соответствующую проверку с целью определения того, разрешен или нет конкретный протокол.

Если межсетевой экран разрешает прохождение SMTP - трафика (а мне не приходилось видеть МСЭ, который бы этого не делал), то во внутреннюю сеть может попасть и "вирусная инфекция".

Приведу более сложный пример. Например, Web - сервер, функционирующий под управлением программного обеспечения компании Microsoft (Internet Information Server), защищается межсетевым экраном, на котором разрешен только 80 - ый порт. На первый взгляд обеспечивается полная защита. Но только на первый взгляд. Если используется IIS версии 3.0, то обращение по адресу:

позволяет злоумышленнику получить доступ к содержимому ASP - файла, который может хранить конфиденциальные данные (например, пароль доступа к базе данных).

В системе обнаружения атак RealSecure эта атака получила название "HTTP IIS 3.0 Asp Dot". И даже, если вы установили самую последнюю версию IIS 5.0, то и в этом случае вы не можете чувствовать себя в полной безопасности. Обращение к адресу:

приводит к выполнению команды "dir C:\". Аналогичным образом можно прочитать любой файл, в том числе и содержащий конфиденциальную информацию:

Последним примером может служить атака Loki, которая позволяет туннелировать различные команды (например, запрос на передачу файла паролей /etc/passwd) в запросы ICMP Echo Request и реакцию на них в ответы ICMP Echo Reply.

Шифруй, не шифруй, все равно.

Очень часто из уст многих отечественных разработчиков средств VPN можно услышать, что разработанное им средство построения виртуальных частных сетей способно решить многие проблемы безопасности. Они упирают на то, что раз защищаемая сеть общается со своими оппонентами (удаленными офисами, партнерами, заказчиками и т. д.) только по VPN - соединению, то никакая "зараза" в нее не проникнет.

Отчасти это так, но только при условии, что и оппоненты также ни с кем не общаются по незащищенным каналам. А это уже представить себе трудно. И поскольку большинство организаций используют шифрование для защиты внешних сетевых соединений, интерес злоумышленника будет направлен к тем местам в сети, где информация, представляющая для него интерес, вероятно, не является защищенной, то есть к узлам или сетям, с которым установлены доверенные отношения. И даже в случае создания VPN - соединений между сетью, защищаемой при помощи МСЭ с функциями VPN, и доверенной сетью, злоумышленник сможет с той же эффективностью реализовывать свои атаки.

Мало того, эффективность его атак будет еще выше, поскольку зачастую требования по безопасности к доверенным узлам и сетям намного ниже всех остальных узлов. Злоумышленник сможет проникнуть в доверенную сеть, а уж затем из нее осуществлять свои несанкционированные действия по отношению к цели своей атаки.

И вновь о подмене

Подмена адреса - это способ сокрытия реального адреса злоумышленника. Однако он может использоваться и для обхода защитных механизмов межсетевого экрана. Такой простейший способ, как замена адреса источника сетевых пакетов на адрес из защищаемой сети, уже не может ввести в заблуждение современные межсетевые экраны. Все они используют различные способы защиты от такой подмены. Однако сам принцип подмены адреса остается по - прежнему актуальным. Например, злоумышленник может подменить свой реальный адрес на адрес узла, у которого установлены доверенные отношения с атакуемой системой и реализовать атаку типа "отказ в обслуживании" на нее.

Межсетевой экран - как цель атаки

Межсетевые экраны часто сами являются объектами атаки. Атаковав МСЭ и выведя его из строя, злоумышленники могут спокойно, не боясь быть обнаруженными, реализовывать свои преступные замысли по отношению к ресурсам защищаемой сети.

Например, с начала 2001 года было обнаружено немало уязвимостей в реализации различных известных межсетевых экранов. Например, неправильная обработка TCP - пакетов с флагом ECE в МСЭ ipfw или ip6fw позволяла удаленному злоумышленнику обойти созданные правила. Еще одна уязвимость была обнаружена в межсетевом экране BorderWare Firewall Server 6.1.2. Использование данной уязвимости, связанной с широковещательной посылкой запросов ICMP Echo Request, приводила к нарушению доступности МСЭ BorderWare.

В стороне не остались и другие межсетевые экраны - Cisco Secure Pix Firewall, WatchGuard Firebox и т. д.

Стой, кто идет? Предъявите паспорт!

Абсолютное большинство межсетевых экранов построено на классических моделях разграничения доступа, разработанных в 70 - х, 80 - х годах прошлого столетия в военных ведомствах. Согласно этим моделям субъекту (пользователю, программе, процессу или сетевому пакету) разрешается или запрещается доступ к какому - либо объекту (например, файлу или узлу сети) при предъявлении некоторого уникального, присущего только этому субъекту, элемента. В 80 % случаев этим элементом является пароль. В других случаях таким уникальным элементом является таблетка Touch Memory, Smart или Proximity Card, биометрические характеристики пользователя и т. д. Для сетевого пакета таким элементом являются адреса или флаги, находящиеся в заголовке пакета, а также некоторые другие параметры.

Можно заметить, что самым слабым звеном этой схемы является уникальный элемент. Если нарушитель каким - либо образом получил этот самый элемент и предъявил межсетевому экрану, то он воспринимает его, как "своего" и разрешает действовать в рамках прав того субъекта, секретным элементом которого несанкционированно воспользовались. При современных темпах развития технологий получить доступ к такому секретному элементу не составляет большого труда.

Его можно "подслушать" при передаче по сети при помощи анализаторов протоколов, в том числе и встроенных в операционные системы (например, Network Monitor в Windows NT 4.0). Его можно подобрать при помощи специальных программ, доступных в Internet, например, при помощи L0phtCrack для Windows или Crack для Unix.

Т. о. даже самый мощный и надежный межсетевой экран не защитит от проникновения в корпоративную сеть нарушителя, если последний смог подобрать или украсть пароль авторизованного пользователя. Мало того, межсетевой экран даже не зафиксирует нарушения, так как для него нарушитель, укравший пароль, является авторизованным пользователем.

Например, 22 марта 1995 г. неустановленный злоумышленник при помощи украденного пароля и программного обеспечения Пинского филиала БелАКБ "Магнатбанк" проник в компьютерную сеть Белорусского межбанковского расчетного центра и перевел на расчетный счет ООО "Арэса ЛТД" в Советское отделение БелАКБ "Промстройбанк" 1 млрд. 700 млн. рублей.

Администратор - бог и царь

В каждой организации есть пользователи, обладающие практически неограниченными правами в сети. Это сетевые администраторы. Они никому неподконтрольны и могут делать в сети практически все, что угодно. Как правило, они используют свои неограниченные права для выполнения своих функциональных обязанностей. Но представьте на минуту, что администратор чем - то обижен. Будь - то низкой зарплатой, недооценкой его возможностей, местью и т. п.

Известны случаи, когда такие обиженные администраторы "портили кровь" не одной компании и приводили к очень серьезному ущербу. Осенью 1985 года директор по компьютерной безопасности компании USPA & IRA Дональд Берлисон попытался через руководство компании добиться снижения суммы налога на прибыль, которую ему постоянно приходилось выплачивать, и чем он был недоволен.

Однако он был уволен. Через три дня после увольнения он пришел на работу и, получив доступ в сеть компании, удалил 168000 записей базы данных о страховании и защите торговых сделок. Затем он запустил в сеть несколько программ - червей, которые должны были продолжать удалять аналогичные записи в будущем. И Россия не осталась в стороне.

В 1991 г. при помощи компьютерной техники произошло хищение валютных средств из Внешэкономбанка на сумму 125,5 тыс. долларов и подготовка к хищению еще свыше 500 тыс. долларов. Механизм хищения был очень прост. Житель Москвы совместно с начальником отдела автоматизации неторговых операций ВЦ Внешэкономбанка открыл по шести поддельным паспортам счета и внес на них по 50 долларов. Затем, путем изменения банковского программного обеспечения на открытые счета были переведены 125 тысяч долларов, которые и были получены по поддельным паспортам.

Два этих примера демонстрируют, что даже самый эффективный межсетевой экран не смог бы защитить корпоративную сеть, если бы на нее совершил нападение ее администратор.

Межсетевые экраны не обеспечивают достаточного уровня защищенности корпоративных сетей. Хотя ни в коем случае от них нельзя отказываться. Они помогут обеспечить необходимый, но явно недостаточный, уровень защиты корпоративных ресурсов. Как уже не раз отмечалось, традиционные средства, к которым можно отнести и межсетевые экраны, были построены на основе моделей, разработанных в то время, когда сети не получили широкого распространения и способы атак на эти сети не были так развиты, как сейчас.

Чтобы на должном уровне противодействовать этим атакам, необходимо применение новых технологий. Например, технология обнаружение атак (intrusion detection), которая стала активно развиваться за рубежом и четыре года назад попала в Россию. Эта технология, ярким представителем которой является семейство средств RealSecure компании Internet Security Systems, позволяет эффективно дополнять существующие межсетевые экраны, обеспечивая более высокий уровень защищенности.

Различия в обработке одной и той же информации на разных платформах могут привести к потенциальной логической ошибке или уязвимости в системе безопасности.

Network Security Solutions, Serbia 2011

Термин «многозвенная архитектура» в разработке программного обеспечения означает клиент-серверную архитектуру, в которой представление данных, работа приложения и управление данными являются логически разделенными процессами. Архитектура многозвенных приложений предоставляет для разработчиков возможность создания гибких приложений многократного использования. После разделения приложения на звенья разработчикам нужно только изменить или добавить определенный уровень. Различия в обработке одной и той же информации на разных платформах могут привести к потенциальной логической ошибке или уязвимости в системе безопасности.

Давайте рассмотрим звенья Веб-сервиса:

Добавление более гибких уровней может потенциально открыть «двери» для множества новых направлений атак. Быстрая разработка приложений и стремительное развитие технологий делает применение разработок системы безопасности почти невозможным. Через некоторое время все ошибки исправляются.

Термин «Строка запроса» обычно используется для обозначения части между знаком “?” и концом URI
Как определено в RFC 3986, строка запроса является последовательностью пар поле-значение
Пары разделяются символами “&” или “;”
RFC 2396 определяет два класса символов:
- Незарезервированные: a-z, A-Z, 0-9 и _ . !
Перечень Веб-серверов

Различные Веб-серверы ведут себя по-разному в зависимости от одновременной передачи множества параметров:

Для проведения DoS-атак не всегда требуются масштабные ботнеты. Исследователи информационной безопасности описали атаку BlackNurse, в ходе которой с помощью одного ноутбука можно отключить межсетевые экраны популярных производителей.

В чем проблема

Датские исследователи из отдела SOC (Security Operations Center) телеком-оператора TDC описали атаку BlackNurse, для осуществления которой используется особенность обработки ICMP-запросов популярными файрволлами.

В тексте опубликованного исследования авторы пишут, что столкнулись с проблемой при разработке собственного решения по борьбе с DoS — в некоторых случаях, несмотря на небольшой объём входящего трафика и малого числа принимаемых пакетов, общая скорость работы сети замедлялась. Эффект наблюдался даже для крупных корпоративных клиентов, обладающих каналами с большой пропускной способностью и использующих дорогостоящее оборудование известных вендоров.

В публикации экспертов TDC не говорится о том, почему эти пакеты потребляют так много процессорного времени межсетевых экранов, однако ИБ-эксперт SANS Technology Institute Ханс Ульрих предположил, что дело может быть в попытке файрволла провести stateful-анализ пакетов, которая требует большого количества ресурсов.

«На разных межсетевых экранах нагрузка увеличивалась в любом случае. В процессе осуществления атаки пользователи LAN, находящейся за файрволом, теряли возможность отправки и получения трафика в и из интернета, после прекращения атаки работоспособность восстанавливалась», — пишут исследователи в своем документе.

По данным экспертов TDC, уязвимы следующие продукты:
- Cisco ASA 5506, 5515, 5525 (при использовании стандартных настроек)
- Cisco ASA 5550 (legacy) and 5515-X (последнее поколение)
- Cisco Router 897 (атаку можно отразить)
- SonicWall (проблема решается изменением стандартной конфигурации)
- некоторые Palo Alto
- Zyxel NWA3560-N (беспроводная атака со стороны LAN)
- Zyxel Zywall USG50
Как защититься

Узнать, уязвима ли конкретная система, можно разрешив ICMP на стороне WAN межсетевого экрана и осуществить тест с помощью Hping3, одновременно попробовав осуществить подключение к интернету из сети. Можно использовать следующие команды hping3:

Исследователи также представили правило SNORT IDS для детектирования атаки BlackNurse:

Для минимизации рисков могут быть использованы различные способы. В частности, эксперты рекомендуют настроить на межсетевом экране список доверенных ресурсов, от которых принимаются ICMP-пакеты. Кроме того, имеет смысл отключить ICMP Type 3 Code 3 на стороне WAN.

Затруднить проведение кибератак, предотвратить масштабные утечки и смягчить последствия инцидентов информационной безопасности можно с помощью использования специализированных средств защиты — например, при помощи нового программно-аппаратного комплекса MaxPatrol SIEM.

С помощью MaxPatrol SIEM можно анализировать данные, полученные с МЭ, IPS\IDS систем или собранные собственным агентом Network Sensor — это позволяет вовремя обнаруживать и сигнализировать об атаках вроде BlackNurse. При этом, качественное внедрение SIEM позволяет добиться того, что один раз описав логику обаружения конкретной атаки, система сможет выявлять все атаки данного класса, как снаружи периметра, так и внутри на зачастую крайне сложных иерархически гетерогенных инфраструктурах.

Узнать о теории и практике внедрения и эксплуатации SIEM-систем на примере MaxPatrol можно будет 17 ноября в 14:00 на бесплатном вебинаре Владимира Бенгина, руководителя отдела поддержки продаж SIEM.

Читайте также:

Обход межсетевых экранов это

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Мельников Владимир Геннадьевич, Трифанов Александр Владимирович

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Мельников Владимир Геннадьевич, Трифанов Александр Владимирович

WAF BYPASS

Текст научной работы на тему «Методы обхода межсетевых экранов для приложений»

Перечень Веб-серверов

В чем проблема

Как защититься