Изъяны WinGate
Контрмеры: защита от неавторизованного доступа к службе telnet
Предотвращение
В данном случае можно воспользоваться теми же рекомендациями, что приведены в разделе " Контрмеры: Защита От Неавторизованного Просмотра". Для устранения проблемы просто ограничьте привязку определенных служб сервера WinGate. На многоадаптерном узле выполните для этого следующие действия.
- Откройте диалоговое окно свойств сервера Telnet.
- Перейдите во вкладку Bindings.
- Выберите режим Connections Will Be Accepted On The Following Interface Only и задайте внутренний интерфейс сервера WinGate.
Просмотр файлов
Согласно одной из статей бюллетеня Digital Security Advisory сервер WinGate 3.0 через порт управления 8010 позволяет любому пользователю просматривать файлы системы. Для того чтобы проверить, уязвима ли ваша система, выполните следующие инструкции.
http://192.168.51.101:8010/c:/ http://192.168.51.101:8010// http://192.168.51.101:8010/…./
Если система уязвима, то вы сможете просмотреть каждый файл каталога, а также перемещаться по иерархии каталогов по своему усмотрению. Такая возможность чрезвычайно опасна, поскольку некоторые приложения хранят имена пользователей и пороли в виде незашифрованного текста. Например, если для удаленного управления серверами на вашем компьютере установлены программы Remotely Possible или ControlIT компании Computer Associates, то имена пользователей и пароли, используемые при аутентификации, хранятся либо в незашифрованном виде, либо в форме, которую не составляет труда расшифровать (см. главу 13).
Контрмеры: предотвращение просмотра файлов
Для текущей версии сервера WinGate в настоящее время нет модуля обновления, позволяющего устранить проблему просмотра файлов. Для получения более подробной информации о доступных модулях обновления обратитесь на соответствующий узле поддержки по адресу http://wingate.deerfield.com/helpdesk/.
Резюме
На самом деле правильно сконфигурированный брандмауэр оказывается чрезвычайно хорошо защищенным. Однако при использовании средств сбора информации, таких как утилиты traceroute, hping и nmap, взломщики могут исследовать потенциальные пути прохождения маршрутизатора и брандмауэра, а также определить их тип (или как минимум сделать на этот счет определенные предположения). Большинство из известных в настоящее время изъянов связано с неправильной настройкой брандмауэра или недостаточным вниманием к его администрированию. Использование взломщиком любого из них может привести к настоящей катастрофе.
Кроме того, в обоих типах брандмауэров имеются свои собственные специфические изъяны, в том числе возможность использования служб Web, telnet и локальной регистрации. Для предотвращения большинства из рассмотренных слабых мест можно воспользоваться определенными контрмерами, однако в некоторых случаях возможно лишь их выявление.
Многие считают, что в будущем неизбежно произойдет слияние обоих технологий – программных посредников и брандмауэров с фильтрацией пакетов, – что позволит ограничить количество ошибок, возникающих при их конфигурировании в настоящее время. Подсистема противодействия также станет составной частью брандмауэров нового поколения. Компания NAI уже реализовала свою архитектуру такой подсистемы – Active Security. После выявления вторжения она позволяет автоматически инициировать предопределенные изменения конфигурации сервера, подвергнувшегося атаке. Например, если системой выявления вторжений обнаружено туннелирование пакетов ICMP, то она может направить брандмауэру сообщение о необходимости игнорирования запросов ECHO. Однако в таком сценарии по-прежнему остается место для атак DoS, так что сотрудникам службы безопасности не стоит забывать об этом.