Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР #94, ОКТЯБРЬ 2006 г.

Фаервол тебя не спасет

Крис Касперски, ака мыщъх

Хакер, номер #094, стр. 094-042-1

Вся правда о безопасности брандмауэров

Брандмауэры (они же firewall'ы) сейчас используются повсеместно. Их встраивают в DSL-модемы, Wi-Fi точки доступа, маршрутизаторы, операционные системы, антивирусы и другие программные пакеты типа SyGate Personal Firewall или Outpost. Большинство пользователей даже не представляют, что это такое, но на 100% убеждены, что файрвол спасет их от всех бед. Но так ли они надежды, как утверждает реклама?

Разберемся что к чему

Прежде чем начать, необходимо выяснить, что такое персональные брандмауэры и чем они отличаются от не персональных (за отсутствием подходящей терминологии назовем их «внешними»). Внешний брандмауэр представляет собой штуку, включенную в разрыв между сетевым кабелем (Ethernet/WiFi/Dialup) и сетевой картой охраняемого узла (не важно — сервером или клиентской машиной). Конструктивно внешний брандмауэр может быть реализован и как микросхема, встроенная в DSL-модем/материнскую плату, и как самостоятельный узел — маршрутизатор/мост, построенный на базе IBM PC и управляемый любой подходящей операционной системой (например, LINUX, хотя и Windows тоже сгодится).

Возможности воздействия на внешний брандмауэр минимальны. Если он сконфигурирован правильно и не имеет дыр, то проникнуть на атакуемую машину сети извне очень трудно. А вот вырваться из внешнего брандмауэра на свободу ничего не стоит, поскольку он ничего не знает ни о процессах, ни о потоках. Ему неведомо понятие «зловредной программы». Все, что он имеет в своем распоряжении, — это список открытых портов, среди которых в обязательном порядке присутствует 80-й порт, связанный с WEB. Следовательно, любое приложение может беспрепятственно устанавливать соединения с любыми IP-адресами по 80-м порту, скрытно пересылая конфиденциальную информацию или устанавливая back-door. Брандмауэр ничего не сможет с этим сделать (особенно, если зловредная программа «обернет» пересылаемые данные в HTTP-запросы), поскольку он не в состоянии отличить, кто посылает TCP/IP-пакеты: FireFox.exe или evil-virus.exe!

Персональные брандмауэры устанавливаются непосредственно на защищаемый ими компьютер, поэтому не только поддерживают списки «доверенных приложений», но также пытаются отслеживать факт внедрения в них постороннего кода, чтобы малварь не смогла передать информацию «руками» FireFox'а или IE. Все это, конечно, замечательно, хотя есть одно «но»! Тот факт, что персональный брандмауэр находится на той же самой машине, что и малварь, делает его чрезвычайно уязвимым против атак на сам брандмауэр. Малварь, заполучившая администраторские права, может делать абсолютно все, что угодно, в том числе и обмениваться пакетами в обход брандмауэра! Изначальная задумка протестировать несколько популярных продуктов на надежность оказалась провальной. И знаешь почему? Потому что абсолютно все персональные файрволы обходятся довольно простыми (зачастую универсальными) методиками даже с прикладного уровня. Доходчивый рассказ о том, как пробить защиту, будет лучшим доказательством, что надежной защиты нет. Установленные одновременно и внешний, и персональный файрволы, безусловно, защищают сеть, но даже в этом случае нет никаких гарантий, что нас не атакуют!

Содержание  Вперед на стр. 094-042-2
ttfb: 3.4000873565674 ms