Защита снаружи и изнутри

(c)oded by Lame@pochta.ru

Спецвыпуск: Хакер, номер #048, стр. 048-096-6

XS: Почему следует блокировать RAWSOCKET пакеты?

Появившийся в Windows2000 механизм отсылки и приема RAWSOCKET пакетов, несомненно, принес определенную пользу для программирования экзотических приложений. Однако, в тоже время он породил огромную дыру в безопасности системы. Приложения получили возможность формировать пакет самостоятельно и, соответственно, указывать произвольные протоколы, порты и адреса. При перехвате IP пакетов установить принадлежность таких пакетов соединениям и приложениям невозможно. Поэтому, с точки зрения безопасности, следует запрещать работу с RAWSOCKET средствами фаервола для всех приложений, за исключением ряда специальных утилит.

XS: В чем опасность разрешения встроенного DNS Cache?

В Windows 2000 появилась встроенная функция кэширования DNS запросов. Этот, в общем-то, отрадный факт омрачен тем, что доступ в сеть для DNS запроса осуществляется централизованно процессом SVCHOST.EXE. Соответственно, фаервол не может установить процесс, который инициировал запрос. Ситуация осложняется тем, что атакующему процессу для передачи наружу приватной информации в DNS пакете не требуется прямое обращение к специальному DNS серверу - все запросы к нему передадутся автоматически DNS сервером, указанным в сетевых настройках. Поэтому для полной безопасности следует отключать встроенный DNS Cache и глобальное правило фаервола, разрешающее DNS запрос. Оставлять только разрешение на DNS запрос для конкретных приложений.

XS: Как должна быть реализована защита остановки сервиса фаервола?

Правильно настроенный фаервол должен запрашивать пароль при выходе (обычно эта процедура некоторым образом защищена от автоматизации), для того чтобы предотвратить остановку сервиса атакующей программой. В случае, если атакующий процесс имеет достаточно привилегий для записи в память сервиса фаервола, защититься от остановки сервиса невозможно. Для обхода этой уязвимости драйвер фаервола должен уметь блокировать всю сетевую активность в случае аварийного завершения сервиса.

Персональные межсетевые экраны (МСЭ) очень популярны, так как могут защитить от проникновения вредоносного кода и утечки ценной информации.

Основа защиты любого межсетевого экрана - фильтрация трафика, которая заключается в анализе посылаемых/принимаемых пакетов.

Более эффективная фильтрация - на прикладном уровне протокола TCP/IP (фильтрация содержимого).

Чтобы нейтрализовать попытки использования доверенных приложений троянами, МСЭ перехватывают запуск приложений с типом отображения SW_HIDE.