Mit tárhat fel egy biztonsági felmérés?

Sokféle, a hálózatok kezeléséhez, az internet használatát segítő szolgáltatáscsomagot tartalmaz a BorderManager Enterprise Edition. Ezek egy része, mint az irányelv (policy) alapú felügyelet vagy a gyorsítótár (proxy) alkalmazása a rendszergazda vagy a felhasználó életét könnyíti meg. A biztonsági követelmények betartása általában plusz terhet jelentenek mindenkinek, de mellőzésük kockázattal jár. Háromféle, a hálózatok és az internet biztonságos használatát elősegítő biztonsági szolgáltatáscsomaggal rendelkezik a BorderManager Enterprise Edition: ezek a hitelesítő (autentikációs) szolgáltatások, védőgát-szolgáltatások, valamint a virtuális magánhálózatokat támogató szolgáltatások.
Mennyire fontosak és mit tudnak ezek? A kérdésre azért nem lehet röviden és egyszeren válaszolni, mert minden cég helyzete, belső infrastruktúrája eltérő. Laptársunknál, a Napi Gazdaságnál a Noreg Kft. végzett a külső betörések lehetőségét elemző biztonságtechnikai vizsgálatot.
Először az eredeti állapotban tesztelték kívülről a hálózatot, majd pedig a Novell BorderManager védőgátjának a beállítása, illetve az útválasztó újrakonfigurálása után.

Mint a hackerek

A Noreg mint az ISS (Internet Security System) partnere az ISS Internet Scannerrel végezte a vizsgálatokat. A szoftver szimulálja a betörést, azaz a ma ismeretes összes módszert kipróbálva igyekszik bejutni a belső hálózatba információszerzés és/vagy a hálózat mködésének a megzavarása céljából.
Az egyes vizsgálatokkal feltárt hiányosságokat három kategóriába sorolják. Súlyos a probléma, ha lehetővé válik a rendszerbe való bejutás, a hálózat vagy egyes gépek mködésének a megzavarása, ez általában azonnali intézkedést igényel.
Közepesen súlyos hiányosságnak minősül, ha mködési zavar, illetve bejutás nem lehetséges ugyan, de olyan információkat lehet gyjteni, amelyek a későbbi próbálkozásokhoz felhasználhatóak.
A harmadik kategóriába a kisebb, kevésbé fontos információk megszerzését lehetővé tévő hiányosságok tartoznak.
A szerkesztőség hálózata egyszer, egy útválasztóval kapcsolódik az internetszolgáltató hálózatához, az útválasztó pedig közvetlen kapcsolatban van a szerkesztőségben használt PC-kkel, amelyeken Windows 95 mködött. Az első vizsgálatnál az ISS Scanner 5.81 verzióját néhány védőgátteszttel kiegészítve az internetszolgáltató egyik gépén futtatták.

Támadási pontok

Az eredmények szerint a rendszer leggyengébb pontja a Windows95 operációs rendszer, amely három, súlyos kategóriába tartozó támadással szemben védtelen.
1. Halálos Ping (Ping of Death). Ez egy ICMP válaszcsomag, amely nagyobb mint 64 kilobájt. A specifikáció tiltja ekkora csomagnak a létrehozását, de mivel az IP-csomagok kisebb, a fizikai hálózatnak (például Ethernet) megfelelő csomagokra tördeltek, a hálózat továbbítja őket. Amikor a címzett gép összeállítja a csomagot, az a puffer túlcsordulását okozza. Ez az adott rendszertől függően különböző hibákat okoz: lefagyasztja, újraindítja a rendszert. Ez a fajta támadás, amikor a csomag túlcsordulást okoz, mert a mérete nagyobb a megengedettnél, bármely IP protokollnál előfordulhat, nemcsak az ICMP esetén.
Megoldás: telepíteni kell a megfelelő javítócsomagot. A Windows 95-nél ez nem lehetséges, át kell térni védettebb operációs rendszerre. Bizonyos, védőgátfunkciókkal is rendelkező útválasztókat lehet úgy konfigurálni, hogy ne engedjék be a hálózatra az ilyen csomagokat.

A BorderManager gyorsítótárának a beállítása az NW Admin programmal

2. Egymást átfedő, rövid IP-csomagok (Teardrop IP fragmentation overlap). A támadás inkonzisztens IP-datagramok sorozatából áll. Az első csomag paraméterei helyesek, az utána következők azonban a paramétereik szerint részben átfedik az elsőt, a hosszuk azonban csak 1-2 bájt. Bizonyos mennyiség ilyen sorozat beérkezésére az operációs rendszerek lefagyással, újraindulással reagálnak. A Windows NT maximum 50 csomagig bírja, a Linuxnak elég néhány darab is.
A megoldás ugyanaz, mint az 1. típus esetén.
3. Teljesíthetetlen szolgáltatáskérés (Land denial of service attack). A csomag képtelen paraméterekkel érkezik, a forrás és a cél IP-cím ugyanaz, egyforma a forrás és a cél portcím is. Ilyen csomagok sorozatával sok rendszert le lehet fagyasztani. A megoldás itt is hasonló, mint az első két esetben.
A teszt az elsősorban információszerzésre alkalmat adó, közepes súlyosságú hiányosságok közül a következőket derítette fel:

  • Előre látható a TCP sorozat. Amennyiben a TCP üzenetek sorozata előre kiszámítható, akkor a támadó hamis üzenetek küldésével a hálózaton belüli, hiteles kiszolgálónak tüntetheti fel magát. Ezt olyan egyszer szolgáltatásoknál használhatja ki, mint az rsh vagy az rlogin, mivel ezeknél csupán az IP-cím alapján azonosítja a másik felet a kiszolgáló.
  • A Chargen port (19-es port) engedélyezett volt és mködött. A Chargen szolgáltatás vagy port, ha engedélyezett, egyfajta csomaggenerátorként mködik, amely folyamatosan ASCII kódsorozatot tartalmazó csomagokat küld a hálózaton. A támadó egy hamis IP-címet tartalmazó kéréssel aktivizálhatja a portot és a csomagokat a hamis IP-címre küldve eláraszthatja a hálózat bármelyik gépének bármely portját velük. Ez egyrészt terheli a hálózatot, másrészt, ha az elárasztott port engedélyezett, jó esély van a kiszolgáló túlterhelésére és lefagyasztására. Megoldás: a port letiltása.
  • Az Echo szolgáltatás (7-es port) engedélyezett volt és mködött. Az Echo port vagy szolgáltatás nevének megfelelően egyszeren visszaküldi a hozzá érkezett csomagokat, lényegében az ICMP protokollos ping TCP-megfelelője. Ha például a korábban említett „csomaggenerátor" portot aktivizáljuk, és egy Echo portra irányítjuk, akkor a terhelés révén alaposan lelassíthatjuk a hálózatot. Megoldás: a port letiltása. A védőgátak és az ilyen funkcióval is rendelkező útválasztók konfigurálhatóak úgy, hogy ne engedjék át a 19-es és a 7-es portra érkező csomagokat, de ez csak a külső támadás ellen jelent védelmet. A biztonsági szakemberek gyakran hangsúlyozzák, hogy a hálózati támadások 70 százaléka a belső hálózatról indul.
  • A lekérdező szolgáltatás (finger service) aktív volt. Ez a szolgáltatás lehetővé teszi, hogy egy kiszolgálótól – és ehhez csupán az IP-címét kell tudni – lekérdezzük az éppen bejelentkezett felhasználók nevét. A felhasználónév ismeretében pedig lekérdezhetjük a nyilvántartott adatait, mikor jelentkezett be és ki stb. (A jelszavát nem.) Megoldás: a szolgáltatás letiltása vagy az így lekérdezhető információ korlátozása.
  • Mködött az útvonal-információ szolgáltatás (traceroute). Ez a szolgáltatás lehetővé teszi, hogy végigkövessük a csomag útját a célig, azt, hogy milyen kiszolgálókon és útválasztókon halad keresztül. Amennyiben a védőgát átengedi ezeket a csomagokat, a támadó feltérképezheti a belső hálózat topológiáját. Megoldás: az ilyen csomagok bejutásának a letiltása a védőgáton.

Védőgát mögött

A második vizsgálat előtt a Novell Magyarország szakemberei az útválasztó és belső hálózat közé beállítottak egy BorderManager védőgátat. A vizsgálat súlyos hiányosságot nem mutatott ki, a felesleges szolgáltatások (echo, finger stb.) miatt néhány közepes és kisebb problémát észleltek. Két port a védőgáton nyitva volt, az egyik támadásával a védőgáton hibaüzenetet lehetett produkálni. A Noreg szakvéleménye szerint a védőgát beállításával a hálózat védettsége megfelelő szint lett, a súlyos támadások ellen védett.

Csórián Sándor