Защита персонального межсетевого экрана от неавторизованного доступа - page 3

МЭ пользуется услугами
,
предоставляемыми ОС
(
управление памятью
и другими ресурсами
,
операции ввода
/
вывода
,
обработка строк и др
.).
Появление
(
наличие
)
ошибки в любой из этих библиотек может приве
-
сти к ослаблению защитыМЭ
.
Особенно это обстоятельство характер
-
но для уязвимостей
,
вызванных ошибками переполнения буфера
(buffer
overflow).
Наиболее полно документирована архитектура сетевого стека ОС
компании
Microsoft,
которая предоставляет несколько интерфейсных
уровней
,
позволяющих не только разрабатывать новые сетевые про
-
токолыи драйверысетевых адаптеров на основе
API,
но и выполнять
различные операции над сетевым графиком
.
Согласно работе
[1]
в за
-
висимости от типа ОС
(Windows 95/98, Windows NT, Windows 2000,
Windows
ХР
)
существует возможность реализации пакетной фильтра
-
ции в пользовательском режиме ОС четырьмя способами
,
а в режиме
ядра
пятью
.
Значительная часть уязвимостей сетевых систем зависит от поэтап
-
ного повышения прав пользователя
.
Сетевая система становится пол
-
ностью контролируемой при получении прав суперпользователя
(root
или
administrator).
Подобную схему можно использовать при получе
-
нии возможности управления МЭ
.
МЭ
,
работающие под управлением
специальных защищенных версий
UNIX (CX/LIX, CX/SX),
реализуют
более высокий уровень защиты
.
В защищенных ОС внутренние меха
-
низмызащитыреализованыособым образом
.
Первые реализации МЭ
на основе защищенных ОС называли
“Bastion host”.
Постановка задачи
.
Многие персональные межсетевые экраны
ограничивают сетевой доступ путем отслеживания приложений
,
пыта
-
ющихся взаимодействовать с сетью
.
Часто контролируется и целост
-
ность разрешенных приложений
,
что быспециальное программное
обеспечение не могло модифицировать их код
.
Это делает невозможной
установку программ для скрытного удаленного администрирования
.
Общая идея обхода подобных мер защиты
,
это использование до
-
веренного клиентского приложения
(
например
,
браузера
)
для доступа
в сеть
.
Обычно это реализуется путем контроля приложения с исполь
-
зованием техник внедрения
DLL, WriteProcessMemory( ), CreateRe-
moteThread( )
и т
.
д
.
Использование этих техник зачастую требует высоких привиле
-
гий суперпользователя
(root
или
administrator)
и достаточно хорошего
знания операционной системы
.
Кроме того
,
современные межсете
-
вые экраны часто блокируют потенциально небезопасные вызовы
API.
Еще одна трудность заключается в том
,
что при реализации этого под
-
хода приходится самостоятельно реализовывать все сетевое взаимо
-
действие
,
ожидаемое от клиентской программы
(
например
, HTTP
для
ISSN 0236-3933.
Вестник МГТУ им
.
Н
.
Э
.
Баумана
.
Сер
. “
Приборостроение
”. 2005.
3 43
1,2 4,5,6,7,8
Powered by FlippingBook