Tehnike zaobilaenja vatrozidne

zatite
CCERT-PUBDOC-2005-02-109




Revizija v1.1 CCERT-PUBDOC-2005-02-109 Stranica 2 / 11




Sigurnosni problemi u raunalnim programima i operativnim sustavima podruje je
na kojem CARNet CERT kontinuirano radi.
Rezultat toga rada ovaj je dokument koji je nastao suradnjom CARNet CERT-a i LS&S-
a, a za koji se nadamo se da e Vam koristiti u poboljanju sigurnosti Vaeg sustava.


CARNet CERT, www.cert.hr - nacionalno sredite za sigurnost
raunalnih mrea i sustava.


LS&S, www.lss.hr- laboratorij za sustave i signale pri Zavodu za
elektronike sustave i obradbu informacija Fakulteta elektrotehnike i
raunarstva Sveuilita u Zagrebu.




























Ovaj dokument predstavlja vlasnitvo CARNet-a (CARNet CERT-a). Namijenjen je za javnu objavu, njime se moe
svatko koristiti, na njega se pozivati, ali samo u originalnom obliku, bez ikakvih izmjena, uz obavezno
navoenje izvora podataka. Koritenje ovog dokumenta protivno gornjim navodima, povreda je autorskih prava
CARNet-a, sukladno Zakonu o autorskim pravima. Poinitelj takve aktivnosti podlijee kaznenoj odgovornosti
koja je regulirana Kaznenim zakonom RH.

Revizija v1.1 CCERT-PUBDOC-2005-02-109 Stranica 3 / 11







Sadraj





1. UVOD.................................................................................................................................................. 4
2. VRSTE VATROZIDOVA ............................................................................................................................ 5
3. SIGURNOST VATROZIDNIH SUSTAVA........................................................................................................ 5
4. PROPUSTI PACKET FILTER VATROZIDA..................................................................................................... 6
4.1. OTKRIVANJE LOKACIJE VATROZIDA ................................................................................................................ 6
4.2. PREGLEDAVANJE PORTOVA IZA VATROZIDA ........................................................................................................ 7
4.3. ZAOBILAENJE VATROZIDA U LOKALNOJ MREI.................................................................................................... 8
4.4. IZLAZNA ACL PRAVILA TEMELJENA NA ODREDINOM MRENOM PORT ........................................................................... 9
4.5. ZAOBILAENJE VATROZIDA NAKON OSTVARENOG PRISTUPA UNUTAR MREE ..................................................................... 9
5. SIGURNOST PROXY POSLUITELJA........................................................................................................ 10
6. ZAKLJUAK ....................................................................................................................................... 11
7. REFERENCE........................................................................................................................................ 11


Revizija v1.1 CCERT-PUBDOC-2005-02-109 Stranica 4 / 11



1. Uvod
Moderna zatita raunalnih i mrenih resursa podrazumijeva koritenje razliitih sigurnosnih
mehanizama. Meu brojnim metodama zatite mrenih sustava, a unazad zadnjih nekoliko godina i
pojedinanih klijentskih raunala, vatrozidi (eng. firewall) predstavljaju tehnologiju bez koje je
nemogue osigurati sigurnost sustava.
Bez obzira radi li se o zatiti klijentskog raunala na Internetu, zatiti privatne mree, zatiti B2B
komunikacijskog kanala ili zatiti pristupa privatnoj mrei s Interneta, jedino ispravno postavljena
vatrozidna zatita moe osigurati odgovarajuu razinu sigurnosti.
Uz pojam vatrozida vrlo usko je vezan i pojam DMZ-a, odnosno demilitarizirane zone (eng.
demilitarized zone). Demilitariziranu zonu ine raunala, mrena oprema i vorovi koji se nalaze iza
vatrozida, a izvan privatne mree. Ovisno o implementaciji, DMZ se moe implementirati koritenjem
jednog vatrozida s 3 suelja (Slika 1-a), ili koritenjem dvaju vatrozidova u seriji (Slika 1-b).

Slika 1: Mogunosti implementacije DMZ-a
U ovom dokumentu ukratko e biti opisani osnovni tipovi mrenih vatrozida i njihovih osnovnih
karakteristika, a poseban naglasak dan je na tehnikama koje neovlateni korisnici mogu iskoristiti u
svrhu njihovog zaobilaenja.

Revizija v1.1 CCERT-PUBDOC-2005-02-109 Stranica 5 / 11



2. Vrste vatrozidova
Prema nainu rada i razini zatite koju pruaju, a donekle i u skladu s povijesnim razvojem,
vatrozidove je mogue podijeliti na nekoliko vrsta:
Vatrozidovi koji filtriraju mrene pakete (eng. packet filters). Filtriranje se bazira na ACL
(eng. Access Control List) listama koje definiraju koji se mreni promet proputa, a koji
blokira.
Vatrozidovi koji filtriraju mrene pakete i prate stanje mrenih sjednica (eng. stateful
inspection firewalls). Ova vrsta vatrozida je samo napredniji tip prije navedene skupine s
obzirom da posjeduju mogunost praenja stanja pojedinih mrenih sjednica (npr. praenje
sekvencijalnih brojeva TCP sjednice, samog sadraja mrenih paketa i sl.). Ovakav nain rada
omoguuje im znatno pouzdanije filtriranje mrenog prometa u odnosu na klasine ACL
vatrozide.
Proxy posluitelji koji odreenoj grupi raunala (u nekim sluajevima bilo kome) pruaju
mogunost pristupa mrenim servisima izvan, ili unutar mree na kojoj su postavljeni. Proxy
posluitelji temelje se na posebnoj proxy programskoj podrci, a njihova uporaba uglavnom je
ograniena na pojedine tipove mrenih servisa (npr. HTTP ili FTP).
Aplikacijski gateway posluitelji su naprednija verzija ranije spomenutih proxy posluitelja,
budui da uglavnom analiziraju mreni promet koji prolazi kroz njih te provjeravaju da li je
on u skladu s definiranim pravilima. Uglavnom se radi o provjerama mrenog prometa s ciljem
detekcije potencijalnih neovlatenih aktivnosti i sl.
Popularni komercijalni vatrozidovi uglavnom su hibridi izmeu nekih od upravo opisanih vrsta
vatrozidova. Takoer, vatrozidovi mogu biti implementirani sklopovski, odnosno na posebnoj hardware
platformi ili programski, na nekom od operacijskih sustava (npr. Windows, Linux, Unix).
Neki od poznatijih vatrozidova namijenjenih osobnoj uporabi su Zone Alarm, Kerio Personal Firewall,
dok su u mrenim okruenjima popularni Linux iptables, Linux ipchains, OpenBSD ip-filter, CheckPoint
FW-1, NetScreen, PIX itd.
Od proxy posluitelja i aplikacijskih gateway posluitelja popularni su Squid, WinGate, TIS Firewall
toolkit, razni SOCKS posluitelji, itd.
3. Sigurnost vatrozidnih sustava
Razina sigurnosti koju vatrozid prua ovisi o njegovoj konfiguraciji, nainu implementacije i
sigurnosti samog vatrozida, te o sigurnosti mree i servisa kojima vatrozid doputa pristup. est
problem s vatrozidovima je neispravna konfiguracija raunalne mree na kojoj se vatrozid nalazi i
pogreno definirana sigurnosna politika na temelju koje se provodi filtriranje mrenog prometa.
Takoer, sigurnosni propusti u samim vatrozidnim sustavima vrlo su vaan aspekt, budui da
kompromitiranje vatrozidne zatite automatski ugroava i sigurnost cijelog sustava kojeg vatrozid
titi. Sigurnosni propusti (npr. prepisivanje spremnika ili format string ranjivosti) vezani su uglavnom
za proxy posluitelje i aplikacijske gateway posluitelje, iako su poznati i kod brojnih drugih tipova
vatrozida.
Vano je napomenuti da je veina programski implementiranih vatrozidova na Windows operacijskim
sustavima imala sigurnosne propuste, od kojih su neki omoguavali i potpuno kompromitiranje
raunala na kojem se vatrozid nalazi. Neispravno i povrno podeeni vatrozidni sustavi ponekad mogu
sami po sebi biti sigurnosni problem. Ovo je posebno sluaj kod proxy posluitelja koji korisnicima
raunalne mree omoguavaju pristup servisima na javnom Internetu. Ukoliko je proxy posluitelj
neispravno podeen, neovlateni korisnik izvan raunalne mree kojoj je taj proxy posluitelj
namijenjen ponekad moe ostvariti neautorizirani pristup internoj mrei organizacije. Takvi sluajevi
su prilino esti. Primjer neispravno podeenog proxy posluitelja je medijski razvikana provala u
raunalni sustav New York Timesa, kada je Adrian Lamo preko neispravno podeenog proxy posluitelja
ostvario pristup internoj mrei organizacije.
Propusti vatrozidova koji se baziraju na filtriranju mrenih paketa (eng. packet filters i stateful filters)
uglavnom su nedovoljno dobro definirane ACL liste koje neovlatenim korisnicima omoguavaju
zaobilaenje vatrozidne zatite te pristup nekom od servisa kojeg vatrozid titi. Takoer, dodavanjem

Revizija v1.1 CCERT-PUBDOC-2005-02-109 Stranica 6 / 11



novih funkcionalnosti u moderne vatrozide (kao to je npr. VPN servis putem kojeg se udaljenim
korisnicima omoguuje pristup internoj mrei organizacije) sve su ei sigurnosni propusti vezani uz
greke u programskom kodu vatrozida (buffer overflow ranjivosti i sl.). Pregledavanjem javnih baza
ranjivosti mogue je nai velik broj sigurnosnih propusta za mnoge komercijalne i besplatne
vatrozidne sustave, koji potencijalnom napadau omoguuju preuzimanje potpune kontrole nad
vatrozidom, a samim time i neogranieni pristup internoj raunalnoj mrei koju vatrozid titi.
4. Propusti packet filter vatrozida
Kao to je ve napomenuto, vatrozidovi koji mreni promet proputaju ili blokiraju na temelju mrenih
paketa baziraju se na ACL listama u kojima je opisano koji se mreni promet proputa, a koji blokira.
Vatrozidovi imaju razliite ACL liste za ulazni (eng. incoming) i izlazni (eng. outgoing) mreni
promet. ACL pravila za ulazni mreni promet uglavnom su puno rigoroznija od onih za izlazni mreni
promet, budui da se izlazni promet generira iz privatne mree ili DMZ-a, pa se pretpostavlja da je taj
promet legitiman. Takve pretpostavke esto vode do sigurnosnih incidenata. Postoje neke specifine
situacije u kojima mreni administrator eli korisnicima lokalne mree omoguiti pristup samo
odreenim servisima izvan lokalne mree (npr. samo HTTP i HTTPS), no takve zabrane je vrlo
jednostavno zaobii. Sigurnost vatrozida moe se promatrati sa perspektive ulaznog i izlaznog
mrenog prometa.
Zaobilaenje ulaznih ACL pravila uglavnom je najzanimljivije udaljenim neovlatenim korisnicima s
obzirom da uspjeno zaobilaenje ulaznih ACL pravila vatrozida uglavnom vodi do daljnjeg
kompromitiranja privatne raunalne mree. U nastavku dokumenta su opisane neke tehnike otkrivanja
vatrozidova i zaobilaenja ulaznih i izlaznih ACL pravila.
4.1. Otkrivanje lokacije vatrozida
Prije nego to pokua iskoristiti sigurnosni propust u postavkama vatrozida ili u samom vatrozidu,
neovlateni korisnik mora otkriti njegovu tonu lokaciju. U nekim sluajevima jednostavnih mrenih
topologija s malim brojem raunala, ova zadaa je trivijalna, no u sluaju veih raunalnih mrea s
velikim brojem raunala i mrenih ureaja to moe biti iznimno sloen zadatak. Kvaliteta i
uinkovitost pojedinih vatrozidnih sustava ovisi o njihovim projektantima i programerima. Vatrozidni
sustavi mogu se otkriti pregledavanjem pojedinih IP adresa i analizom njihovog odstupanja od
standarda definiranih RFC dokumentima. Konkretno, trae se razlike u ponaanju mrenog stoga od
onog koje bi trebao imati klasini mreni stog operativnog sustava. Najvie takvih odstupanja moe se
pronai u funkcijama vatrozida koje slue za obradu transportnog sloja ISO/OSI referentnog modela.
Vatrozidni sustavi esto odgovaraju na mrene pakete koje operativni sustavi s kompletnim mrenim
stogom odbacuju. Takoer, vatrozidi esto mogu biti otkriveni zbog odgovaranja na TCP pakete koje bi
u pravilu trebali odbaciti. Npr. TCP paketi u zaglavlju imaju checksum polje koje osigurava integritet
paketa prenoenih preko mree. Ukoliko se dio TCP paketa iz nekog razloga izmijeni tijekom prolaza
kroz mrene vorove, TCP checksum vie ne odgovara sadraju paketa i kada pristigne na odredinu IP
adresu, paket bi se trebao odbaciti. Veliki broj vatrozidova odgovara na pakete s pogreno
postavljenim checksumom, to se moe iskoristiti za njihovo otkrivanje. Navedena tehnika opisana je
u Phrack 60 magazinu, s priloenom zakrpom za nmap koja omoguava primjenu te tehnike.
Vatrozidne sustave uglavnom je puno jednostavnije otkriti kombinacijom nmap i traceroute
programa. Traceroute program slui za praenje putanje mrenih paketa do njihovog odredita.
Ukoliko neki mreni vorovi ne odgovaraju na pakete koje alje traceroute, postoji vjerojatnost da
se prije njih nalazi vatrozid. U nastavku je prikazana putanja mrenih paketa do posluitelja
www.cert.hr:
ljuranic@xxx:~$ traceroute www.cert.hr
traceroute to shash.cert.hr (161.53.160.69), 30 hops max, 38 byte packets
1 161.53.120.254 (161.53.120.254) 0.241 ms 0.166 ms 0.141 ms
2 193.198.231.65 (193.198.231.65) 1.814 ms 2.032 ms 1.957 ms
3 193.198.231.1 (193.198.231.1) 2.116 ms 1.993 ms 1.999 ms
4 193.198.229.9 (193.198.229.9) 2.038 ms 2.011 ms 2.003 ms
5 * * *
6 * * *

Revizija v1.1 CCERT-PUBDOC-2005-02-109 Stranica 7 / 11



Kao to je vidljivo iz primjera, nakon etvrtog vora, nema odgovora na mrene pakete koje alje
traceroute. Iz tog razloga pretpostavljamo da se na IP adresi 193.198.229.9 provodi filtriranje
mrenog prometa. Pregledavanjem portova na raunalima iza potencijalnog vatrozida mogue je
ustvrditi da li se stvarno radi o vatrozidu.
Neke vatrozide takoer je mogue vrlo lako identificirati na temelju otvorenih mrenih portova koji su
dostupni s javnog Interneta. Npr. Checkpoint fw1 vatrozid mogue je vrlo lako prepoznati na temelju
otvorenih TCP/264 i TCP/265 mrenih portova, budui da su oni specifini za ovaj tip ureaja.
Jednostavnim pregledavanjem mrenih portova napada moe identificirati o kojem se tipu vatrozida
radi te na taj nain preciznije usmjeriti svoje maliciozne aktivnosti.
4.2. Pregledavanje portova iza vatrozida
Sigurnosna politika vatrozidnog sustava moe blokirati pristup resursima na internoj raunalnoj mrei
ili DMZ zoni, no u kombinaciji s nekim drugim postavkama neovlateni korisnik moe ipak ostvariti
pristup odreenim servisima. Vatrozidni sustavi proputaju odreenu vrstu prometa koja je bitna za
funkcioniranje odreenih mrenih operacija, a ponekad ta funkcionalnost moe rezultirati
kompromitiranjem ulaznih pravila vatrozida. Vatrozidovi esto proputaju TCP (eng. Transmission
Control Protocol) pakete s izvorinim portom 20 (FTP-DATA) koji se koristi za prijenos podataka te
pakete s izvorinim portom 53 (DNS) koji moe biti TCP ili UDP (eng. User Datagram Protocol), a slui
za tzv. DNS zone-transfer operacije. Ukoliko ACL pravila za te operacije nisu strogo definirana,
neovlateni korisnik ih moe iskoristiti u svrhu pristupa servisima iza vatrozida. U tom sluaju, za
pristup servisima iza vatrozida, neovlateni korisnik za izvorini port paketa koje alje treba postaviti
port 20 ili 53. Normalno konfigurirani vatrozid sustavi proputaju mreni promet s izvornog porta 20
na portove iznad 1024 (visoki portovi), to neovlatenom korisniku i dalje omoguava pristup velikom
broju potencijalno ranjivih mrenih servisa (npr. MySQL). Pomou popularnog nmap programa za
pregledavanje portova mogue je ustvrditi postavke nekog vatrozida i njegova ACL pravila to je prvi
korak u analizi sigurnosti vatrozidne zatite.
U nastavku je prikazano pregledavanje portova iza vatrozida iskoritavanjem navedene pogrene
konfiguracije vatrozida pomou nmap programa za pregledavanje portova:
[root@t-rex FW]# nmap sS -p 22 192.168.0.3
Starting nmap 3.55 ( http://www.insecure.org/nmap/ ) at 2005-02-24
13:55 EST
Interesting ports on 192.168.0.3:
PORT STATE SERVICE
22/tcp filtered ssh
MAC Address: 00:10:A4:02:61:49 (Xircom)

Nmap run completed -- 1 IP address (1 host up) scanned in 0.385 seconds
Kao to je vidljivo iz primjera, nakon pregledavanja TCP porta 22 (SSH), nmap je prijavio da je port
filtriran, to znai da nmap vjerojatno nije primio ICMP (eng. Internet Control Message Protocol)
poruku tipa 13 da je mreni port nedostupan (eng. port unreachable). Navedena poruka upuuje da je
pristup TCP portu 22 zatien vatrozidom. Pregledavanje porta 22 je ipak mogue, zbog propusta u
vatrozidu koji doputa sve TCP pakete s izvorinim portom 53 kao to je prikazano u nastavku.
[root@t-rex FW]# nmap -g 53 -sS -p 22 192.168.0.3

Starting nmap 3.55 ( http://www.insecure.org/nmap/ ) at 2005-03-24 13:55 EST
Interesting ports on 192.168.0.3:
PORT STATE SERVICE
22/tcp open ssh
MAC Address: 00:10:A4:02:61:49 (Xircom)

Nmap run completed -- 1 IP address (1 host up) scanned in 0.389 seconds
Koritenjem nmap opcije g, postavljen je port 53 kao izvorini port TCP paketa, to omoguava
zaobilaenje vatrozida i nmap prijavljuje da je port 22 otvoren. Pregledavanjem porta otkriveno je da
je port otvoren. Za spajanje na navedeni port potrebno je za izvorini TCP postaviti port 53. U
nastavku je prikazano zaobilaenje vatrozida i spajanje na navedeni port pomou programa NetCat.
Izvorini TCP port postavlja se opcijom -p.
[root@t-rex FW]# nc 192.168.0.3 22
(UNKNOWN) [192.168.0.3] 22 (ssh) : Connection refused

Revizija v1.1 CCERT-PUBDOC-2005-02-109 Stranica 8 / 11



[root@t-rex FW]# nc -p 53 192.168.0.3 22
SSH-1.99-OpenSSH_3.1p1

Protocol mismatch.
[root@t-rex FW]#
4.3. Zaobilaenje vatrozida u lokalnoj mrei
Ukoliko lokalna mrea openito ima nisku razinu sigurnosti, mogue je uz kombinaciju nekoliko
specifinih tehnika potpuno zaobii vatrozidnu zatitu. Uvjeti potrebni za potpuno zaobilaenje
vatrozida mogu se pronai u otprilike 70% raunalnih mrea. Potpuno zaobilaenje vatrozida mogue
je kombinacijom poznatih tehnika napada ARP (eng. Address Resolution Protocol) preusmjeravanja
(eng. redirect) i IP lairanja (eng. IP spoofing). ARP protokol koristi se u Ethernet mreama i slui
za razluivanje MAC (eng. Media Access Control) adrese nekog raunala na mrei na temelju njegove
IP adrese. Da bi raunalo u Ethernet mrei moglo poslati mreni paket nekom drugom raunalu,
ono mora znati MAC adresu mrenog suelja na tom drugom raunalu. Za otkrivanje MAC adrese nekog
drugog raunala na mrei, raunalo alje broadcast ARP WHO-HAS paket u kojem je navedena IP
adresa traenog raunala svim raunalima u tom mrenom segmentu. Raunalo koje ima traenu IP
adresu odgovara sa unicast ARP REPLY paketom i mrena komunikacija moe zapoeti. Informacije o
MAC adresama i pripadajuim IP adresama nalaze se u ARP cache tabeli na svakom mrenom raunalu
posebno. Problem kod ARP protokola je da taj da ne sadri nikakvu autentikaciju koja bi osigurala da
samo traena raunala odgovaraju na ARP WHO-HAS pakete. Raunalo koje dobije ARP REPLY paket
osvjeava svoju ARP cache tablicu s podacima iz dobivenog paketa, ak i ako ono nije ni slalo ARP
WHO-HAS paket. Neovlateni korisnik moe bilo kojem raunalu u mrei poslati ARP REPLY paket
kojim e se ARP cache tablica osvjeiti pogrenim podacima. Na taj nain neovlateni korisnik ubacuje
MAC adresu vlastitog mrenog suelja i IP adresu nekog legitimnog raunala (npr. posluitelja). Idui
puta kada rtvino raunalo pokua komunicirati sa posluiteljem, mreni paketi e biti poslani na
mreno suelje neovlatenog korisnika.
Tehnika lairanja IP adrese bazira se na slanju IP paketa s izmijenjenom izvorinom IP adresom u
samom zaglavlju paketa, tako da paket izgleda kao da je poslan s nekog drugog raunala. IP lairanje u
dananje doba, odnosno na preklapanim mreama, uglavnom nema smisla ukoliko neovlateni korisnik
nije u mogunosti praenja odgovora sa raunala na kojeg alje lairane pakete Meutim, koritenjem
ranije opisane tehnike ARP preusmjeravanja i kod preklapanih mreama to se moe postii.
Navedene tehnike su objanjene na primjeru lokalne mree u kojoj su spojena tri raunala. Prvo
raunalo je posluitelj s osjetljivim podacima na koje zbog konfiguracije vatrozida moe pristupiti
samo mreni administrator sa svojeg PC raunala. U ovom sluaju je izmeu posluitelja i
administratorskog PC raunala uspostavljena tzv. relacija povjerenja (eng. trust relationship).
Tree raunalo je prijenosno raunalo neovlatenog korisnika koje je s ili bez znanja mrenog
administratora spojeno u preklopnik.
Samo izvoenje napada relativno je jednostavno. Neovlateni korisnik tehnikom ARP preusmjeravanja
ubacuje lane podatke u posluiteljsku ARP cache tablicu, tako da za IP adresu PC raunala mrenog
administratora ubacuje svoju MAC adresu. Svi podaci koji e nadalje biti poslani s posluitelja prema
PC raunalu mrenog administratora zavrit e na mrenom suelju neovlatenog korisnika. Nakon
napada ARP preusmjeravanjem, neovlateni korisnik alje lairane IP pakete, a za izvorinu IP adresu
postavlja adresu administratorskog PC raunala. Takvi paketi zbog lairane izvorine IP adrese prolaze
kroz vatrozid na posluitelju i otvaraju neovlatenom korisniku pristup mrenim servisima tog
raunala. Zbog prethodno uspjeno izvedenog napada ARP preusmjeravanjem, svi odgovori s
posluitelja e, umjesto na legitimno PC raunalo mrenog administratora, biti poslani na mreno
suelje neovlatenog korisnika, koji je sada ostvario mrenu sjednicu sa posluiteljem iza vatrozida. U
prethodnom sluaju vatrozid se nalazi na samom posluitelju, no napad je na isti nain mogue izvesti
ukoliko se vatrozid nalazi na posebnom raunalu prije posluitelja. Kompletni prethodno opisani
napad i topologija navedene mree su prikazani na priloenoj slici (Slika 2).

Revizija v1.1 CCERT-PUBDOC-2005-02-109 Stranica 9 / 11




Slika 2: Zaobilaenje vatrozida ARP preusmjeravanjem i IP lairanjem
4.4. Izlazna ACL pravila temeljena na odredinom mrenom portu
Vano je napomenuti da su izlazna ACL pravila veine vatrozida puno labavije definirana od ulaznih,
pa ih je samim time i jednostavnije zaobii. Neka mrena okruenja i postavke vatrozida mrenim
korisnicima onemoguuju koritenje odreenih mrenih servisa izvan lokalne mree. Vatrozid moe
biti konfiguriran tako da proputa izlazni promet samo prema odreenim servisima. Npr. vatrozid moe
proputati izlazni mreni promet samo prema TCP portovima 80 (HTTP) i 443 (HTTPS), te tako
onemoguiti sve servise osim WWW-a. Ukoliko vatrozid analizira mreni promet samo na temelju
odredinog TCP porta (80 ili 443), takve restrikcije je vrlo lako zaobii. Svaki mreni servis (npr. FTP,
SSH, SMTP) ima svoj standardni mreni port koji odreuje IANA udruga, no odreeni mreni servis ne
mora nuno biti na portu koji je odreen standardom. Tako se npr. SSH (eng. Secure Shell) servis koji
se standardno nalazi na TCP portu 22 moe pokrenuti i na portu 80. Korisnik s lokalne mree s prije
navedenim mogunostima pristupa samo WWW servisu moe pokrenuti SSH servis na portu 80 na
nekom raunalu izvan lokalne mree. Obzirom da vatrozid kontrolira samo mreni port, a ne sadraj
paketa, korisnik se sada moe SSH klijentom spojiti na SSH posluitelj izvan lokalne mree. Ovaj nain
zaobilaenja vatrozida u lokalnoj mrei radi za obine packet-fiter vatrozidove koji ne kontroliraju
sadraj paketa upuenih na odreene mrene portove. Moderniji stateful filter vatrozidovi koji
analiziraju i sam sadraj mrenog paketa mogu onemoguiti ovaj nain zaobilaenja vatrozida.
4.5. Zaobilaenje vatrozida nakon ostvarenog pristupa unutar mree
Nakon kompromitiranja raunala zatienog vatrozidom, preko mrenog servisa iji promet vatrozid
doputa ili pomou nekog malicioznog programa, neovlateni korisnici uglavnom ostavljaju stranje
ulaze (eng. backdoor) koji im omoguavaju daljnji pristup kompromitiranom raunalu. Za takve
aktivnosti, neovlateni korisnici esto iskoritavaju propuste u ACL pravilima vatrozida. Odreeni
protokoli koje vatrozid sustavi proputaju mogu biti iskoriteni za prenoenje malicioznih naredbi
kompromitiranom sustavu. Dobar primjer je ICMP protokol koji u normalnim okolnostima slui za
prenoenje mrenih kontrolnih poruka. Neovlatenom korisniku ICMP protokol moe posluiti za
prenoenje odreenih naredbi koje e proi vatrozid i doi do kompromitiranog raunala na kojem je
pokrenut maliciozni program. Prenoenje potencijalno malicioznih podataka pomou ICMP protokola
detaljnije je objanjeno u dokumentu Stranji ulazi na Linux operacijskim sustavima koji se moe
pronai na adresi http://www.cert.hr/filehandler.php?did=97. UDP protokol takoer se vrlo esto

Revizija v1.1 CCERT-PUBDOC-2005-02-109 Stranica 10 / 11



koristi za postavljanje stranjih ulaza koji prolaze kroz vatrozid. Vano je napomenuti da je nakon
kompromitiranja raunala iza vatrozida neovlateni korisnik u mogunosti zaobii ACL pravila
vatrozida na mnogo naina. Legitimni servisi koje vatrozid omoguava takoer mogu biti iskoriteni
za prenoenje malicioznih naredbi kompromitiranom raunalu. To npr. moe biti specijalno kreirana
skripta na HTTP posluitelju koja dobivene argumente prosljeuje u korisniku ljusku, .forward
datoteka koja po primitku odreene poruke u e-mailu izvrava niz naredbi i sl.
5. Sigurnost proxy posluitelja
Kao to je ve ranije spomenuto, proxy posluitelji omoguavaju pristup raznim servisima unutar ili
izvan mree na kojoj su postavljeni. Proxy posluitelji rade na aplikacijskom nivou ISO/OSI
referentnog modela. Razni sigurnosni propusti i pogrene postavke u samim proxy posluiteljima est
su uzrok sigurnosnih incidenata, pa tako proxy vatrozid moe biti uzrok kompromitiranja odreenog
raunala ili cijele raunalne mree. Pogrena konfiguracija ACL pravila proxy posluitelja udaljenom
neovlatenom korisniku moe omoguiti pristup internoj mrei za koju je posluitelj postavljen, a
slaba ACL pravila korisnicima unutar mree mogu omoguiti pristup servisima za koje proxy posluitelj
nije predvien. Neovlateni pristup internoj mrei preko proxy posluitelja uglavnom je rezultat
pogreno definiranih ili uope nedefiniranih IP adresa kojima je dozvoljeno koritenje proxy
posluitelja. Neovlateni korisnici takve proxy posluitelje esto koriste za kompromitiranje drugih
raunalnih sustava izvan organizacije na kojoj je on postavljen.
Zbog mogunosti HTTP protokola da tunelira i druge protokole, korisnici interne mree koji putem
proxy posluitelja pristupaju servisima izvan lokalne mree mogu pristupati i drugim servisima kao to
su FTP, POP3 i SMTP. U nastavku je prikazano tuneliranje FTP protokola preko HTTP proxy posluitelja.
Proxy posluitelj se nalazi na IP adresi 192.168.0.2 na portu 8080, dok se raunalo s FTP posluiteljem
nalazi na IP adresi 192.168.0.3 na standardnom portu 21.
[root@t-rex FW]# nc 192.168.0.2 8080
CONNECT 192.168.0.3:21 HTTP/1.0

HTTP/1.0 200 Connection established
Proxy-agent: tinyproxy/1.4.3

220 ProFTPD 1.2.10 Server (ProFTPD) [192.168.0.3]
USER ljuranic
331 Password required for ljuranic.
PASS xxxxxxxx
230 User ljuranic logged in.
HELP
214-The following commands are recognized (* =>'s unimplemented):
CWD XCWD CDUP XCUP SMNT* QUIT PORT PASV
EPRT EPSV ALLO* RNFR RNTO DELE MDTM RMD
XRMD MKD XMKD PWD XPWD SIZE SYST HELP
NOOP FEAT OPTS AUTH CCC* CONF* ENC* MIC*
PBSZ PROT TYPE STRU MODE RETR STOR STOU
APPE REST ABOR USER PASS ACCT* REIN* LIST
Ovim nainom tuneliranja drugih protokola unutar HTTP protokola mreni korisnici esto pristupaju
servisima koji im u pravilu nisu dozvoljeni od strane mrenog administratora.
Za proxy posluitelje karakteristino je da promet koji njima prolazi pohranjuju u privremenu
memoriju (eng. cache). Kada korisnik zatrai odreenu Web stranicu, proxy posluitelj je dohvaa i
prosljeuje korisniku te je istovremeno pohranjuje u privremenu memoriju na odreeno vrijeme. Svim
sljedeim korisnicima koji zatrae istu stranicu u definiranom vremenskom periodu biti e prikazan
sadraj stranice pohranjen u cache memoriji, a ne onaj originalni na Web posluitelju. Na taj nain
proxy posluitelji znatno tede mrene resurse.
Ukoliko se na zatraenoj Web stranici nalazi ranjiva skripta koja u odgovor ubacuje korisniki unos,
postoji mogunost da neovlateni korisnik ubaci lane podatke u privremenu memoriju proxy
posluitelja to e utjecati na zahtjeve ostalih korisnika prema toj Web stranici. Radi se o tzv. napadu
dijeljenja odgovora (eng. response splitting) u kojem neovlateni korisnik ubacuje odreene
vrijednosti u samo zaglavlje HTTP odgovora kojim odgovara Web servis na kojem se nalazi zatraena
stranica. Iako ova vrsta napada nije problem proxy posluitelja ve ranjivih Web skripti, dijeljenje
odgovora moe biti iskoriteno kao dio napada na korisnike odreenog proxy posluitelja. Vie o

Revizija v1.1 CCERT-PUBDOC-2005-02-109 Stranica 11 / 11



samom napadu moe se saznati na adresi
http://www.packetstormsecurity.org/papers/general/whitepaper_httpresponse.pdf.
6. Zakljuak
Ispravno implementirani i podeeni vatrozidni sustavi mogu znatno pridonijeti podizanju razine
sigurnosti mree na kojoj su postavljeni. No, isto tako neispravno ili povrno podeeni sustavi
korisniku pruaju lani privid sigurnosti, to u nekim sluajevima moe predstavljati i vei problem od
same nesigurnosti.
S ciljem podizanja razine sigurnosti, korisnicima se preporuuje da sigurnosnu politiku vatrozida
definiraju strogo i paljivo, bez nepotrebnih pretpostavki i dozvoljavanja nepotrebnih mogunosti
pristupa koje bi potencijalno mogle ugroziti sigurnost sustava. Takoer se preporuuje redovito
odravanje i praenje sigurnosnih upozorenja vezanih uz vatrozid koji se koristi, budui da vrlo esto i
sam vatrozid moe biti meta neovlatenih korisnika. Za vatrozidne sustave koji se instaliraju na
odreeni operacijski sustav, iznimno je vano voditi rauna o sigurnosnim postavkama sustava na
kojem je vatrozid instaliran. Sigurnosni propusti platforme na kojoj je vatrozid postavljen mogu u
potpunosti ugroziti sigurnost cijelog sustava bez obzira na kvalitetu i pouzdanost vatrozida.
Prilikom implementacije vatrozidne zatite takoer treba voditi rauna i o njegovoj vidljivosti s
javnog Interneta. Uloga vatrozida je iskljuivo da titi internu raunalnu mreu od malicioznih
aktivnosti s javnog Interneta i nema potrebe da bude vidljiv korisnicima. Informacije o tipu i inaici
vatrozida, servisima, adresama pojedinih suelja i njegovoj lokaciji potrebno je maksimalno zatiti,
budui da vjetom napadau olakavaju provoenje malicioznih aktivnosti.
7. Reference
[1] Richard Stevens, TCP/IP Illustrated, Volume 1
[2] Stuart McClure, Joel Scambray i George Kurtz, Hacking Exposed
[3] Ed3f, Firewall spotting with broken CRC, http://www.phrack.org/show.php?p=60&a=12.
F4] Nmap, http://www.insecure.org/nmap/