Вернуться обратно к основам – это, как всегда, неплохая идея. Фундаментальными единицами знаний, относящихся к компьютерным коммуникациям являются четыре основных протокола: IP, TCP, UDP, и ICMP. В курсе этой статьи будут рассмотрены настройки TCP и IP, и какие меры безопасности применимы к ним.
Настройки TCP и IP
Ранее, я уже много говорил о протоколе TCP/IP и дюжине его разновидностей. Когда люди ссылаются на протокол TCP/IP, они ссылаются на все уровни модели OSI Reference model. Вспомнив это, нам всегда придет в голову дюжина различным протоколов. Основное множество этих протоколов основываются на прикладном уровне. Многие из этих прикладных протоколов имеют связанные с ними уязвимости.
А как насчет четырех базовых протоколов? Что они собой представляют, что они делают и почему их называют основными протоколами? Как описано в заголовке статьи, четырьмя основными протоколами являются — IP для маршрутизации, TCP и UDP в качестве транспорта, и наконец ICMP для обработки сообщений об ошибках. Эти протоколами являются основными, т.к. каждая операционная система должна поддерживать их, чтобы иметь возможность общаться, т.е. посылать пакеты. Это может быть Mac или BSD или операционная система другого типа, но все они поддерживать эти основные протоколы, хотя иногда они и реализованы по-разному. Думаю, что Novell хороший этому пример.
Плохо ли это для основного протокола?
Итак, мы знаем, что операционная система должна поддерживать эти основные протоколы для связи. На сайте, посвященном компьютерной безопасности Windows, можно узнать все уязвимости, связанные с основными протоколами и более подробно с их настройками. Даже если у вас есть хорошая книга по TCP/IP, я предлагаю вам скачать TCP/IP и tcpdump. Вы найдете его внизу страницы. После того, как вы загрузите эту страницу, вы сможете узнать основы каждого протокола, а также при необходимости их параметры.
Т.к. все основные протоколы играют очень важную роль в современных компьютерных коммуникациях, становиться понятным, что нам будут интересны некоторые их менее известные аспекты. Я основываюсь также на том, что вы уже загрузили страницу по предложенной мною ссылке. Теперь вы можете увидеть, что на странице для IP представлены шесть различных настроек. Теперь мы рассмотрим их более подробно, чтобы оценить их в плане безопасности.
IP и его настройки
Конец списка параметров
Мы можем видеть, что этот параметр IP имеет значение 0 и его длина составляет 1 байт. Для этого параметра IP нет известных проблем с безопасностью, и он используется только в конце настроек IP, используемых в заголовке.
Нет операций (No operation)
Этот параметр IP имеет значение 1. Не перепутайте этот параметр IP с инструкцией языка ассемблер (Assembler language) NOP. Инструкция языка ассемблер NOP используется разработчиками для создания окна в стеке, в которое можно замет внедрить вредоносный код. Инструкция NOP, используемая в заголовке IP используется для выполнения других функций, для того чтобы заполнить до границы в 32 бита.
Маршрут записи (Record Route)
Этот параметр IP имеет значение 7 и переменную длину. Этот параметр используется для связи с другими двумя параметрами IP — “Loose Source route” (свободный путь к источнику) и “Strict source route” (ограниченный путь к источнику). Предпочтительные значения этих параметров соответственно 131 и 137. Пакеты маршрута записи и более специфичные пакеты Loose Source Record Route имеют непосредственное отношение к компьютерной безопасности.
Хотя это и может звучать угрожающе, это еще не конец света. Хотя это и не очень здорово, т.к. он может использоваться для атак. Подобное исследование в то же время показало, что наиболее часто используемые производители брандмауэром, такие как Symantec’s Norton Firewall, разрешают входящие пакеты LSRR. Достаточно сказать, что нет законных причин для того, чтобы осматривать LSRR пакеты в современной сети. Нет также реальных причин, по которым кто-либо захочет определить серию скачков в пути пакета.
Временная отметка (Timestamp)
Предпочтительное значение этого параметра 68 и он используется для того, чтобы маршрутизаторы могли добавлять временные отметки в пакет. Этот параметр имеет маленькое практическое применение, и оно редко используется. Также я никогда не слышал ни о каких проблемах с безопасностью, связанных с этим параметром.
TCP и его настройки
Конец списка параметров (End of options list)
Этот параметр аналогичен одноименному параметру в протоколе IP, с таким же назначением и значениями параметров.
Нет операций (No operation)
Предпочтительное значение этого параметра равно 1, и его длина один байт. Очень похож на параметр NOP заголовка протокола IP, также используется для того, чтобы заполнить параметр до длины в 32 битного слова. Существует несколько параметров, используемые TCP, которые не полностью занимают 32 бита слова, поэтому используют параметр NOP в свободных битах.
Масштаб окна (Window Scale)
Предпочтительное значение этого параметра равно 3 и длина его три байта. Он используется для того, что увеличить размер окна с 16-ти битного значения до 32-х битного. Пока нет известных случаев использования этого параметра для подрыва безопасности компьютера. Это очень точный параметр, и некоторым он известен также как “скользящее окно”.
Selective ACK ok
Предпочтительное значение этого параметра 4, а его длина 2 байта. Нет известных проблем с безопасностью, связанных с этим параметром.
Временная отметка (Timestamp)
Этот параметр TCP имеет предпочтительное значение равное 8 и переменную длину. Существует два способа применения этого параметра при использовании в TCP. Первый – это расчет RTT или времени следования в секундах, а второй – защита от PAWS, или замкнутых циклов и атак. Этот параметр можно увидеть в пакете.
Резюме
Мы рассмотрели все доступные на сегодняшний день параметры для TCP и IP. Вы может спросить про себя, хорошо, а как насчет UDP и ICMP? На сегодняшний день нет ни одного параметра для этих двух протоколов. Если вы захотите поиграть с некоторыми из этих параметров, я настоятельно рекомендую вам загрузить packet crafter (разборщик пакетов). Хорошая программа по разбору пакетов позволить вам манипулировать практически любым полем в TCP или IP. Я искренне надеюсь, что эта статья была полезна для вас. До новых встреч!
Источник www.windowsecurity.com
Tags: bsd, mac, redirect, tcpdump