Коллектив авторов - Защита от хакеров корпоративных сетей

По крайней мере, ни Алиса, ни Боб никогда не пришлют такой ответ.

Поборник сетевого равноправия: пакеты SYMIACK в игре.Алиса и Боб могут оба инициализировать соединение с помощью пакетов SYN. Они даже могут преобразовать предназначенный для сброса состояния пакет RST в невинное ICMP-сообщение о превышении предписанного времени жизни пакета путем посылки обреченного SYN-пакета. Но, несмотря на сказанное, в таблице состояний останется запись, ожидающая подтверждения попытки подключения. Это своего рода проблема, поскольку нет готового механизма, при помощи которого Алиса и Боб смогли бы непосредственно послать пакет SYNIACK. Подобный механизм относится к внутренним элементам принятия входящего соединения, а межсетевой экран разрешает только исходящие соединения.

В соответствии с ранее описанным алгоритмом работы возможность ответа была заблокирована.

Но только то, что Алиса не может послать пакет, еще не означает, что Боб не сможет принять его. Это лишь означает, что кто-то должен отправить пакет для Алисы. Этот кто-то, известный как брокер подключения, мог бы получить от Алисы пакет SYNIACK, который она ожидала получить от Боба, если только его межсетевой экран позволил бы ему отправить сообщение. (Подобное сообщение брокер мог бы получить от Боба, и оно содержало бы все сведения, которые он хотел бы получить от Алисы.) Посредник мог не знать о первоначальном пакете SYN, затерявшемся где-то в сети посередине между Бобом и Алисой. Но если бы оба клиента смогли предоставить достаточно информации о посланных ими пакетах SYN и сути ожидаемого от брокера ответа, то брокер соединения смог бы фальсифицировать посланные Алисе от Боба и Бобу от Алисы пакеты SYNIACK.

Автор назвал эти пакеты SYMIACK (Acknowledgements both Symmetric and Simulated) ввиду того, что они являются подтверждением симметричности и имитации. Брокер имитирует передачу двух почти идентичных пакетов, но направленных в разные стороны сети. Эти специальным образом сформированные пакеты совместно используют не только одни и те же сходные структуры. Они позволяют обоим межсетевым экранам обслуживать симметричные состояния посредством цельного процесса подтверждения установления (квитирования) связи. Оба клиента посылают пакеты SYN, оба межсетевых экрана ожидают пакеты SYNIACK, оба клиента отправляют эти пакеты SYNIACK и одновременно предоставляют возможность послать пакеты-подтверждения ACK друг другу. (Конечно, поскольку ни один из межсетевых экранов не ожидает получения пакета подтверждения ACK, то есть необходимости в его уничтожении.) После того как две стороны будут удовлетворены процессом квитирования связи, будет установлена прекрасная двухсторонняя симметричная связь между двумя хостами, которые ранее не смогли переговорить друг с другом. Начиная с этого места брокеру нет необходимости что-либо делать. И действительно, как только две стороны (Алиса и Боб) обменяются несколькими первыми пакетами, брокер не сможет вторгнуться в сеанс, если даже он попробует это сделать (хотя, вероятно, он сможет послать фальсифицированное сообщение о недостижимости хоста по протоколу ICMP (ICMP Host Unreachable message) обеим сторонам, разрывая их связь).

Идеальная схема? Нет. Двум хостам для установления связи и передачи данных между собой третий хост не нужен. Это чересчур плохая попытка хакинга, обусловленная несовершенством конструкции межсетевого экрана. Кроме того, известны различные проблемы, сопутствующие только что описанному способу.

Механика чисел: полуслепая (semiblind) фальсификация пакетов SYNIACK.Хотя брокер подключения действительно информирован относительно времени и главным образом места предполагаемой фальсификации, есть нетривиальные проблемы, сопутствующие кровавым деталям того, что на самом деле было отправлено. Не рассматривая синхронизацию и размещение пакета, можно сказать, что фактический пакет инициализации соединения SYN содержит два блока случайных данных, которые должны быть полностью согласованы с межсетевым экраном. Иначе нельзя будет получить ответ. К этим данным относятся номер порта отправителя и начальный порядковый номер.

Сначала несколько слов о номере порта отправителя. Это число из диапазона от 0 до 65 535, которое используется клиентом для выделения нужного соединения среди любого числа возможных соединений с одним и тем же сервисом на одном и том же хосте. Стандартные межсетевые экраны просто передают этот номер порта дальше. Это означает, что Алиса может заранее выбрать номер порта. Она знает, что когда он испарится при передаче, то это будет означать, что номер порта был передан через межсетевой экран. Реализация трансляции сетевых адресов в межсетевых экранах может быть довольно изощренной. При трансляции межсетевой экран может поставить в соответствие одному IP-адресу целые сети, используя локальный номер порта для того, чтобы различать одно соединение от других. Поскольку теоретически эти соединения выбирают номер порта случайным образом, то обычно не имеет значения, если извне виден другой порт до тех пор, пока во время трансляции сетевых адресов внешние величины не будут преобразованы во внутреннее представление.

Применительно к разбираемому случаю это означает, что Алисе необязательно знать номер порта, по которому, как предполагается, будет отослан пакет SYNIACK. В обычном режиме номером порта отправителя будет считаться тот порт, который она установила как свой порт получателя, а портом получателя – тот порт, который она установила как свой порт отправителя. Выбранные номера портов теперь должны быть отосланы по некоторому другому порту отправителя, о котором знает только межсетевой экран и маршрутизатор Интернета. Что Алиса в этом случае может сделать?

К счастью, многие реализации трансляции сетевых адресов будут пытаться поставить в соответствие локальному порту числа. Может быть, Алисе не придется вообще что-либо делать до тех пор, пока она не столкнется с уже используемым портом. Те, кто изменяют номер порта, почти всегда увеличивают его при каждом подключении. Это позволит Алисе использовать тривиальный способ для косвенного сообщения брокеру ее соединения номера порта, который будет использовать ее межсетевой экран. Прямо перед посылкой своего обреченного пакета SYN Алиса устанавливает соединение с брокером. Тем самым она информирует брокера о двух вещах. Во-первых, Алиса неявно предоставляет глобальный маршрутизируемый адрес своего межсетевого экрана, снимая с себя обязанность найти его самостоятельно. Во-вторых, Алиса предоставляет брокеру уменьшенный на единицу номер порта отправителя, записанный в пакете SYN, который ее межсетевой экран оттранслирует от ее имени. Ввиду предположения назначения последовательных значений номеров порта при последовательных соединениях и отсутствия попыток открытия новых соединений еще кем-либо за короткий промежуток времени между установлением связи брокером и посылкой пакета SYN брокер сможет сравнительно легко определить номер порта.

Читать дальше