Изъяны WinGate


Известно, что популярный программный брандмауэр WinGate систем Windows 95/NT (http://wingate.deerfield.com/) обладает несколькими уязвимыми местами. Большинство из них связано со значениями параметров, установленными по умолчанию, разрешающими неавторизованное использование служб telnet, SOCKS и Web. Хотя доступ к этим службам можно ограничить на уровне отдельных пользователей (и интерфейсов), в большинстве случаев установка и использование этого программного пакета выполняется без учета каких бы то ни было требований к защите. Список серверов WinGate можно найти на узле группы энтузиастов CyberArmy по адресу http://www.cyberarmy.com/wingate/.

Неавторизованный просмотр


Как и многие другие неправильно сконфигурированные программные посредники, определенные версии брандмауэра WinGate (в частности, 2.1 для NT) позволяют внешним пользователям абсолютно анонимно просматривать Internet. Такая возможность оказывается чрезвычайно важной для взломщиков, нацеленных на "захват" приложений Web-сервера, поскольку ею содержимое можно получить без риска быть пойманным. Защититься от Web-атак очень сложно, поскольку весь трафик туннелируется и направляется на порт 80. Более подробно хакинг Web рассматривается в главе 15.
Для того чтобы проверить, уязвим ли ваш сервер WinGate, выполните следующие действия.
1. Подключитесь к Internet с использованием нефильтруемого соединения (лучше всего удаленного).
2. Измените параметры броузера так, чтобы они указывали на proxy-сервер.
3. Задайте адрес проверяемого сервера и номер требуемого порта.
Еще одним изъяном конфигурации, используемой по умолчанию, является возможность неавторизованного доступа к службе SOCKS (TCP 1080). Как и в случае открытого TCP-порта 80, используемого службами Web, взломщик может просматривать ресурсы Internet, оставаясь практически полностью незамеченным (особенно, если отключен режим регистрации системных событий).

Контрмеры: защита от неавторизованного просмотра


Предотвращение


Для того чтобы нейтрализовать описанный изъян сервера WinGate, нужно просто ограничить привязку определенных служб. Для ограничения использования служб proxy-сервера на многоадаптерном (multihomed) узле выполните следующие действия.
1. Откройте диалоговое окно свойств службы SOCKS или WWW Proxy Server.
2. Перейдите во вкладку Bindings.
3. Выберите режим Connections Will Be Accepted On The Following Interface Only и задайте внутренний интерфейс сервера WinGate.
Лучший подарок хакеру: . неконтролируемый доступ к службе telnet
Неавторизованный доступ к службе telnet гораздо опаснее возможности просмотра ресурсов Web. Средства telnet чрезвычайно важны для взломщика. Подключившись к службе telnet неправильно сконфигурированного WinGate, злоумышленники могут использовать его для сокрытия следов своей деятельности. Для поиска уязвимых серверов выполните следующие действия.
1. С помошью утилиты telnet попробуйте подсоединиться к серверу.

[root]* telnet 172.29.11.191
Trying 172.29.11.191... Connected to 172.29.11.191.
Escape character is 1/s]'. Wingate> 10.50.21.5

2. После появления на экране приведенного выше текста введите адрес узла для подключения.
3. Если на экране появилось новое приглашение для регистрации, значит, вы имеете дело с уязвимым сервером.

Connecting to host 10.50.21.5...Connected
SunOS 5.6
login:

Контрмеры: защита от неавторизованного доступа к службе telnet


Предотвращение


В данном случае можно воспользоваться теми же рекомендациями, что приведены в разделе " Контрмеры: Защита От Неавторизованного Просмотра". Для устранения проблемы просто ограничьте привязку определенных служб сервера WinGate. На многоадаптерном узле выполните для этого следующие действия.
1. Откррйте диалоговое окно свойств сервера Telnet.
2. Перейдите во вкладку Bindings.
3. Выберите режим Connections Will Be Accepted On The Following Interface Only и задайте внутренний интерфейс сервера WinGate.

Просмотр файлов


Согласно одной из статей бюллетеня Digital Security Advisory сервер WinGate 3.0 через порт управления 8010 позволяет любому пользователю просматривать файлы системы. Для того чтобы проверить, уязвима ли ваша система, выполните следующие инструкции.

http://192.168.51.101:8010/c:/
http://192.168.51.101:8010//
http://192.168.51.101:8010/..../

Если система уязвима, то вы сможете просмотреть каждый файл каталога, а также перемещаться по иерархии каталогов по своему усмотрению. Такая возможность чрезвычайно опасна, поскольку некоторые приложения хранят имена пользователей и пороли в виде незашифрованного текста. Например, если для удаленного управления серверами на вашем компьютере установлены программы Remotely Possible или ControlIT компании Computer Associates, то имена пользователей и пароли, используемые при аутентификации, хранятся либо в незашифрованном виде, либо в форме, которую не составляет труда расшифровать (см. главу 13).

Контрмеры: предотвращение просмотра файлов


Для текущей версии сервера WinGate в настоящее время нет модуля обновления, позволяющего устранить проблему просмотра файлов. Для получения более подробной информации о доступных модулях обновления обратитесь на соответствующий узле поддержки по адресу http: /wingate.deerfield.com/helpdesk/.