У цій статті автор описує, як анонимайзер або анонімізуючих проксі дозволяє обійти політики брандмауера і поставити під загрозу три головних властивості інформаційної безпеки мережі підприємства: конфіденційність, доступність і цілісність. Але з іншого боку, анонимайзер може приносити і користь: він допомагає приховувати ваш IP-адресу під час перегляду сайтів.

GIAC (GSEC) Gold Certification

Автор: Пітер Чоу (Peter Chow), [email protected]

Консультант: Хамед Кіабані (Hamed Khiabani)

І великі і маленькі компанії витрачають величезні кошти на те, щоб бути впевненими: їх мережеві ресурси і Інтернет-з'єднання використовуються за призначенням. Компанії наймають кращих професіоналів в області інформаційних технологій, але навіть самий технічно неосвічений користувач зможе знайти хитрий спосіб обійти політики брандмауера і отримати доступ до заблокованих веб-сайтів. У цій статті автор описує, як анонимайзер або анонімізуючих проксі дозволяє обійти політики брандмауера і поставити під загрозу три головних властивості інформаційної безпеки мережі підприємства: конфіденційність, доступність і цілісність. Але з іншого боку, анонимайзер може приносити і користь: він допомагає приховувати ваш IP-адресу під час перегляду сайтів.

1.1. дилема

І великі і маленькі компанії витрачають величезні кошти на те, щоб бути впевненими: їх мережеві ресурси і Інтернет-з'єднання використовуються за призначенням. Компанії наймають кращих професіоналів в області інформаційних технологій, але навіть самий технічно неосвічений користувач зможе знайти хитрий спосіб обійти політики брандмауера і отримати доступ до заблокованих веб-сайтів. У цій статті описує, як анонимайзер або анонімізуючих проксі дозволяє обійти політики брандмауера і поставити під загрозу три головних властивості інформаційної безпеки мережі підприємства: конфіденційність, доступність і цілісність. Але з іншого боку, анонимайзер може приносити і користь: він допомагає приховувати ваш IP-адресу під час перегляду сайтів.

1.2. Ввідна інформація

Анонімайзери (або анонімізуючих проксі) - це програмні продукти і сервіси, які можуть приносити як користь, так і шкоду. Анонімайзери надають можливість анонімно подорожувати по мережі шляхом підміни справжнього IP-адреси користувача. Анонімайзери також можуть обходити фільтри безпеки, встановлені політиками брандмауера (ACL-листи) і отримувати доступ до заборонених веб-сайтів або передавати інформацію без відома організації, порушуючи тим самим три основних властивості інформаційної безпеки.

Все, що потрібно зробити користувачеві, так це встановити проксі додаток і налаштувати в веб-браузері адресу проксі. Потім, при спробі доступу до веб-сайту, комп'ютер з'єднується з проксі-сервером, обходить політики брандмауера і заходить на заблокований сайт.

Перший анонимайзер - Anonymizer.com - розробив в 1997 році Ленс Котрелл в процесі роботи над своєю дисертацією з астрофізики в каліфорнійському університеті в Сан-Дієго. Коттрелл ратував за анонімність в мережі, і саме він заснував проект Kosovo Privacy Project, що дозволяє користувачам анонімно і безкарно повідомляти про події Косівської війни 1999 року (Cottrell, 2011).

З ростом популярності Інтернету, все більше і більше людей ставляться до мережі, як до головного джерела інформації. Також зростає роль і комунікаційних сервісів: електронної пошти, чатів, миттєвих повідомлень (IM), соціальних мереж (Facebook, Twitter). Електронна комерція та онлайн-банкінг - це ще дві області, які змінили підхід користувачів до ведення бізнесу та управління своїми персональними даними. Безліч веб-сайтів сьогодні збирають інформацію про те, які саме ресурси відвідує користувач при подорожі по глобальній павутині. Записується практично все: починаючи від IP-адреси користувача, закінчуючи тим, скільки часу він провів на конкретному сайті. Кожен клік миші на сайті приносить цінну (і в грошовому плані теж) інформацію, за яку готові заплатити зацікавлені компанії. Багато людей вже знають, що інформація про них збирається, зберігається в cookies, а потім вирушає в комерційні та рекламні компанії типу DoubleClick або Adbot. Обережні користувачі включають анонімізуючих програмне забезпечення і сервіси, щоб зберігати конфіденційність і замаскувати своє реальне місце розташування і IP-адреса. Ще одна причина, по якій варто маскувати IP-адреса, полягає в тому, що маскування додає ще один рівень захисту від хакерів під час подорожі по мережі. Проте, у Анонімайзера є і побічні ефекти, і цими ефектами з полюванням скористалися винахідливі користувачі: анонимайзер дозволяє обійти корпоративний міжмережевий екран і отримати доступ до заблокованих сайтів. На рисунку 1 показано, як міжмережевий екран блокує сайт.

Малюнок 1. Попередження

На рисунку 2 зображено, як анонимайзер обходить правила брандмауера.

Малюнок 2. Обхід ACL-правил

2. Принципи роботи

2.1. Приклад роботи Анонімайзера

Робоча станція в мережі, як правило, підключається до комутатора, а комутатор - до маршрутизатора. На маршрутизаторі для запобігання неавторизованих підключень може бути налаштований міжмережевий екран або проксі-сервер. На рисунку 3 зображена ситуація, коли користувач зі своєї робочої станції намагається відкрити сайт www.youtube.com. В ACL-правилах прописано дозволяти доступ на www.youtube.com , Отже, користувач зможе зайти на бажаний сайт.

Малюнок 3. Дозволені веб-сайти

На рисунку 4 відображена зворотна ситуація: доступ до www.youtube.com заборонений. Брандмауер заблокує з'єднання, а в веб-браузері користувача з'явиться відповідне повідомлення.

Малюнок 4. Заборонені веб-сайти

На рисунку 5 показана ситуація, коли користувач для доступу до www.youtube.com скористався Інтернет-анонімайзером (проксі-сервером). Комп'ютер з анонімайзером встановлюють захищене з'єднання, що дозволяє користувачеві обійти ACL-правила і вільно подорожувати по мережі непомітно для брандмауера. В результаті міжмережевий екран навіть не підозрює, що користувач заходить на заблоковані веб-сайти.

Малюнок 5. Доступ до забороненого сайту через анонімайзер

2.2. Як здійснити задумане

Існує безліч програм і сервісів-анонімайзерів. Деякі з них поширюються безкоштовно (наприклад, proxify.com), за інші доведеться заплатити. JonDonym, наприклад, має місячну абонентську плату, розмір якої залежить від обсягу трафіку. Як приклад для цієї статті була обрана безкоштовна версія анонімізуючих проксі-сервера JonDonym - (JAP) AN.ON.

(JAP) AN.ON - це дослідницький, безкоштовно розповсюджуваний проект. Додаток написано на Java, завдяки чому (JAP) AN.ON можна встановлювати на різні операційні системи, в тому числі і на Windows, Macintosh, OS / 2, Linux / UNIX та ін.

JAP дозволяє анонімно і непомітно подорожувати по мережі. Проксі-сервера JAP розташовані по всьому світу (JAP, 2012). Завантажити JAP можна з сайту http://anon.inf.tu-dresden.de/index_en.html (Див. Додаток А). Після скачування зверніться за процесу установки (див. Додаток B).

2.3. Заблоковані веб-сайти

Компанії налаштовують свої міжмережеві екрани, виходячи з безлічі чинників. Один з факторів - запобігання атак на мережеві ресурси компанії. Інший фактор - обмеження доступу внутрішнім користувачам до неприйнятним або шкідливим веб-сайтів.

У наступному прикладі корпоративний міжмережевий екран забороняє доступ до сайту http://www.anonymizer.com . Коли користувач намагається відкрити вказаний сайт, у вікні його браузера з'являється попередження "Security risk blocked for your protection", і доступ до сайту буде заборонений, см. Малюнок 6.

Малюнок 6. Попередження брандмауера про заблокованому сайті

Визначте налаштування свого IP-адреси. Відкрийте Windows Internet Explorer і введіть www.whatismyip.com в адресний рядок. На сайті відобразиться ваш IP-адреса: 45.112.164.5 (адреса в цілях безпеки був змінений), см. Малюнок 7 (Whatismyip.com, 2012).

Малюнок 7. Визначення IP-адреси

2.4. запуск JAP

Для маскування своєї IP-адреси запустіть і налаштуйте додаток JAP.

Крок 1: Відкрийте сторінку з іконці програми JAP, щоб запустити програму, см. Малюнок 8.

Малюнок 8. Іконка програми JAP

Крок 2: Щоб включити службу анонімності, клікніть по радіокнопку "On", див. Малюнок 9.

Малюнок 9. Інтерфейс програми JAP

Крок 3: У списку оберіть місце розташування і сервер анонімізації: "FreeBee-Bozlano", див. Малюнок 10.

Малюнок 10. Вибір сервера анонімізації

Крок 4: Налаштуйте Windows Internet Explorer на використання проксі. Відкрийте Internet Explorer, натисніть кнопку "Tools", а потім "Internet Options", див. Малюнок 11.

Малюнок 11. Налаштування проксі-сервера в веб-браузері

Крок 5: У вікні "Internet Options" виберіть вкладку "Connections", а потім клацніть на кнопці "LAN settings", див. Малюнок 12.

Малюнок 12. Вибір налаштувань LAN

Крок 6: В поле "Proxy server" поставте галочку "Use a proxy server for your LAN". В поле адреси введіть "localhost", а в полі порту "4001". На закінчення настройки натисніть кнопку "ОК" і закрийте вікно "Internet Options", див. Малюнок 13.

Малюнок 13. Налаштування IP-адреси і порту проксі-сервера

Зауваження: Знімайте галочку "Use a proxy server for your LAN", коли ви не працюєте з проксі-сервером, інакше звичайні з'єднання встановлюватися не будуть.

Крок 7: Протестуємо настройки проксі-сервера. Знову відкрийте Internet Explorer і введіть www.whatismyip.com в адресний рядок. Тепер ваш IP-адреса не 45.112.164.5, а 178.33.255.188, і перебуваєте ви не в Сполучених Штатах, а у Франції, см. Малюнок 14 (Whatismyip.com, 2012).

Малюнок 14. Перевірка IP-адреси з включеним проксі

2.5. Доступ до заблокованих веб-сайтів

Тепер в адресному рядку Internet Explorer введіть URL http://www.anonymizer.com . Зараз міжмережевий екран не блокує сайт, і ніякого попереджуючого повідомлення у вікні браузера ми не спостерігаємо, см. Малюнок 15 (Anonymizer.com, 2012).

Малюнок 15. Отримання доступу до заблокованого веб-сайту за допомогою проксі

посилання

1. Lance Cottrell, From Wikipedia, the free encyclopedia, (October 2, 2011). Retrieved from http://en.wikipedia.org/wiki/Lance_Cottrell
2. EC-Council Press, Ethical Hacking and Countermeasures, Cengage Learning (2010) Livinginternet.com, How Anonymizers Work Retrieved from http://www.livinginternet.com/i/is_anon_work.htm (2012)
3. Anonymizer.com, knowledgecenter, Retrieved from http://www.anonymizer.com/knowledgecenter (2012)
4. Fred Hapgood, Web Monitoring: Anonymizers vs. Anti-Anonymizers, Retrieved from http://www.csoonline.com/article/221589/web-monitoring-anonymizers-vs.-antianonymizers (2008)
5. JAP, Protection of Privacy on the Internet, Retrieved from http: //anon.inf.tudresden. de / index_en.html (2012)
6. JonDonym, Private and Secure Web Surfing, Retrieved from http: // anonymous-proxyservers. net / (2012)
7. What is My IP, Shows Your IP Address, Retrieved from http://whatismyip.com (2012) Proxify, Proxify® anonymous proxy protects your online privacy, Retrieved from http://proxify.com (2012)
8. Carolyn Pearson, The "Great Firewall" of China, A Real National Strategy to Secure Cyberspace ?, GIAC practical repository (2004)
9. Wireshark, The world's foremost network protocol analyzer, Retrieved from http://www.wireshark.org/ (2012)
10. Websense, V-Series appliance, Retrieved from http://www.websense.com/content/appliances.aspx (2012)
11. Network Chemistry, Inc., Packetyzer Software, Retrieved from http://www.gotoassist.com (2012)
12. Informer Technologies, Inc., Software.informer, Network Chemistry Packetyzer, Retrieved from http://network-chemistry-packetyzer.software.informer.com (2012)
13. Microsoft Support, The Basics of Reading TCP / IP Trace, Retrieved from http://support.microsoft.com/kb/169292 (2012)
14. Cisco, Cisco IPS 4200 Series Sensors, Retrieved from http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5729/ps5713/ps4077/ps9157/pro duct_data_sheet09186a008014873c_ps4077_Products_Data_Sheet.html (2012)
15. Nevis Network, An Architectural View of LAN Security: In-Band versus Out-of-Band Solutions, Retrieved from http://www.nevisnetworks.com/content/white_papers/Inband% 20vs% 20Out-of-band.pdf (2007 )
16. Sourcefire, Snort, Retrieved from http://www.snort.org/ (2012)
17. John Brozycki, Detecting and Preventing Anonymous Proxy Usage, http://Sans.org, Reading Room (2008)
18. Nicholas Pappas, Network IDS & IPS Deployment Strategies, Retrieved from http://www.sans.org/reading_room/whitepapers/detection/network-ids-ips-deploymentstrategies_2143 (2008)

Далі буде...

Додаток A. Завантаження JAP

Додаток B. Встановлення JAP