| Глава 11. БРАНДМАУЭРЫ
- Брандмауэры
- Основные
сведения
- Идентификация брандмауэров
- Дополнительное
исследование брандмауэров
- Война с брандмауэрами
- Фильтрация пакетов
- Изъяны
программных посредников
- Изъяны WinGate
- Резюме На самом деле правильно сконфигурированный
брандмауэр оказывается чрезвычайно хорошо защищенным. Однако при использовании
средств сбора информации, таких как утилиты traceroute, hping и nmap, взломщики
могут исследовать потенциальные пути прохождения маршрутизатора и брандмауэра,
а также определить их тип (или как минимум сделать на этот счет определенные предположения).
Большинство из известных в настоящее время изъянов связано с неправильной настройкой
брандмауэра или недостаточным вниманием к его администрированию. Использование
взломщиком любого из них может привести к настоящей катастрофе.
Кроме того,
в обоих типах брандмауэров имеются свои собственные специфические изъяны, в том
числе возможность использования служб Web, telnet и локальной регистрации. Для
предотвращения большинства из рассмотренных слабых мест можно воспользоваться
определенными контрмерами, однако в некоторых случаях возможно лишь их выявление.
Многие считают, что в будущем неизбежно произойдет слияние обоих технологий
— программных посредников и брандмауэров с фильтрацией пакетов, — что позволит
ограничить количество ошибок, возникающих при их конфигурировании в настоящее
время. Подсистема противодействия также станет составной частью брандмауэров нового
поколения. Компания NAI уже реализовала свою архитектуру такой подсистемы — Active
Security. После выявления вторжения она позволяет автоматически инициировать предопределенные
изменения конфигурации сервера, подвергнувшегося атаке. Например, если системой
выявления вторжений обнаружено туннелирование пакетов ICMP, то она может направить
брандмауэру сообщение о необходимости игнорирования запросов ECHO. Однако в таком
сценарии по-прежнему остается место для атак DoS, так что сотрудникам службы безопасности
не стоит забывать об этом.
|
