| Резюме На самом
деле правильно сконфигурированный брандмауэр оказывается чрезвычайно хорошо защищенным.
Однако при использовании средств сбора информации, таких как утилиты traceroute,
hping и nmap, взломщики могут исследовать потенциальные пути прохождения маршрутизатора
и брандмауэра, а также определить их тип (или как минимум сделать на этот счет
определенные предположения). Большинство из известных в настоящее время изъянов
связано с неправильной настройкой брандмауэра или недостаточным вниманием к его
администрированию. Использование взломщиком любого из них может привести к настоящей
катастрофе.
Кроме того, в обоих типах брандмауэров имеются свои собственные
специфические изъяны, в том числе возможность использования служб Web, telnet
и локальной регистрации. Для предотвращения большинства из рассмотренных слабых
мест можно воспользоваться определенными контрмерами, однако в некоторых случаях
возможно лишь их выявление.
Многие считают, что в будущем неизбежно произойдет
слияние обоих технологий — программных посредников и брандмауэров с фильтрацией
пакетов, — что позволит ограничить количество ошибок, возникающих при их конфигурировании
в настоящее время. Подсистема противодействия также станет составной частью брандмауэров
нового поколения. Компания NAI уже реализовала свою архитектуру такой подсистемы
— Active Security. После выявления вторжения она позволяет автоматически инициировать
предопределенные изменения конфигурации сервера, подвергнувшегося атаке. Например,
если системой выявления вторжений обнаружено туннелирование пакетов ICMP, то она
может направить брандмауэру сообщение о необходимости игнорирования запросов ECHO.
Однако в таком сценарии по-прежнему остается место для атак DoS, так что сотрудникам
службы безопасности не стоит забывать об этом.
| 
