Здоровий глузд брандмауерів, Локальні мережі, статті

Олександр Колбасов, Журнал “Мережі”

Історія перша

Історія друга

Історія третя

Невловимий Джо

Беззахисний Unix

Найважливіші слабкості Unix

Погане адміністрування

Повторно використовувані і погані паролі

Дірки в ftp-і HTTP-серверах і CGI скриптах

Проблеми з NFS / NIS

Програми з переповняються буферами

Неправильна синхронізація подій

Помилки в SUID програмах

Сама безпечна система

Вибираємо пожежні стінки

Куди йти далі?


Мене часто запитують, наскільки актуальна проблема безпеки в Internet. Наведу кілька цікавих прикладів, супроводивши їх повчальною мораллю для солідності.

Історія перша

Один банк підключився до Internet. В кінці місяця він отримав рахунок на досить кругленьку суму. Виявилося, що за цей місяць з банку витекло кілька сот (!) мегабайт інформації і ніхто в банку не знає, що це була за інформація і хто її отримав. Після цього банк відключився від мережі Internet (мабуть пригадавши, що кращий Firewall – це заглушений T-конектор).

Історія друга

Мені якось довелося попрацювати на комп’ютерах факультету Біохімії Університету Вейцмана в Ізраїлі. Природно, що я використовував чужий account (з дозволу господаря, зрозуміло. Щоб ви краще уявили собі обстановку на місці, в якийсь момент в 2:00 ночі в обчислювальному центрі зібрати сім працюють за комп’ютерами і всі сім говорили по-російськи і працювали під чужими іменами). Я швидко став помічати, що коїться щось дивне – приходить пошта казна від кого, в дивному прихованому каталозі валяються IRC-скрипти і т.д. Власник account-а про Unix знав дуже мало, про IRC не чув ніколи і поштою не користувався. Однак він вважав, що все це – нормальні продукти діяльності системних адміністраторів (природно, що користувачі не роблять спроб зрозуміти хід думок загадкових істот, званих системними адміністраторами і вважають, що ті безперервно виявляють якусь демонічну активність в системі. Адміністратори відповідають їм повною взаємністю і справедливо вважають, що користувачі заважають роботі системи, засмічують дисковий простір і віднімають цінні процесорні цикли від компіляції їх програм).


Незабаром я остаточно переконався, що у нас завівся Незваний гість. Після цього, ми змінили пароль і я провів невелике розслідування, в результаті чого з’ясувався коло інтересів зломщика і основні напрями його комп’ютерних інтересів, спосіб його входу в комп’ютерну мережу (через модемний вхід на університетському комп’ютері), а також імена деяких його друзів по IRC. З цією інформацією ми пішли до адміністратора всієї місцевої мережі, яка відразу ж мене перебила – “Навіщо ви мені все це розповідаєте? Адже я ж не детектив! “Цілком справедливе зауваження. Вона дійсно не детектив і, як наслідок, не системний адміністратор.


Як виявилося згодом, по Internet ходили списки з логінами і паролями багатьох біофізиків, що користуються цим комп’ютером, і лише ледачий там НЕ пасся.

Історія третя

Одного разу мені люб’язно надали account в одній організації, що має вихід в Internet і кілька комп’ютерів Sun, що використовують мережеву файлову систему NFS. Через деякий час мій account виявився зламаний. Техніка злому була досить типова (Увага, зломщики – інформація для вас!) – По NFS був модифікований мій файл ~ /. Rhosts і в нього була додана рядок “+”, Яка дозволила всім вхід командою rlogin. Я розповів про це адміністраторам і ми обговорили методи злому. Через пару днів комп’ютер перестав працювати (ймовірно, з’ївши що-небудь на кшталт “rm-rf /”).


З цих історій можна зробити кілька корисних висновків.


  • Підключаючись до Internet, бажано заздалегідь подумати, хто і як зможе скористатися вашим підключенням. Потім думати може виявитися пізно.

  • Дві найсерйозніші проблеми захисту в Internet і Unix – погане адміністрування і погані паролі. Поганий адміністратор – це назавжди, а з поганими паролями можна боротися. Як – розповім пізніше.

  • Не дозволяйте працювати з “небезпечними” протоколами (типу NFS і Rlogin) через Internet. Ці зручні штучки годяться тільки для локальних мереж, та й то, тільки у випадку, якщо ви довіряєте всім комп’ютерам і користувачам мережі.
  • Невловимий Джо

    Сподіваюся, що я досить залякав вас цими страшними історіями і ви кидаєтеся до торговців протипожежним устаткуванням, сподіваючись купити брандмауер найостаннішої моделі, який раз і назавжди захистить вас від страшних бандитів і дозволить зі зручністю куштувати принади навігаторів, дивилок і дослідників Internet. Несподівано ваше начальство дізнається, що на додаток до тих чималим витрат, з якими воно вже якось змирилося (плата за інфо-лінію – По-моєму, тепер так прийнято називати виділені лінії), за якийсь загадковий “IP сервіс”, тобто за просування ваших даних туди-сюди по мережах, за адреси, за імена якихось доменів (не плутати з демонами – про них пізніше), за щось, зване рутер або роутером в залежності від місця виробництва, вся робота якого полягає в тому, що він забирає інформацію з одного місця і складає в інше), потрібно платити ще $ 15-20 тис. дол А так як переконати начальство в Москві і, тим більше, в інших містах, в тому, що Internet потрібен для чогось ще крім добування красивих фотографій
    (www.playboy.com), І так дуже важко, то все райдужні перспективи і надії на altavista.digital.com стають дуже віддаленими.


    Між тим, якщо ви той самий знаменитий Невловимий Джо, то для захисту від бандитів вам достатньо дешевого ласо і міцних дверей з навісним замком. Зовсім необов’язково будувати фортецю і заливати водою рови для захисту продуктової крамниці. Проте ж, якщо ви збираєтеся перевозити надбання Республіки в поштовому диліжансі або в поїзді, варто прийняти більш серйозні запобіжні заходи. Для захисту Невловимого Джо цілком зійдуть старі добрі пакетні фільтри на вашому маршрутизаторі в поєднанні з тлумачним адміністратором. А для дійсно надійного захисту вам не відбутися лише одним самим чудовим продуктом з імпортним назвою “Firewall” на коробці.


    Мораль – оцініть ступінь ризику, вивчіть вашу мережу, розробіть політику захисту, заручитися підтримкою менеджерів і після цього срокойно йдіть на протипожежний ринок, прихопивши з собою десяток-другий кілобаксов. Чим ви цінніше для оточуючих і чим менше ви знаєте про Internet тим більше доведеться викласти.

    Беззахисний Unix

    Система Unix давно стала предметом релігійних воєн і хрестових походів. Новий імпульс цим війнам дало широке поширення Internet і перетворення його з кастового секрету хакерів в масову іграшку і дійну корову для бізнесу. Історично Internet і Unix були занадто сильно переплетені. Особливості програмування і сформована культура в світі Unix наклали відбиток на протоколи, використовувані в Internet, і на підхід до захисту. Через свою поширеності (і повної відкритості) і слабку захищеність Unix став улюбленої здобиччю для зломщика. З іншого боку саме Unix використовується в якості бази для більшості сучасних систем захисту.


    Як справедливо зауважив один мій друг, основна проблема Unix складається в тому, що він робить те, що йому говорять. Це все той же принцип WYSIWYG
    – What You Say Is What You Get.


    Unix створювався за образом абсолютної монархії з формальними ознаками демократії. Прості піддані системи (юзери) мають досить мало повноважень для того, щоб завдати якої-небудь реальну шкоду. Політичні партії (групи) підданих мають дещо більше прав і повноважень і у недосвідченого туриста може створитися враження, що саме вони і руковоліт системою. Однак, на практиці, все реальні і серйозні рішення приймає абсолютний монарх, містер Чарлі Рут (Mr. Charlie Root). Тільки йому доступні всі кімнати палацу, королівська печатка, державні архіви і королівська скарбниця. Всі піддані і вся жіззнь королівства підвладні йому, він вільний заходити в будь-який будинок, читати всі документи і може на свій розсуд вбити чи помилувати будь-якого підданого або плід його діяльності – процес (особливо це неприємно, коли підданий, вирішивши, що процес пішов, заспокоюється і йде спати).


    Однак, мабуть побоюючись державного перевороту, містер Рут ретельно ховається від своїх підданих. Для того, щоб скористатися своїми повноваженнями йому потрібно пред’явити міністру внутрішніх справ пану / etc / passwd свій паспорт для перевірки. У паспорті міститься якесь секретне слово (І в умовному місці, відомому панові міністру, приховано дві крупинки солі). Якщо все нормально, пред’явник паспорта отримує знак монархічної влади (uid 0). На жаль, виявилося, що при сучасному розвитку друкарської справи паспорт можна підробити. Зломщики вигадали чимало способів підглядати за секретної процедурою показу паспорта. В принципі, це схоже на крадіжку номерів кредитних телефонних карток – в американських аеропортах пасуться спеціальні перехожі, ненароком підглядають за набором номера на телефоні. Призом для них є право на безкоштовний (за рахунок клієнта) дзвінок коханої тітоньці на Бермуди. Призом же для щасливого злодія, підробленого пароль, є повний контроль над могутньою імперією Unix.


    Так як його рутівський Величність часто зайнятий справами і його важко знайти, для вершенія державних справ у нього є штат довірених осіб. Виконуючий обов’язки в Unix називаюется Сюід (SUID), а виконуючий обов’язки Монарха називається Сюід Рут (SUID root). Зазвичай Сюід Рут має вельми обмежений коло обов’язків і не становить серйозної небезпеки для безпеки. Однак деякі негідні примудряються використовувати виданий їм для відправлення обов’язків монархічний знак (uid 0) для непередбачених дій і можуть, в принципі, скористатися ним для повного захоплення влади в країні. Особливо небезпечні Сюід Рут, що мають доступ до акцій місцевих нафтових компанії системи Shell. Сюід, який отримав контроль над Shell, по-суті не відрізняється від реального монарха. Тому панове Сюід є ласою здобиччю для злодіїв та міжнародних шпигунів, під виглядом гостей проникаючих в країну.


    Для спостереження за справами в королівстві і виконання господарських справ пан Чарлі Рут зазвичай наймає бригаду демонів, які від його імені непомітно вершать свої демонічні справи. Саме їм ми зобов’язані періодичним шелестінням дискових головок в моменти, коли ми дивимося на екран і не проявляємо ніякої видимої активності.


    Історично склалося, що на кордоні країни і в її митній службі Інтернетівському Митному Департаменті ІнеТД (inetd) служать довірені особи, які мають значок (suid 0). Їм дозволяється пропускати туристів та товари через один з державних 1024 портів (в країні Unix є ще й безліч приватних портів, не контрольованих державою. Будь підданий має право відкрити свій приватний порт, проте всі державні порти строго контролюються).


    За міждержавною угодою, укладеною колись в Берклі між дружніми Unix монархіями, транспорт, що прийшов з державних портів інших країн, користується особливою довірою і пропускається без особливого митного контролю. Угода була вироблено в період існування кількох сильних Імперій, які добре знали один одного. Тепер же всякий, без особливих зусиль може завести собі маленьку персональну імперію, володіти в ній всіма портами і відправляти контрабанду через будь-який з них. Більше того, такі дрібні імперії навіть не зобов’язані мати конституційну монархічна пристрій Unix. Найчастіше вони мають досить м’який режим управління, що дозволяє будь-якому пройдисвітові прикинутися Рутом на годину. Більш того, терористи навчилися підтримувати дорожні документи і часто навіть неможливо встановити, звідки прибув вантаж. Митні угоди (r-commands), ув’язнені в Берклі виявилися абсолютно неприйнятними для сучасного світу дрібних держав з м’яким управлінням. Тому, мудрі керівники ігнорують угоди і вельми ретельно перевіряють весь вантаж, що проходить через порти.

    Найважливіші слабкості Unix

    Погане адміністрування

    Після того, як система Unix переїхала з великих комп’ютерів на робочі станції і персональні комп’ютери, нічого не підозрюючи користувачі несподівано перетворилися на системних адміністраторів. У них було достатньо своїх турбот і, природно, система починала незабаром жити своїм життям. А так як деякі постачальники продають системи з давно відомими дірками в захисті і в процесі роботи з’являються нові, такі системи швидко стають гостинним домом для нежданих гостей. Часто такі слабозащіщенние системи цікаві не самі по собі, а лише як база для атаки інших систем. Серйозний зломщик використовує десятки комп’ютерів для атаки. Таким чином, надзвичайно важко визначити його фізичну адресу.


    На жаль, загальний принцип свідчить, що чим система захищенішою, тим менше зручно їй користуватися. А так як більшість покупців комп’ютерів турбує перш за все зручність, безпека неминуче відсувається на задній план.


    На мій погляд, будь-який адміністратор може істотно підвищити безпеку свого Unix, якщо


  • обмежить число користувачів системи тими, кого він знає;

  • подбає про хороших паролі, і не буде створювати безпарольний;

  • входів або входів з тривіальними паролями (наприклад, guest з паролем
    guest);

  • буде відстежувати повідомлення про дірках у своїй системі і вчасно застосовувати рекомендовані заплатки;

  • радитиметься з іншими адміністраторами і читати комп’ютерні новини (врахуйте, що зломщики їх ітают дуже уважно);

  • не буде сподіватися на те, що “авось пронесе”;

  • буде переглядати системні журнали;

  • буде добре знати свою систему і знати, що для неї характерно, а що незвично;

  • буде мати уявлення про основні принципи роботи Unix (чомусь більшість непрограмістів впевнене, що мимовільне поява і зникнення файлів в системі – цілком звичайний результат життєдіяльності демонів Unix);

  • буде детективом, не довіряє нікому і нічому.
  • Повторно використовувані і погані паролі

    Найпопулярніший спосіб атаки Unix систем – підбір, вгадування і підглядання паролів. Спочатку зломщик намагається роздобути хоч якийсь вхід в систему, а потім, використовуючи відомі йому дірки в захисті і адмініструванні, розширити свій вплив і захопити всю систему, отримавши повноваження суперкористувача. Цікаво вирішили проблему всевладного супер-користувача у дослідницькій системі Plan 9 – суперкористувачем є лише той, хто зайшов в систему з системної консолі.


    Як не дивно, придумування пароля є досить складним завданням для будь-якого користувача комп’ютера. Згадайте, скільки разів ви в якості пароля вибирали слова “aaa”, “qqq”, “123456”, “Password” і ваше ім’я! Ті, у кого розвинена фантазія пишуть ім’я своєї коханої дівчини. Всі ці паролі дуже погані і регулярно розколюються. Хороший пароль не повинен бути ніяким осмисленим словом ніякого мови, повинен обов’язково містити і великі і маленькі букви, які-небудь спеціальні символи, досить добре запам’ятовуватися (щоб його не довелося записувати і приклеювати на монітор або, того гірше, напружено намагатися пригадати новий пароль для того, щоб зробити термінову роботу) і швидко набиратися на клавіатурі (це захист від любителів дивитися через плече). Більш того, він повинен регулярно оновлюватися (при цьому не можна використовувати старі паролі з минулого життя). Погодьтеся – задачка не з легких. Але постарайтеся – поганий пароль – запрошення зайти в гості, а хороший пароль може коштувати брандмауер за 10 тис. дол


    Як показує практика, всі ці міркування не переконують більшість користувачів і вони все одно придумують пароль “qqq”. Для боротьби з поганими паролями придумана програма “Crack” Алекса Муффета
    (ftp://info.cert.org/pub/
    tools/crack/crack_4.1-tar.Z
    ), Досить ефективно розколюються паролі. Їй користуються і адміністратори і зломщики, постарайтеся, щоб ваш пароль не був їй зламаний. Але будьте обережні, якщо ви працюєте на західну компанію. Ви можете потрапити в історію, аналогічну тій, в яку потрапив відомий програміст і співавтор книг про Perl Рендел Шварц, який працював системним адміністраторів в фірмі Intel. Він періодично запускав crack для перевірки паролів користувачів. Керівництво Intel звинуватило його в несанкціонованому доступі до інформації та поскаржилося в ФБР. В результаті він був звинувачений за кримінальною статтею, посаджений на три місяці у в’язницю і втратив всі свої заощадження. Системний адміністратор – вельми небезпечна професія.


    Легендарний Кевін Митник використовував дуже простий спосіб відгадування паролів – він просто дзвонив користувачам комп’ютерів і чесно говорив їм, що йому потрібен пароль для якої-небудь придуманої мети. Зазвичай він його отримував. Інший популярний спосіб – надіслати листа від імені адміністратора з вимогою змінити пароль на вказаний в листі. Психологія – дуже дієвий засіб в руках професіонала.


    Куди більш серйозна проблема з паролями полягає в тому, що вони подорожують по мережі в незашифрованому вигляді і їх дуже легко перехопити по дорозі. Тому, зараз стали використовувати одноразові паролі. Ідея полягає в тому, що кожен раз для входу в систему використовується новий пароль, який практично неможливо передбачити сторонньому зломщикові. Є вільна програмна реалізація одноразових паролів (S / Key) і кілька комерційних програмно-апаратних реалізацій, які поки що не добрели до Росії. S / Key інтегрований в деякі системи, наприклад, під FreeBSD.

    Дірки в ftp-і HTTP-серверах і CGI скриптах

    Незліченна кількість HTTP-серверів по всьому світу зробили Internet настільки популярної середовищем проживання. Їх встановлюють всюди, все і на всіх системах. Такий сервер – досить велика і складна програма, часто запускається від імені супер-користувача і має всі властивості демона. Вона вміє читати файли у файловій системі і запускати програми. Ці програми генерує інформації для користувача і часто керуються даними, введеними користувачем. Неточності в написанні CGI-скриптів дозволяють зломщикам отримувати несподівані привілеї.


    За пару днів існування мого HTTP-сервера до нього кілька разів звернулися з проханням прислати файл / etc / passwd (старі версії Apache містили CGI-скрипт “Phf”, який дозволяв прочитати будь-який файл в системі). Завдяки випадку, у мене виявилася свіжа версія демона і фокус не спрацював.


    Кілька порад Web-адміністраторам:


  • Використовуйте свіжу версію HTTP демона

  • Не запускайте його від імені root

  • Обмежте зону дії сервера

  • Уважно читайте документацію по серверу і його конфігурації

  • Не використовуйте CGI, якщо можете без нього обійтися.

  • Перевіряйте CGI програми і дуже акуратно пишіть свої.

  • Якщо ви передаєте дані користувача зовнішнім програмам, перевіряйте їх на наявність небезпечних символів, що мають спеціальну семантику для цих програм (наприклад, командні інтерпретатори добре переварюють символи
    `<>;”).


    Аналогічні проблеми виникають і з FTP-серверами. Неправильно налаштований, або містить помилку FTP-сервер дозволяє читати і / або писати довільний файл в системі. А якщо цей сервер працює на системі DOS, OS / 2 або Windows “95, підключеної до локальної мережі або на машині, що використовує NFS, то зломщик може отримати доступ до всієї вашої мережі. Постарайтеся використовувати максимально простий FTP демон, в якому відключено всі “бантики” і який дозволяє тільки анонімним користувачам забирати (але не класти) файли.


    Загальний принцип безпеки, на мій погляд, полягає в тому, що не можна гарантувати безпеку на машині, на якій існує будь-яка форма активності зовнішніх користувачів – HTTP, FTP або термінальний сервер. Такі сервіси слід виносити за межі вашої локальної мережі і особливо добре адмініструвати. Особливо небезпечний HTTP або FTP сервер на вашому брандмауері.

    Проблеми з NFS / NIS

    Мережева файлова система NFS вельми зручна. Так зручна, що її часто використовують для об’єднання сотень і тисяч комп’ютерів в єдине файлове простір. Це справжнісінький Intranet, хоча ніхто не використовував цей термін для позначення розподілених комп’ютерних мереж до недавнього часу маркетігових термінів. Але, за старим правилом велика зручність веде до слабкої захищеності. NFS дозволяє досвідченому зломщикові отримати доступ до будь-якого файлу на експортованої файлової системи, а NIS надає у ваші руки зашифровані паролі навіть якщо ваш Unix використовує механізм “Тіньових паролів”. Тому, не випускайте пакети NFS (вони зазвичай використовують TCP і UDP порти 111 і 2049) за межі вашої мережі і відфільтровують їх при спробі зайти до вас всередину.

    Програми з переповняються буферами

    Програмісти та їхні програми недосконалі. Багато програм, (особливо старі) використовують функції gets () і puts (), які не перевіряють довжину зчитується рядка, дозволяють переповнити буфер і зіпсувати програмний стек. Саме ця помилка була іслользована найзнаменитішим вірусом в історії (Це був вірус Морріса, що вразила в 1988 році більшість систем Unix, підключених до Internet. Цікаво, що батько Морріса працював в National Security Agency і займався там проблемами комп’ютерної безпеки (NSA – Організація займається прослуховуванням всіх засобів комунікації у усьому світі. Вона настільки засекречена, що часто абревіатура NSA розшифровується як “No Such Agency”).

    Неправильна синхронізація подій

    Один популярний брандмауер надавав зломщикові можливість попрацювати в проміжку часу від завантаження системи до запуску самої системи захисту. Багато методів злому використовують тимчасові файли, ненадовго створювані програмами. При запуску SUID-скриптів спочатку запускається командний інтерпретатор з повноваженнями root, а потім він зчитує сам скрипт – за цей час можна встигнути підмінити скрипт і виконатися зовсім інший.

    Помилки в SUID програмах

    Досить часто CERT (Computer Emergency Respond Team) публікує відомості про помилки в SUID-програмах. Такі помилки часто дозволяють безпідставного пользовате системи стати суперкористувачем.

    Сама безпечна система

    З попереднього тексту у вас може скластися цілком справедливе враження, що Unix – не дуже захищена система (це не заважає, втім, конкретної системі правильно налаштованої і добре адмініструється бути дуже добре захищеної). Ну а що ж з іншими системами? Природно, що комп’ютерна система, яка з самого початку розробляли з урахуванням міркувань безпеки (Наприклад, MULTICS, Windows NT) має шанси бути більш захищеною ніж система, розроблена для максимальної зручності спільної роботи. Однак, поганий адміністратор, погані паролі і помилки в програмах зустрічаються всюди. Так що не спокушайтеся биркою “C2 certified”, приклеєною до вашого бойового сервера (як, втім і іншими бирками. Наприклад, мене останнім час дуже радують бирки “Windows” 95 Compatible “на комп’ютерних.

    Вибираємо пожежні стінки

    Отже, ви зрозуміли, що забезпечити надійний захист окремих комп’ютерів мережі досить складно і вирішили захистити всю мережу в цілому за допомогою модної штуки під назвою “Firewall” – брандмауер, як його зараз переводять (Мені не дуже подобається цей переклад, але краще придумати не можу. На жаль, слово “фіревал” не звучить). Як вибрати те, що вам потрібно?


    Якщо ви досвідчений Unix-хакер, то сміливо збирайте свій власний бастіон на базі безкоштовного FreeBSD або комерційної BSDI / OS і вільних програм (Tcp_wrappers, TIS Firewall Toolkit, tripwire, COPS, і т.д.). Наб’єте руку, отримаєте задоволення і будете знати що відбувається. Але у випадку злому будьте готові отримати по заслугах.


    Простіше купити готовий продукт – з ним менше відповідальності й турбот. Купив, розпакував, включив – і безпечно їж принади Internet! Однак продуктів багато і це ускладнює життя. Як вибрати з них найкращий?


    На виставці Windows Expo “96 мене і представника Micrisoft застав в коридорі відвідувач і став питати – який продукт краще – DEC Firewall для NT або Microsoft Proxy – оголошений, але поки не існуючий продукт. Мені особисто здається, що існуючий продукт завжди краще оголошеного, але недоступного.


    Для того, щоб порівнювати, необхідно виробити критерії – що значить “Краще і гірше”. В іншому випадку розв’яжеться чергова релігійна війна, схожа на бушували колись гарячі війни про те, яка ОС і який редактор краще.


    Один з відвідувачів виставки запропонував вважати кращим той продукт, який менше зламували. Гарна ідея, але брандмауер, який один раз зламали, є дорогою іграшкою. Це схоже на математичну теорему – одного контрпримера достатньо для спростування і не допоможе найкрасивіше доказ. Найкращий користувальницький інтерфейс не перекриє однієї маленької дірки в захисті. Найголовніша вимога до системи захисту – вона повинна надійно і безпечно захищати за будь-яких умовах.


    Якщо захисний пристрій виходить з ладу, воно повинно закривати весь доступ в вашу мережу, а не відкривати його. Маркус Ранум порівнює Firewall з воротами і опускається мостом замку. Коли перетирається мотузка, міст опускається, відкриваючи прохід. А вхідні ворота, що залишилися без кріплення, просідають і нікого не впускають. Тому дивіться, як веде себе продукт у важких ситуаціях.


    Більшість систем захисту діляться на два класи. Пакетні фільтри, які перевіряють заголовки IP / TCP / UDP пакетів і приймають рішення, виходячи з адрес і протоколів. Proxy-сервери стають між клієнтом і серверів і пропускають через себе все прикладні запити. Порівнювати ці два класи пристроїв непросто, тому що вони працюють на різних рівнях. Зазвичай бастіони з proxy-серверами надійніше, але менш зручні. Краще всього використовувати поєднання тих і інших. Там де можна використовуйте пакетні фільтри, але основні сервіси пропускайте через proxy-сервери.


    Більшість оглядів з брандмауерам присвячують основну частину опису інтерфейсу. У більшості випадків брандмауер – чорний ящик, який, будучи налаштованим стоїть в добре закритому місці і до нього не підходить ніхто, крім спеціально навчених адміністраторів. Добре, якщо інтерфейс красивий і зручний, але зручність внесення змін у конфігурацію може спровокувати користувачів на ослаблення захисту. Тому, зручний інтерфейс може бути і недоліком.


    Зберіть побільше інформації та підпишіться на firewalls@GreatCircle.com. Помацайте продукт руками. Спробуйте його в дії. І не вірте рекламі – Справжній фахівець з безпеки не довіряє нікому!

    Куди йти далі?

    Читати журнали завжди приємно, проте справжня інформація живе в мережі! Невеликий список хороших вузлів, присвячених безпеки, розважить вас на деякий час.


    [До сожалнію більшість з цих посилань застаріло]

    www.cert.org

    www.cs.purdue.edu/homes/spaf/hotlist/csec-top.html

    ciac.llnl.gov

    csrc.ncsl.nist.gov/first

    www.alw.nih.gov/Security/security.html

    www.auscert.org.au

    www.cert.dfn.de/eng

    www.cs.purdue.edu/coast/coast.html

    www.sware.com/

    www.telstra.com.au/info/security.html

    www.raptor.com/library/library.

    Олександр Колбасов – Співробітник фірми Stins Coman. З ним можна зв’язатися по електронній пошті: akolb@stins.msk.su.

    Схожі статті:


    Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

    Коментарів поки що немає.

    Ваш отзыв

    Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

    *

    *