skovyh rabochih stanciyah, terminal'nyh serverah i marshrutizatorah, mozhet takzhe byt' ispol'zovan dlya chteniya lyubogo fajla v sisteme pri ego nepravil'noj ustanovke.
Ryad drugih sredstv takzhe obychno fil'truetsya ili ih ispol'zovanie razreshaetsya tol'ko dlya teh sistem, kotorym oni na samom dele nuzhny. V eto spisok vhodyat:
Hotya nekotorye iz etih sluzhb, takie kak TELNET i FTP,
yavlyayutsya opasnymi po svoej suti, polnoe blokirovanie dostupa k drugim mozhet
okazat'sya nepriemlemym dlya mnogih organizacij. Tem ne menee, ne vse sistemy
trebuyut dostupa ko vsem sluzhbam. Naprimer, razreshenie dostupa po TELNET
i FTP iz Interneta tol'ko k tem sistemam, kotorym nuzhen etot vid dostupa,
mozhet uluchshit' bezopasnost', ne prichinyaya neudobstva pol'zovatelyam. Takie
sluzhby, kak NNTP, na pervyj vzglyad ne predstavlyayut osoboj opasnosti, no
razreshenie etih sluzhb tol'ko dlya teh sistem, kotorym oni nuzhny, pomozhet
sozdat' bolee uporyadochennuyu setevuyu sredu i umen'shit veroyatnost' ih ispol'zovaniya
atakuyushchimi iz-za nalichiya v nih eshche neizvestnyh uyazvimyh mest.
Marshrutizatory s fil'traciej paketov imeyut ryad nedostatkov, opisannyh v [Chap92]. Pravila fil'tracii paketov slozhno formuliruyutsya i obychno net sredstv dlya testirovaniya ih korrektnosti( krome kak ruchnoe testirovanie). U nekotoryh marshrutizatorov net sredstv protokolirovaniya, poetomu esli pravila fil'tracii paketov vse-taki pozvolyat opasnym paketam projti marshrutizatora, takie pakety ne smogut byt' vyyavleny do obnaruzheniya proniknoveniya.
CHasto trebuetsya sdelat' isklyucheniya iz pravil, chtoby razreshit' opredelennye vidy dostupa, kotorye obychno blokiruyutsya. No isklyucheniya iz pravil fil'tracii inogda mogut sdelat' pravila fil'tracii takimi slozhnymi, chto oni stanut nekontroliruemymi. Naprimer, dostatochno prosto napisat' pravilo dlya blokirovaniya vseh vhodyashchih soedinenij k portu 23( serveru TELNETa). Esli zhe delayutsya isklyucheniya, to est' esli s nekotorymi sistemami seti razreshaetsya imet' pryamye soedineniya po TELNET, to dolzhno byt' dobavleno pravilo dlya kazhdoj takoj sistemy. Inogda dobavlenie opredelennyh pravil mozhet uslozhnit' vsyu shemu fil'tracii. Kak bylo uzhe skazano, testirovanie slozhnogo nabora pravil na ih korrektnost' mozhet okazat'sya ochen' trudnym.
Nekotorye marshrutizatory s fil'traciej paketov ne fil'truyut po portu TCP/UDP otpravitelya, chto mozhet sdelat' nabor pravil fil'tracii ochen' slozhnym i sozdat' "dyry" v sheme fil'tracii. [Chap92] opisyvaet podobnye problemy s setyami, v kotoryh byli razresheny vhodyashchie i ishodyashchie SMTP-soedineniya . Soglasno punktu 1.2.5, TCP-soedineniya imeyut port otpravitelya i port poluchatelya. Esli sistema iniciiruet SMTP-soedinenie s serverom, portom istochnika budet sluchajno vybrannyj port s nomerom bol'she 1024, a portom poluchatelya budet budet port s nomerom 25, port, kotoryj slushaet server SMTP. Server budet vozvrashchat' pakety s nomerom porta otpravitelya 25, i nomerom porta poluchatelya, ravnym sluchajno vybrannomu klientom nomeru porta. Esli v seti razresheny vhodyashchie i ishodyashchie SMTP-soedineniya, to marshrutizator dolzhen razreshat' soedineniya s portami otpravitelya i poluchatelya, bol'shimi 1023, v oboih napravleniyah. Esli marshrutizator mozhet fil'trovat' po portu otpravitelya, on mozhet blokirovat' vse pakety, vhodyashchie v set' organizacii, u kotoryh port poluchatelya bol'she 1023, a port otpravitelya ne raven 25. Esli on ne mozhet fil'trovat' pakety po portu otpravitelya, marshrutizator dolzhen razreshit' soedineniya, kotorye ispol'zuyut porty otpravitelya i poluchatelya bol'she 1024. Pol'zovateli inogda mogut special'no zapustit' servera na portah, bol'shih 1023, i obhodit' takim obrazom politiku fil'tracii( to est' obychno server telnet v sisteme slushaet port 23, no mozhet byt' skonfigurirovan tak, chto budet slushat' vmesto etogo port 9876; i pol'zovateli v Internete smogut organizovat' telnet-seans s etim serverom dazhe, esli marshrutizator blokiruet soedineniya s portom naznacheniya 23).
Drugoj problemoj yavlyaetsya to, chto ryad sluzhb RPC ochen' trudno zablokirovat' iz-za togo, chto servera dlya etih sluzhb slushayut porty, sluchajno vybiraemye v processe zagruzki sistemy. Sluzhba, izvestnaya pod nazvaniem portmapper otobrazhaet pervonachal'nye vyzovy sluzhb RPC v naznachennye im nomera sluzhb, no ee ekvivalenta ne sushchestvuet dlya marshrutizatora s fil'traciej paketov. Tak kak marshrutizatoru nel'zya soobshchit', s kakim portom rabotaet sluzhba, nel'zya polnost'yu zablokirovat' eti sluzhby, razve chto zablokirovat' polnost'yu vse pakety UDP( RPC-sluzhby v-osnovnom ispol'zuyut UDP). Blokirovanie vseh paketov UDP privedet k blokirovaniyu ryada drugih poleznyh sluzhb, takih kak DNS. Poetomu blokirovanie RPC privodit k dilemme.
Marshrutizatory s fil'traciej paketov s bolee chem dvumya interfejsami inogda ne imeyut vozmozhnostej po fil'tracii paketov v zavisimosti ot togo, s kakogo interfejsa prinyaty pakety, i kuda dolzhny byt' napravleny. Fil'traciya vhodyashchih i ishodyashchih paketov uproshchaet pravila fil'tracii paketov i pozvolyaet marshrutizatoru legko opredelit', kakoj IP-adres nastoyashchij, a kakoj - fal'shivyj. Marshrutizatory bez takoj vozmozhnosti zatrudnyayut realizaciyu strategij fil'tracii.
Krome togo, marshrutizatory s fil'traciej paketov mogut realizovyvat' obe konceptual'nye strategii, opisannye v punkte 2.4.1. Nabor pravil, kotoryj menee gibok, to est' ne fil'truet po portu otpravitelya ili po tipu interfejsa( vhodyashchij ili vyhodyashchij), umen'shaet vozmozhnosti marshrutizatora po pretvoreniyu v zhizn' vtoroj i bolee sil'noj politiki, pri kotoroj zapreshchayutsya vse servisy, krome teh, chto yavno razresheny. Naprimer, problematichnye sluzhby, takie, kak te, kotorye baziruyutsya na RPC, stanovitsya eshche trudnee fil'trovat' s menee gibkim naborom pravil; otsutstvie fil'tracii po portu otpravitelya zastavlyaet razreshat' soedineniya s portami, bol'shimi 1023. Pri menee gibkom nabore pravil marshrutizator imeet men'she vozmozhnostej po realizacii sil'noj politiki, i poetomu obychno ispol'zuyut pervuyu politiku - razreshat' vse sredstva, krome teh, chto yavno zapreshcheny.
CHitatelyam rekomenduetsya prochitat' [Chap92], v kotorom
dano bolee detal'no opisanie fil'tracii paketov i svyazannyh s nej problem.
Hotya fil'traciya paketov ochen' vazhna, nuzhno znat' sushchestvuyushchie problemy
i puti ih resheniya.
CHtoby zashchitit'sya ot ryad uyazvimyh mest, svyazannyh s marshrutizatorami s fil'traciej paketov, v brandmauerah nuzhno ispol'zovat' prikladnye programmy dlya perenapravleniya i fil'tracii soedinenij s takimi sluzhbami, kak TELNET i FTP. Takoe prilozhenie nazyvaetsya proksi-sluzhboj, a host, na kotorom rabotaet proksi-sluzhba - prikladnym shlyuzom. Prikladnye shlyuzy i marshrutizatory s fil'traciej paketov mogut byt' ob®edineny dlya dostizheniya bolee vysokoj bezopasnosti i gibkosti, chem byla by dostignuta, esli by oni ispol'zovalis' otdel'no.
Naprimer, rassmotrim set', v kotoroj blokiruyutsya vhodyashchie soedineniya TELNET i FTP s pomoshch'yu marshrutizatora s fil'traciej paketov. |tot marshrutizator pozvolyaet propuskat' pakety TELNET ili FTP tol'ko k odnoj mashine, prikladnomu shlyuzu TELNET/FTP. Pol'zovatel', kotoryj hochet soedinit'sya snaruzhi s sistemoj v seti, dolzhen snachala soedinit'sya s prikladnym shlyuzom, a zatem uzh s nuzhnym hostom :
Risunok 2.4 Virtual'nye soedineniya, realizuemye s pomoshch'yu
prikladnogo shlyuza i proksi-sredstv
|tot primer demonstriruet neskol'ko preimushchestv ispol'zovaniya proksi-sluzhb. Vo-pervyh, proksi- sluzhby razreshayut tol'ko te sluzhby, dlya kotoryh est' proksi. Drugimi slovami, esli prikladnoj shlyuz soderzhit proksi dlya FTP i TELNET, to v zashchishchaemoj podseti budut razresheny tol'ko FTP i TELNET, a drugie sluzhby budut polnost'yu blokirovany. Dlya nekotoryh organizacij takoj vid bezopasnosti vazhen, tak kak garantiruet, chto tol'ko te sluzhby, kotorye schitayutsya bezopasnymi, budut propuskat'sya cherez brandmauer. |tot podhod takzhe predohranyaet ot vozmozhnosti razrabotki novyh nebezopasnyh sluzhb bez uvedomleniya administratorov brandmauera.
Drugim preimushchestvom ispol'zovaniya proksi-sluzhb yavlyaetsya to, chto mozhet byt' osushchestvlena fil'traciya protokolov. Naprimer, nekotorye brandmauery, mogut fil'trovat' ftp-soedineniya i zapreshchat' ispol'zovanie komandy FTP put, chto bylo by polezno dlya polucheniya garantij togo, chto pol'zovateli ne mogut, naprimer, pisat' na anonimnyj FTP-server.
Prikladnye shlyuzy imeyut ryad ser'eznyh preimushchestv po sravneniyu s obychnym rezhimom, pri kotorom prikladnoj traffik propuskaetsya napryamuyu k vnutrennim hostam. Oni vklyuchayut v sebya:
Nedostatok prikladnogo shlyuza zaklyuchaetsya v tom, chto pri ispol'zovanii klient-servernyh protokolov, takih kak TELNET, trebuetsya dvuhshagovaya procedura dlya vhozhdeniya vnutr' ili vyhoda naruzhu. Nekotorye prikladnye shlyuzy trebuyut modificirovannyh klientov, chto mozhet rassmatrivat'sya libo kak nedostatok, libo kak preimushchestvo, v zavisimosti ot togo, delayut li modificirovannye klienty bolee legkim ispol'zovaniem brandmauera. Prikladnoj shlyuz TELNET neobyazatel'no trebuet modificirovannogo klienta TELNET, tem ne menee on trebuet drugoj logiki dejstvij ot pol'zovatelya: pol'zovatel' dolzhen ustanovit' soedinenie(no ne seans) s brandmauerom, a ne napryamuyu ustanovit' seans s hostom. No modificirovannyj klient TELNET delaet brandmauer prozrachnym, pozvolyaya pol'zovatelyu ukazat' konechnuyu sistemu( a ne brandmauer) v komande TELNET. Brandmauer yavlyaetsya kak by dorogoj k konechnoj sisteme i poetomu perehvatyvaet soedinenie, a zatem vypolnyaet dopolnitel'nye shagi, takie kak zapros odnorazovogo parolya. Pol'zovatelyu ne nuzhno v etom sluchae nichego delat', no na kazhdoj sisteme dolzhen byt' ustanovlen modificirovannyj klient.
Pomimo TELNET, obychno prikladnye shlyuzy ispol'zuyutsya dlya FTP i elektronnoj pochty, a takzhe X Windows i ryada drugih sluzhb. Nekotorye prikladnye shlyuzy FTP imeyut vozmozhnosti blokirovaniya komand get i put dlya nekotoryh hostov. Naprimer, vneshnij pol'zovatel', ustanovivshij FTP-seans(cherez prikladnoj shlyuz FTP) s vnutrennej sistemoj, takoj, kak anonimnyj FTP-server, mozhet popytat'sya skopirovat' fajly na server. Prikladnoj shlyuz mozhet fil'trovat' FTP-protokol i blokirovat' vse komandy put dlya anonimnogo FTP-servera; eto pozvolit garantirovat', chto nikto ne smozhet zagruzit' na server chego-libo, i dast bol'shie garantii, chem prostaya uverennost' v tom, chto prava dostupa k fajlam na anonimnom FTP-servere ustanovleny korrektno( nekotorye organizacii vveli politiki, v kotoryh zapreshchayutsya komandy get i put dlya opredelennyh direktorij; nalichie brandmauera, fil'truyushchego FTP-komandy, bylo by osobenno polezno v etoj situacii. Nekotorye mesta zapretili komandy get dlya vneshnih hostov, chtoby pol'zovateli ne mogli schitat' informaciyu ili programmy s vneshnih hostov. V drugih zhe setyah zapreshchena komanda put dlya vneshnih hostov, chtoby pol'zovateli ne mogli sohranit' lokal'nuyu informaciyu na vneshnih FTP-serverah. No tipovym yavlyaetsya variant. Kogda zapreshchayutsya vhodyashchie komandy put, chtoby vneshnie pol'zovateli ne mogli pisat' na FTP-servera v seti)
Prikladnoj shlyuz dlya elektronnoj pochty sluzhit dlya centralizovannogo
sbora elektronnoj pochty i rasprostraneniya ee po vnutrennim hostam i pol'zovatelyam.
Dlya vneshnih pol'zovatelej vse vnutrennie pol'zovateli budut imet' adres
vida pol'zovatel'@pochtovyj_host,
gde pochtovyj host - imya shlyuza dlya pochty. SHlyuz dolzhen prinimat' pochtu
ot vneshnih pol'zovatelej, a zatem perepravlyat' ee na drugie vnutrennie
sistemy. Pol'zovateli, posylayushchie elektronnye pis'ma s vnutrennih sistem,
mogut posylat' ih napryamuyu s vnutrennih sistem, ili, esli vnutrennie imena
sistem ne izvestny snaruzhi seti, pis'mo dolzhno byt' poslano na prikladnoj
shlyuz, kotoryj zatem perepravit ego k hostu naznacheniya. Nekotorye pochtovye
shlyuzy ispol'zuyut bolee bezopasnuyu versiyu programmy sendmail
dlya priema pochty.
[Ches94] opisyvaet
druguyu komponentu brandmauera, kotoruyu drugie avtory inogda vklyuchayut v
kategoriyu prikladnyh shlyuzov. SHlyuz transportnogo urovnya propuskaet cherez
sebya TCP-soedineniya, no ne delaet nikakoj
fil'tracii protokola. Naprimer, opisannyj vyshe primer prikladnogo shlyuza
TELNET mozhet sluzhit' primerom shlyuza
transportnogo urovnya, tak kak posle ustanovleniya soedineniya mezhdu istochnikom
i naznacheniem brandmauer prosto peredaet potok dannyh mezhdu etimi dvumya
sistemami. Drugim primerom shlyuza transportnogo urovnya mozhet byt' shlyuz dlya
NNTP, v kotorom NNTP-server
soedinyaetsya s brandmauerom, a zatem - s vnutrennej sistemoj cherez brandmauer.
Zdes' brandmauer prosto peredaet potok dannyh.