Иллюстрированный самоучитель по Secure Web

       

На самом деле правильно сконфигурированный


На самом деле правильно сконфигурированный брандмауэр оказывается чрезвычайно хорошо защищенным. Однако при использовании средств сбора информации, таких как утилиты traceroute, hping и nmap, взломщики могут исследовать потенциальные пути прохождения маршрутизатора и брандмауэра, а также определить их тип (или как минимум сделать на этот счет определенные предположения). Большинство из известных в настоящее время изъянов связано с неправильной настройкой брандмауэра или недостаточным вниманием к его администрированию. Использование взломщиком любого из них может привести к настоящей катастрофе.

Кроме того, в обоих типах брандмауэров имеются свои собственные специфические изъяны, в том числе возможность использования служб Web, telnet и локальной регистрации. Для предотвращения большинства из рассмотренных слабых мест можно воспользоваться определенными контрмерами, однако в некоторых случаях возможно лишь их выявление.

Многие считают, что в будущем неизбежно произойдет слияние обоих технологий — программных посредников и брандмауэров с фильтрацией пакетов, — что позволит ограничить количество ошибок, возникающих при их конфигурировании в настоящее время. Подсистема противодействия также станет составной частью брандмауэров нового поколения. Компания NAI уже реализовала свою архитектуру такой подсистемы — Active Security. После выявления вторжения она позволяет автоматически инициировать предопределенные изменения конфигурации сервера, подвергнувшегося атаке. Например, если системой выявления вторжений обнаружено туннелирование пакетов ICMP, то она может направить брандмауэру сообщение о необходимости игнорирования запросов ECHO. Однако в таком сценарии по-прежнему остается место для атак DoS, так что сотрудникам службы безопасности не стоит забывать об этом.

Содержание раздела