ВУЗ:
Составители:
маршрутизаторами. Маршрутизация источника, в основном, используется для устране-
ния проблем в сетях, но также может быть использована для атаки на хост. Если атакую-
щий знает, что ваш хост доверяет какому-нибудь другому хосту, то маршрутизация ис-
точника может быть использована для создания впечатления, что пакеты атакующего
приходят от доверенного хоста. Поэтому из-за такой угрозы безопасности маршрутизато-
ры с фильтрацией пакетов обычно конфигурируются так, чтобы отвергать пакеты с опцией
маршрутизации источника. Поэтому сайт, желающий избежать проблем с маршрутизаци-
ей источника, обычно разрабатывает политику, в которой их маршрутизация запрещена.
9.3.2.2. Фальсификация IP-адреса
Фальсификация IP-адреса имеет место, когда атакующий маскирует свою машину
под хост в сети объекта атаки (то есть пытается заставить цель атаки думать, что пакеты
приходят от доверенной машины во внутренней сети). Политика в отношении маршрути-
зации пакетов должна быть четкой, чтобы можно было корректно построить обработку
пакетов, если есть проблемы с безопасностью. Необходимо объединить аутентификацию
на основе адреса отправителя с другими способами, чтобы защитить вашу сеть от атак
подобного рода.
9.3.3. ТИПЫ МЕЖСЕТЕВЫХ ЭКРАНОВ
Существует несколько различных реализаций брандмауэров, которые могут быть
созданы разными путями. Далее будет приведена краткая характеристика нескольких
архитектур брандмауэров и их применимость к средам с низким, средним и высоким
рискам.
9.3.3.1 Шлюзы с фильтрацией пакетов
Межсетевые экраны с фильтрацией пакетов используют маршрутизаторы с прави-
лами фильтрации пакетов для предоставления или запрещения доступа на основе адреса
отправителя, адреса получателя и порта. Они обеспечивают минимальную безопасность
за низкую цену, и это может оказаться приемлемым для среды с низким риском. Они яв-
ляются быстрыми, гибкими и прозрачными. Правила фильтрации часто нелегко админи-
стрировать, но имеется ряд средств для упрощения задачи создания и поддержания пра-
вил.
Шлюзы с фильтрацией имеют свои недостатки, включая следующие:
•
адреса и порты отправителя и получателя, содержащиеся в заголовке IP-пакета, –
единственная информация, доступная маршрутизатору при принятии решения: разре-
шать или запрещать доступ трафика во внутреннюю сеть;
•
они не защищают от фальсификации IP- и DNS-адресов;
•
атакующий получит доступ ко всем хостам во внутренней сети после того, как
ему был предоставлен доступ МЭ;
•
усиленная аутентификация пользователя не поддерживается некоторыми шлю-
зами с фильтрацией пакетов;
•
практически отсутствуют средства протоколирования доступа к сети.
9.3.3.2. Прикладные шлюзы
Прикладной шлюз использует программы (называемые прокси-серверами), запус-
каемые на МЭ. Эти прокси-сервера принимают запросы извне, анализируют их и пере-
дают безопасные запросы внутренним хостам, которые предоставляют соответствующие
сервисы. Прикладные шлюзы могут обеспечивать такие функции, как аутентификация
пользователей и протоколирование их действий.
Прикладной шлюз считается самым безопасным типом МЭ. При этом он имеет ряд
преимуществ:
−
может быть сконфигурирован как единственный хост, видимый из внешней сети,
что потребует осуществлять все внешние соединения через него;
−
использование прокси-серверов для различных сервисов предотвращает прямой
доступ к этим сервисам, защищая от атак небезопасные или плохо сконфигурированные
внутренние хосты;
−
с помощью прикладных шлюзов может быть реализована усиленная аутентифи-
кация;
−
прокси-сервера могут обеспечивать детальное протоколирование на прикладном
уровне.
Межсетевые экраны прикладного уровня должны конфигурироваться так, чтобы
весь выходящий трафик казался исходящим от МЭ. Таким образом будет запрещен пря-
мой доступ ко внутренним сетям. Все входящие запросы различных сетевых сервисов,
Страницы
- « первая
- ‹ предыдущая
- …
- 105
- 106
- 107
- 108
- 109
- …
- следующая ›
- последняя »
