Основные сведения
С тех пор как Чесвик (Cheswick) и Белоувин (Bellovin) написали свой фундаментальный труд о построении брандмауэров и борьбе с коварным хакером Берфердом (Berferd), желание подключить Web-сервер (или любой другой компьютер) к Internet без развертывания брандмауэра считается самоубийством. Примерно то же можно сказать в ситуации, когда функции брандмауэра возлагаются на переносной компьютер сетевого администратора. Хотя таким опытным специалистам должны быть хорошо известны технические нюансы реализации брандмауэра, как правило, они совершенно не заботятся об обеспечении безопасности и не учитывают цели и средства коварных хакеров. В результате брандмауэры могут оказаться неправильно сконфигурированными, что позволяет взломщикам проникнуть в вашу сеть и послужить причиной далеко не самых лучших ощущений.
На современном рынке преобладает два типа брандмауэров: программные посредники (application proxy) и шлюзы фильтрации пакетов (packet filtering gateways). Хотя программные посредники считаются более надежными, чем шлюзы фильтрации пакетов, их ограниченность и невысокая производительность обуславливают их применение в основном к исходящему трафику, а не к входящему потоку сообщений, поступающему на Web-серверы многих компаний. В то же время, шлюзы фильтрации пакетов или более сложные шлюзы с сохранением состояния (stateful) можно найти во многих крупных организациях, в которых высокие требования предъявляются к исходящему трафику.
После появления первого брандмауэра они стали защищать многочисленные сети от глаз и нападок злоумышленников. Однако брандмауэры все же нельзя рассматривать как панацею от всех бед. Ежегодно новые слабые места обнаруживаются в системе защиты практически каждого брандмауэра, присутствующего на рынке. Что еще хуже, большинство брандмауэров зачастую неправильно настраивается, обслуживается и проверяется. В результате они становятся очень похожи на электронные ограничители, которые лишь не дают двери широко распахнуться, но все же оставляют небольшую щель для проникновения.
Не вызывает никаких сомнений, что правильно разработанный, сконфигурированный и обслуживаемый брандмауэр является практически неуязвимым. Это известно многим опытным злоумышленникам, которые стремятся обойти такие брандмауэры и воспользоваться доверительными отношениями, уязвимыми линиями связи или вообще прибегнуть к нападению через учетную запись удаленного доступа. Из всего вышесказанного можно сделать лишь один вывод: большинство взломщиков предпочитают обойти надежный брандмауэр. Поэтому необходимо позаботиться о его надежности.
Что же касается самих администраторов, то они должны хорошо представлять своих противников и их возможности. Очень важно знать о том, какие первые шаги предпримет злоумышленник для обхода брандмауэра, чтобы вовремя выявить подобную деятельность и предотвратить нападение. В этой главе будут рассмотрены типичные приемы, используемые в настоящее время для исследования и инвентаризации брандмауэров, а также несколько методов, которыми могут воспользоваться взломщики для их обхода. Кроме того, вы узнаете о том, как выявить и предотвратить каждую из подобных атак.