Firewall-urile pot proteja rețeaua de anumite tipuri de atacuri. Ele oferă un trafic de rețea de verificare util. Cu toate acestea, la fel ca software-ul antivirus, firewall-uri nu oferă o protecție absolută. De fapt, acestea oferă adesea mult mai puțină protecție.
În primul rând, chiar dacă firewall-uri ar fi de 100% eficace, și să reflecte toate merge prin aceste atacuri, se înțelege că nu toate domeniile atacurilor trec prin firewall. angajați fără scrupule, securitatea fizică, modem-uri și dischete infectate sunt încă o varietate de amenințări de securitate. De dragul discuției nu abordează amenințările de securitate care nu sunt legate de necesitatea de a trece prin firewall-uri.
- un dispozitiv de firewall-uri și / sau software-ul dezvoltat pentru separarea selectivă a două sau mai multe rețele. Ele sunt destinate să permită trecerea unor flux de informații și pentru a preveni alte persoane. Ce anume de a autoriza sau de a interzice, în mod obișnuit controlează persoana care controlează firewall-ul. Ceea ce este permis sau interzis, trebuie să se reflecte în scris în politica de securitate, care este dezvoltat în fiecare organizație.
Nu producătorii de firewall-uri nu știu despre aceste probleme? Hackerii și dezvoltatorii de firewall-uri joacă un joc nesfârșit de „Catch Me“. Producătorii de firewall-uri trebuie să aștepte pentru hackeri veni cu un nou tip de atac, pentru că ei nu știu cum să le protejeze, și, prin urmare, va rămâne mereu în urmă.
Se pare că există mai multe moduri de a fi atacat prin firewall. În mod ideal, politica de securitate firewall-ul este realizată în întregime. De fapt, firewall-ul este creat de oameni, deci este departe de a fi perfectă. Una dintre principalele probleme ale firewall-uri este faptul că managerii săi pot limita cu greu este traficul pe care le-ar dori. De exemplu, politica de securitate se poate afirma că a permis accesul la Internet prin intermediul protocolului HTTP, și este interzisă utilizarea RealAudio. Administrator al firewall-ul ar trebui să interzică porturile RealAudio, nu-i așa? Problema este că oamenii care au scris RealAudio, realizând că acest lucru se poate întâmpla, permit utilizatorilor să descarce fișiere RealAudio prin HTTP. De fapt, dacă nu se specifică în mod clar la setarea unei opțiuni de acces la conținut cu RealAudio Web-site-ul, cele mai multe versiuni ale RealAudio efectua o serie de teste pentru a determina versiunea de astfel de acces. În același timp, dacă este necesar, protocolul HTTP va fi selectat automat. De fapt, problema în acest caz este faptul că orice protocol poate fi tunneled peste oricare alta, în cazul în care timp de sincronizare nu este critică (de exemplu, în cazul în care tunelare nu duce la reducerea vitezei excesive). RealAudio efectuează tamponare, în cazul în care se confruntă cu problema de sincronizare.
Dezvoltatorii de diferite Internet „jucării“ sunt conștienți de ceea ce protocoale sunt de obicei permise și ceea ce nu este. Multe programe dezvoltate folosind protocolul HTTP ca informațiile principale sau prin transfer de fonduri de rezervă prin rețea.
Există, probabil, mai multe moduri de a ataca o companie, firewall sigur și fără nici un impact pe ecran. Puteți fi atacat folosind modemuri, dischete, luare de mită și luare de mită, hacking-ul sistemelor de securitate calculator, acces fizic la calculator, și așa mai departe. Pe. Dar avem în vedere acum un atac pe firewall.
Atacul pe server neprotejat
O altă modalitate de a obține trecut un paravan de protecție este de a ataca zonele neprotejate ale rețelei. Firewall-urile formează o zonă demilitarizată (DMZ), care sunt aranjate Web-cepeepa, servere de e-mail, și așa mai departe. D. dezbatere Cunoscut dacă rețeaua de perimetru clasic situat în întregime în afara firewall-ului (și, prin urmare, nu sunt protejate), sau DMZ - aceasta este o rețea intermediară. În prezent, în cele mai multe cazuri, Web-servere, servere de mail și așa mai departe. P. Aparțin așa-numita a treia interfață a firewall-ului, care le protejează de expunerea la exterior, prevenind în același timp, componentele rețelei interne pentru a stabili o relație de încredere cu ei și să ia în mod direct informații de la ei.
Să presupunem că ați găsit o modalitate de a ajunge la server în DMZ. Ca rezultat, veți avea acces la directorul rădăcină al serverului sau de administrator privilegii pe server. Asta înseamnă că este posibil să pătrundă în rețeaua internă? Nu a fost încă. Să ne amintim că, în conformitate cu date anterior definiție dispozitivele din zona DMZ nu au acces la rețeaua internă. În practică, acest lucru nu este întotdeauna mulțumit, pentru că foarte puțini oameni sunt dispuși să se angajeze în administrarea serverelor lor, în timp ce stau la consola. Ce se întâmplă dacă FTP-server, de exemplu, au vrut să deschidă totul în afară de sine, accesul la FTP-portul? Și să beneficiul organizării celei mai mari traficului de rețea trebuie să treacă de la rețeaua internă la DMZ. Cele mai multe firewall-uri pot acționa ca diode, sărind peste traficul într-o singură direcție. Organizați un mod similar de operare este dificil, dar este posibil. În acest caz, principala dificultate de penetrare în rețeaua internă este că trebuie să fie în anticiparea unor evenimente. De exemplu, dacă te prind momentul pe FTP început de transmisie de date sau deschiderea administratorului de pe fereastra internă XWindow rețea (XWindow fereastră este utilizat pe scară largă într-un mediu de rețea de protocol UNIX pentru afișare grafică cu ferestre multiple și text), atunci va fi capabil să pătrundă în rețeaua internă.
Un atac direct asupra firewall
Uneori crezi că firewall-ul este compromis. Acest lucru se poate întâmpla atât cu firewall Homegrown (care este necesară pentru a obține o examinare preliminară la ecranul de administrator) și industriale (care poate da, uneori, un fals sentiment de securitate, și, prin urmare, de asemenea, nevoie de examinări preliminare). Se întâmplă ca un consultant bun pentru a configura firewall-ul, dar nu o persoană a plecat acum, care ar ști cum să-l servească. Informații despre noile atacuri sunt publicate tot timpul, dar dacă oamenii nu acorde atenție la ei, ei nu vor ști despre orice patch-uri sau aplicarea lor.
Lacunele în securitate client-side
Una dintre cele mai bune moduri de a trece de firewall de securitate se bazează pe utilizarea punctelor sale slabe. În plus față de vulnerabilitățile browser-ul Web în program cu potențiale încălcări ale securității includ programe, cum ar fi AOL Instant Messenger, MSN chat, ICQ, IRC client, si chiar Telnet si clienti FTP. Aceasta poate necesita suplimentare de cercetare, răbdare și un pic de noroc, pentru a profita de deficiențe în sistemul lor de apărare. Se recomandă pentru a localiza un utilizator într-o organizație menită să atace, care va fi capabil să ruleze unul dintre aceste programe. Multe dintre programele conțin un mijloc de chat amic de detectare, deci nu este nimic neobișnuit în faptul că oamenii publica numărul ICQ pe pagina sa de start. (Tu I Seek - un sistem de comunicare interactivă pe internet, permițând rețelei pentru a găsi parteneri cu aceleași interese și să le împărtășiți cu mesaje în timp real.) Deci, este ușor de a găsi un număr de program victim.com și ICQ, care vor fi utilizate pentru a ocoli sistemul de securitate. Și apoi așteptați pentru om presupusa a fi la locul de muncă, și să efectueze planul său cu numere ICQ lui. Dacă utilizați o încălcare gravă de securitate, acesta va fi, probabil, posibil de a transfera codul executabil prin firewall, care poate face orice vrei.
Această lege este utilizată în capitolele 7, 11, 12, 13, 15 și 17.