skovyh rabochih stanciyah, terminal'nyh serverah i marshrutizatorah,
mozhet takzhe byt' ispol'zovan dlya chteniya lyubogo fajla v sisteme pri ego
nepravil'noj ustanovke. </LI>

<LI><B>X Windowss, Open Windows </B>, porty 6000+, port 2000,
mozhet ispol'zovat'sya dlya perehvata izobrazheniya okon X-okon, a takzhe vvodimyh
simvolov. </LI>

<LI><B>RPC </B>, port 111, sluzhby vyzova udalennyh procedur,
vklyuchaya NIS i NFS, kotorye mogut ispol'zovat'sya dlya krazhi sistemnoj informacii,
vklyuchaya paroli, a takzhe chteniya i zapisi fajlov </LI>

<LI><B>rlogin, rsh, rexec,</B> porty 513, 514, 512, sluzhby,
kotorye mogut pri ih nepravil'noj konfiguracii privesti k neavtorizovannomu
dostupu v sistemu </LI>
</UL>

<P>Ryad drugih sredstv takzhe obychno fil'truetsya ili ih ispol'zovanie
razreshaetsya tol'ko dlya teh sistem, kotorym oni na samom dele nuzhny. V eto
spisok vhodyat: </P>

<UL>
<LI><B>TELNET</B>, port 23, chasto razreshaetsya tol'ko dlya
otdel'nyh sistem </LI>

<LI><B>FTP</B>, porty 20 i 21, analogichno TELNET ego ispol'zovanie
razresheno tol'ko dlya otdel'nyh sistem </LI>

<LI><B>SMTP, </B>port 25, chasto razreshaetsya tol'ko dlya central'nogo
pochtovogo servera </LI>

<LI><B>RIP</B>, port 520, protokol peredachi informacii o
marshrutizacii paketov, mozhet byt' fal'sificirovan dlya perenapravleniya paketov
</LI>

<LI><B>DNS</B>, port 53, pri zonal'nyh peredachah sluzhby domennyh
imen mozhet byt' poluchena informaciya ob imenah hostov i ih harakteristikah,
kotoraya mozhet pomoch' atakuyushchim, ili eta informaciya mozhet byt' fal'sificirovana
</LI>

<LI><B>UUCP, </B>port 540, UNIX-to-UNIX CoPy, pri nepravil'noj
konfiguracii mozhet byt' ispol'zovan dlya polucheniya neavtorizovannogo dostupa
</LI>

<LI><B>NNTP, </B>port 119, protokol peredachi setevyh novostej,
dlya dostupa i chteniya setevyh novostej </LI>

<LI><B>Gopher, http</B>, porty 70 i 80, ispol'zovanie informacionnyh
serverov i klientskih programm dlya gopher i WWW dolzhno byt' ogranicheno
prikladnym shlyuzom, kotoryj soderzhit proksi-sredstva. </LI>
</UL>

<P>Hotya nekotorye iz etih sluzhb, takie kak TELNET i FTP,
yavlyayutsya opasnymi po svoej suti, polnoe blokirovanie dostupa k drugim mozhet
okazat'sya nepriemlemym dlya mnogih organizacij. Tem ne menee, ne vse sistemy
trebuyut dostupa ko vsem sluzhbam. Naprimer, razreshenie dostupa po TELNET
i FTP iz Interneta tol'ko k tem sistemam, kotorym nuzhen etot vid dostupa,
mozhet uluchshit' bezopasnost', ne prichinyaya neudobstva pol'zovatelyam. Takie
sluzhby, kak NNTP, na pervyj vzglyad ne predstavlyayut osoboj opasnosti, no
razreshenie etih sluzhb tol'ko dlya teh sistem, kotorym oni nuzhny, pomozhet
sozdat' bolee uporyadochennuyu setevuyu sredu i umen'shit veroyatnost' ih ispol'zovaniya
atakuyushchimi iz-za nalichiya v nih eshche neizvestnyh uyazvimyh mest. <BR>
</P>

<H4>Problemy s marshrutizatorami s fil'traciej paketov<BR>
</H4>

<P>Marshrutizatory s fil'traciej paketov imeyut ryad nedostatkov,
opisannyh v [Chap92]. Pravila fil'tracii paketov slozhno formuliruyutsya i
obychno net sredstv dlya testirovaniya ih korrektnosti( krome kak ruchnoe testirovanie).
U nekotoryh marshrutizatorov net sredstv protokolirovaniya, poetomu esli
pravila fil'tracii paketov vse-taki pozvolyat opasnym paketam projti marshrutizatora,
takie pakety ne smogut byt' vyyavleny do obnaruzheniya proniknoveniya. </P>

<P>CHasto trebuetsya sdelat' isklyucheniya iz pravil, chtoby razreshit'
opredelennye vidy dostupa, kotorye obychno blokiruyutsya. No isklyucheniya iz
pravil fil'tracii inogda mogut sdelat' pravila fil'tracii takimi slozhnymi,
chto oni stanut nekontroliruemymi. Naprimer, dostatochno prosto napisat'
pravilo dlya blokirovaniya vseh vhodyashchih soedinenij k portu 23( serveru TELNETa).
Esli zhe delayutsya isklyucheniya, to est' esli s nekotorymi sistemami seti razreshaetsya
imet' pryamye soedineniya po TELNET, to dolzhno byt' dobavleno pravilo dlya
kazhdoj takoj sistemy. Inogda dobavlenie opredelennyh pravil mozhet uslozhnit'
vsyu shemu fil'tracii. Kak bylo uzhe skazano, testirovanie slozhnogo nabora
pravil na ih korrektnost' mozhet okazat'sya ochen' trudnym. </P>

<P>Nekotorye marshrutizatory s fil'traciej paketov ne fil'truyut
po portu TCP/UDP otpravitelya, chto mozhet sdelat' nabor pravil fil'tracii
ochen' slozhnym i sozdat' &quot;dyry&quot; v sheme fil'tracii. [Chap92] opisyvaet
podobnye problemy s setyami, v kotoryh byli razresheny vhodyashchie i ishodyashchie
SMTP-soedineniya . Soglasno punktu 1.2.5, TCP-soedineniya imeyut port otpravitelya
i port poluchatelya. Esli sistema iniciiruet SMTP-soedinenie s serverom,
portom istochnika budet sluchajno vybrannyj port s nomerom bol'she 1024, a
portom poluchatelya budet budet port s nomerom 25, port, kotoryj slushaet
server SMTP. Server budet vozvrashchat' pakety s nomerom porta otpravitelya
25, i nomerom porta poluchatelya, ravnym sluchajno vybrannomu klientom nomeru
porta. Esli v seti razresheny vhodyashchie i ishodyashchie SMTP-soedineniya, to marshrutizator
dolzhen razreshat' soedineniya s portami otpravitelya i poluchatelya, bol'shimi
1023, v oboih napravleniyah. Esli marshrutizator mozhet fil'trovat' po portu
otpravitelya, on mozhet blokirovat' vse pakety, vhodyashchie v set' organizacii,
u kotoryh port poluchatelya bol'she 1023, a port otpravitelya ne raven 25.
Esli on ne mozhet fil'trovat' pakety po portu otpravitelya, marshrutizator
dolzhen razreshit' soedineniya, kotorye ispol'zuyut porty otpravitelya i poluchatelya
bol'she 1024. Pol'zovateli inogda mogut special'no zapustit' servera na
portah, bol'shih 1023, i obhodit' takim obrazom politiku fil'tracii( to
est' obychno server telnet v sisteme slushaet port 23, no mozhet byt' skonfigurirovan
tak, chto budet slushat' vmesto etogo port 9876; i pol'zovateli v Internete
smogut organizovat' telnet-seans s etim serverom dazhe, esli marshrutizator
blokiruet soedineniya s portom naznacheniya 23). </P>

<P>Drugoj problemoj yavlyaetsya to, chto ryad sluzhb RPC ochen'
trudno zablokirovat' iz-za togo, chto servera dlya etih sluzhb slushayut porty,
sluchajno vybiraemye v processe zagruzki sistemy. Sluzhba, izvestnaya pod
nazvaniem <B>portmapper</B> otobrazhaet pervonachal'nye vyzovy sluzhb RPC
v naznachennye im nomera sluzhb, no ee ekvivalenta ne sushchestvuet dlya marshrutizatora
s fil'traciej paketov. Tak kak marshrutizatoru nel'zya soobshchit', s kakim
portom rabotaet sluzhba, nel'zya polnost'yu zablokirovat' eti sluzhby, razve
chto zablokirovat' polnost'yu vse pakety UDP( RPC-sluzhby v-osnovnom ispol'zuyut
UDP). Blokirovanie vseh paketov UDP privedet k blokirovaniyu ryada drugih
poleznyh sluzhb, takih kak DNS. Poetomu blokirovanie RPC privodit k dilemme.
</P>

<P>Marshrutizatory s fil'traciej paketov s bolee chem dvumya
interfejsami inogda ne imeyut vozmozhnostej po fil'tracii paketov v zavisimosti
ot togo, s kakogo interfejsa prinyaty pakety, i kuda dolzhny byt' napravleny.
Fil'traciya vhodyashchih i ishodyashchih paketov uproshchaet pravila fil'tracii paketov
i pozvolyaet marshrutizatoru legko opredelit', kakoj IP-adres nastoyashchij,
a kakoj - fal'shivyj. Marshrutizatory bez takoj vozmozhnosti zatrudnyayut realizaciyu
strategij fil'tracii. </P>

<P>Krome togo, marshrutizatory s fil'traciej paketov mogut
realizovyvat' obe konceptual'nye strategii, opisannye v punkte 2.4.1. Nabor
pravil, kotoryj menee gibok, to est' ne fil'truet po portu otpravitelya
ili po tipu interfejsa( vhodyashchij ili vyhodyashchij), umen'shaet vozmozhnosti
marshrutizatora po pretvoreniyu v zhizn' vtoroj i bolee sil'noj politiki,
pri kotoroj zapreshchayutsya vse servisy, krome teh, chto yavno razresheny. Naprimer,
problematichnye sluzhby, takie, kak te, kotorye baziruyutsya na RPC, stanovitsya
eshche trudnee fil'trovat' s menee gibkim naborom pravil; otsutstvie fil'tracii
po portu otpravitelya zastavlyaet razreshat' soedineniya s portami, bol'shimi
1023. Pri menee gibkom nabore pravil marshrutizator imeet men'she vozmozhnostej
po realizacii sil'noj politiki, i poetomu obychno ispol'zuyut pervuyu politiku
- razreshat' vse sredstva, krome teh, chto yavno zapreshcheny. </P>

<P>CHitatelyam rekomenduetsya prochitat' [Chap92], v kotorom
dano bolee detal'no opisanie fil'tracii paketov i svyazannyh s nej problem.
Hotya fil'traciya paketov ochen' vazhna, nuzhno znat' sushchestvuyushchie problemy
i puti ih resheniya.<BR>
</P>

<H3>2.4.4 Prikladnye shlyuzy<BR>
</H3>

<P>CHtoby zashchitit'sya ot ryad uyazvimyh mest, svyazannyh s marshrutizatorami
s fil'traciej paketov, v brandmauerah nuzhno ispol'zovat' prikladnye programmy
dlya perenapravleniya i fil'tracii soedinenij s takimi sluzhbami, kak TELNET
i FTP. Takoe prilozhenie nazyvaetsya proksi-sluzhboj, a host, na kotorom rabotaet
proksi-sluzhba - prikladnym shlyuzom. Prikladnye shlyuzy i marshrutizatory s
fil'traciej paketov mogut byt' ob®edineny dlya dostizheniya bolee vysokoj
bezopasnosti i gibkosti, chem byla by dostignuta, esli by oni ispol'zovalis'
otdel'no. </P>

<P>Naprimer, rassmotrim set', v kotoroj blokiruyutsya vhodyashchie
soedineniya TELNET i FTP s pomoshch'yu marshrutizatora s fil'traciej paketov.
|tot marshrutizator pozvolyaet propuskat' pakety TELNET ili FTP tol'ko k
odnoj mashine, prikladnomu shlyuzu TELNET/FTP. Pol'zovatel', kotoryj hochet
soedinit'sya snaruzhi s sistemoj v seti, dolzhen snachala soedinit'sya s prikladnym
shlyuzom, a zatem uzh s nuzhnym hostom : </P>

<UL>
<LI>snachala pol'zovatel' ustanavlivaet telnet-soedinenie
s prikladnym shlyuzom i vvodit imya vnutrennego hosta </LI>

<LI>shlyuz proveryaet IP-adres pol'zovatelya i razreshaet ili
zapreshchaet soedinenie v sootvetstvii s tem ili inym kriteriem dostupa
</LI>

<LI>mozhet ponadobit'sya autentifikaciya pol'zovatelya(vozmozhno
s pomoshch'yu odnorazovyh parolej) </LI>

<LI>proksi-server sozdaet telnet-soedinenie mezhdu shlyuzom
i vnutrennim hostom </LI>

<LI>proksi-server peredaet dannye mezhdu etimi dvumya soedineniyami
</LI>

<LI>prikladnoj shlyuz protokoliruet soedinenie </LI>
</UL>

<P><IMG SRC="chap204.gif" HEIGHT=292 WIDTH=533>
</P>

<P>Risunok 2.4 Virtual'nye soedineniya, realizuemye s pomoshch'yu
prikladnogo shlyuza i proksi-sredstv<BR>
</P>

<P>|tot primer demonstriruet neskol'ko preimushchestv ispol'zovaniya
proksi-sluzhb. Vo-pervyh, proksi- sluzhby razreshayut tol'ko te sluzhby, dlya
kotoryh est' proksi. Drugimi slovami, esli prikladnoj shlyuz soderzhit proksi
dlya FTP i TELNET, to v zashchishchaemoj podseti budut razresheny tol'ko FTP
i TELNET, a drugie sluzhby budut
polnost'yu blokirovany. Dlya nekotoryh organizacij takoj vid bezopasnosti
vazhen, tak kak garantiruet, chto tol'ko te sluzhby, kotorye schitayutsya bezopasnymi,
budut propuskat'sya cherez brandmauer. |tot podhod takzhe predohranyaet ot
vozmozhnosti razrabotki novyh nebezopasnyh sluzhb bez uvedomleniya administratorov
brandmauera. </P>

<P>Drugim preimushchestvom ispol'zovaniya proksi-sluzhb yavlyaetsya
to, chto mozhet byt' osushchestvlena fil'traciya protokolov. Naprimer, nekotorye
brandmauery, mogut fil'trovat' ftp-soedineniya
i zapreshchat' ispol'zovanie komandy FTP put,
chto bylo by polezno dlya polucheniya garantij togo, chto pol'zovateli ne mogut,
naprimer, pisat' na anonimnyj FTP-server.
</P>

<P>Prikladnye shlyuzy imeyut ryad ser'eznyh preimushchestv po sravneniyu
s obychnym rezhimom, pri kotorom prikladnoj traffik propuskaetsya napryamuyu
k vnutrennim hostam. Oni vklyuchayut v sebya: </P>

<UL>
<LI><B>skrytie informacii </B>, pri kotorom imena vnutrennih
sistem neobyazatel'no budut izvestny vneshnim sistemam s pomoshch'yu DNS,
tak kak prikladnoj shlyuz mozhet byt' edinstvennym hostom, ch'e imya dolzhno
byt' izvestno vneshnim sistemam. </LI>

<LI><B>nadezhnaya autentifikaciya i protokolirovanie</B> , pri
kotorom prikladnoj traffik mozhet byt' predvaritel'no autentificirovan do
togo, kak on dostignet vnutrennih hostov, i mozhet byt' zaprotokolirovan
bolee effektivno, chem standartnye sredstva protokolirovaniya hosta.
</LI>

<LI><B>optimal'noe sootnoshenie mezhdu cenoj i effektivnost'yu</B>
iz-za togo, chto dopolnitel'nye programmy ili oborudovanie dlya autentifikacii
ili protokolirovaniya nuzhno ustanavlivat' tol'ko na prikladnom shlyuze.
</LI>

<LI><B>prostye pravila fil'tracii , </B>tak kak pravila na
marshrutizatore s fil'traciej paketov budut menee slozhnymi, chem oni byli
by, esli by marshrutizator sam fil'troval prikladnoj traffik i otpravlyal
ego bol'shomu chislu vnutrennih sistem. Marshrutizator dolzhen tol'ko propuskat'
prikladnoj traffik k prikladnomu shlyuzu i blokirovat' ves' ostal'noj traffik.
</LI>
</UL>

<P>Nedostatok prikladnogo shlyuza zaklyuchaetsya v tom, chto pri
ispol'zovanii klient-servernyh protokolov, takih kak TELNET,
trebuetsya dvuhshagovaya procedura dlya vhozhdeniya vnutr' ili vyhoda naruzhu.
Nekotorye prikladnye shlyuzy trebuyut modificirovannyh klientov, chto mozhet
rassmatrivat'sya libo kak nedostatok, libo kak preimushchestvo, v zavisimosti
ot togo, delayut li modificirovannye klienty bolee legkim ispol'zovaniem
brandmauera. Prikladnoj shlyuz TELNET neobyazatel'no
trebuet modificirovannogo klienta TELNET,
tem ne menee on trebuet drugoj logiki dejstvij ot pol'zovatelya: pol'zovatel'
dolzhen ustanovit' soedinenie(no ne seans) s brandmauerom, a ne napryamuyu
ustanovit' seans s hostom. No modificirovannyj klient TELNET
delaet brandmauer prozrachnym, pozvolyaya pol'zovatelyu ukazat' konechnuyu
sistemu( a ne brandmauer) v komande TELNET.
Brandmauer yavlyaetsya kak by dorogoj k konechnoj sisteme i poetomu perehvatyvaet
soedinenie, a zatem vypolnyaet dopolnitel'nye shagi, takie kak zapros odnorazovogo
parolya. Pol'zovatelyu ne nuzhno v etom sluchae nichego delat', no na kazhdoj
sisteme dolzhen byt' ustanovlen modificirovannyj klient. </P>

<P>Pomimo TELNET, obychno
prikladnye shlyuzy ispol'zuyutsya dlya FTP i
elektronnoj pochty, a takzhe X Windows i
ryada drugih sluzhb. Nekotorye prikladnye shlyuzy FTP
imeyut vozmozhnosti blokirovaniya komand get
i put dlya nekotoryh hostov.
Naprimer, vneshnij pol'zovatel', ustanovivshij FTP-seans(cherez
prikladnoj shlyuz FTP) s vnutrennej sistemoj,
takoj, kak anonimnyj FTP-server, mozhet
popytat'sya skopirovat' fajly na server. Prikladnoj shlyuz mozhet fil'trovat'
FTP-protokol i blokirovat' vse komandy
put dlya anonimnogo FTP-servera;
eto pozvolit garantirovat', chto nikto ne smozhet zagruzit' na server chego-libo,
i dast bol'shie garantii, chem prostaya uverennost' v tom, chto prava dostupa
k fajlam na anonimnom FTP-servere ustanovleny
korrektno( nekotorye organizacii vveli politiki, v kotoryh zapreshchayutsya
komandy get i put
dlya opredelennyh direktorij; nalichie brandmauera, fil'truyushchego FTP-komandy,
bylo by osobenno polezno v etoj situacii. Nekotorye mesta zapretili komandy
get dlya vneshnih hostov, chtoby pol'zovateli
ne mogli schitat' informaciyu ili programmy s vneshnih hostov. V drugih zhe
setyah zapreshchena komanda put dlya vneshnih
hostov, chtoby pol'zovateli ne mogli sohranit' lokal'nuyu informaciyu na vneshnih
FTP-serverah. No tipovym yavlyaetsya variant.
Kogda zapreshchayutsya vhodyashchie komandy put,
chtoby vneshnie pol'zovateli ne mogli pisat' na FTP-servera
v seti) </P>

<P>Prikladnoj shlyuz dlya elektronnoj pochty sluzhit dlya centralizovannogo
sbora elektronnoj pochty i rasprostraneniya ee po vnutrennim hostam i pol'zovatelyam.
Dlya vneshnih pol'zovatelej vse vnutrennie pol'zovateli budut imet' adres
vida <I>pol'zovatel'@pochtovyj_host,
gde pochtovyj host - imya shlyuza dlya pochty.</I> SHlyuz dolzhen prinimat' pochtu
ot vneshnih pol'zovatelej, a zatem perepravlyat' ee na drugie vnutrennie
sistemy. Pol'zovateli, posylayushchie elektronnye pis'ma s vnutrennih sistem,
mogut posylat' ih napryamuyu s vnutrennih sistem, ili, esli vnutrennie imena
sistem ne izvestny snaruzhi seti, pis'mo dolzhno byt' poslano na prikladnoj
shlyuz, kotoryj zatem perepravit ego k hostu naznacheniya. Nekotorye pochtovye
shlyuzy ispol'zuyut bolee bezopasnuyu versiyu programmy sendmail
dlya priema pochty.<BR>
</P>

<H4>SHlyuzy transportnogo urovnya<BR>
</H4>

<P>[Ches94] opisyvaet
druguyu komponentu brandmauera, kotoruyu drugie avtory inogda vklyuchayut v
kategoriyu prikladnyh shlyuzov. SHlyuz transportnogo urovnya propuskaet cherez
sebya TCP-soedineniya, no ne delaet nikakoj
fil'tracii protokola. Naprimer, opisannyj vyshe primer prikladnogo shlyuza
TELNET mozhet sluzhit' primerom shlyuza
transportnogo urovnya, tak kak posle ustanovleniya soedineniya mezhdu istochnikom
i naznacheniem brandmauer prosto peredaet potok dannyh mezhdu etimi dvumya
sistemami. Drugim primerom shlyuza transportnogo urovnya mozhet byt' shlyuz dlya
NNTP, v kotorom NNTP-server
soedinyaetsya s brandmauerom, a zatem - s vnutrennej sistemoj cherez brandmauer.
Zdes' brandmauer prosto peredaet potok dannyh.<BR>
<BR>
</P>