Підміна одного із суб'єктів TCP-з'єднання? Відповідь негативна; Firewall отут абсолютно не при чому. Порушення працездатності хосту шляхом створення спрямованого шторму помилкових запитів чи переповнення черги запитів? У цьому випадку застосування Firewall тільки погіршить усю справу. Атакуючому для того, щоб вивести з ладу (відрізати від зовнішнього світу) усі хости усередині захищеного Firewall-системою сегмента, досить атакувати тільки один Firewall, а не трохи хостів (це легко порозумівається тим, що зв'язок внутрішніх хостів із зовнішнім світом можливий тільки через Firewall).
З усього вищесказаного аж ніяк не випливає, що використання систем Firewall абсолютно безглуздо. Ні, на даний момент цій методиці немає альтернативи. Однак треба чітко розуміти і пам'ятати її основне призначення. Нам представляється, що застосування методики Firewall для забезпечення мережної безпеки є необхідною, але аж ніяк не достатньою умовою, і не потрібно вважати, що, поставивши Firewall, ви разом вирішите всі проблеми з мережною безпекою і позбудетеся від усіх можливих вилучених атак з мережі Internet. Прогнила з погляду безпеки мережа Internet ніяким окремо узятим Firewall'ом не захистиш!
3.3 Програмні методи захисту, застосовані в мережі Internet.
До програмних методів захисту в мережі Internet можна віднести насамперед захищені криптопротоколи, з використанням яких з'являється можливість надійного
захисту з'єднання. Далі піде мова про існуючі на сьогоднішній день у Internet підходах і основних, уже розроблених, криптопротоколах.
До іншого класу програмних методів захисту від вилучених атак відносяться існуючі на сьогоднішній день програми, основна мета яких - аналіз мережного трафіка на предмет наявності одного з відомих активних вилучених впливів.
3.4 SKIP-технологія і криптопротоколи SSL, S-HTTP як основний засіб захисту з'єднання і переданих даних у мережі.
Одна з основних причин успіху вилучених атак на розподілені ВР криється у використанні мережних протоколів обміну, що не можуть надійно ідентифікувати вилучені об'єкти, захистити з'єднання і передані по ньому дані. Тому зовсім природно, що в процесі функціонування Internet були створені різні захищені мережні протоколи, що використовують криптографію як із закритим, так і з відкритим ключем. Класична криптографія із симетричними криптоалгоритмами припускає наявність у передавальної і приймаючої сторони симетричних (однакових) ключів для шифрування і дешифрування повідомлень. Ці ключі передбачається розподілити заздалегідь між кінцевим числом абонентів, що в криптографії називається стандартною проблемою статичного розподілу ключів. Очевидно, що застосування класичної криптографії із симетричними ключами можливо лише на обмеженій безлічі об'єктів. У мережі Internet для всіх її користувачів вирішити проблему статичного розподілу ключів, мабуть, не представляється можливим. Однак одним з перших захищених протоколів обміну в Internet був протокол Kerberos, заснований саме на статичному розподілі ключів для кінцевого числа абонентів. Таким же шляхом, використовуючи класичну симетричну криптографію, наші спецслужби змушені йти на те, що розробляють свої захищені криптопротоколи для мережі Internet. Це порозумівається тим, що чомусь дотепер немає гостированного криптоалгоритму з відкритим ключем. Скрізь у світі подібні стандарти шифрування давно прийняті і сертифіковані, а ми, видимо, знову йдемо другим шляхом.
Отже, зрозуміло, що для того, щоб дати можливість захиститися всій безлічі користувачів мережі Internet, а не обмеженій його підмножині, необхідно використовувати динамічно вироблювані в процесі створення віртуального з'єднання ключі при використанні криптографії з відкритим ключем. Далі ми розглянемо основні на сьогоднішній день підходи і протоколи, що забезпечують захист з'єднання.
SKIP (Secure Key Internet Protocol)- технологією називається стандарт інкапсуляції IP-пакетів, що дозволяє в існуючому стандарті IPv4 на мережному рівні забезпечити захист з'єднання і переданих по ньому даних. Це досягається в такий спосіб: SKIP-пакет являє собою звичайний IP-пакет, поле даних якого представляє із себе SKIP-заголовок визначеного специфікацією формату і криптограму (зашифровані дані). Така структура SKIP-пакета дозволяє безперешкодно направляти його будь-якому хосту в мережі Internet (міжмережна адресація відбувається по звичайному IP-заголовку в SKIP-пакеті). Кінцевий одержувач SKIP-пакета по заздалегідь визначеному розроблювачами алгоритму розшифровує криптограму і
формує звичайний TCP- чи UDP-пакет, що і передає відповідному звичайному модулю (TCP чи UDP) ядра операційної системи. У принципі, ніщо не заважає розроблювачу формувати за даною схемою свій оригінальний заголовок, відмінний від SKIP-заголовка.
S-HTTP (Secure HTTP) - це розроблений компанією Enterprise Integration Technologies (EIT) спеціально для Web захищений HTTP-протокол. Протокол S-HTTP дозволяє забезпечити надійний криптозахист тільки HTTP-документів Web-півночі і функціонує на прикладному рівні моделі OSI. Ця особливість протоколу S-HTTP робить його абсолютно спеціалізованим засобом захисту з'єднання, і, як наслідок, неможливе його застосування для захисту всіх інших прикладних протоколів (FTP, TELNET, SMTP і ін.). Крім того, жоден з існуючих на сьогоднішній день основних Web-браузерів (ні Netscape Navigator , ні Microsoft Explorer ) не підтримують даний протокол.
SSL (Secure Socket Layer) - розробка компанії Netscape - універсальний протокол захисту з'єднання, що функціонує на сеансовому рівні OSI. Цей протокол, що використовує криптографію з відкритим ключем, на сьогоднішній день, на нашу думку, є єдиним універсальним засобом, що дозволяє динамічно захистити будь-яке з'єднання з використанням будь-якого прикладного протоколу (DNS, FTP, TELNET, SMTP і т.д.). Це зв'язано з тим, що SSL, на відміну від S-HTTP, функціонує на проміжному сеансовому рівні OSI (між транспортним - TCP, UDP, - і прикладним - FTP, TELNET і т.д.). При цьому процес створення віртуального SSL-з'єднання відбувається за схемою Діффі і Хеллмана, що дозволяє виробити криптостійкий