3) Створення приватних мереж (Private Virtual Network - PVN) з "віртуальними" IP-адресами (NAT - Network Address Translation).

У тому випадку, якщо адміністратор безпеки мережі вважає за доцільне сховати щиру топологію своєї внутрішньої IP-мережі, то йому можна порекомендувати використовувати системи Firewall для створення приватної мережі (PVN-мережа). Хостам у PVN-мережі призначаються будь-які "віртуальні" IP-адреси. Для адресації в зовнішню мережу (через Firewall) необхідно або використання на хості Firewall описаних вище proxy-серверів, або застосування спеціальних систем роутінгу (маршрутизації), тільки через який і можлива зовнішня адресація. Це відбувається через те, що використовувана у внутрішній PVN-мережі віртуальна IP-адреса, мабуть, не придатна для зовнішньої адресації (зовнішня адресація - це адресація до абонентів, що знаходиться за межами PVN-мережі). Тому чи proxy-сервер засіб роутінгу повинний здійснювати зв'язок з абонентами з зовнішньої мережі зі своєї дійсної IP-адреси. До речі, ця схема зручна в тому випадку, якщо вам для створення ІР-мережі виділили недостатню кількість IP-адрес (у стандарті IPv4 це случається суцільно і поруч, тому для створення повноцінної IP-мережі з використанням proxy-схеми досить тільки однієї виділеної IP-адреси для proxy-сервера).

Будь-який пристрій, що реалізує хоча б одну з цих функцій Firewall-методики, і є Firewall-пристроєм. Наприклад, ніщо не заважає використовувати в якості Firewall - хосту комп'ютер зі звичайної ОС FreeBSD чи Linux, у якої відповідним чином необхідно скомпілювати ядро ОС. Firewall такого типу буде забезпечувати тільки багаторівневу фільтрацію ІР-трафіка. Інша справа, пропоновані на ринку могутні Firewall-комплекси, зроблені на базі ЕОМ чи мічі -ЕОМ, звичайно реалізують усі функції Firewall-методики і є повно функціональними системами Firewall. На наступному малюнку зображений сегмент мережі, відділений від зовнішньої мережі повно функціональним Firewall - хостом.

Однак адміністраторам IP-мереж, піддавшись на рекламу систем Firewall, не варто помилятися на той рахунок, що Firewall це гарантія абсолютного захисту від вилучених атак у мережі Internet. Firewall - не стільки засіб забезпечення безпеки, скільки можливість централізовано здійснювати мережну політику розмежування вилученого доступу до доступних ресурсів вашої мережі Так, у тому випадку, якщо, наприклад, до даного хосту заборонений вилучений TELNET-доступ, то Firewall однозначно запобіжить можливість даного доступу. Але справа в тім, що більшість вилучених атак мають зовсім інші мети (безглуздо намагатися одержати визначений вид доступу, якщо він заборонений системою Firewall). Дійсно, задамо собі питання, а які з вилучених атак може запобігти Firewall? Аналіз мережного трафіка? Помилковий ARP-сервер? Помилковий DNS-сервер? Ні, на жаль, Firewall вам отут не помічник. Нав'язування помилкового маршруту за допомогою протоколу ІСМР? Так, цю атаку шляхом фільтрації ІСМР-повідомлень Firewall легко відіб'є (хоча досить буде фільтруючого маршрутизатора, наприклад Cisco). Підміна одного із суб'єктів TCP-з'єднання? Відповідь негативна; Firewall отут абсолютно не при чому. Порушення працездатності хосту шляхом створення спрямованого шторму помилкових запитів чи переповнення черги запитів? У цьому випадку застосування Firewall тільки погіршить усю справу. Атакуючому для того, щоб вивести з ладу (відрізати від зовнішнього світу) усі хости усередині захищеного Firewall-системою сегмента, досить атакувати тільки один Firewall, а не трохи хостів (це легко порозумівається тим, що зв'язок внутрішніх хостів із зовнішнім світом можливий тільки через Firewall).

З усього вищесказаного аж ніяк не випливає, що використання систем Firewall абсолютно безглуздо. Ні, на даний момент цій методиці немає альтернативи. Однак треба чітко розуміти і пам'ятати її основне призначення. Нам представляється, що застосування методики Firewall для забезпечення мережної безпеки є необхідною, але аж ніяк не достатньою умовою, і не потрібно вважати, що, поставивши Firewall, ви разом вирішите всі проблеми з мережною безпекою і позбудетеся від усіх можливих вилучених атак з мережі

Internet. Прогнила з погляду безпеки мережа Internet ніяким окремо узятим Firewall'oM не захистиш!

3.3 Програмні методи захисту, в мережі INTERNET

До програмних методів захисту в мережі Internet можна віднести насамперед захищені криптопротоколи, з використанням яких з'являється можливість надійного захисту з'єднання. Далі піде мова про існуючі на сьогоднішній день у Internet підходах і основних, уже розроблених, криптопротоколах.

До іншого класу програмних методів захисту від вилучених атак відносяться існуючі на сьогоднішній день програми, основна мета яких - аналіз мережного трафіка на предмет наявності одного з відомих активних вилучених впливів.

3.4 Сучасна технологія і криптопротоколи захисту, даних у мережі

Одна з основних причин успіху вилучених атак на розподілені ВР криється у використанні мережних протоколів обміну, що не можуть надійно ідентифікувати вилучені об'єкти, захистити з'єднання і передані по ньому дані. Тому зовсім природно, що в процесі функціонування Internet були створені різні захищені мережні протоколи, що використовують криптографію як із закритим, так і з відкритим ключем. Класична криптографія із симетричними криптоалгоритмами припускає наявність у передавальної і приймаючої сторони симетричних (однакових) ключів для шифрування і дешифрування повідомлень. Ці ключі передбачається розподілити заздалегідь між кінцевим числом абонентів, що в криптографії називається стандартною проблемою статичного розподілу ключів. Очевидно, що застосування класичної криптографії із симетричними ключами можливо лише на обмеженій безлічі об'єктів. У мережі Internet для всіх її користувачів вирішити проблему статичного розподілу ключів, мабуть, не представляється можливим. Однак одним з перших захищених протоколів обміну в Internet був протокол Kerberos, заснований саме на статичному розподілі ключів для