Якщо видалені користувачі можуть дістати доступ до внутрішніх мереж в обхід брандмауера, його ефективність близька до нуля. Наприклад, якщо менеджер, що знаходиться у відрядженні, має модем, приєднаний до його ПЕВМ в офісі, то він може додзвонитися до свого комп'ютера з відрядження, а оскільки ця ПЕВМ також знаходиться у внутрішній захищеній мережі, то що атакує, має можливість встановити комутоване з'єднання з цією ПЕВМ, може обійти захист брандмауера. Якщо користувач має підключення до Інтернету у якого-небудь провайдера Інтернету, і часто з'єднується з Інтернетом зі своєї робочої машини за допомогою модему, то він або вона встановлюють небезпечне з'єднання з Інтернетом, в обхід захисту брандмауера.
Брандмауери часто можуть бути використані для захисту сегментів интранета організації, але цей документ в-основном описуватиме проблеми, пов'язані з Інтернетом. Докладніша інформація про брандмауери міститься в " NIST Special Publication 800-10 "Keeping Your Site Comfortably Secure: An Introduction to Internet Firewalls.""
Брандмауери забезпечують декілька типів захисту:
· Вони можуть блокувати небажаний трафік
· Вони можуть направляти вхідний трафік тільки до надійних внутрішніх систем
· Вони можуть приховати уразливі системи, які не можна забезпечити від атак з Інтернету іншим способом.
· Вони можуть протоколювати трафік і з внутрішньої мережі
· Вони можуть приховувати інформацію, таку як імена систем, топологію мережі, типи мережевих пристроїв і внутрішні ідентифікатори користувачів, від Інтернету
· Вони можуть забезпечити надійнішу аутентифікацію, ніж та, яку представляють стандартні застосування. (Рис.5.1)
Рисунок 5.1- Аунтентифікація через брандмауер
Кожна з цих функцій буде описана далі.
Як і для будь-якого засобу захисту, потрібні певні компроміси між зручністю роботи і безпекою. Прозорість - це видимість брандмауера як внутрішнім користувачам, так і зовнішнім, таким, що здійснює взаємодію через брандмауер. Брандмауер прозорий для користувачів, якщо він не заважає їм дістати доступ до мережі. Зазвичай брандмауери конфігуруються так, щоб бути прозорими для внутрішніх користувачів мережі (що посилає пакети назовні за
брандмауер); і з іншого боку брандмауер конфігурується так, щоб бути непрозорим для зовнішніх користувачів, що намагаються дістати доступ до внутрішньої мережі ззовні. Це зазвичай забезпечує високий рівень безпеки і не заважає внутрішнім користувачам.
6.2. Аутентифікація
Брандмауери на основі маршрутизаторів не забезпечують аутентифікації користувачів. Брандмауери, до складу яких входять проксі-сервера, забезпечують наступні типи аутентифікації:
Ім'я/пароль
Це найгірший варіант, оскільки ця інформація може бути перехоплена в мережі або отримана шляхом підглядання за її введенням із-за спини і ще тисячею інших способів
Одноразові паролі
Вони використовують програми або спеціальні пристрої для генерації нового пароля для кожного сеансу. Це означає, що старі паролі не можуть бути повторно використані, якщо вони були перехоплені в мережі або вкрадені іншим способом.
Електронні сертифікати
Вони використовують шифрування з відкритими ключами
6.3. Аналіз можливостей маршрутизації і проксі-серверів
У хорошій політиці повинно бути написано, чи може брандмауер маршрутизувати пакети або вони повинні передаватися проксі-серверам. Тривіальним випадком брандмауера є маршрутизатор, який може виступати в ролі пристрою для фільтрації пакетів. Все, що він може - тільки маршрутизувати пакети. А прикладні шлюзи навпаки не можуть бути конфігуровані для маршрутизації трафіку між внутрішнім і зовнішнім інтерфейсами брандмауера,
оскільки це може привести до обходу засобів захисту. Всі з'єднання між зовнішніми і внутрішніми хостами повинні проходити через прикладні шлюзи (проксі-сервера).
Маршрутизація джерела
Це механізм маршрутизації, за допомогою якого шлях до машини-одержувача пакету визначається відправником, а не проміжними маршрутизаторами. Маршрутизація джерела в основному використовується для усунення проблем в мережах, але також може бути використана для атаки на хост. Якщо той, що атакує знає, що ваш хост довіряє якому-небудь іншому хосту, то маршрутизація джерела може бути використана для створення враження, що пакети що атакує приходять від довіреного хоста.
Тому із-за такої загрози безпеці маршрутизатори з фільтрацією пакетів зазвичай конфігуруються так, щоб відкидати пакети з опцією маршрутизації джерела. Тому сайт, охочий уникнути проблем з маршрутизацією джерела, зазвичай розробляє політику, в якій їх маршрутизація заборонена.
Фальсифікація IP-адреса
Це має місце, коли той, що атакує маскує свою машину під хост в мережі об'єкту атаки (тобто намагається змусити мету атаки думати, що пакети приходять від довіреної машини у внутрішній мережі). Політика відносно маршрутизації пакетів повинна бути чіткою, щоб можна було коректно побудувати обробку пакетів, якщо є проблеми з безпекою. Необхідно об'єднати аутентифікацію на основі адреси відправника з іншими способами, щоб захистити вашу мережу від атак подібного роду.
6.4. Типи брандмауерів
Існує декілька різних реалізацій брандмауерів, які можуть бути створені різними шляхами. У таблиці 6.1 стисло характеризуються декілька архітектури брандмауерів і їх застосовність до середовищ з низьким, середнім і високим ризикам.
Шлюзи з фільтрацією пакетів
Брандмауери з фільтрацією пакетів використовують маршрутизатори з правилами фільтрації пакетів для надання або заборони доступу на основі адреси
відправника, адреси одержувача і порту. Вони забезпечують мінімальну безпеку за низьку ціну, і це може виявитися прийнятним для середовища з низьким ризиком. Вони є швидкими, гнучкими і прозорими. Правила фільтрації часто нелегко адмініструвати, але є ряд засобів для спрощення завдання створення і підтримки правив.
Шлюзи з фільтрацією мають свої недоліки, включаючи наступні:
· Адреси і порти відправника і одержувача, що містяться в заголовку IP-пакета, - єдина інформація, доступна маршрутизатору при ухваленні рішення про те, вирішувати або забороняти доступ трафіку у внутрішню мережу.
· Вони не захищають від фальсифікації IP- і DNS-адресов.
· Той, що атакує дістане доступ до всіх хостам у внутрішній мережі після того, як йому був наданий доступ брандмауером.
· Посилена аутентифікація користувача не підтримується деякими шлюзами з фільтрацією