[ Hacking.pl / texty ]















Menu






Home
Archiwum
Programowanie
Hackers
Hacked
Texty
Ftp
Phreaking
HackPL
Konta e-mail
Informacje










hacking.pl/texty









Zapory ogniowe.

Podstawowa zasada dzialania wszelkich systemow ochronnych jest: "To co nie jest jawnie dozwolone - jest zakazane". Firewalle (zapory ogniowe) sa instalowane miedzy sieciami w celu wymuszenia kontroli dostepu miedzy nimi. Generalnie rzecz ujmujac, firewalle zabezpieczaja przed nieautoryzowanym dostepem z zewnatrz do sieci lokalnej. Niektore nawet moga calkowicie blokowac ruch pakietow z zewnatrz - dopuszczajac ewentualnie pakiety poczty elektronicznej - zezwalajac jednakze na swobodne komunikowanie sie uzytkownikow sieci ze swiatem zewnetrznym. Inna pozyteczna cecha firewalli jest mozliwosc wykorzystania ich do rejestrowania i sledzenia wszelkich przychodzacych pakietow (auditing). Stacje umieszczane w pierwszej linii obrony, okreslane rowniez jako bastion host, sa punktami przez ktore przechodza wszystkie informacje do sieci lokalnej i na zewnatrz. Dzieki takiemu scentralizowaniu drog dostepu do sieci w jednym komputerze mozna latwo zarzadzac systemem ochrony.

Rodzaje zapor ogniowych.

Na rynku dostepnych jest wiele produktow sprzedawanych pod nazwa "Firewall", lecz roznia sie one poziomem oferowanych zabezpieczen. Filtry pakietowe (Network Level) na podstawie adresu zrodlowego i docelowego oraz portu pojedynczego pakietu decyduja, czy dana przesylka moze zostac przeslana dalej, czy tez nie. Zwyczajny router nie jest zwykle w stanie takiej decyzji podjac, lecz bardziej nowoczesne konstrukcje moga przechowywac wewnetrzne informacje o stanie polaczen przechodzacych przez niego, zawartosci niektorych strumieni danych itp. Filtry pakietowe sa zwykle bardzo szybkie, jednak ich wada jest, ze podane kryteria selekcji moga okazac sie niewystarczajace dla niektorych uslug internetowych, przez co do sieci bylyby przepuszczane niepozadane pakiety, a wtedy... Jedna z mozliwych prob ataku moze byc umieszczenie pakietow wyzszego poziomu w falszywych ramkach MAC lub protokolu warstwy 3 (sieciowa) i 4 (transportowa) modelu ISO/OSI. Czesto wystarczy tylko zmienic adres nadawcy pakietu. W takim przypadku filtr pakietowy jest bezradny.

Bramki typu Circuit Level sa w stanie przyporzadkowywac pakiety do istniejacych polaczen TCP i dzieki temu kontrolowac cala transmisje. Zaawansowane systemy potrafia takze kojarzyc pakiety protokolu UDP, ktory w rzeczywistosci kontroli polaczen nie posiada.

Firewalle Application Level to, generalnie rzecz ujmujac, hosty, na ktorych uruchomiono proxy servers, ktore nie zezwalaja na bezposredni ruch pakietow pomiedzy sieciami oraz rejestruja i sledza caly ruch przechodzacy przez niego. Proxies potrafia wiec niejako odseparowac "wiarygodna" czesc sieci od podejrzanej; moga magazynowac najczesciej zadane informacje - klient kieruje swoje zadanie do proxy, ktory wyszukuje obiekt w swoich lokalnych zasobach i zwraca zamawiajacemu. Dla kazdej aplikacji (czyli uslugi sieciowej, np. http, ftp, telnet, smtp, snmp, ...) istnieje osobny proxy, dla ktorego definiowane sa reguly wedlug ktorych podejmowana jest decyzja o zaakceptowaniu badz odrzuceniu polaczenia. Niewatpliwym minusem tego rozwiazania jest koniecznosc stosowania wielu proxies do obslugi roznych aplikacji; jezeli dla danego protokolu nie jest dostepny odpowiedni proxy, to dane przesylane w tym formacie nie beda w ogole przepuszczane przez bramke. Na rynku dostepne sa tez systemy z proxies definiowanymi przez uzytkownika funkcjonujacymi jednakze nie na plaszczyznie aplikacji, lecz analogicznie do filtrow pakietowych i bramek Circuit Level.

Cechy zapor ogniowych.

Cechy firewall'a :
umozliwiaja dostep jedynie do uslug skonfigurowanych przez administratora, ktore moga byc bezpiecznie uzytkowane (m.in. HTTP Proxy, Gopher, SHTTP, SSL, JavaGuard, ActiveXGuard, KeywordGuard, URL screening, RSH Proxy, Telnet Proxy, Rlogin Proxy, FTP Proxy, X11 Proxy, Finger Proxy, SMTP Proxy, POP Proxy, SNMP Proxy, NNTP Proxy, LPR Proxy, Whois Proxy, Circuit Proxy, RealAudio Proxy, RealVideo Proxy, Xing Proxy, Netshow Proxy, VDOLive Proxy, Logging System, reports, alerts, scripting, SNMP agent, SecureID, Integrated VPN, DES56, PCX Client, Authentication Server, DNS Hiding, Content Vector Protocol)
zapewniaja pelne bezpieczenstwo przez sprawdzanie zawartosci komunikacji sieciowej WWW, FTP, SMTP, Telnet i Rlogin
realizuja funkcje SSN (Secure Server Network)
tlumaczenie i ukrywanie prywatnych adresow IP chronionej sieci komputerowej przez utajnienie rzeczywistych adresow sieci prywatnej oraz tlumaczenie 'w locie' adresow niewlasciwych, dzieki temu mozliwe jest wykonywanie identyfikacji i autoryzacji - ukrywanie infrastruktury sieci wewnetrznej
wspoldzialaja z systemami wykrywania wlaman (np. RealSecure), ktore w razie wykrycia wlamywacza niezwlocznie powiadamiaja o tym aby niebezpieczny kanal komunikacji sieciowej zostal w pore zablokowany
moga wspolpracowac z programami antywirusowymi, kontroli antywirusowej poddawane sa wszystkie przychodzace z Internetu pliki, wiadomosci lub caly generowany ruch (rowniez zlosliwe aplety Java)
filtrownie adresow URL (niepozadana zawartosc WWW)
szyfrowanie przesylanych informacji przy zastosowaniu sprawdzonych technik kryptograficznych oraz efektywnych algorytmow generowania i dystrybucji kluczy szyfrowania (DES, RC-4, FWZ-1, MD5, SHA-1, SKIP, IPSec, IKE), dane sa zabezpieczone w zakresie utrzymywania ich poufnosci, integralnosci i wiarygodnoscizapewniajac bardzo wysoki poziom bezpieczenstwa transmitowanych informacji
umozliwiaja zarzadzanie i dostep do urzadzen SNMP w sieci lokalnej, Intranecie lub sieci rozleglej bez wystawiania systemu na niebezpieczenstwo
wspolpracuja z najwazniejszymi systemami potwierdzania autentycznosci (np. SecurID, RADIUS, AXENT, TACACS, Vasco, S/Key) prowadzone dla wszystkich (ponad 100) kontrolowanych uslug sieciowych
skanowanie WWW pod wzgledem zawartosci apletow Java, procedur ActiveX i innych potencjalnie niebezpiecznych dodatkow do HTML
wykrywanie i blokowanie najbardziej niebezpiecznych technik wlaman np. "Spoofing", "SYN Flood", "LAND", "Ping of Death", "WinNuke"
zapewniaja bezpiecznego serwera poczty elektronicznej, w ktorej przesylki SMTP podlegaja wnikliwej kontroli zawartosci
rozliczanie pracownikow przedsiebiorstwa w zakresie uzytkowania uslug internetowych (np. mozna dowiedziec sie z jakich serwerow korzystali uzytkownicy, w jakim czasie i jak dlugo to robili, jakie pliki przegladali oraz ile bajtow informacji zostalo przeslanych)
monitorowanie aktywnych sesji sieciowych umozliwia administratorowi sledzenie i blokowanie niebezpiecznych sesji sieciowych w czasie rzeczywistym
prowadzenie analizy zdarzen rejestrowanych przez system zaporowy razem z zapisami kontrolnymi odnotowanymi na ruterach

Zapory ogniowe niekomercyjne.

Jednak nie wszystkie Zapory Ogniowe skladaja sie z kilku czesci. Istnieja Zapory przeznaczone do uzytku nie-komercyjnego, ktore sluza do ochrony pojedynczych komputerow. Zapory te zapewniaja powierzchowna ochrone danych, nie posiadaja rozbudowanych opcji ochrony. Jednak dla przecietnego uzytkownika sieci jest to wystarczajace. W ich opcjach mozemy znalezc ochrone przed: koniami trojanskimi, wirusami w listach, przed wysylaniem plikow przez ICQ itp. Ich glowna cecha I najwazniejsza cecha jest blokowanie dostepu do naszego komputera z internetu. Wsrod zapor nie-komercyjnych pojawiaja sie takie, ktore w szczegolnosci maja za zadanie blokowania portow uzywanych przez konie trojanskie jak i zapory, ktore specjalizuja sie w wychwytywaniu wirusow przychodzacych mail'ami jak i "omnibusow" majacych wszystkie te funkcje wbudowane.

ftp://ftp.hacking.pl/windows/firewalls


















Copyright (C) 2000 by Hacking.pl Wszelkie prawa zastrzeżone.