Компоненты брандмауэра

Брандмауэры представляют собой совокупность аппаратных и программных компонентов, в число которых входят следующие.

• Бастионный хост, представляющий собой компьютер, подсоединенный и к локальной, и к глобальной сети. На бастионном компьютере устанавливаются все прочие компоненты брандмауэра. Примером бастионного хоста является компьютер с двумя сетевыми платами, каждая из которых подсоединена к отдельной сети. Именно с помощью такого компьютера мы будем описывать все хакерские манипуляции с брандмауэрами.

• Шлюзы с фильтрацией пакетов. Обычный маршрутизатор просто пересылает поступающие IР-пакеты по указанному адресу. Шлюзы с фильтрацией пакетов выполняют дополнительную функцию проверки поступающих IP-пакетов. Шлюзы с фильтрацией пакетов иногда называют защищенными маршрутизаторами. Следует учесть, что защищенные маршрутизаторы не проверяют содержимое поступающих пакетов, а имеют дело только с заголовочной информацией пакетов, контролируя IР-адреса источника и получателя пакета, используемые протоколы, службы, порты и другую информацию, указанную в списке ACL.

• Программные посредники (иногда называемые прикладными шлюзами), которые исполняются на бастионном хосте и ограничивают подключения к отдельным приложениям, например, почтовым клиентам. Для этой цели используются службы-посредники, которые устанавливаются на шлюзе отдельно для каждого приложения, которому разрешено сетевое взаимодействие через брандмауэр. Только те сетевые службы, для которых установлены службы-посредники, могут получать и отправлять сетевой трафик через шлюзы приложений, причем службы-посредники можно настроить на разрешения доступа лишь к определенному, ограниченному набору средств приложения. Примером шлюза прикладного уровня является прокси-сервер, управляющий сетевым трафиком и выполняющий аутентификацию пользователей.

Бастионный хост должен быть спроектирован так, чтобы он мог эффективно противостоять атакам хакеров. Например, компьютер, реализующий бастионный хост, должен использовать операционную систему с надежными средствами защиты. Далее, на бастионном хосте следует устанавливать только существенно необходимые службы, исключив, например, службы Telnet, DNS, FTP, SNMP и средства пользовательской аутентификации. Наличие таких служб - это сущий подарок для хакера, который, подключившись, скажем, к Telnet (очень популярная служба у хакеров), может получить доступ ко всему компьютеру.

Развертывание брандмауэра на бастионном хосте подразумевает настройку работы компонентов брандмауэра. Познакомимся с этой задачей поближе и начнем с важнейшей задачи - настройки средств фильтрации пакетов, используемых брандмауэрами.