Уязвимости шлюзов с фильтрацией nakemoв

Фильтрация пакетов служит эффективным средством защиты различных служб от сетевых атак, но методы фильтрации пакетов неэффективны против атак, не зависящих от сетевых служб. Примером является атака с подменой исходного IP-адреса пакета (IР-спуфинг), которая может быть применена к любой сетевой службе. Для исполнения такого рода атаки хакер в отсылаемом с внешнего хоста пакете подменивает реальный исходный IP-адрес фальшивым исходным IP-адресом, для которого разрешено прохождение пакетов. Например, этим фальшивым IP-адресом может быть IР-адрес внутреннего хоста сети. Если брандмауэр не настроен должным образом, пакет с фальсифицированным IР-адресом может быть пропущен в сеть.

Еще одним примером сетевой атаки, против которой бессильна фильтрация пакетов, является обход системы защиты сети путем указания маршрутной информации внутри переданного пакета. Опять-таки, если брандмауэр не будет настроен на отбрасывание пакетов, содержащих маршрутную информацию, такая атака может завершиться успехом.

Брандмауэры с фильтрацией пакетов могут также пропустить атаку, реализуемую фрагментацией пакетов, при которой хакер делит пересылаемые пакеты на маленькие части и посылает их на маршрутизатор с фильтрацией пакетов. Структура фрагментированного пакета такова, что номер порта целевого хоста содержит только самый первый фрагмент, а остальные фрагменты содержат лишь само сообщение. Поэтому, пропустив первый пакет, брандмауэр пропустит и остальные.

Расчет хакеров строится на том, что часто хостам локальной сети требуется связь со службами из глобальной сети. В этом случае брандмауэры настраиваются на пропуск пакетов, получаемых извне в ответ на запросы внутренних хостов; такие пакеты имеют особый признак - отсутствие флага синхронизации SYN. Поэтому поместив в первый фрагмент пакета номера портов хоста-отправителя и хоста-получателя пакета, и не поместив в первый фрагмент флаг SYN, можно успешно доставить пакет на внутренний хост - брандмауэр посчитает, что этот пакет доставлен в ответ на запрос внутреннего хоста по уже существующему соединению.

Другой недостаток маршрутизаторов с фильтрацией пакетов состоит в отсутствии проверки содержимого пакетов, что делает их непригодными для защиты от атак, управляемых данными. Эти атаки основаны на том, что проверка только заголовков пакетов не позволяет выявить, насколько безопасна информация, содержащаяся в пакете. Однако эта информация может включать в себя различные команды, параметры настройки и другую информацию, передача которой определенной службе сетевого хоста способна заставить службу выполнить действия, причиняющие вред компьютерной системе. Для отражения таких атак более эффективны другие методы, обеспечиваемые программными посредниками.