Укрощение @Интернет@



         

Насколько надежен брендмаузер?


Все брандмаузеры можно разделить на три категории – фильтры пакетов, контекстные фильтры и шлюзы уровня приложений (в обиходе называемые Proxy-серверами). В свою очередь существуют фильтры следующих уровней – прикладного, транспортного, сетевого и канального.

Первые три из них могут быть введены в заблуждение злоумышленниками, подделавшими заголовки IP-, TCP- и UDP-пакетов. Канальный уровень, т.е. уровень сопряжения с физической средой, имеет смысл контролировать только в локальной сети. При модемном соединении с провайдером эта операция ничего не дает, т.к. в этом случае все пакеты на канальном уровне приходят только от провайдера, и информации о физическом адресе узла-отправителя в них не содержится.

Контекстные фильтры Контекстные фильтры работают надежнее, но области их применения ограничены, к тому же они не способны к отражению новых атак, разработанных после их появления. Обычно они используются для поиска ключевых слов, наподобие “порно”, “секс”, “наркотики” и всех других, которые строгие родители запрещают читать своим чадам.

Шлюзы Шлюзы удобны в корпоративных сетях, но совершенно ни к чему частному пользователю, правда, если у кого-то есть два компьютера, то, выделив один под Proxy-сервер, можно попытаться обезопасить другой.

Существует множество утилит, которые позволяют посылать пакеты от чужого имени и, тем самым, вводить персональные брандмаузеры в заблуждение. Впрочем, злоумышленники можно действовать и вполне легальными (с точки зрения брандмаузера) средствами. Например: пусть жертва решила посетить некий сайт X. Разумеется, брандмаузер должен пропускать все пакеты, идущие от этого узла. Теперь – предположим, что сервер, на котором расположен сайт, предоставляет бесплатный (платный) хостинг всем желающим. Тогда, атакующий, разместив на этом серевре свою программу, сможет беспрепятственно бомбить жертву пакеты, которые не сможет отфильтровать брандмаузер.




Содержание  Назад  Вперед