Читаем Хакинг и антихакинг полностью

На сетевом уровне управлять защитой с помощью правил можно несколькими способами. Один из распространенных способов – с помощью адресации, когда пользователи приписываются к конкретной внутренней подсети для ограничения уровня их доступа. Фильтрация пакетов позволяет пропускать или блокировать пакеты в момент пересечения ими некоторых границ в зависимости от адреса отправителя или получателя.

Системы защиты функционируют на прикладном уровне; в этом случае системы или приложения, которым адресованы пакеты, запрашивают у пользователя пароль, проверяют его и затем предоставляют доступ в соответствии с предопределенными правилами.

Итак, как вы уже поняли, основа любой защиты – системный подход. Для построения действительно эффективной защиты необходимо тщательно продумать ее. Для любого компьютера, «смотрящего» в сеть, критическое значение имеют три вещи:

– брандмауэр;

– антивирус;

– критические обновления для вашей операционной системы.

Это справедливо как для домашнего компьютера, так и для подключенного к корпоративной сети. Давайте подробнее остановимся на каждом из этих пунктов.

5.1. Брандмауэр

Брандмауэр – это средство защиты от вторжения извне и от некоторых видов взлома «изнутри». Брандмауэр – это комбинация аппаратного и программного обеспечения, используемая для защиты сети от постороннего вмешательства. С помощью брандмауэров можно существенно повысить безопасность работы в локальной сети.

В литературе о брандмауэрах можно часто встретить термин компьютер-бастион (bastion host). Название «бастион» происходит от средневекового слова, описывающего стены замка. Бастион-это специальное укрепленное место в стенах замка, предназначенное для отражения атак. Компьютер-бастион – это компьютер, который специально установлен для защиты от атак на сеть.

Проектировщики сетей используют компьютеры-бастионы в качестве первой линии обороны. Компьютер-бастион является своеобразной «заслонкой» для всех коммуникаций между сетью и Интернетом. Другими словами, ни один компьютер сети не может получить доступ к Интернету иначе, чем через компьютер-бастион, и, с другой стороны, ни один внешний (по отношению к сети) пользователь не сможет проникнуть в сеть, минуя компьютер-бастион.

При использовании центрального доступа к сети через один компьютер упрощается обеспечение безопасности сети. Более того, предоставляя доступ к Интернету только одному компьютеру сети, разработчик намного облегчает себе выбор надлежащего программного обеспечения для защиты сети. Большинство сред Unix, включая Linux, хорошо приспособлены для использования компьютера-бастиона. В среде Unix можно установить компьютер-бастион по цене рабочей станции или машины класса «сервер», поскольку операционная система уже обладает способностью поддерживать и конфигурировать IP-брандмауэр. Таким образом, вы сможете сэкономить средства, затрачиваемые на установку маршрутизатора с функциями брандмауэра (т. е. не приобретать дополнительного оборудования для сети, которое может обойтись вам в несколько тысяч долларов). Кроме того, с помощью Unix можно свободно настраивать и просматривать трафик сети.

Большинство компаний предоставляют своим служащим доступ к Интернету. Если сотрудники получают доступ к Интернету, то компании следует позаботиться о том, чтобы соединение с Интернетом происходило через брандмаз’эр. В начале этой главы было сказано, что брандмауэр представляет собой комбинацию аппаратного и программного обеспечения для защиты соединения двух и более сетей. Брандмауэр обеспечивает возможность центрального управления безопасностью сети. Обычно он строится на основе так называемого компьютера-бастиона.

В дополнение к традиционному аппаратному и программному обеспечению брандмауэров для большей безопасности можно воспользоваться экранирующим маршрутизатором, который представляет собой аппаратное и программное обеспечение для фильтрации пакетов данных, основываясь на заданном администратором критерии. Можно создать экранирующий маршрутизатор на базе ПК или компьютера, работающего под управлением Unix.

Первым уровнем защиты от вторжений в присоединенных сетях является экранирующий маршрутизатор, который выполняет фильтрацию пакетов на сетевом и канальном уровнях независимо от уровня приложений. Поэтому экранирующий маршрутизатор позволяет контролировать движение данных в сети без изменения приложений клиента или сервера.

Хотя этот маршрутизатор относительно недорог и удобен в использовании, он не может обеспечить достаточного уровня защиты. Основное его преимущество заключается в том, что он работает исключительно на сетевом и транспортном уровнях модели ISO/OSI.