törvény 5
A tűzfalak védik a hálózatot a bizonyos típusú támadásokat. Ezek hasznos csekket a hálózati forgalmat. Azonban ugyanúgy, mint a víruskereső szoftverek, tűzfalak nem nyújtanak abszolút védelmet. Sőt, gyakran ők sokkal kevesebb védelmet.
Először is, még akkor is, ha tűzfal lenne 100% -ban hatékony, és tükrözik az összes megy keresztül ezeket a támadásokat, ez úgy értendő, hogy nem minden területen a támadások átmennek a tűzfalon. Gátlástalan alkalmazottak, a fizikai biztonság, modemek és a fertőzött floppy lemezek még mindig a különböző biztonsági fenyegetések. A vita kedvéért nem foglalkozik a biztonsági fenyegetések, amelyek nem kapcsolódnak a szükségességét áthaladó tűzfalak.
Tűzfalak - egy eszközt, és / vagy a szoftver, melyet az szelektív elválasztását két vagy több hálózathoz. Céljuk, hogy a folyosón néhány információáramlás és megakadályozza mások. Pontosan mi engedélyezésére, illetve megtiltására, jellemzően szabályozza az ellenőrző személy a tűzfalat. Mi hagyjuk, vagy tiltott, akkor meg kell jelennie írásban a biztonsági politika, amely fejlesztés alatt áll az egyes szervezetekben.
Ne gyártói tűzfalak nem tudom ezeket a problémákat? Hackerek és a fejlesztők a tűzfalak játszani egy végtelen játék a „Catch Me”. A gyártók a tűzfalak kell várni a hackerek felér egy új típusú támadás, mert nem tudják, hogyan kell védeni őket, és ezért mindig elmarad.
Kiderült, hogy számos módja van, hogy megtámadták a tűzfalon keresztül. Ideális esetben a tűzfal biztonsági politika végezzük teljes. Tény, hogy a tűzfal által létrehozott emberek, így ez messze nem tökéletes. Az egyik fő probléma a tűzfalak, hogy vezetői alig korlátozza a forgalmat, hogy szeretnének. Például a biztonsági politika alapján megállapítható, hogy lehetővé tette az internet-hozzáférést a HTTP protokollon keresztül, és tilos használni RealAudio. Rendszergazda a tűzfalat kell tiltania RealAudio port, nem? A probléma az, hogy az emberek, akik azt írta RealAudio, felismerve, hogy ez megtörténhet, teszi a felhasználók számára letölthető RealAudio fájlokat HTTP-n keresztül. Sőt, ha nem adja meg, amikor beállítja egyértelműen egy lehetőséget a tartalomhoz való hozzáférés a RealAudio Web-site, a legtöbb változata RealAudio végre egy tesztsorozatot verziójának meghatározásához az ilyen hozzáférést. Ugyanakkor, ha szükséges, a HTTP protokoll automatikusan kiválasztásra kerül. Tény, hogy a probléma ebben az esetben az, hogy bármely protokoll bújtathatóak minden más, ha az idő szinkronizálás nem kritikus (azaz ha az alagút nem vezet túlzott lassulások). RealAudio végez pufferelés, ha szembe azzal a problémával, szinkronizálást.
A fejlesztők a különböző internet „játékok” jól tudják, hogy mit protokollok általában megengedett és mi nem. Számos program fejlesztett HTTP protokoll használatával, mint a fő vagy tartalék átutalás információ a hálózaton keresztül.
Valószínűleg sok módon támadni a társaság, biztonságos tűzfal, és anélkül, hogy hatással van a képernyőn. Meg lehet támadni a modemek, floppy lemezek, megvesztegetés és a megvesztegetés, hacker a számítógépes biztonság, a fizikai hozzáférés a számítógéphez, és így tovább. Be. De most azt fontolgatja támadás a tűzfal.
A támadás a védtelen szerver
Egy másik módja, hogy elmúlt a tűzfal, hogy megtámadják a védtelen hálózat területei. Tűzfalak képeznek demilitarizált zóna (DMZ), amelyek úgy vannak elrendezve Web-cepeepa, mail szerver, és így tovább. D. Ismert vita, hogy vajon a klasszikus peremhálózaton található teljesen kívül a tűzfalon (és ezért nem védett), vagy DMZ - ez egy közbenső hálózati. Jelenleg a legtöbb esetben, Web-szerverek, e-mail szerverek, és így tovább. P. Tartozik az úgynevezett harmadik felület a tűzfal, amely megvédi őket a kitettség a külső, megakadályozva ezzel egy időben, a komponensek a belső hálózat létrehozására bizalmi kapcsolatot velük, és közvetlenül részt információkat tőlük.
Tegyük fel, hogy megtalálta a módját, hogy a szerver a DMZ. Ennek eredményeként, akkor hozzáférhet a gyökér könyvtárat a szerver vagy a rendszergazda jogokkal rendelkezik a szerveren. Ez azt jelenti, hogy lehetséges, hogy behatoljon a belső hálózat? Még nem. Emlékezzünk, hogy a szerint a korábban megadott meghatározás DMZ zónát eszközök nem férnek hozzá a belső hálózathoz. A gyakorlatban ez nem mindig teljesül, mert nagyon kevesen hajlandóak beadása azok a szerverek, miközben ül a konzolt. Mi van, ha az FTP-szerver, például akarták nyitni mindent, kivéve magát, a hozzáférést az FTP-port? És hagyja, hogy a haszon a szervezet a legnagyobb hálózati forgalmat át kell haladnia a belső hálózat és a DMZ. A legtöbb tűzfal működhet diódák, kihagyva a forgalom csak az egyik irányban. Szervezzen egy hasonló üzemmódban nehéz, de lehetséges. Ebben az esetben a fő nehézséget behatolás a belső hálózaton, hogy meg kell, hogy legyen előre meghatározott események. Például, ha elkapja a pillanatot FTP adatátvitel kezdési vagy a nyitás a rendszergazda a belső hálózat XWindow ablak (XWindow ablak széles körben használják a hálózati környezetben UNIX protokoll több ablak kijelző grafika és szöveg), akkor képes lesz arra, hogy behatoljanak a belső hálózathoz.
A közvetlen támadás a tűzfal
Néha úgy gondolja, hogy a tűzfal sérül. Ez akkor történhet meg, mindkét házilag tűzfal (ami szükséges egy előzetes vizsgálat a képernyőre a rendszergazda), és az ipari (ami néha ad egy hamis biztonságérzetet, ezért is szükség előzetes vizsgálat). Előfordul, hogy egy jó tanácsadó a tűzfalat, de nem egy személy maradt most, aki tudja, hogyan kell tálaljuk. Információ az új támadások közzé minden alkalommal, de ha az emberek nem figyelni rájuk, akkor nem tud olyan tapaszok vagy azok alkalmazását.
Hiányosságok az ügyféloldali biztonsági
Az egyik legjobb módja, hogy megkerülje a biztonsági tűzfal használatán alapul a gyenge pontokat. Amellett, hogy a biztonsági rések Web-böngésző program potenciális biztonsági jogsértések közé tartozik programok, mint például az AOL Instant Messenger, az MSN Chat, ICQ, IRC kliens, és még Telnet és FTP-ügyfél. A hatóság előírhatja további kutatást, a türelem és egy kis szerencsével, hogy kihasználják a hiányosságokat a védelmi rendszer. Javasoljuk, hogy keresse meg a felhasználó szervezet célja, hogy megtámadják, amely képes lesz futtatni egy ilyen program. Rengeteg program tartalmazza a chat haver segítségével felderítése, így nincs semmi szokatlan az a tény, hogy az emberek közzé az ICQ a honlapján. (I Seek You - egy olyan rendszer interaktív kommunikáció az interneten, amely lehetővé teszi a hálózati partnereket találni az azonos érdekek, és megoszthatja azokat az üzeneteket valós időben.) Szóval, akkor könnyen megtalálja a program victim.com és ICQ szám, amely lehet használni, hogy megkerülje a biztonsági rendszer. És akkor várja meg a férfi állítólag a munka, és végezze el a tervét az ő számok ICQ. Ha egy komoly biztonsági jogsértés, akkor valószínűleg lehet átadni a futtatható kódot a tűzfalon keresztül, ami azt tehet, amit csak akar.
Ez a törvény használják fejezetekben 7, 11, 12, 13, 15 és 17.