[Uneex] вопрос по фаерволлу

Constantin Stefanov cstef на parallel.ru
Вт Фев 3 13:30:20 MSK 2004


Sergey Gladilin wrote:

> 
>>>   - насколько такой подход к построению firewall имеет смысл? Зачем
>>>   это нужно? Действительно ли уровень безопасности повышается?
>>- это лучше, чем ничего или чем просто фильтрация портов
> а чем конкретно лучше с точки зрения безопасности? То, что так проще
> запретить юзверям качать порнуху я понимаю :-)
Ну хотя бы ты закрываешь потенциальные дырки в реализации протоколов у
пользователя. И можно проконтролировать, что там пойдет именно тот
протокол, что ожидал юзер, а не что-то другое.

>>- потому что тяжело написать прокси для всех мыслимых протоколов,
>>  учитывая, что многие из них вообще не подразумевают проксирования
> но Cisco написала?
Ну не на все же. Я думаю, что в доках на PIX есть описание того, что он
проксирует. Вот скажи мне, как можно спроксировать произвольное
TCP-соединение? Разве только порвать и переоткрыть его, гоняя байтики в
обе стороны. И то не факт, что по нему не пойдте информация о другом
соединении(как в FTP), которую тоже надо поправить.

>>- определи "уровень безопасности" пожалуйста
> ну, я имею в виду вероятность взлома... А как еще можно это понимать?
Ну, например, есть формальные определения. Всякие там C1, C2 etc. Только
я кроме названий не помню, ни откуда они берутся, ни что из себя
представляют.

>>>   - можно ли реализовать то же самое на UN*X (с применением open
>>>   source software, разумеется)?
>>- можно
> С этого момента максимально подробно, плиз :-) Про прозрачный HTTP кэш я
> знаю, а остальное?
Ну эта, FTP тоже прозрачно проксируется, NAT опять же есть. Например,
natd от FreeBSD знает некоторое количество протоколов, и транслирует их
вполне прозрачно.

>>- естественно, для защиты от определенного вида атаки, необходимы
>>  определенные аппраратно-программые средства, в чем вопрос? ;)
> А конкретнее? От каких атак сетевого уровня нужны средства, иные чем
> packet filter?
Что ты понимаешь под атакой сетевого уровня? Винду в свое время можно
было уложить определенным ICMP-пакетом. Т.е. нужно посмотреть как
минимум содержимое заголовков ICMP, что уже следующий уровень.
Опять же, вирусы всякие и черви существуют, которых так просто пакетным
фильтром не поймаешь.
Ну плюс еще есть системы, которые отлавливают подзрительную активность,
а ты уже сам потом решаешь, что это было (тот же snort, например).

-- 
Константин Стефанов


Подробная информация о списке рассылки Uneex