Хакер №024. Спецвыпуск
FAQ
Матушка Лень
Спецвыпуск Xakep, номер #024, стр. 024-006-2
С помощью правил можно очень тонко настроить свой фильтр. Для этого есть три типа правил: входящие, исходящие и перенаправляемые пакеты. То есть файрволлу можно независимо указать, что делать с этими тремя типами пакетов.
Как пакетный фильтр спасает от DOS атак и как он лажает?
На своем фильтре бородатый хранитель сервера может закрыть ICMP порт, по которому проводится распределенная атака на отказ (DDOS), или же он может закрыть порты NetBIOS. Причем он может сделать такую подлянку хакерам, используя простейший пакетный фильтр, встроенный в маршрутизатор. В таком случае маршрутизатор будет отбрасывать эти пакеты, вместо того чтобы передать их дальше (маршрутизировать).
Однако фильтр пакетов не умеет отбрасывать пакеты с поддельным адресом или пакеты с мусором, от которого может взглюкнуть сервер. Допустим, хакер атакует сеть бородатого админа с определенного IP адреса. Тупой админ запрещает файрволлу пропускать пакеты с этого адреса. А хакеру пофиг, он просто вставляет другой поддельный адрес или атакует с перебором адресов. Вот тут-то файрволл и лажанулся, нельзя же перекрыть сообщения сразу со всех адресов Интернет, сразу по всем портам. Во время такой атаки логичнее выдернуть шнур из сервера, целее будет!
Может ли фильтр защитить от IP спуфинга?
Спуфинг - подделка адреса отправителя IP-пакета. Нужно это для того, чтобы администратор файрволла не мог закрыть адрес атакующего. Для этого хакер может атаковать с сотни поддельных адресов. Все-таки есть один кривой метод защиты от спуфинга: проверять маршрутную информацию. То есть фильтр с помощью программы маршрутизации проверяет, в какой сети живет адрес и мог ли он оттуда к нам прийти по этому пути. Как не сложно догадаться, метод защиты слабый и жутко тормозной. А еще нужно его правильно настроить, чтобы не отбрасывать хорошие пакеты, заблудившиеся в сети. Спасает это только от спуфинга тупых или запрещенных адресов.
Кто такой прокси-сервер и причем он тут?
Если ты помнишь, proxy переводится как представитель. Он позволяет тебе лазить в сети так, чтобы все видели только адрес прокси-сервера. То есть прокси принимает запрос от локального компьютера и передает его в сеть, но уже от своего имени. Такое свойство посредника-представителя позволяет прокси-серверу скрыть реальные IP-адреса компьютеров в локальной сети от глаз хакера. Кроме этого, прокси-сервер экономит IP-адреса, то есть на одном IP может висеть целая сеть.
Такая ситуация очень неприятна для хакера, ведь он не может обратиться к компьютеру в локальной сети, потому что прокси-сервер не принимает пакеты, которые не запрашивал.
Прокси-сервер тесно связан с файрволлом. Например, часто файрволл используют для организации прозрачного прокси. Для этого сетевой фильтр перенаправляет пакеты на вход прокси. То есть прокси существует, но его не видно за файроволлом. Потому и прозрачный, что за файрволлом. То есть представитель прячет от хакерских глаз сеть, а файрволл прячет представителя, тяжело подкопаться.
Назад на стр. 024-006-1 Содержание Вперед на стр. 024-006-3
