Хакер №024. Спецвыпуск
ЗА ЖЕЛЕЗНЫМ ЗАНАВЕСОМ
аппаратные файрволлы
Спецвыпуск Xakep, номер #024, стр. 024-042-2
Checkpoint не пытается продавать одно приложение на все случаи жизни, а честно предлагает собрать систему из нескольких компонентов. Набор богатый, в том числе там есть межсетевой экран, сервер VPN, антифлудер, клиент для управления всеми компонентами. Всего в списке их почти тридцать, но это для того, чтобы прилавок был полным, основных, разумеется, меньше. Давай посмотрим, что это чудо природы умеет.
Первая и главная компонента это межсетевой экран Firewall-1, фильтрующий трафик между сетевыми интерфейсами. Правила фильтрации настраивает админ с помощью удобной и красивой клиентской части прямо со своего рабочего места.
Для того чтобы скрыть адреса внутренней сети от внешнего мира, применяется трансляция сетевых адресов (NAT). Пакет, прошедший через файрволл с включенной NAT, будет подписан не внутренним адресом машины, отправившей пакет, а тем адресом, который напишет туда файрволл (если настройка толковая, то в пакете остается только адрес самого файрволла). То есть ты бы и рад нюкнуть какую-нибудь машину за файрволлом, но не знаешь их адресов, увы. Настраивается NAT на том же клиенте.
Но настоящего хацкера этим не напугать, разумеется, мы все равно будем тыкаться во все известные дыры. Против этого фирма Checkpoint предлагает подробные и очень удобные для просмотра логи активности на любом интерфейсе. IP-адрес твоего любимого Интернет-кафе будет виден сразу. Очень грамотно и толково сделаны сортировка и выборочная чистка логов, при желании можно вычистить из них DDoS атаку и посмотреть, что там происходило до того. Но это надо еще догадаться, что надо вычистить :).
Да, при написании софта Checkpoint позаботилась и о тех несчастных, которые бродят вдали от фирмы со своими ноутбуками. Для них есть модуль VPN-1, серверная часть которого ставится на один из серверов фирмы, а клиентская часть - на ноутбук. При соединении клиентская часть находит свой сервер, они сливаются и в едином порыве создают шифрованный туннель, про который ты уже, наверное, читал в этом номере.
В этом комплекте мне не удалось обнаружить прокси-сервера; видимо, с точки зрения Checkpoint, это не входит в понятие файрволла.
Все настройки по максимуму сделаны графическими и интуитивными, во многих меню предлагаются типовые (и довольно грамотные) конфигурации. Одним словом, хороший продукт, через правильную настройку прорываться будет очень сложно.
Но Checkpoint не делает железок. Он только продает свой софт тем, кто хочет поставить его на железки. И выпускает рекомендации, как готовить операционку для аппаратного файрволла.
УКРЕПЛЕНИЕ ОСЕЙ
Уже ближе к железу, старик. Как ты понимаешь, ставить что-либо на стандартного Пингвина из коробки и сразу вывешивать машину в Интернет - это смелость, граничащая с безумием. Поэтому сначала систему готовят к установке, а подготовленную называют "система с укрепленной ОС", что, видимо, должно успокоить клиента и отбить охоту у морально слабых. Все советы по укреплению ОС для будущего файрволла довольно просты и разумны и вполне подходят и для простых смертных. Жаль только, пользуются ими редко.
Назад на стр. 024-042-1 Содержание Вперед на стр. 024-042-3