Хакер №024. Спецвыпуск

       

Хакер №024. Спецвыпуск


ЗА ЖЕЛЕЗНЫМ ЗАНАВЕСОМ



аппаратные файрволлы

Спецвыпуск Xakep, номер #024, стр. 024-042-3

Очень приблизительно последовательность укрепления системы выглядит так: вначале, при установке, убирают все ненужные службы и прибамбасы. В Линуксе это делается через тип установки "Custom", при этом из будущего файрволла удаляется всякая лабуда типа графики, звука, сервера новостей. Затем отключают все ненужные сервисы. Общее правило такое - чем меньше сервисов, тем спокойнее жизнь. Затем настраивают логи и удаляют ненужных юзеров, которых система заводит при установке по умолчанию. После этого на систему ставят все свежие патчи (для RedHat можно глянуть на страницу http://www.redhat.com/apps/support/errata/) и работают. Наверное, имеет смысл оставить все доки - опасности ноль и всегда под рукой :).

И вот уже на такую систему ставят софт файрволла. Кстати, чтобы ты чего не подумал, на работающем файрволле доступ во флешку, где записана операционка, защищен. И не паролем, а переключателем, админ переключает его в положение "можно" только перед установкой свежего патча от фирмы.

Ну, хватит про софт, наверное, давай теперь про железо.

КИСКА

(http://www.cisco.com)

Начнем с самых модных и стильных, то есть с темно-синих коробочек Cisco. Фирма идет навстречу пожеланиям широких масс админов и хакеров и постоянно расширяет линейку выпускаемых устройств. Недавно файрволлы были поделены на два семейства: PIX Firewall и IOS Firewall, при этом PIX позиционируется как мощный и промышленный, для сильно загруженных узлов, а IOS - как менее мощный, но универсальный, для небольших фирм. Маркетинг называется, типа.

Оба семейства умеют фильтровать пакеты в режиме межсетевого экрана, маскируют внутренние адреса через NAT, поддерживают виртуальные частные сети и управляются через специальный административный софт, который ставится на рабочем месте админа. Семейство IOS, кроме того, умеет фильтровать веб-трафик по именам сайтов, то есть админ сможет выборочно позакрывать твои любимые сайты с веселыми картинками, оставив директору его собачек и лошадок. PIX же ставит рекорды производительности при поддержке шифрованных туннелей.

Что там внутри за ось, для меня осталось загадкой. Сама Cisco говорит, что файрволлы работают на специальной "ОС PIX собственной разработки фирмы Cisco", но, по непроверенным слухам, это сильно переделанный и укрепленный SCO UNIX.

ПОЖАРНАЯ МАШИНА

(http://www.watchguard.com)

Файрволлы от Watchguard выпускаются тревожного ярко-красного цвета. Они производят очень сильное впечатление в стойке среди черных, синих и серых устройств от других, менее изобретательных фирм. Глядя на такую стойку, задать вопрос: "А есть ли у вас аппаратный файрволл?" - может только дальтоник.

Как и Cisco, фирма Watchguard выпускает два семейства файрволлов: Firebox и Firebox Vclass. Наборы функций слегка различаются, у Vclass явственно обозначен уклон в большую производительность и управление трафиком, в то время как Firebox, наверное, можно с большим основанием назвать настоящим файрволлом, если судить по тому количеству функций, которым его умудрились нагрузить. Работает простой Firebox помедленнее (хотя я бы не назвал пропускную способность в 200 мегабит в секунду очень медленной), но содержит море разных функций, гораздо больше, чем Киска.

Назад на стр. 024-042-2  Содержание  Вперед на стр. 024-042-4


 

Содержание раздела