Вход на хостинг
IT-новости
20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла
Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......
30.07.2015 Ищем уникальный контент для сайта
Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......
Фильтрация неправильных пакетов может предупредить различные атаки, направленные на переполнение буфера, определение операционной системы, сканирование портов. Фильтрация таких пакетов есть способ борьбы с полуоткрытым сканированием, описанным выше в разделе классификации атак.
Многие операционные системы имеют мощные встроенные МЭ. Обычно это пакетные фильтры с расширяемыми возможностями. Так, операционная система Linux имеет пакет iptables (ipchains или ipfw), позволяющий производить фильтрацию [7, 8]. ОС OpenBSD, FreeBSD и другие также имеют МЭ. Различные версии Windows (на базе NT) имеют также встроенные, но с меньшим набором функциональных возможностей МЭ. Малый набор фильтрующих возможностей штатными средствами, особенно у семейства операционных систем Windows, компенсируется наличием большого числа коммерческих продуктов от третьих производителей, например AtGuard, ZoneAlarm и др. Для ОС с открытым кодом такие продукты по большей части бесполезны, так как они не могут фильтровать лучше, чем сама ОС, средствами ядра.
Имеется множество программно-аппаратных средств от различных производителей, реализующих функции фильтрации «в виде отдельного блока» независимо от ОС: Cisco Secure IDS, ISS RealSecure for Nokia, NFR Intrusion Detection Appliance, SecureCom, Citadel и многие другие. Некоторые из них даже сертифицированы бывшим ФАПСИ.
С точки зрения размещения МЭ может располагаться как на защищаемом узле, так и отдельно. Первый вариант обходится дешевле, но с большим риском для безопасности. Существует конечная вероятность того, что атака может вывести МЭ из строя. Отдельные узлы, особенно не имеющие IP-адресов (например, различные МЭ-мосты [26]) и администрируемые исключительно с консоли или доверенного интерфейса, практически имеют очень большую надёжность, определяемую только используемым ПО внутри этих средств, которое может случайно содержать ошибки. Так как извне к таким устройствам обратиться невозможно, то невозможно и как-то повлиять на их работу. Даже атака на отказ в обслуживании экранируемой сети при правильном расчёте не приведёт к выводу из строя или изменению алгоритма работы таких устройств. Пакеты, предназначенные для фильтрования, будут отфильтрованы в любом случае.
Ещё одним плюсом за использование отдельных МЭ можно назвать безразличность этих средств к вирусам, так как обработка пакетов напоминает чем-то гарвардскую архитектуру, где разделены потоки команд и данных. Единственным минусом таких средств является их взаимодействие с внешним миром. Чем больше возможностей для связи имеется, тем больше риск атаки на МЭ. Приходится выбирать между удобствами администрирования и безопасностью.
Многие вещи довольно сложно или неэффективно реализовать с помощью фильтров пакетов, например, если надо разрешить посещать какой-то сайт, но в то же время запретить посещение его какой-то части, то для выполнения данной задачи потребуется разборщик и анализатор пакетов, и пр. В конечном счёте получится что-то вроде прозрачного шлюза приложений. Поэтому лучше сразу заметить, что с подобной задачей легко справляются шлюзы приложений. По сложившейся практике никто не называет шлюзы межсетевыми экранами, хотя они являются их подтипом. Шлюзов приложений также много, сколько и приложений, их использующих. Наибольшей популярностью пользуются http-прокси-сервера, насколько они популярны, настолько же часто они подвергаются различным атакам. Среди открытых программных продуктов, распространяемых по лицензии GNU Public License, наибольшей популярностью пользуется пакет squid. Среди программных продуктов с закрытым кодом сложно перечислить однозначно наиболее часто используемые продукты.