и измерительными. При помощи этого поля реализуется маршрутизация от источника (source routing), что особенно важно при настройке межсетевого экрана;

О заполнение нулями. Применяется для заполнения заголовка нулями до границы 32 бит.

Важная информация в заголовке пакета

Фильтры пакетов работают с информацией в заголовке IP-пакета. Наиболее важные поля - адреса источника и адресата, тип протокола и флаги фрагментации. Например, IP spoofing (подмена IP-адреса) происходит, если хакер меняет адрес источника в заголовке пакета. Поэтому следует настраивать фильтр пакетов таким образом, чтобы блокировать все внешние пакеты, если в качестве адреса источника в них записан адрес вашей внутренней сети. Поскольку пакет поступил снаружи, он не мог быть передан из локальной сети. Это попытка хакера поместить в сеть пакет, который выглядит так, как будто он пришел изнутри.

Поле параметров и маршрутизация от источника

Хотя поле параметров и не является обязательным, с его помощью межсетевой экран способен, например, реализовать маршрутизацию от источника (source routing). В начале этой главы при первом упоминании протокола IP, отмечалось, что маршрутизация выполняется другими протоколами. В большинстве случаев это действительно так. Но, как видно из табл. 2.6, имеется два параметра, которые могут быть использованы протоколом IP для маршрутизации. Это третий и девятый параметры: строгая маршрутизация от источника (strict source routing) и нестрогая маршрутизация от источника (loose source routing).

Таблица 2.6. Классы и номера параметров СС параметр

-1омер ппрпметра Примсненир

Обозначает конец списка параметрав Параметров нет

Параметры безопасности для военного применения Нестрогая маршрутизация от источника Включение записей маршрутизации Строгая маршрутизация от источника Включение меток времени

Строгая маршрутизация от источника позволяет хакерам направить пакет через свой компьютер.

Оба параметра определяют список адресов, через которые должна пройти дата-грамма. При нестрогой маршрутизации маршрут к каждому из этих узлов выбирается произвольно. При строгой маршрутизации датаграмму необходимо передавать точно в порядке списка, если же это невозможно, она будет отброшена.

Более подробную информацию о маршрутизации от источника и причинах ее выключения в брандмауэре вы найдете в главе 3.

Порты TCP и UDP

Если бы все приложения задавали только IP-адрес получателя пакетов, данные доставлялись бы на узел назначения, но на нем было бы почти невозможно определить, какому процессу они предназначены.

Для решения этой задачи в протоколах TCP и UDP служат номера портов. Каждое приложение, использующее TCP/IP, задает номер порта (port) удаленного компьютера. Номера портов являются конечными точками (endpoints) маршрута, что позволяет двум взаимодействующим по сети приложениям идентифицировать друг друга. Представьте себе, что на ваше предприятие приходят почтовые сообщения, в которых указан только адрес компании. Как узнать, кому адресовано каждое письмо? Чтобы задать пункт назначения более точно, следует указать фамилию адресата и номер подразделения. Примерно такую же роль выполняет номер порта.

Общеизвестные порты

Организация Internet Assigned Numbers Authority (lANA, Управление по присвоению номеров Internet) определяет назначение портов в первом диапазоне адресов (0-1023) - так называемых стандартных портов. Эти порты описаны в нескольких документах RFC (последний из них - RFC 1700) и изменяются очень редко.

Список этих портов представлен в табл. П1.1 приложения 1.

Стандартные порты обычно доступны только привилегированным процессам или пользователям.

Например, утилита Telnet работает с портом 23. Обратите внимание, что в большинстве случаев протоколы UDP и TCP применяют один и тот же порт. Но это не обязательно, поэтому при работе с таблицей всегда проверяйте тип протокола для нужного вам порта.

Таблица поможет вам принять решение о том, какие порты заблокировать в межсетевом экране. Некоторые из приложений никогда не будут вызываться в вашей системе, и, следовательно, нет никакой необходимости пропускать через брандмауэр сетевой трафик, использующий эти порты.

Зарегистрированные порты

Порты с номерами от 1024 до 65535 также можно применять, но их назначение не определяется стандартами IANA. Они называются зарегистрированными портами и доступны большинству пользовательских процессов в системе.

Стандартные сервисы TCP/IP

Было создано большое число сервисов, работающих с набором протоколов TCP/ IP. Вы должны решить, какие из них вам нужно будет пропускать через межсетевой экран и в каком направлении.

Протокол Telnet

Telnet - это приложение для удаленного входа в систему с другого компьютера посредством интерфейса командной строки. Обычно Telnet работает поверх протокола TCP, что обеспечивает возможность установки надежного соединения. Так как большинство современных приложений для конечных пользователей обладают графическим интерфейсом. Telnet скорее нужен системным администраторам. Поскольку Telnet реализован на множестве различных операционных систем, с его помощью можно, например, войти в систему UNIX с компьютера, на котором установлена Windows NT. Но при этом вам придется на удаленной системе прибегнуть к командам UNIX. Telnet просто позволяет создать сеанс удаленной связи с другим компьютером, в котором вам придется использовать набор команд удаленного компьютера.

Сервер Telnet, как правило, использует обычный механизм аутентификации пользователей операционной системы. Это означает, что для удаленного входа в систему нужно знать имя и пароль пользователя в ней. Очевидно, что следует очень внимательно подходить к принятию решения о разрешении работы Telnet через брандмауэр. Каким бы надежным ни казался вам механизм аутентификации вашей системы, при подключении сети к Internet он может оказаться недостаточным, что сделает вашу систему потенциальной целью атаки практически из любой точки мира. Хакеры обычно умеют быстро взламывать простую схему аутентификации, основанную только на проверке имени пользователя и пароля, с помощью различных программ для подбора паролей.

Если вы собираетесь разрешить доступ в Telnet, обдумайте использование в качестве сервера укрепленного компьютера и усильте безопасность за счет введения proxy-сервера, в котором будет проверяться еще один пароль.

Укрепленные компьютеры и их конфигурация рассматриваются более подробно в главе 6.

Протокол FTP

Еще один полезный сервис обеспечивается протоколом передачи файлов (File Transfer Protocol, FTP). Эта утилита позволяет передавать файлы между компьютерами. И она также является потенциально опасной, причем по нескольким причинам:

О при помощи FTP хакер в состоянии загружать в вашу систему вредоносные программы. Попав к вам в систему, «троянский конь» способен создать