j Более подробно проблема подделки IP-адреса обсуждается в главе 3.

Во-первых, в правилах, запрещающих или разрешающих доступ к узлу сети, следует использовать IP-адрес, а не имя домена или узла. Подделать IP-адрес или имя узла относительно легко, однако в атаках многих типов такая подмена не срабатывает просто потому, что получить ответ на запрос с ложным IP-адресом достаточно трудно. Если же хакер имеет доступ к базе данных DNS, ему совсем не сложно сфальсифицировать имя узла или домена. В этом случае имя может казаться вам знакомым, но соответствовать другому адресу.

Не возвращайте по внешнему интерфейсу никакие ICMP-коды. С их помощью атакующий сумеет добыть информацию о сети, в частности о том, какие пакеты попадают внутрь, а какие нет. Если возвращать ICMP-коды только для некоторых пакетов, атакующий узнает о наличии механизма фильтрации пакетов. В этой ситуации любые сведения о вашей сети будет представлять интерес для хакера. Одна из основных функций межсетевого экрана состоит в сокрытии данных о внутренней сети. Хакер сможет определить методом исключения, что именно не работает, и в конце концов найдет способ добиться своей цели. Не возвращая ICMP-коды, вы ограничите информацию, доступную хакеру.

Отбрасывайте все пакеты с адресом отправителя, соответствующим внутренней сети, приходящие по внешнему сетевому адаптеру. Эти пакеты скорее всего созданы нарушителем, пытающимся проникнуть сквозь защиту путем подделки адреса. Об этом уже говорилось, но стоит повторить еще раз. Всегда существует вероятность, что кто-либо в вашей внутренней сети создаст еще одно подключение к Internet, возможно - по ошибке, в результате неправильной настройки маршрутизатора или установки модемного входа, о котором вы не знаете. Следует всегда помнить, что межсетевой экран не в состоянии защитить вас от атаки изнутри (или от ошибок). Не забывайте, что для обеспечения безопасности нужна бдительность и регулярные проверки, а также четкое понимание того, что содержит ваша сеть и как она должна настраиваться.

Опасные службы

Одни службы более опасны, чем другие. Набор TCP/IP создавался до того, как сеть Internet стала широко использоваться для коммерческих или домашних применений. Тогда она объединяла сети академических и военных организаций и нескольких сотрудничавших с ними крупных компаний. Создатели TCP/IP и некоторых из популярных сетевых служб даже не задумывались о возникающих

О тип сообщения ICMP. С помощью этих данных удается предотвратить некоторые попытки получить информацию о сети;

О порт отправителя и назначения для пакетов TCP и UDP. Информация, предназначенная для определения типа службы.

При создании правил фильтрации пакетов необходимо следовать нескольким важным соглашениям.

сегодня важных проблемах безопасности. Вот ряд «опасных» служб, которые следует всегда блокировать в брандмауэре:

О Network File System (NFS, Сетевая файловая система). Если разрешить ее работу через брандмауэр, то на внешнем компьютере можно будет смонтировать файловую систему вашей сети и обращаться к файлам и каталогам так же, как если бы они были подключены к локальной сети нарушителя;

О Network Information Services (NIS, Информационная служба сети). Посредством этой службы, когда-то известной как «Yellow Pages» (Желтые страницы), хакеры в состоянии добыть важную информацию, такую как имена узлов и пользователей в вашей сети;

О X Windows. При работе с клиентами и серверами X Windows возникает множество проблем безопасности. Кроме трудностей с запуском приложений и предоставлением привилегий, сеанс X Windows бывает столь же опасным, как сеанс Telnet.

Не забывайте запретить в конце списка правил все оставшиеся службы. Клиенты должны пользоваться лишь открытыми службами и только в безопасном направлении. При вызове через брандмауэр таких служб, как Telnet или FTP, следует обращаться к их версиям, обеспечивающим строгую аутентификацию, или применять ргоху-сервер, как описано в следующей главе.

Информация в IP-заголовке

в общем случае пакетные фильтры работают только с информацией из заголовка пакета. Поскольку в каждом пакете находится несколько заголовков различных протоколов, проверяются лишь те из них, которые важны для фильтрации пакетов. Большинству пакетных фильтров не требуется информация на уровне кадра Ethernet. Здесь адрес отправителя и другие аналогичные поля представляют собой МАС-адрес либо локальной системы, либо маршрутизатора, который является последним этапом на пути пакета в Internet.

На следующем уровне вверх по стеку протокола находятся сведения из заголовка IP-пакета. Видно, что они довольно ограничены (см. рис. 2.4).

Какой информацией из этого заголовка может воспользоваться пакетный фильтр? Важными являются следующие данные:

О IP-adpeca отправителя и получателя;

О протокол, например TCP, UDP или ICMP;

О опции IP, такие как маршрутизация от источника.

Наиболее очевидно применение адресов отправителя и получателя. Если доступ через брандмауэр должен быть разрешен лишь для ограниченного числа узлов Internet, то удобно фильтровать входящие пакеты на основе указанного в них адреса отправителя. И наоборот -пакеты, приходящие из внутренней сети.

Порт источника (16 бит)

Порт адресата (16 бит)

Последовательный номер (32 бита)

Номер подтверждения (32 бита)

<и га О

Контрольная сумма (16 бит)

Окно (16 бит)

Указатель срочных данных

Опции и заполнение

Рис. 5.2

Фильтрация пакетов может осуществляться также с помощью заголовка протокола TCP

Информация в заголовке TCP и UDP

Каждый уровень в стеке протоколов добавляет к данным, получаемым им от верхнего уровня свой заголовок. Поскольку IP используется другими протоколами, такими как TCP и UDP, можно предполагать, что в области данных IP-пакета должен находиться заголовок этих протоколов. Информация в нем может оказаться очень полезной для фильтрации пакетов. На рис. 5.2 показаны поля заголовка TCP, который иногда называется TCP Protocol Data Unit (Модуль данных протокола TCP).

Как вы помните, протокол TCP отвечает за установку надежного соединения между двумя приложениями в сети. TCP получает данные (они называются сообщениями) от слоев, находящихся выше него в стеке протоколов, вставляет ТСР-заголовок, а затем посылает их уровню IP, который добавляет свой заголовок. Сообщение, передаваемое TCP от приложений, расположенных выше по стеку,

фильтровать по указанному в них адресу назначения, разрешая доступ только к определенным адресам.

Полезно также поле с указанием протокола, для которого предназначен пакет. Это может быть, например, протокол TCP или UDP, два основных транспортных протокола в Internet, либо протокол ICMP. Как правило, следует отбрасывать пакеты любых протоколов, не используемых в вашей сети или позволяющих изменить ее настройки. Например, посредством ICMP-пакетов удается изменить таблицу маршрутизации или сообщить о недоступности определенного узла. Если вы хотите взглянуть на полный список сообщений ICMP, найдите при помощи поисковой машины документ RFC 1700.