НА ЧТО СПОСОБЕН МЕЖСЕТЕВОЙ ЭКРАН 25

ВЫ не сможете быть уверенными в том, что ваш брандмауэр не скомпрометирован нарушителем, эксплуатирующим слабость (или функциональную особенность) операционной системы.

Так, ваш программный брандмауэр может прекрасно функционировать на компьютере с системой UNIX, установленном на границе вашей локальной сети. Но, не понимая принципа действия системы защиты файлов UNIX, вы не всегда обратите внимание на то, что злонамеренный сотрудник заменил права доступа к файлу паролей, сделав его доступным для записи и чтения извне. Затем, уволившись, он сумеет незаметно для вас обращаться к вашему брандмауэру через Internet и изменять его настройки.

Если вдуматься, что может быть хуже, чем непонимание принципов работы межсетевого экрана, на который вам приходится всецело полагаться? Ведь вы никогда не будете действительно уверены в том, что он работает как следует.

Вы найдете более подробный анализ вопросов безопасности операционных систем UNIX и Windows NT в главе 8.

Сомнения в надежности функционирования межсетевого экрана операционных систем Windows NT, UNIX, Linux и др. возникают благодаря постоянному потоку сообщений о новых ошибках и проблемах безопасности в этих ОС, циркулирующему в Internet. В последние несколько лет многие критикуют надежность Windows NT, говоря, что эта платформа недостаточно стабильна для того, чтобы ее можно было использовать в среде повышенной безопасности. Но, потратив некоторое время на изучение этого вопроса, вы обнаружите, что все операционные системы имеют свои недостатки. Новые версии Windows NT, скорее всего, будут содержать ошибки, которые производителю придется устранять. Новые версии UNIX и Linux также не идеальны в этом отношении. Чем шире распространена операционная система, тем больше вероятность обнаружения в ней недоработок и уязвимых мест.

Важно, чтобы продукт поддерживался производителем, который берет на себя ответственность за обнаружение подобных проблем и их быстрое устранение. Если вы уверены в том, что хорошо разбираетесь в операционной системе, установленной в брандмауэре, не имеет значения, будет ли это та же система, что и на рабочих станциях или серверах в остальной части сети. Сегодня локальные сети в большинстве случаев не являются однородными, а представляют собой объединение нескольких типов компьютерных сетей и сетевых протоколов.

На что способен межсетевой экран

Межсетевой экран не гарантирует абсолютную защиту вашей сети, и его нельзя рассматривать в качестве единственного средства обеспечения безопасности. Необходимо понимать, как именно выполняет брандмауэр свои функции по защите сети. В

Что такое трансляция сетевых адресов?

Еще одно свойство некоторых брандмауэров, которое становится все более полезным по мере исчерпания диапазона IP-адресов, - это трансляция сетевых адресов (network address translation, NAT). Она скрывает настоящие адреса компьютеров в сети при обращении к серверам Internet, повышая тем самым их безопасность. При посылке запроса серверу реализующий NAT брандмауэр заменяет сетевой адрес клиента на собственный. При получении ответа он помещает в заголовок пакета настоящий адрес и пересылает его клиенту. Очевидно, что при использовании NAT для подключения к Internet всей локальной сети вам понадобится лишь один адрес.

равной степени важно знать, от чего он не может вас обезопасить. В общем случае правильно сконструированный межсетевой экран способен:

О защищать сеть от небезопасных протоколов и служб;

О защищать информацию о пользователях, системах, сетевых адресах и выполняемых в сети приложениях от внешнего наблюдения;

О обеспечить ведение журнала (в виде набора log-файлов), содержащего статистические данные и записи о доступе к защищенным ресурсам. Это позволяет убедиться в том, что ваша сеть работает эффективно и надежно. Хороший межсетевой экран также имеет в настройках опцию предупреждения администратора о возникновении критических событий, таких как попытка несанкционированного доступа, по пейджеру или другим способом;

О гарантировать централизованное управление безопасностью сети по отношению к остальному миру. Межсетевой экран - это шлюз между Internet и вашей сетью. В большой сети может существовать несколько соединений с внешними сетями и, cлeдoвaтeJJьнo, несколько брандмауэров. В этом случае следует особенно тщательно подойти к выбору брандмауэра. Многие новые продукты предоставляют возможность администрировать с одной консоли управления сразу несколько брандмауэров.

От чего межсетевой экран не может защитить

Межсетевой экран не в состоянии уберечь вас от взлома изнутри. Это означает, что для защиты от возможных разрушительных действий пользователей внутри сети следует прибегать к обычным средствам безопасности. При применении брандмауэра важно не забывать о том, что он не снимает все существующие проблемы безопасности в сети. Межсетевой экран не берет на себя повседневных функций по администрированию систем и обеспечению безопасности. Он просто создает еще один уровень безопасности.

от ЧЕГО МЕЖСЕТЕВОЙ ЭКРАН НЕ МОЖЕТ ЗАЩИТИТЬ 27

Независимо от того, насколько вы уверены в надежности своего брандмауэра, не следует ослаблять безопасность серверов. Наоборот, даже если ваш брандмауэр вполне надежен, при подключении к Internet необходимо более внимательно следить за соблюдением политики безопасности на рабочих станциях и серверах локальной сети, чтобы убедиться в отсутствии уязвимых мест.

Брандмауэр не может защитить вас от:

О вирусов. Хотя некоторые брандмауэры и способны распознавать вирусы в проходящем через них трафике, существует множество способов спрятать вирусы в программе. Если даже в описании вашего брандмауэра заявлена функция антивирусной проверки, не выключайте проверку вирусов на отдельных компьютерах в сети;

О «троянских коней». Как и в случае с вирусами, блокировать проникновение в сеть «троянских коней» (Trojan horses) достаточно сложно. Пользователь нередко поддается искушению загрузить программу из Internet или открыть прикрепленный к сообщению электронной почты файл, проложив тем самым путь в систему вредоносной программе;

О «социальной инженерии». Термин «social engineering* возник недавно и применяется для описания методов получения хакерами информации от доверчивых пользователей. Вы, вероятно, будете удивлены тем, как часто люди готовы сообщить свой пароль любому, кто позвонил по телефону и отрекомендовался представителем службы безопасности, что-нибудь «проверяющим». Межсетевой экран не в состоянии остановить невоздержного на язык сотрудника;

О некомпетентности. Плохо подготовленные сотрудники или небрежное руководство приводят к ошибкам в настройках локальной сети и межсетевого экрана. Если сотрудники не понимают, как работает брандмауэр и как правильно его настраивать, не исключено, что это будет способствовать возникновению проблем;

О атаки изнутри. Межсетевой экран не может предотвратить злонамеренные действия внутри вашей сети. Это одна из причин, по которой безопасность компьютеров в сети остается важной проблемой и после установки брандмауэра.

Поддержка межсетевого экрана

Межсетевой экран - это не тот продукт, который стоит только приобрести, настроить и забыть о нем. Так как потенциальные угрозы вашей сети постоянно меняются по мере развития Internet и появления новых служб и приложений, важно не терять бдительность. Не имеет значения, создаете ли вы межсетевой экран «с нуля» своими силами, строите его из компонентов, приобретенных у различных производителей или покупаете всю систему целиком у одного производителя; в любом случае существует несколько вещей, которые имеют отношение к использованию и поддержке брандмауэра и о которых следует помнить: