Преодоление firewall'ов снаружи и изнутри


         

он же firewall) неплохо бы


Прежде чем воевать с брандмауэром ( он же firewall) неплохо бы для начала разобраться, что это такое и зачем оно нужно. Первые локальные сети подключались к Интернет кишками наружу, то есть напрямую. Все узлы получали действительные IP-адреса, видимые отовсюду и если в локалке имелся SQL/WEB/FTP сервер или "расшаренные" ресурсы, к ним мог подключаться кто угодно! Пароли на доступ, как водится, отсутствовали или выбирались довольно предсказуемым образом, что делало атаку тривиальной. Вот тогда-то брандмауэры и появились! Брандмауэр стоит между Интернетом и локальной сетью, внутрь которой он никого не пускает. То есть, подключиться к расшаренным ресурсам или корпоративному серверу снаружи уже не получится. Если же сервер должен быть виден извне локальной сети, он располагается в так называемой демилитаризованной зоне или сокращенно DMZ, причем, доступ из DMZ в локальную сеть обычно закрыт. Даже если хакер поразит DMZ-сервер, он все равно не сможет проникнуть в остальные компьютеры. Еще брандмауэр может ограничить выход в Интернет, например, запретить сотрудникам компании заходить на сервера типа www.porno.com или заблокировать некоторые порты, например, 4662 — стандартный порт Осла.

Рисунок 1 типичная схема подключения брандмауэра
Все брандмауэры делятся на два типа: пакетные фильтры и фильтры уровня приложений (они же proxy). Пакетный фильтр это обычный роутер (он же маршрутизатор), маршрутизирующий или не маршрутизирующий TCP/IP пакеты согласно установленной системе правил. Поэтому, если в локальной сети уже присутствует роутер (а без него никак!), приобретать дополнительный пакетный фильтр не нужно! Всякий маршртузитатор может выполнять функции пакетного фильтра, но далеко не всякий пакетный фильтр может служить маршрутизатором!
Фильтры уровня приложений — это обычные Proxy. На компьютер, "смотрящий" в Интернет, устанавливается Proxy-сервер (например, мой любимый Etlin HTTP-Proxy) и все остальные компьютеры работают уже через него! В отличии от варианта с маршрутизатором, компьютеры, огражденные Proxy-сервером, реальных IP уже не получают и внешний наблюдатель видит лишь один узел — Proxy.

Содержание  Назад  Вперед





Forekc.ru
Рефераты, дипломы, курсовые, выпускные и квалификационные работы, диссертации, учебники, учебные пособия, лекции, методические пособия и рекомендации, программы и курсы обучения, публикации из профильных изданий