AktPrvky_Koton_final
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu PDF.
42
FEKT Vysokého učení technického v Brně
–
nepropouštěj pakety TCP určené portům, které by neměly být k dispozici na
Internetu (např. port pro relace NetBIOS), ale propouštěj pakety, které by
měly být k dispozici (jako např. SMTP). Ve většině filtrů lze přesně uvést, na
jaký server by ten který druh provozu měl směřovat - např. provoz SMTP na
portu 25 by měl směřovat výhradně na IP adresu poštovního serveru.
–
omez příchozí přístup na určité rozsahy IP.
Kvalitnější filtry zkoumají stav všech připojení, které přes ně procházejí, sledují
příznaky naznačující hackování, jako např. přímé směrování, přesměrování ICMP
(Internet Control Message Protocol) a falšování IP adres (IP spoofing). Připojení,
která vykazují výše uvedené charakteristiky, se přeruší.
Filtrování neřeší problém zabezpečení připojení k Internetu beze zbytku. Především
je nutné zmínit, že odchozí provoz obsahuje IP adresy počítačů za filtrem. Je tedy
celkem snadné zjistit typ a počet hostitelských počítačů připojených k Internetu
za filtrem a směrovat útoky proti těmto adresám. Filtrování neskrývá totožnost
hostitelů umístěných za filtrem.
U protokolů vyšší úrovně jako jsou hlavičky TCP nejsou navíc filtry schopny kont-
rolovat všechny fragmenty zprávy IP, protože hlavička je přítomná pouze v prvním
fragmentu. Další fragmenty neobsahují ve své hlavičce žádné informace a lze je
porovnávat pouze s pravidly na úrovni IP, která jsou většinou volnější, aby přes
filtr nějaký provoz propustila. V tomto případě lze zneužít chyb v implementaci IP
na cílových počítačích a také by v takovém případě mohlo v rámci sítě docházet
ke komunikacím s nainstalovanými trojskými koni. Modernější firewally podporují
opětovné sestavování fragmentovaných paketů a následně použití pravidel firewallu
na tyto pakety.
Filtry navíc nejsou ani tak inteligentní, aby v rámci paketů síťové vrstvy kontro-
lovaly legitimitu protokolů. Například nekontrolují pakety HTTP v paketech TCP
a nemohou tedy zjistit, jestli tyto pakety neobsahují programy na napadání bez-
pečnostních chyb (exploity), které pak mohou napadnout webový prohlížeč nebo
webový server na vaší straně připojení. Většina moderních útoků hackerů je zalo-
žena na zneužívání těchto náročnějších služeb, protože kromě útoků, které způsobují
nepříjemné odepření služeb, firewally téměř úplně vyloučily úspěšné útoky na síťové
vrstvě.