Вы думаете, что брандмауэр обеспечивает полную защиту от злоумышленников?
Это не так. Если компании не используют наилучшие способы обеспечения безопасности, они не защищают себя от вторжения хакеров
Вы думаете, что брандмауэры гарантируют абсолютную безопасность? Французы тоже так думали. Именно поэтому после первой мировой войны они построили линию Мажино - систему оборонительных сооружений длиной 62 мили, насыщенную артиллерией, - чтобы преградить немцам путь во Францию. Это была почти идеальная защита. Немцы знали, что не смогут ее прорвать, поэтому они выбрали логичное решение. Они ее обошли.
Мораль этой истории: есть больше одного способа обойти защиту, и можно биться об заклад, что ваши враги их найдут. Из этого вытекают серьезные выводы для отделов ИТ, которые рассчитывают, что брандмауэры защитят их корпоративные сети и intranet от набегов хакеров. Боязнь вторжения привела к тому, что, по оценкам корпорации International Data (Фреймингхем, шт. Массачусетс), объем продаж брандмауэров в мире возрастет с 10 000 штук в 1995 году до 1,5 млн. штук в 2000 году. Десятки компаний выпускают на рынок свои программы, и средняя стоимость установки брандмауэра должна упасть с сегодняшних $16000 до $650 в 2000 году.
Но, как показывает французский опыт, даже после установки брандмауэра вы все равно можете оказаться легкой мишенью. Не надо возлагать вину за риск на технологию. Как говорят эксперты, действительная проблема заключается в том, что слишком много профессионалов-сетевиков при внедрении и эксплуатации брандмауэров пренебрегает простыми и действенными приемами обеспечения безопасности.
Хотите получить доказательство, что за своими брандмауэрами компании чувствуют себя слишком спокойно и слишком благодушно? Просто спросите Фреда Рика, главного консультанта фирмы Price Waterhouse LLP (Морристаун, шт. Нью-Джерси). Рика входит в группу, которая разрабатывает программы, проверяющие возможность обхода системы защиты безопасности компьютеров и брандмауэров. Он "вламывается" в защищенные брандмауэром системы компаний из списка Fortune 500, чтобы узнать, насколько они на самом деле эффективны. У него для вас плохие новости. За восемь лет хакерской деятельности его лишь однажды поймали в момент "взлома" системы.
Рика говорит: "Во всех остальных случаях клиенты замечали мое проникновение в их системы после нескольких недель активности и только после прекращения моей деятельности". Откровенно говоря, нет достаточных причин, благодаря которым Рика мог бы проникать в системы и уходить из них незамеченным. Протоколы попыток неавторизованного доступа фиксируются брандмауэрами в регистрационных файлах по крайней мере в 60% случаев. Но ему удается проникать внутрь, потому что профессионалы, которые занимаются обеспечением безопасности, следят за протоколами недостаточно внимательно - если они вообще это делают. А это означает, что настоящие хакеры могут получить доступ к системам их компаний под самым их носом.
Иоланда Рейдиг, системный аналитик совета округа Орендж (шт. Калифорния), клянется, что этого не случится. Рейдиг настолько полна решимости отразить атаки, что приняла на вооружение несколько оправдавших себя приемов работы с брандмауэром, включая ежедневную проверку протоколов попыток неавторизованного доступа, несмотря на то, что за шесть месяцев она не зафиксировала ни одной такой попытки.
Когда шесть месяцев назад Рейдиг установила брандмауэр BorderWare фирмы Border Network Technologies (Торонто, Канада), она также последовала другому простому, но важному совету. Она исключила имена всех пользователей, задействованных в ее версии ОС Unix по умолчанию - тактика, которую рекомендуют многие эксперты по безопасности.
"В 80 - 85% случаев имена, используемые системой по умолчанию, не были исключены", - говорит Рика из Price Waterhouse. Хотя они не обладают большими привилегиями, любое из них можно использовать, чтобы прочитать системный файл с зашифрованными паролями и, расшифровав их, в конце концов проникнуть в любую часть сети Unix, включая возможность стать пользователем с именем root.
"Как только вы получаете привилегии root, игра заканчивается", - добавляет Рика. Вам интересно, насколько в действительности эффективен трюк с именами? Рика регулярно использует его, чтобы взламывать системы своих клиентов. И ему это удается, даже когда в системе есть брандмауэр.
Точки проникновения
Даже если предположить, что злоумышленник не сможет проникнуть через брандмауэр или обойти его, знать все возможные точки входа в вашу систему все равно полезно. Хакеры в принципе могут попасть в нее через "все, что позволяет одному компьютеру связываться с другим", говорит Кен Катлер, вице-президент MIS Training Institute (Фреймингхем, шт. Массачусетс) по безопасности информации, обучению и консалтинговым услугам.
Для входа часто используются мосты, маршрутизаторы и шлюзы. Вам также следует точно знать число хост-машин TCP/IP в вашей сети, потому что именно они будут атакованы, если незваный гость попытается проникнуть в систему. Когда вы найдете все опасные места, постарайтесь сократить их число, так перенаправив трафик, чтобы обойти опасные точки, и устраните ненужные соединения.
Не все полезные приемы работы с брандмауэрами связаны с безопасностью. Некоторые из них относятся просто к повышению производительности. Если ваша компания испытывает взрывное увеличение потребности в доступе в Internet и разумно поступает, направляя весь трафик через брандмауэр, вы можете столкнуться с уменьшением скорости, с которой брандмауэр может обрабатывать проходящий через него трафик.
"Мы определенно сталкиваемся с проблемами масштабирования", - говорит Рик Пинамонти, специалист по компьютерам из FDIC (Арлингтон, шт. Виргиния). Пинамонти, который использует брандмауэр Gauntlet фирмы Trusted Information Systems (Гленвуд, шт. Мэриленд), временно снял остроту проблемы пропускной способности, модернизировав процессор в сервере брандмауэра. Но он также собирается установить один или два proxy-сервера с кэшированием, которые помогут снизить нагрузку на брандмауэр и свести к минимуму риски безопасности.
Итог разговора о брандмауэрах: сами по себе они не сделают ничего хорошего. Катлер из MIS Training Institute говорит: "Положите все яйца в корзину одного брандмауэра, и вы отдадитесь на милость системы безопасности". Если бы кто-нибудь в свое время дал французам тот же совет!
Эрин Коллуэй
Если администраторы недостаточно внимательно следят за сетевыми протоколами, хакеры проникают в систему
