Содержание материала

В идеале злоумышленник не имеет возможности напрямую атаковать какуюлибо из систем, защищенных брандмауэром. Пакеты, предназначенные защищенным узлам, доставляются на машину-брандмауэр.

Так что злоумышленнику приходится атаковать непосредственно эту машину. Поскольку брандмауэр может стать мишенью атак с целью взлома, он должен придерживаться очень жестких мер обеспечения безопасности. Но поскольку всего один брандмауэр обслуживает многие машины локальной сети, проводить в жизнь политику обеспечения безопасности становится существенно проще.

Недостаток системы брандмауэров очевиден. Сетевой экран ограничивает доступ не только со стороны внешнего мира, но и доступ локальной сети к внешнему миру. Чтобы сократить неудобства, вызываемые присутствием брандмауэра, эта система должна выполнять гораздо больше задач, чем маршрутизатор. Некоторые брандмауэры предоставляют службы:

  • DNS для внешнего мира
  • Ретрансляции сообщений электронной почты
  • Посреднические

В системе брандмауэра должен работать лишь минимальный набор служб, действительно необходимых для общения с внешними системами. Прочие распространенные сетевые службы (NIS, NFS, X Windows, finger и т. д.), как правило, предоставлять не рекомендуется. Ограничение набора служб связано с необходимостью сократить число потенциальных уязвимостей, посредством которых может получить доступ злоумышленник. Для брандмауэров безопасность превыше всего, и даже служб.

Самые серьезные осложнения для машин брандмауэров связаны со службой ftp и службой удаленного терминального доступа. С целью сохранения высокого уровня защищенности на машине брандмауэра не рекомендуется создавать пользовательские учетные записи; при этом данные пользователей должны проходить через брандмауэр, чтобы работали службы ftp и удаленного терминального доступа. Проблема решается созданием специальных учетных записей для ftp и telnet, общих для всех внутренних пользователей. Однако групповые учетные записи обычно считаются проблемой безопасности. Более приемлемое решение - разрешить работу службы ssh через брандмауэр. Это поощряет применение ssh, а значит - серьезных механизмов проверки подлинности и шифрования обмена данными.


Создание эффективного брандмауэра требует не только особого внимания, но и настройки многочисленных переменных в процессе создания экрана. Поэтому существуют специальные программные комплексы для создания брандмауэров. Продается даже специализированное аппаратное обеспечение, выполняющее функции системы-брандмауэра. Существует ряд дешевых программных пакетов для Linux. Прежде чем приступать к созданию собственного брандмауэра, выясните, какие варианты предлагают разработчики программных и аппаратных решений.

Подробности процесса установки брандмауэра выходят за пределы этой книги. Я рекомендую прочесть книги «Building Internet Firewalls» («Создание защиты в Интернете») и «Firewalls and Internet Security» (Брандмауэры и безопасность в Интернете). Решение о самостоятельной установке брандмауэра будет ошибкой, если у вас нет квалифицированных системных администраторов, способных уделить адекватное время этой задаче. Обратитесь в компанию, которая специализируется на проектировании и установке брандмауэров. Если ваша информация настолько ценна, что требует защиты экраном, она достаточно ценна, чтобы защитить ее брандмауэром, создан- ным профессионалами.

Разумеется, услуги профессионалов по карману не каждой сетевой площадке - особенно, если речь идет о небольшом офисе или домашней сети. Если у вас нет времени или денег, можно купить дешевый брандмауэр-маршрутизатор, называемы й иногд а экранирующим устройством (firewall appliance). Эти устройства разрабатываются специально для защиты небольших офисных и домашних сетей и предоставляют возможности простой фильтрации пакетов, работы с посредническими службами, а также преобразования адресов. Стоимость подобных устройств часто не превышает нескольких сотен долларов. В большинстве случаев можно просто купить устройство и включить его в сеть. Ваша сеть заслуживает как минимум такого уровня защиты. Если у вас есть время и возможность создать брандмауэр, можно воспользоваться специальным пакетом или инструментами, встроенными в операционную систему. Пакет брандмауэра стоит дополнительных денег, но с ним легко работать. Инструменты для фильтрации пакетов, встроенные в операционную систему, бесплатны, но с ними процесс настройки наиболее труден. Хорошим примером встроенного инструмента для Unix-системы является iptables, поставляемый в составе Linux.

Обмениваться, хранить, передавать Ваши файлы стало просто как никогда.
yandex-disk
Читать подробнее: для чего Yandex-Диск проекту Mini-Server. Практика установки, настройки и использования сетевого хранилища на Ubuntu server LTS 12.04 в статье Резервное копирование сервера Ubuntu на Яндекс Диск.

>> Ubuntu 12.04 + Nginx Скачать сервер
>> Fedora 15 Скачать сервер
>> Простой Debian 6.0.6 Скачать сервер
>> CentOS 6.0 и
+ (5.6) другой
Скачать сервер
>> OpenSUSE 11.4
MAX
Скачать сервер

Вход на сайт

ВНИМАНИЕ!

Регистрация на сайте только по согласованию с администратором ресурса. Обращаться через форму обратной связи.