В идеале злоумышленник не имеет возможности напрямую атаковать какуюлибо из систем, защищенных брандмауэром. Пакеты, предназначенные защищенным узлам, доставляются на машину-брандмауэр.
Так что злоумышленнику приходится атаковать непосредственно эту машину. Поскольку брандмауэр может стать мишенью атак с целью взлома, он должен придерживаться очень жестких мер обеспечения безопасности. Но поскольку всего один брандмауэр обслуживает многие машины локальной сети, проводить в жизнь политику обеспечения безопасности становится существенно проще.
Недостаток системы брандмауэров очевиден. Сетевой экран ограничивает доступ не только со стороны внешнего мира, но и доступ локальной сети к внешнему миру. Чтобы сократить неудобства, вызываемые присутствием брандмауэра, эта система должна выполнять гораздо больше задач, чем маршрутизатор. Некоторые брандмауэры предоставляют службы:
- DNS для внешнего мира
- Ретрансляции сообщений электронной почты
- Посреднические
В системе брандмауэра должен работать лишь минимальный набор служб, действительно необходимых для общения с внешними системами. Прочие распространенные сетевые службы (NIS, NFS, X Windows, finger и т. д.), как правило, предоставлять не рекомендуется. Ограничение набора служб связано с необходимостью сократить число потенциальных уязвимостей, посредством которых может получить доступ злоумышленник. Для брандмауэров безопасность превыше всего, и даже служб.
Самые серьезные осложнения для машин брандмауэров связаны со службой ftp и службой удаленного терминального доступа. С целью сохранения высокого уровня защищенности на машине брандмауэра не рекомендуется создавать пользовательские учетные записи; при этом данные пользователей должны проходить через брандмауэр, чтобы работали службы ftp и удаленного терминального доступа. Проблема решается созданием специальных учетных записей для ftp и telnet, общих для всех внутренних пользователей. Однако групповые учетные записи обычно считаются проблемой безопасности. Более приемлемое решение - разрешить работу службы ssh через брандмауэр. Это поощряет применение ssh, а значит - серьезных механизмов проверки подлинности и шифрования обмена данными.
Создание эффективного брандмауэра требует не только особого внимания, но и настройки многочисленных переменных в процессе создания экрана. Поэтому существуют специальные программные комплексы для создания брандмауэров. Продается даже специализированное аппаратное обеспечение, выполняющее функции системы-брандмауэра. Существует ряд дешевых программных пакетов для Linux. Прежде чем приступать к созданию собственного брандмауэра, выясните, какие варианты предлагают разработчики программных и аппаратных решений.
Подробности процесса установки брандмауэра выходят за пределы этой книги. Я рекомендую прочесть книги «Building Internet Firewalls» («Создание защиты в Интернете») и «Firewalls and Internet Security» (Брандмауэры и безопасность в Интернете). Решение о самостоятельной установке брандмауэра будет ошибкой, если у вас нет квалифицированных системных администраторов, способных уделить адекватное время этой задаче. Обратитесь в компанию, которая специализируется на проектировании и установке брандмауэров. Если ваша информация настолько ценна, что требует защиты экраном, она достаточно ценна, чтобы защитить ее брандмауэром, создан- ным профессионалами.
Разумеется, услуги профессионалов по карману не каждой сетевой площадке - особенно, если речь идет о небольшом офисе или домашней сети. Если у вас нет времени или денег, можно купить дешевый брандмауэр-маршрутизатор, называемы й иногд а экранирующим устройством (firewall appliance). Эти устройства разрабатываются специально для защиты небольших офисных и домашних сетей и предоставляют возможности простой фильтрации пакетов, работы с посредническими службами, а также преобразования адресов. Стоимость подобных устройств часто не превышает нескольких сотен долларов. В большинстве случаев можно просто купить устройство и включить его в сеть. Ваша сеть заслуживает как минимум такого уровня защиты. Если у вас есть время и возможность создать брандмауэр, можно воспользоваться специальным пакетом или инструментами, встроенными в операционную систему. Пакет брандмауэра стоит дополнительных денег, но с ним легко работать. Инструменты для фильтрации пакетов, встроенные в операционную систему, бесплатны, но с ними процесс настройки наиболее труден. Хорошим примером встроенного инструмента для Unix-системы является iptables, поставляемый в составе Linux.