Для корпоративных сетей ситуация намного сложнее, и уже нельзя доверяться автоматическим настройкам. Тут нужно следовать правилам безопасности, установленным в сети, и конфигурировать программу строго в соответствии с этими правилами. Дело в том, что в крупных сетях и компаниях сетевой экран находится на выделенном сервере, который соединяет локальную сеть с Интернетом. Этот сетевой экран просто не в состоянии вывести окно с подтверждением пользователю. Тут уже все правила конфигурируются администраторами.

Если в компании есть сетевой экран на выходе в Интернет, это не значит, что не нужно устанавливать дополнительную защиту на локальном компьютере и тем более отключать встроенные средства защиты ОС. Защита лишней не бывает, поэтому никогда не отключайте сетевой экран.

5.6.5. Сетевой экран — не панацея

Даже установив сетевой экран, вы не получаете полной защиты, потому что существуют варинаты обходы этой защиты. Самый банальный обход — использование подключения со стороны клиента к веб-серверу через IE. Браузер IE у бельшинства находится среди программ, которым система доверяет, и любой сетевой экран без дополнительных вопросов позволяет подключение к удаленным компьютерам на 80-й порт (используется для веб-серверов). Так как IE легко поддается управлению, любая троянская программа может обмениваться данными с управляющим центром посредством использования движка IE и HTTP-протокола.

Брандмауэр — это всего лишь замок на двери парадного входа. Злоумышленник никогда не воспользуется парадным входом, он будет проникать в систему через черный ход или полезет в окно. Например, на рис. 5.11 показана защищенная сеть, а ее главная дверь — это выход в Интернет через сетевой кабель. А если на какомнибудь клиентском компьютере стоит модем, то это уже черный ход, который не будет контролироваться сетевым экраном.

Я видел серверы, в которых доступ в сеть разрешен только с IP-адресов, определенных списком. Администраторы верят, что такое правило позволит защититься от хакеров. Это не так, потому что IP-адрес легко подделать.

Однажды я работал в фирме, где выход в Интернет контролировался по IP-адресу. У меня было ограничение на получение 100 Мбайт информации в месяц, а на соседнем компьютере был полный доступ. Чтобы не тратить свой трафик на получение больших файлов со своего IP-адреса, я только смотрел веб-страницы. Когда нужно было что-либо скачать, я выполнял следующие действия:

1.Дожидался, когда освободится нужный компьютер, например, когда хозяин уходил на обед.

2.Вытаскивал сетевой кабель на компьютере соседа, чтобы разорвать соединение.

4. После скачивания возвращал IP-адрес и кабель на место.

Таким образом, я в течение месяца получал необходимую мне информацию.

Дальше стало еще проще. Я установил прокси-сервер на соседний компьютер и стал использовать его. После этого мы всем отделом заходили в Интернет через один IP-адрес, имеющий неограниченный трафик.

В современных сетевых экранах простая замена IP-адреса не позволит извне проникнуть в систему. Сейчас используются намного более сложные методы идентификации. С помощью подмены можно получить большие привилегии только в рамках сети, а не извне, да и то лишь при плохих настройках. Но хороший администратор даже внутри сети не допустит таких махинаций, потому что есть еще защита по MAC-адресу и пароли доступа.

Сетевые экраны могут работать на компьютере с ОС (программные) или на какомнибудь физическом устройстве (аппаратные). В любом случае это программа, а ее пишут люди, которым свойственно ошибаться. Как и ОС, так и программу сетевого экрана нужно регулярно обновлять и исправлять погрешности, которые есть всегда и везде.

Рассмотрим защиту по портам. Допустим, что у вас есть веб-сервер, который защищен сетевым экраном с разрешенным только 80 портом. А ему больше и не надо! Но это не значит, что нельзя будет использовать другие протоколы. Можно создать туннель, через который данные одного протокола передаются внутри другого. Так появилась знаменитая атака Loki, которая санкционирует передачу серверу команды на выполнение через ICMP-сообщения Echo Request (эхо-запрос) и Echo Reply (эхо-ответ), подобно команде ping.

Сетевой экран помогает защищать данные, но основным блюстителем порядка является администратор, который должен постоянно следить за безопасностью и выявлять атаки. Когда мы обсуждали вопросы защиты от вирусов (см. разд. 4.1), я сказал, что новый его вид имеет шанс проникнуть практически в любую систему, потому что "вакцины" еще нет. Точно так же с атаками. Вновь разработанная атака сможет преодолеть сетевой экран, и компьютер ничего не заподозрит, потому что "заподозрить" его заставляют только заложенные в программу алгоритмы. Чтобы обработать нестандартную ситуацию, за системой должен наблюдать администратор, который будет реагировать на любые нештатные изменения основных параметров.

Для того чтобы пройти через сетевой экран, зачастую требуется пароль или предъявление какого-нибудь устройства типа Touch Memory, Smart Card и др. Если пароль не защищен, то все затраченные на сетевой экран деньги окажутся потерянными зря. Хакер может подсмотреть пароль или подслушать его с помощью анализатора пакетов (снифера) и предъявить подделанные параметры идентификации сетевому экрану. Таким образом было взломано немало систем.

Управление паролями должно быть четко определено. Вы должны контролировать каждую учетную запись. Например, если уволился сотрудник, у которого были

Я всегда рекомендую, чтобы пароль с основными привилегиями на сетевой экран был известен только одному человеку, например начальнику информационного отдела, но никак не рядовому специалисту. Начальники меняются редко. Администраторы — достаточно часто, и после каждого их увольнения нужно не забыть поменять какой-нибудь пароль.

В качестве некоторой защиты от проблемы паролей уволенных сотрудников можно настроить политику безопасности так, чтобы учетные записи действовали только один месяц, после чего пароль должен меняться, иначе запись блокируется. Таким образом, уволенный и обиженный сотрудник сможет насолить бывшей компании максимально в течение месяца.

Именно поэтому описанная защита является неполной, ведь лазейка все равно остается, и нужен глаз да глаз. А если учесть, что обиженный на нечестное увольнение человек может сгоряча сразу полезть мстить, то защитой такое назвать очень тяжело.

5.6.6. Сетевой экран как панацея

Может сложиться впечатление, что брандмауэр — это пустое развлечение и трата денег. Это не так. Если он хорошо настроен, постоянно контролируется и обновляется, то сетевой экран может предотвратить большинство проблем.

Хороший экран имеет множество уровней проверки прав доступа, и нельзя использовать только один из них. В данном случае имеется в виду необходимость использования нескольких уровней, а не нескольких сетевых экранов. От количества экранов не всегда изменяется качество защиты, но лучше иметь все же два типа — один на входе в сеть и один на каждом клиентском компьютере.

Если вы ограничиваете доступ к Интернету исключительно по IP-адресу, то приготовьтесь оплачивать большой трафик. Но если при проверке прав доступа используется IP-адрес в сочетании с MAC-адресом и паролем, то такую систему взломать уже намного сложнее. Да, и MAC- и IP-адреса легко подделать, но можно для полной надежности подключить к системе защиты и порты на коммутаторе. В этом случае, даже если хакер будет знать пароль, то для его использования нужно сидеть именно за тем компьютером, за которым он закреплен.

Защита может и должна быть многоуровневой. Если у вас есть данные, которые нужно оградить от посторонних, то используйте максимальное количество уровней. Помните, что лишней защиты не бывает.

Представьте себе банк. У входа обязательно стоит секьюрити, который спасет от воров и мелких грабителей. Но если подъехать к такой организации на танке, то эта охрана не поможет.

Сетевой экран — это как охрана на дверях, защищает от мелких хакеров, которых подавляющее большинство. Но если вашей сетью займется профессионал, то он

Помимо охраны у входа, деньги в банке всегда хранятся в сейфе. Финансовые сбережения для банка — это как секретная информация для сервера, и они должны быть максимально защищены. Именно поэтому устанавливают сейфы со сложными механизмами защиты, и если не знать, как их обойти, вор потратит на вскрытие замка драгоценное время, и успеет приехать милиция.

В случае с сервером в роли сейфа может выступать шифрование, которое повышает гарантию сохранности данных. Даже если хакер проникнет на сервер, минуя сетевой экран, ему понадобится слишком много времени, чтобы расшифровать данные. Вы успеете заметить и вычислить злоумышленника. Ну а если взломщик скачал зашифрованные данные и пытается их расшифровать на своем компьютере, то с большой вероятностью можно утверждать, что информация раньше устареет, чем хакер сможет ее прочитать. Главное, чтобы алгоритм шифрования и ключ были максимально стойкими к подбору, особенно по словарю.

5.6.7. Виртуальная частная сеть

Одним из средств защиты является создание виртуальных частных сетей (VPN, Virtual Private Network). Допустим, что существует некая фирма с распределенной сетью филиалов, удаленных на большое расстояние, и для их соединения самым дешевым вариантом будет использование Интернета. Для того чтобы трафик не перехватили, применяется виртуальный канал, который шифруется и недоступен для хакера (рис. 5.12).

Рис. 5.12. Пример связи центрального офиса и филиала через VPN

Даже если кто-то перехватит трафик, проходящий по публичным сетям или каналам, этот трафик абсолютно бесполезный, потому что он зашифрован.

В настоящее время, благодаря большому количеству простых и удобных программ, построить такую сеть не составляет труда. На первый взгляд все безупречно. С обеих сторон стоят сетевые экраны, между ними — специальная связь, и проникнуть в систему невозможно. Но это так, пока не появится еще одна дверь. Допустим, что в филиале захотели получить доступ в Интернет для просмотра вебстраничек. Конечно же, этот трафик можно запустить через главный офис, но тогда любой запрос в Интернет должен будет идти через него, а не напрямую, что очень