Элементы защиты от несанкционированного доступа
IP Spoofing - способ воздействия на элементы сетевой инфраструктуры или получения не авторизованного доступа. В этом случае взломщик подменяет IP адреса в пакетах с целью сделать их похожими на пакеты от более привилегированного источника. Для примера, пакеты, порожденные в Интернет, могут выглядеть как локальные пакеты. FireWall-1 защищает от подобного рода воздействий, легко распознает такие попытки и сообщает о них оператору.
Denial of Service Attack - использует слабости TCP протокола. В момент инициализации TCP-соединения клиент посылает пакет - запрос серверу с установленным флагом SYN в заголовке TCP. В нормальном случае сервер отвечает SYN/ACK-подтверждением, адресованным клиенту, адрес которого сервер берет из IP заголовка полученного запроса. Получив такое подтверждение, клиент посылает уведомление о начале передачи данных – пакет, в TCP заголовке которого установлен флаг ACK. Если адрес клиента подменен (spoofed), например, на несуществующий в Интернет, то такой вариант установления связи не может быть завершен, и попытки будут продолжаться, пока не исчерпается лимит по времени. Эти условия составляют основу данного вида атак.
Решения, основанные на применении программ-посредников, сами по себе не в состоянии защитить от атак SYN flooding. Таким образом, шлюз может быть атакован для создания условий отказа в обслуживании. Пакетные фильтры тоже не в состоянии защитить от подобного рода атак, так как они не имеют необходимой информации о состоянии соединений и не могут проводить инспекцию пакетов с учетом этого состояния. FireWall-1 предлагает встроенную защиту от подобных атак, располагая всеми необходимыми средствами для анализа состояния соединений и используя механизм SYNDefender.
Ping of Death - практически каждая операционная система, а также некоторые маршрутизаторы, имеют различные ограничения, связанные с конкретной реализацией TCP/IP протокола. Выявление этих ограничений часто связано с появлением новых видов атак. Так, большинство ОС чувствительны к PING (ICMP), размер поля данных которых больше, чем 65508. В результате, ICMP-пакеты после добавления необходимых заголовков становятся больше чем 64k (длинна заголовка составляет 28 байт) и, как правило, не могут правильно обрабатываться ядром операционной системы, что проявляется в виде случайных крушений или перезагрузок.
FireWall-1, обладая механизмом Stateful Inspection, может осуществлять защиту от таких атак, для чего необходимо определить объект типа протокол и добавить правило, которое запрещает прохождение ICMP пакетов, длиннее 64K.
[ZEBR_TAG_a name="stealth the firewall"
