¿Son realmente importantes los cortafuegos? ¿Qué pasará si no finges?

Para saber qué hace, primero debes entender cómo funciona.

Un firewall es un sistema o grupo de sistemas que aplica políticas de control de acceso entre redes. Las formas reales en que se implementan los firewalls varían, pero en principio, un firewall puede considerarse como un par de mecanismos: uno que bloquea el tráfico y otro que permite el paso del mismo. Algunos cortafuegos se centran en bloquear el tráfico, mientras que otros se centran en permitir el paso del tráfico. Quizás el concepto más importante que hay que entender acerca de un firewall es que implementa una política de control de acceso. Si no está seguro de qué tipo de acceso necesita permitir o denegar, puede dejar que otra persona o algún producto configure el firewall según lo que crea que debería hacer, y ellos lo harán para su organización. Desarrollará políticas de acceso en consecuencia. .

2. ¿Por qué necesitas un firewall?

Como cualquier otra sociedad, Internet también está plagada de gente aburrida a la que le gusta hacer cosas en línea, como pintar grafitis en las paredes de otras personas en la vida real y hacer grafitis en las paredes de otras personas. sobre el buzón de otra persona o tocar la bocina de un auto mientras está sentado en la calle. Algunas personas intentan realizar un trabajo real a través de Internet, mientras que otras tienen datos confidenciales o de propiedad exclusiva que necesitan proteger. En términos generales, el propósito de un firewall es mantener a las personas aburridas fuera de su red y al mismo tiempo permitirle realizar su trabajo.

Muchas empresas y centros de datos de estilo tradicional tienen políticas y prácticas de seguridad informática que se deben seguir. Cuando la política de seguridad de una empresa estipula que los datos deben protegerse, el firewall es aún más importante porque es la encarnación específica de la política de seguridad de la empresa. Si su empresa es grande, la parte más difícil de conectarse a Internet a menudo no es el costo o el trabajo requerido, sino convencer a la gerencia de que Internet es seguro. Los cortafuegos no sólo proporcionan verdadera seguridad, sino que también desempeñan un papel importante a la hora de cubrir la gestión con un manto de seguridad.

Finalmente, el firewall puede servir como "embajador" de su empresa en Internet. Muchas empresas utilizan sus sistemas de firewall como un lugar para almacenar información pública sobre los productos y servicios, descargas, correcciones de errores y otros archivos de la empresa. Varios de estos sistemas se han convertido en una parte importante de la estructura de servicios de Internet (como UUnet.uu.net, whitehouse.gov, gatekeeper.dec.com) y han aportado una buena influencia a los patrocinadores de estas instituciones.

3． ¿Contra qué protege un firewall?

Algunos cortafuegos sólo permiten el paso del correo electrónico, protegiendo así la red de cualquier ataque excepto los ataques al servicio de correo electrónico. Otros cortafuegos ofrecen una protección menos estricta y bloquean servicios que se sabe que son problemáticos.

En general, los firewalls están configurados para evitar inicios de sesión interactivos no autorizados desde el mundo "exterior". Esto contribuye en gran medida a evitar que los vándalos inicien sesión en las computadoras de su red. Algunos cortafuegos más sofisticados pueden evitar que el tráfico del exterior entre al interior, pero permiten a los usuarios del interior comunicarse libremente con el exterior. Si corta el firewall, puede protegerlo de cualquier tipo de ataque a la red.

Otra característica muy importante de un firewall es que puede proporcionar un "punto de bloqueo" separado en el que se pueden establecer controles de seguridad y auditoría. A diferencia de un sistema informático que está siendo atacado por alguien que utiliza un módem para marcar, un firewall puede funcionar como una eficaz herramienta de seguimiento y "escucha telefónica". Los firewalls brindan una importante función de registro y auditoría; a menudo brindan a los administradores un resumen de la situación, brindando información sobre el tipo y la cantidad de tráfico que pasa a través del firewall y cuántos intentos se realizaron para ingresar al firewall.

4． ¿Contra qué no puede proteger un firewall?

Los cortafuegos no pueden evitar ataques que no atraviesen el cortafuegos.

Muchas empresas que están conectadas a Internet están muy preocupadas por la fuga de datos específicos de la empresa a través de las rutas de acceso. Desafortunadamente para estas preocupaciones, una cinta se puede utilizar de manera muy efectiva para filtrar datos. La dirección de muchas organizaciones teme tanto el acceso a Internet que no tiene una política coherente sobre cómo proteger el acceso telefónico a través de módems. Cuando se vive en una casa de madera, se consideraría una tontería instalar una puerta de acero de dos metros de espesor. Sin embargo, muchas organizaciones compran firewalls costosos pero pasan por alto otras puertas traseras en sus redes. Para que un firewall sea eficaz, debe ser una parte integral de la arquitectura de seguridad general de la organización. Las políticas de firewall deben ser realistas y reflejar el nivel general de seguridad de la red. Por ejemplo, un sitio que contiene datos súper secretos o clasificados no necesita ningún firewall: en primer lugar, no debería estar conectado a Internet en absoluto, o los sistemas que contienen datos realmente secretos deberían estar aislados del resto. de la red de la empresa.

Otro peligro contra el cual un firewall realmente no puede protegerlo son los renegados o idiotas dentro de su red. Aunque un espía industrial puede enviar información a través de un firewall, es más probable que utilice un teléfono, una máquina de fax o un disquete para enviar la información. ¡Es mucho más probable que los disquetes sean un vector para filtrar los secretos de su organización que un firewall! Los cortafuegos tampoco te protegen de cosas estúpidas. Los usuarios que filtran información confidencial por teléfono son buenos objetivos para la ingeniería social; si un atacante puede encontrar un empleado "útil" internamente, el atacante puede burlar el firewall por completo engañándolo para que acceda al grupo de módems. .

5. ¿Puede un firewall prevenir ataques de virus?

Los firewalls no pueden prevenir eficazmente la intrusión de cosas como virus. Hay tantas formas de codificar archivos binarios que se transmiten a través de la red, y hay tantas estructuras y virus diferentes, que es imposible encontrarlos todos. En otras palabras, es imposible que un firewall entregue la conciencia de seguridad al usuario. En resumen, los firewalls no protegen contra ataques basados ​​en datos: ataques que envían por correo o copian algo a un host interno y luego lo ejecutan allí. Este tipo de ataques se han producido en el pasado contra diferentes versiones de programas publicitarios y lectores fantasma y PostScript gratuitos.

Las instituciones con serias preocupaciones sobre el virus deben implementar medidas de control del virus en toda la institución. En lugar de intentar mantener los virus fuera de su firewall, asegúrese de que cada sistema de escritorio vulnerable tenga instalado un software de detección de virus que busque virus tan pronto como se inicie la computadora. Proteger su red con software de detección de virus evitará ataques de virus que se propagan a través de disquetes, módems e Internet. Intentar mantener los virus fuera del firewall sólo puede proteger contra los virus que provienen de Internet, y la mayoría de los virus se transmiten a través de disquetes.

A pesar de esto, cada vez más proveedores de cortafuegos ofrecen cortafuegos de "detección de virus". Este tipo de firewall sólo es útil para usuarios inexpertos que intercambian ejecutables de Windows en Intel y archivos de aplicaciones de macro maliciosas. No espere que esta característica brinde protección contra ataques.

6. ¿Qué decisiones de diseño básicas se deben tomar en el diseño del firewall?

La persona afortunada responsable de diseñar un cortafuegos, desarrollar planes de ingeniería e implementar o supervisar la instalación se enfrenta a muchos problemas básicos de diseño que resolver.

En primer lugar, debe reflejar la política de cómo su empresa o institución pretende ejecutar el sistema: el firewall está instalado para denegar explícitamente los servicios, excepto aquellos que son críticos para conectarse a la red, para todos los servicios. Aparte de los firewalls, se instala un firewall para proporcionar un medio para medir y auditar el acceso a las "colas" de una manera no amenazante. Hay un cierto grado de paranoia involucrado en estas elecciones; la función última de un cortafuegos puede ser el resultado de una decisión administrativa más que de una decisión de ingeniería.

La segunda pregunta es: ¿Qué nivel de monitoreo, redundancia y control necesita? Una vez que haya determinado el nivel de riesgo aceptable (es decir, qué tan paranoico es) al resolver la primera pregunta, puede hacer una lista de qué tráfico se debe monitorear, qué tráfico se debe permitir que prevalezca y qué tráfico se debe negar. En otras palabras, comienza con una lista de sus objetivos generales, luego combina un análisis de necesidades con una evaluación de riesgos para seleccionar los requisitos que siempre están en conflicto con los riesgos y agregarlos a la lista de trabajo que planea realizar.

El tercer problema es financiero. Aquí sólo podemos abordar esta cuestión en términos vagos, pero es importante intentar cuantificar la solución propuesta en términos de cuánto costará comprarla o implementarla. Por ejemplo, un producto de gama alta para un firewall completo podría costar 100.000 dólares, mientras que un producto de gama baja podría ser gratuito. Las opciones gratuitas, como realizar alguna configuración sofisticada en un enrutador Cisco o similar, no le costarán ni un centavo, solo tiempo del personal y unas cuantas tazas de café. Construir un firewall de alta gama desde cero puede llevar varios meses-hombre, lo que puede equivaler a 30.000 dólares en salarios y ganancias del personal. Los gastos generales de gestión del sistema también son algo a considerar. Si bien es excelente construir un firewall propio, es importante que el firewall que usted construya no requiera una intervención continua y costosa. En otras palabras, al evaluar un firewall, es importante evaluarlo no sólo por el costo actual del firewall, sino también tener en cuenta los costos continuos, como los servicios de soporte.

A efectos prácticos, actualmente estamos hablando de un servicio de enrutamiento de tráfico estático que existe entre el router proporcionado por el proveedor de servicios de red y tu red interna, por lo que partiendo de que, técnicamente, también se requiere Toma varias decisiones. Los servicios de enrutamiento de flujo de transporte se pueden implementar en la capa IP, como a través de reglas de filtrado en enrutadores, o en la capa de aplicación a través de puertas de enlace y servicios proxy.

La decisión que se debe tomar es si colocar la máquina simple expuesta en la red externa para ejecutar servicios proxy para telnet, ftp, noticias, etc., o si configurar un enrutador de protección como un filtro para permitir la comunicación con una comunicación entre una o más computadoras internas. Ambos enfoques tienen ventajas y desventajas. Los agentes pueden proporcionar un mayor nivel de auditoría y seguridad potencial, pero a costa de mayores costos de configuración y una posible reducción en el nivel de servicio proporcionado (ya que los agentes deben personalizarse para cada necesidad). .se desarrollan servicios). El antiguo equilibrio entre facilidad de uso y seguridad nos persigue una vez más.

7. ¿Cuáles son los tipos básicos de firewalls?

Conceptualmente, existen dos tipos de firewalls:

1. Firewalls a nivel de red

2. La diferencia entre los dos tipos no es tan grande como podría pensar, y la última tecnología desdibuja la distinción entre los dos, haciendo menos obvio cuál es "mejor" o "peor". Como siempre, debes elegir cuidadosamente el tipo de firewall que satisfaga tus necesidades.

Los firewalls a nivel de red generalmente toman decisiones basadas en direcciones de origen y destino, ingresando paquetes IP individuales. Un enrutador simple es un firewall "tradicional" a nivel de red porque no puede tomar decisiones complejas sobre el significado real de un paquete o su origen real. Los firewalls modernos a nivel de red se han vuelto cada vez más sofisticados y mantienen información sobre el estado de los accesos que fluyen a través de ellos, el contenido de algunos flujos de datos y más. Una diferencia importante entre muchos firewalls a nivel de red es que el firewall puede pasar el tráfico directamente, por lo que el uso de un firewall de este tipo generalmente requiere la asignación de un bloque de dirección IP válido. Los cortafuegos a nivel de red suelen ser rápidos y transparentes para los usuarios.

Ejemplo de firewall a nivel de red: en este ejemplo, se proporciona un firewall a nivel de red llamado "firewall de host filtrado" (firewall de host filtrado

). En un firewall de host protegido, el acceso hacia o desde un único host se controla a través de un enrutador que opera a nivel de red. Este único anfitrión es un bastión, una fortaleza altamente fortificada y asegurada que puede (con suerte) resistir ataques.

Ejemplo de firewall a nivel de red: en este ejemplo, se proporciona un firewall a nivel de red llamado "firewall de subred filtrado". En un firewall de subred protegido, el acceso hacia o desde una red se controla a través de un enrutador que opera a nivel de red. Funciona de manera similar a un host bloqueado, excepto que en realidad es una red de hosts bloqueados.

Un firewall a nivel de aplicación es generalmente un host que ejecuta un servidor proxy. No permite que los flujos de transmisión se transmitan directamente entre redes, y registra y audita los flujos de transmisión que pasan a través de él. Debido a que la aplicación proxy es un componente de software que se ejecuta en el firewall, está en una posición ideal para implementar el registro y el control de acceso. Los cortafuegos a nivel de aplicación se pueden utilizar como traductores de direcciones de red porque el tráfico entra por un "lado" y sale por el otro bloqueando eficazmente la aplicación que accedió originalmente a la dirección original. En algunos casos, la configuración de un firewall a nivel de aplicación puede afectar el rendimiento y hacer que el firewall sea menos transparente. Los primeros firewalls a nivel de aplicación, como los construidos con TIS Firewall Toolkit, no eran muy transparentes para los usuarios finales y requerían capacitación de los usuarios. Los firewalls a nivel de aplicación generalmente proporcionan informes de auditoría más detallados e implementan un modelo de seguridad más conservador que los firewalls a nivel de red.

Ejemplo de firewall a nivel de aplicación: en este ejemplo, se proporciona un firewall a nivel de aplicación llamado "puerta de enlace de doble inicio". Una puerta de enlace local bidireccional es un software de agente que ejecuta un host altamente seguro. Tiene dos interfaces de red, una en cada red, bloqueando todo el tráfico que pasa por ella.

La posición futura de los firewalls debería estar en algún lugar entre los firewalls a nivel de red y los firewalls a nivel de aplicaciones. Los firewalls a nivel de red pueden volverse más "conscientes" de la información que fluye a través de ellos, mientras que los firewalls a nivel de aplicaciones pueden volverse más "de bajo nivel" y transparentes. El resultado final será un sistema rápido de enmascaramiento de paquetes que pueda registrar y auditar los flujos de datos que pasan. Un número cada vez mayor de firewalls (capas de red y de aplicaciones) incluyen mecanismos de cifrado que les permiten proteger el tráfico que fluye entre ellos en Internet. Las organizaciones que utilizan múltiples puntos de acceso a Internet pueden utilizar cortafuegos con cifrado de extremo a extremo. Estas organizaciones pueden utilizar Internet como una "columna vertebral privada" sin preocuparse de que sus datos o contraseñas sean espiados.

8. ¿Qué es un "punto único de falla"? ¿Cómo se puede evitar este fracaso?

La seguridad depende de la estructura de un mecanismo que tiene un único punto de falla. Hay un error en el software que ejecuta el host cabeza de puente. Hay un error en la aplicación. Hay un error en el software que controla el enrutador. Sólo tiene sentido construir una red que sea segura por diseño utilizando todos estos componentes y usándolos de manera redundante.

Si la estructura de su firewall es una subred protegida, entonces tiene dos enrutadores de filtrado de paquetes y un host cabeza de puente. (Consulte la pregunta 2 de esta sección) El enrutador de acceso a Internet no permite que el tráfico de Internet ingrese a su red privada. Sin embargo, si no aplica esta regla junto con cualquier otro mecanismo en los hosts cabeza de puente y/o enrutadores de bloqueo, entonces todo lo que se necesita es que un componente de la arquitectura falle o se vea comprometido y el atacante ingrese al firewall. Por otro lado, si tiene reglas redundantes en el host cabeza de puente y reglas redundantes en el enrutador de bloqueo, entonces el atacante tiene tres mecanismos con los que lidiar.

Además, si el host cabeza de puente o el enrutador de bloqueo utiliza reglas para bloquear el acceso externo a la red interna, es posible que necesite que active algún tipo de alarma porque sabe que alguien ha obtenido acceso a su enrutador.

9． ¿Cómo podemos bloquear todas las transmisiones maliciosas?

Para los firewalls que se centran en la seguridad en lugar de la conectividad, debería considerar bloquear todo el tráfico de forma predeterminada y permitir específicamente solo los servicios que necesita, caso por caso.

Si excluye todo excepto un conjunto específico de servicios, habrá facilitado su tarea.

Ya no necesita preocuparse por los problemas de seguridad de cada producto y servicio que le rodea. Sólo necesita prestar atención a los problemas de seguridad de productos y servicios específicos. :-)

Antes de lanzar un servicio, debes considerar las siguientes preguntas:

* ¿Es el protocolo del producto un protocolo público conocido?

* ¿El uso de aplicaciones que cumplen este protocolo está disponible para inspección pública?

*¿Es muy conocido este servicio y producto?

* ¿Cómo cambiará el uso de este servicio la estructura del firewall? ¿Un atacante los verá de manera diferente? ¿Podría un atacante usar esto para ingresar a mi red interna o cambiar cosas en los hosts de mi DMZ?

Al considerar los problemas anteriores, tenga en cuenta el siguiente consejo:

＊“La seguridad desconocida no es segura en absoluto. Muchos protocolos no divulgados son estudiados por los malos. Y crackeado.

*No importa lo que digan los especialistas en marketing, no todos los protocolos o servicios están diseñados teniendo en cuenta la seguridad. De hecho, la cantidad de protocolos o servicios que realmente están diseñados teniendo en cuenta la seguridad es muy alta. Pocos.

* Incluso cuando se considera la seguridad, no todas las organizaciones tienen personal calificado responsable de la seguridad y, entre las que no lo tienen, no todas las organizaciones tienen personal calificado responsable de la seguridad que estén dispuestos a contratar consultores competentes. participar en proyectos de ingeniería, el resultado de esto es que desarrolladores competentes y bien intencionados diseñarán sistemas inseguros.

* Los proveedores están menos dispuestos a decirle cómo funciona realmente el sistema. lo más probable es que haya problemas de seguridad (u otros). Sólo los fabricantes que tienen algo que ocultar tienen una razón para ocultar su diseño e implementación.

10 ¿Cuáles son los ataques comunes? ¿Proteger su sistema de ellos?

Cada sitio es ligeramente diferente de los demás, pero hay algunas similitudes /p>

Secuestro de sesión SMTP

En este ataque, lo realiza el spammer. miles de copias de un mensaje y las envía a una enorme lista de direcciones de correo electrónico. Enviar este mensaje Debido a que estas listas de direcciones suelen ser deficientes, y para acelerar las operaciones del spammer, muchos spammers han recurrido a enviar todo su correo a un único servidor SMTP. , que es responsable del envío real de estos correos electrónicos.

Por supuesto, los rebotes, las quejas sobre los spammers, las malas palabras y las malas relaciones públicas inundan el sitio que se utilizó como retransmisión. de dinero, gran parte para pagar a las personas para que limpien los mensajes más tarde.

La Iniciativa de seguridad en el transporte del sistema de prevención de abuso de correo proporciona una descripción detallada de este problema y cómo configurar cada remitente para evitarlo. ataque

Explotación de errores en la aplicación

Diferentes versiones Hay varios errores en servidores web, servidores de correo y otro software de servicios de Internet, por lo que los usuarios remotos (de Internet) pueden utilizar errores para hacerlo. todo, desde tomar el control de la computadora hasta causar la parálisis de la aplicación.

Ejecutar solo servicios esenciales, aplicar parches con los parches más recientes y utilizar productos que han estado disponibles durante algún tiempo puede reducir su exposición a este riesgo.

Explotación de errores en el sistema operativo

Este tipo de ataque generalmente lo inician usuarios remotos. En comparación con las redes IP, los sistemas operativos más nuevos son más propensos a sufrir problemas, mientras que los sistemas operativos muy maduros tienen tiempo suficiente para descubrir y eliminar los errores existentes. Los atacantes a menudo pueden hacer que un dispositivo comprometido se reinicie continuamente, se paralice, pierda la capacidad de comunicarse con la red o reemplace archivos en la computadora.

Por lo tanto, ejecutar la menor cantidad posible de servicios del sistema operativo puede ayudar a proteger su sistema contra ataques. Además, instalar un filtro de paquetes delante del sistema operativo también puede reducir en gran medida la cantidad de este tipo de ataques.

Por supuesto, elegir un sistema operativo estable también ayudará. Al elegir un sistema operativo, no se deje engañar por el dicho "lo bueno no es barato". Los sistemas operativos de software libre suelen ser más potentes que los sistemas operativos comerciales.

11. ¿Tengo que cumplir los distintos requisitos que me piden los usuarios?

Es muy posible que la respuesta a esta pregunta sea "no". Cada sitio tiene su propia política sobre lo que se requiere y lo que no; sin embargo, es importante recordar que una de sus tareas principales como guardián de una institución es la educación. Los usuarios necesitan transmitir video, chatear en vivo y requieren la capacidad de atender a clientes externos que solicitan consultas interactivas en bases de datos en vivo en la red interna.

Lo que esto significa es que lograr algo como esto crea riesgos para la organización que a menudo son mayores que el "valor" percibido de la recompensa al seguir este camino. La mayoría de los usuarios no están dispuestos a poner en riesgo su organización. Simplemente miran el logotipo y leen los anuncios y están dispuestos a hacer esas cosas. Lo importante es entender qué es lo que realmente quieren hacer los usuarios y ayudarlos a entender que pueden lograr su verdadero propósito de una forma más segura.

No siempre serás bienvenido, y es posible que incluso recibas órdenes increíblemente estúpidas de hacer cosas como "abrir todos los agujeros", pero no te preocupes por eso. En momentos como estos, es aconsejable guardar todos los datos de intercambio para que, si un niño de doce años irrumpe en la red, al menos puedas aislarte del desorden.

12． ¿Cómo puedo ejecutar Web/HTTP a través de mi propio firewall?

Hay tres formas de hacer esto:

1. Si utiliza un enrutador blindado, permita que las conexiones "establecidas" pasen a través del enrutador y accedan fuera del firewall.

2. Utilice un cliente web que admita SOCKS y ejecute SOCKS en su host cabeza de puente.

3. Ejecutar algún tipo de servidor web con función proxy en el host cabeza de puente. Algunos servidores proxy para elegir incluyen Squid, Apache, Netscape Proxy y las conexiones en TIS Firewall Toolkit. Básicamente, todos los clientes web (Mozilla, Internet Explorer, Lynx, etc.) tienen soporte integrado para servidores proxy.

13． ¿Cómo utilizar DNS cuando se utiliza un firewall?

Algunas organizaciones quieren ocultar sus nombres DNS al mundo exterior. Muchos expertos creen que ocultar nombres DNS tiene poco valor, pero si las políticas corporativas o del sitio exigen ocultar nombres de dominio, es un método conocido que funciona. Otra razón por la que podrías tener que ocultar un nombre de dominio es si tienes un esquema de direccionamiento no estándar en tu red interna. No se engañe pensando que ocultar su nombre DNS hará que a un atacante le resulte más difícil entrar en su firewall. La información sobre su red se puede obtener fácilmente desde la capa de red. Si está interesado en verificar esto, intente hacer "ping" a la dirección de transmisión de subred en su LAN y luego ejecute "arp -a". También se debe tener en cuenta que ocultar nombres de dominio en DNS no resuelve el problema de "filtrar" nombres de host en encabezados de correo electrónico, artículos de noticias, etc.

Este método es uno de muchos útiles para organizaciones que desean ocultar su nombre de host en Internet. El éxito de este enfoque depende del hecho de que un cliente DNS en una máquina no tiene que comunicarse con un servidor DNS en la misma máquina. En otras palabras, sólo porque hay un servidor DNS en una máquina, no hay nada malo (y a menudo beneficioso) en redirigir la actividad del cliente DNS de esa máquina a un servidor DNS en otra máquina.

Primero, configura un servidor DNS en un host cabeza de puente que puede comunicarse con el mundo exterior.

Usted configura este servidor para que declare acceso a su nombre de dominio. De hecho, todo lo que este servidor sabe es lo que usted quiere que el mundo exterior sepa: el nombre y la dirección de su puerta de enlace, sus registros MX comodín, etc. Este servidor es el servidor "público ***".

Luego, establezca un servidor DNS en la máquina interna. Este servidor también declara autoridad sobre su nombre de dominio; a diferencia de los servidores públicos, este servidor "dice la verdad". Es su servidor de nombres "normal" y puede poner todos sus nombres DNS "normales" en este servidor. Luego configura el servidor para que pueda reenviar consultas que no puede resolver a un servidor público (por ejemplo, usando la línea "forwarders" en /etc/named.boot en una máquina Unix (línea de reenvío)).

Finalmente, configure todos sus clientes DNS (por ejemplo, el archivo /etc/resolv.conf en una máquina Unix) para usar el servidor interno. Estos clientes DNS incluyen aquellos en la misma máquina que el público. máquina del servidor. Ésta es la clave.

Un cliente interno que solicita información sobre un host interno hace una pregunta al servidor interno y obtiene una respuesta; un cliente interno que solicita información sobre un host externo pregunta al servidor interno, que a su vez pregunta al público. servidor El servidor *** realiza una consulta y el servidor público *** consulta Internet y luego transmite las respuestas paso a paso. Los clientes en servidores públicos funcionan de la misma manera. Sin embargo, un cliente externo que solicita información sobre un host interno sólo puede obtener respuestas "restrictivas" del servidor público.

Este método supone que existe un firewall de filtrado de paquetes entre los dos servidores. Este firewall permite que los servidores se pasen DNS entre sí, pero de lo contrario restringe el DNS entre otros hosts.

Otra técnica útil en este enfoque es aprovechar el registro PTR comodín en su nombre de dominio IN-ADDR.AROA. Esto hará que una búsqueda de dirección a nombre para cualquier host no público devuelva algo como "desconocido.SU.DOMINIO" en lugar de devolver un error. Esto cumple con los requisitos de sitios FTP anónimos como ftp.uu.net. Estos sitios requieren los nombres de las computadoras con las que se comunican. Este enfoque no funciona cuando se comunica con sitios que realizan comprobaciones cruzadas de DNS. En una verificación cruzada, el nombre de host coincide con su dirección y la dirección coincide con el nombre de host.

14. ¿Cómo puedo utilizar FTP a través de un firewall?

En general, esto se puede hacer usando un servidor proxy como ftp-gw del kit de herramientas del firewall, o permitiendo el acceso a la red en un rango de puertos limitado (usando reglas de bloqueo "establecidas" como Tales reglas para restringir el acceso excepto los puertos anteriores), para que FTP pueda funcionar a través del firewall. Luego, modifique el cliente FTP para que conecte el puerto de datos a un puerto dentro del rango de puertos permitido. Para hacerlo, se requiere la capacidad de modificar la aplicación cliente FTP en el host interno.

En algunos casos, si lo que desea admitir son descargas FTP, puede considerar declarar FTP como un "protocolo muerto" y permitir a los usuarios descargar archivos a través de la Web. Si elige el método FTP vía Web, los usuarios no podrán usar FTP para transferir archivos, lo que puede causar problemas, pero depende de lo que esté intentando lograr.

Un enfoque diferente es utilizar la opción FTP "PASV" para indicar al servidor FTP remoto que permita al cliente iniciar la conexión. El método PASV supone que el servidor FTP del sistema remoto admite esta operación. (Consulte RFC1579 para obtener más detalles)

Otros sitios prefieren crear versiones cliente de programas FTP que se vinculen con la biblioteca SOCKS.

15． ¿Cómo puedo utilizar telnet a través del firewall?

Generalmente se admite el uso de un proxy de aplicación como tn-gw del kit de herramientas del firewall, o simplemente configurar un enrutador para permitir llamadas salientes usando políticas como reglas de bloqueo "establecidas". El proxy de la aplicación puede existir como un proxy independiente que se ejecuta en el host cabeza de puente o como un servidor SOCKS y un cliente modificado.

16． ¿Cómo puedo utilizar RealAudio a través de un firewall?

RealNetworks contiene algunas instrucciones sobre cómo utilizar RealAudio a través de firewalls. No es aconsejable realizar cambios en su firewall sin una comprensión clara de qué cambios realizar y qué riesgos traerán los nuevos cambios.

17. ¿Cómo puede un servidor web actuar como interfaz de una base de datos en una red privada?

La mejor forma de lograrlo es permitir conexiones muy limitadas entre el servidor web y el servidor de la base de datos a través de un protocolo específico. Un protocolo específico solo admite el nivel de funcionalidad que utilizará. Por lo general, no es una buena idea permitir que SQL sin formato o cualquier otra cosa que pueda ser explotada por un atacante realice extracciones personalizadas.

Supongamos que un atacante puede ingresar a su servidor web y consultarlo de la misma manera que el servidor web. ¿No existe un mecanismo para extraer información confidencial, como información de tarjetas de crédito, que el servidor web no necesita? ¿No podría un atacante emitir un SQL para seleccionar y extraer toda su base de datos privada?

Como todas las demás aplicaciones, las aplicaciones de "comercio electrónico" se diseñan teniendo en cuenta los problemas de seguridad desde el principio, en lugar de "agregar" seguridad más adelante. Su arquitectura debe examinarse desde la perspectiva del atacante. Suponga que el atacante conoce cada detalle de su estructura. Ahora pregúntate qué harías si quisieras robar tus datos, realizar cambios no autorizados o hacer cualquier otra cosa que no quieras que haga. Es posible que descubra que puede aumentar considerablemente la seguridad sin agregar ninguna funcionalidad, simplemente tomando algunas decisiones de diseño e implementación.

Aquí tienes algunas ideas sobre cómo hacer esto:

Como regla general, extrae los datos que necesitas de la base de datos para no tener que preocuparte por contenerlos. que le interesa al atacante. Se consulta toda la base de datos de información. Aplique restricciones y auditorías estrictas al tráfico que permite entre su servidor web y su base de datos.

Respuesta: Gravity Flow - Gerente Nivel 4 3-11 23:46

Evaluación de la respuesta del autor de la pregunta:

bn

Otro respuestas

*** 6 elementos

Recuerde lt; un bollo al vapor gt; dijo Wuji = antivirus aburrido Dado que los internautas comunes no tienen la capacidad de descubrirlo activamente y eliminarlo manualmente. virus, es una buena idea utilizar software antivirus para eliminar virus. Sin embargo, a veces el software antivirus no puede encontrar algunas puertas traseras de troyanos y, a menudo, algunos problemas se deben a que el programa no se puede utilizar normalmente. bloquear ataques externos. Hay todo tipo de ataques en la red, por lo que aún es necesario que configuremos nuestros firewalls de manera razonable. En su pregunta, mencionó programas que están activos en segundo plano, por lo que le recomiendo que instale un anti-. programa de software espía. De esta manera quedará claro de un vistazo. Por lo tanto, no existen restricciones estrictas sobre cómo usar este software de protección. Puede usarlo según sus propias necesidades.

En una palabra, el firewall es para proteger la ciudad y hacer guardia. ninguna orden dada por el sistema

p>

Enemigos desconocidos (programas) pueden ingresar. El software antivirus destruye enemigos (programas) que se introducen accidentalmente.