Firewalls: практическое применение межсетевых экранов

Терри Оглтри

Firewalls

Практическое применение
межсетевых экранов

Terry William
Terry William
Terry William
Terry William
Terry William
      Ogletree
      Ogletree
      Ogletree
      Ogletree
      Ogletree

A Division of Macmillan Computer Publishing, USA, 201 W. 103rd Street

Indianapolis, Indiana 46290

Practical
Firewalls
Practical
Firewalls

Терри Вильям
Терри Вильям
Терри Вильям
Терри Вильям
Терри Вильям
Оглтри
Оглтри
Оглтри
Оглтри
Оглтри

Серия
«Защита и администрирование»

Москва
     

Firewalls
Firewalls
Firewalls
Firewalls
Firewalls
Firewalls

Практическое применение

межсетевых экранов

Практическое применение

межсетевых экранов

Оглтри Т.
Firewalls. Практическое применение межсетевых экранов: Пер. с англ. – М.:
ДМК Пресс. – 400 с.: ил. (Серия «Защита и администрирование»).

ISBN 5940740375

 ББК 32.973.202018.2

О37

О37

Authorized translation from the English language edition,
entitled «Practical Firewalls», published by Que,
Copyright © 
© Перевод на русский язык, оформление.
ДМК Пресс
Russian language edition published by DMK Press
Сopyright ©

ISBN 0789724162 (англ.)

ISBN 5940740375 (рус.)

Книга посвящена устройству межсетевых экранов и практическим аспектам работы с ними. Она включает необходимый объем теоретических сведений, в частности
описание семейства протоколов TCP/IP и модели OSI, принципы шифрования
и организации виртуальных частных сетей и т.д. Представлены все этапы создания
межсетевого экрана – планирование, установка и тестирование, –  а также процедуры
его настройки. Приведены схемы различных конструкций межсетевых экранов, рассмотрены их основные компоненты. В книге упоминается множество бесплатных
и коммерческих программ, применяемых в составе межсетевого экрана, детально описаны их установка и конфигурация. Перечислены основные типы атак, изложены рекомендации по защите от них.

Издание адресовано сетевым администраторам и пользователям, работа которых

связана с эксплуатацией межсетевых экранов.

All rights reserved. No part of this book may be reproduced or transmitted in any form or by any

means, electronic or mechanical, including photocopying, recording or by any information storage
retrieval system, without permission from the Publisher.

Все права защищены. Любая часть этой книги не может быть воспроизведена в какой бы то

ни было форме и какими бы то ни было средствами без письменного разрешения владельца
авторских прав.

Материал, изложенный в данной книге, многократно проверен. Но, поскольку вероятность

технических ошибок все равно остается, издательство не может гарантировать абсолютную точность и правильность приводимых сведений. В связи с этим издательство не несет ответственности за возможный ущерб любого вида, связанный с применением содержащихся здесь сведений.

Все торговые знаки, упомянутые в настоящем издании, зарегистрированы. Случайное неправильное использование или пропуск торгового знака или названия его законного владельца
не должно рассматриваться как нарушение прав собственности.

ББК 32.973.202018.2

Содержание
Содержание

ЧАСТЬ I
ЧАСТЬ I
ЧАСТЬ I
ЧАСТЬ I
ЧАСТЬ I
Основы межсетевых экранов и безопасности Internet
Основы межсетевых экранов и безопасности Internet
Основы межсетевых экранов и безопасности Internet
Основы межсетевых экранов и безопасности Internet
Основы межсетевых экранов и безопасности Internet ........................... 15

Глава 1
Глава 1
Глава 1
Глава 1
Глава 1
Основы межсетевых экранов
Основы межсетевых экранов
Основы межсетевых экранов
Основы межсетевых экранов
Основы межсетевых экранов .................................................................................... 16

Зачем нужен межсетевой экран ................................................................................... 16

Что такое межсетевой экран .................................................................................... 16
Здесь начинаются джунгли! ........................................................................................ 18

Межсетевой экран и внутренняя политика безопасности ................................ 18

Новые угрозы безопасности ..................................................................................... 19
Выбор доступных пользователям служб ................................................................. 20
Политика безопасности брандмауэра .................................................................. 21

Технологии межсетевых экранов .................................................................................. 22

Фильтрация пакетов .................................................................................................... 22
Применение шлюзов................................................................................................... 22
Другие компоненты межсетевого экрана .............................................................. 23

Выбор межсетевого экрана ........................................................................................... 23

Операционные системы ............................................................................................. 24

На что способен межсетевой экран........................................................................... 25
От чего межсетевой экран не может защитить ..................................................... 26

Поддержка межсетевого экрана ............................................................................. 27

Резюме .................................................................................................................................... 28

Глава 2
Глава 2
Глава 2
Глава 2
Глава 2
Введение в набор протоколов TCP/IP
Введение в набор протоколов TCP/IP
Введение в набор протоколов TCP/IP
Введение в набор протоколов TCP/IP
Введение в набор протоколов TCP/IP................................................................ 30

Что такое TCP/IP................................................................................................................. 30
Модель OSI ........................................................................................................................... 31

Физический уровень.................................................................................................... 32
Канальный уровень...................................................................................................... 32

FIREWALLS
FIREWALLS
FIREWALLS
FIREWALLS
FIREWALLS

Сетевой уровень .......................................................................................................... 32
Транспортный уровень ............................................................................................... 33
Сеансовый уровень ..................................................................................................... 33
Представительский уровень ...................................................................................... 33
Прикладной уровень ................................................................................................... 34
Сравнение моделей OSI и TCP/IP ........................................................................... 34

Протоколы TCP/IP .............................................................................................................. 34

Протокол IP ................................................................................................................... 35
Протокол TCP ............................................................................................................... 36
Другие протоколы ........................................................................................................ 36

Адресация .............................................................................................................................. 39

Классы IPадресов ....................................................................................................... 39
Адреса класса A........................................................................................................... 41
Адреса класса B ........................................................................................................... 41
Адреса класса C .......................................................................................................... 42
Широковещательные сообщения и групповые адреса ..................................... 43
Подсети .......................................................................................................................... 43

Формат IPдатаграммы .................................................................................................... 46

Важная информация в заголовке пакета ............................................................... 49

Порты TCP и UDP ................................................................................................................ 50

Общеизвестные порты ............................................................................................... 50
Зарегистрированные порты ...................................................................................... 50

Стандартные сервисы TCP/IP ....................................................................................... 51

Протокол Telnet ............................................................................................................ 51
Протокол FTP ................................................................................................................ 51
Протокол TFTP .............................................................................................................. 52
Протокол DNS .............................................................................................................. 52
Первичные, вторичные и кэширующие серверы имен........................................ 54
Протокол SMTP ............................................................................................................ 58
Утилиты удаленного доступа ..................................................................................... 59

Другие сетевые сервисы .................................................................................................. 60
Резюме .................................................................................................................................... 60

Глава 3
Глава 3
Глава 3
Глава 3
Глава 3
Безопасность и Internet
Безопасность и Internet
Безопасность и Internet
Безопасность и Internet
Безопасность и Internet.................................................................................................. 61

Локальные и глобальные сети ....................................................................................... 61
Безопасность в локальной сети .................................................................................... 61

Аутентификация пользователя.................................................................................. 62
Защита ресурсов ......................................................................................................... 63
Физическая защита ..................................................................................................... 64

СОДЕРЖАНИЕ
СОДЕРЖАНИЕ
СОДЕРЖАНИЕ
СОДЕРЖАНИЕ
СОДЕРЖАНИЕ

Безопасность в глобальных сетях ................................................................................ 64

Слабости сетевых протоколов ................................................................................. 65
Уязвимость маршрутизации от источника ............................................................. 65
Атаки типа «отказ от обслуживания» ...................................................................... 66
Атаки SYN flood ............................................................................................................ 67
Атаки ICMP .................................................................................................................... 68
Атаки типа «ping of death» ......................................................................................... 69
Распределенные DOSатаки..................................................................................... 70
Фрагментация пакетов ............................................................................................... 71
Вирусы и «троянские кони» ........................................................................................ 72
Фальсификация электронной почты ........................................................................ 73
Взлом ............................................................................................................................... 73
Кража пароля ............................................................................................................... 74
Социальный аспект проблемы безопасности....................................................... 74
Черный вход................................................................................................................... 75
Мониторинг сетевого трафика................................................................................. 75
Подмена IPадреса...................................................................................................... 76

Резюме .................................................................................................................................... 77

Глава 4
Глава 4
Глава 4
Глава 4
Глава 4
Политика безопасности и стратегии создания брандмауэра
Политика безопасности и стратегии создания брандмауэра
Политика безопасности и стратегии создания брандмауэра
Политика безопасности и стратегии создания брандмауэра
Политика безопасности и стратегии создания брандмауэра ........... 78

Проектирование ................................................................................................................. 78

Политика безопасности компании .......................................................................... 78
Политика брандмауэра .............................................................................................. 83

Стратегии брандмауэра .................................................................................................. 84

Применение пакетного фильтра .............................................................................. 84
Применение proxyсервера ...................................................................................... 87
Комбинации различных методов.............................................................................. 88
Создание демилитаризованной зоны .................................................................... 91
Применение укрепленных и «беззащитных» компьютеров ............................... 94

Сообщения о нарушениях и обратная связь .......................................................... 96
Отслеживание рекомендаций по безопасности................................................... 97
Резюме .................................................................................................................................... 98

Глава 5
Глава 5
Глава 5
Глава 5
Глава 5
Фильтрация пакетов
Фильтрация пакетов
Фильтрация пакетов
Фильтрация пакетов
Фильтрация пакетов ........................................................................................................ 99

Первая линия обороны .................................................................................................... 99

Где применять пакетные фильтры ............................................................................. 99
Создание правил фильтрации пакетов ................................................................ 102
Опасные службы ........................................................................................................ 103

FIREWALLS
FIREWALLS
FIREWALLS
FIREWALLS
FIREWALLS

Информация в IPзаголовке ......................................................................................... 104
Информация в заголовке TCP и UDP ....................................................................... 105

Порты и сокеты ........................................................................................................... 107
Бит SYN ......................................................................................................................... 109
Бит ACK......................................................................................................................... 109

Пакеты ICMP....................................................................................................................... 110
Фильтры с памятью и без памяти ............................................................................... 111
Программные и аппаратные пакетные фильтры ................................................. 112

Ограничение доступа при помощи маршрутизатора ..................................... 112
Ограничение доступа при помощи двухканального компьютера................. 113

Преимущества и недостатки пакетных фильтров................................................ 114
Резюме .................................................................................................................................. 114

Глава 6
Глава 6
Глава 6
Глава 6
Глава 6
Укрепленный хосткомпьютер
Укрепленный хосткомпьютер
Укрепленный хосткомпьютер
Укрепленный хосткомпьютер
Укрепленный хосткомпьютер ................................................................................. 115

Настройка укрепленного компьютера.................................................................... 115
Установка операционной системы ........................................................................... 116
Удаление ненужных служб и приложений .............................................................. 118

Системы UNIX ............................................................................................................. 118
Другие сетевые файлы UNIX.................................................................................... 121
Система Windows NT ................................................................................................ 122

Удаление ненужных приложений и файлов ........................................................... 123
Защита ресурсов и контроль доступа ..................................................................... 125

Права доступа к ресурсам в UNIX ........................................................................ 126
Система Windows NT ................................................................................................ 129

Настройка регистрации и аудита .............................................................................. 134
Выполнение proxyсервера на укрепленном компьютере.............................. 135
Нарушение защиты укрепленного компьютера .................................................. 135
Резюме .................................................................................................................................. 136

Глава 7
Глава 7
Глава 7
Глава 7
Глава 7
Шлюзы приложений и proxyсерверы
Шлюзы приложений и proxyсерверы
Шлюзы приложений и proxyсерверы
Шлюзы приложений и proxyсерверы
Шлюзы приложений и proxyсерверы ............................................................... 137

Применение proxyсерверов ....................................................................................... 137

Отключение маршрутизации на proxyсервере ................................................ 138
Преимущества и недостатки proxyсерверов..................................................... 140

Классические и прозрачные proxyсерверы ......................................................... 141

Классические proxyсерверы .................................................................................. 141
Прозрачные proxyсерверы .................................................................................... 142

СОДЕРЖАНИЕ
СОДЕРЖАНИЕ
СОДЕРЖАНИЕ
СОДЕРЖАНИЕ
СОДЕРЖАНИЕ

Сокрытие информации DNS с помощью классического proxyсервера ..... 144
Создание proxyсервера ......................................................................................... 145

Трансляторы сетевых адресов .................................................................................... 145

Базовая трансляция адресов .................................................................................. 146
Трансляция адресов портов .................................................................................... 147
Сокрытие информации о сети с помощью трансляции адресов ................... 148
Увеличение адресного пространства локальной сети ..................................... 148
Что такое векторизация адресов........................................................................... 149

Фильтрация контента ...................................................................................................... 150
Регистрация и выдача предупреждений .................................................................. 151
Клиенты ................................................................................................................................. 152
Резюме .................................................................................................................................. 153

Глава 8
Глава 8
Глава 8
Глава 8
Глава 8
Методы мониторинга и аудита операционной системы
Методы мониторинга и аудита операционной системы
Методы мониторинга и аудита операционной системы
Методы мониторинга и аудита операционной системы
Методы мониторинга и аудита операционной системы ...................... 154

Аудит и logфайлы............................................................................................................. 154

Что такое аудит .......................................................................................................... 154
Просмотр logфайлов ............................................................................................... 155
Передний край аудита: защита доступа к ресурсам ........................................ 157

Система UNIX ..................................................................................................................... 157

Применение утилиты syslog ..................................................................................... 157
Различные logфайлы UNIX...................................................................................... 161

Система Windows NT ...................................................................................................... 163

Определение регистрируемых событий .............................................................. 164
Просмотр журнала в Event Viewer......................................................................... 168
Управление журналами событий ........................................................................... 170

Создание logфайлов различными приложениями ............................................ 171
Другие соображения....................................................................................................... 171
Резюме .................................................................................................................................. 171

ЧАСТЬ II
ЧАСТЬ II
ЧАСТЬ II
ЧАСТЬ II
ЧАСТЬ II
Шифрование и защищенные соединения в Internet
Шифрование и защищенные соединения в Internet
Шифрование и защищенные соединения в Internet
Шифрование и защищенные соединения в Internet
Шифрование и защищенные соединения в Internet................................ 173

Глава 9
Глава 9
Глава 9
Глава 9
Глава 9
Технологии шифрования
Технологии шифрования
Технологии шифрования
Технологии шифрования
Технологии шифрования ............................................................................................. 174

Защита конфиденциальной информации ............................................................... 174
Что такое шифрование .................................................................................................. 175

Криптография с одним ключом ............................................................................... 175
Криптография с открытым ключом......................................................................... 176
Гибридные технологии .............................................................................................. 177

FIREWALLS
FIREWALLS
FIREWALLS
FIREWALLS
FIREWALLS

Практическое применение криптографии в Internet ........................................ 177

Что такое цифровая подпись .................................................................................. 178
Цифровые сертификаты ........................................................................................... 179
Протокол Secure Socket Layer ................................................................................ 180
Используется ли шифрование на данной Webстранице ............................... 182

Резюме .................................................................................................................................. 184

Глава 10
Глава 10
Глава 10
Глава 10
Глава 10
Виртуальные частные сети и туннелирование
Виртуальные частные сети и туннелирование
Виртуальные частные сети и туннелирование
Виртуальные частные сети и туннелирование
Виртуальные частные сети и туннелирование ............................................ 185

Установка защищенных соединений в Internet..................................................... 185

Что такое виртуальная частная сеть ..................................................................... 186
Что может VPN ........................................................................................................... 187
Недостатки VPN ......................................................................................................... 188

Набор протоколов IPSec............................................................................................... 189

Протокол Internet Key Exchange ............................................................................. 190
Протокол Authentication Header ............................................................................ 192
Протокол Encapsulation Security Payload ............................................................ 193
Связь протоколов AH и ESP .................................................................................... 193

Протокол PPTP ................................................................................................................... 194

Управляющий канал PPTP ........................................................................................ 195
Передача данных по туннелю PPTP....................................................................... 196
Протокол Layer Two Tunneling Protocol ................................................................ 196

Резюме .................................................................................................................................. 196

Глава 11
Глава 11
Глава 11
Глава 11
Глава 11
Применение Pretty Good 
Применение Pretty Good 
Применение Pretty Good 
Применение Pretty Good 
Применение Pretty Good Privacy
Privacy
Privacy
Privacy
Privacy .......................................................................... 197

Защита передаваемых в Internet данных ................................................................ 197
Установка PGP .................................................................................................................. 198

Установка PGP в UNIX .............................................................................................. 198
Установка PGP в Windows NT ................................................................................ 201

Резюме .................................................................................................................................. 208

ЧАСТЬ III
ЧАСТЬ III
ЧАСТЬ III
ЧАСТЬ III
ЧАСТЬ III
Установка и настройка межсетевого экрана
Установка и настройка межсетевого экрана
Установка и настройка межсетевого экрана
Установка и настройка межсетевого экрана
Установка и настройка межсетевого экрана .............................................. 209

Глава 12
Глава 12
Глава 12
Глава 12
Глава 12
Программное обеспечение, доступное в Internet
Программное обеспечение, доступное в Internet
Программное обеспечение, доступное в Internet
Программное обеспечение, доступное в Internet
Программное обеспечение, доступное в Internet .................................... 210

Применение бесплатных и условно бесплатных продуктов ........................... 210
Пакет TCP Wrappers ....................................................................................................... 211