9. Zapory sieciowe (firewall) i translacja adresów



Podobne dokumenty
Bezpieczeństwo systemów komputerowych

ZiMSK NAT, PAT, ACL 1

Zapory sieciowe i techniki filtrowania.

Zapory sieciowe i techniki filtrowania danych

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Sieci Komputerowe Translacja adresów sieciowych

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Adresy w sieciach komputerowych

NAT/NAPT/Multi-NAT. Przekierowywanie portów

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Router programowy z firewallem oparty o iptables

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

BRINET Sp. z o. o.

Tomasz Greszata - Koszalin

Translacja adresów - NAT (Network Address Translation)

Zdalne logowanie do serwerów

Opis ogólny ustawień NAT na podstawie Vigora serii 2700

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej (firewall) oraz oprogramowania iptables.

pasja-informatyki.pl

Protokoły sieciowe - TCP/IP

7. Konfiguracja zapory (firewall)

Bezpieczeństwo w M875

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

Podstawy Transmisji Danych. Wykład IV. Protokół IPV4. Sieci WAN to połączenia pomiędzy sieciami LAN

LABORATORIUM - SINUS Firewall

Podstawy bezpieczeństwa

Lp. Atak (dane wg Kaspersky Lab za 2008r) Liczba. Intrusion.Win.NETAPI.bufferoverflow.exploit ,469

Pakiet Iptables. Filtrowanie pakietów i filtrowanie stanowe

Zarządzanie bezpieczeństwem w sieciach

Wprowadzenie do zagadnień związanych z firewallingiem

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Co to jest iptables?

iptables/netfilter co to takiego?

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

Sieci komputerowe - administracja

Wykład 3 Filtracja i modyfikacja pakietów za pomocą iptables.

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

MASKI SIECIOWE W IPv4

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych

OPIS PRZEDMIOTU ZAMÓWIENIA

4. Podstawowa konfiguracja

Firewall bez adresu IP

Księgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX

Zarządzanie systemami informatycznymi. Zagrożenia w sieci

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

OUTSIDE /24. dmz. outside /24. security- level 50. inside security- level /16 VLAN /

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

Pakiet Iptables. Filtrowanie pakietów i filtrowanie stanowe

Instrukcja konfiguracji i uruchamiania połączenia VPN z systemami SAP

9. System wykrywania i blokowania włamań ASQ (IPS)

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej.

PLAN KONSPEKT. do przeprowadzenia zajęć z przedmiotu. Wprowadzenie do projektowania sieci LAN

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

(źródło: pl.wikipedia.pl) (źródło:

ADRESY PRYWATNE W IPv4

Routing - wstęp... 2 Routing statyczny... 3 Konfiguracja routingu statycznego IPv Konfiguracja routingu statycznego IPv6...

Sieci komputerowe Warstwa transportowa

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi)

Zadania z sieci Rozwiązanie

PARAMETRY TECHNICZNE I FUNKCJONALNE

Model sieci OSI, protokoły sieciowe, adresy IP

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

Bazy Danych i Usługi Sieciowe

Przypisywanie adresów IP do MAC-adresów

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Firewalle, maskarady, proxy

Konfiguracja zapory ogniowej w trybie zaawansowanym na

Konfiguracja zapory ogniowej w trybie standardowym na module SCALANCE S623

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

Warstwa sieciowa. Model OSI Model TCP/IP. Aplikacji. Aplikacji. Prezentacji. Sesji. Transportowa. Transportowa

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

ARP Address Resolution Protocol (RFC 826)

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Internet Protocol v6 - w czym tkwi problem?

Kurs OPC S7. Spis treści. Dzień 1. I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501)

PBS. Wykład Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy

Najprostsza odpowiedź, jaka przychodzi mi do głowy to, z powodu bezpieczeństwa.

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

DHCP + udostępnienie Internetu

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ

Moxa Solution Day 2011

Firewalle, maskarady, proxy

Zapora systemu Windows Vista

Protokół ARP Datagram IP

Sieci komputerowe laboratorium

TCP/IP formaty ramek, datagramów, pakietów...

Podziękowania... xv. Wstęp... xvii

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

ZADANIE.10 Cisco.&.Juniper DHCP (Router, Firewall)

dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

Urządzenia sieciowe. Tutorial 1 Topologie sieci. Definicja sieci i rodzaje topologii

Przesyłania danych przez protokół TCP/IP

Transkrypt:

9. Zapory sieciowe (firewall) i translacja adresów W dziedzinie zabezpieczeń ruchu sieciowego dużą rolę odgrywają systemy kontroli komunikacji nazywane w języku ang. firewall. W języku polskim ścierają się na ogół dwa terminy: zapora sieciowa oraz ściana przeciwogniowa. Drugi z nich jest tłumaczeniem rdzennego pojęcia amerykańskiego (rysunek 1) Def.: fire wall ognioodporny mur używany jako zapora zapobiegająca rozprzestrzenianiu się ognia. Słownik dziedzictwa amerykańskiego Rysunek 1. Etymologia pojęcia firewall Inną analogią tego pojęcia jest kontrola paszportowa i celna na granicy w naszym przypadku granicy sieci komputerowej. Podstawowe funkcje systemów firewall Podstawowe funkcje systemów firewall obejmują filtrację ruchu oraz pośredniczenie w dostępie do usług sieciowych Filtracja pakietów to podstawowa forma zabezpieczenia sieci. Polega na analizie pakietów (a dokładniej parametrów ruchu zawartych w nagłówkach pakietów) warstwa 3 (czasami 2-4) modelu OSI. Możliwa jest: filtracja pakietów nadchodzących filtracja pakietów wychodzących filtracja pakietów propagowanych przez moduł routingu (dotyczy oczywiście wyłącznie węzłów międzysieciowych) Ruch sieciowy jest filtrowany (przepuszczany lub blokowany) w zależności od decyzji podjętych na podstawie analizy pakietów, przy zastosowaniu zdefiniowanych reguł (reguł filtracji). Pośredniczenie w dostępie do usług jest realizowane poprzez odseparowanie świata wewnętrznego i zewnętrznego względem zapory sieciowej (brak funkcji routingu). Komunikacja poprzez zaporę nie jest możliwa w żadnej warstwie poza aplikacyjną (warstwa 7 modelu OSI). Na zaporze uruchomione są aplikacje pośredniczące (proxy services) w komunikacji końcowych aplikacji użytkowych (np. klient-). Oznacza to, iż klient, uruchomiony przyjmijmy w sieci wewnętrznej, nie może nawiązać połączenia bezpośrednio z em pracującym w sieci zewnętrznej. Może tylko nawiązać połączenie z aplikacją proxy. Ruch może przechodzić przez zaporę, jedynie gdy zostanie pozytywnie sklasyfikowany przez aplikację proxy. Zaakceptowane połączenie od klienta jest następnie zestawiane w imieniu klienta przez aplikację proxy z em. W istocie zatem utrzymywane są dwa połączenia: klient-proxy i proxy- dolecowy. 1

proxy 6 6 5 5 klient 4 3 4 3 2 2 1 1 Rysunek 2. Model pośredniczenie w realizacji usług (firewall typu proxy) Podstawowe komponenty systemów firewall Systemy firewall konstruowane są ze złożenia wymienionych poniżej komponentów. Specjalizowany węzeł międzysieciowy (router) Jest to rozwiązanie najprostsze i najłatwiejsze w utrzymaniu. Można je zrealizować przy pomocy następujących urządzeń: router filtrujący (screening router) router szyfrujący (ciphering router) Komputer Twierdza (Bastion Host) Jest to dedykowana stacja lub węzeł międzysieciowy, na którym uruchomione są usługi proxy. Strefa Zdemilitaryzowana (Demilitarized Zone DMZ) Jest to dedykowana podsieć obejmująca jedno lub kilka stanowisk o złagodzonych wymaganiach względem ochrony. Typowo umieszcza się tam stanowiska oferujące pewne wybrane informacje publicznie, w odróżnieniu od stacji sieciowych pracujących wewnątrz sieci chronionej. Router filtrujący Podstawowym zagadnieniem dotyczącym realizacji zapory sieciowej tego typu jest kwestia definicji reguł filtracji. Reguły filtracji operują w ogólności na parametrach analizowanych pakietów, takich jak: adresy z nagłówka protokołu sieciowego (źródłowy i docelowy) typ protokołu (PDU i SDU, np. protokołu transportowego) rodzaj usługi (numer portu z nagłówka protokołu transportowego) 2

sieć lokalna INTERNET router filtrujący Rysunek 3. Model systemu z zaporą sieciową typu router filtrujący Schemat wewnętrznej kompozycji urządzenia filtrującego jest przedstawiony na rysunku 4. Możliwe jest utrzymywanie oddzielnych list filtracji dla ruchu wchodzącego i wychodzącego z zapory sieciowej. wejściowe eth0 routing eth1 wyjściowe Rysunek 4. Model modułu filtracji Filtry można zdefiniować na następujące sposoby: statyczne definicje reguł filtracji są dokonane z wyprzedzeniem i obowiązują aż do jawnej ich zmiany kontekstowe realizują dynamiczne reguły filtracji (SPF = Stateful Packet Filtering) w trakcie pracy aktualizowane są informacje o bieżących sesjach (asocjacjach protokołu sieciowego) decyzje o filtracji pakietów podejmowane są z uwzględnieniem stanu sesji, do której przynależą filtracja nieliniowa: elastyczne definiowanie wyrażeń warunkowych (zagnieżdżone reguły logiczne) Przykład statycznych reguł filtracji pokazuje rysunek 5. Opisuje on filtrację przypadku z rysunku 6. Na nim mamy hipotetyczną sieć wewnętrzną, której stacjom zezwala się na nawiązywanie połączeń tylko wybranej usługi (w przykładzie telnet) i jedynie z wybranym em zewnętrznym. 3

reguła kierunek ruchu nadawca pakietu odbiorca pakietu protokół transportowy port nadawcy port odbiorcy flagi działanie 1. na zewnątrz 150.254. *. * 138.60.12.1 TCP >1023 23 * przepuść 2. do wewnątrz 138.60.12.1 150.254. *. * TCP 23 >1023 ACK=1 przepuść 3. do wewnątrz 138.60.12.1 150.254. *. * TCP 23 >1023 ACK=0 odrzuć (default) * *. *. *. * *. *. *. * * * * * odrzuć Rysunek 5. Przykładowe statyczne reguły filtracji Reguły zdefiniowane na statycznej liście filtracji są przeglądane sekwencyjnie do pierwszego trafienia. Dla pasującej reguły jest aplikowane zdefiniowane w niej działanie (na ogół akceptacja lub odrzucenie pakietu). Reguła nr 1 zezwala na ruch wychodzący na zewnątrz jeśli adres nadawcy należy do zakresu adresów sieci wewnętrznej, odbiorcą pakietu jest wyróżniony zewnętrzny, port nadawcy nie jest portem systemowym, a port odbiorcy zgadza się z portem usługi telent. Druga reguła zezwala na ruch w przeciwnym kierunku, pod warunkiem odwrotnej kombinacji parametrów, lecz jedynie pod warunkiem, że w nagłówku TCP ustawiona jest flaga ACK. Natomiast w przypadku, gdy flaga ta jest wyzerowana, ruch wchodzący z a jest blokowany. Jest konsekwencją faktu, iż flaga ACK jest wyzerowana jedynie w pierwszym segmencie TCP nawiązującym połączenie (segment SYN). Nie jest oczywiście naturalne, by usługi telent próbował zestawić połączenie z klientem ochranianej sieci, zatem taką sytuację należy rozpoznać jako podejrzaną i odrzucić pakiet (najprawdopodobniej oprogramowanie podszywające się za próbuje nawiązać połączenie ze stacjami wewnątrz chronionej sieci). Reguła ostatnia jest realizacją zasady domyślnej reguły dostępu blokuje jakikolwiek ruch, który nie został zdefiniowany w poprzednich regułach. 150.254.1.30 EXTERNAL TELNET SERVER 138.60.12.1 Rysunek 6. Schemat sieci do przykładu definicji statycznych reguł filtracji Statyczne reguły filtracji posiadają kilka ograniczeń. Przykładowo niektóre usługi trudno poddają się filtracji statycznej (np. FTP, X11, DNS). Rozważmy jak w trybie aktywnym pracy a FTP (przypomnij sobie jaki to tryb) ochronić się przed nadużyciem, w którym oprogramowanie podszywające się za próbuje nawiązać połączenie ze stacjami wewnątrz chronionej sieci. Z pomocą przychodzą pewne nowe rozwiązania proponowane w samych protokołach aplikacyjnych. Coraz powszechniej wprowadza się i stosuje tryby pracy zmodyfikowane pod 4

kątem usprawnienia filtracji, np. tryb passive w protokole FTP (skądinąd użyteczny także np. przy korzystaniu z dostępu xdsl) Komputer Twierdza Komputer Twierdza to stacja z odseparowanymi interfejsami sieciowymi (Dual Homed Host Gateway) zajmująca miejsce węzła międzysieciowego (rysunek 7). Oferuje fizyczną i logiczną separację prywatnej sieci lokalnej od zewnętrznej sieci publicznej. Dzięki separacji interfejsów tylko Komputer Twierdza jest widoczny z sieci publicznej. Zatem, aby wtargnąć do sieci prywatnej trzeba uprzednio zawładnąć Komputerem Twierdzą. Komputer Twierdza pełni rolę bramy aplikacyjnej usługi pośredniczące i zastępcze (proxy) rozwiązują problem usług trudnych do filtracji. Dzięki temu, iż jest on pełnym stanowiskiem komputerowym, potencjalnie wyposażonym w dowolne żądane oprogramowanie i praktycznie nieograniczone zasoby pamięci masowej, możliwa jest szczegółowa rejestracja zdarzeń (auditing), ułatwiająca diagnozowanie ewentualnie pojawiających się nowych zagrożeń i niedoskonałości konfiguracji. sieć lokalna Komputer Twierdza INTERNET Rysunek 7. Model systemu z zaporą sieciową typu Komputer Twierdza Filtracja podwójna Rysunek 8 pokazuje schematyczne połączenie w jedną linię obrony różnych typów zapór sieciowych, dokładniej jest to brama aplikacyjna poprzedzona routerem filtrującym (Screened Host Gateway). sieć lokalna Komputer Twierdza router filtrujący INTERNET Rysunek 8. Model systemu z filtracją podwójną 5

Możliwe jest dalej rozciągnięcie Twierdzy na całą dedykowaną podsieć (Screened Network), co pokazuje z kolei rysunek 9, a nawet kaskadę podsieci. sieć lokalna INTERNET Rysunek 9. Model systemu z podsiecią ochronną Strefa Zdemilitaryzowana Konfiguracja która przyjęła się pod nazwą Strefa Zdemilitaryzowana (DMZ = Demilitarized Zone) to wydzielona podsieć zawierająca komponenty świadomie wyjęte spod kontroli obejmującej całą resztę sieci wewnętrznej, takie jak np.: publiczne zasoby (np. ogólnodostępny serwis WWW) przynęty, pułapki sieć lokalna publiczny WWW perimeter network dostępowy + zapora INTERNET Rysunek 10. Model systemu ze Strefą Zdemilitaryzowaną DMZ Translacja adresów Network Address Translation (NAT) Translacja adresów jest powszechnym w sieciach komputerowych mechanizmem, który ma różne cele, a są to: rozszerzenie dostępu do sieci publicznej na stanowiska nie posiadające przydziału adresów publicznych (posiadające tylko adresy prywatne RFC 1918) 6

wykorzystanie wewnątrz sieci nieprzydzielonych publicznych adresów IP (za cenę braku możliwości komunikacji z takimi oficjalnymi adresami) ukrycie wewnętrznej struktury sieci przed światem zewnętrznym przekierowanie ruchu (portów: NAPT = Network Address Port Translation) Metody wzajemnego odwzorowania adresów są ustandaryzowane i opisane w dokumentach: RFC1631 (translacja na pojedynczy adres, tj. N:1) RFC1597,1918 (translacja na pulę adresową, tj. N:M) Wyróżnia się przy tym translację adresów źródłowych Source NAT (SNAT) oraz docelowych Destination NAT (DNAT). Translacja adresów źródłowych (SNAT) W tym przypadku pakiety wychodzące z sieci wewnętrznej otrzymują nowy adres źródłowy w nagłówku (rysunek 11). W przykładzie, pakiet wychodzący w rzeczywistości z adresu IP równy 10.1.1.1 otrzymuje po translacji adres źródłowy a translacji (jest nim brzegowy węzeł międzysieciowy), mianowicie 150.254.1.100. Numer portu źródłowego też ulega zmianie. 10.1.1.1:3000 138.60.12.1:80 150.254.1.100:2001 138.60.12.1:80 NAT server 10.1.1.1 eth0 eth1 138.60.12.1 10.1.1.100 150.254.1.100 Rysunek 11. Schemat translacji adresów źródłowych (SNAT) Translacja adresów docelowych (DNAT) W mechanizmie Destination NAT (DNAT) pakiety przychodzące ze strony inicjującej (na ogół sieci zewnętrznej) otrzymują nowy adres docelowy (w tym w szczególności port). Celem może być przekierowanie ruchu określonej usługi pod rzeczywisty, nie ujawniany na zewnątrz, adres wewnętrznego a tej usługi. Na rysunku 12 adres a (o jaką usługę chodzi w tym przykładzie?) upubliczniony na zewnątrz jest równy 150.254.1.1, podczas gdy rzeczywisty adres to 150.254.1.200. 7

150.254.1.200 138.60.12.1:5000 150.254.1.200:8080 138.60.12.1:5000 150.254.1.1:80 NAT server 150.254.1.1 138.60.12.1 Rysunek 12. Schemat translacji adresów źródłowych (SNAT) Dodatkowa funkcjonalność zapór sieciowych Łańcuch funkcji realizowanych przez zapory sieciowe wyglądać może następująco: jedynie funkcje podstawowe: wejściowe DNAT pre-routing routing SNAT post-routing wyjściowe również funkcje dodatkowe: wejściowe DNAT pre-routing routing SNAT post-routing wyjściowe Dodatkowymi funkcjami mogą być obrona przed atakami DoS (flood-wall) specyfikowanie dopuszczalnego rozmiaru strumienia wejściowego (np. w pakietach na sek.) kontrola fragmentacji IP i śledzenie numerów sekwencyjnych TCP (kontrola czy znajdują się w oczekiwanym zakresie) wsparcie dla IPv6: fragmentacja, ICMPv6, ochrona przed atakami DoS analogicznymi jak dla IPv4 IPv6, np. ipf (FreeBSD), rozpoznawanie tunelowania IPv6 w IPv4 (tzn. takich protokołów jak 6to4, 6over4, Toredo) 8

integracja z różnymi zewnętrznymi modułami, np. systemami antywirusowymi, modułami sieciowej detekcji intruzów (IDS), czy ograniczenia dostępu (parental control) Filtry kontekstowe Standardowy przepływ ruchu poddawanego filtracji (round-trip) można przedstawić schematycznie postaci poniższej: in DNAT routing SNAT OUT OUT SNAT routing DNAT IN Filtry kontekstowe podejmują dynamicznie zmienne decyzje na podstawie weryfikacji kontekstu (stateful inspection): każda zainicjowana poprawnie sesja jest pamiętana na dynamicznych listach w drodze powrotnej pakiet jest sprawdzany na przynależność do zapamiętanej sesji filtracja może być pominięta: Przedstawia to poniższy schemat: IN DNAT routing SNAT OUT OUT SNAT routing DNAT IN Problemy realizacji zapór sieciowych Zapory sieciowe cierpią na wiele problemów, zarówno technologicznych jak i realizacyjnych. Problemy technologiczne dotyczą np. usług takich jak FTP. Przykładowo, jeśli filtr kontekstowy w zaporze obsłuży komendę PORT 23 protokołu FTP, to czy będzie to naruszenie polityki bezpieczeństwa? Problemy technologiczne związane są również z wykorzystaniem w ruchu sieciowym mechanizmów takich jak fragmentacja IP. Z filtracją pakietów pofragmentowanych związane są następujące problemy: odrzucanie tylko pierwszych fragmentów umożliwia wyciek informacji w strumieniu wyjściowym istnieją narzędzia do tak perfidnego fragmentowania, by flagi ACK i SYN nagłówka TCP nie pojawiały się w pierwszym fragmencie 9

można scalać fragmenty na zaporze uwaga na błędy przy scalaniu można narzucić wymóg, aby pierwszy fragment zawierał co najmniej 16B danych (a najlepiej cały nagłówek TCP) Istotne problemy niesie ze sobą pielęgnacja reguł filtracji. Szczególnie trudna jest ona do sprawnego przeprowadzenia w przypadku dużych zbiorów reguł. Dodatkowo potęgują trudności częste na naszym rynku informatycznym zmiany personelu i brak dokumentacji uniemożliwiający pielęgnację starych reguł (odziedziczonych po poprzednim administratorze). Często występują również problemy wewnętrzne: duże organizacje posiadają często złożoną politykę bezpieczeństwa, co implikuje wielość nachodzących na siebie domen bezpieczeństwa i trudności w definicji i pielęgnacji spójnych reguł filtracji. Ostrożnie należy też postępować z tunelami wirtualnymi. Autoryzowane tunele VPN mogą być potencjalnym nośnikiem nieautoryzowanych treści poza kontrolą zapór ogniowych. Zatem powinny być zaplanowane i zrealizowane w sposób przemyślany. Podobnie jak VPN, również propagowanie połączeń (port forwarding) może przyczynić się do skutecznego ominięcia kontroli na zaporze. Podobnie trudności sprawia dość rozpowszechniony protokół SOAP (Simple Object Access Protocol), służący, mówiąc kolokwialnie, do tunelowania jakiegokolwiek ruchu w HTTP. Pod tym względem skrajnie wywrotowy jest httptunnel (http://www.noccrew.org/software/httptunnel.html) Pytania problemowe 1. W przykładzie statycznych reguł filtracji z rysunku 5 zdefiniowano 4 reguły. Jedna z nich jest jednak nadmiarowa i można ją usunąć bez żadnych konsekwencji dla przebiegu filtracji. Która to reguła? 10

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres