Internet Firewall FAQ in Italian

FAQ della parete refrattaria in italiano 1 Pareti refrattarie Del Internet: Domande Frequentemente Fatte Paul D. Robertson snipped-for-privacy@compuwar.net Curtin Opaco snipped-for-privacy@interhack.net Marcus J. Ranum snipped-for-privacy@ranum.com (tradotto da William Sun snipped-for-privacy@thegild.com )

Data: 2004/07/26 di 15:34:42 Revisione: 10.4

Questo documento disponibile nel pdfdel and del postscript.

Indice 1 Administrativia 1.1 Circa il FAQ 1.2 Per chi il FAQ è scritto? 1.3 Prima Della Trasmissione Della Posta 1.4 Dove posso trovare la versione corrente del FAQ? 1.5 Dove posso trovare le versioni Non-Inglesi del FAQ? 1.6 Contributori 1.7 Copyright ed uso

2 principi fondamentali della parete refrattaria e della priorità bassa 2.1 Che cosa è una parete refrattaria di rete? 2.2 Perchè desidererei una parete refrattaria? 2.3 Da che cosa può una parete refrattaria proteggere? 2.4 Da che cosa non può una parete refrattaria proteggere? 2.5 Che cosa circa i virus e l'altro malware? 2.6 IPSEC renderà le pareti refrattarie obsolete? 2.7 Che cosa sono buone sorgenti delle informazioni della stampa sulle pareti refrattarie? 2.8 Dove posso ottenere le più informazioni sulle pareti refrattarie sul Internet?

3 edizioni di implementazione e di disegno 3.1 Che cosa sono alcune delle decisioni di base di disegno in una parete refrattaria? 3.2 Che cosa sono i tipi di base di pareti refrattarie? 3.3 Che cosa sono server di procura e come funzionano? 3.4 Che cosa sono alcuni strumenti poco costosi della selezione del pacchetto? 3.5 Che cosa sono alcune regole di filtrazione ragionevoli per uno schermo nocciolo-basato del pacchetto? 3.6 Che cosa sono alcune regole di filtrazione ragionevoli per un Cisco? 3.7 Che cosa sono le risorse critiche in una parete refrattaria? 3.8 Che cosa è un DMZ e perchè io desidera uno? 3.9 Come potrei aumentare la sicurezza e lo scalability del mio DMZ? 3.10 Che cosa è un singolo punto del ` di guasto 'e come io evita di avere uno? 3.11 Come posso ostruire tutto il roba difettoso? 3.12 Come posso limitare l'accesso di Web in modo da gli utenti non possono osservare i luoghi indipendenti per lavorare?

4 Vari Attacchi 4.1 Che cosa è traffico diretto sorgente e perchè è esso una minaccia? 4.2 Che cosa sono ICMP riorientano e riorientano le bombe? 4.3 Che cosa circa la smentita di servizio? 4.4 Che cosa sono alcuni attacchi comuni e come possono io proteggere il mio sistema contro di loro?

5 Come La I... 5.1 Realmente desidero concedere tutto che i miei utenti chiedano? 5.2 _ come io fa Web/HTTP lavoro attraverso mio parete? 5.3 Come faccio funzionare lo SSL attraverso la parete refrattaria? 5.4 Come faccio il lavoro di DNS con una parete refrattaria? 5.5 Come faccio funzionare il ftp attraverso la mia parete refrattaria? 5.6 Come faccio funzionare il telnet attraverso la mia parete refrattaria? 5.7 Come faccio funzionare la barretta ed il WHOIS attraverso la mia parete refrattaria? 5.8 Come faccio il Gopher, archie ed altri servizi funzionano attraverso la mia parete refrattaria? 5.9 Che cosa sono le edizioni circa X11 attraverso una parete refrattaria? 5.10 Come faccio funzionare RealAudio attraverso la mia parete refrattaria? 5.11 Come faccio il mio atto di web server come un a fine frontale per una base di dati che vive sulla mia rete riservata? 5.12 Ma la mia base di dati ha un server integrato di Web e desidero usare quello. Non posso giusto colpire un foro nella parete refrattaria e scavare una galleria quella porta? 5.13 Come Faccio funzionare il IP Il Multicast Con La Mia Parete refrattaria?

6 porte del UDP e di TCP 6.1 Che cosa è una porta? 6.2 Come conosco quale applicazione usa che porta? 6.3 Che cosa sono porte ASCOLTANTI? 6.4 Come determino che servizio la porta è per? 6.5 Che porte sono sicuri da passare attraverso una parete refrattaria? 6.6 Il comportamento del ftp 6.7 Che software usa che modo del ftp? 6.8 È mio provare della parete refrattaria a collegare all'esterno? 6.9 Anatomia di un collegamento di TCP

A. Alcuni prodotti commerciali e fornitori B. Glossario dei termini Parete-Relativi Bibliografia

1 Administrativia

1.1 Circa il FAQ Questa accumulazione di Frequenty ha fatto le domande (FAQ) e le risposte è stata compilata durante gli anni, vedenti quali domande la gente fa riguardo alle pareti refrattarie in tali tribune come il USENET, le liste spedenti ed i luoghi di Web. Se avete una domanda, osservare qui per vedere se ha risposto a prima dell'invio la vostra domanda è buona forma. Non trasmetta le vostre domande circa le pareti refrattarie ai mantenitori del FAQ.

I mantenitori accolgono favorevolmente l'input e le osservazioni sul contenuto di questo FAQ. Le osservazioni si sono riferite al FAQ dovrebbero essere richiamate a snipped-for-privacy@interhack.net. Prima che ci trasmettiate la posta, sia prego sicuro vedere che le parti 1.2 e 1.3 da rendere sicuro questo è il giusto documento affinchè leggano.

1.2 Per chi il FAQ è scritto? Le pareti refrattarie sono venuto lontano dai giorni in cui questo FAQ si è avviato. They've andato da essere sistemi altamente personalizzati amministrati dai loro implementors ad un prodotto tradizionale. Le pareti refrattarie sono solamente no più lunghe nelle mani di coloro che progetta ed effettua i sistemi di sicurezza; persino gli utilizzatori finali sicurezza-coscienti le hanno a casa.

_ noi scriv questo FAQ per computer sistema di elaborazione sviluppatore e amministratore. Abbiamo provato ad essere ragionevolmente compresi, facendo la stanza per i nuovi venuti, ma ancora ammettiamo una certa base tecnica di base. Se trovate che non capite questo documento, ma pensate che dobbiate conoscere più circa le pareti refrattarie, potrebbe scaturire è che realmente dovete ottenere più priorità bassa nella rete del calcolatore in primo luogo. Forniamo i riferimenti che li hanno aiutati; forse egualmente li aiuteranno.

Mettiamo a fuoco predominately "sulla rete" pareti refrattarie, ma `` ospiti il ''o le pareti refrattarie del ''di ``"personal saranno indirizzate ove necessario.

1.3 Prima Della Trasmissione Della Posta Si noti che questa accumulazione delle domande frequente-chieste a è un risultato di interazione con molta gente degli ambiti di provenienza differenti in un'ampia varietà di tribune pubbliche. L'indirizzo parete-FAQ non è un servizio d'assistenza. Se state provando ad usare un'applicazione che dice che non sta funzionando a causa di una parete refrattaria e pensate che dobbiate rimuovere la vostra parete refrattaria, prego ci non trasmetta la posta che chiede come.

Se desiderate conoscere come `` eliminate il vostro ''della parete refrattaria perché non potete usare una certa applicazione, ci non trasmetta la posta che chiede l'aiuto. Non possiamo aiutarli. Realmente.

Chi può aiutarlo? Buona domanda. Quello dipenderà su che cosa il problema è esattamente, ma qui è parecchi indicatori. Se nessuno di questi funziona, vogliate ci non chiedono altro. Non sappiamo.

Il fornitore del software che state usando. Il fornitore usando del you're del ''degli apparecchi del hardware ``. Il fornitore del usando del you're di servizio di rete. Quello è, se you're su AOL, li chiede. Se state provando ad usare qualcosa su una rete corporativa, comunichi con vostro amministratore di sistema.

1.4 Dove posso trovare la versione corrente del FAQ? Il FAQ può essere trovato sul Web a

formatting link
formatting link
Egualmente ha inviato il mensile a

comp.security.firewalls, comp.security.unix, comp.security.misc, comp.answerse news.answers. Le versioni inviate sono archiviate in tutti i posti usuali. Purtroppo, la versione inviata al USENET ed archiviata quella mancanza di versione dalle immagini graziose e dai hyperlinks utili ha trovato nella versione di Web.

1.5 Dove posso trovare le versioni Non-Inglesi del FAQ? Parecchie traduzioni sono disponibili. (se avete fatto una traduzione e non è elencata qui, scrivali prego in modo da possiamo aggiornare il documento matrice.)

Norvegese Traduzione da Jon Haugsand

formatting link

1.6 Contributori Molta gente ha scritto i suggerimenti utili ed il commento premuroso. Siamo riconoscenti a tutti i contributori. Vorremmo ringraziare il afew per nome: Keinanen ;Vesa, Allen Leibowitz, chapman del brent, Brian Boyle, D. Clyde Williamson, Richard Reiner, William Sun, Humberto Ortiz Zuazaga e speranza di Theodore.

1.7 Copyright ed uso Copyright ©1995-1996, 1998 Marcus J. Ranum. Copyright ©1998-2002 Curtin Opaco. Copyright 2004, Paul D. Robertson. Tutti i diritti riservati. Questo documento può essere usato, ristampato ed essere ridistribuito come sta fornendo questo avviso di copyright e tutte le attribuzioni rimangono intact. Le traduzioni del testo completo dall'inglese originale ad altri linguaggi egualmente sono permesse esplicitamente. I traduttori possono aggiungere i loro nomi alla sezione `` dei contributori '.

2 principi fondamentali della parete refrattaria e della priorità bassa Prima di potere capire una discussione completa sulle pareti refrattarie, esso importante capire i principi di base che fanno funzionare le pareti refrattarie.

2.1 Che cosa è una parete refrattaria di rete? Una parete refrattaria è un sistema o un gruppo dei sistemi che fanno rispettare una politica di controllo di accesso fra due o più reti. Il mezzo reale da cui questo è compiuto varia ampiamente, ma nel principio, la parete refrattaria può pensarsi come ad accoppiamento dei meccanismi: uno che esiste per ostruire il traffico e l'altro che esista per consentire il traffico. Alcune pareti refrattarie danno un'importanza più grande sull'ostruire il traffico, mentre altre danno risalto al traffico consentente. Probabilmente la cosa più importante da riconoscere circa una parete refrattaria è che effettua una politica di controllo di accesso. Se non avete una buona idea di che genere di accesso desiderate concedere o negare, una parete refrattaria realmente non li aiuterà. È egualmente importante riconoscere che la configurazione della parete refrattaria, perché è un meccanismo per fare rispettare la politica, impone la relativa politica a tutto dietro esso. Gli amministratori per le pareti refrattarie che gestiscono la connettività per un grande numero di calcolatori centrali quindi hanno una responsabilità pesante.

2.2 Perchè desidererei una parete refrattaria? Il Internet, come qualunque altra società, è contagiato con il genere di scatti che godono l'equivalente elettronico di ammortizzare sulle pareti della gente con spraypaint, di strappo delle loro cassette postali, o appena di seduta nella via che salta i loro corni dell'automobile. Qualche gente prova ad ottenere il lavoro reale fatto sopra il Internet ed altre hanno dati che sensibili o riservati devono proteggere. Solitamente, lo scopo della parete refrattaria è mantenere gli scatti dalla vostra rete mentre ancora lasciandoli ottenere il vostro lavoro fatto.

Molti società e centri di dati di stile tradizionale hanno le politiche e pratiche di calcolo di sicurezza che devono essere seguite. In un caso dove le politiche dell'azienda dettano come i dati devono essere protetti, una parete refrattaria è molto importante, poiché è l'incorporamento della politica corporativa. Frequentemente, la parte più dura di agganciare al Internet, se you're una grande azienda, non sta giustificando la spesa o lo sforzo, ma sta convincendo la gestione che esso sicuro fare così. Una parete refrattaria fornisce non soltanto la sicurezza reale -- svolge spesso un ruolo importante come coperta di sicurezza per la gestione.

Infine, una parete refrattaria può fungere da vostro `` ''corporativo dell'ambasciatore al Internet. Molte società usano i loro sistemi della parete refrattaria come posto per memorizzare le informazioni pubbliche sui prodotti corporativi e sui servizi, archivi per trasferire, insetto-ripara e così avanti. alcuni di questi sistemi hanno parti importanti diventate della struttura di servizio del Internet (per esempio, UUnet.uu.net, whitehouse.gov, gatekeeper.dec.com) ed hanno riflesso bene sui loro garanti organizzativi. Si noti non normalmente che mentre questa è storicamente allineare, la maggior parte delle organizzazioni ora dispongono le informazioni pubbliche su un server di Web, protetto spesso da una parete refrattaria, ma sulla parete refrattaria in se.

2.3 Da che cosa può una parete refrattaria proteggere? Alcune pareti refrattarie consentono soltanto il traffico del email attraverso loro, quindi proteggendo la rete da tutti gli attacchi tranne gli attacchi dal servizio del email. Altre pareti refrattarie assicurano le protezioni meno rigorose ed ostruiscono i servizi che sono conosciuti per essere problemi.

Generalmente, le pareti refrattarie sono configurate per proteggere da unauthenticated gli inizio attività interattivi `` dal mondo del ''della parte esterna. Ciò, più di qualche cosa, aiuti impedisce ai vandals di annotare nelle macchine sulla vostra rete. Le pareti refrattarie più elaborate ostruiscono il traffico dalla parte esterna alla parte interna, ma permettono agli utenti sulla parte interna di comunicare liberamente con la parte esterna. La parete refrattaria può proteggerla da qualunque tipo di attacco rete-sopportato se lo disconnettete.

Le pareti refrattarie sono egualmente importanti poiché possono fornire un singolo `` ''del punto della bobina d'arresto in cui la sicurezza e la verifica possono essere imposte. Diverso dentro di una situazione dove un sistema di elaborazione sta attacando da qualcuno che compone dentro con un modem, la parete refrattaria può fungere da `` ''efficace del colpetto del telefono e strumento seguente. Le pareti refrattarie forniscono una funzione annotante e di verifica importante; forniscono spesso i sommari all'amministratore circa che generi e quantità di traffico ha attraversato esso, quanti tentativi là dovevano rompersi in esso, ecc.

Poiché di questo, i libri macchina della parete refrattaria sono dati criticamente importanti. Possono essere usati come prova in una corte di legge nella maggior parte dei paesi. Dovreste salvaguardare, analizzare e proteggere la parete refrattaria di yoru annota di conseguenza.

Ciò è un punto importante: fornire questo `` ''del punto della bobina d'arresto può avere lo stesso scopo sulla vostra rete come una latta custodita del cancello per i locali fisici del vostro luogo. Quello mezzi in qualsiasi momento avete un cambiamento `` nelle zone 'o nei livelli della sensibilità, un tal punto di controllo è adatto. Un'azienda non ha raramente soltanto un cancello esterno e receptionist o personale di sicurezza per controllare i distintivi sul modo dentro. Se ci sono strati di sicurezza sul vostro luogo, esso ragionevole per prevedere gli strati di sicurezza sulla vostra rete.

2.4 Che can't che una parete refrattaria protegge da? Le pareti refrattarie non possono proteggere dagli attacchi che non passano attraverso la parete refrattaria. Molte società che collegano al Internet sono molto interessate circa i dati riservati che fuoriescono fuori dell'azienda tramite quell'itinerario. Purtroppo per quelli interessati, azionamenti un nastro magnetico, un disco compatto, dell'istantaneo del USB o, di DVD inscatolano appena come sia usato efficacemente esportare i dati. Molte organizzazioni che sono terrorizzate (ad un livello di gestione) dei collegamenti del Internet non hanno politica coerente circa come manopola- in accesso via i modem dovrebbe essere protetto. Silly costruire un portello d'acciaio spesso del sei-piede quando vivete in una casa di legno, ma là è organizzazioni molto verso l'esterno là l'acquisto delle pareti refrattarie costose e trascurare il numeroso altri indietro-portelli nella loro rete. Affinchè una parete refrattaria funzioni, deve essere una parte di un'architettura organizzativa generale costante di sicurezza. Le politiche della parete refrattaria devono essere realistiche e riflettere il livello di sicurezza nell'intera rete. Per l'esempio, un luogo con bisogno segreto o classificato superiore del doesn't di dati una parete refrattaria affatto: shouldn't stanno collegando al Internet nel primo posto, o i sistemi con i dati realmente segreti dovrebbero essere isolati dal resto della rete corporativa.

Un'altra cosa che un can't della parete refrattaria realmente li protegge da è traitors o idiots all'interno della vostra rete. Mentre una spia industriale potrebbe esportare le informazioni attraverso la vostra parete refrattaria, lui appena come probabilmente per esportarlo attraverso un telefono, una macchina del FAX, o un disco compatto. CDs sono mezzi molto più probabili per informazione per fuoriuscire dalla vostra organizzazione che una parete refrattaria. Le pareti refrattarie anche non possono proteggerle da stupidity. Gli utenti che rivelano le informazioni sensibili sopra il telefono sono buoni obiettivi per ingegneria sociale; un attacker può potere rompersi nella vostra rete completamente escludendo la vostra parete refrattaria, se può trovare `` una parte interna utile degli impiegati del ''che può essere imbrogliata nel dare l'accesso ad uno stagno del modem. Prima di decidere questo isn't un problema nella vostra organizzazione, si chiede come molta difficoltà un appaltatore ha ottenere annotata nella rete o come molta difficoltà un utente che ha dimenticato la sua parola d'accesso doverla per ripristinarsi. Se la gente sul servizio d'assistenza crede che ogni chiamata sia interna, fate riparare un problema quel can't stringendo i comandi sulle pareti refrattarie.

Il can't delle pareti refrattarie protegge dall'eccedenza che di traforo la maggior parte dei protocolli di applicazione a trojaned o clienti male scritti. Non ci sono pallottole magiche e una parete refrattaria non è una giustificazione per non effettuare i comandi del software sulle reti interne o per non ignorare la sicurezza ospite sui server. Le cose difettose del ''di traforo `` sopra il HTTP, lo smtp ed altri protocolli è abbastanza semplici e dimostrate banalmente. Il fuoco del isn't di sicurezza `` e si dimentica ''.

Infine, il can't delle pareti refrattarie protegge dalle cose difettose che sono consentite con loro. Il caso, molti cavalli di Trojan usano il protocollo di chiacchierata del relè del Internet (IRC) per permettere che un attacker gestisca un calcolatore centrale interno compromesso da un server del IRC del pubblico. Se permettete che qualunque sistema interno colleghi a qualunque sistema esterno, quindi la vostra parete refrattaria non assicurerà protezione da questo vettore dell'attacco.

2.5 Che cosa circa i virus e l'altro malware? Le pareti refrattarie non possono proteggere molto bene dalle cose come i virus o il software cattivo (malware). Ci sono ugualmente molti modi di cifratura degli archivi in codice binari per il trasferimento sulle reti ed ugualmente molti architetture e virus differenti per provare a cercarle tutte. In altre parole, una parete refrattaria non può sostituire la sicurezza-coscienza sulla parte dei vostri utenti. In generale, una parete refrattaria non può proteggere da un attacco data-driven -- attacchi in cui qualcosa è spedita o copiata ad un calcolatore centrale interno in cui allora è eseguita. Questa forma dell'attacco si è presentata nel passato contro le varie versioni di sendmail, ghostscript, scripting gli agenti dell'utente della posta come i browsersdi Web e di prospettiva come il Internet Explorer.

Le organizzazioni che profondamente sono interessate circa i virus dovrebbero effettuare le misure di controllo organizzazione-larghe del virus. Piuttosto che soltanto provando a selezionare i virus fuori alla parete refrattaria, renda sicuro che ogni tavolo vulnerabile ha software di esame del virus che è funzionato quando la macchina rebooted. Ricoprendo della vostra rete con il software di esame del virus proteggerà dai virus che entrano via i dischetti, CDs, modem ed il Internet. Provare ad ostruire i virus alla parete refrattaria proteggerà soltanto dai virus dal Internet. L'esame del virus alla parete refrattaria o al Gateway di E-mail arresterà un grande numero di infezioni.

Tuttavia, un numero aumentante di fornitori della parete refrattaria sta offrendo `` il virus che rileva le pareti refrattarie del ''. They're probabilmente soltanto utile per gli utenti ingenui che scambiano i programmi eseguibili dell'Windows-su-Intel ed i documenti cattivo-macro-capaci di applicazione. Ci sono molti metodi parete-basati per occuparsi dei problemi come `` la vite senza fine del ''di ILOVEYOU e gli attacchi riferiti, ma questi sono metodi realmente troppo semplificati che provano a limitare danni di qualcosa che sia così stupido esso dovrebbe non accadere mai nel primo posto. Non conti su alcuna protezione dai attackers con questa caratteristica. (poiché `` il ''di ILOVEYOU è andato intorno, il we've visto al meno una mezza dozzina simile attaca, compreso melissa, Happy99, codifica il colore rosso e Badtrans.B, tutto il cui è stato passato felicemente tramite molti pareti refrattarie e Gateway dirilevazione di E-mail.)

Una parete refrattaria forte non è mai un sostituto per software ragionevole che riconosce la natura di che cosa sta maneggiando -- untrusted i dati dall'unauthenticated il partito -- e si comporta giustamente. Non pensi che perché `` tutto ''sta utilizzando quel bollettino o perché il fornitore è un'azienda multinazionale pantagruelica, voi sono sicuro. Infatti, non è allineare che `` tutto ''sta utilizzando tutto il bollettino e le aziende che si specializzano nella tecnologia di rotazione inventata altrove in qualcosa che sia `` facile da usare il ''senza alcuna perizia sono più probabili produrre il software che può essere imbrogliato. Ulteriore considerazione di questo soggetto sarebbe utile [3], ma è oltre la portata di questo documento.

2.6 IPSEC renderà le pareti refrattarie obsolete? Alcuni hanno sostenuto che questo è il caso. Prima della pronuncia della così previsione ampia, tuttavia, è interessante da considerare che cosa IPSEC è e che cosa. Una volta che conosciamo questo, possiamo considerare se IPSEC risolverà i problemi quel we're che prova a risolvere con le pareti refrattarie.

IPSEC (sicurezza del IP) si riferisce ad un insieme degli standard sviluppati dal Internet Engineering Task Force (IETF). Ci sono molti documenti che definiscono collettivamente che cosa è conosciuto come `` ''di IPSEC ;[6]. IPSEC risolve due problemi che hanno contagiato il suite di protocollo del IP per gli anni: autenticazione del calcolatore-$$$-CALCOLATORE centrale (che lascerà i calcolatori centrali conoscere quel they're che comunica con calcolatori centrali pensano che siano) e crittografia (che impedirà i attackers potere guardare il traffico andare fra le

Back to Top FAQ della parete refrattaria in italiano 2 Si noti che nessuno di questi problemi è che cosa le pareti refrattarie sono state create per risolvere. Anche se le pareti refrattarie possono contribuire ad attenuare alcuni dei rischi presenti su un Internet senza autenticazione o crittografia, ci sono realmente due codici categoria dei problemi qui: integrità e segretezza delle informazioni che fluiscono fra i calcolatori centrali ed i limiti disposti su che generi di connettività è permesso fra le reti differenti. IPSEC richiama il codice categoria e le pareti refrattarie precedenti il posteriore.

Che cosa questi il mezzo è quell'non eliminerà l'esigenza dell'altro, ma crea alcune possibilità interessanti quando guardiamo unenti le pareti refrattarie con i calcolatori centrali IPSEC-permessi. Vale a dire, tali cose come le reti riservate virtuali fornitore-indipendenti (VPNs), la filtrazione migliore del pacchetto (filtrando sopra se i pacchetti hanno l'intestazione di autenticazione di IPSEC) e le pareti refrattarie di applicazione-strato potranno avere mezzi migliori di verifica ospite realmente usando l'intestazione di autenticazione di IPSEC anziché `` ''che fidantesi giusto il IP address si è presentato.

2.7 Che cosa sono buone sorgenti delle informazioni della stampa sulle pareti refrattarie? Ci sono parecchi libri che toccano sulle pareti refrattarie. Conosciuti il più bene sono:

Pareti refrattarie del Internet della costruzione, 2d ed. Autori Elizabeth D. Zwicky, cooper del Simon e D. Brent Chapman Editore O'Reilly Edizione 2000 ISBN 1-56592-871-7

Pareti refrattarie e sicurezza del Internet: Respinta del hacker wily Autori Fattura Cheswick, Steve Bellovin, Avi Rubin Editore Addison Wesley Edizione 2003 ISBN 020163466X

Sicurezza Pratica Di UNIX & Del Internet Autori Simson Garfinkel e gene Spafford Editore O'Reilly Edizione 1996 ISBN 1-56592-148-8 Nota Discute soprattutto la sicurezza ospite. I riferimenti relativi sono:

Internetworking con TCP/IP Vols I, IIed III Autori Comer ;della Douglas e David ;Stevens Editore Prentice-Corridoio Edizione 1991 ISBN 0-13-468505-9 (i), 0-13-472242-6 (ii), 0-13-474222-2 (iii) Commento Una discussione dettagliata sull'architettura ed implementazione del Internet e dei relativi protocolli. Il volume I (sui principii, sui protocolli e sull'architettura) è leggibile da tutto. Il volume 2 (sul disegno, sull'implementazione e sui internals) è più tecnico. Computazione del cliente-server delle coperture del volume 3.

Sicurezza del sistema di UNIX -- una guida per gli utenti e gli amministratori di sistema Autore Curry Di David Editore Addison Wesley Edizione 1992 ISBN 0-201-56327-4

2.8 Dove posso ottenere le più informazioni sulle pareti refrattarie sul Internet?

Manuale Di Sicurezza Del Luogo

formatting link
il manuale di sicurezza del luogo è un documento dello IETF delle informazioni che descrive le domande fondamentali che devono essere indirizzate per buona sicurezza del luogo della costruzione. Le pareti refrattarie sono una parte di più grande strategia di sicurezza, poichè il manuale di sicurezza del luogo mostra. Pareti refrattarie Che Spediscono Lista
formatting link
le pareti refrattarie del Internet che spediscono la lista è una tribuna per gli amministratori ed i implementors della parete refrattaria. Parete-Firewall-Wizards Che Spediscono Lista
formatting link
i wizards della parete refrattaria che spediscono la lista è una parete refrattaria moderata e una lista riferita sicurezza che è più come un giornale che un soapbox pubblico. Parete refrattaria HOWTO
formatting link
descrive esattamente che cosa è necessario costruire una parete refrattaria, specialmente usando Linux. Toolkit della parete refrattaria (FWTK) e carte dalla parete refrattaria ftp://ftp.tis.com/pub/firewalls/ Pubblicazioni relative della parete refrattaria di Marcus Ranum
formatting link
Strumenti di sicurezza dell'università del Texas A&M
formatting link
Pagina delle pareti refrattarie del Internet di progetto del LITORALE
formatting link

3 edizioni di implementazione e di disegno

3.1 Che cosa sono alcune delle decisioni di base di disegno in una parete refrattaria? Ci è un numero di edizioni di base di disegno che dovrebbero essere indirizzate dalla persona fortunata che è stata tasked con la responsabilità di progettazione, di specificare e di effettuare o della sorveglianza dell'installazione di una parete refrattaria.

La prima e maggior parte della decisione importante riflette la politica di come la vostra azienda o organizzazione desidera funzionare il sistema: è sul posto esplicitamente la parete refrattaria per negare tutti i servizi tranne quelle critiche alla missione di collegamento alla rete, o è la parete refrattaria sul posto per fornire un metodo misurato e verificato `` di accesso facente la coda del ''in un modo non-minaccioso? Ci sono gradi di paranoia fra queste posizioni; la posizione finale della vostra parete refrattaria ha potuto essere più il risultato di un politico che una decisione di ingegneria.

Il secondo è: che livello di controllo, la sovrabbondanza e controllo desiderate? Stabilendo il livello accettabile di rischio (cioè, come il paranoid voi è) risolvendo il primo problema, potete formare una lista di controllo di che cosa dovrebbe essere controllato, consentito ed essere negato. Cioè cominciate calcolando verso l'esterno i vostri obiettivi generali ed allora unite avete bisogno dell'analisi con una valutazione di rischio ed ordinate i requisiti quasi sempre stanti in conflitto fuori in una lista della lavanderia che specifica che cosa progettate effettuare.

La terza edizione è finanziaria. Non possiamo richiamare questo qui qualche cosa ma nei termini vaghi, ma è importante da provare misurare tutte le soluzioni proposte in termini di quanto costerà uno per comprare o effettuare. Per l'esempio, un prodotto completo della parete refrattaria può costare fra $100.000 all'alta estremità e libera all'estremità bassa. L'opzione libera, di fare una certa immaginazione che configura su un Cisco o su un router simile non costerà niente ma il tempo del personale e lle poche tazze di caffè. Effettuare un'alta parete refrattaria dell'estremità da zero potrebbe costare parecchi mesi lavorativi, che possono identificare a valore $30.000 dello stipendio e dei benefici del personale. Le spese generali di gestione dei sistemi sono egualmente una considerazione. Lo sviluppo della sede-fermentazione è benissimo, ma esso importante costruirlo così che doesn't richiede l'attenzione costante (e costosa). Importante, in altre parole, valutare le pareti refrattarie non soltanto nei termini di che cosa ora costano, ma nella continuazione costa tali come il supporto.

Dal lato tecnico, ci sono lle coppie delle decisioni da fare, basate sul fatto che per tutti gli scopi pratici che cosa stiamo parlando è un servizio statico di percorso di traffico disposto fra il router del fornitore di servizio della rete e la vostra rete interna. Il servizio di percorso di traffico può essere effettuato ad un livello del IP via qualcosa come le regole della selezione in un router, o ad un livello di applicazione via i Gateway ed i servizi di procura.

La decisione da fare è se disporre una macchina messa a nudo-giù esposta sulla rete esterna per fare funzionare i servizi di procura per il telnet, il ftp, le notizie, ecc., o se installare un router della selezione come filtro, consentendo la comunicazione con una o più macchina interna. Ci sono benefici e svantaggi ad entrambi i metodi, con la macchina di procura che fornisce un livello più grande della verifica e, potenzialmente, la sicurezza nel ritorno per il costo aumentato nella configurazione e una diminuzione nel livello di servizio che può essere fornito (poiché una procura deve essere sviluppata per ogni servizio voluto). La vecchia alternanza fra facilità di uso e sicurezza ritorna frequentarla con un vengeance.

3.2 Che cosa sono i tipi di base di pareti refrattarie? Concettualmente, ci sono tre tipi di pareti refrattarie:

Strato di rete Strato di applicazione Ibridi Non sono differenti come potreste pensare e le ultime tecnologie stanno offuscando la distinzione al punto in cui non è più chiara se uno uno è `` ''migliore o `` più difettoso.'' Come sempre, dovete fare attenzione selezionare il tipo che soddisfa le vostre esigenze.

Quale è quale dipende da che meccanismi la parete refrattaria usa passare il traffico da una zona di sicurezza ad un altro. Il modello internazionale di interconnessione dei sistemi aperti di organizzazione di normalizzazione (iso) (OSI) per rete definisce sette strati, dove ogni strato fornisce i servizi da che `` gli strati di più alto livello del ''dipendono. Nell'ordine dalla parte inferiore, questi strati sono fisici, programmazione dei dati, la rete, il trasporto, la sessione, la presentazione, applicazione.

La cosa importante da riconoscere è che l'a livello più basso il meccanismo di spedizione, meno esame che la parete refrattaria può effettuare. Generalmente parlando, le pareti refrattarie a livello più basso sono più veloci, ma sono più facili da imbrogliare nel fare la cosa errata.

Attualmente, la maggior parte delle pareti refrattarie entrano `` nella categoria ibrida del '', che fanno la rete che filtra così come una certa quantità di controllo di applicazione. L'importo cambia la dipendenza dal fornitore, dal prodotto, dal protocollo e dalla versione, in modo da un certo livello di scavatura e/o di prova è necessario spesso.

3.2.1 Pareti refrattarie di strato di rete Questi prendono generalmente le loro decisioni basate sulla sorgente, sugli indirizzi di destinazione e sulle porte (veda l'appendice 6 per una discussione più dettagliata sulle porte) in diversi pacchetti del IP. Un router semplice è `` la parete refrattaria tradizionale di strato di rete del '', poiché non può da prendere specialmente le decisioni specializzate circa da ché pacchetto realmente sta comunicando con o da dove realmente è venuto. Le pareti refrattarie moderne di strato di rete sono diventato sempre più specializzate ed ora effettuano le informazioni interne sul dichiarare dei collegamenti che passano attraverso loro, sul contenuto di alcuno dei flussi di dati e così via. Una cosa che una distinzione importante circa molte pareti refrattarie di strato di rete è che dirigono direttamente il traffico comunque loro, in modo da ad uso uno dovete avere un blocchetto bene assegnato di indirizzo del IP o usare `` un blocchetto riservato di indirizzo del ''del Internet [5]. Le pareti refrattarie di strato di rete tendono ad essere molto veloci ed a tendere ad essere molto trasparenti agli utenti.

Figura 1: Parete refrattaria Selezionata Ospite

Nella figura 1, una parete refrattaria di strato di rete ha chiamato `` un calcolatore centrale selezionato il ''della parete refrattaria che è rappresentato. In una parete refrattaria selezionata ospite, l'accesso a e da un singolo calcolatore centrale è gestito il per mezzo di un router che funziona ad uno strato di rete. Il singolo calcolatore centrale è un calcolatore centrale del bastion; un forte-punto alto-difeso ed assicurato che (eventualmente) può resistere all'attacco.

Figura 2: Parete refrattaria Selezionata Di Sottorete

Parete refrattaria di strato di rete di esempio: Nella figura 2, una parete refrattaria di strato di rete ha chiamato `` un ''selezionato della parete refrattaria di sottorete è rappresentata. In una parete refrattaria selezionata di sottorete, l'accesso a e da una rete intera è gestito il per mezzo di un router che funziona ad uno strato di rete. È simile ad un calcolatore centrale selezionato, tranne che è, efficacemente, una rete dei calcolatori centrali selezionati.

3.2.2 Pareti refrattarie di strato di applicazione Questi sono generalmente calcolatori centrali che fanno funzionare i server di procura, che non consentono traffico direttamente fra le reti e che realizzano annotare e la verifica elaborate del traffico che passa con loro. Poiché le applicazioni di procura sono componenti di software che funzionano sulla parete refrattaria, è un buon posto per fare i lotti di controllo di accesso ed annotare. Le pareti refrattarie di strato di applicazione possono essere usate come traduttori di indirizzo di rete, poiché il traffico va in uno `` ''laterale e verso l'esterno l'altro, dopo passanti con un'applicazione che maschera efficacemente l'origine del collegamento d'inizio. Avendo un'applicazione nel modo in alcuni casi può avere effetto sulle prestazioni e può rendere la parete refrattaria meno trasparente. Le pareti refrattarie in anticipo di strato di applicazione tali come quelle costruite usando il toolkit della parete refrattaria di TIS, non sono particolarmente trasparenti agli utenti dell'estremità e possono richiedere un certo addestramento. Le pareti refrattarie moderne di strato di applicazione sono spesso completamente trasparenti. Le pareti refrattarie di strato di applicazione tendono a fornire i rapporti di verifica più dettagliati ed a tendere a fare rispettare i modelli più conservatori di sicurezza che le pareti refrattarie di strato di rete.

Figura 3: Si raddoppia Il Gateway Homed

Parete refrattaria di strato di applicazione di esempio: Nella figura

3, una parete refrattaria di strato di applicazione chiamata `` un ''homed doppio del Gateway è rappresentata. Un Gateway homed doppio è un calcolatore centrale altamente assicurato che fa funzionare il software di procura. Ha due interfacce della rete, una su ogni rete ed ostruisce tutto il traffico che passa con esso.

La maggior parte delle pareti refrattarie ora si trovano in qualche luogo fra le pareti refrattarie di strato di rete e le pareti refrattarie di strato di applicazione. Come previsto, le pareti refrattarie di strato di rete hanno `` ''informato sempre più diventato delle informazioni che passano attraverso loro e le pareti refrattarie di strato di applicazione hanno `` ''sempre più diventato del basso livello e trasparenti. Il risultato finale è che ora ci sono sistemi veloci della pacchetto-selezione che libro macchina e dati di verifica come attraversano il sistema. Sempre più, le pareti refrattarie (rete e strato di applicazione) comprendono la crittografia così che possono proteggere il traffico che passa fra loro sopra il Internet. Le pareti refrattarie con la crittografia faccia a faccia possono essere usate dalle organizzazioni con i punti multipli della connettività del Internet per usare il Internet come `` ''riservato della base senza preoccuparsi per i loro dati o parole d'accesso che sono fiutati. (IPSEC, descritto nella parte 2.6, sta svolgendo un ruolo sempre più significativo nella costruzione di tali reti riservate virtuali.)

3.3 Che cosa sono server di procura e come funzionano? Un proxy server (a volte citato come un Gateway o forwarder di applicazione) è un'applicazione che media il traffico fra una rete protetta ed il Internet. Le procure sono usate spesso anziché le discipline del traffico router-basate, per impedire il traffico passare direttamente fra le reti. Molte procure contengono il supplemento che annota o contributo all'autenticazione dell'utente. Poiché le procure devono `` capire il ''il protocollo di applicazione che usando, possono anche effettuare la sicurezza specifica di protocollo (per esempio, una procura del ftp potrebbe essere configurabile consentire il ftp ricevuto ed ostruire il ftp uscente).

I server di procura sono applicazione specifica. Per sostenere un nuovo protocollo via una procura, una procura deve essere sviluppata per esso. Un insieme popolare dei server di procura è il toolkit della parete refrattaria del Internet di TIS (``FWTK '') che include le procure per il telnet, il rlogin, il ftp, le notizie del sistema, di HTTP/Web e di NNTP/Usenet della finestra di X. I CALZINI è un sistema generico di procura che può essere compilato in un'applicazione del cliente-lato per rendergli il lavoro attraverso una parete refrattaria. Il relativo vantaggio è che esso facile usare, ma esso supporto che del doesn't l'aggiunta dell'autenticazione aggancia o di annotare specifico di protocollo. Per le più informazioni sui CALZINI, veda

formatting link

3.4 Che cosa sono alcuni strumenti poco costosi della selezione del pacchetto? Gli strumenti di sicurezza dell'università del Texas A&M includono il software per i routers effettuanti della selezione. Karlbridge è un kit selezionante Pc-basato del router disponibile da ftp://ftp.net.ohio-state.edu/pub/kbridge/.

Ci sono schermi numerosi del pacchetto del nocciolo-livello, compreso ipf, ipfw, ipchains, pfed ipfwadm. Tipicamente, questi sono inclusi in varie implementazioni libere di UNIX, tali come FreeBSD, OpenBSD, NetBSDe Linux. Potreste anche trovare questi strumenti disponibili nella vostra implementazione commerciale di UNIX.

Se you're che vuole ottenerlo alle vostre mani un piccolo sporco, completamente possibile costruire una parete refrattaria sicura e completamente funzionale per il prezzo di hardware ed alcuno del vostro tempo.

3.5 Che cosa sono alcune regole di filtrazione ragionevoli per uno schermo nocciolo-basato del pacchetto? Questo esempio è scritto specificamente per ipfwadm su Linux, ma i principii (e perfino gran parte della sintassi) fa domanda per altre interfacce del nocciolo per la selezione del pacchetto `` sui sistemi aperti di UNIX del ''di sorgente.

Ci sono quattro categorie di base coperte dalle regole del ipfwadm:

- A Contabilità Del Pacchetto - I Parete refrattaria dell'input - O Parete refrattaria dell'uscita - F Parete refrattaria di spedizione il ipfwadm egualmente ha masquerading (-M) possibilità. Per le più informazioni sugli interruttori e sulle opzioni, veda la pagina dell'uomo del ipfwadm.

3.5.1 Implementazione Qui, la nostra organizzazione sta usando (RFC 1918 ) una rete riservata 192.168.1.0 del codice categoria C. Il nostro ISP ci ha assegnato gli indirizzi 201.123.102.32 per l'interfaccia esterna del nostro Gateway e 201.123.102.33 per il nostro server esterno della posta. La politica organizzativa dice:

Permetta tutti i collegamenti uscenti di TCP Permetta lo smtp ricevuto ed il DNS al mail server esterno Ostruisca tutto il altro traffico Il seguente blocco dei comandi può essere disposto in un archivio del caricamento del sistema del sistema (forse rc.local sui sistemi di UNIX).

il ipfwadm - F - ipfwadm di f - F - p nega il ipfwadm - F - i m. - b - P tcp - S 0.0.0.0/0 1024:65535 - ipfwadm 25 - F di D 201.123.102.33 - i m. - b - P tcp - S 0.0.0.0/0 1024:65535 - ipfwadm 53 - F di D 201.123.102.33 - i m. - b - UDP di P - S 0.0.0.0/0 1024:65535 - ipfwadm 53 - F di D 201.123.102.33 - una m. - S 192.168.1.0/24 - D 0.0.0.0/0 - il W eth0 /sbin/route aggiunge - ospita 201.123.102.33 gw 192.168.1.2

3.5.2 Spiegazione La riga una irriga (- f) tutte le regole di spedizione(-F). Riga due insiemi politica di difetto (-p) negare. Le righe da tre a cinque sono regole immesse (-i) nel seguente formato: ipfwadm - F (di andata) - i (input) m. (masq.) - protocol)[protocol di b (bidirezionale ) - P ]- S (source)[subnet/mask ] [ che produce le porte ]- D (destination)[subnet/mask][port ]

La riga sei collega (-a) una regola che consente tutto il IP interno richiama fuori a tutti gli indirizzi esterni su tutti i protocolli, tutte le porte.

La riga otto aggiunge un itinerario in modo che il traffico che va a

201.123.102.33 sia diretto verso l'indirizzo interno 192.168.1.2.

3.6 Che cosa sono alcune regole di filtrazione ragionevoli per un Cisco? L'esempio nella figura 4 mostra una configurazione possibile per usando il Cisco come router di filtrazione. È un campione che mostra l'implementazione come di politica specifica. La vostra politica varierà indubbiamente.

Figura 4: Router Di Filtrazione Del Pacchetto

In questo esempio, un'azienda ha indirizzo di rete del codice categoria C 195.55.55.0. La rete dell'azienda è collegata al Internet via il fornitore di servizio del IP. La politica dell'azienda è di concedere ognuno l'accesso ai servizi del Internet, in modo da tutti i collegamenti uscenti sono accettati. Tutti i collegamenti ricevuti passano attraverso `` mailhost ''. La posta ed il DNS sono soltanto servizi ricevuti.

3.6.1 Implementazione

Permetta tutto il TCP-connections uscente Permetta lo smtp ricevuto ed il DNS a mailhost Permetta i collegamenti di dati ricevuti del ftp all'alta porta di TCP (1024) Provi a proteggere i servizi che vivono sugli alti numeri port Soltanto i pacchetti ricevuti dal Internet sono controllati dentro questa configurazione. Le regole sono esaminate nell'ordine e si arrestano quando la prima corrispondenza è trovata. Ci è un implicito nega la regola all'estremità di una lista di accesso che nega tutto. Questa lista di accesso del IP suppone che state facendo funzionare l'IOS v del Cisco. 10.3 o successivamente.

nessun IP sorgente-dirige! Ethernet dell'interfaccia 0 IP address 195.55.55.1 che nessun IP dirig-ha trasmesso per radio! la pubblicazione periodica 0 dell'interfaccia nessun IP dirig-ha trasmesso per radio il accesso-gruppo 101 del IP dentro! la accesso-lista 101 nega il IP 127.0.0.0 che 0.255.255.255 tutte le accesso-liste 101 negano il IP 10.0.0.0 0.255.255.255 qualunque accesso-liste 101 negano il IP 172.16.0.0 0.15.255.255 tutte le accesso-liste 101 negano il IP 192.168.0.0 0.0.255.255 qualunque accesso-liste 101 rifiutano a IP qualunque 0.0.0.255 255.255.255.0 la accesso-lista 101 rifiuta a IP qualunque 0.0.0.0 255.255.255.0! la accesso-lista 101 rifiuta a IP 195.55.55.0 0.0.0.255 accesso-liste 101 qualsiasi di tcp del permesso affatto stabilito! permesso tcp della accesso-lista 101 qualsiasi permesso tcp della accesso-lista 101 dello smtp del eq ospite 195.55.55.10 qualsiasi UDP del permesso della accesso-lista 101 di dns del eq ospite 195.55.55.10 qualsiasi eq dns ospite 192.55.55.10! la accesso-lista 101 rifiuta a tcp tutta la qualunque gamma 6000 6003 che la accesso-lista 101 rifiuta a tcp tutta la qualunque gamma 2000 2003 accesso-liste 101 negano il tcp tutta la qualunque accesso-lista 2049 del eq 101 rifiuti a UDP a tutto il qualunque eq 2049! permesso tcp della accesso-lista 101 qualsiasi 20 qualsiasi gt 1024! ICMP qualsiasi c'è ne del permesso della accesso-lista 101! riga 0 4 accesso-codici categoria vty 2 del RO 2 della Comunità FOOBAR del SNMP-SERVER nel permesso 195.55.55.0 0.0.0.255 della accesso-lista 2

3.6.2 Spiegazioni Cada tutti i pacchetti sorgente-diretti. Il percorso di sorgente può essere usato per l'indirizzo che spoofing. La goccia ha diretto le radiodiffusioni, che sono usate negli attacchi dello smurf. Se un pacchetto ricevuto sostiene provenire da una rete locale, da una rete di "loopback", o da una rete riservata, cadala. Tutti i pacchetti che fanno parte di TCP-connections già stabilito possono passare attraverso senza più ulteriormente controllare. Tutti i collegamenti ai numeri port bassi sono ostruiti tranne lo smtp ed il DNS. Ostruisca tutti i servizi che ascoltano i collegamenti di TCP sugli alti numeri port. X11 (porta 6000+), OpenWindows (porta 2000+) sono pochi candidati. Il NFS (porta 2049) li fa funzionare il UDP solitamente eccessivo, ma può essere fatto funzionare sopra il TCP, in modo da dovrebbe ostruirlo. I collegamenti ricevuti da porta 20 negli alti numeri port sono supposti per essere collegamenti di dati del ftp. la Accesso-lista 2 limita l'accesso al router in se (telnet & SNMP) Tutto il traffico del UDP è ostruito per proteggere i servizi del RPC 3.6.3 Imperfezioni

Non potete fare rispettare le politiche forti di accesso con le liste di accesso del router. Gli utenti possono installare facilmente i backdoors ai loro sistemi per non ottenere ad eccedenza `` ''ricevuto del telnet o `` regole del ''X11. Egualmente i cracker installano i backdoors del telnet sui sistemi in cui rodaggio.

Potete mai essere sicuri che servizio ascoltare i collegamenti sugli alti numeri port. (can't siete sicuri di che servizio ascoltare i collegamenti sui numeri port bassi, uno, particolarmente negli ambienti altamente decentralizzati in cui la gente può mettere le loro proprie macchine sulla rete o dove possono ottenere l'accesso amministrativo alle loro proprie macchine.)

Il controllo della porta di sorgente sui collegamenti di dati ricevuti del ftp è un metodo debole di sicurezza. Egualmente rompe l'accesso ad alcuni luoghi del ftp. Fa l'uso del servizio più difficile per gli utenti senza impedire ai tipi difettosi di esplorare i vostri sistemi. Uso a meno versione 9.21 del Cisco così potete filtrare i pacchetti ricevuti e controllare per vedere se c'è l'indirizzo che spoofing. Ancora migliora per usare 10.3, dove ottenete alcune caratteristiche supplementari (come la filtrazione sulla porta di sorgente) ed alcuni miglioramenti su sintassi del filtro.

Avete ancora pochi modi rendere la vostra messa a punto più forte. Ostruisca tutto il TCP-connections ricevuto e dica agli utenti di usare i clienti passivo-Ftp. Potete anche ostruire il ICMP uscente eco-rispondete e messaggi destinazione-destination-unreachable per nascondere la vostra rete e per impedire l'uso dei dispositivi d'esplorazione della rete. L'uso di Cisco.com avere un archivio degli esempi per la costruzione delle pareti refrattarie per mezzo dei routers del Cisco, ma esso doesn't sembrerà essere in linea più. Ci sono alcune note sulle liste di controllo di accesso del Cisco, a minimi, a ftp://ftp.cisco.com/pub/mibs/app_notes/access-lists.

3.7 Che cosa sono le risorse critiche in una parete refrattaria? Esso importante capire le risorse critiche della vostra architettura della parete refrattaria, in modo da quando fate la pianificazione di capienza, le ottimizzazioni di prestazioni, ecc., voi sanno esattamente che cosa dovete fare e molto voi deve farlo nell'ordine per ottenere il risultato voluto.

Che cosa le risorse critiche della parete refrattaria sono esattamente tende a variare dal luogo al luogo, dipendendo dall'ordinamento di traffico che carica il sistema. Qualche gente pensa che il they'll possa automaticamente aumentare il rendimento di dati della loro parete refrattaria mettendo in una casella con un CPU più veloce, o un altro CPU, quando questo isn't necessariamente il caso. Potenzialmente, questo potrebbe essere un grande spreco di soldi che il doesn't fa qualche cosa risolvere il problema alla mano o fornire lo scalability previsto.

Sui sistemi occupati, la memoria è estremamente importante. Avete avere abbastanza RAM per sostenere ogni caso di ogni programma necessario per assistere il carico disposto su quella macchina. Altrimenti, la permutazione cominci ed il rendimento si arresterà. La permutazione chiara non è solitamente molta di un problema, ma se lo spazio di scambio del sistema comincia ad ottenere occupato, quindi di esso è solitamente tempo per più RAM. Un sistema che pesante permutazione è spesso relativamente facile da spingere sopra il bordo in un attacco di smentita-de-servizio, o cade semplicemente dietro nell'elaborare il carico disposto su esso. Ciò è dove il email lungo fa ritardare l'inizio.

Oltre il requisito del sistema della memoria, è utile capire che i servizi differenti usano le risorse di sistema differenti. Così la configurazione che avete per il vostro sistema dovrebbe essere indicativa del genere di carico che progettate assistere. Un isn't del processor da

1400 megahertz che va farli molta merce se tutto il fare del you're è Netnews e posta e sta provando a farlo su un disco di ido con un regolatore di ISA.

Tabella 1: Risorse critiche per i servizi della parete refrattaria Servizio Risorsa Critica Email Disco I/O Netnews Disco I/O Web Prestazioni Dello Zoccolo di OS Ospite Percorso del IP Prestazioni Dello Zoccolo di OS Ospite Nascondiglio Di Web Prestazioni Dello Zoccolo di OS Ospite, Disco I/O

3.8 Che cosa è un DMZ e perchè io desidera uno? Back to Top FAQ della parete refrattaria in italiano 3 `` il ''di DMZ è un'abbreviazione per `` la zona demilitarized ''. Nel contesto delle pareti refrattarie, questo si riferisce ad una parte della rete che fa parte nè della rete interna nè direttamente parte del Internet. Tipicamente, questa è la zona fra il vostro router di accesso del Internet ed il vostro calcolatore centrale del bastion, benchè possa essere fra tutti i due componenti politica-facenti rispettare della vostra architettura.

Un DMZ può essere creato mettendo le liste di controllo di accesso sul vostro router di accesso. Ciò minimizza l'esposizione dei calcolatori centrali sulla vostra lan esterna dai servizi soltanto riconosciuti e gestiti concedere di quei calcolatori centrali per essere accessibile dai calcolatori centrali sul Internet. Molte pareti refrattarie commerciali fanno semplicemente una terza interfaccia fuori del calcolatore centrale del bastion e la identificano il DMZ, il punto è che la rete è nè `` ''nè `` parte esterna 'della parte interna '.

Per l'esempio, un server di Web che funziona sul NT ha potuto essere vulnerabile ad un numero di attacchi di smentita-de-servizio contro tali servizi come il RPC, NetBIOS e SMB. Questi servizi non sono richiesti per il funzionamento di un server di Web, così ostruente i collegamenti di TCP alle porte 135, 137, 138 e 139 su quel calcolatore centrale ridurranno l'esposizione ad un attacco di smentita-de-servizio. Nel fatto, se ostruite tutto ma il traffico del HTTP a quel calcolatore centrale, un attacker avrà soltanto un servizio da attacare.

Ciò illustra un principio importante: mai i attackers di offerta più da funzionare con assolutamente da sostenere i servizi desiderano offrire il pubblico.

3.9 Come potrei aumentare la sicurezza e lo scalability del mio DMZ? Un metodo comune per un attacker deve rompersi in un calcolatore centrale che vulnerabile all'attacco ed ai rapporti di fiducia di impresa fra il calcolatore centrale vulnerabile e gli obiettivi più interessanti.

Se state facendo funzionare un numero di servizi che hanno livelli differenti di sicurezza, potreste desiderare studiare la possibilità di rompere il vostro DMZ in parecchie `` zone di sicurezza '. Ciò può essere fatta avendo un certo numero di reti differenti all'interno del DMZ. Per l'esempio, il router di accesso ha potuto alimentare due Ethernets, entrambi protetti da ACLs e quindi nel DMZ.

Su uno del Ethernets, potreste avere calcolatori centrali di cui lo scopo è assistere l'esigenza della vostra organizzazione della connettività del Internet. Questi probabilmente trasmetteranno la posta, le notizie ed il calcolatore centrale DNS. Sull'altra Ethernet potrebbero essere il vostro server(s) di Web ed altri calcolatori centrali che forniscono i servizi a favore degli utenti del Internet.

In molte organizzazioni, i servizi per gli utenti del Internet tendono ad essere custoditi meno con attenzione e sono più probabili fare le cose insicure. (per l'esempio, nel caso di un server di Web, unauthenticated ed untrusted gli utenti potrebbe fare funzionare il cgi, PHP, o altri programmi eseguibili. Ciò potrebbe essere ragionevole per il vostro server di Web, ma porta con esso un determinato insieme dei rischi che devono essere gestiti. Per un'organizzazione è probabile questi servizi è troppo rischioso farli funzionare su un calcolatore centrale del bastion, in cui slitti -in su può provocare il guasto completo dei meccanismi di sicurezza.)

Unendo i calcolatori centrali con i livelli simili del rischio sulle reti nel DMZ, potete contribuire a minimizzare l'effetto di un rodaggio al vostro luogo. Se qualcuno si rompe nel vostro server di Web sfruttando un certo insetto in vostro server di Web, il they'll non potere usarlo come punto di lancio per rompersi nella vostra rete riservata se i server di Web sono su una lan separata dai calcolatori centrali del bastion e voi don't hanno tutti i rapporti di fiducia fra il server di Web ed il calcolatore centrale del bastion.

Ora, tenga presente che questa è Ethernet. Se qualcuno si rompe nel vostro web server ed il vostro bastion host è su stessa Ethernet, un attacker può installare una ventosa sul vostro web server e guarda il traffico a e da il vostro bastion host. Ciò potrebbe rivelare le cose che possono essere usate per rompersi nel calcolatore centrale del bastion e per guadagnare l'accesso alla rete interna. (Ethernet passata può ridurre la vostra esposizione a questo genere di problema, ma non lo eliminerà.)

Servizi spaccanti in su non soltanto dal calcolatore centrale, ma la rete e limitando il livello di fiducia fra i calcolatori centrali su quelle reti, potete notevolmente ridurre la probabilità di un rodaggio su un calcolatore centrale che usando rompersi nell'altro. Dichiarato brevemente: rompendosi nel web server in questo caso non lo renderà affatto più facile rompersi nel bastion host.

Potete anche aumentare lo scalability della vostra architettura disponendo i calcolatori centrali sulle reti differenti. Poco macchine ci è di ripartire la larghezza di banda disponibile, più larghezza di banda ciascuno otterrà.

3.10 Che cosa è un singolo punto del ` di guasto 'e come io evita di avere uno? Un'architettura di cui la sicurezza munisce un meccanismo ha un singolo punto di guasto. Il software che fa funzionare i calcolatori centrali del bastion ha insetti. Le applicazioni hanno insetti. Il software che gestisce i routers ha insetti. Ha il significato usare tutti questi componenti per sviluppare una rete saldamente progettata e per usarli nei modi ridondanti.

Se la vostra architettura della parete refrattaria è una sottorete selezionata, avete due routers di filtrazione del pacchetto e un calcolatore centrale del bastion. (veda la domanda 3.2 da questa sezione.) Il vostro router di accesso del Internet non consentirà il traffico dal Internet di entrare tutto il modo nella vostra rete riservata. Tuttavia, se don't fate rispettare che regola con qualunque altri meccanismi sul router ospite e/o della bobina d'arresto del bastion, solo un componente della vostra architettura deve venire a mancare o compromettersi nell'ordine per ottenere all'interno. Sull'altra mano, se avete una regola ridondante sul calcolatore centrale del bastion ed ancora sul router della bobina d'arresto, un attacker dovrà sconfiggere tre meccanismi.

Più ulteriormente, se il calcolatore centrale del bastion o il router della bobina d'arresto deve invocare la relativa regola per ostruire l'accesso esterno alla rete interna, potreste desiderare farla fare scattare l'allarme di un certo ordinamento, poiché sapete che qualcuno ha ottenuto tramite il vostro router di accesso.

3.11 Come posso ostruire tutto il roba difettoso? Per le pareti refrattarie in cui l'enfasi è su sicurezza anziché la connettività, dovreste studiare la possibilità di ostruire tutto per il difetto e soltanto specificamente di permettere che servizi avete bisogno su una base del contenitore-da-contenitore.

Se ostruite tutto, a meno che un insieme specifico dei servizi, allora you've già reso al vostro lavoro molto più facile. Invece di avere preoccupare per ogni problema di sicurezza con tutto il prodotto ed il servizio intorno, dovete soltanto preoccuparsi per ogni problema di sicurezza con un insieme specifico dei servizi e dei prodotti.

Prima della rotazione su un servizio, dovreste considerare una coppia delle domande:

È il protocollo per questo prodotto un protocollo ben noto e pubblicato? È il servizio di applicazione questo protocollo disponibile per controllo pubblico della relativa implementazione? Quanto il pozzo conosciuto è il servizio ed il prodotto? Come permettendo questo servizio cambia l'architettura della parete refrattaria? Un attacker vedrà diversamente le cose? Potrebbe essere sfruttata per ottenere alla mia rete interna, o per cambiare le cose sui calcolatori centrali nel mio DMZ? Quando tenendo conto di suddette domande, tenga quanto segue presente:

`` la sicurezza attraverso il ''di obscurity è sicurezza affatto. I protocolli non pubblicati sono stati esaminati dai tipi difettosi e sono stati sconfitti. Malgrado che cosa i rappresentanti di vendita dicono, non ogni protocollo o servizio è progettato con sicurezza in mente. Infatti, il numero che è è molto poco. Anche nei casi in cui la sicurezza è una considerazione, non tutte le organizzazioni hanno personale competente di sicurezza. Fra coloro che non, non tutti sono disposti ad introdurre un consulente competente nel progetto. Il risultato finale è quello altrimenti-competente, sviluppatori bene-progettati può progettare i sistemi insicuri. Di meno un fornitore è disposto a dirvi che a questo proposito come il loro sistema realmente funziona, più probabile è che i problemi altra o (di sicurezza) esiste. Soltanto i fornitori con qualcosa nascondersi hanno un motivo nascondere i loro disegni ed implementazioni [2].

3.12 Come posso limitare l'accesso di Web in modo da gli utenti non possono osservare i luoghi indipendenti per lavorare? Alcuni anni fa, qualcuno ha ottenuto l'idea che è una buona idea ostruire `` i luoghi difettosi di Web del '', cioè, quelli che contengono il materiale quel l'azienda osservano `` inadeguato ''. L'idea sta aumentando di popolarità, ma ci sono parecchie cose da considerare quando pensa ad effettuare tali comandi nella vostra parete refrattaria.

Non è possibile praticamente ostruire tutto che un datore di lavoro ritenga `` inadeguato ''. Il Internet è pieno di ogni ordinamento di materiale. Ostruire una sorgente riorienterà soltanto il traffico ad un'altra sorgente di tale materiale, o induca qualcuno a calcolare un modo intorno al blocco. La maggior parte delle organizzazioni non hanno uno standard per giudicare la convenienza di materiale che i loro impiegati portano per funzionare, per esempio, i libri e gli scomparti. Controllate tutto briefcase per `` ''materiale inadeguato ogni giorno? Se non, quindi perchè controllereste ogni pacchetto per `` materiale inadeguato ''? Tutte le decisioni seguendo quelle righe in una tal organizzazione saranno arbitrarie. Tentando di intraprendere azione disciplinare contro un impiegato in cui l'unico standard è tipico isn't arbitrario saggio, per i motivi bene oltre la portata di questo documento. I prodotti che realizzano luogo-ostruire, commerciali ed al contrario, sono in genere facili da aggirare. Hostnames può essere riscritto come indirizzi del IP. Gli indirizzi del IP possono essere scritti come valore

32-bit di numero intero, o come quattro numeri interi 8-bit (la forma più comune). Altre possibilità esistono, anche. I collegamenti possono essere proxied. I Web pagi possono essere prelevati via il email. Non potete ostruirli tutti. Lo sforzo che spendere provare ad effettuare e gestire tali comandi quasi certamente lontano eccederà tutto il livello di controllo di danni che state sperando di avere. Il regola-de-pollice da ricordarsi di qui è che non potete risolvere i problemi sociali con tecnologia. Se ci è un problema con qualcuno che va `` ad un luogo inadeguato di Web del '', quello è perché qualcuno altrimenti lo ha visto ed è stato offenduto da che cosa ha visto, o perché rendimento di quella persona è sotto le aspettative. In il uno o il altro caso, quelli sono argomenti per l'ufficio del personale, non l'amministratore della parete refrattaria.

4 Vari Attacchi

4.1 Che cosa è traffico diretto sorgente e perchè è esso una minaccia? Normalmente, l'itinerario che un pacchetto prende dalla relativa sorgente alla relativa destinazione è determinato dai routers fra la sorgente e la destinazione. Il pacchetto in se dice soltanto dove desidera andare (l'indirizzo di destinazione) e niente circa come pensa ottenere là.

Ci è un modo facoltativo per il trasmettitore di un pacchetto (la sorgente) includere le informazioni nel pacchetto che dice all'itinerario ch'il pacchetto dovrebbe prendere per ottenere alla relativa destinazione; così `` il percorso nome di sorgente ''. Per una parete refrattaria, il percorso di sorgente è considerevole, poiché un attacker può generare il traffico che sostiene provenire ''della parte interna dal sistema `` la parete refrattaria. In generale, tale itinerario del wouldn't di traffico alla parete refrattaria correttamente, ma con l'opzione di percorso di sorgente, tutti i routers fra la macchina del attacker e l'obiettivo restituirà il traffico lungo il percorso d'inversione dell'itinerario di sorgente. Effettuare un tal attacco è abbastanza facile; così i costruttori della parete refrattaria non dovrebbero scontarli come improbabile accadere.

Nella pratica, il percorso di sorgente pochissimo è usato. Nel fatto, l'uso legittimo principale è generalmente dirigere o nei problemi della rete mettere a punto i collegamenti specifici dell'eccedenza di traffico per controllo di congestione per le situazioni specializzate. Nel costruire una parete refrattaria, il percorso di sorgente dovrebbe essere ostruito ad un certo punto. La maggior parte dei routers commerciali comprendono la capacità di ostruire il percorso di sorgente specificamente e molte versioni di UNIX che potrebbero essere usate per sviluppare i calcolatori centrali del bastion della parete refrattaria hanno la capacità di inabilitare o ignorare il traffico diretto sorgente.

4.2 Che cosa sono ICMP riorientano e riorientano le bombe? Un ICMP riorienta dice al sistema recettivo di escludere qualcosa in relativa tabella di percorso. È usato legittimamente dai routers per dire a calcolatori centrali a che il calcolatore centrale stia usando un non-ottimale o l'itinerario defunct ad una destinazione particolare, cioè, il calcolatore centrale sta trasmettendola al router errato. Il router errato trasmette la parte posteriore che ospite un ICMP riorienta il pacchetto che dice al calcolatore centrale a che cosa l'itinerario corretto dovrebbe essere. Se potete forgiare il ICMP riorienti i pacchetti e se il vostro calcolatore centrale dell'obiettivo presta loro l'attenzione, potete alterare le tabelle di percorso sul calcolatore centrale e possibilmente subvert la sicurezza del calcolatore centrale inducendo traffico a fluire via un percorso che il didn't del gestore di rete intende. Il ICMP riorienta anche può essere impiegato per la smentita degli attacchi di servizio, dove un calcolatore centrale è trasmesso ad un itinerario che lo perde la connettività, o lo è trasmesso ad un pacchetto unreachable della rete del ICMP che dice a che possa nessun accesso più lungo una rete particolare.

Molti costruttori della parete refrattaria selezionano il traffico del ICMP dalla loro rete, da esso limita la capacità degli stranieri di fare un rumore metallico calcolatori centrali, o modificano le loro tabelle di percorso.

Prima che decidiate ostruire tutti i pacchetti del ICMP, dovreste essere informati di come il protocollo di TCP `` ''di scoperta del MTU del percorso, accertarsi che voi la connettività della rottura del don't ad altri luoghi. Se can't lo ostruite sicuro dappertutto, potete studiare la possibilità di permettere i tipi selezionati di ICMP ai dispositivi dirigenti selezionati. Se blocchetto del don't esso, voi a minimi vi accertate che il vostro don't ospiti e dei routers risponda ai pacchetti di rumore metallico di radiodiffusione.

4.3 Che cosa circa la smentita di servizio? La smentita di servizio è quando qualcuno decide rendere la vostra rete o parete refrattaria inutile interrompendola, arrestandola, inceppando esso, o il flooding esso. Il problema con la smentita di servizio del Internet è che è impossible evitare. Il motivo ha fare con la natura distribuita della rete: ogni vertice di rete è collegato via altre reti che alla girata collegano ad altre reti, ecc. Un amministratore della parete refrattaria o un ISP ha soltanto controllo di un poco degli elementi locali all'interno dell'estensione. Un attacker può interrompere sempre ''verso l'alto del collegamento `` da dove la vittima lo gestisce. In altre parole, se qualcuno desiderasse prendere una rete fuori dell'aria, potrebbe farlo o prendendo la rete fuori dell'aria, o prendendo alle reti collega fuori dell'aria, infinitum dell'annuncio. Ci sono molti, molti, modi che qualcuno può negare il servizio, variante dal complesso alla animale-forza insignificante. Se state considerando usando il Internet per un servizio che è assolutamente tempo o missione critica, dovreste considerare la vostra posizione di ripiego nell'evento che la rete è giù o danneggiato.

Il servizio di eco del UDP di TCP/IP's è abusato banalmente per convincere due server per sommergere un segmento della rete dai pacchetti di eco. Dovreste studiare la possibilità di commentare verso l'esterno le entrate inutilizzate in /etc/inetd.conf dei calcolatori centrali di UNIX, aggiungendo no ip small-servers ai routers del Cisco, o l'equivalente per i vostri componenti.

4.4 Che cosa sono alcuni attacchi comuni e come possono io proteggere il mio sistema contro di loro? Ogni luogo è poco un differente da ogni altro in termini di che attacchi sono probabili essere usati contro di esso. Alcuni temi di ricorso presentano, comunque.

4.4.1 Server dello Smtp Che Dirotta (Trasmissione Non autorizzata) Ciò è dove uno spammer prenderà molte migliaia delle copie di un messaggio e le trasmetterà ad una lista enorme degli indirizzi del email. Poiché queste liste sono spesso così difettose e nell'ordine aumentare la velocità del funzionamento per lo spammer, molte hanno ricorso semplicemente a trasmettere tutta la loro posta ad un server dello smtp che prenderà la cura realmente di trasporto della posta.

Del corso, tutti i rimbalzi, i reclami dello Spam, la posta di avversione ed il fotoricettore difettoso vengono per il luogo che è stato usato come relè. Ci è un costo molto reale connesso con questo, principalmente nel pagamento della gente per pulire in seguito il mess.

L'iniziativa 2 di sicurezza di trasportodel sistema1 di prevenzione di abusodella postaeffettua una descrizione completa del problema e come configurare circa ogni bollettino sul pianeta per proteggere da questo attacco.

4.4.2 Sfruttamento degli insetti nelle applicazioni Le varie versioni dei server di Web, dei server della posta e dell'altro software di servizio del Internet contengono gli insetti che permettono che gli utenti a distanza (del Internet) facciano le cose che variano dal controllo di guadagno della macchina a fare quell'arresto di applicazione ed appena circa tutto dentro in mezzo.

L'esposizione a questo rischio può essere ridotta il funzionamento soltanto dei servizi necessari, sostenendo datare sulle zone ed usando i prodotti che hanno avuti luogo intorno ad un istante.

4.4.3 Insetti nei sistemi operativi Di nuovo, questi sono iniziati tipicamente a distanza dagli utenti. I sistemi operativi che sono relativamente nuovi alla rete del IP tendono ad essere più problematici, come sistemi operativi più maturi hanno avuti tempo di trovare ed eliminare i loro insetti. Un attacker può fare spesso continuamente il reboot dell'apparecchiatura dell'obiettivo, arrestare, perdere la capacità di comunicare con rete, o di sostituire gli archivi sulla macchina.

Qui, funzionando come pochi servizi del sistema operativo come aiuto possibile della latta. Inoltre, avere un filtro del pacchetto nella parte anteriore del sistema operativo può ridurre l'esposizione ad un grande numero di questi tipi di attacchi.

E, del corso, chosing un sistema operativo stabile aiuterà qui anche. Nel selezionare un OS, il don't è imbrogliato nel credere quello `` il più pricier, il migliore ''. I sistemi operativi liberi sono spesso molto più robusti delle loro controparti commerciali

5 Come La I...

5.1 Realmente desidero concedere tutto che i miei utenti chiedano? È interamente possibile che la risposta è `` nessuna ''. Ogni luogo ha relative proprie politiche circa che cosa è e non è necessario, ma è importante ricordarsi di che una grande parte del lavoro di essere portiere dell'organizzazione è formazione. Gli utenti desiderano il video effluente, chiacchierata in tempo reale e potere offrire i servizi ai clienti esterni che richiedono l'interazione con le basi di dati in tensione sulla rete interna.

Quella media del doesn't che c'è ne di queste cose possono essere fatte senza presentare più rischio all'organizzazione che `` il ''presunto di valore di parte anteriore giù quella strada è valore. La maggior parte del don't degli utenti desidera mettere la loro organizzazione al rischio. Leggono appena i panni commerciali, vedono le pubblicità e desiderano fare quelle cose, anche. È importante da esaminare che cosa è che realmente desiderano fare ed aiutarle a capire come potrebbero potere compire il loro obiettivo reale in un modo più sicuro.

Won't siete sempre popolari e potreste persino trovarsi che siete dati il senso per fare qualcosa incredibilmente stupido, come `` appena vi aprite sul foo delle porte attraverso la barra ''. Se quello accade, preoccupazione del don't a questo proposito. Sarebbe saggio mantenere tutti i vostri scambi su un tal evento così che quando un kiddie dello scritto 12-year-old rodaggio, il you'll a minimi può separarsi dal mess di tutto.

5.2 _ come io fa Web/HTTP lavoro attraverso mio parete? Ci sono tre modi farlo.

Permetta `` i collegamenti stabiliti del ''fuori via un router, se state utilizzando i routers della selezione. Usi un cliente di Web che sostiene i CALZINI e faccia funzionare i CALZINI sul vostro calcolatore centrale del bastion. Faccia funzionare un certo genere di server procura-capace di Web sul calcolatore centrale del bastion. Alcune opzioni includono il calamaro3, Apache4, la procura 5del Netscapeed il HTTP-HTTP-GW dal toolkit della parete refrattaria di TIS. La maggior parte di questi della latta procura anche altri protocolli (tali come il Gopher e ftp) e possono nascondere gli oggetti prelevati, che egualmente provocheranno tipicamente una spinta di prestazioni per gli utenti e l'uso più efficiente del vostro collegamento al Internet. Essenzialmente tutti i clienti di Web (Mozilla, Internet Explorer, lynx, ecc.) sviluppi il supporto di proxy server direttamente in loro.

5.3 Come faccio funzionare lo SSL attraverso la parete refrattaria? Lo SSL è un protocollo che permette i collegamenti sicuri attraverso il Internet. Tipicamente, lo SSL è usato per proteggere il traffico del HTTP. Tuttavia, altri protocolli (tali come telnet) possono funzionare in cima allo SSL.

Permettere lo SSL attraverso la vostra parete refrattaria può essere fatto lo stesso modo che permettereste il traffico del HTTP, se esso HTTP che you're usando SSL per fissare, che è solitamente allineare. L'unica differenza è quella preferibilmente di usando qualcosa che trasmetta semplicemente il HTTP, bisogno del you'll qualcosa che possa scavare una galleria lo SSL. Ciò è una caratteristica presente sulla maggior parte dei nascondigli dell'oggetto di Web.

Potete scoprire più circa lo SSL da Netscape6.

5.4 Come faccio il lavoro di DNS con una parete refrattaria? Alcune organizzazioni desiderano nascondere i nomi di DNS dalla parte esterna. Don't di molti esperti pensa che che nasconde il DNS i nomi sia utile, ma se la politica di site/corporate affida i nomi in mandato nascondentesi di settore, questo è un metodo che è conosciuto per funzionare. Un altro motivo che potete dovere per nascondere i nomi di settore è se avete uno schema di richiamo non standard sulla vostra rete interna. In quel caso, non avete scelta ma nascondere quegli indirizzi. Non si imbrogli nel pensare quello se i vostri nomi di DNS sono nascosti che ritarderà un attacker giù molto se si rompono nella vostra parete refrattaria. Le informazioni su che cosa sono sulla vostra rete sono spigolate troppo facilmente dallo strato in se della rete. Se desiderate una dimostrazione interessante di questo, fa un rumore metallico l'indirizzo di radiodiffusione di sottorete sulla vostra lan ed allora fa `` un arp - ''del ` a. Noti egualmente quello nomi nascondentesi nel doesn't di DNS richiamano il problema ''di fuoriuscita di nomi ospite `` fuori nelle intestazioni della posta, negli articoli di notizie, ecc.

Questo metodo è uno di molti ed è utile per le organizzazioni che desiderano nascondere i loro nomi ospite dal Internet. Il successo di questo metodo si trova sul fatto che i clienti di DNS su un don't della macchina hanno comunicare con server di DNS su quella stessa macchina. In altre parole, appena perché là un server di DNS su una macchina, là niente male con (e ci sono spesso vantaggi) il nuovo orientamento dell'attività del cliente di DNS di quella macchina ad un server di DNS su un'altra macchina.

In primo luogo, installate un server di DNS sul calcolatore centrale del bastion che il mondo esterno può comunicare con. Installate questo server così che sostiene essere autorevole per i vostri settori. Infatti, tutto questo server sa è che cosa desiderate il mondo esterno conoscere; i nomi e gli indirizzi dei vostri Gateway, i vostri record del MX del metacarattere, e così via. Ciò è `` il server pubblico del ''.

Allora, avete installato un server di DNS su una macchina interna. Questo server egualmente sostiene essere autorevole per i vostri settori; diverso del server pubblico, questo sta dicendo alla verità. Ciò è il vostro `` nameserver normale del '', in cui mettete tutto il vostro `` roba normale di DNS del ''. Egualmente avete installato questo server per spedire le domande che esso risoluzione del can't al server pubblico (che usando una riga `` dei forwarders 'in /etc/named.boot su una macchina di UNIX, per l'esempio).

Per concludere, avete installato tutti i vostri clienti di DNS ( l'archivio di /etc/resolv.conf su una casella di UNIX, per il caso), compreso quei sulla macchina con il server pubblico, per utilizzare il server interno. Ciò è il tasto.

Un cliente interno che chiede notizie su un calcolatore centrale interno chiede il server interno ed ottiene una risposta; un cliente interno che chiede notizie su un calcolatore centrale esterno chiede il server interno, che chiede il server pubblico, che chiede il Internet e la risposta si trasmette indietro. Un cliente sul server pubblico lavora appena lo stesso modo. Un cliente esterno, tuttavia, chiedente notizie su un calcolatore centrale interno ottiene indietro `` la risposta limitata del ''dal server pubblico.

Questo metodo suppone che là una parete refrattaria di filtrazione del pacchetto fra questi due server che li permetteranno di comunicare il DNS con ogni altro, ma limita al contrario il DNS fra altri calcolatori centrali.

Un altro trucco che utile in questo schema è impiegare i record dello stampante del metacarattere nei vostri settori di IN-ADDR.ARPA. Questi causano una consultazione di richiam-$$$-NOME per c'è ne dei vostri calcolatori centrali non pubblici a ritorno qualcosa come `` il ''di unknown.YOUR.DOMAIN piuttosto che un errore. Ciò soddisfa i luoghi anonimi del ftp come ftp.uu.net che insistono su avere un nome per le macchine comunicano con. Ciò può venire a mancare quando comunica con luoghi che fanno un cross-check di DNS in cui il nome ospite è abbinato contro il relativi indirizzo e versa vice.

5.5 Come faccio funzionare il ftp attraverso la mia parete refrattaria? Generalmente, fare funzionare il ftp attraverso la parete refrattaria è fatto usando un proxy server quale il ftp-ftp-gw del toolkit della parete refrattaria o consentendo i collegamenti ricevuti alla rete ad una gamma port limitata ed al contrario limitando i collegamenti ricevuti usando qualcosa come `` le regole stabilite della selezione del ''. Il cliente del ftp allora è modificato per legare la porta di dati ad una porta all'interno di quella gamma. Ciò richiede potere modificare l'applicazione del cliente del ftp sui calcolatori centrali interni.

In alcuni casi, se i trasferimenti dal sistema centrale verso i satelliti del ftp sono tutti desiderate sostenere, potreste desiderare studiare la possibilità di dichiarare il ftp `` un ''guasto di protocollo e lasciandoli gli utenti trasferiscono gli archivi dal sistema centrale verso i satelliti via il Web preferibilmente. L'interfaccia di utente certamente è più piacevole ed ottiene intorno al problema ugly della porta di chiamata ripetuta. Se scegliete il metodo di Ftp-via-Web, i vostri utenti non potranno agli archivi del ftp fuori, che, dipendendo da che cosa state provando a compire, possono essere un problema.

Un metodo differente deve usare opzione del ''di PASV del ftp `` per indicare che il server a distanza del ftp dovrebbe permettere al cliente di iniziare i collegamenti. Il metodo di PASV suppone che il server del ftp sui supporti del sistema a distanza che funzionamento. (Veda `` Il ''Parete-Amichevole del Ftp [1].)

Altri luoghi preferiscono sviluppare le versioni del cliente del programma del ftp che sono collegate contro una libreria dei CALZINI.

5.6 Come faccio funzionare il telnet attraverso la mia parete refrattaria? Il telnet è sostenuto generalmente usando una procura di applicazione quale il tn-tn-gw del toolkit della parete refrattaria, o semplicemente configurando un router per consentire i collegamenti uscenti usando qualcosa come `` le regole stabilite della selezione del ''. Le procure di applicazione hanno potuto essere nella forma di una procura autonoma che funziona sul calcolatore centrale del bastion, o nella forma di un server dei CALZINI e di un cliente modificato.

5.7 Come faccio funzionare la barretta ed il WHOIS attraverso la mia parete refrattaria? Molti admins della parete refrattaria consentono i collegamenti alla porta della barretta soltanto dalle macchine di fiducia, cui può pubblicare le richieste della barretta sotto forma di: barretta snipped-for-privacy@host.domain@firewall. Questo metodo funziona soltanto con la versione standard di UNIX della barretta. L'accesso gestente ai servizi ed a limitarli alle macchine specifiche è gestito usando i tcp_wrappers o il netacl dal toolkit della parete refrattaria. Questo metodo non lavorerà a tutti i sistemi, poiché alcuni server della barretta non consentono la diteggiatura del user@host@host.

Molte richieste inbound della barretta del blocchetto dei luoghi per una varietà di motivi, primo essere oltre gli insetti di sicurezza nel server della barretta (la vite senza fine del Internet di Morris ha reso questi insetti famosi) ed il rischio di informazioni riservate o sensibili che sono rivelate nelle informazioni della barretta dell'utente. In generale, tuttavia, se i vostri utenti accustomed a mettere le informazioni riservate o sensibili nei loro archivi del plan, avete un problema più serio di sicurezza che appena una parete refrattaria può risolvere.

5.8 Come faccio il Gopher, archie ed altri servizi funzionano attraverso la mia parete refrattaria? La maggior parte degli amministratori della parete refrattaria sceglie sostenere il Gopher ed il archie con le procure di Web, anziché direttamente. Procure tali come le domande del convertito gopher/gopher+ di HTTP-HTTP-GW del toolkit della parete refrattaria nel HTML e nel versa vice. Per il sostegno il archie e delle altre domande, molti luoghi contano Web-$$$-ARCHIE sui server Internet-basati, tale come ArchiePlex. La tendenza del Web fare tutto sull'assomigli del Internet ad un servizio di Web è sia un blessing che un curse.

Ci sono molti nuovi servizi che potano costantemente in su. Sono spesso misdesigned o non sono progettati con sicurezza in mente ed i loro progettisti cheerfully vi diranno se desiderate usarli che voi il bisogno lasciasse la porta xxx tramite il vostro router. Purtroppo, non tutto può fare quello ed in modo da un certo numero di nuovi giocattoli interessanti sono difficili da usare per la gente dietro le pareti refrattarie. Le cose gradiscono RealAudio, che richiedono l'accesso diretto del UDP, sono specialmente esempi egregious. La cosa da tenere a mente se vi trovate stato minacciato da uno di questi problemi è di scoprire tanto come potete circa i rischi di sicurezza che il servizio può presentare, prima che lo permettiate appena attraverso. È abbastanza possibile il servizio non ha implicazioni di sicurezza. È ugualmente possibile che ha fori che non scoperti potreste condurre un camion attraverso.

5.9 Che cosa sono le edizioni circa X11 attraverso una parete refrattaria? Il sistema di X Windows è un sistema molto utile, ma purtroppo ha alcuni difetti di sicurezza importanti. Sistemi a distanza che possono guadagnare o accesso dello spoof alla visualizzazione di X11 della stazione di lavoro può controllare le battiture in che un utente entra, copie di trasferimento dal sistema centrale verso i satelliti del contenuto delle loro finestre, ecc.

Mentre i tentativi sono stati fatti di sormontarli (biscotto `` magico 'per esempio, del MIT ') è ancora interamente troppo facile affinchè un attacker interferisca con la visualizzazione di X11 dell'utente. La maggior parte delle pareti refrattarie ostruiscono tutto il traffico X11. Alcuni consentono il traffico X11 con le procure di applicazione quale la procura della DEC CRL X11 (ftp crl.dec.com). Il toolkit della parete refrattaria include una procura per X11, chiamata x-x-gw, che un utente può invocare via la procura del telnet, per creare un server virtuale X11 sulla parete refrattaria. Quando le richieste sono fatte per un collegamento X11 sul server virtuale X11, l'utente è presentato con pop-up chiedere loro se è GIUSTO da permettere il collegamento. Mentre questo è poco un unaesthetic, esso interamente nel mantenere con il resto di X11.

5.10 Come faccio funzionare RealAudio attraverso la mia parete refrattaria? RealNetworks effettua alcune informazione su come ottenere RealAudio che funziona attraverso la vostra parete refrattaria7. Sarebbe sconsigliabile fare tutti i cambiamenti alla vostra parete refrattaria senza capire che cosa i cambiamenti faranno, esattamente e conoscendo che rischi i nuovi cambiamenti porteranno con loro.

Back to Top FAQ della parete refrattaria in italiano 4 5.11 Come faccio il mio atto di web server come un a fine frontale per una base di dati che vive sulla mia rete riservata? Il modo migliore fare questo deve permettere la connettività molto limitata fra il vostro server di Web ed il vostro server della base di dati via un protocollo specifico che sostiene soltanto il livello del you're di funzionalità che va usare. Permettendo SQL grezzo, o qualche cosa altrimenti dove le estrazioni su ordinazione potrebbero essere effettuate generalmente da un isn't del attacker una buona idea.

Supponga che un attacker sta andando potere rompersi nel vostro server di Web e faccia le domande nello stesso modo che la latta del server di Web. È ci un meccanismo per l'estrazione delle informazioni sensibili che il bisogno del doesn't del server di Web, come le informazioni della carta di credito? Può un attacker pubblicare uno SQL prescelto ed estrarre la vostra intera base di dati riservata?

`` le applicazioni del ''di E-commercio, come tutto altrimenti, sono progettate il più bene con sicurezza in mente dalla terra in su, anziché avere ''aggiunto di sicurezza `` dopo. Riveda criticamente la vostra architettura, dalla prospettiva di un attacker. Supponga che il attacker conosce tutto circa la vostra architettura. Ora chiedasi che necessità di essere fatto per rubare i vostri dati, per fare i cambiamenti non autorizzati, o per fare niente altro che non desideriate fatto. Potreste trovare che potete aumentare significativamente la sicurezza senza funzionalità di diminuzione prendendo alcun le decisioni di implementazione e di disegno.

Alcune idee affinchè come maneggino questo:

Estragga i dati che avete bisogno di dalla base di dati in maniera regolare in modo da non state facendo le domande contro la base di dati completa, completa con le informazioni che i attackers troveranno interessare. Notevolmente limiti e verifichi che cosa ammettete fra il server di Web e la base di dati.

5.12 Ma la mia base di dati ha un web server integrato e desidero usare quello. Non posso giusto colpire un foro nella parete refrattaria e scavare una galleria quella porta? Se la vostra politica della parete refrattaria del luogo è sufficientemente lassismo che you're che vuole gestire il rischio che qualcuno sfrutterà una vulnerabilità in vostro server di Web che provocherà parziale o completa l'esposizione della vostra base di dati, allora là isn't molto vi che impedisce di fare questo.

Tuttavia, in molte organizzazioni, la gente che è responsabile della legatura dell'estremità anteriore di Web alla base di dati indietro si conclude semplicemente non ha l'autorità per prendere quella responsabilità. Più ulteriormente, se le informazioni nella base di dati sono circa la gente, potreste trovarsi colpevole di rompere un numero di leggi se voi precauzioni ragionevoli prese haven't per impedire il sistema essere abusato.

In generale, questo isn't una buona idea. Veda la domanda 5.11 per alcune idee su altri modi compire questo obiettivo.

5.13 Come Faccio funzionare il IP Il Multicast Con La Mia Parete refrattaria? Il multicast del IP è mezzi di ottenere il traffico del IP da un calcolatore centrale ad un insieme dei calcolatori centrali senza usando la radiodiffusione; quello è, invece di ogni calcolatore centrale che convince il traffico, solo quelli che lo desiderano lo otterranno, senza ciascuno che ha per effettuare un collegamento separato al server. Il unicast del IP è dove i colloqui un ospite ad un altro, multicast sono dove i colloqui un ospite ad un insieme dei calcolatori centrali e della radiodiffusione sono dove i colloqui un ospite a tutti i calcolatori centrali.

Il Internet pubblico ha una base del multicast (``MBone '') dove gli utenti possono agganciarsi nello scambio di traffico del multicast. Gli usi comuni per il MBONE sono flussi delle riunioni dello IETF e simile tale interazione. Ottenere la sua propria rete ha collegato al MBONE richiederà che il traffico verso l'alto del multicast dell'itinerario del fornitore a e dalla vostra rete. Ulteriormente, la vostra rete interna avrà sostenere il percorso del multicast.

Il ruolo della parete refrattaria nel percorso del multicast, è concettualmente differente dal relativo ruolo nell'altro percorso di traffico. Quello è, una politica che identifica che i gruppi del multicast sono ed il aren't permesso deve essere definito ed allora un sistema di permettere quel traffico che si concilia alla politica deve essere inventato. Particolare grande su quanto esattamente fare questo è oltre la portata di questo documento. Fortunatamente, il RFC 2588 [4] discute più dettagliatamente l'oggetto. A meno che il vostro prodotto della parete refrattaria sostenga alcuni mezzi di spedizione selettiva del multicast o avete la capacità di metterla in lei, potreste trovare il traffico del multicast di spedizione in un modo costante con la vostra politica di sicurezza per essere un'emicrania più grande che è valore.

6 porte del UDP e di TCP da Mikael Olsson Questa appendice comincerà ad un livello ragionevolmente `` di base del '', in modo da anche se i primi punti sembrano childishly manifesti a voi, potreste tranquillo imparare qualcosa dal salto avanti a qualcosa più successivamente nel testo.

6.1 Che cosa è una porta? `` un ''port è `` ''virtuale della scanalatura nella vostra pila del UDP e di TCP che è usata per tracciare un collegamento fra due calcolatori centrali ed anche fra lo strato di TCP/UDP e le applicazioni reali che funzionano sui calcolatori centrali.

Sono numerati 0-65535, con la gamma 0-1023 che è contrassegnato come `` il ''riservato o `` privlileged il ''ed il resto (1024-65535) come `` ''o `` unprivileged dinamico ''.

Ci sono basicamente due usi per le porte:

`` ''ascoltante su una porta. Ciò è usata dalle applicazioni del server che aspettano gli utenti per collegare, ottenere ad un certo `` ''conosciuto buono di servizio, per il HTTP di caso (porta di TCP 80), telnet (porta 23), DNS di TCP (porta 53 di TCP a volte e del UDP). Apertura `` della porta dinamica del ''. Entrambi i lati di una necessità del collegamento di TCP di essere identificato dagli indirizzi del IP e dai numeri port. Quindi, quando desiderate `` colleghi il ''ad un processo del server, la vostra estremità della scanalatura di comunicazioni egualmente ha bisogno `` di una porta ''. Ciò è fatta la scelta della porta superiore a 1024 sulla vostra macchina che non è attualmente nell'uso da un'altra scanalatura di comunicazioni ed usando come `` il ''del trasmettitore nel nuovo collegamento. Le porte dinamiche possono anche essere usate il più considerevolmente come `` porte ascoltanti in alcune applicazioni, ftp del ''.

Le porte nella gamma 0-1023 sono quasi sempre porte del server. Le porte nella gamma 1024-65535 sono solitamente porte dinamiche (cioè, aperto dinamicamente quando collegate ad una porta del server). Tuttavia, qualsiasi porta può essere usata come porta del server e qualsiasi porta può essere usata come `` porta uscente del ''.

Così, sommarla in su, qui che cosa accade in un collegamento di base:

Ad un certo punto a tempo, un'applicazione del server sul calcolatore centrale 1.2.3.4 decide `` ascolta ''a porta 80 (HTTP) i nuovi collegamenti. (5.6.7.8) desiderate surf a 1.2.3.4, a porta 80 ed al vostro browser pubblicate una chiamata di collegamento ad esso. La chiamata di collegamento, rendentesi conto che doesn't tuttavia ha numero port locale, va cercare per uno. Il numero port locale è necessario da quando le risposte ritornano un certo tempo in avvenire, la vostra pila di TCP/IP dovrà sapere a che applicazione per passare la risposta. Fa questo ricordandosi del che applicazione usa che numero port locale. (questo grossolanamente è facilitato, nessun fiamme dai programmatori, prego.) La vostra pila di TCP trova una porta dinamica inutilizzata, solitamente in qualche luogo superiore a 1024. Supponiamo che trova 1029. Il vostro primo pacchetto allora è trasmesso, dal vostro IP locale,

5.6.7.8, la porta 1029, a 1.2.3.4, la porta 80. Il server risponde con un pacchetto da 1.2.3.4, le porte 80, a voi, 5.6.7.8, la porta 1029. Questa procedura è realmente più lunga di questa, colto sopra per una spiegazione più approfondita del TCP collega le sequenze.

6.2 Come conosco quale applicazione usa che porta? Ci sono parecchie liste che descrivono `` il ''riservato e `` il ''ben noto ports, come pure `` il ''comunemente usato ports e quello migliore è: ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers. Per quelli di voi ancora che leggete RFC 1700 per scoprire che numero port fa che cosa, ARRESTO che LO FA. È horribly antiquato e non sarà così domani di meno.

Ora, per quanto riguarda fidarsi di queste informazioni: Queste liste non, in alcun modo, costituire alcun genere di bibbia santa su cui le porte fanno che cosa.

L'attesa, lo ha lasciato formula nuovamente quello: Non CI È MODO ATTENDIBILMENTE Di DETERMINAZIONE CHE PORTA FA CHE COSA SEMPLICEMENTE OSSERVANDO In una LISTA.

6.3 Che cosa sono porte ASCOLTANTI? Supponga che `` netstat - ` un ''sulla vostre macchina e porte 1025 e 1030 rivelati come ascoltando. Che cosa fanno?

A destra, prendiamo uno sguardo nella lista assegnata di numeri port.

BBN IAD del blackjack iad1 1030/tcp della rete del blackjack 1025/tcp

Attesa, che accadere? La mia stazione di lavoro ha rubato il mio numero di VISTO ed ha deciso andare blackjack del gioco con un certo server del rogue sul Internet? E che cosa quel software che il BBN ha installato?

Ciò non è dove cominciate lasciarsi prendere dal panico e trasmettete la posta alla lista delle pareti refrattarie. Nel fatto, questo problema è stato chiesto forse volte un dozzina durante i sei mesi scorsi ed ogni tempo esso risposto a. Non quello CHE mantiene la gente dal fare la stessa domanda ancora.

Se state facendo questo problema, siete più probabili per mezzo di una casella delle finestre. Le porte che state vedendo sono (il più probabile) due porte ascoltanti che il sottosistema del RPC apre quando comincia in su.

Ciò è un esempio di dove le porte dynamicly assegnate possono essere usate tramite i processi del server. Le applicazioni che usando la volontà del RPC più successivamente su collegano a porta 135 (`` portmapper 'di netbios ') alla domanda dove trovare un certo servizio del RPC ed ottengono una risposta indietro che dice quella che il servizio particolare può mettersi in contatto con su porta 1025.

Ora, come conosciamo questo, là da nessun `` ''della lista che descrive queste porte? Semplice: Non ci è sostituto per esperienza. E per mezzo dei motori di ricerca spedenti della lista egualmente aiuta un inferno di mólto.

6.4 Come determino che servizio la porta è per? Poiché è impossible da imparare che porta fa che cosa osservando in una lista, come la fanno?

Il vecchio modo hands-on di farla è chiudendo giù quasi ogni service/daemon che funziona sulla vostra macchina, facente netstat -a e prendente nota di che cosa le porte sono aperte. Là lo shouldn't è molto molti quei ascoltanti. Allora cominciate girare tutti i servizi sopra, uno per uno e di prend nota di che cosa le nuove porte rivelano nella vostra uscita del netstat.

Un altro modo, quel ha bisogno di più lavoro di congettura, semplicemente telnetting alle porte e vede che cosa esce. Se niente esce, la prova che digita un certo gibberish e che sbatte entra poche volte e vede se qualcosa gira in su. Se ottenete binari disturbi, o niente affatto, questo non li aiuterà ovviamente.

Tuttavia, questo soltanto vi dirà che cosa le porte ascoltanti sono usate. Vi non dirà circa le porte dinamicamente aperte che possono essere aperte più tardi da queste applicazioni.

Ci sono alcune applicazioni che potrebbero aiutarle a rintracciare giù le porte usate.

Sui sistemi di UNIX, ci è un programma di utilità piacevole chiamato lsof che viene preinstalled su molti sistemi. Vi mostrerà tutti i numeri port aperti ed i nomi delle applicazioni che stanno usandole. Ciò significa che potrebbe mostrarvi il aswell localmente aperto molto degli archivi come zoccoli di TCP/IP. Legga il testo di aiuto.

Sui sistemi delle finestre, niente viene preinstalled per aiutarlo in questa operazione. (che nuovo?) Là un programma di utilità ha chiamato `` il ''di Inzider che si installa all'interno delle finestre che gli zoccoli fanno uno strato di e dinamicamente che si ricorda del quale processo si apre che port. Lo svantaggio di questo metodo è che can't vi dice che porte sono state aperte prima di inzider iniziato, ma esso il la cosa migliore che il you'll ottiene sulle finestre (alla mia conoscenza).

formatting link

6.5 Che porte sono sicuri da passare attraverso una parete refrattaria? TUTTI.

No, attesa, NESSUNA.

No, attesa, uuhhh... Mi sono sentito che tutte le porte superiore a

1024 sono sicuri poiché sono soltanto dinamiche??

No. Realmente. NON POTETE dire semplicemente ai che porte sono semplicemente sicuri guardando il relativo numero, perché quello è realmente tutto che sia. Un numero. Non potete montare un attacco con un numero a 16 bit.

La sicurezza `` di un ''port dipende da che applicazione raggiungerete attraverso quella porta.

Un'idea sbagliata comune è che porte 25 (smtp) e 80 (HTTP) sono sicuri da passare attraverso una parete refrattaria * meep * ERRATA. Solo perchè tutto sta facendo non significa che è sicuro.

Di nuovo, la sicurezza di una porta dipende da che applicazione raggiungerete attraverso quella porta.

Se il you're che fa funzionare un server bene-scritto di Web, quello è destinato dalla terra in su per essere sicuro, potete probabilmente ritenere ragionevolmente assicurati che esso sicuro lasciate la gente esterna accedergli attraverso porta 80. Altrimenti, voi CAN'T.

Il problema qui non è nello strato di rete. Esso in come i processi di applicazione i dati che riceve. Questi dati possono essere ricevuti attraverso porta 80, la porta 666, una riga seriale, disco magnetico o attraverso il telegramma di canto. Se l'applicazione non è sicuro, non importa come i dati ottengono esso. I dati di applicazione sono dove il pericolo reale si trova.

Se siete interessati nella sicurezza della vostra applicazione, vada si abbonano a bugtraq8o o provano a cercare i loro archivi.

Ciò è più di un problema di sicurezza di applicazione piuttosto che un problema di sicurezza della parete refrattaria. Si potrebbe sostenere che una parete refrattaria dovrebbe arrestare tutti gli attacchi possibili, ma con il numero di nuovi protocolli di rete, non progettato con sicurezza in mente ed applicazioni networked, nessuno progettate con sicurezza in mente, diventa impossible affinchè una parete refrattaria proteggesse da tutti gli attacchi data-driven.

6.6 Il comportamento del ftp O, `` perchè ho aprire tutte le porte superiore a 1024 al mio server del ftp?''

Lo sguardo del doesn't del ftp realmente un il lotto intero gradisce altre applicazioni da una prospettiva della rete.

Mantiene una porta ascoltante, porta 21, a cui gli utenti collegano. Tutto che è ha lasciato la gente entra e stabilisce un ALTRO collegamento per fare i trasferimenti di dati reali. Questo secondo collegamento è solitamente su una certa porta superiore a 1024.

Ci sono due modi, `` ''attivo (normale) e `` modo passivo del ''. Questa parola descrive il comportamento del server.

Nel modo attivo, il cliente (5.6.7.8) collega a porta 21 sul server (1.2.3.4) ed apre la sessione. Quando i trasferimenti di file sono dovuti, il cliente assegna una porta dinamica superiore a 1024, informa il server circa quale porta ha aperto ed allora il server apre un nuovo collegamento a quella porta. Ciò è `` il ruolo attivo del ''del server: attivamente stabilisce i nuovi collegamenti al cliente.

Nel modo passivo, il collegamento a porta 21 è lo stesso. Quando i trasferimenti di file sono dovuti, il SERVER assegna una porta dinamica superiore a 1024, informa il cliente circa quale porta ha aperto ed allora il CLIENTE apre un nuovo collegamento a quella porta. Ciò è `` il ruolo passivo del ''del server: aspetta il cliente per stabilire il secondo collegamento (di dati).

Se la vostra parete refrattaria non controlla i dati di applicazione del ftp comandano il collegamento, esso non sapranno che devono aprire dinamicamente le nuove porte superiore a 1024.

Su una nota laterale: Il comportamento tradizionale dei server del ftp nel modo attivo deve stabilire la sessione di dati da porta 20 ed alla porta dinamica sul cliente. I server del ftp stanno dirigendo via da questo comportamento in qualche modo dovuto la necessità di funzionare come `` ''della radice sui sistemi di UNIX nell'ordine per potere assegnare le porte inferiore a 1024. Funzionando come `` ''della radice non è buono per sicurezza, da allora se là un insetto nel software, il attacker potesse compromettere l'intera macchina. Lo stesso va per funzionare come `` il ''dell'amministratore o `` ''del SISTEMA (``LocalSystem '') sulle macchine del NT, anche se il problema port basso non si applica sul NT.

Per sommarlo in su, se la vostra parete refrattaria capisce il ftp, il it'll può maneggiare i collegamenti di dati da sè e won't avete preoccuparsi per le porte superiore a 1024.

Se non, ci sono quattro edizioni che dovete richiamare:

Firewalling un ftp server nel modo attivo Avete bisogno di avete lasciato i vostri collegamenti aperti del server nuovi al mondo esterno sulle porte 1024 e sopra Firewalling un server del ftp nel modo passivo Avete bisogno di avete lasciato il mondo esterno collegare alle porte

1024 e sopra sul vostro server. ATTENZIONE!!!! Ci possono essere applicazioni che funzionano su alcune di queste porte che non desiderate usando esterno della gente. Respinga l'accesso a queste porte prima di permettere l'accesso alla gamma port 1024-65535. Clienti del ftp di Firewalling nel modo attivo Avete bisogno di avete lasciato il mondo esterno collegare alle porte 1024 e sopra sui vostri clienti. ATTENZIONE!!!! Ci possono essere applicazioni che funzionano su alcune di queste porte che non desiderate usando esterno della gente. Respinga l'accesso a queste porte prima di permettere l'accesso alla gamma port 1024-65535. Clienti del ftp di Firewalling nel modo passivo Avete bisogno di avete lasciato i vostri collegamenti aperti dei clienti nuovi al mondo esterno sulle porte 1024 e sopra. Di nuovo, se la vostra parete refrattaria capisce il ftp, nessun dei quattro punti qui sopra si applicano a voi. Lasci la parete refrattaria farvi il lavoro per.

6.7 Che software usa che modo del ftp? È in su al cliente per decidere che modo da usare; il modo di difetto quando un nuovo collegamento è aperto è `` modo attivo ''.

La maggior parte dei clienti del ftp vengono preconfigured per usare il modo attivo, ma forniscono un'opzione ad uso `` del ''modo passivo (di ``PASV ''). Un'eccezione è la riga di comando delle finestre cliente del ftp che funziona soltanto nel modo attivo.

I browsers di Web usano generalmente il modo passivo quando collegano via il ftp, con un'eccezione bizzarra: MSIE 5 userà il ftp attivo quando FTP:ing `` nel modo del ''dell'esploratore dell'archivio ed il ftp passivo quando FTP:ing `` nel modo del ''di Web page. Non ci è motivo qualunque per questo comportamento; la mia congettura è che qualcuno in Redmond senza conoscenza del ftp ha deciso che `` naturalmente useremo il modo attivo quando siamo nel modo dell'esploratore dell'archivio, da allora quel sguardi più attivi di un Web page ''. Va la figura.

6.8 È mio provare della parete refrattaria a collegare all'esterno? I miei libri macchina della parete refrattaria sono dicendomi che il mio server di Web stia provando a collegare da porta 80 alle porte superiore a 1024 sulla parte esterna. Che cosa è questo?!

Se state vedendo i pacchetti caduti da porta 80 sul vostro web server (o da porta 25 sul vostro mail server) alle alte porte sulla parte esterna, non significano solitamente che il vostro web server sta provando a collegare in qualche luogo.

Sono il risultato della sincronizzazione della parete refrattaria verso l'esterno un collegamento e di vedere il server ritrasmettere le vecchie risposte (o provare a chiudere il collegamento) al cliente.

I collegamenti di TCP coinvolgono sempre i pacchetti che viaggiano in ENTRAMBI I sensi nel collegamento.

Se potete vedere le bandierine di TCP nei pacchetti caduti, il you'll vede che la bandierina del ACK è regolata ma non la bandierina di SYN, significante che questo non è realmente un nuovo collegamento che forma, ma piuttosto una risposta di un collegamento precedentemente formato.

Legga il punto 8 qui sotto per una spiegazione approfondita di che cosa accade quando i collegamenti di TCP sono formati (e chiuso)

6.9 Anatomia di un collegamento di TCP Il TCP è dotato di 6 `` bandierine ', che possono essere disinserite SOPRA o. Queste bandierine sono:

ALETTA `` ha gestito la fine del collegamento del '' SYN Apra il nuovo collegamento RST `` fine immediata del collegamento del '' PSH Insegni al calcolatore centrale della ricevente per spingere i dati fino all'applicazione piuttosto che alla coda giusta esso Ack `` riconosca il ''un pacchetto precedente URG `` dati urgenti del ''che devono essere elaborati immediatamente In questo esempio, il vostro cliente è 5.6.7.8 e la porta assegnata voi è dinamicamente 1049. Il server è 1.2.3.4, la porta 80.

Cominciate il tentativo del collegamento:

5.6.7.8:1049 -> 1.2.3.4:80 SYN=ON

Il server riceve questo pacchetto e capisce che qualcuno desidera formare un nuovo collegamento. Una risposta è trasmessa:

1.2.3.4:80 -> 5.6.7.8:1049 SYN=ON ACK=ON

Il cliente riceve la risposta ed informa che la risposta è ricevuta

5.6.7.8:1049 -> 1.2.3.4:80 ACK=ON

Qui, il collegamento è aperto. Ciò è chiamata una stretta di mano a tre vie. Il relativo scopo è verificare ad ENTRAMBI I calcolatori centrali che hanno loro un collegamento di funzionamento.

Il Internet che è che cosa è, non fidato e sommerso, là è disposizioni compensare la perdita del pacchetto.

Se il cliente trasmette fuori lo SYN iniziale senza ricevere uno SYN+ACK all'interno dell'pochi secondi, il it'll resend lo SYN.

Se il server spedisce lo SYN+ACK senza ricevere un ACK in alcuni secondi, resend il pacchetto di SYN+ACK.

Il posteriore è realmente la ragione per cui il flooding di SYN funziona così bene. Se spedite i pacchetti di SYN dai lotti delle porte differenti, questo legherà in su le risorse molto sul server. Se egualmente rifiutate di rispondere ai pacchetti restituiti di SYN+ACK, il server MANTERRÀ questi collegamenti per un molto tempo, resending i pacchetti di SYN+ACK. Alcuni server non accetteranno i nuovi collegamenti mentre ci sono abbastanza collegamenti attualmente che formano; ecco perchè impianti di flooding di SYN.

Tutti i pacchetti trasmessi in il uno o il altro senso dopo che la stretta di mano a tre vie abbia il bit del ACK regolato. I filtri apolidi del pacchetto fanno l'uso di questo in in modo da `` filtri stabiliti chiamati del '': soltanto hanno lasciato i pacchetti con il quel avere il bit del ACK regolato. Questo modo, nessun pacchetto può passare attraverso in un determinato senso che potrebbe formare un nuovo collegamento. Tipicamente, don't permettete che i calcolatori centrali esterni aprano i nuovi collegamenti ai calcolatori centrali interni richiedendo il bit del ACK regolato su questi pacchetti.

Quando il tempo è venuto chiudere il collegamento, ci sono due modi di farlo: Usando la bandierina dell'ALETTA, o usando la bandierina di RST. Usando le bandierine dell'ALETTA, entrambe le implementazioni sono richieste per trasmettere fuori le bandierine dell'ALETTA per indicare che desiderano chiudere il collegamento ed allora trasmettono fuori i ringraziamenti a queste alette, indicanti che hanno capito che l'altra estremità desidera chiudere il collegamento. Nel trasmettere fuori RST, il collegamento è chiuso validamente e don't realmente ottenete un'indicazione di se l'altra estremità ha capito il vostro ordine di risistemazione, o quello che ha nel fatto ricevuto tutti i dati che avete trasmesso esso.

Il modo dell'ALETTA di chiusura del collegamento egualmente li espone ad una situazione di smentita-de-servizio, poiché la pila di TCP deve ricordarsi del collegamento chiuso per un tempo ragionevolmente molto, nel caso che l'altro hasn't dell'estremità ha ricevuto uno dei pacchetti dell'ALETTA.

Se sufficientemente molti collegamenti sono aperti e chiusi, potete concludersi su avere `` collegamenti chiusi del ''in tutte le vostre scanalature del collegamento. Questo modo, wouldn't potete assegnare dinamicamente più collegamenti, vedenti che il they're interamente ha usato. Maniglia differente di OSes questa situazione diversamente.

A. Alcuni prodotti commerciali e fornitori Riteniamo che questo soggetto è troppo sensibile all'indirizzo in un FAQ, tuttavia, una lista indipendentemente effettuata (nessuna garanzia o raccomandazione è implicata) può essere trovata in linea.9

B. Glossario dei termini Parete-Relativi

Abuso del privilegio Quando un utente realizza un'azione che non dovrebbero avere, conciliandosi alla politica o alla legge organizzativa.

Liste Di Controllo Di Accesso Regole per i filtri del pacchetto (tipicamente routers) che definiscono quali pacchetti da passare e quali da ostruire.

Accedi Al Router Un router che collega la vostra rete al Internet esterno. Tipicamente, questa è la vostra prima riga di difesa contro i attackers dal Internet esterno. Permettendo il controllo di accesso elenca su questo router, you'll può fornire un livello di protezione per tutti i calcolatori centrali `` dietro ''che router, efficacemente rendente a quella rete un DMZ preferibilmente di una lan esterna non protetta.

Parete refrattaria Di Applicazione-Strato Un sistema della parete refrattaria in cui il servizio è fornito tramite i processi che effettuano il collegamento completo di TCP dichiara ed ordinare. Le pareti refrattarie di strato di applicazione re-richiamano spesso il traffico così che il traffico uscente sembra provenire dalla parete refrattaria, piuttosto che il calcolatore centrale interno.

Autenticazione Il processo di determinazione dell'identità di un utente che sta tentando di accedere ad un sistema.

Segno Di Autenticazione Un dispositivo portatile utilizzato per autenticare un utente. Il segno di autenticazione funziona mediante challenge/response, sequenze tempo-basate di codice, o altre tecniche. Ciò può includere le liste scritte delle parole d'accesso di una volta.

Autorizzazione Il processo di determinazione che tipi di attività sono consentiti. Solitamente, l'autorizzazione è nel contesto dell'autenticazione: una volta che avete autenticato un utente, possono essere tipi differenti autorizzati di accesso o di attività.

Bastion host Un sistema che è stato indurito per resistere all'attacco e che è installato su una rete im modo tale che si pensa che potenzialmente rientri nell'attacco. I calcolatori centrali del bastion sono spesso componenti delle pareti refrattarie, o possono essere `` server di Web del ''della parte esterna o sistemi pubblici di accesso. Generalmente, un calcolatore centrale del bastion sta facendo funzionare certa forma del sistema operativo per scopi generali (per esempio, UNIX, VMS, NT, ecc.) piuttosto che un sistema operativo dei firmware o ROM-BASATO.

Challenge/Response Una tecnica di autenticazione per cui un server trasmette una sfida imprevedibile per l'utente, che computa una risposta usando certa forma del segno di autenticazione.

Chroot Una tecnica sotto UNIX per cui un processo permanente si limiterà ad un sottoinsieme isolato del filesystem.

Totale di controllo Crittografico Una funzione unidirezionale si è applicata ad un archivio per produrre `` un ''unico dell'impronta digitale dell'archivio per riferimento successivo. I sistemi di totale di controllo sono mezzi primari di rilevazione del filesystem alterare su UNIX.

Attacco Guidato Dati Una forma dell'attacco in cui l'attacco è messo nei dati innocuo-sembranti che sono eseguiti da un utente o dall'altro software per effettuare un attacco. Nella cassa delle pareti refrattarie, un attacco guidato dati è una preoccupazione poiché può ottenere attraverso la parete refrattaria nella forma di dati e lanciare un attacco contro un sistema dietro la parete refrattaria.

Difesa nella profondità Il metodo di sicurezza per cui ogni sistema sulla rete è assicurato al grado possibile più grande. Può essere usato nella congiunzione con le pareti refrattarie.

Dns che spoofing Ammettendo il nome di DNS di un altro sistema corrompendo il nascondiglio nome di servizio di un sistema della vittima, o compromettendo un domain name server per un settore valido.

Si raddoppia Il Gateway Homed Un Gateway homed doppio è un sistema che ha due o più interfacce della rete, ciascuno di cui è collegato ad una rete differente. Nelle configurazioni della parete refrattaria, un Gateway homed doppio si comporta solitamente per ostruire o filtrare alcuno o tutto il traffico che prova a passare fra le reti.

Router Di Cifratura veda il router di traforo ed il perimetro virtuale della rete.

Parete refrattaria Un sistema o una combinazione dei sistemi che fanno rispettare un contorno fra due o più reti.

Sicurezza Host-based La tecnica di assicurazione del sistema specifico dall'attacco. Ospiti la sicurezza basata è dipendente di versione e del sistema operativo.

Attacco Del Membro Un attacco che proviene dalla parte interna una rete protetta.

Rilevazione Di Intrusione La rilevazione delle irruzioni o dell'irruzione tenta manualmente o via i sistemi specializzati del software che funzionano sopra i libri macchina o altre informazioni disponibili sulla rete.

IP Spoofing Un attacco per cui un sistema tenta di impersonate illecitamente un altro sistema usando il relativo indirizzo di rete del IP.

Impionbatura/Che Dirotta del IP Un attacco per cui un attivo, stabilito, sessione è intercettato e co-opted dal attacker. Gli attacchi d'impionbatura del IP possono accadere dopo che un'autenticazione sia stata fatta, permettendo al attacker di presupporre il ruolo di un utente già autorizzato. Le protezioni primarie contro l'impionbatura del IP contano sulla crittografia allo strato di rete o di sessione.

Meno Privilegio Progettazione delle funzioni operative di un sistema per funzionare con una quantità minima di privilegio del sistema. Ciò riduce il livello di autorizzazione a cui le varie azioni sono realizzate e fa diminuire la probabilità che un processo o un utente con gli alti privilegi può essere causato per effettuare l'attività non autorizzata risultando in una frattura di sicurezza.

Annotare Il processo di memorizzare le informazioni sugli eventi che si sono presentati sulla parete refrattaria o sulla rete.

Ritegno Del Libro macchina Come i libri macchina lunghi di verifica sono mantenuti ed effettuati.

Elaborare Del Libro macchina Come i libri macchina di verifica sono elaborati, cercato gli eventi chiave, o ricapitolato.

Parete refrattaria Di Rete-Strato Una parete refrattaria in cui il traffico è esaminato allo strato del pacchetto di protocollo di rete.

Sicurezza Perimetro-basata La tecnica di assicurazione della rete gestendo accesso a tutti i punti dell'uscita e dell'entrata della rete.

Politica il Organizzazione-livello regola l'uso accettabile governante delle risorse di computazione, delle pratiche di sicurezza e delle procedure operative.

Procura Un agente del software che si comporta a favore di un utente. Le procure tipiche accettano un collegamento da un utente, prendono una decisione come se o l'indirizzo del IP del cliente o non dell'utente è consentito per usare la procura, forse fa l'autenticazione supplementare ed allora completa un collegamento a favore dell'utente ad una destinazione a distanza.

Calcolatore centrale Selezionato Un calcolatore centrale su una rete dietro uno screening router. Il grado a cui un calcolatore centrale selezionato può essere raggiunto dipende dalle regole della selezione nel router.

Sottorete Selezionata Una sottorete dietro uno screening router. Il grado a cui la sottorete può essere raggiunta dipende dalle regole della selezione nel router.

Router Della Selezione Un router configurato per consentire o negare traffico basato su un insieme delle regole di permesso installate dall'amministratore.

Rubare Di Sessione Veda L'Impionbatura del IP.

Cavallo Di Trojan Un'entità del software che sembra fare qualche cosa di normale ma che, nel fatto, contiene un programma di attacco o di trapdoor.

Il router o il sistema del router A di traforo capace del percorso traffica cifrandolo ed incapsularlo per la trasmissione attraverso untrusted la rete, per l'de-incapsulamento ed il decryption finali.

L'ingegneria sociale un attacco basato sugli utenti d'inganno o amministratori all'obiettivo situa. Gli attacchi sociali di ingegneria sono trasportati tipicamente fuori dagli utenti o dagli operatori e dalla finzione di telefonata essere un utente autorizzato, per tentare di guadagnare l'accesso illecito ai sistemi.

La rete virtuale di perimetro A della rete che sembra essere una singola rete protetta dietro le pareti refrattarie, che realmente comprende l'eccedenza virtuale cifrata di collegamenti untrusted le reti.

Segmento di codice di replica del virus A che si fissa ad uno schedario di dati o di programma. I virus hanno potuto o non potuto contenere i programmi o i trapdoors di attacco. Purtroppo, molti hanno preso a chiamare qualsiasi cattivo il codice `` i virus '. Se significate `` il ''di Trojan Horse o `` il ''della vite senza fine, ad esempio `` il ''o `` la vite senza fine 'di Trojan Horse '.

Il programma autonomo che, una volta funzionato, copia in se della vite senza fine A da un calcolatore centrale ad un altro ed allora funziona in se su ogni calcolatore centrale recentemente infettato. `` i virus ampiamente segnalati del Internet 'di 1988 erano un virus non affatto, ma realmente una vite senza fine.

Note a piè di pagina ... System1

formatting link
Initiative2
formatting link
Squid3
formatting link
Apache4
formatting link
Proxy5
formatting link
Netscape6

formatting link
firewall7
formatting link
bugtraq8
formatting link
online.9
formatting link

begin 666 smil3dbd4d6422f04.gif M1TE&.#EA$0`1`-4``/_____DE/_=A?_==OO=@__:?/[7??O0;?[.;O[.8?C. M4_O*9_C,8O7+3_;(6_C%7/W$4OW"3O+%1?O 3OW 2?/#3N_!0/:[/ONZ/?JV M,O6U.?*S.?JR)O>S+N:T./>O)/>N(?*N)NRM*_2K'MFP.]^M-?"H'M>M./"G M&MRJ,>FE(>VC%^BC&

Reply to
William L. Sun
Loading thread data ...

FAQ della parete refrattaria in italiano 1 Pareti refrattarie Del Internet: Domande Frequentemente Fatte Paul D. Robertson snipped-for-privacy@compuwar.net Curtin Opaco snipped-for-privacy@interhack.net Marcus J. Ranum snipped-for-privacy@ranum.com (tradotto da William Sun snipped-for-privacy@thegild.com )

Data: 2004/07/26 di 15:34:42 Revisione: 10.4

Questo documento disponibile nel pdfdel and del postscript.

Indice 1 Administrativia 1.1 Circa il FAQ 1.2 Per chi il FAQ è scritto? 1.3 Prima Della Trasmissione Della Posta 1.4 Dove posso trovare la versione corrente del FAQ? 1.5 Dove posso trovare le versioni Non-Inglesi del FAQ? 1.6 Contributori 1.7 Copyright ed uso

2 principi fondamentali della parete refrattaria e della priorità bassa 2.1 Che cosa è una parete refrattaria di rete? 2.2 Perchè desidererei una parete refrattaria? 2.3 Da che cosa può una parete refrattaria proteggere? 2.4 Da che cosa non può una parete refrattaria proteggere? 2.5 Che cosa circa i virus e l'altro malware? 2.6 IPSEC renderà le pareti refrattarie obsolete? 2.7 Che cosa sono buone sorgenti delle informazioni della stampa sulle pareti refrattarie? 2.8 Dove posso ottenere le più informazioni sulle pareti refrattarie sul Internet?

3 edizioni di implementazione e di disegno 3.1 Che cosa sono alcune delle decisioni di base di disegno in una parete refrattaria? 3.2 Che cosa sono i tipi di base di pareti refrattarie? 3.3 Che cosa sono server di procura e come funzionano? 3.4 Che cosa sono alcuni strumenti poco costosi della selezione del pacchetto? 3.5 Che cosa sono alcune regole di filtrazione ragionevoli per uno schermo nocciolo-basato del pacchetto? 3.6 Che cosa sono alcune regole di filtrazione ragionevoli per un Cisco? 3.7 Che cosa sono le risorse critiche in una parete refrattaria? 3.8 Che cosa è un DMZ e perchè io desidera uno? 3.9 Come potrei aumentare la sicurezza e lo scalability del mio DMZ? 3.10 Che cosa è un singolo punto del ` di guasto 'e come io evita di avere uno? 3.11 Come posso ostruire tutto il roba difettoso? 3.12 Come posso limitare l'accesso di Web in modo da gli utenti non possono osservare i luoghi indipendenti per lavorare?

4 Vari Attacchi 4.1 Che cosa è traffico diretto sorgente e perchè è esso una minaccia? 4.2 Che cosa sono ICMP riorientano e riorientano le bombe? 4.3 Che cosa circa la smentita di servizio? 4.4 Che cosa sono alcuni attacchi comuni e come possono io proteggere il mio sistema contro di loro?

5 Come La I... 5.1 Realmente desidero concedere tutto che i miei utenti chiedano? 5.2 _ come io fa Web/HTTP lavoro attraverso mio parete? 5.3 Come faccio funzionare lo SSL attraverso la parete refrattaria? 5.4 Come faccio il lavoro di DNS con una parete refrattaria? 5.5 Come faccio funzionare il ftp attraverso la mia parete refrattaria? 5.6 Come faccio funzionare il telnet attraverso la mia parete refrattaria? 5.7 Come faccio funzionare la barretta ed il WHOIS attraverso la mia parete refrattaria? 5.8 Come faccio il Gopher, archie ed altri servizi funzionano attraverso la mia parete refrattaria? 5.9 Che cosa sono le edizioni circa X11 attraverso una parete refrattaria? 5.10 Come faccio funzionare RealAudio attraverso la mia parete refrattaria? 5.11 Come faccio il mio atto di web server come un a fine frontale per una base di dati che vive sulla mia rete riservata? 5.12 Ma la mia base di dati ha un server integrato di Web e desidero usare quello. Non posso giusto colpire un foro nella parete refrattaria e scavare una galleria quella porta? 5.13 Come Faccio funzionare il IP Il Multicast Con La Mia Parete refrattaria?

6 porte del UDP e di TCP 6.1 Che cosa è una porta? 6.2 Come conosco quale applicazione usa che porta? 6.3 Che cosa sono porte ASCOLTANTI? 6.4 Come determino che servizio la porta è per? 6.5 Che porte sono sicuri da passare attraverso una parete refrattaria? 6.6 Il comportamento del ftp 6.7 Che software usa che modo del ftp? 6.8 È mio provare della parete refrattaria a collegare all'esterno? 6.9 Anatomia di un collegamento di TCP

A. Alcuni prodotti commerciali e fornitori B. Glossario dei termini Parete-Relativi Bibliografia

1 Administrativia

1.1 Circa il FAQ Questa accumulazione di Frequenty ha fatto le domande (FAQ) e le risposte è stata compilata durante gli anni, vedenti quali domande la gente fa riguardo alle pareti refrattarie in tali tribune come il USENET, le liste spedenti ed i luoghi di Web. Se avete una domanda, osservare qui per vedere se ha risposto a prima dell'invio la vostra domanda è buona forma. Non trasmetta le vostre domande circa le pareti refrattarie ai mantenitori del FAQ.

I mantenitori accolgono favorevolmente l'input e le osservazioni sul contenuto di questo FAQ. Le osservazioni si sono riferite al FAQ dovrebbero essere richiamate a snipped-for-privacy@interhack.net. Prima che ci trasmettiate la posta, sia prego sicuro vedere che le parti 1.2 e 1.3 da rendere sicuro questo è il giusto documento affinchè leggano.

1.2 Per chi il FAQ è scritto? Le pareti refrattarie sono venuto lontano dai giorni in cui questo FAQ si è avviato. They've andato da essere sistemi altamente personalizzati amministrati dai loro implementors ad un prodotto tradizionale. Le pareti refrattarie sono solamente no più lunghe nelle mani di coloro che progetta ed effettua i sistemi di sicurezza; persino gli utilizzatori finali sicurezza-coscienti le hanno a casa.

_ noi scriv questo FAQ per computer sistema di elaborazione sviluppatore e amministratore. Abbiamo provato ad essere ragionevolmente compresi, facendo la stanza per i nuovi venuti, ma ancora ammettiamo una certa base tecnica di base. Se trovate che non capite questo documento, ma pensate che dobbiate conoscere più circa le pareti refrattarie, potrebbe scaturire è che realmente dovete ottenere più priorità bassa nella rete del calcolatore in primo luogo. Forniamo i riferimenti che li hanno aiutati; forse egualmente li aiuteranno.

Mettiamo a fuoco predominately "sulla rete" pareti refrattarie, ma `` ospiti il ''o le pareti refrattarie del ''di ``"personal saranno indirizzate ove necessario.

1.3 Prima Della Trasmissione Della Posta Si noti che questa accumulazione delle domande frequente-chieste a è un risultato di interazione con molta gente degli ambiti di provenienza differenti in un'ampia varietà di tribune pubbliche. L'indirizzo parete-FAQ non è un servizio d'assistenza. Se state provando ad usare un'applicazione che dice che non sta funzionando a causa di una parete refrattaria e pensate che dobbiate rimuovere la vostra parete refrattaria, prego ci non trasmetta la posta che chiede come.

Se desiderate conoscere come `` eliminate il vostro ''della parete refrattaria perché non potete usare una certa applicazione, ci non trasmetta la posta che chiede l'aiuto. Non possiamo aiutarli. Realmente.

Chi può aiutarlo? Buona domanda. Quello dipenderà su che cosa il problema è esattamente, ma qui è parecchi indicatori. Se nessuno di questi funziona, vogliate ci non chiedono altro. Non sappiamo.

Il fornitore del software che state usando. Il fornitore usando del you're del ''degli apparecchi del hardware ``. Il fornitore del usando del you're di servizio di rete. Quello è, se you're su AOL, li chiede. Se state provando ad usare qualcosa su una rete corporativa, comunichi con vostro amministratore di sistema.

1.4 Dove posso trovare la versione corrente del FAQ? Il FAQ può essere trovato sul Web a

formatting link
formatting link
Egualmente ha inviato il mensile a

comp.security.firewalls, comp.security.unix, comp.security.misc, comp.answerse news.answers. Le versioni inviate sono archiviate in tutti i posti usuali. Purtroppo, la versione inviata al USENET ed archiviata quella mancanza di versione dalle immagini graziose e dai hyperlinks utili ha trovato nella versione di Web.

1.5 Dove posso trovare le versioni Non-Inglesi del FAQ? Parecchie traduzioni sono disponibili. (se avete fatto una traduzione e non è elencata qui, scrivali prego in modo da possiamo aggiornare il documento matrice.)

Norvegese Traduzione da Jon Haugsand

formatting link

1.6 Contributori Molta gente ha scritto i suggerimenti utili ed il commento premuroso. Siamo riconoscenti a tutti i contributori. Vorremmo ringraziare il afew per nome: Keinanen ;Vesa, Allen Leibowitz, chapman del brent, Brian Boyle, D. Clyde Williamson, Richard Reiner, William Sun, Humberto Ortiz Zuazaga e speranza di Theodore.

1.7 Copyright ed uso Copyright ©1995-1996, 1998 Marcus J. Ranum. Copyright ©1998-2002 Curtin Opaco. Copyright 2004, Paul D. Robertson. Tutti i diritti riservati. Questo documento può essere usato, ristampato ed essere ridistribuito come sta fornendo questo avviso di copyright e tutte le attribuzioni rimangono intact. Le traduzioni del testo completo dall'inglese originale ad altri linguaggi egualmente sono permesse esplicitamente. I traduttori possono aggiungere i loro nomi alla sezione `` dei contributori '.

2 principi fondamentali della parete refrattaria e della priorità bassa Prima di potere capire una discussione completa sulle pareti refrattarie, esso importante capire i principi di base che fanno funzionare le pareti refrattarie.

2.1 Che cosa è una parete refrattaria di rete? Una parete refrattaria è un sistema o un gruppo dei sistemi che fanno rispettare una politica di controllo di accesso fra due o più reti. Il mezzo reale da cui questo è compiuto varia ampiamente, ma nel principio, la parete refrattaria può pensarsi come ad accoppiamento dei meccanismi: uno che esiste per ostruire il traffico e l'altro che esista per consentire il traffico. Alcune pareti refrattarie danno un'importanza più grande sull'ostruire il traffico, mentre altre danno risalto al traffico consentente. Probabilmente la cosa più importante da riconoscere circa una parete refrattaria è che effettua una politica di controllo di accesso. Se non avete una buona idea di che genere di accesso desiderate concedere o negare, una parete refrattaria realmente non li aiuterà. È egualmente importante riconoscere che la configurazione della parete refrattaria, perché è un meccanismo per fare rispettare la politica, impone la relativa politica a tutto dietro esso. Gli amministratori per le pareti refrattarie che gestiscono la connettività per un grande numero di calcolatori centrali quindi hanno una responsabilità pesante.

2.2 Perchè desidererei una parete refrattaria? Il Internet, come qualunque altra società, è contagiato con il genere di scatti che godono l'equivalente elettronico di ammortizzare sulle pareti della gente con spraypaint, di strappo delle loro cassette postali, o appena di seduta nella via che salta i loro corni dell'automobile. Qualche gente prova ad ottenere il lavoro reale fatto sopra il Internet ed altre hanno dati che sensibili o riservati devono proteggere. Solitamente, lo scopo della parete refrattaria è mantenere gli scatti dalla vostra rete mentre ancora lasciandoli ottenere il vostro lavoro fatto.

Molti società e centri di dati di stile tradizionale hanno le politiche e pratiche di calcolo di sicurezza che devono essere seguite. In un caso dove le politiche dell'azienda dettano come i dati devono essere protetti, una parete refrattaria è molto importante, poiché è l'incorporamento della politica corporativa. Frequentemente, la parte più dura di agganciare al Internet, se you're una grande azienda, non sta giustificando la spesa o lo sforzo, ma sta convincendo la gestione che esso sicuro fare così. Una parete refrattaria fornisce non soltanto la sicurezza reale -- svolge spesso un ruolo importante come coperta di sicurezza per la gestione.

Infine, una parete refrattaria può fungere da vostro `` ''corporativo dell'ambasciatore al Internet. Molte società usano i loro sistemi della parete refrattaria come posto per memorizzare le informazioni pubbliche sui prodotti corporativi e sui servizi, archivi per trasferire, insetto-ripara e così avanti. alcuni di questi sistemi hanno parti importanti diventate della struttura di servizio del Internet (per esempio, UUnet.uu.net, whitehouse.gov, gatekeeper.dec.com) ed hanno riflesso bene sui loro garanti organizzativi. Si noti non normalmente che mentre questa è storicamente allineare, la maggior parte delle organizzazioni ora dispongono le informazioni pubbliche su un server di Web, protetto spesso da una parete refrattaria, ma sulla parete refrattaria in se.

2.3 Da che cosa può una parete refrattaria proteggere? Alcune pareti refrattarie consentono soltanto il traffico del email attraverso loro, quindi proteggendo la rete da tutti gli attacchi tranne gli attacchi dal servizio del email. Altre pareti refrattarie assicurano le protezioni meno rigorose ed ostruiscono i servizi che sono conosciuti per essere problemi.

Generalmente, le pareti refrattarie sono configurate per proteggere da unauthenticated gli inizio attività interattivi `` dal mondo del ''della parte esterna. Ciò, più di qualche cosa, aiuti impedisce ai vandals di annotare nelle macchine sulla vostra rete. Le pareti refrattarie più elaborate ostruiscono il traffico dalla parte esterna alla parte interna, ma permettono agli utenti sulla parte interna di comunicare liberamente con la parte esterna. La parete refrattaria può proteggerla da qualunque tipo di attacco rete-sopportato se lo disconnettete.

Le pareti refrattarie sono egualmente importanti poiché possono fornire un singolo `` ''del punto della bobina d'arresto in cui la sicurezza e la verifica possono essere imposte. Diverso dentro di una situazione dove un sistema di elaborazione sta attacando da qualcuno che compone dentro con un modem, la parete refrattaria può fungere da `` ''efficace del colpetto del telefono e strumento seguente. Le pareti refrattarie forniscono una funzione annotante e di verifica importante; forniscono spesso i sommari all'amministratore circa che generi e quantità di traffico ha attraversato esso, quanti tentativi là dovevano rompersi in esso, ecc.

Poiché di questo, i libri macchina della parete refrattaria sono dati criticamente importanti. Possono essere usati come prova in una corte di legge nella maggior parte dei paesi. Dovreste salvaguardare, analizzare e proteggere la parete refrattaria di yoru annota di conseguenza.

Ciò è un punto importante: fornire questo `` ''del punto della bobina d'arresto può avere lo stesso scopo sulla vostra rete come una latta custodita del cancello per i locali fisici del vostro luogo. Quello mezzi in qualsiasi momento avete un cambiamento `` nelle zone 'o nei livelli della sensibilità, un tal punto di controllo è adatto. Un'azienda non ha raramente soltanto un cancello esterno e receptionist o personale di sicurezza per controllare i distintivi sul modo dentro. Se ci sono strati di sicurezza sul vostro luogo, esso ragionevole per prevedere gli strati di sicurezza sulla vostra rete.

2.4 Che can't che una parete refrattaria protegge da? Le pareti refrattarie non possono proteggere dagli attacchi che non passano attraverso la parete refrattaria. Molte società che collegano al Internet sono molto interessate circa i dati riservati che fuoriescono fuori dell'azienda tramite quell'itinerario. Purtroppo per quelli interessati, azionamenti un nastro magnetico, un disco compatto, dell'istantaneo del USB o, di DVD inscatolano appena come sia usato efficacemente esportare i dati. Molte organizzazioni che sono terrorizzate (ad un livello di gestione) dei collegamenti del Internet non hanno politica coerente circa come manopola- in accesso via i modem dovrebbe essere protetto. Silly costruire un portello d'acciaio spesso del sei-piede quando vivete in una casa di legno, ma là è organizzazioni molto verso l'esterno là l'acquisto delle pareti refrattarie costose e trascurare il numeroso altri indietro-portelli nella loro rete. Affinchè una parete refrattaria funzioni, deve essere una parte di un'architettura organizzativa generale costante di sicurezza. Le politiche della parete refrattaria devono essere realistiche e riflettere il livello di sicurezza nell'intera rete. Per l'esempio, un luogo con bisogno segreto o classificato superiore del doesn't di dati una parete refrattaria affatto: shouldn't stanno collegando al Internet nel primo posto, o i sistemi con i dati realmente segreti dovrebbero essere isolati dal resto della rete corporativa.

Un'altra cosa che un can't della parete refrattaria realmente li protegge da è traitors o idiots all'interno della vostra rete. Mentre una spia industriale potrebbe esportare le informazioni attraverso la vostra parete refrattaria, lui appena come probabilmente per esportarlo attraverso un telefono, una macchina del FAX, o un disco compatto. CDs sono mezzi molto più probabili per informazione per fuoriuscire dalla vostra organizzazione che una parete refrattaria. Le pareti refrattarie anche non possono proteggerle da stupidity. Gli utenti che rivelano le informazioni sensibili sopra il telefono sono buoni obiettivi per ingegneria sociale; un attacker può potere rompersi nella vostra rete completamente escludendo la vostra parete refrattaria, se può trovare `` una parte interna utile degli impiegati del ''che può essere imbrogliata nel dare l'accesso ad uno stagno del modem. Prima di decidere questo isn't un problema nella vostra organizzazione, si chiede come molta difficoltà un appaltatore ha ottenere annotata nella rete o come molta difficoltà un utente che ha dimenticato la sua parola d'accesso doverla per ripristinarsi. Se la gente sul servizio d'assistenza crede che ogni chiamata sia interna, fate riparare un problema quel can't stringendo i comandi sulle pareti refrattarie.

Il can't delle pareti refrattarie protegge dall'eccedenza che di traforo la maggior parte dei protocolli di applicazione a trojaned o clienti male scritti. Non ci sono pallottole magiche e una parete refrattaria non è una giustificazione per non effettuare i comandi del software sulle reti interne o per non ignorare la sicurezza ospite sui server. Le cose difettose del ''di traforo `` sopra il HTTP, lo smtp ed altri protocolli è abbastanza semplici e dimostrate banalmente. Il fuoco del isn't di sicurezza `` e si dimentica ''.

Infine, il can't delle pareti refrattarie protegge dalle cose difettose che sono consentite con loro. Il caso, molti cavalli di Trojan usano il protocollo di chiacchierata del relè del Internet (IRC) per permettere che un attacker gestisca un calcolatore centrale interno compromesso da un server del IRC del pubblico. Se permettete che qualunque sistema interno colleghi a qualunque sistema esterno, quindi la vostra parete refrattaria non assicurerà protezione da questo vettore dell'attacco.

2.5 Che cosa circa i virus e l'altro malware? Le pareti refrattarie non possono proteggere molto bene dalle cose come i virus o il software cattivo (malware). Ci sono ugualmente molti modi di cifratura degli archivi in codice binari per il trasferimento sulle reti ed ugualmente molti architetture e virus differenti per provare a cercarle tutte. In altre parole, una parete refrattaria non può sostituire la sicurezza-coscienza sulla parte dei vostri utenti. In generale, una parete refrattaria non può proteggere da un attacco data-driven -- attacchi in cui qualcosa è spedita o copiata ad un calcolatore centrale interno in cui allora è eseguita. Questa forma dell'attacco si è presentata nel passato contro le varie versioni di sendmail, ghostscript, scripting gli agenti dell'utente della posta come i browsersdi Web e di prospettiva come il Internet Explorer.

Le organizzazioni che profondamente sono interessate circa i virus dovrebbero effettuare le misure di controllo organizzazione-larghe del virus. Piuttosto che soltanto provando a selezionare i virus fuori alla parete refrattaria, renda sicuro che ogni tavolo vulnerabile ha software di esame del virus che è funzionato quando la macchina rebooted. Ricoprendo della vostra rete con il software di esame del virus proteggerà dai virus che entrano via i dischetti, CDs, modem ed il Internet. Provare ad ostruire i virus alla parete refrattaria proteggerà soltanto dai virus dal Internet. L'esame del virus alla parete refrattaria o al Gateway di E-mail arresterà un grande numero di infezioni.

Tuttavia, un numero aumentante di fornitori della parete refrattaria sta offrendo `` il virus che rileva le pareti refrattarie del ''. They're probabilmente soltanto utile per gli utenti ingenui che scambiano i programmi eseguibili dell'Windows-su-Intel ed i documenti cattivo-macro-capaci di applicazione. Ci sono molti metodi parete-basati per occuparsi dei problemi come `` la vite senza fine del ''di ILOVEYOU e gli attacchi riferiti, ma questi sono metodi realmente troppo semplificati che provano a limitare danni di qualcosa che sia così stupido esso dovrebbe non accadere mai nel primo posto. Non conti su alcuna protezione dai attackers con questa caratteristica. (poiché `` il ''di ILOVEYOU è andato intorno, il we've visto al meno una mezza dozzina simile attaca, compreso melissa, Happy99, codifica il colore rosso e Badtrans.B, tutto il cui è stato passato felicemente tramite molti pareti refrattarie e Gateway dirilevazione di E-mail.)

Una parete refrattaria forte non è mai un sostituto per software ragionevole che riconosce la natura di che cosa sta maneggiando -- untrusted i dati dall'unauthenticated il partito -- e si comporta giustamente. Non pensi che perché `` tutto ''sta utilizzando quel bollettino o perché il fornitore è un'azienda multinazionale pantagruelica, voi sono sicuro. Infatti, non è allineare che `` tutto ''sta utilizzando tutto il bollettino e le aziende che si specializzano nella tecnologia di rotazione inventata altrove in qualcosa che sia `` facile da usare il ''senza alcuna perizia sono più probabili produrre il software che può essere imbrogliato. Ulteriore considerazione di questo soggetto sarebbe utile [3], ma è oltre la portata di questo documento.

2.6 IPSEC renderà le pareti refrattarie obsolete? Alcuni hanno sostenuto che questo è il caso. Prima della pronuncia della così previsione ampia, tuttavia, è interessante da considerare che cosa IPSEC è e che cosa. Una volta che conosciamo questo, possiamo considerare se IPSEC risolverà i problemi quel we're che prova a risolvere con le pareti refrattarie.

IPSEC (sicurezza del IP) si riferisce ad un insieme degli standard sviluppati dal Internet Engineering Task Force (IETF). Ci sono molti documenti che definiscono collettivamente che cosa è conosciuto come `` ''di IPSEC ;[6]. IPSEC risolve due problemi che hanno contagiato il suite di protocollo del IP per gli anni: autenticazione del calcolatore-$$$-CALCOLATORE centrale (che lascerà i calcolatori centrali conoscere quel they're che comunica con calcolatori centrali pensano che siano) e crittografia (che impedirà i attackers potere guardare il traffico andare fra le

Back to Top FAQ della parete refrattaria in italiano 2 Si noti che nessuno di questi problemi è che cosa le pareti refrattarie sono state create per risolvere. Anche se le pareti refrattarie possono contribuire ad attenuare alcuni dei rischi presenti su un Internet senza autenticazione o crittografia, ci sono realmente due codici categoria dei problemi qui: integrità e segretezza delle informazioni che fluiscono fra i calcolatori centrali ed i limiti disposti su che generi di connettività è permesso fra le reti differenti. IPSEC richiama il codice categoria e le pareti refrattarie precedenti il posteriore.

Che cosa questi il mezzo è quell'non eliminerà l'esigenza dell'altro, ma crea alcune possibilità interessanti quando guardiamo unenti le pareti refrattarie con i calcolatori centrali IPSEC-permessi. Vale a dire, tali cose come le reti riservate virtuali fornitore-indipendenti (VPNs), la filtrazione migliore del pacchetto (filtrando sopra se i pacchetti hanno l'intestazione di autenticazione di IPSEC) e le pareti refrattarie di applicazione-strato potranno avere mezzi migliori di verifica ospite realmente usando l'intestazione di autenticazione di IPSEC anziché `` ''che fidantesi giusto il IP address si è presentato.

2.7 Che cosa sono buone sorgenti delle informazioni della stampa sulle pareti refrattarie? Ci sono parecchi libri che toccano sulle pareti refrattarie. Conosciuti il più bene sono:

Pareti refrattarie del Internet della costruzione, 2d ed. Autori Elizabeth D. Zwicky, cooper del Simon e D. Brent Chapman Editore O'Reilly Edizione 2000 ISBN 1-56592-871-7

Pareti refrattarie e sicurezza del Internet: Respinta del hacker wily Autori Fattura Cheswick, Steve Bellovin, Avi Rubin Editore Addison Wesley Edizione 2003 ISBN 020163466X

Sicurezza Pratica Di UNIX & Del Internet Autori Simson Garfinkel e gene Spafford Editore O'Reilly Edizione 1996 ISBN 1-56592-148-8 Nota Discute soprattutto la sicurezza ospite. I riferimenti relativi sono:

Internetworking con TCP/IP Vols I, IIed III Autori Comer ;della Douglas e David ;Stevens Editore Prentice-Corridoio Edizione 1991 ISBN 0-13-468505-9 (i), 0-13-472242-6 (ii), 0-13-474222-2 (iii) Commento Una discussione dettagliata sull'architettura ed implementazione del Internet e dei relativi protocolli. Il volume I (sui principii, sui protocolli e sull'architettura) è leggibile da tutto. Il volume 2 (sul disegno, sull'implementazione e sui internals) è più tecnico. Computazione del cliente-server delle coperture del volume 3.

Sicurezza del sistema di UNIX -- una guida per gli utenti e gli amministratori di sistema Autore Curry Di David Editore Addison Wesley Edizione 1992 ISBN 0-201-56327-4

2.8 Dove posso ottenere le più informazioni sulle pareti refrattarie sul Internet?

Manuale Di Sicurezza Del Luogo

formatting link
il manuale di sicurezza del luogo è un documento dello IETF delle informazioni che descrive le domande fondamentali che devono essere indirizzate per buona sicurezza del luogo della costruzione. Le pareti refrattarie sono una parte di più grande strategia di sicurezza, poichè il manuale di sicurezza del luogo mostra. Pareti refrattarie Che Spediscono Lista
formatting link
le pareti refrattarie del Internet che spediscono la lista è una tribuna per gli amministratori ed i implementors della parete refrattaria. Parete-Firewall-Wizards Che Spediscono Lista
formatting link
i wizards della parete refrattaria che spediscono la lista è una parete refrattaria moderata e una lista riferita sicurezza che è più come un giornale che un soapbox pubblico. Parete refrattaria HOWTO
formatting link
descrive esattamente che cosa è necessario costruire una parete refrattaria, specialmente usando Linux. Toolkit della parete refrattaria (FWTK) e carte dalla parete refrattaria ftp://ftp.tis.com/pub/firewalls/ Pubblicazioni relative della parete refrattaria di Marcus Ranum
formatting link
Strumenti di sicurezza dell'università del Texas A&M
formatting link
Pagina delle pareti refrattarie del Internet di progetto del LITORALE
formatting link

3 edizioni di implementazione e di disegno

3.1 Che cosa sono alcune delle decisioni di base di disegno in una parete refrattaria? Ci è un numero di edizioni di base di disegno che dovrebbero essere indirizzate dalla persona fortunata che è stata tasked con la responsabilità di progettazione, di specificare e di effettuare o della sorveglianza dell'installazione di una parete refrattaria.

La prima e maggior parte della decisione importante riflette la politica di come la vostra azienda o organizzazione desidera funzionare il sistema: è sul posto esplicitamente la parete refrattaria per negare tutti i servizi tranne quelle critiche alla missione di collegamento alla rete, o è la parete refrattaria sul posto per fornire un metodo misurato e verificato `` di accesso facente la coda del ''in un modo non-minaccioso? Ci sono gradi di paranoia fra queste posizioni; la posizione finale della vostra parete refrattaria ha potuto essere più il risultato di un politico che una decisione di ingegneria.

Il secondo è: che livello di controllo, la sovrabbondanza e controllo desiderate? Stabilendo il livello accettabile di rischio (cioè, come il paranoid voi è) risolvendo il primo problema, potete formare una lista di controllo di che cosa dovrebbe essere controllato, consentito ed essere negato. Cioè cominciate calcolando verso l'esterno i vostri obiettivi generali ed allora unite avete bisogno dell'analisi con una valutazione di rischio ed ordinate i requisiti quasi sempre stanti in conflitto fuori in una lista della lavanderia che specifica che cosa progettate effettuare.

La terza edizione è finanziaria. Non possiamo richiamare questo qui qualche cosa ma nei termini vaghi, ma è importante da provare misurare tutte le soluzioni proposte in termini di quanto costerà uno per comprare o effettuare. Per l'esempio, un prodotto completo della parete refrattaria può costare fra $100.000 all'alta estremità e libera all'estremità bassa. L'opzione libera, di fare una certa immaginazione che configura su un Cisco o su un router simile non costerà niente ma il tempo del personale e lle poche tazze di caffè. Effettuare un'alta parete refrattaria dell'estremità da zero potrebbe costare parecchi mesi lavorativi, che possono identificare a valore $30.000 dello stipendio e dei benefici del personale. Le spese generali di gestione dei sistemi sono egualmente una considerazione. Lo sviluppo della sede-fermentazione è benissimo, ma esso importante costruirlo così che doesn't richiede l'attenzione costante (e costosa). Importante, in altre parole, valutare le pareti refrattarie non soltanto nei termini di che cosa ora costano, ma nella continuazione costa tali come il supporto.

Dal lato tecnico, ci sono lle coppie delle decisioni da fare, basate sul fatto che per tutti gli scopi pratici che cosa stiamo parlando è un servizio statico di percorso di traffico disposto fra il router del fornitore di servizio della rete e la vostra rete interna. Il servizio di percorso di traffico può essere effettuato ad un livello del IP via qualcosa come le regole della selezione in un router, o ad un livello di applicazione via i Gateway ed i servizi di procura.

La decisione da fare è se disporre una macchina messa a nudo-giù esposta sulla rete esterna per fare funzionare i servizi di procura per il telnet, il ftp, le notizie, ecc., o se installare un router della selezione come filtro, consentendo la comunicazione con una o più macchina interna. Ci sono benefici e svantaggi ad entrambi i metodi, con la macchina di procura che fornisce un livello più grande della verifica e, potenzialmente, la sicurezza nel ritorno per il costo aumentato nella configurazione e una diminuzione nel livello di servizio che può essere fornito (poiché una procura deve essere sviluppata per ogni servizio voluto). La vecchia alternanza fra facilità di uso e sicurezza ritorna frequentarla con un vengeance.

3.2 Che cosa sono i tipi di base di pareti refrattarie? Concettualmente, ci sono tre tipi di pareti refrattarie:

Strato di rete Strato di applicazione Ibridi Non sono differenti come potreste pensare e le ultime tecnologie stanno offuscando la distinzione al punto in cui non è più chiara se uno uno è `` ''migliore o `` più difettoso.'' Come sempre, dovete fare attenzione selezionare il tipo che soddisfa le vostre esigenze.

Quale è quale dipende da che meccanismi la parete refrattaria usa passare il traffico da una zona di sicurezza ad un altro. Il modello internazionale di interconnessione dei sistemi aperti di organizzazione di normalizzazione (iso) (OSI) per rete definisce sette strati, dove ogni strato fornisce i servizi da che `` gli strati di più alto livello del ''dipendono. Nell'ordine dalla parte inferiore, questi strati sono fisici, programmazione dei dati, la rete, il trasporto, la sessione, la presentazione, applicazione.

La cosa importante da riconoscere è che l'a livello più basso il meccanismo di spedizione, meno esame che la parete refrattaria può effettuare. Generalmente parlando, le pareti refrattarie a livello più basso sono più veloci, ma sono più facili da imbrogliare nel fare la cosa errata.

Attualmente, la maggior parte delle pareti refrattarie entrano `` nella categoria ibrida del '', che fanno la rete che filtra così come una certa quantità di controllo di applicazione. L'importo cambia la dipendenza dal fornitore, dal prodotto, dal protocollo e dalla versione, in modo da un certo livello di scavatura e/o di prova è necessario spesso.

3.2.1 Pareti refrattarie di strato di rete Questi prendono generalmente le loro decisioni basate sulla sorgente, sugli indirizzi di destinazione e sulle porte (veda l'appendice 6 per una discussione più dettagliata sulle porte) in diversi pacchetti del IP. Un router semplice è `` la parete refrattaria tradizionale di strato di rete del '', poiché non può da prendere specialmente le decisioni specializzate circa da ché pacchetto realmente sta comunicando con o da dove realmente è venuto. Le pareti refrattarie moderne di strato di rete sono diventato sempre più specializzate ed ora effettuano le informazioni interne sul dichiarare dei collegamenti che passano attraverso loro, sul contenuto di alcuno dei flussi di dati e così via. Una cosa che una distinzione importante circa molte pareti refrattarie di strato di rete è che dirigono direttamente il traffico comunque loro, in modo da ad uso uno dovete avere un blocchetto bene assegnato di indirizzo del IP o usare `` un blocchetto riservato di indirizzo del ''del Internet [5]. Le pareti refrattarie di strato di rete tendono ad essere molto veloci ed a tendere ad essere molto trasparenti agli utenti.

Figura 1: Parete refrattaria Selezionata Ospite

Nella figura 1, una parete refrattaria di strato di rete ha chiamato `` un calcolatore centrale selezionato il ''della parete refrattaria che è rappresentato. In una parete refrattaria selezionata ospite, l'accesso a e da un singolo calcolatore centrale è gestito il per mezzo di un router che funziona ad uno strato di rete. Il singolo calcolatore centrale è un calcolatore centrale del bastion; un forte-punto alto-difeso ed assicurato che (eventualmente) può resistere all'attacco.

Figura 2: Parete refrattaria Selezionata Di Sottorete

Parete refrattaria di strato di rete di esempio: Nella figura 2, una parete refrattaria di strato di rete ha chiamato `` un ''selezionato della parete refrattaria di sottorete è rappresentata. In una parete refrattaria selezionata di sottorete, l'accesso a e da una rete intera è gestito il per mezzo di un router che funziona ad uno strato di rete. È simile ad un calcolatore centrale selezionato, tranne che è, efficacemente, una rete dei calcolatori centrali selezionati.

3.2.2 Pareti refrattarie di strato di applicazione Questi sono generalmente calcolatori centrali che fanno funzionare i server di procura, che non consentono traffico direttamente fra le reti e che realizzano annotare e la verifica elaborate del traffico che passa con loro. Poiché le applicazioni di procura sono componenti di software che funzionano sulla parete refrattaria, è un buon posto per fare i lotti di controllo di accesso ed annotare. Le pareti refrattarie di strato di applicazione possono essere usate come traduttori di indirizzo di rete, poiché il traffico va in uno `` ''laterale e verso l'esterno l'altro, dopo passanti con un'applicazione che maschera efficacemente l'origine del collegamento d'inizio. Avendo un'applicazione nel modo in alcuni casi può avere effetto sulle prestazioni e può rendere la parete refrattaria meno trasparente. Le pareti refrattarie in anticipo di strato di applicazione tali come quelle costruite usando il toolkit della parete refrattaria di TIS, non sono particolarmente trasparenti agli utenti dell'estremità e possono richiedere un certo addestramento. Le pareti refrattarie moderne di strato di applicazione sono spesso completamente trasparenti. Le pareti refrattarie di strato di applicazione tendono a fornire i rapporti di verifica più dettagliati ed a tendere a fare rispettare i modelli più conservatori di sicurezza che le pareti refrattarie di strato di rete.

Figura 3: Si raddoppia Il Gateway Homed

Parete refrattaria di strato di applicazione di esempio: Nella figura

3, una parete refrattaria di strato di applicazione chiamata `` un ''homed doppio del Gateway è rappresentata. Un Gateway homed doppio è un calcolatore centrale altamente assicurato che fa funzionare il software di procura. Ha due interfacce della rete, una su ogni rete ed ostruisce tutto il traffico che passa con esso.

La maggior parte delle pareti refrattarie ora si trovano in qualche luogo fra le pareti refrattarie di strato di rete e le pareti refrattarie di strato di applicazione. Come previsto, le pareti refrattarie di strato di rete hanno `` ''informato sempre più diventato delle informazioni che passano attraverso loro e le pareti refrattarie di strato di applicazione hanno `` ''sempre più diventato del basso livello e trasparenti. Il risultato finale è che ora ci sono sistemi veloci della pacchetto-selezione che libro macchina e dati di verifica come attraversano il sistema. Sempre più, le pareti refrattarie (rete e strato di applicazione) comprendono la crittografia così che possono proteggere il traffico che passa fra loro sopra il Internet. Le pareti refrattarie con la crittografia faccia a faccia possono essere usate dalle organizzazioni con i punti multipli della connettività del Internet per usare il Internet come `` ''riservato della base senza preoccuparsi per i loro dati o parole d'accesso che sono fiutati. (IPSEC, descritto nella parte 2.6, sta svolgendo un ruolo sempre più significativo nella costruzione di tali reti riservate virtuali.)

3.3 Che cosa sono server di procura e come funzionano? Un proxy server (a volte citato come un Gateway o forwarder di applicazione) è un'applicazione che media il traffico fra una rete protetta ed il Internet. Le procure sono usate spesso anziché le discipline del traffico router-basate, per impedire il traffico passare direttamente fra le reti. Molte procure contengono il supplemento che annota o contributo all'autenticazione dell'utente. Poiché le procure devono `` capire il ''il protocollo di applicazione che usando, possono anche effettuare la sicurezza specifica di protocollo (per esempio, una procura del ftp potrebbe essere configurabile consentire il ftp ricevuto ed ostruire il ftp uscente).

I server di procura sono applicazione specifica. Per sostenere un nuovo protocollo via una procura, una procura deve essere sviluppata per esso. Un insieme popolare dei server di procura è il toolkit della parete refrattaria del Internet di TIS (``FWTK '') che include le procure per il telnet, il rlogin, il ftp, le notizie del sistema, di HTTP/Web e di NNTP/Usenet della finestra di X. I CALZINI è un sistema generico di procura che può essere compilato in un'applicazione del cliente-lato per rendergli il lavoro attraverso una parete refrattaria. Il relativo vantaggio è che esso facile usare, ma esso supporto che del doesn't l'aggiunta dell'autenticazione aggancia o di annotare specifico di protocollo. Per le più informazioni sui CALZINI, veda

formatting link

3.4 Che cosa sono alcuni strumenti poco costosi della selezione del pacchetto? Gli strumenti di sicurezza dell'università del Texas A&M includono il software per i routers effettuanti della selezione. Karlbridge è un kit selezionante Pc-basato del router disponibile da ftp://ftp.net.ohio-state.edu/pub/kbridge/.

Ci sono schermi numerosi del pacchetto del nocciolo-livello, compreso ipf, ipfw, ipchains, pfed ipfwadm. Tipicamente, questi sono inclusi in varie implementazioni libere di UNIX, tali come FreeBSD, OpenBSD, NetBSDe Linux. Potreste anche trovare questi strumenti disponibili nella vostra implementazione commerciale di UNIX.

Se you're che vuole ottenerlo alle vostre mani un piccolo sporco, completamente possibile costruire una parete refrattaria sicura e completamente funzionale per il prezzo di hardware ed alcuno del vostro tempo.

3.5 Che cosa sono alcune regole di filtrazione ragionevoli per uno schermo nocciolo-basato del pacchetto? Questo esempio è scritto specificamente per ipfwadm su Linux, ma i principii (e perfino gran parte della sintassi) fa domanda per altre interfacce del nocciolo per la selezione del pacchetto `` sui sistemi aperti di UNIX del ''di sorgente.

Ci sono quattro categorie di base coperte dalle regole del ipfwadm:

- A Contabilità Del Pacchetto - I Parete refrattaria dell'input - O Parete refrattaria dell'uscita - F Parete refrattaria di spedizione il ipfwadm egualmente ha masquerading (-M) possibilità. Per le più informazioni sugli interruttori e sulle opzioni, veda la pagina dell'uomo del ipfwadm.

3.5.1 Implementazione Qui, la nostra organizzazione sta usando (RFC 1918 ) una rete riservata 192.168.1.0 del codice categoria C. Il nostro ISP ci ha assegnato gli indirizzi 201.123.102.32 per l'interfaccia esterna del nostro Gateway e 201.123.102.33 per il nostro server esterno della posta. La politica organizzativa dice:

Permetta tutti i collegamenti uscenti di TCP Permetta lo smtp ricevuto ed il DNS al mail server esterno Ostruisca tutto il altro traffico Il seguente blocco dei comandi può essere disposto in un archivio del caricamento del sistema del sistema (forse rc.local sui sistemi di UNIX).

il ipfwadm - F - ipfwadm di f - F - p nega il ipfwadm - F - i m. - b - P tcp - S 0.0.0.0/0 1024:65535 - ipfwadm 25 - F di D 201.123.102.33 - i m. - b - P tcp - S 0.0.0.0/0 1024:65535 - ipfwadm 53 - F di D 201.123.102.33 - i m. - b - UDP di P - S 0.0.0.0/0 1024:65535 - ipfwadm 53 - F di D 201.123.102.33 - una m. - S 192.168.1.0/24 - D 0.0.0.0/0 - il W eth0 /sbin/route aggiunge - ospita 201.123.102.33 gw 192.168.1.2

3.5.2 Spiegazione La riga una irriga (- f) tutte le regole di spedizione(-F). Riga due insiemi politica di difetto (-p) negare. Le righe da tre a cinque sono regole immesse (-i) nel seguente formato: ipfwadm - F (di andata) - i (input) m. (masq.) - protocol)[protocol di b (bidirezionale ) - P ]- S (source)[subnet/mask ] [ che produce le porte ]- D (destination)[subnet/mask][port ]

La riga sei collega (-a) una regola che consente tutto il IP interno richiama fuori a tutti gli indirizzi esterni su tutti i protocolli, tutte le porte.

La riga otto aggiunge un itinerario in modo che il traffico che va a

201.123.102.33 sia diretto verso l'indirizzo interno 192.168.1.2.

3.6 Che cosa sono alcune regole di filtrazione ragionevoli per un Cisco? L'esempio nella figura 4 mostra una configurazione possibile per usando il Cisco come router di filtrazione. È un campione che mostra l'implementazione come di politica specifica. La vostra politica varierà indubbiamente.

Figura 4: Router Di Filtrazione Del Pacchetto

In questo esempio, un'azienda ha indirizzo di rete del codice categoria C 195.55.55.0. La rete dell'azienda è collegata al Internet via il fornitore di servizio del IP. La politica dell'azienda è di concedere ognuno l'accesso ai servizi del Internet, in modo da tutti i collegamenti uscenti sono accettati. Tutti i collegamenti ricevuti passano attraverso `` mailhost ''. La posta ed il DNS sono soltanto servizi ricevuti.

3.6.1 Implementazione

Permetta tutto il TCP-connections uscente Permetta lo smtp ricevuto ed il DNS a mailhost Permetta i collegamenti di dati ricevuti del ftp all'alta porta di TCP (1024) Provi a proteggere i servizi che vivono sugli alti numeri port Soltanto i pacchetti ricevuti dal Internet sono controllati dentro questa configurazione. Le regole sono esaminate nell'ordine e si arrestano quando la prima corrispondenza è trovata. Ci è un implicito nega la regola all'estremità di una lista di accesso che nega tutto. Questa lista di accesso del IP suppone che state facendo funzionare l'IOS v del Cisco. 10.3 o successivamente.

nessun IP sorgente-dirige! Ethernet dell'interfaccia 0 IP address 195.55.55.1 che nessun IP dirig-ha trasmesso per radio! la pubblicazione periodica 0 dell'interfaccia nessun IP dirig-ha trasmesso per radio il accesso-gruppo 101 del IP dentro! la accesso-lista 101 nega il IP 127.0.0.0 che 0.255.255.255 tutte le accesso-liste 101 negano il IP 10.0.0.0 0.255.255.255 qualunque accesso-liste 101 negano il IP 172.16.0.0 0.15.255.255 tutte le accesso-liste 101 negano il IP 192.168.0.0 0.0.255.255 qualunque accesso-liste 101 rifiutano a IP qualunque 0.0.0.255 255.255.255.0 la accesso-lista 101 rifiuta a IP qualunque 0.0.0.0 255.255.255.0! la accesso-lista 101 rifiuta a IP 195.55.55.0 0.0.0.255 accesso-liste 101 qualsiasi di tcp del permesso affatto stabilito! permesso tcp della accesso-lista 101 qualsiasi permesso tcp della accesso-lista 101 dello smtp del eq ospite 195.55.55.10 qualsiasi UDP del permesso della accesso-lista 101 di dns del eq ospite 195.55.55.10 qualsiasi eq dns ospite 192.55.55.10! la accesso-lista 101 rifiuta a tcp tutta la qualunque gamma 6000 6003 che la accesso-lista 101 rifiuta a tcp tutta la qualunque gamma 2000 2003 accesso-liste 101 negano il tcp tutta la qualunque accesso-lista 2049 del eq 101 rifiuti a UDP a tutto il qualunque eq 2049! permesso tcp della accesso-lista 101 qualsiasi 20 qualsiasi gt 1024! ICMP qualsiasi c'è ne del permesso della accesso-lista 101! riga 0 4 accesso-codici categoria vty 2 del RO 2 della Comunità FOOBAR del SNMP-SERVER nel permesso 195.55.55.0 0.0.0.255 della accesso-lista 2

3.6.2 Spiegazioni Cada tutti i pacchetti sorgente-diretti. Il percorso di sorgente può essere usato per l'indirizzo che spoofing. La goccia ha diretto le radiodiffusioni, che sono usate negli attacchi dello smurf. Se un pacchetto ricevuto sostiene provenire da una rete locale, da una rete di "loopback", o da una rete riservata, cadala. Tutti i pacchetti che fanno parte di TCP-connections già stabilito possono passare attraverso senza più ulteriormente controllare. Tutti i collegamenti ai numeri port bassi sono ostruiti tranne lo smtp ed il DNS. Ostruisca tutti i servizi che ascoltano i collegamenti di TCP sugli alti numeri port. X11 (porta 6000+), OpenWindows (porta 2000+) sono pochi candidati. Il NFS (porta 2049) li fa funzionare il UDP solitamente eccessivo, ma può essere fatto funzionare sopra il TCP, in modo da dovrebbe ostruirlo. I collegamenti ricevuti da porta 20 negli alti numeri port sono supposti per essere collegamenti di dati del ftp. la Accesso-lista 2 limita l'accesso al router in se (telnet & SNMP) Tutto il traffico del UDP è ostruito per proteggere i servizi del RPC 3.6.3 Imperfezioni

Non potete fare rispettare le politiche forti di accesso con le liste di accesso del router. Gli utenti possono installare facilmente i backdoors ai loro sistemi per non ottenere ad eccedenza `` ''ricevuto del telnet o `` regole del ''X11. Egualmente i cracker installano i backdoors del telnet sui sistemi in cui rodaggio.

Potete mai essere sicuri che servizio ascoltare i collegamenti sugli alti numeri port. (can't siete sicuri di che servizio ascoltare i collegamenti sui numeri port bassi, uno, particolarmente negli ambienti altamente decentralizzati in cui la gente può mettere le loro proprie macchine sulla rete o dove possono ottenere l'accesso amministrativo alle loro proprie macchine.)

Il controllo della porta di sorgente sui collegamenti di dati ricevuti del ftp è un metodo debole di sicurezza. Egualmente rompe l'accesso ad alcuni luoghi del ftp. Fa l'uso del servizio più difficile per gli utenti senza impedire ai tipi difettosi di esplorare i vostri sistemi. Uso a meno versione 9.21 del Cisco così potete filtrare i pacchetti ricevuti e controllare per vedere se c'è l'indirizzo che spoofing. Ancora migliora per usare 10.3, dove ottenete alcune caratteristiche supplementari (come la filtrazione sulla porta di sorgente) ed alcuni miglioramenti su sintassi del filtro.

Avete ancora pochi modi rendere la vostra messa a punto più forte. Ostruisca tutto il TCP-connections ricevuto e dica agli utenti di usare i clienti passivo-Ftp. Potete anche ostruire il ICMP uscente eco-rispondete e messaggi destinazione-destination-unreachable per nascondere la vostra rete e per impedire l'uso dei dispositivi d'esplorazione della rete. L'uso di Cisco.com avere un archivio degli esempi per la costruzione delle pareti refrattarie per mezzo dei routers del Cisco, ma esso doesn't sembrerà essere in linea più. Ci sono alcune note sulle liste di controllo di accesso del Cisco, a minimi, a ftp://ftp.cisco.com/pub/mibs/app_notes/access-lists.

3.7 Che cosa sono le risorse critiche in una parete refrattaria? Esso importante capire le risorse critiche della vostra architettura della parete refrattaria, in modo da quando fate la pianificazione di capienza, le ottimizzazioni di prestazioni, ecc., voi sanno esattamente che cosa dovete fare e molto voi deve farlo nell'ordine per ottenere il risultato voluto.

Che cosa le risorse critiche della parete refrattaria sono esattamente tende a variare dal luogo al luogo, dipendendo dall'ordinamento di traffico che carica il sistema. Qualche gente pensa che il they'll possa automaticamente aumentare il rendimento di dati della loro parete refrattaria mettendo in una casella con un CPU più veloce, o un altro CPU, quando questo isn't necessariamente il caso. Potenzialmente, questo potrebbe essere un grande spreco di soldi che il doesn't fa qualche cosa risolvere il problema alla mano o fornire lo scalability previsto.

Sui sistemi occupati, la memoria è estremamente importante. Avete avere abbastanza RAM per sostenere ogni caso di ogni programma necessario per assistere il carico disposto su quella macchina. Altrimenti, la permutazione cominci ed il rendimento si arresterà. La permutazione chiara non è solitamente molta di un problema, ma se lo spazio di scambio del sistema comincia ad ottenere occupato, quindi di esso è solitamente tempo per più RAM. Un sistema che pesante permutazione è spesso relativamente facile da spingere sopra il bordo in un attacco di smentita-de-servizio, o cade semplicemente dietro nell'elaborare il carico disposto su esso. Ciò è dove il email lungo fa ritardare l'inizio.

Oltre il requisito del sistema della memoria, è utile capire che i servizi differenti usano le risorse di sistema differenti. Così la configurazione che avete per il vostro sistema dovrebbe essere indicativa del genere di carico che progettate assistere. Un isn't del processor da

1400 megahertz che va farli molta merce se tutto il fare del you're è Netnews e posta e sta provando a farlo su un disco di ido con un regolatore di ISA.

Tabella 1: Risorse critiche per i servizi della parete refrattaria Servizio Risorsa Critica Email Disco I/O Netnews Disco I/O Web Prestazioni Dello Zoccolo di OS Ospite Percorso del IP Prestazioni Dello Zoccolo di OS Ospite Nascondiglio Di Web Prestazioni Dello Zoccolo di OS Ospite, Disco I/O

3.8 Che cosa è un DMZ e perchè io desidera uno? Back to Top FAQ della parete refrattaria in italiano 3 `` il ''di DMZ è un'abbreviazione per `` la zona demilitarized ''. Nel contesto delle pareti refrattarie, questo si riferisce ad una parte della rete che fa parte nè della rete interna nè direttamente parte del Internet. Tipicamente, questa è la zona fra il vostro router di accesso del Internet ed il vostro calcolatore centrale del bastion, benchè possa essere fra tutti i due componenti politica-facenti rispettare della vostra architettura.

Un DMZ può essere creato mettendo le liste di controllo di accesso sul vostro router di accesso. Ciò minimizza l'esposizione dei calcolatori centrali sulla vostra lan esterna dai servizi soltanto riconosciuti e gestiti concedere di quei calcolatori centrali per essere accessibile dai calcolatori centrali sul Internet. Molte pareti refrattarie commerciali fanno semplicemente una terza interfaccia fuori del calcolatore centrale del bastion e la identificano il DMZ, il punto è che la rete è nè `` ''nè `` parte esterna 'della parte interna '.

Per l'esempio, un server di Web che funziona sul NT ha potuto essere vulnerabile ad un numero di attacchi di smentita-de-servizio contro tali servizi come il RPC, NetBIOS e SMB. Questi servizi non sono richiesti per il funzionamento di un server di Web, così ostruente i collegamenti di TCP alle porte 135, 137, 138 e 139 su quel calcolatore centrale ridurranno l'esposizione ad un attacco di smentita-de-servizio. Nel fatto, se ostruite tutto ma il traffico del HTTP a quel calcolatore centrale, un attacker avrà soltanto un servizio da attacare.

Ciò illustra un principio importante: mai i attackers di offerta più da funzionare con assolutamente da sostenere i servizi desiderano offrire il pubblico.

3.9 Come potrei aumentare la sicurezza e lo scalability del mio DMZ? Un metodo comune per un attacker deve rompersi in un calcolatore centrale che vulnerabile all'attacco ed ai rapporti di fiducia di impresa fra il calcolatore centrale vulnerabile e gli obiettivi più interessanti.

Se state facendo funzionare un numero di servizi che hanno livelli differenti di sicurezza, potreste desiderare studiare la possibilità di rompere il vostro DMZ in parecchie `` zone di sicurezza '. Ciò può essere fatta avendo un certo numero di reti differenti all'interno del DMZ. Per l'esempio, il router di accesso ha potuto alimentare due Ethernets, entrambi protetti da ACLs e quindi nel DMZ.

Su uno del Ethernets, potreste avere calcolatori centrali di cui lo scopo è assistere l'esigenza della vostra organizzazione della connettività del Internet. Questi probabilmente trasmetteranno la posta, le notizie ed il calcolatore centrale DNS. Sull'altra Ethernet potrebbero essere il vostro server(s) di Web ed altri calcolatori centrali che forniscono i servizi a favore degli utenti del Internet.

In molte organizzazioni, i servizi per gli utenti del Internet tendono ad essere custoditi meno con attenzione e sono più probabili fare le cose insicure. (per l'esempio, nel caso di un server di Web, unauthenticated ed untrusted gli utenti potrebbe fare funzionare il cgi, PHP, o altri programmi eseguibili. Ciò potrebbe essere ragionevole per il vostro server di Web, ma porta con esso un determinato insieme dei rischi che devono essere gestiti. Per un'organizzazione è probabile questi servizi è troppo rischioso farli funzionare su un calcolatore centrale del bastion, in cui slitti -in su può provocare il guasto completo dei meccanismi di sicurezza.)

Unendo i calcolatori centrali con i livelli simili del rischio sulle reti nel DMZ, potete contribuire a minimizzare l'effetto di un rodaggio al vostro luogo. Se qualcuno si rompe nel vostro server di Web sfruttando un certo insetto in vostro server di Web, il they'll non potere usarlo come punto di lancio per rompersi nella vostra rete riservata se i server di Web sono su una lan separata dai calcolatori centrali del bastion e voi don't hanno tutti i rapporti di fiducia fra il server di Web ed il calcolatore centrale del bastion.

Ora, tenga presente che questa è Ethernet. Se qualcuno si rompe nel vostro web server ed il vostro bastion host è su stessa Ethernet, un attacker può installare una ventosa sul vostro web server e guarda il traffico a e da il vostro bastion host. Ciò potrebbe rivelare le cose che possono essere usate per rompersi nel calcolatore centrale del bastion e per guadagnare l'accesso alla rete interna. (Ethernet passata può ridurre la vostra esposizione a questo genere di problema, ma non lo eliminerà.)

Servizi spaccanti in su non soltanto dal calcolatore centrale, ma la rete e limitando il livello di fiducia fra i calcolatori centrali su quelle reti, potete notevolmente ridurre la probabilità di un rodaggio su un calcolatore centrale che usando rompersi nell'altro. Dichiarato brevemente: rompendosi nel web server in questo caso non lo renderà affatto più facile rompersi nel bastion host.

Potete anche aumentare lo scalability della vostra architettura disponendo i calcolatori centrali sulle reti differenti. Poco macchine ci è di ripartire la larghezza di banda disponibile, più larghezza di banda ciascuno otterrà.

3.10 Che cosa è un singolo punto del ` di guasto 'e come io evita di avere uno? Un'architettura di cui la sicurezza munisce un meccanismo ha un singolo punto di guasto. Il software che fa funzionare i calcolatori centrali del bastion ha insetti. Le applicazioni hanno insetti. Il software che gestisce i routers ha insetti. Ha il significato usare tutti questi componenti per sviluppare una rete saldamente progettata e per usarli nei modi ridondanti.

Se la vostra architettura della parete refrattaria è una sottorete selezionata, avete due routers di filtrazione del pacchetto e un calcolatore centrale del bastion. (veda la domanda 3.2 da questa sezione.) Il vostro router di accesso del Internet non consentirà il traffico dal Internet di entrare tutto il modo nella vostra rete riservata. Tuttavia, se don't fate rispettare che regola con qualunque altri meccanismi sul router ospite e/o della bobina d'arresto del bastion, solo un componente della vostra architettura deve venire a mancare o compromettersi nell'ordine per ottenere all'interno. Sull'altra mano, se avete una regola ridondante sul calcolatore centrale del bastion ed ancora sul router della bobina d'arresto, un attacker dovrà sconfiggere tre meccanismi.

Più ulteriormente, se il calcolatore centrale del bastion o il router della bobina d'arresto deve invocare la relativa regola per ostruire l'accesso esterno alla rete interna, potreste desiderare farla fare scattare l'allarme di un certo ordinamento, poiché sapete che qualcuno ha ottenuto tramite il vostro router di accesso.

3.11 Come posso ostruire tutto il roba difettoso? Per le pareti refrattarie in cui l'enfasi è su sicurezza anziché la connettività, dovreste studiare la possibilità di ostruire tutto per il difetto e soltanto specificamente di permettere che servizi avete bisogno su una base del contenitore-da-contenitore.

Se ostruite tutto, a meno che un insieme specifico dei servizi, allora you've già reso al vostro lavoro molto più facile. Invece di avere preoccupare per ogni problema di sicurezza con tutto il prodotto ed il servizio intorno, dovete soltanto preoccuparsi per ogni problema di sicurezza con un insieme specifico dei servizi e dei prodotti.

Prima della rotazione su un servizio, dovreste considerare una coppia delle domande:

È il protocollo per questo prodotto un protocollo ben noto e pubblicato? È il servizio di applicazione questo protocollo disponibile per controllo pubblico della relativa implementazione? Quanto il pozzo conosciuto è il servizio ed il prodotto? Come permettendo questo servizio cambia l'architettura della parete refrattaria? Un attacker vedrà diversamente le cose? Potrebbe essere sfruttata per ottenere alla mia rete interna, o per cambiare le cose sui calcolatori centrali nel mio DMZ? Quando tenendo conto di suddette domande, tenga quanto segue presente:

`` la sicurezza attraverso il ''di obscurity è sicurezza affatto. I protocolli non pubblicati sono stati esaminati dai tipi difettosi e sono stati sconfitti. Malgrado che cosa i rappresentanti di vendita dicono, non ogni protocollo o servizio è progettato con sicurezza in mente. Infatti, il numero che è è molto poco. Anche nei casi in cui la sicurezza è una considerazione, non tutte le organizzazioni hanno personale competente di sicurezza. Fra coloro che non, non tutti sono disposti ad introdurre un consulente competente nel progetto. Il risultato finale è quello altrimenti-competente, sviluppatori bene-progettati può progettare i sistemi insicuri. Di meno un fornitore è disposto a dirvi che a questo proposito come il loro sistema realmente funziona, più probabile è che i problemi altra o (di sicurezza) esiste. Soltanto i fornitori con qualcosa nascondersi hanno un motivo nascondere i loro disegni ed implementazioni [2].

3.12 Come posso limitare l'accesso di Web in modo da gli utenti non possono osservare i luoghi indipendenti per lavorare? Alcuni anni fa, qualcuno ha ottenuto l'idea che è una buona idea ostruire `` i luoghi difettosi di Web del '', cioè, quelli che contengono il materiale quel l'azienda osservano `` inadeguato ''. L'idea sta aumentando di popolarità, ma ci sono parecchie cose da considerare quando pensa ad effettuare tali comandi nella vostra parete refrattaria.

Non è possibile praticamente ostruire tutto che un datore di lavoro ritenga `` inadeguato ''. Il Internet è pieno di ogni ordinamento di materiale. Ostruire una sorgente riorienterà soltanto il traffico ad un'altra sorgente di tale materiale, o induca qualcuno a calcolare un modo intorno al blocco. La maggior parte delle organizzazioni non hanno uno standard per giudicare la convenienza di materiale che i loro impiegati portano per funzionare, per esempio, i libri e gli scomparti. Controllate tutto briefcase per `` ''materiale inadeguato ogni giorno? Se non, quindi perchè controllereste ogni pacchetto per `` materiale inadeguato ''? Tutte le decisioni seguendo quelle righe in una tal organizzazione saranno arbitrarie. Tentando di intraprendere azione disciplinare contro un impiegato in cui l'unico standard è tipico isn't arbitrario saggio, per i motivi bene oltre la portata di questo documento. I prodotti che realizzano luogo-ostruire, commerciali ed al contrario, sono in genere facili da aggirare. Hostnames può essere riscritto come indirizzi del IP. Gli indirizzi del IP possono essere scritti come valore

32-bit di numero intero, o come quattro numeri interi 8-bit (la forma più comune). Altre possibilità esistono, anche. I collegamenti possono essere proxied. I Web pagi possono essere prelevati via il email. Non potete ostruirli tutti. Lo sforzo che spendere provare ad effettuare e gestire tali comandi quasi certamente lontano eccederà tutto il livello di controllo di danni che state sperando di avere. Il regola-de-pollice da ricordarsi di qui è che non potete risolvere i problemi sociali con tecnologia. Se ci è un problema con qualcuno che va `` ad un luogo inadeguato di Web del '', quello è perché qualcuno altrimenti lo ha visto ed è stato offenduto da che cosa ha visto, o perché rendimento di quella persona è sotto le aspettative. In il uno o il altro caso, quelli sono argomenti per l'ufficio del personale, non l'amministratore della parete refrattaria.

4 Vari Attacchi

4.1 Che cosa è traffico diretto sorgente e perchè è esso una minaccia? Normalmente, l'itinerario che un pacchetto prende dalla relativa sorgente alla relativa destinazione è determinato dai routers fra la sorgente e la destinazione. Il pacchetto in se dice soltanto dove desidera andare (l'indirizzo di destinazione) e niente circa come pensa ottenere là.

Ci è un modo facoltativo per il trasmettitore di un pacchetto (la sorgente) includere le informazioni nel pacchetto che dice all'itinerario ch'il pacchetto dovrebbe prendere per ottenere alla relativa destinazione; così `` il percorso nome di sorgente ''. Per una parete refrattaria, il percorso di sorgente è considerevole, poiché un attacker può generare il traffico che sostiene provenire ''della parte interna dal sistema `` la parete refrattaria. In generale, tale itinerario del wouldn't di traffico alla parete refrattaria correttamente, ma con l'opzione di percorso di sorgente, tutti i routers fra la macchina del attacker e l'obiettivo restituirà il traffico lungo il percorso d'inversione dell'itinerario di sorgente. Effettuare un tal attacco è abbastanza facile; così i costruttori della parete refrattaria non dovrebbero scontarli come improbabile accadere.

Nella pratica, il percorso di sorgente pochissimo è usato. Nel fatto, l'uso legittimo principale è generalmente dirigere o nei problemi della rete mettere a punto i collegamenti specifici dell'eccedenza di traffico per controllo di congestione per le situazioni specializzate. Nel costruire una parete refrattaria, il percorso di sorgente dovrebbe essere ostruito ad un certo punto. La maggior parte dei routers commerciali comprendono la capacità di ostruire il percorso di sorgente specificamente e molte versioni di UNIX che potrebbero essere usate per sviluppare i calcolatori centrali del bastion della parete refrattaria hanno la capacità di inabilitare o ignorare il traffico diretto sorgente.

4.2 Che cosa sono ICMP riorientano e riorientano le bombe? Un ICMP riorienta dice al sistema recettivo di escludere qualcosa in relativa tabella di percorso. È usato legittimamente dai routers per dire a calcolatori centrali a che il calcolatore centrale stia usando un non-ottimale o l'itinerario defunct ad una destinazione particolare, cioè, il calcolatore centrale sta trasmettendola al router errato. Il router errato trasmette la parte posteriore che ospite un ICMP riorienta il pacchetto che dice al calcolatore centrale a che cosa l'itinerario corretto dovrebbe essere. Se potete forgiare il ICMP riorienti i pacchetti e se il vostro calcolatore centrale dell'obiettivo presta loro l'attenzione, potete alterare le tabelle di percorso sul calcolatore centrale e possibilmente subvert la sicurezza del calcolatore centrale inducendo traffico a fluire via un percorso che il didn't del gestore di rete intende. Il ICMP riorienta anche può essere impiegato per la smentita degli attacchi di servizio, dove un calcolatore centrale è trasmesso ad un itinerario che lo perde la connettività, o lo è trasmesso ad un pacchetto unreachable della rete del ICMP che dice a che possa nessun accesso più lungo una rete particolare.

Molti costruttori della parete refrattaria selezionano il traffico del ICMP dalla loro rete, da esso limita la capacità degli stranieri di fare un rumore metallico calcolatori centrali, o modificano le loro tabelle di percorso.

Prima che decidiate ostruire tutti i pacchetti del ICMP, dovreste essere informati di come il protocollo di TCP `` ''di scoperta del MTU del percorso, accertarsi che voi la connettività della rottura del don't ad altri luoghi. Se can't lo ostruite sicuro dappertutto, potete studiare la possibilità di permettere i tipi selezionati di ICMP ai dispositivi dirigenti selezionati. Se blocchetto del don't esso, voi a minimi vi accertate che il vostro don't ospiti e dei routers risponda ai pacchetti di rumore metallico di radiodiffusione.

4.3 Che cosa circa la smentita di servizio? La smentita di servizio è quando qualcuno decide rendere la vostra rete o parete refrattaria inutile interrompendola, arrestandola, inceppando esso, o il flooding esso. Il problema con la smentita di servizio del Internet è che è impossible evitare. Il motivo ha fare con la natura distribuita della rete: ogni vertice di rete è collegato via altre reti che alla girata collegano ad altre reti, ecc. Un amministratore della parete refrattaria o un ISP ha soltanto controllo di un poco degli elementi locali all'interno dell'estensione. Un attacker può interrompere sempre ''verso l'alto del collegamento `` da dove la vittima lo gestisce. In altre parole, se qualcuno desiderasse prendere una rete fuori dell'aria, potrebbe farlo o prendendo la rete fuori dell'aria, o prendendo alle reti collega fuori dell'aria, infinitum dell'annuncio. Ci sono molti, molti, modi che qualcuno può negare il servizio, variante dal complesso alla animale-forza insignificante. Se state considerando usando il Internet per un servizio che è assolutamente tempo o missione critica, dovreste considerare la vostra posizione di ripiego nell'evento che la rete è giù o danneggiato.

Il servizio di eco del UDP di TCP/IP's è abusato banalmente per convincere due server per sommergere un segmento della rete dai pacchetti di eco. Dovreste studiare la possibilità di commentare verso l'esterno le entrate inutilizzate in /etc/inetd.conf dei calcolatori centrali di UNIX, aggiungendo no ip small-servers ai routers del Cisco, o l'equivalente per i vostri componenti.

4.4 Che cosa sono alcuni attacchi comuni e come possono io proteggere il mio sistema contro di loro? Ogni luogo è poco un differente da ogni altro in termini di che attacchi sono probabili essere usati contro di esso. Alcuni temi di ricorso presentano, comunque.

4.4.1 Server dello Smtp Che Dirotta (Trasmissione Non autorizzata) Ciò è dove uno spammer prenderà molte migliaia delle copie di un messaggio e le trasmetterà ad una lista enorme degli indirizzi del email. Poiché queste liste sono spesso così difettose e nell'ordine aumentare la velocità del funzionamento per lo spammer, molte hanno ricorso semplicemente a trasmettere tutta la loro posta ad un server dello smtp che prenderà la cura realmente di trasporto della posta.

Del corso, tutti i rimbalzi, i reclami dello Spam, la posta di avversione ed il fotoricettore difettoso vengono per il luogo che è stato usato come relè. Ci è un costo molto reale connesso con questo, principalmente nel pagamento della gente per pulire in seguito il mess.

L'iniziativa 2 di sicurezza di trasportodel sistema1 di prevenzione di abusodella postaeffettua una descrizione completa del problema e come configurare circa ogni bollettino sul pianeta per proteggere da questo attacco.

4.4.2 Sfruttamento degli insetti nelle applicazioni Le varie versioni dei server di Web, dei server della posta e dell'altro software di servizio del Internet contengono gli insetti che permettono che gli utenti a distanza (del Internet) facciano le cose che variano dal controllo di guadagno della macchina a fare quell'arresto di applicazione ed appena circa tutto dentro in mezzo.

L'esposizione a questo rischio può essere ridotta il funzionamento soltanto dei servizi necessari, sostenendo datare sulle zone ed usando i prodotti che hanno avuti luogo intorno ad un istante.

4.4.3 Insetti nei sistemi operativi Di nuovo, questi sono iniziati tipicamente a distanza dagli utenti. I sistemi operativi che sono relativamente nuovi alla rete del IP tendono ad essere più problematici, come sistemi operativi più maturi hanno avuti tempo di trovare ed eliminare i loro insetti. Un attacker può fare spesso continuamente il reboot dell'apparecchiatura dell'obiettivo, arrestare, perdere la capacità di comunicare con rete, o di sostituire gli archivi sulla macchina.

Qui, funzionando come pochi servizi del sistema operativo come aiuto possibile della latta. Inoltre, avere un filtro del pacchetto nella parte anteriore del sistema operativo può ridurre l'esposizione ad un grande numero di questi tipi di attacchi.

E, del corso, chosing un sistema operativo stabile aiuterà qui anche. Nel selezionare un OS, il don't è imbrogliato nel credere quello `` il più pricier, il migliore ''. I sistemi operativi liberi sono spesso molto più robusti delle loro controparti commerciali

5 Come La I...

5.1 Realmente desidero concedere tutto che i miei utenti chiedano? È interamente possibile che la risposta è `` nessuna ''. Ogni luogo ha relative proprie politiche circa che cosa è e non è necessario, ma è importante ricordarsi di che una grande parte del lavoro di essere portiere dell'organizzazione è formazione. Gli utenti desiderano il video effluente, chiacchierata in tempo reale e potere offrire i servizi ai clienti esterni che richiedono l'interazione con le basi di dati in tensione sulla rete interna.

Quella media del doesn't che c'è ne di queste cose possono essere fatte senza presentare più rischio all'organizzazione che `` il ''presunto di valore di parte anteriore giù quella strada è valore. La maggior parte del don't degli utenti desidera mettere la loro organizzazione al rischio. Leggono appena i panni commerciali, vedono le pubblicità e desiderano fare quelle cose, anche. È importante da esaminare che cosa è che realmente desiderano fare ed aiutarle a capire come potrebbero potere compire il loro obiettivo reale in un modo più sicuro.

Won't siete sempre popolari e potreste persino trovarsi che siete dati il senso per fare qualcosa incredibilmente stupido, come `` appena vi aprite sul foo delle porte attraverso la barra ''. Se quello accade, preoccupazione del don't a questo proposito. Sarebbe saggio mantenere tutti i vostri scambi su un tal evento così che quando un kiddie dello scritto 12-year-old rodaggio, il you'll a minimi può separarsi dal mess di tutto.

5.2 _ come io fa Web/HTTP lavoro attraverso mio parete? Ci sono tre modi farlo.

Permetta `` i collegamenti stabiliti del ''fuori via un router, se state utilizzando i routers della selezione. Usi un cliente di Web che sostiene i CALZINI e faccia funzionare i CALZINI sul vostro calcolatore centrale del bastion. Faccia funzionare un certo genere di server procura-capace di Web sul calcolatore centrale del bastion. Alcune opzioni includono il calamaro3, Apache4, la procura 5del Netscapeed il HTTP-HTTP-GW dal toolkit della parete refrattaria di TIS. La maggior parte di questi della latta procura anche altri protocolli (tali come il Gopher e ftp) e possono nascondere gli oggetti prelevati, che egualmente provocheranno tipicamente una spinta di prestazioni per gli utenti e l'uso più efficiente del vostro collegamento al Internet. Essenzialmente tutti i clienti di Web (Mozilla, Internet Explorer, lynx, ecc.) sviluppi il supporto di proxy server direttamente in loro.

5.3 Come faccio funzionare lo SSL attraverso la parete refrattaria? Lo SSL è un protocollo che permette i collegamenti sicuri attraverso il Internet. Tipicamente, lo SSL è usato per proteggere il traffico del HTTP. Tuttavia, altri protocolli (tali come telnet) possono funzionare in cima allo SSL.

Permettere lo SSL attraverso la vostra parete refrattaria può essere fatto lo stesso modo che permettereste il traffico del HTTP, se esso HTTP che you're usando SSL per fissare, che è solitamente allineare. L'unica differenza è quella preferibilmente di usando qualcosa che trasmetta semplicemente il HTTP, bisogno del you'll qualcosa che possa scavare una galleria lo SSL. Ciò è una caratteristica presente sulla maggior parte dei nascondigli dell'oggetto di Web.

Potete scoprire più circa lo SSL da Netscape6.

5.4 Come faccio il lavoro di DNS con una parete refrattaria? Alcune organizzazioni desiderano nascondere i nomi di DNS dalla parte esterna. Don't di molti esperti pensa che che nasconde il DNS i nomi sia utile, ma se la politica di site/corporate affida i nomi in mandato nascondentesi di settore, questo è un metodo che è conosciuto per funzionare. Un altro motivo che potete dovere per nascondere i nomi di settore è se avete uno schema di richiamo non standard sulla vostra rete interna. In quel caso, non avete scelta ma nascondere quegli indirizzi. Non si imbrogli nel pensare quello se i vostri nomi di DNS sono nascosti che ritarderà un attacker giù molto se si rompono nella vostra parete refrattaria. Le informazioni su che cosa sono sulla vostra rete sono spigolate troppo facilmente dallo strato in se della rete. Se desiderate una dimostrazione interessante di questo, fa un rumore metallico l'indirizzo di radiodiffusione di sottorete sulla vostra lan ed allora fa `` un arp - ''del ` a. Noti egualmente quello nomi nascondentesi nel doesn't di DNS richiamano il problema ''di fuoriuscita di nomi ospite `` fuori nelle intestazioni della posta, negli articoli di notizie, ecc.

Questo metodo è uno di molti ed è utile per le organizzazioni che desiderano nascondere i loro nomi ospite dal Internet. Il successo di questo metodo si trova sul fatto che i clienti di DNS su un don't della macchina hanno comunicare con server di DNS su quella stessa macchina. In altre parole, appena perché là un server di DNS su una macchina, là niente male con (e ci sono spesso vantaggi) il nuovo orientamento dell'attività del cliente di DNS di quella macchina ad un server di DNS su un'altra macchina.

In primo luogo, installate un server di DNS sul calcolatore centrale del bastion che il mondo esterno può comunicare con. Installate questo server così che sostiene essere autorevole per i vostri settori. Infatti, tutto questo server sa è che cosa desiderate il mondo esterno conoscere; i nomi e gli indirizzi dei vostri Gateway, i vostri record del MX del metacarattere, e così via. Ciò è `` il server pubblico del ''.

Allora, avete installato un server di DNS su una macchina interna. Questo server egualmente sostiene essere autorevole per i vostri settori; diverso del server pubblico, questo sta dicendo alla verità. Ciò è il vostro `` nameserver normale del '', in cui mettete tutto il vostro `` roba normale di DNS del ''. Egualmente avete installato questo server per spedire le domande che esso risoluzione del can't al server pubblico (che usando una riga `` dei forwarders 'in /etc/named.boot su una macchina di UNIX, per l'esempio).

Per concludere, avete installato tutti i vostri clienti di DNS ( l'archivio di /etc/resolv.conf su una casella di UNIX, per il caso), compreso quei sulla macchina con il server pubblico, per utilizzare il server interno. Ciò è il tasto.

Un cliente interno che chiede notizie su un calcolatore centrale interno chiede il server interno ed ottiene una risposta; un cliente interno che chiede notizie su un calcolatore centrale esterno chiede il server interno, che chiede il server pubblico, che chiede il Internet e la risposta si trasmette indietro. Un cliente sul server pubblico lavora appena lo stesso modo. Un cliente esterno, tuttavia, chiedente notizie su un calcolatore centrale interno ottiene indietro `` la risposta limitata del ''dal server pubblico.

Questo metodo suppone che là una parete refrattaria di filtrazione del pacchetto fra questi due server che li permetteranno di comunicare il DNS con ogni altro, ma limita al contrario il DNS fra altri calcolatori centrali.

Un altro trucco che utile in questo schema è impiegare i record dello stampante del metacarattere nei vostri settori di IN-ADDR.ARPA. Questi causano una consultazione di richiam-$$$-NOME per c'è ne dei vostri calcolatori centrali non pubblici a ritorno qualcosa come `` il ''di unknown.YOUR.DOMAIN piuttosto che un errore. Ciò soddisfa i luoghi anonimi del ftp come ftp.uu.net che insistono su avere un nome per le macchine comunicano con. Ciò può venire a mancare quando comunica con luoghi che fanno un cross-check di DNS in cui il nome ospite è abbinato contro il relativi indirizzo e versa vice.

5.5 Come faccio funzionare il ftp attraverso la mia parete refrattaria? Generalmente, fare funzionare il ftp attraverso la parete refrattaria è fatto usando un proxy server quale il ftp-ftp-gw del toolkit della parete refrattaria o consentendo i collegamenti ricevuti alla rete ad una gamma port limitata ed al contrario limitando i collegamenti ricevuti usando qualcosa come `` le regole stabilite della selezione del ''. Il cliente del ftp allora è modificato per legare la porta di dati ad una porta all'interno di quella gamma. Ciò richiede potere modificare l'applicazione del cliente del ftp sui calcolatori centrali interni.

In alcuni casi, se i trasferimenti dal sistema centrale verso i satelliti del ftp sono tutti desiderate sostenere, potreste desiderare studiare la possibilità di dichiarare il ftp `` un ''guasto di protocollo e lasciandoli gli utenti trasferiscono gli archivi dal sistema centrale verso i satelliti via il Web preferibilmente. L'interfaccia di utente certamente è più piacevole ed ottiene intorno al problema ugly della porta di chiamata ripetuta. Se scegliete il metodo di Ftp-via-Web, i vostri utenti non potranno agli archivi del ftp fuori, che, dipendendo da che cosa state provando a compire, possono essere un problema.

Un metodo differente deve usare opzione del ''di PASV del ftp `` per indicare che il server a distanza del ftp dovrebbe permettere al cliente di iniziare i collegamenti. Il metodo di PASV suppone che il server del ftp sui supporti del sistema a distanza che funzionamento. (Veda `` Il ''Parete-Amichevole del Ftp [1].)

Altri luoghi preferiscono sviluppare le versioni del cliente del programma del ftp che sono collegate contro una libreria dei CALZINI.

5.6 Come faccio funzionare il telnet attraverso la mia parete refrattaria? Il telnet è sostenuto generalmente usando una procura di applicazione quale il tn-tn-gw del toolkit della parete refrattaria, o semplicemente configurando un router per consentire i collegamenti uscenti usando qualcosa come `` le regole stabilite della selezione del ''. Le procure di applicazione hanno potuto essere nella forma di una procura autonoma che funziona sul calcolatore centrale del bastion, o nella forma di un server dei CALZINI e di un cliente modificato.

5.7 Come faccio funzionare la barretta ed il WHOIS attraverso la mia parete refrattaria? Molti admins della parete refrattaria consentono i collegamenti alla porta della barretta soltanto dalle macchine di fiducia, cui può pubblicare le richieste della barretta sotto forma di: barretta snipped-for-privacy@host.domain@firewall. Questo metodo funziona soltanto con la versione standard di UNIX della barretta. L'accesso gestente ai servizi ed a limitarli alle macchine specifiche è gestito usando i tcp_wrappers o il netacl dal toolkit della parete refrattaria. Questo metodo non lavorerà a tutti i sistemi, poiché alcuni server della barretta non consentono la diteggiatura del user@host@host.

Molte richieste inbound della barretta del blocchetto dei luoghi per una varietà di motivi, primo essere oltre gli insetti di sicurezza nel server della barretta (la vite senza fine del Internet di Morris ha reso questi insetti famosi) ed il rischio di informazioni riservate o sensibili che sono rivelate nelle informazioni della barretta dell'utente. In generale, tuttavia, se i vostri utenti accustomed a mettere le informazioni riservate o sensibili nei loro archivi del plan, avete un problema più serio di sicurezza che appena una parete refrattaria può risolvere.

5.8 Come faccio il Gopher, archie ed altri servizi funzionano attraverso la mia parete refrattaria? La maggior parte degli amministratori della parete refrattaria sceglie sostenere il Gopher ed il archie con le procure di Web, anziché direttamente. Procure tali come le domande del convertito gopher/gopher+ di HTTP-HTTP-GW del toolkit della parete refrattaria nel HTML e nel versa vice. Per il sostegno il archie e delle altre domande, molti luoghi contano Web-$$$-ARCHIE sui server Internet-basati, tale come ArchiePlex. La tendenza del Web fare tutto sull'assomigli del Internet ad un servizio di Web è sia un blessing che un curse.

Ci sono molti nuovi servizi che potano costantemente in su. Sono spesso misdesigned o non sono progettati con sicurezza in mente ed i loro progettisti cheerfully vi diranno se desiderate usarli che voi il bisogno lasciasse la porta xxx tramite il vostro router. Purtroppo, non tutto può fare quello ed in modo da un certo numero di nuovi giocattoli interessanti sono difficili da usare per la gente dietro le pareti refrattarie. Le cose gradiscono RealAudio, che richiedono l'accesso diretto del UDP, sono specialmente esempi egregious. La cosa da tenere a mente se vi trovate stato minacciato da uno di questi problemi è di scoprire tanto come potete circa i rischi di sicurezza che il servizio può presentare, prima che lo permettiate appena attraverso. È abbastanza possibile il servizio non ha implicazioni di sicurezza. È ugualmente possibile che ha fori che non scoperti potreste condurre un camion attraverso.

5.9 Che cosa sono le edizioni circa X11 attraverso una parete refrattaria? Il sistema di X Windows è un sistema molto utile, ma purtroppo ha alcuni difetti di sicurezza importanti. Sistemi a distanza che possono guadagnare o accesso dello spoof alla visualizzazione di X11 della stazione di lavoro può controllare le battiture in che un utente entra, copie di trasferimento dal sistema centrale verso i satelliti del contenuto delle loro finestre, ecc.

Mentre i tentativi sono stati fatti di sormontarli (biscotto `` magico 'per esempio, del MIT ') è ancora interamente troppo facile affinchè un attacker interferisca con la visualizzazione di X11 dell'utente. La maggior parte delle pareti refrattarie ostruiscono tutto il traffico X11. Alcuni consentono il traffico X11 con le procure di applicazione quale la procura della DEC CRL X11 (ftp crl.dec.com). Il toolkit della parete refrattaria include una procura per X11, chiamata x-x-gw, che un utente può invocare via la procura del telnet, per creare un server virtuale X11 sulla parete refrattaria. Quando le richieste sono fatte per un collegamento X11 sul server virtuale X11, l'utente è presentato con pop-up chiedere loro se è GIUSTO da permettere il collegamento. Mentre questo è poco un unaesthetic, esso interamente nel mantenere con il resto di X11.

5.10 Come faccio funzionare RealAudio attraverso la mia parete refrattaria? RealNetworks effettua alcune informazione su come ottenere RealAudio che funziona attraverso la vostra parete refrattaria7. Sarebbe sconsigliabile fare tutti i cambiamenti alla vostra parete refrattaria senza capire che cosa i cambiamenti faranno, esattamente e conoscendo che rischi i nuovi cambiamenti porteranno con loro.

Back to Top FAQ della parete refrattaria in italiano 4 5.11 Come faccio il mio atto di web server come un a fine frontale per una base di dati che vive sulla mia rete riservata? Il modo migliore fare questo deve permettere la connettività molto limitata fra il vostro server di Web ed il vostro server della base di dati via un protocollo specifico che sostiene soltanto il livello del you're di funzionalità che va usare. Permettendo SQL grezzo, o qualche cosa altrimenti dove le estrazioni su ordinazione potrebbero essere effettuate generalmente da un isn't del attacker una buona idea.

Supponga che un attacker sta andando potere rompersi nel vostro server di Web e faccia le domande nello stesso modo che la latta del server di Web. È ci un meccanismo per l'estrazione delle informazioni sensibili che il bisogno del doesn't del server di Web, come le informazioni della carta di credito? Può un attacker pubblicare uno SQL prescelto ed estrarre la vostra intera base di dati riservata?

`` le applicazioni del ''di E-commercio, come tutto altrimenti, sono progettate il più bene con sicurezza in mente dalla terra in su, anziché avere ''aggiunto di sicurezza `` dopo. Riveda criticamente la vostra architettura, dalla prospettiva di un attacker. Supponga che il attacker conosce tutto circa la vostra architettura. Ora chiedasi che necessità di essere fatto per rubare i vostri dati, per fare i cambiamenti non autorizzati, o per fare niente altro che non desideriate fatto. Potreste trovare che potete aumentare significativamente la sicurezza senza funzionalità di diminuzione prendendo alcun le decisioni di implementazione e di disegno.

Alcune idee affinchè come maneggino questo:

Estragga i dati che avete bisogno di dalla base di dati in maniera regolare in modo da non state facendo le domande contro la base di dati completa, completa con le informazioni che i attackers troveranno interessare. Notevolmente limiti e verifichi che cosa ammettete fra il server di Web e la base di dati.

5.12 Ma la mia base di dati ha un web server integrato e desidero usare quello. Non posso giusto colpire un foro nella parete refrattaria e scavare una galleria quella porta? Se la vostra politica della parete refrattaria del luogo è sufficientemente lassismo che you're che vuole gestire il rischio che qualcuno sfrutterà una vulnerabilità in vostro server di Web che provocherà parziale o completa l'esposizione della vostra base di dati, allora là isn't molto vi che impedisce di fare questo.

Tuttavia, in molte organizzazioni, la gente che è responsabile della legatura dell'estremità anteriore di Web alla base di dati indietro si conclude semplicemente non ha l'autorità per prendere quella responsabilità. Più ulteriormente, se le informazioni nella base di dati sono circa la gente, potreste trovarsi colpevole di rompere un numero di leggi se voi precauzioni ragionevoli prese haven't per impedire il sistema essere abusato.

In generale, questo isn't una buona idea. Veda la domanda 5.11 per alcune idee su altri modi compire questo obiettivo.

5.13 Come Faccio funzionare il IP Il Multicast Con La Mia Parete refrattaria? Il multicast del IP è mezzi di ottenere il traffico del IP da un calcolatore centrale ad un insieme dei calcolatori centrali senza usando la radiodiffusione; quello è, invece di ogni calcolatore centrale che convince il traffico, solo quelli che lo desiderano lo otterranno, senza ciascuno che ha per effettuare un collegamento separato al server. Il unicast del IP è dove i colloqui un ospite ad un altro, multicast sono dove i colloqui un ospite ad un insieme dei calcolatori centrali e della radiodiffusione sono dove i colloqui un ospite a tutti i calcolatori centrali.

Il Internet pubblico ha una base del multicast (``MBone '') dove gli utenti possono agganciarsi nello scambio di traffico del multicast. Gli usi comuni per il MBONE sono flussi delle riunioni dello IETF e simile tale interazione. Ottenere la sua propria rete ha collegato al MBONE richiederà che il traffico verso l'alto del multicast dell'itinerario del fornitore a e dalla vostra rete. Ulteriormente, la vostra rete interna avrà sostenere il percorso del multicast.

Il ruolo della parete refrattaria nel percorso del multicast, è concettualmente differente dal relativo ruolo nell'altro percorso di traffico. Quello è, una politica che identifica che i gruppi del multicast sono ed il aren't permesso deve essere definito ed allora un sistema di permettere quel traffico che si concilia alla politica deve essere inventato. Particolare grande su quanto esattamente fare questo è oltre la portata di questo documento. Fortunatamente, il RFC 2588 [4] discute più dettagliatamente l'oggetto. A meno che il vostro prodotto della parete refrattaria sostenga alcuni mezzi di spedizione selettiva del multicast o avete la capacità di metterla in lei, potreste trovare il traffico del multicast di spedizione in un modo costante con la vostra politica di sicurezza per essere un'emicrania più grande che è valore.

6 porte del UDP e di TCP da Mikael Olsson Questa appendice comincerà ad un livello ragionevolmente `` di base del '', in modo da anche se i primi punti sembrano childishly manifesti a voi, potreste tranquillo imparare qualcosa dal salto avanti a qualcosa più successivamente nel testo.

6.1 Che cosa è una porta? `` un ''port è `` ''virtuale della scanalatura nella vostra pila del UDP e di TCP che è usata per tracciare un collegamento fra due calcolatori centrali ed anche fra lo strato di TCP/UDP e le applicazioni reali che funzionano sui calcolatori centrali.

Sono numerati 0-65535, con la gamma 0-1023 che è contrassegnato come `` il ''riservato o `` privlileged il ''ed il resto (1024-65535) come `` ''o `` unprivileged dinamico ''.

Ci sono basicamente due usi per le porte:

`` ''ascoltante su una porta. Ciò è usata dalle applicazioni del server che aspettano gli utenti per collegare, ottenere ad un certo `` ''conosciuto buono di servizio, per il HTTP di caso (porta di TCP 80), telnet (porta 23), DNS di TCP (porta 53 di TCP a volte e del UDP). Apertura `` della porta dinamica del ''. Entrambi i lati di una necessità del collegamento di TCP di essere identificato dagli indirizzi del IP e dai numeri port. Quindi, quando desiderate `` colleghi il ''ad un processo del server, la vostra estremità della scanalatura di comunicazioni egualmente ha bisogno `` di una porta ''. Ciò è fatta la scelta della porta superiore a 1024 sulla vostra macchina che non è attualmente nell'uso da un'altra scanalatura di comunicazioni ed usando come `` il ''del trasmettitore nel nuovo collegamento. Le porte dinamiche possono anche essere usate il più considerevolmente come `` porte ascoltanti in alcune applicazioni, ftp del ''.

Le porte nella gamma 0-1023 sono quasi sempre porte del server. Le porte nella gamma 1024-65535 sono solitamente porte dinamiche (cioè, aperto dinamicamente quando collegate ad una porta del server). Tuttavia, qualsiasi porta può essere usata come porta del server e qualsiasi porta può essere usata come `` porta uscente del ''.

Così, sommarla in su, qui che cosa accade in un collegamento di base:

Ad un certo punto a tempo, un'applicazione del server sul calcolatore centrale 1.2.3.4 decide `` ascolta ''a porta 80 (HTTP) i nuovi collegamenti. (5.6.7.8) desiderate surf a 1.2.3.4, a porta 80 ed al vostro browser pubblicate una chiamata di collegamento ad esso. La chiamata di collegamento, rendentesi conto che doesn't tuttavia ha numero port locale, va cercare per uno. Il numero port locale è necessario da quando le risposte ritornano un certo tempo in avvenire, la vostra pila di TCP/IP dovrà sapere a che applicazione per passare la risposta. Fa questo ricordandosi del che applicazione usa che numero port locale. (questo grossolanamente è facilitato, nessun fiamme dai programmatori, prego.) La vostra pila di TCP trova una porta dinamica inutilizzata, solitamente in qualche luogo superiore a 1024. Supponiamo che trova 1029. Il vostro primo pacchetto allora è trasmesso, dal vostro IP locale,

5.6.7.8, la porta 1029, a 1.2.3.4, la porta 80. Il server risponde con un pacchetto da 1.2.3.4, le porte 80, a voi, 5.6.7.8, la porta 1029. Questa procedura è realmente più lunga di questa, colto sopra per una spiegazione più approfondita del TCP collega le sequenze.

6.2 Come conosco quale applicazione usa che porta? Ci sono parecchie liste che descrivono `` il ''riservato e `` il ''ben noto ports, come pure `` il ''comunemente usato ports e quello migliore è: ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers. Per quelli di voi ancora che leggete RFC 1700 per scoprire che numero port fa che cosa, ARRESTO che LO FA. È horribly antiquato e non sarà così domani di meno.

Ora, per quanto riguarda fidarsi di queste informazioni: Queste liste non, in alcun modo, costituire alcun genere di bibbia santa su cui le porte fanno che cosa.

L'attesa, lo ha lasciato formula nuovamente quello: Non CI È MODO ATTENDIBILMENTE Di DETERMINAZIONE CHE PORTA FA CHE COSA SEMPLICEMENTE OSSERVANDO In una LISTA.

6.3 Che cosa sono porte ASCOLTANTI? Supponga che `` netstat - ` un ''sulla vostre macchina e porte 1025 e 1030 rivelati come ascoltando. Che cosa fanno?

A destra, prendiamo uno sguardo nella lista assegnata di numeri port.

BBN IAD del blackjack iad1 1030/tcp della rete del blackjack 1025/tcp

Attesa, che accadere? La mia stazione di lavoro ha rubato il mio numero di VISTO ed ha deciso andare blackjack del gioco con un certo server del rogue sul Internet? E che cosa quel software che il BBN ha installato?

Ciò non è dove cominciate lasciarsi prendere dal panico e trasmettete la posta alla lista delle pareti refrattarie. Nel fatto, questo problema è stato chiesto forse volte un dozzina durante i sei mesi scorsi ed ogni tempo esso risposto a. Non quello CHE mantiene la gente dal fare la stessa domanda ancora.

Se state facendo questo problema, siete più probabili per mezzo di una casella delle finestre. Le porte che state vedendo sono (il più probabile) due porte ascoltanti che il sottosistema del RPC apre quando comincia in su.

Ciò è un esempio di dove le porte dynamicly assegnate possono essere usate tramite i processi del server. Le applicazioni che usando la volontà del RPC più successivamente su collegano a porta 135 (`` portmapper 'di netbios ') alla domanda dove trovare un certo servizio del RPC ed ottengono una risposta indietro che dice quella che il servizio particolare può mettersi in contatto con su porta 1025.

Ora, come conosciamo questo, là da nessun `` ''della lista che descrive queste porte? Semplice: Non ci è sostituto per esperienza. E per mezzo dei motori di ricerca spedenti della lista egualmente aiuta un inferno di mólto.

6.4 Come determino che servizio la porta è per? Poiché è impossible da imparare che porta fa che cosa osservando in una lista, come la fanno?

Il vecchio modo hands-on di farla è chiudendo giù quasi ogni service/daemon che funziona sulla vostra macchina, facente netstat -a e prendente nota di che cosa le porte sono aperte. Là lo shouldn't è molto molti quei ascoltanti. Allora cominciate girare tutti i servizi sopra, uno per uno e di prend nota di che cosa le nuove porte rivelano nella vostra uscita del netstat.

Un altro modo, quel ha bisogno di più lavoro di congettura, semplicemente telnetting alle porte e vede che cosa esce. Se niente esce, la prova che digita un certo gibberish e che sbatte entra poche volte e vede se qualcosa gira in su. Se ottenete binari disturbi, o niente affatto, questo non li aiuterà ovviamente.

Tuttavia, questo soltanto vi dirà che cosa le porte ascoltanti sono usate. Vi non dirà circa le porte dinamicamente aperte che possono essere aperte più tardi da queste applicazioni.

Ci sono alcune applicazioni che potrebbero aiutarle a rintracciare giù le porte usate.

Sui sistemi di UNIX, ci è un programma di utilità piacevole chiamato lsof che viene preinstalled su molti sistemi. Vi mostrerà tutti i numeri port aperti ed i nomi delle applicazioni che stanno usandole. Ciò significa che potrebbe mostrarvi il aswell localmente aperto molto degli archivi come zoccoli di TCP/IP. Legga il testo di aiuto.

Sui sistemi delle finestre, niente viene preinstalled per aiutarlo in questa operazione. (che nuovo?) Là un programma di utilità ha chiamato `` il ''di Inzider che si installa all'interno delle finestre che gli zoccoli fanno uno strato di e dinamicamente che si ricorda del quale processo si apre che port. Lo svantaggio di questo metodo è che can't vi dice che porte sono state aperte prima di inzider iniziato, ma esso il la cosa migliore che il you'll ottiene sulle finestre (alla mia conoscenza).

formatting link

6.5 Che porte sono sicuri da passare attraverso una parete refrattaria? TUTTI.

No, attesa, NESSUNA.

No, attesa, uuhhh... Mi sono sentito che tutte le porte superiore a

1024 sono sicuri poiché sono soltanto dinamiche??

No. Realmente. NON POTETE dire semplicemente ai che porte sono semplicemente sicuri guardando il relativo numero, perché quello è realmente tutto che sia. Un numero. Non potete montare un attacco con un numero a 16 bit.

La sicurezza `` di un ''port dipende da che applicazione raggiungerete attraverso quella porta.

Un'idea sbagliata comune è che porte 25 (smtp) e 80 (HTTP) sono sicuri da passare attraverso una parete refrattaria * meep * ERRATA. Solo perchè tutto sta facendo non significa che è sicuro.

Di nuovo, la sicurezza di una porta dipende da che applicazione raggiungerete attraverso quella porta.

Se il you're che fa funzionare un server bene-scritto di Web, quello è destinato dalla terra in su per essere sicuro, potete probabilmente ritenere ragionevolmente assicurati che esso sicuro lasciate la gente esterna accedergli attraverso porta 80. Altrimenti, voi CAN'T.

Il problema qui non è nello strato di rete. Esso in come i processi di applicazione i dati che riceve. Questi dati possono essere ricevuti attraverso porta 80, la porta 666, una riga seriale, disco magnetico o attraverso il telegramma di canto. Se l'applicazione non è sicuro, non importa come i dati ottengono esso. I dati di applicazione sono dove il pericolo reale si trova.

Se siete interessati nella sicurezza della vostra applicazione, vada si abbonano a bugtraq8o o provano a cercare i loro archivi.

Ciò è più di un problema di sicurezza di applicazione piuttosto che un problema di sicurezza della parete refrattaria. Si potrebbe sostenere che una parete refrattaria dovrebbe arrestare tutti gli attacchi possibili, ma con il numero di nuovi protocolli di rete, non progettato con sicurezza in mente ed applicazioni networked, nessuno progettate con sicurezza in mente, diventa impossible affinchè una parete refrattaria proteggesse da tutti gli attacchi data-driven.

6.6 Il comportamento del ftp O, `` perchè ho aprire tutte le porte superiore a 1024 al mio server del ftp?''

Lo sguardo del doesn't del ftp realmente un il lotto intero gradisce altre applicazioni da una prospettiva della rete.

Mantiene una porta ascoltante, porta 21, a cui gli utenti collegano. Tutto che è ha lasciato la gente entra e stabilisce un ALTRO collegamento per fare i trasferimenti di dati reali. Questo secondo collegamento è solitamente su una certa porta superiore a 1024.

Ci sono due modi, `` ''attivo (normale) e `` modo passivo del ''. Questa parola descrive il comportamento del server.

Nel modo attivo, il cliente (5.6.7.8) collega a porta 21 sul server (1.2.3.4) ed apre la sessione. Quando i trasferimenti di file sono dovuti, il cliente assegna una porta dinamica superiore a 1024, informa il server circa quale porta ha aperto ed allora il server apre un nuovo collegamento a quella porta. Ciò è `` il ruolo attivo del ''del server: attivamente stabilisce i nuovi collegamenti al cliente.

Nel modo passivo, il collegamento a porta 21 è lo stesso. Quando i trasferimenti di file sono dovuti, il SERVER assegna una porta dinamica superiore a 1024, informa il cliente circa quale porta ha aperto ed allora il CLIENTE apre un nuovo collegamento a quella porta. Ciò è `` il ruolo passivo del ''del server: aspetta il cliente per stabilire il secondo collegamento (di dati).

Se la vostra parete refrattaria non controlla i dati di applicazione del ftp comandano il collegamento, esso non sapranno che devono aprire dinamicamente le nuove porte superiore a 1024.

Su una nota laterale: Il comportamento tradizionale dei server del ftp nel modo attivo deve stabilire la sessione di dati da porta 20 ed alla porta dinamica sul cliente. I server del ftp stanno dirigendo via da questo comportamento in qualche modo dovuto la necessità di funzionare come `` ''della radice sui sistemi di UNIX nell'ordine per potere assegnare le porte inferiore a 1024. Funzionando come `` ''della radice non è buono per sicurezza, da allora se là un insetto nel software, il attacker potesse compromettere l'intera macchina. Lo stesso va per funzionare come `` il ''dell'amministratore o `` ''del SISTEMA (``LocalSystem '') sulle macchine del NT, anche se il problema port basso non si applica sul NT.

Per sommarlo in su, se la vostra parete refrattaria capisce il ftp, il it'll può maneggiare i collegamenti di dati da sè e won't avete preoccuparsi per le porte superiore a 1024.

Se non, ci sono quattro edizioni che dovete richiamare:

Firewalling un ftp server nel modo attivo Avete bisogno di avete lasciato i vostri collegamenti aperti del server nuovi al mondo esterno sulle porte 1024 e sopra Firewalling un server del ftp nel modo passivo Avete bisogno di avete lasciato il mondo esterno collegare alle porte

1024 e sopra sul vostro server. ATTENZIONE!!!! Ci possono essere applicazioni che funzionano su alcune di queste porte che non desiderate usando esterno della gente. Respinga l'accesso a queste porte prima di permettere l'accesso alla gamma port 1024-65535. Clienti del ftp di Firewalling nel modo attivo Avete bisogno di avete lasciato il mondo esterno collegare alle porte 1024 e sopra sui vostri clienti. ATTENZIONE!!!! Ci possono essere applicazioni che funzionano su alcune di queste porte che non desiderate usando esterno della gente. Respinga l'accesso a queste porte prima di permettere l'accesso alla gamma port 1024-65535. Clienti del ftp di Firewalling nel modo passivo Avete bisogno di avete lasciato i vostri collegamenti aperti dei clienti nuovi al mondo esterno sulle porte 1024 e sopra. Di nuovo, se la vostra parete refrattaria capisce il ftp, nessun dei quattro punti qui sopra si applicano a voi. Lasci la parete refrattaria farvi il lavoro per.

6.7 Che software usa che modo del ftp? È in su al cliente per decidere che modo da usare; il modo di difetto quando un nuovo collegamento è aperto è `` modo attivo ''.

La maggior parte dei clienti del ftp vengono preconfigured per usare il modo attivo, ma forniscono un'opzione ad uso `` del ''modo passivo (di ``PASV ''). Un'eccezione è la riga di comando delle finestre cliente del ftp che funziona soltanto nel modo attivo.

I browsers di Web usano generalmente il modo passivo quando collegano via il ftp, con un'eccezione bizzarra: MSIE 5 userà il ftp attivo quando FTP:ing `` nel modo del ''dell'esploratore dell'archivio ed il ftp passivo quando FTP:ing `` nel modo del ''di Web page. Non ci è motivo qualunque per questo comportamento; la mia congettura è che qualcuno in Redmond senza conoscenza del ftp ha deciso che `` naturalmente useremo il modo attivo quando siamo nel modo dell'esploratore dell'archivio, da allora quel sguardi più attivi di un Web page ''. Va la figura.

6.8 È mio provare della parete refrattaria a collegare all'esterno? I miei libri macchina della parete refrattaria sono dicendomi che il mio server di Web stia provando a collegare da porta 80 alle porte superiore a 1024 sulla parte esterna. Che cosa è questo?!

Se state vedendo i pacchetti caduti da porta 80 sul vostro web server (o da porta 25 sul vostro mail server) alle alte porte sulla parte esterna, non significano solitamente che il vostro web server sta provando a collegare in qualche luogo.

Sono il risultato della sincronizzazione della parete refrattaria verso l'esterno un collegamento e di vedere il server ritrasmettere le vecchie risposte (o provare a chiudere il collegamento) al cliente.

I collegamenti di TCP coinvolgono sempre i pacchetti che viaggiano in ENTRAMBI I sensi nel collegamento.

Se potete vedere le bandierine di TCP nei pacchetti caduti, il you'll vede che la bandierina del ACK è regolata ma non la bandierina di SYN, significante che questo non è realmente un nuovo collegamento che forma, ma piuttosto una risposta di un collegamento precedentemente formato.

Legga il punto 8 qui sotto per una spiegazione approfondita di che cosa accade quando i collegamenti di TCP sono formati (e chiuso)

6.9 Anatomia di un collegamento di TCP Il TCP è dotato di 6 `` bandierine ', che possono essere disinserite SOPRA o. Queste bandierine sono:

ALETTA `` ha gestito la fine del collegamento del '' SYN Apra il nuovo collegamento RST `` fine immediata del collegamento del '' PSH Insegni al calcolatore centrale della ricevente per spingere i dati fino all'applicazione piuttosto che alla coda giusta esso Ack `` riconosca il ''un pacchetto precedente URG `` dati urgenti del ''che devono essere elaborati immediatamente In questo esempio, il vostro cliente è 5.6.7.8 e la porta assegnata voi è dinamicamente 1049. Il server è 1.2.3.4, la porta 80.

Cominciate il tentativo del collegamento:

5.6.7.8:1049 -> 1.2.3.4:80 SYN=ON

Il server riceve questo pacchetto e capisce che qualcuno desidera formare un nuovo collegamento. Una risposta è trasmessa:

1.2.3.4:80 -> 5.6.7.8:1049 SYN=ON ACK=ON

Il cliente riceve la risposta ed informa che la risposta è ricevuta

5.6.7.8:1049 -> 1.2.3.4:80 ACK=ON

Qui, il collegamento è aperto. Ciò è chiamata una stretta di mano a tre vie. Il relativo scopo è verificare ad ENTRAMBI I calcolatori centrali che hanno loro un collegamento di funzionamento.

Il Internet che è che cosa è, non fidato e sommerso, là è disposizioni compensare la perdita del pacchetto.

Se il cliente trasmette fuori lo SYN iniziale senza ricevere uno SYN+ACK all'interno dell'pochi secondi, il it'll resend lo SYN.

Se il server spedisce lo SYN+ACK senza ricevere un ACK in alcuni secondi, resend il pacchetto di SYN+ACK.

Il posteriore è realmente la ragione per cui il flooding di SYN funziona così bene. Se spedite i pacchetti di SYN dai lotti delle porte differenti, questo legherà in su le risorse molto sul server. Se egualmente rifiutate di rispondere ai pacchetti restituiti di SYN+ACK, il server MANTERRÀ questi collegamenti per un molto tempo, resending i pacchetti di SYN+ACK. Alcuni server non accetteranno i nuovi collegamenti mentre ci sono abbastanza collegamenti attualmente che formano; ecco perchè impianti di flooding di SYN.

Tutti i pacchetti trasmessi in il uno o il altro senso dopo che la stretta di mano a tre vie abbia il bit del ACK regolato. I filtri apolidi del pacchetto fanno l'uso di questo in in modo da `` filtri stabiliti chiamati del '': soltanto hanno lasciato i pacchetti con il quel avere il bit del ACK regolato. Questo modo, nessun pacchetto può passare attraverso in un determinato senso che potrebbe formare un nuovo collegamento. Tipicamente, don't permettete che i calcolatori centrali esterni aprano i nuovi collegamenti ai calcolatori centrali interni richiedendo il bit del ACK regolato su questi pacchetti.

Quando il tempo è venuto chiudere il collegamento, ci sono due modi di farlo: Usando la bandierina dell'ALETTA, o usando la bandierina di RST. Usando le bandierine dell'ALETTA, entrambe le implementazioni sono richieste per trasmettere fuori le bandierine dell'ALETTA per indicare che desiderano chiudere il collegamento ed allora trasmettono fuori i ringraziamenti a queste alette, indicanti che hanno capito che l'altra estremità desidera chiudere il collegamento. Nel trasmettere fuori RST, il collegamento è chiuso validamente e don't realmente ottenete un'indicazione di se l'altra estremità ha capito il vostro ordine di risistemazione, o quello che ha nel fatto ricevuto tutti i dati che avete trasmesso esso.

Il modo dell'ALETTA di chiusura del collegamento egualmente li espone ad una situazione di smentita-de-servizio, poiché la pila di TCP deve ricordarsi del collegamento chiuso per un tempo ragionevolmente molto, nel caso che l'altro hasn't dell'estremità ha ricevuto uno dei pacchetti dell'ALETTA.

Se sufficientemente molti collegamenti sono aperti e chiusi, potete concludersi su avere `` collegamenti chiusi del ''in tutte le vostre scanalature del collegamento. Questo modo, wouldn't potete assegnare dinamicamente più collegamenti, vedenti che il they're interamente ha usato. Maniglia differente di OSes questa situazione diversamente.

A. Alcuni prodotti commerciali e fornitori Riteniamo che questo soggetto è troppo sensibile all'indirizzo in un FAQ, tuttavia, una lista indipendentemente effettuata (nessuna garanzia o raccomandazione è implicata) può essere trovata in linea.9

B. Glossario dei termini Parete-Relativi

Abuso del privilegio Quando un utente realizza un'azione che non dovrebbero avere, conciliandosi alla politica o alla legge organizzativa.

Liste Di Controllo Di Accesso Regole per i filtri del pacchetto (tipicamente routers) che definiscono quali pacchetti da passare e quali da ostruire.

Accedi Al Router Un router che collega la vostra rete al Internet esterno. Tipicamente, questa è la vostra prima riga di difesa contro i attackers dal Internet esterno. Permettendo il controllo di accesso elenca su questo router, you'll può fornire un livello di protezione per tutti i calcolatori centrali `` dietro ''che router, efficacemente rendente a quella rete un DMZ preferibilmente di una lan esterna non protetta.

Parete refrattaria Di Applicazione-Strato Un sistema della parete refrattaria in cui il servizio è fornito tramite i processi che effettuano il collegamento completo di TCP dichiara ed ordinare. Le pareti refrattarie di strato di applicazione re-richiamano spesso il traffico così che il traffico uscente sembra provenire dalla parete refrattaria, piuttosto che il calcolatore centrale interno.

Autenticazione Il processo di determinazione dell'identità di un utente che sta tentando di accedere ad un sistema.

Segno Di Autenticazione Un dispositivo portatile utilizzato per autenticare un utente. Il segno di autenticazione funziona mediante challenge/response, sequenze tempo-basate di codice, o altre tecniche. Ciò può includere le liste scritte delle parole d'accesso di una volta.

Autorizzazione Il processo di determinazione che tipi di attività sono consentiti. Solitamente, l'autorizzazione è nel contesto dell'autenticazione: una volta che avete autenticato un utente, possono essere tipi differenti autorizzati di accesso o di attività.

Bastion host Un sistema che è stato indurito per resistere all'attacco e che è installato su una rete im modo tale che si pensa che potenzialmente rientri nell'attacco. I calcolatori centrali del bastion sono spesso componenti delle pareti refrattarie, o possono essere `` server di Web del ''della parte esterna o sistemi pubblici di accesso. Generalmente, un calcolatore centrale del bastion sta facendo funzionare certa forma del sistema operativo per scopi generali (per esempio, UNIX, VMS, NT, ecc.) piuttosto che un sistema operativo dei firmware o ROM-BASATO.

Challenge/Response Una tecnica di autenticazione per cui un server trasmette una sfida imprevedibile per l'utente, che computa una risposta usando certa forma del segno di autenticazione.

Chroot Una tecnica sotto UNIX per cui un processo permanente si limiterà ad un sottoinsieme isolato del filesystem.

Totale di controllo Crittografico Una funzione unidirezionale si è applicata ad un archivio per produrre `` un ''unico dell'impronta digitale dell'archivio per riferimento successivo. I sistemi di totale di controllo sono mezzi primari di rilevazione del filesystem alterare su UNIX.

Attacco Guidato Dati Una forma dell'attacco in cui l'attacco è messo nei dati innocuo-sembranti che sono eseguiti da un utente o dall'altro software per effettuare un attacco. Nella cassa delle pareti refrattarie, un attacco guidato dati è una preoccupazione poiché può ottenere attraverso la parete refrattaria nella forma di dati e lanciare un attacco contro un sistema dietro la parete refrattaria.

Difesa nella profondità Il metodo di sicurezza per cui ogni sistema sulla rete è assicurato al grado possibile più grande. Può essere usato nella congiunzione con le pareti refrattarie.

Dns che spoofing Ammettendo il nome di DNS di un altro sistema corrompendo il nascondiglio nome di servizio di un sistema della vittima, o compromettendo un domain name server per un settore valido.

Si raddoppia Il Gateway Homed Un Gateway homed doppio è un sistema che ha due o più interfacce della rete, ciascuno di cui è collegato ad una rete differente. Nelle configurazioni della parete refrattaria, un Gateway homed doppio si comporta solitamente per ostruire o filtrare alcuno o tutto il traffico che prova a passare fra le reti.

Router Di Cifratura veda il router di traforo ed il perimetro virtuale della rete.

Parete refrattaria Un sistema o una combinazione dei sistemi che fanno rispettare un contorno fra due o più reti.

Sicurezza Host-based La tecnica di assicurazione del sistema specifico dall'attacco. Ospiti la sicurezza basata è dipendente di versione e del sistema operativo.

Attacco Del Membro Un attacco che proviene dalla parte interna una rete protetta.

Rilevazione Di Intrusione La rilevazione delle irruzioni o dell'irruzione tenta manualmente o via i sistemi specializzati del software che funzionano sopra i libri macchina o altre informazioni disponibili sulla rete.

IP Spoofing Un attacco per cui un sistema tenta di impersonate illecitamente un altro sistema usando il relativo indirizzo di rete del IP.

Impionbatura/Che Dirotta del IP Un attacco per cui un attivo, stabilito, sessione è intercettato e co-opted dal attacker. Gli attacchi d'impionbatura del IP possono accadere dopo che un'autenticazione sia stata fatta, permettendo al attacker di presupporre il ruolo di un utente già autorizzato. Le protezioni primarie contro l'impionbatura del IP contano sulla crittografia allo strato di rete o di sessione.

Meno Privilegio Progettazione delle funzioni operative di un sistema per funzionare con una quantità minima di privilegio del sistema. Ciò riduce il livello di autorizzazione a cui le varie azioni sono realizzate e fa diminuire la probabilità che un processo o un utente con gli alti privilegi può essere causato per effettuare l'attività non autorizzata risultando in una frattura di sicurezza.

Annotare Il processo di memorizzare le informazioni sugli eventi che si sono presentati sulla parete refrattaria o sulla rete.

Ritegno Del Libro macchina Come i libri macchina lunghi di verifica sono mantenuti ed effettuati.

Elaborare Del Libro macchina Come i libri macchina di verifica sono elaborati, cercato gli eventi chiave, o ricapitolato.

Parete refrattaria Di Rete-Strato Una parete refrattaria in cui il traffico è esaminato allo strato del pacchetto di protocollo di rete.

Sicurezza Perimetro-basata La tecnica di assicurazione della rete gestendo accesso a tutti i punti dell'uscita e dell'entrata della rete.

Politica il Organizzazione-livello regola l'uso accettabile governante delle risorse di computazione, delle pratiche di sicurezza e delle procedure operative.

Procura Un agente del software che si comporta a favore di un utente. Le procure tipiche accettano un collegamento da un utente, prendono una decisione come se o l'indirizzo del IP del cliente o non dell'utente è consentito per usare la procura, forse fa l'autenticazione supplementare ed allora completa un collegamento a favore dell'utente ad una destinazione a distanza.

Calcolatore centrale Selezionato Un calcolatore centrale su una rete dietro uno screening router. Il grado a cui un calcolatore centrale selezionato può essere raggiunto dipende dalle regole della selezione nel router.

Sottorete Selezionata Una sottorete dietro uno screening router. Il grado a cui la sottorete può essere raggiunta dipende dalle regole della selezione nel router.

Router Della Selezione Un router configurato per consentire o negare traffico basato su un insieme delle regole di permesso installate dall'amministratore.

Rubare Di Sessione Veda L'Impionbatura del IP.

Cavallo Di Trojan Un'entità del software che sembra fare qualche cosa di normale ma che, nel fatto, contiene un programma di attacco o di trapdoor.

Il router o il sistema del router A di traforo capace del percorso traffica cifrandolo ed incapsularlo per la trasmissione attraverso untrusted la rete, per l'de-incapsulamento ed il decryption finali.

L'ingegneria sociale un attacco basato sugli utenti d'inganno o amministratori all'obiettivo situa. Gli attacchi sociali di ingegneria sono trasportati tipicamente fuori dagli utenti o dagli operatori e dalla finzione di telefonata essere un utente autorizzato, per tentare di guadagnare l'accesso illecito ai sistemi.

La rete virtuale di perimetro A della rete che sembra essere una singola rete protetta dietro le pareti refrattarie, che realmente comprende l'eccedenza virtuale cifrata di collegamenti untrusted le reti.

Segmento di codice di replica del virus A che si fissa ad uno schedario di dati o di programma. I virus hanno potuto o non potuto contenere i programmi o i trapdoors di attacco. Purtroppo, molti hanno preso a chiamare qualsiasi cattivo il codice `` i virus '. Se significate `` il ''di Trojan Horse o `` il ''della vite senza fine, ad esempio `` il ''o `` la vite senza fine 'di Trojan Horse '.

Il programma autonomo che, una volta funzionato, copia in se della vite senza fine A da un calcolatore centrale ad un altro ed allora funziona in se su ogni calcolatore centrale recentemente infettato. `` i virus ampiamente segnalati del Internet 'di 1988 erano un virus non affatto, ma realmente una vite senza fine.

Note a piè di pagina ... System1

formatting link
Initiative2
formatting link
Squid3
formatting link
Apache4
formatting link
Proxy5
formatting link
Netscape6

formatting link
firewall7
formatting link
bugtraq8
formatting link
online.9
formatting link

begin 666 smil3dbd4d6422f04.gif M1TE&.#EA$0`1`-4``/_____DE/_=A?_==OO=@__:?/[7??O0;?[.;O[.8?C. M4_O*9_C,8O7+3_;(6_C%7/W$4OW"3O+%1?O 3OW 2?/#3N_!0/:[/ONZ/?JV M,O6U.?*S.?JR)O>S+N:T./>O)/>N(?*N)NRM*_2K'MFP.]^M-?"H'M>M./"G M&MRJ,>FE(>VC%^BC&

Reply to
William L. Sun

Ahem. "William Sun processed it using a software translator" is probably closer to the truth.

Lorenz (human brain Italian translator)

Reply to
[L.]

Yes. I did. I would like to start this from a software translator and get help from you so we can do a better job.

Thank you very much!

Reply to
William L. Sun

Cabling-Design.com Forums website is not affiliated with any of the manufacturers or service providers discussed here. All logos and trade names are the property of their respective owners.