5 протоколы верхнего уровня, 6 рекомендации по усилению безопасности с помощью, Межсетевого экрана – Инструкция по эксплуатации Zyxel P-2602H
Страница 208
Руководство пользователя cерии P-2602H/HW EE
208
Глава 13 Межсетевые экраны
через межсетевой экран, поскольку они потенциально опасны и содержат недостаточно
информации, которая бы позволяла их отследить. В частности, никогда не впускаются
пакеты переадресации ICMP, которые могут использоваться для изменения маршрута с
целью проведения трафика через машины злоумышленников.
13.5.5 Протоколы верхнего уровня
Некоторые протоколы высших уровней (например, FTP и RealAudio) одновременно
используют несколько сетевых соединений. В общем виде они обычно имеют
управляющее соединение (control connection), которое используется для пересылки
команд между оконечными точками, и соединение для передачи данных (data
connection), по которому передается основной объем информации.
Рассмотрим протокол FTP. Пользователь в LAN открывает управляющее соединение с
сервером в Интернете и запрашивает файл. В этот момент удаленный сервер со стороны
Интернета открывает встречное соединение для передачи данных. Для того, чтобы
протокол FTP был работоспособен, этому соединению необходимо разрешить
прохождение в LAN, даже если обычные соединения из Интернета запрещены.
Для этой цели P-2602 просматривает данные FTP на уровне приложения. В частности
производится поиск исходящих команд “PORT”, при обнаружении которых создается
запись в кэше под ожидаемое соединения для передачи данных. При этом не возникает
какой-либо опасности, так как команда PORT содержит сведения об адресах и портах,
однозначно идентифицирующие соединение.
Поддержка любого протокола с подобным принципом работы должна вводиться в
индивидуальном порядке. Для этого можно использовать функцию настраиваемых
портов (Custom Ports) в веб-конфигураторе.
13.6 Рекомендации по усилению безопасности с
помощью межсетевого экрана
• Смените пароль по умолчанию.
• Ограничьте круг лиц, имеющих доступ к маршрутизатору по telnet.
• Не включайте какие-либо неиспользуемые локальные службы, такие как SNMP или
NTP. Любая подключенная служба может нести в себе потенциальную угрозу
системе безопасности. Настойчивый хакер может творчески подойти к задаче
поиска способов использования включенных служб для получения доступа к
межсетевому экрану или сети.
• Защитите включенные локальные службы от неправильного использования.
Защиту можно установить, сконфигурировав службы так, чтобы они
взаимодействовали только с определенными узлами, и, настроив правила так,
чтобы для служб в конкретных интерфейсах пакеты блокировались.
• Установите защиту от подмены IP-адреса, убедившись в том, что межсетевой экран
включен.
• Разместите межсетевой экран в защищенной (запираемой) комнате.