Персональный компьютерохранитель!

Ермолаев Евгений aka Saturn

Спецвыпуск Xakep, номер #041, стр. 041-066-2

- sniffing (снифинг)

"прослушивание" сегмента сети. Этот метод воровства данных в сети использует сетевую карту, работающую в режиме, при котором все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки. Ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (telnet, FTP, SMTP, POP3 и т.д.), с помощью снифера можно узнать полезную, а иногда и конфиденциальную информацию.

- IP spoofing (спуфинг - "подделка" IP-адреса)

Это процесс, при котором атакующий хост выдает себя за хост санкционированного пользователя. Как это можно реализовать? Во-первых, хакер может воспользоваться IP-адресом, который находится в пределах диапазона "проходящих" IP-адресов (или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам). Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Для двусторонней связи хакер должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Однако этого не нужно делать, если главная задача состоит в получении от системы важного файла (так как в этом случае ответ приложения не имеет значения).

- взлом пароля

Взлом пароля встречается чаще других методов.

Атакующий просто из кожи вон лезет, чтобы получить-таки пароль или привилегии root на чужой машине (по-видимому, популярность метода обусловлена содержанием фильмов, повествующих о "нехороших парнях в области высоких технологий").

- перенаправление пакетов вовне

Попытка направить наружу информацию, доступ к которой ограничен или запрещен.

Использование схемы "человек посередине" (man-in-the-middle attacks) — явное использование доступа к информации твоей сети. Такая ситуация возможна, если пользователь, имеющий доступ (законный) к информации, пытается переслать ее во внешнюю сеть (на другой компьютер).

Спасение утопающих - дело рук... firewall

Выше перечислены способы получения информации с твоего компьютера (локальной сети). Понятное дело, что от такого беспредела нужно как-то защищаться (не будем учитывать здесь, что нападение - лучшая защита, хотя для приверженцев такого подхода тема, затронутая здесь, тоже довольно важна). Естественно, что необходимость защиты сетей явилась причиной создания и развития отдельного направления в компьютерной индустрии. Немаловажную роль в этом направлении играет развитие "идеи firewall".

Firewall - это точка разделения твоего компьютера (сети) и сети (компьютера), к которой ты подсоединен. Система, стоящая между сетевым адаптером и операционной системой, снабженная правилами защиты. Любой IP-пакет, прежде чем попасть на обработку операционной системой, проходит через строгий контроль. Любой исходящий пакет также наталкивается на эту стену. В самом общем случае, firewall является фильтром входящих и исходящих пакетов по определенным признакам.

Поколения файрволов

Первое поколение, которое появилось в 1985 году, представляло собой маршрутизаторы, включающие фильтрацию пакетов. В 1990-х годах появились так называемые firewall`ы цепного уровня. Далее по сложности и новизне - "защитники" программного уровня. Позже в основу файрволов легла динамическая фильтрация пакетов. А самая новая на сегодня архитектура программ типа firewall - kernel proxy (эта архитектура имеет как программные, так и аппаратные реализации). В основном, каждое новое поколение основывается на принципе работы предыдущего. То есть то, что справедливо для первого поколения, может быть применимо для второго поколения, правда с некоторыми поправками и дополнениями.