Как работает брандмауэр

nezumi

Спецвыпуск: Хакер, номер #058, стр. 058-066-7

В нормальных операционных системах (LINUX, FreeBSD) пакетный фильтр изначально встроен в TCP/IP-драйвер, и там таких проблем просто не возникает. В Windows пакетный фильтр впервые появился в 2000 SP2, который был существенно доработан в XP, но до звания брандмауэра ему еще далеко, и его очень легко обойти.

Ситуация прямо как у Ханлайна: "...дочитав инструкцию до конца, я удивился, как человек ухитряется выжить, да еще в скафандре". В общем, мясокомбинат полный. Как же со всем этим справляются персональные брандмауэры? Ведь они же работают! Или делают вид, что работают. Да никак не справляются! Они работают исключительно на IP-уровне, эмулируя лишь несколько важнейших функций TCP. Сборка пакетов и проверка контрольной суммы в этот перечень, естественно, не входит. При условии что заголовок TCP-пакета полностью помещается в IP-пакет, брандмауэр может определить порт назначения и без сборки, что позволяет ему "закрывать" охраняемые порты, впрочем, эту защиту очень легко обойти, причем как извне, так и изнутри.

Персональные брандмауэры обеспечивают лишь минимальную защиту от "пионеров", при этом довольно существенно тормозят соединение, поскольку просмотр заголовков пакетов занимает какое-то время. Теоретически, накладные расходы легко свести к нулю. Для этого даже необязательно программировать на ассемблере: хороший пакетный фильтр можно написать и на С, если, конечно, подойти к делу с головой, однако достойных продуктов на рынке пока не наблюдается.