Безопасность и Internet - статьи

Внешний периметр: межсетевые экраны


Первую линию обороны от хакеров, интернет-червей, программ-шпионов и прочих врагов держит межсетевой экран.

Во многих компаниях, и даже в некоторых домашних сетях доступ к интернету осуществляется через общее широкополосное соединение. Для того чтобы выяснить уровень защиты, обеспечиваемый аппаратными межсетевыми экранами, мы протестировали две модели маршрутизаторов со встроенными точками доступа: Linksys Wireless-G Broadband Router WRT54G и Microsoft Wireless-G Base Station MN-700. В состав этих маршрутизаторов в качестве побочного продукта для обработки интернет-трафика входит простейший межсетевой экран.

Используя трансляцию сетевых адресов (Network Address Translation, NAT) и протокол динамической конфигурации хоста (Dynamic Host Configuration Protocol, DHCP), маршрутизатор распределяет среди компьютеров сети частные IP-адреса, скрывая их таким образом от внешних компьютеров, которые "видят" только IP-адрес самого маршрутизатора. Маршрутизатор открывает интернет-порты только в том случае, если его так настроить, или если компьютер сети запрашивает данные из интернета (например, обращается к веб-странице).

Маршрутизаторы препятствуют атакам, при которых хакеры используют средства сканирования портов для поиска уязвимых объектов. Если ни одна из систем сети не запрашивала пакеты данных, маршрутизатор просто отбрасывает входящие пакеты. Оба продукта позволяют открыть определенные порты и назначить им IP-адреса предназначенных для этого компьютеров. Этот процесс, известный как пересылка порта (port forwarding), позволяет выделить отдельные серверы для игр в онлайне и посещения веб-сайтов, не открывая доступ к остальным компьютерам сети. В модуле от Microsoft есть еще одна приятная функция: по умолчанию в нем включено WEP-шифрование; для защиты беспроводного трафика генерируется специальный ключ.



Содержание раздела