Слабые места маршрутизаторов и межсетевых экранов
Эти устройства являются первой линией обороны против посторонних, пытающихся проникнуть в вашу корпоративную сеть. Однако, в связи с возрастающей сложностью устройств и изощренностью атакующих, при некорректном конфигурировании этот рубеж может оказаться слабым. Владение языком маршрутизатора для Cisco IOS - по сути отдельная специальность. Если в организации нет технических специалистов по оборудованию Cisco, то, вероятно, маршрутизаторы Cisco с точки зрения безопасности сконфигурированы не оптимально. А межсетевые экраны конфигурировать еще сложнее. Как вы узнали из лекции 3, одна неверная строка конфигурации может свести на нет межсетевую защиту. Замотанный технический специалист, пытающийся побыстрее настроить доступ для сотрудников или внешних пользователей, чаще будет ошибаться в сторону расширения доступа, а не лучшей защиты.
Даже когда наборы правил написаны правильно, на маршрутизаторах нередко выполняются слабые или опасные сервисы. Многие маршрутизаторы для интерактивного входа по-прежнему полагаются на Telnet, а не на безопасное приложение, такое как SSH. Это открывает дверь для атак с помощью сетевого анализатора путем перехвата комбинации входного имени и пароля. На некоторых маршрутизаторах до сих пор выполняются finger и другие службы, способные стать каналом утечки информации.
Даже межсетевые экраны - наиболее защищенные устройства - не обладают абсолютной невосприимчивостью к атакам. Некоторые межсетевые экраны строятся поверх обычных операционных систем, таких как Windows или UNIX, и поэтому могут быть уязвимы для всех обычных атак уровня ОС. Даже если операционная система межсетевого экрана является собственной, в ней могут существовать уязвимости. Многие межсетевые экраны взаимодействуют с пользователями при помощи web-сервера, а значит, могут быть использованы дыры в web-интерфейсе. Обеспечение собственной безопасности этих средств передовой линии обороны критически важно и должно считаться одним из высших приоритетов.
Межсетевые экраны имеют также свойство обеспечивать безопасность, которая, по выражению Билла Чезвика, "тверда снаружи, мягка внутри". Это означает, что через них трудно проникнуть извне, но против атак изнутри сети почти никакой защиты не предусматривается. Необходимо добиться, чтобы внутренние системы были по крайней мере минимально защищены, а сетевая безопасность не зависела целиком и полностью от межсетевых экранов.
