Internet Firewall FAQ in French

Discussion in 'Computer Security' started by William L. Sun, Feb 6, 2005.

  1. FAQ de mur à l'épreuve du feu en français partie 1
    Murs à l'épreuve du feu D'Internet :
    Questions Fréquemment Posées
    Paul D. Robertson
    Curtin Mat
    Marcus J. Ranum
    (traduit par William Sun )

    Date : 2004/07/26 15:34:42
    Révision : 10.4

    Ce document disponible dans le pdfd'and de post-scriptum.




    Table des matières
    1 Administrativia
    1.1 Au sujet du FAQ
    1.2 Pour qui le FAQ est-il écrit ?
    1.3 Avant d'envoyer Le Courrier
    1.4 Où peux-je trouver la version en cours du FAQ ?
    1.5 Où peux-je trouver des versions Non-Anglaises du FAQ ?
    1.6 Contribuants
    1.7 Copyright et utilisation


    2 fondations de fond et de mur à l'épreuve du feu
    2.1 Quel est un mur à l'épreuve du feu de réseau ?
    2.2 Pourquoi est-ce que je voudrais un mur à l'épreuve du feu ?
    2.3 Contre quoi un mur à l'épreuve du feu peut-il se protéger ?
    2.4 Contre quoi un mur à l'épreuve du feu ne peut-il pas se protéger ?
    2.5 Que diriez-vous des virus et de tout autre malware ?
    2.6 IPSEC rendra-t-il des murs à l'épreuve du feu désuets ?
    2.7 Quelles sont de bonnes sources d'information d'impression sur des
    murs à l'épreuve du feu ?
    2.8 Où peux-je obtenir plus d'information sur des murs à l'épreuve du
    feu sur l'Internet ?


    3 issues de conception et d'exécution
    3.1 Quelles sont certaines des décisions de base de conception dans un
    mur à l'épreuve du feu ?
    3.2 Quels sont les types de base de murs à l'épreuve du feu ?
    3.3 Quels sont des serveurs de procuration et comment elles
    travaillent ?
    3.4 Quels sont quelques outils bon marché de criblage de paquet ?
    3.5 Quelles sont quelques règles de filtrage raisonnables pour un
    écran grain-basé de paquet ?
    3.6 Quelles sont quelques règles de filtrage raisonnables pour un
    Cisco ?
    3.7 Quelles sont les ressources critiques dans un mur à l'épreuve du
    feu ?
    3.8 Quel est un DMZ, et pourquoi je veut un ?
    3.9 Comment est-ce que je pourrais augmenter la sécurité et le
    scalability de mon DMZ ?
    3.10 Quel est un seul point de ` d'échec ', et comment j'évite d'avoir
    un ?
    3.11 Comment est-ce que je peux bloquer toute la mauvaise substance ?
    3.12 Comment est-ce que je peux limiter l'accès d'enchaînement ainsi
    les utilisateurs ne peuvent-ils pas regarder des emplacements indépendants
    pour travailler ?


    4 Diverses Attaques
    4.1 Quel est le trafic conduit par source et pourquoi est il une
    menace ?
    4.2 Quel est ICMP réoriente et réoriente des bombes ?
    4.3 Que diriez-vous du démenti du service ?
    4.4 Quel suis-je quelques attaques communes, et comment peut protéger
    mon système contre lui ?


    5 Comment I...
    5.1 Est-ce que je veux vraiment laisser tout lequel mes utilisateurs
    demandent ?
    5.2 Comment est-ce que je fais fonctionner le Web par mon mur à
    l'épreuve du feu ?
    5.3 Comment est-ce que je fais fonctionner le SSL par le mur à
    l'épreuve du feu ?
    5.4 Comment est-ce que je fais le travail de DNS avec un mur à
    l'épreuve du feu ?
    5.5 Comment est-ce que je fais fonctionner le ftp par mon mur à
    l'épreuve du feu ?
    5.6 Comment est-ce que je fais fonctionner le telnet par mon mur à
    l'épreuve du feu ?
    5.7 Comment est-ce que je fais fonctionner le doigt et le WHOIS par
    mon mur à l'épreuve du feu ?
    5.8 Comment est-ce que je fais le Gopher, archie, et d'autres services
    fonctionnent-ils par mon mur à l'épreuve du feu ?
    5.9 Quelles sont les issues au sujet de X11 par un mur à l'épreuve du
    feu ?
    5.10 Comment est-ce que je fais fonctionner RealAudio par mon mur à
    l'épreuve du feu ?
    5.11 Comment est-ce que je fais mon acte de web server en tant que
    d'entrée pour une base de données qui vit sur mon réseau privé ?
    5.12 Mais ma base de données a un web server intégré, et je veux
    employer cela. Est-ce que je ne peux pas juste pousser un trou dans le mur à
    l'épreuve du feu et percer un tunnel ce port ?
    5.13 Comment Est-ce que Je Fais fonctionner l'IP Le Multicast Avec Mon
    Mur à l'épreuve du feu ?


    6 ports de TCP et de UDP
    6.1 Quel est un port ?
    6.2 Comment est-ce que je sais quelle application emploie quel port ?
    6.3 Quels sont les ports d'ÉCOUTE ?
    6.4 Comment est-ce que je détermine pour quel service le port est ?
    6.5 Il est sûr passer quels ports par un mur à l'épreuve du feu ?
    6.6 Le comportement du ftp
    6.7 Quel logiciel emploie quel mode de ftp ?
    6.8 Mon essai de mur à l'épreuve du feu est-il de se relier dehors ?
    6.9 L'anatomie d'un raccordement de TCP


    A. Quelques produits commercial et fournisseurs
    B. Glossaire des limites Mur à l'épreuve du feu-Connexes
    Bibliographie


    1 Administrativia


    1.1 Au sujet du FAQ
    Cette collection de Frequenty a posé des questions (FAQ) et des
    réponses a été compilées sur une période des années, voyant quelles
    questions les gens posent sur des murs à l'épreuve du feu dans des forum
    tels que le USENET, les listes d'expédition, et les emplacements de Web. Si
    vous avez une question, regarder ici pour voir si on lui répond avant la
    signalisation votre question est bonne forme. N'envoyez pas vos questions au
    sujet des murs à l'épreuve du feu aux défenseurs de FAQ.

    Les défenseurs font bon accueil à l'entrée et aux commentaires sur le
    contenu de ce FAQ. Les commentaires se sont reliés au FAQ devraient être
    adressés à . Avant que vous nous envoyiez le
    courrier, veuillez être sûr de voir que les sections 1.2 et 1.3 à s'assurer
    ceci est le bon document pour que vous lisiez.



    1.2 Pour qui le FAQ est-il écrit ?
    Les murs à l'épreuve du feu sont venus loin des jours où ce FAQ a
    démarré. Ils sont allés d'être les systèmes fortement adaptés aux besoins du
    client administrés par leurs implementors à un produit traditionnel. Les
    murs à l'épreuve du feu ne sont plus seulement aux mains de ceux qui
    conçoivent et mettent en application des systèmes de sécurité ; même les
    utilisateurs sécurité-conscients les ont à la maison.

    Nous avons écrit ce FAQ pour des lotisseurs et des administrateurs de
    systèmes informatiques. Nous avons essayé d'être assez inclus, faisant de la
    place pour les nouveaux venus, mais nous assumons toujours un certain fond
    technique de base. Si vous constatez que vous ne comprenez pas ce document,
    mais pensez que vous devez savoir plus au sujet des murs à l'épreuve du feu,
    il pourrait jaillir soit que vous devez réellement obtenir plus de fond dans
    la gestion de réseau d'ordinateur d'abord. Nous fournissons les références
    qui nous ont aidés ; peut-être elles vous aideront également.

    Nous nous concentrons d'une matière prédominante sur l'"réseau" murs à
    l'épreuve du feu, mais `` accueillez le ''ou des murs à l'épreuve du feu de
    ''de ``"personal seront adressés le cas échéant.



    1.3 Avant d'envoyer Le Courrier
    Notez que cette collection de questions fréquent-demandées est un
    résultat d'agir l'un sur l'autre avec beaucoup de gens de différents milieux
    dans une grande variété de forum publics. L'adresse mur à l'épreuve du
    feu-FAQ n'est pas un service SVP. Si vous essayez d'employer une application
    qui indique que cela ne fonctionne pas en raison d'un mur à l'épreuve du feu
    et vous pensez que vous devez enlever votre mur à l'épreuve du feu, svp ne
    nous envoyez pas le courrier demandant comment.

    Si vous voulez savoir `` vous débarassez de votre ''de mur à l'épreuve
    du feu parce que vous ne pouvez pas employer une certaine application, ne
    nous envoyez pas le courrier demandant l'aide. Nous ne pouvons pas vous
    aider. Vraiment.

    Qui peut vous aider ? Bonne question. Cela dépendra sur ce
    qu'exactement est le problème, mais voici plusieurs indicateurs. Si aucune
    de ces derniers ne fonctionne, veuillez ne nous demandent pas plus. Nous ne
    savons pas.

    Le fournisseur du logiciel que vous employez.
    Le fournisseur ''d'appareils de matériel `` que vous employez.
    Le fournisseur du service de réseau que vous employez. C'est-à-dire,
    si vous êtes sur AOL, demandez-les. Si vous essayez d'employer quelque chose
    sur un réseau de corporation, parlez à votre interface gestionnaire.


    1.4 Où peux-je trouver la version en cours du FAQ ?
    Le FAQ peut être trouvé sur le Web à

    http://www.compuwar.net/pubs/fwfaq/.
    http://www.interhack.net/pubs/fwfaq/.
    C'est revue mensuelle également signalée à

    comp.security.firewalls,
    comp.security.unix,
    comp.security.misc,
    comp.answers, et
    news.answers.
    Des versions signalées sont archivées dans tous les endroits
    habituels. Malheureusement, la version signalée au USENET et archivée ce
    manque de version des jolies images et des hyperliens utiles a trouvé dans
    la version d'enchaînement.



    1.5 Où peux-je trouver des versions Non-Anglaises du FAQ ?
    Plusieurs traductions sont disponibles. (si vous avez fait une
    traduction et elle n'est pas énumérée ici, svp écrivez-nous ainsi nous
    pouvons mettre à jour le document principal.)


    Norvégien
    Traduction par Jon Haugsand
    http://helmersol.nr.no/haandbok/doc/brannmur/brannmur-faq.html


    1.6 Contribuants
    Beaucoup de gens ont écrit des suggestions utiles et le commentaire
    pensif. Nous sommes reconnaissants à tous les contribuants. Nous voudrions
    remercier l'afew de nom : Keinanen Vesa, Allen Leibowitz, colporteur de
    Brent, Brian Boyle, D. Clyde Williamson, Richard Reiner, Humberto Ortiz
    Zuazaga, William Sun, et espoir de Theodore.



    1.7 Copyright et utilisation
    Copyright ©1995-1996, 1998 Marcus J. Ranum. Copyright ©1998-2002
    Curtin Mat. Copyright 2004, Paul D. Robertson. Tous droits réservés. Ce
    document peut être employé, réimprimé, et redistribué comme fournit cette
    notification de copyright et toutes les attributions restent intact. On
    permet également explicitement des traductions du texte complet de l'anglais
    original à d'autres langues. Les traducteurs peuvent ajouter leurs noms ``
    section des contribuants à l''.



    2 fondations de fond et de mur à l'épreuve du feu
    Avant de pouvoir comprendre une discussion complète des murs à
    l'épreuve du feu, il est important de comprendre les principes de base qui
    font fonctionner des murs à l'épreuve du feu.



    2.1 Quel est un mur à l'épreuve du feu de réseau ?
    Un mur à l'épreuve du feu est un système ou un groupe de systèmes qui
    imposent une politique de contrôle d'accès entre deux réseaux ou plus. Le
    moyen réel par lequel ceci est accompli change considérablement, mais en
    principe, le mur à l'épreuve du feu peut être considéré comme paire de
    mécanismes : un qui existe pour bloquer le trafic, et l'autre qui existent
    pour permettre le trafic. Quelques murs à l'épreuve du feu mettent un plus
    grand accent sur bloquer le trafic, alors que d'autres soulignent le trafic
    laissant. Probablement la chose la plus importante à reconnaître au sujet
    d'un mur à l'épreuve du feu est qu'elle met en application une politique de
    contrôle d'accès. Si vous n'avez pas une bonne idée de quel genre d'accès
    vous voulez laisser ou nier, un mur à l'épreuve du feu vraiment ne vous
    aidera pas. Il est également important d'identifier que la configuration du
    mur à l'épreuve du feu, parce que c'est un mécanisme pour imposer la
    politique, impose sa politique à tout derrière elle. Les administrateurs
    pour des murs à l'épreuve du feu contrôlant la connectivité pour un grand
    nombre de centres serveurs ont donc une responsabilité lourde.



    2.2 Pourquoi est-ce que je voudrais un mur à l'épreuve du feu ?
    L'Internet, comme n'importe quelle autre société, est infesté du genre
    de secousses qui apprécient l'équivalent électronique de l'amortissement sur
    les murs d'autres avec le spraypaint, de déchirer leurs boîtes aux lettres,
    ou de se reposer juste dans la rue soufflant leurs klaxons de voiture.
    Certains essayent d'obtenir le vrai travail effectué au-dessus de
    l'Internet, et d'autres ont des données sensibles ou de propriété
    industrielle qu'elles doivent se protéger. Habituellement, le but d'un mur à
    l'épreuve du feu est de garder les secousses hors de votre réseau tout en
    vous laissant toujours obtenir votre travail fait.

    Beaucoup de sociétés et centres de calculs de style traditionnel ont
    des politiques et des pratiques en matière de calcul de sécurité qui doivent
    être suivies. Dans un cas où les politiques d'une compagnie dictent comment
    des données doivent être protégées, un mur à l'épreuve du feu est très
    important, puisque c'est l'incorporation de la politique de corporation.
    Fréquemment, la partie la plus dure d'accrochage à l'Internet, si vous êtes
    une grande compagnie, ne justifie pas les dépenses ou l'effort, mais
    convainc la gestion qu'il est sûr de faire ainsi. Un mur à l'épreuve du feu
    fournit non seulement la vraie sécurité -- il joue souvent un rôle important
    comme couverture de sécurité pour la gestion.

    Pour finir, un mur à l'épreuve du feu peut agir en tant que votre ``
    ''de corporation d'ambassadeur à l'Internet. Beaucoup de sociétés emploient
    leurs systèmes de mur à l'épreuve du feu comme endroit pour stocker des
    informations publiques sur les produits de corporation et les services,
    dossiers à télécharger, bogue-fixe, et ainsi de suite. Plusieurs de ces
    systèmes ont les parties importantes devenues de la structure de service
    d'Internet (par exemple, UUnet.uu.net, whitehouse.gov, gatekeeper.dec.com)
    et ont réfléchi bien sur leurs commanditaires d'organisation. Notez que
    tandis que c'est historiquement vrai, la plupart des organismes placent
    maintenant l'information publique sur un serveur de Web, souvent protégé par
    un mur à l'épreuve du feu, mais pas normalement sur le mur à l'épreuve du
    feu lui-même.



    2.3 Contre quoi un mur à l'épreuve du feu peut-il se protéger ?
    Quelques murs à l'épreuve du feu permettent seulement le trafic
    d'email par eux, protégeant de ce fait le réseau contre toutes les attaques
    autres que des attaques contre le service d'email. D'autres murs à l'épreuve
    du feu assurent des protections moins strictes, et bloquent les services qui
    sont connus pour être des problèmes.

    Généralement, des murs à l'épreuve du feu sont configurés pour se
    protéger contre unauthenticated des ouvertures interactives `` du monde de
    ''d'extérieur. Ceci, plus que n'importe quoi, aides empêchent des vandales
    de noter dans des machines sur votre réseau. Des murs à l'épreuve du feu
    plus raffinés bloquent le trafic de l'extérieur à l'intérieur, mais
    permettent à des utilisateurs sur l'intérieur de communiquer librement avec
    l'extérieur. Le mur à l'épreuve du feu peut vous protéger contre n'importe
    quel type d'attaque réseau-soutenue si vous le débranchez.

    Les murs à l'épreuve du feu sont également importants puisqu'ils
    peuvent fournir `` un ''simple de point de bobine où la sécurité et l'audit
    peuvent être imposés. À la différence dedans d'une situation où un système
    informatique est attaqué par quelqu'un qui compose dedans avec un modem, le
    mur à l'épreuve du feu peut agir en tant que `` ''efficace de robinet de
    téléphone et outil traçant. Les murs à l'épreuve du feu fournissent une
    fonction de notation et apurante importante ; souvent ils fournissent des
    sommaires à l'administrateur au sujet quels genres et quantité de trafic a
    traversé elle, combien de tentatives là devaient se casser en elle, etc...

    Pour cette raison, les notations de mur à l'épreuve du feu sont des
    données en critique importantes. Elles peuvent être employées comme évidence
    dans une cour de loi dans la plupart des pays. Vous devriez sauvegarder,
    analyser et protéger le mur à l'épreuve du feu de yoru note en conséquence.

    C'est un point important : fournir ce `` ''de point de bobine peut
    atteindre le même objectif sur votre réseau comme un bidon gardé de porte
    pour les lieux physiques de votre emplacement. Ce des moyens lorsque vous
    avez un changement des `` zones 'ou des niveaux de la sensibilité, un tel
    point de contrôle est approprié. Une compagnie n'a rarement seulement une
    porte extérieure et aucun réceptionniste ou personnel de sécurité pour
    signer des insignes sur le chemin. S'il y a des couches de sécurité sur
    votre emplacement, il est raisonnable de s'attendre à des couches de
    sécurité sur votre réseau.



    2.4 Contre quoi un mur à l'épreuve du feu ne peut-il pas se protéger ?
    Les murs à l'épreuve du feu ne peuvent pas se protéger contre les
    attaques qui ne passent pas par le mur à l'épreuve du feu. Beaucoup de
    sociétés qui se relient à l'Internet sont très intéressées au sujet des
    données de propriété industrielle fuyant hors de la compagnie par cet
    itinéraire. Malheureusement pour ceux concernées, une bande magnétique, un
    disque compact, des commandes d'un instantané de DVD, ou d'USB mettent en
    boîte juste comme efficacement soyez employé pour exporter des données.
    Beaucoup d'organismes qui sont terrifiés (à un niveau de gestion) des
    raccordements d'Internet n'ont aucune politique logique au sujet de la façon
    dont cadran-dans l'accès par l'intermédiaire des modems devrait être
    protégé. Il est idiot de construire une porte en acier épaisse de six-pied
    quand vous vivez dans une maison en bois, mais il y a beaucoup d'organismes
    hors là d'acheter les murs à l'épreuve du feu chers et de négliger le
    nombreux d'autres en arrière-portes dans leur réseau. Pour qu'un mur à
    l'épreuve du feu travaille, ce doit être une partie d'une architecture
    d'organisation globale cohérente de sécurité. Les politiques de mur à
    l'épreuve du feu doivent être réalistes et refléter le niveau de la sécurité
    dans le réseau entier. Par exemple, un emplacement avec des données secrètes
    ou classifiées supérieures n'a pas besoin d'un mur à l'épreuve du feu du
    tout : elles ne devraient pas s'accrocher jusqu'à l'Internet en premier
    lieu, ou les systèmes avec les données vraiment secrètes devraient être
    isolés dans le reste du réseau de corporation.

    Une autre chose que un mur à l'épreuve du feu ne peut pas vraiment
    vous protéger contre est des traîtres ou des idiots à l'intérieur de votre
    réseau. Tandis qu'un espion industriel pourrait exporter l'information par
    votre mur à l'épreuve du feu, il est juste comme probablement pour
    l'exporter par un téléphone, un télécopieur, ou un disque compact. CDs sont
    des moyens bien plus probables pour information de fuir de votre
    organisation qu'un mur à l'épreuve du feu. Les murs à l'épreuve du feu ne
    peuvent pas également vous protéger contre la stupidité. Les utilisateurs
    qui indiquent l'information sensible par téléphone sont de bonnes cibles
    pour la technologie sociale ; un attaquant peut pouvoir se casser en votre
    réseau en déviant complètement votre mur à l'épreuve du feu, s'il peut
    trouver `` un intérieur utile des employés de ''qui peut être dupé dans
    donner l'accès à une piscine de modem. Avant de décider ce n'est pas un
    problème dans votre organisation, se demandent combien ennui un entrepreneur
    a obtenir noté dans le réseau ou combien de difficulté un utilisateur qui a
    oublié son mot de passe le devoir pour remettre à zéro. Si les personnes sur
    le service SVP croient que chaque appel est interne, vous avez un problème
    qui ne peut pas être fixé en serrant des commandes sur les murs à l'épreuve
    du feu.

    Les murs à l'épreuve du feu ne peuvent pas se protéger contre
    l'excédent de perçage d'un tunnel que la plupart des protocoles
    d'application à trojaned ou les clients mal écrits. Il n'y a aucune balle
    magique et un mur à l'épreuve du feu n'est pas une excuse pour ne pas mettre
    en application des commandes de logiciel sur les réseaux internes ou pour ne
    pas ignorer le degré de sécurité de centre serveur sur des serveurs.
    Mauvaises choses de ''de perçage d'un tunnel les `` au-dessus du HTTP, du
    smtp, et d'autres protocoles est tout à fait simple et trivialement
    démontrée. La sécurité n'est pas le `` feu et n'oublie pas ''.

    Pour finir, les murs à l'épreuve du feu ne peuvent pas se protéger
    contre de mauvaises choses étant permises par elles. Par exemple, beaucoup
    de chevaux de Trojan emploient le protocole du Internet Relay Chat (IRC)
    pour permettre à un attaquant de commander un centre serveur interne
    compromis d'un serveur d'IRC de public. Si vous permettez à n'importe quel
    système interne de se relier à n'importe quel système externe, alors votre
    mur à l'épreuve du feu n'assurera aucune protection contre ce vecteur
    d'attaque.



    2.5 Que diriez-vous des virus et de tout autre malware ?
    Les murs à l'épreuve du feu ne peuvent pas se protéger très bien
    contre des choses comme les virus ou le logiciel malveillant (malware). Il y
    a trop de manières de coder les dossiers binaires pour le transfert sur des
    réseaux, et trop de de différents architectures et virus pour essayer de les
    rechercher tous. En d'autres termes, un mur à l'épreuve du feu ne peut pas
    remplacer la sécurité-conscience de la part de vos utilisateurs. En général,
    un mur à l'épreuve du feu ne peut pas se protéger contre une attaque
    data-driven -- les attaques dans lesquelles quelque chose est expédiée ou
    copiée à un centre serveur interne où elle est alors exécutée. Cette forme
    d'attaque s'est produite dans le passé contre de diverses versions de
    sendmail, ghostscript, scripting des agents d'utilisateur de courrier comme
    des perspectives, et des navigateurs de Web comme l'Internet Explorer.

    Les organismes qui sont profondément préoccupés par des virus
    devraient mettre en application des mesures de contrôle organisation-larges
    de virus. Plutôt qu'en essayant seulement d'examiner des virus dehors au mur
    à l'épreuve du feu, assurez-vous que chaque dessus de bureau vulnérable a le
    logiciel de balayage de virus qui est couru quand la machine est rechargée.
    Couvrir votre réseau avec le logiciel de balayage de virus se protégera
    contre les virus qui entrent par l'intermédiaire des disquettes, CDs,
    modems, et l'Internet. L'essai de bloquer des virus au mur à l'épreuve du
    feu se protégera seulement contre des virus contre l'Internet. Le balayage
    de virus au mur à l'épreuve du feu ou au passage de E-mail arrêtera un grand
    nombre d'infections.

    Néanmoins, un nombre croissant de fournisseurs de mur à l'épreuve du
    feu offrent le `` virus détectant des murs à l'épreuve du feu de ''. Ils
    sont probablement seulement utiles pour les utilisateurs naïfs échangeant
    des programmes exécutables d'Windows-sur-Intel et des documents
    malveillant-macro-capables d'application. Il y a beaucoup des approches mur
    à l'épreuve du feu-basées pour traiter des problèmes comme `` le ver de
    ''d'ILOVEYOU et les attaques reliées, mais ce sont des approches vraiment
    trop simplifiées qui essayent de limiter les dommages de quelque chose qui
    est si stupide ils devraient ne jamais s'être produits en premier lieu. Ne
    comptez sur aucune protection contre des attaquants avec ce dispositif.
    (puisque l'`` ''d'ILOVEYOU a circulé, nous avons vu au moins une
    demi-douzaine attaques semblables, y compris la mélisse, Happy99, codons le
    rouge, et les Badtrans.B, qui ont été heureusement passés par beaucoup de
    murs à l'épreuve du feu et passages virus-détectants de E-mail.)

    Un mur à l'épreuve du feu fort n'est jamais un produit de remplacement
    pour le logiciel sensible qui identifie la nature de ce qu'il manipule --
    untrusted des données d'unauthenticated la partie -- et se comporte
    convenablement. Ne pensez pas que parce que `` chacun ''utilise cette
    annonce ou parce que le fournisseur est une compagnie multinationale
    gargantuesque, vous sont sûrs. En fait, il n'est pas vrai que `` chacun
    ''utilise n'importe quelle annonce, et les compagnies qui se spécialisent
    dans la technologie de rotation inventée ailleurs dans quelque chose qui est
    `` facile d'employer le ''sans n'importe quelle expertise sont pour produire
    le logiciel qui peut être dupé. Davantage de considération de cette matière
    serait valable [3], mais est au delà de la portée de ce document.



    2.6 IPSEC rendra-t-il des murs à l'épreuve du feu désuets ?
    Certains ont argué du fait que c'est le cas. Avant de prononcer une
    prévision si rapide, cependant, il est intéressant de considérer ce qu'est
    IPSEC et ce qu'il . Une fois que nous savons ceci, nous pouvons considérer
    s'IPSEC résoudra les problèmes que nous essayons de résoudre avec des murs à
    l'épreuve du feu.

    IPSEC (sécurité d'IP) se rapporte à un ensemble de normes développées
    par la technologie d'Internet Charge la force (IETF). Il y a beaucoup de
    documents qui définissent collectivement ce qui est connu en tant que ``
    ''d'IPSEC [6]. IPSEC résout deux problèmes qui ont infesté la suite de
    protocole d'IP pendant des années : authentification de centre-à-centre
    serveur (qui fera des hôtes savoir qu'ils parlent aux centres serveurs
    qu'ils pensent qu'ils sont) et chiffrage (qui empêchera des attaquants de
    pouvoir observer le trafic aller entre les machines).

    Notez que n'est ni l'un ni l'autre de ces problèmes ce que des murs à
    l'épreuve du feu ont été créés pour résoudre. Bien que les murs à l'épreuve
    du feu puissent aider à atténuer certains des risques actuels sur un
    Internet sans authentification ou chiffrage, il y a vraiment deux classes
    des problèmes ici : intégrité et intimité d'information coulant entre les
    centres serveurs et les limites placées sur quels genres de connectivité est
    permis entre différents réseaux. IPSEC adresse l'anciens classe et murs à
    l'épreuve du feu le dernier.

    Ce qui ces est le moyen celui-là n'éliminera pas le besoin d'autre,
    mais il crée quelques possibilités intéressantes quand nous regardons
    combinants des murs à l'épreuve du feu avec les centres serveurs
    IPSEC-permis. À savoir, des choses telles que les réseaux privés virtuels
    fournisseur-indépendants (VPNs), un meilleur filtrage de paquet (en filtrant
    dessus si les paquets ont l'en-tête d'authentification d'IPSEC), et les murs
    à l'épreuve du feu d'application-couche pourront avoir de meilleurs moyens
    de vérification de centre serveur en employant réellement l'en-tête
    d'authentification d'IPSEC au lieu `` du ''de confiance juste que le IP
    address a présenté.



    2.7 Quelles sont de bonnes sources d'information d'impression sur des
    murs à l'épreuve du feu ?
    Il y a plusieurs livres qui touchent sur des murs à l'épreuve du feu.
    Mieux connus sont :

    Murs à l'épreuve du feu d'Internet de bâtiment, 2d ED.
    Auteurs
    Elizabeth D. Zwicky, tonnelier de Simon, et colporteur de D. Brent
    Éditeur
    O'Reilly
    Édition
    2000
    ISBN
    1-56592-871-7

    Murs à l'épreuve du feu et sécurité d'Internet : Repousser l'intrus
    Astucieux
    Auteurs
    Facture Cheswick, Steve Bellovin, Avi Rubin
    Éditeur
    Addison Wesley
    Édition
    2003
    ISBN
    020163466X

    Sécurité Pratique D'Internet Et D'Unix
    Auteurs
    Simson Garfinkel et gène Spafford
    Éditeur
    O'Reilly
    Édition
    1996
    ISBN
    1-56592-148-8
    Note
    Discute principalement le degré de sécurité de centre serveur.
    Les références relatives sont :

    Interconnexion de réseaux avec TCP/IP Vols I, II, et III
    Auteurs
    Arrivant et David Stevens de Douglas
    Éditeur
    Apprenti-Hall
    Édition
    1991
    ISBN
    0-13-468505-9 (i), 0-13-472242-6 (ii), 0-13-474222-2 (iii)
    Commentaire
    Une discussion détaillée sur l'architecture et exécution de l'Internet
    et de ses protocoles. Le volume I (sur des principes, des protocoles et
    l'architecture) est lisible par chacun. Le volume 2 (sur la conception,
    l'exécution et les internals) est plus technique. Calcul de serveur de
    client de couvertures du volume 3.

    Sécurité de système d'Unix -- un guide pour des utilisateurs et des
    interfaces gestionnaire
    Auteur
    Cari De David
    Éditeur
    Addison Wesley
    Édition
    1992
    ISBN
    0-201-56327-4


    2.8 Où peux-je obtenir plus d'information sur des murs à l'épreuve du
    feu sur l'Internet ?

    Manuel De Sécurité D'Emplacement
    http://www.rfc-editor.org/rfc/rfc2196.txt le manuel de sécurité
    d'emplacement est un document d'IETF de l'information qui décrit les
    questions fondamentales qui doivent être adressées pour la bonne sécurité
    d'emplacement de bâtiment. Les murs à l'épreuve du feu sont une part d'une
    plus grande stratégie de sécurité, car le manuel de sécurité d'emplacement
    montre.
    Murs à l'épreuve du feu Expédiant La Liste
    http://www.isc.org/index.pl?/ops/lists/firewalls/ les murs à l'épreuve
    du feu d'Internet expédiant la liste est un forum pour des administrateurs
    et des implementors de mur à l'épreuve du feu.
    Mur à l'épreuve du feu-Magiciens Expédiant La Liste
    http://honor.icsalabs.com/facteur/listinfo/firewall-wizards les
    magiciens de mur à l'épreuve du feu expédiant la liste est un mur à
    l'épreuve du feu modéré et une liste reliée par sécurité qui est plus comme
    un journal qu'un soapbox public.
    Mur à l'épreuve du feu HOWTO
    http://www.linuxdoc.org/HOWTO/Firewall-HOWTO.html décrit exactement ce
    qui est nécessaire pour construire un mur à l'épreuve du feu, en particulier
    en utilisant Linux.
    Trousse à outils de mur à l'épreuve du feu (FWTK) et papiers de mur à
    l'épreuve du feu
    ftp://ftp.tis.com/pub/firewalls/
    Publications relatives de mur à l'épreuve du feu de Marcus Ranum
    http://www.ranum.com/pubs/
    Outils de sécurité d'université du Texas A&M
    http://www.net.tamu.edu/ftp/security/TAMU/
    Page de murs à l'épreuve du feu d'Internet de projet de CÔTE
    http://www.cerias.purdue.edu/coast/firewalls/
    Back to Top
    FAQ de mur à l'épreuve du feu en français partie 2
    3 issues de conception et d'exécution


    3.1 Quelles sont certaines des décisions de base de conception dans un
    mur à l'épreuve du feu ?
    Il y a un certain nombre de questions de base de conception qui
    devraient être abordées par la personne chanceuse qui a été chargée avec la
    responsabilité de concevoir, d'indiquer, et de mettre en application ou de
    surveiller l'installation d'un mur à l'épreuve du feu.

    Première et la plupart importante de la décision reflète la politique
    de la façon dont votre compagnie ou organisation veut actionner le système :
    est-ce que le mur à l'épreuve du feu en place explicitement pour nier tous
    les services excepté ceux critiques à la mission de se relier au filet, ou
    le mur à l'épreuve du feu en place pour fournir une méthode dosée et apurée
    `` d'accès s'alignant de ''est est d'une façon non-menaçante ? Il y a des
    degrés de paranoïa entre ces positions ; la position finale de votre mur à
    l'épreuve du feu pourrait être plus le résultat d'un politique qu'une
    décision de technologie.

    La seconde est : quel niveau de la surveillance, redondance, et
    commande voulez-vous ? Après avoir établi le niveau acceptable de risque
    (c.-à-d., comment le paranoïde vous sont) en résolvant le premier problème,
    vous pouvez former une liste de contrôle de ce qui devrait être surveillé,
    autorisé, et nié. En d'autres termes, vous commencez par figurer hors de vos
    objectifs globaux, et combinez alors a besoin de l'analyse avec une
    évaluation des risques, et assortit les conditions presque toujours
    contradictoires dehors dans une liste de blanchisserie qui indique ce que
    vous projetez mettre en application.

    La troisième issue est financière. Nous ne pouvons pas adresser
    celui-ci ici en n'importe quoi mais termes vagues, mais il est important
    d'essayer de mesurer toutes les solutions proposées en termes de combien
    cela coûtera l'un ou l'autre d'acheter ou de mettre en application. Par
    exemple, un produit complet de mur à l'épreuve du feu peut coûter entre
    $100.000 à l'extrémité élevée, et libère à la basse extrémité. L'option
    libre, de faire une certaine fantaisie configurant sur un Cisco ou un
    couteau semblable ne coûtera rien mais le temps de personnel et quelques
    tasses de café. Mettre en application un haut mur à l'épreuve du feu
    d'extrémité à partir de zéro pourrait coûter plusieurs hommes-mois, qui
    peuvent égaliser à la valeur $30.000 du salaire et des avantages de
    personnel. Les frais généraux de gestion de systèmes sont également une
    considération. Établir un maison-brassage est très bien, mais il est
    important de l'établir de sorte qu'il n'exige pas l'attention constante (et
    chère). Il est important, en d'autres termes, évaluer les murs à l'épreuve
    du feu non seulement en termes de ce qu'elles coûtent maintenant, mais
    continuant coûte comme l'appui.

    Du côté technique, il y a des couples des décisions à faire, basés sur
    le fait que pour tous les buts pratiques de ce que nous parlons est un
    service statique de cheminement de trafic placé entre le couteau de
    fournisseur de service de réseau et votre réseau interne. Le service de
    cheminement de trafic peut être mis en application à un niveau d'IP par
    l'intermédiaire de quelque chose comme des règles de criblage dans un
    couteau, ou à un niveau d'application par l'intermédiaire des passages et
    des services de procuration.

    La décision à faire est si placer une machine dépouillée-vers le bas
    exposée sur le réseau extérieur pour courir des services de procuration pour
    le telnet, le ftp, les nouvelles, etc., ou s'installer un screening router
    comme filtre, permettant la communication avec une ou plusieurs machines
    internes. Il y a des avantages et des inconvénients aux deux approches, avec
    la machine de procuration fournissant un plus grand niveau d'audit et,
    potentiellement, la sécurité en échange pour le coût accru dans la
    configuration et une diminution au niveau du service qui peut être fourni
    (puisqu'une procuration doit être développée pour chaque service désiré). La
    vieille différence entre la facilité d'utilisation et la sécurité revient
    pour nous hanter avec une vengeance.



    3.2 Quels sont les types de base de murs à l'épreuve du feu ?
    Conceptuellement, il y a trois types de murs à l'épreuve du feu :

    Couche réseau
    Couche application
    Hybrides
    Ils ne sont pas aussi différents que vous pourriez penser, et les
    dernières technologies brouillent la distinction au point où elle n'est plus
    claire si l'un ou l'autre un est un `` meilleur ''ou `` un plus mauvais.''
    En tant que toujours, vous devez faire attention à sélectionner le type qui
    satisfait vos besoins.

    Ce qui est ce qui dépend de quels mécanismes le mur à l'épreuve du feu
    emploie pour passer le trafic d'une zone de sécurité à l'autre. Le modèle
    international de l'interconnexion de systèmes ouverts de l'organisme de
    normalisation (OIN) (OSI) pour la gestion de réseau définit sept couches, où
    chaque couche fournit les services dont `` les couches de plus haut niveau
    de ''dépendent. Dans l'ordre du fond, ces couches sont physiques, liaison de
    transmission de données, réseau, transport, session, présentation,
    application.

    La chose importante à reconnaître est que le plus bas le mécanisme de
    expédition, moins que le mur à l'épreuve du feu peut exécuter d'examen.
    D'une manière générale, les murs à l'épreuve du feu plus bas sont plus
    rapides, mais sont plus faciles à duper dans faire la chose fausse.

    De nos jours, la plupart des murs à l'épreuve du feu entrent dans ``
    la catégorie hybride de '', qui font le réseau filtrant aussi bien qu'une
    certaine quantité d'inspection d'application. La quantité change selon le
    fournisseur, le produit, le protocole et la version, ainsi un certain niveau
    de creuser et/ou d'examiner est souvent nécessaire.


    3.2.1 Murs à l'épreuve du feu de couche réseau
    Ceux-ci prennent généralement leurs décisions basées sur la source,
    les adresses de destination et les ports (voir l'annexe 6 pour une
    discussion plus détaillée des ports) en différents paquets d'IP. Un couteau
    simple est `` le mur à l'épreuve du feu traditionnel de couche réseau de '',
    puisqu'il ne peut pas prendre en particulier des décisions sophistiquées au
    sujet de derrière de quel paquet parle réellement ou d'où il est venu
    réellement. Les murs à l'épreuve du feu modernes de couche réseau sont
    devenus de plus en plus sophistiqués, et maintiennent maintenant des
    informations internes sur l'état de raccordements passant par eux, le
    contenu de certains des flux de données, et ainsi de suite. Une chose qui
    est une distinction importante au sujet de beaucoup de murs à l'épreuve du
    feu de couche réseau est qu'ils conduisent le trafic directement cependant
    ils, ainsi à l'utilisation une vous devez avoir un bloc bien assigné de IP
    address ou employer `` un bloc privé d'adresse de ''d'Internet [5]. Les murs
    à l'épreuve du feu de couche réseau tendent à être très rapides et à tendre
    à être très transparents aux utilisateurs.


    Le schéma 1 : Mur à l'épreuve du feu Examiné de Centre serveur

    Sur le schéma 1, un mur à l'épreuve du feu de couche réseau a appelé
    `` un centre serveur examiné que le ''de mur à l'épreuve du feu est
    représenté. Dans un mur à l'épreuve du feu examiné de centre serveur,
    l'accès à et d'un centre serveur simple est commandé à l'aide d'un couteau
    fonctionnant à une couche réseau. Le centre serveur simple est un bastion
    host ; un fort-point haut-défendu et fixé que (si tout va bien) peut
    résister à l'attaque.


    Le schéma 2 : Mur à l'épreuve du feu Examiné de Sous-filet

    Mur à l'épreuve du feu de couche réseau d'exemple: Sur le schéma 2, un
    mur à l'épreuve du feu de couche réseau a appelé `` un ''examiné de mur à
    l'épreuve du feu de sous-filet est représenté. Dans un mur à l'épreuve du
    feu examiné de sous-filet, l'accès à et d'un réseau entier est commandé à
    l'aide d'un couteau fonctionnant à une couche réseau. Il est semblable à un
    centre serveur examiné, sauf que c'est, en fait, un réseau des centres
    serveurs examinés.


    3.2.2 Murs à l'épreuve du feu de couche application
    Ce sont généralement des centres serveurs courant les serveurs de
    procuration, qui ne permettent aucun trafic directement entre les réseaux,
    et qui effectuent la notation et apurer raffinés du trafic passant par
    elles. Puisque les applications de procuration sont des composants de
    logiciel fonctionnant sur le mur à l'épreuve du feu, c'est un bon endroit
    pour faire un bon nombre de notation et de contrôle d'accès. Des murs à
    l'épreuve du feu de couche application peuvent être employés en tant que
    traducteurs d'adresse de réseau, puisque le trafic va dans un `` ''latéral
    et hors de l'autre, ensuite ayant passé par une application qui masque
    efficacement l'origine du raccordement de lancement. Avoir une application
    de la manière dans certains cas peut effectuer l'exécution et peut rendre le
    mur à l'épreuve du feu moins transparent. Les murs à l'épreuve du feu tôt de
    couche application de ce type construits en utilisant la trousse à outils de
    mur à l'épreuve du feu de TIS, ne sont pas particulièrement transparents aux
    utilisateurs et peuvent exiger de la formation. Les murs à l'épreuve du feu
    modernes de couche application sont souvent entièrement transparents. Les
    murs à l'épreuve du feu de couche application tendent à fournir des rapports
    de contrôle plus détaillés et à tendre à imposer des modèles plus
    conservateurs de sécurité que des murs à l'épreuve du feu de couche réseau.


    Le schéma 3 : Conjuguent Le Passage Homed

    Mur à l'épreuve du feu de couche application d'exemple: Sur le schéma
    3, un mur à l'épreuve du feu de couche application appelé `` un ''homed duel
    de passage est représenté. Un passage homed duel est un centre serveur
    fortement fixé qui court le logiciel de procuration. Il a deux interfaces de
    réseau, une sur chaque réseau, et bloque tout le trafic passant par lui.

    La plupart des murs à l'épreuve du feu se trouvent maintenant quelque
    part entre les murs à l'épreuve du feu de couche réseau et les murs à
    l'épreuve du feu de couche application. Comme prévu, les murs à l'épreuve du
    feu de couche réseau ont de plus en plus devenu `` le ''averti d'information
    passant par eux, et les murs à l'épreuve du feu de couche application ont de
    plus en plus devenu `` le ''de niveau bas et transparents. Le résultat de
    fin est que maintenant il y a des systèmes rapides de paquet-criblage qui
    notation et données d'audit comme ils traversent le système. De plus en
    plus, les murs à l'épreuve du feu (réseau et couche application) incorporent
    le chiffrage de sorte qu'ils puissent protéger le trafic passant entre eux
    au-dessus de l'Internet. Des murs à l'épreuve du feu avec le chiffrage bout
    à bout peuvent être employés par des organismes avec les points multiples de
    connectivité d'Internet pour employer l'Internet comme `` ''privé d'épine
    dorsale sans s'inquiéter de leurs données ou mots de passe étant reniflés.
    (IPSEC, décrit dans la section 2.6, joue un rôle de plus en plus
    significatif dans la construction de tels réseaux privés virtuels.)



    3.3 Quels sont des serveurs de procuration et comment elles
    travaillent ?
    Un proxy server (parfois désigné sous le nom d'un passage ou d'un
    expéditeur d'application) est une application qui négocie le trafic entre un
    réseau protégé et l'Internet. Des procurations sont souvent employées au
    lieu des commandes de trafic couteau-basées, pour empêcher le trafic de
    passer directement entre les réseaux. Beaucoup de procurations contiennent
    des frais supplémentaires notant ou les soutiennent pour l'authentification
    d'utilisateur. Puisque les procurations doivent `` comprendre le ''le
    protocole d'application étant employé, elles peuvent également mettre en
    application la sécurité spécifique de protocole (par exemple, une
    procuration de ftp pourrait être configurable pour permettre le ftp entrant
    et pour bloquer le ftp sortant).

    Les serveurs de procuration sont détail d'application. Afin de
    soutenir un nouveau protocole par l'intermédiaire d'une procuration, une
    procuration doit être développée pour elle. Un ensemble populaire de
    serveurs de procuration est la Trousse à outils de mur à l'épreuve du feu
    d'Internet de TIS (``FWTK '') qui inclut des procurations pour le telnet, le
    rlogin, le ftp, les nouvelles de système, de HTTP/Web, et de NNTP/Usenet de
    fenêtre de X. Les CHAUSSETTES est un système générique de procuration qui
    peut être compilé dans une application de client-côté pour lui faire le
    travail par un mur à l'épreuve du feu. Son avantage est qu'il est facile
    d'employer, mais il ne soutient pas l'addition des crochets
    d'authentification ou ne proclame pas un protocole notation spécifique. Pour
    plus d'information sur des CHAUSSETTES, voir le http://www.socks.nec.com/.



    3.4 Quels sont quelques outils bon marché de criblage de paquet ?
    Les outils de sécurité d'université du Texas A&M incluent le logiciel
    pour les couteaux mettants en application de criblage. Karlbridge est un kit
    PC-BASÉ de screening router fourni par
    ftp://ftp.net.ohio-state.edu/pub/kbridge/.

    Il y a de nombreux écrans de paquet de grain-niveau, y compris l'ipf,
    l'ipfw, les ipchains, le pf, et l'ipfwadm. Typiquement, ceux-ci sont inclus
    dans diverses réalisations libres d'Unix, telles que FreeBSD, OpenBSD,
    NetBSD, et Linux. Vous pourriez également trouver ces outils disponibles
    dans votre exécution commerciale d'Unix.

    Si vous êtes disposé à obtenir à vos mains peu un sale, il est
    complètement possible de construire un mur à l'épreuve du feu bloqué et
    entièrement fonctionnel pour le prix du matériel et une partie de votre
    temps.



    3.5 Quelles sont quelques règles de filtrage raisonnables pour un
    écran grain-basé de paquet ?
    Cet exemple est écrit spécifiquement pour l'ipfwadm sur Linux, mais
    les principes (et même une grande partie de la syntaxe) s'applique pour
    d'autres interfaces de grain pour le criblage de paquet sur `` les systèmes
    ouverts d'Unix de ''de source.

    Il y a quatre catégories de base couvertes par les règles d'ipfwadm :


    - A
    Comptabilité de Paquet
    - I
    Mur à l'épreuve du feu d'entrée
    - O
    Mur à l'épreuve du feu de rendement
    - F
    Mur à l'épreuve du feu de expédition
    l'ipfwadm a également masquerading (-M) des possibilités. Pour plus
    d'information en des commutateurs et des options, voyez la page d'homme
    d'ipfwadm.


    3.5.1 Exécution
    Ici, notre organisation emploie (RFC 1918 ) un réseau privé
    192.168.1.0 de la classe C. Notre ISP nous a assigné l'adresse
    201.123.102.32 pour l'interface externe de notre passage et 201.123.102.33
    pour notre mail server externe. La politique d'organisation indique :


    Permettez tous les raccordements sortants de TCP
    Permettez le smtp entrant et le DNS au mail server externe
    Bloquez tout autre trafic
    Le bloc suivant de commandes peut être placé dans un dossier
    d'initialisation de système (peut-être rc.local sur des systèmes d'Unix).


    l'ipfwadm - F - l'ipfwadm de f - F - p nient l'ipfwadm - F
    - I m - b - P tcp - S 0.0.0.0/0 1024:65535 - l'ipfwadm 25 - F de D
    201.123.102.33 - I m - b - P tcp - S 0.0.0.0/0 1024:65535 - l'ipfwadm
    53 - F de D 201.123.102.33 - I m - b - UDP de P - S 0.0.0.0/0
    1024:65535 - l'ipfwadm 53 - F de D 201.123.102.33 - un m - S
    192.168.1.0/24 - D 0.0.0.0/0 - W eth0 /sbin/route s'ajoutent -
    accueillent 201.123.102.33 gws 192.168.1.2


    3.5.2 Explication
    La ligne une rince (-f) tout l'expédition (-F) des règles.
    Ligne deux ensembles la politique de défaut (-p) pour nier.
    Les lignes trois à cinq sont des règles entrées (-i) dans le format
    suivant :
    ipfwadm - F (vers l'avant) - I (entrée) m (masq.) - protocol)[protocol
    de b (bi-directionnel ) - P ]- S (source)[subnet/mask ] [ lançant des
    ports ]- D (destination)[subnet/mask][port ]


    La ligne six appose (-a) une règle qui permet tout l'IP interne
    adresse dehors à toutes les adresses externes sur tous les protocoles, tous
    les ports.

    La ligne huit ajoute un itinéraire de sorte que le trafic allant à
    201.123.102.33 soit dirigé vers l'adresse interne 192.168.1.2.


    3.6 Quelles sont quelques règles de filtrage raisonnables pour un
    Cisco ?
    L'exemple sur le schéma 4 montre une configuration possible pour
    l'usage du Cisco en tant que couteau de filtrage. C'est un échantillon qui
    montre l'exécution de en tant que politique spécifique. Votre politique
    changera assurément.


    Le schéma 4 : Couteau de Filtrage De Paquet

    Dans cet exemple, une compagnie a l'adresse de réseau de la classe C
    195.55.55.0. Le réseau de compagnie est relié à l'Internet par
    l'intermédiaire du fournisseur de service d'IP. La politique de compagnie
    est de permettre à tout le monde l'accès aux services d'Internet, ainsi tous
    les raccordements sortants sont acceptés. Tous les raccordements entrants
    passent par le `` mailhost ''. Le courrier et le DNS sont seulement des
    services entrants.


    3.6.1 Exécution

    Permettez tout le TCP-connections sortant
    Permettez le smtp entrant et le DNS au mailhost
    Permettez les raccordements de données entrants de ftp au haut port de
    TCP (1024)
    Essayez de protéger les services qui vivent sur des nombres gauches
    élevés
    Seulement des paquets entrants de l'Internet sont signés cette
    configuration. Des règles sont examinées dans l'ordre et s'arrêtent quand la
    première allumette est trouvée. Il y a un implicite nient la règle à la fin
    d'une liste d'accès qui nie tout. Cette liste d'accès d'IP suppose que vous
    courez IOS v de Cisco. 10.3 ou plus tard.


    aucun IP source-ne conduisent ! Ethernet d'interface
    0 IP address 195.55.55.1 qu'aucun IP diriger-n'a annoncés ! la
    publication périodique 0 d'interface aucun IP diriger-a annoncé
    l'accès-groupe 101 d'IP po ! l'accès-liste 101 nient IP
    127.0.0.0 que 0.255.255.255 n'importe quelle accès-liste 101 nient IP
    10.0.0.0 0.255.255.255 n'importe quelle accès-liste 101 nient IP
    172.16.0.0 0.15.255.255 n'importe quelle accès-liste 101 nient IP
    192.168.0.0 0.0.255.255 n'importe quelle accès-liste 101 refusent à
    IP n'importe quels 0.0.0.255 255.255.255.0 l'accès-liste 101 refusent
    à IP n'importe quels 0.0.0.0 255.255.255.0 ! l'accès-liste 101
    refusent à IP 195.55.55.0 0.0.0.255 accès-liste 101 tous de tcp de
    laiss établis ! laiss tcp de l'accès-liste 101 toute laiss
    tcp de l'accès-liste 101 de smtp d'eq du centre serveur 195.55.55.10
    tout UDP de laiss de l'accès-liste 101 de l'eq DNS du centre serveur
    195.55.55.10 tout eq DNS du centre serveur 192.55.55.10 !
    l'accès-liste 101 refusent à tcp n'importe quelle n'importe
    quelle gamme 6000 6003 que l'accès-liste 101 refusent à tcp
    n'importe quelle n'importe quelle gamme 2000 2003 accès-listes 101
    nient le tcp n'importe quelle n'importe quelle accès-liste 2049 d'eq
    101 refusez UDP à n'importe quel n'importe quel eq 2049 ! laiss
    tcp de l'accès-liste 101 tous 20 tout gt 1024 ! ICMP tout quel
    de laiss de l'accès-liste 101 ! ligne 0 4 accès-classes vty 2
    du RO 2 de la communauté FOOBAR de SNMP-SERVEUR dans la laiss
    195.55.55.0 0.0.0.255 de l'accès-liste 2


    3.6.2 Explications
    Laissez tomber tous les paquets source-conduits. Le cheminement de
    source peut être employé pour la mystification d'adresse.
    La baisse a dirigé les émissions, qui sont employées dans des attaques
    de smurf.
    Si un paquet entrant prétend être d'un filet local, d'un réseau de
    réalimentation, ou d'un réseau privé, laissez- tomberle.
    Tous les paquets qui font partie de TCP-connections déjà établi
    peuvent passer à travers sans vérifier plus loin.
    Tous les raccordements à de bas nombres gauches sont bloqués excepté
    le smtp et le DNS.
    Bloquez tous les services qui détectent à l'oreille des raccordements
    de TCP sur des nombres gauches élevés. X11 (port 6000+), OpenWindows (port
    2000+) sont quelques candidats. NFS (port 2049) court le UDP habituellement
    fini, mais il peut être couru au-dessus du TCP, ainsi vous devrait le
    bloquer.
    Des raccordements entrants du port 20 dans des nombres gauches élevés
    sont censés être des raccordements de données de ftp.
    l'Accès-liste 2 limite l'accès au couteau lui-même (telnet et SNMP)
    Tout le trafic de UDP est bloqué pour protéger des services de RPC

    3.6.3 Imperfections

    Vous ne pouvez pas imposer des politiques fortes d'accès avec des
    listes d'accès de couteau. Les utilisateurs peuvent facilement installer des
    backdoors sur leurs systèmes pour n'obtenir à excédent `` aucun ''entrant de
    telnet ou `` aucune règle du ''X11. En outre les biscuits installent des
    backdoors de telnet sur des systèmes où ils se cassent dedans.

    Vous pouvez jamais être sûr quels services vous avez l'écoute des
    raccordements sur des nombres gauches élevés. (vous ne pouvez pas être sûr
    de quels services vous avez l'écoute des raccordements sur de bas nombres
    gauches, l'un ou l'autre, particulièrement dans les environnements fortement
    décentralisés où les gens peuvent mettre leurs propres machines sur le
    réseau ou où ils peuvent obtenir l'accès administratif à leurs propres
    machines.)

    La vérification du port de source sur les raccordements de données
    entrants de ftp est une méthode faible de sécurité. Elle casse également
    l'accès à quelques emplacements de ftp. Elle se sert du service plus
    difficile pour des utilisateurs sans empêcher de mauvais types de balayer
    vos systèmes.
    La version 9.21 de Cisco d'utilisation au moins ainsi vous pouvez
    filtrer les paquets entrants et vérifier la mystification d'adresse. Il vaut
    encore mieux d'employer 10.3, où vous obtenez quelques dispositifs
    supplémentaires (comme le filtrage sur le port de source) et quelques
    améliorations sur la syntaxe de filtre.

    Vous avez toujours quelques manières de rendre votre installation plus
    forte. Bloquez tout le TCP-connections entrant et dites les utilisateurs
    d'employer les clients passif-Ftp. Vous pouvez également bloquer l'ICMP
    sortant écho-répondez et les messages destination-inaccessibles pour cacher
    votre réseau et pour empêcher l'utilisation des modules de balayage de
    réseau. L'utilisation de Cisco.com d'avoir des archives des exemples pour
    construire des murs à l'épreuve du feu à l'aide des couteaux de Cisco, mais
    lui ne semble plus être en ligne. Il y a quelques notes sur des listes de
    contrôle d'accès de Cisco, au moins, à
    ftp://ftp.cisco.com/pub/mibs/app_notes/access-lists.



    3.7 Quelles sont les ressources critiques dans un mur à l'épreuve du
    feu ?
    Il est important de comprendre les ressources critiques de votre
    architecture de mur à l'épreuve du feu, ainsi quand vous faites la
    planification de capacité, les optimisations d'exécution, etc., vous savez
    exactement de ce que vous devez faire, et de combien vous avez besoin pour
    le faire afin d'obtenir le résultat désiré.

    Ce qui exactement sont les ressources critiques du mur à l'épreuve du
    feu tend à changer de l'emplacement à l'emplacement, selon la sorte du
    trafic qui charge le système. Certains pensent qu'elles pourront
    automatiquement augmenter un flux de données de leur mur à l'épreuve du feu
    par la mise dans une boîte avec une unité centrale de traitement plus
    rapide, ou une unité centrale de traitement différente, quand ce n'est pas
    nécessairement le cas. Potentiellement, ceci pourrait être un grand
    gaspillage d'argent qui ne fait rien résoudre le problème actuel ou fournir
    le scalability prévu.

    Sur les systèmes occupés, la mémoire est extrêmement importante. Vous
    devez avoir assez de RAM pour soutenir chaque exemple de chaque programme
    nécessaire pour entretenir la charge placée sur cette machine. Autrement, la
    permutation commencera et la productivité s'arrêtera. La permutation légère
    n'est pas habituellement beaucoup d'un problème, mais si l'espace d'échange
    d'un système commence à devenir occupé, alors d'elle est habituellement
    l'heure pour plus de RAM. Un système qui permute fortement est souvent
    relativement facile à pousser au-dessus du bord dans une attaque de
    démenti-de-service, ou tombe simplement derrière en traitant la charge
    placée là-dessus. C'est où le long email retarde le début.

    Au delà de la condition du système pour la mémoire, il est utile de
    comprendre que les différents services emploient différentes ressources de
    système. Ainsi la configuration que vous prenez pour votre système devrait
    être indicative du genre de charge que vous projetez entretenir. Un
    processeur de 1400 mégahertz ne va pas vous faire beaucoup de bon si tout
    que vous faites est Netnews et courrier, et essaye de le faire sur un disque
    d'ide avec un contrôleur d'ISA.





    Tableau 1 : Ressources critiques pour des services de mur à l'épreuve
    du feu Service Ressource Critique
    Email Disque I/O
    Netnews Disque I/O
    Web Exécution de Douille d'OS de Centre serveur
    Cheminement d'IP Exécution de Douille d'OS de Centre serveur
    Cachette de Web Exécution de Douille d'OS de Centre serveur, Disque
    I/O







    3.8 Quel est un DMZ, et pourquoi je veut un ?
    le `` ''de DMZ est une abréviation pour `` la zone démilitarisée ''.
    Dans le contexte des murs à l'épreuve du feu, ceci se rapporte à une partie
    du réseau qui n'est ni une partie du réseau interne ni partie directement de
    l'Internet. Typiquement, c'est le secteur entre votre couteau d'accès
    d'Internet et votre bastion host, bien qu'il puisse être entre deux
    composants d'politique-exécution quelconques de votre architecture.

    Un DMZ peut être créé en mettant des listes de contrôle d'accès sur
    votre couteau d'accès. Ceci réduit au minimum l'exposition des centres
    serveurs sur votre LAN externe par des services seulement identifiés et
    contrôlés de laisser sur ces centres serveurs pour être accessible par des
    centres serveurs sur l'Internet. Beaucoup de murs à l'épreuve du feu
    commerciaux font simplement une troisième interface au loin du bastion host
    et la marquent le DMZ, le point est que le réseau n'est ni ''ni `` extérieur
    'd'`` intérieur '.

    Par exemple, un web server fonctionnant sur le NT pourrait être
    vulnérable à un certain nombre d'attaques de démenti-de-service contre des
    services tels que le RPC, le NetBIOS et le SMB. Ces services ne sont pas
    exigés pour l'opération d'un web server, bloquant ainsi des raccordements de
    TCP aux ports 135, 137, 138, et 139 sur ce centre serveur réduiront
    l'exposition à une attaque de démenti-de-service. En fait, si vous bloquez
    tout mais le trafic de HTTP à ce centre serveur, un attaquant aura seulement
    un service à attaquer.

    Ceci illustre un principe important : jamais les attaquants d'offre
    davantage à travailler avec qu'est absolument nécessaire pour soutenir les
    services vous veulent offrir le

    Back to Top
    FAQ de mur à l'épreuve du feu en français partie 3
    3.9 Comment est-ce que je pourrais augmenter la sécurité et le
    scalability de mon DMZ ?
    Une approche commune pour un attaquant est de se casser en centre
    serveur qui est vulnérable à l'attaque, et rapports de confiance d'exploit
    entre le centre serveur vulnérable et les cibles plus intéressantes.

    Si vous courez un certain nombre de services qui ont différents
    niveaux de sécurité, vous pourriez vouloir considérer casser votre DMZ en
    plusieurs `` zones de sécurité '. Ceci peut être fait en ayant un certain
    nombre de différents réseaux dans le DMZ. Par exemple, le couteau d'accès a
    pu alimenter deux Ethernets, tous les deux protégés par ACLs, et donc dans
    le DMZ.

    Sur un de l'Ethernets, vous pourriez avoir des hôtes dont le but est
    d'entretenir le besoin de votre organisation de connectivité d'Internet.
    Ceux-ci transmettront par relais probablement le courrier, les nouvelles, et
    le centre serveur DNS. Sur l'autre Ethernet pourraient être votre server(s)
    d'enchaînement et d'autres centres serveurs qui fournissent des services au
    profit des utilisateurs d'Internet.

    Dans beaucoup d'organismes, des services pour des utilisateurs
    d'Internet tendent à être moins soigneusement gardés et sont faire des
    choses peu sûres. (par exemple, dans le cas d'un web server, unauthenticated
    et untrusted des utilisateurs pourrait exécuter le cgi, le PHP, ou d'autres
    programmes exécutables. Ceci pourrait être raisonnable pour votre web
    server, mais apporte avec lui un certain ensemble de risques qui doivent
    être contrôlés. Il est probable ces services sont trop risqué que une
    organisation les coure sur un bastion host, où glissez-vers le haut peut
    avoir comme conséquence l'échec complet des mécanismes de sécurité.)

    En remontant des centres serveurs avec les niveaux semblables du
    risque sur des réseaux dans le DMZ, vous pouvez aider à réduire au minimum
    l'effet d'un rodage à votre emplacement. Si quelqu'un pénètre par effraction
    dans votre web server en exploitant un certain bogue dans votre web server,
    ils ne pourront pas l'employer comme point de lancement pour se casser en
    votre réseau privé si les serveurs d'enchaînement sont sur un LAN séparé des
    centres serveurs de bastion, et vous n'avez aucun rapport de confiance entre
    le web server et le bastion host.

    Maintenant, maintenez dans l'esprit que c'est Ethernet. Si quelqu'un
    pénètre par effraction dans votre web server, et votre bastion host est sur
    le même Ethernet, un attaquant peut installer un renifleur sur votre web
    server, et observe le trafic à et de votre bastion host. Ceci pourrait
    indiquer les choses qui peuvent être employées pour se casser en bastion
    host et pour accéder au réseau interne. (l'Ethernet commuté peut réduire
    votre exposition à ce genre de problème, mais ne l'éliminera pas.)

    Des services se dédoublants vers le haut non seulement par le centre
    serveur, mais le réseau, et en limitant le niveau de la confiance entre les
    centres serveurs sur ces réseaux, vous pouvez considérablement réduire la
    probabilité d'un rodage sur un centre serveur étant employé pour se casser
    en autre. Succinctement indiqué : la rupture en web server dans ce cas-ci ne
    le facilitera pas pour se casser en bastion host.

    Vous pouvez également augmenter le scalability de votre architecture
    en plaçant des centres serveurs sur différents réseaux. Plus il y a de
    partager la largeur de bande disponible machines, plus chacun obtiendra
    largeur de bande.



    3.10 Quel est un seul point de ` d'échec ', et comment j'évite d'avoir
    un ?
    Une architecture dont la sécurité s'articule sur un mécanisme a un
    seul point d'échec. Le logiciel qui court des centres serveurs de bastion a
    des bogues. Les applications ont des bogues. Le logiciel qui commande des
    couteaux a des bogues. Il se comprend d'employer tous ces composants pour
    établir un réseau solidement conçu, et pour les employer dans des manières
    superflues.

    Si votre architecture de mur à l'épreuve du feu est un sous-filet
    examiné, vous avez deux couteaux de filtrage de paquet et un bastion host.
    (voir la question 3.2 de cette section.) Votre couteau d'accès d'Internet ne
    permettra pas au trafic de l'Internet d'entrer toute la manière dans votre
    réseau privé. Cependant, si vous n'imposez pas que règle avec aucun autre
    mécanisme sur le couteau de bastion host et/ou de bobine, seulement un
    composant de votre architecture doit échouer ou être compromis afin
    d'obtenir à l'intérieur. D'autre part, si vous avez une règle superflue sur
    le bastion host, et encore sur le couteau de bobine, un attaquant devra
    défaire trois mécanismes.

    De plus, si le bastion host ou le couteau de bobine doit appeler sa
    règle pour bloquer l'accès extérieur au réseau interne, vous pourriez
    vouloir le faire déclencher une alarme d'une certaine sorte, puisque vous
    savez que quelqu'un a obtenu par votre couteau d'accès.



    3.11 Comment est-ce que je peux bloquer toute la mauvaise substance ?
    Pour des murs à l'épreuve du feu où l'emphase est sur la sécurité au
    lieu de la connectivité, vous devriez considérer bloquer tout par défaut, et
    permettre seulement spécifiquement de quels services vous avez besoin sur
    une base de cas-par-cas.

    Si vous bloquez tout, excepté un ensemble spécifique de services, puis
    vous avez déjà facilité votre travail beaucoup. Au lieu de devoir inquiéter
    de chaque problème de sécurité avec tout le produit et le service autour,
    vous devez seulement s'inquiéter de chaque problème de sécurité avec un
    ensemble spécifique de services et de produits.

    Avant la rotation à un service, vous devriez considérer un couple des
    questions :


    Le protocole pour ce produit est-il un protocole bien connu et édité ?
    Le service d'application est-il ce protocole disponible pour
    l'inspection publique de son exécution ?
    À quel point est-il connu le service et le produit ?
    Comment permettant ce service change l'architecture de mur à l'épreuve
    du feu ? Est-ce que un attaquant verra des choses différemment ?
    Pourrait-elle être exploitée pour atteindre mon réseau interne, ou pour
    changer des choses sur des centres serveurs dans mon DMZ ?
    Quand vu les questions ci-dessus, maintenez le suivant dans l'esprit :


    la `` sécurité par le ''d'obscurité n'est aucune sécurité du tout. Des
    protocoles non publiés ont été examinés par de mauvais types et défaits.
    En dépit de ce que les vendeurs disent, non chaque protocole ou
    service est conçu avec la sécurité à l'esprit. En fait, le nombre qui sont
    est très peu.
    Même dans les cas où la sécurité est une considération, non tous les
    organismes ont le personnel compétent de sécurité. Parmi ceux qui pas , pas
    tous sont disposés à introduire un conseiller compétent dans le projet. Le
    résultat de fin est celui autrement-compétent, les réalisateurs bien-prévus
    peut concevoir les systèmes peu sûrs.
    Moins un fournisseur est disposé à vous dire qu'à son sujet comment
    leur système fonctionne vraiment, plus plus probable est que les problèmes
    de sécurité (ou autre) existent. Seulement les fournisseurs avec quelque
    chose se cacher ont une raison de cacher leurs conceptions et réalisations
    [2].


    3.12 Comment est-ce que je peux limiter l'accès d'enchaînement ainsi
    les utilisateurs ne peuvent-ils pas regarder des emplacements indépendants
    pour travailler ?
    Il y a quelques années, quelqu'un a eu l'idée que c'est une bonne idée
    de bloquer les `` mauvais emplacements d'enchaînement de '', c.-à-d., ceux
    qui contiennent le matériel ce la compagnie regarde `` inadéquat ''. L'idée
    avait augmenté dans la popularité, mais il y a plusieurs choses à considérer
    en pensant à mettre en application de telles commandes dans votre mur à
    l'épreuve du feu.


    Il n'est pas possible de bloquer pratiquement tout qui un employeur
    considère `` inadéquat ''. l'Internet est plein de chaque sorte de matériel.
    Le blocage d'une source réorientera seulement le trafic à une autre source
    d'un tel matériel, ou faites figurer quelqu'un une manière autour du bloc.
    La plupart des organismes n'ont pas une norme pour juger la convenance
    du matériel que leurs employés apportent pour fonctionner, par exemple, des
    livres et des magasins. Inspectez-vous chacun serviette pour assurer `` le
    ''matériel inadéquat chaque jour ? Si vous pas , alors pourquoi
    inspecteriez-vous chaque paquet pour assurer `` le matériel inadéquat ''?
    Toutes les décisions le long de ces lignes dans une telle organisation
    seront arbitraires. Essayer de prendre une mesure disciplinaire contre un
    employé où la seule norme est arbitraire typiquement n'est pas sage, pour
    des raisons bien au delà de la portée de ce document.
    Il est en général facile éviter les produits qui effectuent
    l'emplacement-blocage, commerciaux et autrement. Hostnames peut être récrit
    comme adresses d'IP. Des adresses d'IP peuvent être écrites comme valeur de
    32 bits de nombre entier, ou en tant que quatre nombres entiers de 8 bits
    (la forme la plus commune). D'autres possibilités existent, aussi bien. Les
    raccordements peuvent être proxied. Des pages Web peuvent être cherchées par
    l'intermédiaire de l'email. Vous ne pouvez pas les bloquer toutes. L'effort
    que vous dépenserez l'essai de mettre en application et contrôler de telles
    commandes dépassera presque certainement de loin n'importe quel niveau de
    commande de dommages que vous espérez avoir.
    Le règle-de-pouce à se rappeler ici est que vous ne pouvez pas
    résoudre des problèmes sociaux avec la technologie. S'il y a un problème
    avec quelqu'un qui va `` à un site Web inadéquat de '', c'est parce que
    quelqu'un d'autre l'a vu et a été offensé par ce qu'il a vu, ou parce que la
    productivité de cette personne est au-dessous des espérances. Dans l'un ou
    l'autre cas, tels sont des sujets pour le service du personnel, pas
    l'administrateur de mur à l'épreuve du feu.



    4 Diverses Attaques


    4.1 Quel est le trafic conduit par source et pourquoi est il une
    menace ?
    Normalement, l'itinéraire que un paquet prend de sa source à sa
    destination est déterminé par les couteaux entre la source et la
    destination. Le paquet lui-même indique seulement où il veut disparaître
    (l'adresse de destination), et rien au sujet de la façon dont il compte y
    arriver.

    Il y a une manière facultative pour l'expéditeur d'un paquet (la
    source) d'inclure l'information dans le paquet qui indique l'itinéraire que
    le paquet devrait prendre pour obtenir à sa destination ; ainsi le ``
    cheminement nommé de source ''. Pour un mur à l'épreuve du feu, le
    cheminement de source est remarquable, puisqu'un attaquant peut produire du
    trafic prétendant être ''d'intérieur de système `` le mur à l'épreuve du
    feu. En général, un tel trafic ne conduirait pas au mur à l'épreuve du feu
    correctement, mais avec l'option de cheminement de source, tous les couteaux
    entre la machine de l'attaquant et la cible renverront le trafic le long du
    chemin renversé de l'itinéraire de source. Mettre en application une telle
    attaque est tout à fait facile ; ainsi les constructeurs de mur à l'épreuve
    du feu ne devraient pas l'escompter comme peu susceptible de se produire.

    Dans la pratique, le cheminement de source est très peu employé. En
    fait, généralement l'utilisation légitime principale est dans des problèmes
    de réseau de correction ou conduite des liens spécifiques d'excédent du
    trafic pour la commande de congestion pour des situations spécialisées. En
    construisant un mur à l'épreuve du feu, le cheminement de source devrait
    être bloqué à un certain point. La plupart des couteaux commerciaux
    incorporent la capacité de bloquer le cheminement de source spécifiquement,
    et beaucoup de versions d'Unix qui pourraient être employées pour établir
    des centres serveurs de bastion de mur à l'épreuve du feu ont la capacité de
    neutraliser ou ignorer le trafic conduit par source.



    4.2 Quel est ICMP réoriente et réoriente des bombes ?
    Un ICMP réorientent dit le système réceptif de dépasser quelque chose
    dans sa table de cheminement. Il est légitimement employé par des couteaux
    pour indiquer à des centres serveurs que le centre serveur emploie un
    non-optimal ou l'itinéraire ancien à une destination particulière, c.-à-d.,
    le centre serveur l'envoie au couteau faux. Le couteau faux envoie le dos de
    centre serveur que un ICMP réorientent le paquet qui indique au centre
    serveur ce qu'être l'itinéraire correct devrait. Si vous pouvez forger
    l'ICMP réorientez les paquets, et si votre centre serveur de cible prête
    l'attention à eux, vous pouvez changer les tables de cheminement sur le
    centre serveur et renverser probablement le degré de sécurité du centre
    serveur en faisant couler le trafic par l'intermédiaire d'un chemin que le
    directeur de réseau n'a pas prévu. L'ICMP réoriente peut également être
    utilisé pour le démenti des attaques de service, où un centre serveur est
    envoyé à un itinéraire qui le perd connectivité, ou l'est envoyé à un paquet
    inaccessible de réseau d'ICMP indiquant qu'il peut plus n'accéder à un
    réseau particulier.

    Beaucoup de constructeurs de mur à l'épreuve du feu examinent le
    trafic d'ICMP de leur réseau, depuis lui limite la capacité des étrangers de
    cingler des centres serveurs, ou modifie leurs tables de cheminement.

    Avant que vous décidiez de bloquer tous les paquets d'ICMP, vous
    devriez vous rendre compte de la façon dont le protocole de TCP `` ''de
    découverte de MTU de chemin, pour vous assurer que vous ne cassez pas la
    connectivité à d'autres emplacements. Si vous ne pouvez pas sans risque la
    bloquer partout, vous pouvez considérer permettre les types choisis d'ICMP
    aux dispositifs de conduite choisis. Si vous ne le bloquez pas, vous devriez
    au moins vous assurer que vos couteaux et centres serveurs ne répondent pas
    aux paquets de cinglement d'émission.



    4.3 Que diriez-vous du démenti du service ?
    Le démenti du service est quand quelqu'un décide de rendre votre
    réseau ou mur à l'épreuve du feu inutile par la perturbation de lui, se
    brisant le, bloquant lui, ou l'inondation il. Le problème avec le démenti du
    service sur l'Internet est qu'il est impossible à empêcher. La raison doit
    faire avec la nature distribuée du réseau : chaque noeud de réseau est relié
    par l'intermédiaire d'autres réseaux qui se relient à leur tour à d'autres
    réseaux, etc... Un administrateur de mur à l'épreuve du feu ou une ISP a
    seulement la commande de quelques uns des éléments locaux dans l'extension.
    Un attaquant peut toujours ''ascendant perturber raccordement `` d'où la
    victime le commande. En d'autres termes, si quelqu'un voulait prendre un
    réseau outre de l'air, il pourrait le faire ou en prenant le réseau outre de
    l'air, ou en fallant les réseaux il se relie à outre de l'air, ad infinitum.
    Il y a beaucoup, beaucoup, manières que quelqu'un peut nier le service,
    s'étendant du complexe à la brute-force insignifiante. Si vous considérez en
    utilisant l'Internet pour un service qui est absolument temps ou mission
    critique, vous devriez considérer votre position de repli au cas où le
    réseau serait en baisse ou endommagé.

    Le service d'écho de UDP de TCP/IP's est trivialement maltraité pour
    obtenir deux serveurs pour inonder un segment de réseau avec des paquets
    d'écho. Vous devriez considérer commenter hors des entrées inutilisées dans
    /etc/inetd.conf des centres serveurs d'Unix, s'ajoutant no ip small-servers
    aux couteaux de Cisco, ou de l'équivalent pour vos composants.



    4.4 Quel suis-je quelques attaques communes, et comment peut protéger
    mon système contre eux ?
    Chaque emplacement est peu un différent de chaque autre en termes de
    quelles attaques sont susceptibles d'être employées contre lui. Quelques
    thèmes se reproduisants surgissent, cependant.


    4.4.1 Serveur de Smtp Détournant (Relais Non autorisé)
    C'est où un inondateur prendra beaucoup de milliers de copies d'un
    message et les enverra à une liste énorme d'adresses d'email. Puisque ces
    listes sont souvent si mauvaises, et afin d'augmenter la vitesse de
    l'opération pour l'inondateur, beaucoup ont recouru à envoyer simplement
    tout leur courrier à un serveur de smtp qui prendra soin de fournir
    réellement le courrier.

    Naturellement, tous les rebonds, plaintes de Spam, courrier de haine,
    et mauvais P.R. viennent pour l'emplacement qui a été employé comme relais.
    Il y a un coût très vrai lié à ceci, la plupart du temps en payant des
    personnes pour nettoyer le désordre après.

    L'initiative 2 de sécurité de transportdu système1 d'empêchement
    d'abusde courriermaintient une description complète du problème, et comment
    configurer au sujet de chaque annonce sur la planète pour se protéger contre
    cette attaque.


    4.4.2 Exploitation des bogues dans les applications
    Les diverses versions des serveurs d'enchaînement, des serveurs de
    courrier, et de tout autre logiciel de service d'Internet contiennent les
    bogues qui permettent aux utilisateurs à distance (d'Internet) de faire des
    choses s'étendant de la commande de gain de la machine à faire cet accident
    d'application et juste au sujet de tout dans l'intervalle.

    L'exposition à ce risque peut être réduite en courant seulement des
    services nécessaires, en continuant jusqu'ici sur des pièces rapportées, et
    en employant les produits qui ont eu lieu autour d'un moment.


    4.4.3 Bogues dans les logiciels d'exploitation
    Encore, ceux-ci sont typiquement lancés par des utilisateurs à
    distance. Les logiciels d'exploitation qui sont relativement nouveaux à la
    gestion de réseau d'IP tendent à être plus problématiques, en tant que
    logiciels d'exploitation plus mûrs ont eu le temps pour trouver et éliminer
    leurs bogues. Un attaquant peut souvent faire la réinitialisation
    d'équipement de cible sans interruption, se briser, perdre la capacité de
    parler au réseau, ou de remplacer des dossiers sur la machine.

    Ici, courant en tant que peu de services de logiciel d'exploitation en
    tant qu'aide possible de bidon. En outre, avoir un filtre de paquet devant
    le logiciel d'exploitation peut réduire l'exposition à un grand nombre de
    ces types d'attaques.

    Et, naturellement, chosing un logiciel d'exploitation stable aidera
    ici aussi bien. En choisissant un OS, ne soyez pas dupé dans croire cela ``
    plus le pricier, le meilleur ''. Les logiciels d'exploitation libres sont
    souvent beaucoup plus robustes que leurs contre-parties commerciales



    5 Comment I...


    5.1 Est-ce que je veux vraiment laisser tout lequel mes utilisateurs
    demandent ?
    Il est entièrement possible que la réponse soit `` aucune ''. Chaque
    emplacement a ses propres politiques au sujet de ce qui est et n'est pas
    nécessaire, mais il est important de se rappeler qu'une grande partie du
    travail d'être le portier d'une organisation est éducation. Les utilisateurs
    veulent la vidéo coulante, causerie en temps réel, et pour pouvoir offrir
    des services aux clients externes qui ont besoin de l'interaction avec les
    bases de données de phase sur le réseau interne.

    Cela ne signifie pas qu'un quelconque de ces choses peuvent être
    faites sans présenter plus de risque à l'organisation que le `` ''supposé de
    valeur de se diriger en bas de cette route vaut la peine. La plupart des
    utilisateurs ne veulent pas mettre leur organisation en danger. Ils lisent
    juste les chiffons commerciaux, voient des annonces, et ils veulent faire
    ces choses, aussi. Il est important de regarder dans ce que c'est qu'elles
    veulent vraiment faire, et pour les aider à comprendre comment elles
    pourraient pouvoir accomplir leur vrai objectif d'une façon plus bloquée.

    Vous ne serez pas toujours populaire, et vous pourriez même vous
    trouver étant donné la direction pour faire quelque chose incroyablement
    stupide, comme `` ouvrez juste le foo de ports par la barre ''. Si cela se
    produit, ne vous inquiétez pas à son sujet. Il serait sage de garder tous
    vos échanges sur un tel événement de sorte que quand un kiddie du manuscrit
    12-year-old se casse dedans, vous puissiez au moins se séparer du désordre
    de totalité.



    5.2 Comment est-ce que je fais fonctionner le Web par mon mur à
    l'épreuve du feu ?
    Il y a trois manières de le faire.


    Permettez `` les raccordements établis de ''dehors par l'intermédiaire
    d'un couteau, si vous utilisez des couteaux de criblage.
    Employez un web client qui soutient des CHAUSSETTES, et courez les
    CHAUSSETTES sur votre bastion host.
    Courez un certain genre de web server procuration-capable sur le
    bastion host. Quelques options incluent le calmar3, l'Apache4, la
    procuration 5de Netscape, et le HTTP-GW de la trousse à outils de mur à
    l'épreuve du feu de TIS. Les la plupart de ces derniers de bidon procuration
    également d'autres protocoles (tels que le Gopher et le ftp), et peuvent
    cacher les objets cherchés, qui auront également typiquement comme
    conséquence une poussée d'exécution pour les utilisateurs, et l'utilisation
    plus efficace de votre raccordement à l'Internet. Essentiellement tous les
    clients d'enchaînement (Mozilla, Internet Explorer, Lynx, etc...) ayez
    l'appui de proxy server établi directement dans eux.


    5.3 Comment est-ce que je fais fonctionner le SSL par le mur à
    l'épreuve du feu ?
    Le SSL est un protocole qui permet les raccordements bloqués à travers
    l'Internet. Typiquement, le SSL est employé pour protéger le trafic de HTTP.
    Cependant, d'autres protocoles (tels que le telnet) peuvent fonctionner
    placé sur le SSL.

    Permettre le SSL par votre mur à l'épreuve du feu peut être fait la
    même manière que vous permettriez le trafic de HTTP, s'il est HTTP que vous
    employez le SSL pour fixer, qui est habituellement vrai. La seule différence
    est celle au lieu d'employer quelque chose qui transmettra par relais
    simplement le HTTP, vous aura besoin de quelque chose qui peut percer un
    tunnel le SSL. C'est un dispositif actuel sur la plupart des cachettes
    d'objet d'enchaînement.

    Vous pouvez découvrir plus au sujet du SSL de Netscape6.



    5.4 Comment est-ce que je fais le travail de DNS avec un mur à
    l'épreuve du feu ?
    Quelques organismes veulent cacher des noms de DNS de l'extérieur.
    Beaucoup d'experts ne pensent pas que cachant le DNS des noms est valable,
    mais si la politique de site/corporate exige des noms se cachants de
    domaine, c'est une approche qui est connue pour fonctionner. Une autre
    raison que vous pouvez devoir cacher des noms de domaine est si vous avez un
    système d'adressage non standard sur votre réseau interne. Dans ce cas, vous
    n'avez aucun choix mais pour cacher ces adresses. Ne vous dupez pas dans la
    pensée de cela si vos noms de DNS sont cachés qu'il ralentira un attaquant
    en bas de beaucoup s'ils se cassent en votre mur à l'épreuve du feu. Des
    informations sur ce qui est sur votre réseau sont trop facilement glanées de
    la couche de gestion de réseau elle-même. Si vous voulez une démonstration
    intéressante de ceci, cinglent l'adresse d'émission de sous-filet sur votre
    LAN et puis font un `` arp - ''du ` a. Notez également cela des noms se
    cachants dans le DNS n'adresse pas le problème ''disjoint de noms d'hôte ``
    dehors dans des en-têtes de courrier, des articles de nouvelles, etc...

    Cette approche est l'une de beaucoup, et est utile pour les organismes
    qui souhaitent cacher leurs noms d'hôte de l'Internet. Le succès de cette
    approche se trouve sur le fait que les clients de DNS sur une machine ne
    doivent pas parler à un serveur de DNS sur cette même machine. En d'autres
    termes, juste parce qu'il y a un serveur de DNS sur une machine, là n'est
    rien mal avec (et il y a souvent des avantages) réorienter l'activité de
    client du DNS de cette machine à un serveur de DNS sur une autre machine.

    D'abord, vous installez un serveur de DNS sur le bastion host au
    lequel le monde extérieur peut parler. Vous établissez ce serveur de sorte
    qu'il prétende être bien fondé pour vos domaines. En fait, est tout ce
    serveur sait ce que vous voulez que le monde extérieur sache ; les noms et
    les adresses de vos passages, vos disques de MX de wildcard, et ainsi de
    suite. C'est `` le serveur public de ''.

    Puis, vous avez installé un serveur de DNS sur une machine interne. Ce
    serveur prétend également être bien fondé pour vos domaines ; à la
    différence du serveur public, celui-ci indique la vérité. C'est votre ``
    nameserver normal de '', dans lequel vous mettez toute votre `` substance
    normale du ''DNS. Vous placez également ce serveur jusqu'aux questions vers
    l'avant qu'il ne peut pas résoudre au serveur public (employant `` ligne des
    expéditeurs une 'dans /etc/named.boot sur une machine d'Unix, par exemple).

    En conclusion, vous avez installé tous vos clients de DNS ( le dossier
    de /etc/resolv.conf sur une boîte d'Unix, par exemple), y compris celle sur
    la machine avec le serveur public, pour utiliser le serveur interne. C'est
    la clef.

    Un client interne posant des questions sur un centre serveur interne
    demande le serveur interne, et obtient une réponse ; un client interne
    posant des questions sur un centre serveur externe demande le serveur
    interne, qui demande le serveur public, qui demande l'Internet, et la
    réponse est transmise par relais en arrière. Un client sur le serveur public
    travaille juste la même manière. Un client externe, cependant, posant des
    questions sur un centre serveur interne récupère `` la réponse restreinte de
    ''du serveur public.

    Cette approche suppose qu'il y a un mur à l'épreuve du feu de filtrage
    de paquet entre ces deux serveurs qui leur permettront de parler le DNS
    entre eux, mais limite autrement le DNS entre d'autres centres serveurs.

    Un autre tour qui est utile dans cet arrangement doit utiliser des
    disques de PTR de wildcard dans vos domaines d'IN-ADDR.ARPA. Ceux-ci causent
    une consultation d'adresser-à-nom pour n'importe lequel de vos centres
    serveurs non publics au retour quelque chose comme le ``
    ''d'unknown.YOUR.DOMAIN plutôt qu'une erreur. Ceci satisfait des
    emplacements de Anonymous FTP comme ftp.uu.net qui insistent pour avoir un
    nom pour les machines ils parlent à. Ceci peut échouer en parlant aux
    emplacements qui font une contre-vérification de DNS dans laquelle le nom
    d'hôte est assorti contre son adresse et vice versa.



    5.5 Comment est-ce que je fais fonctionner le ftp par mon mur à
    l'épreuve du feu ?
    Généralement, faire fonctionner le ftp par le mur à l'épreuve du feu
    est fait en utilisant un proxy server tel que le ftp-gw des trousses à
    outils de mur à l'épreuve du feu ou en permettant les raccordements entrants
    au réseau à une gamme gauche restreinte, et autrement limitant les
    raccordements entrants en utilisant quelque chose comme `` des règles
    établies de criblage de ''. Le client de ftp est alors modifié pour lier le
    port de données à un port dans cette marge. Ceci nécessite de pouvoir
    modifier l'application de client de ftp sur les centres serveurs internes.

    Dans certains cas, si les téléchargements de ftp sont tous vous
    souhaitez soutenir, vous pourriez vouloir considérer déclarer le ftp `` un
    ''mort de protocole et vous laissant les utilisateurs téléchargent des
    dossiers par l'intermédiaire du Web à la place. L'interface utilisateur est
    certainement plus gentille, et elle vient à bout le problème laid de port de
    rappel de service. Si vous choisissez l'approche de FTP-via-Web, vos
    utilisateurs ne pourront pas aux dossiers de ftp dehors, qui, selon ce que
    vous essayez d'accomplir, peuvent être un problème.

    Une approche différente est option de ''de PASV d'employer ftp `` pour
    indiquer que le ftp server à distance devrait permettre au client de lancer
    des raccordements. L'approche de PASV suppose que le ftp server sur les
    appuis de système à distance qui opération. (Voir `` Le ''Mur à l'épreuve du
    feu-Amical de Ftp [1].)

    D'autres emplacements préfèrent établir les versions de client du
    programme de ftp qui sont liées contre une bibliothèque de CHAUSSETTES.



    5.6 Comment est-ce que je fais fonctionner le telnet par mon mur à
    l'épreuve du feu ?
    Le telnet est généralement soutenu en employant une procuration
    d'application telle que le tn-gw des trousses à outils de mur à l'épreuve du
    feu, ou en configurant simplement un couteau pour permettre les
    raccordements sortants en utilisant quelque chose comme `` les règles
    établies de criblage de ''. Les procurations d'application ont pu être sous
    forme de procuration autonome fonctionnant sur le bastion host, ou sous
    forme de serveur de CHAUSSETTES et de client modifié.



    5.7 Comment est-ce que je fais fonctionner le doigt et le WHOIS par
    mon mur à l'épreuve du feu ?
    Beaucoup d'admins de mur à l'épreuve du feu permettent des
    raccordements au port de doigt seulement des machines de confiance, sous
    forme des lesquelles peut publier des demandes de doigt : doigt
    in@firewall. Cette approche fonctionne seulement avec la
    version standard d'Unix du doigt. L'accès de contrôle aux services et à les
    limiter aux machines spécifiques est contrôlé en utilisant les tcp_wrappers
    ou le netacl de la trousse à outils de mur à l'épreuve du feu. Cette
    approche ne travaillera pas sur tous les systèmes, puisque quelques serveurs
    de doigt ne permettent pas la digitation d'user@host@host.

    Beaucoup de demandes d'arrivée de doigt de bloc d'emplacements d'une
    variété de raisons, de premier être après des bogues de sécurité dans le
    serveur de doigt (le ver d'Internet de Morris a rendu ces bogues célèbres)
    et du risque d'information de propriété industrielle ou sensible étant
    indiquée dans l'information du doigt de l'utilisateur. En général,
    cependant, si vos utilisateurs sont accoutumés à mettre l'information de
    propriété industrielle ou sensible dans leurs dossiers de plan, vous avez un
    problème plus sérieux de sécurité que juste un mur à l'épreuve du feu peut
    résoudre.



    5.8 Comment est-ce que je fais le Gopher, archie, et d'autres services
    fonctionnent-ils par mon mur à l'épreuve du feu ?
    La majorité d'administrateurs de mur à l'épreuve du feu choisissent de
    soutenir le Gopher et l'archie par des procurations d'enchaînement, au lieu
    de directement. Procurations telles que les questions du converti
    gopher/gopher+ du HTTP-GW des trousses à outils de mur à l'épreuve du feu
    dans le HTML et vice versa. Pour soutenir l'archie et d'autres questions,
    beaucoup d'emplacements se fondent sur les serveurs Internet-basés de
    Web-to-archie, tels qu'archiePlex. La tendance des Web de faire tout sur le
    ressembler d'Internet à un service d'enchaînement est une bénédiction et une
    malédiction.

    Il y a beaucoup de nouveaux services survenant constamment. Souvent
    ils sont misdesigned ou ne sont pas conçus avec la sécurité à l'esprit, et
    leurs concepteurs vous diront gaiement si vous voulez les employer que vous
    le besoin laissait le port xxx par votre couteau. Malheureusement, pas
    chacun peut faire cela, et ainsi il est difficile employer un certain nombre
    de nouveaux jouets intéressants pour des personnes derrière des murs à
    l'épreuve du feu. Les choses aiment RealAudio, qui exigent l'accès direct de
    UDP, sont en particulier des exemples insignes. La chose pour considérer si
    vous vous trouvez confronté à un de ces problèmes est de découvrir autant
    que vous pouvez au sujet des risques de sécurité que le service peut
    présenter, avant que vous le permettiez juste à travers. Il est tout à fait
    possible le service n'a aucune implication de sécurité. Il est également
    possible qu'il ait les trous non découverts que vous pourriez conduire un
    camion à travers.



    5.9 Quelles sont les issues au sujet de X11 par un mur à l'épreuve du
    feu ?
    Le système de X Windows est un système très utile, mais a
    malheureusement quelques pailles de sécurité principales. Systèmes à
    distance qui peuvent gagner ou charrier l'accès à l'affichage du X11 d'un
    poste de travail peut surveiller les frappes qu'un utilisateur écrit, copies
    de téléchargement des teneurs de leurs fenêtres, etc...

    Tandis que des tentatives ont été faites de les surmonter (biscuit ``
    magique 'par exemple, de MIT ') il est toujours entièrement trop facile pour
    un attaquant d'interférer l'affichage du X11 d'un utilisateur. La plupart
    des murs à l'épreuve du feu bloquent tout le trafic X11. Certains permettent
    le trafic X11 par des procurations d'application telles que la procuration
    du DEC CRL X11 (ftp crl.dec.com). La trousse à outils de mur à l'épreuve du
    feu inclut une procuration pour X11, appelée x-gw, qu'un utilisateur peut
    appeler par l'intermédiaire de la procuration de telnet, pour créer un
    serveur X11 virtuel sur le mur à l'épreuve du feu. Quand des demandes sont
    faites pour un raccordement X11 sur le serveur X11 virtuel, l'utilisateur
    est présenté avec instantané leur demander s'il est CORRECT de permettre le
    raccordement. Tandis que c'est peu un unaesthetic, il est entièrement en
    accord avec le reste de X11.



    5.10 Comment est-ce que je fais fonctionner RealAudio par mon mur à
    l'épreuve du feu ?
    RealNetworks maintient quelques informations sur la façon obtenir
    RealAudio fonctionnant par votre mur à l'épreuve du feu7. Il serait
    imprudent de faire tous les changements à votre mur à l'épreuve du feu sans
    arrangement ce que les changements feront, exactement, et sachant quels
    risques les nouveaux changements apporteront avec elles.



    5.11 Comment est-ce que je fais mon acte de web server en tant que
    d'entrée pour une base de données qui vit sur mon réseau privé ?
    La meilleure manière de faire ceci est de permettre la connectivité
    très limitée entre votre web server et votre serveur de base de données par
    l'intermédiaire d'un protocole spécifique qui soutient seulement le niveau
    de la fonctionnalité que vous allez employer. Permettre le SQL cru, ou toute
    autre chose où des extractions faites sur commande pourraient être exécutées
    par un attaquant n'est pas généralement une bonne idée.

    Supposez qu'un attaquant va pouvoir se casser en votre web server, et
    faites les questions de la même manière que le web server peut. Y a-t-il un
    mécanisme pour extraire l'information sensible dont le web server n'a pas
    besoin, comme l'information de carte de degré de solvabilité ? Un attaquant
    peut-il publier un SQL choisi et extraire votre base de données de propriété
    industrielle entière ?

    `` des applications de ''d'E-commerce, comme tout autrement, mieux
    sont conçues avec la sécurité à l'esprit de la terre vers le haut, au lieu
    ''supplémentaire d'avoir sécurité `` après coup. Passez en revue votre
    architecture en critique, de la perspective d'un attaquant. Supposez que
    l'attaquant sait tout au sujet de votre architecture. Demandez-vous
    maintenant quels besoins d'être fait pour voler vos données, pour faire les
    changements non autorisés, ou pour faire toute autre chose que vous ne
    voulez pas fait. Vous pourriez constater que vous pouvez de manière
    significative augmenter la sécurité sans fonctionnalité décroissante en
    prenant quelque des décisions de conception et d'exécution.

    Quelques idées pour que la façon manipule ceci :


    Extrayez les données que vous avez besoin de la base de données de
    façon régulière ainsi vous ne faites pas des questions contre la pleine base
    de données, complète avec l'information que les attaquants trouveront
    intéresser.
    Considérablement limitez et apurez ce que vous admettez entre le web
    server et la base de données.


    5.12 Mais ma base de données a un web server intégré, et je veux
    employer cela. Est-ce que je ne peux pas juste pousser un trou dans le mur à
    l'épreuve du feu et percer un tunnel ce port ?
    Si votre feu d'emplacementwall policy is sufficiently lax that you're
    willing to manage the risk that someone will exploit a vulnerability in your
    web server that will result in partial or complete exposure of your
    database, then there isn't much preventing you from doing this.

    However, in many organizations, the people who are responsible for
    tying the web front end to the database back end simply do not have the
    authority to take that responsibility. Further, if the information in the
    database is about people, you might find yourself guilty of breaking a
    number of laws if you haven't taken reasonable precautions to prevent the
    system from being abused.

    In general, this isn't a good idea. See question 5.11 for some ideas
    on other ways to accomplish this objective.



    5.13 How Do I Make IP Multicast Work With My Firewall?
    IP multicast is a means of getting IP traffic from one host to a set
    of hosts without using broadcasting; that is, instead of every host getting
    the traffic, only those that want it will get it, without each having to
    maintain a separate connection to the server. IP unicast is where one host
    talks to another, multicast is where one host talks to a set of hosts, and
    broadcast is where one host talks to all hosts.

    The public Internet has a multicast backbone (``MBone'') where users
    can engage in multicast traffic exchange. Common uses for the MBone are
    streams of IETF meetings and similar such interaction. Getting one's own
    network connected to the MBone will require that the upstream provider route
    multicast traffic to and from your network. Additionally, your internal
    network will have to support multicast routing.

    The role of the firewall in multicast routing, conceptually, is no
    different from its role in other traffic routing. That is, a policy that
    identifies which multicast groups are and aren't allowed must be defined and
    then a system of allowing that traffic according to policy must be devised.
    Great detail on how exactly to do this is beyond the scope of this document.
    Fortunately, RFC 2588 [4] discusses the subject in more detail. Unless your
    firewall product supports some means of selective multicast forwarding or
    you have the ability to put it in yourself, you might find forwarding
    multicast traffic in a way consistent with your security policy to be a
    bigger headache than it's worth.

    Back to Top
    FAQ de mur à l'épreuve du feu en français partie 4
    6 ports de TCP et de UDP
    par Mikael Olsson
    Cette annexe commencera niveau assez à un `` de base de '', ainsi même
    si les premiers points semblent naïvement art de l'auto-portrait-evident à
    vous, vous pourriez immobile apprendre quelque chose de sauter en avant à
    quelque chose plus tard dans le texte.



    6.1 Quel est un port ?
    `` un ''gauche est `` ''virtuel de fente dans votre pile de TCP et de
    UDP qui est employée pour tracer un raccordement entre deux centres
    serveurs, et également entre la couche de TCP/UDP et les applications
    réelles fonctionnant sur les centres serveurs.

    Ils numéro 0-65535, avec la gamme 0-1023 étant marqué comme `` le
    ''réservé ou `` privlileged le '', et le repos (1024-65535) comme ''ou ``
    non privilégié `` dynamique ''.

    Il y a fondamentalement deux utilisations pour des ports :


    `` ''d'écoute sur un port.
    Ceci est employé par des applications de serveur attendant des
    utilisateurs pour se relier, pour obtenir à un certains `` ''de service, par
    exemple HTTP bien connus (port de TCP 80), telnet port 23), DNS (de TCP
    (port 53 de UDP et parfois de TCP).
    Ouverture `` d'un port dynamique de ''.
    Les deux côtés d'un besoin de raccordement de TCP d'être identifié par
    des adresses d'IP et des nombres gauches. Par conséquent, quand vous voulez
    `` reliez le ''à un processus de serveur, votre extrémité de la voie de
    transmissions a besoin également `` d'un port ''. Ceci est fait en
    choisissant un port au-dessus de 1024 sur votre machine qui n'est pas
    actuellement en service par une autre voie de transmissions, et en
    l'employant comme `` ''d'expéditeur dans le nouveau raccordement.
    Des ports dynamiques peuvent également être employés en tant que ``
    ports d'écoute de ''dans quelques applications, le plus notamment ftp.

    Les ports dans la gamme 0-1023 sont presque toujours des ports de
    serveur. Les ports dans la gamme 1024-65535 sont habituellement les ports
    dynamiques (c.-à-d., ouvert dynamiquement quand vous vous reliez à un port
    de serveur). Cependant, n'importe quel port peut être employé comme port de
    serveur, et n'importe quel port peut être employé comme `` port sortant de
    ''.

    Ainsi, pour l'additionner vers le haut, voici ce qui se produit dans
    un raccordement de base :

    À un certain point à temps, une application de serveur sur le centre
    serveur 1.2.3.4 décide `` écoutent ''au port 80 (HTTP) de nouveaux
    raccordements.
    Vous (5.6.7.8) voulez surfer à 1.2.3.4, à port 80, et à votre
    navigateur publie un appel de relier à lui.
    L'appel de relier, se rendant compte qu'il n'a pas encore le nombre
    gauche local, va chasse pour une. Le nombre gauche local est nécessaire
    depuis quand les réponses reviennent une certaine heure à l'avenir, votre
    pile de TCP/IP devra savoir à quelle application pour passer la réponse. Il
    fait ceci en se rappelant quelle application emploie qui nombre gauche
    local. (ceci est excessivement simplifié, aucunes flammes des programmeurs,
    svp.)
    Votre pile de TCP trouve un port dynamique inutilisé, habituellement
    quelque part au-dessus de 1024. Supposons qu'elle trouve 1029.
    Votre premier paquet est alors envoyé, de votre IP local, 5.6.7.8, le
    port 1029, à 1.2.3.4, le port 80.
    Le serveur répond avec un paquet de 1.2.3.4, le port 80, à vous,
    5.6.7.8, le port 1029.
    Ce procédé est réellement plus long que ceci, lu dessus pour une
    explication plus détaillée de TCP relient des ordres.


    6.2 Comment est-ce que je sais quelle application emploie quel port ?
    Il y a plusieurs listes décrivant `` le ''réservé et `` le ''bien
    connu met en communication, comme `` le ''généralement utilisé met en
    communication, et le meilleur est :
    ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers. Pour ceux de vous
    lisant toujours RFC 1700 pour découvrir quel nombre gauche fait ce qui,
    ARRÊT LE FAISANT. Il est terriblement démodé, et il ne sera pas moins
    tellement demain.

    Maintenant, quant à faire confiance à cette information : Ces listes,
    de quelque façon, ne constituent aucun genre de bible sainte sur lequel les
    ports font ce qui.

    L'attente, m'a laissé reformulent cela : IL N'Y A AUCUNE MANIÈRE de
    DÉTERMINER SÛREMENT QUEL PORT FAIT CE QUI SIMPLEMENT EN REGARDANT DANS Une
    LISTE.



    6.3 Quels sont les ports d'ÉCOUTE ?
    Supposez que vous `` netstat - ` un ''sur votre machine et ports 1025
    et 1030 révélés comme écoutant. Que font-elles ?

    Redressez, jetons un coup d'oeil dans la liste assignée de nombres
    gauches.


    BBN IAD du nerf de boeuf iad1 1030/tcp de réseau du nerf
    de boeuf 1025/tcp

    L'attente, ce qui se produit ? Mon poste de travail a-t-il volé mon
    nombre de VISA et a-t-il décidé d'aller nerf de boeuf de jeu avec un certain
    serveur escroc sur l'Internet ? Et quel est ce logiciel que le BBN a
    installé ?

    Ce n'est pas où vous commencez à paniquer et envoyez le courrier à la
    liste de murs à l'épreuve du feu. En fait, on a demandé peut-être cette
    question les périodes une douzaine pendant les six mois derniers, et chaque
    fois qu'on lui répond. Pas cela QUI garde des personnes de poser la même
    question encore.

    Si vous posez cette question, vous êtes le plus susceptible à l'aide
    d'une boîte de fenêtres. Les ports que vous voyez sont les deux ports
    d'écoute (le plus susceptibles) que le sous-ensemble de RPC s'ouvre quand il
    commence vers le haut.

    C'est un exemple d'où des ports dynamicly assignés peuvent être
    employés par des processus de serveur. Les applications employant le RPC se
    relieront plus tard au port 135 (`` portmapper 'des netbios ') à la question
    où trouver un certain service de RPC, et obtiennent une réponse indiquant en
    arrière cela que le service particulier peut être entré en contact sur le
    port 1025.

    Maintenant, comment savons-nous ceci, puisqu'il n'y a aucun `` ''de
    liste décrivant ces ports ? Simple : Il n'y a aucun produit de remplacement
    pour l'expérience. Et à l'aide des moteurs de recherche d'expédition de
    liste aide également un enfer de beaucoup.



    6.4 Comment est-ce que je détermine pour quel service le port est ?
    Puisqu'il est impossible d'apprendre quel port fait ce qu'en regardant
    dans une liste, comment je la font ?

    La vieille manière à commande manuelle de la faire est en arrêtant
    presque chaque service/daemon fonctionnant sur votre machine, faisant
    netstat -a et notant ce que les ports sont ouverts. Il ne devrait pas y
    avoir un grand nombre ceux d'écoutes. Alors vous commencez à tourner tous
    les services dessus, un, et de noter ce que les nouveaux ports révèlent dans
    votre rendement de netstat.

    Une autre manière, cette a besoin de plus de travail de conjecture,
    telnetting simplement aux ports et voit ce qui sort. Si rien ne sort,
    l'essai dactylographiant du baragouin et le claquant écrivent plusieurs
    fois, et voient si quelque chose tourne vers le haut. Si vous devenez
    binaire déformez, ou rien du tout, ceci évidemment ne vous aidera.

    Cependant, ceci vous indiquera seulement ce que des ports d'écoute
    sont employés. Il ne vous indiquera pas au sujet des ports dynamiquement
    ouverts qui peuvent être ouverts plus tard par ces applications.

    Il y a quelques applications qui pourraient vous aider à dépister les
    ports utilisés.

    Sur des systèmes d'Unix, il y a une utilité gentille appelée lsof qui
    vient preinstalled sur beaucoup de systèmes. Elle vous montrera tout des
    nombres gauches ouverts et les noms des applications qui les emploient. Ceci
    signifie qu'il pourrait vous montrer beaucoup d'aswell localement ouvert de
    dossiers comme douilles de TCP/IP. Lisez le texte d'aide.

    Sur des systèmes de fenêtres, rien ne vient preinstalled pour vous
    aider en cela chargent. (ce qu'il y a de neuf ?) Il y a une utilité appelée
    le `` ''d'Inzider qui s'installe à l'intérieur des fenêtres que les douilles
    posent et se rappellent dynamiquement quel processus s'ouvre qui mettent en
    communication. L'inconvénient de cette approche est qu'il ne peut pas vous
    indiquer que quels ports ont été ouverts avant que l'inzider ait commencé,
    mais il est le meilleur que vous obtiendrez sur des fenêtres (à ma
    connaissance). http://ntsecurity.nu/toolbox/inzider/.



    6.5 Il est sûr passer quels ports par un mur à l'épreuve du feu ?
    TOUS.

    Non, attente, AUCUNE.

    Non, attente, uuhhh... J'ai entendu que tous les ports au-dessus de
    1024 sont sûrs puisqu'ils sont seulement dynamiques ? ?

    Non. Vraiment. Vous NE POUVEZ PAS dire quels ports sont sûrs
    simplement en regardant son nombre, simplement parce que c'est vraiment tout
    qu'il est. Un nombre. Vous ne pouvez pas monter une attaque par un nombre de
    16 bits.

    La sécurité `` d'un ''gauche dépend de quelle application vous
    accéderez par ce port.

    Une idée fausse commune est que les ports 25 (smtp) et il est sûr
    passer 80 (HTTP) par un mur à l'épreuve du feu * meep * FAUX. Juste parce
    que chacun fait il ne signifie pas que c'est sûr.

    Encore, la sécurité d'un port dépend de quelle application vous
    accéderez par ce port.

    Si vous courez un web server bien-écrit, cela est conçu de la terre
    jusqu'à soit bloqué, vous peut se sentir probablement raisonnablement assuré
    qu'il est sûr a laissé les personnes extérieures lui accéder par le port 80.
    Autrement, vous NE POUVEZ PAS.

    Le problème ici n'est pas dans la couche réseau. Il est dans la façon
    dont les procédés d'application les données qu'il reçoit. Ces données
    peuvent être reçues par le port 80, le port 666, une ligne périodique,
    disque souple ou par le télégramme de chant. Si l'application n'est pas
    sûre, elle n'importe pas comment les données leur obtiennent. Les données
    d'application sont où le vrai danger se trouve.

    Si vous êtes intéressé par la sécurité de votre application, allez
    souscrivent au bugtraq8ou ou essayent de rechercher leurs archives.

    C'est plus d'une question concernant la sécurité d'application plutôt
    qu'une question concernant la sécurité de mur à l'épreuve du feu. On
    pourrait arguer du fait qu'un mur à l'épreuve du feu devrait arrêter toutes
    les attaques possibles, mais avec le nombre de nouveaux protocoles de
    réseau, non conçu avec la sécurité à l'esprit, et des applications gérées en
    réseau, ni l'un ni l'autre conçues avec la sécurité à l'esprit, il devient
    pour qu'un mur à l'épreuve du feu se protège contre toutes les attaques
    data-driven.



    6.6 Le comportement du ftp
    Ou, `` pourquoi je dois ouvrir tous les ports au-dessus de 1024 à mon
    ftp server?''

    Le ftp ne regarde pas vraiment un sort entier comme d'autres
    applications d'une perspective de gestion de réseau.

    Il garde un port d'écoute, le port 21, au lequel les utilisateurs se
    relient. Tout qu'il est a laissé des personnes entre, et établit un AUTRE
    raccordement pour faire des transferts de données réels. Ce deuxième
    raccordement est habituellement sur un certain port au-dessus de 1024.

    Il y a deux modes, `` ''actif (normal) et `` mode passif de ''. Ce mot
    décrit le comportement du serveur.

    En mode actif, le client (5.6.7.8) se relie au port 21 sur le serveur
    (1.2.3.4) et entre. Quand les transferts de fichier sont dus, le client
    assigne un port dynamique au-dessus de 1024, informe le serveur au sujet de
    quel port il a ouvert, et alors le serveur ouvre un nouveau raccordement à
    ce port. C'est `` le rôle actif de ''du serveur : il établit activement de
    nouveaux raccordements au client.

    En mode passif, le raccordement au port 21 est le même. Quand les
    transferts de fichier sont dus, le SERVEUR assigne un port dynamique
    au-dessus de 1024, informe le client au sujet de quel port il a ouvert, et
    alors le CLIENT ouvre un nouveau raccordement à ce port. C'est `` le rôle
    passif de ''du serveur : il attend le client pour établir le deuxième
    raccordement (de données).

    Si votre mur à l'épreuve du feu n'inspecte pas les données
    d'application du ftp commandent le raccordement, il ne sauront pas qu'elles
    doivent ouvrir dynamiquement de nouveaux ports au-dessus de 1024.

    Sur une note latérale : Le comportement traditionnel des serveurs de
    ftp en mode actif doit établir la session de données du port 20, et au port
    dynamique sur le client. Les serveurs de ftp orientent loin de ce
    comportement quelque peu dû à la nécessité de courir en tant que `` ''de
    racine sur des systèmes d'unix afin de pouvoir assigner des ports en-dessous
    de 1024. Courir en tant que `` ''de racine n'est pas bon pour la sécurité,
    depuis s'il y a un bogue dans le logiciel, l'attaquant pourrait compromettre
    la machine entière. Il en va de même pour courir en tant que le ``
    ''d'administrateur ou `` ''de SYSTÈME (``LocalSystem '') sur des machines de
    NT, bien que le bas problème gauche ne s'applique pas sur le NT.

    Pour l'additionner vers le haut, si votre mur à l'épreuve du feu
    comprend le ftp, il pourra manipuler les raccordements de données par
    lui-même, et vous ne devrez pas vous inquiéter des ports au-dessus de 1024.

    S'il pas , il y a quatre questions que vous devez aborder :

    Firewalling un ftp server en mode actif
    Vous avez besoin avez laissé vos raccordements ouverts de serveur
    nouveaux au monde extérieur sur des ports 1024 et en haut
    Firewalling un ftp server en mode passif
    Vous avez besoin avez laissé le monde extérieur se relier aux ports
    1024 et en haut sur votre serveur. ATTENTION ! ! ! ! Il peut y avoir des
    applications fonctionnant sur certains de ces ports que vous ne voulez pas
    employer extérieur de personnes. Rejetez l'accès à ces ports avant de
    permettre l'accès à la gamme 1024-65535 gauche.
    Clients de ftp de Firewalling en mode actif
    Vous avez besoin avez laissé le monde extérieur se relier aux ports
    1024 et en haut sur vos clients. ATTENTION ! ! ! ! Il peut y avoir des
    applications fonctionnant sur certains de ces ports que vous ne voulez pas
    employer extérieur de personnes. Rejetez l'accès à ces ports avant de
    permettre l'accès à la gamme 1024-65535 gauche.
    Clients de ftp de Firewalling en mode passif
    Vous avez besoin avez laissé vos raccordements ouverts de clients
    nouveaux au monde extérieur sur des ports 1024 et en haut.
    Encore, si votre mur à l'épreuve du feu comprend le ftp, aucun des
    quatre points ci-dessus ne s'applique à vous. Laissez le mur à l'épreuve du
    feu faire le travail pour vous.



    6.7 Quel logiciel emploie quel mode de ftp ?
    Il appartient au client pour décider quel mode à employer ; le mode de
    défaut quand un nouveau raccordement est ouvert est `` mode actif ''.

    La plupart des clients de ftp viennent préconfiguré pour employer le
    mode actif, mais fournissent une option à utilisation du ''mode `` passif
    (de ``PASV ''). Une exception est la ligne de commande de fenêtres client de
    ftp qui fonctionne seulement en mode actif.

    Les Navigateurs de Web emploient généralement le mode passif en se
    reliant par l'intermédiaire du ftp, à d'exception étrange : MSIE 5 emploiera
    le ftp actif quand FTP:ing dans `` le mode de ''d'explorateur de dossier et
    le ftp passif quand FTP:ing dans `` le mode de ''de Page Web. Il n'y a
    aucune raison quelque pour ce comportement ; ma conjecture est que quelqu'un
    dans Redmond sans la connaissance du ftp a décidé que `` naturellement nous
    emploierons le mode actif quand nous sommes en mode d'explorateur de
    dossier, depuis ce des regards plus actifs qu'une page Web ''. Disparaissent
    la figure.



    6.8 Mon essai de mur à l'épreuve du feu est-il de se relier dehors ?
    Mes notations de mur à l'épreuve du feu sont me disant que mon web
    server essaye de se relier du port 80 aux ports au-dessus de 1024 sur
    l'extérieur. Ce qui est ceci ? !

    Si vous voyez les paquets lâchés du port 80 sur votre web server (ou
    de port 25 sur votre mail server) à de hauts ports sur l'extérieur, ils
    habituellement ne signifient pas que votre web server essaye de se relier
    quelque part.

    Ils sont le résultat de la synchronisation de mur à l'épreuve du feu
    hors d'un raccordement, et de voir le serveur retransmettre de vieilles
    réponses (ou essayer de fermer le raccordement) au client.

    Les raccordements de TCP impliquent toujours des paquets voyageant
    dans LES DEUX directions dans le raccordement.

    Si vous pouvez voir les drapeaux de TCP dans les paquets lâchés, vous
    verrez que le drapeau de ACK n'est placé mais pas le drapeau de SYN,
    signifiant que ce n'est réellement pas un nouveau raccordement formant, mais
    plutôt une réponse d'un raccordement précédemment formé.

    Lisez le point 8 ci-dessous pour une explication détaillée de ce qui
    se produit quand des raccordements de TCP sont formés (et fermé)



    6.9 L'anatomie d'un raccordement de TCP
    Le TCP est équipé de 6 `` les drapeaux ', qui peuvent être éteints
    DESSUS ou. Ces drapeaux sont :

    AILERON
    `` a commandé la fin de raccordement de ''
    SYN
    Ouvrez le nouveau raccordement
    RST
    `` fin immédiate de raccordement de ''
    PSH
    Demandez au centre serveur de récepteur pour pousser les données
    jusqu'à l'application plutôt qu'à la file d'attente juste il
    ACK
    `` reconnaissez le ''un paquet précédent
    URG
    `` données pressantes de ''qui doivent être traitées immédiatement
    Dans cet exemple, votre client a 5.6.7.8 ans, et le port assigné à
    vous est dynamiquement 1049. Le serveur est 1.2.3.4, le port 80.

    Vous commencez la tentative de raccordement :

    5.6.7.8:1049 -> 1.2.3.4:80 SYN=ON

    Le serveur reçoit ce paquet et comprend que quelqu'un veut former un
    nouveau raccordement. Une réponse est envoyée :

    1.2.3.4:80 -> 5.6.7.8:1049 SYN=ON ACK=ON

    Le client reçoit la réponse, et informe que la réponse est reçue

    5.6.7.8:1049 -> 1.2.3.4:80 ACK=ON

    Ici, le raccordement est ouvert. Ceci s'appelle une poignée de main à
    trois voies. Son but est de vérifier AUX DEUX centres serveurs qu'ils ont un
    raccordement fonctionnant entre eux.

    l'Internet étant ce qui est il, incertain et inondé, là sont des
    dispositions de compenser la perte de paquet.

    Si le client envoie le SYN initial sans recevoir un SYN+ACK dans
    quelques secondes, il renverra le SYN.

    Si le serveur envoie le SYN+ACK sans recevoir un ACK en quelques en
    second lieu, il renverra le paquet de SYN+ACK.

    Le dernier est réellement la raison pour laquelle l'inondation de SYN
    fonctionne tellement bien. Si vous envoyez des paquets de SYN d'un bon
    nombre de différents ports, ceci attachera beaucoup de ressources sur le
    serveur. Si vous refusez également de répondre aux paquets retournés de
    SYN+ACK, le serveur GARDERA ces raccordements pendant longtemps, renvoyant
    les paquets de SYN+ACK. Quelques serveurs n'accepteront pas de nouveaux
    raccordements tandis qu'il y a assez de raccordements formant actuellement ;
    c'est pourquoi travaux d'inondation de SYN.

    Tous les paquets transmis dans l'une ou l'autre direction après que la
    poignée de main à trois voies ait le peu de ACK réglé. Les filtres apatrides
    de paquet se servent de ceci dans les prétendus `` filtres établis de '':
    Ils ont seulement laissé des paquets par le ce avoir le peu de ACK réglé. De
    cette façon, aucun paquet peut passer à travers dans une certaine direction
    qui pourrait former un nouveau raccordement. Typiquement, vous ne permettez
    pas aux hôtes extérieurs d'ouvrir de nouveaux raccordements aux centres
    serveurs intérieurs en exigeant le peu de ACK réglé sur ces paquets.

    Quand le temps est venu pour fermer le raccordement, il y a deux
    manières de le faire : En utilisant le drapeau d'AILERON, ou employer le
    drapeau de RST. En utilisant des drapeaux d'AILERON, les deux réalisations
    sont exigées pour envoyer des drapeaux d'AILERON pour indiquer qu'elles
    veulent fermer le raccordement, et puis envoient des reconnaissances à ces
    ailerons, indiquant qu'elles ont compris que l'autre extrémité veut fermer
    le raccordement. En envoyant RST, le raccordement est fermé avec force, et
    vous n'obtenez pas vraiment une indication de si l'autre extrémité a compris
    votre ordre de remise, ou cela elle en fait a reçu toutes les données que
    vous lui avez envoyées.

    La manière d'AILERON de la fermeture le raccordement vous expose
    également à une situation de démenti-de-service, puisque la pile de TCP doit
    se rappeler le raccordement fermé pendant un temps assez long, au cas où
    l'autre extrémité ne recevrait pas un des paquets d'AILERON.

    Si beaucoup de raccordements sont ouverts et suffisamment fermés, vous
    pouvez finir vers le haut d'avoir `` les raccordements fermés de ''dans
    toutes vos fentes de raccordement. De cette façon, vous ne pourriez pas
    assigner dynamiquement plus de raccordements, voyant qu'ils tous sont
    employés. Poignée différente d'OSes cette situation différemment.




    A. Quelques produits commercial et fournisseurs
    Nous nous sentons que cette matière est trop sensible à l'adresse dans
    un FAQ, cependant, une liste indépendamment maintenue (aucune garantie ou
    recommandation ne sont impliquées) peut être trouvée en ligne.9



    B. Glossaire des limites Mur à l'épreuve du feu-Connexes

    Abus de privilège
    Quand un utilisateur effectue une action qu'elles ne devraient pas
    avoir, selon la politique ou la loi d'organisation.

    Listes de Contrôle d'accès
    Règles pour les filtres de paquet (typiquement couteaux) qui
    définissent quels paquets à passer et quel à bloquer.

    Accédez Au Couteau
    Un couteau qui relie votre réseau à l'Internet externe. Typiquement,
    c'est votre première ligne de la défense contre des attaquants de l'Internet
    extérieur. En permettant des listes de contrôle d'accès sur ce couteau, vous
    pourrez fournir un niveau de la protection pour tous les centres serveurs ``
    derrière le ''qui couteau, faisant efficacement à ce réseau un DMZ au lieu
    d'un LAN externe non protégé.

    Mur à l'épreuve du feu d'Application-Couche
    Un système de mur à l'épreuve du feu dans lequel le service est fourni
    par les processus qui maintiennent l'état et l'ordonnancement complets de
    raccordement de TCP. Les murs à l'épreuve du feu de couche application
    re-adressent souvent le trafic de sorte que le trafic sortant semble avoir
    provenu du mur à l'épreuve du feu, plutôt que le centre serveur interne.

    Authentification
    Le processus de déterminer l'identité d'un utilisateur qui essaye
    d'accéder à un système.

    Marque d'Authentification
    Un dispositif portatif utilisé pour authentifier un utilisateur. La
    marque d'authentification fonctionnent par challenge/response, ordres
    temps-basés de code, ou d'autres techniques. Ceci peut inclure les listes
    sur papier de mots de passe jetables.

    Autorisation
    Le processus de déterminer quels types d'activités sont autorisés.
    Habituellement, l'autorisation est dans le contexte de l'authentification :
    une fois que vous avez authentifié un utilisateur, ils peuvent être
    différents types autorisés de l'accès ou d'activité.

    Bastion host
    Un système qui a été durci pour résister à l'attaque, et qui est
    installé sur un réseau de telle manière qu'on s'attende à ce que relève
    potentiellement de l'attaque. Les centres serveurs de bastion sont souvent
    des composants des murs à l'épreuve du feu, ou peuvent être `` des serveurs
    d'enchaînement de ''d'extérieur ou des systèmes publics d'accès.
    Généralement, un bastion host court une certaine forme du logiciel
    d'exploitation tout usage (par exemple, Unix, VMS, NT, etc...) plutôt qu'un
    logiciel d'exploitation ROM-BASÉ ou de progiciels.

    Challenge/Response
    Une technique d'authentification par lequel un serveur envoie un défi
    imprévisible à l'utilisateur, qui calcule une réponse en utilisant une
    certaine forme de marque d'authentification.

    Chroot
    Une technique sous Unix par lequel un processus soit de manière
    permanente limité à un sous-ensemble d'isolement du filesystem.

    Somme Cryptographique
    Une fonction à sens unique s'est appliquée à un dossier pour produire
    un `` ''unique d'empreinte digitale du dossier pour la référence
    postérieure. Les systèmes de somme sont des moyens primaires de détecter le
    filesystem trifouiller sur Unix.

    Attaque Conduite Par Données
    Une forme d'attaque dans laquelle l'attaque est codée dans les données
    innofensif-semblantes qui sont exécutées par un utilisateur ou tout autre
    logiciel pour mettre en application une attaque. Dans le cas des murs à
    l'épreuve du feu, une attaque conduite par données est un souci puisqu'elle
    peut obtenir par le mur à l'épreuve du feu sous la forme de données et
    lancer une attaque contre un système derrière le mur à l'épreuve du feu.

    La défense détaillée
    L'approche de sécurité par lequel chaque système sur le réseau soit
    fixé au plus grand possible degré. Peut être employé en même temps que des
    murs à l'épreuve du feu.

    Mystification de DNS
    Assumant le nom de DNS d'un autre système en corrompant la cachette
    nommée de service d'un système de victime, ou en compromettant un domain
    name server pour un domaine valide.

    Conjuguent Le Passage Homed
    Un passage homed duel est un système qui a deux interfaces ou plus de
    réseau, dont chacune est reliée à un réseau différent. Dans des
    configurations de mur à l'épreuve du feu, un passage homed duel agit
    habituellement de bloquer ou filtrer une partie ou tout le trafic essayant
    de passer entre les réseaux.

    Couteau de Chiffrage
    voir le couteau de perçage d'un tunnel et le périmètre virtuel de
    réseau.

    Mur à l'épreuve du feu
    Un système ou une combinaison des systèmes qui imposent une frontière
    entre deux réseaux ou plus.

    Sécurité Gérée par le système central
    La technique de fixer un système individuel d'attaque. Accueillez la
    sécurité basée est personne à charge de logiciel d'exploitation et de
    version.

    Attaque d'Initié
    Une attaque commençant de l'intérieur d'un réseau protégé.

    Détection d'Intrusion
    La détection des cambriolages ou du cambriolage essaye manuellement ou
    par l'intermédiaire des systèmes experts de logiciel qui opèrent des
    notations ou de toute autre information disponible sur le réseau.

    Mystification d'IP
    Une attaque par lequel un système essaye de personnifier illicitement
    un autre système en employant son adresse de réseau d'IP.

    Épissure d'IP/Détournant
    Une attaque par lequel un actif, établi, session est arrêtée et
    cooptée par l'attaquant. Les attaques d'épissure d'IP peuvent se produire
    après qu'une authentification ait été faite, permettant à l'attaquant
    d'assumer le rôle d'un utilisateur déjà autorisé. Les protections primaires
    contre l'épissure d'IP se fondent sur le chiffrage à la session ou à la
    couche réseau.

    Moindre Privilège
    Concevoir des aspects opérationnels d'un système pour fonctionner avec
    une quantité minimum de privilège de système. Ceci réduit le niveau
    d'autorisation auquel de diverses actions sont effectuées et diminue la
    chance qu'un processus ou un utilisateur avec des privilèges élevés peut
    être causé pour exécuter l'activité non autorisée ayant pour résultat une
    infraction de sécurité.

    Notation
    Le processus de stocker des informations sur les événements qui se
    sont produits sur le mur à l'épreuve du feu ou le réseau.

    Conservation de Notation
    Combien de temps des notations d'audit sont maintenues et maintenues.

    Traitement de Notation
    Comment des notations d'audit sont traitées, recherché les événements
    principaux, ou récapitulé.

    Mur à l'épreuve du feu de Réseau-Couche
    Un mur à l'épreuve du feu dans lequel le trafic est examiné à la
    couche de paquet de protocole de réseau.

    Sécurité Périmètre-basée
    La technique de fixer un réseau en commandant l'accès à tous les
    points d'entrée et de sortie du réseau.

    Politique
    l'Organisation-niveau règne l'utilisation acceptable régissante des
    ressources informatiques, des pratiques en matière de sécurité, et des
    procédures opérationnelles.

    Procuration
    Un agent de logiciel qui agit au nom d'un utilisateur. Les
    procurations typiques acceptent un raccordement d'un utilisateur, prennent
    une décision de savoir si ou le IP address pas d'utilisateur ou de client
    n'est autorisé pour employer la procuration, peut-être fait
    l'authentification additionnelle, et accomplit alors un raccordement au nom
    de l'utilisateur à une destination à distance.

    Centre serveur Examiné
    Un centre serveur sur un réseau derrière un screening router. Le degré
    auquel un centre serveur examiné peut être consulté dépend des règles de
    criblage dans le couteau.

    Sous-filet Examiné
    Un sous-filet derrière un screening router. Le degré auquel le
    sous-filet peut être consulté dépend des règles de criblage dans le couteau.

    Screening router
    Un couteau configuré pour permettre ou nier le trafic basé sur un
    ensemble de règles de permission installées par l'administrateur.

    Vol de Session
    Voyez l'Épissure d'IP.

    Trojan Horse
    Une entité de logiciel qui semble faire quelque chose de normal mais
    qui, en fait, contient un programme de trappe ou d'attaque.

    Couteau de Perçage d'un tunnel
    Un couteau ou un système capable du trafic de cheminement en le
    chiffrant et en l'encapsulant pour la transmission à travers untrusted le
    réseau, pour la De-encapsulation et le déchiffrage certains.

    Technologie Sociale
    Une attaque basée sur les utilisateurs ou les administrateurs
    trompeurs à l'emplacement de cible. Des attaques sociales de technologie
    sont typiquement effectuées par les utilisateurs ou les opérateurs et
    feindre d'appel téléphonique pour être un utilisateur autorisé, pour essayer
    de gagner l'accès illicite aux systèmes.

    Périmètre Virtuel de Réseau
    Un réseau qui semble être un réseau protégé simple derrière des murs à
    l'épreuve du feu, qui entoure réellement l'excédent virtuel chiffré de liens
    untrusted des réseaux.

    Virus
    Un segment de code de réplique qui s'attache à un fichier de programme
    ou de données. Les virus pourraient ou ne pourraient pas contenir des
    programmes ou des trappes d'attaque. Malheureusement, beaucoup ont commencé
    à appeler tout malveillant le code des `` virus '. Si vous voulez dire le ``
    ''de Trojan Horse ou `` le ''de ver, dites ''ou `` le ver 'le de `` Trojan
    Horse '.

    Ver
    Un programme autonome qui, une fois couru, copie lui-même d'un centre
    serveur à l'autre, et fonctionne alors lui-même sur chaque hôte nouvellement
    infecté. Les `` virus largement rapportés d'Internet 'de 1988 n'étaient pas
    un virus du tout, mais réellement un ver.





    ----------------------------------------------------------------------
    ----------

    Apostilles
    ... Système1
    http://mail-abuse.org/
    ... Initiative2
    http://mail-abuse.org/tsi/
    ... Calmar3
    http://squid.nlanr.net/
    ... Apache4
    http://www.apache.org/docs/mod/mod_proxy.html
    ... Procuration5
    http://home.netscape.com/proxy/v3.5/index.html
    ... Netscape6
    http://developer.netscape.com/docs/manuals/security/sslin/contents.htm
    ... mur à l'épreuve du feu7
    http://www.real.com/firewall/
    ... bugtraq8
    http://www.securityfocus.com
    ... en ligne.9
    http://www.thegild.com/firewall/.
     
    William L. Sun, Feb 6, 2005
    #1
    1. Advertising

Want to reply to this thread or ask your own question?

It takes just 2 minutes to sign up (and it's free!). Just click the sign up button to choose a username and then you can ask your own questions on the forum.
Similar Threads
  1. William L. Sun

    Internet Firewall FAQ in Italian

    William L. Sun, Feb 6, 2005, in forum: Computer Security
    Replies:
    6
    Views:
    1,539
  2. William L. Sun

    Internet Firewall FAQ in German

    William L. Sun, Feb 6, 2005, in forum: Computer Security
    Replies:
    0
    Views:
    1,772
    William L. Sun
    Feb 6, 2005
  3. William L. Sun

    Internet Firewall FAQ in Dutch

    William L. Sun, Feb 6, 2005, in forum: Computer Security
    Replies:
    21
    Views:
    5,720
  4. rH
    Replies:
    0
    Views:
    371
  5. jose perez

    Learn to speak French with rocket French.

    jose perez, Dec 23, 2006, in forum: NZ Computing
    Replies:
    1
    Views:
    676
Loading...

Share This Page