Internet Firewall FAQ in Italian

Discussion in 'Computer Security' started by William L. Sun, Feb 6, 2005.

  1. FAQ della parete refrattaria in italiano 1
    Pareti refrattarie Del Internet:
    Domande Frequentemente Fatte
    Paul D. Robertson
    Curtin Opaco
    Marcus J. Ranum
    (tradotto da William Sun
    )

    Data: 2004/07/26 di 15:34:42
    Revisione: 10.4

    Questo documento disponibile nel pdfdel and del postscript.




    Indice
    1 Administrativia
    1.1 Circa il FAQ
    1.2 Per chi il FAQ è scritto?
    1.3 Prima Della Trasmissione Della Posta
    1.4 Dove posso trovare la versione corrente del FAQ?
    1.5 Dove posso trovare le versioni Non-Inglesi del FAQ?
    1.6 Contributori
    1.7 Copyright ed uso


    2 principi fondamentali della parete refrattaria e della priorità
    bassa
    2.1 Che cosa è una parete refrattaria di rete?
    2.2 Perchè desidererei una parete refrattaria?
    2.3 Da che cosa può una parete refrattaria proteggere?
    2.4 Da che cosa non può una parete refrattaria proteggere?
    2.5 Che cosa circa i virus e l'altro malware?
    2.6 IPSEC renderà le pareti refrattarie obsolete?
    2.7 Che cosa sono buone sorgenti delle informazioni della stampa sulle
    pareti refrattarie?
    2.8 Dove posso ottenere le più informazioni sulle pareti refrattarie
    sul Internet?


    3 edizioni di implementazione e di disegno
    3.1 Che cosa sono alcune delle decisioni di base di disegno in una
    parete refrattaria?
    3.2 Che cosa sono i tipi di base di pareti refrattarie?
    3.3 Che cosa sono server di procura e come funzionano?
    3.4 Che cosa sono alcuni strumenti poco costosi della selezione del
    pacchetto?
    3.5 Che cosa sono alcune regole di filtrazione ragionevoli per uno
    schermo nocciolo-basato del pacchetto?
    3.6 Che cosa sono alcune regole di filtrazione ragionevoli per un
    Cisco?
    3.7 Che cosa sono le risorse critiche in una parete refrattaria?
    3.8 Che cosa è un DMZ e perchè io desidera uno?
    3.9 Come potrei aumentare la sicurezza e lo scalability del mio DMZ?
    3.10 Che cosa è un singolo punto del ` di guasto 'e come io evita di
    avere uno?
    3.11 Come posso ostruire tutto il roba difettoso?
    3.12 Come posso limitare l'accesso di Web in modo da gli utenti non
    possono osservare i luoghi indipendenti per lavorare?


    4 Vari Attacchi
    4.1 Che cosa è traffico diretto sorgente e perchè è esso una minaccia?
    4.2 Che cosa sono ICMP riorientano e riorientano le bombe?
    4.3 Che cosa circa la smentita di servizio?
    4.4 Che cosa sono alcuni attacchi comuni e come possono io proteggere
    il mio sistema contro di loro?


    5 Come La I...
    5.1 Realmente desidero concedere tutto che i miei utenti chiedano?
    5.2 _ come io fa Web/HTTP lavoro attraverso mio parete?
    5.3 Come faccio funzionare lo SSL attraverso la parete refrattaria?
    5.4 Come faccio il lavoro di DNS con una parete refrattaria?
    5.5 Come faccio funzionare il ftp attraverso la mia parete
    refrattaria?
    5.6 Come faccio funzionare il telnet attraverso la mia parete
    refrattaria?
    5.7 Come faccio funzionare la barretta ed il WHOIS attraverso la mia
    parete refrattaria?
    5.8 Come faccio il Gopher, archie ed altri servizi funzionano
    attraverso la mia parete refrattaria?
    5.9 Che cosa sono le edizioni circa X11 attraverso una parete
    refrattaria?
    5.10 Come faccio funzionare RealAudio attraverso la mia parete
    refrattaria?
    5.11 Come faccio il mio atto di web server come un a fine frontale per
    una base di dati che vive sulla mia rete riservata?
    5.12 Ma la mia base di dati ha un server integrato di Web e desidero
    usare quello. Non posso giusto colpire un foro nella parete refrattaria e
    scavare una galleria quella porta?
    5.13 Come Faccio funzionare il IP Il Multicast Con La Mia Parete
    refrattaria?


    6 porte del UDP e di TCP
    6.1 Che cosa è una porta?
    6.2 Come conosco quale applicazione usa che porta?
    6.3 Che cosa sono porte ASCOLTANTI?
    6.4 Come determino che servizio la porta è per?
    6.5 Che porte sono sicuri da passare attraverso una parete
    refrattaria?
    6.6 Il comportamento del ftp
    6.7 Che software usa che modo del ftp?
    6.8 È mio provare della parete refrattaria a collegare all'esterno?
    6.9 Anatomia di un collegamento di TCP


    A. Alcuni prodotti commerciali e fornitori
    B. Glossario dei termini Parete-Relativi
    Bibliografia


    1 Administrativia


    1.1 Circa il FAQ
    Questa accumulazione di Frequenty ha fatto le domande (FAQ) e le
    risposte è stata compilata durante gli anni, vedenti quali domande la gente
    fa riguardo alle pareti refrattarie in tali tribune come il USENET, le liste
    spedenti ed i luoghi di Web. Se avete una domanda, osservare qui per vedere
    se ha risposto a prima dell'invio la vostra domanda è buona forma. Non
    trasmetta le vostre domande circa le pareti refrattarie ai mantenitori del
    FAQ.

    I mantenitori accolgono favorevolmente l'input e le osservazioni sul
    contenuto di questo FAQ. Le osservazioni si sono riferite al FAQ dovrebbero
    essere richiamate a . Prima che ci trasmettiate
    la posta, sia prego sicuro vedere che le parti 1.2 e 1.3 da rendere sicuro
    questo è il giusto documento affinchè leggano.



    1.2 Per chi il FAQ è scritto?
    Le pareti refrattarie sono venuto lontano dai giorni in cui questo FAQ
    si è avviato. They've andato da essere sistemi altamente personalizzati
    amministrati dai loro implementors ad un prodotto tradizionale. Le pareti
    refrattarie sono solamente no più lunghe nelle mani di coloro che progetta
    ed effettua i sistemi di sicurezza; persino gli utilizzatori finali
    sicurezza-coscienti le hanno a casa.

    _ noi scriv questo FAQ per computer sistema di elaborazione
    sviluppatore e amministratore. Abbiamo provato ad essere ragionevolmente
    compresi, facendo la stanza per i nuovi venuti, ma ancora ammettiamo una
    certa base tecnica di base. Se trovate che non capite questo documento, ma
    pensate che dobbiate conoscere più circa le pareti refrattarie, potrebbe
    scaturire è che realmente dovete ottenere più priorità bassa nella rete del
    calcolatore in primo luogo. Forniamo i riferimenti che li hanno aiutati;
    forse egualmente li aiuteranno.

    Mettiamo a fuoco predominately "sulla rete" pareti refrattarie, ma ``
    ospiti il ''o le pareti refrattarie del ''di ``"personal saranno indirizzate
    ove necessario.



    1.3 Prima Della Trasmissione Della Posta
    Si noti che questa accumulazione delle domande frequente-chieste a è
    un risultato di interazione con molta gente degli ambiti di provenienza
    differenti in un'ampia varietà di tribune pubbliche. L'indirizzo parete-FAQ
    non è un servizio d'assistenza. Se state provando ad usare un'applicazione
    che dice che non sta funzionando a causa di una parete refrattaria e pensate
    che dobbiate rimuovere la vostra parete refrattaria, prego ci non trasmetta
    la posta che chiede come.

    Se desiderate conoscere come `` eliminate il vostro ''della parete
    refrattaria perché non potete usare una certa applicazione, ci non trasmetta
    la posta che chiede l'aiuto. Non possiamo aiutarli. Realmente.

    Chi può aiutarlo? Buona domanda. Quello dipenderà su che cosa il
    problema è esattamente, ma qui è parecchi indicatori. Se nessuno di questi
    funziona, vogliate ci non chiedono altro. Non sappiamo.

    Il fornitore del software che state usando.
    Il fornitore usando del you're del ''degli apparecchi del hardware ``.
    Il fornitore del usando del you're di servizio di rete. Quello è, se
    you're su AOL, li chiede. Se state provando ad usare qualcosa su una rete
    corporativa, comunichi con vostro amministratore di sistema.


    1.4 Dove posso trovare la versione corrente del FAQ?
    Il FAQ può essere trovato sul Web a

    http://www.compuwar.net/pubs/fwfaq/.
    http://www.interhack.net/pubs/fwfaq/.
    Egualmente ha inviato il mensile a

    comp.security.firewalls,
    comp.security.unix,
    comp.security.misc,
    comp.answerse
    news.answers.
    Le versioni inviate sono archiviate in tutti i posti usuali.
    Purtroppo, la versione inviata al USENET ed archiviata quella mancanza di
    versione dalle immagini graziose e dai hyperlinks utili ha trovato nella
    versione di Web.



    1.5 Dove posso trovare le versioni Non-Inglesi del FAQ?
    Parecchie traduzioni sono disponibili. (se avete fatto una traduzione
    e non è elencata qui, scrivali prego in modo da possiamo aggiornare il
    documento matrice.)


    Norvegese
    Traduzione da Jon Haugsand
    http://helmersol.nr.no/haandbok/doc/brannmur/brannmur-faq.html


    1.6 Contributori
    Molta gente ha scritto i suggerimenti utili ed il commento premuroso.
    Siamo riconoscenti a tutti i contributori. Vorremmo ringraziare il afew per
    nome: Keinanen ;Vesa, Allen Leibowitz, chapman del brent, Brian Boyle, D.
    Clyde Williamson, Richard Reiner, William Sun, Humberto Ortiz Zuazaga e
    speranza di Theodore.



    1.7 Copyright ed uso
    Copyright ©1995-1996, 1998 Marcus J. Ranum. Copyright ©1998-2002
    Curtin Opaco. Copyright 2004, Paul D. Robertson. Tutti i diritti riservati.
    Questo documento può essere usato, ristampato ed essere ridistribuito come
    sta fornendo questo avviso di copyright e tutte le attribuzioni rimangono
    intact. Le traduzioni del testo completo dall'inglese originale ad altri
    linguaggi egualmente sono permesse esplicitamente. I traduttori possono
    aggiungere i loro nomi alla sezione `` dei contributori '.



    2 principi fondamentali della parete refrattaria e della priorità
    bassa
    Prima di potere capire una discussione completa sulle pareti
    refrattarie, esso importante capire i principi di base che fanno funzionare
    le pareti refrattarie.



    2.1 Che cosa è una parete refrattaria di rete?
    Una parete refrattaria è un sistema o un gruppo dei sistemi che fanno
    rispettare una politica di controllo di accesso fra due o più reti. Il mezzo
    reale da cui questo è compiuto varia ampiamente, ma nel principio, la parete
    refrattaria può pensarsi come ad accoppiamento dei meccanismi: uno che
    esiste per ostruire il traffico e l'altro che esista per consentire il
    traffico. Alcune pareti refrattarie danno un'importanza più grande
    sull'ostruire il traffico, mentre altre danno risalto al traffico
    consentente. Probabilmente la cosa più importante da riconoscere circa una
    parete refrattaria è che effettua una politica di controllo di accesso. Se
    non avete una buona idea di che genere di accesso desiderate concedere o
    negare, una parete refrattaria realmente non li aiuterà. È egualmente
    importante riconoscere che la configurazione della parete refrattaria,
    perché è un meccanismo per fare rispettare la politica, impone la relativa
    politica a tutto dietro esso. Gli amministratori per le pareti refrattarie
    che gestiscono la connettività per un grande numero di calcolatori centrali
    quindi hanno una responsabilità pesante.



    2.2 Perchè desidererei una parete refrattaria?
    Il Internet, come qualunque altra società, è contagiato con il genere
    di scatti che godono l'equivalente elettronico di ammortizzare sulle pareti
    della gente con spraypaint, di strappo delle loro cassette postali, o appena
    di seduta nella via che salta i loro corni dell'automobile. Qualche gente
    prova ad ottenere il lavoro reale fatto sopra il Internet ed altre hanno
    dati che sensibili o riservati devono proteggere. Solitamente, lo scopo
    della parete refrattaria è mantenere gli scatti dalla vostra rete mentre
    ancora lasciandoli ottenere il vostro lavoro fatto.

    Molti società e centri di dati di stile tradizionale hanno le
    politiche e pratiche di calcolo di sicurezza che devono essere seguite. In
    un caso dove le politiche dell'azienda dettano come i dati devono essere
    protetti, una parete refrattaria è molto importante, poiché è
    l'incorporamento della politica corporativa. Frequentemente, la parte più
    dura di agganciare al Internet, se you're una grande azienda, non sta
    giustificando la spesa o lo sforzo, ma sta convincendo la gestione che esso
    sicuro fare così. Una parete refrattaria fornisce non soltanto la sicurezza
    reale -- svolge spesso un ruolo importante come coperta di sicurezza per la
    gestione.

    Infine, una parete refrattaria può fungere da vostro `` ''corporativo
    dell'ambasciatore al Internet. Molte società usano i loro sistemi della
    parete refrattaria come posto per memorizzare le informazioni pubbliche sui
    prodotti corporativi e sui servizi, archivi per trasferire, insetto-ripara e
    così avanti. alcuni di questi sistemi hanno parti importanti diventate della
    struttura di servizio del Internet (per esempio, UUnet.uu.net,
    whitehouse.gov, gatekeeper.dec.com) ed hanno riflesso bene sui loro garanti
    organizzativi. Si noti non normalmente che mentre questa è storicamente
    allineare, la maggior parte delle organizzazioni ora dispongono le
    informazioni pubbliche su un server di Web, protetto spesso da una parete
    refrattaria, ma sulla parete refrattaria in se.



    2.3 Da che cosa può una parete refrattaria proteggere?
    Alcune pareti refrattarie consentono soltanto il traffico del email
    attraverso loro, quindi proteggendo la rete da tutti gli attacchi tranne gli
    attacchi dal servizio del email. Altre pareti refrattarie assicurano le
    protezioni meno rigorose ed ostruiscono i servizi che sono conosciuti per
    essere problemi.

    Generalmente, le pareti refrattarie sono configurate per proteggere da
    unauthenticated gli inizio attività interattivi `` dal mondo del ''della
    parte esterna. Ciò, più di qualche cosa, aiuti impedisce ai vandals di
    annotare nelle macchine sulla vostra rete. Le pareti refrattarie più
    elaborate ostruiscono il traffico dalla parte esterna alla parte interna, ma
    permettono agli utenti sulla parte interna di comunicare liberamente con la
    parte esterna. La parete refrattaria può proteggerla da qualunque tipo di
    attacco rete-sopportato se lo disconnettete.

    Le pareti refrattarie sono egualmente importanti poiché possono
    fornire un singolo `` ''del punto della bobina d'arresto in cui la sicurezza
    e la verifica possono essere imposte. Diverso dentro di una situazione dove
    un sistema di elaborazione sta attacando da qualcuno che compone dentro con
    un modem, la parete refrattaria può fungere da `` ''efficace del colpetto
    del telefono e strumento seguente. Le pareti refrattarie forniscono una
    funzione annotante e di verifica importante; forniscono spesso i sommari
    all'amministratore circa che generi e quantità di traffico ha attraversato
    esso, quanti tentativi là dovevano rompersi in esso, ecc.

    Poiché di questo, i libri macchina della parete refrattaria sono dati
    criticamente importanti. Possono essere usati come prova in una corte di
    legge nella maggior parte dei paesi. Dovreste salvaguardare, analizzare e
    proteggere la parete refrattaria di yoru annota di conseguenza.

    Ciò è un punto importante: fornire questo `` ''del punto della bobina
    d'arresto può avere lo stesso scopo sulla vostra rete come una latta
    custodita del cancello per i locali fisici del vostro luogo. Quello mezzi in
    qualsiasi momento avete un cambiamento `` nelle zone 'o nei livelli della
    sensibilità, un tal punto di controllo è adatto. Un'azienda non ha raramente
    soltanto un cancello esterno e receptionist o personale di sicurezza per
    controllare i distintivi sul modo dentro. Se ci sono strati di sicurezza sul
    vostro luogo, esso ragionevole per prevedere gli strati di sicurezza sulla
    vostra rete.



    2.4 Che can't che una parete refrattaria protegge da?
    Le pareti refrattarie non possono proteggere dagli attacchi che non
    passano attraverso la parete refrattaria. Molte società che collegano al
    Internet sono molto interessate circa i dati riservati che fuoriescono fuori
    dell'azienda tramite quell'itinerario. Purtroppo per quelli interessati,
    azionamenti un nastro magnetico, un disco compatto, dell'istantaneo del USB
    o, di DVD inscatolano appena come sia usato efficacemente esportare i dati.
    Molte organizzazioni che sono terrorizzate (ad un livello di gestione) dei
    collegamenti del Internet non hanno politica coerente circa come manopola-
    in accesso via i modem dovrebbe essere protetto. Silly costruire un portello
    d'acciaio spesso del sei-piede quando vivete in una casa di legno, ma là è
    organizzazioni molto verso l'esterno là l'acquisto delle pareti refrattarie
    costose e trascurare il numeroso altri indietro-portelli nella loro rete.
    Affinchè una parete refrattaria funzioni, deve essere una parte di
    un'architettura organizzativa generale costante di sicurezza. Le politiche
    della parete refrattaria devono essere realistiche e riflettere il livello
    di sicurezza nell'intera rete. Per l'esempio, un luogo con bisogno segreto o
    classificato superiore del doesn't di dati una parete refrattaria affatto:
    shouldn't stanno collegando al Internet nel primo posto, o i sistemi con i
    dati realmente segreti dovrebbero essere isolati dal resto della rete
    corporativa.

    Un'altra cosa che un can't della parete refrattaria realmente li
    protegge da è traitors o idiots all'interno della vostra rete. Mentre una
    spia industriale potrebbe esportare le informazioni attraverso la vostra
    parete refrattaria, lui appena come probabilmente per esportarlo attraverso
    un telefono, una macchina del FAX, o un disco compatto. CDs sono mezzi molto
    più probabili per informazione per fuoriuscire dalla vostra organizzazione
    che una parete refrattaria. Le pareti refrattarie anche non possono
    proteggerle da stupidity. Gli utenti che rivelano le informazioni sensibili
    sopra il telefono sono buoni obiettivi per ingegneria sociale; un attacker
    può potere rompersi nella vostra rete completamente escludendo la vostra
    parete refrattaria, se può trovare `` una parte interna utile degli
    impiegati del ''che può essere imbrogliata nel dare l'accesso ad uno stagno
    del modem. Prima di decidere questo isn't un problema nella vostra
    organizzazione, si chiede come molta difficoltà un appaltatore ha ottenere
    annotata nella rete o come molta difficoltà un utente che ha dimenticato la
    sua parola d'accesso doverla per ripristinarsi. Se la gente sul servizio
    d'assistenza crede che ogni chiamata sia interna, fate riparare un problema
    quel can't stringendo i comandi sulle pareti refrattarie.

    Il can't delle pareti refrattarie protegge dall'eccedenza che di
    traforo la maggior parte dei protocolli di applicazione a trojaned o clienti
    male scritti. Non ci sono pallottole magiche e una parete refrattaria non è
    una giustificazione per non effettuare i comandi del software sulle reti
    interne o per non ignorare la sicurezza ospite sui server. Le cose difettose
    del ''di traforo `` sopra il HTTP, lo smtp ed altri protocolli è abbastanza
    semplici e dimostrate banalmente. Il fuoco del isn't di sicurezza `` e si
    dimentica ''.

    Infine, il can't delle pareti refrattarie protegge dalle cose
    difettose che sono consentite con loro. Il caso, molti cavalli di Trojan
    usano il protocollo di chiacchierata del relè del Internet (IRC) per
    permettere che un attacker gestisca un calcolatore centrale interno
    compromesso da un server del IRC del pubblico. Se permettete che qualunque
    sistema interno colleghi a qualunque sistema esterno, quindi la vostra
    parete refrattaria non assicurerà protezione da questo vettore dell'attacco.



    2.5 Che cosa circa i virus e l'altro malware?
    Le pareti refrattarie non possono proteggere molto bene dalle cose
    come i virus o il software cattivo (malware). Ci sono ugualmente molti modi
    di cifratura degli archivi in codice binari per il trasferimento sulle reti
    ed ugualmente molti architetture e virus differenti per provare a cercarle
    tutte. In altre parole, una parete refrattaria non può sostituire la
    sicurezza-coscienza sulla parte dei vostri utenti. In generale, una parete
    refrattaria non può proteggere da un attacco data-driven -- attacchi in cui
    qualcosa è spedita o copiata ad un calcolatore centrale interno in cui
    allora è eseguita. Questa forma dell'attacco si è presentata nel passato
    contro le varie versioni di sendmail, ghostscript, scripting gli agenti
    dell'utente della posta come i browsersdi Web e di prospettiva come il
    Internet Explorer.

    Le organizzazioni che profondamente sono interessate circa i virus
    dovrebbero effettuare le misure di controllo organizzazione-larghe del
    virus. Piuttosto che soltanto provando a selezionare i virus fuori alla
    parete refrattaria, renda sicuro che ogni tavolo vulnerabile ha software di
    esame del virus che è funzionato quando la macchina rebooted. Ricoprendo
    della vostra rete con il software di esame del virus proteggerà dai virus
    che entrano via i dischetti, CDs, modem ed il Internet. Provare ad ostruire
    i virus alla parete refrattaria proteggerà soltanto dai virus dal Internet.
    L'esame del virus alla parete refrattaria o al Gateway di E-mail arresterà
    un grande numero di infezioni.

    Tuttavia, un numero aumentante di fornitori della parete refrattaria
    sta offrendo `` il virus che rileva le pareti refrattarie del ''. They're
    probabilmente soltanto utile per gli utenti ingenui che scambiano i
    programmi eseguibili dell'Windows-su-Intel ed i documenti
    cattivo-macro-capaci di applicazione. Ci sono molti metodi parete-basati per
    occuparsi dei problemi come `` la vite senza fine del ''di ILOVEYOU e gli
    attacchi riferiti, ma questi sono metodi realmente troppo semplificati che
    provano a limitare danni di qualcosa che sia così stupido esso dovrebbe non
    accadere mai nel primo posto. Non conti su alcuna protezione dai attackers
    con questa caratteristica. (poiché `` il ''di ILOVEYOU è andato intorno, il
    we've visto al meno una mezza dozzina simile attaca, compreso melissa,
    Happy99, codifica il colore rosso e Badtrans.B, tutto il cui è stato passato
    felicemente tramite molti pareti refrattarie e Gateway dirilevazione di
    E-mail.)

    Una parete refrattaria forte non è mai un sostituto per software
    ragionevole che riconosce la natura di che cosa sta maneggiando -- untrusted
    i dati dall'unauthenticated il partito -- e si comporta giustamente. Non
    pensi che perché `` tutto ''sta utilizzando quel bollettino o perché il
    fornitore è un'azienda multinazionale pantagruelica, voi sono sicuro.
    Infatti, non è allineare che `` tutto ''sta utilizzando tutto il bollettino
    e le aziende che si specializzano nella tecnologia di rotazione inventata
    altrove in qualcosa che sia `` facile da usare il ''senza alcuna perizia
    sono più probabili produrre il software che può essere imbrogliato.
    Ulteriore considerazione di questo soggetto sarebbe utile [3], ma è oltre la
    portata di questo documento.



    2.6 IPSEC renderà le pareti refrattarie obsolete?
    Alcuni hanno sostenuto che questo è il caso. Prima della pronuncia
    della così previsione ampia, tuttavia, è interessante da considerare che
    cosa IPSEC è e che cosa. Una volta che conosciamo questo, possiamo
    considerare se IPSEC risolverà i problemi quel we're che prova a risolvere
    con le pareti refrattarie.

    IPSEC (sicurezza del IP) si riferisce ad un insieme degli standard
    sviluppati dal Internet Engineering Task Force (IETF). Ci sono molti
    documenti che definiscono collettivamente che cosa è conosciuto come `` ''di
    IPSEC ;[6]. IPSEC risolve due problemi che hanno contagiato il suite di
    protocollo del IP per gli anni: autenticazione del
    calcolatore-$$$-CALCOLATORE centrale (che lascerà i calcolatori centrali
    conoscere quel they're che comunica con calcolatori centrali pensano che
    siano) e crittografia (che impedirà i attackers potere guardare il traffico
    andare fra le

    Back to Top
    FAQ della parete refrattaria in italiano 2
    Si noti che nessuno di questi problemi è che cosa le pareti
    refrattarie sono state create per risolvere. Anche se le pareti refrattarie
    possono contribuire ad attenuare alcuni dei rischi presenti su un Internet
    senza autenticazione o crittografia, ci sono realmente due codici categoria
    dei problemi qui: integrità e segretezza delle informazioni che fluiscono
    fra i calcolatori centrali ed i limiti disposti su che generi di
    connettività è permesso fra le reti differenti. IPSEC richiama il codice
    categoria e le pareti refrattarie precedenti il posteriore.

    Che cosa questi il mezzo è quell'non eliminerà l'esigenza dell'altro,
    ma crea alcune possibilità interessanti quando guardiamo unenti le pareti
    refrattarie con i calcolatori centrali IPSEC-permessi. Vale a dire, tali
    cose come le reti riservate virtuali fornitore-indipendenti (VPNs), la
    filtrazione migliore del pacchetto (filtrando sopra se i pacchetti hanno
    l'intestazione di autenticazione di IPSEC) e le pareti refrattarie di
    applicazione-strato potranno avere mezzi migliori di verifica ospite
    realmente usando l'intestazione di autenticazione di IPSEC anziché `` ''che
    fidantesi giusto il IP address si è presentato.



    2.7 Che cosa sono buone sorgenti delle informazioni della stampa sulle
    pareti refrattarie?
    Ci sono parecchi libri che toccano sulle pareti refrattarie.
    Conosciuti il più bene sono:

    Pareti refrattarie del Internet della costruzione, 2d ed.
    Autori
    Elizabeth D. Zwicky, cooper del Simon e D. Brent Chapman
    Editore
    O'Reilly
    Edizione
    2000
    ISBN
    1-56592-871-7

    Pareti refrattarie e sicurezza del Internet: Respinta del hacker wily
    Autori
    Fattura Cheswick, Steve Bellovin, Avi Rubin
    Editore
    Addison Wesley
    Edizione
    2003
    ISBN
    020163466X

    Sicurezza Pratica Di UNIX & Del Internet
    Autori
    Simson Garfinkel e gene Spafford
    Editore
    O'Reilly
    Edizione
    1996
    ISBN
    1-56592-148-8
    Nota
    Discute soprattutto la sicurezza ospite.
    I riferimenti relativi sono:

    Internetworking con TCP/IP Vols I, IIed III
    Autori
    Comer ;della Douglas e David ;Stevens
    Editore
    Prentice-Corridoio
    Edizione
    1991
    ISBN
    0-13-468505-9 (i), 0-13-472242-6 (ii), 0-13-474222-2 (iii)
    Commento
    Una discussione dettagliata sull'architettura ed implementazione del
    Internet e dei relativi protocolli. Il volume I (sui principii, sui
    protocolli e sull'architettura) è leggibile da tutto. Il volume 2 (sul
    disegno, sull'implementazione e sui internals) è più tecnico. Computazione
    del cliente-server delle coperture del volume 3.

    Sicurezza del sistema di UNIX -- una guida per gli utenti e gli
    amministratori di sistema
    Autore
    Curry Di David
    Editore
    Addison Wesley
    Edizione
    1992
    ISBN
    0-201-56327-4


    2.8 Dove posso ottenere le più informazioni sulle pareti refrattarie
    sul Internet?

    Manuale Di Sicurezza Del Luogo
    http://www.rfc-editor.org/rfc/rfc2196.txt il manuale di sicurezza del
    luogo è un documento dello IETF delle informazioni che descrive le domande
    fondamentali che devono essere indirizzate per buona sicurezza del luogo
    della costruzione. Le pareti refrattarie sono una parte di più grande
    strategia di sicurezza, poichè il manuale di sicurezza del luogo mostra.
    Pareti refrattarie Che Spediscono Lista
    http://www.isc.org/index.pl?/ops/lists/firewalls/ le pareti
    refrattarie del Internet che spediscono la lista è una tribuna per gli
    amministratori ed i implementors della parete refrattaria.
    Parete-Firewall-Wizards Che Spediscono Lista
    http://honor.icsalabs.com/mailman/listinfo/firewall-wizards i wizards
    della parete refrattaria che spediscono la lista è una parete refrattaria
    moderata e una lista riferita sicurezza che è più come un giornale che un
    soapbox pubblico.
    Parete refrattaria HOWTO
    http://www.linuxdoc.org/HOWTO/Firewall-HOWTO.html descrive esattamente
    che cosa è necessario costruire una parete refrattaria, specialmente usando
    Linux.
    Toolkit della parete refrattaria (FWTK) e carte dalla parete
    refrattaria
    ftp://ftp.tis.com/pub/firewalls/
    Pubblicazioni relative della parete refrattaria di Marcus Ranum
    http://www.ranum.com/pubs/
    Strumenti di sicurezza dell'università del Texas A&M
    http://www.net.tamu.edu/ftp/security/TAMU/
    Pagina delle pareti refrattarie del Internet di progetto del LITORALE
    http://www.cerias.purdue.edu/coast/firewalls/


    3 edizioni di implementazione e di disegno


    3.1 Che cosa sono alcune delle decisioni di base di disegno in una
    parete refrattaria?
    Ci è un numero di edizioni di base di disegno che dovrebbero essere
    indirizzate dalla persona fortunata che è stata tasked con la responsabilità
    di progettazione, di specificare e di effettuare o della sorveglianza
    dell'installazione di una parete refrattaria.

    La prima e maggior parte della decisione importante riflette la
    politica di come la vostra azienda o organizzazione desidera funzionare il
    sistema: è sul posto esplicitamente la parete refrattaria per negare tutti i
    servizi tranne quelle critiche alla missione di collegamento alla rete, o è
    la parete refrattaria sul posto per fornire un metodo misurato e verificato
    `` di accesso facente la coda del ''in un modo non-minaccioso? Ci sono gradi
    di paranoia fra queste posizioni; la posizione finale della vostra parete
    refrattaria ha potuto essere più il risultato di un politico che una
    decisione di ingegneria.

    Il secondo è: che livello di controllo, la sovrabbondanza e controllo
    desiderate? Stabilendo il livello accettabile di rischio (cioè, come il
    paranoid voi è) risolvendo il primo problema, potete formare una lista di
    controllo di che cosa dovrebbe essere controllato, consentito ed essere
    negato. Cioè cominciate calcolando verso l'esterno i vostri obiettivi
    generali ed allora unite avete bisogno dell'analisi con una valutazione di
    rischio ed ordinate i requisiti quasi sempre stanti in conflitto fuori in
    una lista della lavanderia che specifica che cosa progettate effettuare.

    La terza edizione è finanziaria. Non possiamo richiamare questo qui
    qualche cosa ma nei termini vaghi, ma è importante da provare misurare tutte
    le soluzioni proposte in termini di quanto costerà uno per comprare o
    effettuare. Per l'esempio, un prodotto completo della parete refrattaria può
    costare fra $100.000 all'alta estremità e libera all'estremità bassa.
    L'opzione libera, di fare una certa immaginazione che configura su un Cisco
    o su un router simile non costerà niente ma il tempo del personale e lle
    poche tazze di caffè. Effettuare un'alta parete refrattaria dell'estremità
    da zero potrebbe costare parecchi mesi lavorativi, che possono identificare
    a valore $30.000 dello stipendio e dei benefici del personale. Le spese
    generali di gestione dei sistemi sono egualmente una considerazione. Lo
    sviluppo della sede-fermentazione è benissimo, ma esso importante costruirlo
    così che doesn't richiede l'attenzione costante (e costosa). Importante, in
    altre parole, valutare le pareti refrattarie non soltanto nei termini di che
    cosa ora costano, ma nella continuazione costa tali come il supporto.

    Dal lato tecnico, ci sono lle coppie delle decisioni da fare, basate
    sul fatto che per tutti gli scopi pratici che cosa stiamo parlando è un
    servizio statico di percorso di traffico disposto fra il router del
    fornitore di servizio della rete e la vostra rete interna. Il servizio di
    percorso di traffico può essere effettuato ad un livello del IP via qualcosa
    come le regole della selezione in un router, o ad un livello di applicazione
    via i Gateway ed i servizi di procura.

    La decisione da fare è se disporre una macchina messa a nudo-giù
    esposta sulla rete esterna per fare funzionare i servizi di procura per il
    telnet, il ftp, le notizie, ecc., o se installare un router della selezione
    come filtro, consentendo la comunicazione con una o più macchina interna. Ci
    sono benefici e svantaggi ad entrambi i metodi, con la macchina di procura
    che fornisce un livello più grande della verifica e, potenzialmente, la
    sicurezza nel ritorno per il costo aumentato nella configurazione e una
    diminuzione nel livello di servizio che può essere fornito (poiché una
    procura deve essere sviluppata per ogni servizio voluto). La vecchia
    alternanza fra facilità di uso e sicurezza ritorna frequentarla con un
    vengeance.



    3.2 Che cosa sono i tipi di base di pareti refrattarie?
    Concettualmente, ci sono tre tipi di pareti refrattarie:

    Strato di rete
    Strato di applicazione
    Ibridi
    Non sono differenti come potreste pensare e le ultime tecnologie
    stanno offuscando la distinzione al punto in cui non è più chiara se uno uno
    è `` ''migliore o `` più difettoso.'' Come sempre, dovete fare attenzione
    selezionare il tipo che soddisfa le vostre esigenze.

    Quale è quale dipende da che meccanismi la parete refrattaria usa
    passare il traffico da una zona di sicurezza ad un altro. Il modello
    internazionale di interconnessione dei sistemi aperti di organizzazione di
    normalizzazione (iso) (OSI) per rete definisce sette strati, dove ogni
    strato fornisce i servizi da che `` gli strati di più alto livello del
    ''dipendono. Nell'ordine dalla parte inferiore, questi strati sono fisici,
    programmazione dei dati, la rete, il trasporto, la sessione, la
    presentazione, applicazione.

    La cosa importante da riconoscere è che l'a livello più basso il
    meccanismo di spedizione, meno esame che la parete refrattaria può
    effettuare. Generalmente parlando, le pareti refrattarie a livello più basso
    sono più veloci, ma sono più facili da imbrogliare nel fare la cosa errata.

    Attualmente, la maggior parte delle pareti refrattarie entrano ``
    nella categoria ibrida del '', che fanno la rete che filtra così come una
    certa quantità di controllo di applicazione. L'importo cambia la dipendenza
    dal fornitore, dal prodotto, dal protocollo e dalla versione, in modo da un
    certo livello di scavatura e/o di prova è necessario spesso.


    3.2.1 Pareti refrattarie di strato di rete
    Questi prendono generalmente le loro decisioni basate sulla sorgente,
    sugli indirizzi di destinazione e sulle porte (veda l'appendice 6 per una
    discussione più dettagliata sulle porte) in diversi pacchetti del IP. Un
    router semplice è `` la parete refrattaria tradizionale di strato di rete
    del '', poiché non può da prendere specialmente le decisioni specializzate
    circa da ché pacchetto realmente sta comunicando con o da dove realmente è
    venuto. Le pareti refrattarie moderne di strato di rete sono diventato
    sempre più specializzate ed ora effettuano le informazioni interne sul
    dichiarare dei collegamenti che passano attraverso loro, sul contenuto di
    alcuno dei flussi di dati e così via. Una cosa che una distinzione
    importante circa molte pareti refrattarie di strato di rete è che dirigono
    direttamente il traffico comunque loro, in modo da ad uso uno dovete avere
    un blocchetto bene assegnato di indirizzo del IP o usare `` un blocchetto
    riservato di indirizzo del ''del Internet [5]. Le pareti refrattarie di
    strato di rete tendono ad essere molto veloci ed a tendere ad essere molto
    trasparenti agli utenti.


    Figura 1: Parete refrattaria Selezionata Ospite

    Nella figura 1, una parete refrattaria di strato di rete ha chiamato
    `` un calcolatore centrale selezionato il ''della parete refrattaria che è
    rappresentato. In una parete refrattaria selezionata ospite, l'accesso a e
    da un singolo calcolatore centrale è gestito il per mezzo di un router che
    funziona ad uno strato di rete. Il singolo calcolatore centrale è un
    calcolatore centrale del bastion; un forte-punto alto-difeso ed assicurato
    che (eventualmente) può resistere all'attacco.


    Figura 2: Parete refrattaria Selezionata Di Sottorete

    Parete refrattaria di strato di rete di esempio: Nella figura 2, una
    parete refrattaria di strato di rete ha chiamato `` un ''selezionato della
    parete refrattaria di sottorete è rappresentata. In una parete refrattaria
    selezionata di sottorete, l'accesso a e da una rete intera è gestito il per
    mezzo di un router che funziona ad uno strato di rete. È simile ad un
    calcolatore centrale selezionato, tranne che è, efficacemente, una rete dei
    calcolatori centrali selezionati.


    3.2.2 Pareti refrattarie di strato di applicazione
    Questi sono generalmente calcolatori centrali che fanno funzionare i
    server di procura, che non consentono traffico direttamente fra le reti e
    che realizzano annotare e la verifica elaborate del traffico che passa con
    loro. Poiché le applicazioni di procura sono componenti di software che
    funzionano sulla parete refrattaria, è un buon posto per fare i lotti di
    controllo di accesso ed annotare. Le pareti refrattarie di strato di
    applicazione possono essere usate come traduttori di indirizzo di rete,
    poiché il traffico va in uno `` ''laterale e verso l'esterno l'altro, dopo
    passanti con un'applicazione che maschera efficacemente l'origine del
    collegamento d'inizio. Avendo un'applicazione nel modo in alcuni casi può
    avere effetto sulle prestazioni e può rendere la parete refrattaria meno
    trasparente. Le pareti refrattarie in anticipo di strato di applicazione
    tali come quelle costruite usando il toolkit della parete refrattaria di
    TIS, non sono particolarmente trasparenti agli utenti dell'estremità e
    possono richiedere un certo addestramento. Le pareti refrattarie moderne di
    strato di applicazione sono spesso completamente trasparenti. Le pareti
    refrattarie di strato di applicazione tendono a fornire i rapporti di
    verifica più dettagliati ed a tendere a fare rispettare i modelli più
    conservatori di sicurezza che le pareti refrattarie di strato di rete.


    Figura 3: Si raddoppia Il Gateway Homed

    Parete refrattaria di strato di applicazione di esempio: Nella figura
    3, una parete refrattaria di strato di applicazione chiamata `` un ''homed
    doppio del Gateway è rappresentata. Un Gateway homed doppio è un calcolatore
    centrale altamente assicurato che fa funzionare il software di procura. Ha
    due interfacce della rete, una su ogni rete ed ostruisce tutto il traffico
    che passa con esso.

    La maggior parte delle pareti refrattarie ora si trovano in qualche
    luogo fra le pareti refrattarie di strato di rete e le pareti refrattarie di
    strato di applicazione. Come previsto, le pareti refrattarie di strato di
    rete hanno `` ''informato sempre più diventato delle informazioni che
    passano attraverso loro e le pareti refrattarie di strato di applicazione
    hanno `` ''sempre più diventato del basso livello e trasparenti. Il
    risultato finale è che ora ci sono sistemi veloci della pacchetto-selezione
    che libro macchina e dati di verifica come attraversano il sistema. Sempre
    più, le pareti refrattarie (rete e strato di applicazione) comprendono la
    crittografia così che possono proteggere il traffico che passa fra loro
    sopra il Internet. Le pareti refrattarie con la crittografia faccia a faccia
    possono essere usate dalle organizzazioni con i punti multipli della
    connettività del Internet per usare il Internet come `` ''riservato della
    base senza preoccuparsi per i loro dati o parole d'accesso che sono fiutati.
    (IPSEC, descritto nella parte 2.6, sta svolgendo un ruolo sempre più
    significativo nella costruzione di tali reti riservate virtuali.)



    3.3 Che cosa sono server di procura e come funzionano?
    Un proxy server (a volte citato come un Gateway o forwarder di
    applicazione) è un'applicazione che media il traffico fra una rete protetta
    ed il Internet. Le procure sono usate spesso anziché le discipline del
    traffico router-basate, per impedire il traffico passare direttamente fra le
    reti. Molte procure contengono il supplemento che annota o contributo
    all'autenticazione dell'utente. Poiché le procure devono `` capire il ''il
    protocollo di applicazione che usando, possono anche effettuare la sicurezza
    specifica di protocollo (per esempio, una procura del ftp potrebbe essere
    configurabile consentire il ftp ricevuto ed ostruire il ftp uscente).

    I server di procura sono applicazione specifica. Per sostenere un
    nuovo protocollo via una procura, una procura deve essere sviluppata per
    esso. Un insieme popolare dei server di procura è il toolkit della parete
    refrattaria del Internet di TIS (``FWTK '') che include le procure per il
    telnet, il rlogin, il ftp, le notizie del sistema, di HTTP/Web e di
    NNTP/Usenet della finestra di X. I CALZINI è un sistema generico di procura
    che può essere compilato in un'applicazione del cliente-lato per rendergli
    il lavoro attraverso una parete refrattaria. Il relativo vantaggio è che
    esso facile usare, ma esso supporto che del doesn't l'aggiunta
    dell'autenticazione aggancia o di annotare specifico di protocollo. Per le
    più informazioni sui CALZINI, veda http://www.socks.nec.com/.



    3.4 Che cosa sono alcuni strumenti poco costosi della selezione del
    pacchetto?
    Gli strumenti di sicurezza dell'università del Texas A&M includono il
    software per i routers effettuanti della selezione. Karlbridge è un kit
    selezionante Pc-basato del router disponibile da
    ftp://ftp.net.ohio-state.edu/pub/kbridge/.

    Ci sono schermi numerosi del pacchetto del nocciolo-livello, compreso
    ipf, ipfw, ipchains, pfed ipfwadm. Tipicamente, questi sono inclusi in varie
    implementazioni libere di UNIX, tali come FreeBSD, OpenBSD, NetBSDe Linux.
    Potreste anche trovare questi strumenti disponibili nella vostra
    implementazione commerciale di UNIX.

    Se you're che vuole ottenerlo alle vostre mani un piccolo sporco,
    completamente possibile costruire una parete refrattaria sicura e
    completamente funzionale per il prezzo di hardware ed alcuno del vostro
    tempo.



    3.5 Che cosa sono alcune regole di filtrazione ragionevoli per uno
    schermo nocciolo-basato del pacchetto?
    Questo esempio è scritto specificamente per ipfwadm su Linux, ma i
    principii (e perfino gran parte della sintassi) fa domanda per altre
    interfacce del nocciolo per la selezione del pacchetto `` sui sistemi aperti
    di UNIX del ''di sorgente.

    Ci sono quattro categorie di base coperte dalle regole del ipfwadm:


    - A
    Contabilità Del Pacchetto
    - I
    Parete refrattaria dell'input
    - O
    Parete refrattaria dell'uscita
    - F
    Parete refrattaria di spedizione
    il ipfwadm egualmente ha masquerading (-M) possibilità. Per le più
    informazioni sugli interruttori e sulle opzioni, veda la pagina dell'uomo
    del ipfwadm.


    3.5.1 Implementazione
    Qui, la nostra organizzazione sta usando (RFC 1918 ) una rete
    riservata 192.168.1.0 del codice categoria C. Il nostro ISP ci ha assegnato
    gli indirizzi 201.123.102.32 per l'interfaccia esterna del nostro Gateway e
    201.123.102.33 per il nostro server esterno della posta. La politica
    organizzativa dice:


    Permetta tutti i collegamenti uscenti di TCP
    Permetta lo smtp ricevuto ed il DNS al mail server esterno
    Ostruisca tutto il altro traffico
    Il seguente blocco dei comandi può essere disposto in un archivio del
    caricamento del sistema del sistema (forse rc.local sui sistemi di UNIX).


    il ipfwadm - F - ipfwadm di f - F - p nega il
    ipfwadm - F - i m. - b - P tcp - S 0.0.0.0/0 1024:65535 -
    ipfwadm 25 - F di D 201.123.102.33 - i m. - b - P tcp - S
    0.0.0.0/0 1024:65535 - ipfwadm 53 - F di D 201.123.102.33 - i m. -
    b - UDP di P - S 0.0.0.0/0 1024:65535 - ipfwadm 53 - F di D
    201.123.102.33 - una m. - S 192.168.1.0/24 - D 0.0.0.0/0 - il W
    eth0 /sbin/route aggiunge - ospita 201.123.102.33 gw
    192.168.1.2


    3.5.2 Spiegazione
    La riga una irriga (- f) tutte le regole di spedizione(-F).
    Riga due insiemi politica di difetto (-p) negare.
    Le righe da tre a cinque sono regole immesse (-i) nel seguente
    formato:
    ipfwadm - F (di andata) - i (input) m. (masq.) - protocol)[protocol di
    b (bidirezionale ) - P ]- S (source)[subnet/mask ] [ che produce le porte ]-
    D (destination)[subnet/mask][port ]


    La riga sei collega (-a) una regola che consente tutto il IP interno
    richiama fuori a tutti gli indirizzi esterni su tutti i protocolli, tutte le
    porte.

    La riga otto aggiunge un itinerario in modo che il traffico che va a
    201.123.102.33 sia diretto verso l'indirizzo interno 192.168.1.2.


    3.6 Che cosa sono alcune regole di filtrazione ragionevoli per un
    Cisco?
    L'esempio nella figura 4 mostra una configurazione possibile per
    usando il Cisco come router di filtrazione. È un campione che mostra
    l'implementazione come di politica specifica. La vostra politica varierà
    indubbiamente.


    Figura 4: Router Di Filtrazione Del Pacchetto

    In questo esempio, un'azienda ha indirizzo di rete del codice
    categoria C 195.55.55.0. La rete dell'azienda è collegata al Internet via il
    fornitore di servizio del IP. La politica dell'azienda è di concedere ognuno
    l'accesso ai servizi del Internet, in modo da tutti i collegamenti uscenti
    sono accettati. Tutti i collegamenti ricevuti passano attraverso `` mailhost
    ''. La posta ed il DNS sono soltanto servizi ricevuti.


    3.6.1 Implementazione

    Permetta tutto il TCP-connections uscente
    Permetta lo smtp ricevuto ed il DNS a mailhost
    Permetta i collegamenti di dati ricevuti del ftp all'alta porta di TCP
    (1024)
    Provi a proteggere i servizi che vivono sugli alti numeri port
    Soltanto i pacchetti ricevuti dal Internet sono controllati dentro
    questa configurazione. Le regole sono esaminate nell'ordine e si arrestano
    quando la prima corrispondenza è trovata. Ci è un implicito nega la regola
    all'estremità di una lista di accesso che nega tutto. Questa lista di
    accesso del IP suppone che state facendo funzionare l'IOS v del Cisco. 10.3
    o successivamente.


    nessun IP sorgente-dirige! Ethernet
    dell'interfaccia 0 IP address 195.55.55.1 che nessun IP dirig-ha
    trasmesso per radio! la pubblicazione periodica 0
    dell'interfaccia nessun IP dirig-ha trasmesso per radio il
    accesso-gruppo 101 del IP dentro! la accesso-lista 101
    nega il IP 127.0.0.0 che 0.255.255.255 tutte le accesso-liste 101
    negano il IP 10.0.0.0 0.255.255.255 qualunque accesso-liste 101
    negano il IP 172.16.0.0 0.15.255.255 tutte le accesso-liste 101
    negano il IP 192.168.0.0 0.0.255.255 qualunque accesso-liste 101
    rifiutano a IP qualunque 0.0.0.255 255.255.255.0 la accesso-lista
    101 rifiuta a IP qualunque 0.0.0.0 255.255.255.0! la
    accesso-lista 101 rifiuta a IP 195.55.55.0 0.0.0.255
    accesso-liste 101 qualsiasi di tcp del permesso affatto
    stabilito! permesso tcp della accesso-lista 101 qualsiasi
    permesso tcp della accesso-lista 101 dello smtp del eq ospite
    195.55.55.10 qualsiasi UDP del permesso della accesso-lista 101 di
    dns del eq ospite 195.55.55.10 qualsiasi eq dns ospite
    192.55.55.10! la accesso-lista 101 rifiuta a tcp tutta la
    qualunque gamma 6000 6003 che la accesso-lista 101 rifiuta a tcp
    tutta la qualunque gamma 2000 2003 accesso-liste 101 negano il
    tcp tutta la qualunque accesso-lista 2049 del eq 101 rifiuti
    a UDP a tutto il qualunque eq 2049! permesso tcp della
    accesso-lista 101 qualsiasi 20 qualsiasi gt 1024! ICMP
    qualsiasi c'è ne del permesso della accesso-lista 101! riga
    0 4 accesso-codici categoria vty 2 del RO 2 della Comunità
    FOOBAR del SNMP-SERVER nel permesso 195.55.55.0 0.0.0.255 della
    accesso-lista 2


    3.6.2 Spiegazioni
    Cada tutti i pacchetti sorgente-diretti. Il percorso di sorgente può
    essere usato per l'indirizzo che spoofing.
    La goccia ha diretto le radiodiffusioni, che sono usate negli attacchi
    dello smurf.
    Se un pacchetto ricevuto sostiene provenire da una rete locale, da una
    rete di "loopback", o da una rete riservata, cadala.
    Tutti i pacchetti che fanno parte di TCP-connections già stabilito
    possono passare attraverso senza più ulteriormente controllare.
    Tutti i collegamenti ai numeri port bassi sono ostruiti tranne lo smtp
    ed il DNS.
    Ostruisca tutti i servizi che ascoltano i collegamenti di TCP sugli
    alti numeri port. X11 (porta 6000+), OpenWindows (porta 2000+) sono pochi
    candidati. Il NFS (porta 2049) li fa funzionare il UDP solitamente
    eccessivo, ma può essere fatto funzionare sopra il TCP, in modo da dovrebbe
    ostruirlo.
    I collegamenti ricevuti da porta 20 negli alti numeri port sono
    supposti per essere collegamenti di dati del ftp.
    la Accesso-lista 2 limita l'accesso al router in se (telnet & SNMP)
    Tutto il traffico del UDP è ostruito per proteggere i servizi del RPC

    3.6.3 Imperfezioni

    Non potete fare rispettare le politiche forti di accesso con le liste
    di accesso del router. Gli utenti possono installare facilmente i backdoors
    ai loro sistemi per non ottenere ad eccedenza `` ''ricevuto del telnet o ``
    regole del ''X11. Egualmente i cracker installano i backdoors del telnet sui
    sistemi in cui rodaggio.

    Potete mai essere sicuri che servizio ascoltare i collegamenti sugli
    alti numeri port. (can't siete sicuri di che servizio ascoltare i
    collegamenti sui numeri port bassi, uno, particolarmente negli ambienti
    altamente decentralizzati in cui la gente può mettere le loro proprie
    macchine sulla rete o dove possono ottenere l'accesso amministrativo alle
    loro proprie macchine.)

    Il controllo della porta di sorgente sui collegamenti di dati ricevuti
    del ftp è un metodo debole di sicurezza. Egualmente rompe l'accesso ad
    alcuni luoghi del ftp. Fa l'uso del servizio più difficile per gli utenti
    senza impedire ai tipi difettosi di esplorare i vostri sistemi.
    Uso a meno versione 9.21 del Cisco così potete filtrare i pacchetti
    ricevuti e controllare per vedere se c'è l'indirizzo che spoofing. Ancora
    migliora per usare 10.3, dove ottenete alcune caratteristiche supplementari
    (come la filtrazione sulla porta di sorgente) ed alcuni miglioramenti su
    sintassi del filtro.

    Avete ancora pochi modi rendere la vostra messa a punto più forte.
    Ostruisca tutto il TCP-connections ricevuto e dica agli utenti di usare i
    clienti passivo-Ftp. Potete anche ostruire il ICMP uscente eco-rispondete e
    messaggi destinazione-destination-unreachable per nascondere la vostra rete
    e per impedire l'uso dei dispositivi d'esplorazione della rete. L'uso di
    Cisco.com avere un archivio degli esempi per la costruzione delle pareti
    refrattarie per mezzo dei routers del Cisco, ma esso doesn't sembrerà essere
    in linea più. Ci sono alcune note sulle liste di controllo di accesso del
    Cisco, a minimi, a ftp://ftp.cisco.com/pub/mibs/app_notes/access-lists.



    3.7 Che cosa sono le risorse critiche in una parete refrattaria?
    Esso importante capire le risorse critiche della vostra architettura
    della parete refrattaria, in modo da quando fate la pianificazione di
    capienza, le ottimizzazioni di prestazioni, ecc., voi sanno esattamente che
    cosa dovete fare e molto voi deve farlo nell'ordine per ottenere il
    risultato voluto.

    Che cosa le risorse critiche della parete refrattaria sono esattamente
    tende a variare dal luogo al luogo, dipendendo dall'ordinamento di traffico
    che carica il sistema. Qualche gente pensa che il they'll possa
    automaticamente aumentare il rendimento di dati della loro parete
    refrattaria mettendo in una casella con un CPU più veloce, o un altro CPU,
    quando questo isn't necessariamente il caso. Potenzialmente, questo potrebbe
    essere un grande spreco di soldi che il doesn't fa qualche cosa risolvere il
    problema alla mano o fornire lo scalability previsto.

    Sui sistemi occupati, la memoria è estremamente importante. Avete
    avere abbastanza RAM per sostenere ogni caso di ogni programma necessario
    per assistere il carico disposto su quella macchina. Altrimenti, la
    permutazione cominci ed il rendimento si arresterà. La permutazione chiara
    non è solitamente molta di un problema, ma se lo spazio di scambio del
    sistema comincia ad ottenere occupato, quindi di esso è solitamente tempo
    per più RAM. Un sistema che pesante permutazione è spesso relativamente
    facile da spingere sopra il bordo in un attacco di smentita-de-servizio, o
    cade semplicemente dietro nell'elaborare il carico disposto su esso. Ciò è
    dove il email lungo fa ritardare l'inizio.

    Oltre il requisito del sistema della memoria, è utile capire che i
    servizi differenti usano le risorse di sistema differenti. Così la
    configurazione che avete per il vostro sistema dovrebbe essere indicativa
    del genere di carico che progettate assistere. Un isn't del processor da
    1400 megahertz che va farli molta merce se tutto il fare del you're è
    Netnews e posta e sta provando a farlo su un disco di ido con un regolatore
    di ISA.





    Tabella 1: Risorse critiche per i servizi della parete refrattaria
    Servizio Risorsa Critica
    Email Disco I/O
    Netnews Disco I/O
    Web Prestazioni Dello Zoccolo di OS Ospite
    Percorso del IP Prestazioni Dello Zoccolo di OS Ospite
    Nascondiglio Di Web Prestazioni Dello Zoccolo di OS Ospite, Disco I/O







    3.8 Che cosa è un DMZ e perchè io desidera uno?
    Back to Top
    FAQ della parete refrattaria in italiano 3
    `` il ''di DMZ è un'abbreviazione per `` la zona demilitarized ''. Nel
    contesto delle pareti refrattarie, questo si riferisce ad una parte della
    rete che fa parte nè della rete interna nè direttamente parte del Internet.
    Tipicamente, questa è la zona fra il vostro router di accesso del Internet
    ed il vostro calcolatore centrale del bastion, benchè possa essere fra tutti
    i due componenti politica-facenti rispettare della vostra architettura.

    Un DMZ può essere creato mettendo le liste di controllo di accesso sul
    vostro router di accesso. Ciò minimizza l'esposizione dei calcolatori
    centrali sulla vostra lan esterna dai servizi soltanto riconosciuti e
    gestiti concedere di quei calcolatori centrali per essere accessibile dai
    calcolatori centrali sul Internet. Molte pareti refrattarie commerciali
    fanno semplicemente una terza interfaccia fuori del calcolatore centrale del
    bastion e la identificano il DMZ, il punto è che la rete è nè `` ''nè ``
    parte esterna 'della parte interna '.

    Per l'esempio, un server di Web che funziona sul NT ha potuto essere
    vulnerabile ad un numero di attacchi di smentita-de-servizio contro tali
    servizi come il RPC, NetBIOS e SMB. Questi servizi non sono richiesti per il
    funzionamento di un server di Web, così ostruente i collegamenti di TCP alle
    porte 135, 137, 138 e 139 su quel calcolatore centrale ridurranno
    l'esposizione ad un attacco di smentita-de-servizio. Nel fatto, se ostruite
    tutto ma il traffico del HTTP a quel calcolatore centrale, un attacker avrà
    soltanto un servizio da attacare.

    Ciò illustra un principio importante: mai i attackers di offerta più
    da funzionare con assolutamente da sostenere i servizi desiderano offrire il
    pubblico.


    3.9 Come potrei aumentare la sicurezza e lo scalability del mio DMZ?
    Un metodo comune per un attacker deve rompersi in un calcolatore
    centrale che vulnerabile all'attacco ed ai rapporti di fiducia di impresa
    fra il calcolatore centrale vulnerabile e gli obiettivi più interessanti.

    Se state facendo funzionare un numero di servizi che hanno livelli
    differenti di sicurezza, potreste desiderare studiare la possibilità di
    rompere il vostro DMZ in parecchie `` zone di sicurezza '. Ciò può essere
    fatta avendo un certo numero di reti differenti all'interno del DMZ. Per
    l'esempio, il router di accesso ha potuto alimentare due Ethernets, entrambi
    protetti da ACLs e quindi nel DMZ.

    Su uno del Ethernets, potreste avere calcolatori centrali di cui lo
    scopo è assistere l'esigenza della vostra organizzazione della connettività
    del Internet. Questi probabilmente trasmetteranno la posta, le notizie ed il
    calcolatore centrale DNS. Sull'altra Ethernet potrebbero essere il vostro
    server(s) di Web ed altri calcolatori centrali che forniscono i servizi a
    favore degli utenti del Internet.

    In molte organizzazioni, i servizi per gli utenti del Internet tendono
    ad essere custoditi meno con attenzione e sono più probabili fare le cose
    insicure. (per l'esempio, nel caso di un server di Web, unauthenticated ed
    untrusted gli utenti potrebbe fare funzionare il cgi, PHP, o altri programmi
    eseguibili. Ciò potrebbe essere ragionevole per il vostro server di Web, ma
    porta con esso un determinato insieme dei rischi che devono essere gestiti.
    Per un'organizzazione è probabile questi servizi è troppo rischioso farli
    funzionare su un calcolatore centrale del bastion, in cui slitti -in su può
    provocare il guasto completo dei meccanismi di sicurezza.)

    Unendo i calcolatori centrali con i livelli simili del rischio sulle
    reti nel DMZ, potete contribuire a minimizzare l'effetto di un rodaggio al
    vostro luogo. Se qualcuno si rompe nel vostro server di Web sfruttando un
    certo insetto in vostro server di Web, il they'll non potere usarlo come
    punto di lancio per rompersi nella vostra rete riservata se i server di Web
    sono su una lan separata dai calcolatori centrali del bastion e voi don't
    hanno tutti i rapporti di fiducia fra il server di Web ed il calcolatore
    centrale del bastion.

    Ora, tenga presente che questa è Ethernet. Se qualcuno si rompe nel
    vostro web server ed il vostro bastion host è su stessa Ethernet, un
    attacker può installare una ventosa sul vostro web server e guarda il
    traffico a e da il vostro bastion host. Ciò potrebbe rivelare le cose che
    possono essere usate per rompersi nel calcolatore centrale del bastion e per
    guadagnare l'accesso alla rete interna. (Ethernet passata può ridurre la
    vostra esposizione a questo genere di problema, ma non lo eliminerà.)

    Servizi spaccanti in su non soltanto dal calcolatore centrale, ma la
    rete e limitando il livello di fiducia fra i calcolatori centrali su quelle
    reti, potete notevolmente ridurre la probabilità di un rodaggio su un
    calcolatore centrale che usando rompersi nell'altro. Dichiarato brevemente:
    rompendosi nel web server in questo caso non lo renderà affatto più facile
    rompersi nel bastion host.

    Potete anche aumentare lo scalability della vostra architettura
    disponendo i calcolatori centrali sulle reti differenti. Poco macchine ci è
    di ripartire la larghezza di banda disponibile, più larghezza di banda
    ciascuno otterrà.



    3.10 Che cosa è un singolo punto del ` di guasto 'e come io evita di
    avere uno?
    Un'architettura di cui la sicurezza munisce un meccanismo ha un
    singolo punto di guasto. Il software che fa funzionare i calcolatori
    centrali del bastion ha insetti. Le applicazioni hanno insetti. Il software
    che gestisce i routers ha insetti. Ha il significato usare tutti questi
    componenti per sviluppare una rete saldamente progettata e per usarli nei
    modi ridondanti.

    Se la vostra architettura della parete refrattaria è una sottorete
    selezionata, avete due routers di filtrazione del pacchetto e un calcolatore
    centrale del bastion. (veda la domanda 3.2 da questa sezione.) Il vostro
    router di accesso del Internet non consentirà il traffico dal Internet di
    entrare tutto il modo nella vostra rete riservata. Tuttavia, se don't fate
    rispettare che regola con qualunque altri meccanismi sul router ospite e/o
    della bobina d'arresto del bastion, solo un componente della vostra
    architettura deve venire a mancare o compromettersi nell'ordine per ottenere
    all'interno. Sull'altra mano, se avete una regola ridondante sul calcolatore
    centrale del bastion ed ancora sul router della bobina d'arresto, un
    attacker dovrà sconfiggere tre meccanismi.

    Più ulteriormente, se il calcolatore centrale del bastion o il router
    della bobina d'arresto deve invocare la relativa regola per ostruire
    l'accesso esterno alla rete interna, potreste desiderare farla fare scattare
    l'allarme di un certo ordinamento, poiché sapete che qualcuno ha ottenuto
    tramite il vostro router di accesso.



    3.11 Come posso ostruire tutto il roba difettoso?
    Per le pareti refrattarie in cui l'enfasi è su sicurezza anziché la
    connettività, dovreste studiare la possibilità di ostruire tutto per il
    difetto e soltanto specificamente di permettere che servizi avete bisogno su
    una base del contenitore-da-contenitore.

    Se ostruite tutto, a meno che un insieme specifico dei servizi, allora
    you've già reso al vostro lavoro molto più facile. Invece di avere
    preoccupare per ogni problema di sicurezza con tutto il prodotto ed il
    servizio intorno, dovete soltanto preoccuparsi per ogni problema di
    sicurezza con un insieme specifico dei servizi e dei prodotti.

    Prima della rotazione su un servizio, dovreste considerare una coppia
    delle domande:


    È il protocollo per questo prodotto un protocollo ben noto e
    pubblicato?
    È il servizio di applicazione questo protocollo disponibile per
    controllo pubblico della relativa implementazione?
    Quanto il pozzo conosciuto è il servizio ed il prodotto?
    Come permettendo questo servizio cambia l'architettura della parete
    refrattaria? Un attacker vedrà diversamente le cose? Potrebbe essere
    sfruttata per ottenere alla mia rete interna, o per cambiare le cose sui
    calcolatori centrali nel mio DMZ?
    Quando tenendo conto di suddette domande, tenga quanto segue presente:


    `` la sicurezza attraverso il ''di obscurity è sicurezza affatto. I
    protocolli non pubblicati sono stati esaminati dai tipi difettosi e sono
    stati sconfitti.
    Malgrado che cosa i rappresentanti di vendita dicono, non ogni
    protocollo o servizio è progettato con sicurezza in mente. Infatti, il
    numero che è è molto poco.
    Anche nei casi in cui la sicurezza è una considerazione, non tutte le
    organizzazioni hanno personale competente di sicurezza. Fra coloro che non,
    non tutti sono disposti ad introdurre un consulente competente nel progetto.
    Il risultato finale è quello altrimenti-competente, sviluppatori
    bene-progettati può progettare i sistemi insicuri.
    Di meno un fornitore è disposto a dirvi che a questo proposito come il
    loro sistema realmente funziona, più probabile è che i problemi altra o (di
    sicurezza) esiste. Soltanto i fornitori con qualcosa nascondersi hanno un
    motivo nascondere i loro disegni ed implementazioni [2].


    3.12 Come posso limitare l'accesso di Web in modo da gli utenti non
    possono osservare i luoghi indipendenti per lavorare?
    Alcuni anni fa, qualcuno ha ottenuto l'idea che è una buona idea
    ostruire `` i luoghi difettosi di Web del '', cioè, quelli che contengono il
    materiale quel l'azienda osservano `` inadeguato ''. L'idea sta aumentando
    di popolarità, ma ci sono parecchie cose da considerare quando pensa ad
    effettuare tali comandi nella vostra parete refrattaria.


    Non è possibile praticamente ostruire tutto che un datore di lavoro
    ritenga `` inadeguato ''. Il Internet è pieno di ogni ordinamento di
    materiale. Ostruire una sorgente riorienterà soltanto il traffico ad
    un'altra sorgente di tale materiale, o induca qualcuno a calcolare un modo
    intorno al blocco.
    La maggior parte delle organizzazioni non hanno uno standard per
    giudicare la convenienza di materiale che i loro impiegati portano per
    funzionare, per esempio, i libri e gli scomparti. Controllate tutto
    briefcase per `` ''materiale inadeguato ogni giorno? Se non, quindi perchè
    controllereste ogni pacchetto per `` materiale inadeguato ''? Tutte le
    decisioni seguendo quelle righe in una tal organizzazione saranno
    arbitrarie. Tentando di intraprendere azione disciplinare contro un
    impiegato in cui l'unico standard è tipico isn't arbitrario saggio, per i
    motivi bene oltre la portata di questo documento.
    I prodotti che realizzano luogo-ostruire, commerciali ed al contrario,
    sono in genere facili da aggirare. Hostnames può essere riscritto come
    indirizzi del IP. Gli indirizzi del IP possono essere scritti come valore
    32-bit di numero intero, o come quattro numeri interi 8-bit (la forma più
    comune). Altre possibilità esistono, anche. I collegamenti possono essere
    proxied. I Web pagi possono essere prelevati via il email. Non potete
    ostruirli tutti. Lo sforzo che spendere provare ad effettuare e gestire tali
    comandi quasi certamente lontano eccederà tutto il livello di controllo di
    danni che state sperando di avere.
    Il regola-de-pollice da ricordarsi di qui è che non potete risolvere i
    problemi sociali con tecnologia. Se ci è un problema con qualcuno che va ``
    ad un luogo inadeguato di Web del '', quello è perché qualcuno altrimenti lo
    ha visto ed è stato offenduto da che cosa ha visto, o perché rendimento di
    quella persona è sotto le aspettative. In il uno o il altro caso, quelli
    sono argomenti per l'ufficio del personale, non l'amministratore della
    parete refrattaria.



    4 Vari Attacchi


    4.1 Che cosa è traffico diretto sorgente e perchè è esso una minaccia?
    Normalmente, l'itinerario che un pacchetto prende dalla relativa
    sorgente alla relativa destinazione è determinato dai routers fra la
    sorgente e la destinazione. Il pacchetto in se dice soltanto dove desidera
    andare (l'indirizzo di destinazione) e niente circa come pensa ottenere là.

    Ci è un modo facoltativo per il trasmettitore di un pacchetto (la
    sorgente) includere le informazioni nel pacchetto che dice all'itinerario
    ch'il pacchetto dovrebbe prendere per ottenere alla relativa destinazione;
    così `` il percorso nome di sorgente ''. Per una parete refrattaria, il
    percorso di sorgente è considerevole, poiché un attacker può generare il
    traffico che sostiene provenire ''della parte interna dal sistema `` la
    parete refrattaria. In generale, tale itinerario del wouldn't di traffico
    alla parete refrattaria correttamente, ma con l'opzione di percorso di
    sorgente, tutti i routers fra la macchina del attacker e l'obiettivo
    restituirà il traffico lungo il percorso d'inversione dell'itinerario di
    sorgente. Effettuare un tal attacco è abbastanza facile; così i costruttori
    della parete refrattaria non dovrebbero scontarli come improbabile accadere.

    Nella pratica, il percorso di sorgente pochissimo è usato. Nel fatto,
    l'uso legittimo principale è generalmente dirigere o nei problemi della rete
    mettere a punto i collegamenti specifici dell'eccedenza di traffico per
    controllo di congestione per le situazioni specializzate. Nel costruire una
    parete refrattaria, il percorso di sorgente dovrebbe essere ostruito ad un
    certo punto. La maggior parte dei routers commerciali comprendono la
    capacità di ostruire il percorso di sorgente specificamente e molte versioni
    di UNIX che potrebbero essere usate per sviluppare i calcolatori centrali
    del bastion della parete refrattaria hanno la capacità di inabilitare o
    ignorare il traffico diretto sorgente.



    4.2 Che cosa sono ICMP riorientano e riorientano le bombe?
    Un ICMP riorienta dice al sistema recettivo di escludere qualcosa in
    relativa tabella di percorso. È usato legittimamente dai routers per dire a
    calcolatori centrali a che il calcolatore centrale stia usando un
    non-ottimale o l'itinerario defunct ad una destinazione particolare, cioè,
    il calcolatore centrale sta trasmettendola al router errato. Il router
    errato trasmette la parte posteriore che ospite un ICMP riorienta il
    pacchetto che dice al calcolatore centrale a che cosa l'itinerario corretto
    dovrebbe essere. Se potete forgiare il ICMP riorienti i pacchetti e se il
    vostro calcolatore centrale dell'obiettivo presta loro l'attenzione, potete
    alterare le tabelle di percorso sul calcolatore centrale e possibilmente
    subvert la sicurezza del calcolatore centrale inducendo traffico a fluire
    via un percorso che il didn't del gestore di rete intende. Il ICMP riorienta
    anche può essere impiegato per la smentita degli attacchi di servizio, dove
    un calcolatore centrale è trasmesso ad un itinerario che lo perde la
    connettività, o lo è trasmesso ad un pacchetto unreachable della rete del
    ICMP che dice a che possa nessun accesso più lungo una rete particolare.

    Molti costruttori della parete refrattaria selezionano il traffico del
    ICMP dalla loro rete, da esso limita la capacità degli stranieri di fare un
    rumore metallico calcolatori centrali, o modificano le loro tabelle di
    percorso.

    Prima che decidiate ostruire tutti i pacchetti del ICMP, dovreste
    essere informati di come il protocollo di TCP `` ''di scoperta del MTU del
    percorso, accertarsi che voi la connettività della rottura del don't ad
    altri luoghi. Se can't lo ostruite sicuro dappertutto, potete studiare la
    possibilità di permettere i tipi selezionati di ICMP ai dispositivi
    dirigenti selezionati. Se blocchetto del don't esso, voi a minimi vi
    accertate che il vostro don't ospiti e dei routers risponda ai pacchetti di
    rumore metallico di radiodiffusione.



    4.3 Che cosa circa la smentita di servizio?
    La smentita di servizio è quando qualcuno decide rendere la vostra
    rete o parete refrattaria inutile interrompendola, arrestandola, inceppando
    esso, o il flooding esso. Il problema con la smentita di servizio del
    Internet è che è impossible evitare. Il motivo ha fare con la natura
    distribuita della rete: ogni vertice di rete è collegato via altre reti che
    alla girata collegano ad altre reti, ecc. Un amministratore della parete
    refrattaria o un ISP ha soltanto controllo di un poco degli elementi locali
    all'interno dell'estensione. Un attacker può interrompere sempre ''verso
    l'alto del collegamento `` da dove la vittima lo gestisce. In altre parole,
    se qualcuno desiderasse prendere una rete fuori dell'aria, potrebbe farlo o
    prendendo la rete fuori dell'aria, o prendendo alle reti collega fuori
    dell'aria, infinitum dell'annuncio. Ci sono molti, molti, modi che qualcuno
    può negare il servizio, variante dal complesso alla animale-forza
    insignificante. Se state considerando usando il Internet per un servizio che
    è assolutamente tempo o missione critica, dovreste considerare la vostra
    posizione di ripiego nell'evento che la rete è giù o danneggiato.

    Il servizio di eco del UDP di TCP/IP's è abusato banalmente per
    convincere due server per sommergere un segmento della rete dai pacchetti di
    eco. Dovreste studiare la possibilità di commentare verso l'esterno le
    entrate inutilizzate in /etc/inetd.conf dei calcolatori centrali di UNIX,
    aggiungendo no ip small-servers ai routers del Cisco, o l'equivalente per i
    vostri componenti.



    4.4 Che cosa sono alcuni attacchi comuni e come possono io proteggere
    il mio sistema contro di loro?
    Ogni luogo è poco un differente da ogni altro in termini di che
    attacchi sono probabili essere usati contro di esso. Alcuni temi di ricorso
    presentano, comunque.


    4.4.1 Server dello Smtp Che Dirotta (Trasmissione Non autorizzata)
    Ciò è dove uno spammer prenderà molte migliaia delle copie di un
    messaggio e le trasmetterà ad una lista enorme degli indirizzi del email.
    Poiché queste liste sono spesso così difettose e nell'ordine aumentare la
    velocità del funzionamento per lo spammer, molte hanno ricorso semplicemente
    a trasmettere tutta la loro posta ad un server dello smtp che prenderà la
    cura realmente di trasporto della posta.

    Del corso, tutti i rimbalzi, i reclami dello Spam, la posta di
    avversione ed il fotoricettore difettoso vengono per il luogo che è stato
    usato come relè. Ci è un costo molto reale connesso con questo,
    principalmente nel pagamento della gente per pulire in seguito il mess.

    L'iniziativa 2 di sicurezza di trasportodel sistema1 di prevenzione di
    abusodella postaeffettua una descrizione completa del problema e come
    configurare circa ogni bollettino sul pianeta per proteggere da questo
    attacco.


    4.4.2 Sfruttamento degli insetti nelle applicazioni
    Le varie versioni dei server di Web, dei server della posta e
    dell'altro software di servizio del Internet contengono gli insetti che
    permettono che gli utenti a distanza (del Internet) facciano le cose che
    variano dal controllo di guadagno della macchina a fare quell'arresto di
    applicazione ed appena circa tutto dentro in mezzo.

    L'esposizione a questo rischio può essere ridotta il funzionamento
    soltanto dei servizi necessari, sostenendo datare sulle zone ed usando i
    prodotti che hanno avuti luogo intorno ad un istante.


    4.4.3 Insetti nei sistemi operativi
    Di nuovo, questi sono iniziati tipicamente a distanza dagli utenti. I
    sistemi operativi che sono relativamente nuovi alla rete del IP tendono ad
    essere più problematici, come sistemi operativi più maturi hanno avuti tempo
    di trovare ed eliminare i loro insetti. Un attacker può fare spesso
    continuamente il reboot dell'apparecchiatura dell'obiettivo, arrestare,
    perdere la capacità di comunicare con rete, o di sostituire gli archivi
    sulla macchina.

    Qui, funzionando come pochi servizi del sistema operativo come aiuto
    possibile della latta. Inoltre, avere un filtro del pacchetto nella parte
    anteriore del sistema operativo può ridurre l'esposizione ad un grande
    numero di questi tipi di attacchi.

    E, del corso, chosing un sistema operativo stabile aiuterà qui anche.
    Nel selezionare un OS, il don't è imbrogliato nel credere quello `` il più
    pricier, il migliore ''. I sistemi operativi liberi sono spesso molto più
    robusti delle loro controparti commerciali



    5 Come La I...


    5.1 Realmente desidero concedere tutto che i miei utenti chiedano?
    È interamente possibile che la risposta è `` nessuna ''. Ogni luogo ha
    relative proprie politiche circa che cosa è e non è necessario, ma è
    importante ricordarsi di che una grande parte del lavoro di essere portiere
    dell'organizzazione è formazione. Gli utenti desiderano il video effluente,
    chiacchierata in tempo reale e potere offrire i servizi ai clienti esterni
    che richiedono l'interazione con le basi di dati in tensione sulla rete
    interna.

    Quella media del doesn't che c'è ne di queste cose possono essere
    fatte senza presentare più rischio all'organizzazione che `` il ''presunto
    di valore di parte anteriore giù quella strada è valore. La maggior parte
    del don't degli utenti desidera mettere la loro organizzazione al rischio.
    Leggono appena i panni commerciali, vedono le pubblicità e desiderano fare
    quelle cose, anche. È importante da esaminare che cosa è che realmente
    desiderano fare ed aiutarle a capire come potrebbero potere compire il loro
    obiettivo reale in un modo più sicuro.

    Won't siete sempre popolari e potreste persino trovarsi che siete dati
    il senso per fare qualcosa incredibilmente stupido, come `` appena vi aprite
    sul foo delle porte attraverso la barra ''. Se quello accade, preoccupazione
    del don't a questo proposito. Sarebbe saggio mantenere tutti i vostri scambi
    su un tal evento così che quando un kiddie dello scritto 12-year-old
    rodaggio, il you'll a minimi può separarsi dal mess di tutto.



    5.2 _ come io fa Web/HTTP lavoro attraverso mio parete?
    Ci sono tre modi farlo.


    Permetta `` i collegamenti stabiliti del ''fuori via un router, se
    state utilizzando i routers della selezione.
    Usi un cliente di Web che sostiene i CALZINI e faccia funzionare i
    CALZINI sul vostro calcolatore centrale del bastion.
    Faccia funzionare un certo genere di server procura-capace di Web sul
    calcolatore centrale del bastion. Alcune opzioni includono il calamaro3,
    Apache4, la procura 5del Netscapeed il HTTP-HTTP-GW dal toolkit della parete
    refrattaria di TIS. La maggior parte di questi della latta procura anche
    altri protocolli (tali come il Gopher e ftp) e possono nascondere gli
    oggetti prelevati, che egualmente provocheranno tipicamente una spinta di
    prestazioni per gli utenti e l'uso più efficiente del vostro collegamento al
    Internet. Essenzialmente tutti i clienti di Web (Mozilla, Internet Explorer,
    lynx, ecc.) sviluppi il supporto di proxy server direttamente in loro.


    5.3 Come faccio funzionare lo SSL attraverso la parete refrattaria?
    Lo SSL è un protocollo che permette i collegamenti sicuri attraverso
    il Internet. Tipicamente, lo SSL è usato per proteggere il traffico del
    HTTP. Tuttavia, altri protocolli (tali come telnet) possono funzionare in
    cima allo SSL.

    Permettere lo SSL attraverso la vostra parete refrattaria può essere
    fatto lo stesso modo che permettereste il traffico del HTTP, se esso HTTP
    che you're usando SSL per fissare, che è solitamente allineare. L'unica
    differenza è quella preferibilmente di usando qualcosa che trasmetta
    semplicemente il HTTP, bisogno del you'll qualcosa che possa scavare una
    galleria lo SSL. Ciò è una caratteristica presente sulla maggior parte dei
    nascondigli dell'oggetto di Web.

    Potete scoprire più circa lo SSL da Netscape6.



    5.4 Come faccio il lavoro di DNS con una parete refrattaria?
    Alcune organizzazioni desiderano nascondere i nomi di DNS dalla parte
    esterna. Don't di molti esperti pensa che che nasconde il DNS i nomi sia
    utile, ma se la politica di site/corporate affida i nomi in mandato
    nascondentesi di settore, questo è un metodo che è conosciuto per
    funzionare. Un altro motivo che potete dovere per nascondere i nomi di
    settore è se avete uno schema di richiamo non standard sulla vostra rete
    interna. In quel caso, non avete scelta ma nascondere quegli indirizzi. Non
    si imbrogli nel pensare quello se i vostri nomi di DNS sono nascosti che
    ritarderà un attacker giù molto se si rompono nella vostra parete
    refrattaria. Le informazioni su che cosa sono sulla vostra rete sono
    spigolate troppo facilmente dallo strato in se della rete. Se desiderate una
    dimostrazione interessante di questo, fa un rumore metallico l'indirizzo di
    radiodiffusione di sottorete sulla vostra lan ed allora fa `` un arp - ''del
    ` a. Noti egualmente quello nomi nascondentesi nel doesn't di DNS richiamano
    il problema ''di fuoriuscita di nomi ospite `` fuori nelle intestazioni
    della posta, negli articoli di notizie, ecc.

    Questo metodo è uno di molti ed è utile per le organizzazioni che
    desiderano nascondere i loro nomi ospite dal Internet. Il successo di questo
    metodo si trova sul fatto che i clienti di DNS su un don't della macchina
    hanno comunicare con server di DNS su quella stessa macchina. In altre
    parole, appena perché là un server di DNS su una macchina, là niente male
    con (e ci sono spesso vantaggi) il nuovo orientamento dell'attività del
    cliente di DNS di quella macchina ad un server di DNS su un'altra macchina.

    In primo luogo, installate un server di DNS sul calcolatore centrale
    del bastion che il mondo esterno può comunicare con. Installate questo
    server così che sostiene essere autorevole per i vostri settori. Infatti,
    tutto questo server sa è che cosa desiderate il mondo esterno conoscere; i
    nomi e gli indirizzi dei vostri Gateway, i vostri record del MX del
    metacarattere, e così via. Ciò è `` il server pubblico del ''.

    Allora, avete installato un server di DNS su una macchina interna.
    Questo server egualmente sostiene essere autorevole per i vostri settori;
    diverso del server pubblico, questo sta dicendo alla verità. Ciò è il vostro
    `` nameserver normale del '', in cui mettete tutto il vostro `` roba normale
    di DNS del ''. Egualmente avete installato questo server per spedire le
    domande che esso risoluzione del can't al server pubblico (che usando una
    riga `` dei forwarders 'in /etc/named.boot su una macchina di UNIX, per
    l'esempio).

    Per concludere, avete installato tutti i vostri clienti di DNS (
    l'archivio di /etc/resolv.conf su una casella di UNIX, per il caso),
    compreso quei sulla macchina con il server pubblico, per utilizzare il
    server interno. Ciò è il tasto.

    Un cliente interno che chiede notizie su un calcolatore centrale
    interno chiede il server interno ed ottiene una risposta; un cliente interno
    che chiede notizie su un calcolatore centrale esterno chiede il server
    interno, che chiede il server pubblico, che chiede il Internet e la risposta
    si trasmette indietro. Un cliente sul server pubblico lavora appena lo
    stesso modo. Un cliente esterno, tuttavia, chiedente notizie su un
    calcolatore centrale interno ottiene indietro `` la risposta limitata del
    ''dal server pubblico.

    Questo metodo suppone che là una parete refrattaria di filtrazione del
    pacchetto fra questi due server che li permetteranno di comunicare il DNS
    con ogni altro, ma limita al contrario il DNS fra altri calcolatori
    centrali.

    Un altro trucco che utile in questo schema è impiegare i record dello
    stampante del metacarattere nei vostri settori di IN-ADDR.ARPA. Questi
    causano una consultazione di richiam-$$$-NOME per c'è ne dei vostri
    calcolatori centrali non pubblici a ritorno qualcosa come `` il ''di
    unknown.YOUR.DOMAIN piuttosto che un errore. Ciò soddisfa i luoghi anonimi
    del ftp come ftp.uu.net che insistono su avere un nome per le macchine
    comunicano con. Ciò può venire a mancare quando comunica con luoghi che
    fanno un cross-check di DNS in cui il nome ospite è abbinato contro il
    relativi indirizzo e versa vice.



    5.5 Come faccio funzionare il ftp attraverso la mia parete
    refrattaria?
    Generalmente, fare funzionare il ftp attraverso la parete refrattaria
    è fatto usando un proxy server quale il ftp-ftp-gw del toolkit della parete
    refrattaria o consentendo i collegamenti ricevuti alla rete ad una gamma
    port limitata ed al contrario limitando i collegamenti ricevuti usando
    qualcosa come `` le regole stabilite della selezione del ''. Il cliente del
    ftp allora è modificato per legare la porta di dati ad una porta all'interno
    di quella gamma. Ciò richiede potere modificare l'applicazione del cliente
    del ftp sui calcolatori centrali interni.

    In alcuni casi, se i trasferimenti dal sistema centrale verso i
    satelliti del ftp sono tutti desiderate sostenere, potreste desiderare
    studiare la possibilità di dichiarare il ftp `` un ''guasto di protocollo e
    lasciandoli gli utenti trasferiscono gli archivi dal sistema centrale verso
    i satelliti via il Web preferibilmente. L'interfaccia di utente certamente è
    più piacevole ed ottiene intorno al problema ugly della porta di chiamata
    ripetuta. Se scegliete il metodo di Ftp-via-Web, i vostri utenti non
    potranno agli archivi del ftp fuori, che, dipendendo da che cosa state
    provando a compire, possono essere un problema.

    Un metodo differente deve usare opzione del ''di PASV del ftp `` per
    indicare che il server a distanza del ftp dovrebbe permettere al cliente di
    iniziare i collegamenti. Il metodo di PASV suppone che il server del ftp sui
    supporti del sistema a distanza che funzionamento. (Veda `` Il
    ''Parete-Amichevole del Ftp [1].)

    Altri luoghi preferiscono sviluppare le versioni del cliente del
    programma del ftp che sono collegate contro una libreria dei CALZINI.



    5.6 Come faccio funzionare il telnet attraverso la mia parete
    refrattaria?
    Il telnet è sostenuto generalmente usando una procura di applicazione
    quale il tn-tn-gw del toolkit della parete refrattaria, o semplicemente
    configurando un router per consentire i collegamenti uscenti usando qualcosa
    come `` le regole stabilite della selezione del ''. Le procure di
    applicazione hanno potuto essere nella forma di una procura autonoma che
    funziona sul calcolatore centrale del bastion, o nella forma di un server
    dei CALZINI e di un cliente modificato.



    5.7 Come faccio funzionare la barretta ed il WHOIS attraverso la mia
    parete refrattaria?
    Molti admins della parete refrattaria consentono i collegamenti alla
    porta della barretta soltanto dalle macchine di fiducia, cui può pubblicare
    le richieste della barretta sotto forma di: barretta
    in@firewall. Questo metodo funziona soltanto con la versione
    standard di UNIX della barretta. L'accesso gestente ai servizi ed a
    limitarli alle macchine specifiche è gestito usando i tcp_wrappers o il
    netacl dal toolkit della parete refrattaria. Questo metodo non lavorerà a
    tutti i sistemi, poiché alcuni server della barretta non consentono la
    diteggiatura del user@host@host.

    Molte richieste inbound della barretta del blocchetto dei luoghi per
    una varietà di motivi, primo essere oltre gli insetti di sicurezza nel
    server della barretta (la vite senza fine del Internet di Morris ha reso
    questi insetti famosi) ed il rischio di informazioni riservate o sensibili
    che sono rivelate nelle informazioni della barretta dell'utente. In
    generale, tuttavia, se i vostri utenti accustomed a mettere le informazioni
    riservate o sensibili nei loro archivi del plan, avete un problema più serio
    di sicurezza che appena una parete refrattaria può risolvere.



    5.8 Come faccio il Gopher, archie ed altri servizi funzionano
    attraverso la mia parete refrattaria?
    La maggior parte degli amministratori della parete refrattaria sceglie
    sostenere il Gopher ed il archie con le procure di Web, anziché
    direttamente. Procure tali come le domande del convertito gopher/gopher+ di
    HTTP-HTTP-GW del toolkit della parete refrattaria nel HTML e nel versa vice.
    Per il sostegno il archie e delle altre domande, molti luoghi contano
    Web-$$$-ARCHIE sui server Internet-basati, tale come ArchiePlex. La tendenza
    del Web fare tutto sull'assomigli del Internet ad un servizio di Web è sia
    un blessing che un curse.

    Ci sono molti nuovi servizi che potano costantemente in su. Sono
    spesso misdesigned o non sono progettati con sicurezza in mente ed i loro
    progettisti cheerfully vi diranno se desiderate usarli che voi il bisogno
    lasciasse la porta xxx tramite il vostro router. Purtroppo, non tutto può
    fare quello ed in modo da un certo numero di nuovi giocattoli interessanti
    sono difficili da usare per la gente dietro le pareti refrattarie. Le cose
    gradiscono RealAudio, che richiedono l'accesso diretto del UDP, sono
    specialmente esempi egregious. La cosa da tenere a mente se vi trovate stato
    minacciato da uno di questi problemi è di scoprire tanto come potete circa i
    rischi di sicurezza che il servizio può presentare, prima che lo permettiate
    appena attraverso. È abbastanza possibile il servizio non ha implicazioni di
    sicurezza. È ugualmente possibile che ha fori che non scoperti potreste
    condurre un camion attraverso.



    5.9 Che cosa sono le edizioni circa X11 attraverso una parete
    refrattaria?
    Il sistema di X Windows è un sistema molto utile, ma purtroppo ha
    alcuni difetti di sicurezza importanti. Sistemi a distanza che possono
    guadagnare o accesso dello spoof alla visualizzazione di X11 della stazione
    di lavoro può controllare le battiture in che un utente entra, copie di
    trasferimento dal sistema centrale verso i satelliti del contenuto delle
    loro finestre, ecc.

    Mentre i tentativi sono stati fatti di sormontarli (biscotto `` magico
    'per esempio, del MIT ') è ancora interamente troppo facile affinchè un
    attacker interferisca con la visualizzazione di X11 dell'utente. La maggior
    parte delle pareti refrattarie ostruiscono tutto il traffico X11. Alcuni
    consentono il traffico X11 con le procure di applicazione quale la procura
    della DEC CRL X11 (ftp crl.dec.com). Il toolkit della parete refrattaria
    include una procura per X11, chiamata x-x-gw, che un utente può invocare via
    la procura del telnet, per creare un server virtuale X11 sulla parete
    refrattaria. Quando le richieste sono fatte per un collegamento X11 sul
    server virtuale X11, l'utente è presentato con pop-up chiedere loro se è
    GIUSTO da permettere il collegamento. Mentre questo è poco un unaesthetic,
    esso interamente nel mantenere con il resto di X11.



    5.10 Come faccio funzionare RealAudio attraverso la mia parete
    refrattaria?
    RealNetworks effettua alcune informazione su come ottenere RealAudio
    che funziona attraverso la vostra parete refrattaria7. Sarebbe
    sconsigliabile fare tutti i cambiamenti alla vostra parete refrattaria senza
    capire che cosa i cambiamenti faranno, esattamente e conoscendo che rischi i
    nuovi cambiamenti porteranno con loro.

    Back to Top
    FAQ della parete refrattaria in italiano 4
    5.11 Come faccio il mio atto di web server come un a fine frontale per
    una base di dati che vive sulla mia rete riservata?
    Il modo migliore fare questo deve permettere la connettività molto
    limitata fra il vostro server di Web ed il vostro server della base di dati
    via un protocollo specifico che sostiene soltanto il livello del you're di
    funzionalità che va usare. Permettendo SQL grezzo, o qualche cosa altrimenti
    dove le estrazioni su ordinazione potrebbero essere effettuate generalmente
    da un isn't del attacker una buona idea.

    Supponga che un attacker sta andando potere rompersi nel vostro server
    di Web e faccia le domande nello stesso modo che la latta del server di Web.
    È ci un meccanismo per l'estrazione delle informazioni sensibili che il
    bisogno del doesn't del server di Web, come le informazioni della carta di
    credito? Può un attacker pubblicare uno SQL prescelto ed estrarre la vostra
    intera base di dati riservata?

    `` le applicazioni del ''di E-commercio, come tutto altrimenti, sono
    progettate il più bene con sicurezza in mente dalla terra in su, anziché
    avere ''aggiunto di sicurezza `` dopo. Riveda criticamente la vostra
    architettura, dalla prospettiva di un attacker. Supponga che il attacker
    conosce tutto circa la vostra architettura. Ora chiedasi che necessità di
    essere fatto per rubare i vostri dati, per fare i cambiamenti non
    autorizzati, o per fare niente altro che non desideriate fatto. Potreste
    trovare che potete aumentare significativamente la sicurezza senza
    funzionalità di diminuzione prendendo alcun le decisioni di implementazione
    e di disegno.

    Alcune idee affinchè come maneggino questo:


    Estragga i dati che avete bisogno di dalla base di dati in maniera
    regolare in modo da non state facendo le domande contro la base di dati
    completa, completa con le informazioni che i attackers troveranno
    interessare.
    Notevolmente limiti e verifichi che cosa ammettete fra il server di
    Web e la base di dati.


    5.12 Ma la mia base di dati ha un web server integrato e desidero
    usare quello. Non posso giusto colpire un foro nella parete refrattaria e
    scavare una galleria quella porta?
    Se la vostra politica della parete refrattaria del luogo è
    sufficientemente lassismo che you're che vuole gestire il rischio che
    qualcuno sfrutterà una vulnerabilità in vostro server di Web che provocherà
    parziale o completa l'esposizione della vostra base di dati, allora là isn't
    molto vi che impedisce di fare questo.

    Tuttavia, in molte organizzazioni, la gente che è responsabile della
    legatura dell'estremità anteriore di Web alla base di dati indietro si
    conclude semplicemente non ha l'autorità per prendere quella responsabilità.
    Più ulteriormente, se le informazioni nella base di dati sono circa la
    gente, potreste trovarsi colpevole di rompere un numero di leggi se voi
    precauzioni ragionevoli prese haven't per impedire il sistema essere
    abusato.

    In generale, questo isn't una buona idea. Veda la domanda 5.11 per
    alcune idee su altri modi compire questo obiettivo.



    5.13 Come Faccio funzionare il IP Il Multicast Con La Mia Parete
    refrattaria?
    Il multicast del IP è mezzi di ottenere il traffico del IP da un
    calcolatore centrale ad un insieme dei calcolatori centrali senza usando la
    radiodiffusione; quello è, invece di ogni calcolatore centrale che convince
    il traffico, solo quelli che lo desiderano lo otterranno, senza ciascuno che
    ha per effettuare un collegamento separato al server. Il unicast del IP è
    dove i colloqui un ospite ad un altro, multicast sono dove i colloqui un
    ospite ad un insieme dei calcolatori centrali e della radiodiffusione sono
    dove i colloqui un ospite a tutti i calcolatori centrali.

    Il Internet pubblico ha una base del multicast (``MBone '') dove gli
    utenti possono agganciarsi nello scambio di traffico del multicast. Gli usi
    comuni per il MBONE sono flussi delle riunioni dello IETF e simile tale
    interazione. Ottenere la sua propria rete ha collegato al MBONE richiederà
    che il traffico verso l'alto del multicast dell'itinerario del fornitore a e
    dalla vostra rete. Ulteriormente, la vostra rete interna avrà sostenere il
    percorso del multicast.

    Il ruolo della parete refrattaria nel percorso del multicast, è
    concettualmente differente dal relativo ruolo nell'altro percorso di
    traffico. Quello è, una politica che identifica che i gruppi del multicast
    sono ed il aren't permesso deve essere definito ed allora un sistema di
    permettere quel traffico che si concilia alla politica deve essere
    inventato. Particolare grande su quanto esattamente fare questo è oltre la
    portata di questo documento. Fortunatamente, il RFC 2588 [4] discute più
    dettagliatamente l'oggetto. A meno che il vostro prodotto della parete
    refrattaria sostenga alcuni mezzi di spedizione selettiva del multicast o
    avete la capacità di metterla in lei, potreste trovare il traffico del
    multicast di spedizione in un modo costante con la vostra politica di
    sicurezza per essere un'emicrania più grande che è valore.



    6 porte del UDP e di TCP
    da Mikael Olsson
    Questa appendice comincerà ad un livello ragionevolmente `` di base
    del '', in modo da anche se i primi punti sembrano childishly manifesti a
    voi, potreste tranquillo imparare qualcosa dal salto avanti a qualcosa più
    successivamente nel testo.



    6.1 Che cosa è una porta?
    `` un ''port è `` ''virtuale della scanalatura nella vostra pila del
    UDP e di TCP che è usata per tracciare un collegamento fra due calcolatori
    centrali ed anche fra lo strato di TCP/UDP e le applicazioni reali che
    funzionano sui calcolatori centrali.

    Sono numerati 0-65535, con la gamma 0-1023 che è contrassegnato come
    `` il ''riservato o `` privlileged il ''ed il resto (1024-65535) come `` ''o
    `` unprivileged dinamico ''.

    Ci sono basicamente due usi per le porte:


    `` ''ascoltante su una porta.
    Ciò è usata dalle applicazioni del server che aspettano gli utenti per
    collegare, ottenere ad un certo `` ''conosciuto buono di servizio, per il
    HTTP di caso (porta di TCP 80), telnet (porta 23), DNS di TCP (porta 53 di
    TCP a volte e del UDP).
    Apertura `` della porta dinamica del ''.
    Entrambi i lati di una necessità del collegamento di TCP di essere
    identificato dagli indirizzi del IP e dai numeri port. Quindi, quando
    desiderate `` colleghi il ''ad un processo del server, la vostra estremità
    della scanalatura di comunicazioni egualmente ha bisogno `` di una porta ''.
    Ciò è fatta la scelta della porta superiore a 1024 sulla vostra macchina che
    non è attualmente nell'uso da un'altra scanalatura di comunicazioni ed
    usando come `` il ''del trasmettitore nel nuovo collegamento.
    Le porte dinamiche possono anche essere usate il più considerevolmente
    come `` porte ascoltanti in alcune applicazioni, ftp del ''.

    Le porte nella gamma 0-1023 sono quasi sempre porte del server. Le
    porte nella gamma 1024-65535 sono solitamente porte dinamiche (cioè, aperto
    dinamicamente quando collegate ad una porta del server). Tuttavia, qualsiasi
    porta può essere usata come porta del server e qualsiasi porta può essere
    usata come `` porta uscente del ''.

    Così, sommarla in su, qui che cosa accade in un collegamento di base:

    Ad un certo punto a tempo, un'applicazione del server sul calcolatore
    centrale 1.2.3.4 decide `` ascolta ''a porta 80 (HTTP) i nuovi collegamenti.
    (5.6.7.8) desiderate surf a 1.2.3.4, a porta 80 ed al vostro browser
    pubblicate una chiamata di collegamento ad esso.
    La chiamata di collegamento, rendentesi conto che doesn't tuttavia ha
    numero port locale, va cercare per uno. Il numero port locale è necessario
    da quando le risposte ritornano un certo tempo in avvenire, la vostra pila
    di TCP/IP dovrà sapere a che applicazione per passare la risposta. Fa questo
    ricordandosi del che applicazione usa che numero port locale. (questo
    grossolanamente è facilitato, nessun fiamme dai programmatori, prego.)
    La vostra pila di TCP trova una porta dinamica inutilizzata,
    solitamente in qualche luogo superiore a 1024. Supponiamo che trova 1029.
    Il vostro primo pacchetto allora è trasmesso, dal vostro IP locale,
    5.6.7.8, la porta 1029, a 1.2.3.4, la porta 80.
    Il server risponde con un pacchetto da 1.2.3.4, le porte 80, a voi,
    5.6.7.8, la porta 1029.
    Questa procedura è realmente più lunga di questa, colto sopra per una
    spiegazione più approfondita del TCP collega le sequenze.


    6.2 Come conosco quale applicazione usa che porta?
    Ci sono parecchie liste che descrivono `` il ''riservato e `` il ''ben
    noto ports, come pure `` il ''comunemente usato ports e quello migliore è:
    ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers. Per quelli di voi
    ancora che leggete RFC 1700 per scoprire che numero port fa che cosa,
    ARRESTO che LO FA. È horribly antiquato e non sarà così domani di meno.

    Ora, per quanto riguarda fidarsi di queste informazioni: Queste liste
    non, in alcun modo, costituire alcun genere di bibbia santa su cui le porte
    fanno che cosa.

    L'attesa, lo ha lasciato formula nuovamente quello: Non CI È MODO
    ATTENDIBILMENTE Di DETERMINAZIONE CHE PORTA FA CHE COSA SEMPLICEMENTE
    OSSERVANDO In una LISTA.



    6.3 Che cosa sono porte ASCOLTANTI?
    Supponga che `` netstat - ` un ''sulla vostre macchina e porte 1025 e
    1030 rivelati come ascoltando. Che cosa fanno?

    A destra, prendiamo uno sguardo nella lista assegnata di numeri port.


    BBN IAD del blackjack iad1 1030/tcp della rete
    del blackjack 1025/tcp

    Attesa, che accadere? La mia stazione di lavoro ha rubato il mio
    numero di VISTO ed ha deciso andare blackjack del gioco con un certo server
    del rogue sul Internet? E che cosa quel software che il BBN ha installato?

    Ciò non è dove cominciate lasciarsi prendere dal panico e trasmettete
    la posta alla lista delle pareti refrattarie. Nel fatto, questo problema è
    stato chiesto forse volte un dozzina durante i sei mesi scorsi ed ogni tempo
    esso risposto a. Non quello CHE mantiene la gente dal fare la stessa domanda
    ancora.

    Se state facendo questo problema, siete più probabili per mezzo di una
    casella delle finestre. Le porte che state vedendo sono (il più probabile)
    due porte ascoltanti che il sottosistema del RPC apre quando comincia in su.

    Ciò è un esempio di dove le porte dynamicly assegnate possono essere
    usate tramite i processi del server. Le applicazioni che usando la volontà
    del RPC più successivamente su collegano a porta 135 (`` portmapper 'di
    netbios ') alla domanda dove trovare un certo servizio del RPC ed ottengono
    una risposta indietro che dice quella che il servizio particolare può
    mettersi in contatto con su porta 1025.

    Ora, come conosciamo questo, là da nessun `` ''della lista che
    descrive queste porte? Semplice: Non ci è sostituto per esperienza. E per
    mezzo dei motori di ricerca spedenti della lista egualmente aiuta un inferno
    di mólto.



    6.4 Come determino che servizio la porta è per?
    Poiché è impossible da imparare che porta fa che cosa osservando in
    una lista, come la fanno?

    Il vecchio modo hands-on di farla è chiudendo giù quasi ogni
    service/daemon che funziona sulla vostra macchina, facente netstat -a e
    prendente nota di che cosa le porte sono aperte. Là lo shouldn't è molto
    molti quei ascoltanti. Allora cominciate girare tutti i servizi sopra, uno
    per uno e di prend nota di che cosa le nuove porte rivelano nella vostra
    uscita del netstat.

    Un altro modo, quel ha bisogno di più lavoro di congettura,
    semplicemente telnetting alle porte e vede che cosa esce. Se niente esce, la
    prova che digita un certo gibberish e che sbatte entra poche volte e vede se
    qualcosa gira in su. Se ottenete binari disturbi, o niente affatto, questo
    non li aiuterà ovviamente.

    Tuttavia, questo soltanto vi dirà che cosa le porte ascoltanti sono
    usate. Vi non dirà circa le porte dinamicamente aperte che possono essere
    aperte più tardi da queste applicazioni.

    Ci sono alcune applicazioni che potrebbero aiutarle a rintracciare giù
    le porte usate.

    Sui sistemi di UNIX, ci è un programma di utilità piacevole chiamato
    lsof che viene preinstalled su molti sistemi. Vi mostrerà tutti i numeri
    port aperti ed i nomi delle applicazioni che stanno usandole. Ciò significa
    che potrebbe mostrarvi il aswell localmente aperto molto degli archivi come
    zoccoli di TCP/IP. Legga il testo di aiuto.

    Sui sistemi delle finestre, niente viene preinstalled per aiutarlo in
    questa operazione. (che nuovo?) Là un programma di utilità ha chiamato `` il
    ''di Inzider che si installa all'interno delle finestre che gli zoccoli
    fanno uno strato di e dinamicamente che si ricorda del quale processo si
    apre che port. Lo svantaggio di questo metodo è che can't vi dice che porte
    sono state aperte prima di inzider iniziato, ma esso il la cosa migliore che
    il you'll ottiene sulle finestre (alla mia conoscenza).
    http://ntsecurity.nu/toolbox/inzider/.



    6.5 Che porte sono sicuri da passare attraverso una parete
    refrattaria?
    TUTTI.

    No, attesa, NESSUNA.

    No, attesa, uuhhh... Mi sono sentito che tutte le porte superiore a
    1024 sono sicuri poiché sono soltanto dinamiche??

    No. Realmente. NON POTETE dire semplicemente ai che porte sono
    semplicemente sicuri guardando il relativo numero, perché quello è realmente
    tutto che sia. Un numero. Non potete montare un attacco con un numero a 16
    bit.

    La sicurezza `` di un ''port dipende da che applicazione raggiungerete
    attraverso quella porta.

    Un'idea sbagliata comune è che porte 25 (smtp) e 80 (HTTP) sono sicuri
    da passare attraverso una parete refrattaria * meep * ERRATA. Solo perchè
    tutto sta facendo non significa che è sicuro.

    Di nuovo, la sicurezza di una porta dipende da che applicazione
    raggiungerete attraverso quella porta.

    Se il you're che fa funzionare un server bene-scritto di Web, quello è
    destinato dalla terra in su per essere sicuro, potete probabilmente ritenere
    ragionevolmente assicurati che esso sicuro lasciate la gente esterna
    accedergli attraverso porta 80. Altrimenti, voi CAN'T.

    Il problema qui non è nello strato di rete. Esso in come i processi di
    applicazione i dati che riceve. Questi dati possono essere ricevuti
    attraverso porta 80, la porta 666, una riga seriale, disco magnetico o
    attraverso il telegramma di canto. Se l'applicazione non è sicuro, non
    importa come i dati ottengono esso. I dati di applicazione sono dove il
    pericolo reale si trova.

    Se siete interessati nella sicurezza della vostra applicazione, vada
    si abbonano a bugtraq8o o provano a cercare i loro archivi.

    Ciò è più di un problema di sicurezza di applicazione piuttosto che un
    problema di sicurezza della parete refrattaria. Si potrebbe sostenere che
    una parete refrattaria dovrebbe arrestare tutti gli attacchi possibili, ma
    con il numero di nuovi protocolli di rete, non progettato con sicurezza in
    mente ed applicazioni networked, nessuno progettate con sicurezza in mente,
    diventa impossible affinchè una parete refrattaria proteggesse da tutti gli
    attacchi data-driven.



    6.6 Il comportamento del ftp
    O, `` perchè ho aprire tutte le porte superiore a 1024 al mio server
    del ftp?''

    Lo sguardo del doesn't del ftp realmente un il lotto intero gradisce
    altre applicazioni da una prospettiva della rete.

    Mantiene una porta ascoltante, porta 21, a cui gli utenti collegano.
    Tutto che è ha lasciato la gente entra e stabilisce un ALTRO collegamento
    per fare i trasferimenti di dati reali. Questo secondo collegamento è
    solitamente su una certa porta superiore a 1024.

    Ci sono due modi, `` ''attivo (normale) e `` modo passivo del ''.
    Questa parola descrive il comportamento del server.

    Nel modo attivo, il cliente (5.6.7.8) collega a porta 21 sul server
    (1.2.3.4) ed apre la sessione. Quando i trasferimenti di file sono dovuti,
    il cliente assegna una porta dinamica superiore a 1024, informa il server
    circa quale porta ha aperto ed allora il server apre un nuovo collegamento a
    quella porta. Ciò è `` il ruolo attivo del ''del server: attivamente
    stabilisce i nuovi collegamenti al cliente.

    Nel modo passivo, il collegamento a porta 21 è lo stesso. Quando i
    trasferimenti di file sono dovuti, il SERVER assegna una porta dinamica
    superiore a 1024, informa il cliente circa quale porta ha aperto ed allora
    il CLIENTE apre un nuovo collegamento a quella porta. Ciò è `` il ruolo
    passivo del ''del server: aspetta il cliente per stabilire il secondo
    collegamento (di dati).

    Se la vostra parete refrattaria non controlla i dati di applicazione
    del ftp comandano il collegamento, esso non sapranno che devono aprire
    dinamicamente le nuove porte superiore a 1024.

    Su una nota laterale: Il comportamento tradizionale dei server del ftp
    nel modo attivo deve stabilire la sessione di dati da porta 20 ed alla porta
    dinamica sul cliente. I server del ftp stanno dirigendo via da questo
    comportamento in qualche modo dovuto la necessità di funzionare come ``
    ''della radice sui sistemi di UNIX nell'ordine per potere assegnare le porte
    inferiore a 1024. Funzionando come `` ''della radice non è buono per
    sicurezza, da allora se là un insetto nel software, il attacker potesse
    compromettere l'intera macchina. Lo stesso va per funzionare come `` il
    ''dell'amministratore o `` ''del SISTEMA (``LocalSystem '') sulle macchine
    del NT, anche se il problema port basso non si applica sul NT.

    Per sommarlo in su, se la vostra parete refrattaria capisce il ftp, il
    it'll può maneggiare i collegamenti di dati da sè e won't avete preoccuparsi
    per le porte superiore a 1024.

    Se non, ci sono quattro edizioni che dovete richiamare:

    Firewalling un ftp server nel modo attivo
    Avete bisogno di avete lasciato i vostri collegamenti aperti del
    server nuovi al mondo esterno sulle porte 1024 e sopra
    Firewalling un server del ftp nel modo passivo
    Avete bisogno di avete lasciato il mondo esterno collegare alle porte
    1024 e sopra sul vostro server. ATTENZIONE!!!! Ci possono essere
    applicazioni che funzionano su alcune di queste porte che non desiderate
    usando esterno della gente. Respinga l'accesso a queste porte prima di
    permettere l'accesso alla gamma port 1024-65535.
    Clienti del ftp di Firewalling nel modo attivo
    Avete bisogno di avete lasciato il mondo esterno collegare alle porte
    1024 e sopra sui vostri clienti. ATTENZIONE!!!! Ci possono essere
    applicazioni che funzionano su alcune di queste porte che non desiderate
    usando esterno della gente. Respinga l'accesso a queste porte prima di
    permettere l'accesso alla gamma port 1024-65535.
    Clienti del ftp di Firewalling nel modo passivo
    Avete bisogno di avete lasciato i vostri collegamenti aperti dei
    clienti nuovi al mondo esterno sulle porte 1024 e sopra.
    Di nuovo, se la vostra parete refrattaria capisce il ftp, nessun dei
    quattro punti qui sopra si applicano a voi. Lasci la parete refrattaria
    farvi il lavoro per.



    6.7 Che software usa che modo del ftp?
    È in su al cliente per decidere che modo da usare; il modo di difetto
    quando un nuovo collegamento è aperto è `` modo attivo ''.

    La maggior parte dei clienti del ftp vengono preconfigured per usare
    il modo attivo, ma forniscono un'opzione ad uso `` del ''modo passivo (di
    ``PASV ''). Un'eccezione è la riga di comando delle finestre cliente del ftp
    che funziona soltanto nel modo attivo.

    I browsers di Web usano generalmente il modo passivo quando collegano
    via il ftp, con un'eccezione bizzarra: MSIE 5 userà il ftp attivo quando
    FTP:ing `` nel modo del ''dell'esploratore dell'archivio ed il ftp passivo
    quando FTP:ing `` nel modo del ''di Web page. Non ci è motivo qualunque per
    questo comportamento; la mia congettura è che qualcuno in Redmond senza
    conoscenza del ftp ha deciso che `` naturalmente useremo il modo attivo
    quando siamo nel modo dell'esploratore dell'archivio, da allora quel sguardi
    più attivi di un Web page ''. Va la figura.



    6.8 È mio provare della parete refrattaria a collegare all'esterno?
    I miei libri macchina della parete refrattaria sono dicendomi che il
    mio server di Web stia provando a collegare da porta 80 alle porte superiore
    a 1024 sulla parte esterna. Che cosa è questo?!

    Se state vedendo i pacchetti caduti da porta 80 sul vostro web server
    (o da porta 25 sul vostro mail server) alle alte porte sulla parte esterna,
    non significano solitamente che il vostro web server sta provando a
    collegare in qualche luogo.

    Sono il risultato della sincronizzazione della parete refrattaria
    verso l'esterno un collegamento e di vedere il server ritrasmettere le
    vecchie risposte (o provare a chiudere il collegamento) al cliente.

    I collegamenti di TCP coinvolgono sempre i pacchetti che viaggiano in
    ENTRAMBI I sensi nel collegamento.

    Se potete vedere le bandierine di TCP nei pacchetti caduti, il you'll
    vede che la bandierina del ACK è regolata ma non la bandierina di SYN,
    significante che questo non è realmente un nuovo collegamento che forma, ma
    piuttosto una risposta di un collegamento precedentemente formato.

    Legga il punto 8 qui sotto per una spiegazione approfondita di che
    cosa accade quando i collegamenti di TCP sono formati (e chiuso)



    6.9 Anatomia di un collegamento di TCP
    Il TCP è dotato di 6 `` bandierine ', che possono essere disinserite
    SOPRA o. Queste bandierine sono:

    ALETTA
    `` ha gestito la fine del collegamento del ''
    SYN
    Apra il nuovo collegamento
    RST
    `` fine immediata del collegamento del ''
    PSH
    Insegni al calcolatore centrale della ricevente per spingere i dati
    fino all'applicazione piuttosto che alla coda giusta esso
    Ack
    `` riconosca il ''un pacchetto precedente
    URG
    `` dati urgenti del ''che devono essere elaborati immediatamente
    In questo esempio, il vostro cliente è 5.6.7.8 e la porta assegnata
    voi è dinamicamente 1049. Il server è 1.2.3.4, la porta 80.

    Cominciate il tentativo del collegamento:

    5.6.7.8:1049 -> 1.2.3.4:80 SYN=ON

    Il server riceve questo pacchetto e capisce che qualcuno desidera
    formare un nuovo collegamento. Una risposta è trasmessa:

    1.2.3.4:80 -> 5.6.7.8:1049 SYN=ON ACK=ON

    Il cliente riceve la risposta ed informa che la risposta è ricevuta

    5.6.7.8:1049 -> 1.2.3.4:80 ACK=ON

    Qui, il collegamento è aperto. Ciò è chiamata una stretta di mano a
    tre vie. Il relativo scopo è verificare ad ENTRAMBI I calcolatori centrali
    che hanno loro un collegamento di funzionamento.

    Il Internet che è che cosa è, non fidato e sommerso, là è disposizioni
    compensare la perdita del pacchetto.

    Se il cliente trasmette fuori lo SYN iniziale senza ricevere uno
    SYN+ACK all'interno dell'pochi secondi, il it'll resend lo SYN.

    Se il server spedisce lo SYN+ACK senza ricevere un ACK in alcuni
    secondi, resend il pacchetto di SYN+ACK.

    Il posteriore è realmente la ragione per cui il flooding di SYN
    funziona così bene. Se spedite i pacchetti di SYN dai lotti delle porte
    differenti, questo legherà in su le risorse molto sul server. Se egualmente
    rifiutate di rispondere ai pacchetti restituiti di SYN+ACK, il server
    MANTERRÀ questi collegamenti per un molto tempo, resending i pacchetti di
    SYN+ACK. Alcuni server non accetteranno i nuovi collegamenti mentre ci sono
    abbastanza collegamenti attualmente che formano; ecco perchè impianti di
    flooding di SYN.

    Tutti i pacchetti trasmessi in il uno o il altro senso dopo che la
    stretta di mano a tre vie abbia il bit del ACK regolato. I filtri apolidi
    del pacchetto fanno l'uso di questo in in modo da `` filtri stabiliti
    chiamati del '': soltanto hanno lasciato i pacchetti con il quel avere il
    bit del ACK regolato. Questo modo, nessun pacchetto può passare attraverso
    in un determinato senso che potrebbe formare un nuovo collegamento.
    Tipicamente, don't permettete che i calcolatori centrali esterni aprano i
    nuovi collegamenti ai calcolatori centrali interni richiedendo il bit del
    ACK regolato su questi pacchetti.

    Quando il tempo è venuto chiudere il collegamento, ci sono due modi di
    farlo: Usando la bandierina dell'ALETTA, o usando la bandierina di RST.
    Usando le bandierine dell'ALETTA, entrambe le implementazioni sono richieste
    per trasmettere fuori le bandierine dell'ALETTA per indicare che desiderano
    chiudere il collegamento ed allora trasmettono fuori i ringraziamenti a
    queste alette, indicanti che hanno capito che l'altra estremità desidera
    chiudere il collegamento. Nel trasmettere fuori RST, il collegamento è
    chiuso validamente e don't realmente ottenete un'indicazione di se l'altra
    estremità ha capito il vostro ordine di risistemazione, o quello che ha nel
    fatto ricevuto tutti i dati che avete trasmesso esso.

    Il modo dell'ALETTA di chiusura del collegamento egualmente li espone
    ad una situazione di smentita-de-servizio, poiché la pila di TCP deve
    ricordarsi del collegamento chiuso per un tempo ragionevolmente molto, nel
    caso che l'altro hasn't dell'estremità ha ricevuto uno dei pacchetti
    dell'ALETTA.

    Se sufficientemente molti collegamenti sono aperti e chiusi, potete
    concludersi su avere `` collegamenti chiusi del ''in tutte le vostre
    scanalature del collegamento. Questo modo, wouldn't potete assegnare
    dinamicamente più collegamenti, vedenti che il they're interamente ha usato.
    Maniglia differente di OSes questa situazione diversamente.




    A. Alcuni prodotti commerciali e fornitori
    Riteniamo che questo soggetto è troppo sensibile all'indirizzo in un
    FAQ, tuttavia, una lista indipendentemente effettuata (nessuna garanzia o
    raccomandazione è implicata) può essere trovata in linea.9



    B. Glossario dei termini Parete-Relativi

    Abuso del privilegio
    Quando un utente realizza un'azione che non dovrebbero avere,
    conciliandosi alla politica o alla legge organizzativa.

    Liste Di Controllo Di Accesso
    Regole per i filtri del pacchetto (tipicamente routers) che
    definiscono quali pacchetti da passare e quali da ostruire.

    Accedi Al Router
    Un router che collega la vostra rete al Internet esterno. Tipicamente,
    questa è la vostra prima riga di difesa contro i attackers dal Internet
    esterno. Permettendo il controllo di accesso elenca su questo router, you'll
    può fornire un livello di protezione per tutti i calcolatori centrali ``
    dietro ''che router, efficacemente rendente a quella rete un DMZ
    preferibilmente di una lan esterna non protetta.

    Parete refrattaria Di Applicazione-Strato
    Un sistema della parete refrattaria in cui il servizio è fornito
    tramite i processi che effettuano il collegamento completo di TCP dichiara
    ed ordinare. Le pareti refrattarie di strato di applicazione re-richiamano
    spesso il traffico così che il traffico uscente sembra provenire dalla
    parete refrattaria, piuttosto che il calcolatore centrale interno.

    Autenticazione
    Il processo di determinazione dell'identità di un utente che sta
    tentando di accedere ad un sistema.

    Segno Di Autenticazione
    Un dispositivo portatile utilizzato per autenticare un utente. Il
    segno di autenticazione funziona mediante challenge/response, sequenze
    tempo-basate di codice, o altre tecniche. Ciò può includere le liste scritte
    delle parole d'accesso di una volta.

    Autorizzazione
    Il processo di determinazione che tipi di attività sono consentiti.
    Solitamente, l'autorizzazione è nel contesto dell'autenticazione: una volta
    che avete autenticato un utente, possono essere tipi differenti autorizzati
    di accesso o di attività.

    Bastion host
    Un sistema che è stato indurito per resistere all'attacco e che è
    installato su una rete im modo tale che si pensa che potenzialmente rientri
    nell'attacco. I calcolatori centrali del bastion sono spesso componenti
    delle pareti refrattarie, o possono essere `` server di Web del ''della
    parte esterna o sistemi pubblici di accesso. Generalmente, un calcolatore
    centrale del bastion sta facendo funzionare certa forma del sistema
    operativo per scopi generali (per esempio, UNIX, VMS, NT, ecc.) piuttosto
    che un sistema operativo dei firmware o ROM-BASATO.

    Challenge/Response
    Una tecnica di autenticazione per cui un server trasmette una sfida
    imprevedibile per l'utente, che computa una risposta usando certa forma del
    segno di autenticazione.

    Chroot
    Una tecnica sotto UNIX per cui un processo permanente si limiterà ad
    un sottoinsieme isolato del filesystem.

    Totale di controllo Crittografico
    Una funzione unidirezionale si è applicata ad un archivio per produrre
    `` un ''unico dell'impronta digitale dell'archivio per riferimento
    successivo. I sistemi di totale di controllo sono mezzi primari di
    rilevazione del filesystem alterare su UNIX.

    Attacco Guidato Dati
    Una forma dell'attacco in cui l'attacco è messo nei dati
    innocuo-sembranti che sono eseguiti da un utente o dall'altro software per
    effettuare un attacco. Nella cassa delle pareti refrattarie, un attacco
    guidato dati è una preoccupazione poiché può ottenere attraverso la parete
    refrattaria nella forma di dati e lanciare un attacco contro un sistema
    dietro la parete refrattaria.

    Difesa nella profondità
    Il metodo di sicurezza per cui ogni sistema sulla rete è assicurato al
    grado possibile più grande. Può essere usato nella congiunzione con le
    pareti refrattarie.

    Dns che spoofing
    Ammettendo il nome di DNS di un altro sistema corrompendo il
    nascondiglio nome di servizio di un sistema della vittima, o compromettendo
    un domain name server per un settore valido.

    Si raddoppia Il Gateway Homed
    Un Gateway homed doppio è un sistema che ha due o più interfacce della
    rete, ciascuno di cui è collegato ad una rete differente. Nelle
    configurazioni della parete refrattaria, un Gateway homed doppio si comporta
    solitamente per ostruire o filtrare alcuno o tutto il traffico che prova a
    passare fra le reti.

    Router Di Cifratura
    veda il router di traforo ed il perimetro virtuale della rete.

    Parete refrattaria
    Un sistema o una combinazione dei sistemi che fanno rispettare un
    contorno fra due o più reti.

    Sicurezza Host-based
    La tecnica di assicurazione del sistema specifico dall'attacco. Ospiti
    la sicurezza basata è dipendente di versione e del sistema operativo.

    Attacco Del Membro
    Un attacco che proviene dalla parte interna una rete protetta.

    Rilevazione Di Intrusione
    La rilevazione delle irruzioni o dell'irruzione tenta manualmente o
    via i sistemi specializzati del software che funzionano sopra i libri
    macchina o altre informazioni disponibili sulla rete.

    IP Spoofing
    Un attacco per cui un sistema tenta di impersonate illecitamente un
    altro sistema usando il relativo indirizzo di rete del IP.

    Impionbatura/Che Dirotta del IP
    Un attacco per cui un attivo, stabilito, sessione è intercettato e
    co-opted dal attacker. Gli attacchi d'impionbatura del IP possono accadere
    dopo che un'autenticazione sia stata fatta, permettendo al attacker di
    presupporre il ruolo di un utente già autorizzato. Le protezioni primarie
    contro l'impionbatura del IP contano sulla crittografia allo strato di rete
    o di sessione.

    Meno Privilegio
    Progettazione delle funzioni operative di un sistema per funzionare
    con una quantità minima di privilegio del sistema. Ciò riduce il livello di
    autorizzazione a cui le varie azioni sono realizzate e fa diminuire la
    probabilità che un processo o un utente con gli alti privilegi può essere
    causato per effettuare l'attività non autorizzata risultando in una frattura
    di sicurezza.

    Annotare
    Il processo di memorizzare le informazioni sugli eventi che si sono
    presentati sulla parete refrattaria o sulla rete.

    Ritegno Del Libro macchina
    Come i libri macchina lunghi di verifica sono mantenuti ed effettuati.

    Elaborare Del Libro macchina
    Come i libri macchina di verifica sono elaborati, cercato gli eventi
    chiave, o ricapitolato.

    Parete refrattaria Di Rete-Strato
    Una parete refrattaria in cui il traffico è esaminato allo strato del
    pacchetto di protocollo di rete.

    Sicurezza Perimetro-basata
    La tecnica di assicurazione della rete gestendo accesso a tutti i
    punti dell'uscita e dell'entrata della rete.

    Politica
    il Organizzazione-livello regola l'uso accettabile governante delle
    risorse di computazione, delle pratiche di sicurezza e delle procedure
    operative.

    Procura
    Un agente del software che si comporta a favore di un utente. Le
    procure tipiche accettano un collegamento da un utente, prendono una
    decisione come se o l'indirizzo del IP del cliente o non dell'utente è
    consentito per usare la procura, forse fa l'autenticazione supplementare ed
    allora completa un collegamento a favore dell'utente ad una destinazione a
    distanza.

    Calcolatore centrale Selezionato
    Un calcolatore centrale su una rete dietro uno screening router. Il
    grado a cui un calcolatore centrale selezionato può essere raggiunto dipende
    dalle regole della selezione nel router.

    Sottorete Selezionata
    Una sottorete dietro uno screening router. Il grado a cui la sottorete
    può essere raggiunta dipende dalle regole della selezione nel router.

    Router Della Selezione
    Un router configurato per consentire o negare traffico basato su un
    insieme delle regole di permesso installate dall'amministratore.

    Rubare Di Sessione
    Veda L'Impionbatura del IP.

    Cavallo Di Trojan
    Un'entità del software che sembra fare qualche cosa di normale ma che,
    nel fatto, contiene un programma di attacco o di trapdoor.

    Il router o il sistema del router A di traforo capace del
    percorso traffica cifrandolo ed incapsularlo per la trasmissione
    attraverso untrusted la rete, per l'de-incapsulamento ed il
    decryption finali.

    L'ingegneria sociale un attacco basato sugli utenti d'inganno o
    amministratori all'obiettivo situa. Gli attacchi sociali di ingegneria
    sono trasportati tipicamente fuori dagli utenti o dagli operatori e
    dalla finzione di telefonata essere un utente autorizzato, per tentare
    di guadagnare l'accesso illecito ai sistemi.

    La rete virtuale di perimetro A della rete che sembra essere una
    singola rete protetta dietro le pareti refrattarie, che realmente
    comprende l'eccedenza virtuale cifrata di collegamenti untrusted le
    reti.

    Segmento di codice di replica del virus A che si fissa ad uno
    schedario di dati o di programma. I virus hanno potuto o non potuto
    contenere i programmi o i trapdoors di attacco. Purtroppo, molti
    hanno preso a chiamare qualsiasi cattivo il codice `` i virus '. Se
    significate `` il ''di Trojan Horse o `` il ''della vite senza fine,
    ad esempio `` il ''o `` la vite senza fine 'di Trojan Horse '.

    Il programma autonomo che, una volta funzionato, copia in se della
    vite senza fine A da un calcolatore centrale ad un altro ed allora
    funziona in se su ogni calcolatore centrale recentemente infettato. ``
    i virus ampiamente segnalati del Internet 'di 1988 erano un virus non
    affatto, ma realmente una vite senza fine.







    Note a piè di pagina
    ... System1 http://mail-abuse.org/... Initiative2
    http://mail-abuse.org/tsi/... Squid3 http://squid.nlanr.net/...
    Apache4 http://www.apache.org/docs/mod/mod_proxy.html... Proxy5
    http://home.netscape.com/proxy/v3.5/index.html... Netscape6

    http://developer.netscape.com/docs/manuals/security/sslin/contents.htm...
    firewall7 http://www.real.com/firewall/... bugtraq8
    http://www.securityfocus.com... online.9
    http://www.thegild.com/firewall/.
    William L. Sun, Feb 6, 2005
    #1
    1. Advertising

  2. William L. Sun

    Jim Watt Guest

    On Sat, 5 Feb 2005 16:00:27 -0800, "William L. Sun" <>
    wrote:

    <snip>

    This information should be on a WEBSITE with a link posted here
    rather than filling up everyones system with shedloads of foreign
    langage material of zero interest.

    Nobody has asked you to do this. Suggest you don't.
    --
    Jim Watt
    http://www.gibnet.com
    Jim Watt, Feb 6, 2005
    #2
    1. Advertising

  3. William L. Sun

    winged Guest

    Jim Watt wrote:
    > On Sat, 5 Feb 2005 16:00:27 -0800, "William L. Sun" <>
    > wrote:
    >
    > <snip>
    >
    > This information should be on a WEBSITE with a link posted here
    > rather than filling up everyones system with shedloads of foreign
    > langage material of zero interest.
    >
    > Nobody has asked you to do this. Suggest you don't.
    > --
    > Jim Watt
    > http://www.gibnet.com

    Worse is the information that is being requested before the content can
    be downloaded. I suspect anyone that used a valid e-mail would be
    spammed mercilessly. I didn't get the pdf due to it being a possible
    exploit attempt but I would be leery. There is no valid reason for
    anyone requiring the information requested especially someone
    knowledgeable with security. I find it interesting they posted about
    every language except English.

    Call me paranoid. Of course I was curious enough to visit the link
    Sheesh...

    Winged
    winged, Feb 6, 2005
    #3
  4. William L. Sun

    winged Guest

    winged wrote:
    > Jim Watt wrote:
    >
    >> On Sat, 5 Feb 2005 16:00:27 -0800, "William L. Sun" <>
    >> wrote:
    >>
    >> <snip>
    >>
    >> This information should be on a WEBSITE with a link posted here rather
    >> than filling up everyones system with shedloads of foreign
    >> langage material of zero interest.
    >>
    >> Nobody has asked you to do this. Suggest you don't.
    >> --
    >> Jim Watt http://www.gibnet.com

    >
    > Worse is the information that is being requested before the content can
    > be downloaded. I suspect anyone that used a valid e-mail would be
    > spammed mercilessly. I didn't get the pdf due to it being a possible
    > exploit attempt but I would be leery. There is no valid reason for
    > anyone requiring the information requested especially someone
    > knowledgeable with security. I find it interesting they posted about
    > every language except English.
    >
    > Call me paranoid. Of course I was curious enough to visit the link
    > Sheesh...
    >
    > Winged

    My bad I was referring to other translation links. I had this one
    translated in babel fish and found several bad assumptions and cost
    estimates and bad advice. For example one must put protections up
    against user bad behaviors this article indicates you can not. While
    you may not be able to stop users from doing stupid, one must protect
    against it. I am not sure what value added this document would have for
    anyone as it appears to be less a document about using firewalls and
    more a document of someone who has just figured out the power of
    segmented zones. If one were desiring to penetrate a network configured
    as described by this document, there are several penetration methods
    that could bypass all of the mechanisms discussed. I have no idea why
    he spammed this newsgroup, but there is no value in the article. I
    can't believe I spent the time to examine what was written, I need a
    life...LOL

    Winged
    winged, Feb 6, 2005
    #4
  5. William L. Sun

    Moe Trin Guest

    In article <>, Jim Watt wrote:
    >On Sat, 5 Feb 2005 16:00:27 -0800, "William L. Sun" <>
    >wrote:
    >
    ><snip>
    >
    >This information should be on a WEBSITE with a link posted here
    >rather than filling up everyones system with shedloads of foreign
    >langage material of zero interest.


    Actually, the idiot also individually posted the same garbage in several
    other newsgroups (comp.security.unix, and comp.security.firewalls at least)
    and native speakers there were complaining that the spam was a nearly
    unreadable machine translation. which makes it even more useless.

    >Nobody has asked you to do this. Suggest you don't.


    My kill filter rejected the articles because of their size, and I've added
    his name to the killfile just in case cox.net doesn't torch his account.

    Old guy
    Moe Trin, Feb 6, 2005
    #5
  6. William L. Sun

    Ruggy71 Guest

    Very ugly translation !!
    Don't use programs like Power Translator in order to translate from one
    language to another.

    One example : Firewall is called Firewall also in ITALY !!



    "William L. Sun" <> wrote in message
    news:37dNd.10953$6u.6074@fed1read02...
    > FAQ della parete refrattaria in italiano 1
    > Pareti refrattarie Del Internet:
    > Domande Frequentemente Fatte
    > Paul D. Robertson
    > Curtin Opaco
    > Marcus J. Ranum
    > (tradotto da William Sun
    > )
    >
    > Data: 2004/07/26 di 15:34:42
    > Revisione: 10.4
    >
    > Questo documento disponibile nel pdfdel and del postscript.
    >
    >
    >
    >
    > Indice
    > 1 Administrativia
    > 1.1 Circa il FAQ
    > 1.2 Per chi il FAQ è scritto?
    > 1.3 Prima Della Trasmissione Della Posta
    > 1.4 Dove posso trovare la versione corrente del FAQ?
    > 1.5 Dove posso trovare le versioni Non-Inglesi del FAQ?
    > 1.6 Contributori
    > 1.7 Copyright ed uso
    >
    >
    > 2 principi fondamentali della parete refrattaria e della priorità
    > bassa
    > 2.1 Che cosa è una parete refrattaria di rete?
    > 2.2 Perchè desidererei una parete refrattaria?
    > 2.3 Da che cosa può una parete refrattaria proteggere?
    > 2.4 Da che cosa non può una parete refrattaria proteggere?
    > 2.5 Che cosa circa i virus e l'altro malware?
    > 2.6 IPSEC renderà le pareti refrattarie obsolete?
    > 2.7 Che cosa sono buone sorgenti delle informazioni della stampa

    sulle
    > pareti refrattarie?
    > 2.8 Dove posso ottenere le più informazioni sulle pareti refrattarie
    > sul Internet?
    >
    >
    > 3 edizioni di implementazione e di disegno
    > 3.1 Che cosa sono alcune delle decisioni di base di disegno in una
    > parete refrattaria?
    > 3.2 Che cosa sono i tipi di base di pareti refrattarie?
    > 3.3 Che cosa sono server di procura e come funzionano?
    > 3.4 Che cosa sono alcuni strumenti poco costosi della selezione del
    > pacchetto?
    > 3.5 Che cosa sono alcune regole di filtrazione ragionevoli per uno
    > schermo nocciolo-basato del pacchetto?
    > 3.6 Che cosa sono alcune regole di filtrazione ragionevoli per un
    > Cisco?
    > 3.7 Che cosa sono le risorse critiche in una parete refrattaria?
    > 3.8 Che cosa è un DMZ e perchè io desidera uno?
    > 3.9 Come potrei aumentare la sicurezza e lo scalability del mio DMZ?
    > 3.10 Che cosa è un singolo punto del ` di guasto 'e come io evita di
    > avere uno?
    > 3.11 Come posso ostruire tutto il roba difettoso?
    > 3.12 Come posso limitare l'accesso di Web in modo da gli utenti non
    > possono osservare i luoghi indipendenti per lavorare?
    >
    >
    > 4 Vari Attacchi
    > 4.1 Che cosa è traffico diretto sorgente e perchè è esso una

    minaccia?
    > 4.2 Che cosa sono ICMP riorientano e riorientano le bombe?
    > 4.3 Che cosa circa la smentita di servizio?
    > 4.4 Che cosa sono alcuni attacchi comuni e come possono io

    proteggere
    > il mio sistema contro di loro?
    >
    >
    > 5 Come La I...
    > 5.1 Realmente desidero concedere tutto che i miei utenti chiedano?
    > 5.2 _ come io fa Web/HTTP lavoro attraverso mio parete?
    > 5.3 Come faccio funzionare lo SSL attraverso la parete refrattaria?
    > 5.4 Come faccio il lavoro di DNS con una parete refrattaria?
    > 5.5 Come faccio funzionare il ftp attraverso la mia parete
    > refrattaria?
    > 5.6 Come faccio funzionare il telnet attraverso la mia parete
    > refrattaria?
    > 5.7 Come faccio funzionare la barretta ed il WHOIS attraverso la mia
    > parete refrattaria?
    > 5.8 Come faccio il Gopher, archie ed altri servizi funzionano
    > attraverso la mia parete refrattaria?
    > 5.9 Che cosa sono le edizioni circa X11 attraverso una parete
    > refrattaria?
    > 5.10 Come faccio funzionare RealAudio attraverso la mia parete
    > refrattaria?
    > 5.11 Come faccio il mio atto di web server come un a fine frontale

    per
    > una base di dati che vive sulla mia rete riservata?
    > 5.12 Ma la mia base di dati ha un server integrato di Web e desidero
    > usare quello. Non posso giusto colpire un foro nella parete refrattaria e
    > scavare una galleria quella porta?
    > 5.13 Come Faccio funzionare il IP Il Multicast Con La Mia Parete
    > refrattaria?
    >
    >
    > 6 porte del UDP e di TCP
    > 6.1 Che cosa è una porta?
    > 6.2 Come conosco quale applicazione usa che porta?
    > 6.3 Che cosa sono porte ASCOLTANTI?
    > 6.4 Come determino che servizio la porta è per?
    > 6.5 Che porte sono sicuri da passare attraverso una parete
    > refrattaria?
    > 6.6 Il comportamento del ftp
    > 6.7 Che software usa che modo del ftp?
    > 6.8 È mio provare della parete refrattaria a collegare all'esterno?
    > 6.9 Anatomia di un collegamento di TCP
    >
    >
    > A. Alcuni prodotti commerciali e fornitori
    > B. Glossario dei termini Parete-Relativi
    > Bibliografia
    >
    >
    > 1 Administrativia
    >
    >
    > 1.1 Circa il FAQ
    > Questa accumulazione di Frequenty ha fatto le domande (FAQ) e le
    > risposte è stata compilata durante gli anni, vedenti quali domande la

    gente
    > fa riguardo alle pareti refrattarie in tali tribune come il USENET, le

    liste
    > spedenti ed i luoghi di Web. Se avete una domanda, osservare qui per

    vedere
    > se ha risposto a prima dell'invio la vostra domanda è buona forma. Non
    > trasmetta le vostre domande circa le pareti refrattarie ai mantenitori del
    > FAQ.
    >
    > I mantenitori accolgono favorevolmente l'input e le osservazioni sul
    > contenuto di questo FAQ. Le osservazioni si sono riferite al FAQ

    dovrebbero
    > essere richiamate a . Prima che ci trasmettiate
    > la posta, sia prego sicuro vedere che le parti 1.2 e 1.3 da rendere sicuro
    > questo è il giusto documento affinchè leggano.
    >
    >
    >
    > 1.2 Per chi il FAQ è scritto?
    > Le pareti refrattarie sono venuto lontano dai giorni in cui questo

    FAQ
    > si è avviato. They've andato da essere sistemi altamente personalizzati
    > amministrati dai loro implementors ad un prodotto tradizionale. Le pareti
    > refrattarie sono solamente no più lunghe nelle mani di coloro che progetta
    > ed effettua i sistemi di sicurezza; persino gli utilizzatori finali
    > sicurezza-coscienti le hanno a casa.
    >
    > _ noi scriv questo FAQ per computer sistema di elaborazione
    > sviluppatore e amministratore. Abbiamo provato ad essere ragionevolmente
    > compresi, facendo la stanza per i nuovi venuti, ma ancora ammettiamo una
    > certa base tecnica di base. Se trovate che non capite questo documento, ma
    > pensate che dobbiate conoscere più circa le pareti refrattarie, potrebbe
    > scaturire è che realmente dovete ottenere più priorità bassa nella rete

    del
    > calcolatore in primo luogo. Forniamo i riferimenti che li hanno aiutati;
    > forse egualmente li aiuteranno.
    >
    > Mettiamo a fuoco predominately "sulla rete" pareti refrattarie, ma

    ``
    > ospiti il ''o le pareti refrattarie del ''di ``"personal saranno

    indirizzate
    > ove necessario.
    >
    >
    >
    > 1.3 Prima Della Trasmissione Della Posta
    > Si noti che questa accumulazione delle domande frequente-chieste a è
    > un risultato di interazione con molta gente degli ambiti di provenienza
    > differenti in un'ampia varietà di tribune pubbliche. L'indirizzo

    parete-FAQ
    > non è un servizio d'assistenza. Se state provando ad usare un'applicazione
    > che dice che non sta funzionando a causa di una parete refrattaria e

    pensate
    > che dobbiate rimuovere la vostra parete refrattaria, prego ci non

    trasmetta
    > la posta che chiede come.
    >
    > Se desiderate conoscere come `` eliminate il vostro ''della parete
    > refrattaria perché non potete usare una certa applicazione, ci non

    trasmetta
    > la posta che chiede l'aiuto. Non possiamo aiutarli. Realmente.
    >
    > Chi può aiutarlo? Buona domanda. Quello dipenderà su che cosa il
    > problema è esattamente, ma qui è parecchi indicatori. Se nessuno di questi
    > funziona, vogliate ci non chiedono altro. Non sappiamo.
    >
    > Il fornitore del software che state usando.
    > Il fornitore usando del you're del ''degli apparecchi del hardware

    ``.
    > Il fornitore del usando del you're di servizio di rete. Quello è, se
    > you're su AOL, li chiede. Se state provando ad usare qualcosa su una rete
    > corporativa, comunichi con vostro amministratore di sistema.
    >
    >
    > 1.4 Dove posso trovare la versione corrente del FAQ?
    > Il FAQ può essere trovato sul Web a
    >
    > http://www.compuwar.net/pubs/fwfaq/.
    > http://www.interhack.net/pubs/fwfaq/.
    > Egualmente ha inviato il mensile a
    >
    > comp.security.firewalls,
    > comp.security.unix,
    > comp.security.misc,
    > comp.answerse
    > news.answers.
    > Le versioni inviate sono archiviate in tutti i posti usuali.
    > Purtroppo, la versione inviata al USENET ed archiviata quella mancanza di
    > versione dalle immagini graziose e dai hyperlinks utili ha trovato nella
    > versione di Web.
    >
    >
    >
    > 1.5 Dove posso trovare le versioni Non-Inglesi del FAQ?
    > Parecchie traduzioni sono disponibili. (se avete fatto una

    traduzione
    > e non è elencata qui, scrivali prego in modo da possiamo aggiornare il
    > documento matrice.)
    >
    >
    > Norvegese
    > Traduzione da Jon Haugsand
    > http://helmersol.nr.no/haandbok/doc/brannmur/brannmur-faq.html
    >
    >
    > 1.6 Contributori
    > Molta gente ha scritto i suggerimenti utili ed il commento

    premuroso.
    > Siamo riconoscenti a tutti i contributori. Vorremmo ringraziare il afew

    per
    > nome: Keinanen ;Vesa, Allen Leibowitz, chapman del brent, Brian Boyle, D.
    > Clyde Williamson, Richard Reiner, William Sun, Humberto Ortiz Zuazaga e
    > speranza di Theodore.
    >
    >
    >
    > 1.7 Copyright ed uso
    > Copyright ©1995-1996, 1998 Marcus J. Ranum. Copyright ©1998-2002
    > Curtin Opaco. Copyright 2004, Paul D. Robertson. Tutti i diritti

    riservati.
    > Questo documento può essere usato, ristampato ed essere ridistribuito come
    > sta fornendo questo avviso di copyright e tutte le attribuzioni rimangono
    > intact. Le traduzioni del testo completo dall'inglese originale ad altri
    > linguaggi egualmente sono permesse esplicitamente. I traduttori possono
    > aggiungere i loro nomi alla sezione `` dei contributori '.
    >
    >
    >
    > 2 principi fondamentali della parete refrattaria e della priorità
    > bassa
    > Prima di potere capire una discussione completa sulle pareti
    > refrattarie, esso importante capire i principi di base che fanno

    funzionare
    > le pareti refrattarie.
    >
    >
    >
    > 2.1 Che cosa è una parete refrattaria di rete?
    > Una parete refrattaria è un sistema o un gruppo dei sistemi che

    fanno
    > rispettare una politica di controllo di accesso fra due o più reti. Il

    mezzo
    > reale da cui questo è compiuto varia ampiamente, ma nel principio, la

    parete
    > refrattaria può pensarsi come ad accoppiamento dei meccanismi: uno che
    > esiste per ostruire il traffico e l'altro che esista per consentire il
    > traffico. Alcune pareti refrattarie danno un'importanza più grande
    > sull'ostruire il traffico, mentre altre danno risalto al traffico
    > consentente. Probabilmente la cosa più importante da riconoscere circa una
    > parete refrattaria è che effettua una politica di controllo di accesso. Se
    > non avete una buona idea di che genere di accesso desiderate concedere o
    > negare, una parete refrattaria realmente non li aiuterà. È egualmente
    > importante riconoscere che la configurazione della parete refrattaria,
    > perché è un meccanismo per fare rispettare la politica, impone la relativa
    > politica a tutto dietro esso. Gli amministratori per le pareti refrattarie
    > che gestiscono la connettività per un grande numero di calcolatori

    centrali
    > quindi hanno una responsabilità pesante.
    >
    >
    >
    > 2.2 Perchè desidererei una parete refrattaria?
    > Il Internet, come qualunque altra società, è contagiato con il

    genere
    > di scatti che godono l'equivalente elettronico di ammortizzare sulle

    pareti
    > della gente con spraypaint, di strappo delle loro cassette postali, o

    appena
    > di seduta nella via che salta i loro corni dell'automobile. Qualche gente
    > prova ad ottenere il lavoro reale fatto sopra il Internet ed altre hanno
    > dati che sensibili o riservati devono proteggere. Solitamente, lo scopo
    > della parete refrattaria è mantenere gli scatti dalla vostra rete mentre
    > ancora lasciandoli ottenere il vostro lavoro fatto.
    >
    > Molti società e centri di dati di stile tradizionale hanno le
    > politiche e pratiche di calcolo di sicurezza che devono essere seguite. In
    > un caso dove le politiche dell'azienda dettano come i dati devono essere
    > protetti, una parete refrattaria è molto importante, poiché è
    > l'incorporamento della politica corporativa. Frequentemente, la parte più
    > dura di agganciare al Internet, se you're una grande azienda, non sta
    > giustificando la spesa o lo sforzo, ma sta convincendo la gestione che

    esso
    > sicuro fare così. Una parete refrattaria fornisce non soltanto la

    sicurezza
    > reale -- svolge spesso un ruolo importante come coperta di sicurezza per

    la
    > gestione.
    >
    > Infine, una parete refrattaria può fungere da vostro ``

    ''corporativo
    > dell'ambasciatore al Internet. Molte società usano i loro sistemi della
    > parete refrattaria come posto per memorizzare le informazioni pubbliche

    sui
    > prodotti corporativi e sui servizi, archivi per trasferire, insetto-ripara

    e
    > così avanti. alcuni di questi sistemi hanno parti importanti diventate

    della
    > struttura di servizio del Internet (per esempio, UUnet.uu.net,
    > whitehouse.gov, gatekeeper.dec.com) ed hanno riflesso bene sui loro

    garanti
    > organizzativi. Si noti non normalmente che mentre questa è storicamente
    > allineare, la maggior parte delle organizzazioni ora dispongono le
    > informazioni pubbliche su un server di Web, protetto spesso da una parete
    > refrattaria, ma sulla parete refrattaria in se.
    >
    >
    >
    > 2.3 Da che cosa può una parete refrattaria proteggere?
    > Alcune pareti refrattarie consentono soltanto il traffico del email
    > attraverso loro, quindi proteggendo la rete da tutti gli attacchi tranne

    gli
    > attacchi dal servizio del email. Altre pareti refrattarie assicurano le
    > protezioni meno rigorose ed ostruiscono i servizi che sono conosciuti per
    > essere problemi.
    >
    > Generalmente, le pareti refrattarie sono configurate per proteggere

    da
    > unauthenticated gli inizio attività interattivi `` dal mondo del ''della
    > parte esterna. Ciò, più di qualche cosa, aiuti impedisce ai vandals di
    > annotare nelle macchine sulla vostra rete. Le pareti refrattarie più
    > elaborate ostruiscono il traffico dalla parte esterna alla parte interna,

    ma
    > permettono agli utenti sulla parte interna di comunicare liberamente con

    la
    > parte esterna. La parete refrattaria può proteggerla da qualunque tipo di
    > attacco rete-sopportato se lo disconnettete.
    >
    > Le pareti refrattarie sono egualmente importanti poiché possono
    > fornire un singolo `` ''del punto della bobina d'arresto in cui la

    sicurezza
    > e la verifica possono essere imposte. Diverso dentro di una situazione

    dove
    > un sistema di elaborazione sta attacando da qualcuno che compone dentro

    con
    > un modem, la parete refrattaria può fungere da `` ''efficace del colpetto
    > del telefono e strumento seguente. Le pareti refrattarie forniscono una
    > funzione annotante e di verifica importante; forniscono spesso i sommari
    > all'amministratore circa che generi e quantità di traffico ha attraversato
    > esso, quanti tentativi là dovevano rompersi in esso, ecc.
    >
    > Poiché di questo, i libri macchina della parete refrattaria sono

    dati
    > criticamente importanti. Possono essere usati come prova in una corte di
    > legge nella maggior parte dei paesi. Dovreste salvaguardare, analizzare e
    > proteggere la parete refrattaria di yoru annota di conseguenza.
    >
    > Ciò è un punto importante: fornire questo `` ''del punto della

    bobina
    > d'arresto può avere lo stesso scopo sulla vostra rete come una latta
    > custodita del cancello per i locali fisici del vostro luogo. Quello mezzi

    in
    > qualsiasi momento avete un cambiamento `` nelle zone 'o nei livelli della
    > sensibilità, un tal punto di controllo è adatto. Un'azienda non ha

    raramente
    > soltanto un cancello esterno e receptionist o personale di sicurezza per
    > controllare i distintivi sul modo dentro. Se ci sono strati di sicurezza

    sul
    > vostro luogo, esso ragionevole per prevedere gli strati di sicurezza sulla
    > vostra rete.
    >
    >
    >
    > 2.4 Che can't che una parete refrattaria protegge da?
    > Le pareti refrattarie non possono proteggere dagli attacchi che non
    > passano attraverso la parete refrattaria. Molte società che collegano al
    > Internet sono molto interessate circa i dati riservati che fuoriescono

    fuori
    > dell'azienda tramite quell'itinerario. Purtroppo per quelli interessati,
    > azionamenti un nastro magnetico, un disco compatto, dell'istantaneo del

    USB
    > o, di DVD inscatolano appena come sia usato efficacemente esportare i

    dati.
    > Molte organizzazioni che sono terrorizzate (ad un livello di gestione) dei
    > collegamenti del Internet non hanno politica coerente circa come manopola-
    > in accesso via i modem dovrebbe essere protetto. Silly costruire un

    portello
    > d'acciaio spesso del sei-piede quando vivete in una casa di legno, ma là è
    > organizzazioni molto verso l'esterno là l'acquisto delle pareti

    refrattarie
    > costose e trascurare il numeroso altri indietro-portelli nella loro rete.
    > Affinchè una parete refrattaria funzioni, deve essere una parte di
    > un'architettura organizzativa generale costante di sicurezza. Le politiche
    > della parete refrattaria devono essere realistiche e riflettere il livello
    > di sicurezza nell'intera rete. Per l'esempio, un luogo con bisogno segreto

    o
    > classificato superiore del doesn't di dati una parete refrattaria affatto:
    > shouldn't stanno collegando al Internet nel primo posto, o i sistemi con i
    > dati realmente segreti dovrebbero essere isolati dal resto della rete
    > corporativa.
    >
    > Un'altra cosa che un can't della parete refrattaria realmente li
    > protegge da è traitors o idiots all'interno della vostra rete. Mentre una
    > spia industriale potrebbe esportare le informazioni attraverso la vostra
    > parete refrattaria, lui appena come probabilmente per esportarlo

    attraverso
    > un telefono, una macchina del FAX, o un disco compatto. CDs sono mezzi

    molto
    > più probabili per informazione per fuoriuscire dalla vostra organizzazione
    > che una parete refrattaria. Le pareti refrattarie anche non possono
    > proteggerle da stupidity. Gli utenti che rivelano le informazioni

    sensibili
    > sopra il telefono sono buoni obiettivi per ingegneria sociale; un attacker
    > può potere rompersi nella vostra rete completamente escludendo la vostra
    > parete refrattaria, se può trovare `` una parte interna utile degli
    > impiegati del ''che può essere imbrogliata nel dare l'accesso ad uno

    stagno
    > del modem. Prima di decidere questo isn't un problema nella vostra
    > organizzazione, si chiede come molta difficoltà un appaltatore ha ottenere
    > annotata nella rete o come molta difficoltà un utente che ha dimenticato

    la
    > sua parola d'accesso doverla per ripristinarsi. Se la gente sul servizio
    > d'assistenza crede che ogni chiamata sia interna, fate riparare un

    problema
    > quel can't stringendo i comandi sulle pareti refrattarie.
    >
    > Il can't delle pareti refrattarie protegge dall'eccedenza che di
    > traforo la maggior parte dei protocolli di applicazione a trojaned o

    clienti
    > male scritti. Non ci sono pallottole magiche e una parete refrattaria non

    è
    > una giustificazione per non effettuare i comandi del software sulle reti
    > interne o per non ignorare la sicurezza ospite sui server. Le cose

    difettose
    > del ''di traforo `` sopra il HTTP, lo smtp ed altri protocolli è

    abbastanza
    > semplici e dimostrate banalmente. Il fuoco del isn't di sicurezza `` e si
    > dimentica ''.
    >
    > Infine, il can't delle pareti refrattarie protegge dalle cose
    > difettose che sono consentite con loro. Il caso, molti cavalli di Trojan
    > usano il protocollo di chiacchierata del relè del Internet (IRC) per
    > permettere che un attacker gestisca un calcolatore centrale interno
    > compromesso da un server del IRC del pubblico. Se permettete che qualunque
    > sistema interno colleghi a qualunque sistema esterno, quindi la vostra
    > parete refrattaria non assicurerà protezione da questo vettore

    dell'attacco.
    >
    >
    >
    > 2.5 Che cosa circa i virus e l'altro malware?
    > Le pareti refrattarie non possono proteggere molto bene dalle cose
    > come i virus o il software cattivo (malware). Ci sono ugualmente molti

    modi
    > di cifratura degli archivi in codice binari per il trasferimento sulle

    reti
    > ed ugualmente molti architetture e virus differenti per provare a cercarle
    > tutte. In altre parole, una parete refrattaria non può sostituire la
    > sicurezza-coscienza sulla parte dei vostri utenti. In generale, una parete
    > refrattaria non può proteggere da un attacco data-driven -- attacchi in

    cui
    > qualcosa è spedita o copiata ad un calcolatore centrale interno in cui
    > allora è eseguita. Questa forma dell'attacco si è presentata nel passato
    > contro le varie versioni di sendmail, ghostscript, scripting gli agenti
    > dell'utente della posta come i browsersdi Web e di prospettiva come il
    > Internet Explorer.
    >
    > Le organizzazioni che profondamente sono interessate circa i virus
    > dovrebbero effettuare le misure di controllo organizzazione-larghe del
    > virus. Piuttosto che soltanto provando a selezionare i virus fuori alla
    > parete refrattaria, renda sicuro che ogni tavolo vulnerabile ha software

    di
    > esame del virus che è funzionato quando la macchina rebooted. Ricoprendo
    > della vostra rete con il software di esame del virus proteggerà dai virus
    > che entrano via i dischetti, CDs, modem ed il Internet. Provare ad

    ostruire
    > i virus alla parete refrattaria proteggerà soltanto dai virus dal

    Internet.
    > L'esame del virus alla parete refrattaria o al Gateway di E-mail arresterà
    > un grande numero di infezioni.
    >
    > Tuttavia, un numero aumentante di fornitori della parete refrattaria
    > sta offrendo `` il virus che rileva le pareti refrattarie del ''. They're
    > probabilmente soltanto utile per gli utenti ingenui che scambiano i
    > programmi eseguibili dell'Windows-su-Intel ed i documenti
    > cattivo-macro-capaci di applicazione. Ci sono molti metodi parete-basati

    per
    > occuparsi dei problemi come `` la vite senza fine del ''di ILOVEYOU e gli
    > attacchi riferiti, ma questi sono metodi realmente troppo semplificati che
    > provano a limitare danni di qualcosa che sia così stupido esso dovrebbe

    non
    > accadere mai nel primo posto. Non conti su alcuna protezione dai attackers
    > con questa caratteristica. (poiché `` il ''di ILOVEYOU è andato intorno,

    il
    > we've visto al meno una mezza dozzina simile attaca, compreso melissa,
    > Happy99, codifica il colore rosso e Badtrans.B, tutto il cui è stato

    passato
    > felicemente tramite molti pareti refrattarie e Gateway dirilevazione di
    > E-mail.)
    >
    > Una parete refrattaria forte non è mai un sostituto per software
    > ragionevole che riconosce la natura di che cosa sta maneggiando --

    untrusted
    > i dati dall'unauthenticated il partito -- e si comporta giustamente. Non
    > pensi che perché `` tutto ''sta utilizzando quel bollettino o perché il
    > fornitore è un'azienda multinazionale pantagruelica, voi sono sicuro.
    > Infatti, non è allineare che `` tutto ''sta utilizzando tutto il

    bollettino
    > e le aziende che si specializzano nella tecnologia di rotazione inventata
    > altrove in qualcosa che sia `` facile da usare il ''senza alcuna perizia
    > sono più probabili produrre il software che può essere imbrogliato.
    > Ulteriore considerazione di questo soggetto sarebbe utile [3], ma è oltre

    la
    > portata di questo documento.
    >
    >
    >
    > 2.6 IPSEC renderà le pareti refrattarie obsolete?
    > Alcuni hanno sostenuto che questo è il caso. Prima della pronuncia
    > della così previsione ampia, tuttavia, è interessante da considerare che
    > cosa IPSEC è e che cosa. Una volta che conosciamo questo, possiamo
    > considerare se IPSEC risolverà i problemi quel we're che prova a risolvere
    > con le pareti refrattarie.
    >
    > IPSEC (sicurezza del IP) si riferisce ad un insieme degli standard
    > sviluppati dal Internet Engineering Task Force (IETF). Ci sono molti
    > documenti che definiscono collettivamente che cosa è conosciuto come ``

    ''di
    > IPSEC ;[6]. IPSEC risolve due problemi che hanno contagiato il suite di
    > protocollo del IP per gli anni: autenticazione del
    > calcolatore-$$$-CALCOLATORE centrale (che lascerà i calcolatori centrali
    > conoscere quel they're che comunica con calcolatori centrali pensano che
    > siano) e crittografia (che impedirà i attackers potere guardare il

    traffico
    > andare fra le
    >
    > Back to Top
    > FAQ della parete refrattaria in italiano 2
    > Si noti che nessuno di questi problemi è che cosa le pareti
    > refrattarie sono state create per risolvere. Anche se le pareti

    refrattarie
    > possono contribuire ad attenuare alcuni dei rischi presenti su un Internet
    > senza autenticazione o crittografia, ci sono realmente due codici

    categoria
    > dei problemi qui: integrità e segretezza delle informazioni che fluiscono
    > fra i calcolatori centrali ed i limiti disposti su che generi di
    > connettività è permesso fra le reti differenti. IPSEC richiama il codice
    > categoria e le pareti refrattarie precedenti il posteriore.
    >
    > Che cosa questi il mezzo è quell'non eliminerà l'esigenza

    dell'altro,
    > ma crea alcune possibilità interessanti quando guardiamo unenti le pareti
    > refrattarie con i calcolatori centrali IPSEC-permessi. Vale a dire, tali
    > cose come le reti riservate virtuali fornitore-indipendenti (VPNs), la
    > filtrazione migliore del pacchetto (filtrando sopra se i pacchetti hanno
    > l'intestazione di autenticazione di IPSEC) e le pareti refrattarie di
    > applicazione-strato potranno avere mezzi migliori di verifica ospite
    > realmente usando l'intestazione di autenticazione di IPSEC anziché ``

    ''che
    > fidantesi giusto il IP address si è presentato.
    >
    >
    >
    > 2.7 Che cosa sono buone sorgenti delle informazioni della stampa

    sulle
    > pareti refrattarie?
    > Ci sono parecchi libri che toccano sulle pareti refrattarie.
    > Conosciuti il più bene sono:
    >
    > Pareti refrattarie del Internet della costruzione, 2d ed.
    > Autori
    > Elizabeth D. Zwicky, cooper del Simon e D. Brent Chapman
    > Editore
    > O'Reilly
    > Edizione
    > 2000
    > ISBN
    > 1-56592-871-7
    >
    > Pareti refrattarie e sicurezza del Internet: Respinta del hacker

    wily
    > Autori
    > Fattura Cheswick, Steve Bellovin, Avi Rubin
    > Editore
    > Addison Wesley
    > Edizione
    > 2003
    > ISBN
    > 020163466X
    >
    > Sicurezza Pratica Di UNIX & Del Internet
    > Autori
    > Simson Garfinkel e gene Spafford
    > Editore
    > O'Reilly
    > Edizione
    > 1996
    > ISBN
    > 1-56592-148-8
    > Nota
    > Discute soprattutto la sicurezza ospite.
    > I riferimenti relativi sono:
    >
    > Internetworking con TCP/IP Vols I, IIed III
    > Autori
    > Comer ;della Douglas e David ;Stevens
    > Editore
    > Prentice-Corridoio
    > Edizione
    > 1991
    > ISBN
    > 0-13-468505-9 (i), 0-13-472242-6 (ii), 0-13-474222-2 (iii)
    > Commento
    > Una discussione dettagliata sull'architettura ed implementazione del
    > Internet e dei relativi protocolli. Il volume I (sui principii, sui
    > protocolli e sull'architettura) è leggibile da tutto. Il volume 2 (sul
    > disegno, sull'implementazione e sui internals) è più tecnico. Computazione
    > del cliente-server delle coperture del volume 3.
    >
    > Sicurezza del sistema di UNIX -- una guida per gli utenti e gli
    > amministratori di sistema
    > Autore
    > Curry Di David
    > Editore
    > Addison Wesley
    > Edizione
    > 1992
    > ISBN
    > 0-201-56327-4
    >
    >
    > 2.8 Dove posso ottenere le più informazioni sulle pareti refrattarie
    > sul Internet?
    >
    > Manuale Di Sicurezza Del Luogo
    > http://www.rfc-editor.org/rfc/rfc2196.txt il manuale di sicurezza

    del
    > luogo è un documento dello IETF delle informazioni che descrive le domande
    > fondamentali che devono essere indirizzate per buona sicurezza del luogo
    > della costruzione. Le pareti refrattarie sono una parte di più grande
    > strategia di sicurezza, poichè il manuale di sicurezza del luogo mostra.
    > Pareti refrattarie Che Spediscono Lista
    > http://www.isc.org/index.pl?/ops/lists/firewalls/ le pareti
    > refrattarie del Internet che spediscono la lista è una tribuna per gli
    > amministratori ed i implementors della parete refrattaria.
    > Parete-Firewall-Wizards Che Spediscono Lista
    > http://honor.icsalabs.com/mailman/listinfo/firewall-wizards i

    wizards
    > della parete refrattaria che spediscono la lista è una parete refrattaria
    > moderata e una lista riferita sicurezza che è più come un giornale che un
    > soapbox pubblico.
    > Parete refrattaria HOWTO
    > http://www.linuxdoc.org/HOWTO/Firewall-HOWTO.html descrive

    esattamente
    > che cosa è necessario costruire una parete refrattaria, specialmente

    usando
    > Linux.
    > Toolkit della parete refrattaria (FWTK) e carte dalla parete
    > refrattaria
    > ftp://ftp.tis.com/pub/firewalls/
    > Pubblicazioni relative della parete refrattaria di Marcus Ranum
    > http://www.ranum.com/pubs/
    > Strumenti di sicurezza dell'università del Texas A&M
    > http://www.net.tamu.edu/ftp/security/TAMU/
    > Pagina delle pareti refrattarie del Internet di progetto del

    LITORALE
    > http://www.cerias.purdue.edu/coast/firewalls/
    >
    >
    > 3 edizioni di implementazione e di disegno
    >
    >
    > 3.1 Che cosa sono alcune delle decisioni di base di disegno in una
    > parete refrattaria?
    > Ci è un numero di edizioni di base di disegno che dovrebbero essere
    > indirizzate dalla persona fortunata che è stata tasked con la

    responsabilità
    > di progettazione, di specificare e di effettuare o della sorveglianza
    > dell'installazione di una parete refrattaria.
    >
    > La prima e maggior parte della decisione importante riflette la
    > politica di come la vostra azienda o organizzazione desidera funzionare il
    > sistema: è sul posto esplicitamente la parete refrattaria per negare tutti

    i
    > servizi tranne quelle critiche alla missione di collegamento alla rete, o

    è
    > la parete refrattaria sul posto per fornire un metodo misurato e

    verificato
    > `` di accesso facente la coda del ''in un modo non-minaccioso? Ci sono

    gradi
    > di paranoia fra queste posizioni; la posizione finale della vostra parete
    > refrattaria ha potuto essere più il risultato di un politico che una
    > decisione di ingegneria.
    >
    > Il secondo è: che livello di controllo, la sovrabbondanza e

    controllo
    > desiderate? Stabilendo il livello accettabile di rischio (cioè, come il
    > paranoid voi è) risolvendo il primo problema, potete formare una lista di
    > controllo di che cosa dovrebbe essere controllato, consentito ed essere
    > negato. Cioè cominciate calcolando verso l'esterno i vostri obiettivi
    > generali ed allora unite avete bisogno dell'analisi con una valutazione di
    > rischio ed ordinate i requisiti quasi sempre stanti in conflitto fuori in
    > una lista della lavanderia che specifica che cosa progettate effettuare.
    >
    > La terza edizione è finanziaria. Non possiamo richiamare questo qui
    > qualche cosa ma nei termini vaghi, ma è importante da provare misurare

    tutte
    > le soluzioni proposte in termini di quanto costerà uno per comprare o
    > effettuare. Per l'esempio, un prodotto completo della parete refrattaria

    può
    > costare fra $100.000 all'alta estremità e libera all'estremità bassa.
    > L'opzione libera, di fare una certa immaginazione che configura su un

    Cisco
    > o su un router simile non costerà niente ma il tempo del personale e lle
    > poche tazze di caffè. Effettuare un'alta parete refrattaria dell'estremità
    > da zero potrebbe costare parecchi mesi lavorativi, che possono

    identificare
    > a valore $30.000 dello stipendio e dei benefici del personale. Le spese
    > generali di gestione dei sistemi sono egualmente una considerazione. Lo
    > sviluppo della sede-fermentazione è benissimo, ma esso importante

    costruirlo
    > così che doesn't richiede l'attenzione costante (e costosa). Importante,

    in
    > altre parole, valutare le pareti refrattarie non soltanto nei termini di

    che
    > cosa ora costano, ma nella continuazione costa tali come il supporto.
    >
    > Dal lato tecnico, ci sono lle coppie delle decisioni da fare, basate
    > sul fatto che per tutti gli scopi pratici che cosa stiamo parlando è un
    > servizio statico di percorso di traffico disposto fra il router del
    > fornitore di servizio della rete e la vostra rete interna. Il servizio di
    > percorso di traffico può essere effettuato ad un livello del IP via

    qualcosa
    > come le regole della selezione in un router, o ad un livello di

    applicazione
    > via i Gateway ed i servizi di procura.
    >
    > La decisione da fare è se disporre una macchina messa a nudo-giù
    > esposta sulla rete esterna per fare funzionare i servizi di procura per il
    > telnet, il ftp, le notizie, ecc., o se installare un router della

    selezione
    > come filtro, consentendo la comunicazione con una o più macchina interna.

    Ci
    > sono benefici e svantaggi ad entrambi i metodi, con la macchina di procura
    > che fornisce un livello più grande della verifica e, potenzialmente, la
    > sicurezza nel ritorno per il costo aumentato nella configurazione e una
    > diminuzione nel livello di servizio che può essere fornito (poiché una
    > procura deve essere sviluppata per ogni servizio voluto). La vecchia
    > alternanza fra facilità di uso e sicurezza ritorna frequentarla con un
    > vengeance.
    >
    >
    >
    > 3.2 Che cosa sono i tipi di base di pareti refrattarie?
    > Concettualmente, ci sono tre tipi di pareti refrattarie:
    >
    > Strato di rete
    > Strato di applicazione
    > Ibridi
    > Non sono differenti come potreste pensare e le ultime tecnologie
    > stanno offuscando la distinzione al punto in cui non è più chiara se uno

    uno
    > è `` ''migliore o `` più difettoso.'' Come sempre, dovete fare attenzione
    > selezionare il tipo che soddisfa le vostre esigenze.
    >
    > Quale è quale dipende da che meccanismi la parete refrattaria usa
    > passare il traffico da una zona di sicurezza ad un altro. Il modello
    > internazionale di interconnessione dei sistemi aperti di organizzazione di
    > normalizzazione (iso) (OSI) per rete definisce sette strati, dove ogni
    > strato fornisce i servizi da che `` gli strati di più alto livello del
    > ''dipendono. Nell'ordine dalla parte inferiore, questi strati sono fisici,
    > programmazione dei dati, la rete, il trasporto, la sessione, la
    > presentazione, applicazione.
    >
    > La cosa importante da riconoscere è che l'a livello più basso il
    > meccanismo di spedizione, meno esame che la parete refrattaria può
    > effettuare. Generalmente parlando, le pareti refrattarie a livello più

    basso
    > sono più veloci, ma sono più facili da imbrogliare nel fare la cosa

    errata.
    >
    > Attualmente, la maggior parte delle pareti refrattarie entrano ``
    > nella categoria ibrida del '', che fanno la rete che filtra così come una
    > certa quantità di controllo di applicazione. L'importo cambia la

    dipendenza
    > dal fornitore, dal prodotto, dal protocollo e dalla versione, in modo da

    un
    > certo livello di scavatura e/o di prova è necessario spesso.
    >
    >
    > 3.2.1 Pareti refrattarie di strato di rete
    > Questi prendono generalmente le loro decisioni basate sulla

    sorgente,
    > sugli indirizzi di destinazione e sulle porte (veda l'appendice 6 per una
    > discussione più dettagliata sulle porte) in diversi pacchetti del IP. Un
    > router semplice è `` la parete refrattaria tradizionale di strato di rete
    > del '', poiché non può da prendere specialmente le decisioni specializzate
    > circa da ché pacchetto realmente sta comunicando con o da dove realmente è
    > venuto. Le pareti refrattarie moderne di strato di rete sono diventato
    > sempre più specializzate ed ora effettuano le informazioni interne sul
    > dichiarare dei collegamenti che passano attraverso loro, sul contenuto di
    > alcuno dei flussi di dati e così via. Una cosa che una distinzione
    > importante circa molte pareti refrattarie di strato di rete è che dirigono
    > direttamente il traffico comunque loro, in modo da ad uso uno dovete avere
    > un blocchetto bene assegnato di indirizzo del IP o usare `` un blocchetto
    > riservato di indirizzo del ''del Internet [5]. Le pareti refrattarie di
    > strato di rete tendono ad essere molto veloci ed a tendere ad essere molto
    > trasparenti agli utenti.
    >
    >
    > Figura 1: Parete refrattaria Selezionata Ospite
    >
    > Nella figura 1, una parete refrattaria di strato di rete ha chiamato
    > `` un calcolatore centrale selezionato il ''della parete refrattaria che è
    > rappresentato. In una parete refrattaria selezionata ospite, l'accesso a e
    > da un singolo calcolatore centrale è gestito il per mezzo di un router che
    > funziona ad uno strato di rete. Il singolo calcolatore centrale è un
    > calcolatore centrale del bastion; un forte-punto alto-difeso ed assicurato
    > che (eventualmente) può resistere all'attacco.
    >
    >
    > Figura 2: Parete refrattaria Selezionata Di Sottorete
    >
    > Parete refrattaria di strato di rete di esempio: Nella figura 2, una
    > parete refrattaria di strato di rete ha chiamato `` un ''selezionato della
    > parete refrattaria di sottorete è rappresentata. In una parete refrattaria
    > selezionata di sottorete, l'accesso a e da una rete intera è gestito il

    per
    > mezzo di un router che funziona ad uno strato di rete. È simile ad un
    > calcolatore centrale selezionato, tranne che è, efficacemente, una rete

    dei
    > calcolatori centrali selezionati.
    >
    >
    > 3.2.2 Pareti refrattarie di strato di applicazione
    > Questi sono generalmente calcolatori centrali che fanno funzionare i
    > server di procura, che non consentono traffico direttamente fra le reti e
    > che realizzano annotare e la verifica elaborate del traffico che passa con
    > loro. Poiché le applicazioni di procura sono componenti di software che
    > funzionano sulla parete refrattaria, è un buon posto per fare i lotti di
    > controllo di accesso ed annotare. Le pareti refrattarie di strato di
    > applicazione possono essere usate come traduttori di indirizzo di rete,
    > poiché il traffico va in uno `` ''laterale e verso l'esterno l'altro, dopo
    > passanti con un'applicazione che maschera efficacemente l'origine del
    > collegamento d'inizio. Avendo un'applicazione nel modo in alcuni casi può
    > avere effetto sulle prestazioni e può rendere la parete refrattaria meno
    > trasparente. Le pareti refrattarie in anticipo di strato di applicazione
    > tali come quelle costruite usando il toolkit della parete refrattaria di
    > TIS, non sono particolarmente trasparenti agli utenti dell'estremità e
    > possono richiedere un certo addestramento. Le pareti refrattarie moderne

    di
    > strato di applicazione sono spesso completamente trasparenti. Le pareti
    > refrattarie di strato di applicazione tendono a fornire i rapporti di
    > verifica più dettagliati ed a tendere a fare rispettare i modelli più
    > conservatori di sicurezza che le pareti refrattarie di strato di rete.
    >
    >
    > Figura 3: Si raddoppia Il Gateway Homed
    >
    > Parete refrattaria di strato di applicazione di esempio: Nella

    figura
    > 3, una parete refrattaria di strato di applicazione chiamata `` un ''homed
    > doppio del Gateway è rappresentata. Un Gateway homed doppio è un

    calcolatore
    > centrale altamente assicurato che fa funzionare il software di procura. Ha
    > due interfacce della rete, una su ogni rete ed ostruisce tutto il traffico
    > che passa con esso.
    >
    > La maggior parte delle pareti refrattarie ora si trovano in qualche
    > luogo fra le pareti refrattarie di strato di rete e le pareti refrattarie

    di
    > strato di applicazione. Come previsto, le pareti refrattarie di strato di


    > rete hanno `` ''informato sempre più diventato delle informazioni che
    > passano attraverso loro e le pareti refrattarie di strato di applicazione
    > hanno `` ''sempre più diventato del basso livello e trasparenti. Il
    > risultato finale è che ora ci sono sistemi veloci della

    pacchetto-selezione
    > che libro macchina e dati di verifica come attraversano il sistema. Sempre
    > più, le pareti refrattarie (rete e strato di applicazione) comprendono la
    > crittografia così che possono proteggere il traffico che passa fra loro
    > sopra il Internet. Le pareti refrattarie con la crittografia faccia a

    faccia
    > possono essere usate dalle organizzazioni con i punti multipli della
    > connettività del Internet per usare il Internet come `` ''riservato della
    > base senza preoccuparsi per i loro dati o parole d'accesso che sono

    fiutati.
    > (IPSEC, descritto nella parte 2.6, sta svolgendo un ruolo sempre più
    > significativo nella costruzione di tali reti riservate virtuali.)
    >
    >
    >
    > 3.3 Che cosa sono server di procura e come funzionano?
    > Un proxy server (a volte citato come un Gateway o forwarder di
    > applicazione) è un'applicazione che media il traffico fra una rete

    protetta
    > ed il Internet. Le procure sono usate spesso anziché le discipline del
    > traffico router-basate, per impedire il traffico passare direttamente fra

    le
    > reti. Molte procure contengono il supplemento che annota o contributo
    > all'autenticazione dell'utente. Poiché le procure devono `` capire il ''il
    > protocollo di applicazione che usando, possono anche effettuare la

    sicurezza
    > specifica di protocollo (per esempio, una procura del ftp potrebbe essere
    > configurabile consentire il ftp ricevuto ed ostruire il ftp uscente).
    >
    > I server di procura sono applicazione specifica. Per sostenere un
    > nuovo protocollo via una procura, una procura deve essere sviluppata per
    > esso. Un insieme popolare dei server di procura è il toolkit della parete
    > refrattaria del Internet di TIS (``FWTK '') che include le procure per il
    > telnet, il rlogin, il ftp, le notizie del sistema, di HTTP/Web e di
    > NNTP/Usenet della finestra di X. I CALZINI è un sistema generico di

    procura
    > che può essere compilato in un'applicazione del cliente-lato per rendergli
    > il lavoro attraverso una parete refrattaria. Il relativo vantaggio è che
    > esso facile usare, ma esso supporto che del doesn't l'aggiunta
    > dell'autenticazione aggancia o di annotare specifico di protocollo. Per le
    > più informazioni sui CALZINI, veda http://www.socks.nec.com/.
    >
    >
    >
    > 3.4 Che cosa sono alcuni strumenti poco costosi della selezione del
    > pacchetto?
    > Gli strumenti di sicurezza dell'università del Texas A&M includono

    il
    > software per i routers effettuanti della selezione. Karlbridge è un kit
    > selezionante Pc-basato del router disponibile da
    > ftp://ftp.net.ohio-state.edu/pub/kbridge/.
    >
    > Ci sono schermi numerosi del pacchetto del nocciolo-livello,

    compreso
    > ipf, ipfw, ipchains, pfed ipfwadm. Tipicamente, questi sono inclusi in

    varie
    > implementazioni libere di UNIX, tali come FreeBSD, OpenBSD, NetBSDe Linux.
    > Potreste anche trovare questi strumenti disponibili nella vostra
    > implementazione commerciale di UNIX.
    >
    > Se you're che vuole ottenerlo alle vostre mani un piccolo sporco,
    > completamente possibile costruire una parete refrattaria sicura e
    > completamente funzionale per il prezzo di hardware ed alcuno del vostro
    > tempo.
    >
    >
    >
    > 3.5 Che cosa sono alcune regole di filtrazione ragionevoli per uno
    > schermo nocciolo-basato del pacchetto?
    > Questo esempio è scritto specificamente per ipfwadm su Linux, ma i
    > principii (e perfino gran parte della sintassi) fa domanda per altre
    > interfacce del nocciolo per la selezione del pacchetto `` sui sistemi

    aperti
    > di UNIX del ''di sorgente.
    >
    > Ci sono quattro categorie di base coperte dalle regole del ipfwadm:
    >
    >
    > - A
    > Contabilità Del Pacchetto
    > - I
    > Parete refrattaria dell'input
    > - O
    > Parete refrattaria dell'uscita
    > - F
    > Parete refrattaria di spedizione
    > il ipfwadm egualmente ha masquerading (-M) possibilità. Per le più
    > informazioni sugli interruttori e sulle opzioni, veda la pagina dell'uomo
    > del ipfwadm.
    >
    >
    > 3.5.1 Implementazione
    > Qui, la nostra organizzazione sta usando (RFC 1918 ) una rete
    > riservata 192.168.1.0 del codice categoria C. Il nostro ISP ci ha

    assegnato
    > gli indirizzi 201.123.102.32 per l'interfaccia esterna del nostro Gateway

    e
    > 201.123.102.33 per il nostro server esterno della posta. La politica
    > organizzativa dice:
    >
    >
    > Permetta tutti i collegamenti uscenti di TCP
    > Permetta lo smtp ricevuto ed il DNS al mail server esterno
    > Ostruisca tutto il altro traffico
    > Il seguente blocco dei comandi può essere disposto in un archivio

    del
    > caricamento del sistema del sistema (forse rc.local sui sistemi di UNIX).
    >
    >
    > il ipfwadm - F - ipfwadm di f - F - p nega il
    > ipfwadm - F - i m. - b - P tcp - S 0.0.0.0/0 1024:65535 -
    > ipfwadm 25 - F di D 201.123.102.33 - i m. - b - P tcp - S
    > 0.0.0.0/0 1024:65535 - ipfwadm 53 - F di D 201.123.102.33 - i m. -
    > b - UDP di P - S 0.0.0.0/0 1024:65535 - ipfwadm 53 - F di D
    > 201.123.102.33 - una m. - S 192.168.1.0/24 - D 0.0.0.0/0 - il W
    > eth0 /sbin/route aggiunge - ospita 201.123.102.33 gw
    > 192.168.1.2
    >
    >
    > 3.5.2 Spiegazione
    > La riga una irriga (- f) tutte le regole di spedizione(-F).
    > Riga due insiemi politica di difetto (-p) negare.
    > Le righe da tre a cinque sono regole immesse (-i) nel seguente
    > formato:
    > ipfwadm - F (di andata) - i (input) m. (masq.) - protocol)[protocol

    di
    > b (bidirezionale ) - P ]- S (source)[subnet/mask ] [ che produce le

    porte ]-
    > D (destination)[subnet/mask][port ]
    >
    >
    > La riga sei collega (-a) una regola che consente tutto il IP interno
    > richiama fuori a tutti gli indirizzi esterni su tutti i protocolli, tutte

    le
    > porte.
    >
    > La riga otto aggiunge un itinerario in modo che il traffico che va a
    > 201.123.102.33 sia diretto verso l'indirizzo interno 192.168.1.2.
    >
    >
    > 3.6 Che cosa sono alcune regole di filtrazione ragionevoli per un
    > Cisco?
    > L'esempio nella figura 4 mostra una configurazione possibile per
    > usando il Cisco come router di filtrazione. È un campione che mostra
    > l'implementazione come di politica specifica. La vostra politica varierà
    > indubbiamente.
    >
    >
    > Figura 4: Router Di Filtrazione Del Pacchetto
    >
    > In questo esempio, un'azienda ha indirizzo di rete del codice
    > categoria C 195.55.55.0. La rete dell'azienda è collegata al Internet via

    il
    > fornitore di servizio del IP. La politica dell'azienda è di concedere

    ognuno
    > l'accesso ai servizi del Internet, in modo da tutti i collegamenti uscenti
    > sono accettati. Tutti i collegamenti ricevuti passano attraverso ``

    mailhost
    > ''. La posta ed il DNS sono soltanto servizi ricevuti.
    >
    >
    > 3.6.1 Implementazione
    >
    > Permetta tutto il TCP-connections uscente
    > Permetta lo smtp ricevuto ed il DNS a mailhost
    > Permetta i collegamenti di dati ricevuti del ftp all'alta porta di

    TCP
    > (1024)
    > Provi a proteggere i servizi che vivono sugli alti numeri port
    > Soltanto i pacchetti ricevuti dal Internet sono controllati dentro
    > questa configurazione. Le regole sono esaminate nell'ordine e si arrestano
    > quando la prima corrispondenza è trovata. Ci è un implicito nega la regola
    > all'estremità di una lista di accesso che nega tutto. Questa lista di
    > accesso del IP suppone che state facendo funzionare l'IOS v del Cisco.

    10.3
    > o successivamente.
    >
    >
    > nessun IP sorgente-dirige! Ethernet
    > dell'interfaccia 0 IP address 195.55.55.1 che nessun IP dirig-ha
    > trasmesso per radio! la pubblicazione periodica 0
    > dell'interfaccia nessun IP dirig-ha trasmesso per radio il
    > accesso-gruppo 101 del IP dentro! la accesso-lista 101
    > nega il IP 127.0.0.0 che 0.255.255.255 tutte le accesso-liste 101
    > negano il IP 10.0.0.0 0.255.255.255 qualunque accesso-liste 101
    > negano il IP 172.16.0.0 0.15.255.255 tutte le accesso-liste 101
    > negano il IP 192.168.0.0 0.0.255.255 qualunque accesso-liste 101
    > rifiutano a IP qualunque 0.0.0.255 255.255.255.0 la accesso-lista
    > 101 rifiuta a IP qualunque 0.0.0.0 255.255.255.0! la
    > accesso-lista 101 rifiuta a IP 195.55.55.0 0.0.0.255
    > accesso-liste 101 qualsiasi di tcp del permesso affatto
    > stabilito! permesso tcp della accesso-lista 101 qualsiasi
    > permesso tcp della accesso-lista 101 dello smtp del eq ospite
    > 195.55.55.10 qualsiasi UDP del permesso della accesso-lista 101 di
    > dns del eq ospite 195.55.55.10 qualsiasi eq dns ospite
    > 192.55.55.10! la accesso-lista 101 rifiuta a tcp tutta la
    > qualunque gamma 6000 6003 che la accesso-lista 101 rifiuta a tcp
    > tutta la qualunque gamma 2000 2003 accesso-liste 101 negano il
    > tcp tutta la qualunque accesso-lista 2049 del eq 101 rifiuti
    > a UDP a tutto il qualunque eq 2049! permesso tcp della
    > accesso-lista 101 qualsiasi 20 qualsiasi gt 1024! ICMP
    > qualsiasi c'è ne del permesso della accesso-lista 101! riga
    > 0 4 accesso-codici categoria vty 2 del RO 2 della Comunità
    > FOOBAR del SNMP-SERVER nel permesso 195.55.55.0 0.0.0.255 della
    > accesso-lista 2
    >
    >
    > 3.6.2 Spiegazioni
    > Cada tutti i pacchetti sorgente-diretti. Il percorso di sorgente può
    > essere usato per l'indirizzo che spoofing.
    > La goccia ha diretto le radiodiffusioni, che sono usate negli

    attacchi
    > dello smurf.
    > Se un pacchetto ricevuto sostiene provenire da una rete locale, da

    una
    > rete di "loopback", o da una rete riservata, cadala.
    > Tutti i pacchetti che fanno parte di TCP-connections già stabilito
    > possono passare attraverso senza più ulteriormente controllare.
    > Tutti i collegamenti ai numeri port bassi sono ostruiti tranne lo

    smtp
    > ed il DNS.
    > Ostruisca tutti i servizi che ascoltano i collegamenti di TCP sugli
    > alti numeri port. X11 (porta 6000+), OpenWindows (porta 2000+) sono pochi
    > candidati. Il NFS (porta 2049) li fa funzionare il UDP solitamente
    > eccessivo, ma può essere fatto funzionare sopra il TCP, in modo da

    dovrebbe
    > ostruirlo.
    > I collegamenti ricevuti da porta 20 negli alti numeri port sono
    > supposti per essere collegamenti di dati del ftp.
    > la Accesso-lista 2 limita l'accesso al router in se (telnet & SNMP)
    > Tutto il traffico del UDP è ostruito per proteggere i servizi del

    RPC
    >
    > 3.6.3 Imperfezioni
    >
    > Non potete fare rispettare le politiche forti di accesso con le

    liste
    > di accesso del router. Gli utenti possono installare facilmente i

    backdoors
    > ai loro sistemi per non ottenere ad eccedenza `` ''ricevuto del telnet o

    ``
    > regole del ''X11. Egualmente i cracker installano i backdoors del telnet

    sui
    > sistemi in cui rodaggio.
    >
    > Potete mai essere sicuri che servizio ascoltare i collegamenti sugli
    > alti numeri port. (can't siete sicuri di che servizio ascoltare i
    > collegamenti sui numeri port bassi, uno, particolarmente negli ambienti
    > altamente decentralizzati in cui la gente può mettere le loro proprie
    > macchine sulla rete o dove possono ottenere l'accesso amministrativo alle
    > loro proprie macchine.)
    >
    > Il controllo della porta di sorgente sui collegamenti di dati

    ricevuti
    > del ftp è un metodo debole di sicurezza. Egualmente rompe l'accesso ad
    > alcuni luoghi del ftp. Fa l'uso del servizio più difficile per gli utenti
    > senza impedire ai tipi difettosi di esplorare i vostri sistemi.
    > Uso a meno versione 9.21 del Cisco così potete filtrare i pacchetti
    > ricevuti e controllare per vedere se c'è l'indirizzo che spoofing. Ancora
    > migliora per usare 10.3, dove ottenete alcune caratteristiche

    supplementari
    > (come la filtrazione sulla porta di sorgente) ed alcuni miglioramenti su
    > sintassi del filtro.
    >
    > Avete ancora pochi modi rendere la vostra messa a punto più forte.
    > Ostruisca tutto il TCP-connections ricevuto e dica agli utenti di usare i
    > clienti passivo-Ftp. Potete anche ostruire il ICMP uscente eco-rispondete

    e
    > messaggi destinazione-destination-unreachable per nascondere la vostra

    rete
    > e per impedire l'uso dei dispositivi d'esplorazione della rete. L'uso di
    > Cisco.com avere un archivio degli esempi per la costruzione delle pareti
    > refrattarie per mezzo dei routers del Cisco, ma esso doesn't sembrerà

    essere
    > in linea più. Ci sono alcune note sulle liste di controllo di accesso del
    > Cisco, a minimi, a ftp://ftp.cisco.com/pub/mibs/app_notes/access-lists.
    >
    >
    >
    > 3.7 Che cosa sono le risorse critiche in una parete refrattaria?
    > Esso importante capire le risorse critiche della vostra architettura
    > della parete refrattaria, in modo da quando fate la pianificazione di
    > capienza, le ottimizzazioni di prestazioni, ecc., voi sanno esattamente

    che
    > cosa dovete fare e molto voi deve farlo nell'ordine per ottenere il
    > risultato voluto.
    >
    > Che cosa le risorse critiche della parete refrattaria sono

    esattamente
    > tende a variare dal luogo al luogo, dipendendo dall'ordinamento di

    traffico
    > che carica il sistema. Qualche gente pensa che il they'll possa
    > automaticamente aumentare il rendimento di dati della loro parete
    > refrattaria mettendo in una casella con un CPU più veloce, o un altro CPU,
    > quando questo isn't necessariamente il caso. Potenzialmente, questo

    potrebbe
    > essere un grande spreco di soldi che il doesn't fa qualche cosa risolvere

    il
    > problema alla mano o fornire lo scalability previsto.
    >
    > Sui sistemi occupati, la memoria è estremamente importante. Avete
    > avere abbastanza RAM per sostenere ogni caso di ogni programma necessario
    > per assistere il carico disposto su quella macchina. Altrimenti, la
    > permutazione cominci ed il rendimento si arresterà. La permutazione chiara


    > non è solitamente molta di un problema, ma se lo spazio di scambio del
    > sistema comincia ad ottenere occupato, quindi di esso è solitamente tempo
    > per più RAM. Un sistema che pesante permutazione è spesso relativamente
    > facile da spingere sopra il bordo in un attacco di smentita-de-servizio, o
    > cade semplicemente dietro nell'elaborare il carico disposto su esso. Ciò è
    > dove il email lungo fa ritardare l'inizio.
    >
    > Oltre il requisito del sistema della memoria, è utile capire che i
    > servizi differenti usano le risorse di sistema differenti. Così la
    > configurazione che avete per il vostro sistema dovrebbe essere indicativa
    > del genere di carico che progettate assistere. Un isn't del processor da
    > 1400 megahertz che va farli molta merce se tutto il fare del you're è
    > Netnews e posta e sta provando a farlo su un disco di ido con un

    regolatore
    > di ISA.
    >
    >
    >
    >
    >
    > Tabella 1: Risorse critiche per i servizi della parete refrattaria
    > Servizio Risorsa Critica
    > Email Disco I/O
    > Netnews Disco I/O
    > Web Prestazioni Dello Zoccolo di OS Ospite
    > Percorso del IP Prestazioni Dello Zoccolo di OS Ospite
    > Nascondiglio Di Web Prestazioni Dello Zoccolo di OS Ospite, Disco

    I/O
    >
    >
    >
    >
    >
    >
    >
    > 3.8 Che cosa è un DMZ e perchè io desidera uno?
    > Back to Top
    > FAQ della parete refrattaria in italiano 3
    > `` il ''di DMZ è un'abbreviazione per `` la zona demilitarized ''.

    Nel
    > contesto delle pareti refrattarie, questo si riferisce ad una parte della
    > rete che fa parte nè della rete interna nè direttamente parte del

    Internet.
    > Tipicamente, questa è la zona fra il vostro router di accesso del Internet
    > ed il vostro calcolatore centrale del bastion, benchè possa essere fra

    tutti
    > i due componenti politica-facenti rispettare della vostra architettura.
    >
    > Un DMZ può essere creato mettendo le liste di controllo di accesso

    sul
    > vostro router di accesso. Ciò minimizza l'esposizione dei calcolatori
    > centrali sulla vostra lan esterna dai servizi soltanto riconosciuti e
    > gestiti concedere di quei calcolatori centrali per essere accessibile dai
    > calcolatori centrali sul Internet. Molte pareti refrattarie commerciali
    > fanno semplicemente una terza interfaccia fuori del calcolatore centrale

    del
    > bastion e la identificano il DMZ, il punto è che la rete è nè `` ''nè ``
    > parte esterna 'della parte interna '.
    >
    > Per l'esempio, un server di Web che funziona sul NT ha potuto essere
    > vulnerabile ad un numero di attacchi di smentita-de-servizio contro tali
    > servizi come il RPC, NetBIOS e SMB. Questi servizi non sono richiesti per

    il
    > funzionamento di un server di Web, così ostruente i collegamenti di TCP

    alle
    > porte 135, 137, 138 e 139 su quel calcolatore centrale ridurranno
    > l'esposizione ad un attacco di smentita-de-servizio. Nel fatto, se

    ostruite
    > tutto ma il traffico del HTTP a quel calcolatore centrale, un attacker

    avrà
    > soltanto un servizio da attacare.
    >
    > Ciò illustra un principio importante: mai i attackers di offerta più
    > da funzionare con assolutamente da sostenere i servizi desiderano offrire

    il
    > pubblico.
    >
    >
    > 3.9 Come potrei aumentare la sicurezza e lo scalability del mio DMZ?
    > Un metodo comune per un attacker deve rompersi in un calcolatore
    > centrale che vulnerabile all'attacco ed ai rapporti di fiducia di impresa
    > fra il calcolatore centrale vulnerabile e gli obiettivi più interessanti.
    >
    > Se state facendo funzionare un numero di servizi che hanno livelli
    > differenti di sicurezza, potreste desiderare studiare la possibilità di
    > rompere il vostro DMZ in parecchie `` zone di sicurezza '. Ciò può essere
    > fatta avendo un certo numero di reti differenti all'interno del DMZ. Per
    > l'esempio, il router di accesso ha potuto alimentare due Ethernets,

    entrambi
    > protetti da ACLs e quindi nel DMZ.
    >
    > Su uno del Ethernets, potreste avere calcolatori centrali di cui lo
    > scopo è assistere l'esigenza della vostra organizzazione della

    connettività
    > del Internet. Questi probabilmente trasmetteranno la posta, le notizie ed

    il
    > calcolatore centrale DNS. Sull'altra Ethernet potrebbero essere il vostro
    > server(s) di Web ed altri calcolatori centrali che forniscono i servizi a
    > favore degli utenti del Internet.
    >
    > In molte organizzazioni, i servizi per gli utenti del Internet

    tendono
    > ad essere custoditi meno con attenzione e sono più probabili fare le cose
    > insicure. (per l'esempio, nel caso di un server di Web, unauthenticated ed
    > untrusted gli utenti potrebbe fare funzionare il cgi, PHP, o altri

    programmi
    > eseguibili. Ciò potrebbe essere ragionevole per il vostro server di Web,

    ma
    > porta con esso un determinato insieme dei rischi che devono essere

    gestiti.
    > Per un'organizzazione è probabile questi servizi è troppo rischioso farli
    > funzionare su un calcolatore centrale del bastion, in cui slitti -in su

    può
    > provocare il guasto completo dei meccanismi di sicurezza.)
    >
    > Unendo i calcolatori centrali con i livelli simili del rischio sulle
    > reti nel DMZ, potete contribuire a minimizzare l'effetto di un rodaggio al
    > vostro luogo. Se qualcuno si rompe nel vostro server di Web sfruttando un
    > certo insetto in vostro server di Web, il they'll non potere usarlo come
    > punto di lancio per rompersi nella vostra rete riservata se i server di

    Web
    > sono su una lan separata dai calcolatori centrali del bastion e voi don't
    > hanno tutti i rapporti di fiducia fra il server di Web ed il calcolatore
    > centrale del bastion.
    >
    > Ora, tenga presente che questa è Ethernet. Se qualcuno si rompe nel
    > vostro web server ed il vostro bastion host è su stessa Ethernet, un
    > attacker può installare una ventosa sul vostro web server e guarda il
    > traffico a e da il vostro bastion host. Ciò potrebbe rivelare le cose che
    > possono essere usate per rompersi nel calcolatore centrale del bastion e

    per
    > guadagnare l'accesso alla rete interna. (Ethernet passata può ridurre la
    > vostra esposizione a questo genere di problema, ma non lo eliminerà.)
    >
    > Servizi spaccanti in su non soltanto dal calcolatore centrale, ma la
    > rete e limitando il livello di fiducia fra i calcolatori centrali su

    quelle
    > reti, potete notevolmente ridurre la probabilità di un rodaggio su un
    > calcolatore centrale che usando rompersi nell'altro. Dichiarato

    brevemente:
    > rompendosi nel web server in questo caso non lo renderà affatto più facile
    > rompersi nel bastion host.
    >
    > Potete anche aumentare lo scalability della vostra architettura
    > disponendo i calcolatori centrali sulle reti differenti. Poco macchine ci

    è
    > di ripartire la larghezza di banda disponibile, più larghezza di banda
    > ciascuno otterrà.
    >
    >
    >
    > 3.10 Che cosa è un singolo punto del ` di guasto 'e come io evita di
    > avere uno?
    > Un'architettura di cui la sicurezza munisce un meccanismo ha un
    > singolo punto di guasto. Il software che fa funzionare i calcolatori
    > centrali del bastion ha insetti. Le applicazioni hanno insetti. Il

    software
    > che gestisce i routers ha insetti. Ha il significato usare tutti questi
    > componenti per sviluppare una rete saldamente progettata e per usarli nei
    > modi ridondanti.
    >
    > Se la vostra architettura della parete refrattaria è una sottorete
    > selezionata, avete due routers di filtrazione del pacchetto e un

    calcolatore
    > centrale del bastion. (veda la domanda 3.2 da questa sezione.) Il vostro
    > router di accesso del Internet non consentirà il traffico dal Internet di
    > entrare tutto il modo nella vostra rete riservata. Tuttavia, se don't fate
    > rispettare che regola con qualunque altri meccanismi sul router ospite e/o
    > della bobina d'arresto del bastion, solo un componente della vostra
    > architettura deve venire a mancare o compromettersi nell'ordine per

    ottenere
    > all'interno. Sull'altra mano, se avete una regola ridondante sul

    calcolatore
    > centrale del bastion ed ancora sul router della bobina d'arresto, un
    > attacker dovrà sconfiggere tre meccanismi.
    >
    > Più ulteriormente, se il calcolatore centrale del bastion o il

    router
    > della bobina d'arresto deve invocare la relativa regola per ostruire
    > l'accesso esterno alla rete interna, potreste desiderare farla fare

    scattare
    > l'allarme di un certo ordinamento, poiché sapete che qualcuno ha ottenuto
    > tramite il vostro router di accesso.
    >
    >
    >
    > 3.11 Come posso ostruire tutto il roba difettoso?
    > Per le pareti refrattarie in cui l'enfasi è su sicurezza anziché la
    > connettività, dovreste studiare la possibilità di ostruire tutto per il
    > difetto e soltanto specificamente di permettere che servizi avete bisogno

    su
    > una base del contenitore-da-contenitore.
    >
    > Se ostruite tutto, a meno che un insieme specifico dei servizi,

    allora
    > you've già reso al vostro lavoro molto più facile. Invece di avere
    > preoccupare per ogni problema di sicurezza con tutto il prodotto ed il
    > servizio intorno, dovete soltanto preoccuparsi per ogni problema di
    > sicurezza con un insieme specifico dei servizi e dei prodotti.
    >
    > Prima della rotazione su un servizio, dovreste considerare una

    coppia
    > delle domande:
    >
    >
    > È il protocollo per questo prodotto un protocollo ben noto e
    > pubblicato?
    > È il servizio di applicazione questo protocollo disponibile per
    > controllo pubblico della relativa implementazione?
    > Quanto il pozzo conosciuto è il servizio ed il prodotto?
    > Come permettendo questo servizio cambia l'architettura della parete
    > refrattaria? Un attacker vedrà diversamente le cose? Potrebbe essere
    > sfruttata per ottenere alla mia rete interna, o per cambiare le cose sui
    > calcolatori centrali nel mio DMZ?
    > Quando tenendo conto di suddette domande, tenga quanto segue

    presente:
    >
    >
    > `` la sicurezza attraverso il ''di obscurity è sicurezza affatto. I
    > protocolli non pubblicati sono stati esaminati dai tipi difettosi e sono
    > stati sconfitti.
    > Malgrado che cosa i rappresentanti di vendita dicono, non ogni
    > protocollo o servizio è progettato con sicurezza in mente. Infatti, il
    > numero che è è molto poco.
    > Anche nei casi in cui la sicurezza è una considerazione, non tutte

    le
    > organizzazioni hanno personale competente di sicurezza. Fra coloro che

    non,
    > non tutti sono disposti ad introdurre un consulente competente nel

    progetto.
    > Il risultato finale è quello altrimenti-competente, sviluppatori
    > bene-progettati può progettare i sistemi insicuri.
    > Di meno un fornitore è disposto a dirvi che a questo proposito come

    il
    > loro sistema realmente funziona, più probabile è che i problemi altra o

    (di
    > sicurezza) esiste. Soltanto i fornitori con qualcosa nascondersi hanno un
    > motivo nascondere i loro disegni ed implementazioni [2].
    >
    >
    > 3.12 Come posso limitare l'accesso di Web in modo da gli utenti non
    > possono osservare i luoghi indipendenti per lavorare?
    > Alcuni anni fa, qualcuno ha ottenuto l'idea che è una buona idea
    > ostruire `` i luoghi difettosi di Web del '', cioè, quelli che contengono

    il
    > materiale quel l'azienda osservano `` inadeguato ''. L'idea sta aumentando
    > di popolarità, ma ci sono parecchie cose da considerare quando pensa ad
    > effettuare tali comandi nella vostra parete refrattaria.
    >
    >
    > Non è possibile praticamente ostruire tutto che un datore di lavoro
    > ritenga `` inadeguato ''. Il Internet è pieno di ogni ordinamento di
    > materiale. Ostruire una sorgente riorienterà soltanto il traffico ad
    > un'altra sorgente di tale materiale, o induca qualcuno a calcolare un modo
    > intorno al blocco.
    > La maggior parte delle organizzazioni non hanno uno standard per
    > giudicare la convenienza di materiale che i loro impiegati portano per
    > funzionare, per esempio, i libri e gli scomparti. Controllate tutto
    > briefcase per `` ''materiale inadeguato ogni giorno? Se non, quindi perchè
    > controllereste ogni pacchetto per `` materiale inadeguato ''? Tutte le
    > decisioni seguendo quelle righe in una tal organizzazione saranno
    > arbitrarie. Tentando di intraprendere azione disciplinare contro un
    > impiegato in cui l'unico standard è tipico isn't arbitrario saggio, per i
    > motivi bene oltre la portata di questo documento.
    > I prodotti che realizzano luogo-ostruire, commerciali ed al

    contrario,
    > sono in genere facili da aggirare. Hostnames può essere riscritto come
    > indirizzi del IP. Gli indirizzi del IP possono essere scritti come valore
    > 32-bit di numero intero, o come quattro numeri interi 8-bit (la forma più
    > comune). Altre possibilità esistono, anche. I collegamenti possono essere
    > proxied. I Web pagi possono essere prelevati via il email. Non potete
    > ostruirli tutti. Lo sforzo che spendere provare ad effettuare e gestire

    tali
    > comandi quasi certamente lontano eccederà tutto il livello di controllo di
    > danni che state sperando di avere.
    > Il regola-de-pollice da ricordarsi di qui è che non potete risolvere

    i
    > problemi sociali con tecnologia. Se ci è un problema con qualcuno che va

    ``
    > ad un luogo inadeguato di Web del '', quello è perché qualcuno altrimenti

    lo
    > ha visto ed è stato offenduto da che cosa ha visto, o perché rendimento di
    > quella persona è sotto le aspettative. In il uno o il altro caso, quelli
    > sono argomenti per l'ufficio del personale, non l'amministratore della
    > parete refrattaria.
    >
    >
    >
    > 4 Vari Attacchi
    >
    >
    > 4.1 Che cosa è traffico diretto sorgente e perchè è esso una

    minaccia?
    > Normalmente, l'itinerario che un pacchetto prende dalla relativa
    > sorgente alla relativa destinazione è determinato dai routers fra la
    > sorgente e la destinazione. Il pacchetto in se dice soltanto dove desidera
    > andare (l'indirizzo di destinazione) e niente circa come pensa ottenere

    là.
    >
    > Ci è un modo facoltativo per il trasmettitore di un pacchetto (la
    > sorgente) includere le informazioni nel pacchetto che dice all'itinerario
    > ch'il pacchetto dovrebbe prendere per ottenere alla relativa destinazione;
    > così `` il percorso nome di sorgente ''. Per una parete refrattaria, il
    > percorso di sorgente è considerevole, poiché un attacker può generare il
    > traffico che sostiene provenire ''della parte interna dal sistema `` la
    > parete refrattaria. In generale, tale itinerario del wouldn't di traffico
    > alla parete refrattaria correttamente, ma con l'opzione di percorso di
    > sorgente, tutti i routers fra la macchina del attacker e l'obiettivo
    > restituirà il traffico lungo il percorso d'inversione dell'itinerario di
    > sorgente. Effettuare un tal attacco è abbastanza facile; così i

    costruttori
    > della parete refrattaria non dovrebbero scontarli come improbabile

    accadere.
    >
    > Nella pratica, il percorso di sorgente pochissimo è usato. Nel

    fatto,
    > l'uso legittimo principale è generalmente dirigere o nei problemi della

    rete
    > mettere a punto i collegamenti specifici dell'eccedenza di traffico per
    > controllo di congestione per le situazioni specializzate. Nel costruire

    una
    > parete refrattaria, il percorso di sorgente dovrebbe essere ostruito ad un
    > certo punto. La maggior parte dei routers commerciali comprendono la
    > capacità di ostruire il percorso di sorgente specificamente e molte

    versioni
    > di UNIX che potrebbero essere usate per sviluppare i calcolatori centrali
    > del bastion della parete refrattaria hanno la capacità di inabilitare o
    > ignorare il traffico diretto sorgente.
    >
    >
    >
    > 4.2 Che cosa sono ICMP riorientano e riorientano le bombe?
    > Un ICMP riorienta dice al sistema recettivo di escludere qualcosa in
    > relativa tabella di percorso. È usato legittimamente dai routers per dire

    a
    > calcolatori centrali a che il calcolatore centrale stia usando un
    > non-ottimale o l'itinerario defunct ad una destinazione particolare, cioè,
    > il calcolatore centrale sta trasmettendola al router errato. Il router
    > errato trasmette la parte posteriore che ospite un ICMP riorienta il
    > pacchetto che dice al calcolatore centrale a che cosa l'itinerario

    corretto
    > dovrebbe essere. Se potete forgiare il ICMP riorienti i pacchetti e se il
    > vostro calcolatore centrale dell'obiettivo presta loro l'attenzione,

    potete
    > alterare le tabelle di percorso sul calcolatore centrale e possibilmente
    > subvert la sicurezza del calcolatore centrale inducendo traffico a fluire
    > via un percorso che il didn't del gestore di rete intende. Il ICMP

    riorienta
    > anche può essere impiegato per la smentita degli attacchi di servizio,

    dove
    > un calcolatore centrale è trasmesso ad un itinerario che lo perde la
    > connettività, o lo è trasmesso ad un pacchetto unreachable della rete del
    > ICMP che dice a che possa nessun accesso più lungo una rete particolare.
    >
    > Molti costruttori della parete refrattaria selezionano il traffico

    del
    > ICMP dalla loro rete, da esso limita la capacità degli stranieri di fare

    un
    > rumore metallico calcolatori centrali, o modificano le loro tabelle di
    > percorso.
    >
    > Prima che decidiate ostruire tutti i pacchetti del ICMP, dovreste
    > essere informati di come il protocollo di TCP `` ''di scoperta del MTU del
    > percorso, accertarsi che voi la connettività della rottura del don't ad
    > altri luoghi. Se can't lo ostruite sicuro dappertutto, potete studiare la
    > possibilità di permettere i tipi selezionati di ICMP ai dispositivi
    > dirigenti selezionati. Se blocchetto del don't esso, voi a minimi vi
    > accertate che il vostro don't ospiti e dei routers risponda ai pacchetti

    di
    > rumore metallico di radiodiffusione.
    >
    >
    >
    > 4.3 Che cosa circa la smentita di servizio?
    > La smentita di servizio è quando qualcuno decide rendere la vostra
    > rete o parete refrattaria inutile interrompendola, arrestandola,

    inceppando
    > esso, o il flooding esso. Il problema con la smentita di servizio del
    > Internet è che è impossible evitare. Il motivo ha fare con la natura
    > distribuita della rete: ogni vertice di rete è collegato via altre reti

    che
    > alla girata collegano ad altre reti, ecc. Un amministratore della parete
    > refrattaria o un ISP ha soltanto controllo di un poco degli elementi

    locali
    > all'interno dell'estensione. Un attacker può interrompere sempre ''verso
    > l'alto del collegamento `` da dove la vittima lo gestisce. In altre

    parole,
    > se qualcuno desiderasse prendere una rete fuori dell'aria, potrebbe farlo

    o
    > prendendo la rete fuori dell'aria, o prendendo alle reti collega fuori
    > dell'aria, infinitum dell'annuncio. Ci sono molti, molti, modi che

    qualcuno
    > può negare il servizio, variante dal complesso alla animale-forza
    > insignificante. Se state considerando usando il Internet per un servizio

    che
    > è assolutamente tempo o missione critica, dovreste considerare la vostra
    > posizione di ripiego nell'evento che la rete è giù o danneggiato.
    >
    > Il servizio di eco del UDP di TCP/IP's è abusato banalmente per
    > convincere due server per sommergere un segmento della rete dai pacchetti

    di
    > eco. Dovreste studiare la possibilità di commentare verso l'esterno le
    > entrate inutilizzate in /etc/inetd.conf dei calcolatori centrali di UNIX,
    > aggiungendo no ip small-servers ai routers del Cisco, o l'equivalente per

    i
    > vostri componenti.
    >
    >
    >
    > 4.4 Che cosa sono alcuni attacchi comuni e come possono io

    proteggere
    > il mio sistema contro di loro?
    > Ogni luogo è poco un differente da ogni altro in termini di che
    > attacchi sono probabili essere usati contro di esso. Alcuni temi di

    ricorso
    > presentano, comunque.
    >
    >
    > 4.4.1 Server dello Smtp Che Dirotta (Trasmissione Non autorizzata)
    > Ciò è dove uno spammer prenderà molte migliaia delle copie di un
    > messaggio e le trasmetterà ad una lista enorme degli indirizzi del email.
    > Poiché queste liste sono spesso così difettose e nell'ordine aumentare la
    > velocità del funzionamento per lo spammer, molte hanno ricorso

    semplicemente
    > a trasmettere tutta la loro posta ad un server dello smtp che prenderà la
    > cura realmente di trasporto della posta.
    >
    > Del corso, tutti i rimbalzi, i reclami dello Spam, la posta di
    > avversione ed il fotoricettore difettoso vengono per il luogo che è stato
    > usato come relè. Ci è un costo molto reale connesso con questo,
    > principalmente nel pagamento della gente per pulire in seguito il mess.
    >
    > L'iniziativa 2 di sicurezza di trasportodel sistema1 di prevenzione

    di
    > abusodella postaeffettua una descrizione completa del problema e come
    > configurare circa ogni bollettino sul pianeta per proteggere da questo
    > attacco.
    >
    >
    > 4.4.2 Sfruttamento degli insetti nelle applicazioni
    > Le varie versioni dei server di Web, dei server della posta e
    > dell'altro software di servizio del Internet contengono gli insetti che
    > permettono che gli utenti a distanza (del Internet) facciano le cose che
    > variano dal controllo di guadagno della macchina a fare quell'arresto di
    > applicazione ed appena circa tutto dentro in mezzo.
    >
    > L'esposizione a questo rischio può essere ridotta il funzionamento
    > soltanto dei servizi necessari, sostenendo datare sulle zone ed usando i
    > prodotti che hanno avuti luogo intorno ad un istante.
    >
    >
    > 4.4.3 Insetti nei sistemi operativi
    > Di nuovo, questi sono iniziati tipicamente a distanza dagli utenti.

    I
    > sistemi operativi che sono relativamente nuovi alla rete del IP tendono ad
    > essere più problematici, come sistemi operativi più maturi hanno avuti

    tempo
    > di trovare ed eliminare i loro insetti. Un attacker può fare spesso
    > continuamente il reboot dell'apparecchiatura dell'obiettivo, arrestare,
    > perdere la capacità di comunicare con rete, o di sostituire gli archivi
    > sulla macchina.
    >
    > Qui, funzionando come pochi servizi del sistema operativo come aiuto
    > possibile della latta. Inoltre, avere un filtro del pacchetto nella parte
    > anteriore del sistema operativo può ridurre l'esposizione ad un grande
    > numero di questi tipi di attacchi.
    >
    > E, del corso, chosing un sistema operativo stabile aiuterà qui

    anche.
    > Nel selezionare un OS, il don't è imbrogliato nel credere quello `` il più
    > pricier, il migliore ''. I sistemi operativi liberi sono spesso molto più
    > robusti delle loro controparti commerciali
    >
    >
    >
    > 5 Come La I...
    >
    >
    > 5.1 Realmente desidero concedere tutto che i miei utenti chiedano?
    > È interamente possibile che la risposta è `` nessuna ''. Ogni luogo

    ha
    > relative proprie politiche circa che cosa è e non è necessario, ma è
    > importante ricordarsi di che una grande parte del lavoro di essere

    portiere
    > dell'organizzazione è formazione. Gli utenti desiderano il video

    effluente,
    > chiacchierata in tempo reale e potere offrire i servizi ai clienti esterni
    > che richiedono l'interazione con le basi di dati in tensione sulla rete
    > interna.
    >
    > Quella media del doesn't che c'è ne di queste cose possono essere
    > fatte senza presentare più rischio all'organizzazione che `` il ''presunto
    > di valore di parte anteriore giù quella strada è valore. La maggior parte
    > del don't degli utenti desidera mettere la loro organizzazione al rischio.
    > Leggono appena i panni commerciali, vedono le pubblicità e desiderano fare
    > quelle cose, anche. È importante da esaminare che cosa è che realmente
    > desiderano fare ed aiutarle a capire come potrebbero potere compire il

    loro
    > obiettivo reale in un modo più sicuro.
    >
    > Won't siete sempre popolari e potreste persino trovarsi che siete

    dati
    > il senso per fare qualcosa incredibilmente stupido, come `` appena vi

    aprite
    > sul foo delle porte attraverso la barra ''. Se quello accade,

    preoccupazione
    > del don't a questo proposito. Sarebbe saggio mantenere tutti i vostri

    scambi
    > su un tal evento così che quando un kiddie dello scritto 12-year-old
    > rodaggio, il you'll a minimi può separarsi dal mess di tutto.
    >
    >
    >
    > 5.2 _ come io fa Web/HTTP lavoro attraverso mio parete?
    > Ci sono tre modi farlo.
    >
    >
    > Permetta `` i collegamenti stabiliti del ''fuori via un router, se
    > state utilizzando i routers della selezione.
    > Usi un cliente di Web che sostiene i CALZINI e faccia funzionare i
    > CALZINI sul vostro calcolatore centrale del bastion.
    > Faccia funzionare un certo genere di server procura-capace di Web

    sul
    > calcolatore centrale del bastion. Alcune opzioni includono il calamaro3,
    > Apache4, la procura 5del Netscapeed il HTTP-HTTP-GW dal toolkit della

    parete
    > refrattaria di TIS. La maggior parte di questi della latta procura anche
    > altri protocolli (tali come il Gopher e ftp) e possono nascondere gli
    > oggetti prelevati, che egualmente provocheranno tipicamente una spinta di
    > prestazioni per gli utenti e l'uso più efficiente del vostro collegamento

    al
    > Internet. Essenzialmente tutti i clienti di Web (Mozilla, Internet

    Explorer,
    > lynx, ecc.) sviluppi il supporto di proxy server direttamente in loro.
    >
    >
    > 5.3 Come faccio funzionare lo SSL attraverso la parete refrattaria?
    > Lo SSL è un protocollo che permette i collegamenti sicuri attraverso
    > il Internet. Tipicamente, lo SSL è usato per proteggere il traffico del
    > HTTP. Tuttavia, altri protocolli (tali come telnet) possono funzionare in
    > cima allo SSL.
    >
    > Permettere lo SSL attraverso la vostra parete refrattaria può essere
    > fatto lo stesso modo che permettereste il traffico del HTTP, se esso HTTP
    > che you're usando SSL per fissare, che è solitamente allineare. L'unica
    > differenza è quella preferibilmente di usando qualcosa che trasmetta
    > semplicemente il HTTP, bisogno del you'll qualcosa che possa scavare una
    > galleria lo SSL. Ciò è una caratteristica presente sulla maggior parte dei
    > nascondigli dell'oggetto di Web.
    >
    > Potete scoprire più circa lo SSL da Netscape6.
    >
    >
    >
    > 5.4 Come faccio il lavoro di DNS con una parete refrattaria?
    > Alcune organizzazioni desiderano nascondere i nomi di DNS dalla

    parte
    > esterna. Don't di molti esperti pensa che che nasconde il DNS i nomi sia
    > utile, ma se la politica di site/corporate affida i nomi in mandato
    > nascondentesi di settore, questo è un metodo che è conosciuto per
    > funzionare. Un altro motivo che potete dovere per nascondere i nomi di
    > settore è se avete uno schema di richiamo non standard sulla vostra rete
    > interna. In quel caso, non avete scelta ma nascondere quegli indirizzi.

    Non
    > si imbrogli nel pensare quello se i vostri nomi di DNS sono nascosti che
    > ritarderà un attacker giù molto se si rompono nella vostra parete
    > refrattaria. Le informazioni su che cosa sono sulla vostra rete sono
    > spigolate troppo facilmente dallo strato in se della rete. Se desiderate

    una
    > dimostrazione interessante di questo, fa un rumore metallico l'indirizzo

    di
    > radiodiffusione di sottorete sulla vostra lan ed allora fa `` un arp -

    ''del
    > ` a. Noti egualmente quello nomi nascondentesi nel doesn't di DNS

    richiamano
    > il problema ''di fuoriuscita di nomi ospite `` fuori nelle intestazioni
    > della posta, negli articoli di notizie, ecc.
    >
    > Questo metodo è uno di molti ed è utile per le organizzazioni che
    > desiderano nascondere i loro nomi ospite dal Internet. Il successo di

    questo
    > metodo si trova sul fatto che i clienti di DNS su un don't della macchina
    > hanno comunicare con server di DNS su quella stessa macchina. In altre
    > parole, appena perché là un server di DNS su una macchina, là niente male
    > con (e ci sono spesso vantaggi) il nuovo orientamento dell'attività del
    > cliente di DNS di quella macchina ad un server di DNS su un'altra

    macchina.
    >
    > In primo luogo, installate un server di DNS sul calcolatore centrale
    > del bastion che il mondo esterno può comunicare con. Installate questo
    > server così che sostiene essere autorevole per i vostri settori. Infatti,
    > tutto questo server sa è che cosa desiderate il mondo esterno conoscere; i
    > nomi e gli indirizzi dei vostri Gateway, i vostri record del MX del
    > metacarattere, e così via. Ciò è `` il server pubblico del ''.
    >
    > Allora, avete installato un server di DNS su una macchina interna.
    > Questo server egualmente sostiene essere autorevole per i vostri settori;
    > diverso del server pubblico, questo sta dicendo alla verità. Ciò è il

    vostro
    > `` nameserver normale del '', in cui mettete tutto il vostro `` roba

    normale
    > di DNS del ''. Egualmente avete installato questo server per spedire le
    > domande che esso risoluzione del can't al server pubblico (che usando una
    > riga `` dei forwarders 'in /etc/named.boot su una macchina di UNIX, per
    > l'esempio).
    >
    > Per concludere, avete installato tutti i vostri clienti di DNS (
    > l'archivio di /etc/resolv.conf su una casella di UNIX, per il caso),
    > compreso quei sulla macchina con il server pubblico, per utilizzare il
    > server interno. Ciò è il tasto.
    >
    > Un cliente interno che chiede notizie su un calcolatore centrale
    > interno chiede il server interno ed ottiene una risposta; un cliente

    interno
    > che chiede notizie su un calcolatore centrale esterno chiede il server
    > interno, che chiede il server pubblico, che chiede il Internet e la

    risposta
    > si trasmette indietro. Un cliente sul server pubblico lavora appena lo
    > stesso modo. Un cliente esterno, tuttavia, chiedente notizie su un
    > calcolatore centrale interno ottiene indietro `` la risposta limitata del
    > ''dal server pubblico.
    >
    > Questo metodo suppone che là una parete refrattaria di filtrazione

    del
    > pacchetto fra questi due server che li permetteranno di comunicare il DNS
    > con ogni altro, ma limita al contrario il DNS fra altri calcolatori
    > centrali.
    >
    > Un altro trucco che utile in questo schema è impiegare i record

    dello
    > stampante del metacarattere nei vostri settori di IN-ADDR.ARPA. Questi
    > causano una consultazione di richiam-$$$-NOME per c'è ne dei vostri
    > calcolatori centrali non pubblici a ritorno qualcosa come `` il ''di
    > unknown.YOUR.DOMAIN piuttosto che un errore. Ciò soddisfa i luoghi anonimi
    > del ftp come ftp.uu.net che insistono su avere un nome per le macchine
    > comunicano con. Ciò può venire a mancare quando comunica con luoghi che
    > fanno un cross-check di DNS in cui il nome ospite è abbinato contro il
    > relativi indirizzo e versa vice.
    >
    >
    >
    > 5.5 Come faccio funzionare il ftp attraverso la mia parete
    > refrattaria?
    > Generalmente, fare funzionare il ftp attraverso la parete

    refrattaria
    > è fatto usando un proxy server quale il ftp-ftp-gw del toolkit della

    parete
    > refrattaria o consentendo i collegamenti ricevuti alla rete ad una gamma
    > port limitata ed al contrario limitando i collegamenti ricevuti usando
    > qualcosa come `` le regole stabilite della selezione del ''. Il cliente

    del
    > ftp allora è modificato per legare la porta di dati ad una porta

    all'interno
    > di quella gamma. Ciò richiede potere modificare l'applicazione del cliente
    > del ftp sui calcolatori centrali interni.
    >
    > In alcuni casi, se i trasferimenti dal sistema centrale verso i
    > satelliti del ftp sono tutti desiderate sostenere, potreste desiderare
    > studiare la possibilità di dichiarare il ftp `` un ''guasto di protocollo

    e
    > lasciandoli gli utenti trasferiscono gli archivi dal sistema centrale

    verso
    > i satelliti via il Web preferibilmente. L'interfaccia di utente certamente

    è
    > più piacevole ed ottiene intorno al problema ugly della porta di chiamata
    > ripetuta. Se scegliete il metodo di Ftp-via-Web, i vostri utenti non
    > potranno agli archivi del ftp fuori, che, dipendendo da che cosa state
    > provando a compire, possono essere un problema.
    >
    > Un metodo differente deve usare opzione del ''di PASV del ftp `` per
    > indicare che il server a distanza del ftp dovrebbe permettere al cliente

    di
    > iniziare i collegamenti. Il metodo di PASV suppone che il server del ftp

    sui
    > supporti del sistema a distanza che funzionamento. (Veda `` Il
    > ''Parete-Amichevole del Ftp [1].)
    >
    > Altri luoghi preferiscono sviluppare le versioni del cliente del
    > programma del ftp che sono collegate contro una libreria dei CALZINI.
    >
    >
    >
    > 5.6 Come faccio funzionare il telnet attraverso la mia parete
    > refrattaria?
    > Il telnet è sostenuto generalmente usando una procura di

    applicazione
    > quale il tn-tn-gw del toolkit della parete refrattaria, o semplicemente
    > configurando un router per consentire i collegamenti uscenti usando

    qualcosa
    > come `` le regole stabilite della selezione del ''. Le procure di
    > applicazione hanno potuto essere nella forma di una procura autonoma che
    > funziona sul calcolatore centrale del bastion, o nella forma di un server
    > dei CALZINI e di un cliente modificato.
    >
    >
    >
    > 5.7 Come faccio funzionare la barretta ed il WHOIS attraverso la mia
    > parete refrattaria?
    > Molti admins della parete refrattaria consentono i collegamenti alla
    > porta della barretta soltanto dalle macchine di fiducia, cui può

    pubblicare
    > le richieste della barretta sotto forma di: barretta
    > in@firewall. Questo metodo funziona soltanto con la versione
    > standard di UNIX della barretta. L'accesso gestente ai servizi ed a
    > limitarli alle macchine specifiche è gestito usando i tcp_wrappers o il
    > netacl dal toolkit della parete refrattaria. Questo metodo non lavorerà a
    > tutti i sistemi, poiché alcuni server della barretta non consentono la
    > diteggiatura del user@host@host.
    >
    > Molte richieste inbound della barretta del blocchetto dei luoghi per
    > una varietà di motivi, primo essere oltre gli insetti di sicurezza nel
    > server della barretta (la vite senza fine del Internet di Morris ha reso
    > questi insetti famosi) ed il rischio di informazioni riservate o sensibili
    > che sono rivelate nelle informazioni della barretta dell'utente. In
    > generale, tuttavia, se i vostri utenti accustomed a mettere le

    informazioni
    > riservate o sensibili nei loro archivi del plan, avete un problema più

    serio
    > di sicurezza che appena una parete refrattaria può risolvere.
    >
    >
    >
    > 5.8 Come faccio il Gopher, archie ed altri servizi funzionano
    > attraverso la mia parete refrattaria?
    > La maggior parte degli amministratori della parete refrattaria

    sceglie
    > sostenere il Gopher ed il archie con le procure di Web, anziché
    > direttamente. Procure tali come le domande del convertito gopher/gopher+

    di
    > HTTP-HTTP-GW del toolkit della parete refrattaria nel HTML e nel versa

    vice.
    > Per il sostegno il archie e delle altre domande, molti luoghi contano
    > Web-$$$-ARCHIE sui server Internet-basati, tale come ArchiePlex. La

    tendenza
    > del Web fare tutto sull'assomigli del Internet ad un servizio di Web è sia
    > un blessing che un curse.
    >
    > Ci sono molti nuovi servizi che potano costantemente in su. Sono
    > spesso misdesigned o non sono progettati con sicurezza in mente ed i loro
    > progettisti cheerfully vi diranno se desiderate usarli che voi il bisogno
    > lasciasse la porta xxx tramite il vostro router. Purtroppo, non tutto può
    > fare quello ed in modo da un certo numero di nuovi giocattoli interessanti
    > sono difficili da usare per la gente dietro le pareti refrattarie. Le cose
    > gradiscono RealAudio, che richiedono l'accesso diretto del UDP, sono
    > specialmente esempi egregious. La cosa da tenere a mente se vi trovate

    stato
    > minacciato da uno di questi problemi è di scoprire tanto come potete circa

    i
    > rischi di sicurezza che il servizio può presentare, prima che lo

    permettiate
    > appena attraverso. È abbastanza possibile il servizio non ha implicazioni

    di
    > sicurezza. È ugualmente possibile che ha fori che non scoperti potreste
    > condurre un camion attraverso.
    >
    >
    >
    > 5.9 Che cosa sono le edizioni circa X11 attraverso una parete
    > refrattaria?
    > Il sistema di X Windows è un sistema molto utile, ma purtroppo ha
    > alcuni difetti di sicurezza importanti. Sistemi a distanza che possono
    > guadagnare o accesso dello spoof alla visualizzazione di X11 della

    stazione
    > di lavoro può controllare le battiture in che un utente entra, copie di
    > trasferimento dal sistema centrale verso i satelliti del contenuto delle
    > loro finestre, ecc.
    >
    > Mentre i tentativi sono stati fatti di sormontarli (biscotto ``

    magico
    > 'per esempio, del MIT ') è ancora interamente troppo facile affinchè un
    > attacker interferisca con la visualizzazione di X11 dell'utente. La

    maggior
    > parte delle pareti refrattarie ostruiscono tutto il traffico X11. Alcuni
    > consentono il traffico X11 con le procure di applicazione quale la procura
    > della DEC CRL X11 (ftp crl.dec.com). Il toolkit della parete refrattaria
    > include una procura per X11, chiamata x-x-gw, che un utente può invocare

    via
    > la procura del telnet, per creare un server virtuale X11 sulla parete
    > refrattaria. Quando le richieste sono fatte per un collegamento X11 sul
    > server virtuale X11, l'utente è presentato con pop-up chiedere loro se è
    > GIUSTO da permettere il collegamento. Mentre questo è poco un unaesthetic,
    > esso interamente nel mantenere con il resto di X11.
    >
    >
    >
    > 5.10 Come faccio funzionare RealAudio attraverso la mia parete
    > refrattaria?
    > RealNetworks effettua alcune informazione su come ottenere RealAudio
    > che funziona attraverso la vostra parete refrattaria7. Sarebbe
    > sconsigliabile fare tutti i cambiamenti alla vostra parete refrattaria

    senza
    > capire che cosa i cambiamenti faranno, esattamente e conoscendo che rischi

    i
    > nuovi cambiamenti porteranno con loro.
    >
    > Back to Top
    > FAQ della parete refrattaria in italiano 4
    > 5.11 Come faccio il mio atto di web server come un a fine frontale

    per
    > una base di dati che vive sulla mia rete riservata?
    > Il modo migliore fare questo deve permettere la connettività molto
    > limitata fra il vostro server di Web ed il vostro server della base di

    dati
    > via un protocollo specifico che sostiene soltanto il livello del you're di
    > funzionalità che va usare. Permettendo SQL grezzo, o qualche cosa

    altrimenti
    > dove le estrazioni su ordinazione potrebbero essere effettuate

    generalmente
    > da un isn't del attacker una buona idea.
    >
    > Supponga che un attacker sta andando potere rompersi nel vostro

    server
    > di Web e faccia le domande nello stesso modo che la latta del server di

    Web.
    > È ci un meccanismo per l'estrazione delle informazioni sensibili che il
    > bisogno del doesn't del server di Web, come le informazioni della carta di
    > credito? Può un attacker pubblicare uno SQL prescelto ed estrarre la

    vostra
    > intera base di dati riservata?
    >
    > `` le applicazioni del ''di E-commercio, come tutto altrimenti, sono
    > progettate il più bene con sicurezza in mente dalla terra in su, anziché
    > avere ''aggiunto di sicurezza `` dopo. Riveda criticamente la vostra
    > architettura, dalla prospettiva di un attacker. Supponga che il attacker
    > conosce tutto circa la vostra architettura. Ora chiedasi che necessità di
    > essere fatto per rubare i vostri dati, per fare i cambiamenti non
    > autorizzati, o per fare niente altro che non desideriate fatto. Potreste
    > trovare che potete aumentare significativamente la sicurezza senza
    > funzionalità di diminuzione prendendo alcun le decisioni di

    implementazione
    > e di disegno.
    >
    > Alcune idee affinchè come maneggino questo:
    >
    >
    > Estragga i dati che avete bisogno di dalla base di dati in maniera
    > regolare in modo da non state facendo le domande contro la base di dati
    > completa, completa con le informazioni che i attackers troveranno
    > interessare.
    > Notevolmente limiti e verifichi che cosa ammettete fra il server di
    > Web e la base di dati.
    >
    >
    > 5.12 Ma la mia base di dati ha un web server integrato e desidero
    > usare quello. Non posso giusto colpire un foro nella parete refrattaria e
    > scavare una galleria quella porta?
    > Se la vostra politica della parete refrattaria del luogo è
    > sufficientemente lassismo che you're che vuole gestire il rischio che
    > qualcuno sfrutterà una vulnerabilità in vostro server di Web che

    provocherà
    > parziale o completa l'esposizione della vostra base di dati, allora là

    isn't
    > molto vi che impedisce di fare questo.
    >
    > Tuttavia, in molte organizzazioni, la gente che è responsabile della
    > legatura dell'estremità anteriore di Web alla base di dati indietro si
    > conclude semplicemente non ha l'autorità per prendere quella

    responsabilità.
    > Più ulteriormente, se le informazioni nella base di dati sono circa la
    > gente, potreste trovarsi colpevole di rompere un numero di leggi se voi
    > precauzioni ragionevoli prese haven't per impedire il sistema essere
    > abusato.
    >
    > In generale, questo isn't una buona idea. Veda la domanda 5.11 per
    > alcune idee su altri modi compire questo obiettivo.
    >
    >
    >
    > 5.13 Come Faccio funzionare il IP Il Multicast Con La Mia Parete
    > refrattaria?
    > Il multicast del IP è mezzi di ottenere il traffico del IP da un
    > calcolatore centrale ad un insieme dei calcolatori centrali senza usando

    la
    > radiodiffusione; quello è, invece di ogni calcolatore centrale che

    convince
    > il traffico, solo quelli che lo desiderano lo otterranno, senza ciascuno

    che
    > ha per effettuare un collegamento separato al server. Il unicast del IP è
    > dove i colloqui un ospite ad un altro, multicast sono dove i colloqui un
    > ospite ad un insieme dei calcolatori centrali e della radiodiffusione sono
    > dove i colloqui un ospite a tutti i calcolatori centrali.
    >
    > Il Internet pubblico ha una base del multicast (``MBone '') dove gli
    > utenti possono agganciarsi nello scambio di traffico del multicast. Gli

    usi
    > comuni per il MBONE sono flussi delle riunioni dello IETF e simile tale
    > interazione. Ottenere la sua propria rete ha collegato al MBONE richiederà
    > che il traffico verso l'alto del multicast dell'itinerario del fornitore a

    e
    > dalla vostra rete. Ulteriormente, la vostra rete interna avrà sostenere il
    > percorso del multicast.
    >
    > Il ruolo della parete refrattaria nel percorso del multicast, è
    > concettualmente differente dal relativo ruolo nell'altro percorso di
    > traffico. Quello è, una politica che identifica che i gruppi del multicast
    > sono ed il aren't permesso deve essere definito ed allora un sistema di
    > permettere quel traffico che si concilia alla politica deve essere
    > inventato. Particolare grande su quanto esattamente fare questo è oltre la
    > portata di questo documento. Fortunatamente, il RFC 2588 [4] discute più
    > dettagliatamente l'oggetto. A meno che il vostro prodotto della parete
    > refrattaria sostenga alcuni mezzi di spedizione selettiva del multicast o
    > avete la capacità di metterla in lei, potreste trovare il traffico del
    > multicast di spedizione in un modo costante con la vostra politica di
    > sicurezza per essere un'emicrania più grande che è valore.
    >
    >
    >
    > 6 porte del UDP e di TCP
    > da Mikael Olsson
    > Questa appendice comincerà ad un livello ragionevolmente `` di base
    > del '', in modo da anche se i primi punti sembrano childishly manifesti a
    > voi, potreste tranquillo imparare qualcosa dal salto avanti a qualcosa più
    > successivamente nel testo.
    >
    >
    >
    > 6.1 Che cosa è una porta?
    > `` un ''port è `` ''virtuale della scanalatura nella vostra pila del
    > UDP e di TCP che è usata per tracciare un collegamento fra due calcolatori
    > centrali ed anche fra lo strato di TCP/UDP e le applicazioni reali che
    > funzionano sui calcolatori centrali.
    >
    > Sono numerati 0-65535, con la gamma 0-1023 che è contrassegnato come
    > `` il ''riservato o `` privlileged il ''ed il resto (1024-65535) come ``

    ''o
    > `` unprivileged dinamico ''.
    >
    > Ci sono basicamente due usi per le porte:
    >
    >
    > `` ''ascoltante su una porta.
    > Ciò è usata dalle applicazioni del server che aspettano gli utenti

    per
    > collegare, ottenere ad un certo `` ''conosciuto buono di servizio, per il
    > HTTP di caso (porta di TCP 80), telnet (porta 23), DNS di TCP (porta 53 di
    > TCP a volte e del UDP).
    > Apertura `` della porta dinamica del ''.
    > Entrambi i lati di una necessità del collegamento di TCP di essere
    > identificato dagli indirizzi del IP e dai numeri port. Quindi, quando
    > desiderate `` colleghi il ''ad un processo del server, la vostra estremità
    > della scanalatura di comunicazioni egualmente ha bisogno `` di una porta

    ''.
    > Ciò è fatta la scelta della porta superiore a 1024 sulla vostra macchina

    che
    > non è attualmente nell'uso da un'altra scanalatura di comunicazioni ed
    > usando come `` il ''del trasmettitore nel nuovo collegamento.
    > Le porte dinamiche possono anche essere usate il più

    considerevolmente
    > come `` porte ascoltanti in alcune applicazioni, ftp del ''.
    >
    > Le porte nella gamma 0-1023 sono quasi sempre porte del server. Le
    > porte nella gamma 1024-65535 sono solitamente porte dinamiche (cioè,

    aperto
    > dinamicamente quando collegate ad una porta del server). Tuttavia,

    qualsiasi
    > porta può essere usata come porta del server e qualsiasi porta può essere
    > usata come `` porta uscente del ''.
    >
    > Così, sommarla in su, qui che cosa accade in un collegamento di

    base:
    >
    > Ad un certo punto a tempo, un'applicazione del server sul

    calcolatore
    > centrale 1.2.3.4 decide `` ascolta ''a porta 80 (HTTP) i nuovi

    collegamenti.
    > (5.6.7.8) desiderate surf a 1.2.3.4, a porta 80 ed al vostro browser
    > pubblicate una chiamata di collegamento ad esso.
    > La chiamata di collegamento, rendentesi conto che doesn't tuttavia

    ha
    > numero port locale, va cercare per uno. Il numero port locale è necessario
    > da quando le risposte ritornano un certo tempo in avvenire, la vostra pila
    > di TCP/IP dovrà sapere a che applicazione per passare la risposta. Fa

    questo
    > ricordandosi del che applicazione usa che numero port locale. (questo
    > grossolanamente è facilitato, nessun fiamme dai programmatori, prego.)
    > La vostra pila di TCP trova una porta dinamica inutilizzata,
    > solitamente in qualche luogo superiore a 1024. Supponiamo che trova 1029.
    > Il vostro primo pacchetto allora è trasmesso, dal vostro IP locale,
    > 5.6.7.8, la porta 1029, a 1.2.3.4, la porta 80.
    > Il server risponde con un pacchetto da 1.2.3.4, le porte 80, a voi,
    > 5.6.7.8, la porta 1029.
    > Questa procedura è realmente più lunga di questa, colto sopra per

    una
    > spiegazione più approfondita del TCP collega le sequenze.
    >
    >
    > 6.2 Come conosco quale applicazione usa che porta?
    > Ci sono parecchie liste che descrivono `` il ''riservato e `` il

    ''ben
    > noto ports, come pure `` il ''comunemente usato ports e quello migliore è:
    > ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers. Per quelli di

    voi
    > ancora che leggete RFC 1700 per scoprire che numero port fa che cosa,
    > ARRESTO che LO FA. È horribly antiquato e non sarà così domani di meno.
    >
    > Ora, per quanto riguarda fidarsi di queste informazioni: Queste

    liste
    > non, in alcun modo, costituire alcun genere di bibbia santa su cui le

    porte
    > fanno che cosa.
    >
    > L'attesa, lo ha lasciato formula nuovamente quello: Non CI È MODO
    > ATTENDIBILMENTE Di DETERMINAZIONE CHE PORTA FA CHE COSA SEMPLICEMENTE
    > OSSERVANDO In una LISTA.
    >
    >
    >
    > 6.3 Che cosa sono porte ASCOLTANTI?
    > Supponga che `` netstat - ` un ''sulla vostre macchina e porte 1025

    e
    > 1030 rivelati come ascoltando. Che cosa fanno?
    >
    > A destra, prendiamo uno sguardo nella lista assegnata di numeri

    port.
    >
    >
    > BBN IAD del blackjack iad1 1030/tcp della rete
    > del blackjack 1025/tcp
    >
    > Attesa, che accadere? La mia stazione di lavoro ha rubato il mio
    > numero di VISTO ed ha deciso andare blackjack del gioco con un certo

    server
    > del rogue sul Internet? E che cosa quel software che il BBN ha installato?
    >
    > Ciò non è dove cominciate lasciarsi prendere dal panico e

    trasmettete
    > la posta alla lista delle pareti refrattarie. Nel fatto, questo problema è
    > stato chiesto forse volte un dozzina durante i sei mesi scorsi ed ogni

    tempo
    > esso risposto a. Non quello CHE mantiene la gente dal fare la stessa

    domanda
    > ancora.
    >
    > Se state facendo questo problema, siete più probabili per mezzo di

    una
    > casella delle finestre. Le porte che state vedendo sono (il più probabile)
    > due porte ascoltanti che il sottosistema del RPC apre quando comincia in

    su.
    >
    > Ciò è un esempio di dove le porte dynamicly assegnate possono essere
    > usate tramite i processi del server. Le applicazioni che usando la volontà
    > del RPC più successivamente su collegano a porta 135 (`` portmapper 'di
    > netbios ') alla domanda dove trovare un certo servizio del RPC ed

    ottengono
    > una risposta indietro che dice quella che il servizio particolare può
    > mettersi in contatto con su porta 1025.
    >
    > Ora, come conosciamo questo, là da nessun `` ''della lista che
    > descrive queste porte? Semplice: Non ci è sostituto per esperienza. E per
    > mezzo dei motori di ricerca spedenti della lista egualmente aiuta un

    inferno
    > di mólto.
    >
    >
    >
    > 6.4 Come determino che servizio la porta è per?
    > Poiché è impossible da imparare che porta fa che cosa osservando in
    > una lista, come la fanno?
    >
    > Il vecchio modo hands-on di farla è chiudendo giù quasi ogni
    > service/daemon che funziona sulla vostra macchina, facente netstat -a e
    > prendente nota di che cosa le porte sono aperte. Là lo shouldn't è molto
    > molti quei ascoltanti. Allora cominciate girare tutti i servizi sopra, uno
    > per uno e di prend nota di che cosa le nuove porte rivelano nella vostra
    > uscita del netstat.
    >
    > Un altro modo, quel ha bisogno di più lavoro di congettura,
    > semplicemente telnetting alle porte e vede che cosa esce. Se niente esce,

    la
    > prova che digita un certo gibberish e che sbatte entra poche volte e vede

    se
    > qualcosa gira in su. Se ottenete binari disturbi, o niente affatto, questo
    > non li aiuterà ovviamente.
    >
    > Tuttavia, questo soltanto vi dirà che cosa le porte ascoltanti sono
    > usate. Vi non dirà circa le porte dinamicamente aperte che possono essere
    > aperte più tardi da queste applicazioni.
    >
    > Ci sono alcune applicazioni che potrebbero aiutarle a rintracciare

    giù
    > le porte usate.
    >
    > Sui sistemi di UNIX, ci è un programma di utilità piacevole chiamato
    > lsof che viene preinstalled su molti sistemi. Vi mostrerà tutti i numeri
    > port aperti ed i nomi delle applicazioni che stanno usandole. Ciò

    significa
    > che potrebbe mostrarvi il aswell localmente aperto molto degli archivi

    come
    > zoccoli di TCP/IP. Legga il testo di aiuto.
    >
    > Sui sistemi delle finestre, niente viene preinstalled per aiutarlo

    in
    > questa operazione. (che nuovo?) Là un programma di utilità ha chiamato ``

    il
    > ''di Inzider che si installa all'interno delle finestre che gli zoccoli
    > fanno uno strato di e dinamicamente che si ricorda del quale processo si
    > apre che port. Lo svantaggio di questo metodo è che can't vi dice che

    porte
    > sono state aperte prima di inzider iniziato, ma esso il la cosa migliore

    che
    > il you'll ottiene sulle finestre (alla mia conoscenza).
    > http://ntsecurity.nu/toolbox/inzider/.
    >
    >
    >
    > 6.5 Che porte sono sicuri da passare attraverso una parete
    > refrattaria?
    > TUTTI.
    >
    > No, attesa, NESSUNA.
    >
    > No, attesa, uuhhh... Mi sono sentito che tutte le porte superiore a
    > 1024 sono sicuri poiché sono soltanto dinamiche??
    >
    > No. Realmente. NON POTETE dire semplicemente ai che porte sono
    > semplicemente sicuri guardando il relativo numero, perché quello è

    realmente
    > tutto che sia. Un numero. Non potete montare un attacco con un numero a 16
    > bit.
    >
    > La sicurezza `` di un ''port dipende da che applicazione

    raggiungerete
    > attraverso quella porta.
    >
    > Un'idea sbagliata comune è che porte 25 (smtp) e 80 (HTTP) sono

    sicuri
    > da passare attraverso una parete refrattaria * meep * ERRATA. Solo perchè
    > tutto sta facendo non significa che è sicuro.
    >
    > Di nuovo, la sicurezza di una porta dipende da che applicazione
    > raggiungerete attraverso quella porta.
    >
    > Se il you're che fa funzionare un server bene-scritto di Web, quello

    è
    > destinato dalla terra in su per essere sicuro, potete probabilmente

    ritenere
    > ragionevolmente assicurati che esso sicuro lasciate la gente esterna
    > accedergli attraverso porta 80. Altrimenti, voi CAN'T.
    >
    > Il problema qui non è nello strato di rete. Esso in come i processi

    di
    > applicazione i dati che riceve. Questi dati possono essere ricevuti
    > attraverso porta 80, la porta 666, una riga seriale, disco magnetico o
    > attraverso il telegramma di canto. Se l'applicazione non è sicuro, non
    > importa come i dati ottengono esso. I dati di applicazione sono dove il
    > pericolo reale si trova.
    >
    > Se siete interessati nella sicurezza della vostra applicazione, vada
    > si abbonano a bugtraq8o o provano a cercare i loro archivi.
    >
    > Ciò è più di un problema di sicurezza di applicazione piuttosto che

    un
    > problema di sicurezza della parete refrattaria. Si potrebbe sostenere che
    > una parete refrattaria dovrebbe arrestare tutti gli attacchi possibili, ma
    > con il numero di nuovi protocolli di rete, non progettato con sicurezza in
    > mente ed applicazioni networked, nessuno progettate con sicurezza in

    mente,
    > diventa impossible affinchè una parete refrattaria proteggesse da tutti

    gli
    > attacchi data-driven.
    >
    >
    >
    > 6.6 Il comportamento del ftp
    > O, `` perchè ho aprire tutte le porte superiore a 1024 al mio server
    > del ftp?''
    >
    > Lo sguardo del doesn't del ftp realmente un il lotto intero gradisce
    > altre applicazioni da una prospettiva della rete.
    >
    > Mantiene una porta ascoltante, porta 21, a cui gli utenti collegano.
    > Tutto che è ha lasciato la gente entra e stabilisce un ALTRO collegamento
    > per fare i trasferimenti di dati reali. Questo secondo collegamento è
    > solitamente su una certa porta superiore a 1024.
    >
    > Ci sono due modi, `` ''attivo (normale) e `` modo passivo del ''.
    > Questa parola descrive il comportamento del server.
    >
    > Nel modo attivo, il cliente (5.6.7.8) collega a porta 21 sul server
    > (1.2.3.4) ed apre la sessione. Quando i trasferimenti di file sono dovuti,
    > il cliente assegna una porta dinamica superiore a 1024, informa il server
    > circa quale porta ha aperto ed allora il server apre un nuovo collegamento

    a
    > quella porta. Ciò è `` il ruolo attivo del ''del server: attivamente
    > stabilisce i nuovi collegamenti al cliente.
    >
    > Nel modo passivo, il collegamento a porta 21 è lo stesso. Quando i
    > trasferimenti di file sono dovuti, il SERVER assegna una porta dinamica
    > superiore a 1024, informa il cliente circa quale porta ha aperto ed allora
    > il CLIENTE apre un nuovo collegamento a quella porta. Ciò è `` il ruolo
    > passivo del ''del server: aspetta il cliente per stabilire il secondo
    > collegamento (di dati).
    >
    > Se la vostra parete refrattaria non controlla i dati di applicazione
    > del ftp comandano il collegamento, esso non sapranno che devono aprire
    > dinamicamente le nuove porte superiore a 1024.
    >
    > Su una nota laterale: Il comportamento tradizionale dei server del

    ftp
    > nel modo attivo deve stabilire la sessione di dati da porta 20 ed alla

    porta
    > dinamica sul cliente. I server del ftp stanno dirigendo via da questo
    > comportamento in qualche modo dovuto la necessità di funzionare come ``
    > ''della radice sui sistemi di UNIX nell'ordine per potere assegnare le

    porte
    > inferiore a 1024. Funzionando come `` ''della radice non è buono per
    > sicurezza, da allora se là un insetto nel software, il attacker potesse
    > compromettere l'intera macchina. Lo stesso va per funzionare come `` il
    > ''dell'amministratore o `` ''del SISTEMA (``LocalSystem '') sulle macchine
    > del NT, anche se il problema port basso non si applica sul NT.
    >
    > Per sommarlo in su, se la vostra parete refrattaria capisce il ftp,

    il
    > it'll può maneggiare i collegamenti di dati da sè e won't avete

    preoccuparsi
    > per le porte superiore a 1024.
    >
    > Se non, ci sono quattro edizioni che dovete richiamare:
    >
    > Firewalling un ftp server nel modo attivo
    > Avete bisogno di avete lasciato i vostri collegamenti aperti del
    > server nuovi al mondo esterno sulle porte 1024 e sopra
    > Firewalling un server del ftp nel modo passivo
    > Avete bisogno di avete lasciato il mondo esterno collegare alle

    porte
    > 1024 e sopra sul vostro server. ATTENZIONE!!!! Ci possono essere
    > applicazioni che funzionano su alcune di queste porte che non desiderate
    > usando esterno della gente. Respinga l'accesso a queste porte prima di
    > permettere l'accesso alla gamma port 1024-65535.
    > Clienti del ftp di Firewalling nel modo attivo
    > Avete bisogno di avete lasciato il mondo esterno collegare alle

    porte
    > 1024 e sopra sui vostri clienti. ATTENZIONE!!!! Ci possono essere
    > applicazioni che funzionano su alcune di queste porte che non desiderate
    > usando esterno della gente. Respinga l'accesso a queste porte prima di
    > permettere l'accesso alla gamma port 1024-65535.
    > Clienti del ftp di Firewalling nel modo passivo
    > Avete bisogno di avete lasciato i vostri collegamenti aperti dei
    > clienti nuovi al mondo esterno sulle porte 1024 e sopra.
    > Di nuovo, se la vostra parete refrattaria capisce il ftp, nessun dei
    > quattro punti qui sopra si applicano a voi. Lasci la parete refrattaria
    > farvi il lavoro per.
    >
    >
    >
    > 6.7 Che software usa che modo del ftp?
    > È in su al cliente per decidere che modo da usare; il modo di

    difetto
    > quando un nuovo collegamento è aperto è `` modo attivo ''.
    >
    > La maggior parte dei clienti del ftp vengono preconfigured per usare
    > il modo attivo, ma forniscono un'opzione ad uso `` del ''modo passivo (di
    > ``PASV ''). Un'eccezione è la riga di comando delle finestre cliente del

    ftp
    > che funziona soltanto nel modo attivo.
    >
    > I browsers di Web usano generalmente il modo passivo quando

    collegano
    > via il ftp, con un'eccezione bizzarra: MSIE 5 userà il ftp attivo quando
    > FTP:ing `` nel modo del ''dell'esploratore dell'archivio ed il ftp passivo
    > quando FTP:ing `` nel modo del ''di Web page. Non ci è motivo qualunque

    per
    > questo comportamento; la mia congettura è che qualcuno in Redmond senza
    > conoscenza del ftp ha deciso che `` naturalmente useremo il modo attivo
    > quando siamo nel modo dell'esploratore dell'archivio, da allora quel

    sguardi
    > più attivi di un Web page ''. Va la figura.
    >
    >
    >
    > 6.8 È mio provare della parete refrattaria a collegare all'esterno?
    > I miei libri macchina della parete refrattaria sono dicendomi che il
    > mio server di Web stia provando a collegare da porta 80 alle porte

    superiore
    > a 1024 sulla parte esterna. Che cosa è questo?!
    >
    > Se state vedendo i pacchetti caduti da porta 80 sul vostro web

    server
    > (o da porta 25 sul vostro mail server) alle alte porte sulla parte

    esterna,
    > non significano solitamente che il vostro web server sta provando a
    > collegare in qualche luogo.
    >
    > Sono il risultato della sincronizzazione della parete refrattaria
    > verso l'esterno un collegamento e di vedere il server ritrasmettere le
    > vecchie risposte (o provare a chiudere il collegamento) al cliente.
    >
    > I collegamenti di TCP coinvolgono sempre i pacchetti che viaggiano

    in
    > ENTRAMBI I sensi nel collegamento.
    >
    > Se potete vedere le bandierine di TCP nei pacchetti caduti, il

    you'll
    > vede che la bandierina del ACK è regolata ma non la bandierina di SYN,
    > significante che questo non è realmente un nuovo collegamento che forma,

    ma
    > piuttosto una risposta di un collegamento precedentemente formato.
    >
    > Legga il punto 8 qui sotto per una spiegazione approfondita di che
    > cosa accade quando i collegamenti di TCP sono formati (e chiuso)
    >
    >
    >
    > 6.9 Anatomia di un collegamento di TCP
    > Il TCP è dotato di 6 `` bandierine ', che possono essere disinserite
    > SOPRA o. Queste bandierine sono:
    >
    > ALETTA
    > `` ha gestito la fine del collegamento del ''
    > SYN
    > Apra il nuovo collegamento
    > RST
    > `` fine immediata del collegamento del ''
    > PSH
    > Insegni al calcolatore centrale della ricevente per spingere i dati
    > fino all'applicazione piuttosto che alla coda giusta esso
    > Ack
    > `` riconosca il ''un pacchetto precedente
    > URG
    > `` dati urgenti del ''che devono essere elaborati immediatamente
    > In questo esempio, il vostro cliente è 5.6.7.8 e la porta assegnata
    > voi è dinamicamente 1049. Il server è 1.2.3.4, la porta 80.
    >
    > Cominciate il tentativo del collegamento:
    >
    > 5.6.7.8:1049 -> 1.2.3.4:80 SYN=ON
    >
    > Il server riceve questo pacchetto e capisce che qualcuno desidera
    > formare un nuovo collegamento. Una risposta è trasmessa:
    >
    > 1.2.3.4:80 -> 5.6.7.8:1049 SYN=ON ACK=ON
    >
    > Il cliente riceve la risposta ed informa che la risposta è ricevuta
    >
    > 5.6.7.8:1049 -> 1.2.3.4:80 ACK=ON
    >
    > Qui, il collegamento è aperto. Ciò è chiamata una stretta di mano a
    > tre vie. Il relativo scopo è verificare ad ENTRAMBI I calcolatori centrali
    > che hanno loro un collegamento di funzionamento.
    >
    > Il Internet che è che cosa è, non fidato e sommerso, là è

    disposizioni
    > compensare la perdita del pacchetto.
    >
    > Se il cliente trasmette fuori lo SYN iniziale senza ricevere uno
    > SYN+ACK all'interno dell'pochi secondi, il it'll resend lo SYN.
    >
    > Se il server spedisce lo SYN+ACK senza ricevere un ACK in alcuni
    > secondi, resend il pacchetto di SYN+ACK.
    >
    > Il posteriore è realmente la ragione per cui il flooding di SYN
    > funziona così bene. Se spedite i pacchetti di SYN dai lotti delle porte
    > differenti, questo legherà in su le risorse molto sul server. Se

    egualmente
    > rifiutate di rispondere ai pacchetti restituiti di SYN+ACK, il server
    > MANTERRÀ questi collegamenti per un molto tempo, resending i pacchetti di
    > SYN+ACK. Alcuni server non accetteranno i nuovi collegamenti mentre ci

    sono
    > abbastanza collegamenti attualmente che formano; ecco perchè impianti di
    > flooding di SYN.
    >
    > Tutti i pacchetti trasmessi in il uno o il altro senso dopo che la
    > stretta di mano a tre vie abbia il bit del ACK regolato. I filtri apolidi
    > del pacchetto fanno l'uso di questo in in modo da `` filtri stabiliti
    > chiamati del '': soltanto hanno lasciato i pacchetti con il quel avere il
    > bit del ACK regolato. Questo modo, nessun pacchetto può passare attraverso
    > in un determinato senso che potrebbe formare un nuovo collegamento.
    > Tipicamente, don't permettete che i calcolatori centrali esterni aprano i
    > nuovi collegamenti ai calcolatori centrali interni richiedendo il bit del
    > ACK regolato su questi pacchetti.
    >
    > Quando il tempo è venuto chiudere il collegamento, ci sono due modi

    di
    > farlo: Usando la bandierina dell'ALETTA, o usando la bandierina di RST.
    > Usando le bandierine dell'ALETTA, entrambe le implementazioni sono

    richieste
    > per trasmettere fuori le bandierine dell'ALETTA per indicare che

    desiderano
    > chiudere il collegamento ed allora trasmettono fuori i ringraziamenti a
    > queste alette, indicanti che hanno capito che l'altra estremità desidera
    > chiudere il collegamento. Nel trasmettere fuori RST, il collegamento è
    > chiuso validamente e don't realmente ottenete un'indicazione di se l'altra
    > estremità ha capito il vostro ordine di risistemazione, o quello che ha

    nel
    > fatto ricevuto tutti i dati che avete trasmesso esso.
    >
    > Il modo dell'ALETTA di chiusura del collegamento egualmente li

    espone
    > ad una situazione di smentita-de-servizio, poiché la pila di TCP deve
    > ricordarsi del collegamento chiuso per un tempo ragionevolmente molto, nel
    > caso che l'altro hasn't dell'estremità ha ricevuto uno dei pacchetti
    > dell'ALETTA.
    >
    > Se sufficientemente molti collegamenti sono aperti e chiusi, potete
    > concludersi su avere `` collegamenti chiusi del ''in tutte le vostre
    > scanalature del collegamento. Questo modo, wouldn't potete assegnare
    > dinamicamente più collegamenti, vedenti che il they're interamente ha

    usato.
    > Maniglia differente di OSes questa situazione diversamente.
    >
    >
    >
    >
    > A. Alcuni prodotti commerciali e fornitori
    > Riteniamo che questo soggetto è troppo sensibile all'indirizzo in un
    > FAQ, tuttavia, una lista indipendentemente effettuata (nessuna garanzia o
    > raccomandazione è implicata) può essere trovata in linea.9
    >
    >
    >
    > B. Glossario dei termini Parete-Relativi
    >
    > Abuso del privilegio
    > Quando un utente realizza un'azione che non dovrebbero avere,
    > conciliandosi alla politica o alla legge organizzativa.
    >
    > Liste Di Controllo Di Accesso
    > Regole per i filtri del pacchetto (tipicamente routers) che
    > definiscono quali pacchetti da passare e quali da ostruire.
    >
    > Accedi Al Router
    > Un router che collega la vostra rete al Internet esterno.

    Tipicamente,
    > questa è la vostra prima riga di difesa contro i attackers dal Internet
    > esterno. Permettendo il controllo di accesso elenca su questo router,

    you'll
    > può fornire un livello di protezione per tutti i calcolatori centrali ``
    > dietro ''che router, efficacemente rendente a quella rete un DMZ
    > preferibilmente di una lan esterna non protetta.
    >
    > Parete refrattaria Di Applicazione-Strato
    > Un sistema della parete refrattaria in cui il servizio è fornito
    > tramite i processi che effettuano il collegamento completo di TCP dichiara
    > ed ordinare. Le pareti refrattarie di strato di applicazione re-richiamano
    > spesso il traffico così che il traffico uscente sembra provenire dalla
    > parete refrattaria, piuttosto che il calcolatore centrale interno.
    >
    > Autenticazione
    > Il processo di determinazione dell'identità di un utente che sta
    > tentando di accedere ad un sistema.
    >
    > Segno Di Autenticazione
    > Un dispositivo portatile utilizzato per autenticare un utente. Il
    > segno di autenticazione funziona mediante challenge/response, sequenze
    > tempo-basate di codice, o altre tecniche. Ciò può includere le liste

    scritte
    > delle parole d'accesso di una volta.
    >
    > Autorizzazione
    > Il processo di determinazione che tipi di attività sono consentiti.
    > Solitamente, l'autorizzazione è nel contesto dell'autenticazione: una

    volta
    > che avete autenticato un utente, possono essere tipi differenti

    autorizzati
    > di accesso o di attività.
    >
    > Bastion host
    > Un sistema che è stato indurito per resistere all'attacco e che è
    > installato su una rete im modo tale che si pensa che potenzialmente

    rientri
    > nell'attacco. I calcolatori centrali del bastion sono spesso componenti
    > delle pareti refrattarie, o possono essere `` server di Web del ''della
    > parte esterna o sistemi pubblici di accesso. Generalmente, un calcolatore
    > centrale del bastion sta facendo funzionare certa forma del sistema
    > operativo per scopi generali (per esempio, UNIX, VMS, NT, ecc.) piuttosto
    > che un sistema operativo dei firmware o ROM-BASATO.
    >
    > Challenge/Response
    > Una tecnica di autenticazione per cui un server trasmette una sfida
    > imprevedibile per l'utente, che computa una risposta usando certa forma

    del
    > segno di autenticazione.
    >
    > Chroot
    > Una tecnica sotto UNIX per cui un processo permanente si limiterà ad
    > un sottoinsieme isolato del filesystem.
    >
    > Totale di controllo Crittografico
    > Una funzione unidirezionale si è applicata ad un archivio per

    produrre
    > `` un ''unico dell'impronta digitale dell'archivio per riferimento
    > successivo. I sistemi di totale di controllo sono mezzi primari di
    > rilevazione del filesystem alterare su UNIX.
    >
    > Attacco Guidato Dati
    > Una forma dell'attacco in cui l'attacco è messo nei dati
    > innocuo-sembranti che sono eseguiti da un utente o dall'altro software per
    > effettuare un attacco. Nella cassa delle pareti refrattarie, un attacco
    > guidato dati è una preoccupazione poiché può ottenere attraverso la parete
    > refrattaria nella forma di dati e lanciare un attacco contro un sistema
    > dietro la parete refrattaria.
    >
    > Difesa nella profondità
    > Il metodo di sicurezza per cui ogni sistema sulla rete è assicurato

    al
    > grado possibile più grande. Può essere usato nella congiunzione con le
    > pareti refrattarie.
    >
    > Dns che spoofing
    > Ammettendo il nome di DNS di un altro sistema corrompendo il
    > nascondiglio nome di servizio di un sistema della vittima, o

    compromettendo
    > un domain name server per un settore valido.
    >
    > Si raddoppia Il Gateway Homed
    > Un Gateway homed doppio è un sistema che ha due o più interfacce

    della
    > rete, ciascuno di cui è collegato ad una rete differente. Nelle
    > configurazioni della parete refrattaria, un Gateway homed doppio si

    comporta
    > solitamente per ostruire o filtrare alcuno o tutto il traffico che prova a
    > passare fra le reti.
    >
    > Router Di Cifratura
    > veda il router di traforo ed il perimetro virtuale della rete.
    >
    > Parete refrattaria
    > Un sistema o una combinazione dei sistemi che fanno rispettare un
    > contorno fra due o più reti.
    >
    > Sicurezza Host-based
    > La tecnica di assicurazione del sistema specifico dall'attacco.

    Ospiti
    > la sicurezza basata è dipendente di versione e del sistema operativo.
    >
    > Attacco Del Membro
    > Un attacco che proviene dalla parte interna una rete protetta.
    >
    > Rilevazione Di Intrusione
    > La rilevazione delle irruzioni o dell'irruzione tenta manualmente o
    > via i sistemi specializzati del software che funzionano sopra i libri
    > macchina o altre informazioni disponibili sulla rete.
    >
    > IP Spoofing
    > Un attacco per cui un sistema tenta di impersonate illecitamente un
    > altro sistema usando il relativo indirizzo di rete del IP.
    >
    > Impionbatura/Che Dirotta del IP
    > Un attacco per cui un attivo, stabilito, sessione è intercettato e
    > co-opted dal attacker. Gli attacchi d'impionbatura del IP possono accadere
    > dopo che un'autenticazione sia stata fatta, permettendo al attacker di
    > presupporre il ruolo di un utente già autorizzato. Le protezioni primarie
    > contro l'impionbatura del IP contano sulla crittografia allo strato di

    rete
    > o di sessione.
    >
    > Meno Privilegio
    > Progettazione delle funzioni operative di un sistema per funzionare
    > con una quantità minima di privilegio del sistema. Ciò riduce il livello

    di
    > autorizzazione a cui le varie azioni sono realizzate e fa diminuire la
    > probabilità che un processo o un utente con gli alti privilegi può essere
    > causato per effettuare l'attività non autorizzata risultando in una

    frattura
    > di sicurezza.
    >
    > Annotare
    > Il processo di memorizzare le informazioni sugli eventi che si sono
    > presentati sulla parete refrattaria o sulla rete.
    >
    > Ritegno Del Libro macchina
    > Come i libri macchina lunghi di verifica sono mantenuti ed

    effettuati.
    >
    > Elaborare Del Libro macchina
    > Come i libri macchina di verifica sono elaborati, cercato gli eventi
    > chiave, o ricapitolato.
    >
    > Parete refrattaria Di Rete-Strato
    > Una parete refrattaria in cui il traffico è esaminato allo strato

    del
    > pacchetto di protocollo di rete.
    >
    > Sicurezza Perimetro-basata
    > La tecnica di assicurazione della rete gestendo accesso a tutti i
    > punti dell'uscita e dell'entrata della rete.
    >
    > Politica
    > il Organizzazione-livello regola l'uso accettabile governante delle
    > risorse di computazione, delle pratiche di sicurezza e delle procedure
    > operative.
    >
    > Procura
    > Un agente del software che si comporta a favore di un utente. Le
    > procure tipiche accettano un collegamento da un utente, prendono una
    > decisione come se o l'indirizzo del IP del cliente o non dell'utente è
    > consentito per usare la procura, forse fa l'autenticazione supplementare

    ed
    > allora completa un collegamento a favore dell'utente ad una destinazione a
    > distanza.
    >
    > Calcolatore centrale Selezionato
    > Un calcolatore centrale su una rete dietro uno screening router. Il
    > grado a cui un calcolatore centrale selezionato può essere raggiunto

    dipende
    > dalle regole della selezione nel router.
    >
    > Sottorete Selezionata
    > Una sottorete dietro uno screening router. Il grado a cui la

    sottorete
    > può essere raggiunta dipende dalle regole della selezione nel router.
    >
    > Router Della Selezione
    > Un router configurato per consentire o negare traffico basato su un
    > insieme delle regole di permesso installate dall'amministratore.
    >
    > Rubare Di Sessione
    > Veda L'Impionbatura del IP.
    >
    > Cavallo Di Trojan
    > Un'entità del software che sembra fare qualche cosa di normale ma

    che,
    > nel fatto, contiene un programma di attacco o di trapdoor.
    >
    > Il router o il sistema del router A di traforo capace del
    > percorso traffica cifrandolo ed incapsularlo per la trasmissione
    > attraverso untrusted la rete, per l'de-incapsulamento ed il
    > decryption finali.
    >
    > L'ingegneria sociale un attacco basato sugli utenti d'inganno o
    > amministratori all'obiettivo situa. Gli attacchi sociali di

    ingegneria
    > sono trasportati tipicamente fuori dagli utenti o dagli operatori e
    > dalla finzione di telefonata essere un utente autorizzato, per

    tentare
    > di guadagnare l'accesso illecito ai sistemi.
    >
    > La rete virtuale di perimetro A della rete che sembra essere una
    > singola rete protetta dietro le pareti refrattarie, che realmente
    > comprende l'eccedenza virtuale cifrata di collegamenti untrusted le
    > reti.
    >
    > Segmento di codice di replica del virus A che si fissa ad uno
    > schedario di dati o di programma. I virus hanno potuto o non potuto
    > contenere i programmi o i trapdoors di attacco. Purtroppo, molti
    > hanno preso a chiamare qualsiasi cattivo il codice `` i virus '. Se
    > significate `` il ''di Trojan Horse o `` il ''della vite senza fine,
    > ad esempio `` il ''o `` la vite senza fine 'di Trojan Horse '.
    >
    > Il programma autonomo che, una volta funzionato, copia in se della
    > vite senza fine A da un calcolatore centrale ad un altro ed allora
    > funziona in se su ogni calcolatore centrale recentemente infettato.

    ``
    > i virus ampiamente segnalati del Internet 'di 1988 erano un virus

    non
    > affatto, ma realmente una vite senza fine.
    >
    >
    >
    >
    >
    >
    >
    > Note a piè di pagina
    > ... System1 http://mail-abuse.org/... Initiative2
    > http://mail-abuse.org/tsi/... Squid3 http://squid.nlanr.net/...
    > Apache4 http://www.apache.org/docs/mod/mod_proxy.html... Proxy5
    > http://home.netscape.com/proxy/v3.5/index.html... Netscape6
    >
    > http://developer.netscape.com/docs/manuals/security/sslin/contents.htm...
    > firewall7 http://www.real.com/firewall/... bugtraq8
    > http://www.securityfocus.com... online.9
    > http://www.thegild.com/firewall/.
    >
    >
    >
    >
    Ruggy71, Feb 11, 2005
    #6
  7. William L. Sun

    John Guest

    Ruggy71 wrote:

    > Bla bla bla


    Ever heard of "cut" and not stupidly pasting/posting the whole (useless,
    as it is badly translated, and impropriate, as it is better posted in
    comp.security.firewalls) lot again?
    John, Feb 11, 2005
    #7
    1. Advertising

Want to reply to this thread or ask your own question?

It takes just 2 minutes to sign up (and it's free!). Just click the sign up button to choose a username and then you can ask your own questions on the forum.
Similar Threads
  1. William L. Sun

    Internet Firewall FAQ in French

    William L. Sun, Feb 6, 2005, in forum: Computer Security
    Replies:
    0
    Views:
    2,201
    William L. Sun
    Feb 6, 2005
  2. William L. Sun

    Internet Firewall FAQ in German

    William L. Sun, Feb 6, 2005, in forum: Computer Security
    Replies:
    0
    Views:
    1,675
    William L. Sun
    Feb 6, 2005
  3. William L. Sun

    Internet Firewall FAQ in Dutch

    William L. Sun, Feb 6, 2005, in forum: Computer Security
    Replies:
    21
    Views:
    5,636
  4. William L. Sun

    Internet Firewall FAQ in Portuguese

    William L. Sun, Feb 6, 2005, in forum: Computer Security
    Replies:
    0
    Views:
    1,501
    William L. Sun
    Feb 6, 2005
  5. rH
    Replies:
    0
    Views:
    354
Loading...

Share This Page