Internet Firewall FAQ in Portuguese

Discussion in 'Computer Security' started by William L. Sun, Feb 6, 2005.

  1. FAQ do guarda-fogo no português 1
    Guarda-fogos Do Internet:
    Perguntas Freqüentemente Feitas
    Paul D. Robertson
    Curtin Matt
    Marcus J. Ranum
    (traduzido por William Sun )


    Data: 2004/07/26 de 15:34:42
    Revisão: 10.4

    Este original disponível no pdfdo and do postscript.




    Índices
    1 Administrativia
    1.1 Sobre o FAQ
    1.2 Para quem o FAQ é escrito?
    1.3 Antes De Emitir O Correio
    1.4 Onde posso eu encontrar a versão atual do FAQ?
    1.5 Onde posso eu encontrar versões Non-Inglesas do FAQ?
    1.6 Contribuinte
    1.7 Copyright e uso


    2 princípios do fundo e do guarda-fogo
    2.1 Que é um guarda-fogo de rede?
    2.2 Por que eu quereria um guarda-fogo?
    2.3 Que pode um guarda-fogo proteger de encontro?
    2.4 Que não pode um guarda-fogo proteger de encontro?
    2.5 Que sobre vírus e o outro malware?
    2.6 IPSEC fará guarda-fogos obsoletos?
    2.7 Que são fontes boas da informação da cópia em guarda-fogos?
    2.8 Onde posso eu começar mais informação em guarda-fogos no Internet?


    3 edições do projeto e da execução
    3.1 Que são algumas das decisões básicas do projeto em um guarda-fogo?
    3.2 Que são os tipos básicos de guarda-fogos?
    3.3 Que são server do proxy e como eles trabalham?
    3.4 Que são algumas ferramentas baratas da seleção do pacote?
    3.5 Que são algumas réguas filtrando razoáveis para uma tela
    semente-baseada do pacote?
    3.6 Que são algumas réguas filtrando razoáveis para um Cisco?
    3.7 Que são os recursos críticos em um guarda-fogo?
    3.8 Que são um DMZ, e porque mim querem um?
    3.9 Como pude eu aumentar a segurança e o scalability de meu DMZ?
    3.10 Que são um único ponto do ` da falha ', e como mim evitam de ter
    um?
    3.11 Como posso eu obstruir todo o material mau?
    3.12 Como posso eu restringir o acesso do Web assim que os usuários
    não podem ver locais unrelated para trabalhar?


    4 Vários Ataques
    4.1 Que são tráfego distribuído fonte e porque são ele uma ameaça?
    4.2 Que são ICMP dirigem de novo e dirigem de novo bombas?
    4.3 Que sobre a negação de serviço?
    4.4 Que são alguns ataques comuns, e como podem mim proteger meu
    sistema de encontro a eles?


    5 Como I...
    5.1 Eu quero realmente reservar tudo que meus usuários pedem?
    5.2 Como eu faço o trabalho de Web/HTTP através de meu guarda-fogo?
    5.3 Como eu faço o SSL trabalhar através do guarda-fogo?
    5.4 Como eu faço o trabalho do DNS com um guarda-fogo?
    5.5 Como eu faço o ftp trabalhar através de meu guarda-fogo?
    5.6 Como eu faço o telnet trabalhar através de meu guarda-fogo?
    5.7 Como eu faço o dedo e o WHOIS trabalhar através de meu
    guarda-fogo?
    5.8 Como eu faço o Gopher, archie, e outros serviços trabalham através
    de meu guarda-fogo?
    5.9 Que são as edições sobre X11 através de um guarda-fogo?
    5.10 Como eu faço RealAudio trabalhar através de meu guarda-fogo?
    5.11 Como eu faço meu ato do web server como um front-end para uma
    base de dados que viva em minha rede confidencial?
    5.12 Mas minha base de dados tem um server integrado do Web, e eu
    quero usar aquele. Puxão de Can't I apenas um furo no guarda-fogo e túnel
    que movam?
    5.13 Como Eu Faço o IP O Multicast Trabalhar Com Meu Guarda-fogo?


    6 portas do TCP e do UDP
    6.1 Que é uma porta?
    6.2 Como eu sei que aplicação se usa que porta?
    6.3 Que são portas ESCUTANDO?
    6.4 Como eu determino que serviço a porta é para?
    6.5 Que portas são seguras de passar através de um guarda-fogo?
    6.6 O comportamento do ftp
    6.7 Que software se usa que modalidade do ftp?
    6.8 É meu tentar do guarda-fogo conectar fora?
    6.9 O anatomy de uma conexão do TCP


    A. Alguns produtos comerciais e vendedores
    B. Glossário de termos Guarda-fogo-Relacionados
    Bibliografia


    1 Administrativia


    1.1 Sobre o FAQ
    Esta coleção de Frequenty fêz perguntas (FAQ) e as respostas foram
    compiladas sobre um período dos anos, vendo que perguntas os povos fazem
    sobre guarda-fogos em fora como o USENET, listas enviando, e locais do Web.
    Se você tiver uma pergunta, olhar aqui para ver se respondeu antes de afixar
    sua pergunta é formulário bom. Não emita suas perguntas sobre guarda-fogos
    aos mantedores do FAQ.

    Os mantedores dão boas-vindas à entrada e aos comentários nos índices
    deste FAQ. Os comentários relacionaram-se ao FAQ devem ser dirigidos a
    . Antes que você nos emita o correio, seja por
    favor certo ver que as seções 1.2 e 1.3 a fazer certo isto são o original
    direito para que você leia.



    1.2 Para quem o FAQ é escrito?
    Os guarda-fogos vieram longe dos dias em que este FAQ começou. They've
    ido de ser sistemas altamente customized administrados por seus implementors
    a um producto mainstream. Os guarda-fogos são não mais longos unicamente nas
    mãos daqueles que projetam e executam sistemas da segurança; mesmo os
    end-users segurança-security-conscious têm-nos na HOME.

    Nós escrevemos este FAQ para colaboradores e administradores dos
    sistemas computatorizados. Nós tentamos ser razoavelmente inclusivos,
    fazendo o quarto para os newcomers, mas nós supomos ainda algum fundo
    técnico básico. Se você encontrasse que você não compreende este original,
    mas pense de que você necessita saber mais sobre guarda-fogos, pôde jorrar
    seja que você necessita realmente começar primeiramente mais fundo no
    networking do computador. Nós fornecemos as referências que nos ajudaram;
    talvez ajudar-lhe-ão também.

    Nós focalizamos predominately na "rede" guarda-fogos, mas `` hospede o
    '' ou os guarda-fogos do '' do ``"personal serão dirigidos onde apropriado.



    1.3 Antes De Emitir O Correio
    Anote que esta coleção de perguntas freqüente-perguntadas é um
    resultado da interação com muitos povos de fundos diferentes em uma
    variedade larga de fora públicos. O endereço guarda-fogo-FAQ não é uma mesa
    de ajuda. Se você estiver tentando usar uma aplicação que diga que não está
    trabalhando por causa de um guarda-fogo e você pensa de que você necessita
    remover seu guarda-fogo, por favor não nos emita o correio que pergunta
    como.

    Se você quiser saber `` começar livrado de seu '' do guarda-fogo
    porque você cannot usar alguma aplicação, não nos emita o correio que pede
    ajuda. Nós cannot ajudar-lhe. Realmente.

    Quem pode lhe ajudar? Pergunta boa. Isso dependerá em o que exatamente
    o problema é, mas é aqui diversos ponteiros. Se nenhuma destes trabalhar,
    satisfaça não nos pedem mais. Nós não sabemos.

    O fornecedor do software que você se está usando.
    O fornecedor usar-se do you're do '' dispositivo da ferragem do ``.
    O fornecedor de usar-se do you're do serviço de rede. Isso é, se
    you're em AOL, pede-os. Se você estiver tentando usar algo em uma rede
    incorporada, fale a seu administrador de sistema.


    1.4 Onde posso eu encontrar a versão atual do FAQ?
    O FAQ pode ser encontrado no Web em

    http://www.compuwar.net/pubs/fwfaq/.
    http://www.interhack.net/pubs/fwfaq/.
    Afixou também a revista mensal a

    comp.security.firewalls,
    comp.security.unix,
    comp.security.misc,
    comp.answers, e
    news.answers.
    As versões afixadas archived em todos os lugares usuais. Infelizmente,
    a versão afixada ao USENET e archived essa falta da versão dos retratos
    bonitos e dos hyperlinks úteis encontrou na versão do Web.



    1.5 Onde posso eu encontrar versões Non-Inglesas do FAQ?
    Diversas traduções estão disponíveis. (se você fizer uma tradução e
    não estiver alistada aqui, nos escreva por favor assim que nós podemos
    atualizar o original mestre.)


    Norueguês
    Tradução por Jon Haugsand
    http://helmersol.nr.no/haandbok/doc/brannmur/brannmur-faq.html


    1.6 Contribuinte
    Muitos povos escreveram sugestões úteis e o commentary pensativo. Nós
    somos gratos a todos os contribuinte. Nós gostaríamos de agradecer o afew
    pelo nome: Keinanen ;Vesa, Allen Leibowitz, chapman do brent, Brian Boyle,
    D. Clyde Williamson, Richard Reiner, Humberto Ortiz Zuazaga, William Sun, e
    esperança de Theodore.



    1.7 Copyright e uso
    Copyright ©1995-1996, 1998 Marcus J. Ranum. Copyright ©1998-2002
    Curtin Matt. Copyright 2004, Paul D. Robertson. Todos os direitos
    reservados. Este original pode ser usado, reprinted, e redistributed como
    está fornecendo esta observação de copyright e todos os attributions
    remanescem intact. As traduções do texto completo do inglês original a
    outras línguas são permitidas também explicitamente. Os tradutores podem
    adicionar seus nomes à seção dos `` contribuinte '.



    2 princípios do fundo e do guarda-fogo
    Antes de poder compreender uma discussão completa dos guarda-fogos,
    ele importante compreender os princípios básicos que fazem guarda-fogos
    trabalhar.



    2.1 Que é um guarda-fogo de rede?
    Um guarda-fogo é um sistema ou um grupo dos sistemas que reforcem uma
    política do controle de acesso entre dois ou mais redes. Os meios reais por
    que este é realizado variam extensamente, mas no princípio, o guarda-fogo
    podem ser pensados como de um par dos mecanismos: um que existe para
    obstruir o tráfego, e o outro que existe para permitir o tráfego. Alguns
    guarda-fogos colocam uma ênfase mais grande em obstruir o tráfego, quando
    outros emfatizarem o tráfego permitindo. Provavelmente a coisa a mais
    importante a reconhecer sobre um guarda-fogo é que executa uma política do
    controle de acesso. Se você don't tiver uma idéia boa de que tipo do acesso
    você quer reservar ou negar, do guarda-fogo uma ajuda do won't realmente
    você. Ele também importante reconhecer que a configuração do guarda-fogo,
    porque é um mecanismo para reforçar a política, impõe sua política em tudo
    atrás dela. Os administradores para guarda-fogos que controlam o
    connectivity para um número grande dos anfitriões têm conseqüentemente uma
    responsabilidade pesada.



    2.2 Por que eu quereria um guarda-fogo?
    O Internet, como toda a outra sociedade, é flagelado com o tipo dos
    empurrões que aprecíam o equivalente eletrônico da escrita em paredes do
    pessoa com spraypaint, de rasgar suas caixas postais fora, ou apenas de se
    sentar na rua que funde seus chifres do carro. Alguns povos tentam começar o
    trabalho real feito sobre o Internet, e outros têm dados que sensíveis ou
    proprietários devem proteger. Geralmente, a finalidade de um guarda-fogo é
    manter os empurrões fora de sua rede ao ainda o deixar começar seu trabalho
    feito.

    Muitos corporation e centros de dados traditional-style têm as
    políticas e as práticas computando da segurança que devem ser seguidas. Em
    um caso onde as políticas de uma companhia ditem como os dados devem ser
    protegidos, um guarda-fogo é muito importante, desde que é a incorporação da
    política incorporada. Freqüentemente, a parte a mais dura de enganchar ao
    Internet, se you're uma companhia grande, não está justificando a despesa ou
    o esforço, mas está convencendo a gerência que ele seguro fazer assim. Um
    guarda-fogo fornece não somente a segurança real -- joga frequentemente um
    papel importante como um cobertor da segurança para a gerência.

    Última, um guarda-fogo pode agir como seu do `` '' incorporado
    embaixador ao Internet. Muitos corporation usam seus sistemas do guarda-fogo
    como um lugar armazenar a informação pública sobre produtos incorporados e
    serviços, limas para download, erro-reparam-nos, e assim adiante. Diversos
    destes sistemas têm partes importantes tornadas da estrutura do serviço do
    Internet (por exemplo, UUnet.uu.net, whitehouse.gov, gatekeeper.dec.com) e
    refletiram-nas bem em seus patrocinadores organizational. Anote que quando
    esta for historicamente verdadeira, a maioria de organizações colocam agora
    a informação pública em um server do Web, protegido frequentemente por um
    guarda-fogo, mas não normalmente no guarda-fogo próprio.



    2.3 Que pode um guarda-fogo proteger de encontro?
    Alguns guarda-fogos permitem somente o tráfego do email através deles,
    desse modo protegendo a rede de encontro a todos os ataques à excepção dos
    ataques de encontro ao serviço do email. Outros guarda-fogos fornecem
    proteções mais menos estritas, e obstruem os serviços que são sabidos para
    ser problemas.

    Geralmente, os guarda-fogos são configurarados para proteger de
    encontro unauthenticated inícios de uma sessão interativos da `` do mundo do
    '' parte externa. Isto, mais do que qualquer coisa, ajudas impede que os
    vandals registrem em máquinas em sua rede. Uns guarda-fogos mais elaborados
    obstruem o tráfego da parte externa ao interior, mas permitem usuários no
    interior comunicar-se livremente com a parte externa. O guarda-fogo pode
    protegê-lo de encontro a qualquer tipo de ataque rede-carregado se você o
    desconectar.

    Os guarda-fogos são também importantes desde que podem fornecer um
    único do `` '' do ponto bloqueador onde a segurança e o exame possam ser
    impostos. Ao contrário dentro de uma situação onde um sistema
    computatorizado esteja sendo atacado por alguém que marca dentro com um
    modem, o guarda-fogo pode agir como do `` um '' eficaz da torneira telefone
    e uma ferramenta seguindo. Os guarda-fogos fornecem uma função registrando e
    examinando importante; frequentemente fornecem sumários ao administrador
    sobre que tipos e quantidade de tráfego passou com ela, quantas tentativas
    lá deviam quebrar nela, etc..

    Porque deste, os registros do guarda-fogo são dados crìticamente
    importantes. Podem ser usados como a evidência em uma corte de lei em a
    maioria de países. Você deve proteger, para analisar e proteger o
    guarda-fogo do yoru registra conformemente.

    Este é um ponto importante: fornecer este do `` '' do ponto bloqueador
    pode servir à mesma finalidade em sua rede como uma lata guardada da porta
    para premisoes físicas do seu local. Isso meios quando você tem uma mudança
    em `` zonas ' ou em níveis da sensibilidade, tal ponto de verificação é
    apropriado. Uma companhia não tem raramente somente uma porta exterior e
    nenhuma receptionist ou equipe de funcionários da segurança para verificar
    dentro emblemas na maneira. Se houver umas camadas de segurança em seu
    local, ele razoável para esperar camadas de segurança em sua rede.



    2.4 Que não pode um guarda-fogo proteger de encontro?
    Os guarda-fogos não podem proteger de encontro aos ataques que não
    atravessam o guarda-fogo. Muitos corporation que conectam ao Internet são
    muito interessados sobre os dados proprietários que escapam para fora da
    companhia através dessa rota. Infelizmente para aquelas concernidas,
    movimentações uma fita adesiva magnética, um disco compacto, de um flash de
    DVD, ou de USB enlatam apenas como seja usado eficazmente exportar dados.
    Muitas organizações que são estarrecidas (em um nível de gerência) de
    conexões do Internet não têm nenhuma política coherent sobre como seletor-
    no acesso através dos modem deve ser protegido. Silly construir uma porta de
    aço grossa de seis-pé quando você vive em uma casa de madeira, mas lá é um
    lote das organizações para fora lá de comprar guarda-fogos caros e de
    negligenciar o numeroso outras para trás-portas em sua rede. Para que um
    guarda-fogo trabalhe, deve ser uma parte de uma arquitetura organizational
    total consistente da segurança. As políticas do guarda-fogo devem ser
    realísticas e refletir o nível da segurança na rede inteira. Para o exemplo,
    um local com necessidade secreta ou classificada superior do doesn't dos
    dados um guarda-fogo em tudo: shouldn't estejam enganchando acima ao
    Internet no primeiro lugar, ou os sistemas com os dados realmente secretos
    devem ser isolados do descanso da rede incorporada.

    Uma outra coisa que um can't do guarda-fogo o protege realmente de
    encontro é traitors ou idiots dentro de sua rede. Quando um espião
    industrial pôde exportar a informação através de seu guarda-fogo, ele apenas
    como provavelmente para exportá-lo através de um telefone, de uma máquina de
    FAX, ou de um disco compacto. CDs são uns meios distante mais prováveis para
    que a informação escape de sua organização do que um guarda-fogo. Os
    guarda-fogos também não podem protegê-lo de encontro ao stupidity. Os
    usuários que revelam a informação sensível sobre o telefone são alvos bons
    para a engenharia social; um atacante pode poder quebrar em sua rede
    completamente contorneando seu guarda-fogo, se puder encontrar `` um
    interior útil do empregado do '' que possa ser enganado em dar o acesso a um
    pool do modem. Antes de decidir este isn't um problema em sua organização,
    pergunta-se como muito problema um contratante tem começar registrado na
    rede ou como muita dificuldade um usuário que se esqueça de sua senha tem a
    começar restaurar. Se os povos na mesa de ajuda acreditarem que cada
    atendimento é interno, você tem um problema esse can't reparado apertando
    controles nos guarda-fogos.

    O can't dos guarda-fogos protege de encontro ao excesso que tunneling
    a maioria de protocolos de aplicação a trojaned ou clientes deficientemente
    escritos. Não há nenhuma bala mágica e um guarda-fogo não é uma desculpa
    para não executar controles do software em redes internas ou para não
    ignorar a segurança do anfitrião em server. As coisas más do '' tunneling ``
    sobre o HTTP, o smtp, e os outros protocolos são completamente simples e
    demonstradas trivially. Fogo do isn't da segurança o `` e esquece-se ' '.

    Última, o can't dos guarda-fogos protege de encontro às coisas más que
    estão sendo permitidas com elas. O exemplo, muitos cavalos de Trojan usam o
    protocolo do bate-papo do relé do Internet (IRC) permitir que um atacante
    controle um anfitrião interno comprometido de um server do IRC do público.
    Se você permitir que qualquer sistema interno conecte a qualquer sistema
    externo, a seguir seu guarda-fogo não fornecerá nenhuma proteção deste vetor
    do ataque.



    2.5 Que sobre vírus e o outro malware?
    Os guarda-fogos não podem proteger muito bem de encontro às coisas
    como vírus ou o software malicioso (malware). Há demasiado muitas maneiras
    de codificar limas binárias para transferência sobre redes, e demasiado
    muitos arquiteturas e vírus diferentes para tentar procurará-las por todas.
    Ou seja um guarda-fogo não pode substituir o
    segurança-security-consciousness na parte de seus usuários. No general, um
    guarda-fogo cannot proteger de encontro a um ataque data-driven -- os
    ataques em que algo é enviado ou copí a um anfitrião interno onde seja
    executado então. Este formulário do ataque ocorreu no passado de encontro às
    várias versões do sendmail, ghostscript, scripting agentes do usuário do
    correio como browsersdo outlook, e do Web como o Internet Explorer.

    As organizações que são concernidas profundamente sobre vírus devem
    executar medidas de controle organização-largas do vírus. Rather do que
    somente tentando selecionar para fora vírus no guarda-fogo, faça certo que
    cada desktop vulnerável tem o software da exploração do vírus que é
    funcionado quando a máquina é recarregada. Cobrir sua rede com o software da
    exploração do vírus protegerá de encontro aos vírus que vêm dentro através
    dos discos flexíveis, CDs, modem, e o Internet. Tentar obstruir vírus no
    guarda-fogo protegerá somente de encontro aos vírus do Internet. A
    exploração do vírus no guarda-fogo ou no Gateway do E-mail parará um número
    grande das infecções.

    Não obstante, um número crescente de vendedores do guarda-fogo está
    oferecendo o `` vírus que detecta guarda-fogos do ''. They're provavelmente
    somente útil para os usuários ingénuos que trocam programas executáveis de
    Windows-em-Windows-on-Intel e originais malicioso-macro-capazes da
    aplicação. Há muitos aproximações guarda-fogo-baseadas para tratar dos
    problemas como de `` o sem-fim do '' ILOVEYOU e os ataques relacionados, mas
    estas são as aproximações realmente demasiadamente simplificadas que tentam
    limitar os danos de algo que é assim que stupid nunca devem ter ocorrido no
    primeiro lugar. Não conte em nenhuma proteção dos atacantes com esta
    característica. (desde que de `` o '' ILOVEYOU foi ao redor, o we've visto
    no menos um half-dozen similar ataca, including o melissa, Happy99, codifica
    o vermelho, e o Badtrans.B, todo o que foi passado feliz através de muitos
    guarda-fogos e Gateways vírus-detectando do E-mail.)

    Um guarda-fogo forte é nunca um substituto para o software sensible
    que reconhece a natureza de o que que segura -- untrusted dados do
    unauthenticated o partido -- e se comporta apropriadamente. Não pense de que
    porque `` todos '' está usando esse encarregado do envio da correspondência
    ou porque o vendedor é uma companhia multinacional gargantuan, você são
    seguro. No fato, não é verdadeiro que `` todos '' está usando todo o
    encarregado do envio da correspondência, e as companhias que se especializam
    na tecnologia de giro inventada em outra parte em algo que é `` fácil de
    usar o '' sem nenhuma perícia são mais prováveis produzir o software que
    pode ser enganado. Uma consideração mais adicional deste tópico seria de
    valor [3], mas é além do espaço deste original.



    2.6 IPSEC fará guarda-fogos obsoletos?
    Alguns discutiram que este é o caso. Antes de pronunciar uma predição
    tão arrebatadora, entretanto, é de valor considerar o que IPSEC é e o que .
    Uma vez que nós sabemos este, nós podemos considerar se IPSEC resolverá os
    problemas que nós estamos tentando resolver com guarda-fogos.

    IPSEC (segurança do IP) consulta a um jogo dos padrões desenvolvidos
    pelo Internet Engineering Task Force (IETF). Há muitos originais que definem
    coletivamente o que é sabido como de `` o '' IPSEC ;[6]. IPSEC resolve dois
    problemas que flagelaram o suite do protocolo do IP por anos: authentication
    do anfitrião-à-anfitrião (que deixará anfitriões saber esse they're que fala
    aos anfitriões que pensam são) e encryption (que impedirá que os atacantes
    possam prestar atenção ao tráfego ir entre

    Back to Top
    FAQ do guarda-fogo no português 2
    Anote que nenhum destes problemas é o que os guarda-fogos foram
    criados para resolver. Embora os guarda-fogos possam ajudar mitigate alguns
    dos riscos atuais em um Internet sem authentication ou encryption, há
    realmente duas classes dos problemas aqui: integridade e privacidade da
    informação que flui entre anfitriões e os limites colocados em que tipos do
    connectivity são permitidos entre redes diferentes. IPSEC dirige-se à classe
    e aos guarda-fogos anteriores o último.

    O que estes os meios são esse não eliminará a necessidade para o
    outro, mas cría algumas possibilidades interessantes quando nós olhamos
    combinando guarda-fogos com os anfitriões IPSEC-permitidos. A saber, coisas
    como redes confidenciais virtuais vendedor-independentes (VPNs), filtrar
    melhor do pacote (filtrando sobre se os pacotes têm o encabeçamento do
    authentication de IPSEC), e guarda-fogos da aplicação-camada poderão ter
    meios melhores da verificação do anfitrião realmente usando o encabeçamento
    do authentication de IPSEC em vez `` do '' que confiando justo o IP address
    se apresentou.



    2.7 Que são fontes boas da informação da cópia em guarda-fogos?
    Há diversos livros que tocam em guarda-fogos. Sabidos melhor são:

    Guarda-fogos do Internet do edifício, 2d ed.
    Autores
    Elizabeth D. Zwicky, cooper de Simon, e D. Brent Chapman
    Publisher
    O'Reilly
    Edição
    2000
    ISBN
    1-56592-871-7

    Guarda-fogos e segurança do Internet: Repelindo o hacker wily
    Autores
    Conta Cheswick, Steve Bellovin, Avi Rubin
    Publisher
    Addison Wesley
    Edição
    2003
    ISBN
    020163466X

    Segurança Prática Do Internet & Do Unix
    Autores
    Simson Garfinkel e gene Spafford
    Publisher
    O'Reilly
    Edição
    1996
    ISBN
    1-56592-148-8
    Nota
    Discute primeiramente a segurança do anfitrião.
    As referências relacionadas são:

    Internetworking com TCP/IP Vols I, II, e III
    Autores
    Comer ;de Douglas e David ;Stevens
    Publisher
    Prentice-Salão
    Edição
    1991
    ISBN
    0-13-468505-9 22#(i), 0-13-472242-6 22#(ii), 0-13-474222-2 22#(iii)
    Comentário
    Uma discussão detalhada na arquitetura e execução do Internet e de
    seus protocolos. O volume I (em princípios, em protocolos e em arquitetura)
    é readable por todos. O volume 2 (no projeto, na execução e nos internals) é
    mais técnico. Computar do cliente-server das tampas do volume 3.

    Segurança do sistema de Unix -- uma guia para usuários e
    administradores de sistema
    Autor
    Caril De David
    Publisher
    Addison Wesley
    Edição
    1992
    ISBN
    0-201-56327-4


    2.8 Onde posso eu começar mais informação em guarda-fogos no Internet?

    Manual Da Segurança Do Local
    http://www.rfc-editor.org/rfc/rfc2196.txt o manual da segurança do
    local é um original do IETF da informação que descreva as edições básicas
    que devem ser dirigidas para a segurança boa do local do edifício. Os
    guarda-fogos são uma porção de uma estratégia maior da segurança, porque o
    manual da segurança do local mostra.
    Guarda-fogos Que Enviam A Lista
    http://www.isc.org/index.pl?/ops/lists/firewalls/ os guarda-fogos do
    Internet que enviam a lista é um forum para administradores e implementors
    do guarda-fogo.
    Guarda-fogo-Firewall-Wizards Que Enviam A Lista
    http://honor.icsalabs.com/mailman/listinfo/firewall-wizards os wizards
    do guarda-fogo que enviam a lista é um guarda-fogo moderado e uma lista
    relacionada segurança que seja mais como um jornal do que um soapbox
    público.
    Guarda-fogo HOWTO
    http://www.linuxdoc.org/HOWTO/Firewall-HOWTO.html descreve exatamente
    o que é needed construir um guarda-fogo, particularmente usando Linux.
    Toolkit do guarda-fogo (FWTK) e papéis do guarda-fogo
    ftp://ftp.tis.com/pub/firewalls/
    Publicações relacionadas do guarda-fogo de Marcus Ranum
    http://www.ranum.com/pubs/
    Ferramentas da segurança da universidade de Texas A&M
    http://www.net.tamu.edu/ftp/security/TAMU/
    Página dos guarda-fogos do Internet do projeto da COSTA
    http://www.cerias.purdue.edu/coast/firewalls/


    3 edições do projeto e da execução


    3.1 Que são algumas das decisões básicas do projeto em um guarda-fogo?
    Há um número das edições básicas do projeto que devem ser dirigidas
    pela pessoa afortunada que foi tasked com a responsabilidade de projetar, de
    especificar, e de executar ou de overseeing a instalação de um guarda-fogo.

    Primeira e a maioria de decisão importante reflete a política de como
    sua companhia ou organização querem operar o sistema: é o guarda-fogo no
    lugar explicitamente para negar todos os serviços exceto aqueles críticos à
    missão de conectar à rede, ou é o guarda-fogo no lugar para fornecer um
    método metered e examinado `` do acesso enfileirando-se do '' em uma maneira
    non-ameaçando? Há uns graus de paranoia entre estas posições; o stance final
    de seu guarda-fogo pôde ser mais o resultado de um político do que uma
    decisão da engenharia.

    O segundo é: que nível da monitoração, redundância, e controle você
    quer? Estabelecendo o nível aceitável do risco (isto é, como o paranoid você
    é) resolvendo a primeira edição, você pode dar forma a uma lista de
    verificação de o que deve ser monitorado, permitido, e negado. Em outras
    palavras, você começa figurando para fora de seus objetivos totais, e
    combina então necessita a análise com uma avaliação de risco, e classifica
    as exigências quase sempre opondo para fora em uma lista da lavanderia que
    especifique o que você planeia executar.

    A terceira edição é financeira. Nós não podemos dirigir-se a este aqui
    em qualquer coisa mas em termos vagos, mas é importante tentar quantify
    todas as soluções propostas nos termos de quanto custará qualquer um para
    comprar ou executar. Para o exemplo, um produto completo do guarda-fogo pode
    custar entre $100.000 na extremidade elevada, e livra na extremidade baixa.
    A opção livre, de fazer alguma fantasia que configurara em um Cisco ou em um
    router similar não custará nada mas o tempo da equipe de funcionários e
    poucos copos do café. Executar um guarda-fogo elevado da extremidade do
    risco pôde custar diversos man-months, que podem igualar ao valor $30.000 do
    salário e dos benefícios da equipe de funcionários. As despesas gerais de
    gerência dos sistemas são também uma consideração. Construir um
    HOME-HOME-BREW é muito bem, mas ele importante construi-lo assim que doesn't
    requer a atenção constante (e cara). Importante, em outras palavras, para
    avaliar guarda-fogos não somente nos termos de o que custam agora, mas em
    continuar custa tais como a sustentação.

    No lado técnico, há uns pares das decisões a fazer, baseados no fato
    que para todas as finalidades práticas o que nós estamos falando
    aproximadamente é um serviço de estática do roteamento de tráfego colocado
    entre o router de fornecedor de serviço da rede e sua rede interna. O
    serviço do roteamento de tráfego pode ser executado em um nível do IP
    através de algo como réguas da seleção em um router, ou em um nível da
    aplicação através dos Gateways e dos serviços do proxy.

    A decisão a fazer é se colocar uma máquina descascada-para baixo
    exposta na rede exterior para funcionar serviços do proxy para o telnet, o
    ftp, as notícias, etc., ou se ajustar acima um router da seleção como um
    filtro, permitindo uma comunicação com um ou mais máquina interna. Há uns
    benefícios e uns inconvenientes a ambas as aproximações, com a máquina do
    proxy que fornece um nível mais grande do exame e, potencial, a segurança no
    retorno para o custo aumentado na configuração e uma diminuição no nível do
    serviço que pode ser fornecido (desde que um proxy necessita ser
    desenvolvido para cada serviço desejado). O trade-off velho entre a
    facilidade de utilização e a segurança vem para trás assombrar-nos com um
    vengeance.



    3.2 Que são os tipos básicos de guarda-fogos?
    Conceptual, há três tipos de guarda-fogos:

    Camada de rede
    Camada de aplicação
    Híbrido
    Não são tão diferentes como você pôde pensar, e as tecnologias as mais
    atrasadas estão borrando a distinção ao ponto onde é um espaço livre não
    mais longo se tampouco um for `` '' melhor ou `` mais mau. um '' Como
    sempre, você necessita ter cuidado para escolher o tipo que se encontra com
    suas necessidades.

    Qual é qual depende de que mecanismos o guarda-fogo se usa passar o
    tráfego de uma zona da segurança a outra. O modelo internacional do
    interconnect dos sistemas abertos de organização de padrões (ISO) (OSI) para
    o networking define sete camadas, onde cada camada fornece os serviços de
    que `` as camadas higher-level do '' dependem. Em ordem do fundo, estas
    camadas são físicas, ligação de dados, rede, transporte, sessão,
    apresentação, aplicação.

    A coisa importante a reconhecer é que o lower-level o mecanismo do
    forwarding, menos examinação que o guarda-fogo pode executar. Geralmente
    falando, os guarda-fogos lower-level são mais rápidos, mas são mais fáceis
    de enganar em fazer a coisa errada.

    Estes dias, a maioria de guarda-fogos caem `` na categoria hybrid do
    '', que fazem a rede que filtra as.well.as alguma quantidade de inspeção da
    aplicação. A quantidade muda depender do vendedor, do produto, do protocolo
    e da versão, assim que algum nível de escavar e/ou de testar é
    frequentemente necessário.


    3.2.1 Guarda-fogos da camada de rede
    Estes fazem geralmente suas decisões baseadas na fonte, nos endereços
    de destino e nas portas (veja o apêndice 6 para uma discussão mais detalhada
    das portas) em pacotes individuais do IP. Um router simples é `` o
    guarda-fogo tradicional da camada de rede do '', desde que não pode fazer
    particularmente decisões sofisticadas sobre de que pacote está falando
    realmente ou de onde veio realmente. Os guarda-fogos modernos da camada de
    rede tornaram-se cada vez mais sofisticados, e mantêm agora a informação
    interna sobre o estado das conexões que passam através delas, os índices de
    algum dos córregos de dados, e assim sobre. Uma coisa que uma distinção
    importante sobre muitos guarda-fogos da camada de rede é que distribuem o
    tráfego diretamente though eles, assim que ao uso um você necessita ter um
    bloco vàlida atribuído do endereço do IP ou usar `` um bloco confidencial do
    endereço do '' do Internet [5]. Os guarda-fogos da camada de rede tendem a
    ser muito rápidos e a tender a ser muito transparentes aos usuários.


    Figura 1: Guarda-fogo Selecionado Do Anfitrião

    Em figura 1, um guarda-fogo da camada de rede chamou `` um anfitrião
    selecionado o '' do guarda-fogo que é representado. Em um guarda-fogo
    selecionado do anfitrião, o acesso e de um único anfitrião é controlado por
    meios de um router que opera-se em uma camada de rede. O único anfitrião é
    um anfitrião do bastion; um forte-ponto elevado-defendido e fixado que
    (esperançosamente) possa resistir o ataque.


    Figura 2: Guarda-fogo Selecionado Do Subnet

    Guarda-fogo da camada de rede do exemplo: Em figura 2, um guarda-fogo
    da camada de rede chamou `` um '' selecionado do guarda-fogo do subnet é
    representado. Em um guarda-fogo selecionado do subnet, o acesso e de uma
    rede inteira é controlado por meios de um router que opera-se em uma camada
    de rede. É similar a um anfitrião selecionado, exceto que é, eficazmente,
    uma rede de anfitriões selecionados.


    3.2.2 Guarda-fogos da camada de aplicação
    Estes são geralmente anfitriões que funcionam os server do proxy, que
    não permitem nenhum tráfego diretamente entre redes, e que executam
    registrar e examinar elaborados do tráfego que passa com elas. Desde que as
    aplicações do proxy são componentes de software que funcionam no
    guarda-fogo, é um lugar bom para fazer lotes do controle registrar e de
    acesso. Os guarda-fogos da camada de aplicação podem ser usados como os
    tradutores do endereço de rede, desde que o tráfego vai em um `` '' lateral
    e para fora do outro, em seguida passando com uma aplicação que mascare
    eficazmente a origem da conexão iniciando. Ter uma aplicação na maneira em
    alguns casos pode impactar o desempenho e pode fazer o guarda-fogo mais
    menos transparente. Os guarda-fogos adiantados da camada de aplicação tais
    como aqueles construídos usando o toolkit do guarda-fogo de TIS, não são
    particularmente transparentes aos usuários da extremidade e podem reque
    algum treinamento. Os guarda-fogos modernos da camada de aplicação são
    frequentemente inteiramente transparentes. Os guarda-fogos da camada de
    aplicação tendem a fornecer uns relatórios de exame mais detalhados e a
    tender a reforçar uns modelos mais conservadores da segurança do que
    guarda-fogos da camada de rede.


    Figura 3: Dual O Gateway Homed

    Guarda-fogo da camada de aplicação do exemplo: Em figura 3, um
    guarda-fogo da camada de aplicação chamado `` um '' homed duplo do Gateway é
    representado. Um Gateway homed duplo é um anfitrião altamente fixado que
    funcione o software do proxy. Tem duas relações da rede, uma em cada rede, e
    obstrui todo o tráfego que passa com ele.

    A maioria de guarda-fogos encontram-se agora em algum lugar entre
    guarda-fogos da camada de rede e guarda-fogos da camada de aplicação. Como
    esperado, os guarda-fogos da camada de rede têm `` o '' ciente cada vez mais
    tornado da informação que atravessa eles, e os guarda-fogos da camada de
    aplicação têm `` o '' cada vez mais tornado do nível baixo e transparentes.
    O resultado de fim é que agora há os sistemas rápidos da pacote-seleção que
    registro e dados do exame como passam através do sistema. Cada vez mais, os
    guarda-fogos (rede e camada de aplicação) incorporam o encryption assim que
    podem proteger o tráfego que passa entre eles sobre o Internet. Os
    guarda-fogos com encryption end-to-end podem ser usados por organizações com
    pontos múltiplos do connectivity do Internet usar o Internet como `` um ''
    confidencial da espinha dorsal sem preocupar-se sobre suas dados ou senhas
    que sniffed. (IPSEC, descrito na seção 2.6, está jogando um papel cada vez
    mais significativo na construção de tais redes confidenciais virtuais.)



    3.3 Que são server do proxy e como eles trabalham?
    Um server do proxy (consultado às vezes como a um Gateway ou a um
    remetente da aplicação) é uma aplicação que medíe o tráfego entre uma rede
    protegida e o Internet. Os proxies são usados frequentemente preferivelmente
    de controles de tráfego router-baseados, impedir que o tráfego passe
    diretamente entre redes. Muitos proxies contêm o acréscimo que registra ou
    suportam-no para o authentication do usuário. Desde que os proxies devem ``
    compreender o '' o protocolo de aplicação que está sendo usado, podem também
    executar a segurança específica do protocolo (por exemplo, um proxy do ftp
    pôde ser configurable permitir o ftp entrante e obstruir ftp que parte).

    Os server do proxy são específico da aplicação. Em ordem para suportar
    um protocolo novo através de um proxy, um proxy deve ser desenvolvido para
    ele. Um jogo popular de server do proxy é o toolkit do guarda-fogo do
    Internet de TIS (``FWTK ' ') que inclui proxies para o telnet, o rlogin, o
    ftp, a notícia do sistema, do HTTP/Web, e do NNTP/Usenet da janela de X. Os
    SOCKS são um sistema genérico do proxy que possa ser compilado em uma
    aplicação do cliente-lado para lhe fazer o trabalho através de um
    guarda-fogo. Sua vantagem é que ele fácil de se usar, mas ele sustentação
    que do doesn't a adição do authentication engancha ou de registrar
    específico do protocolo. Para mais informação em SOCKS, veja
    http://www.socks.nec.com/.



    3.4 Que são algumas ferramentas baratas da seleção do pacote?
    As ferramentas da segurança da universidade de Texas A&M incluem o
    software para routers executando da seleção. Karlbridge é um jogo
    selecionando PC-BASEADO do router disponível de
    ftp://ftp.net.ohio-state.edu/pub/kbridge/.

    Há telas numerosas do pacote do semente-nível, including o ipf, o
    ipfw, os ipchains, o pf, e o ipfwadm. Tipicamente, estes são incluídos em
    várias execuções livres de Unix, em tais como FreeBSD, em OpenBSD, em
    NetBSD, e em Linux. Você pôde também encontrar estas ferramentas disponíveis
    em sua execução comercial de Unix.

    Se você for disposto começar a suas mãos um pouco sujo, é
    completamente possível construir um guarda-fogo seguro e inteiramente
    funcional para o preço da ferragem e algum de seu tempo.



    3.5 Que são algumas réguas filtrando razoáveis para uma tela
    semente-baseada do pacote?
    Este exemplo é escrito especificamente para o ipfwadm em Linux, mas os
    princípios (e mesmo muito da sintaxe) aplicam-se para outras relações da
    semente para a seleção do pacote `` em sistemas abertos de Unix do '' da
    fonte.

    Há quatro categorias básicas cobertas pelas réguas do ipfwadm:


    - A
    Contabilidade Do Pacote
    - I
    Guarda-fogo da entrada
    - O
    Guarda-fogo da saída
    - F
    Guarda-fogo do forwarding
    o ipfwadm tem também (-) as potencialidadesM masquerading. Para mais
    informação em interruptores e em opções, veja a página do homem do ipfwadm.


    3.5.1 Execução
    Aqui, nossa organização está usando (RFC 1918 ) uma rede confidencial
    192.168.1.0 da classe C. Nosso ISP atribuiu-nos o endereço 201.123.102.32
    para a relação externa do nosso Gateway e 201.123.102.33 para nosso server
    externo do correio. A política organizational diz:


    Permita todas as conexões que parte do TCP
    Permita o smtp entrante e o DNS ao server externo do correio
    Obstrua todo tráfego restante
    O seguinte bloco dos comandos pode ser colocado em uma lima do
    carregador do sistema (talvez rc.local em sistemas de Unix).


    o ipfwadm - F - o ipfwadm de f - F - p nega o
    ipfwadm - F - i m - b - P tcp - S 0.0.0.0/0 1024:65535 - o
    ipfwadm 25 - F de D 201.123.102.33 - i m - b - P tcp - S
    0.0.0.0/0 1024:65535 - o ipfwadm 53 - F de D 201.123.102.33 - i m -
    b - UDP de P - S 0.0.0.0/0 1024:65535 - o ipfwadm 53 - F de D
    201.123.102.33 - um m - S 192.168.1.0/24 - D 0.0.0.0/0 - W eth0
    /sbin/route adiciona - hospeda 201.123.102.33 gw 192.168.1.2


    3.5.2 Explanação
    A linha uma nivela (-f) todo o forwarding (-F) réguas.
    Linha dois jogos a política da opção (-p) para negar.
    As linhas três a cinco são réguas input (- i) no seguinte formato:
    ipfwadm - F (para diante) - i (entrada) m (masq.) - protocol)[protocol
    de b (bidirecional ) - P ]- S (source)[subnet/mask ] [ que origina portas ]-
    D (destination)[subnet/mask][port ]


    A linha seis adiciona (-a) uma régua que permita todo o IP interno
    dirige-se para fora a todos os endereços externos em todos os protocolos,
    todas as portas.

    A linha oito adiciona uma rota de modo que o tráfego que vai a
    201.123.102.33 seja dirigido ao endereço interno 192.168.1.2.


    3.6 Que são algumas réguas filtrando razoáveis para um Cisco?
    O exemplo em figura 4 mostra uma configuração possível para usar o
    Cisco como o router filtrando. É uma amostra que mostre a execução como da
    política específica. Sua política variará indubitàvelmente.


    Figura 4: Router Filtrando Do Pacote

    Neste exemplo, uma companhia tem o endereço de rede 195.55.55.0 da
    classe C. A rede da companhia é conectada ao Internet através do fornecedor
    de serviço do IP. A política da companhia é permitir a todos o acesso aos
    serviços do Internet, assim que todas as conexões que parte são aceitadas.
    Todas as conexões entrantes atravessam o `` mailhost ' '. O correio e o DNS
    são somente serviços entrantes.


    3.6.1 Execução

    Permita todo o TCP-connections que parte
    Permita o smtp entrante e o DNS ao mailhost
    Permita conexões de dados entrantes do ftp à porta elevada do TCP
    (1024)
    Tente proteger os serviços que vivem em números portuários elevados
    Somente os pacotes entrantes do Internet são verificados dentro esta
    configuração. As réguas estão testadas em ordem e param quando o primeiro
    fósforo é encontrado. Há um implícito nega a régua na extremidade de uma
    lista do acesso que negue tudo. Esta lista do acesso do IP supõe que você
    está funcionando IOS v do Cisco. 10.3 ou mais atrasado.


    nenhum IP fonte-distribui! Ethernet da relação
    0 IP address 195.55.55.1 que nenhum IP dirij-transmitiu! a
    série 0 da relação nenhum IP dirij-transmitiu o acesso-grupo
    101 do IP dentro! a acesso-lista 101 nega IP 127.0.0.0 que
    0.255.255.255 toda a acesso-lista 101 nega IP 10.0.0.0
    0.255.255.255 qualquer acesso-lista 101 nega IP 172.16.0.0
    0.15.255.255 toda a acesso-lista 101 nega IP 192.168.0.0
    0.0.255.255 qualquer acesso-lista 101 nega a IP quaisquer 0.0.0.255
    255.255.255.0 a acesso-lista 101 nega a IP quaisquer 0.0.0.0
    255.255.255.0! a acesso-lista 101 nega a IP 195.55.55.0
    0.0.0.255 acesso-lista 101 alguns do tcp da licença
    estabelecidos ! licença tcp da acesso-lista 101 alguma
    licença tcp da acesso-lista 101 do smtp do eq do anfitrião
    195.55.55.10 algum UDP da licença da acesso-lista 101 do dns do
    eq do anfitrião 195.55.55.10 algum eq dns do anfitrião
    192.55.55.10! a acesso-lista 101 nega a tcp toda a
    qualquer escala 6000 6003 que a acesso-lista 101 nega a tcp toda
    a qualquer escala 2000 2003 acesso-listas 101 negam o tcp toda a
    qualquer acesso-lista 2049 do eq 101 negue UDP a todo o qualquer
    eq 2049! licença tcp da acesso-lista 101 alguns 20
    algum gt 1024! ICMP algum algum da licença da
    acesso-lista 101! linha 0 4 acesso-classes vty 2 do
    RO 2 da comunidade FOOBAR do SNMP-SERVER na licença
    195.55.55.0 0.0.0.255 da acesso-lista 2


    3.6.2 Explanações
    Deixe cair todos os pacotes fonte-distribuídos. O roteamento da fonte
    pode ser usado para o endereço que spoofing.
    A gota dirigiu as transmissões, que são usadas em ataques do smurf.
    Se um pacote entrante reivindicar ser de uma rede local, de uma rede
    do laço de retorno, ou de uma rede confidencial, deixe-a cair.
    Todos os pacotes que são parte de TCP-connections já estabelecido
    podem passar completamente sem mais mais verificar.
    Todas as conexões aos números portuários baixos são obstruídas exceto
    o smtp e o DNS.
    Obstrua todos os serviços que escutam conexões do TCP em números
    portuários elevados. X11 (porta 6000+), OpenWindows (porta 2000+) são poucos
    candidatos. O NFS (porta 2049) funciona-o o UDP geralmente excedente, mas
    pode ser funcionado sobre o TCP, assim que deve obstrui-lo.
    As conexões entrantes da porta 20 em números portuários elevados são
    supostas para ser conexões de dados do ftp.
    a Acesso-lista 2 limita o acesso ao router próprio (telnet & SNMP)
    Todo o tráfego do UDP é obstruído para proteger serviços do RPC

    3.6.3 Shortcomings

    Você não pode reforçar políticas fortes do acesso com listas do acesso
    do router. Os usuários podem fàcilmente instalar backdoors a seus sistemas
    para não começar a excesso `` nenhum '' entrante do telnet ou `` nenhuma
    régua do '' X11. Também os biscoitos instalam backdoors do telnet nos
    sistemas aonde adaptam.

    Você pode nunca ser certo que serviços você tem escutar conexões em
    números portuários elevados. (você não pode ser certo de que serviços você
    tem escutar conexões em números portuários baixos, qualquer um, especial nos
    ambientes altamente descentralizados onde os povos podem pôr suas próprias
    máquinas sobre a rede ou onde podem começar o acesso administrativo a suas
    próprias máquinas.)

    Verificar a porta da fonte em conexões de dados entrantes do ftp é um
    método fraco da segurança. Quebra também o acesso a alguns locais do ftp.
    Faz o uso do serviço mais difícil para usuários sem impedir que os guys maus
    façam a varredura de seus sistemas.
    Uso em menos versão 9.21 do Cisco assim você pode filtrar pacotes
    entrantes e verificá-los para ver se há o endereço que spoofing. Melhora
    ainda para usar 10.3, onde você começa algumas características extra (como
    filtrar na porta da fonte) e algumas melhorias na sintaxe do filtro.

    Você tem ainda poucas maneiras fazer sua instalação mais forte.
    Obstrua todo o TCP-connections entrante e diga usuários para usar os
    clientes passivo-Ftp. Você pode também obstruir ICMP que parte eco-responde
    e mensagens destino-destination-unreachable para esconder sua rede e para
    impedir o uso de varredores da rede. O uso de Cisco.com ter um arquivo dos
    exemplos para construir guarda-fogos usando routers do Cisco, mas doesn't
    parece ser em linha anymore. Há algumas notas em listas do controle de
    acesso do Cisco, em menos, em
    ftp://ftp.cisco.com/pub/mibs/app_notes/access-lists.



    3.7 Que são os recursos críticos em um guarda-fogo?
    Importante compreender os recursos críticos de sua arquitetura do
    guarda-fogo, assim que quando você faz o planeamento de capacidade, os
    optimizations do desempenho, etc., você sabem exatamente o que você
    necessita fazer, e muito você necessita o fazer em ordem para começar o
    resultado desejado.

    O que exatamente os recursos críticos do guarda-fogo são tende a
    variar do local ao local, dependendo da sorte do tráfego que carrega o
    sistema. Alguns povos pensam que o they'll possa automaticamente aumentar o
    throughput de dados de seu guarda-fogo pondo em uma caixa com um processador
    central mais rápido, ou um outro processador central, quando este isn't
    necessariamente o caso. Potencial, este poderia ser um desperdício de
    dinheiro grande que o doesn't fizesse qualquer coisa resolver o problema na
    mão ou fornecer o scalability previsto.

    Em sistemas ocupados, a memória é extremamente importante. Você tem
    que ter bastante RAM para suportar cada exemplo de cada programa necessário
    prestar serviços de manutenção à carga colocada nessa máquina. Se não,
    trocar começará e a produtividade parará. Trocar claro não é geralmente
    muita de um problema, mas se o espaço de troca de um sistema começar a
    começar ocupado, a seguir dele é geralmente hora para mais RAM. Um sistema
    que pesadamente trocar é frequentemente relativamente fácil de empurrar
    sobre a borda em um ataque do negação-$$$-SERVIÇO, ou cai simplesmente atrás
    em processar a carga colocada nele. Isto é o lugar onde o email longo atrasa
    o começo.

    Além da exigência do sistema para a memória, é útil compreender que os
    serviços diferentes usam recursos de sistema diferentes. Assim a
    configuração que você tem para seu sistema deve ser indicativa do tipo da
    carga que você planeia prestar serviços de manutenção. Um isn't do
    processador de 1400 megahertz que vai fazê-lo muito bom se todo o fazer do
    you're for Netnews e correio, e está tentando fazê-lo em um disco do IDE com
    um controlador de ISA.





    Tabela 1: Recursos críticos para serviços do guarda-fogo Serviço
    Recurso Crítico
    Email Disco I/O
    Netnews Disco I/O
    Web Desempenho Do Soquete do Os Do Anfitrião
    Roteamento do IP Desempenho Do Soquete do Os Do Anfitrião
    Esconderijo Do Web Desempenho Do Soquete do Os Do Anfitrião, Disco I/O







    3.8 Que são um DMZ, e porque mim querem um?
    Back to Top
    FAQ do guarda-fogo no português 3
    de `` o '' DMZ é uma abreviatura para `` a zona demilitarized ' '. No
    contexto dos guarda-fogos, isto consulta a uma parte da rede que é nem parte
    da rede interna nem parte diretamente do Internet. Tipicamente, esta é a
    área entre seu router do acesso do Internet e seu anfitrião do bastion,
    embora pode estar entre todos os dois componentes política-reforçando de sua
    arquitetura.

    Um DMZ pode ser criado pondo listas do controle de acesso sobre seu
    router do acesso. Isto minimiza a exposição dos anfitriões em seu LAN
    externo por serviços somente reconhecidos e controlados reservar naqueles
    anfitriões para ser acessível por anfitriões no Internet. Muitos
    guarda-fogos comerciais fazem simplesmente uma terceira relação fora do
    anfitrião do bastion e etiquetam-na o DMZ, o ponto é que a rede é nem do ``
    '' nem `` parte externa ' interior '.

    Para o exemplo, um server do Web que funciona no NT pôde ser
    vulnerável a um número de ataques do negação-$$$-SERVIÇO de encontro a
    serviços como o RPC, o NetBIOS e o SMB. Estes serviços não são requeridos
    para a operação de um server do Web, obstruindo assim conexões do TCP às
    portas 135, 137, 138, e 139 nesse anfitrião reduzirão a exposição a um
    ataque do negação-$$$-SERVIÇO. No fato, se você obstruir tudo mas o tráfego
    do HTTP a esse anfitrião, um atacante terá somente um serviço a atacar.

    Isto ilustra um princípio importante: nunca os atacantes da oferta
    mais a trabalhar com do que é absolutamente necessário para suportar os
    serviços você querem oferecer o público.


    3.9 Como pude eu aumentar a segurança e o scalability de meu DMZ?
    Uma aproximação comum para um atacante deve quebrar em um anfitrião
    que seja vulnerável ao ataque, e em relacionamentos da confiança da façanha
    entre o anfitrião vulnerável e os alvos mais interessantes.

    Se você funcionasse um número dos serviços que têm níveis diferentes
    da segurança, você pôde querer considerar quebrar seu DMZ em diversas da ``
    zonas segurança '. Isto pode ser feito tendo um número de redes diferentes
    dentro do DMZ. Para o exemplo, o router do acesso podia alimentar dois
    Ethernets, ambos protegidos por ACLs, e conseqüentemente no DMZ.

    Em um do Ethernets, você pôde ter os anfitriões cuja a finalidade é
    prestar serviços de manutenção à necessidade da sua organização para o
    connectivity do Internet. Estes relay provavelmente o correio, a notícia, e
    o anfitrião DNS. No outro Ethernet poderiam estar seu server(s) do Web e
    outros anfitriões que fornecem serviços para o benefício de usuários do
    Internet.

    Em muitas organizações, os serviços para usuários do Internet tendem a
    ser guardados mais menos com cuidado e são mais prováveis fazer coisas
    insecure. (para o exemplo, no exemplo de um server do Web, unauthenticated e
    untrusted usuários pôde funcionar o cgi, o PHP, ou outros programas
    executáveis. Isto pôde ser razoável para seu server do Web, mas traz com ele
    um determinado jogo dos riscos que necessitam ser controlados. É provável
    estes serviços é demasiado risky para uma organização funcioná-los em um
    anfitrião do bastion, onde deslize-acima possa resultar na falha completa
    dos mecanismos da segurança.)

    Unindo os anfitriões com níveis similares do risco sobre redes no DMZ,
    você pode ajudar minimizar o efeito de um breakin em seu local. Se alguém
    quebrar em seu server do Web explorando algum erro em seu server do Web, o
    they'll para não poder usá-lo como um ponto lançando-se quebrar em sua rede
    confidencial se os server do Web estiverem em um LAN separado dos anfitriões
    do bastion, e você don't têm todos os relacionamentos da confiança entre o
    server do Web e o anfitrião do bastion.

    Agora, mantenha na mente que este é Ethernet. Se alguém quebrar em seu
    server do Web, e seu anfitrião do bastion estiver no mesmo Ethernet, um
    atacante pode instalar um tubo aspirador em seu server do Web, e presta
    atenção ao tráfego e de seu anfitrião do bastion. Isto pôde revelar as
    coisas que podem ser usadas quebrar no anfitrião do bastion e ganhar o
    acesso à rede interna. (o Ethernet comutado pode reduzir sua exposição a
    este tipo do problema, mas não o eliminará.)

    Serviços rachando acima não somente pelo anfitrião, mas a rede, e
    limitar o nível da confiança entre anfitriões naquelas redes, você pode
    extremamente reduzir a probabilidade de um breakin em um anfitrião que está
    sendo usado quebrar no outro. Indicado succinctly: quebrar no web server
    neste caso não fará mais fácil de quebrar no bastion host.

    Você pode também aumentar o scalability de sua arquitetura colocando
    anfitriões em redes diferentes. Pouco máquinas há compartilhar da largura de
    faixa disponível, mais largura de faixa cada um começará.



    3.10 Que são um único ponto do ` da falha ', e como mim evitam de ter
    um?
    Uma arquitetura cuja a segurança se articule em cima de um mecanismo
    tem um único ponto da falha. O software que funciona anfitriões do bastion
    tem erros. As aplicações têm erros. O software que controla routers tem
    erros. Faz o sentido usar todos estes componentes construir uma rede
    firmemente projetada, e usá-los em maneiras redundantes.

    Se sua arquitetura do guarda-fogo for um subnet selecionado, você tem
    dois routers filtrando do pacote e um bastion host. (veja a pergunta 3.2
    desta seção.) Seu router do acesso do Internet não permitirá o tráfego do
    Internet começar toda a maneira em sua rede confidencial. Entretanto, se
    você don't reforçar que régua com quaisquer outros mecanismos no router do
    anfitrião e/ou do bloqueador do bastion, only um componente de sua
    arquitetura necessita falhar ou ser comprometido em ordem para começar para
    dentro. Na outra mão, se você tiver uma régua redundante no anfitrião do
    bastion, e outra vez no router do bloqueador, um atacante necessitará
    derrotar três mecanismos.

    Mais mais, se o anfitrião do bastion ou o router do bloqueador
    necessitassem invocar sua régua para obstruir o acesso exterior à rede
    interna, você pôde querer mandá-la provocar um alarme de alguma sorte, desde
    que você sabe que alguém começou através de seu router do acesso.



    3.11 Como posso eu obstruir todo o material mau?
    Para os guarda-fogos onde a ênfase está na segurança em vez do
    connectivity, você deve considerar obstruir tudo pela opção, e somente
    especificamente permitir que serviços você necessita em uma base da
    caixa-por-caixa.

    Se você obstruir tudo, a não ser que um jogo específico dos serviços,
    então you've feito já seu trabalho muito mais fácil. Instead de ter
    preocupar sobre cada problema da segurança com tudo o produto e o serviço ao
    redor, você necessita somente preocupar-se sobre cada problema da segurança
    com um jogo específico dos serviços e dos produtos.

    Antes de girar em um serviço, você deve considerar um par das
    perguntas:


    É o protocolo para este produto um protocolo well-known, publicado?
    É o serviço da aplicação este protocolo disponível para a inspeção
    pública de sua execução?
    Como o poço sabido é o serviço e o produto?
    Como permitindo este serviço muda a arquitetura do guarda-fogo? Um
    atacante verá coisas diferentemente? Poderia ser explorada para começar em
    minha rede interna, ou para mudar coisas em anfitriões em meu DMZ?
    Quando considerando as perguntas acima, mantenha o seguinte na mente:


    a `` segurança através do '' do obscurity não é nenhuma segurança em
    tudo. Os protocolos unpublished foram examinados por guys maus e derrotados.
    Apesar de o que os representantes de marketing dizem, não cada
    protocolo ou serviço são projetados com segurança na mente. No fato, o
    número que é está muito pouco.
    Mesmo nos casos onde a segurança é uma consideração, não todas as
    organizações têm a equipe de funcionários competente da segurança. Entre
    aqueles que o don't, não todo é disposto trazer a um consultante competente
    no projeto. O resultado de fim é aquele se não-competente, colaboradores
    bem-pretendidos pode projetar sistemas insecure.
    Menos um vendedor é disposto o dizer que sobre como seu sistema
    trabalha realmente, mais provável é que os problemas da segurança (ou a
    outra) existe. Somente os vendedores com algo esconder têm uma razão
    esconder seus projetos e execuções [2].


    3.12 Como posso eu restringir o acesso do Web assim que os usuários
    não podem ver locais unrelated para trabalhar?
    Poucos anos há, alguém começou a idéia que uma idéia boa obstruir ``
    locais maus do Web do '', isto é, aqueles que contêm o material esse a
    companhia vê `` impróprio ' '. A idéia tem aumentado na popularidade, mas há
    diversas coisas a considerar ao pensar sobre executar tais controles em seu
    guarda-fogo.


    Não é possível obstruir praticamente tudo que um empregador julga ``
    impróprio ' '. O Internet está cheio de cada sorte do material. Obstruir uma
    fonte dirigirá de novo somente o tráfego a uma outra fonte de tal material,
    ou faça com que alguém figure uma maneira em torno do bloco.
    A maioria de organizações não têm um padrão para julgar o
    appropriateness do material que seus empregados trazem para trabalhar, por
    exemplo, livros e compartimentos. Você inspeciona todos pasta para `` o ''
    material impróprio cada dia? Se você não , a seguir por que você
    inspecionaria cada pacote para `` o material impróprio ' '? Todas as
    decisões ao longo daquelas linhas em tal organização serão arbitrárias.
    Tentar fazer exame da ação disciplinary de encontro a um empregado onde o
    único padrão seja arbitrário tipicamente não é sábio, para razões bem além
    do espaço deste original.
    Os produtos que executam a local-obstrução, comerciais e de outra
    maneira, são tipicamente fáceis de circumvent. Hostnames pode ser reescrito
    como endereços do IP. Os endereços do IP podem ser escritos como um valor
    32-bit do inteiro, ou como quatro inteiros 8-bit (o formulário o mais
    comum). Outras possibilidades existem, também. As conexões podem ser
    proxied. Os Web pages podem ser buscados através do email. Você can't
    obstrui-os todos. O esforço que você gastará tentar executar e controlar
    tais controles excederá quase certamente distante todo o nível do controle
    de danos que você esperar ter.
    O régua-$$$-POLEGAR a recordar aqui é que você cannot resolver
    problemas sociais com tecnologia. Se houver um problema com o alguém que vai
    `` a um local impróprio do Web do '', aquele é porque alguém mais o viu e
    offended por o que viu, ou porque a produtividade dessa pessoa está abaixo
    das expectativas. Em um ou outro caso, aquelas são matérias para o
    departamento de pessoal, não administrador do guarda-fogo.



    4 Vários Ataques


    4.1 Que são tráfego distribuído fonte e porque são ele uma ameaça?
    Normalmente, a rota que um pacote faz exame de sua fonte a seu destino
    é determinada pelos routers entre a fonte e o destino. O pacote próprio diz
    somente onde quer ir (o endereço de destino), e nada sobre como espera
    começar lá.

    Há uma maneira opcional para o remetente de um pacote (a fonte)
    incluir a informação no pacote que diz a rota que o pacote deve fazer exame
    para começar a seu destino; assim da `` o roteamento conhecido fonte ' '.
    Para um guarda-fogo, o roteamento da fonte é noteworthy, desde que um
    atacante pode gerar o tráfego que reivindica ser '' interior de um sistema
    do `` o guarda-fogo. No general, tal rota do wouldn't do tráfego ao
    guarda-fogo corretamente, mas com opção do roteamento da fonte, todos os
    routers entre a máquina do atacante e o alvo retornará o tráfego ao longo do
    trajeto reverso da rota da fonte. Executar tal ataque é completamente fácil;
    assim os construtores do guarda-fogo não devem discontá-lo como improvável
    acontecer.

    Na prática, o roteamento da fonte é usado muito pouco. No fato,
    geralmente o uso legitimate principal está em problemas da rede eliminar
    erros ou distribuir as ligações específicas do excesso do tráfego para o
    controle do congestion para situações especializadas. Ao construir um
    guarda-fogo, o roteamento da fonte deve ser obstruído em algum ponto. A
    maioria de routers comerciais incorporam a abilidade de obstruir
    especificamente o roteamento da fonte, e muitas versões de Unix que puderam
    ser usadas construir anfitriões do bastion do guarda-fogo têm a abilidade de
    incapacitar ou ignorar o tráfego distribuído fonte.



    4.2 Que são ICMP dirigem de novo e dirigem de novo bombas?
    Um ICMP dirige de novo diz o sistema recipient para cancelar algo em
    sua tabela de roteamento. É usado legitimately por routers dizer a
    anfitriões que o anfitrião está usando um non-non-optimal ou a rota defunct
    a um destino particular, isto é, o anfitrião o está emitindo ao router
    errado. O router errado emite a parte traseira que do anfitrião um ICMP
    dirige de novo o pacote que diz ao anfitrião o que a rota correta deve ser.
    Se você puder forjar o ICMP dirija de novo pacotes, e se seu anfitrião do
    alvo pagar a atenção a eles, você pode alterar as tabelas de roteamento no
    anfitrião e para subvert possivelmente a segurança do anfitrião fazendo com
    que o tráfego flua através de um trajeto que o didn't do gerente de rede
    pretende. O ICMP dirige de novo também pode ser empregado para a negação dos
    ataques do serviço, onde um anfitrião é emitido a uma rota que o perca
    connectivity, ou é-o emitido a um pacote unreachable da rede do ICMP que diz
    que pode nenhum acesso mais longo uma rede particular.

    Muitos construtores do guarda-fogo selecionam o tráfego do ICMP de sua
    rede, desde ela limitam a abilidade dos outsiders de sibilar anfitriões, ou
    modificam suas tabelas de roteamento.

    Antes que você se decida obstruir todos os pacotes do ICMP, você deve
    estar ciente de como o protocolo do TCP do `` '' da descoberta do MTU
    trajeto, assegurar que você connectivity da ruptura do don't a outros
    locais. Se você can't o obstruir com segurança em toda parte, você pode
    considerar permitir tipos selecionados de ICMP aos dispositivos de
    distribuição selecionados. Se você bloco do don't ele, você em menos se
    assegurar de que seu don't dos routers e dos anfitriões responda aos pacotes
    do sibilo da transmissão.



    4.3 Que sobre a negação de serviço?
    A negação de serviço é quando alguém se decide fazer seu rede ou
    guarda-fogo inútil disrupting o, deixando de funcionar o, atolando o, ou o
    flooding ele. O problema com negação de serviço no Internet é que é
    impossível impedir. A razão tem para fazer com a natureza distribuída da
    rede: cada nó de rede é conectado através de outras redes que na volta
    conectam a outras redes, etc.. Um administrador do guarda-fogo ou um ISP têm
    somente o controle de um pouco dos elementos locais dentro do alcance. Um
    atacante pode sempre disrupt '' rio acima de uma conexão `` de onde a vítima
    o controla. Em outras palavras, se alguém quisesse fazer exame de uma rede
    fora do ar, poderia fazê-lo ou fazendo exame da rede fora do ar, ou fazendo
    exame as redes conecta fora do ar, infinitum do anúncio. Há muitos, muitos,
    maneiras que alguém pode negar o serviço, variando do complexo à bruto-força
    trivial. Se você estiver considerando usando o Internet para um serviço que
    seja absolutamente tempo ou missão crítico, você deve considerar sua posição
    de recuo no evento que a rede está para baixo ou danificado.

    O serviço do eco do UDP de TCP/IP's é abusado trivially para começar
    dois server inundar um segmento da rede com os pacotes do eco. Você deve
    considerar comentar para fora das entradas não utilizadas em /etc/inetd.conf
    de anfitriões de Unix, adicionando no ip small-servers aos routers do Cisco,
    ou do equivalente para seus componentes.



    4.4 Que são alguns ataques comuns, e como podem mim proteger meu
    sistema de encontro a eles?
    Cada local é um pouco diferente de cada outra nos termos de que
    ataques são prováveis ser usados de encontro a ele. Alguns temas retornando
    levantam-se, though.


    4.4.1 Server do Smtp Que Hijacking (Relaying Desautorizado)
    Isto é o lugar aonde um spammer fará exame de muitos milhares das
    cópias de uma mensagem e os emitirá a uma lista enorme de endereços do
    email. Porque estas listas são frequentemente assim más, e em ordem aumentar
    a velocidade de operação para o spammer, muitas recorreram simplesmente a
    emitir todo seu correio a um server do smtp que tomasse cuidado realmente de
    entregar o correio.

    Do curso, todos os saltos, as queixas do Spam, o correio do ódio, e o
    fotorreceptor mau vêm para o local que foi usado como um relé. Há um custo
    muito real associado com o este, na maior parte em pagar povos para limpar
    mais tarde acima do mess.

    A iniciativa 2 da segurança do transportedo sistema1 da prevenção do
    abusodo correiomantem uma descrição completa do problema, e como
    configurarar sobre cada encarregado do envio da correspondência no planeta
    para proteger de encontro a este ataque.


    4.4.2 Explorando erros nas aplicações
    As várias versões de server do Web, de server do correio, e do outro
    software do serviço do Internet contêm os erros que permitem que os usuários
    remotos (do Internet) façam as coisas que variam do controle do ganho da
    máquina a fazer esse ruído elétrico da aplicação e apenas sobre tudo dentro
    no meio.

    A exposição a este risco pode ser reduzida funcionando somente
    serviços necessários, mantendo-se acima para datar em remendos, e usando os
    produtos que se realizaram em torno de um quando.


    4.4.3 Erros em sistemas operando-se
    Outra vez, estes são iniciados tipicamente por usuários remotamente.
    Os sistemas operando-se que são relativamente novos ao networking do IP
    tendem a ser mais problematic, como uns sistemas operando-se mais maduros
    tiveram o tempo para encontrar e eliminar seus erros. Um atacante pode
    frequentemente fazer o reboot do equipamento do alvo continuamente, deixar
    de funcionar, perder a abilidade de falar à rede, ou de substituir limas na
    máquina.

    Aqui, funcionando como poucos serviços de sistema operando-se como a
    ajuda possível da lata. Também, ter um filtro do pacote na parte dianteira
    do sistema operando-se pode reduzir a exposição a um número grande destes
    tipos de ataques.

    E, do curso, chosing um sistema operando-se estável ajudará aqui
    também. Ao selecionar um OS, o don't seja enganado em acreditar isso `` o
    mais pricier, o melhor ' '. Os sistemas operando-se livres são
    frequentemente muito mais robust do que suas contrapartes comerciais



    5 Como I...


    5.1 Eu quero realmente reservar tudo que meus usuários pedem?
    É inteiramente possível que a resposta é `` nenhuma ' '. Cada local
    tem suas próprias políticas sobre o que é e não é needed, mas é importante
    recordar que uma parte grande do trabalho de ser gatekeeper de uma
    organização é instrução. Os usuários querem o vídeo fluindo, bate-papo
    real-time, e para poder oferecer serviços aos clientes externos que requerem
    a interação com bases de dados vivas na rede interna.

    Esse meio do doesn't que algumas destas coisas podem ser feitas sem
    apresentar mais risco à organização do que do `` o '' suposto valor de
    dirigir abaixo essa estrada é valor. A maioria de don't dos usuários quer
    pôr sua organização no risco. Lêem apenas os panos de comércio, vêem
    propagandas, e querem fazer aquelas coisas, demasiado. É importante olhar em
    o que é que quer realmente fazer, e para lhe ajudar compreender como pôde
    poder realizar seu objetivo real em uma maneira mais segura.

    Você won't fosse sempre popular, e você pôde mesmo encontrar-se que
    está sendo dado o sentido para fazer algo incredibly stupid, como `` abre
    apenas acima do foo das portas através da barra ' '. Se isso acontecer,
    preocupação do don't sobre ela. Seria sábio manter assim todas suas trocas
    em tal evento que quando um kiddie do certificado 12-year-old adapta, o
    you'll em menos pudesse se separar do mess do todo.



    5.2 Como eu faço o trabalho de Web/HTTP através de meu guarda-fogo?
    Há três maneiras fazê-lo.


    Permita `` conexões estabelecidas do '' para fora através de um
    router, se você estiver usando routers da seleção.
    Use um cliente do Web que suporte SOCKS, e funcione SOCKS em seu
    anfitrião do bastion.
    Funcione algum tipo do server proxy-capaz do Web no anfitrião do
    bastion. Algumas opções incluem o calamar3, o Apache4, o proxy 5de Netscape,
    e o HTTP-HTTP-GW do toolkit do guarda-fogo de TIS. A maioria destes da lata
    proxy também outros protocolos (tais como o Gopher e o ftp), e pode cache os
    objetos buscados, que também resultarão tipicamente em um impulso do
    desempenho para os usuários, e um uso mais eficiente de sua conexão ao
    Internet. Essencialmente todos os clientes do Web (Mozilla, Internet
    Explorer, lynx, etc..) tenha a sustentação do server do proxy construída
    diretamente neles.


    5.3 Como eu faço o SSL trabalhar através do guarda-fogo?
    O SSL é um protocolo que permita conexões seguras através do Internet.
    Tipicamente, o SSL é usado proteger o tráfego do HTTP. Entretanto, outros
    protocolos (tais como o telnet) podem funcionar sobre o SSL.

    Permitir o SSL através de seu guarda-fogo pode ser feito a mesma
    maneira que você permitiria o tráfego do HTTP, se for HTTP que você está
    usando o SSL se fixar, que é geralmente verdadeiro. A única diferença é
    aquela preferivelmente de usar algo que relay simplesmente o HTTP,
    necessidade do you'll algo que pode tunnel o SSL. Esta é uma característica
    atual em a maioria de esconderijos do objeto do Web.

    Você pode encontrar para fora mais sobre o SSL de Netscape6.



    5.4 Como eu faço o trabalho do DNS com um guarda-fogo?
    Algumas organizações querem esconder nomes do DNS da parte externa. O
    don't de muitos peritos pensa que que esconde o DNS nomes é de valor, mas se
    a política de site/corporate exige nomes escondendo do domínio, esta é uma
    aproximação que está sabida para trabalhar. Uma outra razão que você pode
    ter para esconder nomes do domínio é se você tiver um esquema se dirigindo
    não padronizado em sua rede interna. Nesse caso, você não tem nenhuma
    escolha mas para esconder aqueles endereços. Não se engane em pensar disso
    se seus nomes do DNS estiverem escondidos que retardará um atacante abaixo
    muito se quebrarem em seu guarda-fogo. A informação sobre o que está em sua
    rede é recolhida demasiado fàcilmente da camada própria do networking. Se
    você quiser uma demonstração interessante deste, sibila o endereço da
    transmissão do subnet em seu LAN e faz então um `` arp - '' do ` a. Anote
    também isso nomes escondendo no doesn't do DNS dirigem-se ao problema ''
    escapando dos nomes de anfitrião `` para fora em encabeçamentos do correio,
    em artigos da notícia, etc..

    Esta aproximação é uma de muitos, e é útil para as organizações que
    desejam esconder seus nomes de anfitrião do Internet. O sucesso desta
    aproximação encontra-se no fato que os clientes do DNS em um don't da
    máquina têm para falar a um server do DNS nessa mesma máquina. Em outras
    palavras, apenas porque lá um server do DNS em uma máquina, lá nada
    erradamente com (e há frequentemente umas vantagens) dirigir de novo a
    atividade do cliente do DNS dessa máquina a um server do DNS em uma outra
    máquina.

    Primeiramente, você ajusta acima um server do DNS no anfitrião do
    bastion a que o mundo exterior pode falar. Você ajusta este server acima
    assim que reivindica ser authoritative para seus domínios. No fato, todo
    este server sabe é o que você quer o mundo exterior saber; os nomes e os
    endereços de seus Gateways, de seus registros do MX do wildcard, e assim
    adiante. Este é `` o server público do ''.

    Então, você ajustou acima um server do DNS em uma máquina interna.
    Este server reivindica também ser authoritative para seus domínios; ao
    contrário do server público, este está dizendo a verdade. Este é seu ``
    nameserver normal do '', em que você põe todo seu `` material normal do DNS
    do ''. Você ajustou também este server acima para enviar as perguntas que
    ele resolve do can't ao server público (que usa uma linha dos `` remetentes
    ' em /etc/named.boot em uma máquina de Unix, para o exemplo).

    Finalmente, você ajustou acima todos seus clientes do DNS ( a lima de
    /etc/resolv.conf em uma caixa de Unix, para o exemplo), including esses na
    máquina com o server público, para usar o server interno. Esta é a chave.

    Um cliente interno que inquire sobre um anfitrião interno pede o
    server interno, e começa uma resposta; um cliente interno que inquire sobre
    um anfitrião externo pede o server interno, que pede o server público, que
    pede o Internet, e a resposta relayed para trás. Um cliente no server
    público trabalha apenas a mesma maneira. Um cliente externo, entretanto,
    inquirindo sobre um anfitrião interno começa para trás `` a resposta
    restrita do '' do server público.

    Esta aproximação supõe que lá um guarda-fogo filtrando do pacote entre
    estes dois server que permitirão que falem o DNS a cada outro, mas restringe
    de outra maneira o DNS entre outros anfitriões.

    Um outro truque que útil neste esquema é empregar registros do PTR do
    wildcard em seus domínios de IN-ADDR.ARPA. Estes causam um lookup do
    dirij-à-nome para alguns de seus anfitriões non-public ao retorno algo como
    de `` o '' unknown.YOUR.DOMAIN rather do que um erro. Isto satisf a locais
    anonymous do ftp como ftp.uu.net que insistem em ter um nome para as
    máquinas eles falam a. Isto pode falhar ao falar aos locais que fazem um
    cross-check do DNS em que o nome de anfitrião é combinado de encontro a seus
    endereço e versa vice.



    5.5 Como eu faço o ftp trabalhar através de meu guarda-fogo?
    Geralmente, fazer o ftp trabalhar através do guarda-fogo é feito
    usando um proxy server tal como o ftp-ftp-gw do toolkit do guarda-fogo ou
    permitindo conexões entrantes à rede em uma escala portuária restrita, e de
    outra maneira restringindo conexões entrantes usando algo como `` réguas
    estabelecidas da seleção do ''. O cliente do ftp é modificado então para
    ligar a porta dos dados a uma porta dentro dessa escala. Isto envolve poder
    modificar a aplicação do cliente do ftp em anfitriões internos.

    Em alguns casos, se os downloads do ftp forem tudo você deseja
    suportar, você pôde querer considerar declarar o ftp `` um '' inoperante do
    protocolo e deixando o os usuários download limas através do Web
    preferivelmente. A relação de usuário é certamente mais agradável, e começa
    em torno do problema feio da porta da rechamada. Se você escolher a
    aproximação do Ftp-através-Web, seus usuários serão incapazes às limas do
    ftp para fora, que, dependendo de o que você está tentando realizar, podem
    ser um problema.

    Uma aproximação diferente deve usar opção do '' PASV do ftp de ``
    indicar que o server remoto do ftp deve permitir o cliente iniciar conexões.
    A aproximação de PASV supõe que o server do ftp nas sustentações do sistema
    remoto que operação. (Veja `` O '' Guarda-fogo-Amigável do Ftp [1].)

    Outros locais preferem construir as versões do cliente do programa do
    ftp que são ligadas de encontro a uma biblioteca dos SOCKS.



    5.6 Como eu faço o telnet trabalhar através de meu guarda-fogo?
    O telnet é suportado geralmente usando um proxy da aplicação tal como
    o tn-tn-gw do toolkit do guarda-fogo, ou simplesmente configurarando um
    router para permitir conexões que parte usando algo como `` as réguas
    estabelecidas da seleção do ''. Os proxies da aplicação podiam estar no
    formulário de um proxy autônomo que funciona no anfitrião do bastion, ou no
    formulário de um server dos SOCKS e de um cliente modificado.



    5.7 Como eu faço o dedo e o WHOIS trabalhar através de meu
    guarda-fogo?
    Muitos admins do guarda-fogo permitem conexões à porta do dedo somente
    das máquinas confiadas, de que pode emitir pedidos do dedo no formulário:
    dedo in@firewall. Esta aproximação trabalha somente com a
    versão padrão de Unix do dedo. O acesso controlando aos serviços e a
    restringi-los às máquinas específicas é controlado usando tcp_wrappers ou
    netacl do toolkit do guarda-fogo. Esta aproximação não trabalhará em todos
    os sistemas, desde que alguns server do dedo não permitem o fingering do
    user@host@host.

    Muitos pedidos inbound do dedo do bloco dos locais para uma variedade
    das razões, ser foremost após erros da segurança no server do dedo (o
    sem-fim do Internet de Morris fêz estes erros famosos) e o risco da
    informação proprietária ou sensível que está sendo revelada na informação do
    dedo do usuário. No general, entretanto, se seus usuários forem acostumados
    a pôr a informação proprietária ou sensível em suas limas do plan, você tem
    um problema mais sério da segurança do que apenas um guarda-fogo pode
    resolver.



    5.8 Como eu faço o Gopher, archie, e outros serviços trabalham através
    de meu guarda-fogo?
    A maioria de administradores do guarda-fogo escolhe suportar o Gopher
    e o archie com os proxies do Web, em vez de diretamente. Proxies tais como
    as perguntas do converso gopher/gopher+ de HTTP-HTTP-GW do toolkit do
    guarda-fogo no HTML e no versa vice. Para suportar o archie e as outras
    perguntas, muitos locais confiam Web-à-archie nos server Internet-baseados,
    tal como ArchiePlex. A tendência do Web fazer tudo no olhar do Internet como
    um serviço do Web é um blessing e um curse.

    Há muitos serviços novos que colhem constantemente acima.
    Frequentemente são misdesigned ou não são projetados com segurança na mente,
    e seus desenhadores dir-lhe-ão cheerfully se você quiser os usar que você a
    necessidade deixou a porta xxx através de seu router. Infelizmente, não
    todos pode fazer aquele, e assim que um número de interessar brinquedos
    novos é difícil de usar-se para povos atrás dos guarda-fogos. As coisas
    gostam de RealAudio, que requerem o acesso direto do UDP, são
    particularmente exemplos egregious. A coisa a carregar na mente se você se
    encontrar enfrentado com um destes problemas é encontrar para fora tanto
    quanto você pode sobre os riscos da segurança que o serviço pode apresentar,
    antes que você o permita apenas completamente. Completamente possível o
    serviço não tem nenhuma implicação da segurança. Ingualmente possível que
    tem furos undiscovered você poderia dirigir um caminhão completamente.



    5.9 Que são as edições sobre X11 através de um guarda-fogo?
    O sistema de X Windows é um sistema muito útil, mas tem infelizmente
    algumas falhas de segurança principais. Sistemas remotos que podem ganhar ou
    acesso do spoof ao indicador de X11 de uma estação de trabalho pode
    monitorar os keystrokes que um usuário incorpora, cópias do download dos
    índices de suas janelas, etc..

    Quando as tentativas forem feitas de os superar (bolinho `` mágico '
    por exemplo, do MIT ') é ainda inteiramente demasiado fácil para um atacante
    interferir com o indicador de X11 de um usuário. A maioria de guarda-fogos
    obstruem todo o tráfego X11. Alguns permitem o tráfego X11 com os proxies da
    aplicação tais como o proxy do DEC CRL X11 (ftp crl.dec.com). O toolkit do
    guarda-fogo inclui um proxy para X11, chamado o x-x-gw, que um usuário pode
    invocar através do proxy do telnet, para criar um server X11 virtual no
    guarda-fogo. Quando os pedidos são feitos para uma conexão X11 no server X11
    virtual, o usuário está apresentado com pop-up perguntar-lhes se for
    APROVADO permitir a conexão. Quando este for um pouco unaesthetic, ele
    inteiramente em manter-se com o descanso de X11.



    5.10 Como eu faço RealAudio trabalhar através de meu guarda-fogo?
    RealNetworks mantem alguma informação sobre como começar RealAudio que
    trabalha através de seu guarda-fogo7. Seria unwise fazer todas as mudanças a
    seu guarda-fogo sem compreender o que as mudanças farão, exatamente, e
    sabendo que riscos as mudanças novas trarão com ele.

    Back to Top
    FAQ do guarda-fogo no português 4
    5.11 Como eu faço meu ato do web server como um front-end para uma
    base de dados que viva em minha rede confidencial?
    A mais melhor maneira fazer isto deve permitir connectivity muito
    limitado entre seu server do Web e seu server da base de dados através de um
    protocolo específico que suporte somente o nível do you're da funcionalidade
    que vai se usar. Permitindo o SQL cru, ou o qualquer coisa mais onde as
    extrações feitas sob encomenda poderiam ser executadas por um isn't do
    atacante geralmente uma idéia boa.

    Suponha que um atacante está indo poder quebrar em seu server do Web,
    e faça perguntas na mesma maneira que a lata do server do Web. Há um
    mecanismo para extrair a informação sensível que a necessidade do doesn't do
    server do Web, como a informação do cartão de crédito? Pode um atacante
    emitir um SQL seleto e extrair sua base de dados proprietária inteira?

    do `` as aplicações do '' E-comércio, como tudo mais, são projetadas
    melhor com segurança na mente da terra acima, em vez de ter '' adicionado da
    segurança `` como um afterthought. Reveja sua arquitetura crìticamente, do
    perspective de um atacante. Suponha que o atacante sabe tudo sobre sua
    arquitetura. Pergunte-se agora que necessidades ser feito para roubar seus
    dados, para fazer mudanças desautorizadas, ou para fazer qualquer outra
    coisa que você não quer feito. Você pôde encontrar que você pode
    significativamente aumentar a segurança sem funcionalidade diminuindo
    fazendo algum decisões do projeto e da execução.

    Algumas idéias para que como segure isto:


    Extraia os dados que você necessita da base de dados em uma base
    regular assim que você não está fazendo perguntas de encontro à base de
    dados cheia, completa com a informação que os atacantes encontrarão
    interessar.
    Extremamente restrinja e examine o que você concede entre o server do
    Web e a base de dados.


    5.12 Mas minha base de dados tem um server integrado do Web, e eu
    quero usar aquele. Puxão de Can't I apenas um furo no guarda-fogo e túnel
    que movam?
    Se sua política do guarda-fogo do local for suficientemente lax que
    you're que quer controlar o risco que alguém explorará um vulnerability em
    seu server do Web que resultará em parcial ou termina a exposição de sua
    base de dados, então lá isn't que impede muito que você faça este.

    Entretanto, em muitas organizações, os povos que são responsáveis para
    amarrar a extremidade dianteira do Web à base de dados para trás terminam
    simplesmente não têm a autoridade para fazer exame dessa responsabilidade.
    Mais mais, se a informação na base de dados fosse sobre povos, você pôde
    encontrar-se culpado de quebrar um número das leis se você precauções
    razoáveis feitas exame haven't para impedir que o sistema esteja abusado.

    No general, este isn't uma idéia boa. Veja a pergunta 5.11 para
    algumas idéias em outras maneiras realizar este objetivo.



    5.13 Como Eu Faço o IP O Multicast Trabalhar Com Meu Guarda-fogo?
    O multicast do IP é meios de começar o tráfego do IP de um anfitrião a
    um jogo dos anfitriões sem usar transmitir; isso é, instead de cada
    anfitrião que começa o tráfego, only aqueles que o querem o começarão, sem
    cada um que tem manter uma conexão separada ao server. O unicast do IP é
    onde um anfitrião fala a outro, multicast é onde um anfitrião fala a um jogo
    dos anfitriões, e a transmissão é onde um anfitrião fala a todos os
    anfitriões.

    O Internet público tem uma espinha dorsal do multicast (``MBone ' ')
    onde os usuários podem acoplar na troca do tráfego do multicast. Os usos
    comuns para o MBONE são córregos de reuniões do IETF e similares tal
    interação. Começar one's própria rede conectou ao MBONE requererá que o
    tráfego rio acima do multicast da rota do fornecedor e de sua rede.
    Adicionalmente, sua rede interna terá para suportar o roteamento do
    multicast.

    O papel do guarda-fogo no roteamento do multicast, conceptual, não é
    nenhum diferente de seu papel no outro roteamento de tráfego. Isso é, uma
    política que identifique que os grupos do multicast são e o aren't permitido
    deve ser definido e então um sistema de permitir esse tráfego que concorda à
    política deve ser planejado. Detalhe grande em como exatamente fazer isto é
    além do espaço deste original. Felizmente, o RFC 2588 [4] discute o assunto
    em mais detalhe. A menos que seu produto do guarda-fogo suportasse alguns
    meios do forwarding seletivo do multicast ou você tivesse a abilidade de a
    pôr em yourself, você pôde encontrar o tráfego do multicast do forwarding em
    uma maneira consistente com sua política da segurança para ser um headache
    mais grande do que é valor.



    6 portas do TCP e do UDP
    por Mikael Olsson
    Este apêndice começará em um nível razoavelmente `` básico do '',
    assim mesmo se os primeiros pontos parecem childishly self-evident a você,
    você pôde imóvel aprender algo de saltar adiante a algo mais tarde no texto.



    6.1 Que é uma porta?
    `` um '' portuário é `` '' virtual do entalhe em sua pilha do TCP e do
    UDP que é usada traçar uma conexão entre dois anfitriões, e também entre a
    camada de TCP/UDP e as aplicações reais que funcionam nos anfitriões.

    São numerados 0-65535, com a escala 0-1023 que estão sendo marcados
    como `` o '' reserved ou `` privlileged o '', e o descanso (1024-65535) como
    `` '' ou `` unprivileged dinâmico ' '.

    Há bàsicamente dois usos para portas:


    `` '' escutando em uma porta.
    Isto é usado pelas aplicações do server que esperam usuários para
    conectar, para começar a algum `` '' sabido bom do serviço, para HTTP do
    exemplo (porta do TCP 80), telnet (porta 23) do TCP, DNS (porta 53 do UDP e
    às vezes do TCP).
    Abrindo `` uma porta dinâmica do ''.
    Ambos os lados de uma necessidade da conexão do TCP ser identificado
    por endereços de IP e pelos números portuários. Daqui, quando você quer ``
    conecte o '' a um processo do server, sua extremidade da canaleta de
    comunicações necessita também `` uma porta ' '. Isto é feito escolhendo uma
    porta acima de 1024 em sua máquina que não está atualmente no uso por uma
    outra canaleta de comunicações, e usando a como do `` o '' remetente na
    conexão nova.
    As portas dinâmicas podem também ser usadas como `` as portas
    escutando em algumas aplicações, o mais notàvelmente ftp do ''.

    As portas na escala 0-1023 são quase sempre portas do server. As
    portas na escala 1024-65535 são geralmente portas dinâmicas (isto é, aberto
    dinâmicamente quando você conecta a uma porta do server). Entretanto, alguma
    porta pode ser usada como uma porta do server, e alguma porta pode ser usada
    como `` uma porta que parte do ''.

    Assim, para somá-la acima, aqui o que acontece em uma conexão básica:

    Em algum ponto no tempo, uma aplicação do server no anfitrião 1.2.3.4
    decide-se `` escuta '' na porta 80 (HTTP) conexões novas.
    Você (5.6.7.8) quer surf a 1.2.3.4, a porta 80, e a seu browser
    emite-lhe um atendimento conectar.
    O atendimento conectar, realizando que não tem ainda o número
    portuário local, vai caça para uma. O número portuário local é necessário
    desde quando as respostas voltam alguma hora no futuro, sua pilha de TCP/IP
    terá que saber a que aplicação para passar a resposta. Faz este recordando
    que aplicação se usa que número portuário local. (isto é simplificado bruta,
    nenhumas flamas dos programadores, por favor.)
    Sua pilha do TCP encontra uma porta dinâmica não utilizada, geralmente
    em algum lugar acima de 1024. Vamos supor que encontra 1029.
    Seu primeiro pacote é emitido então, de seu IP local, 5.6.7.8, porta
    1029, a 1.2.3.4, porta 80.
    O server responde com um pacote de 1.2.3.4, porta 80, a você, 5.6.7.8,
    porta 1029.
    Este procedimento é realmente mais longo do que este, lido sobre para
    uma explanação mais in-depth do TCP conecta seqüências.


    6.2 Como eu sei que aplicação se usa que porta?
    Há diversas listas que esboçam `` o '' reserved e `` o '' sabido bom
    move, assim como `` o '' geralmente usado move, e mais melhor é:
    ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers. Para aqueles de
    você que lê ainda RFC 1700 para encontrar para fora que número portuário faz
    que, BATENTE que FAZ O. Realiza-se horribly fora da data, e não será menos
    assim amanhã.

    Agora, quanto para a confiar nesta informação: Estas listas não , em
    nenhuma maneira, para constituir nenhum tipo do bible holy em que as portas
    fizerem que.

    A espera, deixou-me rephrase isso: NÃO HÁ NENHUMA MANEIRA
    CONFIANTEMENTE De DETERMINAR QUE PORTA FAZ QUE SIMPLESMENTE OLHANDO Em uma
    LISTA.



    6.3 Que são portas ESCUTANDO?
    Suponha que você `` netstat - ` um '' em suas máquina e portas 1025 e
    1030 mostrados acima como escutando. Que faz?

    Endireite-nos, deixe- fazer exame de um olhar na lista atribuída dos
    números portuários.


    BBN IAD do blackjack iad1 1030/tcp da rede do
    blackjack 1025/tcp

    Espera, que acontecimento? Minha estação de trabalho roubou meu número
    do VISTO e decidiu-se ir blackjack do jogo com algum server do rogue no
    Internet? E que esse software que o BBN instalou?

    Isto não é o lugar onde você começa se apavorar e emite o correio à
    lista dos guarda-fogos. No fato, esta pergunta foi pedida talvez as épocas
    uma dúzia durante os seis meses passados, e a cada hora ele respondido. Não
    isso QUE mantem povos de fazer a mesma pergunta outra vez.

    Se você estiver fazendo esta pergunta, você é mais provável usando uma
    caixa das janelas. As portas que você está vendo são (o mais provável) duas
    portas escutando que o subsistema do RPC abre quando começa acima.

    Este é um exemplo de onde as portas dynamicly atribuídas possam ser
    usadas por processos do server. As aplicações que usam a vontade do RPC mais
    tarde em conectam à porta 135 (`` portmapper ' dos netbios ') à pergunta
    onde encontrar algum serviço do RPC, e começam uma resposta que diz para
    trás aquela que o serviço particular pode ser contatado na porta 1025.

    Agora, como nós sabemos este, desde lá nenhum da `` '' lista que
    descreve estas portas? Simples: Não há nenhum substituto para a experiência.
    E usar os motores de busca enviando da lista ajuda também a um inferno de
    muito.



    6.4 Como eu determino que serviço a porta é para?
    Desde que é impossível aprender que porta faz o que olhando em uma
    lista, como eu fazem-na?

    A maneira hands-on velha de fazê-la é fechando abaixo quase cada
    service/daemon que funciona em sua máquina, fazendo netstat -a e fazendo
    exame da nota de o que as portas estão abertas. Lá o shouldn't seja muito
    muitos escutar. Então você começa girar todos os serviços sobre, um por um,
    e a nota da tomada de o que as portas novas mostram acima em sua saída do
    netstat.

    Uma outra maneira, essa necessita mais trabalho da suposição,
    telnetting simplesmente às portas e vê o que sai. Se nada sair, a tentativa
    que datilografa algum jargão e que bate entra poucas vezes, e vê se algo
    girar acima. Se você começar binário trunque, ou nada em tudo, este
    obviamente não lhe ajudará.

    Entretanto, isto dir-lhe-á somente o que as portas escutando são
    usadas. Não o dirá sobre as portas dinâmicamente abertas que podem ser
    abertas mais tarde sobre por estas aplicações.

    Há algumas aplicações que puderam lhe ajudar seguir para baixo as
    portas usadas.

    Em sistemas de Unix, há uma utilidade agradável chamada lsof que venha
    preinstalled em muitos sistemas. Mostrar-lhe-á todo números portuários
    abertos e os nomes das aplicações que as estão usando. Isto significa que
    pôde lhe mostrar um lote do aswell localmente aberto das limas como os
    soquetes de TCP/IP. Leia o texto de ajuda.

    Em sistemas das janelas, nada vem preinstalled para ajudar-lhe nesta
    tarefa. (que novo?) Lá uma utilidade chamou de `` o '' Inzider que se
    instala dentro das janelas que os soquetes mergulham e recordam
    dinâmicamente que processo abre que movem. O inconveniente desta aproximação
    é que can't lhe diz que portas foram abertas antes do inzider começado, mas
    ele o mais melhor que o you'll começa em janelas (a meu conhecimento).
    http://ntsecurity.nu/toolbox/inzider/.



    6.5 Que portas são seguras de passar através de um guarda-fogo?
    TUDO.

    No., espera, NENHUMA.

    No., espera, uuhhh... Eu ouvi-me que todas as portas acima de 1024 são
    seguras desde que são somente dinâmicas??

    No. Realmente. Você NÃO PODE dizer que portas são seguras simplesmente
    olhando seu número, simplesmente porque aquele é realmente tudo que é. Um
    número. Você não pode montar um ataque com um número 16-bit.

    A segurança `` de um '' portuário depende de que aplicação você
    alcançará através dessa porta.

    Um misconception comum é que as portas 25 (smtp) e 80 (HTTP) são
    seguros de passar através de um guarda-fogo * meep * ERRADO. Apenas porque
    todos o está fazendo meio do doesn't que é seguro.

    Outra vez, a segurança de uma porta depende de que alcance do you'll
    da aplicação através dessa porta.

    Se o you're que funciona um server bem-escrito do Web, aquele for
    projetado da terra acima ser seguro, você pode provavelmente sentir
    assegurado razoavelmente que ele seguro deixa povos exteriores alcançá-lo
    através da porta 80. Se não, você CAN'T.

    O problema aqui não está na camada de rede. Ele em como os processos
    de aplicação os dados que recebe. Estes dados podem ser recebidos através da
    porta 80, porta 666, uma linha de série, disco flexível ou através do
    telegrama cantar. Se a aplicação não for segura, não importa como os dados
    lhes começam. Os dados da aplicação são onde o perigo real se encontra.

    Se você estiver interessado na segurança de sua aplicação, vá
    subscrevem ao bugtraq8ou ou tentam procurarar seus arquivos.

    Este é mais de uma edição de segurança da aplicação rather do que uma
    edição de segurança do guarda-fogo. Se poderia discutir que um guarda-fogo
    deve parar todos os ataques possíveis, mas com o número de protocolos de
    rede novos, não projetado com segurança na mente, e aplicações networked,
    nenhumas projetadas com segurança na mente, torna-se impossível para um
    guarda-fogo proteger de encontro a todos os ataques data-driven.



    6.6 O comportamento do ftp
    Ou, `` porque eu tenho para abrir todas as portas acima de 1024 a meu
    server do ftp?' '

    O olhar do doesn't do ftp realmente um o lote inteiro gosta de outras
    aplicações de um perspective do networking.

    Mantem uma porta escutando, a porta 21, a que os usuários conectam.
    Tudo que é deixou povos entra, e estabelece uma OUTRA conexão para fazer
    transferências de dados reais. Esta segunda conexão está geralmente em
    alguma porta acima de 1024.

    Há duas modalidades, `` '' ativo (normal) e `` modalidade passiva do
    ''. Esta palavra descreve o comportamento do server.

    Na modalidade ativa, o cliente (5.6.7.8) conecta à porta 21 no server
    (1.2.3.4) e registra sobre. Quando transferências de lima são devidas, o
    cliente aloca uma porta dinâmica acima de 1024, informa o server sobre que
    porta abriu, e então o server abre uma conexão nova a essa porta. Este é ``
    o papel ativo do '' do server: estabelece ativamente conexões novas ao
    cliente.

    Na modalidade passiva, a conexão à porta 21 está a mesma. Quando
    transferências de lima são devidas, o SERVER aloca uma porta dinâmica acima
    de 1024, informa o cliente sobre que porta abriu, e então o CLIENTE abre uma
    conexão nova a essa porta. Este é `` o papel passivo do '' do server: espera
    o cliente para estabelecer a segunda conexão (dos dados).

    Se seu doesn't do guarda-fogo inspecionar os dados da aplicação do ftp
    comandam a conexão, que ele o won't sabe que necessita abrir dinâmicamente
    portas novas acima de 1024.

    Em uma nota lateral: O comportamento tradicional de server do ftp na
    modalidade ativa deve estabelecer a sessão dos dados da porta 20, e à porta
    dinâmica no cliente. Os server do ftp estão dirigindo afastado deste
    comportamento um tanto devido à necessidade funcionar como da `` o '' raiz
    em sistemas de unix em ordem para poder alocar portas abaixo de 1024.
    Funcionar como da `` o '' raiz não é bom para a segurança, desde se lá um
    erro no software, o atacante puder comprometer a máquina inteira. O mesmo
    vai funcionando como do `` o '' administrador ou `` o '' do SISTEMA
    (``LocalSystem ' ') em máquinas do NT, embora o problema portuário baixo não
    se aplique no NT.

    Para somá-lo acima, se seu guarda-fogo compreender o ftp, o it'll
    possa segurar as conexões de dados por se, e você won't tem para
    preocupar-se sobre portas acima de 1024.

    Se não , há quatro edições a que você necessita se dirigir:

    Firewalling um ftp server na modalidade ativa
    Você necessita deixou suas conexões novas abertas do server ao mundo
    exterior em portas 1024 e acima
    Firewalling um server do ftp na modalidade passiva
    Você necessita deixou o mundo exterior conectar às portas 1024 e acima
    em seu server. CUIDADO!!!! Pode haver umas aplicações que funcionam em
    algumas destas portas que você não quer se usar exterior dos povos. Disallow
    o acesso a estas portas antes de permitir o acesso à escala 1024-65535
    portuária.
    Clientes do ftp de Firewalling na modalidade ativa
    Você necessita deixou o mundo exterior conectar às portas 1024 e acima
    em seus clientes. CUIDADO!!!! Pode haver umas aplicações que funcionam em
    algumas destas portas que você não quer se usar exterior dos povos. Disallow
    o acesso a estas portas antes de permitir o acesso à escala 1024-65535
    portuária.
    Clientes do ftp de Firewalling na modalidade passiva
    Você necessita deixou suas conexões novas abertas dos clientes ao
    mundo exterior em portas 1024 e acima.
    Outra vez, se seu guarda-fogo compreender o ftp, nenhuns dos quatro
    pontos acima aplicam-se lhe. Deixe o guarda-fogo fazer o trabalho para você.



    6.7 Que software se usa que modalidade do ftp?
    Está acima ao cliente para decidir-se que modalidade a se usar; a
    modalidade de opção quando uma conexão nova é aberta é `` modalidade ativa '
    '.

    A maioria de clientes do ftp vêm preconfigured para usar a modalidade
    ativa, mas fornecem uma opção ao uso `` do '' modalidade passiva (de ``PASV
    ' '). Uma exceção é a linha de comando cliente das janelas do ftp que se
    opera somente na modalidade ativa.

    Os browsers do Web usam geralmente a modalidade passiva ao conectar
    através do ftp, com uma exceção estranha: MSIE 5 usará o ftp ativo quando
    FTP:ing da `` na modalidade do '' do explorador lima e o ftp passivo quando
    FTP:ing `` na modalidade do '' da página do Web. Não há nenhuma razão
    qualquer para este comportamento; minha suposição é que alguém em Redmond
    com nenhum conhecimento do ftp se decidiu que `` naturalmente nós usaremos a
    modalidade ativa quando nós estamos na modalidade do explorador da lima,
    desde essa os olhares mais ativos do que um Web page ' '. Vai a figura.



    6.8 É meu tentar do guarda-fogo conectar fora?
    Meus registros do guarda-fogo são dizendo me que meu server do Web
    está tentando conectar da porta 80 às portas acima de 1024 na parte externa.
    O que é este?!

    Se você estiver vendo pacotes deixados cair da porta 80 em seu web
    server (ou da porta 25 em seu mail server) às portas elevadas na parte
    externa, geralmente não significam que seu web server está tentando conectar
    em algum lugar.

    São o resultado do sincronismo do guarda-fogo para fora de uma
    conexão, e de ver o server retransmitting respostas velhas (ou as tentar
    fechar a conexão) ao cliente.

    As conexões do TCP envolvem sempre os pacotes que viajam em AMBOS OS
    sentidos na conexão.

    Se você puder ver as bandeiras do TCP nos pacotes deixados cair, o
    you'll vê que a bandeira do ACK está ajustada mas não a bandeira de SYN,
    significando que esta não é realmente uma conexão nova que dá forma, mas
    rather uma resposta de uma conexão previamente dada forma.

    Leia o ponto 8 abaixo para uma explanação in-depth de o que acontece
    quando as conexões do TCP são dadas forma (e fechado)



    6.9 O anatomy de uma conexão do TCP
    O TCP é equipado com os 6 `` as bandeiras ', que podem estar SOBRE ou
    DESLIGADA. Estas bandeiras são:

    ALETA
    `` controlou o fim da conexão do ''
    SYN
    Abra a conexão nova
    RST
    `` fim imediato da conexão do ''
    PSH
    Instrua o anfitrião do receptor para empurrar os dados até a aplicação
    melhor que a fila justa ele
    Ack
    `` reconheça o '' um pacote precedente
    URG
    `` dados urgentes do '' que necessitam ser processados imediatamente
    Neste exemplo, seu cliente é 5.6.7.8, e a porta atribuída a você é
    dinâmicamente 1049. O server é 1.2.3.4, porta 80.

    Você começa a tentativa da conexão:

    5.6.7.8:1049 -> 1.2.3.4:80 SYN=ON

    O server recebe este pacote e compreende que alguém quer dar forma a
    uma conexão nova. Uma resposta é emitida:

    1.2.3.4:80 -> 5.6.7.8:1049 SYN=ON ACK=ON

    O cliente recebe a resposta, e informa-a que a resposta está recebida

    5.6.7.8:1049 -> 1.2.3.4:80 ACK=ON

    Aqui, a conexão é aberta. Isto é chamado um handshake three-way. Sua
    finalidade é verificar a AMBOS OS anfitriões que têm uma conexão trabalhando
    entre eles.

    O Internet que é o que é, unreliable e inundado, lá é provisões
    compensar para a perda do pacote.

    Se o cliente emitir para fora o SYN inicial sem receber um SYN+ACK
    dentro do poucos segundos, o it'll resend o SYN.

    Se o server emitir para fora o SYN+ACK sem receber um ACK em alguns
    segundos, resend o pacote de SYN+ACK.

    O último é realmente a razão que o flooding de SYN trabalha assim bem.
    Se você emitir para fora pacotes de SYN dos lotes de portas diferentes, este
    amarrará acima muitos dos recursos no server. Se você recusar também
    responder aos pacotes retornados de SYN+ACK, o server MANTERÁ estas conexões
    por um tempo longo, resending os pacotes de SYN+ACK. Alguns server não
    aceitarão conexões novas quando houver bastante conexões que dão forma
    atualmente; isto é porque o flooding de SYN trabalha.

    Todos os pacotes transmitidos em um ou outro sentido depois que o
    handshake three-way terá o bit do ACK ajustado. Os filtros stateless do
    pacote fazem o uso deste no assim que `` em filtros estabelecidos chamados
    do '': deixaram somente pacotes com o esse ter o bit do ACK ajustado. Esta
    maneira, nenhum pacote pode passar completamente em um determinado sentido
    que poderia dar forma a uma conexão nova. Tipicamente, você don't permite
    que os anfitriões exteriores abram conexões novas aos anfitriões internos
    requerendo o bit do ACK ajustado nestes pacotes.

    Quando o tempo veio fechar a conexão, há duas maneiras de fazê-la:
    Usando a bandeira da ALETA, ou usar a bandeira de RST. Usando bandeiras da
    ALETA, ambas as execuções são requeridas para emitir para fora bandeiras da
    ALETA para indicar que querem fechar a conexão, e emitem então para fora
    reconhecimentos a estas aletas, indicando que compreenderam que a outra
    extremidade quer fechar a conexão. Ao emitir para fora RST, a conexão é
    fechada forcefully, e você don't começa realmente uma indicação de se a
    outra extremidade compreendeu sua ordem da restauração, ou isso que tem no
    fato recebido todos os dados que você lhe emitiu.

    A maneira da ALETA de fechar a conexão expõe-no também a uma situação
    do negação-$$$-SERVIÇO, desde que a pilha do TCP necessita recordar a
    conexão closed por um tempo razoavelmente longo, no caso que o outro hasn't
    da extremidade recebeu um dos pacotes da ALETA.

    Se suficientemente muitas conexões forem abertas e fechadas, você pode
    terminar acima de ter `` conexões fechadas do '' em todos seus entalhes da
    conexão. Esta maneira, você wouldn't possa alocar dinâmicamente mais
    conexões, vendo que o they're se usou toda. Punho diferente de OSes esta
    situação diferentemente.




    A. Alguns produtos comerciais e vendedores
    Nós sentimos que este tópico é demasiado sensível ao endereço em um
    FAQ, entretanto, uma lista independentemente mantida (nenhuma garantia ou
    recomendação são implicadas) pode ser encontrada em linha.9



    B. Glossário de termos Guarda-fogo-Relacionados

    Abuso do privilégio
    Quando um usuário executar uma ação que não devam ter, concordando à
    política ou à lei organizational.

    Listas Do Controle De Acesso
    Réguas para os filtros do pacote (tipicamente routers) que definem que
    pacotes a passar e qual a obstruir.

    Alcance O Router
    Um router que conecte sua rede ao Internet externo. Tipicamente, esta
    é sua primeira linha de defesa de encontro aos atacantes do Internet
    exterior. Permitindo o controle de acesso alista neste router, you'll possa
    fornecer um nível da proteção para todos os anfitriões `` atrás do '' que
    router, fazendo eficazmente a essa rede um DMZ preferivelmente de um LAN
    externo desprotegido.

    Guarda-fogo Da Aplicação-Camada
    Um sistema do guarda-fogo em que o serviço é fornecido pelos processos
    que mantêm o estado e arranjar em seqüência completos da conexão do TCP. Os
    guarda-fogos da camada de aplicação re-dirigem-se frequentemente ao tráfego
    assim que o tráfego que parte parece ter originado do guarda-fogo, rather do
    que o anfitrião interno.

    Authentication
    O processo de determinar a identidade de um usuário que esteja
    tentando alcançar um sistema.

    Símbolo Do Authentication
    Um dispositivo portátil usado authenticating um usuário. O símbolo do
    authentication opera-se por challenge/response, por seqüências
    tempo-baseadas do código, ou por outras técnicas. Isto pode incluir listas
    paper-based das senhas one-time.

    Autorização
    O processo de determinar que tipos de atividades são permitidos.
    Geralmente, a autorização está no contexto do authentication: uma vez que
    você authenticated um usuário, podem ser tipos diferentes autorizados de
    acesso ou de atividade.

    Bastion host
    Um sistema que fossem endurecidos para resistir o ataque, e que fosse
    instalado em uma rede de tal maneira que se espera vir potencial sob o
    ataque. Os anfitriões do bastion são frequentemente componentes dos
    guarda-fogos, ou podem ser da `` server do Web do '' parte externa ou
    sistemas públicos do acesso. Geralmente, um anfitrião do bastion está
    funcionando algum formulário do sistema operando-se de finalidade geral (por
    exemplo, Unix, VMS, NT, etc..) rather do que um sistema operando-se
    ROM-BASEADO ou dos firmware.

    Challenge/Response
    Uma técnica do authentication por meio de que um server emite um
    desafio impredizível ao usuário, que computa uma resposta usando algum
    formulário do símbolo do authentication.

    Chroot
    Uma técnica sob Unix por meio de que um processo é restringido
    permanentemente a um subconjunto isolado do filesystem.

    Soma de controle Cryptographic
    Uma função de sentido único aplicou-se a uma lima para produzir da ``
    um '' original impressão digital da lima para uma referência mais atrasada.
    Os sistemas da soma de controle são meios preliminares de detectar o
    filesystem alterar em Unix.

    Ataque Dirigido Dados
    Um formulário do ataque em que o ataque é codificado nos dados
    innocuous-parecendo que são executados por um usuário ou pelo outro software
    para executar um ataque. Na caixa dos guarda-fogos, um ataque dirigido dados
    é um interesse desde que pode começar através do guarda-fogo no formulário
    de dados e lançar um ataque de encontro a um sistema atrás do guarda-fogo.

    Defesa na profundidade
    A aproximação da segurança por meio de que cada sistema na rede é
    fixado ao grau possível o mais grande. Pode ser usado na junção com
    guarda-fogos.

    Dns que spoofing
    Supondo o nome do DNS de um outro sistema corrupting o esconderijo
    conhecido do serviço de um sistema da vítima, ou comprometendo um domain
    name server para um domínio válido.

    Dual O Gateway Homed
    Um Gateway homed duplo é um sistema que tenha dois ou mais relações da
    rede, cada uma de que é conectada a uma rede diferente. Em configurações do
    guarda-fogo, um Gateway homed duplo age geralmente para obstruir ou filtrar
    algum ou todo o tráfego que tenta passar entre as redes.

    Router De Criptografia
    veja o router tunneling e o perímetro virtual da rede.

    Guarda-fogo
    Um sistema ou uma combinação dos sistemas que reforcem um limite entre
    dois ou mais redes.

    Segurança Host-based
    A técnica de fixar um sistema individual do ataque. Hospede a
    segurança baseada é dependente do sistema operando-se e da versão.

    Ataque Do Insider
    Um ataque que origina do interior uma rede protegida.

    Deteção Do Intrusion
    A deteção dos arrombamentos ou do arrombamento tenta manualmente ou
    através dos sistemas peritos do software que operam sobre registros ou da
    outra informação disponível na rede.

    IP Spoofing
    Um ataque por meio de que um sistema tenta impersonate illicitly um
    outro sistema usando seu endereço de rede do IP.

    Emendar do IP/Que Hijacking
    Um ataque por meio de que um ativo, estabelecido, sessão é
    interceptado e co-opted pelo atacante. Os ataques emendando do IP podem
    ocorrer depois que um authentication foi feito, permitindo o atacante supor
    o papel de um usuário já autorizado. As proteções preliminares de encontro a
    emendar do IP confiam no encryption na camada da sessão ou de rede.

    Menos Privilégio
    Projetando aspectos operacionais de um sistema operar-se com uma
    quantidade mínima de privilégio do sistema. Isto reduz o nível da
    autorização em que as várias ações são executadas e diminui a possibilidade
    que um processo ou um usuário com privilégios elevados podem ser causados
    executar atividade desautorizada resultando em uma ruptura da segurança.

    Registrar
    O processo de armazenar a informação sobre os eventos que ocorreram no
    guarda-fogo ou na rede.

    Retenção Do Registro
    Como os registros longos do exame são retidos e mantidos.

    Processar Do Registro
    Como os registros do exame são processados, procurarado pelos eventos
    chaves, ou sumariado.

    Guarda-fogo Da Rede-Camada
    Um guarda-fogo em que o tráfego é examinado na camada do pacote do
    protocolo de rede.

    Segurança Perímetro-baseada
    A técnica de fixar uma rede controlando o acesso a todos os pontos da
    entrada e da saída da rede.

    Política
    o Organização-nível governa o uso aceitável governando de recursos
    computando, de práticas da segurança, e de procedimentos operacionais.

    Proxy
    Um agente do software que aja no interesse de um usuário. Os proxies
    típicos aceitam uma conexão de um usuário, fazem uma decisão como se ou o
    endereço do IP não do usuário ou do cliente está permitido para usar o
    proxy, talvez fazem o authentication adicional, e terminam então uma conexão
    no interesse do usuário a um destino remoto.

    Anfitrião Selecionado
    Um anfitrião em uma rede atrás de um screening router. O grau a que um
    anfitrião selecionado pode ser alcançado depende das réguas da seleção no
    router.

    Subnet Selecionado
    Um subnet atrás de um screening router. O grau a que o subnet pode ser
    alcançado depende das réguas da seleção no router.

    Router Da Seleção
    Um router configurarado para permitir ou negar o tráfego baseado em um
    jogo das réguas da permissão instaladas pelo administrador.

    Roubar Da Sessão
    Veja Emendar do IP.

    Cavalo De Trojan
    Uma entidade do software que pareçam fazer algo normal mas que, no
    fato, contem um programa do trapdoor ou do ataque.


    O router ou o sistema do router A tunneling capaz do
    roteamento traficam cifrando o e encapsulating o para a
    transmissão através do untrusted a rede, para o
    de-de-encapsulation e o decryption eventuais.

    A engenharia social um ataque baseado em usuários de ilusão ou
    administradores no alvo situa. Os ataques sociais da engenharia são
    carregados tipicamente para fora usuários ou operadores e fingir
    telephoning ser um usuário autorizado, para tentar ganhar o acesso
    illicit aos sistemas.

    A rede virtual do perímetro A da rede que parece ser uma única rede
    protegida atrás dos guarda-fogos, que abranja realmente o excesso
    virtual cifrado das ligações untrusted redes.

    Segmento de código replicating do vírus A que se une a um arquivo
    de dados do programa ou dos. Os vírus puderam ou não puderam conter
    programas ou trapdoors do ataque. Infelizmente, muitos fizeram
    exame a chamar alguma malicioso o código uns `` vírus '. Se você
    significar do `` o '' Trojan Horse ou `` o '' do sem-fim, diga do `` o
    '' ou `` o sem-fim ' Trojan Horse '.

    O programa autônomo que, quando funcionado, copía próprio do
    sem-fim A de um anfitrião a outro, e funciona então próprio em cada
    anfitrião recentemente infected. Do `` os vírus extensamente
    relatados Internet ' de 1988 eram um não vírus em tudo, mas
    realmente um sem-fim.







    Notas de rodapé
    ... System1 http://mail-abuse.org/... Initiative2
    http://mail-abuse.org/tsi/... Squid3 http://squid.nlanr.net/...
    Apache4 http://www.apache.org/docs/mod/mod_proxy.html... Proxy5
    http://home.netscape.com/proxy/v3.5/index.html... Netscape6

    http://developer.netscape.com/docs/manuals/security/sslin/contents.htm...
    firewall7 http://www.real.com/firewall/... bugtraq8
    http://www.securityfocus.com... online.9
    http://www.thegild.com/firewall/.
    William L. Sun, Feb 6, 2005
    #1
    1. Advertising

Want to reply to this thread or ask your own question?

It takes just 2 minutes to sign up (and it's free!). Just click the sign up button to choose a username and then you can ask your own questions on the forum.
Similar Threads
  1. William L. Sun

    Internet Firewall FAQ in Italian

    William L. Sun, Feb 6, 2005, in forum: Computer Security
    Replies:
    6
    Views:
    1,509
  2. William L. Sun

    Internet Firewall FAQ in French

    William L. Sun, Feb 6, 2005, in forum: Computer Security
    Replies:
    0
    Views:
    2,185
    William L. Sun
    Feb 6, 2005
  3. William L. Sun

    Internet Firewall FAQ in German

    William L. Sun, Feb 6, 2005, in forum: Computer Security
    Replies:
    0
    Views:
    1,660
    William L. Sun
    Feb 6, 2005
  4. William L. Sun

    Internet Firewall FAQ in Dutch

    William L. Sun, Feb 6, 2005, in forum: Computer Security
    Replies:
    21
    Views:
    5,613
  5. Noons

    Re: Portuguese photos (with a strange bird)

    Noons, Apr 1, 2009, in forum: Digital Photography
    Replies:
    4
    Views:
    331
    frank
    Apr 4, 2009
Loading...

Share This Page