• hjem
  •  > 
  • Nyheder
  •  > 
  • Samlet kommunikationssikkerhed. Polycom-anbefalinger

Samlet kommunikationssikkerhed. Polycom-anbefalinger

Google vs Firewalls

Som rapporteret i PCWeek/RE 21, 2001, på grund af et midlertidigt firewalludfald på Atlanta Polytechnic University, søgemaskine Google indekserede universitetets intranet og kunne tilgå filer om studerende – hjemmeadresser, cpr-numre mv.

En almindelig misforståelse er, at en firewall ikke genkender angreb og ikke blokerer dem. Firewall(ITU) er en enhed, der først forbyder alt og derefter kun tillader "gode" ting. Det vil sige, når du installerer en firewall, er det første skridt at forbyde alle forbindelser mellem den beskyttede og åbne netværk. Administratoren tilføjer derefter specifikke regler, der tillader bestemt trafik at passere gennem firewallen. En typisk firewall-konfiguration ville forbyde alle indgående trafik ICMP, der kun efterlader udgående trafik og noget indgående trafik baseret på UDP- og TCP-protokoller (f.eks. HTTP, DNS, SMTP osv.) tilladt. Dette vil give medarbejdere i den beskyttede organisation mulighed for at arbejde med internettet og nægte angribere adgang til interne ressourcer. Glem dog ikke, at firewalls simpelthen er regelbaserede systemer, der tillader eller afviser trafik gennem dem. Selv firewalls, der bruger stateful inspektionsteknologi, tillader ikke en med sikkerhed at sige, om et angreb er til stede i trafikken eller ej. De kan kun give besked, om trafikken matcher en regel.

En god analogi kan drages med den fysiske verden. En firewall er simpelthen et hegn omkring dit netværk, som ikke kan registreres, når nogen graver under det. ITU begrænser simpelthen adgangen til visse punkter uden for dit hegn. Og for ikke at være ubegrundet, vil vi give flere eksempler, når firewalls ikke vil redde dig fra ubudne gæster [Lukatsky1-01].

Angreb gennem firewall-tunneler

Tunneling er en metode til at indkapsle (maskere) meddelelser af én type (som kan blokeres af ITU-filtre) i meddelelser af en anden type. Angreb gennem "tunneler" opstår på grund af tilstedeværelsen af ​​tilsvarende egenskaber i mange netværksprotokoller. ITU filtre netværkstrafik og træffer beslutninger om at tillade eller blokere pakker baseret på information om den anvendte netværksprotokol. Normalt sørger reglerne for en passende kontrol for at afgøre, om en bestemt protokol er aktiveret eller ej. For eksempel, hvis porte 25 og 80 er tilladt på ITU'en, får mail- (SMTP) og web- (HTTP) trafik lov til at passere ind i det interne netværk. Det er dette behandlingsprincip, der bruges af dygtige angribere. Al uautoriseret aktivitet udføres inden for rammerne af den tilladte protokol, hvorved der skabes en tunnel, hvorigennem angriberen udfører angrebet. For eksempel bruges en sådan defekt i firewalls til at implementere LOKI-angrebet, som tillader tunneling forskellige kommandoer ind i ICMP Echo-anmodninger og reaktioner på dem ind i ICMP Echo Reply-svar, hvilket ændrer størrelsen på datafeltet markant sammenlignet med standarden.

Til firewall og ethvert andet traditionelt værktøj netværkssikkerhed Disse handlinger ser ganske normale ud. Dette er for eksempel, hvordan overførslen af ​​en adgangskodefil i en 1CMR "tunnel" vises af TCPdump-protokolanalysatoren.
Et andet eksempel på tunnelangreb er applikationslagsangreb, som involverer praksis med at udnytte sårbarheder i applikationer ved at sende pakker direkte relateret til disse applikationer.

Ris. 1.3. Angreb gennem firewall-tunneler

Det enkleste eksempel, der demonstrerer brugen af ​​sådanne tunneler, er internetorme og makrovirus introduceret i et virksomhedsnetværk i form af vedhæftede filer til meddelelser. E-mail. Hvis firewallen tillader SMTP-trafik at passere igennem (forfatteren har aldrig set en firewall, der ikke gjorde dette), så " virusinfektion Lad os give mere komplekst eksempel. For eksempel kører en webserver software Microsoft-virksomhed (Internet Information Server), er beskyttet af en firewall, hvor kun port 80 er tilladt. Ved første øjekast er det givet effektiv beskyttelse. Men kun ved første øjekast. Hvis du bruger IIS version 3.0, så kontakt http://www.domain.ru/default.asp. (med en prik i slutningen) giver en hacker mulighed for at få adgang til indholdet af en ASP-fil, der kan gemme følsomme data (f.eks. en adgangskode til databasen). Og selvom du har installeret det meste nyeste version IIS 5.0.

Desuden reducerer et stort antal regler firewallens ydeevne og som et resultat, gennemløb kommunikationskanaler, der går igennem det.

Angreb, der omgår firewallen

Ordene i sangen fra børnefilmen "Aibolit-66" - "Normale helte tager altid en omvej" - illustrerer dette perfekt næste problem iboende i firewalls. Hvorfor prøve at få adgang til beskyttede ressourcer gennem sikkerhedsforanstaltninger, når du kan forsøge at omgå dem?

Et eksempel fra et beslægtet område

Den 21. februar 1990 dukkede budgetanalytiker Mary Pircham op på arbejde. Hun var dog ikke i stand til at gå til hende arbejdsplads selv efter at have tastet den firecifrede kode og sagt kodeord i sikkerhedssystemet. Mary ville stadig komme ind og åbnede bagdøren med en plastikgaffel og en lommeskruetrækker. Det nyeste sikkerhedssystem, som Mary Pierham gik uden om, blev annonceret som "fejlsikkert og pålideligt" og kostede $44.000 [Vakka1-97].

På samme måde med firewalls er det kun modemmet, der kan tjene som bagdør. Ved du, hvor mange modemer der er installeret på dit netværk, og hvad de bruges til? Svar ikke bekræftende med det samme, tænk over det. Under en undersøgelse af et netværk rev lederne af informationssikkerheds- og automationsafdelingen deres skjorter i stykker og hævdede, at de kendte hvert eneste modem, der var installeret på deres netværk. Efter at have lanceret Internet Scanner-sikkerhedsanalysesystemet, fandt vi faktisk de modemer, de angav, brugt til at opdatere regnskabet og retssystemer. Der blev dog også fundet to ukendte modemer. Den ene blev brugt af en medarbejder i analytisk afdeling til at få adgang til arbejdsmapper hjemmefra. Det andet modem blev brugt til at få adgang til internettet uden om firewallen.

Et andet eksempel er relateret til muligheden for at omgå firewallen. Trusler kommer ikke altid kun fra ITU's yderside, fra internettet. En lang række tab, som statistik viser, er netop forbundet med sikkerhedshændelser fra interne brugeres side, indefra. Det skal præciseres, at firewallen kun inspicerer trafikken ved grænserne mellem det interne netværk og Internet netværk. Hvis trafik, der udnytter sikkerhedshuller, aldrig passerer gennem firewallen, vil firewallen ikke finde nogen problemer

Firewall eller firewall- et kompleks af hardware eller software, som kontrollerer og filtrerer dem, der passerer gennem den netværkspakker i overensstemmelse med givne regler.
Hovedformålet med en firewall er at beskytte computernetværk eller individuelle noder fra uautoriseret adgang. Firewalls kaldes også ofte filtre, da deres hovedopgave ikke er at slippe igennem (filtrere) pakker, der ikke opfylder kriterierne defineret i konfigurationen.
Afhængigt af dækningen af ​​kontrollerede datastrømme er firewalls opdelt i:

  • traditionelt netværk(eller internetarbejde) skærmen- programmet (eller en integreret del operativ system) på en gateway (en server, der transmitterer trafik mellem netværk) eller hardwareløsning, der styrer indgående og udgående datastrømme mellem tilsluttede netværk.

  • personlig firewall- program installeret på bruger computer og designet til kun at beskytte denne computer mod uautoriseret adgang.
Afhængigt af det niveau, hvor adgangskontrol finder sted, er der en opdeling i firewalls, der opererer på:

  • netværksniveau, når filtrering sker baseret på adresserne på afsenderen og modtageren af ​​pakker, portnumre på transportlaget i OSI-modellen og statiske regler specificeret af administratoren;

  • sessionsniveau(også kendt som stateful) - sporingssessioner mellem applikationer, der ikke tillader pakker, der overtræder TCP/IP-specifikationer, at passere igennem, ofte brugt i ondsindede operationer - ressourcescanning, hacking gennem forkerte TCP/IP-implementeringer, mistede/langsomme forbindelser, datainjektion .

  • anvendelsesniveau, filtrering baseret på analyse af applikationsdata transmitteret i pakken. Disse typer skærme giver dig mulighed for at blokere transmissionen af ​​uønsket og potentielt skadelig information baseret på politikker og indstillinger.
Afhængigt af overvågningen af ​​aktive forbindelser er firewalls:

  • statsløs(simpel filtrering), som ikke overvåger aktuelle forbindelser (f.eks. TCP), men filtrerer datastrømmen udelukkende baseret på statiske regler;

  • statelig,(kontekstbevidst filtrering), overvågning af aktuelle forbindelser og videregivelse af kun de pakker, der opfylder logikken og algoritmerne for de tilsvarende protokoller og applikationer. Disse typer af firewalls gør det muligt at bekæmpe mere effektivt forskellige typer DoS-angreb og sårbarheder i nogle netværksprotokoller. Derudover giver de funktionen af ​​protokoller som H.323, SIP, FTP osv., som bruger komplekse kredsløb overførsel af data mellem modtagere, vanskeligt at beskrive med statiske regler, og ofte uforenelig med standardregler, statsløs firewalls.
Sådan omgår du firewalls.

    1. ^ Trussel indefra. Trusler kommer ikke altid kun fra ITU's yderside, fra internettet. Et stort antal tab er netop forbundet med sikkerhedshændelser fra interne brugeres side (statistisk kommer op til 80 % af hændelser indefra). Det skal præciseres, at firewallen kun ser på trafikken på grænserne mellem det interne netværk og internettet. Hvis trafik, der udnytter sikkerhedshuller, aldrig passerer gennem firewallen, vil firewallen ikke finde nogen problemer.

    Eksempel på dias

  1. Tunneler. Firewallen filtrerer trafik og træffer beslutninger om at tillade eller blokere netværkspakker baseret på information om den anvendte protokol. Generelt giver reglerne passende test for at afgøre, om en bestemt protokol er tilladt eller ej. For eksempel, hvis porte 25 og 80 er tilladt på ITU'en, får mail- (SMTP) og web- (HTTP) trafik lov til at passere ind i det interne netværk. Det er dette behandlingsprincip, der bruges af dygtige angribere. Al uautoriseret aktivitet udføres inden for rammerne af den tilladte protokol, hvorved der skabes en tunnel, hvorigennem angriberen udfører angrebet. Det enkleste eksempel, der demonstrerer brugen af ​​tunneler, er internetorme og makrovirus introduceret i et virksomhedsnetværk i form af vedhæftede filer til e-mail-beskeder. Hvis firewallen tillader SMTP-trafik at passere igennem (og jeg har aldrig set en firewall, der ikke gjorde dette), så kan en "viral infektion" komme ind i det interne netværk.

    Et almindeligt moderne hemmelig kanalangreb er Loki-angrebet. Dette angreb bruger ICMP-protokollen til at overføre data, selvom protokollen ikke er designet til at blive brugt på denne måde, er den kun beregnet til at sende status- og fejlmeddelelser. Men nogen har udviklet et særligt værktøj (Loki), der gør det muligt for en angriber at skrive data umiddelbart efter ICMP-headeren.
    Dette giver en angriber mulighed for at kommunikere med et andet system gennem en skjult kanal. Dette angreb er ofte ret vellykket, fordi de fleste firewalls er konfigureret til at tillade indgående og udgående ICMP-trafik. Dette er en skjult kanal, fordi... den bruger en protokol til kommunikation, der ikke er designet til dette formål. Detaljeret information om Loki-angrebet kan findes på http://xforce.iss.net/xforce/xfdb/1452.


  2. Kryptering. Meget ofte fra mange indenlandske udvikleres læber VPN betyder Man kan høre, at det værktøj, han udviklede til at bygge virtuelle private netværk, kan løse mange sikkerhedsproblemer. De insisterer på, at da det beskyttede netværk kun kommunikerer med sine modstandere (fjernkontorer, partnere, kunder osv.) via en VPN-forbindelse, så vil ingen "infektion" trænge ind i det. Dette er til dels rigtigt, men kun på betingelse af, at modstanderne heller ikke kommunikerer med nogen gennem usikre kanaler. Og det er allerede svært at forestille sig. Og da de fleste organisationer bruger kryptering til at beskytte eksterne netværksforbindelser, vil angriberens interesse blive rettet mod de steder i netværket, hvor oplysningerne af interesse for ham sandsynligvis ikke er sikre, det vil sige til noder eller netværk, som der er etableret betroede relationer til. Og selvom der oprettes VPN-forbindelser mellem et netværk beskyttet af en firewall med VPN-funktioner og et betroet netværk, vil angriberen være i stand til at udføre sine angreb med samme effektivitet. Desuden vil effektiviteten af ​​hans angreb være endnu højere, da sikkerhedskrav til betroede noder og netværk er meget lavere end alle andre noder. En angriber vil være i stand til at trænge ind i et betroet netværk og først derefter udføre uautoriserede handlinger mod målet for sit angreb derfra.


  3. ^ Sårbarheder i firewalls. Efter at have angrebet firewallen og deaktiveret den, kan angribere roligt, uden frygt for at blive opdaget, implementere deres kriminelle planer i forhold til ressourcerne i det beskyttede netværk. For eksempel er der siden begyndelsen af ​​2001 blevet opdaget mange sårbarheder i implementeringen af ​​forskellige velkendte firewalls.

  4. ^Adressespoofing- Dette er en måde at skjule den rigtige adresse på en angriber. Det kan dog også bruges til at omgå firewall-beskyttelsesmekanismer. En så simpel metode som at erstatte kildeadressen på netværkspakker med en adresse fra det beskyttede netværk kan ikke længere narre moderne firewalls. De bruger alle forskellige måder beskyttelse mod en sådan substitution. Selve princippet om adressesubstitution er dog fortsat relevant. For eksempel kan en angriber erstatte sin rigtige adresse til adressen på en node, der har etableret et betroet forhold til det angrebne system og implementerer et lammelsesangreb mod det.
  • Kategori: Ikke kategoriseret

    • De fleste virksomhedsnetværk er omgivet af udemokratiske firewalls i omkredsen, der beskytter interne brugere mod dem selv og afskrækker nybegyndere. I mellemtiden, for en erfaren hacker, er selv en højkvalitets og velkonfigureret firewall ikke en hindring.

    En firewall (også kendt som en firewall) er generelt et sæt systemer, der giver det passende niveau af adgangskontrol, opnået ved at styre forbipasserende trafik i henhold til et mere eller mindre fleksibelt sæt kriterier (adfærdsregler). Kort sagt tillader en firewall kun den del af trafikken, som er eksplicit tilladt af administratoren, og blokerer alt andet.

    To typer firewalls dominerer markedet – pakkefiltre, også kaldet pakkefiltergateways, og applikationsproxyer. Et eksempel på den første type er Firewall fra Check Point, og den anden er Microsoft Proxy Server.

    Pakkefiltre er fuldstændig gennemsigtige for brugerne og er meget effektive, men de er ikke pålidelige nok. Faktisk er de en type router, der modtager pakker både udefra og inde fra netværket, og bestemmer, hvad de skal gøre med dem – videregive dem eller ødelægge dem, hvis det er nødvendigt, meddeler afsenderen, at hans pakke er død. De fleste firewalls af denne type opererer på IP-niveau, og fuldstændigheden af ​​IP-protokolunderstøttelse og kvaliteten af ​​filtrering lader meget tilbage at ønske, så en angriber kan nemt snyde dem. På hjemmecomputere giver sådanne firewalls stadig mening, men hvis du selv har en dårlig router, øger de kun systemets omkostninger uden at give noget tilbage, da de samme pakkefiltreringsregler kan sættes på routeren!

    Softwareproxyer er almindelige proxyservere, der lytter på specificerede porte (for eksempel 25, 110, 80) og understøtter interaktion med en forudbestemt liste over netværkstjenester. I modsætning til filtre, der transmitterer IP-pakker "som de er", indsamler proxyer uafhængigt TCP-pakker, snupper brugerdata fra dem, sætter en ny header på dem og parser den modtagne pakke igen til IP og udfører adresseoversættelse, hvis det er nødvendigt. Hvis firewallen ikke indeholder fejl, vil det ikke længere være muligt at snyde den på netværksniveau; desuden skjuler det strukturen for angriberen internt netværk- kun firewallen forbliver udenfor. Og for at opnå den højeste sikkerhed kan administratoren organisere på firewallen yderligere procedurer autorisationer og autentificeringer, "kaster" på fjenden selv ved de fjerneste forsvarslinjer. Det var dyderne. Hvad angår ulemperne, begrænser softwareproxy brugerne i valget af applikationer. De arbejder meget langsommere end pakkefiltre og reducerer ydeevnen betydeligt (især på hurtige kanaler).

    Begge typer firewalls inkluderer normalt en mere eller mindre nedstribet version af Intruder Detection System (IDS), som analyserer karakteren af ​​netværksanmodninger og identificerer potentielt farlige handlinger - adgang til ikke-eksisterende porte (typisk for scanning), pakker med en TTL på én, (typisk for sporing) osv. Alt dette gør angrebet meget vanskeligere, og hackeren er nødt til at handle meget forsigtigt, da ethvert forkert trin straks vil give ham væk. Intelligensen af ​​integrerede genkendelsessystemer er dog ret lav, og de fleste administratorer med respekt for sig selv flytter denne opgave over på skuldrene af specialiserede pakker, såsom Real Secure fra Internet Security System.

    Afhængigt af netværkskonfigurationen kan firewallen installeres på en dedikeret computer eller dele den systemressourcer med en anden. Personlige firewalls, meget brugt i Windows verden, er i langt de fleste tilfælde installeret direkte på selve den beskyttede computer. Hvis dette pakkefilter implementeres uden fejl, så lider systemets sikkerhed slet ikke, og det er lige så svært at angribe det som på en dedikeret firewall. Lokale softwareproxyer beskytter kun computeren mod visse typer angreb (for eksempel blokerer de for afsendelse af trojanske heste gennem IE), hvilket efterlader systemet helt åbent. I UNIX-lignende systemer er der i starten et pakkefilter, og standardpakken indeholder et stort antal forskellige proxy-servere, så der er ingen grund til at købe yderligere software.
    Hvad en firewall gør og ikke beskytter imod

    Generelt giver pakkefiltre dig mulighed for at lukke alle indgående/udgående TCP-porte, helt eller delvist blokere nogle protokoller (f.eks. ICMP), forhindre forbindelser til disse IP-adresser osv. Et korrekt konfigureret netværk bør bestå af mindst to zoner: internt virksomhedens netværk(virksomhedsnetværk), omgivet af en firewall og befolket af arbejdsstationer, netværksprintere, intranetservere, databaseservere og andre ressourcer af denne type; samt en demilitariseret zone, eller kort sagt DMZ, hvor offentlige servere, der er tilgængelige fra internettet, er placeret. En firewall konfigureret til det mest drakoniske sikkerhedsniveau bør:
    lukke alle havne undtagen dem, der tilhører offentligheden netværkstjenester(HTTP, FTP, SMTP osv.);
    pakker, der ankommer til en given port, skal sendes til de og kun de noder, hvorpå de tilsvarende tjenester er installeret (f.eks. hvis WWW-serveren er placeret på node A, og FTP-serveren er på node B, så ledes pakken til porten 80 af node B skal blokeres af firewall);
    blokere indgående forbindelser fra et eksternt netværk, der er rettet til virksomhedens netværk (i dette tilfælde vil netværksbrugere dog ikke være i stand til at arbejde med eksterne FTP-servere i aktiv tilstand);
    blokere udgående forbindelser fra DMZ-zonen dirigeret til det interne netværk (undtagen FTP- og DNS-servere, der kræver udgående forbindelser);
    blokere for indgående forbindelser fra DMZ-zonen rettet til det interne netværk (hvis dette ikke gøres, så vil en angriber, der har overtaget kontrollen over en af ​​de offentlige servere, nemt trænge ind på virksomhedens netværk).
    blokerer indgående forbindelser til DMZ-zonen fra et eksternt netværk via serviceprotokoller, der ofte bruges til angreb (f.eks. ICMP; fuldstændig blokering af ICMP skaber dog store problemer, især ping holder op med at virke og bliver umuligt automatisk detektering mest foretrukne MTU);
    blokere indgående/udgående forbindelser til porte og/eller eksterne netværks IP-adresser angivet af administratoren.

    Faktisk handler en firewalls rolle om at beskytte virksomhedens netværk mod nysgerrige mennesker, der vandrer rundt på internettet. Styrken af ​​dette hegn er dog kun tilsyneladende. Hvis en virksomhedsnetværksklient bruger en sårbar version af en browser eller e-mail-klient (og det meste software er sårbart!), behøver angriberen kun at lokke ham til en trojaniseret WEB-side eller sende ham en e-mail med en virus indeni, og i en kort tidspunkt, hvor det lokale netværk vil blive påvirket. Selvom udgående forbindelser fra virksomhedens netværk er forbudt, vil shellkoden være i stand til at bruge den allerede etablerede TCP-forbindelse, hvorigennem den blev sendt til den angrebne vært, og overføre kontrollen over fjernsystemet til hackeren.

    Firewallen i sig selv kan være mål for et angreb, fordi den, som ethvert komplekst program, ikke er uden huller og sårbarheder. Huller i firewalls opdages næsten hvert år og tilstoppes ikke umiddelbart (især hvis firewallen er implementeret på "hardware"-niveau). Det er sjovt, men en dårlig firewall øger ikke kun, men forværrer endda systemets sikkerhed (det gælder primært personlige firewalls, som er populære i På det sidste usædvanligt høj).
    Firewall-detektering og -identifikation

    Nøglen til et vellykket angreb er rettidig detektering og identifikation af firewallen (eller generelt IDS'en, men i forbindelse med denne artikel vil vi antage, at den er kombineret med firewallen).

    De fleste firewalls kasserer pakker, der er udløbet TTL (Time To Live), og blokerer derved for sporing af ruter og blotter sig selv. Nogle routere gør det samme, men som nævnt ovenfor er der ingen grundlæggende forskel på en router og et pakkefilter.

    Rutesporing udføres normalt af traceroute-værktøjet, som understøtter sporing igennem ICMP protokoller og UDP, hvor ICMP bliver blokeret meget oftere. Efter at have valgt en node, der vides at være beskyttet af en firewall (for eksempel www.intel.ru), vil vi forsøge at spore ruten til den med kommandoen traceroute -I wwww.intel.ru.

    $traceroute -I wwww.intel.ru

    Spor ruten til bouncer.glb.intel.com

    1 1352 ms 150 ms 150 ms 62.183.0.180

    2 140 ms 150 ms 140 ms 62.183.0.220

    3 140 ms 140 ms 130 ms 217.106.16.52

    4 200 ms 190 ms 191 ms aksai-bbn0-po2-2.rt-comm.ru

    5 190 ms 211 ms 210 ms msk-bbn0-po1-3.rt-comm.ru

    6 200 ms 190 ms 210 ms spb-bbn0-po8-1.rt-comm.ru

    7 190 ms 180 ms 201 ms stockholm-bgw0-po0-3-0-0.rt-comm.ru

    8 180 ms 191 ms 190 ms POS4-0.GW7.STK3.ALTER.NET

    9 190 ms 191 ms 190 ms 146.188.5.33

    10 190 ms 190 ms 200 ms 146.188.11.230

    11 311 ms 310 ms 311 ms 146.188.5.197

    12 291 ms 310 ms 301 ms so-0-0-0.IL1.DCA6.ALTER.NET

    13 381 ms 370 ms 371 ms 152.63.1.137

    14 371 ms 450 ms 451 ms 152.63.107.150

    15 381 ms 451 ms 450 ms 152.63.107.105

    16 370 ms 461 ms 451 ms 152.63.106.33

    17 361 ms 380 ms 371 ms 157.130.180.186

    18 370 ms 381 ms 441 ms 192.198.138.68

    19 * * * Timeout for anmodning overskredet.

    20 * * * Timeoutperioden for anmodningen er overskredet.

    Se: sporet går til vært 192.198.138.68 og dør derefter, hvilket indikerer enten en firewall eller en useriøs router. Lidt senere vil vi vise, hvordan du kan trænge ind i det, men indtil videre vælger vi en anden node til sporing, for eksempel www.zenon.ru

    $traceroute -I www.zenon.ru

    Spor rute til distributed.zenon.net

    med et maksimalt antal hop på 30:

    1 2444 ms 1632 ms 1642 ms 62.183.0.180

    2 1923 ms 1632 ms 1823 ms 62.183.0.220

    3 1632 ms 1603 ms 1852 ms 217.106.16.52

    4 1693 ms 1532 ms 1302 ms aksai-bbn0-po2-2.rt-comm.ru

    5 1642 ms 1603 ms 1642 ms 217.106.7.93

    6 1562 ms 1853 ms 1762 ms msk-bgw1-ge0-3-0-0.rt-comm.ru

    7 1462 ms 411 ms 180 ms mow-b1-pos1-2.telia.net

    8 170 ms 180 ms 160 ms mow-b2-geth2-0.telia.net

    9 160 ms 160 ms 170 ms 213.248.78.178

    10 160 ms 151 ms 180 ms 62.113.112.67

    11 181 ms 160 ms 170 ms css-rus2.zenon.net

    Sporingen er fuldført.

    Denne gang går sporingen fint. Det viser sig, at der ikke er nogen firewall omkring zenon? Det kan meget vel være, men for et sikkert svar har vi brug for Yderligere Information. Vært 195.2.91.193 tilhører et klasse C-netværk (de vigtigste tre bits af IP-adressen er 110), og medmindre netværket er beskyttet af en firewall, bør de fleste af dets værter svare på ping, hvilket er I dette tilfælde og det sker. Scan afslører 65 åbne adresser. Derfor er routeren enten ikke her, eller også passerer den nemt vores ping.

    Hvis du ønsker det, kan du prøve at scanne portene, men for det første betyder tilstedeværelsen af ​​åbne porte ikke noget (måske blokerer firewallen kun én port, men den mest nødvendige beskytter f.eks. en utæt RPC mod angreb udefra ), og for det andet vil det ved scanning være svært for en hacker at forblive ubemærket. På den anden side scannes porte af alle, og det har administratorer ikke været opmærksomme på i lang tid.

    nmap-værktøjet giver dig mulighed for at opdage nogle af firewalls ved at indstille portstatus til \"firewalled\". Dette sker, når fjernværten som svar på en SYN returnerer en ICMP type 3-pakke med kode 13 (Admin Prohibited Filter) med en gyldig firewall IP-adresse i headeren (nmap viser den ikke; skriv din egen scanner eller vha. enhver sniffer, gør det selv, analyser den returnerede pakke). Hvis SYN/ACK vender tilbage, er den scannede port åben. RST/ACK angiver en port, der er lukket eller blokeret af en firewall. Ikke alle firewalls genererer RST/ACK, når de forsøger at oprette forbindelse til blokerede porte (Check Point Firewall gør), nogle sender en ICMP-meddelelse, som vist ovenfor, eller sender slet ikke noget.

    De fleste firewalls understøtter fjernbetjening over internettet ved at åbne en eller flere TCP-porte, der er unikke for hver firewall. For eksempel åbner Check Point Firewall porte 256, 257 og 258, og Microsoft Proxy åbner 1080. Nogle firewalls kommunikerer eksplicit deres navn og version software produkt når du opretter forbindelse til dem via netcat (eller telnet), er proxy-servere især skyldige i dette. Ved sekventielt at polle alle noder foran værten under undersøgelse for at lytte på porte, der er karakteristiske for firewalls, kan vi i de fleste tilfælde ikke kun registrere deres tilstedeværelse, men også bestemme IP-adressen! Disse porte kan naturligvis lukkes både på selve firewallen (selvom ikke alle firewalls tillader dette) og på den forudgående router (men så vil firewallen ikke kunne håndteres via internettet).
    Scan og spor gennem en firewall

    Direkte sporing gennem en firewall viser sig oftest at være umulig (hvilken slags administrator kan lide at afsløre intime detaljer om topologien af ​​deres netværk), og angriberen må ty til alle mulige tricks.

    Firewalk-værktøjet er en klassisk sporing, der sender TCP- eller UDP-pakker, så deres TTL på værten umiddelbart bag firewallen bliver nul, hvilket får systemet til at generere en ICMP_TIME_EXCEEDED-meddelelse. Takket være dette fungerer Firewalk pålideligt, selv hvor regulære midler de kan ikke længere klare det, selvom det selvfølgelig ikke kan trænge igennem en tæt beskyttet firewall, og angriberen skal bruge mere avancerede algoritmer.

    Vi vil antage, at for hver IP-pakke, der sendes, øger systemet sit ID med én (da dette oftest sker). På den anden side, ifølge RFC-793-specifikationen, som beskriver TCP-protokollen, skal enhver vært, der modtager en uvedkommende pakke, der ikke er relateret til de etablerede TCP-forbindelser, svare på den med en RST. For at implementere angrebet har vi brug for en ekstern node, der ikke behandler dette øjeblik ingen uvedkommende trafik og genererer en forudsigelig ID-sekvens. I hackerkredse kaldes en sådan node en dum node (dump). Det er meget simpelt at opdage en dum vært - bare send den en række IP-pakker og analyser det ID, der returneres i overskrifterne. Lad os huske (skriv det ned på et stykke papir) ID sidste pakke. Derefter vælger vi offeret og sender det en SYN-pakke, der angiver IP-adressen for den tavse node i returadressen. Den angrebne vært, der tror, ​​at den dumme vært ønsker at etablere en TCP-forbindelse med den, vil svare: SYN/ACK. En dum vært, der har fanget en uvedkommende SYN/ACK, vil returnere RST og øge sin ID-tæller med én. Ved at sende en anden IP-pakke til den dumme vært og analysere det returnerede ID, kan vi finde ud af, om den dumme vært sendte en RST-pakke til offeret eller ej. Hvis den sendes, betyder det, at den angrebne vært er aktiv og bekræfter etableringen af ​​en TCP-forbindelse til den angivne port. Hvis det ønskes, kan en hacker scanne alle porte af interesse for ham uden risiko for at blive bemærket, fordi det er næsten umuligt at beregne hans IP - scanning udføres af "hænderne" på en tavs node og fra synspunktet af de angrebne ligner det en almindelig SYN-scanning.

    Lad os antage, at den dumme vært er placeret inde i en DMZ, og offeret er inde i et firmanetværk. Så ved at sende en SYN-pakke til den tavse vært på vegne af offeret, vil vi være i stand til at trænge ind i firewallen, da den vil tro, at en intern vært forbinder til den, og forbindelser af denne type er tilladt i 99,9 % af tilfælde (hvis de afvises, vil virksomhedens netværksbrugere ikke være i stand til at arbejde med deres egne offentlige servere). Naturligvis må alle routere på vejen fra hackeren til den dumme vært ikke blokere en pakke med en forfalsket returadresse, ellers dør pakken længe før den når sin destination.

    Hping-værktøjet implementerer denne type scanningsscript, hvilket gør det til angriberens vigtigste værktøj til at udforske virksomhedsnetværk beskyttet af en firewall.

    Alternativt kan en hacker overtage en af ​​knudepunkterne placeret inde i DMZ'en og bruge dem som springbræt til yderligere angreb.
    Firewall penetration

    Kun firewalls af højeste kvalitet understøtter genmontering af fragmenterede TCP-pakker, mens alle andre kun analyserer det første fragment og springer resten over. Ved at sende en meget fragmenteret TCP-pakke, "sprede" TCP-headeren over flere IP-pakker, vil hackeren skjule bekræftelsesnummeret fra firewallen, og han vil ikke være i stand til at afgøre, om TCP-pakken hører til den tilsvarende TCP-session (måske det tilhører en legitim forbindelse etableret af en virksomhedsbruger). Medmindre muligheden "klip fragmenterede pakker" er aktiveret på firewallen, er hackingoperationens succes garanteret. Blokering af fragmenterede pakker skaber mange problemer og forhindrer Normal drift netværk. Teoretisk set er det muligt kun at blokere pakker med en fragmenteret TCP-header, men ikke alle firewalls understøtter en så fleksibel konfigurationspolitik. Denne type angreb, kaldet Tiny Fragment Attack, har ekstremt kraftig penetration og er derfor en favoritteknik for alle hackere.

    Angreb ved hjælp af intern routing (også kendt som source routing) er meget mindre relevante, men vi vil stadig overveje dem. Som du ved, giver IP-protokollen dig mulighed for at inkludere routinginformation i pakken. Når man sender en IP-pakke til et offer, ignoreres den routing, som hackeren har pålagt, oftest, og pakkens bane bestemmes udelukkende af mellemroutere, men svarpakker returneres ad den modsatte rute angivet i IP-headeren, hvilket skaber gunstige betingelser for dets spoofing. En mere forenklet version af angrebet er begrænset til blot at spoofe afsenderens IP-adresse. Korrekt konfigurerede routere (og de fleste UNIX-kloner) blokerer internt dirigerede pakker. Pakker med forfalskede IP-adresser repræsenterer flere stort problem, dog kan en firewall af høj kvalitet også filtrere dem fra.

    Routingtabeller kan ændres dynamisk ved at sende en ICMP-omdirigeringsmeddelelse, hvilket tillader i det mindste, teoretisk) for at dirigere hackertrafik uden om firewallen (se også ARP-spoofing), men nu findes sådanne håbløst sikre systemer praktisk talt ikke længere.
    Undslippe bag en firewall

    Brugere af et internt netværk beskyttet af en udemokratisk firewall er alvorligt begrænset i deres muligheder. Vi har allerede talt om umuligheden af ​​at arbejde med FTP-servere i aktiv tilstand. Nogle protokoller kan også være forbudte, og de porte, du har brug for, kan være lukket. I kliniske tilfælde opretholder administratorer sortlister over IP-adresser, hvilket blokerer adgang til websteder med "upassende" emner.

    Da firewalls er designet til at beskytte udefra og ikke indefra, er det meget nemt at bryde ud bag deres vægge; du skal blot bruge en hvilken som helst passende proxyserver, der er placeret på det eksterne netværk og endnu ikke er sortlistet af administratoren. I særdeleshed, populær klient ICQ giver dig mulighed for at udveksle beskeder ikke direkte, men gennem en server (ikke nødvendigvis serveren for udviklerfirmaet). Der er tusindvis af servere, der understøtter ICQ arbejde. Nogle har eksisteret i mere eller mindre uændret form i flere år, andre dukker dynamisk op og forsvinder. Og hvis det stadig er muligt at sætte "langlever" på stoplisten, så er administratoren simpelthen ikke i stand til at holde styr på endagsservere!

    Du kan også bruge SSH-protokollen ( Sikker Shell), oprindeligt designet til at fungere gennem en firewall og understøtte trafikkryptering (i tilfælde af at firewallen beslutter sig for at lede efter \"forbudte\" ord som \"sex\", \"hack\" osv.). SSH-protokollen kan fungere på enhver tilgængelig port, for eksempel 80, og så vil alt fra firewallens synspunkt se ud som lovligt arbejde med WEB-serveren. I mellemtiden er SSH kun grundlaget for andre protokoller, hvoraf jeg først og fremmest vil nævne telnet, som giver interaktion med fjernterminaler. Ved at betale omkring $20 for hosting til enhver udbyder, vil du modtage en konto, der understøtter SSH og giver dig mulighed for at etablere forbindelser med andre netværksknuder ( gratis hosting denne mulighed bliver oftest frataget, eller der er lagt alvorlige restriktioner på den).

    Endelig kan du bruge mobiltelefoni, direkte modemforbindelser og andre kommunikationsværktøjer, der etablerer en forbindelse til din udbyder og omgår firewallen.
    Konklusion

    Teknologier til at bygge firewalls står ikke stille, og specialister i informationssikkerhed sov ikke. Hacking bliver mere og mere vanskeligt hver dag, men hacking vil aldrig helt forsvinde. Tilstoppede huller erstattes jo af andre. Det vigtigste er ikke at sidde stille, men at eksperimentere kreativt med firewalls, studere standarder og specifikationer, studere disassembler-lister og søge, søge, søge...

    En populær portscanner, der giver dig mulighed for at opdage nogle typer firewalls. Gratis. Kildetekster er tilgængelige. På hjemmesiden http://www.insecure.org/nmap sea teknisk information på problemet.
    FireWalk

    Et værktøj til netværkssporing gennem en firewall, der kører på TCP/UDP-protokoller og er baseret på TTL. Gratis. http://www.packetfactory.net/firewalk. Før brug anbefales det at læse dokumentationen http://www.packetfactory.net/firewalk/firewalk-final.pdf.
    HPING

    Et værktøj, der implementerer scanning gennem en dum vært. Et kraftfuldt våben til at udforske det interne netværk bag en firewall. Gratis og veldokumenteret. http://www.hping.org/papers.html.
    SSH klient

    Sikker Shell-klient, der bruges af interne netværksbrugere til at overvinde firewall-begrænsninger og begrænsninger. Gratis. Distribueret med kildekode. http://www.openssh.com.
    FAQ

    Detaljerede ofte stillede spørgsmål om firewalls på engelsk. www.interhack.net/pubs/fwfaq/firewalls-faq.pdf. Dens russiske oversættelse, som ikke er særlig frisk, findes på ln.com.ua/~openxs/articles/fwfaq.html.
    Firewalls

    Forelæsningsnoter om firewalls (på engelsk) fra den taiwanske professor Yeali S. Sun. http://www.im.ntu.edu.tw/~sunny/pdf/IS/Firewall.pdf
    OpenNet

    En enorm portal om netværkssikkerhed, inklusive information om huller i populære firewalls (på russisk og engelske sprog). http://www.opennet.ru

    Firewalls er modtagelige et stort antal DoS-angreb, såsom ekkostorm eller SYN-oversvømmelse, som de stort set ikke er i stand til at modstå.

    En firewall er en router, en proxyserver og et system til registrering af indtrængen samlet i ét.

    Firewalls beskytter ikke mod angreb, de beskytter kun lokalt netværk et murstenshegn, der er nemt at klatre over.

    I de fleste tilfælde kan du trænge ind i murstensvæggen på en firewall ved at pakke de transmitterede data ind i en ICMP-header for at trænge ind i en ICMP-tunnel.

    Firewallen kan angribes ikke kun udefra, men også inde fra virksomhedens netværk.

    Forskellige firewalls reagerer forskelligt på ikke-standard TCP-pakker, hvilket giver dem mulighed for at identificere sig selv.

    Firewalls, der åbner port 53 ( DNS-tjeneste) ikke kun ved modtageren (for eksempel Check Point Firewall), men også ved kilden, giver en hacker mulighed for at scanne hele det interne netværk.

    Softwareproxy'ers sårbarhed er generelt lav, og de angribes hovedsageligt gennem bufferoverløbsfejl.

    Nogle firewalls er modtagelige for uautoriseret filsøgning på port 8010 og anmodninger som http://www.host.com::8010/c:/ eller http://www.host.com::8010//.
    DCOM-tjenesten har brug for bredt udvalgåbne porte, hvilket væsentligt reducerer graden af ​​systemets sikkerhed, hvilket gør brugen af ​​en firewall meningsløs.

4.13.2. Firewall Bypass

En firewall kan ikke give absolut sikkerhed, fordi dens driftsalgoritme er ufuldkommen. I vores verden er der intet fejlfrit, hundrede procent pålideligt, ellers ville livet være kedeligt og uinteressant.

Hvordan beskytter Firewall din computer eller server? Alt er baseret på bestemte regler, ifølge hvilke skærmen kontrollerer alt, der passerer igennem netværksgrænseflade trafik og træffer beslutning om muligheden for at passere den. Men der er ikke andet filter end et absolut forbud, der kan sikre sikkerheden, og der er ingen regel, der ikke kan omgås.

Det er meget nemt at implementere et DoS-angreb på de fleste firewalls. Da vi så på teknologien til dette angreb ( se afsnittet 1.1.6), så sagde de, at det nemt kan organiseres i to tilfælde:

1. Din kanals magt er større end fjendens.

2. Der er en opgave på serveren, som kræver mange computerressourcer, og der er mulighed for at gennemføre den.

En firewall er et komplekst softwaresystem, der kræver betydelige tekniske muligheder for at analysere al forbipasserende trafik, hvoraf det meste bruges på pakker med syn-flagsættet, dvs. til en forbindelsesanmodning. Parametrene for hver sådan pakke skal sammenlignes med alle etablerede regler.

Samtidig er der ikke behov for store ressourcer og en kraftfuld kanal for at sende syn-pakker. En hacker kan nemt oversvømme den tilladte serverport med solpakker, hvor afsenderadressen er tilfældigt erstattet. Processoren på den angrebne maskine er muligvis ikke i stand til at klare den store strøm af anmodninger, der skal kontrolleres mod filtre, og der vil opbygges en kø, der ikke vil tillade behandling af forbindelser fra respektable brugere.

Det værste er, hvis firewallen er konfigureret til at sende fejlmeddelelser. I dette tilfælde øges processorbelastningen på grund af oprettelse og afsendelse af pakker til adresser, der ikke eksisterer eller ikke tilhører hackeren.

Hvis klienten sender for mange data, der ikke kan være indeholdt i én pakke, opdeles informationen i flere blokke. Denne proces kaldes pakkefragmentering. De fleste firewalls analyserer kun de første blokke i en session, og resten betragtes som korrekte. Logikken i en sådan kontrol er klar: Hvis den første pakke er korrekt, hvorfor så tjekke dem alle og spilde dyrebare serverressourcer på den? Ellers vil de andre ikke være til nogen nytte, fordi forbindelsen ikke er etableret, og integriteten af ​​oplysningerne er kompromitteret.

For at sikre at firewallen tillader hackerens data at passere igennem, kan pakker fragmenteres på en særlig måde. Du kan kun beskytte dig selv mod et sådant angreb, hvis Firewall'en automatisk samler fragmenterede pakker igen og ser dem i samlet form. De fleste firewalls har ikke denne funktion.

En firewall bliver meget ofte mål for et angreb, og det er ikke et faktum, at forsøget ikke vil lykkes. Hvis det lykkes en hacker at fange firewall'en, bliver netværket åbent i fuld visning. I dette tilfælde kan kun personlige firewalls på hver computer redde dig fra totalt nederlag. I praksis er sikkerhedspolitikken vedr personlig computer ikke så streng, men kan være ganske tilstrækkelig til at forhindre yderligere indtrængning af hackeren i netværket.

Et angreb på en firewall afhænger ikke af dens implementering. Fejl opstår både i Linux OS og i routingenheder med filtreringsfunktioner.

Hovedopgaven, som en firewall løser, er at nægte adgang til åbenlyst private ressourcer. Men der er åbne ressourcer. Hvis det for eksempel er nødvendigt at webserveren er tilgængelig for internetbrugere, så vil firewallen ikke være i stand til at beskytte mod hacking gennem fejl i scripts på webserveren.

Maksimal sikkerhed kommer med nogle gener. Så jeg har allerede sagt, at det er bedst at forbyde ethvert forsøg på at oprette forbindelse udefra. En forbindelse kan kun etableres på initiativ af en klient på dit netværk, men ikke fjerncomputer. I dette tilfælde vil hackeren blive efterladt, men netværksbrugere kan også have problemer, for eksempel når de forsøger at oprette forbindelse til en FTP-server i aktiv tilstand. Vi ved allerede, at denne tjeneste kører på to porte: ftp og ftp-data (ftpd). Brugeren opretter forbindelse til serverens ftp-port, og når du anmoder om at modtage en fil, starter serveren selv en forbindelse med klienten, og firewallen vil ikke tillade dette. For FTP-tjenesten løste vi dette problem ved at tilføje muligheden for at arbejde i passiv tilstand, men i andre programmer (for eksempel i chats) forbliver spørgsmålet åbent.

En hacker kan etablere en forbindelse til et sikkert netværk gennem en tunnel på åben port og med en gyldig adresse inden for netværket. Det er der ingen flugt fra, for noget skal i hvert fald være tilladt.

Store virksomheder kan have flere servere på samme netværk. Jeg har kun set i et vandselskab og i film, hvordan administratorer arbejder bag flere skærme og tastaturer på samme tid for at styre hver af dem. I I virkeligheden Sådanne specialister er for dovne, og monotont arbejde er trættende, så de sidder ved kun én computer og bruger en fjernforbindelse til at oprette forbindelse til serveren.

I 1999 skrev jeg en artikel, "Firewall Is Not a Panacea", som diskuterede forskellige mangler, der ligger i den teknologi, der bruges i firewalls (Firewalls). Jeg håbede, at indenlandske leverandører og især udviklere ville stoppe med at narre kunder ved at hævde, at deres firewall er et vidundermiddel mod alle dårligdomme, og det vil løse alle kundens problemer og sikre pålidelig beskyttelse af alle ressourcer i virksomhedens netværk. Dette skete dog ikke, og jeg vil gerne vende tilbage til dette emne igen. Som min erfaring med forelæsninger om informationssikkerhed viser, er dette emne desuden af ​​stor interesse for specialister, der allerede bruger firewalls i deres organisationer.

Der er en række problemer, som jeg gerne vil tale om, og som kan illustreres med et eksempel. En firewall er simpelthen et hegn omkring dit netværk. Den kan være meget høj eller meget tyk, så du kan klatre over den eller lave et hul i den. Men... dette hegn kan ikke registrere, når nogen graver en tunnel under det eller forsøger at gå langs en bro, der er kastet over hegnet. ITU begrænser simpelthen adgangen til visse punkter uden for dit hegn.

Folk laver fejl

Som du ved, er firewalls, ligesom andre sikkerhedsforanstaltninger, konfigureret af mennesker. Og folk har en tendens til at lave fejl, selv specialister i informationssikkerhed. Det er dette faktum, der bruges af mange angribere. Det er nok kun at finde en svaghed i firewall-indstillingerne, og det er det, vi kan antage, at "det er dit problem." Dette bekræftes af forskellige undersøgelser. Eksempelvis viser statistik indsamlet i 1999 af ICSA Association (http://www.icsa.net), at op til 70 % af alle firewalls er sårbare pga. forkert konfiguration og indstillinger. Jeg ønsker ikke at tale om ITU-administratorens inkompetence eller lave kvalifikationer (selvom disse grunde på ingen måde er sjældne) - jeg vil beskrive et andet eksempel. Umiddelbart efter college endte jeg i automationsafdelingen i en stor virksomhed. Internet beskyttelse blev leveret af en firewall, som blev kontrolleret af administratoren af ​​informationssikkerhedsafdelingen. Mere end én gang var jeg nødt til at håndtere en situation, hvor venner fra andre afdelinger i virksomheden henvendte sig til denne administrator og bad om midlertidigt at give dem adgang til servere med legetøj. Engang var jeg vidne til en chokerende hændelse. Lederen af ​​afdelingen for samarbejde med partnere henvendte sig til ITU-administratoren og forlangte at give ham adgang til en af ​​internetressourcerne. Som svar på, at dette var umuligt, truede chefen med at give administratoren et "lykkeligt liv", hvorefter sidstnævnte måtte følge ordren og ændre firewall-indstillingerne. Det mest overraskende er, at situationen ikke forbedres over tid. Vi foretog for nylig en undersøgelse i en af ​​organisationerne og fandt præcis den samme situation der. Firewallen tillod adgang via ICQ, RealAudio osv. protokollerne. De begyndte at finde ud af det - det viste sig, at dette blev gjort efter anmodning fra en medarbejder i en af ​​afdelingerne, med hvem administratoren havde udviklet venskabelige forbindelser.

"Normale helte tager altid en omvej"

Et fragment af en sang fra børnefilmen "Aibolit-69" illustrerer perfekt følgende problem, der er forbundet med firewalls. Hvorfor prøve at få adgang til beskyttede ressourcer gennem sikkerhedsforanstaltninger, når du kan forsøge at omgå dem? Dette kan illustreres med et eksempel fra et relateret felt. Onsdag den 21. februar 1990 kom Mary Pierham, en budgetanalytiker for en amerikansk virksomhed, på arbejde. Hun kunne dog ikke komme ind på sin arbejdsplads, selv efter at have indtastet den firecifrede kode og indtalt kodeordet i adgangskontrolsystemet. Mary ønskede stadig at komme på arbejde og gik rundt i bygningen og åbnede bagdøren ved hjælp af en neglefil og en plastikkam. Det nyeste sikkerhedssystem, som Mary Pierham omgik, blev annonceret som "fejlsikkert og pålideligt" og kostede titusindvis af dollars. På samme måde med firewalls er det kun modemmet, der kan tjene som bagdør. Ved du, hvor mange modemer der er installeret på dit netværk, og hvad de bruges til? Svar ikke bekræftende med det samme, tænk over det. Mens de undersøgte et netværk, rev lederne af informationssikkerheds- og automationsafdelingen deres skjorter og hævdede, at de kendte hvert eneste modem, der var installeret på deres netværk. Efter at have kørt Internet Scanner-sikkerhedsanalysesystemet, fandt vi faktisk de modemer, de angav, blev brugt til at opdatere databaserne for regnskabs- og juridiske systemer. Der blev dog også fundet to ukendte modemer. Den ene blev brugt af en medarbejder i analytisk afdeling til at få adgang til arbejdsmapper hjemmefra. Det andet modem blev brugt til at få adgang til internettet, uden om firewallen.