Samlet kommunikasjonssikkerhet. Polycom-anbefalinger

4.13.2. Bypass brannmur

En brannmur kan ikke gi absolutt sikkerhet fordi driftsalgoritmen er ufullkommen. I vår verden er det ingenting feilfritt, hundre prosent pålitelig, ellers ville livet vært kjedelig og uinteressant.

Hvordan beskytter brannmur datamaskinen eller serveren din? Alt er basert på visse regler, ifølge hvilke skjermen sjekker all trafikk som går gjennom nettverksgrensesnittet og tar en avgjørelse om den kan slippes gjennom. Men det er ikke noe annet filter enn absolutt forbud som kan ivareta sikkerheten, og det er ingen regel som ikke kan omgås.

Det er veldig enkelt å implementere et DoS-angrep på de fleste brannmurer. Da vi så på teknologien for dette angrepet ( se avsnitt 1.1.6), så sa de at det enkelt kan organiseres i to tilfeller:

1. Kraften til kanalen din er større enn fiendens.

2. Det er en oppgave på serveren som krever mye dataressurser, og det er mulighet for å fullføre den.

En brannmur er et komplekst programvaresystem som krever betydelige tekniske evner for å analysere all passerende trafikk, hvorav mesteparten brukes på pakker med syn-flaggsettet, dvs. til en tilkoblingsforespørsel. Parametrene til hver slik pakke må sammenlignes med alle etablerte regler.

Samtidig trengs det ikke store ressurser og en kraftig kanal for å sende syn-pakker. En hacker kan enkelt oversvømme den tillatte serverporten med solpakker der avsenderadressen er tilfeldig erstattet. Det kan hende at prosessoren til den angrepne maskinen ikke kan takle den store strømmen av forespørsler som må kontrolleres mot filtre, og det vil bygge seg en kø som ikke vil tillate behandling av tilkoblinger fra respektable brukere.

Det verste er om brannmuren er konfigurert til å sende feilmeldinger. I dette tilfellet øker prosessorbelastningen på grunn av opprettelse og sending av pakker til adresser som ikke eksisterer eller som ikke tilhører hackeren.

Hvis klienten sender for mye data som ikke kan inneholdes i en pakke, deles informasjonen i flere blokker. Denne prosessen kalles pakkefragmentering. De fleste brannmurer analyserer bare de første blokkene i en økt, og resten anses som riktige. Logikken til en slik kontroll er klar: hvis den første pakken er riktig, hvorfor sjekke dem alle og kaste bort dyrebare serverressurser på den? Ellers vil de andre ikke være til nytte, fordi forbindelsen ikke er etablert og integriteten til informasjonen er kompromittert.

For å sikre at brannmuren lar hackerens data passere, kan pakker fragmenteres på en spesiell måte. Du kan beskytte deg selv mot et slikt angrep bare hvis brannmuren automatisk setter sammen fragmenterte pakker og ser dem i sammensatt form. De fleste brannmurer har ikke denne funksjonen.

En brannmur blir veldig ofte målet for et angrep, og det er ikke et faktum at forsøket ikke vil lykkes. Hvis en angriper klarer å fange brannmuren, vil nettverket bli åpent i full visning. I dette tilfellet er det bare personlige brannmurer på hver datamaskin som kan redde deg fra totalt nederlag. I praksis vil sikkerhetspolitikken på personlig datamaskin ikke så streng, men kan være ganske tilstrekkelig for å forhindre ytterligere penetrering av hackeren i nettverket.

Et angrep på en brannmur er ikke avhengig av implementeringen. Feil oppstår både i Linux OS og i rutingenheter med filtreringsfunksjoner.

Hovedoppgaven som en brannmur løser er å nekte tilgang til åpenbart private ressurser. Men det er åpne ressurser. Hvis det for eksempel er nødvendig at webserveren er tilgjengelig for internettbrukere, vil ikke brannmuren kunne beskytte mot hacking gjennom feil i skriptene på webserveren.

Maksimal sikkerhet kommer med noen ulemper. Så jeg har allerede sagt at det er best å forby alle forsøk på å koble til fra utsiden. En tilkobling kan bare opprettes på initiativ av en klient på nettverket ditt, men ikke ekstern datamaskin. I dette tilfellet vil hackeren bli etterlatt, men nettverksbrukere kan også få problemer, for eksempel når de prøver å koble til en FTP-server i aktiv modus. Vi vet allerede at denne tjenesten kjører på to porter: ftp og ftp-data (ftpd). Brukeren kobler seg til serverens ftp-port, og når du ber om å motta en fil, starter serveren selv en forbindelse med klienten, og brannmuren vil ikke tillate dette. For FTP-tjenesten løste vi dette problemet ved å legge til muligheten til å jobbe i passiv modus, men i andre programmer (for eksempel i chatter) forblir spørsmålet åpent.

En hacker kan etablere en tilkobling til et sikkert nettverk gjennom en tunnel på en åpen port og med en gyldig adresse i nettverket. Det er ingen flukt fra dette, for noe må i hvert fall være lov.

Store selskaper kan ha flere servere på samme nettverk. Jeg har bare sett i et vannselskap og i filmer hvordan administratorer jobber bak flere skjermer og tastaturer samtidig for å administrere hver av dem. I det virkelige liv er slike spesialister for late, og monotont arbeid er slitsomt, så de sitter ved bare én datamaskin og bruker en ekstern tilkobling for å koble til serveren.

La oss være ærlige: For mange av oss er arbeidsdatamaskinen en liten hjemmeøy utenfor hjemmet. Dette er sannsynligvis bare rettferdig, gitt at hjemmedatamaskinen vår ofte er en filial av kontoret utenfor kontoret. Så, mellom å skrive rapporter og tenke på regneark med beregninger, bruker vi våre arbeidsdatamaskiner for våre personlige liv. Vi kjøper inn dagligvarer til bursdagen vår, ser morsomme klipp på YouTube og chatter med venner via ICQ eller e-post.

Og ganske ofte er noen ting lettere å gjøre med forbrukerteknologi enn med den ofte klønete bedriftsteknologien - sammenlign Gmail med en bedrifts-e-postkonto.

Dette reiser ett problem: våre arbeidsgivere er misfornøyde med vår oppførsel på arbeidsplassen. Delvis fordi de ønsker at vi skal jobbe på arbeidsplassen. Og dels er de redde for at det vi gjør setter selskapets interne nettverk i fare. Så de ber IT-avdelingen stoppe oss med å dra våre personlige liv fra hjemmet til jobben.

Så, er eventyret over? Vel nei, ikke så fort. For å finne ut om det er mulig å omgå IT-avdelingens begrensninger, henvendte vi oss til eksperter på nettverksressurser. Vi ba dem nemlig finne de 10 beste hemmelighetene som folk fra IT-avdelingen skjuler for oss. For eksempel hvordan du får tilgang til et blokkert nettsted uten å etterlate spor, eller hvordan du chatter i sanntid uten å laste ned et forbudt program.

Men for å holde ting rettferdig, tok vi også kontakt med sikkerhetseksperter for å finne ut hva vi risikerer ved å gjøre disse løsningene.

For tips om hacking henvendte vi oss til Gina Trapani, redaktør for nettguiden til produktiv bruk av nettverket Lifehacker.com, Leon Ho, redaktør for bloggen Lifehack.org, og Mark Frauenfelder, grunnlegger av bloggen BoingBoing.net og redaktør av magasinet Make, som gir teknologirådgivning i et gjør-det-selv-format.

For å vurdere risikoen snakket vi med tre eksperter som lever av å hjelpe IT-avdelinger med å skrive regler og spore opp dårlige aktører som ønsker å bryte dem. Dette er John Pironti, sjefstrateg informasjonstrusler Amsterdam-basert konsulentfirma Getronics, spesialist i informasjonssikkerhet Mark Lowbel fra PricewaterhouseCoopers; og Craig Shmugar, en trusselspesialist hos sikkerhetsprogramvareselskapet McAfee.

Så her er 10 hemmeligheter IT-avdelingen din skjuler for deg, farene forbundet med dem, og tips for å beskytte deg selv og unngå å miste jobben når du bruker dem i praksis.

1. Hvordan sende gigantiske filer

Problem: Vi trenger alle å sende store filer fra tid til annen, alt fra presentasjonslysbilder til feriebilder. Men hvis du sender noe større enn noen få megabyte, risikerer du å motta en melding som sier at du er over bedriftens grense.

Bedrifter kan begrense mengden data de ansatte kan sende med post av én enkel grunn: de vil unngå å overbelaste serverne sine, noe som vil bremse dem. Og å henvende seg til ledelsen med en forespørsel om å øke grensen for sendte filer kan være en veldig kjedelig prosess.

Løsningsmanøver: Bruk nettjenester som YouSendIt, SendThisFile eller DropSend, som lar deg sende store filer – noen ganger opptil flere gigabit – gratis. For å bruke deres tjenester, må du vanligvis registrere deg ved å oppgi personlig informasjon som navn og e-postadresse. Du kan deretter skrive inn mottakerens e-postadresse og en melding til ham eller henne, og siden vil gi deg instruksjoner om hvordan du laster ned filen. I de fleste tilfeller sendes en lenke til mottakerens adresse, hvoretter han kan laste ned filen.

Fare: Siden disse tjenestesidene sender filene dine over Internett, er de utenfor selskapets kontroll. Dette gjør det lettere for listige hackere å avskjære disse filene under transport.

Hvordan beskytte deg selv: Noen av disse nettstedene har et bedre rykte enn andre. For eksempel er YouSendIt et nytt selskap drevet av den tidligere sjefen for Adobe Systems og finansiert av kjente risikokapitalfirmaer. Andre slike nettsteder tilbyr lite informasjon om seg selv og er derfor mer sannsynlig å skape sikkerhetshull som hackere kan utnytte for å stjele informasjonen din.

Hvis eierne av et nettsted ikke er åpenbare, finnes det andre målestokker for å evaluere det. Se etter sikkerhetsikoner - i Internet Explorer ser dette ikonet ut som en liten hengelås nederst på skjermen - som indikerer at nettstedet bruker et krypteringssystem for å beskytte personvernet til informasjon fra besøkende.

2. Hvordan bruke programvare som firmaet ditt forbyr deg å laste ned

Problem: Mange bedrifter krever at ansatte får tillatelse fra IT-avdelingen før de laster ned programvare. Dette kan imidlertid være problematisk hvis du vil laste ned et program som IT-gutta har svartelistet.

Løsningsmanøver: Det er to enkle måter å løse dette problemet på: Finn et alternativ til dette programmet på Internett eller ta med programmet på eksterne medier.

Den første metoden er enklere. La oss si at bedriften din ikke tillater deg å laste ned det populære sanntids chat-programmet AOL Instant Messenger. Du kan fortsatt kommunisere med venner og kolleger ved å bruke nettversjon program kalt AIM Express (AIM.com/aimexpress.adp). I tillegg har Google en sanntidskommunikasjonstjeneste Google Talk, tilgjengelig i Google.com/talk. Slike programmer som musikkspillere og videospill - de er vanligvis noe strippet i forhold til de originale programmene.

Den andre tilnærmingen til å løse problemet er mer kompleks, men med dens hjelp får du tilgang til akkurat det programmet på datamaskinen din. Alle våre tre eksperter kalte selskapet Rare Ideas LLC (RareIdeas.com), som tilbyr gratisversjoner populære programmer, som Firefox og OpenOffice. Du kan laste ned programmer på mobile enheter, for eksempel på en iPod eller på en flash-stasjon, gjennom Portable Apps-tjenesten (PortableApps.com). Etter det kobler du denne enheten til arbeidsdatamaskinen din, og du er ferdig. (Selv om bedriften din forbyr bruk av eksterne enheter, bør du vurdere å være uheldig.)

Fare: Bruk av nettbaserte tjenester kan legge unødig belastning på selskapets ressurser. Og programmer på eksterne medier skaper en sikkerhetsrisiko. IT-folk foretrekker å beholde kontrollen over programvaren som brukes av ansatte, slik at hvis et virus eller andre problemer oppstår, kan de enkelt fikse det. Tar du med deg programmer, reduseres graden av kontroll over dem.

En annen ting å huske på er at noen mindre sikre programmer, spesielt fildelingsprogrammer, kan inneholde spionprogrammer.

Slik beskytter du deg selv: Hvis du tar med programmet på eksterne medier, sier Lowbell, endre i det minste innstillingene antivirusprogram på arbeidsdatamaskinen din slik at den skanner enheten din for potensielle trusler. Dette er enkelt å gjøre ved å gå til "innstillinger" eller "alternativer"-menyen. På samme måte, hvis du bruker fildelingstjenester, konfigurer dem slik at andre ikke kan få tilgang til filene dine, også gjennom "innstillinger" eller "alternativer".

3. Hvordan få tilgang til nettsteder som er blokkert av din bedrift

Problem: Bedrifter begrenser ofte sine ansattes tilgang til visse nettsteder, alt fra de virkelig uanstendige (pornosider) og de sannsynligvis mindre enn samvittighetsfulle (gamblingsider) til de praktisk talt uskyldige (e-postsider).

Løsningsmanøver: Selv om firmaet ditt ikke gir deg tilgang til disse nettstedene ved å skrive inn adressen deres øverste linje, kan du noen ganger fortsatt komme til dem i en rundkjøring. Du går til et nettsted kalt "proxy" og skriver inn søkelinje Internett-adressen du trenger. Deretter går proxy-siden til nettstedet du trenger og gir deg bildet sitt - på denne måten kan du se det uten å gå direkte til det. For eksempel betjener Proxy.org mer enn 4 tusen proxy-sider.

Frauenfelder og Trapani foreslår en annen måte å oppnå det samme resultatet på: bruk Google Translate og be den om å oversette nettstedets navn fra engelsk til engelsk. Bare skriv inn følgende tekst: "Google.com/translate?langpair=en|en&u=www.blockedsite.com", og bytt ut "blockedsite.com" med adressen til nettstedet du trenger. Google fungerer i hovedsak som en proxy-server, og finner speilsiden for deg.

Fare: Hvis du bruker en proxy-side for å se e-post eller YouTube-videoer, er hovedfaren at du blir fanget av dine overordnede. Men det er også mer alvorlige sikkerhetstrusler. Noen ganger kjøper skurker på Internett nettsideadresser som bare er en bokstav eller to unna populære nettsteder og bruker dem til å infisere besøkendes datamaskiner med virus, advarer Lowbell. Ofte blokkerer selskaper også disse sidene - men hvis du bruker en proxy, vil du være forsvarsløs mot dem.

Slik beskytter du deg selv: Ikke gjør det til en vane å bruke proxy-nettsteder. Bruk denne metoden kun for å få tilgang til enkelte nettsteder som bedriften din har stengt tilgang til for å forbedre produktiviteten – for eksempel YouTube. Og vær mer forsiktig med staving.

4. Hvordan dekke sporene dine på en bærbar datamaskin

Problem: Hvis du bruker selskapseid bærbar datamaskin for å jobbe hjemmefra, er det svært sannsynlig at du bruker den til personlige formål: organisere en familieferie, kjøpe bøker for å lese på stranden, kompilere fotoalbum på Internett, og så videre. Mange selskaper forbeholder seg retten til å spore alt du gjør på den datamaskinen fordi det teknisk sett er selskapets eiendom. Hva vil skje hvis... eh... vennen din ved et uhell vandrer inn på en pornoside eller søker på Internett etter en kur for en skammelig sykdom?

Løsningsmanøver: Siste versjoner Internett-lesere Explorer og Firefox lar deg dekke sporene dine. I IE7 velger du Verktøy og deretter Slett Nettleserlogg. Her kan du enten slette hele nettleserloggen din ved å velge Slett alle, eller velge flere lenker du vil slette. I Firefox trykker du ganske enkelt Ctrl-Shift-Del eller klikker på Fjern private data i Verktøy-menyen.

Fare: Selv om du tømmer historikken din, utsetter fritt surfing på Internett deg i fare. Du kan utilsiktet plukke opp spionprogrammer på et lyssky nettsted eller skape juridiske problemer for sjefen din med oppførselen din. Hvis du blir tatt, kan du i beste fall være i en vanskelig situasjon, og i verste fall kan du miste jobben.

Slik beskytter du deg selv: Rydd opp i dine personlige data så ofte som mulig. Enda bedre, ikke bruk arbeidsdatamaskinen til noe du ikke vil at sjefen din skal vite om.

5. Hvordan finne arbeidsdokumenter hjemmefra

Problem: Du avslutter arbeidet sent på kvelden eller i helgen – men dokumentet du trenger ligger på kontordatamaskinen.

Løsningsmanøver: Google, Microsoft, Yahoo og IAC/InterActiveCorp tilbyr programvare for raskt å søke etter dokumenter på datamaskinens skrivebord. I tillegg lar noen av dem søke fra én datamaskin etter dokumenter som er lagret på skrivebordet til en annen. Hvordan det fungerer? Søkemotorselskapet lagrer kopier av dokumentene dine på serveren sin. På denne måten kan den skanne disse kopiene når du søker eksternt.

For å bruke Googles programvare – en av de mest populære – må du følge disse trinnene. Først setter du opp en Google-konto på begge maskinene ved å gå til Google.com/accounts. (Pass på å bruke samme konto på begge datamaskinene.)

Gå deretter til Desktop.Google.com og last ned programvare for skrivebordsøk. Når den er installert, igjen på begge maskinene, klikker du på Desktop Preferences og deretter på Google Account Features. Merk av i boksen ved siden av uttrykket Søk på tvers av datamaskiner. Fra dette tidspunktet blir alle dokumenter du åpner på begge datamaskinene kopiert til Google-servere, som lar deg finne dem fra begge datamaskinene.

Fare: Spesialister i bedriftsteknologier forestill deg et katastrofalt scenario: du har lagret svært sensitiv finansiell informasjon på arbeidsdatamaskinen din. Vi installerte et program for å få tilgang til disse filene fra vår personlige bærbare datamaskin. Og så ble den bærbare datamaskinen borte. Ah ah ah.

I tillegg har eksperter oppdaget sårbarheter i Googles datasøkprogramvare som kan tillate hackere å lure en bruker til å gi dem tilgang til filer, sier McAfees Shmugar. (De problemområdene har siden blitt fikset, men det kan være andre, sier han.)

Slik beskytter du deg selv: Hvis du har filer på arbeidsdatamaskinen som aldri bør deles offentlig, spør Systemadministrator fra IT for å hjelpe deg med å installere Google Desktop på en måte som unngår lekkasjer.

6. Hvordan lagre arbeidsfiler på nettet

Problem: I tillegg til skrivebordssøk har de fleste som ofte må jobbe hjemmefra funnet egen løsning. De lagrer arbeidsfiler på bærbare enheter eller på bedriftens nettverk, hvorfra de senere henter dem eksternt. Men bærbare enheter kan være store, og tilkoblinger til arbeidsnettverket kan være trege og upålitelige.

Løsningsmanøver: Bruk online lagringstjenester som Box.net, Streamload eller AOLs Xdrive. De fleste av dem tilbyr gratis lagring på én til fem gigabyte med informasjon, og tar noen få dollar per måned for en pakke med ekstra lagringsplass. En annen geriljametode er å sende deg selv disse filene til din personlige e-post, for eksempel Gmail eller Hotmail.

Fare: Bad guys kan stjele passordet ditt for en av disse nettstedene og stjele kopier av bedriftens sensitive materiale.

Slik beskytter du deg selv: Når du er i ferd med å lagre en bestemt fil på Internett, spør deg selv hva som vil skje hvis den blir allment tilgjengelig eller faller i hendene på lederen av et selskap som er din hovedkonkurrent. Hvis ikke noe vondt skjer, fortsett.

Problem: Mange selskaper har muligheten til å spore e-poster ansatte både på sin arbeidsadresse og på andre e-postadresser, samt kommunikasjon via ICQ.

Løsningsmanøver: Når du sender e-poster fra din personlige e-postkonto eller jobbepost, kan du kryptere dem slik at bare mottakeren kan lese dem. I Microsoft Outlook, klikk på Verktøy, deretter Alternativer og velg Sikkerhet-linjen.

Her kan du skrive inn et passord, og ingen vil kunne åpne brevet uten å kjenne til dette passordet. (Du må selvfølgelig gi dette passordet til personene som disse brevene er ment for på forhånd.)

For personlig korrespondanse ved bruk av Internett-posttjenester, bruk Frauenfelders råd. Når du sjekker e-posten din, legger du til en s etter "http" i adressefeltet på e-postsiden din - for eksempel https://www.Gmail.com. På denne måten vil du starte en sikker økt og ingen vil kunne spore e-postene dine. Imidlertid støtter ikke alle nettjenester dette.

For å kode kommunikasjonen din i sanntid, bruk Cerulean Studios Trillian-tjeneste, som lar deg jobbe med AOL Instant Messenger, Yahoo Messenger og andre og hjelper til med å kode samtaler slik at ingen andre kan lese dem.

Fare: Hovedårsaken til at bedrifter overvåker ansattes e-post er å fange opp de som sender konfidensiell informasjon. Ved å ty til alle de ovennevnte triksene kan du provosere falsk alarm, og gjøre det vanskeligere for ansatte i IT-avdelingen å bekjempe en reell trussel.

Slik beskytter du deg selv: Bruk metodene beskrevet bare av og til, og ikke bruk dem som standard.

8. Hvordan få ekstern tilgang jobb e-post, hvis bedriften din ikke ønsker å gå i stykker på en PDA

Problem: Alle som ikke har en PDA kjenner følelsen: du går til en restaurant for lunsj eller en øl etter jobb, og alle strekker seg ned i lommene etter PDA-ene sine, og du er den eneste som er tvunget til å dingle et glass i hånden. .

Løsningsmanøver: Du kan også holde kontakten med jobb-e-posten din ved å bruke en rekke mobile enheter. Bare sett opp jobbe-e-posten din slik at e-poster videresendes til din personlige e-postadresse.

I Microsoft Outlook kan du gjøre dette ved å høyreklikke på hvilken som helst e-post, velge "Opprett regel" og be om at alle e-poster videresendes til en annen adresse. Sett deretter opp mobiltelefonen din til å sjekke e-posten din ved å bruke instruksjonene fra Internett-leverandøren din (selskapet som sender deg telefonregningene dine).

Fare: Nå kan hackere hacke ikke bare datamaskinen din, men også telefonen din.

Slik beskytter du deg selv: Det er en "riktig" måte å få tilgang til jobb-e-post ved hjelp av ulike personlige mobile enheter ved å innhente passord og annen informasjon fra IT-avdelingen.

9. Hvordan få tilgang personlig post fra en fungerende PDA

Problem: Hvis selskapet ditt ga deg en PDA, står du sannsynligvis overfor det motsatte problemet. Du vil sjekke din personlige e-post like enkelt som jobbe-e-posten din.

Løsningsmanøver: Vær oppmerksom på "Innstillinger"-delen av din personlige postkasse og sørg for at du har aktivert POP (postprotokoll), som brukes til å motta post via andre adresser. Gå deretter til BlackBerry PDA-tjenesteleverandørens nettsted. Klikk på "Profil"-knappen, finn delen E-postkontoer der og velg Andre e-postkontoer. Klikk deretter på Legg til konto og skriv inn informasjon om din personlige epostadresse. Nå vil din personlige post ankomme samme sted som bedriftspost.

Fare: Firmaet ditt bruker sannsynligvis et arsenal av sikkerhetsverktøy for å bekjempe virus og spionprogrammer. Når du mottar personlig e-post på din BlackBerry, omgår den disse sikkerhetsbarrierene. Det betyr at spionprogrammer eller virus kan komme inn i din PDA via din personlige e-post, sier McAfee's Shmugar.

Hva verre er, sier han, når du kobler BlackBerry-en til arbeidsdatamaskinen, er det en sjanse for at spionprogrammer overføres til harddisken din.

Slik beskytter du deg selv: Kryss fingrene og stol på at Internett-leverandøren din E-post gjør alt den kan for å beskytte mot virus og spionprogrammer (det gjør det sannsynligvis).

10. Hvordan late som om du jobber

Problem: Du er opptatt i livet viktig søk på Internett, og plutselig dukker sjefen din opp bak deg. Handlingene dine?

Løsningsmanøver: Trykk raskt på Alt-Tab for å minimere ett vindu (som det du surfer i på ESPN.com) og åpne et annet (som forberedelse til dagens presentasjon).

Fare: Den gode nyheten er at det ikke er noen trussel mot selskapets sikkerhet.

Slik beskytter du deg selv: Kom deg på jobb.

Fant du en skrivefeil? Velg teksten og trykk Ctrl + Enter

Utviklingen av Internett har forverret og nok en gang avslørt problemene som oppstår når man kobler et bedriftsnettverk til Internett på en sikker måte. Dette skyldes først og fremst at Internett ble utviklet som et åpent system beregnet for alle. Svært lite oppmerksomhet ble viet til sikkerhetsproblemer ved utformingen av TCP/IP-protokollstabelen som er grunnlaget for Internett.

Mye er utviklet for å møte sikkerhetsproblemer. ulike løsninger, hvorav den mest kjente og utbredte er bruken av brannmurer. Bruken av dem er det første skrittet enhver organisasjon bør ta når de kobler til bedriftsnettverk til Internett. Den første, men langt fra den siste. En brannmur alene er ikke nok til å bygge en pålitelig og sikker tilkobling til Internett. Må implementeres hele linjen teknisk og organisatoriske tiltak for å sikre et akseptabelt nivå av beskyttelse av bedriftens ressurser mot uautorisert tilgang.

Brannmurer implementerer mekanismer for å kontrollere tilgang fra et eksternt nettverk til et internt ved å filtrere alt innkommende og utgående trafikk, slik at bare autoriserte data kan passere. Alle brannmurer opererer basert på informasjon mottatt fra ulike nivåer referansemodell ISO/OSI, og jo høyere OSI-nivå brannmuren er bygget på, jo høyere beskyttelsesnivå gir den. Det er tre hovedtyper brannmurer - pakkefiltrering, gateway på kretsnivå og gateway på applikasjonsnivå. Svært få eksisterende brannmurer kan tydelig klassifiseres i en av disse typene. Som regel kombinerer ITU to eller tre typer funksjoner. I tillegg dukket nylig opp ny teknologi konstruksjon av brannmurer som kombinerer de positive egenskapene til alle tre av de ovennevnte typene. Denne teknologien ble kalt Stateful Inspection. Og i for tiden Nesten alle brannmurer som tilbys på markedet annonseres som tilhørende denne kategorien (Stateful Inspection Firewall).

Den nåværende situasjonen i det russiske informasjonssikkerhetsmarkedet er at mange brannmurleverandører (FWUer), når de tilbyr produktet sitt, hevder at det alene vil løse alle kundens problemer, og sikre pålitelig beskyttelse alle ressursene i bedriftsnettverket. Det er det imidlertid ikke. Og ikke fordi den foreslåtte brannmuren ikke gir de nødvendige beskyttelsesmekanismene (riktig valg av brannmur er temaet i en egen artikkel), men fordi teknologien i seg selv har visse ulemper.

I denne artikkelen vil jeg ikke snakke om fordelene med disse typene brannmurer (mange publikasjoner er viet til dette), men vil fokusere på ulempene som ligger i teknologien som helhet.

Mangel på beskyttelse fra autoriserte brukere

Den mest åpenbare ulempen med brannmurer er manglende evne til å beskytte mot brukere som kjenner ID og passord for å få tilgang til det beskyttede segmentet av bedriftsnettverket. Brannmur kan begrense uautoriserte personers tilgang til ressurser, men det kan ikke hindre en autorisert bruker i å kopiere verdifull informasjon eller endre noen parametere for økonomiske dokumenter som brukeren har tilgang til. Og ifølge statistikken kommer minst 70 % av alle sikkerhetstrusler fra organisasjonens ansatte. Derfor, selv om brannmuren beskytter mot eksterne inntrengere, vil det fortsatt være interne inntrengere som ikke er under kontroll av ITU.

For å eliminere denne mangelen er det nødvendig med nye tilnærminger og teknologier. For eksempel bruk av inntrengningsdeteksjonssystemer. Disse midlene et lysende eksempel som RealSecure-systemet er, oppdage og blokkere uautorisert aktivitet på nettverket, uavhengig av hvem som implementerer det - en autorisert bruker (inkludert en administrator) eller en angriper. Slike verktøy kan fungere enten uavhengig eller sammen med en brannmur. For eksempel har RealSecure-systemet muligheten til å automatisk rekonfigurere CheckPoint Firewall-1-brannmuren ved å endre reglene, og dermed forby tilgang til bedriftens nettverksressurser fra den angrepne verten.

Mangel på beskyttelse for nye nettverkstjenester

Den andre ulempen med brannmurer er manglende evne til å beskytte nye nettverkstjenester. Som regel begrenser ITU-er tilgang til mye brukte protokoller, som HTTP, Telnet, SMTP, FTP og en rekke andre. Dette implementeres ved hjelp av mekanismen til "mellomledd" (proxy), som sikrer kontroll over trafikk som overføres via disse protokollene eller ved bruk av disse tjenestene. Og selv om antallet slike "mellomledd" er ganske stort (for eksempel har mer enn to hundre av dem blitt implementert for ITU CyberGuard-brannmuren), eksisterer de ikke for alle nye protokoller og tjenester. Og selv om dette problemet ikke er så akutt (mange brukere bruker ikke mer enn et dusin protokoller og tjenester), noen ganger skaper det visse ulemper.

Mange brannmurprodusenter prøver å løse dette problemet, men ikke alle lykkes. Noen leverandører oppretter proxyer for nye protokoller og tjenester, men det er alltid et tidsintervall på flere dager til flere måneder mellom fremkomsten av en protokoll og dens tilsvarende proxy. Andre brannmurutviklere tilbyr verktøy for å skrive sine proxyer (for eksempel leverer CyberGuard Corporation med sin brannmur ProxyWriter-undersystemet, som lar deg lage proxyer for spesifikke eller nye protokoller og tjenester). I dette tilfellet kreves det høye kvalifikasjoner og tid for å skrive en effektiv fullmakt som tar hensyn til spesifikasjonene til den nye tjenesten og protokollen. En lignende funksjon finnes med CheckPoint Firewall-1, som inkluderer et kraftig INSPECT-språk som lar deg beskrive ulike trafikkfiltreringsregler.

Begrensning av funksjonalitet til nettverkstjenester

Noen bedriftsnettverk bruker en topologi som er vanskelig å «komme overens» med en brannmur, eller bruker enkelte tjenester (for eksempel NFS) på en slik måte at bruk av brannmur krever en betydelig restrukturering av hele nettverksinfrastrukturen. I en slik situasjon kan de relative kostnadene ved å kjøpe og konfigurere en brannmur være sammenlignbare med skaden forbundet med fravær av en brannmur.

Bestemme seg for dette problemet er bare mulig gjennom riktig utforming av nettverkstopologien i den innledende fasen av å lage et bedriftsinformasjonssystem. Dette vil ikke bare redusere påfølgende materialkostnader for kjøp av informasjonssikkerhetsverktøy, men også effektivt integrere brannmurer i eksisterende. Hvis nettverket allerede er designet og operativt, kan det være verdt å vurdere å bruke en annen løsning, for eksempel et inntrengningsdeteksjonssystem, i stedet for en brannmur.

Potensielle farer ved omgåelse av brannmur

Brannmurer kan ikke beskytte bedriftens nettverksressurser hvis modemer brukes ukontrollert. Å få tilgang til nettverket via et modem ved å bruke SLIP- eller PPP-protokollene, omgå brannmuren, gjør nettverket praktisk talt ubeskyttet. En ganske vanlig situasjon er når ansatte i en organisasjon, mens de er hjemme, bruker programmer fjerntilgang som pcAnywhere eller ved å bruke Telnet-protokollen, får de tilgang til data eller programmer på arbeidsdatamaskinen eller får tilgang til Internett gjennom den. Det er rett og slett ikke nødvendig å snakke om sikkerhet i en slik situasjon, selv i tilfelle effektivt oppsett brannmur.

For å løse dette problemet er det nødvendig å strengt kontrollere alle modemer og fjerntilgangsprogramvare som er tilgjengelig på bedriftsnettverket. For disse formålene er det mulig å bruke både organisatoriske og tekniske tiltak. For eksempel bruk av adgangskontrollsystemer, inkl. og til COM-porter (for eksempel Secret Net) eller sikkerhetsanalysesystemer (for eksempel Internet Scanner og System Scanner). En riktig utviklet sikkerhetspolicy vil gi et ekstra beskyttelsesnivå for bedriftsnettverket, etablere ansvar for brudd på Internett-regler osv. I tillegg vil en riktig utformet sikkerhetspolicy redusere sannsynligheten for uautorisert bruk av modemer og andre enheter og programmer for ekstern tilgang.

Potensielt farlige funksjoner

Nye funksjoner som nylig har dukket opp som gjør livet enklere for Internett-brukere ble utviklet med liten eller ingen sikkerhet i tankene. For eksempel WWW, Java, ActiveX og andre dataorienterte tjenester. De er potensielt farlige fordi de kan inneholde fiendtlige instruksjoner som bryter etablerte sikkerhetsregler. Og hvis operasjonene HTTP-protokoll kan kontrolleres ganske effektivt av en brannmur, det er praktisk talt ingen beskyttelse mot "mobil" Java- og ActiveX-kode. Tilgang til slik kode til det beskyttede nettverket er enten fullstendig tillatt eller fullstendig nektet. Og til tross for påstandene fra brannmurutviklere om kontroll Java-appleter, JavaScript-skript, etc., faktisk kan fiendtlig kode gå inn i den beskyttede sonen selv om de er fullstendig blokkert i brannmurinnstillingene.

Beskyttelse mot slike nyttige, men potensielt farlige evner må avgjøres fra sak til sak. konkret tilfelle på min egen måte. Du kan analysere behovet for å bruke en ny mulighet og helt forlate den; eller du kan bruke spesialiserte sikkerhetsverktøy, for eksempel SurfinShield-systemet fra Finjan eller SafeGate fra Security-7 Software, som sikrer nettverkssikkerhet fra fiendtlig "mobil"-kode.

Virus og angrep

Nesten ingen brannmur har innebygde mekanismer for å beskytte mot virus og generelt angrep. Vanligvis realiseres denne muligheten ved å bli med i ITU tilleggsmoduler eller tredjepartsprogrammer (for eksempel ViruSafe-antivirusbeskyttelsessystemet for ITU CyberGuard Firewall eller RealSecure-angrepsdeteksjonssystemet for ITU CheckPoint Firewall-1). Bruken av ikke-standardiserte arkivere eller overførte dataformater, samt trafikkkryptering, reduserer alle antivirusbeskyttelse"til nei." Hvordan kan du beskytte deg mot virus eller angrep hvis de passerer gjennom brannmuren i kryptert form og kun dekrypteres på klientenes endepunkter?

I dette tilfellet er det bedre å spille det trygt og forby data i et ukjent format fra å passere gjennom brannmuren. Det er for øyeblikket ingenting vi kan tilby for å kontrollere innholdet i krypterte data. I dette tilfellet kan vi bare håpe at beskyttelse mot virus og angrep utføres på sluttenhetene. For eksempel ved å bruke systemagenter til RealSecure-systemet.

Redusert ytelse

Til tross for at tilkobling til offentlige nettverk eller forlate et bedriftsnettverk utføres via lavhastighetskanaler (vanligvis ved bruk av oppringt tilgang med hastigheter opptil 56 Kbps eller bruk av leide linjer opptil 256 Kbps), er det muligheter for tilkobling via kanaler med båndbredde flere hundre megabit og høyere (ATM, T1, E3, etc.). I slike tilfeller er brannmurer flaskehalsen i nettverket, noe som reduserer det gjennomstrømning. I noen tilfeller er det nødvendig å analysere ikke bare overskriften (som pakkefiltre gjør), men også innholdet i hver pakke ("proxy"), og dette reduserer ytelsen til brannmuren betydelig. For nettverk med stor trafikk blir bruk av brannmurer upraktisk.

I slike tilfeller bør angrepsdeteksjon og respons være en prioritet, og trafikk bør bare blokkeres hvis det er en umiddelbar trussel. Noen angrepsdeteksjonsverktøy (for eksempel RealSecure) inneholder dessuten muligheten til å automatisk rekonfigurere brannmurer.

Avveiningen mellom brannmurtyper er større fleksibilitet i pakkefiltre versus større sikkerhet og bedre håndterbarhet i gatewayer. applikasjonsnivå. Selv om det ved første øyekast ser ut til at pakkefiltre bør være raskere fordi de er enklere og kun behandler pakkehoder uten å påvirke innholdet, er dette ikke alltid sant. Mange applikasjonsgateway-baserte brannmurer viser høyere hastighetsegenskaper enn rutere, og representerer det beste valget for tilgangskontroll ved Ethernet-hastigheter (10 Mbit/s).

Mangel på kontroll over konfigurasjonen din

Selv om alle problemene beskrevet ovenfor er løst, er det fortsatt en fare for at brannmuren ikke er riktig konfigurert. Du må møte en situasjon når du kjøper en brannmur, innledende konfigurasjon som utføres av leverandørens spesialister og dermed som regel sikrer høy level sikkerhet for bedriftens ressurser. Men over tid endrer situasjonen seg - ansatte ønsker å få tilgang til nye internettressurser, jobbe med nye tjenester (RealAudio, VDOLive, etc.) osv. Dermed blir beskyttelsen som implementeres av brannmuren gradvis lekk som en sil, og stort antall Reglene lagt til av administratoren koker ned til én ting: "alt er tillatt for alle."

I dette tilfellet vil sikkerhetsanalyseverktøy hjelpe. Sikkerhetsanalyseverktøy kan teste brannmuren som nettverksnivå(for eksempel mottakelighet for tjenestenektangrep) og på nivået operativsystem(for eksempel tilgangsrettigheter til konfigurasjonsfiler brannmur). I tillegg, under skanning er det mulig å implementere "passord-gjetting"-angrep, som kan oppdage "svake" passord eller passord satt av produsenten som standard. Verktøy som gjennomfører slike kontroller inkluderer for eksempel Internet Scanner-systemet til det amerikanske selskapet Internet Security Systems (ISS).

I 1999 skrev jeg en artikkel, "Brannmur er ikke et universalmiddel", som diskuterte ulike mangler som ligger i teknologien som brukes i brannmurer (brannmurer). Jeg håpet at innenlandske leverandører og, spesielt utviklere, ville slutte å lure kunder ved å hevde at brannmuren deres er et universalmiddel for alle sykdommer, og det vil løse alle kundens problemer, og sikre pålitelig beskyttelse av alle ressursene i bedriftsnettverket. Dette skjedde imidlertid ikke, og jeg ønsker å komme tilbake til dette temaet igjen. Dessuten, som min erfaring med forelesninger om informasjonssikkerhet viser, er denne problemstillingen av stor interesse for spesialister som allerede bruker brannmurer i sine organisasjoner.

Det er en rekke problemer jeg gjerne vil snakke om og som kan illustreres med et eksempel. En brannmur er rett og slett et gjerde rundt nettverket ditt. Den kan være veldig høy eller veldig tykk slik at du kan klatre over den eller lage et hull i den. Men... dette gjerdet kan ikke oppdage når noen graver en tunnel under det eller prøver å gå langs en bro som er kastet over gjerdet. ITU begrenser rett og slett tilgang til visse punkter utenfor gjerdet ditt.

Folk gjør feil

Som du vet, er brannmurer, som andre sikkerhetstiltak, konfigurert av mennesker. Og folk har en tendens til å gjøre feil, til og meder. Det er dette faktum som brukes av mange angripere. Det er nok å finne bare en svakhet i brannmurinnstillingene, og det er det, vi kan anta at "det er ditt problem." Dette bekreftes av ulike studier. For eksempel viser statistikk samlet inn i 1999 av ICSA Association (http://www.icsa.net) at opptil 70 % av alle brannmurer er sårbare på grunn av feil konfigurasjon og konfigurasjon. Jeg vil ikke snakke om inkompetanse eller lave kvalifikasjoner til ITU-administratoren (selv om disse årsakene på ingen måte er sjeldne) - jeg vil beskrive et annet eksempel. Rett etter college havnet jeg i automasjonsavdelingen i en stor bedrift. Internett-beskyttelse ble levert av en brannmur, som ble kontrollert av administratoren for. Mer enn en gang måtte jeg takle en situasjon der venner fra andre avdelinger i selskapet henvendte seg til denne administratoren og ba om midlertidig å gi dem tilgang til servere med leker. En gang var jeg vitne til en sjokkerende hendelse. Lederen for avdelingen for samarbeid med partnere henvendte seg til ITU-administratoren og krevde å gi ham tilgang til en av Internett-ressursene. Som svar på at dette var umulig, truet sjefen med å gi administratoren et "lykkelig liv", hvoretter sistnevnte måtte følge ordren og endre brannmurinnstillingene. Det mest overraskende er at situasjonen ikke blir bedre over tid. Vi gjennomførte nylig en undersøkelse i en av organisasjonene og fant nøyaktig samme situasjon der. Brannmuren tillot tilgang via ICQ, RealAudio, etc.-protokollene. De begynte å finne ut - det viste seg at dette ble gjort på forespørsel fra en ansatt i en av avdelingene, som administratoren hadde utviklet vennlige forhold til.

"Vanlige helter tar alltid en omvei"

Et fragment av en sang fra barnefilmen "Aibolit-69" illustrerer perfekt følgende problem som er iboende i brannmurer. Hvorfor prøve å få tilgang til beskyttede ressurser gjennom sikkerhetstiltak når du kan prøve å omgå dem? Dette kan illustreres med et eksempel fra et beslektet felt. Onsdag 21. februar 1990 kom Mary Pierham, en budsjettanalytiker for et amerikansk selskap, på jobb. Hun klarte imidlertid ikke å komme seg til arbeidsplassen sin selv etter å ha tastet inn den firesifrede koden og sagt kodeord i et adgangskontrollsystem. Mary ønsket fortsatt å komme seg på jobb, og gikk rundt i bygningen og åpnet bakdøren med en neglefil og en plastkam. Det nyeste sikkerhetssystemet som Mary Pierham gikk utenom ble annonsert som "feilsikkert og pålitelig" og kostet titusenvis av dollar. Tilsvarende med brannmurer er det bare modemet som kan tjene som bakdør. Vet du hvor mange modemer som er installert på nettverket ditt og hva de brukes til? Ikke svar bekreftende med en gang, tenk deg om. Mens de undersøkte ett nettverk, rev lederne av informasjonssikkerhets- og automatiseringsavdelingen skjortene sine og hevdet at de kjente hvert eneste modem som var installert på nettverket deres. Etter å ha kjørt Internet Scanner-sikkerhetsanalysesystemet, fant vi faktisk modemene de indikerte ble brukt til å oppdatere databasene til regnskaps- og juridiske systemer. Imidlertid ble to ukjente modemer også oppdaget. Den ene ble brukt av en ansatt i analytisk avdeling for å få tilgang til arbeidskataloger hjemmefra. Det andre modemet ble brukt til å få tilgang til Internett, utenom brannmuren.

Brannmur eller brannmur- et sett med maskinvare eller programvare som overvåker og filtrerer som passerer gjennom det nettverkspakker i henhold til gitte regler.
Hovedformålet med en brannmur er å beskytte datanettverk eller individuelle noder fra uautorisert tilgang. Brannmurer kalles også ofte filtre, siden deres hovedoppgave ikke er å slippe gjennom (filtrere) pakker som ikke oppfyller kriteriene som er definert i konfigurasjonen.
Avhengig av dekningen av kontrollerte datastrømmer, er brannmurer delt inn i:

• 
  tradisjonelt nettverk(eller internettarbeid) skjerm- et program (eller en integrert del av operativsystemet) på en gateway (en server som overfører trafikk mellom nettverk) eller en maskinvareløsning som styrer innkommende og utgående datastrømmer mellom tilkoblede nettverk.
• 
  personlig brannmur- programmet installert på brukerens datamaskin og designet for kun å beskytte denne datamaskinen mot uautorisert tilgang.

Avhengig av hvilket nivå tilgangskontrollen skjer på, er det en inndeling i brannmurer som opererer på:

• 
  nettverksnivå, når filtrering skjer basert på adressene til senderen og mottakeren av pakkene, portnumrene til transportlaget til OSI-modellen og statiske regler, spesifisert av administratoren;
• 
  øktnivå(også kjent som stateful) - sporing av økter mellom applikasjoner som ikke lar pakker som bryter med TCP/IP-spesifikasjoner passere, ofte brukt i ondsinnede operasjoner - ressursskanning, hacking gjennom feil TCP/IP-implementeringer, tapte/trege tilkoblinger, datainjeksjon .
• 
  applikasjonsnivå, filtrering basert på analyse av applikasjonsdata overført i pakken. Disse typer skjermer lar deg blokkere overføring av uønsket og potensielt skadelig informasjon basert på retningslinjer og innstillinger.

Avhengig av overvåking av aktive tilkoblinger, er brannmurer:

• 
  statsløs(enkel filtrering), som ikke overvåker gjeldende tilkoblinger (for eksempel TCP), men filtrerer datastrømmen utelukkende basert på statiske regler;
• 
  statelig(kontekstbevisst filtrering), overvåker gjeldende tilkoblinger og sender bare de pakkene som tilfredsstiller logikken og algoritmene til de tilsvarende protokollene og applikasjonene. Disse typer brannmurer gjør det mulig å bekjempe mer effektivt forskjellige typer DoS-angrep og noen sårbarheter nettverksprotokoller. I tillegg gir de funksjonen til protokoller som H.323, SIP, FTP, etc., som bruker komplekse kretsløp overføring av data mellom mottakere, vanskelig å beskrive med statiske regler, og ofte uforenlig med standard, statsløs brannmurer.

Hvordan omgå brannmurer.

1. 
   ^ Trussel innenfra. Trusler kommer ikke alltid bare fra utsiden av ITU, fra Internett. Et stort nummer av tap er knyttet nettopp til sikkerhetshendelser fra interne brukeres side (i følge statistikk kommer opptil 80 % av hendelsene innenfra). Det bør presiseres at brannmuren kun inspiserer trafikk i grensene mellom internnettet og Internett-nettverk. Hvis trafikk som utnytter sikkerhetshull aldri går gjennom brannmuren, vil brannmuren ikke finne noen problemer.

Eksempel på lysbilde
1. 
   Tunneler. Brannmuren filtrerer trafikk og tar beslutninger om å tillate eller blokkere nettverkspakker basert på informasjon om protokollen som brukes. Generelt gir reglene passende testing for å avgjøre om en bestemt protokoll er tillatt eller ikke. For eksempel, hvis porter 25 og 80 er tillatt på ITU, deretter tilgang til internt nettverk e-post (SMTP) og web (HTTP) trafikk. Det er dette behandlingsprinsippet som brukes av dyktige angripere. All uautorisert aktivitet utføres innenfor rammen av den tillatte protokollen, og skaper dermed en tunnel som angriperen utfører angrepet gjennom. Det enkleste eksemplet som demonstrerer bruken av tunneler er Internett-ormer og makrovirus introdusert i et bedriftsnettverk i form av vedlegg til e-postmeldinger. Hvis brannmuren lar SMTP-trafikk passere (og jeg har aldri sett en brannmur som ikke gjorde dette), kan en "viral infeksjon" komme inn i det interne nettverket.

   Et vanlig moderne skjult kanalangrep er Loki-angrepet. Dette angrepet bruker ICMP-protokoll for dataoverføring, selv om denne protokollen ikke er designet for å brukes på denne måten, er den kun ment å sende meldinger om gjeldende status og feil. Men noen har utviklet et spesialverktøy (Loki) som lar en angriper skrive data umiddelbart etter ICMP-headeren.
   Dette lar en angriper kommunisere med et annet system gjennom en skjult kanal. Dette angrepet er ofte ganske vellykket fordi de fleste brannmurer er konfigurert til å tillate innkommende og utgående ICMP-trafikk. Dette skjult kanal, fordi den bruker en protokoll for kommunikasjon som ikke er designet for dette formålet. Detaljert informasjon om Loki-angrepet finner du på http://xforce.iss.net/xforce/xfdb/1452.

2. 
   Kryptering. Svært ofte, fra leppene til mange innenlandske utviklere av VPN-verktøy, kan du høre at verktøyet de utviklet for å bygge virtuelle private nettverk kan løse mange sikkerhetsproblemer. De insisterer på at siden det beskyttede nettverket kun kommuniserer med sine motstandere (eksterne kontorer, partnere, kunder, etc.) via en VPN-tilkobling, vil ingen "infeksjon" trenge gjennom det. Dette er delvis sant, men kun under forutsetning av at motstanderne heller ikke kommuniserer med noen gjennom usikrede kanaler. Og dette er allerede vanskelig å forestille seg. Og siden de fleste organisasjoner bruker kryptering for å beskytte eksterne nettverkstilkoblinger, vil angriperens interesse bli rettet til de stedene i nettverket hvor informasjonen av interesse for ham sannsynligvis ikke er sikker, det vil si til noder eller nettverk som det er etablert pålitelige relasjoner med. Og selv om det opprettes VPN-forbindelser mellom et nettverk beskyttet av en brannmur med VPN-funksjoner og et pålitelig nettverk, vil angriperen kunne utføre sine angrep med samme effektivitet. Dessuten vil effektiviteten av angrepene hans være enda høyere, siden sikkerhetskrav for pålitelige noder og nettverk er mye lavere enn alle andre noder. En angriper vil kunne trenge inn i et pålitelig nettverk, og først da utføre uautoriserte handlinger mot målet for angrepet hans derfra.

   

3. 
   ^ Sårbarheter i brannmurer. Etter å ha angrepet brannmuren og deaktivert den, kan angripere rolig, uten frykt for å bli oppdaget, implementere sine kriminelle planer i forhold til ressursene til det beskyttede nettverket. For eksempel, siden begynnelsen av 2001, har mange sårbarheter blitt oppdaget i implementeringen av forskjellige kjente brannmurer.
4. 
   ^Adresseforfalskning– Dette er en måte å skjule den virkelige adressen til en angriper. Den kan imidlertid også brukes til å omgå brannmurbeskyttelsesmekanismer. En så enkel metode som å erstatte kildeadressen til nettverkspakker med en adresse fra det beskyttede nettverket kan ikke lenger lure moderne brannmurer. De bruker alle forskjellige metoder for beskyttelse mot slik substitusjon. Selve prinsippet om adressesubstitusjon er imidlertid fortsatt relevant. For eksempel kan en angriper erstatte sin ekte adresse til adressen til en node som har etablert et klarert forhold til det angrepne systemet og implementer et tjenestenektangrep mot det.