«Единственный способ обеспечить безопасность системы состоит в том, чтобы никогда не включать ее».
Неизвестный
Отключенная от любой сети система не может быть взломана (по крайней мере до тех пор, пока кто-либо не получит доступ с локальной консоли), но при этом ее нельзя использовать. Статистика свидетельствует, что некоторый процент несанкционированных пользователей будут пытаться получить доступ к ресурсу, к которому они не допущены. Несколько меньший процент от их числа будут пытаться фальсифицировать свои идентификационные данные. Из попытавшихся пользователей меньший, но не нулевой процент действительно будут обладать необходимой квалификацией и мотивацией для успешного (с их точки зрения) взлома установленной системы защиты. Так будет на любой установленной системе. Единственный способ избежать опасности попадания данных в неавторизованные руки заключается в недопущении какой-либо их рассылки.
Существует простая формула: для предотвращения несанкционированного раскрытия или потери защищенных данных администратору сети нужно полностью запретить удаленный доступ. Статистика свидетельствует о том, что лишь небольшое количество доверенных пользователей откажутся от доступа к данным, которые они уполномочены обрабатывать, прежде чем система защиты будет отклонена как слишком громоздкая и неудобная. Во время проектирования системы безопасности никогда не следует забывать о практическом результате ее использования. В противном случае с большей вероятностью откажутся от системы, чем от необходимого практического результата. Нельзя заработать на системе, если не видно, что она защищена от атак злоумышленника.
Как автор уже упоминал ранее, нельзя доверять каждому, но кому-то довериться все-таки надо. Если пользующиеся доверием люди имеют тенденцию располагаться в контролируемой администратором безопасности сети, то управление входными (правом доступа) и выходными (правом выхода) точками контролируемой сети позволит ему определить сервисы, если они есть, с помощью которых внешний мир может прислать сообщения компьютерам его сети. Межсетевые экраны являются хорошо известным первым рубежом защиты сети от атаки злоумышленника. Они не позволяют принимать сообщения от недоверенных доменов. В большинстве случаев межсетевые экраны самостоятельно не могут доверять содержимому проходящих через них сетевых пакетов, потому что оно может быть фальсифицировано любым доменом, через который прошел пакет, или даже его отправителем. Тем не менее в передаваемом пакете есть небольшая порция данных, которая выдает собственника пакета. Она несет информацию об отправителе данных. Этой маленькой порции данных достаточно для однозначной идентификации сети. Ее достаточно для предотвращения, помимо многого другого, появления в сети пакетов, которые были присланы в сеть недоверенными внешними пользователями. Ее даже достаточно для защиты от передачи компьютерам сети пакетов от пользователей, которые, являясь на самом деле недоверенными пользователями, маскируются под доверенных.
Фильтрация на выходе (egress filtering) – последняя форма фильтрации. Она имеет решающее значение для предотвращения распространения распределенных атак отказа в обслуживании (атак типа DDoS), потому что на уровне провайдера Интернета не пропускает в глобальный Интернет пакеты с фальсифицированным в заголовке пакета адресом отправителя. Фильтрация на выходе может быть выполнена на устройствах Cisco с использованием команды ip verify unicast reverse-path. Подробнее об этом можно узнать по адресу www.sans.org/y2k/egress.htm.
Потенциальная возможность передать противоположному концу соединения относится к основному уровню безопасности, который должен быть реализован. Даже самый незащищенный, доступный всем сервис удаленного доступа не может быть атакован недоверенным пользователем, если у него не будет средств посылки сообщения уязвимой системе. К сожалению, нельзя считать сеть достаточно защищенной, полагаясь только на межсетевой экран, который не позволяет послать кому угодно сообщение, угрожающее системе в сети. Вероятнее всего, до тех пор, пока не будет использован воинствующий вариант настройки межсетевого экрана (читайте межсетевой экран, работающий по радиоканалу (air firewall) или полное отключение соединений между локальной сетью и глобальным Интернетом), всегда найдутся дополнительные пути пересылки опасных сообщений. В отчете Министерства обороны далее пишется: