[ Pobierz całość w formacie PDF ]

cze nie wszystkim systemom sieci korzysta z Internetu poprzez jeden adres publiczny
# mamy wtedy do czynienia z maskarad .
W pierwszym przypadku NAT przepisuje adresy docelowe w przychodz cych pakie-
tach na adresy pewnej ilo ci ró nych systemów po wewn trznej stronie firewalla. Po-
zwala to stworzy odporn na awarie infrastruktur , w ramach której dania wy-
wietlenia popularnej witryny internetowej (na przyk ad http://www.microsoft.com)
Rozdzia 11. Rozpoznawanie anomalii 203
lub udost pnienia innej popularnej us ugi s rozk adane na wiele systemów # je li
jeden zawiedzie, inne b d mog y przej jego funkcj . Mo na to osi gn stosuj c
specjalne urz dzenia wyrównuj ce obci enie, ale podobne mo liwo ci oferuje wiele
firewalli z obs ug NAT.
Drugie zastosowanie, zwane popularnie maskarad , polega na przepisywaniu adresów
ród owych wychodz cych pakietów w taki sposób, by systemy w chronionej sieci
wewn trznej (potencjalnie korzystaj ce z prywatnych adresów, które nie zosta yby
skierowane do tej sieci z Internetu) mog y czy si ze wiatem zewn trznym dzi ki
przechwytywaniu i przepisywaniu ich po cze wychodz cych przez firewall. Systemy
sieci wewn trznej s dla wiata niewidoczne, a wszystkie ich po czenia wychodz ce
wydaj si odbiorcom pochodzi od firewalla. Ka de po czenie jest przypisywane do
konkretnego, publicznego adresu IP i okre lonego portu, po czym jest wysy ane w wiat.
Pakiety powracaj ce do tego adresu s nast pnie przepisywane z powrotem, by wska-
zywa y na system, który faktycznie nawi za dane po czenie, a na koniec przesy ane
do sieci wewn trznej. Dzi ki takiemu rozwi zaniu ca a prywatna sie stacji robo-
czych, które w za o eniu nie maj udost pnia adnych us ug, nie jest bezpo rednio
dost pna z zewn trz, co znacznie zwi ksza jej bezpiecze stwo i ukrywa niektóre in-
formacje o jej strukturze, a w dodatku pozwala zaoszcz dzi na kosztownych, pu-
blicznych adresach IP dla poszczególnych stacji roboczych. Wprowadzenie maskara-
dy pozwala organizacji posiadaj cej tylko jeden adres publiczny stworzy sie
wewn trzn licz c setki czy wr cz tysi ce komputerów i zapewni ka demu z nich
dost p do Internetu.
Niedok adno ci translacji
Równie translacja adresów jest zadaniem znacznie trudniejszym, ni mog oby si wy-
dawa # dzia anie niektórych protoko ów wy szego poziomu jest znacznie bardziej
skomplikowane od prostego pod czenia si do zdalnego systemu i przes ania mu ze-
stawu polece . Na przyk ad pradawny, lecz wci szeroko rozpowszechniony proto-
kó przesy ania plików FTP [4] (File Transfer Protocol) w swym najprostszym
i najpopularniejszym trybie dzia ania wymaga nawi zania zwrotnego po czenia od
serwera do klienta w celu przesy ania danych plików, a pocz tkowe po czenie na-
wi zane przez klienta jest u ywane jedynie do wydawania polece . Wiele innych
protoko ów (w szczególno ci obs uguj cych rozmowy, po czenia peer-to-peer, me-
chanizmy wspó u ytkowania danych, transmisje multimedialne i tym podobne) ko-
rzysta z w asnych, niekiedy do dziwnych rozwi za , wymagaj cych po cze zwrot-
nych, przeskakiwania portów czy te dopuszczania niesesyjnej transmisji okre lonych
danych (na przyk ad pakietów protoko u UDP) z powrotem do klienta.
Z tego te wzgl du ka da implementacja maskarady, która ma poprawnie obs ugiwa
takie protoko y, musi posiada odpowiedni liczb protoko ów-pomocników. Zada-
niem tych pomocników jest analiza danych aplikacji wymienianych w ramach po -
czenia, a w razie potrzeby przepisywanie pakietów i otwieranie tymczasowych szczelin
w firewallu w celu wpuszczenia po cze zwrotnych.
I tu w a nie tkwi kolejny problem, po raz pierwszy zauwa ony kilka lat temu w pomocniku
FTP przez Mikaela Olssona [5], a pó niej badany równie dla innych pomocników,
mi dzy innymi przez autora tej ksi ki [6]. Problem polega na tym, e pomocnicy
204 Cz III D ungla
podejmuj decyzje o otwarciu szczeliny w firewallu na podstawie informacji przesy-
anych od stacji roboczej do serwera zgodnie z okre lonym protoko em. Automatycz-
nie zak adaj te , e dane wysy ane przez system s transmitowane w imieniu u yt-
kownika i za jego wiedz . Nie musz chyba mówi , e niektóre programy # na
przyk ad przegl darki internetowe # mo na podst pem zmusi do wysy ania okre-
lonych rodzajów danych, w tym nawet informacji !wygl daj cych" na protokó nie-
obs ugiwany przez program, a odpowiednie spreparowanie takich danych i przes anie [ Pobierz całość w formacie PDF ]