Инструментальные средства обеспечения безопасности
       

Брандмауэры


Все эти инструментальные средства помогают удостовериться в правильности набора правил брандмауэра и производительности системы, находящейся под давлением. Например, вы могли бы запустить утилиту ISIC с высоким процентом недопустимых пакетов, чтобы создать повышенную нагрузку.

# isic -s 172.16.19.12 -d 192.168.0.1 -F75 -V75 -I75

Недопустимые пакеты предназначены для того, чтобы создать более тяжелую нагрузку на брандмауэр. Брандмауэры имеют тенденцию работать эффективно, когда трафик нормален. Как системный администратор, вы должны также беспокоиться о том, как брандмауэр действует в неблагоприятных условиях. Число 75 после опций -F, -V и -I означает, что у 75 % от всех пакетов будут ошибки в версии IP, длине заголовка и подсчете фрагментов. Хотя такая команда не является сигнатурой какой-либо специфической атаки, вызывающей отказ в обслуживании, но она может вызвать подобные эффекты.

Можно параллельно запустить tcpsic, чтобы проверить, как брандмауэр обрабатывает трафик к находящемуся за ним Web-хозяйству.

# tcpsic -s 172.16.19.23,3434 -d 192.168.0.37,80

Теоретически, брандмауэр должен просто сбрасывать недопустимый трафик и переходить к следующему пакету; однако вы можете обнаружить случаи, в которых брандмауэр тратит необычно много времени на определенный номер протокола, фрагмент или недопустимую опцию TCP. Конечно, атака на брандмауэр не является единственной возможностью. В таблице 17.2 показаны другие типы тестов, которые вы можете выполнить.

Таблица 17.2. Сценарии общих тестов

ТестСценарий
Нацелен на брандмауэрПосылайте трафик на IP-адрес брандмауэра или на один из его портов администрирования.
Подмена IP-адресовГенерируйте трафик на неподходящий интерфейс. Например, используйте адреса отправителя из адресного пространства 172.16.0.0/16 для интерфейса, который обслуживает сеть 10.1.2.0/24. Этот тест особенно полезен для брандмауэров с несколькими интерфейсами. Кроме того, он может обнаруживать проблемы с правилами брандмауэра, защищающими от обманов, или их отсутствие.
Нацелен на хосты позади брандмауэраПытайтесь передавать трафик через брандмауэр, чтобы посмотреть, останавливает ли он пакеты, сформированные с изъяном.
Внимание. Если вы генерируете пакеты опцией rand для IP-адреса отправителя в инструментах tcpsic или udpsic, то сервер получателя может ответить на эти IP-адреса при попытке завершить трехэтапное квитирование по TCP-протоколу! Имейте в виду, что вы можете неосторожно передать TCP-, RST- и FIN-пакеты на случайные адреса.

Другая полезная методика генерации пакетов для тестов на повышенную нагрузку состоит в использовании случайного заполнителя (rand placeholder) для IP-адреса отправителя. Любое из инструментальных средств комплекта ISIC генерирует случайные IP-адреса, если это указано, даже из резервного адресного пространства. Используйте эту программу, чтобы проверить, как брандмауэр обрабатывает DNS-трафик, включающий 50 % неправильных контрольных сумм UDP.

# udpsic -s rand -d 192.168.0.121,53 -U50



Содержание раздела