ню буфера. Даний підхід орієнтований безпосередньо на розробників програмного забезпечення і не є інструментом кінцевого користувача або системного адміністратора.
. Використання нездійсненних буферів. Суть методу полягає в заборону виконання коду в сегментах даних і стека, тобто параметри сегментів даних і стека містять тільки атрибути запису і читання, але не виконання. Однак обмеження на виконання даних призводить до проблеми несумісності. Виконуваний стек необхідний для роботи багатьом програмам, оскільки на його основі генерується код компіляторами, реалізуються системні функції операційних систем, реалізується автоматична генерація коду. Захист з використанням нездійсненних буферів запобіжить тільки атаки з впровадженням коду, але не допоможе при інших видах атак.
. Застосування перевірок виходу за кордону. В основі цього методу лежить виконання перевірок виходу за межі змінної при кожному зверненні до неї. Це запобігає всі можливі атаки по переповненню буфера, оскільки повністю виключає саме переповнення. Однак, у цього рішення є істотний недолік - значне (до 30 разів) зниження продуктивності програми.
. Міжмережевий екран, мережевий екран, файервол, брандмауер - комплекс апаратних або програмних засобів, здійснює контроль і фільтрацію проходять через нього мережевих пакетів відповідно до заданих правил.
. Основним завданням мережевого екрану є захист комп'ютерних мереж або окремих вузлів від несанкціонованого доступу. Також мережеві екрани часто називають фільтрами, так як їх основне завдання - не пропускати (фільтрувати) пакети, що не підходять під критерії, визначені в конфігурації.
. Деякі мережеві екрани також дозволяють здійснювати трансляцію адрес - динамічну заміну внутрішньомережевих (сірих) адрес або портів на зовнішні, використовувані за межами ЛВС
Різновиди мережевих екранів
Підтримуваний рівень мережевої моделі OSI є основною характеристикою при класифікації міжмережевих екранів. Розрізняють такі типи міжмережевих екранів:
. Керовані комутатори (канальний рівень).
. Мережеві фільтри мережного рівня (stateless). Фільтрація статична, здійснюється шляхом аналізу IP-адреси джерела і приймача, протоколу, портів відправника і одержувача.
. Шлюзи сеансового рівня (circuit-level proxy). У мережній моделі TCP/IP немає рівня, однозначно відповідного сеансовому рівню OSI, тому до шлюзів сеансового рівня відносять фільтри, які неможливо ототожнити ні з мережевим, ні з транспортним, ні з прикладним рівнем: Шлюзи, що транслюють адреси (NAT, PAT) або мережеві протоколи (транслює міст); Фільтри контролю стану каналу. До фільтрів контролю стану каналу зв'язку нерідко відносять мережеві фільтри мережного рівня з розширеними можливостями (stateful), які додатково аналізують заголовки пакетів і вміють фільтрувати фрагментовані пакети); Шлюзи сеансового рівня. Найбільш відомим і популярним шлюзом сеансового рівня є посередник SOCKS;
. Шлюз прикладного рівня (application-level proxy), часто звані проксі-серверами. Діляться на прозорі (transparent) і непрозорі (solid).
. Брандмауер SPI (Stateful Packet Inspection, SPI), чи інакше брандмауери з динамічною фільтрацією пакетів (Dynamic Packet Filtering), є по суті шлюзами сеансового рівня з розширеними можливостями. Інспектори стану оперують на сеансовому рівні, але «розуміють» протоколи прикладного та мережевого рівнів. На відміну від шлюзу прикладного рівня, що відкриває два віртуальні каналу TCP (один - для клієнта, інший - для сервера) для кожного з'єднання, інспектор стану не перешкоджає організації прямого з'єднання між клієнтом і сервером.
Існує також поняття «міжмережевий екран експертного рівня». Мережевий екран даного типу базуються на посередниках прикладного рівня або інспекторів стану, але обов'язково комплектуються шлюзами сеансового рівня і мережевими фільтрами, іноді розуміючи і мережевий рівень. Найчастіше мають систему протоколювання подій та оповіщення адміністраторів, засоби підтримки віддалених користувачів (наприклад авторизація), засоби побудови віртуальних приватних мереж і т. Д. До нього відносяться майже всі наявні на ринку брандмауери.
Типові можливості
фільтрація доступу до свідомо незахищеним службам;
перешкоджання отриманню закритої інформації із захищеної підмережі, а також впровадженню в захищену підмережу помилкових даних за допомогою вразливих служб;
контроль доступу до вузлів мережі;
може реєструвати всі спроби доступу як ззовні, так і з внутрішньої мережі, що дозволяє вести облік використання доступу до Інтернету окремими вузлами мережі...
