Jedna sesja na połączenie

Jeśli jedno połączenie obsługuje kilka sesji, to sytuacja nie jest wiele lepsza niż wtedy, gdy jedna sesja wymaga wielu połączeń. Jeśli połączenie służy tylko do jednego celu, firewall może przeprowadzić na początku testy bezpieczeństwa, zarejestrować połączenie w dzienniku, a następnie zignorować pozostałą część transakcji. Jeśli połączenie jest używane do wielu różnych celów, firewall musi je stale nadzorować.

Przydzielone porty. Dla firewalla byłoby najlepiej, gdyby każdy protokół miał swój własny numer portu. Oczywiście, ułatwiłoby to zadanie filtrom pakietów, które mogłyby niezawodnie identyfikować protokół na podstawie używanego przez niego portu, ale uprościłoby także działanie serwerów proxy. Serwer proxy musi w jakiś sposób przejąć połączenie, co byłoby prostsze, gdyby protokół używał stałego numeru portu, który można by łatwo przekierować do serwera proxy. Jeśli protokół używa numeru portu wybieranego w czasie konfiguracji, numer ten trzeba skonfigurować również w serwerze proxy albo filtrze pakietów. Jeśli protokół używa portu negocjowanego lub przydzielanego dynamicznie jak w protokołach opartych na RPC, firewall musi przechwytywać i interpretować negocjacje lub wyszukiwanie portów (więcej informacji o RPC znajdziesz w rozdziale 14, „Protokoły pośrednie”).

Ponadto, protokół z własnym numerem portu jest korzystny z punktu widzenia bezpieczeństwa. Zawsze istnieje pokusa, aby dodać nowe warstwy do istniejącego protokołu, który jest już obsługiwany przez firewall dzięki temu nie trzeba

zmieniać konfiguracji firewalla. Kiedy jednak tworzysz nowe warstwy protokołów, zmieniasz charakterystykę bezpieczeństwa firewalla, bez względu na to, czy zmieniasz jego konfigurację, czy też nie. Nie da się przepuścić nowego protokołu bez wystawiania się na ryzyko związane z tym protokołem ukrycie go w innym protokole nie sprawi, że stanie się on bezpieczniejszy, tylko utrudni jego kontrolowanie.

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>