Резюме

Насправді правильно конфігурований брандмауер виявляється надзвичайно добре захищеним. Проте при використанні засобів збору інформації, таких як утиліти traceroute, hping і nmap, зломщики можуть досліджувати потенційні шляхи проходження маршрутизатора і брандмауера, а також визначити їх тип (або як мінімум зробити із цього приводу певні припущення). Більшість з відомих в даний час вад пов'язана з неправильним налаштуванням брандмауера або недостатньою увагою до його адміністрування. Використання зломщиком будь-якого з них може привести до справжньої катастрофи.
Крім того, в обох типах брандмауерів є свої власні специфічні вади, зокрема можливість використання служб Web, telnet і локальній реєстрації. Для запобігання більшості з розглянутих слабких місць можна скористатися певними контрзаходами, проте в деяких випадках можливо лише їх виявлення.
Багато хто вважає, що в майбутньому неминуче відбудеться злиття обох технологій — програмних посередників і брандмауерів з фільтрацією пакетів, — що дозволить обмежити кількість помилок, що виникають при їх конфігурації в даний час. Підсистема протидії також стане складовою частиною брандмауерів нового покоління. Компанія NAI вже реалізувала свою архітектуру такої підсистеми — Active Security. Після виявлення вторгнення вона дозволяє автоматично ініціювати зумовлені зміни конфігурації сервера, що піддався атаці. Наприклад, якщо системою виявлення вторгнень виявлене туннелірованіє пакетів ICMP, то вона може направити брандмауеру повідомлення про необхідність ігнорування запитів ECHO. Проте в такому сценарії як і раніше залишається місце для атак DOS, так що співробітникам служби безпеці не варто забувати про це.