W jaki sposób atakowano twój firewall?

Czy twój firewall pracuje poprawnie? Czy twój firewall zapewnia usługi potrzebne użytkownikom? Aby odpowiedzieć na te pytania, będziesz musiał dobrze poznać codzienne działanie twojego firewalla.

Wyspecjalizowane urządzenia monitorujące Większość zadań związanych z monitorowaniem można wykonać za pomocą narzędzi i dzienników przechowywanych w istniejących elementach firewalla, ale zapewne przydadzą ci się także wyspecjalizowane urządzenia monitorujące. Możesz na przykład umieścić stację monitorującą w sieci peryferyjnej, aby mieć pewność, że przez tę sieć przechodzą tylko oczekiwane pakiety. Możesz użyć w tym celu komputera ogólnego przeznaczenia z oprogramowaniem do podsłuchu albo wyspecjalizowanego sniffera sieciowego.

Jak się upewnić, że stacja monitorująca nie zostanie wykorzystana przez napastnika? Prawdę mówiąc, byłoby najlepiej, gdyby napastnik w ogóle nie mógł jej wykryć. W niektórych kartach sieciowych można wyłączyć nadawanie (dysponując odpowiednią wiedzą i przecinakiem do przewodów), co uniemożliwi wykrycie maszyny i ogromnie utrudni napastnikowi jej użycie (ponieważ nie będzie zdolna do odpowiedzi). Jeśli masz kod źródłowy swojego systemu operacyjnego, możesz również wyłączyć nadawanie w kodzie w takim wypadku jednak dużo trudniej o pewność, że ci się udało. Zwykle będziesz musiał polegać na bardzo uważnym skonfigurowaniu komputera. Traktuj go jak host bastionowy, który ma mniej zadań i musi być jeszcze lepiej zabezpieczony.