Основы информационной безопасности: Что такое порт? (И почему его нужно блокировать?)
В строительстве или машиностроении термин "брандмауэр" используется в своем первоначальном значении: противопожарная стена. Это слово ассоциируется с чем-то непроницаемым, таким как лист стали или кирпичная стена. Однако в области компьютерных сетей термин "брандмауэр" означает как раз нечто проницаемое.
Как сито, через которое шеф-повар процеживает суп, брандмауэр задерживает все "кости" (нежелательные компоненты) и пропускает "бульон" (полезные компоненты) — по крайней мере, в теории.
Но откуда брандмауэр узнает, какие компоненты вредные, а какие нужные? Как он определяет, предназначен ли пакет данных для атаки или он содержит информацию, которую вы с нетерпением ждете?
Брандмауэр не способен самостоятельно принимать такие решения.
Он лишь следует набору определяемых пользователем правил, которые часто называют политикой. Именно вы делите сетевой трафик на категории "хороший" и "плохой".
Читая это, вы, возможно, пожалуетесь: "Ах, так! Предполагалось, что это устройство должно решить проблемы с безопасностью моей сети! А теперь оно ждет, пока я скажу ему, что делать!
Зачем это мне?" Что ж, механизм, используемый брандмауэром для разрешения или запрета сетевого трафика, основан на портах и службах. Итак, прежде чем приступить к управлению брандмауэром, желательно получить хотя бы поверхностное представление о принципах функционирования портов и их назначении.
Эти знания послужат стартовой точкой для определения, какой интернет-трафик, проходящий через брандмауэр, нужно разрешить, а какой — запретить. Поскольку для подключения вашей системы к Интернету служит всего один провод, как сеть отличает потоковое видео от веб-страницы и электронное сообщение от звукового файла?
Ответить сложно, но частично решением этой задачи мы обязаны гениальным компьютерщикам (а именно изобретателям интернет-протокола, или IP), которые придумали службы и порты. Что такое службы? Вот пять наиболее распространенных интернет-служб. • Доступ к всемирной паутине (с использованием протокола передачи гипертекста, или HTTP) • Электронная почта (с использованием простого протокола пересылки почты, или SMTP) • Передача файлов (с использованием протокола передачи файлов, или FTP) • Преобразование имени узла в интернет-адрес (с использованием службы доменных имен, или DNS) • Доступ к удаленному терминалу (Telnet, или правильнее Secure Shell — безопасный командный процессор) Чтобы системы могли выбрать способ обработки поступающих в них данных, компьютерщики изобрели порты. Под термином "порт" может пониматься физический разъем в устройстве, к которому что-либо подключается (например, последовательный или параллельный порт). Но применительно к IP-службам "порты" не являются физическими. Порты подобны игре "Давай притворимся" с четкой структурой (компьютерщики используют термин логический конструкт), условия которой принимают пользователи Интернета, если они хотят взаимодействовать друг с другом. Порты выполняют свою функцию просто потому, что первые пользователи Интернета договорились относительно принципов их работы. Если это кажется слишком абстрактным, вспомните, что деньги работают так же. Почему зеленое изображение Бенджамина Франклина соответствует ста долларам США? Потому что все мы договорились об этом. Почему работают порты? Потому что все мы этого хотим. Итак, какой-то компьютерщик самовольно заявил внушительным тоном: "Когда мы передаем данные в другие системы и адресуем их на порт номер 25, будем считать, что эти данные являются данными SMTP и должны обрабатываться как электронная почта". Другой компьютерщик так же ответил: "Давайте запишем это. А когда мы адресуем передаваемые данные на воображаемый порт номер 80, пусть эта информация обрабатывается как данные HTTP, так что мы получим веб-страницы". И все остальные компьютерщики подхватили: "Пусть будет так". Хорошо, все было, конечно, не так просто. На самом деле решение принимали многочисленные скучные комиссии, которые десятилетиями перебирали разные варианты и записывали их в виде нудных рабочих предложений (RFC). Однако хотя моя версия проигрывает в точности, зато она выигрывает в краткости. На мой взгляд, порт — это искусственная, или логическая конечная точка соединения и порты обеспечивают в Интернете обработку множества приложений с использованием одних и тех же кабелей. Система определяет способ обработки поступающих данных частично по номеру порта, на который адресованы данные. Бармен, еще по одному порту каждому! Поскольку наиболее часто используются пять интернет-служб, компьютерщики придумали 20 или 30 портов (чтобы оставить резерв для будущих технологий) и назвали их эпохой. Но несомненно, что специалисты слишком увлеклись добавлением новых портов, поскольку сегодня RFC 1700 и текущая база данных Комитета по цифровым адресам в Интернете (IANA) содержат определения не менее 1 023 IP-портов, которые считаются "стандартными портами". И эти порты — лишь часть огромного множества из 65 535 портов. Для чего же нужны все эти порты? Ответьте на этот вопрос сами, ознакомившись с формальным списком IANA. Но вот главная идея: физически мы по-прежнему имеем дело с кабелем, протянутым от поставщика услуг Интернета к вашему компьютеру. IANA может указать формальное назначение портов, заданное компьютерщиками, но ничто не помешает кому-либо использовать любой порт для выполнения любых действий. Например, трафик HTTP (веб-страницы и HTML) условно использует порт 80. Но если я захочу отправить данные HTTP на ваш порт 8080 или 8888 просто ради эксперимента, я смогу сделать это. Фактически, если мы с вами договоримся использовать порт 8080 для трафика HTTP в любом направлении и настроим соответствующим образом наши системы, такая конфигурация будет работать. В этом и заключается преимущество для компьютерных пиратов, злобно усмехающихся, довольно потирающих руки и намеревающихся взломать вашу систему. Порты работают либо в режиме разрешения (открытом), либо в режиме запрета (закрытом, заблокированном). Если почтовый сервер готов принимать трафик SMTP, то говорят, что он "прослушивает порт 25". Это означает, что порт 25 открыт. Главная причина размещения брандмауэра между Интернетом и вашей системой — необходимость помешать посто