Більшість корпоративних мереж огороджене по периметру демократично налаштованими брандмауерами, що захищають користувачів від самих себе і відлякують початківців хакерів. Між тим, для досвідченого злодія навіть якісний і грамотно налаштований брандмауер не перешкода.

Брандмауер (він же фаєрвол) в загальному випадку являє собою сукупність систем, що забезпечують належний рівень розмежування доступу, що досягається шляхом управління проходять трафіком за більш або менш гнучкого набору критеріїв (правил поведінки). Коротше кажучи, брандмауер пропускає тільки ту частину трафіку, яка явно дозволена адміністратором і блокує все інше.

На ринку домінують два типи брандмауерів пакетні фільтри, які також називаються шлюзами фільтрації пакетів (packet filter gateway), і програмні проксі (application proxy). Прикладом першого типу є Firewall від компанії Check Point, а другого Microsoft Proxy Server.

Пакетні фільтри повністю прозорі для користувачів і дуже продуктивні, проте недостатньо надійні. Фактично вони являють собою різновид маршрутизаторів, що приймають пакети як ззовні, так і зсередини мережі, і вирішують, як з ними вчинити пропустити далі або знищити, при необхідності повідомивши про відправника, що його пакет здох. Більшість брандмауерів цього типу працює на IP-рівні, причому повнота підтримки IP-протоколу і якість фільтрації залишають бажати кращого, тому атакуючий може легко їх обдурити. На домашніх комп’ютерах такі брандмауери ще мають сенс, але при наявності навіть плохенького маршрутизатора вони лише здорожують систему, нічого не даючи взамін, так як ті ж самі правила фільтрації пакетів можна поставити і на маршрутизаторі!

Програмні проксі являють собою звичайні проксі-сервера, прослуховуючі задані порти (наприклад, 25, 110, 80) і підтримують взаємодію з заздалегідь обумовленим переліком мережевих сервісів. На відміну від фільтрів, передавальних IP-пакети «як є», проксі самостійно збирають TCP-пакети, выкусывают з них користувальницькі дані, наклеюють на них новий заголовок і знову розбирають отриманий пакет IP, при необхідності здійснюючи трансляцію адрес. Якщо брандмауер не містить помилок, обдурити його на мережевому рівні вже не вдасться; до того ж, він приховує від атакуючого структуру внутрішньої мережі зовні залишається лише брандмауер. А для досягнення найвищої захищеності адміністратор може організувати на брандмауері додаткові процедури авторизації і аутентифікації, «набрасывающиеся» на супротивника ще на дальніх рубежах оборони. Це були гідності. Що ж стосується недоліків, то програмні проксі обмежують користувачів у виборі додатків. Вони працюють набагато повільніше пакетних фільтрів і здорово знижують продуктивність (особливо на найшвидших каналах).

Брандмауери обох типів зазвичай включають в себе більш або менш урізану версію системи визначення вторгнень (Intruder Detection System, IDS), яка аналізує характер мережевих запитів і выявляющую потенційно небезпечні дії — звернення до неіснуючих портів (характерно для сканування), пакети з TTL, рівним одиниці, (характерно для трасування) і т. д. Все це істотно ускладнює атаку, і хакерові доводиться діяти дуже обережно, оскільки будь-який невірний крок тут же видасть його з поторохами. Однак інтелектуальність інтегрованих систем розпізнавання достатня невелика, і більшість поважаючих себе адміністраторів перекладає цю задачу на плечі спеціалізованих пакетів, таких, як Real Secure Internet Security System.

В залежності від конфігурації мережі брандмауер може бути встановлений на виділений комп’ютер або може ділити системні ресурси з ким-небудь ще. Персональні брандмауери, широко поширені в світі Windows, в переважній більшості випадків встановлюються безпосередньо на сам захистити комп’ютер. Якщо цей пакетний фільтр реалізований без помилок, то захищеність системи нітрохи не страждає і атакувати її так само складно, як і на виділений брандмауер. Локальні програмні проксі захищають комп’ютер лише від деяких типів атак (наприклад, блокують засилання троянів через IE), залишаючи систему повністю відкритою. В UNIX-like-системах пакетний фільтр присутнє спочатку, а у штатний комплект поставки входить велика кількість різноманітних проксі-серверів, тому купувати додаткове програмне забезпечення не потрібно.
Від чого захищає і від чого не захищає брандмауер

Пакетні фільтри в загальному випадку дозволяють закривати всі вхідні/вихідні TCP-порти, повністю або частково блокувати деякі протоколи (наприклад, ICMP), перешкоджати встановленню сполук з даними IP-адресами і т. д. Правильно сконфігурованого мережа повинна складатися щонайменше з двох зон: внутрішньої корпоративної мережі (corporative network), огородженій брандмауером і населеної робочими станціями, мережевими принтерами, intranet-серверами, серверами баз даних та іншими ресурсами подібного типу; а також демілітаризованої зони (demilitarized zone, або, скорочено, DMZ), в якій розташовані публічні сервери, доступні з інтернету. Брандмауер, налаштований на найбільш драконический рівень захищеності, повинен:
закривати всі порти, крім тих, що належать публічним мережевим службам (HTTP, FTP, SMTP і т. д.);
пакети, що приходять на заданий порт, відправляти тим і тільки тим сайтам, на яких встановлені відповідні служби (наприклад, WWW-сервер розташований на вузлі А, а FTP-сервер вузол B, то пакет, спрямований на 80 порт вузла B, повинен блокуватися брандмауером);
блокувати вхідні з’єднання із зовнішньої мережі, спрямовані в корпоративну мережу (правда, в цьому випадку користувачі мережі не зможуть працювати з зовнішніми FTP-серверами в активному режимі);
блокувати вихідні з’єднання з DMZ-зони, спрямовані у внутрішню мережу (виключаючи FTP – і DNS-сервера, яким вихідні з’єднання необхідні);
блокувати вхідні з’єднання з DMZ-зони, спрямовані у внутрішню мережу (якщо цього не зробити, то атакуючий, захопив управління одним з публічних серверів, безперешкодно проникає і в корпоративну мережу).
блокувати вхідні з’єднання в DMZ-зону з зовнішньої мережі по службовим протоколами, часто використовується для атаки (наприклад, ICMP; правда, повне блокування ICMP створює великі проблеми, зокрема, перестає працювати ping і стає неможливим автоматичне визначення найбільш імовірного MTU);
блокувати вхідні/вихідні з’єднання з портами і/або IP-адресами зовнішньої мережі, встановлених адміністратором.

Фактично роль брандмауера зводиться до огорожі корпоративної мережі від всяких цікавих, блукаючи по просторах інету. Тим не менш, міцність цього огородження тільки гадана. Якщо клієнт корпоративної мережі використовує вразливу версію браузера або клієнта електронної пошти, а велика частина програмного забезпечення вразлива!), атакуючому досить заманити його на троянизированную WEB-сторінку або послати йому листа з вірусом всередині, і через короткий час локальна мережа виявиться вражена. Навіть якщо вихідні з’єднання з корпоративної мережі заборонені, shell-код зможе скористатися вже встановленим TCP-з’єднання, через яке він був покинутий на атакований сайт, передаючи хакеру управління віддаленою системою.

Брандмауер може і сам бути об’єктом атаки, адже він, як і всяка складна програма, не обходиться без дірок і вразливостей. Дірки в брандмауерах виявляються практично кожен рік і далеко не відразу затикаються (особливо якщо брандмауер реалізований на «залізному» рівні). Забавно, але поганий брандмауер не тільки не збільшує, але навіть погіршує захищеність системи (в першу чергу це відноситься до персональних брандмауерів, популярність яких останнім часом надзвичайно висока).
Виявлення та ідентифікація брандмауера

Запорукою успішної атаки є своєчасне виявлення та ідентифікація брандмауера (або, в загальному випадку, IDS, але в контексті цієї статті ми будемо виходити з того, що вона поєднана з брандмауером).

Більшість брандмауерів відкидають пакети з закінченням TTL (Time To Live, час життя), блокуючи тим самим трасування маршруту, що викривають себе. Аналогічним чином діють і деякі маршрутизатори, проте, як вже говорилося вище, між маршрутизатором і пакетним фільтром немає принципової різниці.

Відстеження маршруту зазвичай здійснюється утилітою traceroute, підтримуючої трасування через протоколи ICMP і UDP, причому ICMP блокується набагато частіше. Вибравши сайт, свідомо захищений брандмауером (наприклад, www.intel.ru), спробуємо відстежити до нього маршрут командою traceroute I wwww.intel.ru.

$traceroute I wwww.intel.ru

Трасування маршруту до bouncer.glb.intel.com [198.175.98.50]

з максимальним числом стрибків 30:

1 1352 ms 150 ms 150 ms 62.183.0.180

2 140 ms 140 150 ms ms 62.183.0.220

3 140 ms 140 ms 130 ms 217.106.16.52

4 190 200 ms ms ms 191 aksai-bbn0-po2-2.rt-comm.ru [217.106.7.25]

5 190 ms ms 211 210 ms msk-bbn0-po1-3.rt-comm.ru [217.106.7.93]

6 190 200 ms ms ms 210 spb-bbn0-po8-1.rt-comm.ru [217.106.6.230]

7 190 ms 180 ms ms 201 stockholm-bgw0-po0-3-0-0.rt-comm.ru [217.106.7.30]

8 ms 180 191 ms ms 190 POS4-0.GW7.STK3.ALTER.NET [146.188.68.149]

9 190 ms 191 ms 190 ms 146.188.5.33

10 190 ms 190 ms 200 ms 146.188.11.230

11 311 ms 310 ms 311 ms 146.188.5.197

12 291 ms 310 ms ms 301 so-0-0-0.IL1.DCA6.ALTER.NET [146.188.13.33]

13 381 ms 370 ms 371 ms 152.63.1.137

14 371 ms 450 ms 451 ms 152.63.107.150

15 381 ms 451 ms 450 ms 152.63.107.105

16 370 ms 461 ms 451 ms 152.63.106.33

17 361 ms 380 ms 371 ms 157.130.180.186

18 370 ms 381 ms 441 ms 192.198.138.68

19 * * * Перевищено інтервал очікування для запиту.

20 * * * Перевищено інтервал очікування для запиту.

Дивись: трасування доходить до сайту 192.198.138.68, а потім помирає, що вказує або на брандмауер, або на недемократичний маршрутизатор. Трохи пізніше ми покажемо, як можна проникнути крізь нього, а поки виберемо для трасування інший вузол, наприклад, www.zenon.ru

$traceroute I www.zenon.ru

Трасування маршруту до distributed.zenon.net [195.2.91.103]

з максимальним числом стрибків 30:

1 2444 ms 1632 ms 1642 ms 62.183.0.180

2 1923 ms 1632 ms 1823 ms 62.183.0.220

3 1632 ms 1603 ms 1852 ms 217.106.16.52

4 1693 ms 1532 ms ms 1302 aksai-bbn0-po2-2.rt-comm.ru [217.106.7.25]

5 1642 ms 1603 ms 1642 ms 217.106.7.93

6 1562 ms 1853 ms ms 1762 msk-bgw1-ge0-3-0-0.rt-comm.ru [217.106.7.194]

7 1462 ms 411 ms ms 180 mow-b1-pos1-2.telia.net [213.248.99.89]

8 170 ms ms 180 160 ms mow-b2-geth2-0.telia.net [213.248.101.18]

9 160 160 ms ms 170 ms 213.248.78.178

10 160 ms 151 ms 180 ms 62.113.112.67

11 181 160 ms ms ms 170 css-rus2.zenon.net [195.2.91.103]

Трасування завершено.

На цей раз трасування проходить нормально. Виходить, що ніякого брандмауера навколо zenon’а немає? Дуже може бути, але для впевненої відповіді нам потрібна додаткова інформація. Вузол 195.2.91.193 належить мережі класу С (три старших біта IP-адреси дорівнюють 110), і, якщо ця мережа не захищена брандмауером, більшість її вузлів повинно відгукуватися на ping, що в даному випадку і відбувається. Сканування виявляє 65 відкритих адрес. Отже, або маршрутизатора тут немає, або він безперешкодно пропускає наш ping.

При бажанні можна спробувати просканувати порти, однак, по-перше, наявність відкритих портів ще ні про що не говорить (бути може, брандмауер блокує лише один порт, але самий потрібний, наприклад, захищає дірявий RPC від посягань ззовні), а, по-друге, при скануванні хакеру буде важко залишитися непоміченим. З іншого боку, порти сканують всі кому не лінь, і адміністратори вже давно не звертають на це уваги.

Утиліта nmap дозволяє виявляти деякі з них, встановлюючи статут порту во «фаєрволом». Таке відбувається всякий раз, коли у відповідь на SYN віддалений вузол повертає ICMP-пакет типу 3 з кодом 13 (Admin Prohibited Filter) з дійсним IP-адресою брандмауера в заголовку (nmap його не відображає; пиши власний сканер або, використовуючи будь-сніфер, самостійно проаналізуй повертається пакет). Якщо повернеться SYN/ACK сканований порт відритий. RST/ACK вказує на закритий або заблокований брандмауером порт. Не всі брандмауери генерують RST/ACK при спробі підключення до заблокованим портів (Check Point Firewall генерує), деякі відсилають ICMP-повідомлення, як було показано вище, або нічого не посилають взагалі.

Більшість брандмауерів підтримує віддалене керування через інтернет, відкриваючи один або кілька TCP-портів, унікальних для кожного брандмауера. Так, наприклад, Check Point Firewall відкриває 256, 257 і 258 порти, а Microsoft Proxy 1080. Деякі брандмауери явним чином повідомляють своє ім’я і версію програмного продукту при підключенні до них за netcat (або telnet), особливо цим грішать проксі-сервера. Послідовно опитуючи всі вузли, розташовані попереду досліджуваного хоста, на предмет прослуховування характерних для брандмауерів портів, ми в більшості випадків зможе не тільки виявити їх присутність, але і визначити IP-адресу! Зрозуміло, ці порти можуть бути закриті як на самому брандмауер (правда, не всі брандмауери це дозволяють), так і на попередньому йому маршрутизаторі (але тоді брандмауером буде не можна управляти через інтернет).
Сканування та трасування через брандмауер

Пряма трасування через брандмауер найчастіше виявляється неможливим (якому адміністратору приємно розкривати інтимні подробиці топології своїх мереж), і атакуючому доводиться вдаватися до всіляких хитрощів.

Утиліта Firewalk являє собою класичний трассер, посилає TCP – або UDP-пакети з таким розрахунком, щоб на вашому сайті, наступного безпосередньо за брандмауером, їх TTL звертався в нуль, змушуючи систему генерувати повідомлення ICMP_TIME_EXCEEDED. Завдяки цьому Firewalk впевнено працює навіть там, де штатні засоби вже не справляються, хоча міцно захищений брандмауер їй, звичайно, не пробити і атакуючому доводиться використовувати більш складні алгоритми.

Будемо виходити з того, що з кожним надісланих IP-пакетом система збільшує його ID на одиницю (як це найчастіше і трапляється). З іншого боку, згідно специфікації RFC-793, що описує TCP-протокол, кожен хост, який отримав сторонній пакет, який не відноситься до встановленим TCP-з’єднань, повинен реагувати на нього посилкою RST. Для реалізації атаки нам знадобиться віддалений вузол, не обробний в даний момент ніякого стороннього трафіку і генерує передбачувану послідовність ID. В хакерських колах такий вузол називається німим (dump). Виявити німий хост дуже просто достатньо лише надіслати йому серію IP-пакетів і проаналізувати ID, повернутий у заголовках. Запам’ятаємо (запишемо на папірець) ID останнього пакету. Потім виберемо жертву і відправимо їй SYN-пакет, зазначивши в зворотному адресу IP німого сайту. Атакується вузол, думаючи, що німий хост хоче встановити з ним TCP-з’єднання, відповість: SYN/ACK. Німий хост, зловивши сторонній SYN/ACK, поверне RST, збільшуючи свій лічильник ID на одиницю. Відправивши німого хосту ще один IP-пакет і проаналізувавши повернутий ID, ми зможемо дізнатися, чи посилав німий хост жертві RST-пакет чи ні. Якщо посилав, значить, атакується хост активний і підтверджує встановлення TCP-з’єднання на заданий порт. При бажанні хакер може просканувати всі його порти, не ризикуючи виявитися непоміченим, адже обчислити його IP практично неможливо сканування здійснюється «руками» німого вузла і з точки зору атакується виглядає як звичайне SYN-сканування.

Припустимо, що німий хост розташований всередині DMZ, а жертва знаходиться всередині корпоративної мережі. Тоді, відправивши німого хосту SYN-пакет від імені жертви, ми зможемо проникнути через брандмауер, оскільки він буде думати, що з ним встановлює з’єднання внутрішній хост, а сполуки цього типу в 99,9% випадках можна (якщо їх заборонити, користувачі корпоративної мережі не зможуть працювати зі своїми ж власними публічними серверами). Природно, всі маршрутизатори на шляху від хакера до німого хосту не повинні блокувати пакет з підробленим зворотною адресою, в іншому випадку пакет помре задовго до того, як дістанеться до місця призначення.

Утиліта hping як раз і реалізує сценарій сканування даного типу, що робить її основним знаряддям зловмисника для дослідження корпоративних мереж, огороджених брандмауером.

Як варіант, хакер може захопити один з вузлів, розташованих усередині DMZ, використовуючи їх як плацдарм для подальших атак.
Проникнення через брандмауер

Складання фрагментованих TCP-пакетів підтримують тільки самі якісні брандмауерів, а всі інші аналізують лише перший фрагмент, безперешкодно пропускаючи всі інші. Пославши сильно фрагментований TCP-пакет, «размазывающий» TCP-заголовок з декількома IP-пакетів, хакер приховає від брандмауера Acknowledgment Number і він не зможе визначити приналежність TCP-пакета до відповідної йому TCP-сесії (бути може, він відноситься до легального з’єднанню, встановленим корпоративним користувачем). Якщо тільки на брандмауері не активована опція «різати фрагментовані пакети», успіх хакерської операції гарантований. Блокування фрагментованих пакетів створює безліч проблем і перешкоджає нормальній роботі мережі. Теоретично можливо блокувати лише пакети з фрагментованим TCP заголовком, однак далеко не всякий брандмауер підтримує таку гнучку політику налаштування. Атаки даного типу, звані Tiny Fragment Attack, володіють надзвичайно потужною проникаючою здатністю і тому є улюбленим прийомом всіх хакерів.

Атаки з використанням внутрішньої маршрутизації (вона ж маршрутизація від джерела, або source routing) набагато менш актуальні, але ми їх розглянемо. Як відомо, протокол IP дозволяє включати в пакет інформацію про маршрутизації. При відправці IP-пакета жертві нав’язана хакером маршрутизація найчастіше ігнорується, і траєкторія переміщення пакета визначається виключно проміжними маршрутизаторами, але відповідні пакети повертаються за маршрутом, зворотного вказаною в IP-заголовку, що створює сприятливі умови для його підміни. Більш спрощений варіант атаки обмежується однією лише підміною IP-адреси відправника. Грамотно налаштовані маршрутизатори (і більшість клонів UNIX) блокують пакети з внутрішньої маршрутизацією. Пакети з підробленими IP-адресами становлять велику проблему, проте якісний брандмауер дозволяє відсівати і їх.

Таблиці маршрутизації можуть бути динамічно змінені посилкою повідомлення ICMP Redirect, що дозволяє (принаймні, теоретично) направити хакерський трафік в обхід брандмауера (див. також ARP – spoofing), втім, зараз такі безнадійно инсекьюрные системи практично вже не зустрічаються.
Втеча з-за брандмауера

Користувачі внутрішньої мережі, огородженій недемократичним брандмауером, серйозно обмежені в своїх можливостях. Про неможливість роботи з FTP-серверами в активному режимі ми вже говорили. Також можуть бути заборонені деякі протоколи і закриті необхідні тобі порти. У клінічних випадках адміністратори ведуть чорних списки IP-адрес, блокуючи доступ до сайтів «недоцільною» тематики.

Оскільки брандмауери розраховані на захист ззовні, а не зсередини, вирватися з-за їх катівень дуже просто, достатньо лише скористатися будь-яким підходящим проксі-сервером, що знаходяться у зовнішній мережі і ще не занесеним адміністратором у чорний список. Зокрема, популярний клієнт ICQ дозволяє обмінюватися повідомленнями не безпосередньо, а через сервер (не обов’язково сервер компанії-розробника). Існують тисячі серверів, що підтримують роботу ICQ. Одні існують в більш чи менш незмінному вигляді вже кілька років, інші динамічно то з’являються, то зникають. І якщо «довгожителів» ще реально занести в стоп-лист, то встежити за серверами-одноденками адміністратор просто не в змозі!

Також можна скористатися протоколом SSH (Secure Shell), спочатку спроектований для роботи через брандмауер і підтримує шифрування трафіку (на той випадок, якщо брандмауер надумає шукати в ньому «заборонені» слова типу «sex», «hack» тощо). SSH-протокол може працювати з будь-якого доступного порту, наприклад, 80, і тоді з точки зору брандмауера все буде виглядати як легальна робота з WEB-сервером. Між тим, SSH є лише фундаментом для інших протоколів, з яких в першу чергу хотілося б відзначити telnet, забезпечує взаємодію з віддаленими терміналами. Заплативши близько 20$ за хостинг будь-якого провайдера, ти отримаєш аккаунт, підтримує SSH і дозволяє встановлювати з’єднання з іншими вузлами мережі (безкоштовні хостинги цієї можливості найчастіше позбавлені або накладають на неї жорсткі обмеження).

Нарешті, можна скористатися стільниковою телефонією, прямим модемним підключенням та іншими комунікаційними засобами, що встановлюють з’єднання з провайдером, в обхід брандмауера.
Висновок

Технології побудови брандмауерів не стоять на місці, і фахівці з інформаційної безпеки не дрімають. З кожним днем хакерствовать стає все важче і важче, однак повністю хакерство не зникне ніколи. Адже на зміну заткнутим дірок приходять інші. Головне, не сидіти склавши руки, а творчо експериментувати з брандмауерами, вивчати стандарти і специфікації, вивчати дизассемблерные оголошень і шукати, шукати, шукати

Посилання по темі
Nmap

Популярний сканер портів, що дозволяє виявляти деякі типи брандмауерів. Безкоштовний. Вихідні тексти доступні. На сайті www.insecure.org/nmap море технічної інформації по проблемі.
FireWalk

Утиліта для трасування мережі через брандмауер, що працює на TCP/UDP-протоколи і заснована на TTL. Безкоштовна. www.packetfactory.net/firewalk. Перед використанням рекомендується ознайомитися з документацією www.packetfactory.net/firewalk/firewalk-final.pdf.
HPING

Утиліта, що реалізує сканування через німий хост. Потужна зброя для дослідження внутрішньої мережі, з-за брандмауером. Безкоштовна і добре документована. www.hping.org/papers.html.
SSH-клієнт

Secure Shell клієнт, який використовується користувачами внутрішньої мережі для подолання заборон і обмежень, накладених брандмауером. Безкоштовний. Поширюється разом з вихідними текстами. www.openssh.com.
FFAQ

Детальний FAQ по брандмауерів англійською мовою. www.interhack.net/pubs/fwfaq/firewalls-faq.pdf. Його російський переклад, не відрізняється особливою свіжістю, лежить на ln.com.ua/~openxs/articles/fwfaq.html.
Firewalls

Конспект лекцій з брандмауерів (англійською мовою) від тайванського професора Yeali S. Sun. www.im.ntu.edu.tw/~sunny/pdf/IS/Firewall.pdf
OpenNet

Величезний портал з мережевої безпеки, містить в тому числі і інформацію про дірки в популярних брандмауерах (російською та англійською мовами). www.opennet.ru

Брандмауери схильні великій кількості DoS-атак, таких, як ехо-шторм або SYN-flood, яким вони в принципі нездатні протистояти.

Брандмауер це маршрутизатор, проски-північ і система виявлення вторгнень в одному флаконі.

Брандмауери не захищають від атак, а лише захищають локальну мережу цегляним парканом, через який легко перелізти.

У більшості випадків крізь цегляну стіну брандмауера можна пробити ICMP-тунель, обернувши передані дані ICMP-заголовком.

Брандмауер можна атакувати не тільки ззовні, але і зсередини корпоративної мережі.

Різні брандмауери по-різному реагують на нестандартні TCP-пакети, дозволяючи ідентифікувати себе.

Брандмауери, відкривають 53 порт (DNS) не тільки на приймачі (наприклад, Check Point Firewall), але і на джерелі, дозволяють хакеру просканувати всю внутрішню мережу.

Уразливість програмних проксі в загальному випадку невелика, і в основному вони атакують через помилки переповнення буфера.

Деякі брандмауери схильні несанкціонованого перегляду файлів через порт 8010 і запити типу www.host.com::8010/c:/ або www.host.com::8010//.
Служба DCOM потребує широкому діапазоні відкритих портів, що істотно знижує ступінь захищеності системи, позбавляючи сенсу використання брандмауера.