FTP

FTP, w przeciwieństwie do Telnetu, nie może być obsługiwane przez zwykły filtr pakietów. Ponieważ w zwykłym trybie FTP występują przychodzące połączenia z dowolnymi portami powyżej 123, przepuszczenie takiego ruchu bez żadnych dodatkowych środków bezpieczeństwa dałoby napastnikom dostęp do wielu usług działających w wewnętrznych komputerach. Mamy zatem dwie możliwości:

stosowanie trybu pasywnego, z użyciem filtrowania pakietów stosowanie trybu zwykłego, z używaniem serwerów proxy. W obu tych przypadkach standardowe klienty dostarczane z Uniksem (i większość popularnych, publicznie dostępnych klientów dla komputerów osobistych) nie będą działać w zwykły sposób. Jeśli użyjemy bramki pośredniczącej ftpgiu z TIS FWTK (opisanej w rozdziale 9, „Systemy pośredniczące”), możemy używać standardowych klientów, ale musimy nauczyć użytkowników posługiwania się specjalnymi procedurami. Niektóre popularne klienty FTP wbudowane w przeglądarki WWW takie jak Netscape Navigator i Internet Explorer używają trybu pasywnego bez żadnych modyfikacji, ale z kolei nie wszystkie serwery obsługują ten tryb.

Rozsądnym kompromisem byłoby użycie zarówno filtrowania pakietów, jak i serwerów proxy, z wykorzystaniem bramki pośredniczącej w rodzaju ftpgw z TIS FWTK, która nie wymaga modyfikowania klientów. Klienty, które obsługują tryb pasywny, będą korzystały z filtrowania pakietów. We wszystkich systemach, w których łatwo da się zastąpić oryginalne klienty, możemy użyć klientów działających w trybie pasywnym, a w systemach, w których byłoby to trudne, korzystać ze zmodyfikowanych procedur użytkownika.

Jak już powiedzieliśmy, chcąc monitorować użycie FTP, musielibyśmy używać wyłącznie pośredniczenia, ale w naszym przypadku to niepotrzebne. Korzystając z nieprzydzielonych lub nietrasowanych numerów sieci, musielibyśmy używać albo pośredniczenia, albo translacji adresów sieciowych. Chcąc ukryć dane DNS, moglibyśmy używać wyłącznie pośredniczenia nie trzeba wówczas fabrykować danych na potrzeby wyszukiwań podwójnie odwrotnych, ponieważ korzysta się z opublikowanego adresu z ogłaszanym odwzorowaniem odwrotnym. Ukrywanie danych DNS jest jednak dość skomplikowane i niewarte zachodu. Używając wyłącznie pośredniczenia, musielibyśmy się ponownie zastanowić nad wyborem serwera proxy. Ten, który wybraliśmy, wymaga zmodyfikowania procedur użytkownika, co jest sensowne w omawianej konfiguracji, ponieważ nie ma żadnych innych opcji. Sytuacja mogłaby wyglądać inaczej, gdyby wszyscy używali pośredniczenia.