Meniul
AcasăInternet

Firewall. Firewall-uri. Metode de organizare a protecției

Firewall-urile sunt sisteme software speciale de protecție (firewall-uri) care împiedică accesul neautorizat și, de asemenea, creează o barieră atât pentru un computer individual, cât și pentru întreaga rețea locală de la pătrunderea celor rău intenționate.Pe baza scopului lor principal - să nu permită pachetele suspecte, astfel de programe au a primit un alt nume - filtre. Astăzi, cei mai cunoscuți producători de firewall-uri de securitate sunt următorii: ZyXEL, Firewall, TrustPort Total Protection, ZoneAlarm, D-Link, Secure Computing, Watchguard Technologies.

Configurarea firewall-urilor

Firewall-urile sunt configurate manual, ceea ce oferă posibilitatea de a configura o protecție detaliată. Una dintre cele mai importante caracteristici este configurarea unui antivirus direct pe portul USB. Prin setarea setărilor necesare, puteți utiliza un astfel de program pentru a crea un control complet asupra intrării și ieșirii în rețeaua locală și pe fiecare dispozitiv electronic din cadrul acesteia.

Prin configurarea manuală a unui ecran de protecție pe unul dintre computerele din rețea, puteți transfera rapid setările gata făcute către alte unități de rețea. În plus, funcționarea sincronă este asigurată chiar și cu o conexiune la rețea wireless. Setarea parametrilor de firewall necesari durează ceva timp, dar dacă îl neglijezi, restricțiile de protecție pot bloca unele servicii necesare funcționării.

Funcții suplimentare de filtru de rețea

Există firewall-uri care pot fi configurate pentru a oferi protecție suplimentară pentru serviciile și aplicațiile individuale. De exemplu, pentru a preveni piratarea „controlului parental” sau pentru a instala „anti-spam”. Configurarea accesului la Internet și a drepturilor de operare într-o rețea locală închisă pentru fiecare program și aplicație poate fi determinată separat. Firewall-ul vă permite să controlați accesul la site-uri, să monitorizați scanarea gateway-urilor și să filtrați conținutul Web. De asemenea, este capabil să blocheze accesul de la adrese IP suspecte și să notifice atacurile sau încercările de sondare.

Tipuri de firewall-uri

Firewall-urile sunt împărțite în următoarele tipuri:

Un firewall tradițional care asigură filtrarea accesului pentru trimiterea și primirea pachetelor;

Un firewall de sesiune care monitorizează sesiunile individuale dintre aplicațiile instalate, asigurând blocarea în timp util a accesului la pachetele necertificate, care sunt de obicei folosite pentru hacking, scanarea datelor confidențiale etc.;

Firewall analitic care efectuează filtrarea pe baza analizei informațiilor interne ale pachetelor cu blocarea ulterioară a troienilor identificați;

Un firewall hardware echipat cu un accelerator încorporat care permite prevenirea simultană a intruziunilor (IPS), scanarea antivirus, prevenirea utilizatorilor într-o rețea privată și anonimatul VPN, precum și o performanță mai eficientă a firewall-ului.

Masuri de precautie

Pentru a garanta securitate de înaltă calitate și de încredere împotriva intruziunilor neautorizate și a hackingului, este necesar să instalați numai un firewall certificat pe nodurile de rețea. În prezent, actele legislative ale Federației Ruse prevăd certificarea de către FSTEC, Gazpromsert și FSB. De exemplu, certifică că acest filtru firewall îndeplinește toate cerințele stabilite în prima parte a documentului Comisiei Tehnice de Stat a Rusiei. Și certificatele FSB arată că sistemul de programe de protecție respectă Gosstandartul rus în ceea ce privește cerințele pentru asigurarea securității și confidențialității informațiilor.

14.9. Firewall-uri

Interesul pentru firewall-uri (firewall) din partea persoanelor conectate la Internet este în creștere și au apărut chiar și aplicații pentru rețeaua locală care oferă un nivel sporit de securitate. În această secțiune sperăm să subliniem ce sunt firewall-urile, cum să le folosim și cum să profităm de capacitățile oferite de kernel-ul FreeBSD pentru a le implementa.

14.9.1. Ce este un firewall?

Există două tipuri clar distincte de firewall-uri utilizate în fiecare zi pe internetul modern. Primul tip este mai corect numit router de filtrare a pachetelor . Acest tip de firewall rulează pe o mașină conectată la mai multe rețele și aplică un set de reguli fiecărui pachet care determină dacă pachetul este redirecționat sau blocat. Al doilea tip, cunoscut ca server proxy , este implementat ca demoni care efectuează autentificarea și redirecționarea pachetelor, eventual pe o mașină cu mai multe conexiuni la rețea unde redirecționarea pachetelor este dezactivată în nucleu.

Uneori, aceste două tipuri de firewall-uri sunt utilizate împreună, astfel încât doar o anumită mașină (cunoscută ca gazdă bastion ) are voie să trimită pachete prin routerul de filtrare către rețeaua internă. Serviciile proxy rulează pe o gazdă securizată, care este de obicei mai sigură decât mecanismele obișnuite de autentificare.

FreeBSD vine cu un pachet de filtre (cunoscut sub numele de IPFW) încorporat în nucleu, care va fi punctul central al restului acestei secțiuni. Serverele proxy pot fi construite pe FreeBSD din software terță parte, dar sunt prea multe dintre ele pentru a fi acoperite în această secțiune.

14.9.1.1. Routere cu filtrare de pachete

Un router este o mașină care transmite pachete între două sau mai multe rețele. Un router de filtrare a pachetelor este programat să compare fiecare pachet cu o listă de reguli înainte de a decide dacă să-l redirecționeze sau nu. Majoritatea software-ului modern de rutare are capabilități de filtrare și, implicit, toate pachetele sunt redirecționate. Pentru a activa filtrele, va trebui să definiți un set de reguli.

Pentru a determina dacă un pachet trebuie să fie permis, firewall-ul caută un set de reguli care se potrivesc cu conținutul antetelor pachetului. Odată ce este găsită o potrivire, acțiunea atribuită acelei reguli este executată. Acțiunea poate fi să aruncați pachetul, să redirecționați pachetul sau chiar să trimiteți un mesaj ICMP la adresa sursă. Doar primul meci este luat în considerare deoarece regulile sunt privite într-o anumită ordine. Prin urmare, o listă de reguli poate fi numită „lanț de reguli” » .

Criteriile de selecție a pachetului depind de software-ul pe care îl utilizați, dar de obicei puteți defini reguli bazate pe adresa IP sursă a pachetului, adresa IP destinație, numărul portului sursă al pachetului, numărul portului de destinație (pentru protocoalele care acceptă porturi), sau chiar tipul pachetului (UDP, TCP, ICMP etc.).

14.9.1.2. Servere proxy

Serverele proxy sunt computere pe care daemoni de sistem obișnuiți ( telnetd, ftpd, etc.) sunt înlocuite cu servere speciale. Aceste servere sunt numite servere proxy , deoarece de obicei funcționează numai cu conexiuni de intrare. Acest lucru vă permite să rulați (de exemplu) telnet server proxy pe firewall și face posibilă conectarea folosind telnet la firewall, trecând mecanismul de autentificare și obținerea accesului la rețeaua internă (în mod similar, serverele proxy pot fi folosite pentru a accesa rețeaua externă).

Serverele proxy sunt de obicei mai bine protejate decât alte servere și au adesea o gamă mai largă de mecanisme de autentificare, inclusiv sisteme de parole unice, astfel încât, chiar dacă cineva știe ce parolă ați folosit, nu o va putea folosi pentru a obține acces la sistem.deoarece parola expiră imediat după prima utilizare. Deoarece parola nu oferă direct acces la computerul pe care se află serverul proxy, devine mult mai dificil să faceți backdoorul sistemului.

Serverele proxy au de obicei o modalitate de a restricționa și mai mult accesul, astfel încât doar anumite gazde să poată accesa serverele. Majoritatea permit, de asemenea, administratorului să specifice ce utilizatori și computere pot accesa. Din nou, opțiunile disponibile depind în principal de software-ul utilizat.

14.9.2. Ce vă permite IPFW să faceți?

Software-ul IPFW livrat cu FreeBSD este un sistem de filtrare și contabilitate a pachetelor situat în nucleu și echipat cu un utilitar de configurare a utilizatorului, ipfw (8). Împreună, acestea vă permit să definiți și să vizualizați regulile utilizate de nucleu pentru rutare.

IPFW constă din două părți înrudite. Firewall-ul filtrează pachetele. Partea de contabilitate a pachetelor IP urmărește utilizarea routerului pe baza unor reguli similare cu cele utilizate în partea firewall. Acest lucru permite administratorului să determine, de exemplu, cantitatea de trafic pe care o primește un router de la un anumit computer sau cantitatea de trafic WWW pe care o redirecționează.

Datorită modului în care este implementat IPFW, îl puteți utiliza pe computere non-router pentru a filtra conexiunile de intrare și de ieșire. Acesta este un caz special de utilizare mai generală a IPFW și aceleași comenzi și tehnici sunt utilizate în această situație.

14.9.3. Activarea IPFW pe FreeBSD

Deoarece cea mai mare parte a sistemului IPFW se află în nucleu, va trebui să adăugați unul sau mai mulți parametri la fișierul de configurare a nucleului, în funcție de capabilitățile necesare, și să reconstruiți nucleul. Consultați capitolul despre reconstruirea nucleului (Capitolul 8) pentru o descriere detaliată a acestei proceduri.

Atenţie: Regula IPFW implicită este refuza IP de la orice la orice. Dacă nu adăugați alte reguli în momentul pornirii pentru a permite accesul, atunci blocați accesul la un server cu un firewall activat în nucleu după o repornire. Vă sugerăm să specificați firewall_type=open în fișierul /etc/rc.conf la adăugarea inițială a paravanului de protecție și apoi după testarea funcționalității acestuia, editarea regulilor din fișierul /etc/rc.firewall. O precauție suplimentară poate fi configurarea inițială a firewall-ului de pe consola locală, în loc să vă conectați ssh. În plus, este posibil să construiți nucleul cu parametrii IPFIREWALL și IPFIREWALL_DEFAULT_TO_ACCEPT. În acest caz, regula IPFW implicită va fi modificată pentru a permite ip de la oricare la oricare, ceea ce va preveni posibila blocare.

Există patru opțiuni de configurare a nucleului legate de IPFW:

opțiuni IPFIREWALL

Include codul de filtrare a pachetelor în nucleu.

Opțiuni IPFIREWALL_VERBOSE

Activează înregistrarea pachetelor prin syslogd (8). Fără acest parametru, chiar dacă specificați în regulile de filtrare să înregistrați pachetele, nu va funcționa.

Opțiuni IPFIREWALL_VERBOSE_LIMIT=10

Limitează numărul de pachete înregistrate de fiecare regulă prin syslogd (8). Puteți utiliza această opțiune dacă doriți să înregistrați funcționarea firewall-ului, dar nu doriți să expuneți syslog-ul unui atac DoS.

Când una dintre regulile din lanț atinge limita specificată de parametru, înregistrarea pentru acea regulă este dezactivată. Pentru a activa înregistrarea, va trebui să resetați contorul corespunzător folosind utilitarul ipfw (8) :

# ipfw zero 4500

unde 4500 este numărul regulii pentru care doriți să reluați înregistrarea.

Opțiuni IPFIREWALL_DEFAULT_TO_ACCEPT

Schimbă regula implicită din „refuză” în „permite”. Acest lucru previne posibila blocare dacă nucleul este încărcat cu suport IPFIREWALL, dar firewall-ul nu este încă configurat. Această opțiune este utilă și dacă utilizați ipfw (8) ca remediu pentru anumite probleme pe măsură ce apar. Cu toate acestea, utilizați setarea cu precauție, deoarece deschide paravanul de protecție și își schimbă comportamentul.

Cometariu: Versiunile anterioare de FreeBSD includeau opțiunea IPFIREWALL_ACCT. Această opțiune a fost retrasă deoarece codul activează automat contabilitatea.

14.9.4. Configurarea IPFW

Software-ul IPFW este configurat folosind utilitarul ipfw (8). Sintaxa acestei comenzi pare foarte complexă, dar devine relativ simplă odată ce îi înțelegeți structura.

Utilitarul utilizează în prezent patru categorii diferite de comenzi: adăugare/ștergere, listare, spălare și ștergere. Add/Drop este folosit pentru a crea reguli care determină modul în care pachetele sunt acceptate, abandonate și înregistrate. Căutarea este folosită pentru a determina conținutul unui set de reguli (numite și lanț) și contoare de pachete (contabilitatea). Resetarea este folosită pentru a șterge toate regulile dintr-un lanț. Clear este folosit pentru a reseta unul sau mai multe contoare la zero.

14.9.4.1. Schimbarea regulilor IPFW

ipfw [-N] comandă [număr] acțiune adresa protocol [parametri]

Există un indicator disponibil când utilizați această formă a comenzii:

Rezolvarea adreselor și numelor serviciilor la afișare.

Definibil echipă poate fi scurtat la o formă unică mai scurtă. Existent echipe :

Adăugarea unei reguli la lista de filtrare/contabilitate

Eliminarea unei reguli din lista de filtrare/contabilitate

Versiunile anterioare ale IPFW foloseau intrări separate pentru filtrarea pachetelor și contabilitate. Versiunile moderne iau în considerare pachetele pentru fiecare regulă.

Dacă este specificată o valoare număr, este folosit pentru a plasa o regulă într-o anumită poziție din lanț. În caz contrar, regula este plasată la capătul lanțului cu un număr cu 100 mai mare decât regula anterioară (aceasta nu include regula implicită numărul 65535).

Cu parametrul jurnal, regulile corespunzătoare scot informații către consola sistemului dacă nucleul este construit cu opțiunea IPFIREWALL_VERBOSE.

Existent actiuni :

Aruncați pachetul și trimiteți un pachet ICMP la adresa sursă, indicând faptul că gazda sau portul nu sunt accesibile.

Sari peste pachet ca de obicei. (sinonime: trece, permite și accept)

Aruncați pachetul. Niciun mesaj ICMP nu este emis către sursă (ca și cum pachetul nu ar fi atins niciodată țintă).

Actualizați contorul de pachete, dar nu îi aplicați regulile de autorizare/refuzare. Căutarea va continua cu următoarea regulă din lanț.

Fiecare acțiune poate fi scris ca un prefix unic mai scurt.

Următoarele pot fi definite protocoale :

Se potrivește cu toate pachetele IP

Se potrivește cu pachetele ICMP

Se potrivește cu pachetele TCP

Se potrivește cu pachetele UDP

Camp adrese este format astfel:

sursă adresa/mască [port] țintă adresa/mască [port]

Puteți specifica port numai împreună cu protocoale porturi suport (UDP și TCP).

Parametrul via este opțional și poate conține adresa IP sau numele de domeniu al interfeței IP locale, sau numele interfeței (de exemplu ed0), configurează regula să se potrivească doar cu acele pachete care trec prin acea interfață. Numerele de interfață pot fi înlocuite cu o mască opțională. De exemplu, ppp* va corespunde interfețelor PPP ale nucleului.

Sintaxa folosită pentru a indica adrese/masti:

abordare sau abordare/biți de mască sau abordare:masca șablon

În loc de o adresă IP, puteți specifica un nume de gazdă existent. biți de mască acesta este un număr zecimal care indică numărul de biți care trebuie setați în masca de adresă. De exemplu, 192.216.222.1/24 va crea o mască care se potrivește cu toate adresele de subrețea de clasă C (în acest caz, 192.216.222). Un nume de gazdă valid poate fi specificat în locul adresei IP. masca șablon acesta este IP-ul care va fi înmulțit logic cu adresa dată. Cuvântul cheie orice poate fi folosit pentru a însemna „orice adresă IP”.

Numerele de port sunt specificate în următorul format:

port [,port [,port [.]]]

Pentru a specifica un singur port sau o listă de porturi sau

port-port

Pentru a specifica o serie de porturi. De asemenea, puteți combina un singur interval cu o listă de porturi, dar intervalul trebuie întotdeauna afișat primul.

Disponibil Opțiuni :

Se declanșează dacă pachetul nu este primul pachet din datagramă.

Se potrivește cu pachetele primite.

Se potrivește cu pachetele de ieșire.

Ipoptions spec

Se declanșează dacă antetul IP conține o listă separată prin virgulă de parametri specificați în spec. Parametri IP acceptați: ssrr (rută sursă strictă), lsrr (rută sursă liberă), rr (ruta pachet de înregistrare) și ts (marca temporală). Efectul parametrilor individuali poate fi modificat prin specificarea prefixului!.

Stabilit

Se declanșează dacă pachetul face parte dintr-o conexiune TCP deja stabilită (adică dacă biții RST sau ACK sunt setați). Puteți îmbunătăți performanța firewall-ului plasând o regulă cu stabilit aproape de începutul lanţului.

Se potrivește dacă pachetul este o încercare de a stabili o conexiune TCP (bitul SYN este setat și bitul ACK nu este setat).

Tcpflags steaguri

Se declanșează dacă antetul TCP conține o listă separată prin virgulă de steaguri. Indicatoarele acceptate sunt fin, syn, rst, psh, ack și urg. Efectul regulilor pentru steaguri individuale poate fi modificat prin specificarea prefixului!.

Icmptypes tipuri

Se declanșează dacă tipul de pachet ICMP este în listă tipuri. Lista poate fi specificată ca orice combinație de intervale și/sau tipuri individuale, separate prin virgule. Tipurile ICMP utilizate în mod obișnuit sunt 0 răspuns ecou (răspuns ping), 3 destinații inaccesibile, 5 redirecționare, 8 solicitări ecou (cerere ping) și 11 timp depășit (utilizat pentru a indica expirarea TTL, ca și în cazul traceroute (8)).

14.9.4.2. Vedeți regulile IPFW

Sintaxa pentru această formă de comandă este:

ipfw [-a] [-c] [-d] [-e] [-t] [-N] [-S] listă

Există șapte steaguri pentru această formă de comandă:

Afișați valorile contorului. Acest parametru este singura modalitate de a vizualiza valorile contorului.

Vizualizați regulile într-o formă compactă.

Afișați regulile dinamice pe lângă cele statice.

Dacă este specificată opțiunea -d, afișați și regulile dinamice expirate.

Afișează ultimul timp de tragere pentru fiecare regulă din lanț. Această listă nu este compatibilă cu sintaxa acceptată ipfw (8) .

Încercați să rezolvați adresele și numele serviciilor date.

Afișați setul căruia îi aparține fiecare regulă. Dacă acest indicator nu este specificat, regulile blocate nu vor fi afișate.

14.9.4.3. Resetarea regulilor IPFW

Sintaxa pentru resetarea regulilor:

Toate regulile din lanț vor fi eliminate, cu excepția regulii implicite stabilite de kernel (numărul 65535). Aveți grijă când resetați regulile; o regulă care elimină pachetele în mod implicit va deconecta sistemul de la rețea până când regulile de permitere sunt adăugate în lanț.

14.9.4.4. Ștergerea contoarelor de pachete IPFW

Sintaxa pentru a șterge unul sau mai multe contoare de pachete este:

ipfw zero [ index]

Când este folosit fără argumente număr Toate contoarele de pachete vor fi șterse. Dacă index specificat, operația de curățare se aplică numai regulii de înlănțuire specificate.

14.9.5. Exemple de comenzi pentru ipfw

Următoarea comandă va refuza toate pachetele de la gazda evil.crackers.org la portul telnet al gazdei nice.people.org:

# ipfw adăugați deny tcp de la evil.crackers.org la nice.people.org 23

Următorul exemplu neagă și înregistrează tot traficul TCP din rețeaua crackers.org (clasa C) către computerul nice.people.org (pe orice port).

# ipfw adăugați deny log tcp de la evil.crackers.org/24 la nice.people.org

Dacă doriți să împiedicați trimiterea sesiunilor X în rețeaua dvs. (parte a unei rețele de clasă C), următoarea comandă va efectua filtrarea necesară:

# ipfw add deny tcp from any la my.org/28 6000 setup

Pentru a vizualiza înregistrările contabile:

# ipfw -a listă sau sub formă scurtă # ipfw -a l

De asemenea, puteți vedea ultima dată când regulile au fost declanșate folosind comanda:

14.9.6. Crearea unui firewall cu filtrare de pachete

Când configurați inițial un firewall, înainte de testarea performanței și de punerea în funcțiune a serverului, este recomandat să folosiți versiuni de logare ale comenzilor și să activați înregistrarea în kernel. Acest lucru vă va permite să identificați rapid zonele cu probleme și să vă corectați configurarea fără prea mult efort. Chiar și după finalizarea configurării inițiale, se recomandă să utilizați înregistrarea pentru a „nega”, deoarece vă permite să monitorizați eventualele atacuri și să schimbați regulile firewall-ului dacă cerințele dvs. de firewall se modifică.

Cometariu: Dacă utilizați versiunea de înregistrare a comenzii accept, aveți grijă deoarece se poate crea mare volumul de date de protocol. Fiecare pachet care trece prin firewall va fi înregistrat, astfel încât volumele mari de FTP/http și alt trafic vor încetini semnificativ sistemul. Acest lucru va crește, de asemenea, latența unor astfel de pachete, deoarece nucleul trebuie să facă o muncă suplimentară înainte de a lăsa pachetul să treacă. syslogd va folosi, de asemenea, mult mai mult timp CPU, deoarece va trimite toate datele suplimentare pe disc și partiția /var/log se poate umple rapid.

Va trebui să activați firewall-ul în /etc/rc.conf.local sau /etc/rc.conf. Pagina de referință corespunzătoare explică exact ce trebuie făcut și conține exemple de setări gata făcute. Dacă nu utilizați o presetare, comanda ipfw list poate plasa setul de reguli curent într-un fișier, de unde poate fi plasat în fișierele de pornire ale sistemului. Dacă nu utilizați /etc/rc.conf.local sau /etc/rc.conf pentru a activa firewall-ul, este important să vă asigurați că acesta este activat după configurarea interfețelor.

În continuare, trebuie să determinați Ce anume face firewall-ul tău! Acest lucru depinde în principal de cât de mult acces doriți să aveți din exterior la rețeaua dvs. Iată câteva reguli generale:

    Blocați accesul din exterior la numerele de porturi TCP sub 1024. Cele mai multe servicii critice pentru securitate, cum ar fi finger, SMTP (mail) și telnet, se află aici.

    bloc toate traficul UDP de intrare. Există foarte puține servicii utile care rulează prin UDP, dar de obicei prezintă un risc de securitate (de exemplu, protocoalele Sun RPC și NFS). Această metodă are, de asemenea, dezavantaje, deoarece protocolul UDP nu este conștient de conexiune, iar blocarea pachetelor de intrare va bloca, de asemenea, răspunsurile la traficul UDP de ieșire. Aceasta poate fi o problemă pentru cei care folosesc servere externe care funcționează cu UDP. Dacă doriți să permiteți accesul la aceste servicii, va trebui să permiteți pachetele de intrare din porturile corespunzătoare. De exemplu, pentru ntp poate fi necesar să permiteți pachetele care vin de la portul 123.

    Blocați tot traficul din exterior către portul 6000. Portul 6000 este folosit pentru a accesa serverele X11 și poate reprezenta un risc de securitate (mai ales dacă utilizatorii au obiceiul de a rula comanda xhost + pe stațiile lor de lucru). X11 poate folosi o gamă de porturi începând de la 6000, limita superioară fiind determinată de numărul de afișaje X care pot rula pe mașină. Limita superioară definită de RFC 1700 (Assigned Numbers) este 6063.

    Verificați porturile utilizate de serviciile interne (de exemplu, serverele SQL etc.). Ar putea fi o idee bună să blocați și aceste porturi, deoarece de obicei nu se încadrează în intervalul 1-1024 enumerat mai sus.

O altă listă pentru verificarea setărilor firewall-ului este disponibilă pe CERT la http://www.cert.org/tech_tips/packet_filtering.html

După cum am menționat mai sus, toate aceste reguli sunt juste management . Puteți decide singur ce reguli de filtrare vor fi utilizate în firewall. Nu ne asumăm NICIO responsabilitate dacă rețeaua dvs. este piratată, chiar dacă ați urmat sfaturile furnizate mai sus.

14.9.7. Optimizare generală și IPFW

Mulți utilizatori doresc să știe cât de mult încarcă IPFW sistemul. Răspunsul depinde în principal de setul de reguli și de viteza procesorului. Având în vedere un set mic de reguli, pentru majoritatea aplicațiilor care rulează pe Ethernet, răspunsul este „nu mult”. Această secțiune este destinată celor care au nevoie de un răspuns mai precis.

Măsurătorile ulterioare au fost efectuate cu 2.2.5-STABLE pe 486-66. (Deși IPFW s-a schimbat ușor în versiunile ulterioare FreeBSD, viteza a rămas aproximativ aceeași.) IPFW a fost modificat pentru a măsura timpul petrecut de ip_fw_chk, imprimând rezultatul pe consolă după fiecare al 1000-lea pachet.

Au fost testate două seturi de 1000 de reguli. Prima a fost concepută pentru a demonstra un set prost de reguli prin repetarea regulii:

# ipfw add deny tcp from any to any 55555

Acest set de reguli este prost deoarece majoritatea regulilor IPFW nu se potrivesc cu pachetele inspectate (din cauza numărului portului). După cea de-a 999-a iterație a acestei reguli, urmează permisiunea ip de la oricare la orice regulă.

Un al doilea set de reguli a fost conceput pentru a testa fiecare regulă cât mai repede posibil:

# ipfw add deny ip de la 1.2.3.4 la 1.2.3.4

O adresă IP sursă care nu se potrivește în regula de mai sus va face ca aceste reguli să fie verificate foarte rapid. Ca și înainte, regula a 1000-a permite ip de la orice la oricare.

Costul verificării unui pachet în primul caz este de aproximativ 2,703 ms/pachet, sau aproximativ 2,7 microsecunde per regulă. Limita teoretică de viteză de scanare este de aproximativ 370 de pachete pe secundă. Presupunând o conexiune Ethernet de 10 Mbps și o dimensiune a pachetului de aproximativ 1500 de octeți, acest lucru are ca rezultat o utilizare a lățimii de bandă de numai 55,5%.

În al doilea caz, fiecare pachet a fost scanat în aproximativ 1,172 ms, sau aproximativ 1,2 microsecunde per regulă. Limita teoretică de viteză de inspecție este de aproximativ 853 de pachete pe secundă, ceea ce face posibilă utilizarea completă a lățimii de bandă Ethernet de 10 Mbps.

Numărul excesiv de reguli care sunt verificate și tipul lor nu ne permit să creăm o imagine apropiată de condițiile normale - aceste reguli au fost folosite doar pentru a obține informații despre timpul de verificare. Iată câteva îndrumări de luat în considerare pentru a crea un set eficient de reguli:

    Plasați regula stabilită cât mai devreme posibil pentru a gestiona majoritatea traficului TCP. Nu puneți regulile permit tcp în față.

    Plasați regulile utilizate frecvent mai aproape de începutul setului decât regulile utilizate rar (desigur fără a modifica efectul întregului set ). Puteți determina regulile cele mai frecvent utilizate verificând contoarele de pachete cu comanda ipfw -a l.

Rețeaua are nevoie de protecție împotriva amenințărilor externe. Furtul de date, accesul neautorizat și deteriorarea pot afecta operațiunile rețelei și pot cauza pierderi grave. Utilizați programe și dispozitive speciale pentru a vă proteja de influențele distructive. În această recenzie vom vorbi despre firewall și vom analiza principalele sale tipuri.

Scopul firewall-urilor

Firewall-urile (Firewall-urile) sau firewall-urile sunt măsuri hardware și software pentru a preveni influențele negative din exterior. Un firewall funcționează ca un filtru: din întregul flux de trafic este filtrat doar traficul permis. Aceasta este prima linie de apărare între rețelele interne și cele externe, cum ar fi Internetul. Tehnologia a fost folosită de 25 de ani.

Nevoia de firewall-uri a apărut când a devenit clar că principiul conectivității complete la rețea nu mai funcționează. Calculatoarele au început să apară nu numai în universități și laboratoare. Odată cu răspândirea PC-urilor și a internetului, a devenit necesară separarea rețelelor interne de cele externe nesigure pentru a vă proteja de intruși și pentru a vă proteja computerul de hacking.

Pentru a proteja rețeaua corporativă, este instalat un firewall hardware - acesta poate fi un dispozitiv separat sau o parte a unui router. Cu toate acestea, această practică nu este întotdeauna aplicată. O modalitate alternativă este să instalați un firewall software pe computerul care are nevoie de protecție. Un exemplu este firewall-ul încorporat în Windows.

Este logic să utilizați un firewall software pe un laptop al companiei pe care îl utilizați într-o rețea securizată a companiei. În afara zidurilor organizației, vă aflați într-un mediu neprotejat - un firewall instalat vă va proteja în călătoriile de afaceri, atunci când lucrați în cafenele și restaurante.

Cum functioneazã firewall

Filtrarea traficului are loc pe baza unor reguli de securitate prestabilite. În acest scop, este creat un tabel special în care se introduce o descriere a datelor care sunt acceptabile și inacceptabile pentru transmitere. Firewall-ul nu permite trafic dacă una dintre regulile de blocare din tabel este declanșată.

Firewall-urile pot refuza sau permite accesul pe baza diferiților parametri: adrese IP, nume de domenii, protocoale și numere de porturi, precum și o combinație a acestora.

  • adrese IP. Fiecare dispozitiv care utilizează protocolul IP are o adresă unică. Puteți specifica o anumită adresă sau un interval pentru a opri încercările de a primi pachete. Sau invers - acordați acces doar la un anumit cerc de adrese IP.
  • Porturi. Acestea sunt punctele care oferă aplicațiilor acces la infrastructura de rețea. De exemplu, protocolul ftp folosește portul 21, iar portul 80 este destinat aplicațiilor utilizate pentru navigarea pe site-uri web. Acest lucru ne oferă posibilitatea de a împiedica accesul la anumite aplicații și servicii.
  • Numele domeniului. Adresa resursei Internet este, de asemenea, un parametru de filtrare. Puteți bloca traficul de pe unul sau mai multe site-uri. Utilizatorul va fi protejat de conținutul neadecvat, iar rețeaua de efecte dăunătoare.
  • Protocol. Firewall-ul este configurat pentru a permite traficul unui protocol sau pentru a bloca accesul la unul dintre ele. Tipul de protocol indică setul de parametri de securitate și sarcina pe care o îndeplinește aplicația pe care o folosește.

Tipuri de ITU

1. Server proxy

Unul dintre fondatorii ITU, care acționează ca o poartă pentru aplicații între rețelele interne și externe. Serverele proxy au alte funcții, inclusiv protecția datelor și stocarea în cache. În plus, nu permit conexiuni directe din afara granițelor rețelei. Utilizarea de funcții suplimentare poate pune o presiune excesivă asupra performanței și poate reduce debitul.

2. Firewall cu control al stării sesiunii

Ecranele cu capacitatea de a monitoriza starea sesiunilor sunt deja o tehnologie consacrată. Decizia de a accepta sau de a bloca date este influențată de stare, port și protocol. Astfel de versiuni monitorizează toată activitatea imediat după deschiderea conexiunii până când aceasta este închisă. Sistemul decide dacă blochează sau nu traficul, pe baza regulilor și contextului stabilit de administrator. În al doilea caz, se iau în considerare datele pe care ITU le-a furnizat din conexiunile anterioare.

3. ITU Managementul unificat al amenințărilor (UTM)

Dispozitiv complex. De regulă, un astfel de firewall rezolvă 3 probleme:

  • monitorizează starea sesiunii;
  • previne intruziunile;
  • efectuează scanare antivirus.

Uneori, firewall-urile actualizate la versiunea UTM includ și alte funcționalități, de exemplu: managementul cloud.

4. Firewall de generație următoare (NGFW)

Un răspuns la amenințările moderne. Atacatorii dezvoltă în mod constant tehnologii de atac, găsesc noi vulnerabilități, îmbunătățesc programele malware și fac mai dificilă respingerea atacurilor la nivel de aplicație. Un astfel de firewall nu numai că filtrează pachetele și monitorizează starea sesiunilor. Este util în menținerea securității informațiilor datorită următoarelor caracteristici:

  • luarea în considerare a caracteristicilor aplicației, ceea ce face posibilă identificarea și neutralizarea programelor rău intenționate;
  • apărare împotriva atacurilor în curs de la sistemele infectate;
  • o bază de date actualizată care conține descrieri ale aplicațiilor și amenințărilor;
  • Monitorizarea traficului care este criptat folosind protocolul SSL.

5. Firewall de nouă generație cu protecție activă împotriva amenințărilor

Acest tip de firewall este o versiune îmbunătățită a NGFW. Acest dispozitiv ajută la protejarea împotriva amenințărilor avansate. Funcționalitatea suplimentară poate:

  • luați în considerare contextul și identificați resursele care sunt cele mai expuse riscului;
  • respinge rapid atacurile prin automatizarea securității, care gestionează în mod independent protecția și stabilește politici;
  • identificarea activităților care distrag atenția sau suspecte prin utilizarea corelării evenimentelor în rețea și pe computere;

Această versiune a paravanului de protecție NGFW introduce politici unificate care simplifică foarte mult administrarea.

Dezavantajele ITU

Firewall-urile protejează rețeaua de intruși. Cu toate acestea, trebuie să luați în serios configurația lor. Fiți atenți: dacă faceți o greșeală la configurarea parametrilor de acces, veți provoca vătămări și firewall-ul va opri traficul necesar și inutil, iar rețeaua va deveni inoperabilă.

Utilizarea unui firewall poate duce la o scădere a performanței rețelei. Amintiți-vă că interceptează tot traficul de intrare pentru inspecție. Când rețeaua este mare, încercarea prea mare de a impune securitatea și introducerea mai multor reguli va face ca rețeaua să devină lentă.

Adesea, un firewall nu este suficient pentru a securiza complet o rețea de amenințările externe. Prin urmare, este utilizat împreună cu alte programe, cum ar fi antivirus.

Secțiunea 5. Întrebarea 8. (53) Firewall-uri.

Firewall (FW) - Acesta este un instrument (complex) local (cu o singură componentă) sau distribuit funcțional (hardware și software) care implementează controlul asupra informațiilor care intră în AS și/sau părăsesc AS. ME oferă protecție AS prin filtrarea informațiilor, de ex. analiza acestuia după un set de criterii și luarea unei decizii cu privire la distribuirea lui către (din) SA pe baza unor reguli date, delimitând astfel accesul subiecților dintr-un SA la obiectele altui SA. Fiecare regulă interzice sau permite transferul de informații de un anumit tip între subiecți și obiecte. În consecință, subiecții dintr-un AS primesc acces numai la obiectele de informații permise de la un alt AS. Interpretarea unui set de reguli se realizează printr-o succesiune de filtre care permit sau interzice transmiterea datelor (pachetelor) la următorul nivel de filtru sau protocol.

(definiție din RD ME)

Firewall-uri - software sau hardware complex care vă permite să controlați cantitatea și calitatea pachetelor de rețea care trec prin acesta la nivelul corespunzător de securitate. Firewall-ul analizează traficul de rețea pe baza unui set specific de reguli, conform căruia toate datele sunt filtrate.

(o definiție simplificată pentru amintire, Habr)

Astfel, sarcina principală a firewall-ului (firewall, firewall, firewall) esteprotecția nodurilor autonome sau a rețelelor de calculatoare partajate împotriva accesului neautorizat al terților, care ar putea folosi datele în scopuri proprii sau ar putea cauza prejudicii ireparabile proprietarului rețelei. De aceea, firewall-urile sunt numite și filtre, care nu permit trecerea pachetelor de date care nu îndeplinesc criteriile specificate în configurație. Filtrarea traficului de rețea poate fi efectuată la orice nivel al modelului OSI. Informațiile de la diferite niveluri pot fi folosite ca criterii: numere de port, conținut câmpuri de date, adresa expeditorului/destinatarului.

Autoritățile de control ale tehnologiei informației de stat definesc un firewall mai precis ca o componentă a unui sistem larg de securitate a informațiilor care include o serie de caracteristici suplimentare pentru a asigura funcționarea sa eficientă. Un firewall nu este necesar să fie achiziționat de către proprietarul rețelei. În ciuda faptului că este pe deplin responsabil pentru siguranța informațiilor confidențiale, în prezent, un astfel de sistem de protecție în Federația Rusă nu este larg răspândit la nivelul corespunzător. În mod ideal, ar trebui să fie implementat în fiecare rețea internă pentru a monitoriza fluxurile de informații de intrare/ieșire non-stop. Sistemul de monitorizare a securității informațiilor, într-o oarecare măsură, înlocuiește în prezent instrumente suplimentare de securitate a rețelei, dar acest lucru nu este suficient pentru a defini un sistem de securitate personală ca un set de hardware de nivel înalt.

(Habr)

Pentru curioși, este bine scris despre problemele certificăriihttp://habrahabr.ru/post/246193/

Firewall(ME) îndeplinește funcțiile de delimitare a fluxurilor de informații la limita sistemului automatizat protejat. Asta permite:

Creșteți securitatea obiectelor din mediul intern prin ignorarea solicitărilor neautorizate din mediul extern;

Controlează fluxurile de informații către mediul extern;

Asigurarea inregistrarii proceselor de schimb de informatii.

Fluxurile de informații sunt controlate prinfiltrarea informatiilor, adică analizându-l pe baza unui set de criterii și luând o decizie asupra răspândirea către sau dinspre AC.

În funcție de principiile de funcționare, există mai multeclase de firewall. Caracteristica principală de clasificare este nivelul Modelul ISO/OSI pe care funcționează ME.

1. Filtre de pachete.

Cea mai simplă clasă de firewall-uri care funcționează la nivelurile de rețea și transport ale modelului ISO/OSI. Filtrarea pachetelor este de obicei efectuată în conformitate cu următoarele criterii:

Adresa IP sursă;

adresa IP a destinatarului;

Port sursă;

Port destinatar;

Parametri specifici antetelor pachetelor de rețea.

Filtrarea este implementată prin compararea parametrilor listați ai antetelor pachetelor de rețea cu o bază de reguli de filtrare.

Firewall-urile de filtrare a pachetelor pot fi, de asemenea, pachete software bazate pe sisteme de operare de uz general (cum ar fi Windows NT și Unix) sau pe platforme de firewall hardware. Firewall-ul are mai multe interfețe, câte una pentru fiecare dintre rețelele la care este conectat firewall-ul. Similar cu firewall-urile la nivel de aplicație, livrarea traficului de la o rețea la alta este determinată de

un set de reguli de politică. Dacă o regulă nu permite în mod explicit un anumit trafic, atunci pachetele corespunzătoare vor fi respinse sau aruncate de firewall. Regulile de politică sunt consolidate de

folosind filtre de pachete. Filtrele examinează pachetele și determină dacă traficul este permis în conformitate cu

regulile politicii și starea protocolului (verificare cu stare). Dacă protocolul de aplicare funcționează

prin TCP, determinarea stării este relativ simplă, deoarece TCP însuși acceptă stări. Inseamna,

că atunci când un protocol este într-o anumită stare, numai anumite pachete au voie să fie transmise.

Să ne uităm la secvența de configurare a conexiunii ca exemplu. Primul pachet așteptat este pachetul SYN. Firewall-ul detectează acest pachet și pune conexiunea în starea SYN. În această stare, se așteaptă unul dintre cele două pachete - fie un SYN ACK (recunoaștere a pachetului și permisiunea de conectare), fie un pachet RST (resetarea conexiunii din cauza refuzului conexiunii de către destinatar). Dacă pe o anumită conexiune apar alte pachete, firewall-ul le va renunța sau le va respinge deoarece nu sunt potrivite pentru starea de conexiune dată, chiar dacă conexiunea este permisă de setul de reguli. Dacă protocolul de conexiune este UDP, firewall-ul de filtrare a pachetelor nu poate utiliza starea inerentă a protocolului și, în schimb, monitorizează starea traficului UDP. De obicei, un firewall primește un pachet UDP extern și așteaptă un pachet de intrare de la destinatar care se potrivește cu pachetul original după adresă și port într-un anumit timp. Dacă pachetul este primit în acest interval de timp, transmiterea acestuia este permisă. În caz contrar, firewall-ul determină că traficul UDP nu este un răspuns la cerere și îl renunță. Când utilizați un firewall de filtrare a pachetelor, conexiunile nu sunt terminate la firewall, ci sunt direcționate direct către sistemul final. Când pachetele sosesc, firewall-ul determină dacă pachetul și starea conexiunii sunt permise de regulile politicii. Dacă da, pachetul este trimis de-a lungul traseului său. În caz contrar, pachetul este respins sau anulat.

Firewall-urile de filtrare a pachetelor nu folosesc module de acces pentru fiecare

protocol și, prin urmare, poate fi utilizat cu orice protocol care rulează pe IP. Unele protocoale solicită firewall-ului să recunoască acțiunile pe care le efectuează. De exemplu, FTP va folosi o conexiune pentru autentificarea și comenzile inițiale și o alta pentru transferurile de fișiere. Conexiunile folosite pentru a transfera fișiere sunt stabilite ca parte a unei conexiuni FTP și, prin urmare, firewall-ul trebuie să fie capabil să citească traficul și să determine porturile care vor fi folosite de noua conexiune. Dacă firewall-ul dvs. nu acceptă acest lucru

funcția, transferul fișierelor nu este posibil. Firewall-urile de filtrare a pachetelor au capacitatea de a suporta mai mult trafic deoarece nu au sarcina de configurare și calcule suplimentare care apar în modulele de acces software. Firewall-urile care funcționează numai prin filtrarea pachetelor nu folosesc module de acces și, prin urmare, traficul este trimis direct de la client la server. Dacă serverul este atacat printr-un serviciu deschis permis de regulile politicii firewall,

firewall-ul nu va răspunde la atac. Firewall-urile de filtrare a pachetelor permit, de asemenea, vizibilitate externă în structura internă de adresare. Nu este nevoie să ascundeți adresele interne, deoarece conexiunile nu sunt întrerupte de firewall.

2. Gateway-uri la nivel de sesiune

Aceste firewall-uri funcționează la nivelul de sesiune al modelului ISO/OSI. Spre deosebire de filtrele de pachete, acestea pot controla validitatea unei sesiuni de comunicare prin analizarea parametrilor protocoalelor de nivel de sesiune. Prin urmare, gateway-urile la nivel de sesiune includ filtre care nu pot fi identificate nici cu straturile de rețea, de transport sau de aplicație. Filtrele la nivel de sesiune au mai multe varietăți în funcție de caracteristicile lor funcționale, dar această clasificare este destul de arbitrară, deoarece capacitățile lor se suprapun în mare măsură. Trebuie reținut că firewall-urile includ toate sau majoritatea tipurilor de gateway-uri de nivel de sesiune.

Controlul biților SYN și ACK. O serie de filtre vă permit să monitorizați biții SYN și ACK din pachetele TCP. Toate sunt concepute pentru a combate atacurile SYN-flooding (vezi bara laterală „Atacul SYN-flooding”), dar folosesc abordări diferite. Cel mai simplu filtru interzice transmiterea pachetelor TCP cu bitul SYN, dar fără bitul ACK, din rețeaua publică către calculatoarele din rețeaua internă, cu excepția cazului în care acestea din urmă au fost declarate explicit servere pentru rețeaua externă (sau cel puțin pentru un anumit grup de calculatoare din rețeaua externă). Din păcate, un astfel de filtru nu ajută la atacurile SYN-flooding asupra mașinilor care sunt servere pentru rețeaua externă, dar situate în rețeaua internă.

În aceste scopuri, se folosesc filtre specializate cu o comandă în mai multe etape pentru stabilirea conexiunilor. De exemplu, filtrul SYNDefender Gateway din firewall-ul FireWall-1 al Check Point funcționează după cum urmează. Să presupunem că computerul extern Z încearcă să stabilească o conexiune cu serverul intern A prin firewall-ul Firewall. Procedura de stabilire a conexiunii este prezentată în Figura 2. Când firewall-ul primește un pachet SYN de la computerul Z (pasul 1), acest pachet este transmis către serverul A (pasul 2). Ca răspuns, serverul A trimite un pachet SYN/ACK către computerul Z, dar firewall-ul îl interceptează (pasul 3). Apoi, ME înaintează pachetul primit către computerul Z; în plus, ME, în numele computerului Z, trimite un pachet ACK către serverul A (pasul 4). Datorită răspunsului rapid la serverul A, memoria serverului alocată pentru stabilirea de noi conexiuni nu va fi niciodată plină, iar atacul SYN-flooding nu va funcționa.

Ce se întâmplă în continuare depinde dacă computerul Z a inițiat de fapt o conexiune cu serverul A. Dacă da, atunci computerul Z va trimite un pachet ACK către serverul A, care trece prin firewall (pasul 5a). Serverul A va ignora cel de-al doilea pachet ACK. Apoi firewall-ul va trece liber pachete între computerele A și Z. Dacă firewall-ul nu primește un pachet ACK sau expiră timpul de expirare pentru stabilirea unei conexiuni, va trimite un pachet RST către serverul A, anulând conexiunea (pasul 5b).

Filtre pentru monitorizarea stării canalului de comunicare.

Filtrele pentru monitorizarea stării unui canal de comunicație includ adesea filtre de rețea (nivel de rețea) cu capabilități avansate.

Filtrare dinamică în filtrele de rețea. Spre deosebire de filtrarea statică standard în filtrele de rețea, filtrarea dinamică (cu stare) vă permite să atribuiți o singură regulă fiecărui canal de comunicare în loc de mai multe reguli de filtrare. În acest caz, filtrul dinamic însuși monitorizează succesiunea schimburilor de pachete de date între client și server, inclusiv adrese IP, protocolul stratului de transport, numerele de porturi ale expeditorului și destinatarului și, uneori, numerele de secvență ale pachetelor. Este clar că o astfel de filtrare necesită RAM suplimentară. În ceea ce privește performanța, un filtru dinamic este oarecum inferior unui filtru static.

Filtrați pachetele fragmentate. Atunci când sunt transmise prin rețele cu MTU-uri diferite, pachetele IP pot fi împărțite în fragmente separate, doar primul fragment conținând întotdeauna antetul complet al pachetului stratului de transport, inclusiv informații despre portul software. Filtrele de rețea convenționale nu sunt capabile să verifice alte fragmente decât primul și să le lase să treacă (dacă sunt îndeplinite criteriile pentru adresele IP și protocolul utilizat). Datorită acestui fapt, atacatorii pot organiza atacuri periculoase de refuzare a serviciului, generând în mod deliberat un număr mare de fragmente și blocând astfel funcționarea computerului destinatar pachetului. Filtrul de pachete fragmentate nu permite trecerea fragmentelor dacă primul nu reușește înregistrarea.

3. Gateway-uri de aplicații

Firewall-urile din această clasă vă permit să filtrați anumite tipuri de comenzi sau seturi de date în protocoale la nivel de aplicație. În acest scop sunt folositeservicii proxy- programe speciale care gestionează traficul printr-un firewall pentru anumite protocoale de nivel înalt (http, ftp, telnet etc.).

Dacă, fără a utiliza servicii proxy, se stabilește o conexiune de rețea între părțile care interacționeazăAȘi Bdirect, apoi în cazul utilizării unui serviciu proxy apare un intermediar -server proxy, care interacționează independent cu al doilea participant la schimbul de informații. Această schemă vă permite să controlați admisibilitatea utilizării comenzilor individuale de protocol de nivel înalt, precum și să filtrați datele primite de serverul proxy din exterior; în acest caz, serverul proxy, pe baza politicilor stabilite, poate decide asupra posibilității sau imposibilității transferului acestor date către client.A.

Firewall-urile de nivel de aplicație sau firewall-urile proxy sunt pachete software bazate pe sisteme de operare de uz general (cum ar fi Windows NT și Unix) sau pe platforma hardware firewall.

Într-un firewall de nivel de aplicație, fiecare protocol permis trebuie să aibă propriul său modul de acces. Cele mai bune module de acces sunt cele care sunt construite special pentru protocolul care se rezolvă. De exemplu, modulul de acces FTP vizează protocolul FTP și poate determina dacă traficul care trece este conform cu protocolul respectiv și dacă acel trafic este permis de regulile politicii de securitate.

Firewall-ul acceptă conexiunea, analizează conținutul pachetului și protocolul utilizat și determină dacă traficul respectă regulile politicii de securitate. Dacă există o potrivire, firewall-ul inițiază o nouă conexiune între interfața sa externă și sistemul server.

Modulul de acces al firewall-ului acceptă conexiunile de intrare și procesează comenzi înainte de a trimite trafic către destinatar, protejând astfel sistemele de atacurile bazate pe aplicații.

Firewall-urile la nivel de aplicație conțin module de acces pentru cele mai frecvent utilizate protocoale, cum ar fi HTTP, SMTP, FTP și telnet. Este posibil să lipsească unele module de acces, împiedicând utilizarea unui anumit protocol pentru a comunica prin firewall.

4. Firewall-uri la nivel de expert.

Cele mai complexe firewall-uri, combinând elemente din toate cele trei categorii de mai sus. În loc de servicii proxy, astfel de ecrane folosesc algoritmi pentru recunoașterea și procesarea datelor la nivel de aplicație. Cele mai multe firewall-uri utilizate în prezent sunt clasificate ca firewall-uri experte. Cele mai faimoase și răspândite ME suntCISCO PIXȘi CheckPoint Firewall-1. Producătorii de firewall-uri la nivel de aplicație, datorită dezvoltării rapide a tehnologiilor IT, au ajuns la concluzia că este necesară dezvoltarea unei metode care să susțină protocoale pentru care nu există module de acces specifice. Așa a luat naștere tehnologia modulelor de acces Generic Services Proxy (GSP), care este concepută pentru a susține modulele de acces la nivel de aplicație cu alte protocoale necesare sistemului de securitate și pentru munca administratorilor de rețea. GSP permite firewall-urilor la nivel de aplicație să funcționeze ca firewall-uri de filtrare a pachetelor. O varietate de firewall-uri de filtrare a pachetelor vin deja cu un modul de acces SMTP. În prezent, este practic imposibil să găsești un firewall a cărui funcționare să fie construită exclusiv pe stratul de aplicație sau filtrarea pachetelor, deoarece permite administratorilor responsabili de securitate să configureze dispozitivul să funcționeze în condiții specifice.

(sursa Răspunsuri de anul trecut)

Principalul document de reglementareconform ME este „Documentul de îndrumare. Dotări informatice. Firewall-uri. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații” (Aprobat de Comisia Tehnică de Stat din 25 iulie 1997)

Potrivit acestuia, ME este un instrument local (cu o singură componentă) sau distribuit funcțional (complex) care implementează controlul asupra informațiilor care intră în AS și/sau părăsesc AS și asigură protecția AS prin filtrarea informațiilor, de exemplu. analiza acestuia după un set de criterii și luarea unei decizii cu privire la distribuirea lui către (de la) AS.

Sunt stabilite cinci clase de securitate ME.

Fiecare clasă este caracterizată de un anumit set minim de cerințe pentru protecția informațiilor.

Cea mai scăzută clasă de securitate este a cincea, utilizată pentru interacțiunea în siguranță a difuzoarelor din clasa 1D cu mediul extern, a patra - pentru 1G, a treia - 1B, a doua - 1B, cea mai mare este prima, utilizată pentru interacțiunea în siguranță a difuzoare clasa 1A cu mediul extern.

Cerințele pentru ME nu exclud cerințele pentru echipamente informatice (CT) și AS în conformitate cu liniile directoare ale Comisiei Tehnice de Stat a Rusiei „Echipamente informatice. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații” și „Sisteme automatizate. Protecție împotriva accesului neautorizat la informații. Clasificarea sistemelor automate și cerințele pentru protecția informațiilor.”

Când un ME este inclus într-un AS dintr-o anumită clasă de securitate, clasa de securitate a totalului AS obținut din cel original prin adăugarea unui ME la acesta nu ar trebui redusă.

Pentru difuzoarele din clasa 3B, 2B, trebuie utilizate ME de cel puțin clasa 5.

Pentru difuzoarele din clasele 3A, 2A, în funcție de importanța informațiilor care sunt procesate, trebuie utilizat ME din următoarele clase:

La procesarea informațiilor clasificate ca „secrete” - nu mai mici decât clasa 3;

La procesarea informațiilor clasificate ca „top secret” - nu mai mici decât clasa 2;

La procesarea informațiilor clasificate ca „importanță specială” - nu mai mică decât clasa 1.

Cerințe pentru firewall

Indicatori de securitate

Cursuri de securitate

Controlul accesului (filtrarea datelor și traducerea adreselor)

Identificare și autentificare

Înregistrare

Administrare: Identificare și Autentificare

Administrare: înregistrare

Administrare: ușurință în utilizare

Integritate

Recuperare

Testare

Ghidul administratorului de securitate

Documentația de testare

Documentație de proiectare (proiect).

(sursa RD ME)

Cu doar câțiva ani în urmă, pentru a vă proteja computerul în mod fiabil, era suficient să instalați un program antivirus bun și să monitorizați actualizările regulate ale bazei de date. Cu toate acestea, ingeniozitatea atacatorilor dă naștere la tot mai multe modalități noi de a provoca daune. Adesea, principala modalitate de a pătrunde în computerul unui utilizator este prin conexiunile sale de rețea sau, mai precis, prin vulnerabilitățile sistemului asociate acestora. Un pachet antivirus poate detecta doar codul rău intenționat, dar nu orice antivirus este capabil să detecteze accesul neautorizat la date.

Odată cu dezvoltarea relațiilor de piață, informația dobândește din ce în ce mai mult calitățile unei mărfuri, adică poate fi cumpărată, vândută, transferată și, din păcate, furată. Prin urmare, problema asigurării securității informațiilor devine din ce în ce mai urgentă în fiecare an. O posibilă soluție la această problemă este utilizarea firewall-urilor.

Tehnologiile moderne de securitate a rețelei sunt unul dintre cele mai dinamice segmente ale pieței moderne de securitate. Instrumentele de securitate a rețelei se dezvoltă atât de rapid încât terminologia general acceptată în acest domeniu nu a fost încă pe deplin stabilită. Aceste mijloace de protecție apar în literatură și mass-media ca firewall-uri, firewall-uri și chiar membrane informaționale. Dar cel mai des folosit termen este „firewall-uri” (FW).

În general, pentru a asigura protecția rețelei, între două seturi de sisteme informaționale (IS) este instalat un ecran sau o membrană informațională, care reprezintă un mijloc de limitare a accesului clienților dintr-un set de sisteme la informațiile stocate pe serverele din alt set. În acest sens, ME poate fi reprezentată ca un set de filtre care analizează informațiile care trec prin ele și iau o decizie: să transmită informația sau să o blocheze. În același timp, evenimentele sunt înregistrate și sunt generate alarme dacă este detectată o amenințare. De obicei, sistemele de ecranare sunt realizate asimetrice. Pentru ecrane, sunt definite conceptele de „interior” și „exterior”, iar sarcina ecranului este de a proteja rețeaua internă de un mediu potențial ostil. În plus, ME poate fi folosit ca o parte deschisă corporativă a rețelei, vizibilă de pe Internet. De exemplu, multe organizații folosesc ME-uri pentru a stoca date cu acces deschis, cum ar fi informații despre produse și servicii, fișiere din bazele de date FTP, mesaje de eroare și așa mai departe.

Un firewall sau firewall este un set de hardware sau software care controlează și filtrează pachetele de rețea care trec prin el în conformitate cu regulile specificate.

Sarcina principală a unui firewall este de a proteja rețelele de computere sau nodurile individuale împotriva accesului neautorizat. De asemenea, firewall-urile sunt adesea numite filtre, deoarece sarcina lor principală este să nu lase (filtreze) pachetele care nu îndeplinesc criteriile definite în configurație.

Unele firewall-uri permit, de asemenea, traducerea adreselor - înlocuirea dinamică a adreselor intranet (gri) sau a porturilor cu cele externe utilizate în afara rețelei locale.

Figura 4. Structura generală a firewall-ului

Alte nume

Firewall (germană: Brandmauer) este un termen împrumutat din limba germană, care este un analog al firewall-ului englez în sensul său original (un zid care separă clădirile adiacente, protejând împotriva răspândirii incendiului). Interesant este că în domeniul tehnologiei computerelor, cuvântul „Firewall” este folosit în germană.

Firewall - format prin transliterarea termenului englezesc firewall.

Tipuri de firewall-uri

Firewall-urile sunt împărțite în diferite tipuri, în funcție de următoarele caracteristici:

dacă scutul asigură o conexiune între un nod și o rețea sau între două sau mai multe rețele diferite;

la nivelul căror protocoale de rețea este controlat fluxul de date;

indiferent dacă stările conexiunilor active sunt monitorizate sau nu.

În funcție de acoperirea fluxurilor de date controlate, firewall-urile sunt împărțite în:

rețea tradițională (sau firewall) -- un program (sau parte integrantă a sistemului de operare) pe un gateway (server care transmite traficul între rețele) sau o soluție hardware care controlează fluxurile de date de intrare și de ieșire între rețelele conectate.

firewall personal este un program instalat pe computerul unui utilizator și conceput pentru a proteja numai acest computer de accesul neautorizat.

Un caz degenerat este utilizarea unui firewall tradițional de către server pentru a restricționa accesul la propriile resurse.

În funcție de nivelul la care are loc controlul accesului, există o împărțire în firewall-uri care funcționează pe:

la nivel de rețea, când filtrarea are loc pe baza adreselor expeditorului și destinatarului pachetelor, numerelor de port ale stratului de transport al modelului OSI și regulilor statice specificate de administrator;

stratul de sesiune (cunoscut și sub denumirea de stateful) - urmărirea sesiunilor între aplicații, nepermițând pachete care încalcă specificațiile TCP/IP, adesea folosite în operațiuni rău intenționate - scanarea resurselor, hacking prin implementări TCP/IP incorecte, conexiuni scăpate/lente, injectare de date.

nivel de aplicație, filtrare pe baza analizei datelor aplicației transmise în cadrul pachetului. Aceste tipuri de ecrane vă permit să blocați transmiterea de informații nedorite și potențial dăunătoare pe baza politicilor și setărilor.

Unele soluții de firewall la nivel de aplicație sunt servere proxy cu unele capacități de firewall, implementând proxy-uri transparente cu specializare în protocol. Capacitățile serverului proxy și specializarea multi-protocol fac filtrarea mult mai flexibilă decât firewall-urile clasice, dar astfel de aplicații au toate dezavantajele serverelor proxy (de exemplu, anonimizarea traficului).

În funcție de monitorizarea conexiunilor active, firewall-urile sunt:

apatride (filtrare simplă), care nu monitorizează conexiunile curente (de exemplu, TCP), ci filtrează fluxul de date exclusiv pe baza regulilor statice;

Stateful, Stateful Packet inspection (SPI) (filtrare în funcție de context), monitorizarea conexiunilor curente și transmiterea numai a acelor pachete care satisfac logica și algoritmii protocoalelor și aplicațiilor corespunzătoare. Aceste tipuri de firewall-uri fac posibilă combaterea mai eficientă a diferitelor tipuri de atacuri DoS și vulnerabilități ale unor protocoale de rețea. În plus, acestea asigură funcționarea protocoalelor precum H.323, SIP, FTP etc., care utilizează scheme complexe de transfer de date între destinatari, greu de descris prin reguli statice și, adesea, incompatibile cu firewall-urile standard, fără stat.

Trebuie remarcat faptul că în prezent, alături de firewall-urile cu un singur nivel, firewall-urile complexe care acoperă niveluri de la rețea la aplicație devin din ce în ce mai populare, deoarece astfel de produse combină cele mai bune proprietăți ale firewall-urilor cu un singur nivel de diferite tipuri. Figura 1 prezintă structura de ecranare a informațiilor între două sisteme atunci când se utilizează modelul de referință ISO/OSI.


Figura 5. Cadrul de protecție a informațiilor folosind modelul de referință

Cerințe moderne pentru firewall-uri

Cerința principală este asigurarea securității rețelei interne (protejate) și controlul deplin asupra conexiunilor externe și sesiunilor de comunicare.

Sistemul de securitate trebuie să aibă controale puternice și flexibile pentru a implementa ușor și complet politica de securitate a organizației.

Firewall-ul ar trebui să funcționeze neobservat de utilizatorii rețelei locale și să nu le îngreuneze efectuarea de acțiuni legale.

Procesorul firewall trebuie să fie rapid, să funcționeze suficient de eficient și să poată gestiona întregul trafic de intrare și de ieșire la orele de vârf, astfel încât să nu poată fi blocat de un număr mare de apeluri și să-i perturbe funcționarea.

Sistemul de securitate în sine trebuie protejat în mod fiabil de orice influențe neautorizate, deoarece este cheia informațiilor confidențiale din organizație.

Sistemul de management al ecranului trebuie să poată aplica la nivel central o politică de securitate uniformă pentru sucursalele aflate la distanță.

Caracteristicile firewall-urilor moderne

După cum se poate observa din Tabelul 3, un firewall este cel mai comun mijloc de îmbunătățire a mijloacelor tradiționale de protecție împotriva accesului neautorizat și este utilizat pentru a asigura protecția datelor atunci când se organizează interconectarea.

Implementările specifice ME depind în mare măsură de platformele de calcul utilizate, dar, cu toate acestea, toate sistemele din această clasă folosesc două mecanisme, dintre care unul asigură blocarea traficului în rețea, iar al doilea, dimpotrivă, permite schimbul de date.

În același timp, unele versiuni ale ME se concentrează pe blocarea traficului nedorit, în timp ce altele se concentrează pe reglementarea schimburilor permise între mașini.

Tabelul 3 - Caracteristicile firewall-urilor

Tip firewall

Principiul de funcționare

Avantaje

Defecte

Ecranarea routerelor (paravane de protecție pentru filtrarea pachetelor)

Filtrarea pachetelor se realizează în conformitate cu antetul IP al pachetului conform criteriului: ceea ce nu este interzis în mod explicit este permis. Informatiile analizate sunt: ​​- adresa expeditorului; - adresa destinatarului; - informatii despre aplicatie sau protocol; - numărul portului sursă; - numărul portului destinatarului

Cost redus Impact minim asupra performanței rețelei Ușor de configurat și instalat Software transparent

Vulnerabilitatea mecanismului de protecție la diferite tipuri de atacuri de rețea, cum ar fi falsificarea adreselor sursei de pachete, modificarea neautorizată a conținutului pachetului Lipsa suportului pentru jurnalul de evenimente și a instrumentelor de audit într-o serie de produse

Gateway de screening (ESG)

Schimbul de informații are loc printr-o gazdă bastion instalată între rețelele interne și externe, care ia decizii cu privire la posibilitatea de rutare a traficului. Există două tipuri de ES: sesiune și la nivel de aplicație

· Lipsa trecerii end-to-end a pachetelor în caz de defecțiuni · Mecanisme de securitate îmbunătățite, comparativ cu EM, permițând utilizarea unor instrumente suplimentare de autentificare, atât software cât și hardware · Utilizarea unei proceduri de traducere a adreselor, care permite ascunderea adreselor de gazde într-o rețea închisă

· Utilizarea doar a gazdelor bastion puternice din cauza volumului mare de calcule · Lipsa „transparenței” datorită faptului că ES introduce întârzieri în procesul de transmitere și necesită proceduri de autentificare din partea utilizatorului

Subrețele de protecție (ES)

Se creează o subrețea izolată între rețelele interne și publice. Mesajele din rețeaua deschisă sunt procesate de gateway-ul aplicației și ajung în semnătura electronică. După ce au trecut cu succes controlul la semnătura electronică, aceștia intră într-o rețea închisă. Solicitările dintr-o rețea închisă sunt procesate prin semnătura electronică în același mod. Filtrarea se bazează pe principiul: ceea ce nu este permis este interzis

Posibilitatea de a ascunde adresa rețelei interne · Fiabilitate sporită a protecției · Posibilitatea de a crea trafic mare între rețelele interne și deschise la utilizarea mai multor gazde bastion în rețeaua electronică · „transparența” muncii pentru orice servicii de rețea și orice structură a rețelei interne reţea

Utilizarea doar a gazdelor bastioane puternice datorită volumului mare de calcule Întreținerea (instalare, configurare) poate fi efectuată numai de specialiști

Opțiuni tipice pentru activarea firewall-urilor


Figura 6. Activarea ME folosind o schemă de gateway cu două porturi


Figura 7. Activarea ME direct pe serverul protejat


Figura 8. Activarea ME în sistemul Internet Intranet

Caracteristici comparative ale firewall-urilor moderne

Tabelul 4 - Caracteristici comparative ale firewall-urilor moderne

Platformă

Companie

Particularități

Solstice Firewall

Complex

SunOS, UNIX, Solaris

Microsisteme solare

Implementează o politică de securitate: toate datele care nu au permisiunea explicită sunt eliminate. În timpul funcționării, filtrele de pachete de pe gateway-uri și servere generează înregistrări ale tuturor evenimentelor și declanșează mecanisme de alarmă care necesită răspunsul administratorului.

Milkyway Networks Corporation

Nu utilizează un mecanism de filtrare a pachetelor. Principiul de funcționare: ceea ce nu este permis în mod expres este interzis. Înregistrează toate acțiunile serverului și avertizează asupra posibilelor încălcări. Poate fi folosit ca gateway bidirecțional.

BorderWare Firewall Server

Gateway de screening la nivel de aplicație

UNIX, Windows, DOS

Secure Computing Corporation

Software de securitate care asigură funcționarea sub controlul sistemului de operare (dezvoltare proprie). Vă permite să înregistrați adrese, timpi, încercări, protocol utilizat.

ALF (filtru de strat de aplicație)

Gateway de screening la nivel de aplicație

Poate filtra pachetele IP după adrese, intervale de porturi, protocoale și interfețe. Un pachet primit poate fi ratat, eliminat sau trimis la adresa sa.

Serviciul ANS InterLock

Gateway de screening la nivel de aplicație

Sisteme ANS CO+RE

Utilizează programe intermediare pentru serviciile Telnet, FTR, HTTR. Acceptă criptarea conexiunilor punct la punct, iar hardware-ul poate fi utilizat ca mijloc de autentificare.

Ecran integrat

SunOS, BSDI pe Intel, IRIX pe INDY și Challenge

Utilizează ora, data, adresa, portul etc. pentru analiză. Include middleware la nivel de aplicație pentru Telnet, FTR, SMTP, X11, HTTP, Gopher și alte servicii. Acceptă majoritatea pachetelor de autentificare hardware.

Gateway de screening la nivel de aplicație

SunOS, BSDI, Solaris, HP-UX, AIX

O rețea închisă este văzută din exterior ca o singură gazdă. Are programe intermediare pentru servicii: email, protocol FTR, etc. Înregistrează toate acțiunile serverului și avertizează despre încălcări.

Gateway de screening la nivel de aplicație

Software Sterling

Este un produs software care protejează informațiile împotriva accesului neautorizat atunci când se conectează rețele închise și deschise. Vă permite să înregistrați toate acțiunile serverului și să avertizați despre posibile încălcări.

CyberGuard Firewall

Gateway bidirecțional end-to-end (de la gazdă la bastion ca filtru, gateway la nivel de aplicație sau ecran end-to-end)

Platforma RISC, OS UNIX

Harris Computer Systems Corporation

Au fost utilizate soluții complexe, inclusiv mecanisme de securitate UNIX OS și instrumente de rețea integrate concepute pentru calculatoarele RISC. Pentru analiză se utilizează adresa sursă, adresa destinație etc.

Firewall digital pentru UNIX

Ecran integrat

Digital Equipment Corporation

Preinstalat pe sistemele Digital Alpha și oferă filtru de ecranare și capabilități de gateway pentru aplicații.

Eagle Enterprise

Gateway de screening la nivel de aplicație

Implementarea tehnologiei Virtual Private Networking

Include programe intermediare la nivel de aplicație pentru servicii FTR, HTTP, Telnet. Înregistrează toate acțiunile serverului și avertizează despre încălcări.

Firewall IRX Router

Router de ecranare

Vă permite să analizați rețeaua pentru a optimiza traficul de rețea, conectați în siguranță rețeaua locală cu rețele de la distanță bazate pe rețele deschise.

Firewall cuprinzător

Intel x86, Sun Sparc etc.

Oferă protecție împotriva atacurilor hackerilor, cum ar fi falsificarea adreselor de pachete și reprezintă o combinație de instrumente de protecție la nivel de rețea și aplicație.

Firewall-1/VPN-1

Firewall cuprinzător

Intel x86, Sun Sparc etc.

Tehnologii software Check Point

Reprezintă interfața deschisă a aplicației OPSEC API. Oferă: - identificarea virușilor informatici; - scanare URL; - blocarea Java și ActiveX; - Suport protocol SMTP; - filtrare HTTP; - Procesarea protocolului FTP

Setul de instrumente TIS Firewall

Un set de programe pentru crearea și gestionarea sistemelor firewall

Sisteme informaționale de încredere

Distribuite în cod sursă, toate modulele sunt scrise în C. Setul este destinat programatorilor experți.

Gauntlet Internet Firewall

Gateway de screening la nivel de aplicație

UNIX, BSD securizat

Sisteme informaționale de încredere

Suportă servicii: e-mail, serviciu web, servicii terminale etc. Caracteristici: criptare la nivel de rețea, protecție împotriva atacurilor hackerilor, cum ar fi falsificarea adreselor, protecție împotriva încercărilor de a schimba rutarea.

Firewall multi-protocol

Diverse platforme hardware

Network-1 Software și tehnologie

Controlul este implementat la nivel de cadru, pachet, canal și aplicație (pentru fiecare protocol). Vă permite să lucrați cu mai mult de 390 de protocoale, face posibilă descrierea oricăror condiții de filtrare pentru lucrările ulterioare.

Zastava-Jet

Firewall cuprinzător

SPARC, Solaris, UNIX

Implementează o politică de securitate: toate datele care nu au permisiunea explicită sunt eliminate.

Un firewall în sine nu este un panaceu pentru toate amenințările de rețea. În special, el:

nu protejează nodurile de rețea de pătrunderea prin ușile din spate sau vulnerabilitățile software;

nu oferă protecție împotriva multor amenințări interne, în primul rând scurgeri de date;

nu protejează împotriva utilizatorilor care descarcă programe rău intenționate, inclusiv viruși;

Pentru a rezolva ultimele două probleme, sunt utilizate instrumente suplimentare adecvate, în special antivirusuri. De obicei, se conectează la un firewall și trec prin partea corespunzătoare a traficului de rețea, lucrând ca un proxy transparent pentru alte noduri de rețea, sau primesc o copie a tuturor datelor transmise de la firewall. Cu toate acestea, o astfel de analiză necesită resurse hardware semnificative, așa că de obicei este efectuată independent pe fiecare nod de rețea.