Firewall. Firewall-uri. Metode de organizare a protecției

Secțiunea 5. Întrebarea 8. (53) Firewall-uri.

Firewall (FW) - Acesta este un instrument (complex) local (cu o singură componentă) sau distribuit funcțional (hardware și software) care implementează controlul asupra informațiilor care intră în AS și/sau părăsesc AS. ME oferă protecție AS prin filtrarea informațiilor, de ex. analiza acestuia după un set de criterii și luarea unei decizii cu privire la distribuirea lui către (din) SA pe baza unor reguli date, delimitând astfel accesul subiecților dintr-un SA la obiectele altui SA. Fiecare regulă interzice sau permite transferul de informații de un anumit tip între subiecți și obiecte. În consecință, subiecții dintr-un AS primesc acces numai la obiectele de informații permise de la un alt AS. Interpretarea unui set de reguli se realizează printr-o succesiune de filtre care permit sau interzice transmiterea datelor (pachetelor) la următorul nivel de filtru sau protocol.

(definiție din RD ME)

Firewall-uri - software sau hardware complex care vă permite să controlați cantitatea și calitatea pachetelor de rețea care trec prin acesta la nivelul corespunzător de securitate. Firewall-ul analizează traficul de rețea pe baza unui set specific de reguli, conform căruia toate datele sunt filtrate.

(o definiție simplificată pentru amintire, Habr)

Astfel, sarcina principală a firewall-ului (firewall, firewall, firewall) esteprotecția nodurilor autonome sau a rețelelor de calculatoare partajate împotriva accesului neautorizat al terților, care ar putea folosi datele în scopuri proprii sau ar putea cauza prejudicii ireparabile proprietarului rețelei. De aceea, firewall-urile sunt numite și filtre, care nu permit trecerea pachetelor de date care nu îndeplinesc criteriile specificate în configurație. Filtrarea traficului de rețea poate fi efectuată la orice nivel al modelului OSI. Informațiile de la diferite niveluri pot fi folosite ca criterii: numere de port, conținut câmpuri de date, adresa expeditorului/destinatarului.

Autoritățile de control ale tehnologiei informației de stat definesc un firewall mai precis ca o componentă a unui sistem larg de securitate a informațiilor care include o serie de caracteristici suplimentare pentru a asigura funcționarea sa eficientă. Un firewall nu este necesar să fie achiziționat de către proprietarul rețelei. În ciuda faptului că este pe deplin responsabil pentru siguranța informațiilor confidențiale, în prezent, un astfel de sistem de protecție în Federația Rusă nu este larg răspândit la nivelul corespunzător. În mod ideal, ar trebui să fie implementat în fiecare rețea internă pentru a monitoriza fluxurile de informații de intrare/ieșire non-stop. Sistemul de monitorizare a securității informațiilor, într-o oarecare măsură, înlocuiește în prezent instrumente suplimentare de securitate a rețelei, dar acest lucru nu este suficient pentru a defini un sistem de securitate personală ca un set de hardware de nivel înalt.

(Habr)

Pentru curioși, este bine scris despre problemele certificăriihttp://habrahabr.ru/post/246193/

Firewall(ME) îndeplinește funcțiile de delimitare a fluxurilor de informații la limita sistemului automatizat protejat. Asta permite:

Creșteți securitatea obiectelor din mediul intern prin ignorarea solicitărilor neautorizate din mediul extern;

Controlează fluxurile de informații către mediul extern;

Asigurarea inregistrarii proceselor de schimb de informatii.

Fluxurile de informații sunt controlate prinfiltrarea informatiilor, adică analizându-l pe baza unui set de criterii și luând o decizie asupra răspândirea către sau dinspre AC.

În funcție de principiile de funcționare, există mai multeclase de firewall. Caracteristica principală de clasificare este nivelul Modelul ISO/OSI pe care funcționează ME.

1. Filtre de pachete.

Cea mai simplă clasă de firewall-uri care funcționează la nivelurile de rețea și transport ale modelului ISO/OSI. Filtrarea pachetelor este de obicei efectuată în conformitate cu următoarele criterii:

Adresa IP sursă;

adresa IP a destinatarului;

Port sursă;

Port destinatar;

Parametri specifici antetelor pachetelor de rețea.

Filtrarea este implementată prin compararea parametrilor listați ai antetelor pachetelor de rețea cu o bază de reguli de filtrare.

Firewall-urile de filtrare a pachetelor pot fi, de asemenea, pachete software bazate pe sisteme de operare de uz general (cum ar fi Windows NT și Unix) sau pe platforme de firewall hardware. Firewall-ul are mai multe interfețe, câte una pentru fiecare dintre rețelele la care este conectat firewall-ul. Similar cu firewall-urile la nivel de aplicație, livrarea traficului de la o rețea la alta este determinată de

un set de reguli de politică. Dacă o regulă nu permite în mod explicit un anumit trafic, atunci pachetele corespunzătoare vor fi respinse sau aruncate de firewall. Regulile politicii sunt consolidate de

folosind filtre de pachete. Filtrele examinează pachetele și determină dacă traficul este permis în conformitate cu

regulile politicii și starea protocolului (verificare cu stare). Dacă protocolul de aplicație rulează

prin TCP, determinarea stării este relativ simplă, deoarece TCP însuși acceptă stări. Inseamna,

că atunci când un protocol este într-o anumită stare, numai anumite pachete au voie să fie transmise.

Să ne uităm la secvența de configurare a conexiunii ca exemplu. Primul pachet așteptat este pachetul SYN. Firewall-ul detectează acest pachet și pune conexiunea în starea SYN. În această stare, se așteaptă unul dintre cele două pachete - fie un SYN ACK (recunoaștere a pachetului și permisiunea de conectare), fie un pachet RST (resetarea conexiunii din cauza refuzului conexiunii de către destinatar). Dacă pe o anumită conexiune apar alte pachete, firewall-ul le va renunța sau le va respinge deoarece nu sunt potrivite pentru starea de conexiune dată, chiar dacă conexiunea este permisă de setul de reguli. Dacă protocolul de conexiune este UDP, firewall-ul de filtrare a pachetelor nu poate utiliza starea inerentă a protocolului și, în schimb, monitorizează starea traficului UDP. De obicei, un firewall primește un pachet UDP extern și așteaptă un pachet de intrare de la destinatar care se potrivește cu pachetul original după adresă și port într-un anumit timp. Dacă pachetul este primit în acest interval de timp, transmiterea acestuia este permisă. În caz contrar, firewall-ul determină că traficul UDP nu este un răspuns la cerere și îl renunță. Când utilizați un firewall de filtrare a pachetelor, conexiunile nu sunt terminate la firewall, ci sunt direcționate direct către sistemul final. Când pachetele sosesc, firewall-ul determină dacă pachetul și starea conexiunii sunt permise de regulile politicii. Dacă da, pachetul este trimis de-a lungul traseului său. În caz contrar, pachetul este respins sau anulat.

Firewall-urile de filtrare a pachetelor nu folosesc module de acces pentru fiecare

protocol și, prin urmare, poate fi utilizat cu orice protocol care rulează pe IP. Unele protocoale solicită firewall-ului să recunoască acțiunile pe care le efectuează. De exemplu, FTP va folosi o conexiune pentru autentificarea și comenzile inițiale și o alta pentru transferurile de fișiere. Conexiunile folosite pentru a transfera fișiere sunt stabilite ca parte a unei conexiuni FTP și, prin urmare, firewall-ul trebuie să fie capabil să citească traficul și să determine porturile care vor fi folosite de noua conexiune. Dacă firewall-ul dvs. nu acceptă acest lucru

funcția, transferul fișierelor nu este posibil. Firewall-urile de filtrare a pachetelor au capacitatea de a suporta mai mult trafic deoarece nu au sarcina de configurare și calcule suplimentare care apar în modulele de acces software. Firewall-urile care funcționează numai prin filtrarea pachetelor nu folosesc module de acces și, prin urmare, traficul este trimis direct de la client la server. Dacă serverul este atacat printr-un serviciu deschis permis de regulile politicii firewall,

firewall-ul nu va răspunde la atac. Firewall-urile de filtrare a pachetelor permit, de asemenea, vizibilitate externă în structura internă de adresare. Nu este nevoie să ascundeți adresele interne, deoarece conexiunile nu sunt întrerupte de firewall.

2. Gateway-uri la nivel de sesiune

Aceste firewall-uri funcționează la nivelul de sesiune al modelului ISO/OSI. Spre deosebire de filtrele de pachete, acestea pot controla validitatea unei sesiuni de comunicare prin analizarea parametrilor protocoalelor de nivel de sesiune. Prin urmare, gateway-urile la nivel de sesiune includ filtre care nu pot fi identificate nici cu straturile de rețea, de transport sau de aplicație. Filtrele la nivel de sesiune au mai multe varietăți în funcție de caracteristicile lor funcționale, dar această clasificare este destul de arbitrară, deoarece capacitățile lor se suprapun în mare măsură. Trebuie reținut că firewall-urile includ toate sau majoritatea tipurilor de gateway-uri de nivel de sesiune.

Controlul biților SYN și ACK. O serie de filtre vă permit să monitorizați biții SYN și ACK din pachetele TCP. Toate sunt concepute pentru a combate atacurile SYN-flooding (vezi bara laterală „Atacul SYN-flooding”), dar folosesc abordări diferite. Cel mai simplu filtru interzice transmiterea pachetelor TCP cu bitul SYN, dar fără bitul ACK, din rețeaua publică către calculatoarele din rețeaua internă, cu excepția cazului în care acestea din urmă au fost declarate explicit servere pentru rețeaua externă (sau cel puțin pentru un anumit grup de calculatoare din rețeaua externă). Din păcate, un astfel de filtru nu ajută la atacurile SYN-flooding asupra mașinilor care sunt servere pentru rețeaua externă, dar situate în rețeaua internă.

În aceste scopuri, se folosesc filtre specializate cu o comandă în mai multe etape pentru stabilirea conexiunilor. De exemplu, filtrul SYNDefender Gateway din firewall-ul FireWall-1 al Check Point funcționează după cum urmează. Să presupunem că computerul extern Z încearcă să stabilească o conexiune cu serverul intern A prin firewall-ul Firewall. Procedura de stabilire a conexiunii este prezentată în Figura 2. Când firewall-ul primește un pachet SYN de la computerul Z (pasul 1), acest pachet este transmis către serverul A (pasul 2). Ca răspuns, serverul A trimite un pachet SYN/ACK către computerul Z, dar firewall-ul îl interceptează (pasul 3). Apoi, ME înaintează pachetul primit către computerul Z; în plus, ME, în numele computerului Z, trimite un pachet ACK către serverul A (pasul 4). Datorită răspunsului rapid la serverul A, memoria serverului alocată pentru stabilirea de noi conexiuni nu va fi niciodată plină, iar atacul SYN-flooding nu va funcționa.

Ce se întâmplă în continuare depinde dacă computerul Z a inițiat de fapt o conexiune cu serverul A. Dacă da, atunci computerul Z va trimite un pachet ACK către serverul A, care trece prin firewall (pasul 5a). Serverul A va ignora cel de-al doilea pachet ACK. Apoi firewall-ul va trece liber pachete între computerele A și Z. Dacă firewall-ul nu primește un pachet ACK sau expiră timpul de expirare pentru stabilirea unei conexiuni, va trimite un pachet RST către serverul A, anulând conexiunea (pasul 5b).

Filtre pentru monitorizarea stării canalului de comunicare.

Filtrele pentru monitorizarea stării unui canal de comunicație includ adesea filtre de rețea (nivel de rețea) cu capabilități avansate.

Filtrare dinamică în filtrele de rețea. Spre deosebire de filtrarea statică standard în filtrele de rețea, filtrarea dinamică (cu stare) vă permite să atribuiți o singură regulă fiecărui canal de comunicare în loc de mai multe reguli de filtrare. În acest caz, filtrul dinamic însuși monitorizează succesiunea schimburilor de pachete de date între client și server, inclusiv adrese IP, protocolul stratului de transport, numerele de porturi ale expeditorului și destinatarului și, uneori, numerele de secvență ale pachetelor. Este clar că o astfel de filtrare necesită RAM suplimentară. În ceea ce privește performanța, un filtru dinamic este oarecum inferior unui filtru static.

Filtrați pachetele fragmentate. Atunci când sunt transmise prin rețele cu MTU-uri diferite, pachetele IP pot fi împărțite în fragmente separate, doar primul fragment conținând întotdeauna antetul complet al pachetului stratului de transport, inclusiv informații despre portul software. Filtrele de rețea convenționale nu sunt capabile să verifice alte fragmente decât primul și să le lase să treacă (dacă sunt îndeplinite criteriile pentru adresele IP și protocolul utilizat). Din acest motiv, atacatorii pot organiza atacuri periculoase de refuzare a serviciului, generând în mod deliberat un număr mare de fragmente și blocând astfel funcționarea computerului destinatar pachetului. Filtrul de pachete fragmentate nu permite trecerea fragmentelor dacă primul nu reușește înregistrarea.

3. Gateway-uri de aplicații

Firewall-urile din această clasă vă permit să filtrați anumite tipuri de comenzi sau seturi de date în protocoale la nivel de aplicație. În acest scop sunt folositeservicii proxy- programe speciale care gestionează traficul printr-un firewall pentru anumite protocoale de nivel înalt (http, ftp, telnet etc.).

Dacă, fără a utiliza servicii proxy, se stabilește o conexiune de rețea între părțile care interacționeazăAȘi Bdirect, apoi în cazul utilizării unui serviciu proxy apare un intermediar -server proxy, care interacționează independent cu al doilea participant la schimbul de informații. Această schemă vă permite să controlați admisibilitatea utilizării comenzilor individuale de protocol de nivel înalt, precum și să filtrați datele primite de serverul proxy din exterior; în acest caz, serverul proxy, pe baza politicilor stabilite, poate decide asupra posibilității sau imposibilității transferului acestor date către client.A.

Firewall-urile de nivel de aplicație sau firewall-urile proxy sunt pachete software bazate pe sisteme de operare de uz general (cum ar fi Windows NT și Unix) sau pe platforma hardware firewall.

Într-un firewall de nivel de aplicație, fiecare protocol permis trebuie să aibă propriul său modul de acces. Cele mai bune module de acces sunt cele care sunt construite special pentru protocolul care se rezolvă. De exemplu, modulul de acces FTP vizează protocolul FTP și poate determina dacă traficul care trece este conform cu acel protocol și dacă acel trafic este permis de regulile politicii de securitate.

Firewall-ul acceptă conexiunea, analizează conținutul pachetului și protocolul utilizat și determină dacă traficul respectă regulile politicii de securitate. Dacă există o potrivire, firewall-ul inițiază o nouă conexiune între interfața sa externă și sistemul server.

Modulul de acces al firewall-ului acceptă conexiunile de intrare și procesează comenzi înainte de a trimite trafic către destinatar, protejând astfel sistemele de atacurile bazate pe aplicații.

Firewall-urile la nivel de aplicație conțin module de acces pentru cele mai frecvent utilizate protocoale, cum ar fi HTTP, SMTP, FTP și telnet. Este posibil să lipsească unele module de acces, împiedicând utilizarea unui anumit protocol pentru a comunica prin firewall.

4. Firewall-uri la nivel de expert.

Cele mai complexe firewall-uri, combinând elemente din toate cele trei categorii de mai sus. În loc de servicii proxy, astfel de ecrane folosesc algoritmi pentru recunoașterea și procesarea datelor la nivel de aplicație. Cele mai multe firewall-uri utilizate în prezent sunt clasificate ca firewall-uri experte. Cele mai faimoase și răspândite ME suntCISCO PIXȘi CheckPoint Firewall-1. Producătorii de firewall-uri la nivel de aplicație, datorită dezvoltării rapide a tehnologiilor IT, au ajuns la concluzia că este necesară dezvoltarea unei metode care să susțină protocoale pentru care nu există module de acces specifice. Așa a apărut tehnologia modulelor de acces Generic Services Proxy (GSP), care este concepută pentru a sprijini modulele de acces la nivel de aplicație cu alte protocoale cerute de sistemul de securitate și munca administratorilor de rețea. GSP permite firewall-urilor la nivel de aplicație să funcționeze ca firewall-uri de filtrare a pachetelor. O varietate de firewall-uri de filtrare a pachetelor vin deja cu un modul de acces SMTP. În prezent, este practic imposibil să găsești un firewall a cărui funcționare să fie construită exclusiv pe stratul de aplicație sau filtrarea pachetelor, deoarece permite administratorilor responsabili de securitate să configureze dispozitivul să funcționeze în condiții specifice.

(sursa Răspunsuri de anul trecut)

Principalul document de reglementareconform ME este „Documentul de îndrumare. Dotări informatice. Firewall-uri. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații” (Aprobat de Comisia Tehnică de Stat din 25 iulie 1997)

Potrivit acestuia, ME este un instrument local (cu o singură componentă) sau distribuit funcțional (complex) care implementează controlul asupra informațiilor care intră în AS și/sau părăsesc AS și asigură protecția AS prin filtrarea informațiilor, de exemplu. analiza acestuia după un set de criterii și luarea unei decizii cu privire la distribuirea lui către (de la) AS.

Sunt stabilite cinci clase de securitate ME.

Fiecare clasă este caracterizată de un anumit set minim de cerințe pentru protecția informațiilor.

Cea mai scăzută clasă de securitate este a cincea, utilizată pentru interacțiunea în siguranță a difuzoarelor din clasa 1D cu mediul extern, a patra - pentru 1G, a treia - 1B, a doua - 1B, cea mai mare este prima, utilizată pentru interacțiunea în siguranță a difuzoare clasa 1A cu mediul extern.

Cerințele pentru ME nu exclud cerințele pentru echipamente informatice (CT) și AS în conformitate cu liniile directoare ale Comisiei Tehnice de Stat a Rusiei „Echipamente informatice. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații” și „Sisteme automatizate. Protecție împotriva accesului neautorizat la informații. Clasificarea sistemelor automate și cerințele pentru protecția informațiilor.”

Când un ME este inclus într-un AS dintr-o anumită clasă de securitate, clasa de securitate a totalului AS obținut din cel original prin adăugarea unui ME la acesta nu ar trebui redusă.

Pentru difuzoarele din clasa 3B, 2B, trebuie utilizate ME de cel puțin clasa 5.

Pentru difuzoarele din clasele 3A, 2A, în funcție de importanța informațiilor care sunt procesate, trebuie utilizat ME din următoarele clase:

La procesarea informațiilor clasificate ca „secrete” - nu mai mici decât clasa 3;

La procesarea informațiilor clasificate ca „top secret” - nu mai mici decât clasa 2;

La procesarea informațiilor clasificate ca „importanță specială” - nu mai mică decât clasa 1.

Cerințe pentru firewall

(sursa RD ME)

Există mai multe tipuri de firewall-uri în funcție de următoarele caracteristici:

dacă scutul asigură o conexiune între un nod și o rețea sau între două sau mai multe rețele diferite;

dacă controlul fluxului de date are loc la nivelul rețelei sau la niveluri superioare ale modelului OSI;

indiferent dacă stările conexiunilor active sunt monitorizate sau nu.

În funcție de acoperirea fluxurilor de date controlate, firewall-urile sunt împărțite în:

rețea tradițională (sau firewall) - un program (sau o parte integrantă a sistemului de operare) pe un gateway (un dispozitiv care transmite trafic între rețele) sau o soluție hardware care controlează fluxurile de date de intrare și de ieșire între rețelele conectate (obiecte de rețea distribuite) ;

firewall personal este un program instalat pe computerul unui utilizator și conceput pentru a proteja numai acest computer de accesul neautorizat.

În funcție de nivelul OSI la care are loc controlul accesului, firewall-urile pot funcționa pe:

nivelul rețelei, când are loc filtrarea pe baza adreselor expeditorului și destinatarului pachetelor, numerelor de port ale stratului de transport al modelului OSI și regulilor statice specificate de administrator;

nivel de sesiune(de asemenea cunoscut ca si cu stare), când sesiunile dintre aplicații sunt monitorizate și pachetele care încalcă specificațiile TCP/IP nu sunt transmise, adesea folosite în operațiuni rău intenționate - scanarea resurselor, hacking prin implementări TCP/IP incorecte, conexiuni scăpate/lente, injecție de date;

nivelul de aplicare(sau la nivel de aplicație), când filtrarea este efectuată pe baza analizei datelor aplicației transmise în cadrul pachetului. Aceste tipuri de ecrane vă permit să blocați transmiterea de informații nedorite și potențial dăunătoare pe baza politicilor și setărilor.

Filtrarea la nivel de rețea

Filtrarea pachetelor de intrare și de ieșire se realizează pe baza informațiilor conținute în următoarele câmpuri din anteturile TCP și IP ale pachetelor: adresa IP expeditorului; adresa IP a destinatarului; portul expeditorului; port destinatar.

Filtrarea poate fi implementată într-o varietate de moduri pentru a bloca conexiunile la anumite computere sau porturi. De exemplu, puteți bloca conexiunile care provin de la adrese specifice ale acelor computere și rețele care sunt considerate nesigure.

cost relativ scăzut;

flexibilitate în definirea regulilor de filtrare;

o uşoară întârziere în trecerea pachetelor.

Defecte:

nu colectează pachete fragmentate;

nu există nicio modalitate de a urmări relațiile (conexiunile) dintre pachete.?

Filtrarea la nivel de sesiune

În funcție de monitorizarea conexiunilor active, firewall-urile pot fi:

Fara stare(filtrare simplă), care nu monitorizează conexiunile curente (de exemplu, TCP), ci filtrează fluxul de date exclusiv pe baza regulilor statice;

inspecție de pachete cu stare, cu stare (SPI)(filtrare în funcție de context), monitorizarea conexiunilor curente și trecerea numai a acelor pachete care satisfac logica și algoritmii protocoalelor și aplicațiilor corespunzătoare.

Firewall-urile cu SPI fac posibilă combaterea mai eficientă a diferitelor tipuri de atacuri DoS și vulnerabilități ale unor protocoale de rețea. În plus, acestea asigură funcționarea protocoalelor precum H.323, SIP, FTP etc., care utilizează scheme complexe de transfer de date între destinatari, greu de descris prin reguli statice și adesea incompatibile cu firewall-urile standard, fără stat.

Avantajele unei astfel de filtrări includ:

analiza conținutului pachetelor;

nu sunt necesare informații despre funcționarea protocoalelor de nivel 7.

Defecte:

este dificil de analizat datele la nivel de aplicație (eventual folosind ALG - Application level gateway).

Gateway la nivel de aplicație, ALG (gateway la nivel de aplicație) este o componentă a unui router NAT care înțelege un protocol de aplicație, iar atunci când pachetele acestui protocol trec prin acesta, le modifică astfel încât utilizatorii din spatele NAT-ului să poată utiliza protocolul.

Serviciul ALG oferă suport pentru protocoale la nivel de aplicație (cum ar fi SIP, H.323, FTP etc.) pentru care traducerea adreselor de rețea nu este permisă. Acest serviciu determină tipul de aplicație în pachete care provin din interfața internă a rețelei și, în consecință, realizează traducerea adresei/portului pentru acestea prin interfața externă.

Tehnologia SPI (Stateful Packet Inspection) sau tehnologia de inspecție a pachetelor ținând cont de starea protocolului este astăzi o metodă avansată de control al traficului. Această tehnologie vă permite să controlați datele până la nivelul aplicației fără a necesita un intermediar sau o aplicație proxy separată pentru fiecare protocol protejat sau serviciu de rețea.

Din punct de vedere istoric, firewall-urile au evoluat de la filtre de pachete de uz general la middleware-uri specifice protocolului la inspecție cu stare. Tehnologiile anterioare doar s-au completat reciproc, dar nu au oferit un control complet asupra conexiunilor. Filtrele de pachete nu au acces la informațiile despre starea conexiunii și a aplicației care sunt necesare pentru ca sistemul de securitate să ia o decizie finală. Programele middleware procesează doar date la nivel de aplicație, ceea ce creează adesea diverse oportunități de piratare a sistemului. Arhitectura de inspecție cu stare este unică deoarece vă permite să gestionați toate informațiile posibile care trec prin mașina gateway: date din pachet, date despre starea conexiunii, date necesare aplicației.

Un exemplu de mecanismStatefulInspecţie. Firewall-ul monitorizează sesiunea FTP examinând datele la nivel de aplicație. Când un client solicită serverului să deschidă o conexiune inversă (comanda FTP PORT), firewall-ul extrage numărul portului din acea cerere. Lista stochează adresele clientului și serverului și numerele de port. Când este detectată o încercare de a stabili o conexiune de date FTP, firewall-ul scanează lista și verifică dacă conexiunea este într-adevăr un răspuns la o solicitare validă a clientului. Lista de conexiuni este menținută dinamic, astfel încât doar porturile FTP necesare sunt deschise. Imediat ce sesiunea este închisă, porturile sunt blocate, oferind un nivel ridicat de securitate.

Orez. 2.12. Un exemplu de mecanism de inspecție cu stat care funcționează cu protocolul FTP

Filtrarea la nivel de aplicație

Pentru a proteja o serie de vulnerabilități inerente filtrării de pachete, firewall-urile trebuie să folosească programe de aplicație pentru a filtra conexiunile la servicii precum Telnet, HTTP, FTP. O astfel de aplicație se numește serviciu proxy, iar gazda pe care rulează serviciul proxy se numește gateway la nivel de aplicație. Un astfel de gateway elimină interacțiunea directă între un client autorizat și o gazdă externă. Gateway-ul filtrează toate pachetele de intrare și de ieșire la nivelul aplicației (stratul de aplicație - stratul superior al modelului de rețea) și poate analiza conținutul datelor, cum ar fi o adresă URL conținută într-un mesaj HTTP sau o comandă conținută într-un mesaj FTP. Uneori este mai eficient să filtrați pachetele pe baza informațiilor conținute în datele în sine. Filtrele de pachete și filtrele la nivel de legătură nu utilizează conținutul fluxului de informații atunci când iau decizii de filtrare, dar filtrarea la nivel de aplicație poate face acest lucru. Filtrele la nivel de aplicație pot folosi informații din antetul pachetului, precum și date de conținut și informații despre utilizator. Administratorii pot utiliza filtrarea la nivel de aplicație pentru a controla accesul pe baza identității utilizatorului și/sau în funcție de sarcina specifică pe care utilizatorul încearcă să o efectueze. În filtrele la nivel de aplicație, puteți seta reguli pe baza comenzilor emise de aplicație. De exemplu, un administrator poate împiedica un anumit utilizator să descarce fișiere pe un anumit computer folosind FTP sau poate permite unui utilizator să găzduiască fișiere prin FTP pe același computer.

Avantajele unei astfel de filtrări includ:

reguli simple de filtrare;

posibilitatea organizării unui număr mare de inspecţii. Protecția la nivel de aplicație permite un număr mare de verificări suplimentare, ceea ce reduce probabilitatea de hacking folosind găuri în software;

capacitatea de a analiza datele aplicației.

Defecte:

performanță relativ scăzută în comparație cu filtrarea pachetelor;

proxy trebuie să-și înțeleagă protocolul (imposibilitatea utilizării cu protocoale necunoscute)?;

De regulă, rulează sub sisteme de operare complexe.

Firewall

Un firewall (Firewall sau Firewall) este un mijloc de filtrare a traficului de pachete provenit dintr-o rețea externă în raport cu o anumită rețea locală sau computer. Să luăm în considerare motivele aspectului și sarcinile efectuate de Firewall. O rețea de date modernă constă din multe dispozitive de la distanță de înaltă performanță care interacționează între ele pe o distanță considerabilă. Una dintre cele mai mari rețele de transmisie a datelor sunt rețelele de calculatoare precum Internetul. Acesta angajează simultan milioane de surse de informații și consumatori din întreaga lume. Dezvoltarea pe scară largă a acestei rețele îi permite să fie folosită nu numai de persoane fizice, ci și de companii mari pentru a-și uni dispozitivele disparate din întreaga lume într-o singură rețea. În același timp, accesul partajat la resursele fizice comune oferă escrocilor, virușilor și concurenților oportunitatea de a provoca prejudicii utilizatorilor finali: fura, distorsionează, plantează sau distruge informațiile stocate, încalcă integritatea software-ului și chiar elimina hardware-ul stația de capăt. Pentru a preveni aceste impacturi nedorite, este necesar să se prevină accesul neautorizat, pentru care este adesea folosit un Firewall. Însuși numele Firewall (perete - din zidul englezesc) își ascunde scopul, adică. servește ca un zid între rețeaua locală protejată și Internet sau orice altă rețea externă și previne orice amenințări. Pe lângă cele de mai sus, un firewall poate îndeplini și alte funcții legate de filtrarea traficului de la/către orice resursă de Internet.

Principiul de funcționare al Firewall se bazează pe controlul traficului care vine din exterior. Pot fi selectate următoarele metode de monitorizare a traficului dintre rețelele locale și externe:

1. Filtrarea pachetelor– bazat pe configurarea unui set de filtre. În funcție de faptul dacă pachetul primit îndeplinește condițiile specificate în filtre, acesta este trecut în rețea sau aruncat.

2. Server proxy– este instalat un dispozitiv server proxy suplimentar între rețelele locale și externe, care servește drept „poartă” prin care trebuie să treacă tot traficul de intrare și de ieșire.

3. Inspecție de stat– inspecția traficului de intrare este una dintre cele mai avansate modalități de implementare a unui Firewall. Inspecția nu înseamnă analiza întregului pachet, ci doar partea sa cheie specială și compararea acestuia cu valorile cunoscute anterior din baza de date a resurselor permise. Această metodă oferă cea mai mare performanță de firewall și cele mai mici întârzieri.

Un firewall poate fi implementat în hardware sau software. Implementarea specifică depinde de dimensiunea rețelei, volumul de trafic și sarcinile necesare. Cel mai comun tip de firewall este software-ul. În acest caz, este implementat ca un program care rulează pe computerul final sau pe un dispozitiv de rețea de margine, de exemplu. În cazul implementării hardware, Firewall-ul este un element de rețea separat, care de obicei are capacități de performanță mai mari, dar îndeplinește sarcini similare.

Firewall vă permite să configurați filtre care sunt responsabile pentru trecerea traficului în funcție de următoarele criterii:

1. adresa IP. După cum știți, orice dispozitiv final care funcționează conform protocolului trebuie să aibă o adresă unică. Setând o anumită adresă sau un anumit interval, puteți interzice primirea de pachete de la acestea sau, dimpotrivă, puteți permite accesul numai de la aceste adrese IP.

2. Numele domeniului. După cum știți, unui site web de pe Internet, sau mai degrabă adresa sa IP, i se poate atribui un nume alfanumeric, care este mult mai ușor de reținut decât unui set de numere. Astfel, filtrul poate fi configurat să permită trafic numai către/de la una dintre resurse, sau să interzică accesul la aceasta.

3. Port. Vorbim despre porturile software, i.e. puncte de acces la aplicații la serviciile de rețea. Deci, de exemplu, ftp folosește portul 21, iar aplicațiile pentru vizualizarea paginilor web folosesc portul 80. Acest lucru vă permite să interziceți accesul de la servicii și aplicații de rețea nedorite sau, dimpotrivă, să permiteți accesul numai la acestea.

4. Protocol. Firewall-ul poate fi configurat pentru a permite trecerea datelor dintr-un singur protocol sau pentru a interzice accesul folosindu-l. De obicei, tipul de protocol poate indica sarcinile pe care le realizează, aplicația pe care o folosește și setul de parametri de securitate. În acest fel, accesul poate fi configurat să ruleze o singură aplicație specifică și să prevină accesul potențial periculos folosind toate celelalte protocoale.

Mai sus sunt enumerați doar parametrii principali care pot fi configurați. Se pot aplica și alte setări de filtru specifice rețelei, în funcție de sarcinile efectuate în acea rețea.

Astfel, Firewall oferă un set cuprinzător de sarcini pentru a preveni accesul neautorizat, deteriorarea sau furtul datelor sau alte impacturi negative care pot afecta performanța rețelei. De obicei, un firewall este utilizat împreună cu alte instrumente de securitate, cum ar fi software-ul antivirus.

Numărul de incidente legate de securitatea informațiilor, potrivit agențiilor de analiză de top, este în continuă creștere. Experții responsabili cu securitatea informațiilor remarcă activitatea din ce în ce mai mare a atacatorilor externi folosind ultimele evoluții în domeniul atacului, încercând să pătrundă în rețelele corporative pentru a-și îndeplini faptele „murdare”.

Numărul de incidente legate de securitatea informațiilor, potrivit agențiilor de analiză de top, este în continuă creștere. Experții responsabili cu securitatea informațiilor remarcă activitatea din ce în ce mai mare a atacatorilor externi folosind ultimele evoluții în domeniul atacului, încercând să pătrundă în rețelele corporative pentru a-și îndeplini faptele „murdare”. Nu se limitează la furtul de informații sau la dezactivarea nodurilor de rețea. Nu este neobișnuit ca rețelele piratate să fie folosite pentru a lansa noi atacuri. Prin urmare, protejarea perimetrului unui sistem informațional este un element obligatoriu al sistemului de securitate a informațiilor unei organizații.

În același timp, pentru a determina componența componentelor de protecție a perimetrului care asigură nivelul minim (inițial) de securitate a informațiilor, este necesar să se analizeze cele mai comune amenințări la adresa resurselor informaționale ale organizației:
atacuri de rețea care vizează indisponibilitatea resurselor de informații (de exemplu, servere web, servicii de e-mail etc.) - atacuri DoS și DDoS;
compromiterea resurselor informaționale și escaladarea privilegiilor atât din partea insiderului, cât și a atacatorilor externi, atât în ​​scopul utilizării resurselor dumneavoastră, cât și în scopul producerii unor daune;
acțiuni ale codului software rău intenționat (viruși, viermi de rețea, troieni, spyware etc.);
scurgerea de informații confidențiale și furtul de date atât prin rețea (e-mail, FTP, web etc.) cât și prin medii externe;
diverse atacuri de rețea asupra aplicațiilor.

Pentru a minimiza amenințările la securitatea informațiilor, este necesar să se implementeze firewall-uri la diferite niveluri ale modelului OSI, așa cum se arată în tabel.

Masa. Firewall-uri și modele OSI

Funcționarea tuturor firewall-urilor se bazează pe utilizarea informațiilor de la diferite niveluri ale modelului OSI (tabel). Modelul OSI, dezvoltat de Organizația Internațională pentru Standardizare, definește șapte straturi la care sistemele informatice interacționează între ele, de la nivelul mediului fizic de transmisie până la nivelul programelor de aplicație utilizate pentru comunicații. În general, cu cât este mai mare nivelul modelului OSI la care un firewall filtrează pachetele, cu atât este mai mare nivelul de protecție pe care îl oferă.

Pot fi selectate următoarele metode de monitorizare a traficului dintre rețelele locale și externe:
1. Filtrarea pachetelor- bazat pe configurarea unui set de filtre. În funcție de faptul dacă pachetul primit îndeplinește condițiile specificate în filtre, acesta este trecut în rețea sau aruncat.
2. Această clasă de routere este un traducător de conexiune TCP. Gateway-ul acceptă cererea unui client autorizat pentru anumite servicii și, după verificarea validității sesiunii solicitate, stabilește o conexiune la destinație (gazdă externă). După aceasta, gateway-ul copiază pachetele în ambele direcții fără a le filtra. De regulă, destinația este specificată în avans, în timp ce pot exista multe surse. Folosind diferite porturi, puteți crea o varietate de configurații de conexiune. Acest tip de gateway vă permite să creați un traducător de conexiune TCP pentru orice serviciu bazat pe TCP definit de utilizator, să controlați accesul la acest serviciu și să colectați statistici privind utilizarea acestuia.
3. Server proxy- este instalat un dispozitiv server proxy suplimentar între rețelele locale și externe, care servește drept „poartă” prin care trebuie să treacă tot traficul de intrare și de ieșire. Inspecție de stat- inspecția traficului de intrare este una dintre cele mai avansate modalități de implementare a unui firewall. Inspecția înseamnă nu analiza întregului pachet, ci doar partea sa cheie specială și compararea acesteia cu valorile cunoscute anterior din baza de date a resurselor permise. Această metodă oferă cea mai mare performanță de firewall și cea mai mică latență.

Principiul de funcționare a unui firewall se bazează pe controlul traficului care vine din exterior.

Un firewall poate fi implementat în hardware sau software. Implementarea specifică depinde de dimensiunea rețelei, volumul de trafic și sarcinile necesare. Cel mai comun tip de firewall este software-ul. În acest caz, este implementat sub forma unui program care rulează pe computerul final sau pe un dispozitiv de rețea de margine, de exemplu, un router. În cazul implementării hardware, un firewall este un element separat de rețea, care de obicei are capacități de performanță mai mari, dar îndeplinește sarcini similare.

Firewall-ul vă permite să configurați filtre care sunt responsabile pentru trecerea traficului în funcție de următoarele criterii:
1. Adresa IP. După cum știți, orice dispozitiv final care operează prin protocolul IP trebuie să aibă o adresă unică. Specificând o anumită adresă sau un anumit interval, puteți interzice primirea de pachete de la acestea sau, dimpotrivă, permiteți accesul numai de la aceste adrese IP.
2. Numele domeniului. După cum știți, unui site web de pe Internet, sau mai degrabă adresa sa IP, i se poate atribui un nume alfanumeric, care este mult mai ușor de reținut decât unui set de numere. Astfel, filtrul poate fi configurat să permită trafic numai către/de la una dintre resurse, sau să interzică accesul la aceasta.
3. Port. Vorbim despre porturile software, i.e. puncte de acces la aplicații la serviciile de rețea. De exemplu, ftp folosește portul 21, iar aplicațiile pentru vizualizarea paginilor web folosesc portul 80. Acest lucru vă permite să refuzați accesul de la servicii și aplicații de rețea nedorite sau, dimpotrivă, să permiteți accesul numai la acestea.
4. Protocol. Firewall-ul poate fi configurat pentru a permite trecerea datelor dintr-un singur protocol sau pentru a interzice accesul folosindu-l. De obicei, tipul de protocol poate indica sarcinile efectuate de aplicația pe care o folosește și setul de parametri de securitate. În acest fel, accesul poate fi configurat să ruleze o singură aplicație specifică și să prevină accesul potențial periculos folosind toate celelalte protocoale.

Mai sus sunt enumerați doar parametrii principali care pot fi configurați. Se pot aplica și alte setări de filtru specifice rețelei, în funcție de sarcinile efectuate în acea rețea.

Astfel, un firewall oferă un set cuprinzător de sarcini pentru a preveni accesul neautorizat, deteriorarea sau furtul datelor sau alte impacturi negative care ar putea afecta funcționalitatea rețelei. De obicei, un firewall este utilizat împreună cu alte instrumente de securitate, cum ar fi software-ul antivirus.

Crearea unei politici de filtrare pentru firewall-uri
Există două modalități principale de a crea seturi de reguli pentru firewall: „inclusiv” și „exclusiv”. Un firewall de excludere permite trecerea întregului trafic, cu excepția traficului care corespunde unui set de reguli. Un firewall inclusiv face exact opusul. Permite doar traficul care se potrivește cu regulile și blochează orice altceva.

Un firewall inclusiv oferă un grad mult mai mare de control asupra traficului de ieșire. Prin urmare, un firewall de activare este cea mai bună alegere pentru sistemele care oferă servicii pe Internet. De asemenea, controlează tipul de trafic generat în exterior și direcționat către rețeaua dumneavoastră privată. Traficul care nu se încadrează în reguli este blocat și se fac înregistrări corespunzătoare în fișierul de protocol. Firewall-urile inclusive sunt în general mai sigure decât firewall-urile exclusive, deoarece reduc semnificativ riscul ca firewall-ul să permită traficul nedorit.

Securitatea poate fi îmbunătățită și mai mult prin utilizarea unui „paravan de protecție cu stare”. Un astfel de firewall stochează informații despre conexiunile deschise și permite doar traficul prin conexiuni deschise sau deschiderea de noi conexiuni. Dezavantajul unui firewall cu stare este că poate fi vulnerabil la atacurile Denial of Service (DoS) dacă multe conexiuni noi sunt deschise foarte repede. Majoritatea firewall-urilor permit o combinație de comportament cu stare și fără stat, permițându-vă să creați configurația optimă pentru fiecare sistem specific.

Ca exemplu, luați în considerare crearea unor reguli de filtrare într-un filtru simplu de pachete. Există mai multe opțiuni posibile la filtrarea pachetelor. Cel mai simplu este filtrarea adresei; constă în compararea adreselor din pachet cu adresele specificate în reguli. Dacă adresele se potrivesc, pachetul este transmis. Această comparație se face după cum urmează:

1. Puteți lua în considerare următoarea regulă: toate gazdele din rețeaua 10.1.x.x pot comunica cu gazdele din rețeaua 10.2.x.x. Această regulă este scrisă după cum urmează:

10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0
——- Sursa —— —— Destinație ——

Acum puteți aplica regula pachetului care este trimis de la gazda 10.1.1.2 la gazda 10.3.7.7. Să aplicăm o mască ambelor adrese - adresa din regulă și adresa din pachet. Apoi verifică dacă adresele sursă și destinație sunt aceleași. Ca rezultat vom avea:

Pentru adresa sursei:

10.1.0.0 și 255.255.0.0 = 10.1.0.0 (pentru regulă)
10.1.1.2 & 255.255.0.0 = 10.1.0.0 (pentru pachet)

După aplicarea măștii, ambele adrese se potrivesc. Să verificăm acum adresa de destinație:

10.2.0.0 și 255.255.0.0 = 10.2.0.0 (pentru regulă)
10.3.7.7 & 255.255.0.0 = 10.3.0.0 (pentru pachet)

Deoarece adresele de destinație ale pachetului și regula nu se potrivesc după aplicarea măștii, această regulă nu trebuie aplicată acestui pachet.

Această operație se efectuează pe întreaga listă de adrese și măști sursă și destinație până când se ajunge la sfârșitul listei sau până când pachetul se potrivește cu una dintre reguli. Lista de reguli are următorul format:

10.1.1.2 & 255.255.255.255 — 10.2.0.0 & 255.255.0.0
10.3.3.2 & 255.255.255.255 — 10.1.2.1 & 255.255.255.255
10.1.1.0 & 255.0.0.0 — 10.2.3.0 & 255.255.255.0
10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0

Pe lângă adresele sursă și destinație, fiecare pachet IP conține informații despre protocolul și serviciul utilizat. Poate fi folosit ca un parametru suplimentar de filtrare.

De exemplu, serviciile din protocolul TCP sunt întotdeauna asociate cu un port. Ca rezultat, puteți potrivi lista de porturi cu adrese.

Să folosim ca exemplu două servicii binecunoscute - POP3 și HTTP. POP3 folosește portul 110 și HTTP folosește portul 80. Prin urmare, putem adăuga aceste porturi la descrierea regulii. Ca rezultat obținem:

10.1.0.0 și 255.255.0.0 — 10.2.0.0 și 255.255.0.0 TCP 80 110
—— Sursă —— —— Destinație —— Protocol – Porturi —

Această regulă permite fiecărui pachet care călătorește de la rețeaua 10.1.x.x la rețeaua 10.2.x.x care utilizează servicii HTTP și POP3 să treacă prin firewall.

În primul rând, adresele din regulă sunt comparate cu adresele pachetelor. Dacă, după aplicarea măștii, ambele adrese se potrivesc, protocolul și portul de destinație din pachet vor fi comparate cu protocolul și lista de porturi descrise în regulă. Dacă protocolul se potrivește și portul din regulă este același cu portul pachetului, atunci pachetul îndeplinește regula. În caz contrar, căutarea va continua în lista de reguli.

Având în vedere aceste noi informații, setul de reguli va avea următorul format:

10.1.1.2 și 255.255.255.255 — 10.2.0.0 și 255.255.0.0 UDP 53
10.3.3.2 și 255.255.255.255 — 10.1.2.1 și 255.255.255.255 TCP 80
10.1.1.0 și 255.0.0.0 — 10.2.3.0 și 255.255.255.0 TCP 21 20 113
10.1.0.0 și 255.255.0.0 — 10.2.0.0 și 255.255.0.0 ICMP 0 8

Pe lângă acești parametri de filtrare de bază, puteți adăuga mai mulți. Una dintre ele este interfața de rețea sursă; Folosind numele interfeței de rețea ca parametru de filtrare, puteți permite pachetelor cu adrese specifice să treacă doar dintr-o interfață dată.

Scopul acestei proceduri este de a bloca un atac cunoscut sub numele de IP spoofing, a cărui esență este că un pachet cu o adresă sursă falsă (din rețeaua internă) este trimis către rețeaua internă. Folosind numele interfeței de rețea ca parametru, acest tip de atac poate fi ușor blocat. De exemplu, dacă rețeaua internă comunică cu firewall-ul prin interfața de0, atunci trebuie doar să setați regulile ca pachetele cu o adresă sursă din rețeaua internă să fie acceptate numai dacă provin de la această interfață; în toate celelalte cazuri vor fi aruncate.

În Odnoklassniki

\\ 06.04.2012 17:16

Un firewall este un set de sarcini pentru a preveni accesul neautorizat, deteriorarea sau furtul datelor sau alte impacturi negative care pot afecta performanța rețelei.

Firewall, numit și firewall(din engleză Firewall) sau firewall de pe gateway vă permite să oferiți utilizatorilor acces securizat la Internet, protejând în același timp conexiunile de la distanță la resursele interne. Firewall caută prin tot traficul care trece între segmentele de rețea și pentru fiecare pachet ia o decizie - să treacă sau să nu treacă. Un sistem flexibil de reguli firewall vă permite să refuzați sau să permiteți conexiuni pe baza numeroși parametri: adrese, rețele, protocoale și porturi.

Metode de monitorizare a traficului între rețelele locale și externe

Filtrarea pachetelor. În funcție de faptul dacă pachetul primit îndeplinește condițiile specificate în filtre, acesta este trecut în rețea sau aruncat.

Inspecție de stat. În acest caz, traficul de intrare este inspectat - una dintre cele mai avansate metode de implementare a unui Firewall. Inspecția nu înseamnă analiza întregului pachet, ci doar partea sa cheie specială și compararea acestuia cu valorile cunoscute anterior din baza de date a resurselor permise. Această metodă oferă cea mai mare performanță de firewall și cele mai mici întârzieri.

Server proxy În acest caz, între rețelele locale și externe este instalat un dispozitiv server proxy suplimentar, care servește drept „poartă” prin care trebuie să treacă tot traficul de intrare și de ieșire.

Firewall vă permite să configurați filtre care sunt responsabile pentru trecerea traficului prin:

Adresa IP. Setând o anumită adresă sau un anumit interval, puteți interzice primirea de pachete de la acestea sau, dimpotrivă, puteți permite accesul numai de la aceste adrese IP.

- Port. Firewall-ul poate configura puncte de acces la aplicații la serviciile de rețea. De exemplu, ftp folosește portul 21, iar aplicațiile de navigare web folosesc portul 80.

Protocol. Firewall-ul poate fi configurat pentru a permite trecerea datelor dintr-un singur protocol sau pentru a interzice accesul folosindu-l. Cel mai adesea, tipul de protocol poate indica sarcinile efectuate, aplicația pe care o folosește și setul de parametri de securitate. În acest sens, accesul poate fi configurat doar pentru a opera o aplicație specifică și pentru a preveni accesul potențial periculos folosind toate celelalte protocoale.

Numele domeniului. În acest caz, filtrul refuză sau permite conexiuni la anumite resurse. Acest lucru vă permite să refuzați accesul de la servicii și aplicații de rețea nedorite sau, dimpotrivă, să permiteți accesul numai la acestea.

Alți parametri pentru filtre specifice acestei rețele particulare pot fi utilizați pentru configurare, în funcție de sarcinile efectuate în ea.

Cel mai adesea, un firewall este utilizat împreună cu alte instrumente de securitate, de exemplu, software-ul antivirus.

Cum funcționează un firewall

Firewall poate fi facut:

Hardware. În acest caz, routerul, care este situat între computer și Internet, acționează ca un firewall hardware. Mai multe PC-uri pot fi conectate la firewall și toate vor fi protejate de firewall, care face parte din router.

Din punct de vedere programatic. Cel mai comun tip de firewall, care este un software specializat pe care utilizatorul îl instalează pe computerul său.

Chiar dacă este conectat un router cu un firewall încorporat, un firewall software suplimentar poate fi instalat pe fiecare computer individual. În acest caz, va fi mai dificil pentru un atacator să pătrundă în sistem.

Documente oficiale

În 1997, a fost adoptat Documentul de orientare al Comisiei Tehnice de Stat sub președintele Federației Ruse "Tehnologia computerelor. Firewall-uri. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații". Acest document stabilește cinci clase de securitate firewall, fiecare dintre acestea fiind caracterizată de un anumit set minim de cerințe pentru protecția informațiilor.

În 1998, a fost elaborat un alt document: „Cerințe temporare pentru dispozitivele de tip firewall.” Potrivit acestui document, sunt stabilite 5 clase de securitate firewall, care sunt folosite pentru protejarea informațiilor din sistemele automatizate care conțin instrumente criptografice.

Și din 2011 au intrat în vigoare cerințele legislative pentru certificarea firewall-ului. Astfel, dacă datele personale sunt prelucrate într-o rețea de întreprindere, atunci este necesară instalarea unui firewall certificat de Serviciul Federal pentru Controlul Exporturilor (FSTEC).

Recent, a existat o tendință de a limita confidențialitatea pe Internet. Acest lucru se datorează restricțiilor pe care reglementările guvernamentale ale internetului le impun utilizatorului. Reglementări guvernamentale privind internetul există în multe țări (China, Rusia, Belarus).

„Înșelătorie de înregistrare a numelui de domeniu în Asia” în RuNet! V-ați înregistrat sau ați achiziționat un domeniu și ați creat un site web pe acesta. Pe măsură ce trec anii, site-ul se dezvoltă și devine popular. Acum, venitul din acesta a fost deja „picurat”. Primești venituri, plătești domeniul, găzduirea și alte cheltuieli...