zapora ogniowa(firewall, firewall, firewall) - ściana ogniowa lub po prostu ściana między komputerem lub siecią komputerów i ogólnoświatowa sieć, czyli Internet. Mówiąc bardziej szczegółowo, jest to cały kompleks narzędzi programowych lub sprzętowych zaprojektowanych do kontrolowania ruchu przychodzącego i wychodzącego (pakietów sieciowych) zgodnie z ustalonymi regułami.

Główne zadanie zapory:

Ochrona twojego komputer osobisty lub sieć komputerów przed zagrożeniami zewnętrznymi, a mianowicie nielegalnym wejściem, dostępem do Twoich danych osobowych, systemu operacyjnego i plików z zewnątrz.

Co to są zapory sieciowe?

Wszystkie zapory można podzielić na dwa główne typy: sprzęt komputerowy oraz program. Rozwiązanie sprzętowe można kupić np. w sklepach Itel LTD, pomogą również w wyborze najbardziej odpowiedniego dla Ciebie oraz w razie potrzeby pomogą w instalacji i konfiguracji.

• Sprzęt to urządzenie będące routerem z wbudowaną zaporą ogniową. Bardziej odpowiedni dla lokalnych sieci różnych przedsiębiorstw, firm. Zaletą jest to, że jest instalowany osobno i nie zużywa zasobów komputera. Minusem jest jego cena.
• Oprogramowanie - to oprogramowanie. W rzeczywistości ściana, która chroni system operacyjny przed adapter sieciowy, ta ściana działa jak organ kontrolujący i zapobiega przedostawaniu się intruzów do systemu.

Zapora lub antywirus:

Czego potrzebujesz lub co wybierasz? Oba są to dwa zupełnie różne produkty, w związku z czym ich funkcje również są różne, mimo że produkty te mają na celu ochronę dane osobiste i mogą pracować w parach. Powinieneś zrozumieć różnicę między zaporą ogniową a programem antywirusowym. Program antywirusowy jest przeznaczony do wykrywania złośliwego oprogramowania oprogramowanie, wirusy komputerowe i już zainfekowanych, zmodyfikowanych plików, a także w celu zapobiegania infekcji system operacyjny i inne pliki. Zapora blokuje niepożądany ruch i zapobiega nieautoryzowany dostęp do systemu operacyjnego i plików.

Wniosek:

Firewall nie jest panaceum na wszystkie problemy, ale przy odpowiedniej konfiguracji może komplikować życie intruzom lub po prostu „życzliwym”. Dla większej niezawodności należy używać zapory sparowanej z programem antywirusowym, program antywirusowy może łączyć się z zaporą i dodatkowo filtrować ruch, ale wymaga to dużych kosztów sprzętu.

Zapory sieciowe

Jeśli chodzi o ochronę przed atakami, pierwszą rzeczą, która przychodzi do głowy większości użytkowników, są zapory ogniowe. I to jest naturalne. Ta technologia jest jednym z najwcześniejszych, a przez to najsłynniejszym. Czym więc jest firewall? Ogólnie rzecz biorąc, jest to narzędzie różnicujące dostęp między dwiema sieciami (lub w konkretnym przypadku węzłami) o różnych wymaganiach bezpieczeństwa. W najczęstszym przypadku między siecią firmową a Internetem instalowana jest zapora.

Zapora, która chroni wiele (przynajmniej dwa) węzły jednocześnie, ma na celu rozwiązanie dwóch zadań, z których każde jest ważne na swój sposób i w zależności od organizacji korzystającej z zapory ma wyższy priorytet niż pozostałe:
- Ograniczenie dostępu użytkowników zewnętrznych (w odniesieniu do chronionej sieci) do wewnętrznych zasobów sieci korporacyjnej. Takimi użytkownikami mogą być partnerzy, użytkownicy zdalni, hakerzy, a nawet pracownicy samej firmy próbujący uzyskać dostęp do serwerów baz danych chronionych przez zaporę sieciową.

Zróżnicowanie dostępu chronionych użytkowników sieci do zasobów zewnętrznych. Rozwiązanie tego problemu pozwala np. regulować dostęp do serwerów, które nie są wymagane do wykonywania obowiązków służbowych.

Wszystkie firewalle wykorzystują w swojej pracy jedną z dwóch wzajemnie wykluczających się zasad:
- „Wszystko, co nie jest wyraźnie zabronione, jest dozwolone”. Jedna strona ta zasada ułatwia administrowanie firewallem, ponieważ od administratora nie jest wymagana wstępna konfiguracja - firewall zaczyna działać natychmiast po podłączeniu do sieci zasilającej. Każdy pakiet sieciowy docierający do ITU jest przez nią przepuszczany, chyba że jest to zabronione przez przepisy. Z drugiej strony w przypadku złe ustawienie reguła ta sprawia, że ​​firewall jest siatką dziur, która nie chroni przed większością nieautoryzowanych działań opisanych w poprzednich rozdziałach. Dlatego w ten moment producenci
zapory praktycznie zrezygnowały ze stosowania tej zasady.
- "Wszystko jest zabronione, nie jest wyraźnie dozwolone." Ta zasada sprawia, że ​​ściana ogniowa jest prawie nie do zdobycia (jeśli na chwilę zapomnisz o możliwości podważenia tej ściany, ominięcia jej i przebicia się przez niezabezpieczone luki). Jednak, jak to zwykle bywa, zwiększając bezpieczeństwo, tym samym obciążamy administratora zabezpieczeń dodatkowymi zadaniami dla wstępne ustawienie podstawa reguł zapory. Gdy taki ITU zostanie włączony do sieci, staje się niedostępny dla wszelkiego rodzaju ruchu. Administrator musi zdefiniować jedną lub więcej reguł dla każdego typu dozwolonej interakcji.

Klasyfikacja
Do tej pory nie ma jednolitej i powszechnie uznawanej klasyfikacji zapór. Każdy producent wybiera dogodną dla siebie klasyfikację i dostosowuje ją do zapory ogniowej opracowanej przez tego producenta. Jednak w oparciu o powyższą nieformalną definicję ITU można wyróżnić następujące klasy, biorąc pod uwagę warstwy OSI lub stos TCP/IP:
- przełączniki działające w warstwie łącza danych;
- filtry sieciowe lub pakietowe, które, jak sama nazwa wskazuje, działają na poziomie sieci;
- bramy na poziomie sesji (proxy na poziomie obwodu);
- pośrednicy warstwy aplikacji (proxy aplikacji lub brama aplikacji);
- inspekcje stanowe.

Przełączniki
Urządzenia te działające w warstwie łącza danych nie są powszechnie klasyfikowane jako zapory sieciowe, ponieważ: ograniczają dostęp w obrębie lokalna sieć i nie może być używany do ograniczania ruchu z Internetu. Jednak biorąc pod uwagę fakt, że zapora dzieli dostęp między dwie sieci lub hosty, takie przypisanie jest całkiem rozsądne.

Wielu producentów przełączników, takich jak Cisco, Nortel, 3Com, umożliwia filtrowanie ruchu na podstawie adresów MAC zawartych w ramkach próbujących uzyskać dostęp do określonego portu przełącznika. Najbardziej efektywny ta okazja zaimplementowanych w rozwiązaniach Cisco, w szczególności w rodzinie przełączników Catalyst, które posiadają mechanizm Port Security. Należy jednak zauważyć, że prawie wszystkie nowoczesne karty sieciowe umożliwiają programową zmianę ich adresów MAC, co prowadzi do nieefektywności tej metody filtrowania. Dlatego istnieją inne parametry, które można wykorzystać jako funkcję filtrowania. Na przykład sieci VLAN, które rozdzielają ruch między nimi — ruch z jednej sieci VLAN nigdy nie przecina się z ruchem z innej sieci VLAN. Bardziej „zaawansowane” przełączniki mogą działać nie tylko na drugiej, ale także na trzeciej, czwartej (np. Catalyst), a nawet siódmej warstwie modelu OSI (np. TopLayer AppSwitch). Należy natychmiast zrobić małą uwagę. W terminologii jest trochę zamieszania. Niektórzy producenci wymieniają przełączanie na piątym poziomie, inni - na siódmym. Oba mają rację, ale… W celach marketingowych bardziej skuteczne wygląda stwierdzenie o przejściu na 7, a nie na 5 poziomów. Chociaż w rzeczywistości w obu przypadkach chodzi o to samo. W końcu w modelu TCP/IP jest tylko pięć poziomów, a ostatni poziom aplikacji obejmuje ostatnie trzy poziomy, które istnieją w modelu OSI/ISO.

Filtry pakietów
Filtry pakietów to jedne z pierwszych i najczęstszych zapór sieciowych, które działają w trzeciej warstwie sieci i podejmują decyzję o przepuszczeniu ruchu do sieci na podstawie informacji zawartych w nagłówku pakietu. Wiele filtrów może również działać na nagłówkach pakietów i wyższych poziomach (na przykład TCP lub UDP). Rozpowszechnienie tych firewalli wynika z faktu, że technologia ta jest wykorzystywana w zdecydowanej większości routerów (tzw. router screening, router screening), a nawet przełączniki (np. w rozwiązaniach Cisco). Jako parametry wykorzystywane w analizie nagłówków pakietów sieciowych można wykorzystać:
- adresy nadawców i odbiorców;
- typ protokołu (TCP, UDP, ICMP itp.);
- numery portów nadawców i odbiorców (dla ruchu TCP i UDP);
- inne parametry nagłówka pakietu (na przykład flagi nagłówka TCP).
Używając tych parametrów, opisanych w specjalnym zestawie reguł, możesz ustawić dość elastyczny schemat kontroli dostępu. Kiedy pakiet dociera do dowolnego interfejsu routera, najpierw określa, czy może dostarczyć pakiet do miejsca docelowego (tj. czy może przeprowadzić proces routingu). I dopiero wtedy router sprawdza zestawem reguł (tzw. lista kontroli dostępu, lista kontroli dostępu), sprawdzając, czy powinien trasować ten pakiet. Tworząc reguły dla filtrów pakietów, możesz korzystać z dwóch źródeł informacji: wewnętrznego i zewnętrznego. Pierwsze źródło zawiera już nazwane pola nagłówka pakietu sieciowego. Drugie, rzadziej używane źródło operuje na informacjach spoza pakietów sieciowych. Na przykład data i godzina przejścia pakietu sieciowego.

Filtry sieciowe, posiadające szereg zalet, nie są pozbawione wielu poważnych wad. Po pierwsze, ponieważ analizują one tylko nagłówek (takie filtry nazywają się bezstanowym filtrowaniem pakietów), pole danych pozostaje poza zakresem rozważań, co może zawierać informacje sprzeczne z polityką bezpieczeństwa. Na przykład to pole może zawierać polecenie dostępu do pliku haseł przez FTP lub HTTP, co jest oznaką wrogiej aktywności. Inny przykład. Filtr pakietów może wpuścić pakiet TCP do chronionej sieci z hosta, z którym nie są aktualnie otwarte żadne aktywne sesje. Ponieważ firewall działający w warstwie sieciowej nie analizuje informacji tkwiących w warstwie transportowej i wyższych, wtedy wpuści taki pakiet do sieci. Generalnie wadą filtrów pakietów jest to, że nie potrafią analizować ruchu w warstwie aplikacji, gdzie przeprowadzanych jest wiele ataków - przenikanie wirusów, robaków internetowych, odmowa usługi itp. Niektórzy dostawcy, tacy jak Cisco, oferują filtrowanie pakietów ze stanem, które przechowuje informacje stanowe w pamięci. bieżące sesje, który pomaga zapobiegać niektórym atakom (w szczególności tym opisanym w ostatnim przykładzie).

Kolejną wadą filtrów pakietów jest złożoność konfiguracji i administracji. Musisz utworzyć co najmniej dwie reguły dla każdego typu dozwolonej interakcji (dla ruchu przychodzącego i wychodzącego). Co więcej, niektóre reguły, np. zaimplementowane w rozwiązaniach Cisco, różnią się dla każdego interfejsu routera, co tylko komplikuje tworzenie tabeli reguł (listy kontroli dostępu). Niekontrolowany wzrost liczby reguł może prowadzić do dziur w pierwszej linii obrony tworzonych przez filtry pakietów. Znane są przypadki, w których tabele reguł routera zawierały tysiące reguł. Wyobraź sobie, z jakim bólem głowy musieliby się zmierzyć administratorzy, gdyby chcieli wyodrębnić problem z przepuszczaniem ruchu. I nie zapominaj, że podczas konfigurowania filtra może wystąpić sytuacja, w której jedna reguła jest sprzeczna z drugą. Wzrost liczby reguł niesie ze sobą kolejny problem - spadek wydajności firewalla. W końcu przychodzący pakiet jest sprawdzany pod kątem zgodności z tabelą reguł, zaczynając od jej góry, co z kolei wymaga dokładnego zwrócenia uwagi na kolejność reguł. To sprawdzenie jest przeprowadzane do momentu znalezienia pasującej reguły lub do osiągnięcia końca tabeli. W wielu implementacjach każda nowa reguła zmniejsza ogólną wydajność filtra, jeśli nie znacznie. Jednym z nielicznych wyjątków są wspomniane już produkty Cisco, które implementują wysoce wydajne mechanizmy przetwarzania ruchu sieciowego.

Kolejną wadą filtrów pakietów jest słabe uwierzytelnianie ruchu, które opiera się tylko na adresie nadawcy. Obecna wersja protokołu IP (v4) umożliwia łatwe sfałszowanie takiego adresu poprzez zastąpienie dowolnego z adresów należących do przestrzeni adresowej protokołu IP, tym samym implementując atak „spoofingu adresu” (IP Spoofing). A nawet jeśli adres komputera wysyłającego się nie zmienił, to co uniemożliwia napastnikowi siedzenie przy tym komputerze. W sumie filtr sieci nie pyta pakietu o identyfikator użytkownika i hasło, ponieważ ta informacja należy do warstwy aplikacji.

Dane ITU mogą być implementowane zarówno sprzętowo, np. w routerach filtrujących Cisco, jak i programowo, np. w Windows 2000, Unix itp. Co więcej, filtr pakietów można zainstalować nie tylko na urządzeniu znajdującym się na granicy dwóch sieci (np. na routerze), ale także na stanowisko pracy użytkownika, zwiększając tym samym jego bezpieczeństwo.

Jednak łatwość implementacji filtrów pakietów, ich wysoka wydajność i niski koszt (często takie filtry są swobodnie dystrybuowane) przewyższają te niedociągnięcia i powodują ich powszechną dystrybucję i stosowanie jako obowiązkowy (i często jedyny) element systemu bezpieczeństwa sieci. Ponadto są one integralną częścią prawie wszystkich zapór sieciowych, które wykorzystują stan, i są opisane poniżej.

Zalety	niedogodności
Wysoka prędkość.	Nie ma możliwości analizy warstwy aplikacji.
Łatwość wdrożenia.	Nie ma ochrony przed fałszowaniem adresów.
Ta funkcja jest wbudowana we wszystkie routery i wiele systemów operacyjnych, co nie wymaga dodatkowych kosztów finansowych.	Złożoność instalacji i administracji.
Niski koszt lub bezpłatna dystrybucja (w przypadku zakupu).	Wraz ze wzrostem liczby reguł wydajność może się zmniejszać.
	Wymagana jest szczegółowa znajomość usług sieciowych i protokołów.
	Nie ma kontroli stanu połączenia.
	Trudności w funkcjonowaniu w sieciach z dynamiczną alokacją adresów.

Ryż. „Filtr wsadowy”

Bramki na poziomie sesji
Brama warstwy sesji to kolejna technologia stosowana w firewallach, ale obecnie bardzo trudno jest ją znaleźć jako jedyną technologię zaimplementowaną w firewallu. Są one zazwyczaj dostarczane jako część bram aplikacji lub inspektorów stanu. Ponadto zapewnia nieco wyższy poziom ochrony niż filtry pakietów przy niższej wydajności.

Znaczenie technologii filtrowania na poziomie sesji polega na tym, że brama wyklucza bezpośrednią interakcję między dwoma węzłami, działając jako tzw. pośrednik (proxy), który przechwytuje wszystkie żądania z jednego węzła o dostęp do drugiego i po sprawdzeniu ważności takich żądań nawiązuje połączenie. Następnie brama na poziomie sesji po prostu kopiuje pakiety przesyłane w ramach tej samej sesji między dwoma węzłami bez dodatkowego filtrowania. Po ustanowieniu autoryzowanego połączenia bramka umieszcza odpowiednie informacje (adresy nadawcy i odbiorcy, status połączenia, informacje o numerze sekwencyjnym itp.) w specjalnej tabeli połączeń. Zaraz po zakończeniu sesji komunikacyjnej wpis na ten temat jest usuwany z tej tabeli. Wszystkie kolejne pakiety, które mogą zostać wygenerowane przez atakującego i „jakby związane” z już zakończonym połączeniem, są odrzucane.

Zaletą tej technologii, której SOCKS jest wybitnym przedstawicielem, jest to, że wyklucza ona bezpośredni kontakt między dwoma węzłami. Adres bramy warstwy sesji jest jedynym elementem wiążącym sieć zewnętrzna, zainfekowanych hakerami, z wewnętrznymi, chronionymi zasobami. Ponadto, ponieważ połączenie między węzłami jest nawiązywane dopiero po sprawdzeniu jego poprawności, brama uniemożliwia w ten sposób implementację fałszowania adresu, nieodłącznego od filtrów pakietów.

Mimo pozornej skuteczności tej technologii ma jedną bardzo poważną wadę – niemożność sprawdzenia zawartości pola danych. Tych. w ten sposób atakujący ma możliwość przejścia do chronionej sieci konie trojańskie i inne nieszczęścia internetowe. Ponadto opisana w poprzednich rozdziałach możliwość przejmowania sesji TCP (TCP hijacking) umożliwia atakującemu przeprowadzanie ataków nawet w ramach dozwolonej sesji.

Ryż. „Brama warstwy sesji”

Brokerzy warstwy aplikacji
Pośrednicy warstwy aplikacji są zasadniczo tacy sami jak bramy warstwy sesji, z jednym wyjątkiem. Pełnią również funkcję pośredniczącą między dwoma węzłami, wyłączając ich bezpośrednią interakcję, ale pozwalają im wniknąć w kontekst przesyłanego ruchu, ponieważ działają na poziomie aplikacji. Firewalle zbudowane w tej technologii zawierają tzw. pośrednicy aplikacji (proxy aplikacji), którzy „wiedząc” jak działa ta lub inna aplikacja, mogą przetwarzać generowany przez siebie ruch. W ten sposób pośrednicy ci mogą na przykład zezwolić na polecenie GET (pobierz plik) protokołu FTP w ruchu wychodzącym i zabronić polecenia PUT (wyślij plik) i na odwrót. Kolejną różnicą w stosunku do bram na poziomie sesji jest możliwość filtrowania każdego pakietu.

Jednak, jak widać z powyższego opisu, jeśli któraś z aplikacji nie posiada własnego brokera aplikacji, to zapora nie będzie w stanie przetworzyć ruchu takiej aplikacji i zostanie on odrzucony. Dlatego tak ważne jest, aby producent firewalla w odpowiednim czasie opracował serwery proxy dla nowych aplikacji, takich jak aplikacje multimedialne.

Zalety	niedogodności
Analiza na poziomie aplikacji i możliwość implementacji dodatkowych mechanizmów ochrony (np. analiza treści).	Brak możliwości analizy ruchu z „nieznanej” aplikacji.
Wyłączenie bezpośredniej komunikacji między dwoma węzłami.	Nie wysoka wydajność.
Wysoki poziom bezpieczeństwa.	Podatność na ataki na poziomie systemu operacyjnego i aplikacji.
Monitorowanie stanu połączenia.	Wymóg zmiany modyfikacji oprogramowania klienta.
	Nie zawsze istnieje pośrednik dla aplikacji opartych na protokołach UDP i RPC.
	Analiza dualna – na poziomie aplikacji i na poziomie pośredniczącym.

Ryż. „Broker warstwy aplikacji”

Państwowi Inspektorzy
Każda z tych klas zapór sieciowych ma szereg zalet i może służyć do ochrony sieci korporacyjnych. Jednak znacznie wydajniejsze byłoby połączenie wszystkich nazwanych klas ITU w jednym urządzeniu. Tak zrobiono w stanowych inspektorach, które łączą wszystkie zalety powyższych typów ekranów, począwszy od analizy ruchu z sieci, a skończywszy na poziomach aplikacji, co pozwala na łączenie pozornie niekompatybilnych rzeczy w jednym urządzeniu - wysoka wydajność i wysokie bezpieczeństwo. Te zapory umożliwiają kontrolowanie:
- każdy przesłany pakiet - na podstawie istniejącej tabeli reguł;
- każda sesja - na podstawie tabeli stanów;
- każda aplikacja - w oparciu o opracowanych pośredników.

Działając na zasadzie „zaawansowanej” bramy na poziomie sesji, inspektor stanu nie uniemożliwia jednak nawiązania połączenia między dwoma węzłami, ponieważ wydajność takiego firewalla jest znacznie wyższa niż na poziomie sesji i aplikacji brama, zbliżając się do wartości występujących tylko w filtrach pakietów. Inną zaletą zapór stanowych jest to, że są one niewidoczne dla użytkownika końcowego i nie wymagają dodatkowej konfiguracji ani ponownej konfiguracji oprogramowania klienckiego.

Kończąc opis klas firewalli, pragniemy zaznaczyć, że wprowadzony przez Check Point Software termin „stateful Inspection” tak upodobał sobie producentów, że obecnie bardzo trudno jest znaleźć firewall, który nie zostałby zaklasyfikowany do tej kategorii (nawet jeśli nie wdraża tej technologii). W związku z tym na rynku istnieją obecnie tylko dwie klasy zapór sieciowych - inspektorzy stanu i filtry pakietów.

Wybór zapory
Istnieje wspaniałe rosyjskie przysłowie: „Nie należy wkładać wszystkich jajek do jednego koszyka”. Właśnie na tej zasadzie musisz wybrać zaporę. Nie da się dokonać jednoznacznego wyboru na korzyść żadnego z tych ekranów. Lepiej jest, jeśli możesz użyć dwóch zapór ogniowych, budując w ten sposób warstwową obronę swojej sieci. Jeśli jeden z ekranów zostanie wyłączony, to do tego czasu jego wydajność nie zostanie przywrócona, cały cios przyjmie drugi ekran. Zwykle używa się kombinacji „filtr pakietów — inspektor stanu (lub proxy warstwy aplikacji)”. Ta kombinacja jest również dobra, ponieważ nie musisz wydawać pieniędzy na zakup filtra pakietów, który jest już wbudowany w router zainstalowany na brzegu sieci.

Możliwości
Oprócz filtrowania ruchu zapory umożliwiają wykonywanie innych, równie ważnych funkcji, bez których ochrona obwodowa byłaby niepełna. Oczywiście poniższa lista nie jest wyczerpująca, ale ten materiał nie jest przewodnikiem przy wyborze zapory. Wskazujemy tylko na niektóre sposoby obrony przed opisanymi wcześniej atakami.

Translacja adresów sieciowych
Jak pokazano wcześniej, aby przeprowadzić wiele ataków, atakujący musi znać adres swojej ofiary. Aby ukryć te adresy, a także topologię całej sieci, firewalle pełnią bardzo ważną funkcję - translację adresów sieciowych (translację adresów sieciowych). Tłumaczenie może odbywać się na dwa sposoby - dynamicznie i statycznie. W pierwszym przypadku adres jest przydzielany do hosta w momencie uzyskiwania dostępu do zapory. Po zakończeniu połączenia adres zostaje zwolniony i może być używany przez dowolny inny host w sieci firmowej. W drugim przypadku adres węzła jest zawsze powiązany z pojedynczym adresem ITU.

Ryż. „Tłumaczenie adresów sieciowych”

Uwierzytelnianie użytkownika
Zapory poza zezwoleniem lub odmową dostępu różne zastosowania do sieci może również wykonywać podobne akcje dla użytkowników, którzy chcą uzyskać dostęp do zewnętrznych lub wewnętrznych zasobów udostępnianych przez zaporę. Jednocześnie uwierzytelnianie użytkownika (uwierzytelnianie) może odbywać się zarówno po przedstawieniu konwencjonalnego identyfikatora (nazwy) i hasła, jak i przy użyciu bardziej niezawodnych metod, np. przy użyciu SecureID czy certyfikatów cyfrowych.

Ryż. "Uwierzytelnianie"

Rejestracja na wydarzenie
Będąc krytycznym elementem systemu ochrony sieci firmowej, zapora ma możliwość rejestrowania wszystkich naprawianych przez siebie działań. Takie działania obejmują nie tylko przekazywanie lub blokowanie pakietów sieciowych, ale także zmianę reguł kontroli dostępu przez administratora bezpieczeństwa oraz inne działania. Taka rejestracja umożliwia dostęp do utworzonych logów w miarę potrzeb - w przypadku incydentu bezpieczeństwa lub zebrania dowodów do przedłożenia sądowi lub do dochodzenia wewnętrznego.

Realizacja
Istnieją dwie opcje implementacji zapór — programowa i sprzętowo-programowa. Druga opcja może być również zaimplementowana na dwa sposoby – jako urządzenie specjalizowane oraz jako moduł w routerze lub przełączniku. Zainteresowanie oprogramowaniem i rozwiązaniami sprzętowymi wzrosło w ciągu ostatnich dwóch lat na całym świecie. Takie decyzje stopniowo zastępują „czyste” systemy oprogramowania i zacząć grać na pierwszych skrzypcach na tym rynku.

Pierwsze rozwiązanie jest obecnie najczęściej stosowane i na pierwszy rzut oka bardziej atrakcyjne. Wynika to z faktu, że zdaniem wielu, aby z niego korzystać, wystarczy zakupić oprogramowanie firewall i zainstalować je na dowolnym komputerze w organizacji. Jednak w praktyce nie zawsze jest tak, że organizacja dysponuje wolnym komputerem, a nawet spełniającym dość wysokie wymagania dotyczące zasobów systemowych. Dlatego wraz z nabyciem oprogramowania kupowany jest również komputer do jego instalacji. Następnie następuje proces instalacji systemu operacyjnego na komputerze i jego konfiguracji, co również wymaga czasu i zapłaty za pracę instalatorów. Dopiero po tym instalowane i konfigurowane jest oprogramowanie systemu wykrywania włamań. Jak widać, korzystanie ze zwykłego komputera osobistego nie jest tak proste, jak się wydaje na pierwszy rzut oka. Dlatego w ostatnich latach upowszechniły się specjalistyczne rozwiązania sprzętowe i programowe zwane urządzeniami zabezpieczającymi. Dostarczane są jako specjalne systemy sprzętowe i programowe, które wykorzystują wyspecjalizowane lub konwencjonalne systemy operacyjne (zwykle oparte na FreeBSD lub Linux), "przycięte" do wykonywania tylko określonych funkcji. Zaletami takich rozwiązań są:
- Łatwość wdrożenia w technologii przetwarzania informacji. Ponieważ urządzenia te są fabrycznie zainstalowane i skonfigurowane z systemem operacyjnym i mechanizmami bezpieczeństwa, wystarczy podłączyć je do sieci, co zajmuje kilka minut. I choć część konfiguracji nadal jest wymagana, czas na nią poświęcony jest znacznie krótszy niż w przypadku instalacji i konfiguracji firewalla od podstaw.
- Łatwość kontroli. Urządzenia te mogą być sterowane z dowolnej stacji roboczej Windows 9x, NT, 2000 lub Unix. Konsola zarządzania komunikuje się z urządzeniem za pomocą standardowych protokołów, takich jak Telnet lub SNMP, lub specjalistycznych lub bezpiecznych protokołów, takich jak Ssh lub SSL.
- Występ. Dzięki temu, że wszystkie „niepotrzebne” usługi i podsystemy są wyłączone z systemu operacyjnego, urządzenie pracuje wydajniej pod względem wydajności i niezawodności.
- Odporność na awarie i wysoka dostępność. Zaimplementowanie firewalla w specjalnym urządzeniu pozwala na zaimplementowanie mechanizmów zapewniających nie tylko oprogramowanie, ale również odporność na awarie sprzętu i wysoką dostępność. Takie urządzenia są stosunkowo łatwe do klastrowania.
- Skoncentruj się na ochronie. Rozwiązywanie jedynie zadań zapewnienia bezpieczeństwa sieci nie prowadzi do marnowania zasobów na wykonywanie innych funkcji, takich jak routing itp. Zwykle próba stworzenia urządzenia uniwersalnego, rozwiązującego wiele problemów na raz, nie prowadzi do niczego dobrego.

W raporcie opublikowanym przez niezależną firmę konsultingową Gartner Group w czerwcu 1997 roku napisano, że do 2002 roku 80% firm o przychodach od 20 do 200 milionów dolarów wybierze rozwiązania sprzętowe, a nie programowe. Głównym powodem takiego wyboru jest zapewnienie takiego samego wysokiego poziomu ochrony jak w rozwiązaniach programowych, ale za mniejsze pieniądze. Drugim powodem jest prostota i łatwość integracji takich rozwiązań z systemem korporacyjnym.

Na pierwszy rzut oka takie implementacje sprzętowe są znacznie droższe, ale to tylko na pierwszy rzut oka. Koszt oprogramowania i rozwiązania sprzętowego to około 5000-12000 USD. Koszt rozwiązania opartego na wykorzystaniu tylko oprogramowania realizującego podobne funkcje może być znacznie wyższy. I to pomimo tego, że samo oprogramowanie kosztuje mniej. Efekt ten uzyskuje się dzięki temu, że koszt oprogramowania obejmuje:
- Koszt komputera.
- Koszt licencjonowanej dystrybucji systemu operacyjnego.
- Koszt powiązanego oprogramowania (na przykład przeglądarki) Internet Explorer lub Oracle DBMS).
- Koszt instalacji i konfiguracji całego kompleksu jako całości. Zazwyczaj koszty te wynoszą 20-30% kosztów komponentów całego kompleksu.
- Koszt obsługi wszystkich komponentów kompleksu (komputera i jego komponentów sprzętowych, systemu operacyjnego, dodatkowego oprogramowania itp.).
W przypadku kompleksu oprogramowania i sprzętu te „dodatkowe” koszty nie istnieją, ponieważ są już wliczone w koszt „żelaza”.

Należy jednak od razu zauważyć, że wyspecjalizowany komputer to nie to samo, co router z funkcjami wykrywania włamań (na przykład routery z oprogramowaniem Cisco Secure Integrated Software). Jako producent routerów priorytetem jest zawsze usprawnienie procesu i zwiększenie szybkości routingu. I dopiero wtedy próbuje realizować funkcje ochronne. Dlatego dokonując wyboru między routingiem a ochroną, zawsze wybierają routing. Jak pokazuje praktyka, zastosowanie mechanizmów ochronnych na routerach znacznie zmniejsza ich wydajność. Zarówno funkcje ochronne ograniczony.

niedogodności
Niektóre wady nieodłącznie związane z zaporami zostały już wymienione powyżej, a także sposoby ich ominięcia. Poniżej wymieniamy kilka z nich.

Ograniczanie funkcjonalności usług sieciowych
Niektóre sieci korporacyjne wykorzystują topologie trudne do „dogadania się” z zaporą (np. rozgłaszanie ruchu) lub korzystają z niektórych usług (np. NFS) w taki sposób, że zastosowanie ITU wymaga znacznej restrukturyzacji cała infrastruktura sieciowa. W takiej sytuacji względny koszt nabycia i skonfigurowania zapory można porównać do szkód związanych z brakiem zapory.

Zdecydować ten problem jest to możliwe tylko dzięki odpowiedniemu zaprojektowaniu topologii sieci na początkowym etapie tworzenia korporacyjnego systemu informatycznego. Pozwoli to nie tylko na obniżenie późniejszych kosztów materiałowych na nabycie narzędzi ochrony informacji, ale także na efektywną integrację firewalli z istniejącą technologią przetwarzania informacji. Jeśli sieć jest już zaprojektowana i działa, warto rozważyć zastosowanie innego rozwiązania zamiast zapory, na przykład systemu wykrywania włamań.

Potencjalnie niebezpieczne funkcje
Nowe funkcje, które pojawiły się niedawno, ułatwiając życie użytkownikom Internetu, zostały opracowane z myślą o niewielkim lub żadnym zabezpieczeniu. Na przykład JavaScript, Java, ActiveX i inne usługi zorientowane na dane. Specyfika kodu mobilnego jest taka, że ​​może on służyć zarówno jako środek do przeprowadzania ataków, jak i jako obiekt ataku. W pierwszym przypadku niebezpieczeństwo polega na tym, że kod mobilny jest pobierana na komputer użytkownika i wykonywana na nim jako zwykły program, uzyskując dostęp do zasobów systemowych. Druga opcja z reguły służy do modyfikacji kodu mobilnego - jako wstępny krok przed przeprowadzeniem ataków na lokalny komputer użytkownika. Ataki na kod mobilny, jako sposób wykonywania jakichkolwiek funkcji, nie zostały jeszcze rozpowszechnione. Wynika to z faktu, że kod mobilny nie jest jeszcze używany do wykonywania żadnych poważnych operacji, na przykład transakcji finansowych. Chociaż znane są już przykłady systemów bankowych, w tym rosyjskich, wykorzystujących technologię Java do pracy z klientem.

Jako narzędzie do przeprowadzania ataków, kod mobilny może zostać zaimplementowany jako:
- wirus, który atakuje System informacyjny i niszczy dane na dyskach lokalnych, stale modyfikując ich kod, co utrudnia ich wykrycie i usunięcie;
- agent przechwytujący hasła, numery karty kredytowe itp.;
- program kopiujący poufne pliki zawierające informacje biznesowe i finansowe;
- I tak dalej.

Takie programy mogą być zamaskowane jako animowane banery, interaktywne gry, pliki dźwiękowe itp. Rosyjscy użytkownicy rzadko używają komputera do transakcji finansowych i innych działań, które mogłyby naruszyć poufność danych. Dlatego spójrzmy na przykłady wrogiego kodu mobilnego, który zakłóca funkcjonowanie hosta, na którym działa. Jest to najłatwiejsze do wdrożenia, a co za tym idzie, najczęściej wykorzystywane zagrożenie, na które może być narażony każdy użytkownik. Sieci internetowe Takie zagrożenie może wykonać:
- tworzenie procesów o wysokim priorytecie, które wykonują nieautoryzowane działania;
- generowanie dużej ilości okien;
- "przechwytywanie" dużej ilości pamięci i ważnych klas systemowych;
- ładowanie procesora w nieskończonej pętli;
- itp.

Typowym podejściem stosowanym w wykrywaniu kodu mobilnego jest skanowanie całego ruchu przychodzącego na portach 80 lub 443 używanych przez protokoły HHTP i HTTPS w celu wyszukania elementów, takich jak pasujące tagi. Ale to nie wystarczy, aby zatrzymać kod mobilny, ponieważ kontrolki ActiveX i aplety Java można uzyskać również na inne sposoby. Jako przykład wyobraź sobie, że aplet Java (zwykle z rozszerzeniem .class) podszywa się pod obraz (tj. ma rozszerzenie gif lub jpg). Jeśli zapora myśli, że jest to obraz, to jest dozwolone w sieci i ładowane do pamięci podręcznej przeglądarki, po czym przeglądarka zawiesza się, ponieważ pobrany plik nie jest obrazem. Nie ma to jednak znaczenia – kod mobilny jest już na komputerze. A jeśli później da się go aktywować, może być poważne problemy z bezpieczeństwem systemu. Innym sposobem uzyskania dostępu jest użycie niestandardowego portu do uruchomienia serwera WWW.

Jedną z opcji ochrony, na przykład dla apletów Java, można rozważyć skanowanie całego ruchu przechodzącego w chronionym segmencie w celu zidentyfikowania obecności określonych sekcji kodu. To wykrywanie odbywa się poprzez szukanie liczby identyfikującej kod bajtowy, który w postaci szesnastkowej wygląda jak „CA FE BA BE”. Jednak to podejście praktycznie nie jest stosowane przez dostawców zabezpieczeń, ponieważ ruch jest zwykle zbyt intensywny, aby filtrować jego przepływ przez każdy port w celu zidentyfikowania określonych fragmentów tekstu.

Wirusy i ataki
Praktycznie żaden firewall nie ma wbudowanych mechanizmów chroniących przed wirusami i ogólnie przed atakami. Z reguły możliwość tę realizuje się poprzez przystąpienie do ITU dodatkowe moduły lub programy innych firm (na przykład ochrona antywirusowa Trend Micro dla ITU Check Point Firewall-1 lub system wykrywania włamań RealSecure). Stosowanie niestandardowych archiwizatorów lub formatów przesyłanych danych, a także szyfrowanie ruchu, zmniejsza wszystkie ochrona antywirusowa"nie". Jak chronić się przed wirusami lub atakami, jeśli przechodzą przez zaporę sieciową w postaci zaszyfrowanej i są odszyfrowywane tylko na urządzeniach końcowych klientów?

W takim przypadku lepiej jest zachować ostrożność i zabronić przesyłania danych w nieznanym formacie przez zaporę sieciową. Obecnie nic nie jest dostępne, aby kontrolować zawartość zaszyfrowanych danych. W tym przypadku pozostaje mieć nadzieję, że ochrona przed wirusami i atakami jest realizowana na urządzeniach końcowych. Na przykład za pomocą agentów systemowych systemu RealSecure.

Obniżenie wydajności
Bardzo często zapory sieciowe stanowią wąskie gardło sieci, zmniejszając jej przepustowość. W przypadkach, w których konieczne jest przeanalizowanie nie tylko nagłówka (jak robią to filtry pakietów), ale także zawartości każdego pakietu („proxy”), wydajność zapory znacznie się zmniejsza. W przypadku sieci o dużym natężeniu ruchu stosowanie konwencjonalnych zapór ogniowych staje się niepraktyczne. W takich przypadkach wykrywanie ataków i reagowanie na nie powinny być stawiane na pierwszym miejscu, a ruch powinien być blokowany tylko w przypadku bezpośredniego zagrożenia. Co więcej, niektóre narzędzia do wykrywania włamań (na przykład BlackICE Gigabit Sentry) mogą działać z prędkością gigabitową.

Kompromisem między typami zapór ogniowych jest większa elastyczność w filtrowaniu pakietów w porównaniu z większym bezpieczeństwem i większymi możliwościami zarządzania w bramach warstwy aplikacji lub inspektorach stanu. Chociaż na pierwszy rzut oka wydaje się, że filtry pakietów powinny być szybsze, ponieważ są prostsze i przetwarzają tylko nagłówki pakietów bez wpływu na ich zawartość, nie zawsze jest to prawdą. Wiele zapór bram aplikacji działa szybciej niż routery i jest najlepszym wyborem do kontroli dostępu. Wynika to z faktu, że jak już wspomniano routery nie są urządzeniami specjalistycznymi i funkcje filtrowania nie są dla nich priorytetem.

Zapory osobiste
W ciągu ostatnich kilku lat struktura sieci korporacyjnych uległa dużym zmianom. Jeśli wcześniej można było jasno wytyczyć granice takich sieci, teraz jest to prawie niemożliwe. Jeszcze do niedawna taka granica przechodziła przez wszystkie routery lub inne urządzenia (np. modemy), przez które realizowany był dostęp do sieci zewnętrznych. W odległych biurach organizacji sytuacja była podobna. Jednak teraz pełnym użytkownikiem sieci chronionej przez zaporę sieciową jest pracownik znajdujący się poza chronionym obwodem. Pracownicy ci to użytkownicy, którzy pracują w domu lub są w podróży służbowej. Czy potrzebują ochrony? Niewątpliwie. Ale wszystkie tradycyjne zapory są zbudowane w taki sposób, że chronieni użytkownicy i zasoby muszą być pod ochroną ich ochrony, tj. od wewnątrz, co jest niemożliwe dla użytkowników mobilnych. Aby rozwiązać ten problem, zaproponowano dwa podejścia - wirtualne sieci prywatne (wirtualna sieć prywatna, VPN), które zostaną opisane poniżej, oraz zapory rozproszone (zapora rozproszona). Przykładem pierwszego rozwiązania jest VPN-1 firmy Check Point Software (http://www.checkpoint.com). Taki schemat, podobny do rozpościerania macek ośmiornicy, miał tylko jedną wadę – sam odległy węzeł był atakowany, choć dostęp do sieć korporacyjna był chroniony przed nieuprawnionymi wpływami. Zainstalowany na zdalnym Miejsce pracy koń trojański może umożliwić atakującemu przedostanie się przez zaporę i bezpieczny kanał. W końcu VPN szyfruje zarówno normalny, jak i nieautoryzowany ruch, nie rozróżniając między nimi. Wtedy narodziła się idea rozproszonego firewalla (rozproszonego firewalla), który byłby mini-ekranem chroniącym nie całą sieć, a jedynie oddzielny komputer. Przykładem takiego rozwiązania jest firma BlackICE Agent ochrona Internetu Systemy (http://www.iss.net) lub RealSecure Server Sensor tego samego producenta. Podobało mi się to rozwiązanie użytkownicy domowi, którzy w końcu otrzymali możliwość ochrony swoich komputerów przed intruzami grasującymi w sieci. Ale ponieważ wiele funkcji zapory rozproszonej (na przykład scentralizowane zarządzanie lub dystrybucja polityki bezpieczeństwa) było zbędnych dla użytkowników domowych, zmodyfikowano technologię zapory rozproszonej i nowe podejście nazwano „zaporą osobistą” (zaporą osobistą), wybitni przedstawiciele które są odpowiednio ZoneAlarm i BlackICE Defender firmy ZoneLabs (http://www.zonelabs.com) i ISS. Check Point Software wyprzedził konkurencję dzięki VPN-1 SecureClient i VPN-1 SecureServer, które nie tylko chronią komputery, na których są zainstalowane, przed atakami z zewnątrz, ale także chronią ruch wychodzący poza hosta (tj. organizowanie klienta\ serwer VPN). To właśnie ta decyzja sprawiła, że ​​sieci z rozmytymi granicami stały się przedmiotem zapór ogniowych.

Jaka jest różnica między zaporą osobistą a rozproszoną? Główna różnica to jedna - obecność scentralizowanej funkcji sterowania. Jeśli zapory osobiste są zarządzane tylko z komputera, na którym są zainstalowane i są idealne do użytku domowego, to rozproszonymi zaporami można zarządzać centralnie, z pojedynczej konsoli zarządzania zainstalowanej w głównym biurze organizacji. Takie różnice pozwoliły niektórym producentom wypuścić swoje rozwiązania w dwóch wersjach - osobistej (dla użytkowników domowych) i dystrybuowanej (dla użytkowników korporacyjnych). Na przykład zrobił to Internet Security Systems, który oferuje osobistą zaporę ogniową BlackICE Defender i rozproszoną zaporę ogniową BlackICE Agent.

Jakie funkcje powinna pełnić skuteczna osobista ITU? Po pierwsze, ten ekran nie powinien być program pasywny, który wykonuje tylko to, co blokuje ruch wchodzący do komputera zgodnie z określonymi kryteriami, które zwykle obejmują adres źródłowy i port. Atakujący od dawna nauczyli się omijać takie proste mechanizmy obronne, aw Internecie można znaleźć wiele programów, które mogą przebić się przez wiele tradycyjnych barier bezpieczeństwa. Przykładem takiego programu jest koń trojański SubSeven 2.2, który umożliwia wykonywanie dużej liczby funkcji na zaatakowanym komputerze bez wiedzy jego właściciela. Aby się zabezpieczyć, potrzebujesz narzędzia, które pozwoli przeprowadzić głębszą analizę każdego pakietu sieciowego kierowanego do chronionego węzła. Takim narzędziem jest system wykrywania włamań, który wykrywa ślady aktywności hakerów w ruchu przechodzącym przez zaporę sieciową. Nie ufa ślepo zezwalającym funkcjom, takim jak adres źródłowy i port. Jak wiadomo, protokół IP, na podstawie którego zbudowany jest współczesny Internet, nie posiada poważnych mechanizmów ochronnych, co ułatwia zmianę prawdziwego adresu, a tym samym uniemożliwia wyśledzenie napastnika. Mało tego, haker może „zastąpić” kogoś innego, zastępując swój adres adresem figuranta. I wreszcie, w przypadku niektórych ataków (na przykład „odmowa usługi”) adres źródłowy w ogóle nie jest potrzebny, a według statystyk w 95% przypadków adres ten jest zmieniany przez hakera. Jest dobra analogia. Osobista zapora ogniowa to strażnik w budynku, który wydaje przepustki wszystkim odwiedzającym. W takiej sytuacji napastnik może bez problemu wnieść do budynku broń lub bombę. Jeśli jednak przy wejściu zostanie zainstalowany wykrywacz metalu, sytuacja radykalnie się zmienia i napastnikowi nie jest już tak łatwo wnosić do chronionego obszaru przedmiotów zabronionych.

Niestety należy zauważyć, że niewiele zapór ogniowych ma wbudowany system wykrywania włamań. Jednym z takich rozwiązań są systemy BlackICE Defender i BlackICE Agent firmy Internet Security Systems. Każdy z komponentów rodziny BlackICE zawiera dwa główne moduły, które wykrywają i blokują nieautoryzowane działania - BlackICE Firewall i BlackICE IDS. BlackICE Firewall jest odpowiedzialny za blokowanie ruchu sieciowego z niektórych adresów IP i portów TCP/UDP. Wstępne blokowanie ruchu według określonych kryteriów pozwala zwiększyć wydajność systemu poprzez zmniejszenie liczby „niepotrzebnych” operacji przetwarzania nieautoryzowanego ruchu. Ten komponent można skonfigurować zarówno ręcznie, jak i w tryb automatyczny. W tym drugim przypadku rekonfiguracja następuje po wykryciu nieautoryzowanej aktywności przez moduł BlackICE IDS. Jednocześnie ruch może zostać zablokowany na dowolny okres czasu. BlackICE Firewall działa bezpośrednio z karta sieciowa, z pominięciem stosu protokołów wbudowanego w system operacyjny, co eliminuje niebezpieczeństwo wykorzystania wielu znanych luk w zabezpieczeniach związanych z nieprawidłową implementacją stosu w systemie operacyjnym. BlackICE IDS jest odpowiedzialny za wykrywanie ataków i innych śladów nieautoryzowanej aktywności w ruchu pochodzącym z modułu BlackICE Firewall i wykorzystuje zastrzeżony siedmiowarstwowy algorytm analizy protokołu.

Kolejnym mechanizmem, który musi posiadać skuteczna zapora osobista, jest ochrona przed niebezpiecznymi treściami, które można uzyskać z Internetu. Ta zawartość obejmuje aplety Java i formanty ActiveX, kod ShockWave oraz JavaScript, Jscript i VBScript. Za pomocą tych, z jednej strony, niezbędnych i wygodnych technologii, możesz wykonywać wiele nieautoryzowanych działań na swoim komputerze. Począwszy od wprowadzenia wirusów i instalacji koni trojańskich, a skończywszy na kradzieży lub usunięciu wszystkich informacji. Ponadto zapory osobiste muszą chronić przed plikami cookie, które mogą ujawnić poufne informacje o właścicielu komputera.

Do niektórych osobistych ITU (na przykład do Norton Internet Security by Symantec) ma wbudowane systemy antywirusowe, które oprócz wykrywania trojanów mogą również wykrywać dużą liczbę wirusów, w tym makrowirusy i robaki internetowe. Producenci często wbudowują w swoje produkty moduły VPN (np. PGP Desktop Security czy VPN-1 SecureClient), które odpowiadają za zapewnienie bezpiecznej interakcji z centralą.

Ponieważ Ponieważ rozproszone ekrany są zarządzane centralnie, muszą mieć skuteczny mechanizm konfiguracji, administracji i kontroli, który pozwala administratorowi bezpieczeństwa na uzyskanie szczegółowych informacji o zarejestrowanych próbach penetracji chronionych węzłów bez dodatkowego wysiłku. Ponadto w niektórych przypadkach konieczne jest wszczęcie postępowania w sprawie przestępstwa komputerowego lub zebranie dowodów w celu skontaktowania się z organami ścigania. I tutaj niezbędny będzie mechanizm śledzenia wstecznego zaimplementowany w niektórych firewallach. Na przykład wspomniany już BlackICE Agent i Defender pozwalają wyśledzić napastnika, który atakuje chroniony komputer i zebrać następujące informacje o hakerze:
- Adresy IP, DNS, WINS, NetBIOS i MAC komputera, z którego przeprowadzany jest atak.
- Nazwa, pod którą atakujący wszedł do sieci.

Ważna jest również możliwość zdalnej aktualizacji oprogramowania zapory osobistej (np. w VPN-1 SecureClient). W przeciwnym razie administrator musiałby niezależnie odwiedzić każdego z właścicieli komputera i zaktualizować jego oprogramowanie zabezpieczające. Wyobraź sobie, jaką burzę oburzenia wywołałoby to wśród właścicieli komputerów, którym przerwano by pracę. Zdalna i co najważniejsze niezauważalna dla właściciela komputera aktualizacja (w tym aktualizacja sygnatur ataków i wirusów) usuwa ten problem i ułatwia ciężką pracę administratora bezpieczeństwa. Wdrażając zdalne sterowanie, nie zapomnij o zabezpieczeniu ruchu przesyłanego między konsolą środkową a zdalni agenci. Atakujący może przechwycić lub sfałszować te polecenia, co zagraża bezpieczeństwu zdalnych hostów.

Wreszcie ta sekcja Chcę powiedzieć, że właściwy wybór osobistej lub rozproszonej zapory sieciowej zwiększy bezpieczeństwo komputerów, które w normalnych warunkach pozostają niechronione i mogą służyć jako punkt wejścia do sieci korporacyjnej.

11. Firewalle i ich rola w budowaniu bezpiecznych systemów

Zapora lub firewall - kompleks sprzętowy lub narzędzia programowe, który kontroluje i filtruje przechodzące przez nią pakiety sieciowe zgodnie z określonymi regułami.

Głównym celem zapory jest ochrona sieć komputerowa lub poszczególne węzły przed nieautoryzowanym dostępem. Również firewalle są często nazywane filtrami, ponieważ ich głównym zadaniem nie jest przepuszczanie (filtrowanie) pakietów, które nie spełniają kryteriów określonych w konfiguracji.

Niektóre zapory umożliwiają również translację adresów, czyli dynamiczne zastępowanie wewnętrznych (szarych) adresów lub portów na zewnętrzne używane poza siecią LAN.

Inne nazwy

Firewall (niem. Brandmauer) – termin zapożyczony z języka niemieckiego, który jest odpowiednikiem angielskiej zapory ogniowej w swoim pierwotnym znaczeniu (ściana oddzielająca sąsiednie budynki, zapobiegająca rozprzestrzenianiu się ognia). Co ciekawe w regionie technologia komputerowa w języku niemieckim używane jest słowo „Firewall”.

Firewall, firewall, firewall, firewall - powstałe w wyniku transliteracji angielskiego terminu firewall.

Rodzaje zapór sieciowych

Firewalle dzielą się na Różne rodzaje w zależności od następujących cech:

1. czy tarcza zapewnia połączenie między jednym węzłem a siecią, czy między dwiema lub większą liczbą różnych sieci;
2. na poziomie których protokołów sieciowych kontrolowany jest przepływ danych;
3. czy stany aktywnych połączeń są śledzone, czy nie.

W zależności od zasięgu kontrolowanych przepływów danych, zapory dzielą się na:

1. sieć tradycyjna ekran (lub firewall) - program (lub integralna część systemu operacyjnego) na bramie (serwerze przesyłającym ruch pomiędzy sieciami) lub rozwiązanie sprzętowe, które kontrolują przychodzące i wychodzące przepływy danych między połączonymi sieciami.
2. osobisty firewall- program zainstalowany na komputerze użytkownika i przeznaczony do ochrony tylko tego komputera przed nieautoryzowanym dostępem.

Przypadek zdegenerowany to użycie przez serwer tradycyjnej zapory sieciowej w celu ograniczenia dostępu do własnych zasobów.

W zależności od poziomu, na którym odbywa się kontrola dostępu, istnieje podział na zapory działające na:

1. warstwę sieciową, gdy filtrowanie odbywa się na podstawie adresów nadawcy i odbiorcy pakietów, numerów portów warstwy transportowej modelu OSI oraz reguł statycznych ustalonych przez administratora;
2. poziom sesji(znany również jako stateful) - śledzenie sesji pomiędzy aplikacjami, nieprzepuszczanie pakietów naruszających specyfikacje TCP/IP, często wykorzystywane w złośliwych operacjach - skanowanie zasobów, włamywanie się przez nieprawidłowe implementacje TCP/IP, zrywanie/spowalnianie połączeń, wstrzykiwanie danych.
3. warstwa aplikacji, filtrowanie na podstawie analizy danych aplikacji przesyłanych w ramach pakietu. Tego typu ekrany umożliwiają blokowanie przesyłania niechcianych i potencjalnie szkodliwych informacji na podstawie zasad i ustawień.

Niektóre rozwiązania określane jako firewalle warstwy aplikacji to serwery proxy z pewnymi możliwościami firewalla, implementujące przezroczyste serwery proxy, ze specjalizacją w protokołach. Możliwości serwera proxy i wieloprotokołowa specjalizacja sprawiają, że filtrowanie jest znacznie bardziej elastyczne niż klasyczne zapory, ale takie aplikacje mają wszystkie wady serwerów proxy (na przykład anonimizacja ruchu).

W zależności od śledzenia aktywnych połączeń, zapory to:

1. bezstanowe (proste filtrowanie), które nie śledzą bieżących połączeń (na przykład TCP), ale filtrują strumień danych wyłącznie na podstawie reguł statycznych;
2. stanowy, stanowa inspekcja pakietów (SPI)(filtrowanie na podstawie kontekstu), ze śledzeniem bieżących połączeń i pomijaniem tylko tych pakietów, które spełniają logikę i algorytmy odpowiednich protokołów i aplikacji. Tego typu zapory sieciowe pozwalają skuteczniej sobie z nimi radzić różne rodzaje Ataki DoS i luki w niektórych protokołach sieciowych. Ponadto zapewniają działanie protokołów takich jak H.323, SIP, FTP itp., które wykorzystują złożone schematy przesyłania danych między odbiorcami, które są trudne do opisania za pomocą statycznych reguł i często są niekompatybilne ze standardowymi, bezstanowymi zaporami sieciowymi.

Typowe cechy

1. filtrowanie dostępu do znanych niezabezpieczonych usług;
2. zapobieganie otrzymywaniu wrażliwych informacji z chronionej podsieci, a także wprowadzaniu fałszywych danych do chronionej podsieci z wykorzystaniem podatnych usług;
3. kontrola dostępu do węzłów sieci;
4. potrafi rejestrować wszystkie próby dostępu zarówno z zewnątrz, jak i z sieci wewnętrznej, co pozwala na bieżąco śledzić wykorzystanie dostępu do Internetu przez poszczególne węzły sieci;
5. regulowanie kolejności dostępu do sieci;
6. powiadomienia o podejrzanej aktywności, próbach sondowania lub atakowania hostów lub samego ekranu;

Ze względu na ograniczenia bezpieczeństwa niektóre usługi wymagane przez użytkownika, takie jak Telnet, FTP, SMB, NFS itd., mogą być blokowane. Dlatego konfiguracja zapory sieciowej wymaga udziału specjalisty ds. bezpieczeństwa sieci. W przeciwnym razie szkody spowodowane błędną konfiguracją mogą przewyższyć korzyści.

Należy również zauważyć, że użycie zapory wydłuża czas odpowiedzi i zmniejsza przepustowość, ponieważ filtrowanie nie jest natychmiastowe.

Problemy nie rozwiązane przez zaporę sieciową

Sam firewall nie jest panaceum na wszystkie zagrożenia sieciowe. W szczególności:

1. nie chroni węzłów sieci przed penetracją przez „włazy” (ang. backdoor) lub luki w oprogramowaniu;
2. nie zapewnia ochrony przed wieloma zagrożeniami wewnętrznymi, przede wszystkim wyciekami danych;
3. nie chroni przed pobieraniem przez użytkowników złośliwe oprogramowanie, w tym wirusy;

Do rozwiązania dwóch ostatnich problemów wykorzystywane są odpowiednie dodatkowe narzędzia, w szczególności antywirusy. Zwykle łączą się z firewallem i przepuszczają przez siebie odpowiednią część ruchu sieciowego, pracując jako transparentny serwer proxy dla innych węzłów sieci lub otrzymują kopię wszystkich przesyłanych danych z firewalla. Taka analiza wymaga jednak znacznych zasobów sprzętowych, dlatego zwykle przeprowadzana jest na każdym węźle sieci niezależnie.

Zapory sieciowe (firewall, firewall) umożliwiają filtrowanie ruchu przychodzącego i wychodzącego przez system. Zapora wykorzystuje jeden lub więcej zestawów „”reguł”” do sprawdzania pakietów sieciowych podczas ich wchodzenia lub wychodzenia połączenie internetowe, albo umożliwia przepływ ruchu, albo go blokuje. Reguły zapory mogą badać jedną lub więcej cech pakietów, w tym między innymi typ protokołu, adres źródłowy lub docelowy hosta oraz port źródłowy lub docelowy.

Zapory sieciowe mogą znacznie zwiększyć bezpieczeństwo hosta lub sieci. Mogą być używane do wykonywania jednego lub więcej z następujących zadań:

1. Aby chronić i izolować aplikacje, usługi i maszyny w sieci wewnętrznej przed niepożądanym ruchem pochodzącym z zewnętrznego Internetu.
2. Aby ograniczyć lub zabronić dostępu hostów sieci wewnętrznej do zewnętrznych usług internetowych.
3. Obsługa translacji adresów sieciowych (NAT), która umożliwia korzystanie z prywatnych adresów IP w sieci wewnętrznej i współdzielenie pojedynczego połączenia internetowego (albo przez pojedynczy dedykowany adres IP, albo przez adres z puli automatycznie przydzielanych adresów publicznych).

Jak działają zapory?

Istnieją dwa główne sposoby tworzenia zestawów reguł zapory: „włącznie” i „wyłącznie”. Zapora wykluczająca przepuszcza cały ruch z wyjątkiem ruchu zgodnego z zestawem reguł. Aktywująca zapora działa dokładnie w odwrotny sposób. Przepuszcza tylko ruch zgodny z regułami i blokuje wszystko inne.

Inkluzywna zapora zapewnia znacznie większy stopień kontroli nad ruchem wychodzącym. Dlatego włączanie zapory jest najlepszy wybór dla systemów świadczących usługi w Internecie. Kontroluje również rodzaj ruchu generowanego na zewnątrz i kierowanego do Twojej sieci prywatnej. Ruch, który nie podlega regułom, jest blokowany, a odpowiednie wpisy są wprowadzane w pliku dziennika. Zapory typu „inclusive” są generalnie bezpieczniejsze niż zapory typu „exclusive”, ponieważ znacznie zmniejszają ryzyko, że zapory przepuszczają niepożądany ruch.

Komentarz: O ile nie zaznaczono inaczej, wszystkie przykłady zestawów reguł i konfiguracji w tej sekcji dotyczą włączającego typu zapory.

Bezpieczeństwo można dodatkowo zwiększyć za pomocą „zapory stanowej”. Taka zapora zapisuje informacje o otwartych połączeniach i przepuszcza tylko ruch przez otwarte połączenia lub otwieranie nowych połączeń. Wadą zapory stanowej jest to, że może być podatna na ataki typu „odmowa usługi” (DoS), jeśli wiele nowych połączeń zostanie bardzo szybko otwartych. Większość zapór umożliwia łączenie zachowania stanowego i bezstanowego, co pozwala na stworzenie optymalnej konfiguracji dla każdego konkretnego systemu.

Co to jest zapora sieciowa

Firewall (inne nazwy firewall, firewall) to bariera ochronna między komputerem a siecią, do której jest podłączony. Kiedy łączysz się z Internetem, Twój komputer staje się widoczny dla świata zewnętrznego. Jesteś widoczny przez coś, co nazywa się portem. Port jest możliwy do zidentyfikowania pewna liczba zasób systemowy, przydzielony do aplikacji działającej na jakimś hoście sieciowym (komputerze lub innym) Urządzenie sieciowe), aby komunikować się z aplikacjami uruchomionymi na innych hostach sieciowych (w tym innymi aplikacjami na tym samym hoście). Takich portów jest wiele tysięcy i, jak wspomniano powyżej, każdy ma swój unikalny numer.

Najczęściej używane porty w sieci WWW to:

1. 80 - port do pobierania stron internetowych;
2. 110 - domyślnie używany do ładowania E-mail;
3. 25 to wartość domyślna do wysyłania wiadomości e-mail.

Celem zapory jest zamknięcie portów, których nie używasz. W przeciwnym razie za ich pośrednictwem atakujący lub złośliwe oprogramowanie (wirus, trojan) może przeniknąć do twojego komputera. Jeśli masz połączenie z Internetem, po prostu musisz mieć zaporę ogniową.

Co może się stać, jeśli nie używasz zapory?

Jeśli nie aktywujesz zapory po zainstalowaniu systemu operacyjnego lub jeśli nie jest ona domyślnie aktywowana, Twój system może zostać zaatakowany kilka minut po uzyskaniu dostępu do Internetu. Przez otwarte porty wirusy, robaki trojańskie i programy szpiegujące mogą się dostać, co przysporzy Ci wiele kłopotów w przyszłości, a Ty nawet o tym nie będziesz wiedział. Pewnego dnia renomowana publikacja PC Format za granicą przeprowadziła eksperyment, w wyniku którego system operacyjny na ich absolutnie niechronionym komputerze stał się całkowicie bezużyteczny po dwóch i pół godzinach surfowania po Internecie. Zapora może powstrzymać niektóre ataki, którym poddawany był komputer.

Nie należy również zakładać, że obecność tylko zapory sieciowej pomoże uchronić się przed wszelkimi problemami. Nie zapomnij o zainstalowaniu programu antywirusowego, a następnie regularnych aktualizacjach baz danych, a także regularnym pobieraniu i instalowaniu aktualizacji zabezpieczeń dla systemu Windows.

Jak zapora pomaga chronić Twój komputer

Większość zapór, w tym te wbudowane w system Windows, ostrzega o podejrzanym ruchu przychodzącym. Ale dobry firewall powinien również ostrzegać o podejrzanym ruchu wychodzącym. Na przykład wbudowany zapora systemu Windows XP nie wie, jak to zrobić, więc lepiej zastąpić go programem innego producenta. Obecność podejrzanego ruchu wychodzącego pomoże Ci zrozumieć, że Twójkomputer jest już zainfekowanyTrojan lub oprogramowanie szpiegujące.

Rodzaje zapór sieciowych

Zapory ogniowe można podzielić na dwie proste kategorie: sprzęt i oprogramowanie Zapora sprzętowa może być routerem, który znajduje się między komputerem a Internetem. W takim przypadku można do niego podłączyć kilka komputerów i wszystkie będą chronione przez zaporę sieciową, która jest częścią routera. Zapora programowa to specjalistyczne oprogramowanie, które użytkownik instaluje na swoim komputerze.

Nawet jeśli już masz router dzięki wbudowanej zaporze ogniowej można również zainstalować programową zaporę ogniową na każdym komputerze z osobna. Wtedy intruzowi będzie znacznie trudniej przeniknąć do twojego systemu.

Mam nadzieję, że udało mi się jasno wyjaśnić, czym jest firewall i ci, którzy nadal go nie używają, zaczną to robić.

Nie zapomnij zostawić komentarza. Do zobaczenia wkrótce!

Zapora

Ilustracja przedstawiająca lokalizację zapory (Firewall) w sieci.

Zapora lub zapora ogniowa- zestaw sprzętu lub oprogramowania, który kontroluje i filtruje przechodzące przez niego pakiety sieciowe zgodnie z określonymi regułami.

Głównym zadaniem firewalla jest ochrona sieci komputerowych lub pojedynczych węzłów przed nieautoryzowanym dostępem. Również firewalle są często nazywane filtrami, ponieważ ich głównym zadaniem nie jest przepuszczanie (filtrowanie) pakietów, które nie spełniają kryteriów określonych w konfiguracji.

Niektóre zapory umożliwiają również translację adresów - dynamiczne zastępowanie wewnętrznych (szarych) adresów lub portów zewnętrznymi używanymi poza siecią LAN.

Inne nazwy

zapora ogniowa, zapora ogniowa, zapora ogniowa, zapora ogniowa- utworzony przez transliterację angielskiego terminu zapora ogniowa.

Rodzaje zapór sieciowych

Firewalle dzielą się na różne typy w zależności od następujących cech:

• czy tarcza zapewnia połączenie między jednym węzłem a siecią, czy między dwiema lub większą liczbą różnych sieci;
• na poziomie których protokołów sieciowych kontrolowany jest przepływ danych;
• czy stany aktywnych połączeń są śledzone, czy nie.

W zależności od zasięgu kontrolowanych przepływów danych, zapory dzielą się na:

• sieć tradycyjna(lub intersieć) ekran- program (lub integralna część systemu operacyjnego) na bramie (serwerze przesyłającym ruch między sieciami) lub rozwiązanie sprzętowe kontrolujące przepływ danych przychodzących i wychodzących między połączonymi sieciami.
• osobisty firewall- program zainstalowany na komputerze użytkownika i przeznaczony do ochrony tylko tego komputera przed nieautoryzowanym dostępem.

Przypadek zdegenerowany to użycie przez serwer tradycyjnej zapory sieciowej w celu ograniczenia dostępu do własnych zasobów.

W zależności od poziomu, na którym odbywa się kontrola dostępu, istnieje podział na zapory działające na:

• Warstwa sieci gdy filtrowanie odbywa się na podstawie adresów nadawcy i odbiorcy pakietów, numerów portów warstwy transportowej modelu OSI oraz reguł statycznych ustalonych przez administratora;
• poziom sesji(znany również jako stateful) - śledzenie sesji pomiędzy aplikacjami, nieprzepuszczanie pakietów naruszających specyfikacje TCP/IP, często wykorzystywane w złośliwych operacjach - skanowanie zasobów, włamywanie się przez nieprawidłowe implementacje TCP/IP, zrywanie/spowalnianie połączeń, wstrzykiwanie danych.
• warstwa aplikacji, filtrowanie na podstawie analizy danych aplikacji przesyłanych w ramach pakietu. Tego typu ekrany umożliwiają blokowanie przesyłania niechcianych i potencjalnie szkodliwych informacji na podstawie zasad i ustawień. Niektóre z rozwiązań określanych jako firewalle warstwy aplikacji to serwery proxy z pewnymi możliwościami firewalla, implementujące przezroczyste serwery proxy, ze specjalizacją protokołu. Możliwości serwera proxy i wieloprotokołowa specjalizacja sprawiają, że filtrowanie jest znacznie bardziej elastyczne niż klasyczne zapory, ale takie aplikacje mają wszystkie wady serwerów proxy (na przykład anonimizacja ruchu).

W zależności od śledzenia aktywnych połączeń, zapory to:

• bezstanowe (proste filtrowanie), które nie śledzą bieżących połączeń (na przykład TCP), ale filtrują strumień danych wyłącznie na podstawie reguł statycznych;
• stanowa, stanowa inspekcja pakietów (SPI)(filtrowanie na podstawie kontekstu), ze śledzeniem bieżących połączeń i pomijaniem tylko tych pakietów, które spełniają logikę i algorytmy odpowiednich protokołów i aplikacji. Tego typu zapory sieciowe pozwalają skuteczniej radzić sobie z różnymi rodzajami ataków DoS i lukami w niektórych protokołach sieciowych. Dodatkowo zapewniają działanie protokołów takich jak H.323, SIP, FTP itp., które wykorzystują złożone schematy przesyłania danych między odbiorcami, które są trudne do opisania za pomocą statycznych reguł i często niekompatybilne ze standardowymi, bezstanowymi firewallami.

Typowe cechy

• filtrowanie dostępu do znanych niezabezpieczonych usług;
• zapobieganie otrzymywaniu wrażliwych informacji z chronionej podsieci, a także wprowadzaniu fałszywych danych do chronionej podsieci z wykorzystaniem podatnych usług;
• kontrola dostępu do węzłów sieci;
• potrafi rejestrować wszystkie próby dostępu zarówno z zewnątrz, jak i z sieci wewnętrznej, co pozwala na bieżąco śledzić wykorzystanie dostępu do Internetu przez poszczególne węzły sieci;
• regulowanie kolejności dostępu do sieci;
• powiadomienia o podejrzanej aktywności, próbach sondowania lub atakowania hostów lub samego ekranu;

Ze względu na ograniczenia bezpieczeństwa niektóre usługi wymagane przez użytkownika, takie jak Telnet , FTP , SMB , NFS itd., mogą być blokowane. Dlatego konfiguracja zapory sieciowej wymaga udziału specjalisty ds. bezpieczeństwa sieci. W przeciwnym razie szkody spowodowane błędną konfiguracją mogą przewyższyć korzyści.

Należy również zauważyć, że użycie zapory wydłuża czas odpowiedzi i zmniejsza przepustowość, ponieważ filtrowanie nie jest natychmiastowe.

Problemy nie rozwiązane przez zaporę sieciową

Sam firewall nie jest panaceum na wszystkie zagrożenia sieciowe. W szczególności:

• nie chroni węzłów sieci przed penetracją przez „włazy” (pol. tylne drzwi) lub luk w zabezpieczeniach oprogramowania;
• nie zapewnia ochrony przed wieloma zagrożeniami wewnętrznymi, przede wszystkim wyciekami danych;
• nie chroni użytkowników przed pobieraniem złośliwego oprogramowania, w tym wirusów;

Do rozwiązania dwóch ostatnich problemów wykorzystywane są odpowiednie dodatkowe narzędzia, w szczególności antywirusy. Zwykle łączą się z firewallem i przepuszczają przez siebie odpowiednią część ruchu sieciowego, pracując jako transparentny serwer proxy dla innych węzłów sieci lub otrzymują kopię wszystkich przesyłanych danych z firewalla. Taka analiza wymaga jednak znacznych zasobów sprzętowych, dlatego zwykle przeprowadzana jest na każdym węźle sieci niezależnie.

Literatura

• David W. Chapman, Jr., Andy Fox Cisco Secure PIX Firewalls = Cisco® Secure PIX® Firewalls. - M .: "Williams", 2003. - S. 384. - ISBN 1-58705-035-8

Uwagi

Zobacz też

Spinki do mankietów

	Konfigurowanie zapory w systemie Linux w Wikibooks

14 marca 2012

14.9. Zapory sieciowe

Zainteresowanie firewallami (firewall, firewall) ze strony osób podłączonych do Internetu rośnie, pojawiły się nawet aplikacje dla sieci lokalnej, które zapewniają zwiększony poziom bezpieczeństwa. W tej sekcji mamy nadzieję wyjaśnić, czym są zapory ogniowe, jak ich używać i jak używać funkcji dostarczanych przez jądro FreeBSD do ich implementacji.

14.9.1. Co to jest firewall?

W dzisiejszym Internecie istnieją dwa różne typy zapór sieciowych. Pierwszy typ jest bardziej poprawnie nazywany router filtrujący pakiety . Ten typ zapory działa na komputerze podłączonym do wielu sieci i stosuje zestaw reguł do każdego pakietu w celu określenia, czy pakiet jest przekazywany, czy blokowany. Drugi typ, znany jako Serwer proxy , zaimplementowane jako demony, które wykonują uwierzytelnianie i przekazywanie pakietów, prawdopodobnie na maszynie z wieloma połączenia sieciowe gdzie przekazywanie pakietów jest wyłączone w jądrze.

Czasami te dwa typy zapór są używane razem, więc tylko określona maszyna (znana jako gospodarz bastionu ) może wysyłać pakiety przez router filtrujący do sieci wewnętrznej. Usługi proxy działają na bezpiecznym hoście, który jest zwykle bezpieczniejszy niż konwencjonalne mechanizmy uwierzytelniania.

FreeBSD jest dostarczany z filtrem pakietów (znanym jako IPFW) wbudowanym w jądro i zostanie omówiony w dalszej części tej sekcji. Serwery proxy mogą być zbudowane na FreeBSD z oprogramowania innych firm, ale jest ich zbyt wiele do opisania w tej sekcji.

14.9.1.1. Routery filtrujące pakiety

Router to maszyna, która przekazuje pakiety między dwiema lub większą liczbą sieci. Router filtrujący pakiety jest zaprogramowany tak, aby porównywać każdy pakiet z listą reguł przed podjęciem decyzji, czy przekazać go dalej, czy nie. Większość współczesnego oprogramowania do routingu ma możliwości filtrowania, a wszystkie pakiety są domyślnie przekazywane. Aby włączyć filtry, musisz zdefiniować zestaw reguł.

Aby określić, czy pakiet powinien zostać przepuszczony, zapora wyszukuje w zestawie regułę, która odpowiada zawartości nagłówków pakietu. Po znalezieniu dopasowania wykonywane jest działanie przypisane do tej reguły. Akcja może polegać na odrzuceniu pakietu, przesłaniu go dalej, a nawet wysłaniu komunikatu ICMP na adres źródłowy. Liczy się tylko pierwszy mecz, ponieważ zasady są sprawdzane w określonej kolejności. Dlatego listę reguł można nazwać „łańcuchem reguł » .

Kryteria filtrowania pakietów zależą od używanego oprogramowania, ale zazwyczaj można zdefiniować reguły na podstawie źródłowego adresu IP pakietu, docelowego adresu IP, numeru portu źródłowego pakietu, numeru portu docelowego (w przypadku protokołów obsługujących porty), a nawet typ pakietu (UDP , TCP, ICMP itp.).

14.9.1.2. Serwery proxy

Serwery proxy to komputery, na których zwykłe demony systemowe ( telnet, ftpd itp.) zostały zastąpione przez serwery dedykowane. Te serwery nazywają się serwery proxy , ponieważ zwykle działają tylko z połączeniami przychodzącymi. Pozwala to na bieganie (na przykład) telnet serwer proxy na zaporze i zezwól na logowanie przez telnet do firewalla, przekazując mechanizm uwierzytelniania i uzyskując dostęp do sieci wewnętrznej (podobnie serwery proxy mogą być wykorzystane do uzyskania dostępu do sieci zewnętrznej).

Serwery proxy są zazwyczaj bezpieczniejsze niż inne serwery i często posiadają szerszy zestaw mechanizmów uwierzytelniania, w tym systemy haseł jednorazowych, dzięki czemu nawet jeśli ktoś wie, jakiego hasła użyłeś, nie może go użyć do uzyskania dostępu do systemu, ponieważ hasło wygasa natychmiast po jego pierwszym użyciu. Ponieważ hasło nie daje dostępu bezpośrednio do komputera, na którym znajduje się serwer proxy, znacznie trudniej jest zainstalować backdoora w systemie.

Serwery proxy zwykle mają sposób na dalsze ograniczenie dostępu, tak aby tylko niektóre hosty miały dostęp do serwerów. Większość pozwala również administratorowi określić, do których użytkowników i komputerów mają dostęp. Ponownie, dostępne opcje zależą głównie od używanego oprogramowania.

14.9.2. Na co pozwala IPFW?

Oprogramowanie IPFW dostarczane z FreeBSD to system filtrowania i liczenia pakietów, który znajduje się w jądrze i jest dostarczany z niestandardowym narzędziem konfiguracyjnym, które ipfw(8). Razem pozwalają definiować i przeglądać reguły używane przez jądro podczas routingu.

IPFW składa się z dwóch powiązanych ze sobą części. Zapora wykonuje filtrowanie pakietów. Część dotycząca śledzenia pakietów IP śledzi użycie routera w oparciu o reguły podobne do tych stosowanych w części zapory. Pozwala to administratorowi określić, na przykład, ilość ruchu, który router odbiera z konkretnego komputera lub ilość ruchu WWW, który przekazuje dalej.

Ze względu na sposób implementacji IPFW, można go również używać na komputerach niebędących routerami do filtrowania połączeń przychodzących i wychodzących. Jest to szczególny przypadek bardziej ogólnego użycia IPFW iw tej sytuacji używane są te same polecenia i techniki.

14.9.3. Włączanie IPFW we FreeBSD

Ponieważ większość systemu IPFW znajduje się w jądrze, będziesz musiał dodać jedną lub więcej opcji do pliku konfiguracyjnego jądra, w zależności od wymaganych funkcji, i przebudować jądro. Zapoznaj się z rozdziałem o przebudowie jądra (rozdział 8) dla szczegółowy opis Tej procedury.

Uwaga: Domyślna reguła IPFW to odmowa adresu IP z dowolnego na dowolny. Jeśli nie dodasz innych reguł podczas uruchamiania, aby umożliwić dostęp, to zablokować dostęp do serwera z zaporą sieciową obsługującą jądro po ponownym uruchomieniu. Sugerujemy ustawienie firewall_type=open w pliku /etc/rc.conf podczas początkowego dodawania zapory, a następnie edytowanie reguł w pliku /etc/rc.firewall po przetestowaniu, czy działa. Dodatkowym środkiem ostrożności może być wstępne skonfigurowanie zapory z poziomu konsoli lokalnej, zamiast logowania się przez cisza. Możliwe jest również zbudowanie jądra z opcjami IPFIREWALL i IPFIREWALL_DEFAULT_TO_ACCEPT. W takim przypadku domyślna reguła IPFW zostanie zmieniona, aby zezwolić na ip z dowolnego na dowolny, co zapobiegnie ewentualnemu blokowaniu.

Istnieją cztery opcje konfiguracji jądra związane z IPFW:

opcjeIPFIREWALL

Zawiera kod do filtrowania pakietów w jądrze.

OpcjeIPFIREWALL_VERBOSE

Umożliwia logowanie pakietów przez syslogd(8). Bez tego parametru, nawet jeśli określisz logowanie pakietów w regułach filtrowania, nie zadziała.

Opcje IPFIREWALL_VERBOSE_LIMIT=10

Ogranicza liczbę pakietów zarejestrowanych przez każdą regułę przez syslogd(8). Możesz użyć tej opcji, jeśli chcesz rejestrować aktywność zapory, ale nie chcesz dopuścić do ataku DoS poprzez zalewanie dziennika systemowego.

Gdy jedna z reguł w łańcuchu osiągnie limit określony przez parametr, logowanie dla tej reguły jest wyłączane. Aby włączyć logowanie, musisz zresetować odpowiedni licznik za pomocą narzędzia ipfw(8) :

# ipfw zero 4500

gdzie 4500 to numer reguły, dla której chcesz wznowić rejestrowanie.

Opcje IPFIREWALL_DEFAULT_TO_ACCEPT

Zmienia domyślną regułę z „odmów” na „zezwól”. Zapobiega to możliwemu blokowaniu, jeśli jądro jest załadowane z obsługą IPFIREWALL, ale zapora nie została jeszcze skonfigurowana. Ta opcja jest również przydatna, jeśli używasz ipfw(8) jako lekarstwo na pojawiające się problemy. Należy jednak zachować ostrożność podczas korzystania z tego ustawienia, ponieważ otwiera ono zaporę i zmienia jej zachowanie.

Komentarz: Poprzednie wersje FreeBSD zawierały opcję IPFIREWALL_ACCT. Ta opcja jest przestarzała, ponieważ kod automatycznie włącza księgowanie.

14.9.4. Ustawienie IPFW

Oprogramowanie IPFW jest konfigurowane za pomocą narzędzia ipfw(8). Składnia tego polecenia wygląda na bardzo złożoną, ale po zrozumieniu jej struktury staje się stosunkowo prosta.

Narzędzie wykorzystuje obecnie cztery różne kategorie poleceń: dodawanie/usuwanie, wyświetlanie, opróżnianie i czyszczenie. Dodaj/Usuń służy do tworzenia reguł określających sposób odbierania, odrzucania i rejestrowania pakietów. Wyszukiwanie służy do określenia zawartości zestawu reguł (nazywanego również łańcuchem) i liczników pakietów (rozliczanie). Reset służy do usuwania wszystkich reguł łańcucha. Wyczyść służy do resetowania jednego lub więcej liczników.

14.9.4.1. Zmiana zasad IPFW

ipfw [-N] polecenie [liczba] akcja adres protokół [opcje]

Przy użyciu tej formy polecenia dostępna jest jedna flaga:

Rozpoznawanie adresu i nazwy usługi po wyświetleniu.

Zapytał zespół można skrócić do krótszej unikalnej formy. Istniejący polecenia :

Dodawanie reguły do ​​listy filtrowania/księgowości

Usuwanie reguły z listy filtrowania/księgowania

Poprzednie wersje IPFW wykorzystywały oddzielne wpisy do filtrowania i zliczania pakietów. Nowoczesne wersje uwzględniają pakiety dla każdej reguły.

Jeśli podano wartość Pokój, służy do umieszczenia reguły w określonej pozycji w łańcuchu. W przeciwnym razie reguła jest umieszczana na końcu łańcucha z numerem 100 większym niż poprzednia reguła (nie obejmuje to domyślnej reguły 65535).

W przypadku opcji log odpowiednie reguły wyświetlają informacje na konsoli systemowej, jeśli jądro zostało zbudowane z opcją IPFIREWALL_VERBOSE.

Istniejący działania :

Odrzuć pakiet i wyślij pakiet na adres źródłowy ICMP wskazujący, że host lub port jest nieosiągalny.

Pomiń pakiet jak zwykle. (synonimy: przekaż, zezwól i zaakceptuj)

Upuść paczkę. Źródło nie otrzymuje komunikatu ICMP (tak jakby pakiet nigdy nie dotarł do miejsca docelowego).

Zaktualizuj licznik pakietów, ale nie stosuj do niego reguł zezwalania/odrzucania. Wyszukiwanie będzie kontynuowane z następną regułą w łańcuchu.

Każdy akcja można zapisać jako krótszy unikalny prefiks.

Można zdefiniować następujące: protokoły :

Pasuje do wszystkich pakietów IP

Dopasowuje pakiety ICMP

Dopasowuje pakiety TCP

Dopasowuje pakiety UDP

Pole adresy powstaje w ten sposób:

źródło adres/maska [Port] bramka adres/maska [Port]

Możesz określić Port tylko razem z protokoły które obsługują porty (UDP i TCP).

Parametr via jest opcjonalny i może zawierać adres IP lub nazwę domeny lokalnego interfejsu IP lub nazwę interfejsu (np. ed0), konfiguruje regułę tak, aby pasowała tylko do tych pakietów, które przechodzą przez ten interfejs. Numery interfejsów można zastąpić opcjonalną maską. Na przykład ppp* dopasuje interfejsy jądra PPP.

Składnia używana do wskazania adresy/maski:

adres lub adres/bity-maski lub adres:maska ​​szablonu

Zamiast adresu IP można podać istniejącą nazwę hosta. bity-maski jest to liczba dziesiętna wskazująca liczbę bitów do ustawienia w masce adresu. Na przykład 192.216.222.1/24 utworzy maskę pasującą do wszystkich adresów podsieci klasy C (w tym przypadku 192.216.222). Zamiast adresu IP można podać prawidłową nazwę hosta. maska ​​szablonu jest to adres IP, który zostanie logicznie pomnożony przez podany adres. Słowo kluczowe any może oznaczać „dowolny adres IP”.

Numery portów są podane w następującym formacie:

Port [,Port [,Port [.]]]

Aby określić pojedynczy port lub listę portów, lub

Port-Port

Aby określić zakres portów. Możesz również połączyć określenie pojedynczego zakresu z listą portów, ale zakres musi być zawsze wymieniony jako pierwszy.

Dostępny opcje :

Uruchamiany, jeśli pakiet nie jest pierwszym pakietem w datagramie.

Dopasowuje przychodzące pakiety.

Dopasowuje pakiety wychodzące.

Poptions specyfikacja

Uruchamiany, jeśli nagłówek IP zawiera oddzieloną przecinkami listę opcji określonych w specyfikacja. Obsługiwane opcje IP to ssrr (ścisła trasa źródłowa), lsrr (luźna trasa źródłowa), rr (zarejestrowana trasa pakietu) i ts (znacznik czasu). Efekt poszczególnych parametrów można zmienić, określając przedrostek !.

Przyjęty

Uruchamiany, jeśli pakiet jest częścią już ustanowionego połączenia TCP (tj. jeśli ustawione są bity RST lub ACK). Możesz poprawić wydajność zapory, umieszczając regułę z przyjęty blisko początku łańcucha.

Spełnia, jeśli pakiet jest próbą nawiązania połączenia TCP (bit SYN jest ustawiony, a bit ACK nie jest ustawiony).

Tcpflagi flagi

Uruchamiany, jeśli nagłówek TCP zawiera listę oddzieloną przecinkami flagi. Obsługiwane flagi: fin, syn, rst, psh, ack i urg. Działanie reguł dla poszczególnych flag można zmienić podając prefiks !.

icmptypes typy

Pożary, jeśli typ pakietu ICMP znajduje się na liście typy. Listę można określić jako dowolną kombinację zakresów i/lub poszczególnych typów oddzielonych przecinkami. Powszechnie używane typy ICMP to 0 odpowiedzi echa (odpowiedź ping), 3 miejsca docelowe nieosiągalne, 5 przekierowania, 8 żądań echa (żądanie ping) i 11 przekroczenia czasu (używane do wskazania wygaśnięcia TTL, jak w przypadku Trasa Trasy (8)).

14.9.4.2. Przeglądanie reguł IPFW

Składnia tej formy polecenia to:

ipfw [-a] [-c] [-d] [-e] [-t] [-N] [-S] lista

Istnieje siedem flag dla tego formularza polecenia:

Pokaż wartości liczników. Ten parametr jest jedynym sposobem wyświetlenia wartości liczników.

Zobacz reguły w kompaktowej formie.

Pokaż reguły dynamiczne oprócz statycznych.

Jeśli określono opcję -d, pokaż również wygasłe reguły dynamiczne.

Wyświetla czas ostatniego odpalenia dla każdej reguły w łańcuchu. Ta lista jest niezgodna z przyjętą składnią ipfw(8) .

Spróbuj rozwiązać podane adresy i nazwy usług.

Wyświetl zestaw, do którego należy każda reguła. Jeśli ta flaga nie zostanie określona, ​​zablokowane reguły nie będą wyświetlane.

14.9.4.3. Zresetuj reguły IPFW

Składnia resetowania reguł:

Wszystkie reguły w łańcuchu zostaną usunięte z wyjątkiem domyślnej reguły ustawionej przez jądro (numer 65535). Zachowaj ostrożność podczas resetowania reguł; reguła, która domyślnie odrzuca pakiety, odłącza system od sieci, dopóki do łańcucha nie zostaną dodane reguły zezwalające.

14.9.4.4. Czyszczenie liczników pakietów IPFW

Składnia do wyczyszczenia jednego lub więcej liczników pakietów to:

ipfw zero[ indeks]

W przypadku użycia bez argumentu Pokój wszystkie liczniki pakietów zostaną wyczyszczone. Jeśli indeks określony, operacja czyszczenia jest stosowana tylko do określonej reguły łańcucha.

14.9.5. Przykłady poleceń dla ipfw

Następujące polecenie odrzuci wszystkie pakiety z hosta evil.crackers.org do portu telnet hosta nice.people.org:

# ipfw dodaj deny tcp z evil.crackers.org do nice.people.org 23

Poniższy przykład odrzuca i rejestruje cały ruch TCP z sieci crackers.org (klasa C) do komputera nice.people.org (na dowolnym porcie).

# ipfw dodaj protokół tcp odmowy z evil.crackers.org/24 do nice.people.org

Jeśli chcesz uniemożliwić hostowanie sesji X w Twojej sieci (część sieci klasy C), następujące polecenie wykona niezbędne filtrowanie:

# ipfw dodaj deny tcp z any do my.org/28 6000 setup

Aby wyświetlić dokumentację księgową:

# ipfw -a lista lub w skróconej formie # ipfw -a l

Możesz także wyświetlić czas ostatniego uruchomienia reguł za pomocą polecenia:

14.9.6. Budowanie firewalla z filtrowaniem pakietów

Zdecydowanie zaleca się korzystanie z rejestrowanych wersji poleceń i włączenie logowania do jądra podczas pierwszej konfiguracji zapory, przed testowaniem wydajności i wprowadzeniem serwera do środowiska produkcyjnego. Pozwoli to szybko zidentyfikować problematyczne obszary i naprawić ustawienie bez większego wysiłku. Nawet po zakończeniu wstępnej konfiguracji zaleca się korzystanie z rejestrowania w przypadku „odmowy”, ponieważ umożliwia to monitorowanie możliwych ataków i zmianę reguł zapory w przypadku zmiany wymagań zapory.

Komentarz: Jeśli używasz zarejestrowanej wersji polecenia accept, bądź ostrożny, ponieważ może to utworzyć wielki ilość danych protokołu. Każdy pakiet przechodzący przez zaporę będzie rejestrowany, więc duże ilości ruchu FTP/http i innego ruchu znacznie spowalniają system. Zwiększy to również opóźnienie takich pakietów, ponieważ jądro musi wykonać dodatkową pracę przed przekazaniem pakietu. syslogd zużyje również znacznie więcej czasu procesora, ponieważ wyśle ​​wszystkie dodatkowe dane na dysk, a partycja /var/log może się szybko zapełnić.

Będziesz musiał włączyć firewall w /etc/rc.conf.local lub /etc/rc.conf. Odpowiednia strona podręcznika wyjaśnia dokładnie, co należy zrobić i zawiera przykłady gotowych ustawień. Jeśli nie używasz ustawienia wstępnego, polecenie ipfw list może umieścić bieżący zestaw reguł w pliku, skąd można go umieścić w plikach startowych systemu. Jeśli nie używasz /etc/rc.conf.local lub /etc/rc.conf do włączenia zapory, ważne jest, aby upewnić się, że jest ona włączona po skonfigurowaniu interfejsów.

Następnie musisz określić co dokładnie tworzy twoją zaporę! Zależy to głównie od tego, ile chcesz dostępu z zewnątrz do swojej sieci. Oto kilka ogólnych zasad:

Blokuj dostęp z zewnątrz do portów TCP poniżej 1024. Większość usług krytycznych dla bezpieczeństwa, takich jak finger, SMTP (poczta) i telnet, znajduje się tutaj.

blok całość przychodzący ruch UDP. Istnieje bardzo niewiele przydatnych usług, które działają przez UDP, ale zazwyczaj stanowią one zagrożenie dla bezpieczeństwa (np. protokoły RPC i NFS firmy Sun). Ta metoda ma również wady, ponieważ UDP nie obsługuje połączeń, a odrzucanie pakietów przychodzących blokuje również odpowiedzi na wychodzący ruch UDP. Może to stanowić problem dla tych, którzy korzystają z zewnętrznych serwerów współpracujących z UDP. Jeśli chcesz otworzyć dostęp do tych usług, musisz zezwolić na przychodzące pakiety z odpowiednich portów. Na przykład dla ntp może być konieczne zezwolenie na pakiety przychodzące z portu 123.

Blokuj cały ruch zewnętrzny do portu 6000. Port 6000 służy do uzyskiwania dostępu do serwerów X11 i może stanowić zagrożenie dla bezpieczeństwa (zwłaszcza jeśli użytkownicy mają zwyczaj uruchamiania polecenia xhost + na swoich stacjach roboczych). X11 może korzystać z zakresu portów począwszy od 6000, górny limit jest określony przez liczbę wyświetlaczy X, które można uruchomić na komputerze. Górny limit określony przez RFC 1700 (przypisane liczby) to 6063.

Sprawdź porty używane przez usługi wewnętrzne (na przykład serwery SQL itp.). Prawdopodobnie dobrym pomysłem jest zablokowanie również tych portów, ponieważ zwykle nie mieszczą się one w powyższym zakresie 1-1024.

Kolejna lista kontrolna do sprawdzania ustawień zapory jest dostępna w CERT pod adresem http://www.cert.org/tech_tips/packet_filtering.html

Jak wspomniano powyżej, wszystkie te zasady są po prostu kierownictwo . Możesz sam zdecydować, które reguły filtrowania będą używane w zaporze. Nie możemy ponosić ŻADNEJ odpowiedzialności, jeśli Twoja sieć zostanie zhakowana, nawet jeśli zastosowałeś się do powyższych wskazówek.

14.9.7. Optymalizacja kosztów ogólnych i IPFW

Wielu użytkowników chce wiedzieć, ile IPFW ładuje system. Odpowiedź zależy głównie od zestawu reguł i szybkości procesora. Na mały zestaw W przypadku większości aplikacji działających w sieci Ethernet odpowiedź brzmi „nieznacznie”. Dla tych, którzy potrzebują bardziej precyzyjnej odpowiedzi, ta sekcja jest przeznaczona.

Kolejne pomiary wykonano z 2.2.5-STABLE na 486-66. (Chociaż IPFW zmienił się nieznacznie w kolejnych wydaniach FreeBSD, prędkość pozostała mniej więcej taka sama.) IPFW został zmodyfikowany, aby mierzyć czas potrzebny na ip_fw_chk, z wynikiem wypisywanym na konsolę po każdym 1000-tym pakiecie.

Przetestowano dwa zestawy po 1000 reguł. Pierwszy z nich miał zademonstrować zły zestaw reguł, powtarzając regułę:

# ipfw dodaj deny tcp od any do any 55555

Ten zestaw reguł jest zły, ponieważ większość reguł IPFW nie pasuje do sprawdzanych pakietów (z powodu numeru portu). Po 999 iteracji tej reguły następuje zezwolenie ip od dowolnego do dowolnej reguły.

Drugi zestaw reguł został zaprojektowany tak, aby jak najszybciej przetestować każdą regułę:

# ipfw dodaj deny ip z 1.2.3.4 do 1.2.3.4

Niepasujący źródłowy adres IP w powyższej regule spowoduje bardzo szybką weryfikację tych reguł. Tak jak poprzednio, zasada 1000. zezwala na ip od dowolnego do dowolnego.

Koszt sprawdzenia pakietu w pierwszym przypadku wynosi około 2,703 ms/pakiet lub około 2,7 mikrosekundy na regułę. Teoretyczny limit szybkości skanowania to około 370 pakietów na sekundę. Zakładając połączenie Ethernet 10 Mb/s i rozmiar pakietu około 1500 bajtów, uzyskujemy tylko 55,5% wykorzystania pasmo.

W drugim przypadku każdy pakiet był sprawdzany w czasie około 1,172 ms, czyli około 1,2 mikrosekundy na regułę. Teoretyczny limit szybkości skanowania to około 853 pakietów na sekundę, co pozwala na to pełne wykorzystanie przepustowość Ethernet 10 Mb/s.

Nadmierna ilość sprawdzanych reguł i ich wygląd nie pozwala na stworzenie obrazu zbliżonego do zwykłych warunków - reguły te służyły jedynie do uzyskania informacji o czasie sprawdzania. Oto kilka wskazówek, o których należy pamiętać, aby stworzyć skuteczny zestaw reguł:

Ustaw ustaloną regułę jak najwcześniej, aby obsłużyć większość ruchu TCP. Nie poprzedzaj go regułami zezwalającymi na tcp.

Często używane reguły umieść bliżej początku zestawu niż te rzadko używane (oczywiście bez zmiany akcji całego zestawu ). Najczęściej używane reguły można określić, sprawdzając liczniki pakietów za pomocą polecenia ipfw -al.