Виды межсетевых экранов режимы работы. Разновидности сетевых экранов. Просмотр правил IPFW
Классификация межсетевых экранов
Одним из эффективных механизмом обеспечения информационной безопасности распределенных вычислительных сетях является экранирование, выполняющее функции разграничения информационных потоков на границе защищаемой сети.
Межсетевое экранирование повышает безопасность объектов внутренней сети за счет игнорирования неавторизованных запросов из внешней среды, тем самым, обеспечивая все составляющие информационной безопасности. Кроме функций разграничения доступа, экранирование обеспечивает регистрацию информационных обменов.
Функции экранирования выполняет межсетевой экран или брандмауэр (firewall), под которым понимают программную или программно-аппаратную систему, которая выполняет контроль информационных потоков, поступающих в информационную систему и/или выходящих из нее, и обеспечивает защиту информационной системы посредством фильтрации информации. Фильтрация информации состоит в анализе информации по совокупности критериев и принятии решения о ее приеме и/или передаче.
Межсетевые экраны классифицируются по следующим признакам:
· по месту расположения в сети – на внешние и внутренние, обеспечивающие защиту соответственно от внешней сети или защиту между сегментами сети;
· по уровню фильтрации, соответствующему эталонной модели OSI/ISO.
Внешние межсетевые экраны обычно работают только с протоколом TCP/IP глобальной сети Интернет. Внутренние сетевые экраны могут поддерживать несколько протоколов, например, при использовании сетевой операционной системы Novell Netware, следует принимать во внимание протокол SPX/IPX.
Характеристика межсетевых экранов
Работа всех межсетевых экранов основана на использовании информации разных уровней модели OSI. Как правило, чем выше уровень модели OSI, на котором межсетевой экран фильтрует пакеты, тем выше обеспечиваемый им уровень защиты.
Межсетевые экраны разделяют на четыре типа:
· шлюзы сеансового уровня;
· шлюзы прикладного уровня;
Таблица 4.5.1. Типы межсетевых экранов и уровни модели ISO OSI
Межсетевые экраны с фильтрацией пакетов представляют собой маршрутизаторы или работающие на сервере программы, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты. Поэтому такие экраны называют иногда пакетными фильтрами. Фильтрация осуществляется путем анализа IP-адреса источника и приемника, а также портов входящих TCP- и UDP-пакетов и сравнением их со сконфигурированной таблицей правил. Эти межсетевые экраны просты в использовании, дешевы, оказывают минимальное влияние на производительность вычислительной системы. Основным недостатком является их уязвимость при подмене адресов IP. Кроме того, они сложны при конфигурировании: для их установки требуется знание сетевых, транспортных и прикладных протоколов.
Шлюзы сеансового уровня контролируют допустимость сеанса связи. Они следят за подтверждением связи между авторизованным клиентом и внешним хостом (и наоборот), определяя, является ли запрашиваемый сеанс связи допустимым. При фильтрации пакетов шлюз сеансового уровня основывается на информации, содержащейся в заголовках пакетов сеансового уровня протокола TCP, т. е. функционирует на два уровня выше, чем межсетевой экран с фильтрацией пакетов. Кроме того, указанные системы обычно имеют функцию трансляции сетевых адресов, которая скрывает внутренние IP-адреса, тем самым, исключая подмену IP-адреса. Однако в таких межсетевых экранах отсутствует контроль содержимого пакетов, генерируемых различными службами. Для исключения указанного недостатка применяются шлюзы прикладного уровня.
Шлюзы прикладного уровня проверяют содержимое каждого проходящего через шлюз пакета и могут фильтровать отдельные виды команд или информации в протоколах прикладного уровня, которые им поручено обслуживать. Это более совершенный и надежный тип межсетевого экрана, использующий программы-посредники (proxies) прикладного уровня или агенты. Агенты составляются для конкретных служб сети Интернет (HTTP, FTP, Telnet и т. д.) и служат для проверки сетевых пакетов на наличие достоверных данных.
Шлюзы прикладного уровня снижают уровень производительности системы из-за повторной обработки в программе-посреднике. Это незаметно при работе в Интернет при работе по низкоскоростным каналам, но существенно при работе во внутренней сети.
Межсетевые экраны экспертного уровня сочетают в себе элементы всех трех описанных выше категорий. Как и межсетевые экраны с фильтрацией пакетов, они работают на сетевом уровне модели OSI, фильтруя входящие и исходящие пакеты на основе проверки IP-адресов и номеров портов. Межсетевые экраны экспертного уровня также выполняют функции шлюза сеансового уровня, определяя, относятся ли пакеты к соответствующему сеансу. И, наконец, брандмауэры экспертного уровня берут на себя функции шлюза прикладного уровня, оценивая содержимое каждого пакета в соответствии с политикой безопасности, выработанной в конкретной организации.
Вместо применения связанных с приложениями программ-посредников, брандмауэры экспертного уровня используют специальные алгоритмы распознавания и обработки данных на уровне приложений. С помощью этих алгоритмов пакеты сравниваются с известными шаблонами данных, что теоретически должно обеспечить более эффективную фильтрацию пакетов.
Выводы по теме
1. Межсетевое экранирование повышает безопасность объектов внутренней сети за счет игнорирования неавторизованных запросов из внешней среды, тем самым, обеспечивая все составляющие информационной безопасности. Кроме функций разграничения доступа экранирование обеспечивает регистрацию информационных обменов.
2. Функции экранирования выполняет межсетевой экран или брандмауэр (firewall), под которым понимают программную или программно-аппаратную систему, которая выполняет контроль информационных потоков, поступающих в информационную систему и/или выходящих из нее, и обеспечивает защиту информационной системы посредством фильтрации информации.
3. Межсетевые экраны классифицируются по следующим признакам: по месту расположения в сети и по уровню фильтрации, соответствующему эталонной модели OSI/ISO.
4. Внешние межсетевые экраны обычно работают только с протоколом TCP/IP глобальной сети Интернет. Внутренние сетевые экраны могут поддерживать несколько протоколов.
5. Межсетевые экраны разделяют на четыре типа:
· межсетевые экраны с фильтрацией пакетов;
· шлюзы сеансового уровня;
· шлюзы прикладного уровня;
· межсетевые экраны экспертного уровня.
6. Наиболее комплексно задачу экранирования решают межсетевые экраны экспертного уровня, которые сочетают в себе элементы всех типов межсетевых экранов.
Вопросы для самоконтроля
1. В чем заключается механизм межсетевого экранирования?
2. Дайте определение межсетевого экрана.
3. Принцип функционирования межсетевых экранов с фильтрацией пакетов.
4. На уровне каких протоколов работает шлюз сеансового уровня?
5. В чем особенность межсетевых экранов экспертного уровня?
Межсетевые экраны - это специальные защитные комплексы программ (файрволы), предотвращающие несанкционированные а также создающие заслон как отдельному компьютеру, так и всей локальной сети от проникновения вредоносных Исходя из их основного предназначения - не пропускать подозрительные пакеты, такие программы получили еще одно название - фильтры. На сегодняшний день самыми известными производителями защитных файрволов являются следующие: ZyXEL, Firewall, TrustPort Total Protection, ZoneAlarm, D-Link, Secure Computing, Watchguard Technologies.
Настройка сетевых экранов
Межсетевые экраны настраиваются вручную, что предоставляет возможность детальной установки защиты. Одна из важнейших возможностей - настройка антивируса непосредственно USB-порта. Задав необходимые установки, вы с помощью такой программы можете создать обеспечение полного контроля над входом и выходом в локальной сети и в каждом электронном устройстве в ее составе.
Осуществив ручную настройку защитного экрана на одном из компьютеров сети, можно в кратчайшие сроки перенести уже готовые настройки на другие сетевые единицы. Причем синхронность работы обеспечивается даже при беспроводном сетевом соединении. Задание необходимых параметров работы файрвола требует некоторого времени, но если пренебрежительно к нему отнестись, то ограничения защиты могут заблокировать некоторые необходимые для работы службы.
Дополнительные возможности сетевых фильтров
Существуют межсетевые экраны, которые можно настроить на дополнительную защиту отдельных сервисов и приложений. Например, на предотвращение взлома «родительского контроля» или установить «антиспам». Настройка доступа в интернет и права функционирования в закрытой локальной сети для каждой программы и приложения могут быть определены отдельно. Межсетевой фильтр позволяет управлять доступом к сайтам, может отслеживать сканирование шлюзов, производить фильтрацию Web-содержимого. Также он способен блокировать доступ с подозрительных IP-адресов, уведомлять о попытках атаки или зондирования.
Виды межсетевых файрволов
Межсетевые экраны подразделяются на следующие типы:
Традиционный сетевой экран, обеспечивающий фильтрацию доступа отправки и получения пакетов;
Сеансовый сетевой экран, отслеживающий отдельные сеансы между установленными приложениями, обеспечивающий своевременное закрытие доступа несертифицированных пакетов, используемых, как правило, для взломов, сканирования конфиденциальных данных и т. д.;
Аналитический сетевой экран, осуществляющий фильтрацию на основе анализа внутренней информации пакета с последующей блокировкой выявленных троянов;
Аппаратный межсетевой экран, оборудованный встроенным ускорителем, позволяющим одновременно осуществлять предотвращение вторжений (IPS), антивирусное сканирование, предотвращение пользователей внутри частной сети, и VPN-анонимность, а также осуществлять работу файрвола более производительно.
Меры предосторожности
Для гарантии обеспечения качественной и надежной от несанкционированных вторжений и взломов, необходимо устанавливать на узлы сети только сертифицированный межсетевой экран. В настоящий момент законодательными актами РФ предусмотрена сертификация ФСТЭК, Газпромсерт и ФСБ. Например, удостоверяет, что данный межсетевой фильтр соответствует всем требованиям, изложенным в первой части документа Гостехкомиссии России. А сертификаты ФСБ показывают, что система программ защиты соответствует российскому Госстандарту по требованиям обеспечения безопасности и конфиденциальности сведений.
Еще несколько лет назад для надежной защиты ПК достаточно было установить хорошую антивирусную программу и следить за регулярным обновлением баз. Однако изобретательность злоумышленников порождает все новые и новые способы нанесения ущерба. Зачастую основным путем проникновения на компьютер пользователя оказываются его сетевые подключения, точнее связанные с ними системные уязвимости. Антивирусный пакет может лишь определить вредоносный код, однако далеко не каждый антивирус способен обнаружить несанкционированный доступ к данным.
С развитием рыночных отношений информация всё более и более приобретает качества товара, то есть её можно купить, продать, передать и, к сожалению, украсть. Поэтому проблема обеспечения безопасности информации с каждым годом становится всё более актуальной. Одним из возможных направлений решения данной проблемы является использование межсетевых экранов.
Современные технологии сетевой защиты являются одним из наиболее динамичных сегментов современного рынка обеспечения безопасности. Средства сетевой защиты настолько стремительно развиваются, что в настоящее время общепринятая терминология в данном направлении ещё окончательно не установилась. Эти средства защиты в литературе и средствах массовой информации фигурируют как firewall, брандмауэры и даже информационные мембраны. Но наиболее часто используется термин “межсетевые экраны” (МЭ).
В общем случае, для обеспечения сетевой защиты между двумя множествами информационных систем (ИС) ставится экран или информационная мембрана, которые являются средством разграничения доступа клиентов из одного множества систем к информации, хранящейся на серверах в другом множестве. В этом смысле МЭ можно представить как набор фильтров, анализирующих проходящую через них информацию и принимающих решение: пропустить информацию или её заблокировать. Одновременно с этим производится регистрация событий и тревожная сигнализация в случае обнаружения угрозы. Обычно экранирующие системы делаются несимметричными. Для экранов определяются понятия “внутри” и “снаружи”, причём, в задачу экрана входит защита внутренней сети от потенциально враждебного окружения. Кроме того, МЭ может использоваться в качестве корпоративной открытой части сети, видимой со стороны Internet. Так, например, во многих организациях МЭ используются для хранения данных с открытым доступом, как, например, информации о продуктах и услугах, файлах из баз FTP, сообщений об ошибках и так далее.
Межсетевой экран или сетевой экран -- комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами .
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача -- не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов -- динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами локальной вычислительной сети.
Рисунок 4. Общая структура брандмауэра
Другие названия
Брандмауэр (нем. Brandmauer) -- заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «Firewall».
Файрволл -- образовано транслитерацией английского термина firewall.
Разновидности сетевых экранов
Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:
обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
на уровне каких сетевых протоколов происходит контроль потока данных;
отслеживаются ли состояния активных соединений или нет.
В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:
традиционный сетевой (или межсетевой) экран -- программа (или неотъемлемая часть операционной системы) на шлюзе (сервере, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
персональный сетевой экран -- программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.
Вырожденный случай -- использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.
В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на :
сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
сеансовом уровне (также известные как stateful) -- отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях -- сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.
Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).
В зависимости от отслеживания активных соединений сетевые экраны бывают:
stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.
Необходимо отметить, что в настоящее время наряду с одноуровневыми межсетевыми экранами все большую популярность приобретают комплексные экраны, охватывающие уровни от сетевого до прикладного, поскольку подобные продукты соединяют в себе лучшие свойства одноуровневых экранов разных видов. На схеме 1 представлена структура информационного экранирования между двумя системами при использовании эталонной модели ISO/OSI.
Рисунок 5. Структура информационного экранирования с использованием эталонной модели
Современные требования к межсетевым экранам
Основное требование -- это обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи.
Экранирующая система должна обладать мощными и гибкими средствами управления для простого и полного проведения в жизнь политики безопасности организации.
Межсетевой экран должен работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий.
Процессор межсетевого экрана должен быть быстродействующим, работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий поток в пиковых режимах, чтобы его нельзя было блокировать большим количеством вызовов и нарушить его работу.
Система обеспечения безопасности должна быть сама надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации.
Система управления экранами должна иметь возможность централизованно обеспечивать проведение единой политики безопасности для удаленных филиалов.
Особенности современных межсетевых экранов
Как видно из таблицы 3 межсетевой экран является наиболее распространенным средством усиления традиционных средств защиты от несанкционированного доступа и используется для обеспечения защиты данных при организации межсетевого взаимодействия .
Конкретные реализации МЭ в значительной степени зависят от используемых вычислительных платформ, но, тем не менее, все системы этого класса используют два механизма, один из которых обеспечивает блокировку сетевого трафика, а второй, наоборот, разрешает обмен данными.
При этом некоторые версии МЭ делают упор на блокировании нежелательного трафика, а другие -- на регламентировании разрешенного межмашинного обмена.
Таблица 3 - Особенности межсетевых экранов
|
Тип межсетевого экрана |
Принцип работы |
Достоинства |
Недостатки |
|
Экранирующие маршрутизаторы (брандмауэры с фильтрацией пакетов) |
Фильтрация пакетов осуществляется в соответствии с IP- заголовком пакета по критерию: то, что явно не запрещено, является разрешенным. Анализируемой информацией является:- адрес отправителя; - адрес получателя; - информация о приложении или протоколе; - номер порта источника; - номер порта получателя |
Низкая стоимость · Минимальное влияние на производительность сети · Простота конфигурации и установки · Прозрачность для программного обеспечения |
Уязвимость механизма защиты для различных видов сетевых атак, таких как подделка исходных адресов пакетов, несанкционированное изменение содержимого пакетов · Отсутствие в ряде продуктов поддержки журнала регистрации событий и средств аудита |
|
Экранирующий шлюз (ЭШ) |
Информационный обмен происходит через хост-бастион, установленный между внутренней и внешней сетями, который принимает решения о возможности маршрутизации трафика. ЭШ бывают двух типов: сеансового и прикладного уровня |
· Отсутствие сквозного прохождения пакетов в случае сбоев · Усиленные, по сравнению с ЭМ, механизмы защиты, позволяющие использовать дополнительные средства аутентификации, как программные, так и аппаратные · Использование процедуры трансляции адресов, позволяющей скрытие адресов хостов закрытой сети |
· Использование только мощных хостов-бастионов из-за большого объема вычислений · Отсутствие “прозрачности” из-за того, что ЭШ вносят задержки в процесс передачи и требуют от пользователя процедур аутентификации |
|
Экранирующие подсети (ЭП) |
Создается изолированная подсеть, расположенная между внутренней и открытой сетями. Сообщения из открытой сети обрабатываются прикладным шлюзом и попадают в ЭП. После успешного прохождения контроля в ЭП они попадают в закрытую сеть. Запросы из закрытой сети обрабатываются через ЭП аналогично. Фильтрование осуществляется из принципа: то, что не разрешено, является запрещенным |
Возможность скрытия адреса внутренней сети · Увеличение надежности защиты · Возможность создания большого трафика между внутренней и открытой сетями при использовании нескольких хостов-бастионов в ЭП · “прозрачность” работы для любых сетевых служб и любой структуры внутренней сети |
Использование только мощных хостов-бастионов из-за большого объема вычислений · Техническое обслуживание (установка, конфигурирование) может осуществляться только специалистами |
Типовые варианты включения межсетевых экранов
Рисунок 6. Включение МЭ по схеме двухпортового шлюза
Рисунок 7. Включение МЭ непосредственно на защищаемом сервере
Рисунок 8. Включение МЭ в системе Интернет-Интранет
Сравнительные характеристики современных межсетевых экранов
Таблица 4 - Сравнительные характеристики современных межсетевых экранов
|
Платформа |
Компания |
Особенности |
||
|
Solstice Firewall |
Комплексный |
SunOS, UNIX, Solaris |
Sun Microsystems |
Реализует политику безопасности: все данные, не имеющие явного разрешения - отбрасываются. В процессе работы фильтры пакетов на шлюзах и серверах генерируют записи обо всех событиях, запускают механизмы тревоги, требующие реакции администратора. |
|
Milkyway Networks Corporation |
Не использует механизм фильтрации пакетов. Принцип действия: то, что явно не разрешено, является запрещенным. Регистрирует все действия сервера, предупреждает о возможных нарушениях. Может использоваться как двунаправленный шлюз. |
|||
|
BorderWare Firewall Server |
Экранирующий шлюз прикладного уровня |
UNIX, Windows, DOS |
Secure Computing Corporation |
Программное средство защиты, обеспечивающее работу под управлением ОС (собственная разработка). Позволяет фиксировать адреса, время, попытки, используемый протокол. |
|
ALF (Application Layer Filter) |
Экранирующий шлюз прикладного уровня |
Может фильтровать IP-пакеты по адресам, диапазонам портов, протоколам и интерфейсам. Приходящий пакет может пропустить, ликвидировать или отослать по его адресу. |
||
|
ANS InterLock Service |
Экранирующий шлюз прикладного уровня |
ANS CO + RE Systems |
Использует программы-посредники для служб Telnet, FTR, HTTR. Поддерживает шифрование соединения точка-точка, причем, в качестве средств аутентификации могут использоваться аппаратные. |
|
|
Комплексный экран |
SunOS, BSDI на Intel, IRIX на INDY и Challenge |
Для анализа использует время, дату, адрес, порт и т.д. Включает программы-посредники прикладного уровня для служб Telnet, FTR, SMTP, X11, HTTP, Gopher и др. Поддерживает большинство пакетов аппаратной аутентификации. |
||
|
Экранирующий шлюз прикладного уровня |
SunOS, BSDI, Solaris, HP- UX, AIX |
Закрытая сеть видится извне как единственный хост. Имеет программы-посредники для служб: электронной почты, протокола FTR и др. Регистрирует все действия сервера, предупреждает о нарушениях. |
||
|
Экранирующий шлюз прикладного уровня |
Sterling Software |
Является программным продуктом, обеспечивающим защиту информации от НСД при соединении закрытой и открытой сетей. Позволяет регистрировать все действия сервера и предупреждать о возможных нарушениях. |
||
|
CyberGuard Firewall |
Двунаправленный шлюз комплексного типа (хост-бастион как фильтр, шлюз прикладного уровня или комплексный экран) |
Платформа RISC, OS UNIX |
Harris Computer Systems Corporation |
Использованы комплексные решения, включающие механизмы защиты ОС UNIX и интегрированные сетевые средства, предназначенные для RISC-компьютеров. Для анализа используется исходный адрес, адрес назначения и др. |
|
Digital Firewall for UNIX |
Комплексный экран |
Digital Equipment Corporation |
Предустанавливается на системы Digital Alpha и представляет возможности экранирующего фильтра и шлюза прикладного уровня. |
|
|
Eagle Enterprise |
Экранирующий шлюз прикладного уровня |
Реализация технологии Virtual Private Networking |
Включает в себя программы-посредники прикладного уровня для служб FTR, HTTP, Telnet. Регистрирует все действия сервера и предупреждает о нарушениях. |
|
|
Firewall IRX Router |
Экранирующий маршрутизатор |
Позволяет произвести анализ сети в целях оптимизации сетевого трафика, безопасно связать локальную сеть с удаленными сетями на основе открытых сетей. |
||
|
Комплексный межсетевой экран |
Intel x86, Sun Sparc и др |
Обеспечивает защиту от хакерских нападений типа address-spoofing (подделка адресов пакетов) и представляет комбинацию средств защиты сетевого и прикладного уровней. |
||
|
Firewall-1/ VPN-1 |
Комплексный межсетевой экран |
Intel x86, Sun Sparc и др |
Check Point Software Technologies |
Представляет открытый интерфейс приложения OPSEC API. Обеспечивает: - выявление компьютерных вирусов; - сканирование URL; - блокирование Java и ActiveX; - поддержку протокола SMTP; - фильтрацию HTTP; - обработку протокола FTP |
|
TIS Firewall Toolkit |
Набор программ для создания и управления системами firewall |
Trusted Information Systems |
Распространяется в исходном коде, все модули написаны на языке С. Набор предназначен для программистов- экспертов. |
|
|
Gauntlet Internet Firewall |
Экранирующий шлюз прикладного уровня |
UNIX, Secured BSD |
Trusted Information Systems |
Поддерживает сервисы: электронная почта, Web-сервис, терминальные сервисы и др. Возможности: шифрование на сетевом уровне, защита от хакерских нападений типа address-spoofing, защита от попыток изменения маршрутизации. |
|
Мульти-протокольный межсетевой экран |
Различные аппаратные платформы |
Network-1 Software and Technology |
Контроль реализован на уровне кадров, пакетов, каналов и приложений (для каждого протокола). Позволяет работать с более чем 390 протоколами, дает возможность описать любые условия фильтрации для последующей работы. |
|
|
Застава-Джет |
Комплексный межсетевой экран |
SPARC, Solaris, UNIX |
Реализует политику безопасности: все данные, не имеющие явного разрешения - отбрасываются. |
Межсетевой экран сам по себе не панацея от всех угроз для сети. В частности, он :
не защищает узлы сети от проникновения через «люки» (англ. back doors) или уязвимости ПО;
не обеспечивает защиту от многих внутренних угроз, в первую очередь -- утечки данных;
не защищает от загрузки пользователями вредоносных программ, в том числе вирусов;
Для решения последних двух проблем используются соответствующие дополнительные средства, в частности, антивирусы. Обычно они подключаются к файрволу и пропускают через себя соответствующую часть сетевого трафика, работая как прозрачный для прочих сетевых узлов прокси, или же получают с файрвола копию всех пересылаемых данных. Однако такой анализ требует значительных аппаратных ресурсов, поэтому обычно проводится на каждом узле сети самостоятельно.
Текстовый вариант видеолекции на YouTube по межсетевым экранам.
Межсетевой экран - это устройство, которое отделяет разные компьютерные сети друг от друга. Другое название межсетевого экрана - брандмауэр или firewall.
Зачем нужны межсетевые экраны
При создании сетей TCP/IP в них был заложен принцип полной связности: любой компьютер в сети может соединиться с любым другим. Но тогда в сети было немного компьютеров, большая часть из которых находилась в университетах и исследовательских центрах. Сейчас ситуация кардинально поменялась: интернет стал огромной сетью с миллиардами компьютеров, которые используются не только для научных целей. В том числе в интернет появилось много злоумышленников, которые могут взломать ваш компьютер. Поэтому принцип полной связности сейчас нежизнеспособен. Наоборот, нам нужен способ отделять сети от небезопасных внешних сетей. Именно это и позволяет делать межсетевой экран.
Как используются межсетевые экраны
Есть несколько вариантов использования межсетевых экранов. Если мы хотим защитить сеть нашей организации или домашнюю сеть, то межсетевой экран устанавливается между защищаемой сетью и интернетом. На рисунке межсетевой экран показан в виде стены с огнем (от английского firewall - огненная стена). В таких случаях, как правило, используется аппаратный межсетевой экран, который представляет собой отдельное устройство или является частью маршрутизатора.
Другой вариант - установка программных межсетевых экранов на компьютеры, которые мы хотим защитить. Один из популярных вариантом программных межсетевых экранов - брандмауэр Windows.
Программные межсетевые экраны особенно полезны для ноутбуков, с которыми вы работаете не только в защищенной сети организации, но и в других местах: других организациях, отелях, кафе, ресторанах и т.п. Здесь вы не имеете контроля над сетью и не можете обеспечить ее безопасность.
Как работают межсетевые экраны
Межсетевые экраны работают на сетевом и транспортном уровнях моделей OSI и TCP/IP. Они анализируют IP-адреса отправителя и получателя, а также порты транспортного уровня.
Межсетевой экран перехватывает все пакеты, которые приходят из интернет и из внутренней сети. У межсетевого экрана есть таблица правил с описанием, какие пакеты можно передавать, а какие нельзя. Если пакет подходит под одно из разрешающих правил в таблице, он передается дальше. В противном случае пакет отбрасывается.
Таблица правил выглядит следующим образом. Здесь показаны наиболее важные для понимания логики работы межсетевого экрана столбцы. В реальных межсетевых экранах таблицы могут отличаться.
| IP отправителя | Порт отправителя | IP получателя | Порт получателя | Протокол | Действие |
|---|---|---|---|---|---|
| 220.10.1.0/24 | >1024 | Вне 220.10.1.0/24 | 80 | TCP | Разрешить |
| Вне 220.10.1.0/24 | 80 | 220.10.1.0/24 | >1024 | TCP | Разрешить |
| Любой | Любой | Любой | Любой | Любой | Запретить |
Основные поля в таблице - это IP-адреса и порты отправителя и получателя. Также есть поле протокол, в котором указывается используемый протокол транспортного или сетевого уровня, например, TCP, UDP или ICMP. Последнее после таблицы - действие. В нем прописывается, что межсетевой экран должен сделать с пакетом: разрешить его прохождение или запретить.
Предположим, что мы хотим существенно ограничить политику использования компьютерной сети для обеспечения безопасности. Пользователям разрешается работать с Web-сайтами в интернет, но все остальное запрещено. Для этого нам понадобились три правила, записанные в таблице выше.
Первая строка таблицы содержит правило, которое позволяет пакетам из внутренней сети, предназначенных для Web-серверов, проходить через межсетевой экран. Предположим, что наша внутренняя сеть имеет блок адресов 220.10.1.0/24 . Указываем этот блок в качестве IP-адреса отправителя, порт отправителя >1024 (порты для браузеров назначаются операционной системой автоматически). IP получателя: все, кроме 220.10.1.0/24 , порт получателя: 80 (порт на котором по умолчанию работают Web-серверы). В поле “Протокол” указываем транспортный протокол TCP , который используется прикладным протоколом HTTP. Действие - разрешить .
Второе правило разрешает прохождение пакетов с ответами Web-серверов. IP-адрес отправителя: любой вне 220.10.1.0/24 , порт отправителя: 80 (порт Web-серверов). IP-получателя: 220.10.1.0/24 (наша внутренняя сеть), порт получателя: >1024 (автоматически назначенный порт для браузера). Протокол также TCP , действие Разрешить .
Третье правило запрещает прохождение любых пакетов.
Межсетевой экран читает правила в таблице последовательно и выполняет проверку пакета по прочитанному правилу. Сначала пакет проверяется на соответствие правилу в первой строке, и если он под него подходит, то сразу же передается. Затем межсетевой экран переходит ко второму правилу, проверяет пакет, и передает его, если пакет подходит под второе правило. После этого межсетевой экран переходит к третьему правилу и отбрасывает все пакеты, которые не подошли под первые два правила.
Проверка флагов и состояния соединения
Правила в примере очень ограниченные, но злоумышленник все равно сможет попасть в нашу внутреннюю сеть. Для этого ему нужно сконструировать пакет, у которого порт отправителя равен 80 , IP получателя находится в нашей сети, и порт получателя больше 1024 . Такой пакет подходит под второе правило. Наш межсетевой экран подумает, что это ответ какого-то из Web-серверов, и пропустит его. Таким образом, злоумышленники смогут подключиться к сетевым сервисам, которые работают на портах >1024. Чтобы избежать таких ситуаций, можно контролировать флаги в заголовке TCP , а также факт установки соединения TCP .
Для контроля флагов в TCP-заголовке необходимо добавить соответствующее поле в таблицу межсетевого экрана.
| IP отправителя | Порт отправителя | IP получателя | Порт получателя | Протокол | Флаг | Действие |
|---|---|---|---|---|---|---|
| 220.10.1.0/24 | >1024 | Вне 220.10.1.0/24 | 80 | TCP | Любой | Разрешить |
| Вне 220.10.1.0/24 | 80 | 220.10.1.0/24 | >1024 | TCP | Ack | Разрешить |
| Любой | Любой | Любой | Любой | Любой | Любой | Запретить |
В первом правиле мы по-прежнему выпускаем в интернет все пакеты, которые предназначены для Web-серверов. Но во втором правиле во внутреннюю сеть пропускаем только пакеты с установленным флагом ACK (Acknowledgement) в заголовке TCP. Этот флаг установлен почти у всех пакетов TCP, кроме первого пакета с запросом на установку соединения (в таком пакете установлен только флаг SYN). Таким образом, злоумышленник не сможет установить соединения с сервисами нашей внутренней сети, даже если будет посылать пакеты, похожие на ответы Web-серверов.
Межсетевой экран может напрямую проверять, установлено ли TCP соединение между отправителем и получателем. Межсетевой экран перехватывает все пакеты, поэтому он видит и пакеты установки TCP соединения. Таким образом, он легко может узнать, какой компьютер из внутренней сети устанавливал соединение с компьютерами из внешней сети, и с какими именно. После того, как межсетевой экран увидел успешную процедуру установки соединения TCP (трехкратное рукопожатие), он вносит запись в таблицу установленных соединений .
Компьютер из внутренней сети с IP-адресом 220.10.1.86 установил соединение, используя порт 53638 , с Web-сервером 77.88.55.66 (порт 80 ).
Для проверки наличия соединения, в таблицу межсетевого экрана добавляется соответствующее поле.
| IP отправителя | Порт отправителя | IP получателя | Порт получателя | Протокол | Флаг | Соединение | Действие |
|---|---|---|---|---|---|---|---|
| 220.10.1.0/24 | >1024 | Вне 220.10.1.0/24 | 80 | TCP | Любой | - | Разрешить |
| Вне 220.10.1.0/24 | 80 | 220.10.1.0/24 | >1024 | TCP | Ack | Проверять | Разрешить |
| Любой | Любой | Любой | Любой | Любой | Любой | - | Запретить |
Компьютеры из внутренней сети должны иметь возможность устанавливать соединение с Web-серверами в интернет, поэтому в первом правиле мы не требуем наличия соединения. Но ответы нужно пропускать только от тех Web-серверов, с которыми соединение уже установлено. Поэтому во втором правиле мы проверяем наличие записи о соединении в таблице соединений.
Другие методы ограничения доступа
Кроме межсетевых экранов могут использоваться также другие методы ограничения доступа, работающие на разных уровнях модели OSI.
На канальном уровне возможна фильтрация по MAC-адресам на портах коммутатора. Можно составить список MAC-адресов компьютеров, которым разрешено подключаться к коммутатору. Передавать кадры компьютеров с другими MAC-адресами коммутатор не будет.
На прикладном уровне используются прокси-серверы (proxy server) и фильтры содержимого (content filter). Прокси-серверы работают как межсетевые экраны, но на прикладном уровне: принимают все пакеты, которые передаются по какому-нибудь прикладному протоколу, анализируют заголовки протокола, и могу принять решение, передать пакет дальше, или нет. Часто используются Web-прокси, которые работают по протоколу HTTP. Такие прокси серверы могут ограничивать доступ, например, к социальным сетям с рабочих мест организации.
Фильтры содержимого также работают на прикладном уровне, но они анализируют не только заголовки пакетов, но и данные. С помощью фильтров содержимого можно, например, заблокировать передачу видео, на каких бы сайтах оно ни размещалось.
Системы обнаружения вторжений (intrusion detection system) и предотвращения вторжений (intrusion prevention system) работают по принципу, похожему на межсетевые экраны. Отличие заключается в том, что они анализируют не отдельные пакеты, а последовательности пакетов. Они могут определить, например, что злоумышленник подбирает пароль к вашему серверу или ведет сканирование вашей сети. Система обнаружения вторжений предупредит администратора о проходящей атаке, а система предотвращения вторжений попытается автоматически предпринять какие-то действия, чтобы остановить атаку.
Недостатки межсетевых экранов
Межсетевые экраны обеспечивают безопасность, но нужно быть очень осторожными при их настройке. Ошибка при составлении правил доступа может привести к тому, что все нужные пакеты будет блокироваться межсетевым экраном и сеть будет неработоспособна.
Другая возможная проблема - снижение производительности работы сети при использовании межсетевых экранов. Все пакеты в сети должны быть перехвачены межсетевым экраном и проверены. Если у вас крупная сеть, сложная политика безопасности с большим количеством правил доступа, а межсетевой экран не обладает достаточной производительность, то вся сеть будет работать медленно.
Итоги
Межсетевые экраны - это устройства или программы, предназначенные для отделения сетей друг от друга. Межсетевые экраны перехватывают все пакеты между сетям и проверяют их на соответствие правилам доступа. При проверке используются IP-адреса отправителей и получателей, порты транспортного уровня, флаги в заголовках сетевых протоколов, а также состояние соединения TCP. Если пакет подходит под разрешающее правило, он передается дальше, в противном случае отбрасывается.
Firewall (Межсетевой экран)
Межсетевой экран (Брандмауэр или Firewall) – это средство фильтрации пакетного трафика, поступающего из внешней сети по отношению к данной локальной сети или компьютеру. Рассмотрим причины появления и задачи выполняемые Firewall. Современная сеть передачи данных – это множество удаленных высокопроизводительных устройств, взаимодействующих друг с другом на значительном расстоянии. Одними из наиболее крупномасштабных сетей передачи данных являются компьютерные сети, такие как сеть Интернет. В ней одновременно работают миллионы источников и потребителей информации по всему миру. Широкое развитие данной сети позволяет использовать ее не только частным лицам, но и крупным компаниям для объединения своих разрозненных устройств по всему миру в единую сеть. Вместе с этим, общий доступ к единым физическим ресурсам открывает доступ мошенникам, вирусам и конкурентам возможность причинить вред конечным пользователям: похитить, исказить, подбросить или уничтожить хранимую информацию, нарушить целостность программного обеспечения и даже вывести аппаратную часть конечной станции. Для предотвращения данных нежелательных воздействий необходимо предотвратить несанкционированный доступ, для чего часто применяется Firewall. Само название Firewall (wall – от англ. стена) кроет в себе его назначение, т.е. он служит стеной между защищаемой локальной сетью и Интернетом либо любой другой внешней сетью и предотвращать любые угрозы. Кроме вышеуказанной межсетевой экран также может выполнять и другие функции, связанные с фильтрацией трафика от/к какому-либо ресурсу сети Интернет.
Принцип действия Firewall основан на контроле поступающего извне трафика. Могут быть выбраны следующие методы контроля трафика между локальной и внешней сетью:
1. Фильтрация пакетов – основан на настройке набора фильтров. В зависимости от того удовлетворяет ли поступающий пакет указанным в фильтрах условиям он пропускается в сеть либо отбрасывается.
2. Proxy-сервер – между локальной и внешней сетями устанавливается дополнительное устройство proxy-сервер, который служит «воротами», через который должен проходить весь входящий и исходящий трафик.
3. Stateful inspection – инспектирование входящего трафика – один из самых передовых способов реализации Firewall. Под инспекцией подразумевается анализ не всего пакета, а лишь его специальной ключевой части и сравнении с заранее известными значениями из базы данных разрешенных ресурсов. Данный метод обеспечивает наибольшую производительность работы Firewall и наименьшие задержки.
Межсетевой экран может быть выполнен аппаратно или программно. Конкретная реализация зависит от масштаба сети, объема трафика и необходимых задач. Наиболее распространенным типом Брандмауэров является программный. В этом случае он реализован в виде программы, запущенной на конечном ПК, либо пограничном сетевом устройстве, например . В случае аппаратного исполнения Firewall представляет собой отдельный сетевой элемент, обладающий обычно большими производительными способностями, но выполняющий аналогичные задачи.
Firewall позволяет настраивать фильтры, отвечающие за пропуск трафика по следующим критериям:
1. IP-адрес . Как известно, любое конечное устройство, работающее по протоколу должно иметь уникальный адрес. Задав какой-то адрес либо определенный диапазон можно запретить получать из них пакеты, либо наоборот разрешить доступ только с данных IP адресов.
2. Доменное имя . Как известно, сайту в сети Интернет, точнее его IP-адресу может быть поставлено в соответств ие буквенно-цифровое имя, которое гораздо проще запомнить чем набор цифр. Таким образом, фильтр может быть настроен на пропуск трафика только к/от одного из ресурсов, либо запретить доступ к нему.
3. Порт . Речь идет о программных портах, т.е. точках доступа приложений к услугам сети. Так, например, ftp использует порт 21, а приложения для просмотра web-страниц порт 80. Это позволяет запретить доступ с нежелательных сервисов и приложений сети, либо наоборот разрешить доступ только к ним.
4. Протокол . Firewall может быть настроен на пропуск данных только какого-либо одного протокола, либо запретить доступ с его использованием. Обычно тип протокола может говорить о выполняемых задачах, используемого им приложения и о наборе параметров защиты. Таким образом, доступ может быть настроен только для работы какого-либо одного специфического приложения и предотвратить потенциально опасный доступ с использованием всех остальных протоколов.
Выше перечислены только основные параметры, по которым может быть произведена настройка. Также могут применяться другие параметры для фильтров, специфичные для данной конкретной сети, в зависимости от выполняемых в ней задач.
Таким образом, Firewall предоставляет комплексны набор задач по предотвращению несанкционированного доступа, повреждения или хищения данных, либо иного негативного воздействия, которое может повлиять на работоспособность сети. Обычно межсетевой экран используется в совокупности с другими средствами защиты, например, антивирусное ПО.