Een paar jaar geleden was het voor een betrouwbare pc-bescherming voldoende om een goed antivirusprogramma te installeren en de regelmatige database-updates te controleren. De vindingrijkheid van indringers genereert echter steeds meer manieren om schade toe te brengen. Vaak is de belangrijkste manier om de computer van een gebruiker binnen te dringen zijn netwerkverbindingen, of liever de bijbehorende systeemkwetsbaarheden. Een antiviruspakket kan alleen kwaadaardige code detecteren, maar niet elke antivirus is in staat om ongeautoriseerde toegang tot gegevens te detecteren.
Met de ontwikkeling van marktrelaties krijgt informatie steeds meer de eigenschappen van een waar, dat wil zeggen dat het kan worden gekocht, verkocht, overgedragen en, helaas, gestolen. Daarom wordt het probleem van het waarborgen van de veiligheid van informatie elk jaar meer en meer urgent. Een van de mogelijke manieren om dit probleem op te lossen is het gebruik van firewalls.
Moderne firewalltechnologieën zijn een van de meest dynamische segmenten van de moderne beveiligingsmarkt. Middelen voor netwerkbeveiliging ontwikkelen zich zo snel dat de algemeen aanvaarde terminologie in deze richting momenteel nog niet definitief is vastgesteld. Deze verdedigingen worden in de literatuur en de media aangeduid als firewalls, firewalls en zelfs informatiemembranen. Maar de meest gebruikte term is "firewalls" (FW).
Om netwerkbeveiliging tussen twee sets informatiesystemen (IS) te bieden, wordt in het algemeen een scherm of informatiemembraan geplaatst, dat een middel is om de toegang van clients van de ene set systemen tot informatie die is opgeslagen op servers in een andere set te beperken . In die zin kan ME worden weergegeven als een set filters die de informatie die er doorheen gaat analyseren en een beslissing nemen: de informatie laten passeren of blokkeren. Tegelijkertijd worden gebeurtenissen geregistreerd en gaat er een alarm af als er een dreiging wordt gedetecteerd. Afschermingssystemen worden meestal asymmetrisch gemaakt. Voor schermen zijn de begrippen "binnen" en "buiten" gedefinieerd, bovendien is het de taak van het scherm om het interne netwerk te beschermen tegen een potentieel vijandige omgeving. Daarnaast kan de ME worden gebruikt als een zakelijk open deel van het netwerk, zichtbaar vanaf internet. In veel organisaties worden DOE's bijvoorbeeld gebruikt om openbaar beschikbare gegevens op te slaan, zoals informatie over producten en diensten, bestanden uit FTP-databases, foutmeldingen, enzovoort.
Een firewall of firewall is een set hardware of software die netwerkpakketten die er doorheen gaan, controleert en filtert in overeenstemming met de gespecificeerde regels.
De belangrijkste taak van de firewall is het beschermen van computernetwerken of individuele nodes tegen ongeoorloofde toegang. Ook worden firewalls vaak filters genoemd, omdat hun hoofdtaak niet is om (filter)pakketten door te geven die niet voldoen aan de criteria die in de configuratie zijn gedefinieerd.
Sommige firewalls maken ook adresvertaling mogelijk - dynamische vervanging van intranet (grijze) adressen of poorten door externe die buiten het lokale netwerk worden gebruikt.
Figuur 4. Algemene opbouw van de firewall
Andere namen
Firewall (Duits Brandmauer) is een term ontleend aan de Duitse taal die analoog is aan de Engelse firewall in zijn oorspronkelijke betekenis (een muur die aangrenzende gebouwen scheidt, waardoor de verspreiding van vuur wordt voorkomen). Interessant is dat op het gebied van computertechnologie het woord "Firewall" in het Duits wordt gebruikt.
Firewall - Gevormd door transliteratie van de Engelse term firewall.
Verschillende firewalls
Firewalls worden ingedeeld in verschillende typen, afhankelijk van de volgende kenmerken:
of het schild een verbinding biedt tussen één knooppunt en een netwerk, of tussen twee of meer verschillende netwerken;
op het niveau van welke netwerkprotocollen de datastroom wordt aangestuurd;
of de statussen van actieve verbindingen worden gecontroleerd of niet.
Afhankelijk van de dekking van de bewaakte datastromen worden firewalls onderverdeeld in:
traditionele firewall (of firewall) - een programma (of een integraal onderdeel van het besturingssysteem) op een gateway (een server die verkeer tussen netwerken verzendt) of een hardwareoplossing die inkomende en uitgaande gegevensstromen tussen aangesloten netwerken regelt.
persoonlijke firewall is een programma dat op de computer van een gebruiker is geïnstalleerd en is ontworpen om alleen deze computer te beschermen tegen ongeoorloofde toegang.
Een gedegenereerd geval is het gebruik van een traditionele firewall door een server om de toegang tot zijn eigen bronnen te beperken.
Afhankelijk van het niveau waarop toegangscontrole plaatsvindt, is er een indeling in firewalls die werken op:
de netwerklaag, wanneer filteren is gebaseerd op de adressen van de afzender en ontvanger van pakketten, poortnummers van de transportlaag van het OSI-model en statische regels die zijn ingesteld door de beheerder;
Sessielaag (ook bekend als stateful) - Sessies volgen tussen applicaties, pakketten niet toestaan die de TCP / IP-specificaties schenden, vaak gebruikt bij kwaadwillende operaties - bronscans, hacken door onjuiste TCP / IP-implementaties, verbroken / vertraagde verbindingen, gegevensinjectie.
applicatielaag, filteren op basis van de analyse van applicatiegegevens die binnen het pakket worden verzonden. Met dit soort schermen kunt u de overdracht van ongewenste en mogelijk schadelijke informatie blokkeren op basis van beleid en instellingen.
Sommige oplossingen met betrekking tot firewalls op toepassingsniveau zijn proxyservers met enkele firewallmogelijkheden, die transparante proxyservers implementeren en gespecialiseerd zijn in protocollen. Proxyservermogelijkheden en multi-protocolspecialisatie maken filteren veel flexibeler dan bij klassieke firewalls, maar dergelijke toepassingen hebben alle nadelen van proxyservers (bijvoorbeeld anonimisering van verkeer).
Afhankelijk van het volgen van actieve verbindingen, zijn firewalls:
stateless (eenvoudige filtering), die de huidige verbindingen niet volgen (bijvoorbeeld TCP), maar de gegevensstroom uitsluitend filteren op basis van statische regels;
stateful, stateful pakketinspectie (SPI) (contextbewuste filtering), het bewaken van de huidige verbindingen en het doorgeven van alleen die pakketten die voldoen aan de logica en algoritmen van de bijbehorende protocollen en applicaties. Met dit soort firewalls kunt u verschillende soorten DoS-aanvallen en kwetsbaarheden van sommige netwerkprotocollen effectiever bestrijden. Bovendien zorgen ze voor de werking van protocollen zoals H.323, SIP, FTP, enz., die complexe schema's gebruiken voor de overdracht van gegevens tussen ontvangers, die moeilijk te beschrijven zijn door statische regels en vaak onverenigbaar zijn met standaard, staatloze firewalls.
Opgemerkt moet worden dat tegenwoordig, samen met enkellaagse firewalls, complexe schermen, die de lagen van netwerk tot applicatie bedekken, steeds populairder worden, omdat dergelijke producten de beste eigenschappen van verschillende soorten enkellaagse schermen combineren. Figuur 1 toont de structuur van informatieafscherming tussen twee systemen met behulp van het ISO / OSI-referentiemodel.
Figuur 5. Structuur van informatieafscherming met behulp van het referentiemodel
Moderne vereisten voor firewalls
De belangrijkste vereiste is het waarborgen van de veiligheid van het interne (beveiligde) netwerk en volledige controle over externe verbindingen en communicatiesessies.
Het afschermingssysteem moet krachtige en flexibele controles hebben om het beveiligingsbeleid van de organisatie gemakkelijk en volledig af te dwingen.
De firewall moet onzichtbaar werken voor gebruikers van het lokale netwerk en mag hun juridische acties niet belemmeren.
De firewall-processor moet snel zijn, efficiënt genoeg werken en in staat zijn om alle inkomende en uitgaande verkeer in piekmodus te verwerken, zodat deze niet door een groot aantal oproepen kan worden geblokkeerd en de werking ervan kan verstoren.
Het beveiligingssysteem zelf moet betrouwbaar worden beschermd tegen ongeoorloofde invloeden, aangezien het de sleutel is tot vertrouwelijke informatie in de organisatie.
Het schermbeheersysteem moet centraal een uniform beveiligingsbeleid kunnen afdwingen voor afgelegen vestigingen.
Kenmerken van moderne firewalls
Zoals blijkt uit tabel 3, is een firewall het meest gebruikelijke middel om traditionele beschermingsmiddelen tegen ongeoorloofde toegang te verbeteren en wordt het gebruikt om gegevensbescherming te waarborgen bij het organiseren van interworking.
De specifieke implementaties van de ME hangen grotendeels af van de gebruikte computerplatforms, maar niettemin gebruiken alle systemen van deze klasse twee mechanismen, waarvan één het netwerkverkeer blokkeert en het tweede juist gegevensuitwisseling mogelijk maakt.
Tegelijkertijd richten sommige versies van de ME zich op het blokkeren van ongewenst verkeer, terwijl andere op het reguleren van de toegestane machine-naar-machine-communicatie.
Tabel 3 - Kenmerken van firewalls
|
Firewall-type |
Werkingsprincipe |
Waardigheid |
Gebreken |
|
Afschermingsrouters (firewalls voor pakketfiltering) |
Pakketten worden gefilterd in overeenstemming met de IP-header van het pakket volgens het criterium: wat niet expliciet verboden is, is toegestaan. De geanalyseerde informatie is: - het adres van de afzender; - adres van de ontvanger; - informatie over de aanvraag of het protocol; - bronpoortnummer; - poortnummer van de ontvanger |
Lage kosten · Minimale impact op netwerkprestaties · Eenvoudig te configureren en te installeren · Softwaretransparantie |
Kwetsbaarheid van het beschermingsmechanisme voor verschillende soorten netwerkaanvallen, zoals het vervalsen van de bronadressen van pakketten, ongeoorloofde wijziging van de inhoud van pakketten Gebrek aan ondersteuning voor gebeurtenisregistratie en audittools in sommige producten |
|
Afschermingsgateway (ESH) |
Informatie-uitwisseling vindt plaats via een hostbastion dat is geïnstalleerd tussen de interne en externe netwerken, dat beslissingen neemt over de mogelijkheid van verkeersroutering. ES zijn van twee soorten: sessie- en applicatielaag |
· Geen end-to-end verzending van pakketten in geval van storingen · Versterkt, in vergelijking met EM, beschermingsmechanismen, waardoor het gebruik van extra authenticatiemiddelen, zowel software als hardware · Gebruik van de adresvertalingsprocedure, waarmee het verbergen van de adressen van hosts op een gesloten netwerk |
· Alleen krachtige bastion-hosts gebruiken vanwege de grote hoeveelheid rekenwerk · Gebrek aan "transparantie" vanwege het feit dat ES vertragingen in het transmissieproces veroorzaakt en gvereist |
|
Afschermende subnetten (ES) |
Er wordt een geïsoleerd subnet gecreëerd tussen de interne en open netwerken. Berichten van het open netwerk worden verwerkt door de applicatiegateway en gaan naar de digitale handtekening. Na het succesvol passeren van de controle in de elektronische code, komen ze in een gesloten netwerk. Verzoeken van een gesloten netwerk worden op dezelfde manier via de digitale handtekening verwerkt. Er wordt gefilterd volgens het principe: wat niet mag, is verboden |
De mogelijkheid om het adres van het interne netwerk te verbergen · Verhoog de betrouwbaarheid van de bescherming · De mogelijkheid om groot verkeer te creëren tussen de interne en open netwerken bij gebruik van verschillende hosts-bastions in de elektronische handtekening · "transparantie" van het werk voor alle netwerkdiensten en elke structuur van het interne netwerk |
Gebruik alleen krachtige bastionhosts vanwege de grote hoeveelheid rekenwerk Onderhoud (installatie, configuratie) kan alleen door specialisten worden uitgevoerd |
Typische opties voor het inschakelen van firewalls
Figuur 6. De ME inschakelen volgens het twee-poorts gateway-schema
Afbeelding 7. ME rechtstreeks inschakelen op de beveiligde server
Afbeelding 8. ME inschakelen in het internet-intranetsysteem
Vergelijkende kenmerken van moderne firewalls
Tabel 4 - Vergelijkende kenmerken van moderne firewalls
|
Platform |
Bedrijf |
Eigenaardigheden |
||
|
Zonnewende firewall |
Complex |
SunOS, UNIX, Solaris |
Sun Microsystems |
Implementeert een beveiligingsbeleid: alle gegevens die geen expliciete toestemming hebben, worden weggegooid. Daarbij genereren pakketfilters op gateways en servers records van alle gebeurtenissen en activeren alarmmechanismen die de reactie van een beheerder vereisen. |
|
Milkyway Networks Corporation |
Maakt geen gebruik van pakketfiltermechanisme. Hoe het werkt: wat niet expliciet is toegestaan, is verboden. Registreert alle serveracties, waarschuwt voor mogelijke overtredingen. Kan worden gebruikt als een bidirectionele gateway. |
|||
|
BorderWare Firewall-server |
Gateway voor afscherming van applicatielaag |
UNIX, Windows, DOS |
Secure Computing Corporation |
Beveiligingssoftware die zorgt voor werking onder OS-controle (eigendom). Hiermee kunt u adressen, tijd, pogingen en gebruikt protocol vastleggen. |
|
ALF (Applicatielaagfilter) |
Gateway voor afscherming van applicatielaag |
Kan IP-pakketten filteren op adressen, poortbereiken, protocollen en interfaces. Het inkomende pakket kan worden gemist, verwijderd of naar zijn adres worden gestuurd. |
||
|
ANS InterLock-service |
Gateway voor afscherming van applicatielaag |
ANS CO + RE-systemen |
Gebruikt proxy's voor Telnet-, FTR-, HTTR-services. Ondersteunt point-to-point-codering en hardware kan worden gebruikt als authenticatiemiddel. |
|
|
Complex scherm |
SunOS, BSDI op Intel, IRIX op INDY en Challenge |
Het gebruikt tijd, datum, adres, poort, enz. Voor analyse. Bevat proxy's op de applicatielaag voor Telnet, FTR, SMTP, X11, HTTP, Gopher, enz. Ondersteunt de meeste hardware-authenticatiepakketten. |
||
|
Gateway voor afscherming van applicatielaag |
SunOS, BSDI, Solaris, HP-UX, AIX |
Een gesloten netwerk wordt van buitenaf gezien als één host. Heeft intermediaire programma's voor services: e-mail, FTR-protocol, etc. Registreert alle serveracties, waarschuwt voor overtredingen. |
||
|
Gateway voor afscherming van applicatielaag |
Sterling-software |
Het is een softwareproduct dat informatie beschermt tegen manipulatie bij het verbinden van gesloten en open netwerken. Hiermee kunt u alle serveracties registreren en waarschuwen voor mogelijke overtredingen. |
||
|
CyberGuard-firewall |
Bidirectionele end-to-end gateway (bastionhost als filter, applicatiegateway of scherm) |
RISC-platform, OS UNIX |
Harris Computer Systems Corporation |
Er werden complexe oplossingen gebruikt, waaronder UNIX OS-beveiligingsmechanismen en geïntegreerde netwerktools die zijn ontworpen voor RISC-computers. De analyse maakt gebruik van het bronadres, het bestemmingsadres, enz. |
|
Digitale firewall voor UNIX |
Complex scherm |
Digital Equipment Corporation |
Voorgeïnstalleerd op Digital Alpha-systemen en introduceert mogelijkheden voor screeningfilter en toepassingsgateway. |
|
|
Eagle Enterprise |
Gateway voor afscherming van applicatielaag |
Implementatie van Virtual Private Networking-technologie |
Omvatmma's voor FTR-, HTTP-, Telnet-services. Registreert alle serveractiviteiten en waarschuwt voor overtredingen. |
|
|
Firewall IRX-router |
Afschermende router |
Hiermee kunt u het netwerk analyseren om het netwerkverkeer te optimaliseren, het lokale netwerk veilig verbinden met externe netwerken op basis van open netwerken. |
||
|
Uitgebreide firewall |
Intel x86, Sun Sparc, enz. |
Biedt bescherming tegen hackeraanvallen zoals adresspoofing (spoofing van pakketadressen) en biedt een combinatie van netwerk- en applicatielaagbeveiliging. |
||
|
Firewall-1 / VPN-1 |
Uitgebreide firewall |
Intel x86, Sun Sparc, enz. |
Check Point-softwaretechnologieën |
Vertegenwoordigt de openbare interface van de OPSEC API. Biedt: - detectie van computervirussen; - URL-scanning; - Java en ActiveX blokkeren; - SMTP-protocolondersteuning; - HTTP-filtering; - FTP-protocolverwerking |
|
TIS Firewall-toolkit |
Een set programma's voor het maken en beheren van firewallsystemen |
Betrouwbare informatiesystemen |
Gedistribueerd in broncode, alle modules zijn geschreven in C. De set is bedoeld voor ervaren programmeurs. |
|
|
Gauntlet Internet Firewall |
Gateway voor afscherming van applicatielaag |
UNIX, beveiligde BSD |
Betrouwbare informatiesystemen |
Ondersteunt services: e-mail, webservice, terminalservices, enz. Kenmerken: encryptie op netwerkniveau, bescherming tegen hackeraanvallen zoals adresspoofing, bescherming tegen pogingen om de routering te wijzigen. |
|
Firewall met meerdere protocollen |
Verschillende hardwareplatforms |
Netwerk-1 software en technologie |
Controle vindt plaats op het niveau van frames, pakketten, kanalen en applicaties (voor elk protocol). Maakt het mogelijk om met meer dan 390 protocollen te werken, maakt het mogelijk om eventuele filtervoorwaarden voor vervolgwerk te beschrijven. |
|
|
Zastava-Jet |
Uitgebreide firewall |
SPARC, Solaris, UNIX |
Implementeert een beveiligingsbeleid: alle gegevens die geen expliciete toestemming hebben, worden weggegooid. |
De firewall zelf is geen wondermiddel voor alle bedreigingen voor het netwerk. In het bijzonder, hij:
beschermt netwerkknooppunten niet tegen penetratie via achterdeurtjes of softwarekwetsbaarheden;
biedt geen bescherming tegen veel interne dreigingen, voornamelijk datalekken;
biedt geen bescherming tegen gebruikers die schadelijke programma's downloaden, inclusief virussen;
Om de laatste twee problemen op te lossen, worden geschikte aanvullende tools gebruikt, met name antivirussen. Meestal maken ze verbinding met de firewall en laten ze het corresponderende deel van het netwerkverkeer door zichzelf passeren, als een transparante proxy voor andere netwerkknooppunten, of ze ontvangen een kopie van alle verzonden gegevens van de firewall. Deze analyse vereist echter aanzienlijke hardwarebronnen, dus wordt deze meestal onafhankelijk op elk knooppunt van het netwerk uitgevoerd.
Vereisten voor kennis en vaardigheden
De leerling moet weten:
firewall-mechanisme.
De student moet in staat zijn om:
kies firewalls om informatiesystemen te beschermen.
Belangrijke term
Sleutelbegrip: Firewall afgeschermd.
Firewall of firewall (firewall) - software- of software- en hardwaresysteem dat de informatiestromen die het informatiesysteem binnenkomen en/of verlaten monitort, en zorgt voor de bescherming van het informatiesysteem door informatie te filteren.
secundaire termen
Classificatie van firewalls.
Kenmerken van firewalls.
Blokschema van termen
4.5.1 Classificatie van firewalls
Een van de effectieve mechanismen om de informatiebeveiliging van gedistribueerde computernetwerken te waarborgen, is afscherming, die de functies vervult van het afbakenen van informatiestromen aan de rand van het beschermde netwerk.
Firewalling verhoogt de beveiliging van objecten op het interne netwerk door ongeautoriseerde verzoeken van de externe omgeving te negeren, waardoor alle componenten van informatiebeveiliging worden gegarandeerd. Naast de functies van toegangscontrole zorgt screening voor registratie van informatie-uitwisselingen.
firewall of een firewall, die wordt opgevat als een software- of hardware-softwaresysteem dat de informatiestromen die het informatiesysteem binnenkomen en/of verlaten controleert, en zorgt voor de bescherming van het informatiesysteem door informatie te filteren. Het filteren van informatie bestaat uit het analyseren van informatie op basis van een reeks criteria en het nemen van een beslissing over de ontvangst en/of verzending ervan.
Firewalls worden geclassificeerd op basis van de volgende criteria:
op de locatie in het netwerk - naar extern en intern, respectievelijk bescherming biedend tegen een extern netwerk of bescherming tussen netwerksegmenten;
filterniveau consistent met het OSI / ISO-referentiemodel.
Externe firewalls werken meestal alleen met het wereldwijde internet TCP/IP-protocol. Interne firewalls kunnen meerdere protocollen ondersteunen. Bij gebruik van een Novell Netware-netwerkbesturingssysteem moet bijvoorbeeld rekening worden gehouden met het SPX/IPX-protocol.
4.5.2 Kenmerken van firewalls
De werking van alle firewalls is gebaseerd op het gebruik van informatie uit verschillende lagen van het OSI-model. Meestal geldt: hoe hoger de OSI-laag waarop de firewall pakketten filtert, hoe hoger het beschermingsniveau dat wordt geboden.
Firewalls zijn onderverdeeld in vier typen:
pakketfilterende firewalls;
gateways op sessieniveau;
gateways op applicatieniveau;
firewalls op expertniveau.
Tabel 1. Typen firewalls en lagen van het ISO OSI-model
№ |
PeilOSI-modellen |
Protocol |
Een typefirewall |
1 |
Toegepast |
Telnet, FTP, DNS, NFS, SMTP, HTTP |
· Gateway op applicatieniveau;· Firewall op expertniveau. |
2 |
Gegevensweergaven |
||
3 |
Sessie |
TCP, UDP |
Gateway op sessieniveau |
4 |
Vervoer |
TCP, UDP |
|
5 |
Netwerk |
IP, ICMP |
Pakketfiltering firewall |
6 |
kanaal |
||
7 |
Fysiek |
Pakketfilterende firewalls zijn routers of server-side programma's die zijn geconfigureerd om inkomende en uitgaande pakketten te filteren. Daarom worden deze schermen soms pakketfilters genoemd. Filtering wordt uitgevoerd door de bron- en bestemmings-IP-adressen te analyseren, evenals de poorten van inkomende TCP- en UDP-pakketten en deze te vergelijken met een geconfigureerde regeltabel. Deze firewalls zijn gebruiksvriendelijk, goedkoop en hebben een minimale impact op de computerprestaties. Het grootste nadeel is hun kwetsbaarheid bij het vervalsen van IP-adressen. Bovendien zijn ze complex om te configureren: hun installatie vereist kennis van netwerk-, transport- en applicatieprotocollen.
Gateways op sessieniveau de toelaatbaarheid van de communicatiesessie te controleren. Ze bewaken de handshake tussen de geautoriseerde client en de externe host (en vice versa) om te bepalen of de gevraagde sessie geldig is. Bij het filteren van pakketten vertrouwt de gateway op de sessielaag op de informatie in de pakketheaders van de TCP-sessielaag, dat wil zeggen dat hij twee lagen hoger functioneert dan de firewall voor pakketfiltering. Bovendien hebben deze systemen meestal een vertaalfunctie voor netwerkadressen die interne IP-adressen verbergt, waardoor IP-spoofing wordt geëlimineerd. Dergelijke firewalls hebben echter geen controle over de inhoud van pakketten die door verschillende services worden gegenereerd. Om dit nadeel op te heffen, worden gateways op applicatieniveau gebruikt.
Toepassingsgateways inspecteer de inhoud van elk pakket dat door de gateway gaat en kan specifieke soorten opdrachten of informatie filteren in de toepassingsprotocollen die ze moeten dienen. Het is een geavanceerder en betrouwbaarder type firewall dat gebruikmaakt van toepassingsproxy's of -agenten. Agents zijn ontworpen voor specifieke internetdiensten (HTTP, FTP, telnet, enz.) en worden gebruikt om netwerkpakketten te controleren op geldige gegevens.
Toepassingsgateways verslechteren de systeemprestaties als gevolg van herverwerking in de middleware. Dit is onzichtbaar bij het werken op internet bij het werken op trage kanalen, maar essentieel bij het werken op een intern netwerk.
Firewalls van expertkwaliteit combineren elementen uit alle drie de hierboven beschreven categorieën. Net als firewalls voor pakketfiltering werken ze op de netwerklaag van het OSI-model en filteren ze inkomende en uitgaande pakketten op basis van het controleren van IP-adressen en poortnummers. Firewalls op expertniveau fungeren ook als gateway op sessieniveau en bepalen of pakketten van de juiste sessie zijn. Ten slotte fungeren firewalls van expertkwaliteit als een gateway op applicatieniveau, waarbij de inhoud van elk pakket wordt geëvalueerd aan de hand van een organisatiespecifiek beveiligingsbeleid.
In plaats van applicatiegerelateerde proxy's te gebruiken, gebruiken deskundige firewalls speciale algoritmen om gegevens op applicatieniveau te herkennen en te verwerken. Deze algoritmen vergelijken pakketten met bekende datapatronen, wat in theorie zou moeten zorgen voor een efficiëntere pakketfiltering.
Conclusies over het onderwerp
Firewalling verhoogt de beveiliging van objecten op het interne netwerk door ongeautoriseerde verzoeken van de externe omgeving te negeren, waardoor alle componenten van informatiebeveiliging worden gegarandeerd. Naast toegangscontrolefuncties zorgt screening voor registratie van informatie-uitwisselingen.
Afschermingsfuncties worden uitgevoerd door: firewall of een firewall, die wordt begrepen als een software- of hardware-softwaresysteem dat informatiestromen die het informatiesysteem binnenkomen en/of verlaten controleert en zorgt voor de bescherming van het informatiesysteem door informatie te filteren.
Firewalls worden geclassificeerd volgens de volgende criteria: locatie op het netwerk en filterniveau dat overeenkomt met het OSI / ISO-referentiemodel.
Externe firewalls werken meestal alleen met het wereldwijde internet TCP/IP-protocol. Interne firewalls kunnen meerdere protocollen ondersteunen.
Firewalls zijn onderverdeeld in vier typen:
pakketfilterende firewalls;
gateways op sessieniveau;
gateways op applicatieniveau;
-
Het aantal incidenten op het gebied van informatiebeveiliging neemt volgens toonaangevende analytische bureaus voortdurend toe. Beveiligingsexperts hebben een toenemende activiteit opgemerkt van externe aanvallers die de nieuwste aanvalstechnologie gebruiken om bedrijfsnetwerken te infiltreren om hun vuile daden uit te voeren.
Het aantal incidenten op het gebied van informatiebeveiliging neemt volgens toonaangevende analytische bureaus voortdurend toe. Beveiligingsexperts hebben een toenemende activiteit opgemerkt van externe aanvallers die de nieuwste aanvalstechnologie gebruiken om bedrijfsnetwerken te infiltreren om hun vuile daden uit te voeren. Ze zijn niet beperkt tot het stelen van informatie of het uitschakelen van netwerkknooppunten. Het is niet ongebruikelijk dat gecompromitteerde netwerken worden gebruikt om nieuwe aanvallen uit te voeren. Daarom is de bescherming van de perimeter van het informatiesysteem een verplicht onderdeel van het informatiebeveiligingssysteem van de organisatie.
Tegelijkertijd is het voor het bepalen van de samenstelling van de die het minimale (initiële) niveau van informatiebeveiliging garanderen, noodzakelijk om de meest voorkomende bedreigingen voor de informatiebronnen van de organisatie te analyseren:
netwerkaanvallen gericht op ontoegankelijkheid van informatiebronnen (bijvoorbeeld webservers, e-maildiensten, etc.) - DoS- en DDoS-aanvallen;
compromittering van informatiebronnen en escalatie van privileges van zowel insiders als externe aanvallers, zowel met het oog op het gebruik van uw bronnen als voor het veroorzaken van schade;
acties van kwaadaardige softwarecode (virussen, netwerkwormen, Trojaanse paarden, spyware, enz.);
lekken van vertrouwelijke informatie en diefstal van gegevens zowel via het netwerk (e-mail, FTP, web, enz.) als via externe media;
verschillende netwerkaanvallen op applicaties.Om bedreigingen voor informatiebeveiliging te minimaliseren, is het noodzakelijk om firewalls te implementeren op verschillende niveaus van het OSI-model, zoals weergegeven in de tabel.
Tafel. Firewalls en OSI-modellen
De werking van alle firewalls is gebaseerd op het gebruik van informatie uit verschillende lagen van het OSI-model (tabel). Het OSI-model, ontwikkeld door de International Organization for Standardization, definieert zeven lagen waarop computersystemen met elkaar interageren, van de fysieke medialaag tot de laag van applicaties die worden gebruikt voor communicatie. Over het algemeen geldt: hoe hoger de OSI-laag waarop de firewall pakketten filtert, hoe hoger het beschermingsniveau dat wordt geboden.
De volgende methoden kunnen worden geselecteerd om het verkeer tussen het LAN en het externe netwerk te regelen:
1. Pakketfiltering- gebaseerd op het opzetten van een set filters. Afhankelijk van of het binnenkomende pakket voldoet aan de voorwaarden die in de filters zijn gespecificeerd, wordt het doorgegeven aan het netwerk of verwijderd.
2. Deze klasse routers is een vertaler van TCP-verbindingen. De gateway accepteert het verzoek van een geautoriseerde klant voor specifieke services en brengt, na validatie van de gevraagde sessie, een verbinding tot stand met de bestemming (externe host). De gateway kopieert vervolgens de pakketten in beide richtingen zonder ze te filteren. In de regel wordt de bestemming vooraf ingesteld, terwijl er veel bronnen kunnen zijn. Door verschillende poorten te gebruiken, kunt u verschillende verbindingsconfiguraties maken. Met dit type gateway kunt u een TCP-verbindingsvertaler maken voor elke door de gebruiker gedefinieerde op TCP gebaseerde service, de toegang tot deze service beheren en statistieken over het gebruik ervan verzamelen.
3. Proxy server- tussen de lokale en externe netwerken wordt een extra proxy-serverapparaat geïnstalleerd, dat dienst doet als een "poort" waar al het inkomende en uitgaande verkeer doorheen moet. Staatskeuring- Inspectie van inkomend verkeer is een van de meest geavanceerde manieren om een firewall te implementeren. Inspectie betekent niet het hele pakket analyseren, maar alleen het speciale belangrijkste onderdeel ervan en het vergelijken met eerder bekende waarden uit de database met toegestane bronnen. Deze methode biedt de hoogste firewallprestaties en de laagste latentie.
Het werkingsprincipe van de firewall is gebaseerd op de controle van verkeer dat van buitenaf komt.
De firewall kan in hardware of software worden geïmplementeerd. De concrete invulling is afhankelijk van de omvang van het netwerk, de hoeveelheid verkeer en de benodigde taken. Het meest voorkomende type firewall is softwarematig. In dit geval wordt het geïmplementeerd in de vorm van een programma dat op de doel-pc wordt uitgevoerd, of een edge-netwerkapparaat, bijvoorbeeld een router. In het geval van hardware-uitvoering is een firewall een afzonderlijk netwerkelement dat meestal hoge prestatiemogelijkheden heeft, maar vergelijkbare taken uitvoert.
Met de firewall kunt u filters configureren die verantwoordelijk zijn voor het doorgeven van verkeer volgens de volgende criteria:
1. IP adres. Zoals u weet, moet elk eindapparaat dat het IP-protocol gebruikt een uniek adres hebben. Door een adres of een bepaald bereik op te geven, kunt u de ontvangst van pakketten ervan weigeren of, omgekeerd, alleen toegang toestaan vanaf deze IP-adressen.
2. Domeinnaam. Zoals u weet, kan een site op internet, of liever het IP-adres, worden geassocieerd met een alfanumerieke naam, die veel gemakkelijker te onthouden is dan een reeks cijfers. Het filter kan dus worden geconfigureerd om alleen verkeer van/naar een van de bronnen door te geven of de toegang ertoe te weigeren.
3. Haven. We hebben het over softwarepoorten, d.w.z. toegangspunten van toepassingen tot netwerkdiensten. FTP gebruikt bijvoorbeeld poort 21 en toepassingen voor webbrowsing gebruiken poort 80. Hiermee kunt u de toegang van ongewenste services en netwerktoepassingen weigeren, of omgekeerd, alleen toegang tot deze toestaan.
4. Protocol. De firewall kan worden geconfigureerd om slechts één protocol door te laten, of om de toegang via het protocol te weigeren. Meestal kan het type protocol praten over de taken van de toepassing die het gebruikt en over een set beveiligingsparameters. Toegang kan dus alleen worden geconfigureerd voor de werking van een specifieke toepassing en kan potentieel gevaarlijke toegang voorkomen met alle andere protocollen.Het bovenstaande vermeldt alleen de belangrijkste parameters waarmee de aanpassing kan worden gemaakt. Er kunnen ook andere netwerkspecifieke filterparameters worden toegepast, afhankelijk van de taken die op dat netwerk worden uitgevoerd.
De firewall biedt dus een uitgebreide reeks taken om ongeautoriseerde toegang, beschadiging of diefstal van gegevens of andere negatieve gevolgen die de prestaties van het netwerk kunnen beïnvloeden, te voorkomen. Meestal wordt een firewall gebruikt in combinatie met andere beschermingsmiddelen, bijvoorbeeld antivirussoftware.
Een filterbeleid voor firewalls maken
Er zijn twee manieren om firewall-regelsets te maken: "inclusief" en "exclusief". Een uitsluitingsfirewall laat al het verkeer door, behalve verkeer dat aan een reeks regels voldoet. Een activerende firewall werkt precies andersom. Het laat alleen verkeer toe dat aan de regels voldoet en blokkeert al het andere.Een inclusieve firewall geeft veel meer controle over uitgaand verkeer. Daarom is een inclusieve firewall de beste keuze voor systemen die diensten op internet leveren. Het regelt ook het type verkeer dat van buitenaf komt en naar uw privénetwerk wordt geleid. Verkeer dat niet in de regels is opgenomen, wordt geblokkeerd en de bijbehorende vermeldingen worden in het logbestand gemaakt. Inclusieve firewalls zijn over het algemeen veiliger dan exclusieve firewalls omdat ze het risico dat de firewall ongewenst verkeer doorlaat aanzienlijk verkleinen.
De beveiliging kan verder worden verbeterd met behulp van een "stateful firewall". Zo'n firewall houdt informatie over open verbindingen bij en laat alleen verkeer toe via open verbindingen of het openen van nieuwe verbindingen. Het nadeel van een stateful firewall is dat deze kwetsbaar kan zijn voor Denial of Service (DoS)-aanvallen als er heel snel veel nieuwe verbindingen worden geopend. De meeste firewalls maken een combinatie van stateful en stateless gedrag mogelijk om de optimale configuratie voor elk specifiek systeem te creëren.
Overweeg bijvoorbeeld om filterregels te maken in een eenvoudig pakketfilter. Er zijn verschillende mogelijke opties voor pakketfiltering. De eenvoudigste is gerichte filtering; het bestaat uit het vergelijken van de adressen in het pakket met de adressen die in de regels zijn gespecificeerd. Als de adressen overeenkomen, wordt het pakket overgeslagen. Deze vergelijking gaat als volgt:
1. Houd rekening met de volgende regel: alle hosts op het 10.1.x.x-netwerk kunnen communiceren met hosts op het 10.2.x.x-netwerk. Deze regel is als volgt geschreven:
10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0
--- Bron bestemming --U kunt de regel nu toepassen op een pakket dat van host 10.1.1.2 naar host 10.3.7.7 wordt verzonden. Laten we een masker toepassen op beide adressen - het adres in de regel en het adres in het pakket. Vervolgens wordt gecontroleerd of de bron- en bestemmingsadressen hetzelfde zijn. Als resultaat zullen we hebben:
Voor bronadres:
10.1.0.0 & 255.255.0.0 = 10.1.0.0 (voor de regel)
10.1.1.2 & 255.255.0.0 = 10.1.0.0 (voor pakket)Na het aanbrengen van het masker komen beide adressen overeen. Laten we nu het bestemmingsadres controleren:
10.2.0.0 & 255.255.0.0 = 10.2.0.0 (voor de regel)
10.3.7.7 & 255.255.0.0 = 10.3.0.0 (voor pakket)Aangezien de bestemmingsadressen van het pakket en de regels na het toepassen van het masker niet overeenkomen, zou deze regel niet op dit pakket moeten worden toegepast.
Deze bewerking wordt uitgevoerd over de hele lijst van bron- en bestemmingsadressen en maskers totdat het einde van de lijst is bereikt of totdat het pakket overeenkomt met een van de regels. De lijst met regels heeft de volgende indeling:
10.1.1.2 & 255.255.255.255 — 10.2.0.0 & 255.255.0.0
10.3.3.2 & 255.255.255.255 — 10.1.2.1 & 255.255.255.255
10.1.1.0 & 255.0.0.0 — 10.2.3.0 & 255.255.255.0
10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0Naast bron- en bestemmingsadressen bevat elk IP-pakket informatie over het gebruikte protocol en de gebruikte dienst. Het kan worden gebruikt als een extra filterparameter.
TCP-services zijn bijvoorbeeld altijd gekoppeld aan een poort. Als gevolg hiervan kunt u de lijst met poorten koppelen aan adressen.
Laten we als voorbeeld twee bekende services gebruiken: POP3 en HTTP. POP3 gebruikt poort 110 en HTTP gebruikt poort 80. Daarom kunnen we deze poorten toevoegen aan de regelbeschrijving. Als resultaat krijgen we:
10.1.0.0 & 255.255.0.0 - 10.2.0.0 & 255.255.0.0 TCP 80 110
—— Bron —— —— Bestemming —— Protocol - Poorten -Deze regel staat toe dat elk pakket dat van het 10.1.x.x-netwerk naar het 10.2.x.x-netwerk reist met behulp van HTTP- en POP3-services door de firewall gaat.
Eerst worden de adressen uit de regel vergeleken met de adressen van het pakket. Als na het maskeren beide adressen overeenkomen, worden het protocol en de bestemmingspoort in het pakket vergeleken met het protocol en de lijst met poorten die in de regel worden beschreven. Als het protocol overeenkomt, en de poort in de regel is hetzelfde als de poort van het pakket, dan komt zo'n pakket overeen met de regel. Anders wordt de zoekopdracht voortgezet in de lijst met regels.
Met deze nieuwe informatie in gedachten, heeft de regelset de volgende indeling:
10.1.1.2 & 255.255.255.255 - 10.2.0.0 & 255.255.0.0 UDP 53
10.3.3.2 & 255.255.255.255 - 10.1.2.1 & 255.255.255.255 TCP 80
10.1.1.0 & 255.0.0.0 - 10.2.3.0 & 255.255.255.0 TCP 21 20 113
10.1.0.0 & 255.255.0.0 - 10.2.0.0 & 255.255.0.0 ICMP 0 8Naast deze basisfilterparameters kunt u er nog een aantal toevoegen. Een daarvan is de bronnetwerkinterface; door de naam van de netwerkinterface als filterparameter te gebruiken, kunt u de doorgang van pakketten met specifieke adressen alleen vanuit de opgegeven interface toestaan.
Het doel van deze procedure is om een aanval te blokkeren die bekend staat als IP-spoofing, waarbij een pakket naar het interne netwerk wordt gestuurd met een nepbronadres (vanaf het interne netwerk). Door de naam van een netwerkinterface als parameter te gebruiken, kunt u dit type aanval eenvoudig blokkeren. Als het interne netwerk bijvoorbeeld interageert met de firewall via de de0-interface, dan is het alleen nodig om in de regels in te stellen dat pakketten met een bronadres van het interne netwerk alleen mogen worden geaccepteerd als ze van deze interface komen; in alle andere gevallen worden ze weggegooid.
In Odnoklassniki
een netwerk dat is ontworpen om al het verkeer te blokkeren, behalve voor toegestane gegevens. Dit in tegenstelling tot een router die als functie heeft om het verkeer zo snel mogelijk op zijn bestemming af te leveren.Er wordt aangenomen dat een router ook als firewall kan fungeren. Er is echter één fundamenteel verschil tussen deze apparaten: de router is ontworpen om het verkeer snel te routeren, niet om het te blokkeren. Firewall is een beveiligingstool die bepaald verkeer van een datastroom toestaat, en een router is een netwerkapparaat dat kan worden geconfigureerd om bepaald verkeer te blokkeren.
Bovendien zijn firewalls vaak zeer configureerbaar. De verkeersstroom op de firewall kan worden geconfigureerd door services, bron- en bestemmings-IP-adressen en gebruikers-ID's die de service aanvragen. Firewalls maken gecentraliseerd mogelijk veiligheidsmanagement... In één configuratie kan een beheerder inkomend verkeer zo configureren dat het wordt toegestaan voor alle interne systemen in een organisatie. Dit elimineert niet de noodzaak om systemen bij te werken en af te stemmen, maar het kan de kans op een verkeerde configuratie van een of meer systemen verkleinen, wat ertoe kan leiden dat die systemen worden aangevallen door een verkeerd geconfigureerde service.
Firewall-typen definiëren
Er zijn twee hoofdtypen firewalls: applicatie-firewalls en firewalls met pakketfiltering... Ze zijn gebaseerd op verschillende werkingsprincipes, maar wanneer ze correct zijn geconfigureerd, zorgen beide soorten apparaten voor de juiste implementatie van beveiligingsfuncties, die verboden verkeer moeten blokkeren. In de volgende paragrafen zult u zien dat de mate van bescherming die deze apparaten bieden, afhangt van hoe ze worden toegepast en geconfigureerd.
Firewalls voor applicatielagen
Firewalls op applicatieniveau, of proxy-schermen, zijn softwarepakketten op basis van systemen voor algemeen gebruik(zoals Windows NT en Unix) of op het hardwareplatform van de firewall. Firewall heeft verschillende interfaces, één voor elk van de netwerken waarmee het is verbonden. Een set beleidsregels bepaalt hoe verkeer van het ene netwerk naar het andere wordt overgedragen. Als de regel het verkeer niet expliciet doorlaat, firewall pakketten weigert of weggooit.
Regels voor beveiligingsbeleid versterkt door het gebruik van toegangsmodules. In de applicatie-firewall moet elk toegestaan protocol zijn eigen toegangsmodule hebben. De beste accessors zijn die welke speciaal zijn gebouwd voor het protocol dat wordt opgelost. De FTP-accessor is bijvoorbeeld voor het FTP-protocol en kan bepalen of het verkeer dat er doorheen gaat, voldoet aan dat protocol en of dat verkeer is toegestaan door beveiligingsbeleidsregels.
Bij gebruik van een applicatielaag-firewall gaan alle verbindingen er doorheen (zie figuur 10.1). Zoals weergegeven in de afbeelding, begint de verbinding op het clientsysteem en gaat naar de interne interface van de firewall. Firewall accepteert de verbinding, analyseert de inhoud van het pakket en het gebruikte protocol en bepaalt of het verkeer voldoet aan de regels van het beveiligingsbeleid. Zo ja, dan firewall brengt een nieuwe verbinding tot stand tussen zijn externe interface en het serversysteem.
Toepassingsfirewalls gebruiken toegangsmodules voor inkomende verbindingen. module toegang in de firewall accepteert de inkomende verbinding en verwerkt de opdrachten voordat het verkeer naar de ontvanger wordt verzonden. Op deze manier, firewall beschermt systemen tegen applicatie-aanvallen.
Rijst. 10.1.Opmerking
Dit veronderstelt dat de toegangsmodule op de firewall zelf onkwetsbaar is voor aanvallen. Als software niet voldoende is uitgewerkt, kan het een valse verklaring zijn.
Een bijkomend voordeel van dit type architectuur is dat het het erg moeilijk, zo niet onmogelijk maakt om verkeer binnen andere services te "verbergen". Sommige systeembesturingsprogramma's zoals NetBus en
Een firewall is een software- en hardware- of software-element dat het netwerkverkeer regelt op basis van de opgegeven parameters en, indien nodig, filtert. Het kan ook een firewall of firewall worden genoemd.
Doel van firewalls
Een firewall wordt gebruikt om individuele netwerksegmenten of hosts te beschermen tegen mogelijke ongeoorloofde penetratie door kwetsbaarheden in software die op een pc is geïnstalleerd of netwerkprotocollen. De taak van een kraan is om de kenmerken van het verkeer dat er doorheen gaat te vergelijken met patronen van reeds bekende kwaadaardige code.
Meestal wordt een firewall geïnstalleerd aan de rand van de lokale netwerkperimeter, waar het interne knooppunten beschermt. Aanvallen kunnen echter van binnenuit worden geïnitieerd, dus bij een aanval op een server op hetzelfde netwerk zal de firewall dit niet als een bedreiging beschouwen. Dit was de reden waarom firewalls niet alleen aan de rand van het netwerk werden geïnstalleerd, maar ook tussen de segmenten, wat de mate van netwerkbeveiliging aanzienlijk verhoogt.
Geschiedenis van de schepping
Firewalls beginnen hun geschiedenis aan het einde van de jaren tachtig van de vorige eeuw, toen internet voor de meeste mensen nog geen alledaags iets was. Hun functie werd uitgevoerd door routers die het verkeer analyseerden op basis van gegevens uit het netwerklaagprotocol. Toen, met de ontwikkeling van netwerktechnologieën, konden deze apparaten de gegevens van de transportlaag gebruiken. In feite is een router de allereerste implementatie van een firmware-firewall ter wereld.
Software-firewalls zijn er veel later geweest. Dus Netfilter / iptables, een firewall voor Linux, werd pas in 1998 gemaakt. Dit komt door het feit dat eerder de functie van een firewall werd uitgevoerd, en met veel succes, door antivirusprogramma's, maar sinds het einde van de jaren 90 zijn virussen geavanceerder geworden en is het verschijnen van een firewall noodzakelijk geworden.
Verkeer filteren
Verkeer wordt gefilterd op basis van de opgegeven regels - regelset. In feite is een firewall een reeks filters die verkeer analyseren en verwerken volgens een bepaald configuratiepakket. Elk filter heeft zijn eigen doel; bovendien kan de volgorde van regels de prestaties van het scherm aanzienlijk beïnvloeden. Bij het analyseren van verkeer vergelijken de meeste firewalls het bijvoorbeeld consequent met bekende patronen uit de lijst - het is duidelijk dat de meest populaire typen zo hoog mogelijk moeten worden geplaatst.
Er zijn twee principes waarmee inkomend verkeer wordt verwerkt. Volgens de eerste zijn alle datapakketten toegestaan, behalve de verboden, dus als het niet onder een beperking van de lijst met configuraties valt, wordt het verder verzonden. Volgens het tweede principe zijn alleen gegevens toegestaan die niet verboden zijn - deze methode biedt de hoogste mate van beveiliging, maar belast de beheerder aanzienlijk.
De firewall vervult twee functies: weigeren, gegevens weigeren - en toestaan - toestemming voor verdere verzending van het pakket. Sommige firewalls zijn ook in staat om een afwijzingsbewerking uit te voeren - verkeer wordt geweigerd maar de afzender wordt geïnformeerd dat de service niet beschikbaar is, wat niet het geval is bij de weigerbewerking, waardoor de host meer bescherming krijgt.
Firewall-typen
Meestal worden firewalls geclassificeerd volgens de ondersteunde laag van het OSI-netwerkmodel. Onderscheiden:
- Beheerde schakelaars;
- Batchfilters;
- Gateways op sessieniveau;
- Aanvraag bemiddelaars;
- Staats inspecteurs.
Beheerde schakelaars
Vaak worden ze geclassificeerd als firewalls, maar ze vervullen hun functie op de datalinklaag en kunnen daarom geen extern verkeer verwerken.
Verschillende fabrikanten (ZyXEL, Cisco) hebben aan hun product de mogelijkheid toegevoegd om gegevens te verwerken op basis van MAC-adressen, die zich in de frameheaders bevinden. Desalniettemin levert zelfs deze methode niet altijd het verwachte resultaat op, aangezien het mac-adres gemakkelijk kan worden gewijzigd met speciale programma's. In dit opzicht worden switches tegenwoordig meestal geleid door andere indicatoren, namelijk VLAN ID.
Met VLAN's kunt u groepen hosts organiseren waarin gegevens volledig zijn geïsoleerd van externe servers op het netwerk.
In bedrijfsnetwerken kunnen managed switches een zeer effectieve en relatief goedkope oplossing zijn. Hun grootste nadeel is het onvermogen om protocollen van een hogere laag te verwerken.
Pakketfilters
Pakketfilters worden gebruikt op de netwerklaag om het verkeer te regelen op basis van gegevens uit de pakketkop. Vaak zijn ze ook in staat om headers van protocollen en een hogere laag - transport (UDP, TCP) te verwerken. Pakketfilters werden de allereerste firewalls en blijven vandaag de dag het populairst. Bij het ontvangen van inkomend verkeer worden gegevens zoals het IP-adres van de ontvanger en de afzender, het type protocol, de poorten van de ontvanger en de bron, de serviceheaders van het netwerk en transportprotocollen geanalyseerd.
De kwetsbaarheid van pakketfilters is dat ze kwaadaardige code kunnen doorgeven als deze is opgedeeld in segmenten: de pakketten imiteren een deel van andere toegestane inhoud. De oplossing voor dit probleem is om gefragmenteerde gegevens te blokkeren, sommige schermen kunnen deze ook op hun eigen gateway defragmenteren - voordat ze naar het hoofdnetwerkknooppunt worden verzonden. Maar zelfs in dit geval kan de firewall het slachtoffer worden van een DDos-aanval.
Pakketfilters worden geïmplementeerd als OS-componenten, edge-routers of persoonlijke firewalls.
Pakketfilters onderscheiden zich door hun hoge pakketanalysesnelheid en presteren goed aan de grenzen met netwerken met weinig vertrouwen. Ze zijn echter niet in staat om hoge protocolniveaus te ontleden en kunnen gemakkelijk het slachtoffer worden van spoofing-aanvallen op netwerkadressen.
Gateways op sessieniveau
Door een firewall te gebruiken, kunt u directe interactie van externe servers met de site uitsluiten - in dit geval speelt het de rol van een tussenpersoon die een proxy wordt genoemd. Het controleert elk inkomend pakket en slaat niet de pakketjes over die niet tot de eerder tot stand gebrachte verbinding behoren. Die pakketten die zich voordoen als pakketten van een reeds voltooide verbinding, worden weggegooid.
De gateway op sessieniveau is de enige link tussen de externe en interne netwerken. Het wordt dus moeilijk om de netwerktopologie te bepalen die de gateway op sessieniveau beschermt, wat de beveiliging tegen DoS-aanvallen aanzienlijk verhoogt.
Toch heeft zelfs deze oplossing een belangrijk nadeel: door het niet kunnen controleren van de inhoud van het dataveld, kan een hacker relatief eenvoudig Trojaanse paarden naar het beveiligde netwerk sturen.
Aanvraag bemiddelaars
Net als gateways op sessieniveau, bemiddelen firewalls op applicatieniveau tussen twee knooppunten, maar ze hebben een aanzienlijk voordeel: de mogelijkheid om de context van de verzonden gegevens te analyseren. Een firewall van dit type kan ongewenste en niet-bestaande commandoreeksen detecteren en blokkeren (dit betekent vaak een DOS-aanval), en sommige ervan zelfs helemaal verbieden.
Tussenpersonen op applicatieniveau bepalen ook het type informatie dat wordt overgedragen - een goed voorbeeld is de postdienst, die de overdracht van uitvoerbare bestanden verbiedt. Bovendien kunnen ze de gebruiker authenticeren, of de SSL-certificaten een handtekening hebben van een specifiek centrum.
Het grootste nadeel van dit type firewall is de lange pakketanalyse, die veel tijd kost. Bovendien hebben applicatiemakelaars geen ondersteuning voor automatisch verbinden voor nieuwe protocollen en netwerkapplicaties.
Statusinspecteurs
De makers van de staatsinspecteurs hebben zich ten doel gesteld om de voordelen van elk van de bovengenoemde typen firewalls samen te brengen, om zo een firewall te verkrijgen die het verkeer op zowel de netwerk- als de applicatielaag aankan.
Conditieinspecteurs bewaken:
- alle sessies - gebaseerd op de toestandstabel,
- alle verzonden datapakketten - gebaseerd op de gespecificeerde regeltabel,
- alle applicaties zijn gebaseerd op ontwikkeld door wederverkopers.
Het verkeer van de State Inspector wordt op dezelfde manier gefilterd als het gebruik van gateways op sessieniveau, waardoor het veel efficiënter is dan brokers op applicatieniveau. Staatsinspecteurs hebben een gebruiksvriendelijke en intuïtieve interface, eenvoudige aanpassing en uitgebreide uitbreidbaarheid.
Implementatie van firewalls
Firewalls (Firewall) kunnen zowel software als hardware zijn, voor software. De eerste kan zowel als losse module in een router of switch als als speciaal apparaat worden gemaakt.
Meestal kiezen gebruikers uitsluitend voor softwarefirewalls - omdat ze alleen speciale software hoeven te installeren om ze te gebruiken. Toch is het in organisaties vaak moeilijk om een vrije computer voor een bepaald doel te vinden - bovendien is een computer die aan alle technische eisen voldoet vaak behoorlijk hoog.
Dat is de reden waarom grote bedrijven de voorkeur geven aan de installatie van gespecialiseerde hardware- en softwaresystemen die "beveiligingsapparatuur" worden genoemd. Ze werken meestal op basis van Linux- of FreeBSD-systemen, beperkte functionaliteit om een bepaalde functie uit te voeren.
Deze oplossing heeft de volgende voordelen:
- Eenvoudig en eenvoudig beheer: controle van het hardware- en softwarecomplex wordt uitgevoerd vanuit elk standaardprotocol (Telnet, SNMP) - of beveiligd (SSL, SSH).
- Hoge prestaties: de werking van het besturingssysteem is gericht op één enkele functie, eventuele externe services zijn hiervan uitgesloten.
- Fouttolerantie: hardware- en softwaresystemen voeren hun taak goed uit, de kans op falen is praktisch uitgesloten.
Firewallbeperkingen
De firewall filtert geen gegevens die hij niet kan interpreteren. De gebruiker configureert zelf wat te doen met niet-herkende gegevens - in het configuratiebestand, volgens welke de verwerking van dergelijk verkeer wordt uitgevoerd. Dergelijke datapakketten omvatten verkeer van SRTP-, IPsec-, SSH-, TLS-protocollen, die cryptografie gebruiken om inhoud te verbergen, protocollen die applicatielaaggegevens versleutelen (S / MIME en OpenPGP). Het is ook onmogelijk om verkeerstunneling te filteren als het mechanisme van die tunneling niet duidelijk is voor de firewall. Een aanzienlijk deel van de tekortkomingen van firewalls is verholpen in UTM-systemen - Unified Threat Management, soms worden ze ook wel NextGen Firewall genoemd.
