Brannmurers formål og bruksprinsipper. Brannmurimplementeringer. Neste generasjons ITU med aktivt trusselforsvar

Legg igjen en kommentar 6,950

Brannmurer er spesielle sikkerhetsprogramvarekomplekser (brannmurer) som forhindrer uautoriserte og som også skaper en barriere for både en individuell datamaskin og hele det lokale nettverket mot inntrengning av skadelig programvare.På grunn av hovedformålet deres - ikke å slippe gjennom mistenkelige pakker, kalles slike programmer også filtre. I dag er de mest kjente brannmurprodusentene følgende: ZyXEL, Firewall, TrustPort Total Protection, ZoneAlarm, D-Link, Secure Computing, Watchguard Technologies.

Konfigurering av brannmurer

Brannmurer konfigureres manuelt, noe som gir muligheten til å sette opp detaljert beskyttelse. En av de viktigste funksjonene er å konfigurere antiviruset direkte på USB-porten. Etter å ha spesifisert de nødvendige innstillingene, ved å bruke et slikt program, kan du opprette en bestemmelse med fullstendig kontroll over inngangen og utgangen i det lokale nettverket og i hver elektronisk enhet i dens sammensetning.

Ved å manuelt konfigurere brannmuren på en av nettverksdatamaskinene kan du raskt overføre de ferdige innstillingene til andre nettverksenheter. Dessuten er synkroniseringen av arbeidet sikret selv med en trådløs nettverkstilkobling. Å angi de nødvendige parameterne for brannmuren tar litt tid, men hvis du forsømmer det, kan beskyttelsesrestriksjonene blokkere noen av tjenestene som er nødvendige for operasjonen.

Ytterligere funksjoner for linjefiltre

Det finnes brannmurer som kan konfigureres for å gi ekstra beskyttelse for individuelle tjenester og applikasjoner. For eksempel for å forhindre hacking av "foreldrekontroll" eller installere "antispam". Oppsett av Internett-tilgang og rett til å operere i et lukket lokalt nettverk for hvert program og applikasjon kan defineres separat. En brannmur lar deg kontrollere tilgangen til nettsteder, kan overvåke gatewayskanninger og filtrere webinnhold. Den er også i stand til å blokkere tilgang fra mistenkelige IP-adresser, varsle om angrepsforsøk eller sondering.

Typer brannmurer

Brannmurer er klassifisert i følgende typer:

Tradisjonell brannmur som gir filtreringstilgang for å sende og motta pakker;

En sesjonsbrannmur som overvåker individuelle sesjoner mellom installerte applikasjoner, og sikrer rettidig lukking av tilgang til usertifiserte pakker som vanligvis brukes til hacking, skanning av konfidensielle data osv.;

Analytisk brannmur, som utfører filtrering basert på analysen av den interne informasjonen til pakken med påfølgende blokkering av de oppdagede trojanerne;

En maskinvarebrannmur utstyrt med en innebygd akselerator som lar deg samtidig utføre intrusion prevention (IPS), antivirusskanning, hindre brukere på det private nettverket og VPN-anonymitet, samt gjøre brannmuren mer effektiv.

Forebyggende tiltak

For å sikre kvalitet og pålitelighet fra uautoriserte inntrengninger og hacks, er det nødvendig å installere kun en sertifisert brannmur på nettverksnodene. For øyeblikket sørger den russiske føderasjonens lovgivning for sertifisering av FSTEC, Gazpromsert og FSB. For eksempel bekrefter den at denne brannmuren oppfyller alle kravene som er angitt i den første delen av dokumentet fra Statens tekniske kommisjon i Russland. Og FSB-sertifikatene viser at systemet med beskyttelsesprogrammer er i samsvar med den russiske statsstandarden om kravene for å sikre sikkerheten og konfidensialiteten til informasjon.

16.09.1999

Typer brannmurer og teknologier som brukes i dem. Si vis pacem, para bellum (Hvis du vil ha fred, forbered deg på krig). Konstantin Pyanzin Takket være sin åpne arkitektur har Internett blitt et av de mest praktiske kommunikasjonsmidlene.

Typer brannmurer og teknologier som brukes i dem.

Si vis pacem, para bellum

(Om du ønsker fred gjør deg klar for krig).

Konstantin Pyanzin

Takket være sin åpne arkitektur har Internett blitt et av de mest praktiske kommunikasjonsmidlene. Internetts åpenhet har imidlertid skapt mange sikkerhetsproblemer. Ordet: "Alle er for seg selv, bare Gud er for alle" passer best her. Enhver datamaskin med Internett-tilgang bør betraktes som et potensielt mål for angrep. Problemet er spesielt akutt når det gjelder organisasjoner, fordi de trenger å kontrollere bruken av Internett til et stort antall datamaskiner og nettverksenheter.

Sikkerhet når du kobler til Internett sikres ved hjelp av følgende spesialiserte verktøy:

  • brannmurer;
  • nettverksskannere designet for å finne feil og potensielt farlige områder i nettverk;
  • sniffere, eller protokollanalysatorer, som lar deg spore innkommende og utgående trafikk;
  • midler for å logge hendelser i nettverk;
  • midler for å bygge virtuelle private nettverk og organisere lukkede datautvekslingskanaler.

Brannmurer (ofte kalt brannmurer, eller på engelsk brannmurer) inntar en viktig plass på listen over verktøy for å sikre en sikker tilkobling til Internett. I følge «Veiledningsdokumentet. Brannmurer "av den statlige tekniske kommisjonen under presidenten for den russiske føderasjonen" en brannmur er et lokalt (en-komponent) eller funksjonelt distribuert verktøy (kompleks) som implementerer kontroll over informasjon som kommer inn og/eller forlater et automatisert system, og sikrer beskyttelsen av et automatisert system ved å filtrere informasjon, det vil si å analysere et sett med kriterier og ta en beslutning om distribusjon i (fra) et automatisert system." Dessverre er denne definisjonen for generell og innebærer en for vid tolkning.

Vanligvis refererer brannmurer (FW) til beskyttelsesmidlene som er installert mellom det offentlige (som Internett) og interne nettverk. Brannmuren har to formål. For det første er den designet for å begrense tilgangen til det interne nettverket fra det offentlige nettverket gjennom bruk av filtre og autentiseringsverktøy slik at angripere ikke kan få uautorisert tilgang til informasjon eller forstyrre den normale driften av nettverksinfrastrukturen. For det andre tjener ME til å kontrollere og regulere tilgangen til brukere av det interne nettverket til ressursene til det offentlige nettverket når de utgjør en sikkerhetstrussel eller distraherer ansatte fra jobb (pornografisk, spill, sportsservere).

Nå er det imidlertid også installert brannmurer i bedriftsnettverk for å begrense brukertilgang til spesielt viktige nettverksressurser, for eksempel til servere som inneholder finansiell informasjon eller informasjon relatert til forretningshemmeligheter. Det er også personlige brannmurer designet for å regulere tilgangen til individuelle datamaskiner og installert på disse datamaskinene.

Brannmurer brukes forståelig nok for TCP / IP-nettverk og er klassifisert i henhold til OSI Open Systems Interconnection Reference Model (Networking Model) laget. Imidlertid er denne klassifiseringen, på grunn av en rekke omstendigheter, ganske vilkårlig. For det første gir nettverksmodellen til TCP / IP-nettverk bare 5 lag (fysisk, grensesnitt, nettverk, transport og applikasjon), mens OSI-modellen gir 7 lag (fysisk, kanal, nettverk, transport, økt, presentasjon og applikasjon). . Derfor er det langt fra alltid mulig å etablere en en-til-en-korrespondanse mellom disse modellene. For det andre gir de fleste av de utgitte brannmurene drift på flere nivåer i OSI-hierarkiet samtidig. For det tredje opererer noen skjermer i en modus som er vanskelig å korrelere med et strengt definert nivå av hierarki.

Det støttede laget av OSI-nettverksmodellen er imidlertid hovedkarakteristikken ved klassifisering av brannmurer. Følgende typer brannmurer skilles:

  • administrerte brytere (lenkelag);
  • nettverksfiltre (nettverkslag);
  • Gatewayer på øktnivå (proxy på kretsnivå);
  • applikasjonsformidlere;
  • stateful inspektører, som er avanserte brannmurer på øktnivå.

Det er også konseptet "ekspertnivå brannmur". Slike FO-er er vanligvis basert på mellomledd på applikasjonsnivå eller statlige inspektører, men de er nødvendigvis utstyrt med gatewayer på øktnivå og nettverksfiltre. Nesten alle kommersielle brannmurer på markedet regnes som ekspertbrannmurer.

Brannmurer kan stole på ett av to gjensidig utelukkende prinsipper for håndtering av innkommende datapakker. Det første prinsippet er: «Det som ikke er uttrykkelig forbudt, er tillatt». Det vil si at hvis ME mottok en pakke som ikke faller inn under en av de aksepterte restriksjonene eller ikke er identifisert av behandlingsreglene, blir den videresendt. Det motsatte prinsippet – «Det som eksplisitt ikke er tillatt er forbudt» – garanterer mye større sikkerhet, men blir en ekstra belastning for administratoren. I dette tilfellet er det interne nettverket i utgangspunktet fullstendig utilgjengelig, og administratoren angir manuelt nettverksadresser, protokoller, tjenester og operasjoner som er tillatt ved utveksling av data med det offentlige nettverket.

Informasjonsbehandlingsregler i mange brannmurer av ekspertklasse kan ha en hierarkisk struktur på flere nivåer. For eksempel kan de tillate deg å angi følgende skjema: "Alle datamaskiner på det lokale nettverket er utilgjengelige fra utsiden, bortsett fra tilgang til server A via ftp og til server B via telnet, men tilgang til server A med PUT-operasjonen av ftp-tjenesten nektes."

Brannmurer kan utføre én av to operasjoner på innkommende datapakker: sende pakken videre (tillat) eller forkast pakken (avslå). Noen ME-er har en operasjon til - avvis, der pakken forkastes, men avsenderen blir informert via ICMP-protokollen om at tjenesten ikke er tilgjengelig på den mottakende datamaskinen. I motsetning til dette, under avvisningsoperasjonen, blir ikke avsenderen informert om at tjenesten ikke er tilgjengelig, noe som er sikrere.

Nedenfor vil vi se på fordeler og ulemper ved hver type brannmur mer detaljert.

BRYTERE

Mid-range og high-end-svitsjer fra Cisco, Bay Networks (Nortel), 3Com og andre leverandører lar deg binde MAC-adressene til datamaskinens NIC-er til spesifikke svitsjporter. Dessuten gir mange brytere muligheten til å filtrere informasjon basert på adressen til avsenderen eller mottakerens NIC, og dermed skape virtuelle nettverk (VLAN). Andre svitsjer lar VLAN-er organiseres på portnivået til selve svitsjen. Dermed kan svitsjen fungere som en lenkelags brannmur.

Det skal bemerkes at de fleste sikkerhetseksperter i informasjonssystemer sjelden refererer til brytere som brannmurer. Hovedårsaken til denne holdningen er at filtreringsomfanget til svitsjen strekker seg til nærmeste ruter og derfor ikke egner seg for å regulere tilgang fra Internett.

I tillegg er det vanligvis enkelt å forfalske adressen til et nettverkskort (mange Ethernet-kort lar programvare endre eller legge til lenkelagsadresser), og denne tilnærmingen til beskyttelse er ekstremt upålitelig. Riktignok er organiseringen av virtuelle nettverk på svitsjportnivå mer pålitelig, men igjen er den begrenset av omfanget av det lokale nettverket.

Likevel, hvis du følger den bokstavelige tolkningen av "Guidance Document" fra Statens tekniske kommisjon, er brytere med muligheten til å lage VLAN-er brannmurer.

NETTVERKSFILTRE

Overspenningsbeskyttere opererer på nettverkslaget i OSI-hierarkiet (se figur 1). En overspenningsbeskytter er en ruter som behandler pakker basert på informasjon i pakkehodene. Nettverksfiltre finnes for TCP / IP og IPX / SPX-nettverk, men sistnevnte brukes i lokale nettverk, så vi vil ikke vurdere dem.

Når de behandler pakker, tar de hensyn til følgende informasjon:

  • Avsenderens IP-adresse;
  • Mottakers IP-adresse;
  • protokoll (TCP, UDP, ICMP);
  • senderens programvareportnummer;
  • destinasjonsprogramvarens portnummer.

Basert på denne informasjonen, setter administratoren regler i henhold til hvilke pakker vil enten sendes gjennom filteret eller forkastes av det. Et nettverksfilter lar deg for eksempel implementere følgende datautvekslingsskjema mellom datamaskiner på et bedriftsnettverk og Internett:

  1. alle datamaskiner på bedriftsnettverket kan kommunisere med eksterne web- og ftp-servere, men ikke med telnet, NNTP osv.;
  2. tilgang fra utsiden nektes alle datamaskiner på bedriftsnettverket, bortsett fra tilgang til server A via HTTP og til server B via ftp; i tillegg har ekstern datamaskin Z tilgang til intern server C og eventuelle TCP- og UDP-tjenester, men ikke ICMP.

Overspenningsbeskyttere er veldig enkle å implementere, så de er allestedsnærværende og representeres av programvare / maskinvare og rent programvareimplementeringer. Spesielt er rutere fra Cisco, Bay Networks (en avdeling av Nortel) og andre produsenter utstyrt med nettverksfiltreringsfunksjoner, og det er derfor de kalles filtreringsrutere. Listen over programvarebrannmurer er enda mer imponerende, og de fleste av dem er freeware eller shareware-verktøy. De er implementert for en rekke nettverksplattformer, inkludert UNIX, Windows NT, NetWare, VMS, MVS.

Dessverre er baksiden av den enkle implementeringen og lave kostnadene for nettverksfiltre kompleksiteten i administrasjonen og svak beskyttelse mot angrep.

Nettverksfiltre bruker hovedsakelig statisk filtrering, hvor administratoren må lage et filter for hver unike pakketype som skal behandles. La oss forklare dette med et eksempel. La oss si at alle datamaskiner nektes tilgang til Internett som standard. Imidlertid trenger datamaskin Z (IP-adresse 123.45.67.89) tilgang til en ekstern server A (IP-adresse 211.111.111.111) som tilbyr telnet-tjenesten. I dette tilfellet må administratoren angi to regler:

  1. hopp over en pakke hvis den overføres fra siden av nettverksgrensesnittet til det interne nettverket til nettverksgrensesnittet til det eksterne nettverket og har følgende parametere: avsender IP-adresse 123.45.67.89, mottakers IP-adresse 211.111.111.111, TCP transportlagprotokoll , senderprogramvareport større enn 6000, programvareportmottaker 23;
  2. hopp over en pakke hvis den overføres fra siden av det eksterne nettverksgrensesnittet til det interne nettverksgrensesnittet og har følgende parametere: avsender IP-adresse 211.111.111.111, mottaker-IP-adresse 123.45.67.89, TCP-transportlagprotokoll, senderprogramvareport 23, mottakerprogramvareport mer enn 6000.

For hver datautvekslingskanal er det derfor nødvendig å sette to regler (filtre); ved flerkanalstilkoblinger (for eksempel for ftp-tjenesten), øker antallet regler tilsvarende. For et stort nettverk når listen over regler en veldig imponerende størrelse, der det er lett for en administrator å bli forvirret. Riktignok lar nettverksfiltre deg vanligvis kombinere regler for et undersett av datamaskiner basert på IP-undernett.

Fordi nettverksfilteret skanner regeltabellen i sekvensiell rekkefølge hver gang det mottar en pakke, reduserer hver ny regel ruterens generelle ytelse.

En rekke produsenter (spesielt Novell i FILTCFG.NLM-verktøyet) tilbyr dynamisk eller kontekstuell (stateful) filtrering og filtrering av fragmenter av IP-pakker, men på grunn av deres egenskaper er det mer sannsynlig at de tilhører kategorien øktlag gatewayer og vil derfor bli diskutert senere.

Et annet problem, spesielt for gratis nettverksfiltre, er manglende evne til å lage en hierarkisk struktur av regler. For eksempel, når det gjelder prinsippet "det som ikke er eksplisitt tillatt er forbudt", ser filteret først gjennom listen over ekskluderinger, og hvis pakken ikke passer til mer enn ett unntak, i samsvar med det spesifiserte prinsippet, pakken droppes. Hvis pakken samsvarer med minst ett unntak, sendes den videre. Tenk deg imidlertid følgende situasjon: nettverket er stengt fra ekstern tilgang, men én server må være tilgjengelig for omverdenen via ftp-protokollen. Alt dette kan organiseres perfekt ved hjelp av et nettverksfilter, med unntak av en liten, men svært ubehagelig detalj - ingen ytterligere begrensninger kan pålegges tilgang til serveren via ftp. For eksempel er det umulig i dette tilfellet å nekte tilgang til det fra datamaskinen Z, som brukes av angriperen. Dessuten kan en hacker sende pakker til serveren med en avsenderadresse som samsvarer med adressen til en datamaskin på det interne nettverket (den farligste formen for IP-pakkeforfalskning). Og overspenningsvernet slipper gjennom en slik pakke. For å unngå slike problemer, er administratorer tvunget til å sette to filtre i serie, for å implementere hierarkiske filtreringsregler på denne måten.

Overspenningsvern har en rekke grunnleggende ulemper. For det første utføres autentiseringen (eller mer presist, identifiseringen) av avsenderen kun på grunnlag av IP-adressen. Ved bruk av IP-spoofing kan imidlertid en angriper enkelt omgå en slik barriere. I tillegg kan en person som ikke har rett til å jobbe med serveren i prinsippet sitte ved en autorisert datamaskin. Autentisering basert på brukernavn og passord er mye mer pålitelig, men det er ikke mulig å bruke det i nettverksfiltre.

Et nettverksfilter kan ikke overvåke driften av nettverksapplikasjoner, og generelt kontrollerer det ikke innholdet i pakker på transport-, økt- og applikasjonslagene. Derfor vil et nettverksfilter ikke beskytte et bedriftsnettverk fra SYN-oversvømmelsesangrep (se sidefelt), pakkefragmenteringsangrep eller inntrenging gjennom applikasjonstjenester.

Hovedfordelen (i tillegg til prisen og den enkle implementeringen) med nettverksfiltre er deres svært høye ytelse, mye høyere enn for økt- og applikasjonsnivåbrannmurer. Til tross for sine alvorlige ulemper, er en overspenningsvern en viktig del av enhver ekspertbrannmur. Den er imidlertid bare en av dens bestanddeler, siden den fungerer sammen med en gateway på et høyere nivå i OSI-hierarkiet. I dette arrangementet forhindrer et overspenningsvern direkte kommunikasjon mellom det interne og eksterne nettverket (bortsett fra forhåndsdefinerte datamaskiner). All hovedfiltrering, men allerede på de høyere nivåene av OSI, er organisert av gatewayen til det tilsvarende nivået eller av statsinspektøren.

GATEWAYER PÅ ØKTNIVÅ

Gatewayer på øktnivå, som navnet antyder, opererer på øktnivå i OSI-hierarkiet. Det er imidlertid ikke noe lag i TCP/IP-nettverksmodellen som unikt tilsvarer OSI-sesjonslaget. Derfor klassifiseres filtre som ikke kan identifiseres verken med nettverket, eller med transporten, eller med applikasjonslaget som gatewayer på sesjonsnivå.

Sesjonsnivåfiltre har flere varianter avhengig av funksjonelle funksjoner, men denne klassifiseringen er ganske vilkårlig, siden deres evner i stor grad overlapper hverandre. Husk at brannmurer inkluderer alle eller de fleste typer gatewayer på øktnivå.

KOMMUNIKASJONSKANAL STATE KONTROLLFILTRE

Filtrene for å overvåke tilstanden til kommunikasjonskanalen inkluderer ofte nettverksfiltre (nettverkslag) med avanserte muligheter.

Dynamisk filtrering i linjefiltre. I motsetning til standard statisk filtrering i nettverksfiltre, lar dynamisk (stateful) filtrering deg tilordne kun én regel for hver kommunikasjonskanal i stedet for flere filtreringsregler. Samtidig overvåker det dynamiske filteret selv sekvensen av datapakkeutveksling mellom klienten og serveren, inkludert IP-adresser, transportlagsprotokoll, kilde- og destinasjonsportnumre, og noen ganger sekvensnumrene til pakkene. Det er klart at slik filtrering krever ekstra RAM. Ytelsesmessig er det dynamiske filteret noe dårligere enn det statiske filteret.

Fragmentert pakkefilter. Når de overføres over nettverk med forskjellige MTU-er, kan IP-pakker deles i separate fragmenter, med bare det første fragmentet som alltid inneholder hele overskriften til transportlagpakken, inkludert informasjon om programvareportene. Vanlige nettverksfiltre klarer ikke å sjekke andre fragmenter enn de første, og la dem passere (hvis kriteriene for IP-adressene og den brukte protokollen er oppfylt). Dette gjør at angripere kan starte farlige tjenestenektangrep, bevisst generere et stort antall fragmenter og dermed blokkere driften av mottaksdatamaskinen. Det fragmenterte pakkefilteret tillater ikke fragmenter å passere hvis det første mislykkes i registreringen.

Kontrollere SYN- og ACK-bitene. En rekke filtre overvåker SYN- og ACK-bitene i TCP-pakker. De er alle designet for å bekjempe SYN-oversvømmelsesangrep (se sidefeltet), men bruker forskjellige tilnærminger. Det enkleste filteret forbyr overføring av TCP-pakker med SYN-biten, men uten ACK-biten, fra det offentlige nettverket til datamaskiner på det interne nettverket, med mindre sistnevnte er eksplisitt erklært som servere for det eksterne nettverket (eller i det minste for en spesifikk gruppe datamaskiner på det eksterne nettverket). Dessverre hjelper ikke et slikt filter ved SYN-flood-angrep på maskiner som er servere for det eksterne nettverket, men som er plassert på det interne nettverket.

For disse formålene brukes spesialiserte filtre med en rekkefølge for etablering av flere trinn. For eksempel fungerer SYNDefender Gateway-filteret fra Check Point Firewall-1 som følger. La oss si at den eksterne datamaskinen Z prøver å etablere en forbindelse med den interne serveren A gjennom ME-brannmuren. Prosedyren for etablering av forbindelse er vist i figur 2. Når ME mottar en SYN-pakke fra datamaskin Z (trinn 1), videresendes denne pakken til server A (trinn 2). Som svar sender server A en SYN/ACK-pakke til datamaskinen Z, men ME avskjærer den (trinn 3). Videre sender ME den mottatte pakken til datamaskinen Z, i tillegg sender ME på vegne av datamaskinen Z en ACK-pakke til serveren A (trinn 4). På grunn av den raske responsen til server A, vil serverminnet som er tildelt for å etablere nye tilkoblinger aldri være fullt, og SYN-flood-angrepet vil ikke fungere.

Den videre utviklingen av hendelser avhenger av om datamaskin Z faktisk initierte etableringen av en forbindelse til server A. I så fall vil datamaskin Z sende en ACK-pakke til server A, som går gjennom ME (trinn 5a). Server A vil ignorere den andre ACK-pakken. Deretter vil ME-en fritt sende pakker mellom datamaskinene A og Z. Hvis ME-en ikke mottar en ACK-pakke eller tidsavbruddet for å etablere en tilkobling utløper, vil den sende en RST-pakke til serverens A-adresse, og avbryte tilkoblingen (trinn 5b). .

SYNDefender Relay-filteret fra samme Check Point Firewall-1 fungerer litt annerledes. Før du sender en SYN-pakke til server A, etablerer ME først en forbindelse med datamaskin Z. Prosedyren for tilkoblingsetablering for dette tilfellet er vist i figur 3. Først etter å ha mottatt en ACK-pakke fra datamaskin Z, starter brannmuren en forbindelse med server A (trinn 3). Når tilkoblinger er opprettet, vil åpenbart brannmuren bli tvunget til å dynamisk endre feltene Sequent number og Acknowledgement Number i alle TCP-pakker som sendes mellom datamaskinene A og Z, noe som reduserer ytelsen.

GATEWAYER SOM PASSERER ADRESSER ELLER NETTVERKSPROTOKOLLER

Den kanskje mest kjente sesjonslaggatewayen er Network Address Translation (NAT)-gatewayen. Når du bruker en NAT-gateway, har det interne nettverket adresser som er usynlige (og til og med uregistrerte) på det offentlige nettverket. Når den interne datamaskinen kontakter utsiden, avskjærer gatewayen forespørselen og handler på vegne av klienten ved å bruke sin eksterne (registrerte) IP-adresse. Gatewayen sender det mottatte svaret til den interne datamaskinen (etter erstatning av datamaskinens interne adresse), og fungerer som en overføringsforbindelse. Dette lar deg slå to fluer i en smekk: å drastisk redusere antall registrerte IP-adresser og kontrollere informasjonsflyten, det vil si å tildele eller nekte Internett-tilgang til individuelle datamaskiner.

NAT-gatewayer kan operere i en av fire moduser: dynamisk, statisk, statisk med dynamisk sampling av IP-adresser og kombinert.

I dynamisk modus, noen ganger kalt Port Address Translation (PAT), har gatewayen en enkelt ekstern IP-adresse. Alle anrop til det offentlige nettverket (Internett) fra klientene til det interne nettverket gjøres ved å bruke denne eksterne adressen, mens gatewayen kun opererer med portene til det eksterne grensesnittet, det vil si at når klienten kontakter klienten, tildeler gatewayen en unik programvareport for transportprotokollen (UDP, TCP) for ekstern IP-adresse. En NAT-gateway kan ha bassenger på opptil 64 000 TCP-porter, 64 000 UDP-porter og 6400 ICMP-porter (ICMP bruker ikke begrepet port, men gatewayutviklere bruker det for å legge vekt på pakkeoversettelse), selv om kapasiteten til bassengene er i noen implementeringer. kan være mye mindre enn disse verdiene; for eksempel i Novell BorderManager inneholder hvert basseng 5000 porter.

Dynamisk modus er beregnet på nettverk hvis datamaskiner utelukkende fungerer som klienter for Internett-ressurser.

I statisk modus er det eksterne grensesnittet til gatewayen tildelt like mange registrerte IP-adresser som det er datamaskiner på det interne nettverket. Hver datamaskin på det interne nettverket er tildelt en unik ekstern gateway-IP-adresse. Ved utveksling av data mellom interne og offentlige nettverk, oversetter gatewayen interne IP-adresser til eksterne og omvendt. Statisk modus er nødvendig hvis datamaskiner på det interne nettverket fungerer som Internett-servere.

Statisk modus med dynamisk sampling av IP-adresser ligner på statisk modus, bortsett fra at interne datamaskiner ikke er tildelt (statisk) forhåndsdefinerte eksterne IP-adresser, de er dynamisk reservert fra en pool av eksterne IP-adresser.

Kombinert modus innebærer samtidig bruk av flere av de ovennevnte modusene samtidig og er beregnet på nettverk der det er både klienter og Internett-servere.

I tillegg til de generelle ulempene med gatewayer på sesjonsnivå (se nedenfor), har NAT-gatewayer en spesifikk ulempe: de støtter ikke nettverksapplikasjoner hvis applikasjonsnivåpakker inneholder IP-adresser. Det eneste unntaket er ftp, der de fleste NAT-gatewayer er i stand til å kontrollere (og endre) IP-adresser i applikasjonslagspakker.

Den andre ulempen med NAT-gatewayer er at de ikke støtter autentisering på brukernivå, men kun på IP-adressenivå, noe som gjør dem sårbare for IP-spoofing-angrep. I tillegg kan ikke NAT-gatewayer forhindre tjenestenektangrep som SYN-oversvømmelse, så de gir bare mening i forbindelse med andre typer økt- og/eller applikasjonslaggatewayer. I tillegg til NAT-gatewayer er IPX / IP-gatewayer ganske godt kjente, designet for å organisere tilgang til Internett for datamaskiner som opererer i IPX / SPX-nettverk. Når en intern nettverksklient ber om en Internett-server, avskjærer gatewayen forespørselen og genererer i stedet for en IPX-pakke en tilsvarende IP-pakke. Når et svar mottas fra serveren, utfører gatewayen den omvendte transformasjonen. Kanskje dette er den mest pålitelige typen gateway, siden det interne nettverket har et fundamentalt annet programvaremiljø sammenlignet med TCP / IP. Det har ennå ikke vært et eneste tilfelle av hacking av en slik infrastruktur. I tillegg, i motsetning til NAT-gatewayer, autentiseres IPX/IP-gatewayer ikke bare på datamaskinnettverksadressenivå, men også på brukernivå ved å bruke NDS-databaseinformasjon (for NetWare 4.x og 5.x) eller BINDERY (for NetWare 3. x). Riktignok er denne autentiseringen bare mulig når du får tilgang til Internett fra det interne nettverket, med mindre den eksterne klienten bruker TCP / IP-basert NetWare.

MELLEMIDLER PÅ ØKTNIVÅ

Før du lar TCP-forbindelser etableres mellom datamaskiner på det interne og eksterne nettverket, må sesjonsmeglere først registrere klienten. I dette tilfellet spiller det ingen rolle hvilken side (ekstern eller intern) denne klienten er. Hvis registreringen er vellykket, organiseres en virtuell kanal mellom de eksterne og interne datamaskinene, gjennom hvilken pakker overføres mellom nettverk. Siden den gang blander ikke mellommannen seg inn i datautvekslingsprosessen og filtrerer ikke informasjon. Men et slikt opplegg er generalisert; spesifikke implementeringer av gatewayer på applikasjonsnivå kan ha sine egne egenskaper. Den mest kjente og populære mellomleddet på øktnivå er SOCKS 5-formidleren, som fungerer som en SOCKS 5-server. Når en klient prøver å kontakte en server på den andre siden av mellomleddet, kontakter SOCKS-klienten SOCKS-serveren, hvor ikke bare registrering skjer, men også full autentisering basert på brukernavn og passord. Autentisering kan ordnes slik at passordet er kryptert. Hvis autentiseringen er vellykket, lar SOCKS-megleren klienten koble seg til serveren og forstyrrer ikke lenger informasjonsutvekslingen. SOCKS 5-tjenesten lar deg imidlertid etablere kryptert dataoverføring mellom klienten og mellomleddet ved hjelp av SSL-protokollen. Tatt i betraktning de oppførte egenskapene, er det åpenbart at bruken av SOCKS 5-formidleren er spesielt viktig i en situasjon der serveren er på det interne nettverket, og klienten er i det offentlige. Tilfellet når interne klienter får tilgang til Internett-ressurser bør imidlertid ikke ignoreres, siden SOCKS 5-formidleren lar deg regulere tilgang på nivå med brukernavn og passord. Ulempen med SOCKS-forhandlere er behovet for å installere spesialisert programvare - SOCKS-klientdelen - på hver klientside.

GENERELLE ULEMPER VED GATEWAYS PÅ ØKTNIVÅ

Den største ulempen med gatewayer på øktnivå er umuligheten av å regulere overføringen av informasjon på applikasjonsnivå og som et resultat spore feil eller potensielt farlige brukerhandlinger. For eksempel vil de ikke tillate deg å kontrollere utførelsen av ftp-tjenesten PUT-kommandoen eller filtrere ut ActiveX-applikasjoner fra eksterne maskiner, hvis en slik operasjon er akseptabel for interne klienter.

Selv om bruk av gatewayer på øktnivå kan forhindre en rekke farlige angrep på det interne nettverket, kan enkelte typer angrep, spesielt tjenestenektkategorien, implementeres utenom disse gatewayene. Med unntak av IPX/IP-gatewayen og SOCKS 5-megleren, har alle andre filtre et svært upålitelig identifikasjons- og autentiseringssystem basert på avsender/mottakers IP-adresser. På sin side bringer bruken av IPX / IP og SOCKS 5-gatewayer sine egne problemer, siden det krever installasjon av spesialisert programvare på klientmaskiner.

Med unntak av IPX/IP- og SOCKS 5-gatewayer, sendes vanligvis ikke andre sesjonslag-gatewayer som et kommersielt produkt. Imidlertid må alle brannmurer i ekspertklasse være utstyrt med et bredt utvalg av gatewayer på øktnivå (samt nettverksfiltre), siden mellomledd på applikasjonsnivå eller statlige inspektører ikke kan spore dataoverføringer på de lavere nivåene i OSI-hierarkiet.

ANVENDT NIVÅ MELLEMLEDER

Proxyer på applikasjonsnivå, ofte kalt proxyer, kontrollerer og filtrerer informasjon på applikasjonsnivået til OSI-hierarkiet (se figur 4). Mellomledd kjennetegnes av de støttede protokollene på applikasjonsnivå: Jo flere det er, jo dyrere er produktet. De mest støttede tjenestene er Web (HTTP), ftp, SMTP, POP3 / IMAP, NNTP, Gopher, telnet, DNS, RealAudio / RealVideo. Når en klient på et internt nettverk får tilgang til for eksempel en webserver, går forespørselen til (eller avskjærer) nettmegleren. Sistnevnte etablerer kommunikasjon med serveren på vegne av klienten, og overfører den mottatte informasjonen til klienten. For den eksterne serveren fungerer proxyen som klienten, og for den interne klienten fungerer den som webserveren. Formidleren kan fungere på samme måte når det gjelder en ekstern klient og en intern server.

Søknadsformidlere er klassifisert som transparente og ugjennomsiktige. Transparente mellommenn er usynlige for klienter og servere: klienten kontakter serveren på den mest normale måten, og mellommannen avskjærer forespørselen og handler på vegne av klienten. Transparente nettjenesteformidlere er spesielt populære og installeres ofte av Internett-leverandører for å forbedre produktiviteten og redusere belastningen på WAN-koblinger ved å bufre informasjon.

For ugjennomsiktige meglere må klientsystemet eksplisitt konfigureres til å fungere med megleren (hvis du for eksempel bruker en ugjennomsiktig nettmegler, må du spesifisere meglerens IP-adresse og dens tilordnede TCP-port ivene). Ugjennomsiktige mellomledd er gode der det kreves sterk autentisering for å gå inn eller ut av det interne nettverket, spesielt for tjenester som ikke støtter passordkryptering. Vanligvis er dette telnet- og ftp-tjenester, og One-Time Password (OTP)-systemet brukes (for mer informasjon om OTP-systemer, se artikkelen "Remote Management of Network Operating Systems" i LAN # 5 1999).

Figur 5 viser en typisk brukssituasjon for telnet. Her bruker klienten OTP-systemet for å etablere en forbindelse til tn.anywhere.com-serveren bak den ugjennomsiktige mellomleddet fw.anywhere.com. Brukeren må først registrere seg hos formidleren, først oppgi navnet sitt, som svar på at et anrop sendes til ham (673 jar564). Ved å bruke OTP-kalkulatoren beregner brukeren deretter en passordfrase, som de skriver inn i Passord-feltet. Deretter rapporterer han adressen til serveren han skal opprette en forbindelse med. Det skal bemerkes at registrering hos tn.anywhere.com-serveren ikke er nødvendig fordi brannmuren og denne serveren deler en felles brukerkontobase.

En vanlig ulempe med ugjennomsiktige mellomledd er at de er ugjennomsiktige for klientprogramvare og brukere. Ikke alle klientprogrammer kan konfigureres, for eksempel for ikke-transparente mellomledd SMTP, POP3, IMAP4, DNS, ftp.

I motsetning til gatewayer på sesjonsnivå, behandler applikasjonsmeglere bare de applikasjonsdatapakkene hvis tjenester de støtter, og pakker med ukjente (for megleren) eller ukonfigurerte protokoller fjernes fra sirkulasjonen. For eksempel, hvis megleren er konfigurert til å kun betjene ftp-tjenesten, vil den ikke tillate telnet- eller HTTP-pakker.

Applikasjonsmegleren undersøker innholdet i hver datapakke. Dessuten filtrerer megleren pakker på nivået av spesifikke nettverkstjenesteoperasjoner. For eksempel lar AXENT Technologies' Raptor Firewall deg filtrere ut ftp-pakker som inneholder PUT-kommandoen.

Applikasjonsmeglere er pålagt å støtte sterk autentisering ved å bruke enten operativsystemet eller en av katalog(domene)tjenestene NDS, Windows NT, NIS / NIS + eller RADIUS, TACACS, etc.

Baksiden av de ovennevnte egenskapene til mellomledd på applikasjonsnivå er deres lave ytelse (for de nettverkstjenestene der informasjonsbufring ikke tilbys). I tillegg, for hver TCP-tilkobling, er megleren tvunget til å etablere to kommunikasjonskanaler, en med serveren og den andre med klienten. Men det bør huskes at flaskehalsen for tilkoblinger til Internett hovedsakelig er langsomme globale kommunikasjonslinjer, så den lave ytelsen til mellomledd på applikasjonsnivå kan sies veldig betinget.

Nettmeklere inntar en spesiell plass blant applikasjonsformidlere fordi de cacher informasjon i tillegg til trafikkkontroll. I kraft av funksjonaliteten deres har nettformidlere utviklet seg til en uavhengig programvareutviklingsindustri, så nedenfor vil vi dvele ved denne tjenesten mer detaljert.

MELLEMIDLER WEB

Webtjenesten er den viktigste på det globale Internett. Langsomme kommunikasjonskanaler, mye bruk av grafikk og multimedia på nettet fører imidlertid til en nedgang i brukerproduktiviteten på Internett. I mellomtiden har brukere svært ofte tilgang til de samme Internett-ressursene. Derfor, for å forbedre tilgangshastigheten, cacher alle populære nettlesere informasjon. I et bedriftsmiljø kan imidlertid ikke caching på enkeltmaskinnivå løse alle problemer, da de samme ressursene ofte er tilgjengelig for helt forskjellige brukere, spesielt hvis de jobber i samme organisasjon. Åpenbart er den beste måten å bekjempe den dårlige ytelsen til globale linjer å installere en nettbuffermegler på kanten av det interne nettverket. I tillegg lar denne tilnærmingen deg redusere belastningen på Internett-kommunikasjonskanalene, og dermed enten spare penger eller starte ytterligere nettverkstjenester.

Webbufring mellomledd er installert selv der brukerautentisering eller informasjonsfiltrering ikke er nødvendig, men kun av ytelsesgrunner.

Det er fire typer hurtigbufferinformasjon på nettformidlere:

  • passiv;
  • aktiv;
  • negativ;
  • hierarkisk.

De kraftigste moderne nettformidlerne kan støtte alle fire typer hurtigbufring. I passiv bufring (også kalt grunnleggende bufring eller på forespørsel) bruker klienten nettleseren for å få tilgang til megleren, og megleren returnerer den forespurte informasjonen fra sin hurtigbuffer, hvis noen. Ellers kontakter nettmegleren webserveren.

Aktiv caching forutsetter at mellomleddet har en viss intelligens. Caching gjøres på forhånd (read-ahead), før en eksplisitt forespørsel fra klienten kommer. En nettleser ber for eksempel om en webside som inneholder bilder eller andre elementer. Mellommannen vil ikke vente på eksplisitte forespørsler fra klienten om å bytte disse komponentene og vil prøve å få dem på egen hånd, så å si, på forhånd. Aktiv caching skjer i bakgrunnen, noe som forbedrer ytelsen.

Negativ caching innebærer krasj-caching. Hvis nettleseren har bedt om en side som mellommannen ikke kan motta (det er ingen tilkobling eller fordi siden mangler på serveren), blir feilen bufret. Ved gjentatt kontakt vil klienten umiddelbart få et negativt svar. Men megleren vil fortsette å prøve å få den forespurte siden i bakgrunnen. Negativ caching i nettformidlere har nylig dukket opp i den såkalte andre generasjonen av formidlere utviklet med Harvest/Squid-teknologi. Meglerne bygget med den gamle CERN-teknologien cacher ikke feil og prøver å kontakte webserveren hver gang.

Hierarkisk caching er et annet fremskritt innen Harvest / Squid-teknologi. I samsvar med den kan mellommenn danne komplekse hierarkiske strukturer med like eller underordnede lenker. For eksempel har en organisasjon to Internett-kanaler med samme ytelse. En mellommann er installert på hver kanal, og et likeverdig forhold bestemmes mellom dem. I dette tilfellet, hvis den forespurte informasjonen ikke er i hurtigbufferen, vil ikke mellommannen kontakte Internett-serveren, men den andre mellommannen. Hvis den andre mellommannen har den nødvendige informasjonen i hurtigbufferen, blir den overført til den første mellommannen og deretter til klienten. Ellers vil den første mellommannen bli tvunget til å kontakte selve webserveren. I barn-foreldre-barneforhold kontakter barneformidleren aldri webserveren på egen hånd, men bare gjennom forelderen. Slike ordninger reduserer belastningen på globale kommunikasjonslinjer betydelig og øker feiltoleransen til forbindelsen. Hierarkisk caching er organisert i henhold til en av to standardiserte caching-protokoller: ICP (Internet Caching Protocol) eller CARP (Cache Array Routing Protocol). Selv om CARP ble utviklet senere enn ICP, har det blitt mer utbredt fordi det fjerner redundant caching av informasjon mellom mellommenn.
Figur 6. Forward Web Caching.

I tillegg til bufringstypene (passiv, aktiv, negativ og hierarkisk), er mellomledd også forskjellige i hurtigbuffermodus: fremover og bakover. Forward caching er noe vi alle er vant til. Det vil si at megleren er installert ved inngangen til det interne nettverket og cacher informasjon fra Internett-servere for klienter på det interne nettverket (se figur 6). Når du bruker en transparent mediator, kan det hende at klienter ikke en gang er klar over eksistensen av mediator, mens i tilfelle av en ugjennomsiktig mediator må dens koordinater spesifiseres i nettleseralternativene.
Figur 7. Reverse Web Caching.

Omvendt caching innebærer å betjene eksterne klienter som ber om informasjon fra servere som befinner seg på organisasjonens interne nettverk. Det vil si at omvendt hurtigbufferproxy er tildelt en eller flere webservere som den laster ned informasjon fra. Denne megleren er best installert hos Internett-leverandøren for å redusere belastningen på ISP-koblingen og øke ytelsen til eksterne klienter som får tilgang til webserveren (se figur 7). En omvendt caching-megler må være gjennomsiktig for eksterne brukere. Dette er imidlertid bare mulig hvis bare én server er omvendt bufret (kun én server kan være bundet til TCP-port 80, som er ansvarlig for HTTP-tjenesten, på mellomleddet - andre servere må tildeles forskjellige porter). Men med litt enkel manipulasjon kan meglerens jobb med å bufre flere servere samtidig gjøres nesten gjennomsiktig for klienter.

Noen mellomledd lar deg bufre informasjon offline, det vil si å faktisk utføre funksjonene til en frakoblet nettleser.

Bufring av informasjon er selvfølgelig en svært attraktiv funksjon for nettformidlere, men vi må ikke glemme andre funksjoner som er spesifikke for applikasjonsformidlere. Nettmeglere kan støtte sterk brukerautentisering, filtrere Java- og ActiveX-applikasjoner, skanne etter virus og regulere brukertilgang til spesifikke URL-er. Dessuten leveres spesialprogrammer for nettformidlere som inneholder lister over pornografiske, rasistiske, spill- og underholdningsservere. Ved hjelp av slike programmer er det enkelt for en administrator å regulere tilgangen til slike nettsteder.

TILSTANDSINSPEKTØRER

Stateful inspeksjon brannmurer er i hovedsak sesjon lag gatewayer med avanserte funksjoner. Begrepet helseinspektør ble laget av Check Point for å understreke forskjellen mellom teknologien og andre som brukes i brannmurer. Statlige inspektører opererer på sesjonsnivå, men "forstår" også protokoller på applikasjonsnivå (se figur 8). Det vil si at når du mottar en datapakke, sammenlignes innholdet i denne pakken med visse maler som er spesifikke for den tilsvarende applikasjonslagsprotokollen. Og avhengig av resultatet av sammenligningen, sendes pakken enten videre eller kastes. Jo kraftigere statsinspektøren er, desto større er listen over maler den har. Hvis pakken ikke samsvarer med noe mønster, vil den bli avvist.

I motsetning til en applikasjonsmegler som åpner to virtuelle TCP-kretser (en for klienten og en for serveren) for hver tilkobling, forhindrer ikke statsinspektøren en direkte forbindelse mellom klienten og serveren. På grunn av dette er ytelsen til statsinspektøren mye høyere enn ytelsen til meglere på applikasjonsnivå og nærmer seg ytelsen til nettverksfiltre. Utviklerne av applikasjonslagsformidlerne peker imidlertid på et høyere sikkerhetsnivå for produktene deres, siden trafikken styres direkte på applikasjonslaget. Men de fleste eksperter anser slike uttalelser for å være kontroversielle eller i det minste ikke åpenbare. Hvem tør for eksempel å kalle Check Point Firewall-1 brannmur utilstrekkelig pålitelig, som er en statlig inspektør når den eier 40 % av brannmurmarkedet og har vunnet mange av de mest prestisjefylte prisene, inkludert for sikkerhet?

Utviklerne av statlige inspektører påpeker på sin side at systemene deres har mye mer utvidbarhet. Hver gang en ny tjeneste eller ny applikasjonsprotokoll introduseres, er det tilstrekkelig å legge til noen få maler for å støtte det. Samtidig blir utviklere av mellomledd på applikasjonsnivå tvunget til å skrive en modul fra bunnen av for hver nye protokoll. Dette er sant, men å legge til en modul til applikasjonsformidleren er ikke vanskeligere enn å legge til maler til statsinspektøren. I tillegg er produsenter av tilstandsinspektører og mellomledd på applikasjonsnivå vant til å løse problemet på en radikal måte, ved å gi ut en ny versjon av produktet.

Den eneste fordelen med statlige inspektører (uten å berøre ytelsesproblemet) fremfor applikasjonsformidlere er at statsinspektøren er fullstendig gjennomsiktig for klienter og ikke krever ekstra klientprogramvarekonfigurasjon. Men på sin side er de klassiske statlige inspektørene ikke egnet til å bufre nettet. Derfor, selv om brannmuren er basert på en tilstandsinspektør, er en nettapplikasjonsformidler inkludert i brannmuren for nettbufring.

Faktisk virker debatten om hva som er bedre – en statlig inspektør eller en mekler på søknadsnivå, ubegrunnet. For de fleste oppgaver er de omtrent likeverdige. Ytelsesfordelen til statsinspektørene spiller ingen rolle når det gjelder å koble til Internett over trege koblinger.

Brannmurer av ekspertklasse er basert på enten statlig inspektørteknologi eller applikasjonsproxyteknologi, men kompletteres nødvendigvis av brannmurer og gatewayer på øktnivå. Det store flertallet av utgitte brannmurer er mellomledd på applikasjonsnivå, men, som nevnt tidligere, dominerer statlige inspektører (eller rettere sagt én inspektør - Check Points brannmur-1) markedet.

ANDRE INTERNETSKJERMMULIGHETER

I tillegg til å utføre sine grunnleggende funksjoner, har ekspert-brannmurer et gjennomtenkt system for logging av hendelser og varsling av administratorer. ME lar deg registrere alle brukerforespørsler til ressurser som går gjennom skjermen, inkludert hvem, når, fra hvilken maskin som fikk tilgang til en spesifikk ressurs eller ble nektet. Logging lar deg identifisere tilfeller av angrep på det interne nettverket, oppdage plasseringen av hackeren og blokkere trafikk fra ham på forhånd.

De fleste kommersielle brannmurer av ekspertklasse inkluderer VPN-er som krypterer informasjon når den beveger seg over et offentlig nettverk. Dessuten har til og med noen nettverksfiltre basert på maskinvarerutere slike verktøy.

En stor andel av brannmurene er utstyrt med verktøy for å støtte eksterne brukere, inkludert kraftige midler for å autentisere disse brukerne.

KONKLUSJON

Brannmurer er ikke et universalmiddel for å angripe ondsinnede brukere. De kan ikke forhindre angrep fra innsiden av det lokale nettverket, men sammen med andre forsvar spiller de en ekstremt viktig rolle i å beskytte nettverk mot inntrenging utenfra. Å forstå teknologien til brannmurer lar deg ikke bare ta det riktige valget når du kjøper et sikkerhetssystem, men også å konfigurere brannmuren riktig. Fienden må ikke passere!

Konstantin Pyanzin er en LAN-observatør. Du kan kontakte ham på: [e-postbeskyttet]

På midten av 90-tallet var SYN-flom-angrep et av de vanligste angrepene. Den utnytter manglene til TCP-protokollmotoren. SYN-oversvømmelsesangrep faller inn under kategorien Denial of Service (DoS)-angrep, som får datamaskinen til å fryse - det vil si at datamaskinen fortsetter å fungere, men blir utilgjengelig over nettverket.

Når en klientdatamaskin etablerer en TCP-forbindelse til en server, sender den en TCP-pakke med SYN-biten satt. Serveren svarer ved å sende en TCP-pakke med SYN/ACK-biter. På sin side sender klienten en TCP-pakke med ACK-biten. Etter det anses forbindelsen mellom klienten og serveren som etablert. Et slikt tilkoblingsskjema kalles tre-trinns, siden det sørger for utveksling av tre pakker.

Når serveren mottar en SYN-pakke, tildeler den ekstra minne for en ny tilkobling. I de fleste operativsystemer har hver av nettverkstjenestene en grense (vanligvis lik ti) på antall nyopprettede TCP-forbindelser (i noen systemer er det ingen slik grense, men situasjonen fra dette er ikke mye bedre, siden i fravær av ledig minne vil hele datamaskinen fryse, og ikke bare én bestemt tjeneste). Inntil serveren mottar en SYN / ACK eller RST-pakke (se nedenfor), eller den nyopprettede tilkoblingen går ut (vanligvis 75 sekunder), fortsetter tilkoblingen å reservere minne.

SYN-oversvømmelsesangrepet innebærer å sende mange TCP-pakker med SYN-biten satt til serveren på vegne av ikke-eksisterende eller ikke-fungerende verter (ved bruk av IP-spoofing). Det siste kravet er viktig, fordi hvis en forespørsel om å opprette en tilkobling kommer på vegne av en kjørende vert, så når serveren sender en SYN / ACK-pakke til adressen sin, vil verten svare med en RST (tilbakestilling)-pakke, og starte en tilkobling tilbakestilles. Og tilkoblingen vil bli fjernet fra serverminnet.

Under et SYN-oversvømmelsesangrep blir serverminnet som er tildelt for å etablere nye tilkoblinger raskt oppbrukt og nettverkstjenesten henger.

For å motvirke SYN-flom-angrep, i tillegg til å øke minnet for de etablerte forbindelsene og redusere timeout på brannmurene, brukes ulike geniale kampmetoder. Installering av økt- og applikasjonslagsbrannmurer eller statlige inspektører løser dramatisk problemet med SYN-oversvømmelsesangrep, siden det er de som avviser alle angrep, mens datamaskinene på det interne nettverket ikke en gang vet om dem.



Brannmur eller brannmur(på tysk. brandmauer, på engelsk. , på russisk. branngrensen) er et system eller en kombinasjon av systemer som lar deg dele et nettverk i to eller flere deler og implementere et sett med regler som bestemmer betingelsene for passasje av pakker fra en del til en annen (se fig. 1). Oftest trekkes denne grensen mellom lokalt nettverk bedrifter og INTERNETT, selv om det også kan utføres i bedriftens lokale nettverk. Brannmuren lar dermed all trafikk passere. For hver pakke som går gjennom, bestemmer brannmuren seg for å la den passere eller forkaste den. For at brannmuren skal kunne ta disse avgjørelsene, må den definere et sett med regler. Hvordan disse reglene beskrives og hvilke parametere som brukes i beskrivelsen vil bli diskutert litt senere.
Figur 1

Som regel opererer brannmurer på hvilken som helst UNIX-plattform - oftest er de BSDI, SunOS, AIX, IRIX, etc., sjeldnere - DOS, VMS, WNT, Windows NT. Maskinvareplattformer inkluderer INTEL, Sun SPARC, RS6000, Alpha, HP PA-RISC, R4400-R5000-familien av RISC-prosessorer. Foruten Ethernet, støtter mange brannmurer FDDI, Token Ring, 100Base-T, 100VG-AnyLan, forskjellige serielle enheter. Krav til RAM og harddiskplass avhenger av antall maskiner i det beskyttede nettverkssegmentet.

Vanligvis gjøres endringer i operativsystemet som brannmuren kjører for å forbedre beskyttelsen av selve brannmuren. Disse endringene påvirker både OS-kjernen og de tilsvarende konfigurasjonsfilene. På selve brannmuren er det ikke tillatt å ha brukerkontoer (og dermed potensielle hull), kun en administratorkonto. Noen brannmurer fungerer kun i enkeltbrukermodus. Mange brannmurer har et kontrollsystem for kodeintegritet. I dette tilfellet lagres kontrollsummene til programkodene på et beskyttet sted og sammenlignes ved starten av programmet for å unngå erstatning av programvare.

Alle brannmurer kan klassifiseres i tre typer:

Alle typer kan møtes samtidig i samme brannmur.

Pakkefiltre

Pakkefilterbrannmurer bestemmer om de skal slippe en pakke inn eller ut ved å se på IP-adressene, flaggene eller TCP-portnumrene i overskriften til den pakken. IP-adressen og portnummeret er henholdsvis nettverks- og transportlagsinformasjon, men pakkefiltre bruker også applikasjonslagsinformasjon. alle standardtjenester i TCP/IP er knyttet til et spesifikt portnummer.

For å beskrive reglene for passasje av pakker, kompileres tabeller av typen:

"Handling"-feltet kan enten utelates eller forkastes.
Pakketype - TCP, UDP eller ICMP.
Flagg - flagg fra IP-pakkehodet.
Feltene "kildeport" og "destinasjonsport" er meningsfulle bare for TCP- og UDP-pakker.

Applikasjonsservere

Applikasjonsserverbrannmurer bruker serverspesifikke tjenester(proxy-server) - TELNET, FTP, etc., lansert på brannmuren og lar all trafikk relatert til denne tjenesten passere gjennom seg selv. Dermed dannes det to forbindelser mellom klienten og serveren: fra klienten til brannmuren og fra brannmuren til destinasjonen.

Hele settet med støttede servere er forskjellig for hver spesifikke brannmur, men de vanligste serverne for følgende tjenester:

  • terminaler (Telnet, Rlogin);
  • filoverføring (ftp);
  • e-post (SMTP, POP3);
  • WWW (HTTP);
  • Gopher;
  • Wais;
  • X Vindussystem (X11);
  • nettverksutskrift (LP);
  • ekstern oppgavekjøring (Rsh);
  • Finger;
  • Usenet-nyheter (NNTP);
  • Hvem er;
  • RealAudio.

Bruken av servere på applikasjonsnivå lar deg løse et viktig problem - å skjule strukturen til det lokale nettverket for eksterne brukere, inkludert informasjon i overskriftene til e-postpakker eller domenenavntjenesten (DNS). En annen positiv kvalitet er muligheten til å autentisere på brukernivå (husk at autentisering er prosessen med å bekrefte identiteten til noe; i dette tilfellet er det prosessen med å bekrefte om brukeren virkelig er den han utgir seg for å være).

    Ved beskrivelse av tilgangsregler brukes slike parametere som
  • tjenestenavn,
  • brukernavn,
  • tillatt tidsrom for bruk av tjenesten,
  • datamaskiner du kan bruke tjenesten fra,
  • autentiseringsordninger.

Servere på applikasjonsnivå gir det høyeste beskyttelsesnivået siden interaksjon med eksterne verdener realiseres gjennom et lite antall applikasjonsprogrammer som fullstendig kontrollerer all innkommende og utgående trafikk.

Linklagsservere

Connection layer-serveren er en oversetter av TCP-tilkoblingen. Brukeren kobler til en bestemt port på brannmuren, og deretter kobler brannmuren til en destinasjon på den andre siden av brannmuren. Under en økt kopierer denne oversetteren byte i begge retninger, og fungerer som en ledning.

Som regel er destinasjonen satt på forhånd, mens det kan være mange kilder (tilkoblingstype en - mange). Ulike konfigurasjoner kan opprettes ved hjelp av forskjellige porter.

Denne typen server lar deg lage en oversetter for enhver brukerdefinert TCP-basert tjeneste, kontrollere tilgangen til denne tjenesten og samle inn statistikk om bruken av den.

Sammenlignende egenskaper for pakkefiltre og applikasjonsservere

Nedenfor er de viktigste fordelene og ulempene med pakkefiltre og applikasjonsservere i forhold til hverandre.

    Fordeler med pakkefilter:
  • relativt lave kostnader;
  • fleksibilitet i å definere filtreringsregler;
  • liten forsinkelse i passasjen av pakker.
    Ulemper med pakkefiltre:
  • det lokale nettverket er synlig (rutet) fra INTERNETT;
  • pakkefiltreringsregler er vanskelige å beskrive, det kreves veldig god kunnskap om TCP- og UDP-teknologier;
  • hvis brannmuren ikke fungerer, blir alle datamaskiner bak den fullstendig ubeskyttet eller utilgjengelig;
  • autentisering ved hjelp av en IP-adresse kan lures ved å bruke IP-spoofing (et angripende system utgir seg for å være et annet ved å bruke IP-adressen);
  • det er ingen autentisering på brukernivå.
    Fordeler med applikasjonsservere:
  • det lokale nettverket er usynlig fra INTERNETT;
  • hvis brannmuren svikter, slutter pakker å passere gjennom brannmuren, og dermed er det ingen trussel mot maskinene den beskytter;
  • beskyttelse på applikasjonsnivå gir mulighet for et stort antall ekstra kontroller, og reduserer dermed sannsynligheten for hacking ved å bruke hull i programvaren;
  • Autentisering på brukernivå kan implementeres av et øyeblikkelig varslingssystem om et hackingforsøk.
    Ulemper med applikasjonsservere:
  • høyere kostnad enn for pakkefiltre;
  • manglende evne til å bruke RPC- og UDP-protokoller;
  • ytelsen er lavere enn for pakkefiltre.

Virtuelle nettverk

En rekke brannmurer tillater også organisering av virtuelle bedriftsnettverk ( Privat virtuelt nettverk), dvs. å kombinere flere lokale nettverk inkludert i INTERNETT til ett virtuelt nettverk. VPN lar deg organisere en gjennomsiktig for brukere tilkobling av lokale nettverk, mens du opprettholder hemmeligholdet og integriteten til den overførte informasjonen ved hjelp av kryptering. Samtidig, under overføring over INTERNETT, krypteres ikke bare brukerdata, men også nettverksinformasjon - nettverksadresser, portnumre, etc.

Tilkoblingsskjemaer for brannmurer

Ulike ordninger brukes for å koble til brannmurer. Brannmuren kan brukes som en ekstern ruter ved å bruke de støttede enhetstypene for å koble til det eksterne nettverket (se figur 1). Noen ganger brukes skjemaet vist i figur 2, men det bør bare brukes som en siste utvei, siden det krever svært nøye innstilling av ruterne og små feil kan danne alvorlige sikkerhetshull.

fig. 2

Oftest skjer tilkoblingen gjennom en ekstern ruter som støtter to Ethernet-grensesnitt (den såkalte dual-homed brannmuren) (to nettverkskort i en datamaskin) (se fig. 3).

fig. 3

Samtidig er det kun én vei mellom den eksterne ruteren og brannmuren, som all trafikk går langs. Vanligvis er ruteren konfigurert slik at brannmuren er den eneste maskinen som er synlig fra utsiden. Denne ordningen er den mest foretrukket med tanke på sikkerhet og pålitelighet av beskyttelse.

Et annet diagram er vist i fig. 4.

fig. 4

I dette tilfellet er bare ett undernett av flere som går ut av ruteren beskyttet av brannmuren. I et område som ikke er beskyttet av en brannmur, er det ofte servere som må være synlige fra utsiden (WWW, FTP osv.). De fleste brannmurer lar deg være vert for disse serverne på egen hånd – en løsning som er langt fra den beste når det gjelder maskinbelastning og sikkerheten til selve brannmuren.

Det finnes løsninger (se fig. 5) som lar deg organisere et tredje nettverk for servere som må være synlige fra utsiden; dette lar deg kontrollere tilgangen til dem, samtidig som du opprettholder det nødvendige beskyttelsesnivået for maskiner på hovednettverket.

fig. 5

Samtidig er det lagt stor vekt på at brukere av det interne nettverket ikke ved et uhell eller bevisst kan åpne et hull i det lokale nettverket gjennom disse serverne. For å øke sikkerhetsnivået er det mulig å bruke flere brannmurer bak hverandre på samme nettverk.

Administrasjon

Enkel administrasjon er en av nøkkelaspektene for å skape et effektivt og pålitelig sikkerhetssystem. Feil ved å definere tilgangsregler kan skape et hull der et system kan kompromitteres. Derfor implementerer de fleste brannmurer tjenesteverktøy som gjør det enklere å gå inn, slette, se et sett med regler. Tilstedeværelsen av disse verktøyene lar deg også se etter syntaks eller logiske feil når du skriver inn eller redigerer regler. Vanligvis lar disse verktøyene deg se informasjon gruppert etter noen kriterier, for eksempel alt relatert til en spesifikk bruker eller tjeneste.

Systemer for innsamling av statistikk og varsling om angrep

En annen viktig komponent i brannmuren er statistikkinnsamlingen og angrepsvarslingssystemet. Informasjon om alle hendelser - feil, innkommende, utgående tilkoblinger, antall byte som er overført, brukte tjenester, tilkoblingstid osv. - akkumuleres i statistikkfiler. Mange brannmurer lar deg fleksibelt definere hendelsene som skal logges, beskrive handlingene til brannmuren i tilfelle angrep eller uautoriserte tilgangsforsøk – dette kan være en melding til konsollen, en e-postmelding til systemadministratoren, etc. Umiddelbar visning av en melding om et hackingforsøk på konsollen eller administratorskjermen kan hjelpe hvis forsøket er vellykket og angriperen allerede har kommet inn i systemet. Mange brannmurer inkluderer rapportgeneratorer for behandling av statistikk. De lar deg samle inn statistikk om bruk av ressurser av spesifikke brukere, om bruk av tjenester, avslag, kilder som uautoriserte tilgangsforsøk ble gjort fra, etc.

Godkjenning

Autentisering er en av de viktigste komponentene i brannmurer. Før brukeren gis rett til å bruke denne eller den tjenesten, er det nødvendig å forsikre seg om at han virkelig er den han utgir seg for å være.

Som regel brukes prinsippet, kalt "det han vet" - d.v.s. brukeren kjenner et hemmelig ord som han sender til autentiseringsserveren som svar på forespørselen hans.

En av autentiseringsordningene er å bruke standard UNIX-passord. Denne ordningen er den mest sårbare fra et sikkerhetssynspunkt - passordet kan fanges opp og brukes av en annen person.

Brannmursikkerhetsklasser

Når det gjelder behandling av konfidensiell informasjon, er automatiserte systemer (AS) delt inn i tre grupper:

  1. Multi-user AS som behandler informasjon på ulike nivåer av konfidensialitet.
  2. Multi-user AS, der alle brukere har lik tilgang til all behandlet informasjon som befinner seg på medier med ulike nivåer av konfidensialitet.
  3. Single-user AS, der brukeren har reell tilgang til all behandlet informasjon som befinner seg på medier med ulike nivåer av konfidensialitet.

I den første gruppen er det 5 beskyttelsesklasser for AC: 1A, 1B, 1B, 1G, 1D, i den andre og tredje gruppen - 2 beskyttelsesklasser: henholdsvis 2A, 2B og 3A, 3B. Klasse A tilsvarer maksimum, klasse D - til minimum beskyttelse av høyttaleren.

Brannmurer lar deg opprettholde sikkerheten til objekter i det indre området ved å ignorere uautoriserte forespørsler fra utsiden, dvs. bære ut skjerming... Som et resultat reduseres sårbarheten til interne objekter, siden i utgangspunktet en tredjepartsinntrenger må overvinne brannmuren, hvor beskyttelsesmekanismene er spesielt nøye og stivt konfigurert. I tillegg er skjermingssystemet, i motsetning til det universelle, utformet på en enklere og derfor sikrere måte. Den inneholder kun de komponentene som er nødvendige for å utføre skjermingsfunksjonene. Skjerming gjør det også mulig å kontrollere informasjonsstrømmer rettet mot det ytre området, noe som bidrar til å opprettholde konfidensialitet i det indre området. I tillegg til tilgangskontrollfunksjoner, registrerer brannmurer informasjonsstrømmer.

I henhold til sikkerhetsnivået er brannmurer delt inn i 5 klasser. Den laveste sikkerhetsklassen er den femte. Den brukes for sikker interaksjon av klasse 1D AS med det ytre miljøet, den fjerde for 1G, den tredje for 1B, den andre for 1B, den høyeste - den første for 1A.

For klasse 2B, 3B høyttalere brukes brannmurer av minst femte klasse.

For AS klasse 2A, 3A, avhengig av viktigheten av den behandlede informasjonen, brukes brannmurer i følgende klasser:

  • ved behandling av informasjon klassifisert som "hemmelig" - ikke lavere enn den tredje klassen;
  • ved behandling av informasjon klassifisert som "topphemmelig" - ikke lavere enn den andre klassen;
  • ved behandling av informasjon med et stempel av "spesiell betydning" - kun første klasse.

Sikkerhetsindikatorer er oppsummert i tabell 1.

Legende:

Tabell 1
SikkerhetsindikatorerSikkerhetsklasser
5 4 3 2 1
Tilgangskontroll (datafiltrering og adresseoversettelse)+ + + + =
Identifikasjon og autentisering- - + = +
registrering- + + + =
Administrasjon: identifikasjon og autentisering+ = + + +
Administrasjon: registrering+ + + = =
Administrasjon: brukervennlighet- - + = +
Integritet+ = + + +
Gjenoppretting+ = = + =
Testing+ + + + +
Sikkerhetsadministratorveiledning+ = = = =
Testdokumentasjon+ + + + +
Design (prosjekt) dokumentasjon+ = + = +

Kjøpeveiledning for brannmur

TruSecures forskningsarm, ICSA Labs, har utviklet Firewall Buyers Guide. En av delene i dette dokumentet inneholder følgende skjema for vurdering av kjøper:

  1. Kontaktinformasjon - adresse og ansvarlige personer.
  2. Arbeidsmiljø:
    • antall og plassering av individuelle institusjoner (bygninger) i foretaket;
    • indikasjon på underavdelinger og informasjon av begrenset art og informasjon for hvilke tilgjengeligheten av data for samhandling av underavdelinger, deres plassering er viktig;
    • Indikasjon på eksterne partnere som det er nødvendig å organisere samhandling med;
    • en beskrivelse av tjenester som er åpne for publikum;
    • krav til organisering av ekstern tilgang til bedriftens interne informasjonsrom;
    • tjenester for elektroniske tjenester som bruker offentlige kommunikasjonskanaler (for eksempel e-handel).
  3. Planlagte endringer i forretningsmiljøet i henhold til de listede parameterne.
  4. Informasjonsmiljø:
    • antall brukerarbeidsstasjoner med indikasjon på maskinvare, system og applikasjonsprogramvare;
    • nettverksstruktur med indikasjon på topologi, dataoverføringsmedium, brukte enheter og protokoller;
    • strukturen til ekstern tilgang, som indikerer enhetene som brukes, samt autentiseringsmetoder;
    • antall servere med indikasjon på maskinvare, system og applikasjonsprogramvare;
    • det eksisterende systemet for støtte til informasjonssystemer fra leverandørers side med deres indikasjon og grenser for aktivitetens omfang;
    • antivirussystemer og annen programvarekontrollsystemer;
    • teknologi for administrasjon av nettverk og informasjonssystemer;
    • autentiseringsteknologier - liste og beskrivelse.
  5. Planlagte endringer i informasjonsmiljøet for de listede parameterne.
  6. Internett-tilkobling:
    • type internettforbindelse;
    • eksisterende brannmurer (hvis noen);
    • Kommunikasjonsmidler med det ytre miljøet som brukes av interne systemer;
    • interne systemer og tjenester tilgjengelig fra utsiden;
    • servere for e-handel og andre transaksjonssystemer;
    • en indikasjon på at det finnes en godkjent sikkerhetspolicy for tilgang og bruk av Internett.
  7. Planlagte aktiviteter (som en brannmur er kjøpt for):
    • endringer i måten du får tilgang til Internett på og i bedriftens sikkerhetspolicy;
    • fremveksten av nye protokoller som må vedlikeholdes separat for interne brukere, brukere med ekstern tilgang eller spesielle brukere tilgjengelig for allmennheten.
  8. Nødvendig brannmurfunksjonalitet:
    • adgangskontroll;
    • utstedte meldinger;
    • godkjenning;
    • konfigurasjonsstyring;
    • kontroll av innholdet i passerende trafikk;
    • registrering bøker;
    • gjenkjenne angrep;
    • nettverksalternativer (antall grensesnitt, tilgangsmetode);
    • fjernadministrasjon;
    • systemkrav (nøkkelferdige, integrasjon med andre produkter osv.).
  9. Andre forhold:
    • den estimerte kostnaden for brannmuren (hvor mye en bedrift kan bruke);
    • estimert dato for oppstart av produktet;
    • krav til produktets sertifikater;
    • Krav til den potensielle produktadministratoren og støtteteamet;
    • spesielle vilkår i kontrakten (hvis noen);
    • andre merknader som ikke er inkludert i dette skjemaet.

Det antas at selskapet, ved å fylle ut dette skjemaet og sende det til produsenten, vil tillate sistnevnte å danne det mest høykvalitetstilbudet til kjøperen. Å fylle ut dette skjemaet, og uten å sende det til noen, vil imidlertid tillate organisasjonen å bedre forstå hvilken løsning den trenger.

Antall hendelser knyttet til informasjonssikkerhet, ifølge ledende analysebyråer, vokser stadig. Sikkerhetseksperter har lagt merke til en økende aktivitet av eksterne angripere som bruker den nyeste angrepsteknologien for å infiltrere bedriftsnettverk for å utføre sine skitne gjerninger.

Antall hendelser knyttet til informasjonssikkerhet, ifølge ledende analysebyråer, vokser stadig. Sikkerhetseksperter har lagt merke til en økende aktivitet av eksterne angripere som bruker den nyeste angrepsteknologien for å infiltrere bedriftsnettverk for å utføre sine skitne gjerninger. De er ikke begrenset til å stjele informasjon eller slå ut nettverksnoder. Det er ikke uvanlig at kompromitterte nettverk brukes til å starte nye angrep. Derfor er beskyttelsen av omkretsen av informasjonssystemet et obligatorisk element i organisasjonens informasjonssikkerhetssystem.

Samtidig, for å bestemme sammensetningen av psom sikrer det minste (initielle) nivået av informasjonssikkerhet, er det nødvendig å analysere de vanligste truslene mot organisasjonens informasjonsressurser:
nettverksangrep rettet mot utilgjengelighet av informasjonsressurser (for eksempel webservere, e-posttjenester osv.) - DoS- og DDoS-angrep;
kompromittering av informasjonsressurser og eskalering av privilegier både fra innsidere og eksterne angripere, både med det formål å bruke ressursene dine og for å forårsake skade;
handlinger av ondsinnet programvarekode (virus, nettverksormer, trojanere, spyware, etc.);
lekkasje av konfidensiell informasjon og tyveri av data både gjennom nettverket (e-post, FTP, web, etc.) og gjennom eksterne medier;
ulike nettverksangrep på applikasjoner.

For å minimere informasjonssikkerhetstrusler er det nødvendig å implementere brannmurer på ulike nivåer av OSI-modellen, som vist i tabellen.

Bord. Brannmurer og OSI-modeller

Driften av alle brannmurer er basert på bruk av informasjon fra ulike lag av OSI-modellen (tabell). OSI-modellen, utviklet av International Organization for Standardization, definerer syv lag der datasystemer samhandler med hverandre, fra det fysiske medielaget til laget av applikasjoner som brukes for kommunikasjon. Generelt, jo høyere OSI-laget som brannmuren filtrerer pakker på, jo høyere beskyttelsesnivå gir den.

Følgende metoder kan velges for å kontrollere trafikk mellom LAN og det eksterne nettverket:
1. Pakkefiltrering- basert på å sette opp et sett med filtre. Avhengig av om den innkommende pakken tilfredsstiller betingelsene spesifisert i filtrene, sendes den til nettverket eller droppes.
2. Denne klassen av rutere er en oversetter av TCP-tilkoblinger. Gatewayen aksepterer en autorisert klients forespørsel om spesifikke tjenester og, etter å ha validert den forespurte økten, oppretter den en forbindelse til destinasjonen (ekstern vert). Gatewayen kopierer deretter pakkene i begge retninger uten å filtrere dem. Som regel er destinasjonen satt på forhånd, mens det kan være mange kilder. Ved å bruke forskjellige porter kan du lage en rekke tilkoblingskonfigurasjoner. Denne typen gateway lar deg lage en TCP-tilkoblingsoversetter for enhver brukerdefinert TCP-basert tjeneste, kontrollere tilgangen til denne tjenesten og samle inn statistikk om bruken.
3. Proxy-server- en ekstra proxy-serverenhet er installert mellom det lokale og eksterne nettverket, som fungerer som en "gate" som all innkommende og utgående trafikk må passere. Statlig inspeksjon– Inspeksjon av innkommende trafikk er en av de mest avanserte måtene å implementere en brannmur på. Inspeksjon betyr ikke å analysere hele pakken, men bare dens spesielle nøkkeldel og sammenligne den med tidligere kjente verdier fra databasen over tillatte ressurser. Denne metoden gir høyest brannmurytelse og lavest ventetid.

Prinsippet for drift av brannmuren er basert på kontroll av trafikk som kommer utenfra.

Brannmuren kan implementeres i maskinvare eller programvare. Den spesifikke implementeringen avhenger av skalaen til nettverket, mengden trafikk og de nødvendige oppgavene. Den vanligste typen brannmur er programvarebasert. I dette tilfellet implementeres det i form av et program som kjører på mål-PCen, eller en kantnettverksenhet, for eksempel en ruter. Når det gjelder maskinvarekjøring, er en brannmur et eget nettverkselement som vanligvis har høy ytelse, men som utfører lignende oppgaver.

Brannmuren lar deg konfigurere filtre som er ansvarlige for å sende trafikk i henhold til følgende kriterier:
1. IP adresse. Som du vet, må enhver sluttenhet som bruker IP-protokollen ha en unik adresse. Ved å spesifisere en adresse eller et bestemt område, kan du nekte mottak av pakker fra dem, eller omvendt kun tillate tilgang fra disse IP-adressene.
2. Domenenavn. Som du vet, kan et nettsted på Internett, eller snarere dens IP-adresse, assosieres med et alfanumerisk navn, som er mye lettere å huske enn et sett med tall. Dermed kan filteret konfigureres til å sende trafikk kun til/fra en av ressursene, eller nekte tilgang til den.
3. Havn. Vi snakker om programvareporter, dvs. tilgangspunkter for applikasjoner til nettverkstjenester. For eksempel bruker ftp port 21, mens nettsurfingsapplikasjoner bruker port 80. Dette lar deg nekte tilgang fra uønskede tjenester og nettverksapplikasjoner, eller omvendt kun tillate tilgang til dem.
4. Protokoll. Brannmuren kan konfigureres til å tillate bare én protokoll å passere gjennom, eller nekte tilgang ved å bruke den. Typisk kan typen protokoll snakke om oppgavene til applikasjonen den bruker og om et sett med beskyttelsesparametere. Dermed kan tilgang kun konfigureres for driften av en spesifikk applikasjon og forhindre potensielt farlig tilgang ved å bruke alle andre protokoller.

Ovennevnte viser bare hovedparametrene som justeringen kan gjøres med. Det kan også brukes andre nettverksspesifikke filterparametere, avhengig av oppgavene som utføres på det nettverket.

Dermed gir brannmuren et omfattende sett med oppgaver for å forhindre uautorisert tilgang, skade eller tyveri av data, eller annen negativ påvirkning som kan påvirke ytelsen til nettverket. Vanligvis brukes en brannmur sammen med andre beskyttelsesmidler, for eksempel antivirusprogramvare.

Opprette en filtreringspolicy for brannmurer
Det er to hovedmåter å lage brannmurregelsett: "inkluderende" og "eksklusiv". En ekskluderingsbrannmur lar all trafikk passere bortsett fra trafikk som samsvarer med et sett med regler. En aktiverende brannmur fungerer på nøyaktig motsatt måte. Den tillater bare trafikk som samsvarer med reglene og blokkerer alt annet.

En inkluderende brannmur gir mye mer kontroll over utgående trafikk. Derfor er en inkluderende brannmur det beste valget for systemer som tilbyr tjenester på Internett. Den kontrollerer også typen trafikk som kommer utenfra og dirigeres til ditt private nettverk. Trafikk som ikke er inkludert i reglene blokkeres, og tilsvarende oppføringer gjøres i loggfilen. Inkluderende brannmurer er generelt sikrere enn eksklusive brannmurer fordi de i stor grad reduserer risikoen for at brannmuren passerer uønsket trafikk.

Sikkerheten kan forbedres ytterligere ved å bruke en "stateful brannmur". En slik brannmur beholder informasjon om åpne forbindelser og tillater kun trafikk gjennom åpne forbindelser eller åpne nye forbindelser. Ulempen med en stateful brannmur er at den kan være sårbar for Denial of Service (DoS)-angrep hvis mange nye tilkoblinger åpnes veldig raskt. De fleste brannmurer tillater en kombinasjon av stateful og stateless atferd for å skape den optimale konfigurasjonen for hvert spesifikke system.

Som et eksempel kan du vurdere å lage filterregler i et enkelt pakkefilter. Det er flere mulige alternativer for pakkefiltrering. Det enkleste er målrettet filtrering; den består i å sammenligne adressene i pakken med adressene spesifisert i reglene. Hvis adressene samsvarer, hoppes pakken over. Denne sammenligningen gjøres som følger:

1. Tenk på følgende regel: alle verter på 10.1.x.x-nettverket kan kommunisere med verter på 10.2.x.x-nettverket. Denne regelen er skrevet som følger:

10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0
——- Kilde —— —— Destinasjon ——

Du kan nå bruke regelen på en pakke som sendes fra vert 10.1.1.2 til vert 10.3.7.7. La oss bruke en maske på begge adressene - adressen i regelen og adressen i pakken. Den sjekker deretter om kilde- og destinasjonsadressene er de samme. Som et resultat vil vi ha:

For kildeadresse:

10.1.0.0 og 255.255.0.0 = 10.1.0.0 (for regelen)
10.1.1.2 og 255.255.0.0 = 10.1.0.0 (for pakke)

Etter påføring av masken samsvarer begge adressene. La oss nå sjekke destinasjonsadressen:

10.2.0.0 og 255.255.0.0 = 10.2.0.0 (for regelen)
10.3.7.7 og 255.255.0.0 = 10.3.0.0 (for pakke)

Siden destinasjonsadressene til pakken og reglene etter bruk av masken ikke stemmer overens, bør ikke denne regelen brukes på denne pakken.

Denne operasjonen utføres over hele listen over kilde- og destinasjonsadresser og masker til slutten av listen er nådd eller til pakken samsvarer med en av reglene. Listen over regler har følgende format:

10.1.1.2 & 255.255.255.255 — 10.2.0.0 & 255.255.0.0
10.3.3.2 & 255.255.255.255 — 10.1.2.1 & 255.255.255.255
10.1.1.0 & 255.0.0.0 — 10.2.3.0 & 255.255.255.0
10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0

I tillegg til kilde- og destinasjonsadresser, inneholder hver IP-pakke informasjon om protokollen og tjenesten som brukes. Den kan brukes som en ekstra filtreringsparameter.

For eksempel er TCP-tjenester alltid knyttet til en port. Som et resultat kan du matche listen over porter med adresser.

La oss bruke to kjente tjenester som eksempel – POP3 og HTTP. POP3 bruker port 110 og HTTP bruker port 80. Derfor kan vi legge til disse portene i regelbeskrivelsen. Som et resultat får vi:

10.1.0.0 & 255.255.0.0 - 10.2.0.0 & 255.255.0.0 TCP 80 110
—— Kilde —— —— Destinasjon —— Protokoll - Havner -

Denne regelen lar hver pakke som går fra 10.1.x.x-nettverket til 10.2.x.x-nettverket ved hjelp av HTTP- og POP3-tjenester, passere gjennom brannmuren.

Først blir adressene fra regelen sammenlignet med adressene til pakken. Hvis begge adressene samsvarer etter maskering, vil protokollen og destinasjonsporten i pakken bli sammenlignet med protokollen og listen over porter beskrevet i regelen. Hvis protokollen samsvarer, og porten i regelen er den samme som porten til pakken, samsvarer en slik pakke med regelen. Ellers vil søket fortsette i listen over regler.

Med denne nye informasjonen i tankene, vil regelsettet ha følgende format:

10.1.1.2 & 255.255.255.255 - 10.2.0.0 & 255.255.0.0 UDP 53
10.3.3.2 & 255.255.255.255 - 10.1.2.1 & 255.255.255.255 TCP 80
10.1.1.0 & 255.0.0.0 - 10.2.3.0 & 255.255.255.0 TCP 21 20 113
10.1.0.0 & 255.255.0.0 - 10.2.0.0 & 255.255.0.0 ICMP 0 8

I tillegg til disse grunnleggende filtreringsparametrene kan du legge til flere. En av dem er kildenettverksgrensesnittet; ved å bruke navnet på nettverksgrensesnittet som en filtreringsparameter, kan du bare tillate passasje av pakker med spesifikke adresser fra det spesifiserte grensesnittet.

Hensikten med denne prosedyren er å blokkere et angrep kjent som IP-spoofing, der en pakke sendes til det interne nettverket med en falsk kildeadresse (fra det interne nettverket). Ved å bruke navnet på et nettverksgrensesnitt som parameter kan du enkelt blokkere denne typen angrep. For eksempel, hvis det interne nettverket samhandler med brannmuren gjennom de0-grensesnittet, er det bare nødvendig å angi i reglene at pakker med en kildeadresse fra det interne nettverket bare skal aksepteres hvis de kom fra dette grensesnittet; i alle andre tilfeller vil de bli kastet.

I Odnoklassniki

\\ 06.04.2012 17:16

En brannmur er et sett med oppgaver for å forhindre uautorisert tilgang, skade eller tyveri av data, eller annen negativ påvirkning som kan påvirke ytelsen til nettverket.

Brannmur, også kalt brannmur(fra engelsk. Brannmur) eller brannmur på gatewayen lar deg gi sikker brukertilgang til Internett, samtidig som den eksterne tilkoblingen til interne ressurser beskyttes. Brannmur ser gjennom seg selv all trafikken som går mellom nettverkssegmenter, og for hver pakke implementerer en beslutning - å passere eller ikke å passere. Et fleksibelt system med brannmurregler lar deg nekte eller tillate tilkoblinger ved hjelp av en rekke parametere: adresser, nettverk, protokoller og porter.

Metoder for å kontrollere trafikk mellom lokale og eksterne nettverk


Pakkefiltrering. Avhengig av om den innkommende pakken tilfredsstiller betingelsene spesifisert i filtrene, sendes den til nettverket eller forkastes.

Stateful inspeksjon. I dette tilfellet utføres inspeksjonen av innkommende trafikk - en av de mest avanserte måtene å implementere en brannmur. Inspeksjon betyr ikke å analysere hele pakken, men bare dens spesielle nøkkeldel og sammenligne den med tidligere kjente verdier fra databasen over tillatte ressurser. Denne metoden gir den høyeste brannmurytelsen og den laveste ventetiden.

Proxy-server I dette tilfellet installeres en ekstra proxy-serverenhet mellom det lokale og eksterne nettverket, som fungerer som en "gate" som all innkommende og utgående trafikk må passere gjennom.

Brannmur lar deg konfigurere filtre som er ansvarlige for å sende trafikk gjennom:

IP adresse. Ved å spesifisere en adresse eller et bestemt område, kan du forby mottak av pakker fra dem, eller tvert imot tillate tilgang bare fra disse IP-adressene.

- Havn. Brannmuren kan konfigurere tilgangspunkter for applikasjoner til nettverkstjenester. For eksempel bruker ftp port 21, og nettsurfingsapplikasjoner bruker port 80.

Protokoll. Brannmuren kan konfigureres til å tillate bare én protokoll å passere gjennom, eller nekte tilgang ved å bruke den. Oftest kan typen protokoll snakke om oppgavene den utfører, applikasjonen den bruker og et sett med beskyttelsesparametere. I denne forbindelse kan tilgang kun konfigureres for driften av en spesifikk applikasjon og forhindre potensielt farlig tilgang ved å bruke alle andre protokoller.

Domenenavn. I dette tilfellet nekter eller tillater filteret tilkoblinger av spesifikke ressurser. Dette lar deg nekte tilgang fra uønskede tjenester og nettverksapplikasjoner, eller tvert imot bare tillate tilgang til dem.

Andre filterparametere som er spesifikke for dette bestemte nettverket kan brukes til å konfigurere, avhengig av oppgavene som utføres i det.

Oftest brukes en brannmur sammen med andre beskyttelsesmidler, for eksempel antivirusprogramvare.

Hvordan en brannmur fungerer

Brannmur kan bli gjort:

Maskinvare. I dette tilfellet fungerer en ruter som er plassert mellom datamaskinen og Internett som en maskinvarebrannmur. Flere PC-er kan kobles til brannmuren og alle vil være beskyttet av en brannmur, som er en del av ruteren.

Programmatisk. Den vanligste typen brannmur, som er spesialisert programvare som brukeren installerer på sin PC.

Selv om en ruter med innebygd brannmur er tilkoblet, kan en ekstra programvarebrannmur installeres på hver datamaskin separat. I dette tilfellet vil det være vanskeligere for en angriper å trenge inn i systemet.

Offisielle dokumenter

I 1997 ble det veiledende dokumentet til Statens tekniske kommisjon under presidenten for den russiske føderasjonen "Dataanlegg. Brannmurer. Beskyttelse fra NSD til informasjon. Indikatorer for sikkerhet fra NSD til informasjon" vedtatt. Dette dokumentet etablerer fem klasser av brannmursikkerhet, som hver er preget av et visst minimumssett med informasjonssikkerhetskrav.

I 1998 ble et annet dokument utviklet: "Tidskrav for enheter som en brannmur." I følge dette dokumentet er det etablert 5 klasser av brannmursikkerhet, som brukes til å beskytte informasjon i automatiserte systemer som inneholder kryptografiske midler.

Og siden 2011 har kravene i lovgivningen om sertifisering av brannmurer trådt i kraft. Således, hvis arbeid med personopplysninger utføres i bedriftens nettverk, er det nødvendig å installere en brannmur sertifisert av Federal Export Control Service (FSTEC).

Den siste tiden har det vært en tendens til å begrense personvernet på Internett. Dette er på grunn av begrensningene som er pålagt brukeren av statens regulering av Internett. Statlig regulering av Internett finnes i mange land (Kina, Russland, Hviterussland).

"Asia domenenavnregistrering svindel" i Runet! Du registrerte eller kjøpte et domene og opprettet et nettsted på det. Årene går, siden utvikler seg og blir populær. Allerede inntektene fra det "dryppet". Du får inntekten din, betaler for domenet, hosting og andre utgifter ...



© Copyright 2017, https://qzoreteam.ru