Kako podesiti pametne telefone i računare. Informativni portal
  • Dom
  • Windows 10
  • Mehanizmi sigurnosti informacija. SPI Firewall modemi

Mehanizmi sigurnosti informacija. SPI Firewall modemi

28.04.2019 Windows 10



Zašto vam je potreban zaštitni zid u ruteru

Bežičnoj mreži je potrebna pažljiva zaštita, jer se ovdje stvaraju najpovoljnije mogućnosti za presretanje informacija. Stoga, ako je više računara povezano na mrežu pomoću rutera (rutera), zaštitni zid treba instalirati i koristiti ne samo na svakom računaru, već i na ruteru. Na primjer, funkciju zaštitnog zida u ruteru serije DI-XXX obavlja SPI, koji vrši dodatnu inspekciju paketa. Predmet provjere je da li paketi pripadaju uspostavljenoj vezi.

Tokom sesije povezivanja otvara se port koji se može pokušati napasti stranim paketima, što je posebno povoljan trenutak za to - kada se sesija završi, a port ostaje otvoren još nekoliko minuta. Stoga se SPI sjeća Trenutna drzava sesije i analizira sve dolazne pakete. Moraju odgovarati očekivanom – doći sa adrese na koju je zahtjev poslan, imati određene brojke... Ako paket ne odgovara sesiji, odnosno nije ispravan, blokira se i ovaj događaj se bilježi u dnevnik. Drugi zaštitni zid na ruteru vam omogućava da blokirate odlazne veze sa zaraženog računara.

Collegiate YouTube

    1 / 5

    ✪ 1. Cisco ASA administrator. Šta je zaštitni zid?

    ✪ ZoneAlarm Free Firewall - Besplatni zaštitni zid za vaš računar

    ✪ 2. Cisco ASA administrator. Između zaštitni zidovi Cisco

    ✪ Zaštitni zidovi

    Titlovi

Imenovanje

Među zadacima koje firewall rješavaju, glavni je zaštita mrežnih segmenata ili pojedinačnih hostova od neovlaštenog pristupa korištenjem ranjivosti u protokolima OSI mrežnog modela ili u softveru instaliranom na mrežnim računalima. Vatrozidovi dozvoljavaju ili odbijaju saobraćaj upoređujući njegove karakteristike sa određenim obrascima.

Najčešće mjesto za instaliranje firewall-a je na granici perimetra lokalne mreže kako bi se zaštitili interni domaćini od vanjskih napada. Međutim, napadi mogu početi i od internih čvorova - u ovom slučaju, ako se napadnuti host nalazi na istoj mreži, promet neće preći granicu perimetra mreže, a zaštitni zid neće biti uključen. Stoga se trenutno vatrozidi postavljaju ne samo na granici, već i između različitih segmenata mreže, što omogućava dodatni nivo sigurnost.

istorija

Prvi uređaji koji obavljaju funkciju filtriranja mrežni promet, pojavio se kasnih 1980-ih, kada je internet bio inovacija i nije se koristio u globalnoj skali... Ovi uređaji su bili ruteri koji provjeravaju promet na osnovu podataka sadržanih u zaglavljima protokola mrežnog sloja. Nakon toga, sa razvojem mrežne tehnologije, ovi uređaji sada mogu filtrirati promet koristeći podatke iz protokola višeg, transportnog sloja. Ruteri se mogu smatrati prvom hardverskom/softverskom implementacijom firewall-a.

Softverski zaštitni zidovi pojavili su se mnogo kasnije i bili su mnogo mlađi od antivirusnog softvera. Na primjer, projekt Netfilter / iptables (jedan od prvih softverskih zaštitnih zidova ugrađenih u Linux kernel od verzije 2.4) osnovan je 1998. godine. Ovako kasno pojavljivanje je sasvim razumljivo, jer je antivirus dugo vremena rješavao problem zaštite osobnih računara od malware... Međutim, kasnih 1990-ih, virusi su počeli aktivno koristiti odsustvo zaštitnih zidova na računalima, što je dovelo do povećanja interesa korisnika za ovu klasu uređaja.

Filtriranje saobraćaja

Filtriranje saobraćaja se zasniva na skupu unapred konfigurisanih pravila tzv skup pravila... Pogodno je zamisliti firewall kao niz filtera koji obrađuju protok informacija. Svaki od filtera je dizajniran za tumačenje posebnog pravila. Konzistentnost pravila u skupu ima značajan uticaj na performanse zaštitnog zida. Na primjer, mnogi zaštitni zidovi uzastopno uspoređuju promet s pravilima dok se ne pronađe podudaranje. Za ove zaštitne zidove, pravila koja odgovaraju najvećem prometu treba da budu postavljena što je više moguće na listi, čime se povećavaju performanse.

Postoje dva principa za rukovanje dolaznim saobraćajem. Prvi princip je: "Ono što nije izričito zabranjeno, dozvoljeno je." U ovom slučaju, ako zaštitni zid primi paket koji ne odgovara nijednom pravilu, on se dalje prosljeđuje. Suprotan princip - "Ono što nije izričito dozvoljeno je zabranjeno" - garantuje mnogo veću sigurnost, jer zabranjuje sav saobraćaj koji nije izričito dozvoljen pravilima. Međutim, ovaj princip se pretvara u dodatni teret za administratora.

Na kraju, zaštitni zidovi obavljaju jednu od dvije operacije na dolaznom prometu: prosljeđuju paket dalje ( dopustiti) ili ispusti paket ( poricati). Neki zaštitni zidovi imaju još jednu operaciju - odbiti, u kojem se paket odbacuje, ali se pošiljalac obavještava da usluga kojoj je pokušavao pristupiti nije dostupna. Nasuprot tome, tokom operacije poricati pošiljalac nije obaviješten o nedostupnosti usluge, što je sigurnije.

Klasifikacija zaštitnog zida

Do sada ne postoji jedinstvena i opšteprihvaćena klasifikacija zaštitnih zidova. Međutim, u većini slučajeva, podržani sloj OSI mrežnog modela je glavna karakteristika u njihovoj klasifikaciji. Razmatrati ovaj model, razlikuju se sljedeće vrste zaštitnih zidova:

  1. Upravljani prekidači.
  2. Paketni filteri.
  3. Gateway na nivou sesije.
  4. Posrednici aplikacija.
  5. Državni inspektori.

Upravljani prekidači

Mnogi proizvođači mrežna oprema kao što su Cisco, Nortel, 3Com, ZyXEL daju u svojim prekidačima mogućnost filtriranja saobraćaja na osnovu MAC adresa sadržanih u zaglavljima okvira. Na primjer, u prekidačima porodice Cisco Catalyst, ova funkcija je implementirana pomoću mehanizma Port Security. ... ali ovu metodu filtriranje nije efikasno jer je ugrađen hardver mrežna kartica MAC adresa se lako mijenja programski jer vrijednost specificirana preko drajvera ima veći prioritet od one koja je ugrađena u ploču. Stoga mnogi moderni prekidači dozvoljavaju korištenje drugih parametara kao atributa filtriranja - na primjer, VLAN ID. Tehnologija virtuelnih lokalnih mreža (eng.Virtual Local Area Mreža) vam omogućava da kreirate grupe hostova čiji je saobraćaj potpuno izolovan od drugih čvorova na mreži.

Paketni filteri

Filteri paketa rade na mrežnom sloju i kontroliraju tok prometa na osnovu informacija sadržanih u zaglavlju paketa. Mnogi zaštitni zidovi ovog tipa može raditi sa zaglavljima protokola i višim, transportnim, slojevima (na primjer, TCP ili UDP). Paketni filteri su se među prvima pojavili na tržištu firewall-a i ostali su najčešći tip filtera do danas. Ova tehnologija je implementirana u velikoj većini rutera, pa čak iu nekim prekidačima.

Prilikom analize zaglavlja mrežnog paketa, mogu se koristiti sljedeći parametri:

  • Izvorne i odredišne ​​IP adrese;
  • vrsta transportnog protokola;
  • polja servisnih zaglavlja protokola mrežnih i transportnih slojeva;
  • izvorni i odredišni port.

Prilično je uobičajeno filtriranje fragmentiranih paketa, što otežava identifikaciju nekih napada. Mnogi mrežni napadi iskorištavaju ovu ranjivost zaštitnog zida predstavljajući pakete koji sadrže zabranjene podatke kao fragmente drugog, pouzdanog paketa. Jedan od načina za borbu protiv ove vrste napada je konfiguracija zaštitnog zida da blokira fragmentirane pakete. Neki zaštitni zidovi mogu defragmentirati pakete prije prosljeđivanja na internu mrežu, ali to zahtijeva dodatna sredstva sam firewall, posebno memoriju. Defragmentacija se mora koristiti vrlo razumno, inače takav firewall može lako postati žrtva samog DoS napada.

Filteri paketa mogu se implementirati u sljedeće komponente mrežne infrastrukture:

  • granični usmjerivači;
  • OS;

Budući da filteri paketa obično provjeravaju podatke samo u zaglavljima mrežnog i transportnog sloja, oni to mogu učiniti prilično brzo. Stoga su filteri paketa ugrađeni u rubne rutere idealni za postavljanje na rub mreže sa niskim povjerenjem. Međutim, filteri paketa nemaju mogućnost analize protokola viših slojeva OSI mrežnog modela. Osim toga, filteri paketa su obično ranjivi na napade koji koriste lažiranje mrežne adrese. Ovi napadi se obično izvode kako bi se zaobišle ​​kontrole pristupa zaštitnom zidu.

Gateway na nivou sesije

Pošto ovaj tip zaštitnog zida eliminiše direktnu komunikaciju između dva hosta, gateway na nivou sesije je jedina veza između eksterne mreže i internih resursa. Ovo stvara izgled koji za sve zahtjeve od eksternu mrežu gateway odgovara i čini gotovo nemogućim određivanje topologije zaštićene mreže. Pored toga, pošto se kontakt između čvorova uspostavlja samo ako je validan, gateway sloja sesije sprečava DoS napad svojstven filterima paketa.

Uprkos efikasnosti ove tehnologije, ona ima ozbiljan nedostatak: kao i sve gore navedene klase zaštitnih zidova, gateway-i na nivou sesije nemaju mogućnost provere sadržaja polja podataka, što omogućava napadaču da prenese trojanske konje na zaštićena mreža.

Posrednici aplikacija

Nedostaci ovog tipa firewall-a su vrijeme i resursi potrebni za analizu svakog paketa. Iz tog razloga, oni obično nisu prikladni za aplikacije u realnom vremenu. Još jedan nedostatak je nemogućnost automatsko povezivanje podrška za nove mrežne aplikacije i protokole, jer svaki od njih zahtijeva svog agenta.

Statusni inspektori

Svaki od gore navedenih tipova zaštitnih zidova koristi se za zaštitu korporativnih mreža i ima nekoliko prednosti. Međutim, bilo bi mnogo efikasnije prikupiti sve ove prednosti u jednom uređaju i dobiti firewall koji filtrira promet sa mreže na sloj aplikacije. Ova ideja je implementirana u državnim inspektorima, koji kombinuju visoke performanse i sigurnost. Ova klasa zaštitnih zidova vam omogućava kontrolu:

  • svaki odaslani paket - na osnovu tabele pravila;
  • svaka sesija - na osnovu tabele stanja;
  • svaka aplikacija je zasnovana na razvijenim posrednicima.

Filtriranjem saobraćaja prema principu gateway-a na nivou sesije, ovu klasu firewall ne ometaju proces uspostavljanja veza između čvorova. Stoga su performanse Državnog inspektora primjetno bolje od performansi brokera aplikacija i pristupnika sloja sesije i uporedive su sa performansama filtera paketa. Još jedna prednost državnih inspektora je transparentnost za korisnika: nema potrebe za klijentskim softverom dodatno prilagođavanje... Ovi zaštitni zidovi su vrlo skalabilni. Kad god se uvede nova usluga ili novi aplikacijski protokol, dovoljno je dodati nekoliko predložaka za podršku. Međutim, državni inspektori su manje sigurni od posrednika u aplikacijama.

Termin provjera stanja, koji je uveo Check Point Software, toliko vole proizvođači mrežne opreme da je sada gotovo svaki firewall klasifikovan kao ova tehnologija, čak i ako je ne implementira u potpunosti.

Implementacija

Postoje dvije opcije za izvođenje firewall-a - softver i firmver. Zauzvrat, verzija softvera i hardvera ima dvije varijante - u obliku zasebnog modula u prekidaču ili ruteru i u obliku specijaliziranog uređaja.

Danas se sve češće koristi softversko rješenje koje na prvi pogled izgleda privlačnije. To je zbog činjenice da se za njegovu upotrebu čini da je dovoljno samo kupiti softver firewall i instalirati ga na bilo koji računar dostupan u organizaciji. Međutim, kako praksa pokazuje, organizacija nema uvijek besplatni kompjuter, pa čak i ispunjavanje prilično visokih zahtjeva za sistemski resursi... Nakon što se računar ipak pronađe (najčešće se kupuje), slijedi proces instaliranja i konfigurisanja operativnog sistema, kao i direktno firewall softvera. Lako je uočiti da korištenje običnog osobnog računara nije ni približno tako jednostavno kao što se čini. Zato su specijalizovani hardverski i softverski sistemi tzv sigurnosni uređaj, na osnovu, po pravilu,

Uz veliki izbor profesionalaca softverski alati zaštita od različite vrste napadi na lokalnu mrežu izvana (odnosno sa interneta) svi imaju jedan ozbiljan nedostatak - visoka cijena... I ako dolazi o malim mrežama SOHO klase, onda je kupovina solidnih paketa nedopustiv luksuz. Istovremeno, treba napomenuti da za male mreže mogućnosti takvih paketa mogu biti čak i prevelike. Stoga se za zaštitu malih mreža SOHO klase široko koriste jeftina hardverska rješenja - firewall. Po dizajnu, zaštitni zidovi mogu raditi kao samostalno rješenje ili biti dio Posebno ruteri klase SOHO bežični ruteri, koji vam omogućava da na njihovoj osnovi kombinujete žičane i bežične segmente lokalna mreža.
U ovom članku ćemo pokriti glavne funkcionalnost moderni hardverski firewall koji se ugrađuju u rutere klase SOHO i koriste se za zaštitu malih lokalnih mreža.

Zaštitni zidovi kao dio rutera

Budući da su ruteri mrežni uređaji koji se nalaze na granici između interne i eksterne mreže i djeluju kao mrežni gateway, trebali bi biti dizajnirani s najmanje dva porta. Lokalna mreža je povezana na jedan od ovih portova i ovaj port postaje interni LAN port. Eksterna mreža (Internet) je povezana na drugi port, pretvarajući ga u eksterni WAN port. Ruteri klase SOHO po pravilu imaju jedan WAN port i nekoliko (od jednog do četiri) LAN porta, koji su kombinovani u komutator. U većini slučajeva, WAN port sviča ima 10 / 100Base-TX sučelje, a na njega se može povezati ili xDSL modem sa odgovarajućim sučeljem ili Ethernet mrežni kabel.

Osim toga, široka upotreba bežičnih mreža dovela je do pojave cijele klase takozvanih bežičnih rutera. Ovi uređaji, pored klasičnog rutera sa WAN i LAN portovima, sadrže integrisanu bežičnu pristupnu tačku koja podržava IEEE 802.11a/b/g protokol. Bežični segment mreže koji vam omogućava da organizujete pristupnu tačku, sa stanovišta rutera, odnosi se na internu mrežu i u tom smislu se računari povezani na ruter bežično ne razlikuju od onih koji su povezani na LAN. luka.

Svaki ruter, kao uređaj mrežnog sloja, ima svoju IP adresu. Pored rutera, WAN port ima i svoju IP adresu.

Računari povezani na LAN portove rutera moraju imati IP adresu na istoj podmreži kao i sam ruter. Osim toga, u mrežnim postavkama ovih računara morate postaviti zadanu adresu mrežnog prolaza koja odgovara IP adresi rutera. Konačno, uređaj povezan na WAN port iz vanjske mreže mora imati IP adresu iz iste podmreže kao i WAN port rutera.

Budući da ruter djeluje kao gateway između lokalne mreže i Interneta, logično je očekivati ​​od njega takvu funkciju kao što je zaštita interne mreže od neovlaštenog pristupa. Dakle, skoro sve savremeni ruteri SOHO klase imaju ugrađene hardverske zaštitne zidove, koji se nazivaju i zaštitni zidovi.

Funkcije zaštitnog zida

Glavni zadatak bilo kog firewall-a na kraju se svodi na osiguranje interne mreže. Da bi riješili ovaj problem, zaštitni zidovi moraju moći maskirati zaštićenu mrežu, blokirati sve poznate vrste hakerski napadi, blokiraju curenje informacija iz interne mreže, kontroliraju aplikacije koje imaju pristup vanjskoj mreži.

U cilju realizacije specificirane funkcije, firewall analiziraju sav promet između eksterne i interne mreže na usklađenost sa određenim utvrđenim kriterijumima ili pravilima koja određuju uslove za protok saobraćaja iz jedne mreže u drugu. Ako saobraćaj ispunjava navedene kriterijume, firewall će mu dozvoliti da prođe kroz sebe. U suprotnom, to jest, ako navedeni kriterijumi nisu ispunjeni, saobraćaj je blokiran od strane firewall-a. Zaštitni zidovi filtriraju i ulazne i odlaznog saobraćaja i takođe vam omogućavaju da kontrolišete pristup određenim mrežnim resursima ili aplikacijama. Mogu snimiti sve pokušaje neovlaštenog pristupa resursima lokalne mreže i izdati upozorenja o pokušajima upada.

Po svojoj namjeni, firewall najviše liče na kontrolni punkt (čekpoint) čuvanog objekta, gdje se provjeravaju dokumenti za sve koji ulaze na teritoriju objekta i sve koji ga napuštaju. Ako je propusnica ispravna, pristup teritoriji je dozvoljen. Zaštitni zidovi djeluju na potpuno isti način, samo mrežni paketi djeluju kao ljudi koji prolaze kroz kontrolnu tačku, a prolaz je korespondencija zaglavlja ovih paketa prema unaprijed definiranom skupu pravila.

Da li su zaštitni zidovi toliko pouzdani?

Može li se reći da je zaštitni zid 100 posto siguran na korisničkoj mreži ili ličnom računaru? Naravno da ne. Ako samo zato što nijedan sistem ne daje 100% garanciju sigurnosti. Firewall treba tretirati kao alat koji, ako je pravilno konfigurisan, može značajno zakomplikovati zadatak napadača da prodre na korisnički računar. Ističemo: samo da komplikujemo, ali nikako da garantujemo apsolutnu sigurnost. Usput, ako ne govorimo o zaštiti lokalne mreže, već o zaštiti zasebnog računara koji ima pristup Internetu, onda se uspješno nosi sa osiguranjem svoje lične sigurnosti ICF firewall(Internet Connection Firewall) ugrađen u operacionu salu Windows sistem XP. Stoga ćemo u budućnosti govoriti samo o korporativnim hardverskim zaštitnim zidovima koji su fokusirani na zaštitu malih mreža.

Ako je firewall instaliran na ulazu u lokalnu mrežu aktiviran od strane kompletan program(u pravilu to odgovara zadanim postavkama), tada je mreža koju štiti potpuno neprobojna i nedostupna izvana. Međutim, takva potpuna neprobojnost interne mreže ima svoje Druga strana... Činjenica je da u ovom slučaju postaje nemoguće koristiti internetske usluge (na primjer, ICQ i slične programe) instalirane na računalu. Dakle, zadatak konfigurisanja firewall-a je da napravi prozore u prvobitno praznom zidu, koji je zaštitni zid za napadača, omogućavajući korisničkih programa odgovoriti na zahtjeve izvana i na kraju implementirati kontroliranu interakciju interne mreže sa vanjskim svijetom. Međutim, što se više takvih prozora pojavljuje u takvom zidu, sama mreža postaje ranjivija. Stoga još jednom naglašavamo: nijedan firewall ne može garantirati apsolutnu sigurnost lokalne mreže koju štiti.

Klasifikacija zaštitnog zida

Mogućnosti i inteligencija zaštitnog zida zavise od sloja OSI referentnog modela na kojem rade. Što je viši OSI sloj na kojem je izgrađen zaštitni zid, to je viši nivo zaštite koji pruža.

Prisjetite se toga OSI model(Open System Interconnection) uključuje sedam slojeva mrežne arhitekture. Prvi, najniži, je fizički nivo. Slijede slojevi podataka, mreža, transport, sesija, prezentacija i slojevi aplikacije ili aplikacije. Da bi se omogućilo filtriranje saobraćaja, firewall mora raditi najmanje na trećem sloju OSI modela, odnosno na mrežnom sloju, gdje se paketi rutiraju na osnovu prevođenja MAC adresa u mrežne adrese. Sa stanovišta TCP/IP protokola, ovaj sloj odgovara sloju IP (Internet Protocol). Primajući informacije o mrežnom sloju, zaštitni zidovi su u mogućnosti da odrede izvornu i odredišnu adresu paketa i provere da li je saobraćaj između ovih odredišta prihvatljiv. Međutim, nema dovoljno informacija o mrežnom sloju za analizu sadržaja paketa. Vatrozidovi koji rade na transportnom sloju OSI modela dobijaju malo više informacija o paketima i u tom smislu mogu pružiti inteligentnije šeme za zaštitu mreža. Vatrozidovi na nivou aplikacije imaju potpune informacije o mrežnim paketima, što znači da pružaju najpouzdaniju zaštitu mreže.

U zavisnosti od nivoa OSI modela na kojem funkcionišu zaštitni zidovi, kroz istoriju se razvijala sledeća klasifikacija ovih uređaja:

  • filter paketa;
  • Gateway na nivou kola;
  • gateway na nivou aplikacije;
  • Inspekcija paketa sa stanjem (SPI).

Zapiši to ovu klasifikaciju ima samo istorijski interes, budući da su svi moderni zaštitni zidovi klasifikovani kao najnapredniji (u smislu mrežne zaštite) SPI zaštitni zidovi.

Paketni filteri

Zaštitni zidovi paketa filtera su najjednostavniji (najmanje inteligentni). Ovi zaštitni zidovi rade na mrežnom sloju OSI modela ili IP sloju steka TCP/IP protokola. Takvi zaštitni zidovi su obavezni u svakom ruteru, jer svaki ruter radi barem na trećem sloju OSI modela.

Svrha filtera paketa je filtriranje paketa na osnovu informacija o izvornoj ili odredišnoj IP adresi i brojevima portova.

U zaštitnim zidovima filtera paketa, svaki paket se analizira kako bi zadovoljio kriterije prijenosa ili blok prijenosa prije nego što se prenese. U zavisnosti od paketa i definisanih kriterijuma prenosa, zaštitni zid može proslediti paket, odbiti ga ili poslati obaveštenje nalogodavcu prenosa.

Paketni filteri su jednostavni za implementaciju i imaju mali ili nikakav uticaj na brzinu rutiranja.

Gateway na nivou sesije

Gateways sloja sesije su zaštitni zidovi koji rade na sloju sesije OSI modela ili TCP (Transport Control Protocol) sloju steka TCP/IP protokola. Ovi zaštitni zidovi prate proces uspostavljanja TCP veze (organizacija komunikacijskih sesija između krajnjih mašina) i omogućavaju vam da utvrdite da li je ova komunikacijska sesija legitimna. Podaci koji se prenose na udaljeni računar na eksternoj mreži preko gateway-a na nivou sesije ne sadrže informacije o izvoru prenosa, odnosno sve izgleda kao da podatke šalje sam firewall, a ne računar na internom (zaštićena) mreža. Svi NAT zaštitni zidovi su gateway sloja sesije (NAT će biti opisan u nastavku).

Gateway-i na nivou sesije takođe ne utiču značajno na brzinu rutiranja. U isto vrijeme, ovi gateway-i nisu u stanju filtrirati pojedinačne pakete.

Aplikacioni gateway

Gateway sloja aplikacije, ili proxy serveri, rade na sloju aplikacije OSI modela. Aplikacijski sloj je odgovoran za pristup aplikacijama mreži. Zadaci ovog nivoa uključuju prijenos datoteka, razmjenu poštom i upravljanje mrežom. Primajući informacije o paketima na nivou aplikacije, pristupnici na nivou aplikacije mogu implementirati blokiranje pristupa određene usluge... Na primjer, ako je gateway sloja aplikacije konfiguriran kao Web-proxy, tada će svaki promet koji se odnosi na Telnet, FTP, Gopher protokole biti blokiran. Pošto ovi zaštitni zidovi analiziraju pakete na sloju aplikacije, oni su u stanju da filtriraju specifične komande kao što su http: post, get, itd. Ova funkcija nije dostupna ni filterima paketa ni pristupnicima na nivou sesije. Gateway na nivou aplikacije se takođe može koristiti za registrovanje aktivnosti pojedinačnih korisnika i za uspostavljanje komunikacijskih sesija od strane njih. Ovi zaštitni zidovi nude više pouzdan način Zaštita mreža u odnosu na gatewaye na nivou sesije i filtere paketa.

SPI zaštitni zidovi

Najnoviji tip firewall-a, Stateful Packet Inspection (SPI), kombinuje istovremeno prednosti filtera paketa, gateway-a na nivou sesije i gateway-a na nivou aplikacije. To jest, u stvari, govorimo o višeslojnim zaštitnim zidovima koji rade istovremeno na nivou mreže, sesije i aplikacije.

SPI firewall filtriraju pakete na mrežnom sloju, određuju legitimnost uspostavljanja sesije na osnovu podataka sloja sesije i analiziraju sadržaj paketa na osnovu podataka sloja aplikacije.

Ovi zaštitni zidovi pružaju najpouzdaniji način zaštite mreža i danas su de facto standard.

Konfigurisanje zaštitnih zidova

Metodologija i opcije za konfigurisanje zaštitnih zidova ovise o tome specifičan model... Nažalost, ne postoje jedinstvena pravila prilagođavanja, a kamoli uniforman interfejs. Možemo govoriti samo o nekim općim pravilima kojih se treba pridržavati. Zapravo, osnovno pravilo je prilično jednostavno - potrebno je zabraniti sve što nije potrebno za normalno funkcioniranje mreže.

Najčešće se mogućnosti konfigurisanja firewall-a svode na aktiviranje nekih predefiniranih pravila i kreiranje statičkih pravila u obliku tabele.

Uzmimo kao primjer mogućnosti za konfiguraciju firewall-a uključene u Gigabyte GN-B49G ruter. Ovaj ruter ima niz unaprijed definiranih pravila za provođenje različitih nivoa sigurnosti na internoj mreži. Ova pravila uključuju sljedeće:

  • Pristup konfiguraciji i administraciji rutera sa WAN strane je zabranjen. Aktivacija ove funkcije zabranjuje pristup postavkama rutera sa vanjske mreže;
  • Pristup sa Global-IP-a na Private-IP je zabranjen unutar LAN-a. Ova funkcija vam omogućava da blokirate pristup unutar lokalne mreže sa globalnih IP adresa (ako ih ima) do IP adresa rezerviranih za privatnu upotrebu;
  • Spriječite dijeljenje datoteka i pisača izvan mreže rutera. Funkcija sprečava korišćenje zajedničkog pristupa štampačima i datotekama na internoj mreži izvana;
  • Postojanje rutera se ne može otkriti sa strane WAN-a. Ova funkcija čini ruter nevidljivim sa vanjske mreže;
  • Napadi tipa uskraćivanja usluge (DoS) su spriječeni. Kada je ova funkcija omogućena, implementira se zaštita od DoS (Denial of Service) napada. DoS napadi Je vrsta mrežnog napada, koji se sastoji u pristizanju mnoštva zahtjeva na server koji zahtijevaju uslugu koju pruža sistem. Server troši svoje resurse na uspostavljanje i održavanje veze, a uz određeni protok zahtjeva ne može se nositi s njima. Zaštita od napada ovog tipa zasniva se na analizi izvora viška saobraćaja u odnosu na normalan saobraćaj i zabrani njegovog prenosa.

Kao što smo već napomenuli, mnogi zaštitni zidovi imaju unaprijed definirana pravila koja su sama po sebi ista kao ona gore navedena, ali mogu imati različita imena.

Drugi način za konfiguraciju firewall-a je kreiranje statičkih pravila koja vam omogućavaju ne samo da zaštitite mrežu izvana, već i da ograničite korisnike lokalne mreže da pristupe vanjskoj mreži. Mogućnosti za kreiranje pravila su prilično fleksibilne i omogućavaju vam da implementirate gotovo svaku situaciju. Da biste kreirali pravilo, postavite izvornu IP adresu (ili raspon adresa), izvorne portove, odredišne ​​IP adrese i portove, tip protokola, smjer prijenosa paketa (iz interne mreže na eksternu mrežu ili obrnuto), kao i akciju da se preuzme kada se paket otkrije sa naznačenim svojstvima (ispusti ili preskoči paket). Na primjer, ako želite da zabranite korisnicima interne mreže (opseg IP adresa: 192.168.1.1-192.168.1.100) da pristupe FTP serveru (port 21) koji se nalazi na vanjskoj IP adresi 64.233.183.104, tada pravilo može biti formulisan na sledeći način:

  • smjer prosljeđivanja paketa: LAN-to-WAN;
  • Izvorne IP adrese: 192.168.1.1-192.168.1.100;
  • izvorni port: 1-65535;
  • port primaoca: 21;
  • protokol: TCP;
  • akcija: pad.

Statička konfiguracija pravila zaštitnog zida za gornji primjer prikazana je na Sl. 1.

NAT kao dio zaštitnog zida

Svi moderni ruteri sa ugrađenim zaštitnim zidovima podržavaju protokol prevođenja mrežne adrese NAT (Prevođenje mrežnih adresa).

NAT nije dio zaštitnog zida, ali također pomaže u poboljšanju sigurnosti mreže. Osnovni zadatak NAT protokola je rješavanje problema nedostatka IP adresa, koji postaje sve hitniji kako broj računara raste.

Činjenica je da su u trenutnoj verziji IPv4 protokola četiri bajta dodijeljena za određivanje IP adrese, što omogućava generiranje preko četiri milijarde adresa mrežnih računala. Naravno, u ranim danima interneta, bilo je teško zamisliti da jednog dana ovaj broj IP adresa možda neće biti dovoljan. Kako bi se djelimično riješio problem nedostatka IP adresa, svojevremeno je predložen NAT protokol za prevođenje mrežnih adresa.

NAT je definiran RFC 1631, koji definira kako se mrežne adrese prevode.

U većini slučajeva, NAT uređaj prevodi IP adrese rezervirane za privatnu upotrebu na lokalnim mrežama u javne IP adrese.

Privatni adresni prostor je regulisan RFC 1918. Ove adrese uključuju sljedeće IP opsege: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-1925.5.5.

Prema RFC 1918, privatne IP adrese ne mogu se koristiti na WAN-u, tako da se mogu slobodno koristiti samo u interne svrhe.

Prije nego što pređemo na specifičnosti NAT protokola, pogledajmo kako dolazi do mrežne veze između dva PC-a.

Kada jedan računar na mreži uspostavi vezu sa drugim računarom, otvara se utičnica, identifikovana izvornom IP adresom, izvornim portom, odredišnom IP adresom, odredišnim portom i mrežnim protokolom. Format IP paketa pruža dvobajtno polje za brojeve portova. Ovo vam omogućava da definirate 65.535 portova, koji igraju ulogu svojevrsnih komunikacijskih kanala. Od 65.535 luka, prvih 1.023 su rezervisane za dobro poznate serverske usluge kao što su Web, FTP, Telnet, itd. Svi ostali portovi se mogu koristiti za bilo koju drugu svrhu.

Ako, na primjer, jedan umreženi računar pristupi FTP serveru (port 21), tada kada se utičnica otvori, operativni sistem dodjeljuje sesiji bilo koji port veći od 1023. Na primjer, to može biti port 2153. Tada se šalje IP paket sa računara na FTP server, sadržaće IP adresu pošiljaoca, port pošiljaoca (2153), IP adresu primaoca i odredišni port (21). IP adresa i port pošiljaoca će se koristiti za odgovor od servera do klijenta. Korišćenje različitih portova za različite mrežne sesije omogućava mrežnim klijentima da istovremeno uspostave nekoliko sesija sa različitim serverima ili sa uslugama jednog servera.

Pogledajmo sada proces uspostavljanja sesije kada se koristi NAT ruter na granici interne mreže i Interneta.

Kada klijent na internoj mreži uspostavi vezu sa serverom na eksternoj mreži, tada se, kao iu slučaju uspostavljanja veze između dva računara, otvara soket određen izvornom IP adresom, izvornim portom, odredišnom IP adresom, odredišni port i mrežni protokol. Kada aplikacija prenosi podatke preko ove utičnice, izvorna IP adresa i izvorni port se ubacuju u paket u poljima izvornih parametara. Polja odredišnih parametara će sadržavati IP adresu i port servera. Na primer, računar na internoj mreži sa IP adresom 192.168.0.1 može pristupiti Web serveru na WAN-u sa IP adresom 64.233.188.104. U ovom slučaju, operativni sistem klijenta može dodijeliti uspostavljeni port sesije 1251 (izvorni port), a odredišni port je port web servisa, odnosno 80. Tada će u zaglavlju stranice biti naznačeni sljedeći atributi poslani paket (slika 2):

  • izvorni port: 1251;
  • IP adresa primaoca: 64.233.183.104;
  • port primaoca: 80;
  • protokol: TCP.

NAT uređaj (ruter) presreće paket koji izlazi iz interne mreže i popunjava svoju internu tabelu mapiranjem izvornih i odredišnih portova paketa koristeći odredišnu IP adresu, odredišni port, eksternu NAT IP adresu, eksterni port, mrežni protokol , i interne IP adrese -adresa i port klijenta.

Pretpostavimo da u gornjem primjeru NAT ruter ima eksternu IP adresu 195.2.91.103 (adresa WAN porta), a za uspostavljenu sesiju, vanjski port NAT uređaja je 3210. U ovom slučaju, interni izvor i odredište tabela mapiranja portova paketa sadrži sljedeće informacije:

  • Izvor IP: 192.168.0.1;
  • izvorni port: 1251;
  • eksternu IP adresu

NAT uređaji: 195.2.91.103;

  • eksterni port NAT uređaja: 3210;
  • IP adresa primaoca: 64.233.183.104;
  • port primaoca: 80;
  • protokol: TCP.

NAT uređaj zatim "prevodi" paket, transformirajući izvorna polja u paketu: interna IP adresa i port klijenta zamjenjuju se NAT-ovom vanjskom IP adresom i portom. U ovom primjeru, konvertirani paket će sadržavati sljedeće informacije:

  • Izvor IP: 195.2.91.103
  • izvorni port: 3210;
  • IP adresa primaoca: 64.233.183.104;
  • port primaoca: 80;
  • protokol: TCP.

Konvertovani paket se šalje preko eksterne mreže i na kraju stiže do navedenog servera.

Nakon što primi paket, server će proslediti pakete odgovora na eksternu IP adresu i port NAT uređaja (rutera), navodeći sopstvenu IP adresu i port u izvornim poljima (slika 3). U razmatranom primjeru, paket odgovora sa servera će sadržavati sljedeće informacije u zaglavlju:

  • izvorni port: 80;
  • IP adresa primaoca: 195.2.91.103;
  • port primaoca: 3210;
  • protokol: TCP.

Rice. 3. Princip rada NAT uređaja pri prijenosu paketa iz vanjske mreže u internu

NAT uređaj prihvata ove pakete sa servera i analizira njihov sadržaj na osnovu svoje tabele mapiranja portova. Ako se u tabeli pronađe mapiranje porta za koje izvorna IP adresa, izvorni port, odredišni port i mrežni protokol iz dolaznog paketa odgovaraju IP adresi udaljenog hosta, sa udaljeni port i sa mrežnim protokolom navedenim u mapiranju porta, tada će NAT obaviti reverzna transformacija: će zamijeniti vanjski IP i vanjski port u odredišnim poljima paketa sa IP adresom i internim portom klijenta na internoj mreži. Dakle, paket koji se prenosi na internu mrežu za gornji primjer će imati sljedeće atribute:

  • Izvor IP: 64.233.183.104;
  • izvorni port: 80;
  • IP adresa primaoca: 192.168.0.1;
  • port primaoca: 1251;
  • protokol: TCP.

Međutim, ako nema podudaranja u tabeli mapiranja portova, onda dolazni paket je odbijen i veza se prekida.

Zahvaljujući NAT ruteru, svaki računar na internoj mreži može prenositi podatke na WAN koristeći eksternu IP adresu i port rutera. Istovremeno, IP adrese interne mreže, kao portovi dodijeljeni sesijama, ostaju nevidljivi sa vanjske mreže.

Međutim, NAT ruter dozvoljava komunikaciju između računara na internoj i eksternoj mreži samo ako ovu razmenu inicira računar na internoj mreži. Ako bilo koji računar na spoljnoj mreži pokuša da pristupi računaru na unutrašnjoj mreži na sopstvenu inicijativu, tada NAT uređaj odbija ovu vezu. Stoga, osim što rješava problem nedovoljnih IP adresa, NAT pomaže i u poboljšanju sigurnosti interne mreže.

Problemi sa NAT uređajima

Uprkos naizgled jednostavnosti rada NAT uređaja, sa njima su povezani neki problemi koji često otežavaju organizaciju komunikacije između mrežnih računara ili čak sprečavaju njeno uspostavljanje. Na primjer, ako je lokalna mreža zaštićena NAT uređajem, tada svaki klijent na internoj mreži može uspostaviti vezu sa WAN serverom, ali ne i obrnuto. To jest, ne možete pokrenuti vezu sa vanjske mreže na server koji se nalazi u internoj mreži iza NAT uređaja. Ali šta ako postoji usluga na internoj mreži (kao što je FTP ili Web server) kojoj korisnici na spoljnoj mreži moraju da imaju pristup? Kako bi riješili ovaj problem, NAT ruteri koriste DMZ i tehnologije prosljeđivanja portova, što će biti detaljno opisano u nastavku.

Drugi problem sa NAT uređajima je taj što neke mrežne aplikacije uključuju IP adresu i port u podatkovnom dijelu paketa. Jasno je da NAT uređaj nije u stanju da prevede takve adrese. Kao rezultat toga, ako mrežna aplikacija ubaci IP adresu ili port u korisni dio paketa, server koji odgovara na taj paket koristit će ugniježđenu IP adresu i port za koje ne postoji odgovarajući unos mapiranja u internoj tablici NAT uređaja . Kao rezultat, takav paket će biti odbačen od strane NAT uređaja, te stoga aplikacije koje koriste ovu tehnologiju neće moći raditi sa NAT uređajima.

Postoje mrežne aplikacije koje koriste jedan port (kao izvorni port) prilikom prijenosa podataka, ali čekaju odgovor na drugom portu. NAT uređaj analizira odlazni promet i mapira izvorni port. Međutim, NAT uređaj ne zna da se očekuje odgovor na drugom portu i ne može izvršiti odgovarajuće mapiranje. Kao rezultat toga, paketi odgovora adresirani na port za koji ne postoji mapiranje u internoj tabeli NAT uređaja će biti ispušteni.

Drugi problem sa NAT uređajima je višestruki pristup istom portu. Razmotrimo situaciju kada nekoliko klijenata lokalne mreže, odvojenih od vanjske mreže NAT uređajem, pristupa istoj standardni port... Na primjer, ovo može biti port 80, koji je rezerviran za web uslugu. Budući da svi klijenti na internoj mreži koriste istu IP adresu, postavlja se pitanje: Kako NAT uređaj može odrediti kojem klijentu na internoj mreži pripada eksterni zahtjev? Da bi se riješio ovaj problem, samo jedan klijent na internoj mreži istovremeno ima pristup standardnom portu.

Statičko mapiranje portova

Da bi određene aplikacije koje rade na serveru na internoj mreži (kao što je web server ili FTP server) bile dostupne sa vanjske mreže, na NAT uređaju mora biti postavljeno mapiranje između portova koje koriste određene aplikacije i IP adresa one servere na internoj mreži na kojima te aplikacije rade. U ovom slučaju se govori o tehnologiji mapiranja portova, a server na internoj mreži naziva se virtuelni server. Kao rezultat toga, svaki zahtjev iz vanjske mreže na vanjsku IP adresu NAT uređaja (rutera) preko navedenog porta automatski će se preusmjeriti na navedeni virtuelni server na internoj mreži.

Na primjer, ako je interna mreža konfigurirana virtuelni FTP server, koji radi na računaru sa IP adresom 192.168.0.10, zatim prilikom konfigurisanja virtuelnog servera postavite IP adresu virtuelnog servera (192.168.0.10), korišćeni protokol (TCP) i port aplikacije (21). U ovom slučaju, prilikom pristupa vanjskoj adresi NAT uređaja (WAN port rutera) na portu 21, korisnik na vanjskoj mreži može pristupiti FTP serveru interne mreže, uprkos korištenju NAT protokola. Primjer konfiguracije virtuelnog servera na stvarnom NAT ruteru prikazan je na Sl. 4.

Tipično, NAT ruteri vam omogućavaju da kreirate više statičkih prosljeđivanja portova. Dakle, na jednom virtuelnom serveru možete otvoriti nekoliko portova odjednom ili kreirati nekoliko virtuelnih servera sa različitim IP adresama. Međutim, sa statičkim prosljeđivanjem porta, ne možete proslijediti jedan port na više IP adresa, odnosno port može odgovarati jednoj IP adresi. Nemoguće je, na primjer, konfigurirati nekoliko web servera s različitim IP adresama - za to ćete morati promijeniti zadani port web servera i kada pristupate 80. portu u konfiguraciji rutera, navedite promijenjeni web port kao privatni port server.

Većina modela rutera takođe vam omogućava da postavite statičko prosleđivanje grupe portova, odnosno da povežete celu grupu portova odjednom sa IP adresom virtuelnog servera. Ova funkcija je korisna kada trebate podržati aplikacije koje koriste veliki broj portova, kao što su igre ili audio/video konferencije. Broj proslijeđenih grupa portova ovisi o modelu rutera, ali obično ih ima najmanje deset.

Dinamičko prosljeđivanje portova (posebna aplikacija)

Statičko prosljeđivanje portova djelomično rješava problem pristupa sa vanjske mreže uslugama lokalne mreže zaštićene NAT uređajem. Međutim, postoji i suprotan problem - potreba da se korisnicima lokalne mreže omogući pristup vanjskoj mreži putem NAT uređaja. Činjenica je da neke aplikacije (na primjer, internet igre, video konferencije, internet telefonija i druge aplikacije koje zahtijevaju uspostavljanje više sesija u isto vrijeme) nisu kompatibilne s NAT tehnologijom. Za rješavanje ovog problema koristi se takozvano dinamičko prosljeđivanje portova (ponekad nazvano i posebna aplikacija), kada je prosljeđivanje portova postavljeno na razini pojedinačnih mrežnih aplikacija.

Ako ruter podržava ovu funkciju, morate postaviti interni broj porta (ili interval porta) povezan sa specifičnu primjenu(obično se naziva Trigger Port) i postavite broj vanjskog porta NAT uređaja (Public Port), koji će biti mapiran na interni port.

Kada je omogućeno dinamičko prosljeđivanje portova, ruter prati odlazni promet iz interne mreže i pamti IP adresu računara s kojeg taj promet potiče. Kada se podaci vrate na lokalni segment prosljeđivanje portova je uključeno i podaci se prosljeđuju. Nakon što se prijenos završi, preusmjeravanje je onemogućeno i tada bilo koji drugi računar može kreirati novo preusmjeravanje na svoju IP adresu.

Dinamičko prosljeđivanje portova se prvenstveno koristi za kratkoročne zahtjeve i prijenose podataka, jer ako jedan računar koristi dato prosljeđivanje porta, onda drugi računar ne može učiniti isto u isto vrijeme. Ako trebate podesiti rad aplikacija kojima je potreban konstantan tok podataka koji zauzima port dugo vremena, tada je dinamičko preusmjeravanje neučinkovito. Međutim, u ovom slučaju postoji rješenje za problem - ono se sastoji u korištenju demilitarizirane zone.

DMZ zona

Demilitarizovana zona (DMZ) je još jedan način da se zaobiđu ograničenja NAT-a. Ovu funkciju pružaju svi moderni ruteri. Kada postavite računar na interni LAN u DMZ, on postaje transparentan za NAT protokol. Ovo efektivno znači da je računar na internoj mreži virtuelno pozicioniran ispred zaštitnog zida. Za PC koji se nalazi u DMZ zoni, svi portovi se preusmjeravaju na jednu internu IP adresu, što omogućava organiziranje prijenosa podataka sa vanjske mreže na internu.

Ako se, na primjer, server sa IP adresom 192.168.1.10, koji se nalazi u internoj lokalnoj mreži, nalazi u DMZ zoni, a sama lokalna mreža je zaštićena NAT uređajem, onda kada se zahtjev iz vanjske mreže stigne na bilo koji port na adresi WAN porta NAT uređaji će ovaj zahtjev preusmjeriti na IP adresu 192.168.1.10, odnosno na adresu virtuelnog servera u DMZ zoni.

Tipično, SOHO NAT ruteri dozvoljavaju da se samo jedan računar nalazi u DMZ-u. Primjer konfiguracije računala u DMZ zoni prikazan je na Sl. 5.

Rice. 5. Primjer konfiguracije računala u DMZ zoni

Pošto računar koji se nalazi u DMZ-u postaje dostupan sa eksterne mreže i nije ni na koji način zaštićen zaštitnim zidom, on postaje ranjiva tačka u mreži. Potrebno je samo pribjeći postavljanju računala u DMZ kao krajnje sredstvo, kada nijedan drugi način zaobilaženja ograničenja NAT protokola iz ovog ili onog razloga nije prikladan.

NAT Traversal tehnologija

Metode koje smo naveli za zaobilaženje ograničenja NAT protokola mogu biti teške za korisnike početnike. Radi lakšeg upravljanja, predloženo je automatizovana tehnologija konfigurisanje NAT uređaja. NAT Traversal tehnologija omogućava mrežne aplikacije utvrdite da li su zaštićeni NAT uređajem, naučite eksternu IP adresu i izvršite prosljeđivanje porta na automatski način rada... Stoga je prednost NAT Traversal tehnologije u tome što korisnik ne mora ručno konfigurirati mapiranje portova.

NAT Traversal tehnologija se oslanja na UPnP (Universal Plug and Play) protokole, stoga je često potrebno provjeriti opciju UPnP & NAT u ruterima da biste aktivirali ovu tehnologiju.

Govoreći o hardverskoj i softverskoj komponenti sistema informacione bezbednosti, treba priznati da najviše efikasan metod zaštita objekata lokalne mreže (mrežni segment) od uticaja iz otvorene mreže(na primjer, Internet), pretpostavlja postavljanje određenog elementa koji prati i filtrira mrežne pakete koji prolaze kroz njega u skladu sa navedenim pravilima. Takav element je dobio ime firewall (firewall) ili firewall, firewall.

Firewall, firewall, firewall, firewall- nastao transliteracijom engleskog izraza firewall.

Firewall (njemački Brandmauer)- izraz posuđen iz njemačkog jezika, koji je analog engleskog "firewall" u svom izvornom značenju (zid koji razdvaja susjedne zgrade, sprječavajući širenje vatre).

Firewall / Firewall (ITU)- kompleks hardvera ili softvera koji nadgleda i filtrira mrežne pakete koji prolaze kroz njega koristeći različite protokole u skladu sa određenim pravilima.

Glavni zadatak zaštitnog zida je da zaštiti računarske mreže i/ili pojedinačne čvorove od neovlašćenog pristupa. Ponekad se pozivaju zaštitni zidovi filteri, budući da njihov glavni zadatak nije propuštanje (filtriranje) paketa koji ne odgovaraju kriterijima definiranim u konfiguraciji.

Kako bi efikasno osigurao sigurnost mreže, firewall nadgleda i kontroliše sav protok podataka koji prolazi kroz nju. Za donošenje kontrolnih odluka za TCP/IP usluge (tj. prijenos, blokiranje ili evidentiranje pokušaja povezivanja), firewall mora primiti, zapamtiti, odabrati i obraditi informacije primljene sa svih komunikacijskih slojeva i iz drugih aplikacija.

Firewall propušta sav saobraćaj kroz sebe, donoseći odluku o svakom paketu koji prolazi: da li da mu dozvoli da prođe ili ne. Da bi zaštitni zid mogao da izvrši ovu operaciju, mora da definiše skup pravila filtriranja. Odluka da li da se koristi zaštitni zid za filtriranje paketa podataka povezanih sa određenim protokolima i adresama zavisi od bezbednosne politike zaštićene mreže. U suštini, zaštitni zid je skup komponenti koje su konfigurisane da implementiraju odabrano sigurnosne politike... Politika mrežna sigurnost svaka organizacija treba da sadrži (između ostalog) dve komponente: politiku pristupa mrežnim uslugama i politiku za implementaciju zaštitnih zidova.

Međutim, nije dovoljno samo testirati pakete pojedinačno. Informacije o statusu veze dobijene iz prošlih inspekcija veze i drugih aplikacija su glavni faktor u odluci menadžmenta pri pokušaju uspostavljanja nove veze. Za donošenje odluka, mogu se uzeti u obzir i stanje veze (dobijeno iz prošlog toka podataka) i stanje aplikacije (dobijeno iz drugih aplikacija).

Dakle, odluke upravljanja zahtijevaju da zaštitni zid može pristupiti, analizirati i iskoristiti sljedeće faktore:

  • informacije o vezi - informacije sa svih sedam slojeva (OSI modela) u paketu;
  • istorija veze - informacije primljene od prethodnih veza;
  • stanje na nivou aplikacije - informacije o stanju veze primljene od drugih aplikacija;
  • manipulisanje informacijama - izračunavanje raznih izraza na osnovu svih gore navedenih faktora.
Vrste zaštitnih zidova

Postoji nekoliko vrsta zaštitnih zidova, ovisno o sljedećim karakteristikama:

  • da li štit pruža vezu između jednog čvora i mreže, ili između dvije ili više različitih mreža;
  • da li se tok podataka prati na nivou mreže ili više visoki nivoi OSI modeli;
  • da li se nadziru stanja aktivnih veza ili ne.

Ovisno o pokrivenosti praćenih tokova podataka, zaštitni zidovi se dijele na:

  • tradicionalni firewall (ili firewall)- program (ili sastavni dio operativnog sistema) na gateway-u (uređaj koji prenosi promet između mreža), ili hardversko rešenje kontrola dolaznih i odlaznih tokova podataka između povezanih mreža (distribuiranih mrežnih objekata);
  • lični firewall- program instaliran na računaru korisnika i dizajniran da zaštiti samo ovaj računar od neovlašćenog pristupa.

Ovisno o OSI sloju na kojem se odvija kontrola pristupa, zaštitni zidovi mogu raditi na:

  • mrežni sloj kada se filtriranje zasniva na adresama pošiljaoca i primaoca paketa, brojevima portova transportnog sloja OSI modela i statičkim pravilima koje postavlja administrator;
  • nivo sesije(takođe poznat kao stateful) kada se nadgledaju sesije između aplikacija i paketa koji krše TCP/IP specifikacije, često se koriste u zlonamjernim operacijama - skeniranje resursa, hakovanje kroz pogrešne TCP/IP implementacije, prekinute/usporene veze, ubrizgavanje podataka se ne proslijeđuju;
  • nivo aplikacije(ili sloj aplikacije) kada se filtriranje zasniva na analizi podaci aplikacije prošao unutar paketa. Ove vrste ekrana vam omogućavaju da blokirate prijenos neželjenih i potencijalno štetnih informacija na osnovu pravila i postavki.

Filtriranje na mrežnom sloju

Filtriranje dolaznih i odlaznih paketa vrši se na osnovu informacija sadržanih u sledećim poljima TCP i IP zaglavlja paketa: IP adresa pošiljaoca; IP adresa primaoca; port pošiljaoca; port primaoca.

Filtriranje se može implementirati Različiti putevi blokirati veze sa određenim računarima ili portova. Na primjer, možete blokirati veze s određene adrese one računare i mreže koji se smatraju nepouzdanim.

  • relativno niska cijena;
  • fleksibilnost u definiranju pravila filtriranja;
  • malo kašnjenje u prolazu paketa.

Nedostaci:

  • ne prikuplja fragmentirane pakete;
  • ne postoji način da se prate odnosi (veze) između paketa.?

Filtriranje na nivou sesije

U zavisnosti od toga kako se prate aktivne veze, zaštitni zidovi mogu biti:

  • bez državljanstva(jednostavno filtriranje), koji ne prate trenutne veze (na primjer, TCP), već filtriraju tok podataka isključivo na osnovu statičkih pravila;
  • državna, državna pregled paketa(SPI)(filtriranje na osnovu konteksta), praćenje trenutnih veza i prosljeđivanje samo onih paketa koji zadovoljavaju logiku i algoritme odgovarajućih protokola i aplikacija.

SPI zaštitni zidovi vam omogućavaju da se efikasnije nosite sa njima različite vrste DoS napadi i ranjivosti nekih mrežnih protokola. Osim toga, oni obezbjeđuju rad protokola kao što su H.323, SIP, FTP, itd., koji koriste složene šeme za prijenos podataka između primalaca, koje je teško opisati statičkim pravilima i često su nekompatibilni sa standardnim zaštitnim zidovima bez stanja.

Prednosti ovog filtriranja uključuju:

  • analiza sadržaja paketa;
  • nisu potrebne nikakve informacije o tome kako funkcionišu protokoli Layer 7.

Nedostaci:

  • teško raščlaniti podatke na nivou aplikacije (moguće korišćenjem ALG - pristupnika na nivou aplikacije).

Gateway na nivou aplikacije, ALG- komponenta NAT rutera koja razumije aplikacijski protokol i, kada paketi ovog protokola prođu kroz njega, modificira ih na takav način da korisnici koji stoje iza NAT-a mogu koristiti protokol.

ALG usluga pruža podršku za protokole na nivou aplikacije (kao što su SIP, H.323, FTP, itd.) za koje nije dozvoljeno prevođenje mrežnih adresa. Ova usluga definiše vrstu aplikacije u paketima koji dolaze sa strane internog mrežnog interfejsa i na odgovarajući način prevodi adrese/portove za njih preko eksternog interfejsa.

SPI tehnologija(Stateful Packet Inspection) ili stateful packet inspection tehnologija je danas vodeći metod kontrole saobraćaja. Ova tehnologija vam omogućava da kontrolišete podatke sve do nivoa aplikacije bez potrebe zasebna aplikacija posrednik ili proxy za svaki zaštićeni protokol ili mrežnu uslugu.

Istorijski gledano, evolucija firewall-a je proizašla iz filtera paketa opće namjene, zatim su se počeli pojavljivati ​​proxy programi za pojedinačne protokole i konačno je razvijena tehnologija kontrole stanja. Prethodne tehnologije su se samo dopunjavale, ali nisu pružale sveobuhvatnu kontrolu nad vezama. Filteri paketa nemaju pristup informacijama o stanju veze i aplikacije, što je neophodno za donošenje konačne odluke od strane sigurnosnog sistema. Proxy programi obrađuju samo podatke na nivou aplikacije, što često rezultira razne mogućnosti da hakuje sistem. Arhitektura inspekcije stanja jedinstvena je po tome što omogućava sve moguće informacije prolaz kroz gateway mašinu: podaci iz paketa, podaci o stanju veze, podaci potrebni za aplikaciju.

Primjer kako funkcionira inspekcija državnog stanja... Firewall nadgleda FTP sesija provjera podataka na nivou aplikacije. Kada klijent zatraži od servera da otvori obrnutu vezu (naredba FTP PORT), zaštitni zid izdvaja broj porta iz ovog zahtjeva. Lista pohranjuje adrese klijenta i servera, brojeve portova. Kada otkrije pokušaj uspostavljanja FTP-data veze, zaštitni zid skenira listu i provjerava da li je ova veza zaista odgovor na važeći zahtjev klijenta. Mrežna lista se dinamički održava, tako da su otvorene samo one potrebne. FTP portovi... Čim se sesija zatvori, portovi se blokiraju, pružajući visok nivo sigurnosti.

Filtriranje na nivou aplikacije

Kako bi zaštitili neke od ranjivosti svojstvenih filtriranju paketa, zaštitni zidovi moraju koristiti aplikativne programe za filtriranje veza sa uslugama kao što su Telnet, HTTP, FTP. Slična aplikacija pozvao proxy usluga a host koji pokreće proxy uslugu je gateway na nivou aplikacije. Ovaj gateway eliminira direktnu komunikaciju između ovlaštenog klijenta i vanjskog hosta. Gateway filtrira sve dolazne i odlazne pakete na sloju aplikacije (sloj aplikacije - vrhunski nivo mrežni model) i može analizirati sadržaj podataka, npr. url adresa sadržana u HTTP poruci ili naredba sadržana u FTP poruci. Ponekad je filtriranje paketa efikasnije na osnovu informacija sadržanih u samim podacima. Filteri paketa i filteri sloja veze ne koriste sadržaj toka prometa za donošenje odluka o filtriranju, ali se mogu učiniti filtriranjem na razini aplikacije. Filteri sloja aplikacije mogu koristiti informacije iz zaglavlja paketa, kao i sadržaj podataka i korisničke informacije. Administratori mogu koristiti filtriranje sloja aplikacije za kontrolu pristupa na osnovu korisničkog identiteta i/ili na osnovu specifičnog zadatka koji korisnik pokušava postići. U filterima sloja aplikacije možete postaviti pravila na osnovu naredbi koje izdaje aplikacija. Na primjer, administrator može odbiti određenog korisnika preuzimanje datoteka na određeni računar sa koristeći FTP ili dozvolite korisniku da hostuje fajlove preko FTP-a na istom računaru.

Poređenje hardverskih i softverskih zaštitnih zidova

Poređenja radi, zaštitni zidovi se dijele na dva tipa: 1. - hardverski i softverski i hardverski, i 2. - softverski.

Hardverski i firmverski zaštitni zidovi uključuju uređaje instalirane na rubu mreže. Softverski zaštitni zidovi su oni koji su instalirani na krajnjim hostovima.

Glavni pravci svojstveni i prvoj i drugoj vrsti:

  • obezbjeđivanje sigurnosti dolaznog i odlaznog saobraćaja;
  • Značajno povećati sigurnost mreže i smanjiti rizik za hostove na podmreži prilikom filtriranja poznatih neosiguranih usluga;
  • mogućnost kontrole pristupa mrežnim sistemima;
  • obavještavanje o događajima korištenjem odgovarajućih alarma koji se aktiviraju kada dođe do bilo kakve sumnjive aktivnosti (pokušaja sondiranja ili napada);
  • pruža jeftino sigurnosno rješenje koje se lako implementira i kojim se lako upravlja.

Hardverski i softverski i hardverski zaštitni zidovi dodatno podržavaju funkcionalnost koja vam omogućava:

  • spriječiti primanje informacija iz zaštićene podmreže ili ubacivanje u zaštićenu podmrežu korištenjem bilo kakvih ranjivih usluga;
  • registrirati pokušaje pristupa i obezbijediti potrebnu statistiku o korištenju Interneta;
  • obezbijedi sredstva za regulisanje redosleda pristupa mreži;
  • obezbediti centralizovano upravljanje saobraćaja.

Softverski zaštitni zidovi, pored glavnih područja, omogućavaju:

  • kontrolirati pokretanje aplikacija na hostu gdje su instalirane;
  • zaštititi predmet od prodora kroz "otvore" (stražnja vrata);
  • pružaju zaštitu od unutrašnjih pretnji.

Firewall nije simetričan uređaj. On pravi razliku između pojmova "izvana" i "iznutra". Firewall štiti unutrašnje područje od nekontrolisanog i potencijalno neprijateljskog vanjskog okruženja. U isto vrijeme, zaštitni zid vam omogućava da ograničite pristup objektima javna mreža od subjekata zaštićene mreže. U slučaju kršenja ovlaštenja, rad subjekta pristupa se blokira, a svi potrebni podaci se evidentiraju u dnevnik.

Zaštitni zidovi se također mogu koristiti unutar sigurnih korporativnih mreža. Ako lokalna mreža sadrži podmreže s različitim stupnjevima povjerljivosti informacija, tada takve fragmente treba odvojiti zaštitnim zidovima. U ovom slučaju, ekrani se nazivaju unutrašnjim.

Postoji nekoliko vrsta zaštitnih zidova, ovisno o sljedećim karakteristikama:

    da li štit pruža vezu između jednog čvora i mreže, ili između dvije ili više različitih mreža;

    da li se kontrola saobraćaja dešava na mrežnom sloju ili višim slojevima OSI modela;

    da li se nadziru stanja aktivnih veza ili ne.

Ovisno o pokrivenosti praćenih tokova podataka, zaštitni zidovi se dijele na:

    tradicionalni firewall (ili firewall) - program (ili sastavni dio operativnog sistema) na gateway-u (uređaj koji prenosi promet između mreža) ili hardversko rješenje koje kontrolira dolazne i odlazne tokove podataka između povezanih mreža (distribuiranih mrežnih objekata) ;

    Personal firewall je program instaliran na računaru korisnika i dizajniran da zaštiti samo ovaj računar od neovlašćenog pristupa.

Ovisno o OSI sloju na kojem se odvija kontrola pristupa, zaštitni zidovi mogu raditi na:

    mrežni sloj kada se filtriranje zasniva na adresama pošiljaoca i primaoca paketa, brojevima portova transportnog sloja OSI modela i statičkim pravilima koje postavlja administrator;

    nivo sesije(takođe poznat kao stateful) kada se nadgledaju sesije između aplikacija i paketa koji krše TCP/IP specifikacije, često se koriste u zlonamjernim operacijama - skeniranje resursa, hakovanje kroz pogrešne TCP/IP implementacije, prekinute/usporene veze, ubrizgavanje podataka se ne proslijeđuju;

    nivo aplikacije(ili sloj aplikacije), kada se filtriranje zasniva na analizi podataka aplikacije koji se prenose unutar paketa. Ove vrste ekrana vam omogućavaju da blokirate prijenos neželjenih i potencijalno štetnih informacija na osnovu pravila i postavki.

Filtriranje na mrežnom sloju

Filtriranje dolaznih i odlaznih paketa vrši se na osnovu informacija sadržanih u sledećim poljima TCP i IP zaglavlja paketa: IP adresa pošiljaoca; IP adresa primaoca; port pošiljaoca; port primaoca.

Filtriranje se može implementirati na različite načine kako bi se blokirale veze sa određenim računarima ili portovima. Na primjer, možete blokirati veze sa određenih adresa računara i mreža koje se smatraju nepouzdanim.

    relativno niska cijena;

    fleksibilnost u definiranju pravila filtriranja;

    malo kašnjenje u prolazu paketa.

Nedostaci:

    ne prikuplja fragmentirane pakete;

    ne postoji način da se prate odnosi (veze) između paketa.?

Filtriranje na nivou sesije

U zavisnosti od toga kako se prate aktivne veze, zaštitni zidovi mogu biti:

    bez državljanstva(jednostavno filtriranje), koji ne prate trenutne veze (na primjer, TCP), već filtriraju tok podataka isključivo na osnovu statičkih pravila;

    inspekcija paketa sa stanjem stanja (SPI)(filtriranje na osnovu konteksta), praćenje trenutnih veza i prosljeđivanje samo onih paketa koji zadovoljavaju logiku i algoritme odgovarajućih protokola i aplikacija.

SPI zaštitni zidovi vam omogućavaju da se efikasnije borite protiv različitih vrsta DoS napada i ranjivosti nekih mrežnih protokola. Osim toga, oni obezbjeđuju rad protokola kao što su H.323, SIP, FTP, itd., koji koriste složene šeme za prijenos podataka između primalaca, koje je teško opisati statičkim pravilima i često su nekompatibilni sa standardnim zaštitnim zidovima bez stanja.

Prednosti ovog filtriranja uključuju:

    analiza sadržaja paketa;

    nisu potrebne nikakve informacije o tome kako funkcionišu protokoli Layer 7.

Nedostaci:

    teško raščlaniti podatke na nivou aplikacije (moguće korišćenjem ALG - pristupnika na nivou aplikacije).

Gateway na razini aplikacije, ALG (gateway na razini aplikacije) je komponenta NAT rutera koji razumije aplikacijski protokol i kada paketi ovog protokola prođu kroz njega, modificira ih tako da korisnici koji stoje iza NAT-a mogu koristiti protokol.

ALG usluga pruža podršku za protokole na nivou aplikacije (kao što su SIP, H.323, FTP, itd.) za koje nije dozvoljeno prevođenje mrežnih adresa. Ovaj servis detektuje vrstu aplikacije u paketima koji dolaze sa strane internog mrežnog interfejsa i na odgovarajući način za njih vrši prevod adrese/porta preko eksternog interfejsa.

SPI (Stateful Packet Inspection) tehnologija, ili Stateful Packet Inspection tehnologija, danas je vodeća metoda kontrole prometa. Ova tehnologija omogućava kontrolu podataka do sloja aplikacije bez potrebe za zasebnom proxy ili proxy aplikacijom za svaki zaštićeni protokol ili mrežnu uslugu.

Istorijski gledano, evolucija firewall-a je proizašla iz filtera paketa opće namjene, zatim su se počeli pojavljivati ​​proxy programi za pojedinačne protokole i konačno je razvijena tehnologija kontrole stanja. Prethodne tehnologije su se samo dopunjavale, ali nisu pružale sveobuhvatnu kontrolu nad vezama. Filteri paketa nemaju pristup informacijama o stanju veze i aplikacije, što je neophodno za donošenje konačne odluke od strane sigurnosnog sistema. Proxy programi obrađuju samo podatke na nivou aplikacije, što često stvara različite mogućnosti za kompromitaciju sistema. Arhitektura kontrole stanja je jedinstvena jer vam omogućava da operišete sa svim mogućim informacijama koje prolaze kroz gateway mašinu: podaci iz paketa, podaci o stanju veze, podaci potrebni za aplikaciju.

Primjer mehanizmaStatefulInspekcija... Firewall prati FTP sesiju provjeravanjem podataka na nivou aplikacije. Kada klijent zatraži od servera da otvori obrnutu vezu (naredba FTP PORT), zaštitni zid izdvaja broj porta iz ovog zahtjeva. Lista pohranjuje adrese klijenta i servera, brojeve portova. Kada otkrije pokušaj uspostavljanja FTP-data veze, zaštitni zid skenira listu i provjerava da li je ova veza zaista odgovor na važeći zahtjev klijenta. Lista veza se dinamički održava tako da su otvoreni samo potrebni FTP portovi. Čim se sesija zatvori, portovi se blokiraju, pružajući visok nivo sigurnosti.

Rice. 2.12. Primjer kako Stateful Inspection radi sa FTP-om

Filtriranje na nivou aplikacije

Kako bi zaštitili neke od ranjivosti svojstvenih filtriranju paketa, zaštitni zidovi moraju koristiti aplikativne programe za filtriranje veza sa uslugama kao što su Telnet, HTTP, FTP. Takva aplikacija naziva se proxy usluga, a host koji pokreće proxy uslugu naziva se gateway sloja aplikacije. Ovaj gateway eliminira direktnu komunikaciju između ovlaštenog klijenta i vanjskog hosta. Gateway filtrira sve dolazne i odlazne pakete na sloju aplikacije (aplikacioni sloj je gornji sloj mrežnog modela) i može analizirati sadržaj podataka, kao što je URL sadržan u HTTP poruci ili naredba sadržana u FTP poruci. Ponekad je filtriranje paketa efikasnije na osnovu informacija sadržanih u samim podacima. Filteri paketa i filteri sloja veze ne koriste sadržaj toka prometa za donošenje odluka o filtriranju, ali se mogu učiniti filtriranjem na razini aplikacije. Filteri sloja aplikacije mogu koristiti informacije iz zaglavlja paketa, kao i sadržaj podataka i korisničke informacije. Administratori mogu koristiti filtriranje sloja aplikacije za kontrolu pristupa na osnovu korisničkog identiteta i/ili na osnovu specifičnog zadatka koji korisnik pokušava postići. U filterima sloja aplikacije možete postaviti pravila na osnovu naredbi koje izdaje aplikacija. Na primjer, administrator može spriječiti određenog korisnika da preuzme datoteke na određeni računar koristeći FTP ili dozvoli korisniku da postavlja datoteke putem FTP-a na isti računar.

Prednosti ovog filtriranja uključuju:

    jednostavna pravila filtriranja;

    mogućnost organizovanja veliki broj provjere. Zaštita na nivou aplikacije omogućava veliki broj dodatnih provjera, što smanjuje vjerovatnoću hakovanja korištenjem "rupa" u softveru;

    sposobnost analize podataka aplikacije.

Nedostaci:

    relativno niske performanse u poređenju sa filtriranjem paketa;

    proxy mora razumjeti svoj protokol (ne može se koristiti s nepoznatim protokolima) ?;

    obično radi pod složenim operativnim sistemima.

Top srodni članci

Operater podružnice
Operater poslovnice "Select Case"
Kako se neuparene oznake razlikuju od uparenih oznaka?
Kako se neuparene oznake razlikuju od uparenih oznaka?
Kondenzatori Razlika potencijala između ploča kondenzatora sa kapacitivnošću
Kondenzatori Razlika potencijala između ploča kondenzatora sa kapacitivnošću
Kategorije:
© 2021 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.