Zašto vam je potreban zaštitni zid u ruteru? Hardverska zaštita mreža SOHO klase korištenjem zaštitnih zidova

video recenzijafotografija

RUB 2,261

Modem D-link DSL-2640U

SNMP podrška. ADSL2+ podrška. SPI. Izvedba - eksterna. Firewall. Demilitarizovana zona (DMZ). Tip modema - ADSL. Podrška za VPN tunele (VPN Endpoint). VPN podrška (VPN prolaz). Interfejs - Ethernet. DHCP server. NAT Web interfejs. Statičko usmjeravanje. Ugrađeni prekidač. Podrška za dinamički DNS. Ugrađen ruter. Sa brojem portova prekidača 4. Sa težinom: 327 g.

video recenzijafotografija

1.890 RUB

TP-Link TP-LINK TD-W8968

Tip modema - ADSL. Sa web interfejsom. Sa DHCP serverom. Sa podrškom za dinamički DNS. Sa podrškom za Telnet. Sa demilitarizovanom zonom (DMZ). Sa ugrađenim ruterom. Sa SPI funkcijom. Sa firewall-om. Sa NAT podrškom. Sa statičkim usmjeravanjem. Interfejs - Ethernet. Izvedba - eksterna. Sa podrškom za SNMP. Broj portova komutatora je 4. Sa ADSL2+ podrškom. Uz VPN podršku (VPN prolaz). Sa ugrađenim prekidačem. Sa dubinom: 130 mm. Sa širinom: 195 mm. Sa visinom: 36 mm.

Mogućnost preuzimanja

video recenzijafotografija

1.590 RUB

xDSL modem TP-LINK TD-W8961N

Demilitarizovana zona (DMZ). Ugrađeni prekidač. SPI. NAT Izvedba - eksterna. ADSL2+ podrška. Telnet podrška. Interfejs - Ethernet. Firewall. SNMP podrška. Podrška za dinamički DNS. DHCP server. Web interfejs. Sa brojem portova komutatora 4. Tip modema - ADSL. Statičko usmjeravanje. Ugrađen ruter. Dubina: 130 mm. Širina: 195 mm. Visina: 35 mm.

Mogućnost preuzimanja

video recenzijafotografija

RUB 2,075

ADSL modem Upvel UR-203AWP

Izvedba - eksterna. Sa ADSL2+ podrškom. Sa podrškom za SNMP. Interfejs - Ethernet. Tip modema - ADSL. Sa web interfejsom. Sa statičkim usmjeravanjem. Sa SPI funkcijom. Sa firewall-om. Sa podrškom za Telnet. Sa ugrađenim ruterom. Broj portova komutatora je 3. Sa demilitarizovanom zonom (DMZ). Sa NAT podrškom. Sa DHCP serverom. Uz VPN podršku (VPN prolaz). Sa ugrađenim prekidačem. Sa podrškom za dinamički DNS. Sa širinom: 175 mm. Sa dubinom: 115 mm. Sa visinom: 30 mm. Sa težinom: 280 g.

Mogućnost preuzimanja

fotografija

1790 RUB

xDSL modem TP-LINK TD-W8960N

Demilitarizovana zona (DMZ). DHCP server. VPN podrška (VPN prolaz). Podrška za dinamički DNS. Ugrađeni prekidač. SNMP podrška. SPI. Firewall. NAT Interfejs - Ethernet. Konzolni port. Web interfejs. Tip modema - ADSL. Sa 10 podržanih VPN tunela. Izvedba - eksterna. Podrška za VPN tunele (VPN Endpoint). ADSL2+ podrška. Statičko usmjeravanje. Ugrađen ruter. Sa brojem otvora prekidača 4. Sa dubinom: 140 mm. Sa visinom: 28 mm. Sa širinom: 200 mm.

Govoreći o softverskoj i hardverskoj komponenti sistema informacione bezbednosti, treba priznati da je najefikasniji način zaštite objekata lokalne mreže (mrežnog segmenta) od uticaja otvorenih mreža (npr. Interneta) postavljanje određenog elementa koji nadgleda i filtrira mrežne pakete koji prolaze kroz njega u skladu sa datim pravilima. Ovaj element se zove firewall (firewall) ili firewall, firewall.

Firewall, firewall, firewall, firewall– nastala transliteracijom engleskog izraza firewall.

Firewall (njemački: Brandmauer)– izraz posuđen iz njemačkog jezika, koji je analog engleskog “firewall” u svom izvornom značenju (zid koji razdvaja susjedne zgrade, štiti od širenja vatre).

Mreža/Firewall (Firewall)– skup hardvera ili softvera koji nadgleda i filtrira mrežne pakete koji prolaze kroz njega koristeći različite protokole u skladu sa određenim pravilima.

Glavni zadatak zaštitnog zida je da zaštiti računarske mreže i/ili pojedinačne čvorove od neovlašćenog pristupa. Ponekad se nazivaju zaštitni zidovi filteri, jer im je glavni zadatak da ne propuštaju (filtriraju) pakete koji ne ispunjavaju kriterije definirane u konfiguraciji.

Da bi efikasno zaštitio mrežu, zaštitni zid nadgleda i upravlja svim podacima koji prolaze kroz nju. Da bi donosio kontrolne odluke za TCP/IP usluge (tj. prosljeđivanje, blokiranje ili pokušaje povezivanja u dnevnik), vatrozid mora primiti, pohraniti, odabrati i obraditi informacije primljene sa svih komunikacijskih slojeva i iz drugih aplikacija.

Firewall propušta sav promet kroz sebe, donoseći odluku za svaki paket koji prolazi: dozvoliti mu da prođe ili ne. Da bi zaštitni zid mogao da izvrši ovu operaciju, mora da definiše skup pravila filtriranja. Odluka da li da se koristi zaštitni zid za filtriranje paketa podataka povezanih sa određenim protokolima i adresama zavisi od bezbednosne politike koju je usvojila mreža koja se štiti. U suštini, zaštitni zid je skup komponenti koje su konfigurirane za implementaciju odabranog sigurnosne politike. Politika mrežne sigurnosti svake organizacije treba da sadrži (između ostalog) dvije komponente: politiku pristupa mrežnim uslugama i politiku za implementaciju zaštitnih zidova.

Međutim, nije dovoljno samo provjeravati pakete pojedinačno. Informacije o statusu veze dobijene iz prethodne inspekcije veze i drugih aplikacija su glavni faktor u odluci kontrole kada se pokušava uspostaviti nova veza. I stanje veze (izvedeno iz prošlog toka podataka) i stanje aplikacije (izvedeno iz drugih aplikacija) mogu se uzeti u obzir za donošenje odluke.

Stoga odluke upravljanja zahtijevaju da firewall ima pristup, analizu i korištenje sljedećih faktora:

• informacije o vezi – informacije sa svih sedam slojeva (OSI modela) u paketu;
• istorija veze – informacije primljene od prethodnih veza;
• stanje na nivou aplikacije – informacije o stanju veze primljene od drugih aplikacija;
• manipulacija informacijama - izračunavanje različitih izraza na osnovu svih navedenih faktora.

Vrste zaštitnih zidova

Postoji nekoliko tipova zaštitnih zidova u zavisnosti od sledećih karakteristika:

• da li štit pruža vezu između jednog čvora i mreže ili između dvije ili više različitih mreža;
• da li se kontrola toka podataka javlja na sloju mreže ili višim nivoima OSI modela;
• da li se nadziru stanja aktivnih veza ili ne.

U zavisnosti od pokrivenosti kontrolisanih tokova podataka, zaštitni zidovi se dele na:

• tradicionalni mrežni (ili firewall) zid– program (ili sastavni dio operativnog sistema) na gateway-u (uređaj koji prenosi promet između mreža) ili hardversko rješenje koje kontrolira dolazne i odlazne tokove podataka između povezanih mreža (distribuirani mrežni objekti);
• lični firewall– program instaliran na računaru korisnika i dizajniran da zaštiti samo ovaj računar od neovlašćenog pristupa.

U zavisnosti od nivoa OSI na kojem se javlja kontrola pristupa, zaštitni zidovi mogu raditi na:

• mrežni nivo, kada se filtriranje dešava na osnovu adresa pošiljaoca i primaoca paketa, brojeva portova transportnog sloja OSI modela i statičkih pravila koje je odredio administrator;
• nivo sesije(takođe poznat kao stateful), kada se nadgledaju sesije između aplikacija i ne prosleđuju se paketi koji krše TCP/IP specifikacije, često se koriste u zlonamernim operacijama - skeniranje resursa, hakovanje kroz pogrešne TCP/IP implementacije, prekinute/spore veze, ubacivanje podataka;
• nivo aplikacije(ili na nivou aplikacije), kada se filtriranje vrši na osnovu analize podataka aplikacije koji se prenose unutar paketa. Ove vrste ekrana vam omogućavaju da blokirate prijenos neželjenih i potencijalno štetnih informacija na osnovu pravila i postavki.

Filtriranje na nivou mreže

Filtriranje dolaznih i odlaznih paketa vrši se na osnovu informacija sadržanih u sljedećim poljima TCP i IP zaglavlja paketa: IP adresa pošiljatelja; IP adresa primaoca; port pošiljaoca; port primaoca.

Filtriranje se može implementirati na različite načine za blokiranje konekcija određenim računarima ili portova. Na primjer, možete blokirati veze koje dolaze određene adrese one računare i mreže koji se smatraju nepouzdanim.

• relativno niska cijena;
• fleksibilnost u definiranju pravila filtriranja;
• blago kašnjenje u prolazu paketa.

Nedostaci:

• ne prikuplja fragmentirane pakete;
• ne postoji način da se prate odnosi (veze) između paketa.?

Filtriranje na nivou sesije

U zavisnosti od praćenja aktivnih veza, zaštitni zidovi mogu biti:

• bez državljanstva(jednostavno filtriranje), koji ne nadziru trenutne veze (na primjer, TCP), već filtriraju tok podataka isključivo na osnovu statičkih pravila;
• inspekcija paketa sa stanjem stanja (SPI)(kontekstno-svjesno filtriranje), praćenje trenutnih veza i prosljeđivanje samo onih paketa koji zadovoljavaju logiku i algoritme odgovarajućih protokola i aplikacija.

Zaštitni zidovi sa SPI omogućavaju efikasniju borbu protiv raznih vrsta DoS napada i ranjivosti nekih mrežnih protokola. Osim toga, oni osiguravaju funkcioniranje protokola kao što su H.323, SIP, FTP, itd., koji koriste složene šeme prijenosa podataka između primalaca, koje je teško opisati statičkim pravilima i često nekompatibilne sa standardnim zaštitnim zidovima bez stanja.

Prednosti takve filtracije uključuju:

• analiza sadržaja paketa;
• nisu potrebne nikakve informacije o radu protokola sloja 7.

Nedostaci:

• teško je analizirati podatke na nivou aplikacije (moguće korišćenjem ALG-a - pristupnika na nivou aplikacije).

Gateway na nivou aplikacije, ALG (gateway na nivou aplikacije)– komponenta NAT rutera koja razumije neki aplikacijski protokol i kada paketi ovog protokola prođu kroz nju, ona ih modificira na takav način da korisnici iza NAT-a mogu koristiti protokol.

ALG usluga pruža podršku za protokole na nivou aplikacije (kao što su SIP, H.323, FTP, itd.) za koje nije dozvoljeno prevođenje mrežnih adresa. Ova usluga određuje tip aplikacije u paketima koji dolaze iz internog mrežnog interfejsa i u skladu s tim vrši translaciju adrese/porta za njih preko eksternog interfejsa.

SPI tehnologija(Stateful Packet Inspection) ili tehnologija inspekcije paketa koja uzima u obzir stanje protokola danas je napredna metoda kontrole saobraćaja. Ova tehnologija vam omogućava da kontrolišete podatke sve do nivoa aplikacije bez potrebe zasebna aplikacija posrednik ili proxy za svaki zaštićeni protokol ili mrežnu uslugu.

Istorijski gledano, evolucija firewall-a je došla od paketnih filtera opće namjene, zatim su se počeli pojavljivati ​​posrednički programi za pojedinačne protokole i konačno je razvijena tehnologija kontrole stanja. Prethodne tehnologije su se samo dopunjavale, ali nisu pružale sveobuhvatnu kontrolu nad vezama. Filteri paketa nemaju pristup informacijama o vezi i stanju aplikacije koje su neophodne da sigurnosni sistem donese konačnu odluku. Middleware programi obrađuju samo podatke na nivou aplikacije, što često stvara različite mogućnosti za hakovanje sistema. Arhitektura kontrole stanja je jedinstvena jer vam omogućava da rukujete svim mogućim informacijama koje prolaze kroz gateway mašinu: podacima iz paketa, podacima o stanju veze, podacima potrebnim aplikaciji.

Primjer kako funkcionira mehanizam državne inspekcije. Firewall prati FTP sesiju ispitivanjem podataka na nivou aplikacije. Kada klijent zatraži od servera da otvori obrnutu vezu (FTP PORT komanda), zaštitni zid izdvaja broj porta iz tog zahtjeva. Lista pohranjuje klijentske i serverske adrese i brojeve portova. Kada se otkrije pokušaj uspostavljanja FTP-data veze, zaštitni zid skenira listu i provjerava da li je veza zaista odgovor na važeći zahtjev klijenta. Lista veza se održava dinamički tako da su otvoreni samo potrebni FTP portovi. Čim se sesija zatvori, portovi se blokiraju, pružajući visok nivo sigurnosti.

Filtriranje na nivou aplikacije

Da bi zaštitili brojne ranjivosti svojstvene filtriranju paketa, zaštitni zidovi moraju koristiti aplikativne programe za filtriranje veza sa uslugama kao što su Telnet, HTTP, FTP. Slična aplikacija pozvao proxy usluga, a host na kojem se pokreće proxy usluga je gateway na razini aplikacije. Takav gateway eliminira direktnu interakciju između ovlaštenog klijenta i vanjskog hosta. Gateway filtrira sve dolazne i odlazne pakete na sloju aplikacije (sloj aplikacije - gornji sloj mrežnog modela) i može analizirati sadržaj podataka, kao što je URL sadržan u HTTP poruci ili naredba sadržana u FTP poruci. Ponekad je efikasnije filtrirati pakete na osnovu informacija sadržanih u samim podacima. Filteri paketa i filteri na razini veze ne koriste sadržaj toka informacija prilikom donošenja odluka o filtriranju, ali filtriranje na razini aplikacije to može učiniti. Filteri sloja aplikacije mogu koristiti informacije iz zaglavlja paketa, kao i sadržaj podataka i korisničke informacije. Administratori mogu koristiti filtriranje na nivou aplikacije za kontrolu pristupa na osnovu korisničkog identiteta i/ili konkretan zadatak koje korisnik pokušava postići. U filterima na nivou aplikacije možete postaviti pravila na osnovu naredbi koje izdaje aplikacija. Na primjer, administrator može spriječiti određenog korisnika da preuzme datoteke na određeni računar koristeći FTP ili dozvoli korisniku da hostuje datoteke putem FTP-a na istom računaru.

Poređenje hardverskih i softverskih zaštitnih zidova

Da bismo uporedili zaštitne zidove, podelićemo ih na dva tipa: 1. – hardverski i softversko-hardverski i 2. – softver.

Hardverski i softverski zaštitni zidovi uključuju uređaje instalirane na rubu mreže. Softverski zaštitni zidovi su oni koji su instalirani na krajnjim hostovima.

Glavni pravci svojstveni i prvoj i drugoj vrsti:

• obezbjeđivanje sigurnosti dolaznog i odlaznog saobraćaja;
• značajno povećanje sigurnosti mreže i smanjenje rizika za hostove podmreže prilikom filtriranja poznatih nezaštićenih usluga;
• mogućnost kontrole pristupa mrežnim sistemima;
• obavještavanje o događaju putem odgovarajućih alarma koji se aktiviraju kada se dogodi bilo kakva sumnjiva aktivnost (pokušaji sonde ili napadi);
• pružajući jeftino sigurnosno rješenje koje je lako implementirati i upravljati.

Hardverski i softverski zaštitni zidovi dodatno podržavaju funkcionalnost koja omogućava:

• spriječiti bilo koje ranjive usluge da dobiju informacije iz zaštićene podmreže ili da ih unesu u njih;
• evidentiraju pokušaje pristupa i pružaju potrebnu statistiku o korištenju Interneta;
• obezbijedi sredstva za regulisanje redosleda pristupa mreži;
• obezbediti centralizovano upravljanje saobraćajem.

Softverski zaštitni zidovi, pored glavnih područja, omogućavaju:

• kontrolirati pokretanje aplikacija na hostu gdje su instalirane;
• zaštititi predmet od prodora kroz „otvore“ (stražnja vrata);
• pružaju zaštitu od unutrašnjih pretnji.

Firewall nije simetričan uređaj. On pravi razliku između pojmova „izvana“ i „iznutra“. Firewall štiti unutrašnje područje od nekontrolisanog i potencijalno neprijateljskog spoljašnje okruženje. U isto vrijeme, zaštitni zid vam omogućava da ograničite pristup objektima javna mreža od strane subjekata zaštićene mreže. Ako se povrijedi ovlaštenje, rad subjekta pristupa je blokiran, i sve potrebne informacije se evidentira u dnevniku.

Zaštitni zidovi se također mogu koristiti unutar sigurnih korporativnih mreža. Ako lokalna mreža ima podmreže s različitim stupnjevima povjerljivosti informacija, onda je preporučljivo odvojiti takve fragmente zaštitnim zidovima. U ovom slučaju, ekrani se nazivaju unutrašnjim.

Uz veliki izbor profesionalnih softverskih alata za zaštitu od raznih vrsta napada na lokalnu mrežu izvana (odnosno s interneta), svi oni imaju jedan ozbiljan nedostatak visoka cijena. A ako govorimo o malim mrežama klase SOHO, onda je kupovina solidnih paketa luksuz koji se ne može priuštiti. U isto vrijeme, vrijedno je napomenuti da za male mreže mogućnosti takvih paketa mogu biti čak i suvišne. Stoga, za zaštitu malih mreža SOHO klase, jeftina hardverska rješenja - firewall - postala su naširoko korištena. Po dizajnu, firewall mogu biti implementirani kao zasebno rješenje, ili biti sastavni dio rutera klase SOHO, posebno bežični ruteri, koji vam omogućuje kombiniranje žičanih i bežičnih segmenata lokalne mreže na njihovoj osnovi.
U ovom članku ćemo pogledati glavne funkcije modernih hardverskih firewall-a koji su ugrađeni u rutere klase SOHO i koji se koriste za pružanje zaštite malim lokalnim mrežama.

Zaštitni zidovi kao dio rutera

S obzirom da su ruteri mrežni uređaji instalirani na granici između interne i eksterne mreže, i obavljaju funkciju mrežnog gatewaya, u smislu dizajna moraju imati najmanje dva porta. LAN je povezan na jedan od ovih portova i ovaj port postaje interni LAN port. Eksterna mreža (Internet) je povezana na drugi port, pretvarajući ga u eksterni WAN port. Ruteri klase SOHO po pravilu imaju jedan WAN port i nekoliko (od jednog do četiri) LAN porta, koji su kombinovani u komutator. U većini slučajeva, WAN port sviča ima 10/100Base-TX interfejs, a na njega se može povezati ili xDSL modem sa odgovarajućim interfejsom ili Ethernet mrežni kabl.

Osim toga, široko rasprostranjena bežične mreže dovelo je do pojave čitave klase takozvanih bežičnih rutera. Ovi uređaji, pored klasičnog rutera sa WAN i LAN portovima, sadrže integrisanu bežičnu pristupnu tačku koja podržava IEEE 802.11a/b/g protokol. Bežični segment Mreža koju vam pristupna tačka omogućava da organizujete, iz perspektive rutera, odnosi se na internu mrežu, i u tom smislu, računari povezani na ruter bežično se ne razlikuju od onih koji su povezani na LAN port.

Svaki ruter, kao uređaj mrežnog sloja, ima svoju IP adresu. Pored rutera, WAN port ima i svoju IP adresu.

Računari povezani na LAN portove rutera moraju imati IP adresu na istoj podmreži kao i sam ruter. Osim toga, u mrežnim postavkama ovih računara morate postaviti zadanu adresu mrežnog prolaza da odgovara IP adresi rutera. Konačno, uređaj povezan na WAN port iz vanjske mreže mora imati IP adresu iz iste podmreže kao i WAN port rutera.

Budući da ruter djeluje kao gateway između lokalne mreže i Interneta, logično je očekivati ​​takve funkcije kao što je zaštita interne mreže od neovlaštenog pristupa. Stoga skoro svi moderni ruteri klase SOHO imaju ugrađene hardverske firewall-e, koji se još nazivaju i zaštitni zidovi.

Funkcije zaštitnog zida

Glavna svrha svakog firewall-a na kraju se svodi na osiguranje sigurnosti interne mreže. Da bi riješili ovaj problem, zaštitni zidovi moraju biti u stanju da maskiraju zaštićenu mrežu i blokiraju sve poznate tipove hakerski napadi, blokiraju curenje informacija iz interne mreže, kontroliraju aplikacije koje pristupaju vanjskoj mreži.

Da bi implementirali ove funkcije, zaštitni zidovi analiziraju sav promet između eksterne i interne mreže na usklađenost sa određenim utvrđenim kriterijumima ili pravilima koja određuju uslove za prolaz saobraćaja iz jedne mreže u drugu. Ako saobraćaj ispunjava navedene kriterijume, zaštitni zid mu dozvoljava da prođe. U suprotnom, odnosno, ako se ne ispune utvrđeni kriterijumi, saobraćaj blokira firewall. Zaštitni zidovi filtriraju i dolazni i odlazni promet, a također vam omogućavaju kontrolu pristupa određenim mrežnim resursima ili aplikacijama. Oni mogu snimiti sve pokušaje neovlaštenog pristupa lokalnim mrežnim resursima i izdati upozorenja o pokušajima upada.

Po svojoj namjeni, firewall najviše podsjećaju na kontrolni punkt (čekpoint) zaštićenog objekta, gdje se provjeravaju dokumenti svih koji ulaze na teritoriju objekta i svih koji ga napuštaju. Ako je propusnica ispravna, pristup teritoriji je dozvoljen. Zaštitni zidovi rade na potpuno isti način, samo što su uloga ljudi koji prolaze kroz kontrolnu tačku mrežni paketi, a prolaz je da zaglavlja ovih paketa budu u skladu sa unaprijed definiranim skupom pravila.

Da li su zaštitni zidovi zaista toliko pouzdani?

Da li je moguće reći da zaštitni zid pruža 100% sigurnost za korisničku mrežu ili lični računar? Sigurno ne. Ako samo zato što nijedan sistem ne daje 100% garanciju sigurnosti. Firewall treba tretirati kao alat koji, ako je ispravno konfiguriran, može značajno zakomplikovati zadatak napadača da prodre na osobni računar korisnika. Naglasimo: to samo komplikuje stvari, ali nikako ne garantuje apsolutnu sigurnost. Usput, ako ne govorimo o zaštiti lokalne mreže, već o zaštiti pojedinačnog računara s pristupom Internetu, onda to osiguravanje ličnu sigurnost ICF zaštitni zid (Internet Connection Firewall), ugrađen u operacionu salu Windows sistem XP. Stoga ćemo u budućnosti govoriti samo o korporativnim hardverskim zaštitnim zidovima koji imaju za cilj zaštitu malih mreža.

Ako je firewall instaliran na ulazu u lokalnu mrežu u potpunosti aktiviran (to u pravilu odgovara zadanim postavkama), tada je mreža koju štiti potpuno neprobojna i nedostupna izvana. Međutim, takva potpuna neprobojnost interne mreže ima i svoju lošu stranu. Činjenica je da u ovom slučaju postaje nemoguće koristiti internetske usluge (na primjer, ICQ i slične programe) instalirane na računalu. Dakle, zadatak postavljanja firewall-a je napraviti prozore u prvobitno praznom zidu koji zaštitni zid predstavlja za napadača, omogućavajući korisničkim programima da odgovore na zahtjeve izvana i na kraju implementiraju kontroliranu interakciju između interne mreže i vanjskog svijeta. Međutim, što se više takvih prozora pojavljuje u takvom zidu, sama mreža postaje ranjivija. Zato da još jednom naglasimo: nijedan firewall ne može garantirati apsolutnu sigurnost lokalne mreže koju štiti.

Klasifikacija zaštitnih zidova

Mogućnosti i inteligencija zaštitnih zidova zavise od sloja OSI referentnog modela na kojem rade. Što je viši nivo OSI na kojem je izgrađen firewall, to je viši nivo zaštite koji pruža.

Da vas podsjetimo na to OSI model (Otvorite sistem Interkonekcija) uključuje sedam slojeva mrežne arhitekture. Prvi, najniži, jeste fizički sloj. Nakon toga slijedi podatkovna veza, mreža, transport, sesija, prezentacija i slojevi aplikacije ili aplikacije. Da bi se omogućilo filtriranje saobraćaja, firewall mora raditi najmanje na trećem sloju OSI modela, odnosno na mrežnom sloju, gdje se paketi rutiraju na osnovu translacije MAC adresa na mrežne adrese. Sa stanovišta TCP/IP protokola, ovaj sloj odgovara sloju IP (Internet Protocol). Primajući informacije o mrežnom sloju, zaštitni zidovi su u mogućnosti da odrede izvornu i odredišnu adresu paketa i provere da li je saobraćaj dozvoljen između ovih odredišta. Međutim, nema dovoljno informacija o mrežnom sloju za analizu sadržaja paketa. Vatrozidovi koji rade na transportnom sloju OSI modela primaju nešto više informacija o paketima i, u tom smislu, mogu pružiti inteligentnije šeme zaštite mreže. Što se tiče zaštitnih zidova koji rade na nivou aplikacije, oni imaju pristup kompletnim informacijama o mrežnim paketima, što znači da takvi firewall pružaju najpouzdaniju zaštitu mreže.

U zavisnosti od nivoa OSI modela na kojem funkcionišu zaštitni zidovi, istorijski se razvila sledeća klasifikacija ovih uređaja:

• filter paketa;
• Gateway na nivou sesije (gateway na nivou kola);
• gateway na nivou aplikacije;
• Inspekcija paketa sa stanjem (SPI).

Zapiši to ovu klasifikaciju ima samo istorijski interes, jer svi moderni firewall spadaju u kategoriju najnaprednijih (u smislu zaštite mreže) SPI firewall-a.

Batch filteri

Zaštitni zidovi tipa filtera paketa su najosnovniji (najmanje inteligentni). Ovi zaštitni zidovi rade na mrežnom sloju OSI modela ili na IP sloju steka TCP/IP protokola. Takvi zaštitni zidovi su potrebni u svakom ruteru, budući da svaki ruter radi barem na trećem sloju OSI modela.

Posao filtera paketa je da filtriraju pakete na osnovu informacija o izvornoj ili odredišnoj IP adresi i brojevima porta.

U zaštitnim zidovima tipa filtera paketa, svaki paket se analizira kako bi se utvrdilo da li ispunjava kriterije prijenosa ili je prijenos blokiran prije nego što se prenese. U zavisnosti od paketa i generisanih kriterijuma prenosa, zaštitni zid može preneti paket, odbiti ga ili poslati obaveštenje inicijatoru prenosa.

Paketni filteri su jednostavni za implementaciju i praktično nemaju utjecaja na brzinu rutiranja.

Session Gateways

Gatewayi sloja sesije su zaštitni zidovi koji rade na sloju sesije OSI modela ili na TCP (Transport Control Protocol) sloju steka TCP/IP protokola. Ovi zaštitni zidovi nadgledaju proces uspostavljanja TCP veze (organizacija sesija razmjene podataka između krajnjih mašina) i omogućavaju vam da utvrdite da li je data komunikacijska sesija legitimna. Podaci koji se šalju udaljenom računaru na eksternoj mreži preko gateway-a na nivou sesije ne sadrže informacije o izvoru prenosa, odnosno sve izgleda kao da podatke šalje sam firewall, a ne računar na interna (zaštićena) mreža. Svi firewall bazirani na NAT protokolu su pristupnici sloja sesije (NAT protokol će biti opisan u nastavku).

Gateway na nivou sesije takođe nemaju značajan uticaj na brzinu rutiranja. Istovremeno, ovi gateway-i nisu u stanju filtrirati pojedinačne pakete.

Application Gateways

Gateway sloja aplikacije, ili proxy serveri, rade na sloju aplikacije OSI modela. Aplikacijski sloj je odgovoran za pristup aplikacije mreži. Zadaci na ovom nivou uključuju prijenos datoteka, razmjenu poštom i upravljanje mrežom. Primajući informacije o paketima na nivou aplikacije, gateway na aplikacijskom nivou može implementirati blokiranje pristupa određenim uslugama. Na primjer, ako je gateway na nivou aplikacije konfiguriran kao Web proxy, tada će svaki promet koji se odnosi na Telnet, FTP, Gopher protokole biti blokiran. Budući da ovi zaštitni zidovi analiziraju pakete na sloju aplikacije, oni su u stanju filtrirati određene komande, kao što su http:post, get, itd. Ova funkcija nije dostupna ni filterima paketa ni pristupnicima na nivou sesije. Gateway na nivou aplikacije se također može koristiti za evidentiranje aktivnosti pojedinačnih korisnika i za uspostavljanje komunikacijskih sesija između njih. Ovi zaštitni zidovi nude robusniji način zaštite mreža od pristupnika na nivou sesije i filtera paketa.

SPI firewall

Najnoviji tip zaštitnog zida, Stateful Packet Inspection (SPI), kombinuje prednosti filtera paketa, gateway-a na nivou sesije i gateway-a na nivou aplikacije. To jest, u stvari, govorimo o višeslojnim zaštitnim zidovima koji rade istovremeno na nivou mreže, sesije i aplikacije.

SPI zaštitni zidovi filtriraju pakete na mrežnom sloju, određuju legitimnost komunikacijske sesije na osnovu podataka sloja sesije i analiziraju sadržaj paketa na osnovu podataka sloja aplikacije.

Ovi zaštitni zidovi pružaju najpouzdaniji način zaštite mreža i trenutno su de facto standard.

Postavljanje zaštitnih zidova

Metodologija i mogućnosti za konfigurisanje zaštitnih zidova zavise od toga specifičan model. Nažalost, ne postoje uniformna pravila konfiguracije, a još manje uniformno sučelje. Možemo govoriti samo o nekim općim pravilima kojih se treba pridržavati. Zapravo, osnovno pravilo je prilično jednostavno: potrebno je zabraniti sve što nije potrebno za normalno funkcioniranje mreže.

Najčešće se mogućnost konfigurisanja firewall-a svodi na aktiviranje nekih unaprijed definiranih pravila i kreiranje statičkih pravila u obliku tabele.

Uzmimo, kao primjer, opcije za konfiguraciju zaštitnog zida uključene u Gigabyte GN-B49G ruter. Ovaj ruter ima niz unaprijed definiranih pravila koja vam omogućavaju implementaciju različitih nivoa interne mrežne sigurnosti. Ova pravila uključuju sljedeće:

• Pristup konfiguraciji i administraciji rutera sa strane WAN-a je zabranjen. Aktiviranjem ove funkcije zabranjuje se pristup postavkama rutera sa vanjske mreže;
• Pristup sa Global-IP-a na Private-IP je zabranjen unutar LAN-a. Ova funkcija vam omogućava da blokirate pristup unutar lokalne mreže sa globalnih IP adresa (ako ih ima) do IP adresa rezerviranih za privatnu upotrebu;
• Spriječite dijeljenje datoteka i pisača izvan mreže rutera. Funkcija sprečava korišćenje zajedničkog pristupa štampačima i datotekama na internoj mreži izvana;
• Postojanje rutera se ne može otkriti sa strane WAN-a. Ova funkcija čini ruter nevidljivim sa vanjske mreže;
• Napadi tipa uskraćivanja usluge (DoS) su spriječeni. Kada je ova funkcija aktivirana, implementira se zaštita od DoS (Denial of Service) napada. DoS napadi su vrsta mrežnog napada koji uključuje slanje više zahtjeva serveru koji zahtijevaju uslugu koju pruža sistem. Server troši svoje resurse na uspostavljanje veze i njeno servisiranje i, s obzirom na određeni protok zahtjeva, ne može se nositi s njima. Zaštita od napada ovog tipa zasniva se na analizi izvora saobraćaja koji je prevelik u odnosu na normalan saobraćaj i zabrani njegovog prenosa.

Kao što smo već napomenuli, mnogi zaštitni zidovi imaju unaprijed definirana pravila, koja su u suštini ista kao ona gore navedena, ali mogu imati različita imena.

Drugi način da se konfiguriše firewall je kreiranje statičkih pravila koja vam omogućavaju ne samo da zaštitite mrežu izvana, već i da ograničite korisnike lokalne mreže da pristupe vanjskoj mreži. Mogućnosti za kreiranje pravila su prilično fleksibilne i omogućavaju vam da implementirate gotovo svaku situaciju. Da biste kreirali pravilo, specificirate izvornu IP adresu (ili raspon adresa), izvorne portove, odredišne ​​IP adrese i portove, tip protokola, smjer prijenosa paketa (iz interne mreže na vanjsku mrežu ili obrnuto) i radnja koju treba preduzeti kada se paket otkrije sa naznačenim svojstvima (ispusti ili preskoči paket). Na primjer, ako želite da zabranite korisnicima interne mreže (opseg IP adresa: 192.168.1.1-192.168.1.100) da pristupe FTP serveru (port 21) koji se nalazi na vanjskoj IP adresi 64.233.183.104, tada pravilo može biti formulisan na sledeći način:

• Smjer prijenosa paketa: LAN-to-WAN;
• Izvorne IP adrese: 192.168.1.1-192.168.1.100;
• izvorni port: 1-65535;
• odredišna luka: 21;
• protokol: TCP;
• akcija: pad.

Statička konfiguracija pravila zaštitnog zida za primjer o kojem se gore govori prikazana je na Sl. 1.

NAT protokol kao dio zaštitnog zida

Svi moderni ruteri sa ugrađenim zaštitnim zidovima podržavaju NAT (Network Address Translation) protokol.

NAT protokol nije dio zaštitnog zida, ali u isto vrijeme pomaže u poboljšanju sigurnosti mreže. Osnovni zadatak NAT protokola je rješavanje problema nedostatka IP adresa, koji postaje sve hitniji kako broj računara raste.

Činjenica je da su u trenutnoj verziji IPv4 protokola četiri bajta dodijeljena za određivanje IP adrese, što omogućava generiranje preko četiri milijarde adresa mrežnih računala. Naravno, u onim danima kada je internet tek nastajao, bilo je teško ni zamisliti da jednog dana ovaj broj IP adresa možda neće biti dovoljan. Kako bi se djelimično riješio problem nedostatka IP adresa, svojevremeno je predložen NAT protokol za prevođenje mrežnih adresa.

NAT protokol je definiran standardom RFC 1631, koji definira kako se događa translacija mrežnih adresa.

U većini slučajeva, NAT uređaj pretvara IP adrese koje su rezervirane za privatnu upotrebu na lokalnim mrežama u javne IP adrese.

Privatnim adresnim prostorom upravlja RFC 1918. Ove adrese uključuju sljedeće IP opsege: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-1925.5.5.

Prema RFC 1918, privatne IP adrese se ne mogu koristiti Globalna mreža, tako da se mogu slobodno koristiti samo u interne svrhe.

Prije nego što pređemo na specifičnosti NAT protokola, pogledajmo kako dolazi do mrežne veze između dva PC-a.

Kada jedan računar na mreži uspostavi vezu sa drugim računarom, otvara se utičnica, određena izvornom IP adresom, izvornim portom, odredišnom IP adresom, odredišnim portom i mrežnim protokolom. Format IP paketa pruža dvobajtno polje za brojeve portova. Ovo vam omogućava da definirate 65.535 portova, koji igraju ulogu jedinstvenih komunikacijskih kanala. Od 65.535 luka, prvih 1.023 su rezervisane za dobro poznate serverske usluge kao što su Web, FTP, Telnet, itd. Svi ostali portovi se mogu koristiti za bilo koju drugu svrhu.

Ako, na primjer, jedan mrežni računar pristupi FTP serveru (port 21), tada kada se utičnica otvori, operativni sistem dodjeljuje sesiji bilo koji port iznad 1023. Na primjer, to može biti port 2153. Tada se IP paket šalje sa sa računara na FTP server, sadržaće IP adresu pošiljaoca, port pošiljaoca (2153), IP adresu primaoca i odredišni port (21). Izvorna IP adresa i port će se koristiti za odgovor servera klijentu. Korišćenje različitih portova za različite mrežne sesije omogućava mrežnim klijentima da istovremeno uspostave više sesija sa različitim serverima ili sa uslugama sa istog servera.

Pogledajmo sada proces uspostavljanja sesije kada se koristi NAT ruter na granici interne mreže i Interneta.

Kada interni mrežni klijent uspostavi vezu sa eksternim mrežnim serverom, tada se, kao iu slučaju uspostavljanja veze između dva računara, otvara soket, određen izvornom IP adresom, izvornim portom, odredišnom IP adresom, odredišnim portom, i mrežni protokol. Kada aplikacija prenosi podatke preko ove utičnice, izvorna IP adresa i izvorni port se ubacuju u paket u poljima izvornih opcija. Polja sa opcijama odredišta će sadržati IP adresu servera i port servera. Na primer, računar na internoj mreži sa IP adresom 192.168.0.1 može pristupiti WAN Web serveru sa IP adresom 64.233.188.104. U tom slučaju, klijentski operativni sistem može dodijeliti port 1251 (izvorni port) uspostavljenoj sesiji, a odredišni port je port web usluge, odnosno 80. Tada će u zaglavlju poslanog paketa biti naznačeni sljedeći atributi (slika 2):

• izvorni port: 1251;
• IP adresa primaoca: 64.233.183.104;
• odredišna luka: 80;
• protokol: TCP.

NAT uređaj (ruter) presreće paket koji dolazi iz interne mreže i u svoju internu tabelu unosi mapiranje izvornog i odredišnog porta paketa koristeći odredišnu IP adresu, odredišni port, eksternu IP adresu NAT uređaja, eksterni port , mrežni protokol i interne IP adrese - adresa i port klijenta.

Pretpostavimo da u prethodnom primeru NAT ruter ima eksternu IP adresu 195.2.91.103 (adresa WAN porta), a za uspostavljenu sesiju, eksterni port NAT uređaja je 3210. U ovom slučaju, interna tabela. za mapiranje izvornog i odredišnog porta paketa koji sadrži sljedeće informacije:

• Izvor IP: 192.168.0.1;
• izvorni port: 1251;
• eksternu IP adresu

NAT uređaji: 195.2.91.103;

• port eksternog NAT uređaja: 3210;
• IP adresa primaoca: 64.233.183.104;
• odredišna luka: 80;
• protokol: TCP.

NAT uređaj zatim "emituje" paket transformišući izvorna polja u paketu: interna IP adresa i port klijenta se zamenjuju eksternom IP adresom i portom NAT uređaja. U ovom primjeru, konvertirani paket će sadržavati sljedeće informacije:

• Izvor IP: 195.2.91.103;
• izvorni port: 3210;
• IP adresa primaoca: 64.233.183.104;
• odredišna luka: 80;
• protokol: TCP.

Konvertovani paket se šalje preko eksterne mreže i na kraju stiže do navedenog servera.

Nakon što primi paket, server će proslijediti pakete odgovora na eksternu IP adresu i port NAT uređaja (rutera), navodeći vlastitu IP adresu i port u izvornim poljima (slika 3). U razmatranom primjeru, paket odgovora sa servera će sadržavati sljedeće informacije u zaglavlju:

• izvorni port: 80;
• IP adresa primaoca: 195.2.91.103;
• odredišna luka: 3210;
• protokol: TCP.

Rice. 3. Princip rada NAT uređaja pri prijenosu paketa iz vanjske mreže u internu

NAT uređaj prima ove pakete od servera i analizira njihov sadržaj na osnovu svoje tabele mapiranja portova. Ako se u tabeli pronađe mapiranje porta za koje se izvorna IP adresa, izvorni port, odredišni port i mrežni protokol iz dolaznog paketa podudaraju s IP adresom udaljenog hosta, udaljenim portom i mrežnim protokolom navedenim u mapiranju porta, tada će NAT izvršiti obrnuto prevođenje: zamjenjuje eksternu IP adresu i vanjski port u odredišnim poljima paketa sa IP adresom i internim portom klijenta interne mreže. Dakle, paket koji se prenosi na internu mrežu za primjer o kojem se gore govori imat će sljedeće atribute:

• Izvor IP: 64.233.183.104;
• izvorni port: 80;
• IP adresa primaoca: 192.168.0.1;
• odredišna luka: 1251;
• protokol: TCP.

Međutim, ako nema podudaranja u tabeli mapiranja portova, onda dolazni paket je odbijen i veza je prekinuta.

Zahvaljujući NAT ruteru, svaki PC na internoj mreži može prenijeti podatke na globalnu mrežu koristeći eksternu IP adresu i port rutera. U ovom slučaju, IP adrese interne mreže, kao portovi dodijeljeni sesijama, ostaju nevidljivi sa vanjske mreže.

Međutim, NAT ruter dozvoljava razmjenu podataka između računara na internoj i eksternoj mreži samo ako ovu razmjenu inicira računalo na internoj mreži. Ako računar na spoljnoj mreži pokuša da pristupi računaru na internoj mreži na sopstvenu inicijativu, NAT uređaj odbija vezu. Stoga, osim što rješava problem nedostatka IP adresa, NAT protokol pomaže i u poboljšanju sigurnosti interne mreže.

Problemi vezani za NAT uređaje

Uprkos očiglednoj jednostavnosti NAT uređaja, oni su povezani sa nekim problemima koji često komplikuju organizaciju interakcije između mrežnih računara ili čak sprečavaju njeno uspostavljanje. Na primjer, ako je lokalna mreža zaštićena NAT uređajem, tada svaki klijent na internoj mreži može uspostaviti vezu sa WAN serverom, ali ne i obrnuto. To jest, ne možete pokrenuti vezu sa vanjske mreže na server koji se nalazi na internoj mreži iza NAT uređaja. Ali šta ako postoji usluga na internoj mreži (na primjer, FTP ili Web server) kojoj korisnici na vanjskoj mreži moraju imati pristup? Da bi riješili ovaj problem, NAT ruteri koriste tehnologije prosljeđivanja demilitariziranih zona i portova, koje će biti detaljno opisane u nastavku.

Još jedan problem sa NAT uređajima je taj što neke mrežne aplikacije uključuju IP adresu i port u podatkovnom dijelu paketa. Jasno je da NAT uređaj nije u stanju da izvrši takvu translaciju adresa. Kao rezultat toga, ako mrežna aplikacija ubaci IP adresu ili port u korisni dio paketa, server koji odgovara na taj paket koristit će ugniježđenu IP adresu i port za koje ne postoji odgovarajući unos mapiranja u internoj tablici NAT uređaja . Kao rezultat toga, takav paket će biti odbačen od strane NAT uređaja, te stoga aplikacije koje koriste ovu tehnologiju neće moći raditi u prisustvu NAT uređaja.

Postoje mrežne aplikacije koje koriste jedan port (kao izvorni port) za prijenos podataka, ali čekaju odgovor na drugom portu. NAT uređaj analizira odlazni promet i odgovara izvornom portu. Međutim, NAT uređaj ne zna da se očekuje odgovor na drugom portu i ne može izvršiti odgovarajuće mapiranje. Kao rezultat toga, paketi odgovora adresirani na port koji nema mapiranje u internoj tablici NAT uređaja bit će ispušteni.

Drugi problem sa NAT uređajima je višestruki pristup istom portu. Razmotrimo situaciju u kojoj nekoliko klijenata na lokalnoj mreži, odvojenih od vanjske mreže NAT uređajem, pristupa istom standardnom portu. Na primjer, ovo može biti port 80, koji je rezerviran za web uslugu. Budući da svi interni mrežni klijenti koriste istu IP adresu, postavlja se pitanje: kako NAT uređaj može odrediti koji interni mrežni klijent je eksterni zahtjev? Da bi se riješio ovaj problem, samo jedan interni mrežni klijent ima pristup standardnom portu u bilo kojem trenutku.

Statičko prosljeđivanje portova (mapiranje porta)

Da bi određene aplikacije koje rade na serveru na internoj mreži (kao što je web server ili FTP server) bile dostupne sa vanjske mreže, NAT uređaj mora biti konfiguriran da mapira portove koje koriste određene aplikacije na IP adrese. ti serveri interne mreže na kojima se ove aplikacije pokreću. U ovom slučaju se govori o tehnologiji preusmjeravanja portova (Port mapping), a sam interni mrežni server naziva se virtuelni server. Kao rezultat toga, svaki zahtjev iz vanjske mreže na vanjsku IP adresu NAT uređaja (rutera) na navedenom portu automatski će biti preusmjeren na navedeni virtuelni server na internoj mreži.

Na primjer, ako je na internoj mreži konfigurisan virtuelni FTP server, koji se pokreće na računaru sa IP adresom 192.168.0.10, onda prilikom podešavanja virtuelni server specificirani su IP adresa virtuelnog servera (192.168.0.10), korišteni protokol (TCP) i port aplikacije (21). U tom slučaju, prilikom pristupa eksternoj adresi NAT uređaja (WAN port rutera) na portu 21, korisnik na vanjskoj mreži može pristupiti FTP serveru na internoj mreži, uprkos korištenju NAT protokola. Primjer konfiguracije virtuelnog servera na stvarnom NAT ruteru prikazan je na Sl. 4.

Tipično, NAT ruteri vam omogućavaju da kreirate više statičkih prosljeđivanja portova. Dakle, na jednom virtuelnom serveru možete otvoriti nekoliko portova odjednom ili kreirati nekoliko virtuelnih servera sa različitim IP adresama. Međutim, sa statičkim prosljeđivanjem porta, ne možete proslijediti jedan port na više IP adresa, što znači da port može odgovarati jednoj IP adresi. Nemoguće je, na primjer, konfigurirati nekoliko web servera s različitim IP adresama; da biste to učinili, morat ćete promijeniti zadani port web servera i, kada pristupate portu 80, navesti promijenjeni web port u postavkama rutera kao interni port. port (privatni port) server.

Većina modela rutera također vam omogućava da postavite statičko preusmjeravanje grupe portova, odnosno dodijelite cijelu grupu portova odjednom IP adresi virtuelnog servera. Ova funkcija je korisna ako trebate podržati aplikacije koje koriste veliki broj portova, kao što su igre ili audio/video konferencije. Broj proslijeđenih grupa portova u različiti modeli ruteri se razlikuju, ali obično ih ima najmanje deset.

Dinamičko prosljeđivanje portova (posebna aplikacija)

Statičko prosljeđivanje portova može djelomično riješiti problem pristupa s vanjske mreže uslugama lokalne mreže zaštićene NAT uređajem. Međutim, postoji i suprotan zadatak - potreba da se korisnicima lokalne mreže omogući pristup vanjskoj mreži putem NAT uređaja. Činjenica je da neke aplikacije (na primjer, internet igre, video konferencije, internet telefonija i druge aplikacije koje zahtijevaju istovremeno uspostavljanje više sesija) nisu kompatibilne sa NAT tehnologijom. Da bi se riješio ovaj problem, koristi se takozvano dinamičko preusmjeravanje porta (ponekad se naziva i posebna aplikacija), kada je preusmjeravanje porta postavljeno na individualnom nivou mrežne aplikacije.

Ako ruter podržava ovu funkciju, morate navesti interni broj porta (ili interval porta) povezan s specifičnu primjenu(obično se naziva Trigger Port) i navedite broj vanjskog porta NAT uređaja (Public Port), koji će biti mapiran na interni port.

Kada je omogućeno dinamičko prosljeđivanje portova, ruter prati odlazni promet iz interne mreže i pamti IP adresu računara s kojeg taj promet potiče. Kada podaci stignu nazad u lokalni segment Prosljeđivanje portova je omogućeno i podaci se prosljeđuju unutra. Nakon što se transfer završi, preusmeravanje je onemogućeno, a zatim bilo koji drugi računar može kreirati novo preusmeravanje na svoju IP adresu.

Dinamičko prosljeđivanje portova se prvenstveno koristi za usluge koje uključuju kratkotrajne zahtjeve i prijenose podataka, jer ako jedan računar koristi dato prosljeđivanje porta, drugi računar ne može učiniti isto u isto vrijeme. Ako trebate konfigurirati aplikacije koje zahtijevaju konstantan tok podataka koji zauzima port na dugo vrijeme, tada je dinamičko preusmjeravanje neučinkovito. Međutim, u ovom slučaju postoji rješenje za problem - ono leži u korištenju demilitarizirane zone.

DMZ zona

Demilitarizovana zona (DMZ) je još jedan način da se zaobiđu ograničenja NAT protokola. Svi moderni ruteri imaju ovu funkciju. Kada se računar na internoj lokalnoj mreži stavi u DMZ zonu, on postaje transparentan za NAT protokol. To u suštini znači da je interni mrežni računar bukvalno lociran ispred zaštitnog zida. Za PC koji se nalazi u DMZ zoni, svi portovi se preusmjeravaju na jednu internu IP adresu, što vam omogućava da organizirate prijenos podataka sa vanjske mreže na internu.

Ako se, na primjer, server sa IP adresom 192.168.1.10, koji se nalazi na internoj lokalnoj mreži, nalazi u DMZ zoni, a sama lokalna mreža je zaštićena NAT uređajem, onda kada zahtjev stigne na bilo koji port od eksterne mreže na adresu WAN porta Za NAT uređaj, ovaj zahtjev će biti proslijeđen na IP adresu 192.168.1.10, odnosno na adresu virtuelnog servera u DMZ zoni.

Po pravilu, NAT ruteri SOHO klase dozvoljavaju postavljanje samo jednog računara u DMZ zonu. Primjer konfiguracije računara u DMZ zoni prikazan je na Sl. 5.

Rice. 5. Primjer konfiguracije računala u DMZ zoni

Pošto računar koji se nalazi u DMZ zoni postaje dostupan sa eksterne mreže i nije ni na koji način zaštićen zaštitnim zidom, on postaje ranjiva tačka mreže. Stavljanju računara u demilitarizovanu zonu trebalo bi da pribegnete samo kao poslednje sredstvo, kada nijedan drugi način zaobilaženja ograničenja NAT protokola nije prikladan iz ovog ili onog razloga.

NAT Traversal Technology

Metode koje smo naveli da zaobiđu ograničenja NAT protokola mogu predstavljati određene poteškoće za korisnike početnike. Da bi se olakšala administracija, predložena je automatska tehnologija za konfigurisanje NAT uređaja. NAT Traversal tehnologija omogućava mrežnim aplikacijama da utvrde da li su zaštićene NAT uređajem, saznaju vanjsku IP adresu i izvrše prosljeđivanje portova na automatski način rada. Stoga je prednost NAT Traversal tehnologije to što korisnik ne mora ručno konfigurirati mapiranja portova.

Tehnologija NAT Traversal bazirana je na UPnP (Universal Plug and Play) protokolima, stoga je za aktiviranje ove tehnologije često potrebno provjeriti opciju UPnP&NAT u ruterima.

Enciklopedijski YouTube

1 / 5

✪ 1. Cisco ASA administrator. Šta je zaštitni zid?

✪ ZoneAlarm Free Firewall - Besplatni zaštitni zid za vaš računar

✪ 2. Cisco ASA administrator. Cisco zaštitni zidovi

✪ Zaštitni zidovi

Titlovi

Svrha

Među zadacima koje firewall rješavaju, glavni je zaštita mrežnih segmenata ili pojedinačnih hostova od neovlaštenog pristupa korištenjem ranjivosti u protokolima OSI mrežnog modela ili u softveru instaliranom na mrežnim računalima. Zaštitni zidovi dozvoljavaju ili odbijaju promet upoređujući njegove karakteristike sa određenim obrascima.

Najčešće mjesto za instaliranje firewall-a je na perimetru lokalne mreže radi zaštite internih hostova od vanjskih napada. Međutim, napadi mogu početi i sa internih hostova - u ovom slučaju, ako se napadnuti host nalazi na istoj mreži, saobraćaj neće preći perimetar mreže, a zaštitni zid se neće aktivirati. Stoga su vatrozidovi sada postavljeni ne samo na rubu, već i između različitih segmenata mreže, što pruža dodatni nivo sigurnosti.

Priča

Prvi uređaji koji su filtrirali mrežni promet pojavili su se kasnih 1980-ih, kada je internet bio nov i nije korišten u na globalnom nivou. Ovi uređaji su bili ruteri koji provjeravaju promet na osnovu podataka sadržanih u zaglavljima protokola mrežnog sloja. Kasnije, sa razvojem mrežnih tehnologija, ovi uređaji su bili u mogućnosti da filtriraju saobraćaj koristeći podatke iz protokola višeg transportnog nivoa. Ruteri se mogu smatrati prvom hardverskom i softverskom implementacijom firewall-a.

Softverski zaštitni zidovi pojavili su se mnogo kasnije i bili su mnogo mlađi od antivirusnih programa. Na primjer, projekt Netfilter/iptables (jedan od prvih softverskih zaštitnih zidova ugrađenih u Linux kernel od verzije 2.4) osnovan je 1998. godine. Ovo kasno pojavljivanje je sasvim razumljivo, pošto dugo vremena Antivirus je riješio problem zaštite ličnih računara od zlonamjernog softvera. Međutim, kasnih 1990-ih, virusi su počeli aktivno da iskorištavaju nedostatak zaštitnih zidova na računarima, što je dovelo do povećanog interesa korisnika za ovu klasu uređaja.

Filtriranje saobraćaja

Filtriranje saobraćaja se vrši na osnovu skupa unapred konfigurisanih pravila tzv skup pravila. Pogodno je razmišljati o firewall-u kao nizu filtera koji obrađuju tok informacija. Svaki od filtera je dizajniran za tumačenje posebnog pravila. Redoslijed pravila u skupu ima značajan utjecaj na performanse zaštitnog zida. Na primjer, mnogi zaštitni zidovi uzastopno uspoređuju promet s pravilima dok se ne pronađe podudaranje. Za takve zaštitne zidove, pravila koja odgovaraju najvećem prometu treba da budu postavljena što je više moguće na listi, čime se povećavaju performanse.

Postoje dva principa za obradu dolaznog saobraćaja. Prvi princip glasi: „Ono što nije izričito zabranjeno, dozvoljeno je.” IN u ovom slučaju, ako zaštitni zid primi paket koji ne potpada pod nijedno pravilo, onda se dalje prenosi. Suprotan princip - "Ono što nije izričito dozvoljeno je zabranjeno" - garantuje mnogo veću sigurnost, jer uskraćuje sav promet koji nije izričito dozvoljen pravilima. Međutim, ovaj princip dovodi do dodatnog opterećenja administratora.

Na kraju, zaštitni zidovi obavljaju jednu od dvije operacije na dolaznom prometu: prosljeđuju paket ( dopustiti) ili odbacite paket ( poricati). Neki zaštitni zidovi imaju još jednu operaciju - odbiti, u kojem je paket odbačen, ali je pošiljatelj obaviješten da usluga kojoj je pokušavao pristupiti nije dostupna. Nasuprot tome, tokom operacije poricati pošiljalac nije obaviješten o nedostupnosti usluge, što je sigurnije.

Klasifikacija zaštitnih zidova

Još uvijek ne postoji jedinstvena i općenito prihvaćena klasifikacija zaštitnih zidova. Međutim, u većini slučajeva, podržani sloj OSI mrežnog modela je glavna karakteristika u njihovoj klasifikaciji. S obzirom na ovaj model, razlikuju se sljedeće vrste firewall-a:

1. Upravljani prekidači.
2. Batch filteri.
3. Gateway na nivou sesije.
4. Posrednici sloja aplikacije.
5. Inspektori stanja.

Upravljani prekidači

Mnogi proizvođači mrežne opreme, kao što su Cisco, Nortel, 3Com, ZyXEL, u svojim prekidačima pružaju mogućnost filtriranja saobraćaja na osnovu MAC adresa sadržanih u zaglavljima okvira. Na primjer, u prekidačima porodice Cisco Catalyst ova funkcija je implementirana pomoću mehanizma Port Security. . Međutim, ovaj metod filtriranja nije efikasan, jer se MAC adresa instalirana u hardveru na mrežnoj kartici lako mijenja softverom, budući da vrijednost specificirana preko drajvera ima veći prioritet od one koja je hardverski ugrađena u karticu. Stoga vam mnogi moderni prekidači omogućuju korištenje drugih parametara kao funkcije filtriranja - na primjer, VLAN ID. Tehnologija virtuelne lokalne mreže omogućava vam da kreirate grupe hostova čiji je saobraćaj potpuno izolovan od drugih mrežnih čvorova.

Batch filteri

Filteri paketa rade na mrežnom sloju i kontrolišu prolaz saobraćaja na osnovu informacija sadržanih u zaglavlju paketa. Mnogi zaštitni zidovi ovog tipa mogu raditi sa zaglavljima protokola na višem transportnom nivou (na primjer, TCP ili UDP). Paketni filteri su bili jedni od prvih koji su se pojavili na tržištu firewall-a i do danas su ostali najčešći tip. Ova tehnologija implementiran u velikoj većini rutera, pa čak iu nekim svičevima.

Prilikom raščlanjivanja zaglavlja mrežni paket Mogu se koristiti sljedeći parametri:

• Izvorne i odredišne ​​IP adrese;
• tip transportnog protokola;
• polja zaglavlja usluge protokola mrežnog i transportnog sloja;
• izvorni i odredišni port.

Prilično je uobičajeno filtriranje fragmentiranih paketa, što otežava otkrivanje nekih napada. Mnogi mrežni napadi iskorištavaju ovu ranjivost u zaštitnim zidovima tako što predaju pakete koji sadrže zabranjene podatke kao fragmente drugog, pouzdanog paketa. Jedan od načina za borbu protiv ove vrste napada je konfiguracija zaštitnog zida da blokira fragmentirane pakete. Neki zaštitni zidovi mogu defragmentirati pakete prije nego što ih proslijede internoj mreži, ali to zahtijeva dodatne resurse samog zaštitnog zida, posebno memoriju. Defragmentacija se mora koristiti vrlo razborito, inače takav zaštitni zid može lako postati žrtva DoS napada.

Paketni filteri se mogu implementirati u sljedeće komponente mrežne infrastrukture:

• granični usmjerivači;
• OS;

Budući da filteri paketa obično provjeravaju samo podatke u zaglavljima mrežnog i transportnog sloja, oni to mogu učiniti prilično brzo. Stoga su filteri paketa ugrađeni u rubne rutere idealni za postavljanje na rub mreže sa niskim povjerenjem. Međutim, filteri paketa nemaju mogućnost analize protokola na višim nivoima OSI mrežnog modela. Osim toga, filteri paketa su obično ranjivi na napade koji koriste lažiranje mrežnih adresa. Takvi napadi se obično izvode kako bi se zaobišla kontrola pristupa koju implementira zaštitni zid.

Session Gateways

Pošto ovaj tip zaštitnog zida eliminiše direktnu komunikaciju između dva hosta, gateway sloja sesije je jedini povezujući element između eksterne mreže i unutrašnjih resursa. Ovo stvara izgled da na sve zahtjeve iz vanjske mreže odgovara gateway i čini gotovo nemogućim određivanje topologije zaštićene mreže. Pored toga, pošto se kontakt između čvorova uspostavlja samo ako je validan, gateway sloja sesije sprečava mogućnost DoS napada svojstvenih filterima paketa.

Uprkos efikasnosti ove tehnologije, ona ima ozbiljan nedostatak: kao i sve gore navedene klase zaštitnih zidova, gateway-i na nivou sesije nemaju mogućnost verifikacije sadržaja polja podataka, što omogućava napadaču da prenese „trojanske konje“ u zaštićenu mrežu.

Brokeri aplikacijskog sloja

Nedostaci ovog tipa firewall-a su velika količina vremena i resursa koji se troše na analizu svakog paketa. Iz tog razloga, oni općenito nisu prikladni za aplikacije u stvarnom vremenu. Još jedan nedostatak je nemogućnost automatsko povezivanje podrška za nove mrežne aplikacije i protokole, jer svaki od njih zahtijeva svog agenta.

Državni inspektori

Svaki od gore navedenih tipova zaštitnih zidova koristi se za zaštitu korporativnih mreža i ima niz prednosti. Međutim, bilo bi mnogo efikasnije prikupiti sve ove prednosti u jednom uređaju i dobiti firewall koji filtrira saobraćaj sa mreže na nivo aplikacije. Ova ideja je implementirana u državnim inspektorima, kombinujući visoke performanse i sigurnost. Ova klasa zaštitnih zidova vam omogućava kontrolu:

• svaki poslani paket je zasnovan na tabeli pravila;
• svaka sesija - na osnovu tabele stanja;
• Svaka aplikacija je zasnovana na razvijenim posrednicima.

Filtriranjem saobraćaja na osnovu principa gateway-a na nivou sesije, ovu klasu firewall ne ometaju proces uspostavljanja veza između čvorova. Stoga je učinak inspektora stanja znatno veći od učinka brokera sloja aplikacije i gatewaya sloja sesije i uporediv je sa performansama filtera paketa. Još jedna prednost državnih inspektora je transparentnost za korisnika: za klijenta softver nije potrebna dodatna konfiguracija. Ovi zaštitni zidovi imaju velike mogućnosti proširenja. Kada se pojavi nova usluga ili novi protokol sloja aplikacije, samo trebate dodati nekoliko predložaka koji će to podržati. Međutim, državni inspektori su inherentno manje sigurni od posrednika na nivou aplikacije.

Termin provjera stanja, koji je uveo Check Point Software, postao je toliko popularan među proizvođačima mrežne opreme da je sada gotovo svaki firewall klasifikovan kao ova tehnologija, čak i ako je ne implementira u potpunosti.

Implementacija

Postoje dvije verzije firewall-a - softverska i hardversko-softverska. Zauzvrat, verzija softvera i hardvera ima dvije varijante - u obliku odvojeni modul u prekidaču ili ruteru i kao namjenski uređaj.

Danas se sve češće koristi softversko rješenje koje na prvi pogled izgleda privlačnije. To je zbog činjenice da se za njegovu upotrebu čini da je dovoljno samo kupiti softver firewall i instalirati ga na bilo koji računar u organizaciji. Međutim, kako praksa pokazuje, organizacija nema uvijek besplatan računar, pa čak i onaj koji ispunjava prilično visoke zahtjeve za sistemske resurse. Nakon što se računar pronađe (najčešće kupljen), slijedi proces instaliranja i konfiguracije operativnog sistema, kao i samog firewall softvera. Lako je uočiti da korištenje običnog osobnog računara nije tako jednostavno kao što se čini. Zato su specijalizovani hardverski i softverski sistemi tzv sigurnosni uređaj, na osnovu, po pravilu,