Kako postaviti pametne telefone i računala. Informativni portal
  • Dom
  • Windows 10
  • Mehanizmi informacijske sigurnosti. SPI Firewall modemi

Mehanizmi informacijske sigurnosti. SPI Firewall modemi

28.04.2019 Windows 10



Zašto vam je potreban vatrozid u ruteru

Bežična mreža zahtijeva pažljivu zaštitu jer se ovdje stvaraju najpovoljnije mogućnosti za presretanje informacija. Stoga, ako je nekoliko računala spojeno na mrežu pomoću usmjerivača (usmjerivača), vatrozid treba instalirati i koristiti ne samo na svakom računalu, već i na usmjerivaču. Na primjer, funkciju vatrozida u usmjerivaču serije DI-XXX obavlja SPI, koji vrši dodatnu inspekciju paketa. Predmet provjere je pripadaju li paketi uspostavljenoj vezi.

Tijekom sesije povezivanja otvara se port koji se može pokušati napasti stranim paketima, što je posebno povoljan trenutak za to - kada se sesija završi, a port ostaje otvoren još nekoliko minuta. Stoga, prisjeća se SPI Trenutna država sesije i analizira sve dolazne pakete. Moraju odgovarati očekivanom – doći s adrese na koju je zahtjev poslan, imati određene brojke... Ako paket ne odgovara sesiji, odnosno nije točan, blokira se i ovaj događaj se bilježi u zapisnik. Drugi vatrozid na usmjerivaču omogućuje vam blokiranje odlaznih veza sa zaraženog računala.

Sveučilišni YouTube

    1 / 5

    ✪ 1. Cisco ASA administrator. Što je vatrozid?

    ✪ ZoneAlarm Free Firewall - Besplatni vatrozid za vaše računalo

    ✪ 2. Cisco ASA administrator. Između vatrozidi Cisco

    ✪ Vatrozidi

    titlovi

Ugovoreni sastanak

Među zadaćama koje vatrozidi rješavaju, glavni je zaštita mrežnih segmenata ili pojedinačnih hostova od neovlaštenog pristupa korištenjem ranjivosti u protokolima mrežnog modela OSI ili u softveru instaliranom na mrežnim računalima. Vatrozidovi dopuštaju ili odbijaju promet uspoređujući njegove karakteristike s određenim obrascima.

Najčešće mjesto za instaliranje vatrozida je na granici perimetra lokalne mreže kako bi se zaštitili interni domaćini od vanjskih napada. Međutim, napadi mogu započeti i s unutarnjih čvorova - u ovom slučaju, ako se napadnuti host nalazi na istoj mreži, promet neće prijeći granicu perimetra mreže, a vatrozid neće biti uključen. Stoga se trenutno vatrozidi postavljaju ne samo na granici, već i između različitih segmenata mreže, što omogućuje dodatna razina sigurnost.

Priča

Prvi uređaji koji obavljaju funkciju filtriranja mrežni promet, pojavio se krajem 1980-ih, kada je internet bio inovacija i nije se koristio u globalne razmjere... Ti su uređaji bili usmjerivači koji provjeravaju promet na temelju podataka sadržanih u zaglavljima protokola mrežnog sloja. Nakon toga, s razvojem mrežne tehnologije, ovi uređaji sada mogu filtrirati promet koristeći podatke iz protokola višeg, transportnog sloja. Usmjerivači se mogu smatrati prvom hardverskom/softverskom implementacijom vatrozida.

Softverski vatrozidi pojavili su se mnogo kasnije i bili su mnogo mlađi od antivirusnog softvera. Na primjer, projekt Netfilter / iptables (jedan od prvih softverskih vatrozida ugrađenih u jezgru Linuxa od 2.4) osnovan je 1998. godine. Ovako kasno pojavljivanje sasvim je razumljivo, budući da je antivirus dugo vremena rješavao problem zaštite osobnih računala od zlonamjernog softvera... Međutim, krajem 1990-ih virusi su počeli aktivno koristiti odsutnost vatrozida na računalima, što je dovelo do povećanja interesa korisnika za ovu klasu uređaja.

Filtriranje prometa

Filtriranje prometa temelji se na skupu unaprijed konfiguriranih pravila tzv skup pravila... Vatrozid je prikladno zamisliti kao niz filtara koji obrađuju protok informacija. Svaki od filtara dizajniran je za tumačenje zasebnog pravila. Dosljednost pravila u skupu ima značajan utjecaj na performanse vatrozida. Na primjer, mnogi vatrozidovi uzastopno uspoređuju promet s pravilima dok se ne pronađe podudaranje. Za ove vatrozide pravila koja odgovaraju najvećem prometu trebaju biti postavljena što je više moguće na popisu, čime se povećava izvedba.

Postoje dva principa za rukovanje dolaznim prometom. Prvo načelo glasi: "Ono što nije izričito zabranjeno, dopušteno je." U tom slučaju, ako vatrozid primi paket koji ne odgovara nijednom pravilu, prosljeđuje se dalje. Suprotno načelo - "Što nije izričito dopušteno je zabranjeno" - jamči puno veću sigurnost, budući da zabranjuje sav promet koji nije izričito dopušten pravilima. Međutim, ovo načelo postaje dodatno opterećenje za administratora.

U konačnici, vatrozidi izvode jednu od dvije operacije na dolaznom prometu: prosljeđuju paket dalje ( dopustiti) ili ispusti paket ( poricati). Neki vatrozidovi imaju još jednu operaciju - odbiti, u kojem je paket odbačen, ali se pošiljatelj obavještava da usluga kojoj je pokušavao pristupiti nije dostupna. Nasuprot tome, tijekom operacije poricati pošiljatelj nije obaviješten o nedostupnosti usluge, što je sigurnije.

Klasifikacija vatrozida

Do sada ne postoji jedinstvena i općeprihvaćena klasifikacija vatrozida. Međutim, u većini slučajeva, podržani sloj OSI mrežnog modela glavna je karakteristika u njihovoj klasifikaciji. S obzirom ovaj model, razlikuju se sljedeće vrste vatrozida:

  1. Upravljani prekidači.
  2. Paketni filteri.
  3. Pristupnici na razini sesije.
  4. Posrednici u aplikaciji.
  5. Državni inspektori.

Upravljani prekidači

Mnogi proizvođači mrežna oprema kao što su Cisco, Nortel, 3Com, ZyXEL daju u svojim prekidačima mogućnost filtriranja prometa na temelju MAC adresa sadržanih u zaglavljima okvira. Na primjer, u prekidačima obitelji Cisco Catalyst, ova se značajka implementira pomoću mehanizma Port Security. ... ali ovu metodu filtriranje nije učinkovito jer je ugrađen hardver Mrežna kartica MAC adresa se lako mijenja programski jer vrijednost specificirana putem drajvera ima veći prioritet od one koja je ugrađena u ploču. Stoga mnogi moderni prekidači omogućuju korištenje drugih parametara kao atributa filtriranja - na primjer, VLAN ID. Tehnologija virtualnih lokalnih mreža (eng.Virtual Lokalno područje Mreža) omogućuje stvaranje grupa hostova čiji je promet potpuno izoliran od ostalih čvorova na mreži.

Filteri paketa

Filtri paketa djeluju na mrežnom sloju i kontroliraju protok prometa na temelju informacija sadržanih u zaglavlju paketa. Mnogi vatrozidovi ovog tipa može raditi sa zaglavljima protokola i višim, transportnim, slojevima (na primjer, TCP ili UDP). Paketni filteri su se među prvima pojavili na tržištu vatrozida i ostali su najčešći tip filtera do danas. Ova tehnologija je implementirana u velikoj većini usmjerivača, pa čak i u nekim prekidačima.

Prilikom analize zaglavlja mrežnog paketa, mogu se koristiti sljedeći parametri:

  • Izvorne i odredišne ​​IP adrese;
  • vrsta transportnog protokola;
  • polja zaglavlja usluga protokola mrežnih i transportnih slojeva;
  • izvorna i odredišna luka.

Prilično je uobičajeno filtrirati fragmentirane pakete, što otežava identificiranje nekih napada. Mnogi mrežni napadi iskorištavaju ovu ranjivost vatrozida predstavljajući pakete koji sadrže zabranjene podatke kao fragmente drugog, pouzdanog paketa. Jedan od načina borbe protiv ove vrste napada je konfiguriranje vatrozida da blokira fragmentirane pakete. Neki vatrozidi mogu defragmentirati pakete prije prosljeđivanja na internu mrežu, ali to zahtijeva dodatni resursi sam firewall, posebno memoriju. Defragmentacija se mora koristiti vrlo razumno, inače takav vatrozid može lako postati žrtva samog DoS napada.

Filtri paketa mogu se implementirati u sljedeće komponente mrežne infrastrukture:

  • granični usmjerivači;
  • OS;

Budući da filteri paketa obično provjeravaju podatke samo u zaglavljima mrežnog i transportnog sloja, to mogu učiniti prilično brzo. Stoga su filteri paketa ugrađeni u rubne usmjerivače idealni za postavljanje na rub mreže s niskim povjerenjem. Međutim, filteri paketa nemaju mogućnost analize protokola viših slojeva OSI mrežnog modela. Osim toga, filteri paketa obično su osjetljivi na napade koji koriste lažiranje mrežne adrese. Ovi se napadi obično izvode kako bi se zaobišle ​​kontrole pristupa vatrozidu.

Pristupnici na razini sesije

Budući da ova vrsta vatrozida eliminira izravnu komunikaciju između dva hosta, pristupnik na razini sesije jedina je veza između vanjske mreže i unutarnjih resursa. Time se stvara izgled koji za sve zahtjeve od vanjska mreža gateway odgovara i čini gotovo nemogućim određivanje topologije zaštićene mreže. Osim toga, budući da se kontakt između čvorova uspostavlja samo ako je valjan, pristupnik sloja sesije sprječava DoS napad svojstven filterima paketa.

Unatoč učinkovitosti ove tehnologije, ona ima ozbiljan nedostatak: kao i sve gore navedene klase vatrozida, pristupnici na razini sesije nemaju mogućnost provjere sadržaja podatkovnog polja, što napadaču omogućuje prijenos trojanskih konja na zaštićena mreža.

Posrednici u aplikaciji

Nedostaci ovog tipa vatrozida su vrijeme i resursi potrebni za analizu svakog paketa. Iz tog razloga obično nisu prikladni za aplikacije u stvarnom vremenu. Drugi nedostatak je nemogućnost automatsko povezivanje podrška za nove mrežne aplikacije i protokole, budući da svaki od njih zahtijeva svog agenta.

Statusni inspektori

Svaki od gore navedenih tipova vatrozida koristi se za zaštitu korporativnih mreža i ima nekoliko prednosti. Međutim, bilo bi puno učinkovitije prikupiti sve te prednosti u jednom uređaju i dobiti vatrozid koji filtrira promet s mreže na sloj aplikacije. Ova ideja je provedena u državnim inspektorima, koji kombiniraju visoku učinkovitost i sigurnost. Ova klasa vatrozida omogućuje vam kontrolu:

  • svaki odaslani paket - na temelju tablice pravila;
  • svaka sjednica - na temelju tablice stanja;
  • svaka se aplikacija temelji na razvijenim posrednicima.

Filtriranjem prometa prema principu pristupnika na razini sesije, ovaj sat vatrozidi ne ometaju proces uspostavljanja veza između čvorova. Stoga je izvedba Državnog inspektora osjetno bolja od izvedbe aplikacijskog posrednika i pristupnika sloja sesije te je usporediva s izvedbom filtara paketa. Još jedna prednost državnih inspektora je transparentnost za korisnika: nema potrebe za klijentskim softverom dodatna prilagodba... Ovi vatrozidovi su vrlo skalabilni. Kad god se uvede nova usluga ili novi aplikacijski protokol, dovoljno je dodati nekoliko predložaka za podršku. Međutim, državni inspektori su manje sigurni od posrednika u aplikacijama.

Pojam provjere stanja, koji je uveo Check Point Software, proizvođači mrežne opreme toliko vole da je sada gotovo svaki vatrozid klasificiran kao ova tehnologija, čak i ako je ne implementira u potpunosti.

Implementacija

Postoje dvije opcije za izvođenje vatrozida - softver i firmware. Zauzvrat, verzija softvera i hardvera ima dvije varijante - u obliku zasebnog modula u prekidaču ili usmjerivaču i u obliku specijaliziranog uređaja.

Danas se sve češće koristi softversko rješenje koje na prvi pogled izgleda privlačnije. To je zbog činjenice da se za njegovu upotrebu čini da je dovoljno samo kupiti softver vatrozida i instalirati ga na bilo koje računalo dostupno u organizaciji. Međutim, kako praksa pokazuje, organizacija nema uvijek besplatno računalo, pa čak i ispunjavanje prilično visokih zahtjeva za resursi sustava... Nakon što je računalo ipak pronađeno (najčešće kupljeno), slijedi proces instalacije i konfiguracije operativnog sustava, kao i, izravno, softvera vatrozida. Lako je vidjeti da korištenje običnog osobnog računala nije ni približno tako jednostavno kao što se čini. Zato se specijalizirani hardverski i softverski sustavi tzv sigurnosni uređaj, na temelju, u pravilu,

Uz veliki izbor profesionalaca softverski alati zaštita od različite vrste napadi na lokalnu mrežu izvana (odnosno s interneta) svi imaju jedan ozbiljan nedostatak - visoka cijena... I ako dolazi o malim mrežama klase SOHO, onda je kupnja solidnih paketa nedopušten luksuz. Istodobno, treba napomenuti da za male mreže mogućnosti takvih paketa mogu biti čak i pretjerane. Stoga se za zaštitu malih mreža SOHO klase naširoko koriste jeftina hardverska rješenja - vatrozidi. Po dizajnu, vatrozidi mogu raditi kao samostalno rješenje ili biti dio Osobito usmjerivači klase SOHO bežični usmjerivači, što vam omogućuje kombiniranje na njihovoj osnovi žičanih i bežičnih segmenata lokalna mreža.
U ovom članku ćemo pokriti glavne funkcionalnost moderni hardverski vatrozidi koji se ugrađuju u usmjerivače klase SOHO i koriste se za zaštitu malih lokalnih mreža.

Vatrozidovi kao dio usmjerivača

Budući da su usmjerivači mrežni uređaji koji se nalaze na granici između interne i vanjske mreže i djeluju kao mrežni pristupnik, trebali bi biti dizajnirani s najmanje dva porta. Na jedan od ovih portova spojena je lokalna mreža i ovaj port postaje interni LAN port. Vanjska mreža (Internet) spojena je na drugi priključak, pretvarajući ga u vanjski WAN port. U pravilu, usmjerivači klase SOHO imaju jedan WAN port i nekoliko (od jednog do četiri) LAN porta, koji se kombiniraju u prekidač. U većini slučajeva, WAN port prekidača ima 10 / 100Base-TX sučelje, a na njega se može spojiti ili xDSL modem s odgovarajućim sučeljem ili Ethernet mrežni kabel.

Osim toga, raširena uporaba bežičnih mreža dovela je do pojave cijele klase takozvanih bežičnih usmjerivača. Ovi uređaji, osim klasičnog usmjerivača s WAN i LAN portovima, sadrže integriranu bežičnu pristupnu točku koja podržava IEEE 802.11a/b/g protokol. Bežični segment mreže koji vam omogućuje organiziranje pristupne točke, sa stajališta usmjerivača, odnosi se na internu mrežu i u tom smislu se računala koja su bežično spojena na usmjerivač ne razlikuju od onih spojenih na LAN. luka.

Svaki usmjerivač, kao uređaj mrežnog sloja, ima svoju IP adresu. Osim rutera, WAN port ima i svoju IP adresu.

Računala spojena na LAN portove usmjerivača moraju imati IP adresu na istoj podmreži kao i sam usmjerivač. Osim toga, u mrežnim postavkama ovih računala morate postaviti zadanu adresu pristupnika koja odgovara IP adresi usmjerivača. Konačno, uređaj spojen na WAN priključak s vanjske mreže mora imati IP adresu iz iste podmreže kao i WAN priključak usmjerivača.

Budući da usmjerivač djeluje kao pristupnik između lokalne mreže i Interneta, logično je očekivati ​​od njega takvu funkciju kao što je zaštita interne mreže od neovlaštenog pristupa. Stoga, gotovo svi moderni usmjerivači SOHO razredi imaju ugrađene hardverske vatrozide, koji se također nazivaju vatrozidi.

Funkcije vatrozida

Glavni zadatak svakog vatrozida u konačnici se svodi na osiguranje interne mreže. Kako bi riješili ovaj problem, vatrozidi moraju moći maskirati zaštićenu mrežu, blokirati sve poznate vrste hakerski napadi, blokiraju curenje informacija iz interne mreže, kontroliraju aplikacije koje dobivaju pristup vanjskoj mreži.

Da bi se realizirao specificirane funkcije, vatrozidi analiziraju sav promet između vanjske i interne mreže na usklađenost s određenim utvrđenim kriterijima ili pravilima koja određuju uvjete za protok prometa iz jedne mreže u drugu. Ako promet zadovoljava navedene kriterije, vatrozid će mu dopustiti da prođe kroz sebe. U suprotnom, to jest, ako nisu ispunjeni navedeni kriteriji, vatrozid blokira promet. Vatrozidovi filtriraju i ulazne i odlazni promet i također vam omogućuju kontrolu pristupa određenim mrežnim resursima ili aplikacijama. Mogu snimiti sve pokušaje neovlaštenog pristupa resursima lokalne mreže i izdati upozorenja o pokušajima upada.

Po svojoj namjeni vatrozidi ponajviše podsjećaju na kontrolnu točku (kontrolnu točku) čuvanog objekta, gdje se provjeravaju dokumenti za sve koji ulaze na teritorij objekta i sve koji ga napuštaju. Ako je propusnica ispravna, pristup na teritorij je dopušten. Vatrozidi rade na potpuno isti način, samo mrežni paketi djeluju kao ljudi koji prolaze kroz kontrolnu točku, a prolaz je korespondencija zaglavlja tih paketa s unaprijed definiranim skupom pravila.

Jesu li vatrozidi toliko pouzdani?

Može li se reći da je vatrozid 100 posto siguran na korisničkoj mreži ili osobnom računalu? Naravno da ne. Ako samo zato što niti jedan sustav ne daje 100% sigurnosno jamstvo. Vatrozid treba tretirati kao alat koji, ako je ispravno konfiguriran, može značajno zakomplicirati zadatak napadača da prodre na osobno računalo korisnika. Ističemo: samo zakomplicirati, ali nikako da jamčimo apsolutnu sigurnost. Usput, ako ne govorimo o zaštiti lokalne mreže, već o zaštiti zasebnog računala koji ima pristup Internetu, tada se uspješno nosi s osiguranjem svoje osobne sigurnosti ICF vatrozid(Internet Connection Firewall) ugrađen u operacijsku salu Windows sustav XP Stoga ćemo u budućnosti govoriti samo o korporativnim hardverskim vatrozidima usmjerenim na zaštitu malih mreža.

Ako je vatrozid instaliran na ulazu u lokalnu mrežu aktiviran od strane cijeli program(u pravilu to odgovara zadanim postavkama), tada je mreža koju štiti potpuno neprobojna i nedostupna izvana. Međutim, takva potpuna neprobojnost unutarnje mreže ima svoje Druga strana... Činjenica je da u ovom slučaju postaje nemoguće koristiti internetske usluge (na primjer, ICQ i slične programe) instalirane na računalu. Dakle, zadatak konfiguracije vatrozida je napraviti prozore u prvobitno praznom zidu, koji je vatrozid za napadača, što omogućuje korisničkih programa odgovoriti na zahtjeve izvana i u konačnici implementirati kontroliranu interakciju interne mreže s vanjskim svijetom. Međutim, što se više takvih prozora pojavljuje u takvom zidu, sama mreža postaje ranjivija. Stoga još jednom naglašavamo: nijedan vatrozid ne može jamčiti apsolutnu sigurnost lokalne mreže koju štiti.

Klasifikacija vatrozida

Mogućnosti vatrozida i inteligencija ovise o sloju OSI referentnog modela na kojem rade. Što je viši OSI sloj na kojem je izgrađen vatrozid, to je veća razina zaštite koju pruža.

Prisjetite se toga OSI model(Open System Interconnection) uključuje sedam slojeva mrežne arhitekture. Prva, najniža, je fizička razina. Slijede slojevi podatkovne veze, mreže, prijenosa, sesije, prezentacije i aplikacije ili aplikacije. Kako bi osigurao filtriranje prometa, vatrozid mora raditi barem na trećem sloju OSI modela, odnosno na mrežnom sloju, gdje se paketi usmjeravaju na temelju prijevoda MAC adresa u mrežne adrese. Sa stajališta TCP/IP protokola, ovaj sloj odgovara sloju IP (Internet Protocol). Primajući informacije mrežnog sloja, vatrozidi mogu odrediti izvornu i odredišnu adresu paketa i provjeriti je li promet između tih odredišta prihvatljiv. Međutim, nema dovoljno informacija o mrežnom sloju za analizu sadržaja paketa. Vatrozidovi koji djeluju na transportnom sloju OSI modela dobivaju malo više informacija o paketima i u tom smislu mogu pružiti inteligentnije sheme za zaštitu mreža. Vatrozidi aplikacijskog sloja imaju potpune informacije o mrežnim paketima, što znači da pružaju najpouzdaniju zaštitu mreže.

Ovisno o razini OSI modela na kojem rade vatrozidovi, povijesno se razvila sljedeća klasifikacija ovih uređaja:

  • filter paketa;
  • pristupnik na razini kruga;
  • pristupnik na razini aplikacije;
  • Inspekcija paketa s punim stanjem (SPI).

Imajte na umu da ovu klasifikaciju ima samo povijesni interes, budući da su svi moderni vatrozidi klasificirani kao najnapredniji (u smislu mrežne zaštite) SPI vatrozidovi.

Filteri paketa

Vatrozidi za paketne filtere su najjednostavniji (najmanje inteligentni). Ovi vatrozidi rade na mrežnom sloju OSI modela ili IP sloju stog TCP/IP protokola. Takvi vatrozidovi su obvezni u svakom usmjerivaču, budući da svaki usmjerivač radi barem na trećem sloju OSI modela.

Svrha filtara paketa je filtriranje paketa na temelju informacija o izvornoj ili odredišnoj IP adresi i brojevima portova.

U vatrozidima paketnog filtera svaki se paket analizira kako bi zadovoljio kriterije prijenosa ili blok prijenosa prije nego što se prenese. Ovisno o paketu i definiranim kriterijima prijenosa, vatrozid može proslijediti paket, odbiti ga ili poslati obavijest pošiljatelju prijenosa.

Paketni filteri su jednostavni za implementaciju i imaju mali ili nikakav utjecaj na brzinu usmjeravanja.

Pristupnici na razini sesije

Pristupnici sloja sesije su vatrozidi koji rade na sloju sesije OSI modela ili sloju TCP (Transport Control Protocol) sloja TCP/IP protokola. Ovi vatrozidi nadziru proces uspostavljanja TCP veze (organizacija komunikacijskih sesija između krajnjih strojeva) i omogućuju vam da utvrdite je li ova komunikacijska sesija legitimna. Podaci koji se prenose na udaljeno računalo na vanjskoj mreži putem gatewaya na razini sesije ne sadrže podatke o izvoru prijenosa, odnosno sve izgleda kao da podatke šalje sam vatrozid, a ne računalo na internom (zaštićena) mreža. Svi NAT vatrozidovi su pristupnici sloja sesije (NAT će biti opisan u nastavku).

Pristupnici na razini sesije također ne utječu značajno na brzinu usmjeravanja. U isto vrijeme, ovi pristupnici nisu sposobni filtrirati pojedinačne pakete.

Pristupnici aplikacije

Pristupnici aplikacijskog sloja ili proxy poslužitelji rade na aplikacijskom sloju OSI modela. Aplikacijski sloj je odgovoran za pristup aplikacijama mreži. Zadaci ove razine uključuju prijenos datoteka, razmjenu preko maila i upravljanje mrežom. Primajući informacije o paketima na razini aplikacije, pristupnici na razini aplikacije mogu implementirati blokiranje pristupa određene usluge... Na primjer, ako je pristupnik sloja aplikacije konfiguriran kao Web-proxy, tada će se blokirati svaki promet povezan s Telnet, FTP, Gopher protokolima. Budući da ovi vatrozidi analiziraju pakete na aplikacijskom sloju, sposobni su filtrirati određene naredbe kao što su http: post, get, itd. Ova značajka nije dostupna ni filterima paketa ni pristupnicima na razini sesije. Pristupnici na razini aplikacije također se mogu koristiti za registraciju aktivnosti pojedinačnih korisnika i za njihovo uspostavljanje komunikacijskih sesija. Ovi vatrozidi nude više pouzdan način Zaštita mreža u odnosu na pristupnike na razini sesije i filtere paketa.

SPI vatrozidi

Najnovija vrsta vatrozida, Stateful Packet Inspection (SPI), u isto vrijeme kombinira prednosti filtara paketa, pristupnika sesije i pristupnika aplikacija. To jest, zapravo govorimo o višeslojnim vatrozidima koji rade istovremeno na razini mreže, sesije i aplikacije.

SPI vatrozidi filtriraju pakete na mrežnom sloju, određuju legitimnost uspostavljanja sesije na temelju podataka sloja sesije i analiziraju sadržaj paketa na temelju podataka sloja aplikacije.

Ovi vatrozidi pružaju najpouzdaniji način zaštite mreža i danas su de facto standard.

Konfiguriranje vatrozida

Metodologija i opcije za konfiguriranje vatrozida ovise o specifičan model... Nažalost, ne postoje ujednačena pravila prilagodbe, a kamoli ujednačeno sučelje. Možemo govoriti samo o nekim općim pravilima kojih se treba pridržavati. Zapravo, osnovno pravilo je prilično jednostavno - potrebno je zabraniti sve što nije potrebno za normalno funkcioniranje mreže.

Najčešće se mogućnosti konfiguriranja vatrozida svode na aktiviranje nekih unaprijed definiranih pravila i kreiranje statičkih pravila u obliku tablice.

Uzmimo kao primjer mogućnosti za konfiguriranje vatrozida uključenih u Gigabyte GN-B49G usmjerivač. Ovaj usmjerivač ima niz unaprijed definiranih pravila za provođenje različitih razina sigurnosti na internoj mreži. Ova pravila uključuju sljedeće:

  • Pristup konfiguraciji i administraciji usmjerivača sa strane WAN-a je zabranjen. Aktivacija ove funkcije zabranjuje pristup postavkama usmjerivača s vanjske mreže;
  • Pristup s Global-IP-a na Private-IP je zabranjen unutar LAN-a. Ova vam funkcija omogućuje blokiranje pristupa unutar lokalne mreže s globalnih IP adresa (ako ih ima) do IP adresa rezerviranih za privatnu upotrebu;
  • Spriječite dijeljenje datoteka i pisača izvan mreže usmjerivača. Funkcija izvana sprječava korištenje zajedničkog pristupa pisačima i datotekama na internoj mreži;
  • Postojanje usmjerivača ne može se otkriti sa strane WAN-a. Ova funkcija čini usmjerivač nevidljivim iz vanjske mreže;
  • Spriječeni su napadi tipa uskraćivanja usluge (DoS). Kada je ova funkcija omogućena, implementira se zaštita od DoS (Denial of Service) napada. DoS napadi Je vrsta mrežnog napada, koji se sastoji u pristizanju mnoštva zahtjeva na poslužitelj koji zahtijevaju uslugu koju pruža sustav. Poslužitelj troši svoje resurse na uspostavljanje i održavanje veze, a uz određeni protok zahtjeva ne može se nositi s njima. Zaštita od napada ovog tipa temelji se na analizi izvora viška prometa u odnosu na normalan promet i zabrani njegovog prijenosa.

Kao što smo već napomenuli, mnogi vatrozidovi imaju unaprijed definirana pravila koja su sama po sebi ista kao ona gore navedena, ali mogu imati različita imena.

Drugi način za konfiguriranje vatrozida je stvaranje statičkih pravila koja vam omogućuju ne samo zaštitu mreže izvana, već i ograničavanje korisnika lokalne mreže u pristupu vanjskoj mreži. Mogućnosti za stvaranje pravila su prilično fleksibilne i omogućuju implementaciju gotovo svake situacije. Da biste stvorili pravilo, postavite izvornu IP adresu (ili raspon adresa), izvorne portove, IP adrese i odredišne ​​portove, vrstu protokola, smjer prijenosa paketa (iz interne mreže na vanjsku mrežu ili obrnuto), kao i radnja koju treba poduzeti kada se paket otkrije.s naznačenim svojstvima (ispusti ili preskoči paket). Na primjer, ako želite zabraniti korisnicima interne mreže (raspon IP adresa: 192.168.1.1-192.168.1.100) pristup FTP poslužitelju (port 21) koji se nalazi na vanjskoj IP adresi 64.233.183.104, tada pravilo može biti formulirano kako slijedi:

  • smjer prosljeđivanja paketa: LAN-to-WAN;
  • Izvorne IP adrese: 192.168.1.1-192.168.1.100;
  • izvorni priključak: 1-65535;
  • luka primatelja: 21;
  • protokol: TCP;
  • radnja: pad.

Statička konfiguracija pravila vatrozida za gornji primjer prikazana je na Sl. jedan.

NAT kao dio vatrozida

Svi moderni usmjerivači s ugrađenim vatrozidima podržavaju protokol prevođenja mrežne adrese NAT (prevod mrežne adrese).

NAT nije dio vatrozida, ali također pomaže u poboljšanju mrežne sigurnosti. Glavna zadaća NAT protokola je riješiti problem nedostatka IP adresa, koji postaje sve hitniji kako broj računala raste.

Činjenica je da su u trenutnoj verziji IPv4 protokola četiri bajta dodijeljena za određivanje IP adrese, što omogućuje generiranje preko četiri milijarde adresa mrežnih računala. Naravno, u ranim danima interneta, bilo je teško zamisliti da jednog dana ovaj broj IP adresa možda neće biti dovoljan. Kako bi se djelomično riješio problem nedostatka IP adresa, svojedobno je predložen NAT protokol za prevođenje mrežnih adresa.

NAT je definiran RFC 1631, koji definira kako se mrežne adrese prevode.

U većini slučajeva, NAT uređaj prevodi IP adrese rezervirane za privatnu upotrebu na lokalnim mrežama u javne IP adrese.

Privatni adresni prostor regulira RFC 1918. Ove adrese uključuju sljedeće IP raspone: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-192.5.5.

Prema RFC 1918, privatne IP adrese ne mogu se koristiti na WAN-u, tako da se mogu slobodno koristiti samo u interne svrhe.

Prije nego što prijeđemo na specifičnosti NAT protokola, pogledajmo kako dolazi do mrežne veze između dva računala.

Kada jedno računalo na mreži uspostavi vezu s drugim računalom, otvara se utičnica, identificirana izvornom IP adresom, izvornim portom, odredišnom IP adresom, odredišnim portom i mrežnim protokolom. Format IP paketa pruža dvobajtno polje za brojeve portova. To vam omogućuje definiranje 65.535 portova koji igraju ulogu svojevrsnih komunikacijskih kanala. Od 65.535 luka, prvih 1.023 rezervirano je za dobro poznate usluge poslužitelja kao što su Web, FTP, Telnet itd. Svi ostali priključci mogu se koristiti za bilo koju drugu svrhu.

Ako, na primjer, jedno mrežno računalo pristupi FTP poslužitelju (port 21), tada kada se utičnica otvori, operativni sustav dodjeljuje sesiji bilo koji port veći od 1023. Na primjer, to može biti port 2153. Tada se šalje IP paket s računala na FTP -poslužitelj, sadržavat će IP adresu pošiljatelja, port pošiljatelja (2153), IP adresu primatelja i odredišni port (21). IP adresa i port pošiljatelja će se koristiti za odgovor od poslužitelja do klijenta. Korištenje različitih portova za različite mrežne sesije omogućuje mrežnim klijentima da istovremeno uspostave nekoliko sesija s različitim poslužiteljima ili s uslugama jednog poslužitelja.

Pogledajmo sada proces uspostavljanja sesije pri korištenju NAT usmjerivača na granici interne mreže i interneta.

Kada klijent na internoj mreži uspostavi vezu s poslužiteljem na vanjskoj mreži, tada se, kao i u slučaju uspostavljanja veze između dva računala, otvara utičnica određena izvornom IP adresom, izvornim portom, odredišnom IP adresom, odredišni port i mrežni protokol. Kada aplikacija prenosi podatke preko ove utičnice, izvorna IP adresa i izvorni port se umeću u paket u poljima izvornih parametara. Polja odredišnih parametara sadržavat će IP adresu poslužitelja i port poslužitelja. Na primjer, računalo na internoj mreži s IP adresom 192.168.0.1 može pristupiti web poslužitelju na WAN-u s IP adresom 64.233.188.104. U tom slučaju, operativni sustav klijenta može dodijeliti uspostavljeni port sesije 1251 (izvorni port), a odredišni port je port web usluge, odnosno 80. Tada će se sljedeći atributi naznačiti u zaglavlju poslani paket (slika 2):

  • izvorni port: 1251;
  • IP adresa primatelja: 64.233.183.104;
  • luka primatelja: 80;
  • protokol: TCP.

NAT uređaj (usmjerivač) presreće odlazni paket iz interne mreže i unosi mapiranje izvornih i odredišnih portova paketa u svoju internu tablicu koristeći odredišnu IP adresu, odredišni port, IP adresu vanjskog NAT uređaja, vanjski port, mrežu protokol, te interne IP adrese -adresa i port klijenta.

Pretpostavimo da u gornjem primjeru NAT usmjerivač ima vanjsku IP adresu 195.2.91.103 (adresa WAN porta), a za uspostavljenu sesiju vanjski port NAT uređaja je 3210. U ovom slučaju, interni izvor i odredište Tablica mapiranja portova paketa sadrži sljedeće informacije:

  • Izvor IP: 192.168.0.1;
  • izvorni port: 1251;
  • vanjska IP adresa

NAT uređaji: 195.2.91.103;

  • vanjski port NAT uređaja: 3210;
  • IP adresa primatelja: 64.233.183.104;
  • luka primatelja: 80;
  • protokol: TCP.

NAT uređaj zatim "prevodi" paket, transformirajući izvorna polja u paketu: interna IP adresa i port klijenta zamjenjuju se vanjskom IP adresom i portom NAT-a. U ovom primjeru, pretvoreni paket će sadržavati sljedeće informacije:

  • Izvor IP: 195.2.91.103
  • izvorni priključak: 3210;
  • IP adresa primatelja: 64.233.183.104;
  • luka primatelja: 80;
  • protokol: TCP.

Pretvoreni paket se šalje preko vanjske mreže i na kraju dolazi do navedenog poslužitelja.

Nakon što primi paket, poslužitelj će proslijediti pakete odgovora na vanjsku IP adresu i port NAT uređaja (usmjerivača), navodeći vlastitu IP adresu i port u izvornim poljima (slika 3). U razmatranom primjeru, paket odgovora s poslužitelja će sadržavati sljedeće informacije u zaglavlju:

  • izvorni priključak: 80;
  • IP adresa primatelja: 195.2.91.103;
  • luka primatelja: 3210;
  • protokol: TCP.

Riža. 3. Princip rada NAT uređaja pri prijenosu paketa iz vanjske mreže u internu

NAT uređaj prihvaća te pakete od poslužitelja i analizira njihov sadržaj na temelju svoje tablice mapiranja portova. Ako se u tablici pronađe mapiranje porta za koje izvorna IP adresa, izvorni port, odredišni port i mrežni protokol iz dolaznog paketa odgovaraju IP adresi udaljenog hosta, s udaljeni port i s mrežnim protokolom navedenim u mapiranju porta, tada će NAT izvesti obrnuta transformacija: zamijenit će vanjski IP i vanjski port u odredišnim poljima paketa s IP adresom i internim portom klijenta na internoj mreži. Dakle, paket koji se prenosi na internu mrežu za gornji primjer imat će sljedeće atribute:

  • Izvor IP: 64.233.183.104;
  • izvorni priključak: 80;
  • IP adresa primatelja: 192.168.0.1;
  • luka primatelja: 1251;
  • protokol: TCP.

Međutim, ako nema podudaranja u tablici mapiranja portova, onda dolazni paket je odbijen i veza se prekida.

Zahvaljujući NAT usmjerivaču, svako računalo na internoj mreži može prenositi podatke u WAN koristeći vanjsku IP adresu i port usmjerivača. Istodobno, IP adrese interne mreže, kao portovi dodijeljeni sesijama, ostaju nevidljivi iz vanjske mreže.

Međutim, NAT usmjerivač dopušta komunikaciju između računala na internoj i vanjskoj mreži samo ako ovu razmjenu pokrene računalo na internoj mreži. Ako bilo koje računalo na vanjskoj mreži pokuša pristupiti računalu na unutarnjoj mreži na vlastitu inicijativu, tada NAT uređaj odbija ovu vezu. Stoga, osim što rješava problem nedovoljnih IP adresa, NAT također pomaže u poboljšanju sigurnosti interne mreže.

Problemi s NAT uređajima

Unatoč naizgled jednostavnosti rada NAT uređaja, s njima su povezani neki problemi koji često otežavaju organizaciju komunikacije između mrežnih računala ili čak sprječavaju njezino uspostavljanje. Na primjer, ako je lokalna mreža zaštićena NAT uređajem, tada svaki klijent na internoj mreži može uspostaviti vezu s WAN poslužiteljem, ali ne i obrnuto. To jest, ne možete pokrenuti vezu s vanjske mreže na poslužitelj koji se nalazi u internoj mreži iza NAT uređaja. Ali što ako postoji usluga na internoj mreži (kao što je FTP ili web poslužitelj) kojoj korisnici na vanjskoj mreži moraju imati pristup? Kako bi riješili ovaj problem, NAT usmjerivači koriste DMZ i tehnologije prosljeđivanja portova, što će biti detaljno opisano u nastavku.

Drugi problem s NAT uređajima je taj što neke mrežne aplikacije uključuju IP adresu i port u podatkovni dio paketa. Jasno je da NAT uređaj nije sposoban prevesti takve adrese. Kao rezultat toga, ako mrežna aplikacija umetne IP adresu ili port u korisni dio paketa, poslužitelj koji odgovara na taj paket koristit će ugniježđenu IP adresu i port za koje ne postoji odgovarajući unos mapiranja u internoj tablici NAT uređaja . Kao rezultat toga, takav paket će biti ispušten od strane NAT uređaja, te stoga aplikacije koje koriste ovu tehnologiju neće moći raditi s NAT uređajima.

Postoje mrežne aplikacije koje koriste jedan port (kao izvorni port) prilikom prijenosa podataka, ali čekaju odgovor na drugom portu. NAT uređaj analizira odlazni promet i mapira izvorni port. Međutim, NAT uređaj ne zna da se odgovor očekuje na drugom portu i ne može izvesti odgovarajuće mapiranje. Kao rezultat toga, paketi odgovora adresirani na port za koji nema mapiranja u internoj tablici NAT uređaja bit će ispušteni.

Drugi problem s NAT uređajima je višestruki pristup istom portu. Razmotrimo situaciju kada nekoliko klijenata lokalne mreže, odvojenih od vanjske mreže NAT uređajem, pristupa istoj standardni priključak... Na primjer, to može biti port 80, koji je rezerviran za web uslugu. Budući da svi klijenti na internoj mreži koriste istu IP adresu, postavlja se pitanje: Kako NAT uređaj može odrediti kojem klijentu na internoj mreži pripada vanjski zahtjev? Kako bi riješio ovaj problem, samo jedan klijent na internoj mreži istovremeno ima pristup standardnom portu.

Statičko mapiranje portova

Kako bi određene aplikacije koje rade na poslužitelju na internoj mreži (kao što je web poslužitelj ili FTP poslužitelj) bile dostupne s vanjske mreže, na NAT uređaju se mora postaviti preslikavanje između portova koje koriste određene aplikacije i IP adresa . te poslužitelje na internoj mreži na kojima te aplikacije rade. U ovom slučaju govore o tehnologiji mapiranja portova, a poslužitelj na internoj mreži naziva se virtualni poslužitelj. Kao rezultat toga, svaki zahtjev s vanjske mreže na vanjsku IP adresu NAT uređaja (usmjerivača) na navedenom portu automatski će se preusmjeriti na navedeni virtualni poslužitelj na internoj mreži.

Na primjer, ako je interna mreža konfigurirana virtualni FTP poslužitelj, koji radi na osobnom računalu s IP adresom 192.168.0.10, zatim prilikom konfiguriranja virtualnog poslužitelja postavite IP adresu virtualnog poslužitelja (192.168.0.10), korišteni protokol (TCP) i port aplikacije (21). U tom slučaju, prilikom pristupa vanjskoj adresi NAT uređaja (WAN port usmjerivača) na portu 21, korisnik na vanjskoj mreži može pristupiti FTP poslužitelju interne mreže, unatoč korištenju NAT protokola. Primjer konfiguracije virtualnog poslužitelja na stvarnom NAT usmjerivaču prikazan je na Sl. 4.

NAT usmjerivači obično omogućuju stvaranje više statičkih prosljeđivanja portova. Dakle, na jednom virtualnom poslužitelju možete otvoriti nekoliko portova odjednom ili stvoriti nekoliko virtualnih poslužitelja s različitim IP adresama. Međutim, sa statičkim prosljeđivanjem portova, ne možete proslijediti jedan port na više IP adresa, odnosno port može odgovarati jednoj IP adresi. Nemoguće je, na primjer, konfigurirati nekoliko web poslužitelja s različitim IP adresama - za to ćete morati promijeniti zadani port web poslužitelja i kada pristupate 80. portu u konfiguraciji usmjerivača, navedite promijenjeni web port kao privatni port. poslužitelju.

Većina modela usmjerivača također vam omogućuje postavljanje statičke grupe portova za prosljeđivanje, odnosno pridruživanje cijele grupe portova odjednom s IP adresom virtualnog poslužitelja. Ova je značajka korisna kada trebate podržati aplikacije koje koriste veliki broj priključaka, kao što su igre ili audio/video konferencije. Broj proslijeđenih grupa portova ovisi o modelu usmjerivača, ali obično ih ima najmanje deset.

Dinamičko prosljeđivanje portova (posebna aplikacija)

Statičko prosljeđivanje portova djelomično rješava problem pristupa s vanjske mreže uslugama lokalne mreže zaštićene NAT uređajem. No, postoji i suprotan problem – potreba da se korisnicima lokalne mreže omogući pristup vanjskoj mreži putem NAT uređaja. Činjenica je da neke aplikacije (na primjer, internetske igre, videokonferencije, internetska telefonija i druge aplikacije koje zahtijevaju istovremeno uspostavljanje više sesija) nisu kompatibilne s NAT tehnologijom. Za rješavanje ovog problema koristi se takozvano dinamičko prosljeđivanje portova (ponekad se naziva i posebna aplikacija), kada je prosljeđivanje portova postavljeno na razini pojedinačnih mrežnih aplikacija.

Ako ruter podržava ovu funkciju, morate postaviti interni broj porta (ili interval porta) povezan s specifična primjena(obično se naziva Trigger Port) i postavite broj vanjskog porta NAT uređaja (Public Port), koji će biti mapiran na interni port.

Kada je omogućeno dinamičko prosljeđivanje portova, usmjerivač prati izlazni promet iz interne mreže i pamti IP adresu računala s kojeg taj promet potječe. Kada se podaci vrate na lokalni segment prosljeđivanje portova je uključeno i podaci se prosljeđuju. Nakon dovršetka prijenosa, preusmjeravanje je onemogućeno, a zatim bilo koje drugo računalo može kreirati novo preusmjeravanje na vlastitu IP adresu.

Dinamičko prosljeđivanje portova prvenstveno se koristi za kratkoročne zahtjeve i prijenose podataka, jer ako jedno računalo koristi zadano prosljeđivanje porta, drugo računalo ne može učiniti isto u isto vrijeme. Ako trebate podesiti rad aplikacija koje trebaju stalan tok podataka koji zauzima port dulje vrijeme, tada je dinamičko preusmjeravanje neučinkovito. Međutim, u ovom slučaju postoji rješenje problema - ono se sastoji u korištenju demilitarizirane zone.

DMZ zona

Demilitarizirana zona (DMZ) je još jedan način da se zaobiđu ograničenja NAT-a. Ovu značajku pružaju svi moderni usmjerivači. Kada postavite računalo na interni LAN u DMZ-u, ono postaje transparentno za NAT protokol. To zapravo znači da je računalo na internoj mreži gotovo pozicionirano ispred vatrozida. Za PC koji se nalazi u DMZ zoni, svi portovi se preusmjeravaju na jednu internu IP adresu, što omogućuje organiziranje prijenosa podataka s vanjske mreže na internu.

Ako se, primjerice, poslužitelj s IP adresom 192.168.1.10, koji se nalazi u internoj lokalnoj mreži, nalazi u DMZ zoni, a sama lokalna mreža zaštićena je NAT uređajem, onda kada se zahtjev iz vanjske mreže stigne na bilo koji port na adresi WAN porta NAT uređaji će ovaj zahtjev preusmjeriti na IP adresu 192.168.1.10, odnosno na adresu virtualnog poslužitelja u DMZ zoni.

Tipično, SOHO NAT usmjerivači dopuštaju da se samo jedno računalo nalazi u DMZ-u. Primjer konfiguracije računala u DMZ zoni prikazan je na Sl. 5.

Riža. 5. Primjer konfiguriranja računala u DMZ zoni

Budući da računalo koje se nalazi u DMZ-u postaje dostupno s vanjske mreže i nije ni na koji način zaštićeno vatrozidom, ono postaje ranjiva točka u mreži. Potrebno je samo u krajnjoj nuždi pribjeći stavljanju računala u DMZ, kada nijedna druga metoda zaobilaženja ograničenja NAT protokola iz ovog ili onog razloga nije prikladna.

NAT Traversal tehnologija

Metode koje smo naveli za zaobilaženje ograničenja NAT protokola mogu biti teške za korisnike početnike. Predloženo je radi lakšeg upravljanja automatizirana tehnologija konfiguriranje NAT uređaja. NAT Traversal tehnologija dopušta mrežne aplikacije utvrditi jesu li zaštićeni NAT uređajem, naučiti vanjsku IP adresu i izvršiti prosljeđivanje porta na automatski način rada... Dakle, prednost tehnologije NAT Traversal je u tome što korisnik ne mora ručno konfigurirati mapiranje portova.

Tehnologija NAT Traversal oslanja se na UPnP (Universal Plug and Play) protokole, stoga je često potrebno provjeriti opciju UPnP & NAT u usmjerivačima da biste aktivirali ovu tehnologiju.

Govoreći o hardverskoj i softverskoj komponenti sustava informacijske sigurnosti, treba priznati da je najviše učinkovita metoda zaštita objekata lokalne mreže (mrežni segment) od utjecaja iz otvorene mreže(na primjer, Internet), pretpostavlja postavljanje određenog elementa koji prati i filtrira mrežne pakete koji prolaze kroz njega u skladu s navedenim pravilima. Takav element je dobio ime vatrozid (vatrozid) ili vatrozid, vatrozid.

Vatrozid, vatrozid, vatrozid, vatrozid- nastala transliteracijom engleskog izraza firewall.

Vatrozid (njemački Brandmauer)- izraz posuđen iz njemačkog jezika, koji je analog engleskog "firewall" u izvornom značenju (zid koji razdvaja susjedne zgrade, sprječavajući širenje vatre).

Vatrozid / Vatrozid (ITU)- kompleks hardvera ili softvera koji nadzire i filtrira mrežne pakete koji prolaze kroz njega koristeći različite protokole u skladu s navedenim pravilima.

Glavni zadatak vatrozida je zaštititi računalne mreže i/ili pojedinačne čvorove od neovlaštenog pristupa. Ponekad se pozivaju vatrozidi filteri, budući da njihov glavni zadatak nije propuštanje (filtriranje) paketa koji ne odgovaraju kriterijima definiranim u konfiguraciji.

Kako bi učinkovito osigurao sigurnost mreže, vatrozid prati i kontrolira sav protok podataka koji prolazi kroz nju. Za donošenje kontrolnih odluka za TCP/IP usluge (tj. prijenos, blokiranje ili zapisivanje pokušaja povezivanja), vatrozid mora primiti, zapamtiti, odabrati i obraditi informacije primljene sa svih komunikacijskih slojeva i iz drugih aplikacija.

Vatrozid propušta sav promet kroz sebe, donoseći odluku o svakom paketu koji prolazi: hoće li mu dopustiti prolazak ili ne. Da bi vatrozid mogao izvesti ovu operaciju, mora definirati skup pravila filtriranja. Odluka da li koristiti vatrozid za filtriranje paketa podataka povezanih s određenim protokolima i adresama ovisi o sigurnosnoj politici zaštićene mreže. U biti, vatrozid je skup komponenti koje su konfigurirane za implementaciju odabranog sigurnosne politike... Politika mrežna sigurnost svaka organizacija treba uključivati ​​(između ostalog) dvije komponente: politiku pristupa mrežnim uslugama i politiku za implementaciju vatrozida.

Međutim, nije dovoljno samo pojedinačno testirati pakete. Informacije o statusu veze dobivene iz prošlih inspekcija veze i drugih aplikacija glavni su čimbenik u odluci menadžmenta pri pokušaju uspostavljanja nove veze. Za donošenje odluka mogu se uzeti u obzir i stanje veze (dobiveno iz prošlog toka podataka) i stanje aplikacije (dobiveno iz drugih aplikacija).

Stoga odluke upravljanja zahtijevaju da vatrozid može pristupiti, analizirati i iskoristiti sljedeće čimbenike:

  • informacije o vezi - informacije sa svih sedam slojeva (OSI modela) u paketu;
  • povijest veze - informacije primljene od prethodnih veza;
  • stanje na razini aplikacije - informacije o stanju veze primljene od drugih aplikacija;
  • manipuliranje informacijama – izračunavanje raznih izraza na temelju svih gore navedenih čimbenika.
Vrste vatrozida

Postoji nekoliko vrsta vatrozida, ovisno o sljedećim karakteristikama:

  • osigurava li štit vezu između jednog čvora i mreže, ili između dvije ili više različitih mreža;
  • prati li se protok podataka na razini mreže ili više visoke razine OSI modeli;
  • prate li se stanja aktivnih veza ili ne.

Ovisno o pokrivenosti praćenih tokova podataka, vatrozidi se dijele na:

  • tradicionalni vatrozid (ili vatrozid)- program (ili sastavni dio operativnog sustava) na pristupniku (uređaj koji prenosi promet između mreža), ili hardversko rješenje kontroliranje dolaznih i odlaznih tokova podataka između povezanih mreža (distribuiranih mrežnih objekata);
  • osobni vatrozid- program instaliran na korisničkom računalu i dizajniran da zaštiti samo ovo računalo od neovlaštenog pristupa.

Ovisno o OSI sloju na kojem se odvija kontrola pristupa, vatrozidi mogu raditi na:

  • mrežni sloj kada se filtriranje temelji na adresama pošiljatelja i primatelja paketa, brojevima portova transportnog sloja OSI modela i statičkim pravilima koje postavlja administrator;
  • razini sesije(također poznat kao državotvoran) kada se nadziru sesije između aplikacija i paketa koji krše TCP/IP specifikacije, često se koriste u zlonamjernim operacijama – skeniranje resursa, hakiranje kroz pogrešne TCP/IP implementacije, prekinute/usporene veze, ubrizgavanje podataka ne prolaze;
  • razina primjene(ili sloj aplikacije) kada se filtriranje temelji na analizi podaci aplikacije prošao unutar paketa. Ove vrste zaslona omogućuju vam blokiranje prijenosa neželjenih i potencijalno štetnih informacija na temelju pravila i postavki.

Filtriranje na mrežnom sloju

Filtriranje dolaznih i odlaznih paketa vrši se na temelju informacija sadržanih u sljedećim poljima TCP i IP zaglavlja paketa: IP adresa pošiljatelja; IP adresa primatelja; luka pošiljatelja; luka primatelja.

Filtriranje se može implementirati različiti putevi blokirati veze s određena računala ili lukama. Na primjer, možete blokirati veze s određene adrese ona računala i mreže koji se smatraju nepouzdanima.

  • relativno niska cijena;
  • fleksibilnost u definiranju pravila filtriranja;
  • malo kašnjenje u prolazu paketa.

Nedostaci:

  • ne prikuplja fragmentirane pakete;
  • ne postoji način praćenja odnosa (veza) između paketa.?

Filtriranje na razini sesije

Ovisno o tome kako se prate aktivne veze, vatrozidi mogu biti:

  • bez državljanstva(jednostavno filtriranje), koji ne prate trenutne veze (na primjer, TCP), već filtriraju tok podataka isključivo na temelju statičkih pravila;
  • državotvoran, državotvoran pregled paketa(SPI)(filtriranje na temelju konteksta), praćenje trenutnih veza i prosljeđivanje samo onih paketa koji zadovoljavaju logiku i algoritme odgovarajućih protokola i aplikacija.

SPI vatrozidi omogućuju vam učinkovitije rješavanje problema različite vrste DoS napadi i ranjivosti nekih mrežnih protokola. Osim toga, oni omogućuju rad protokola kao što su H.323, SIP, FTP, itd., koji koriste složene sheme za prijenos podataka između primatelja, koje je teško opisati statičkim pravilima, a često su nekompatibilne sa standardnim vatrozidima bez stanja.

Prednosti ovog filtriranja uključuju:

  • analiza sadržaja paketa;
  • nisu potrebne informacije o tome kako rade protokoli Layer 7.

Nedostaci:

  • teško raščlaniti podatke na razini aplikacije (moguće korištenjem ALG - pristupnika na razini aplikacije).

Pristupnik na razini aplikacije, ALG- komponenta NAT usmjerivača koja razumije aplikacijski protokol i, kada paketi ovog protokola prođu kroz njega, modificira ih na takav način da korisnici koji stoje iza NAT-a mogu koristiti protokol.

ALG pruža podršku za protokole na razini aplikacije (kao što su SIP, H.323, FTP, itd.) za koje nije dopušteno prevođenje mrežnih adresa. Ova usluga definira vrstu aplikacije u paketima koji dolaze sa strane internog mrežnog sučelja i na odgovarajući način prevodi adrese / portove za njih kroz vanjsko sučelje.

SPI tehnologija(Stateful Packet Inspection) ili stateful packet inspection tehnologija danas je vodeća metoda kontrole prometa. Ova tehnologija vam omogućuje kontrolu podataka sve do razine aplikacije bez potrebe zasebna aplikacija posrednik ili proxy za svaki zaštićeni protokol ili mrežnu uslugu.

Povijesno gledano, evolucija vatrozida dolazi od filtara paketa opće namjene, zatim su se počeli pojavljivati ​​proxy programi za pojedinačne protokole i konačno je razvijena tehnologija kontrole stanja. Dosadašnje tehnologije samo su se nadopunjavale, ali nisu pružale sveobuhvatnu kontrolu nad vezama. Filtri paketa nemaju pristup informacijama o stanju veze i aplikacije, što je potrebno za donošenje konačne odluke sigurnosnog sustava. Proxy programi obrađuju samo podatke na razini aplikacije, što često rezultira razne mogućnosti hakirati sustav. Arhitektura inspekcije stanja jedinstvena je po tome što omogućuje cjelokupno moguće informacije prolaz kroz gateway stroj: podaci iz paketa, podaci o stanju veze, podaci potrebni za aplikaciju.

Primjer kako funkcionira inspekcija na temelju stanja... Vatrozid prati FTP sesija provjera podataka na razini aplikacije. Kada klijent zatraži od poslužitelja da otvori obrnutu vezu (naredba FTP PORT), vatrozid izdvaja broj porta iz ovog zahtjeva. Popis pohranjuje adrese klijenta i poslužitelja, brojeve portova. Kada otkrije pokušaj uspostavljanja FTP-podatkovne veze, vatrozid skenira popis i provjerava je li ta veza doista odgovor na valjani zahtjev klijenta. Netlist se dinamički održava, tako da su otvoreni samo potrebni. FTP portovi... Čim se sesija zatvori, portovi se blokiraju, pružajući visoku razinu sigurnosti.

Filtriranje na razini aplikacije

Kako bi zaštitili neke od ranjivosti svojstvenih filtriranju paketa, vatrozidi moraju koristiti aplikacijske programe za filtriranje veza s uslugama kao što su Telnet, HTTP, FTP. Slična aplikacija pozvao proxy usluga a host koji pokreće proxy uslugu je pristupnik na razini aplikacije. Ovaj pristupnik eliminira izravnu komunikaciju između ovlaštenog klijenta i vanjskog hosta. Gateway filtrira sve dolazne i odlazne pakete na sloju aplikacije (aplikacijski sloj - gornja razina mrežni model) i može analizirati sadržaj podataka, npr. url adresa sadržana u HTTP poruci ili naredba sadržana u FTP poruci. Ponekad je filtriranje paketa učinkovitije na temelju informacija sadržanih u samim podacima. Filtri paketa i filtri sloja veze ne koriste sadržaj protoka prometa za donošenje odluka o filtriranju, ali se mogu učiniti filtriranjem na razini aplikacije. Filtri na aplikacijskom sloju mogu koristiti informacije iz zaglavlja paketa, kao i sadržaj podataka i korisničke informacije. Administratori mogu koristiti filtriranje aplikacijskog sloja za kontrolu pristupa na temelju korisničkog identiteta i/ili na temelju specifičnog zadatka koji korisnik pokušava postići. U filtrima sloja aplikacije možete postaviti pravila na temelju naredbi koje izdaje aplikacija. Na primjer, administrator može odbiti određenog korisnika preuzimanje datoteka na određeno računalo s korištenjem FTP-a ili dopustiti korisniku hostiranje datoteka putem FTP-a na istom računalu.

Usporedba hardverskih i softverskih vatrozida

Za usporedbu, vatrozidovi se dijele na dvije vrste: 1. - hardverski i softverski i hardverski, i 2. - softverski.

Hardverski i firmverski vatrozidi uključuju uređaje instalirane na rubu mreže. Softverski vatrozidi su oni koji su instalirani na krajnjim hostovima.

Glavni smjerovi svojstveni i prvoj i drugoj vrsti:

  • osiguranje sigurnosti dolaznog i odlaznog prometa;
  • Značajno povećati sigurnost mreže i smanjiti rizik za hostove na podmreži prilikom filtriranja poznatih nezaštićenih usluga;
  • mogućnost kontrole pristupa mrežnim sustavima;
  • obavještavanje o događajima korištenjem odgovarajućih alarma koji se aktiviraju kada se dogodi bilo kakva sumnjiva aktivnost (pokušaji sondiranja ili napadi);
  • pruža jeftino sigurnosno rješenje koje se lako implementira i kojim se lako upravlja.

Hardverski i softverski i hardverski vatrozidi dodatno podržavaju funkcionalnost koja vam omogućuje:

  • spriječiti primanje informacija iz zaštićene podmreže ili ubacivanje u zaštićenu podmrežu korištenjem bilo kakvih ranjivih usluga;
  • registrirati pokušaje pristupa i dati potrebnu statistiku o korištenju Interneta;
  • osigurati sredstva za reguliranje redoslijeda pristupa mreži;
  • pružiti centralizirano upravljanje promet.

Softverski vatrozidi, osim glavnih područja, omogućuju:

  • kontrolirati pokretanje aplikacija na hostu gdje su instalirane;
  • zaštititi predmet od prodora kroz "otvore" (stražnja vrata);
  • pružiti zaštitu od unutarnjih prijetnji.

Vatrozid nije simetričan uređaj. Razlikuje pojmove "izvana" i "iznutra". Vatrozid štiti unutarnje područje od nekontroliranog i potencijalno neprijateljskog vanjskog okruženja. Istodobno, vatrozid vam omogućuje da ograničite pristup objektima javna mreža od subjekata zaštićene mreže. U slučaju kršenja ovlasti, rad subjekta pristupa se blokira, a svi potrebni podaci bilježe se u dnevnik.

Vatrozidovi se također mogu koristiti unutar sigurnih korporativnih mreža. Ako lokalna mreža sadrži podmreže s različitim stupnjevima povjerljivosti informacija, tada bi takvi fragmenti trebali biti odvojeni vatrozidima. U ovom slučaju, zasloni se nazivaju unutarnjim.

Postoji nekoliko vrsta vatrozida, ovisno o sljedećim karakteristikama:

    osigurava li štit vezu između jednog čvora i mreže, ili između dvije ili više različitih mreža;

    događa li se kontrola prometa na mrežnom sloju ili višim slojevima OSI modela;

    prate li se stanja aktivnih veza ili ne.

Ovisno o pokrivenosti praćenih tokova podataka, vatrozidi se dijele na:

    tradicionalni vatrozid (ili vatrozid) - program (ili sastavni dio operativnog sustava) na pristupniku (uređaj koji prenosi promet između mreža) ili hardversko rješenje koje kontrolira dolazne i odlazne tokove podataka između povezanih mreža (distribuiranih mrežnih objekata) ;

    osobni vatrozid je program instaliran na korisničkom računalu i dizajniran da zaštiti samo ovo računalo od neovlaštenog pristupa.

Ovisno o OSI sloju na kojem se odvija kontrola pristupa, vatrozidi mogu raditi na:

    mrežni sloj kada se filtriranje temelji na adresama pošiljatelja i primatelja paketa, brojevima portova transportnog sloja OSI modela i statičkim pravilima koje postavlja administrator;

    razini sesije(također poznat kao državotvoran) kada se nadziru sesije između aplikacija i paketa koji krše TCP/IP specifikacije, često se koriste u zlonamjernim operacijama – skeniranje resursa, hakiranje kroz pogrešne TCP/IP implementacije, prekinute/usporene veze, ubrizgavanje podataka ne prolaze;

    razina primjene(ili aplikacijski sloj), kada se filtriranje temelji na analizi podataka aplikacije koji se prenose unutar paketa. Ove vrste zaslona omogućuju vam blokiranje prijenosa neželjenih i potencijalno štetnih informacija na temelju pravila i postavki.

Filtriranje na mrežnom sloju

Filtriranje dolaznih i odlaznih paketa vrši se na temelju informacija sadržanih u sljedećim poljima TCP i IP zaglavlja paketa: IP adresa pošiljatelja; IP adresa primatelja; luka pošiljatelja; luka primatelja.

Filtriranje se može implementirati na različite načine kako bi se blokirale veze s određenim računalima ili portovima. Na primjer, možete blokirati veze s određenih adresa računala i mreža koje se smatraju nepouzdanima.

    relativno niska cijena;

    fleksibilnost u definiranju pravila filtriranja;

    malo kašnjenje u prolazu paketa.

Nedostaci:

    ne prikuplja fragmentirane pakete;

    ne postoji način praćenja odnosa (veza) između paketa.?

Filtriranje na razini sesije

Ovisno o tome kako se prate aktivne veze, vatrozidi mogu biti:

    bez državljanstva(jednostavno filtriranje), koji ne prate trenutne veze (na primjer, TCP), već filtriraju tok podataka isključivo na temelju statičkih pravila;

    inspekcija paketa s stanjem stanja (SPI)(filtriranje na temelju konteksta), praćenje trenutnih veza i prosljeđivanje samo onih paketa koji zadovoljavaju logiku i algoritme odgovarajućih protokola i aplikacija.

SPI vatrozidi omogućuju vam učinkovitiju borbu protiv raznih vrsta DoS napada i ranjivosti nekih mrežnih protokola. Osim toga, oni omogućuju rad protokola kao što su H.323, SIP, FTP, itd., koji koriste složene sheme za prijenos podataka između primatelja, koje je teško opisati statičkim pravilima, a često su nekompatibilne sa standardnim vatrozidima bez stanja.

Prednosti ovog filtriranja uključuju:

    analiza sadržaja paketa;

    nisu potrebne informacije o tome kako rade protokoli Layer 7.

Nedostaci:

    teško raščlaniti podatke na razini aplikacije (moguće korištenjem ALG - pristupnika na razini aplikacije).

Pristupnik na razini aplikacije, ALG (application level gateway) je komponenta NAT usmjerivača koji razumije aplikacijski protokol i kada paketi ovog protokola prođu kroz njega, modificira ih tako da korisnici koji stoje iza NAT-a mogu koristiti protokol.

ALG pruža podršku za protokole na razini aplikacije (kao što su SIP, H.323, FTP, itd.) za koje nije dopušteno prevođenje mrežnih adresa. Ova usluga detektira vrstu aplikacije u paketima koji dolaze sa strane internog mrežnog sučelja i na odgovarajući način za njih obavlja prijevod adrese/porta putem vanjskog sučelja.

SPI (Stateful Packet Inspection) tehnologija, ili stateful packet inspection tehnologija, danas je vodeća metoda kontrole prometa. Ova tehnologija omogućuje kontrolu podataka do sloja aplikacije bez potrebe za zasebnom proxy ili proxy aplikacijom za svaki zaštićeni protokol ili mrežnu uslugu.

Povijesno gledano, evolucija vatrozida dolazi od filtara paketa opće namjene, zatim su se počeli pojavljivati ​​proxy programi za pojedinačne protokole i konačno je razvijena tehnologija kontrole stanja. Dosadašnje tehnologije samo su se nadopunjavale, ali nisu pružale sveobuhvatnu kontrolu nad vezama. Filtri paketa nemaju pristup informacijama o stanju veze i aplikacije, što je potrebno za donošenje konačne odluke sigurnosnog sustava. Proxy programi obrađuju samo podatke na razini aplikacije, što često stvara različite mogućnosti za kompromitaciju sustava. Arhitektura kontrole stanja jedinstvena je jer vam omogućuje rad na svim mogućim informacijama koje prolaze kroz gateway stroj: podaci iz paketa, podaci o stanju veze, podaci potrebni za aplikaciju.

Primjer mehanizmaDržavljanskiInspekcija... Vatrozid prati FTP sesiju provjeravanjem podataka na razini aplikacije. Kada klijent zatraži od poslužitelja da otvori obrnutu vezu (naredba FTP PORT), vatrozid izdvaja broj porta iz ovog zahtjeva. Popis pohranjuje adrese klijenta i poslužitelja, brojeve portova. Kada otkrije pokušaj uspostavljanja FTP-podatkovne veze, vatrozid skenira popis i provjerava je li ta veza doista odgovor na valjani zahtjev klijenta. Popis veza se dinamički održava tako da su otvoreni samo potrebni FTP portovi. Čim se sesija zatvori, portovi se blokiraju, pružajući visoku razinu sigurnosti.

Riža. 2.12. Primjer kako Stateful Inspection radi s FTP-om

Filtriranje na razini aplikacije

Kako bi zaštitili neke od ranjivosti svojstvenih filtriranju paketa, vatrozidi moraju koristiti aplikacijske programe za filtriranje veza s uslugama kao što su Telnet, HTTP, FTP. Takva aplikacija naziva se proxy usluga, a host koji pokreće proxy uslugu naziva se pristupnikom sloja aplikacije. Ovaj pristupnik eliminira izravnu komunikaciju između ovlaštenog klijenta i vanjskog hosta. Gateway filtrira sve dolazne i odlazne pakete na sloju aplikacije (aplikacijski sloj - gornji sloj mrežnog modela) i može analizirati sadržaj podataka, kao što je URL sadržan u HTTP poruci ili naredba sadržana u FTP poruci. Ponekad je filtriranje paketa učinkovitije na temelju informacija sadržanih u samim podacima. Filtri paketa i filtri sloja veze ne koriste sadržaj protoka prometa za donošenje odluka o filtriranju, ali se mogu učiniti filtriranjem na razini aplikacije. Filtri aplikacijskog sloja mogu koristiti informacije iz zaglavlja paketa, kao i sadržaj podataka i korisničke podatke. Administratori mogu koristiti filtriranje aplikacijskog sloja za kontrolu pristupa na temelju korisničkog identiteta i/ili na temelju specifičnog zadatka koji korisnik pokušava postići. U filtrima sloja aplikacije možete postaviti pravila na temelju naredbi koje izdaje aplikacija. Na primjer, administrator može spriječiti određenog korisnika da preuzme datoteke na određeno računalo pomoću FTP-a ili dopustiti korisniku da postavlja datoteke putem FTP-a na isto računalo.

Prednosti ovog filtriranja uključuju:

    jednostavna pravila filtriranja;

    mogućnost organiziranja veliki broj provjere. Zaštita na razini aplikacije omogućuje veliki broj dodatnih provjera, što smanjuje vjerojatnost hakiranja korištenjem "rupa" u softveru;

    sposobnost analize podataka aplikacije.

Nedostaci:

    relativno niske performanse u usporedbi s filtriranjem paketa;

    proxy mora razumjeti svoj protokol (ne može se koristiti s nepoznatim protokolima) ?;

    obično radi pod složenim operativnim sustavima.

Vrhunski povezani članci

Različiti pokreti miša okomito i vodoravno
Različiti pokreti miša okomito i vodoravno
Kako komprimirati teksture u Fallout 4
Kako komprimirati teksture u Fallout 4
Ostaje samo razumjeti potrebnu razinu
Ostaje samo razumjeti potrebnu razinu
Kategorije:
© 2021 bumotors.ru. Kako postaviti pametne telefone i računala. Informativni portal.