Zašto vam je potreban vatrozid u usmjerivaču? Hardverska zaštita SOHO-klase mreža korištenjem vatrozida

video pregledfotografija

2261 rublja

Modem D-link DSL-2640U

SNMP podrška. ADSL2+ podrška. SPI. Izvedba - vanjska. Vatrozid. Demilitarizirana zona (DMZ). Vrsta modema - ADSL. Podrška za VPN tunele (VPN Endpoint). VPN podrška (VPN prolaz). Sučelje - Ethernet. DHCP poslužitelj. NAT Web sučelje. Statičko usmjeravanje. Ugrađeni prekidač. Podrška za dinamički DNS. Ugrađeni ruter. S brojem ulaza prekidača 4. S težinom: 327 g.

video pregledfotografija

1890 RUB

TP-Link TP-LINK TD-W8968

Vrsta modema - ADSL. S web sučeljem. S DHCP poslužiteljem. S podrškom za dinamički DNS. Uz Telnet podršku. S demilitariziranom zonom (DMZ). S ugrađenim ruterom. Sa SPI funkcijom. S vatrozidom. S podrškom za NAT. Sa statičkim usmjeravanjem. Sučelje - Ethernet. Izvedba - vanjska. S podrškom za SNMP. Broj portova preklopnika je 4. S ADSL2+ podrškom. S VPN podrškom (VPN prolaz). S ugrađenim prekidačem. S dubinom: 130 mm. Sa širinom: 195 mm. S visinom: 36 mm.

Moguće preuzimanje

video pregledfotografija

1590 RUB

xDSL modem TP-LINK TD-W8961N

Demilitarizirana zona (DMZ). Ugrađeni prekidač. SPI. NAT Izvedba - vanjska. ADSL2+ podrška. Telnet podrška. Sučelje - Ethernet. Vatrozid. SNMP podrška. Podrška za dinamički DNS. DHCP poslužitelj. Web sučelje. S brojem portova preklopnika 4. Vrsta modema - ADSL. Statičko usmjeravanje. Ugrađeni ruter. Dubina: 130 mm. Širina: 195 mm. Visina: 35 mm.

Moguće preuzimanje

video pregledfotografija

2075 RUB

ADSL modem Upvel UR-203AWP

Izvedba - vanjska. S podrškom za ADSL2+. S podrškom za SNMP. Sučelje - Ethernet. Vrsta modema - ADSL. S web sučeljem. Sa statičkim usmjeravanjem. Sa SPI funkcijom. S vatrozidom. Uz Telnet podršku. S ugrađenim ruterom. Broj portova preklopnika je 3. S demilitariziranom zonom (DMZ). S podrškom za NAT. S DHCP poslužiteljem. S VPN podrškom (VPN prolaz). S ugrađenim prekidačem. S podrškom za dinamički DNS. Sa širinom: 175 mm. S dubinom: 115 mm. S visinom: 30 mm. S težinom: 280 g.

Moguće preuzimanje

fotografija

1790 RUB

xDSL modem TP-LINK TD-W8960N

Demilitarizirana zona (DMZ). DHCP poslužitelj. VPN podrška (VPN prolaz). Podrška za dinamički DNS. Ugrađeni prekidač. SNMP podrška. SPI. Vatrozid. NAT Sučelje - Ethernet. Konzolni priključak. Web sučelje. Vrsta modema - ADSL. S 10 podržanih VPN tunela. Izvedba - vanjska. Podrška za VPN tunele (VPN Endpoint). ADSL2+ podrška. Statičko usmjeravanje. Ugrađeni ruter. S brojem ulaza prekidača 4. S dubinom: 140 mm. S visinom: 28 mm. Sa širinom: 200 mm.

Govoreći o programskoj i hardverskoj komponenti sustava informacijske sigurnosti, treba priznati da je najučinkovitiji način zaštite objekata lokalne mreže (mrežnog segmenta) od utjecaja iz otvorenih mreža (primjerice Internet) postavljanje određenog elementa koji nadzire i filtrira mrežne pakete koji prolaze kroz njega u skladu sa zadanim pravilima. Ovaj element se zove vatrozid (firewall) ili vatrozid, vatrozid.

Vatrozid, vatrozid, vatrozid, vatrozid– nastao transliteracijom engleskog izraza firewall.

Vatrozid (njemački: Brandmauer)– pojam posuđen iz njemačkog jezika, koji je analogan engleskom "firewall" u izvornom značenju (zid koji odvaja susjedne zgrade, štiti od širenja požara).

Mreža/vatrozid (vatrozid)– skup hardvera ili softvera koji prati i filtrira mrežne pakete koji prolaze kroz njega koristeći različite protokole u skladu s određenim pravilima.

Glavna zadaća vatrozida je zaštititi računalne mreže i/ili pojedinačne čvorove od neovlaštenog pristupa. Vatrozidi se ponekad nazivaju filteri, budući da im je glavni zadatak ne propuštati (filtrirati) pakete koji ne zadovoljavaju kriterije definirane u konfiguraciji.

Kako bi učinkovito zaštitio mrežu, vatrozid nadzire i upravlja svim podacima koji kroz nju teku. Za donošenje kontrolnih odluka za TCP/IP usluge (to jest, prosljeđivanje, blokiranje ili zapisivanje pokušaja povezivanja), vatrozid mora primiti, pohraniti, odabrati i obraditi informacije primljene od svih komunikacijskih slojeva i od drugih aplikacija.

Vatrozid propušta sav promet kroz sebe, donoseći odluku za svaki prolazni paket: dopustiti mu prolaz ili ne. Kako bi vatrozid mogao izvesti ovu operaciju, treba definirati skup pravila filtriranja. Odluka hoćete li koristiti vatrozid za filtriranje paketa podataka povezanih s određenim protokolima i adresama ovisi o sigurnosnoj politici koju je usvojila mreža koja se štiti. U biti, vatrozid je skup komponenti koje su konfigurirane za implementaciju odabranog sigurnosne politike. Mrežna sigurnosna politika svake organizacije trebala bi uključivati ​​(između ostalog) dvije komponente: politiku pristupa mrežnim uslugama i politiku implementacije vatrozida.

Međutim, nije dovoljno samo provjeriti pojedinačne pakete. Informacije o statusu veze dobivene prethodnim pregledom veze i drugim aplikacijama glavni su čimbenik u kontrolnoj odluci prilikom pokušaja uspostavljanja nove veze. Za donošenje odluke mogu se uzeti u obzir i stanje veze (izvedeno iz prošlog protoka podataka) i stanje aplikacije (izvedeno iz drugih aplikacija).

Stoga upravljačke odluke zahtijevaju da vatrozid ima pristup, analizu i korištenje sljedećih čimbenika:

• informacije o vezi – informacije sa svih sedam slojeva (OSI modela) u paketu;
• povijest povezivanja – informacije primljene iz prethodnih veza;
• stanje na razini aplikacije – informacije o stanju veze primljene od drugih aplikacija;
• manipulacija informacijama - izračunavanje raznih izraza na temelju svih navedenih faktora.

Vrste vatrozida

Postoji nekoliko vrsta vatrozida ovisno o sljedećim karakteristikama:

• pruža li štit vezu između jednog čvora i mreže ili između dvije ili više različitih mreža;
• događa li se kontrola protoka podataka na mrežnom sloju ili višim razinama OSI modela;
• prate li se stanja aktivnih veza ili ne.

Ovisno o obuhvatu kontroliranih protoka podataka vatrozidi se dijele na:

• zid tradicionalne mreže (ili vatrozida).– program (ili sastavni dio operacijskog sustava) na pristupniku (uređaj koji prenosi promet između mreža) ili hardversko rješenje koje kontrolira dolazne i odlazne tokove podataka između povezanih mreža (distribuiranih mrežnih objekata);
• osobni vatrozid– program instaliran na računalu korisnika i dizajniran da zaštiti samo ovo računalo od neovlaštenog pristupa.

Ovisno o OSI razini na kojoj se odvija kontrola pristupa, vatrozidi mogu djelovati na:

• razini mreže, kada se filtriranje odvija na temelju adresa pošiljatelja i primatelja paketa, brojeva portova transportnog sloja OSI modela i statičkih pravila koje je odredio administrator;
• razini sesije(također poznat kao državnički), kada se sesije između aplikacija nadziru i paketi koji krše TCP/IP specifikacije nisu proslijeđeni, često se koriste u zlonamjernim operacijama - skeniranje resursa, hakiranje kroz netočne TCP/IP implementacije, prekinute/spore veze, ubacivanje podataka;
• razina primjene(ili razini aplikacije), kada se filtriranje izvodi na temelju analize podataka aplikacije koji se prenose unutar paketa. Ove vrste zaslona omogućuju blokiranje prijenosa neželjenih i potencijalno štetnih informacija na temelju pravila i postavki.

Filtriranje na razini mreže

Filtriranje dolaznih i odlaznih paketa provodi se na temelju informacija sadržanih u sljedećim poljima TCP i IP zaglavlja paketa: IP adresa pošiljatelja; IP adresa primatelja; luka pošiljatelja; luka primatelja.

Filtriranje se može implementirati na različite načine za blokiranje veza određena računala odnosno luke. Na primjer, možete blokirati veze koje dolaze iz određene adrese ona računala i mreže koje se smatraju nepouzdanima.

• relativno niska cijena;
• fleksibilnost u definiranju pravila filtriranja;
• malo kašnjenje u prolazu paketa.

Mane:

• ne prikuplja fragmentirane pakete;
• ne postoji način da se prate odnosi (veze) između paketa.?

Filtriranje na razini sesije

Ovisno o praćenju aktivnih veza, vatrozidi mogu biti:

• bez državljanstva(jednostavno filtriranje), koji ne prate trenutne veze (na primjer, TCP), već filtriraju tok podataka isključivo na temelju statičkih pravila;
• stanje, inspekcija paketa s praćenjem stanja (SPI)(filtriranje ovisno o kontekstu), praćenje trenutnih veza i propuštanje samo onih paketa koji zadovoljavaju logiku i algoritme odgovarajućih protokola i aplikacija.

Vatrozidi sa SPI-om omogućuju učinkovitiju borbu protiv raznih vrsta DoS napada i ranjivosti nekih mrežnih protokola. Osim toga, osiguravaju funkcioniranje protokola kao što su H.323, SIP, FTP, itd., koji koriste složene sheme prijenosa podataka između primatelja, koje je teško opisati statičkim pravilima, a često su nekompatibilne sa standardnim vatrozidima bez stanja.

Prednosti takve filtracije uključuju:

• analiza sadržaja paketa;
• nisu potrebne informacije o radu protokola sloja 7.

Mane:

• teško je analizirati podatke na razini aplikacije (eventualno korištenjem ALG - pristupnika na razini aplikacije).

Pristupnik na razini aplikacije, ALG (pristupnik na razini aplikacije)– komponenta NAT usmjerivača koja razumije neki aplikacijski protokol, a kada paketi tog protokola prolaze kroz njega, modificira ih na način da korisnici iza NAT-a mogu koristiti protokol.

Usluga ALG pruža podršku za protokole na razini aplikacije (kao što su SIP, H.323, FTP, itd.) za koje nije dopušten prijevod mrežne adrese. Ova usluga određuje vrstu aplikacije u paketima koji dolaze s internog mrežnog sučelja i u skladu s tim za njih izvodi prijevod adrese/porta preko vanjskog sučelja.

SPI tehnologija(Stateful Packet Inspection) ili tehnologija inspekcije paketa koja uzima u obzir stanje protokola danas je napredna metoda kontrole prometa. Ova vam tehnologija omogućuje kontrolu podataka do razine aplikacije bez potrebe zasebna aplikacija posrednik ili proxy za svaki zaštićeni protokol ili mrežnu uslugu.

Povijesno gledano, evolucija vatrozida proizašla je iz filtara paketa Opća namjena, zatim su se počeli pojavljivati ​​posrednički programi za pojedine protokole i konačno je razvijena tehnologija inspekcije stanja. Prethodne tehnologije samo su se nadopunjavale, ali nisu pružale sveobuhvatnu kontrolu nad vezama. Paketni filtri nemaju pristup informacijama o vezi i stanju aplikacije koje su potrebne sigurnosnom sustavu za donošenje konačne odluke. Middleware programi obrađuju samo podatke na razini aplikacije, što često stvara različite prilike za hakiranje sustava. Arhitektura pregleda stanja jedinstvena je jer vam omogućuje rukovanje svim mogućim informacijama koje prolaze kroz gateway stroj: podaci iz paketa, podaci o stanju veze, podaci potrebni aplikaciji.

Primjer kako funkcionira mehanizam Stateful Inspection. Vatrozid nadzire FTP sesiju ispitujući podatke na razini aplikacije. Kada klijent zatraži od poslužitelja da otvori obrnutu vezu (naredba FTP PORT), vatrozid izdvaja broj porta iz tog zahtjeva. Popis pohranjuje adrese klijenata i poslužitelja te brojeve portova. Kada se otkrije pokušaj uspostavljanja FTP-podatkovne veze, vatrozid skenira popis i provjerava je li veza doista odgovor na važeći zahtjev klijenta. Popis veza održava se dinamički tako da su otvoreni samo potrebni FTP portovi. Čim se sesija zatvori, portovi se blokiraju, pružajući visoku razinu sigurnosti.

Filtriranje na razini aplikacije

Kako bi zaštitili brojne ranjivosti svojstvene filtriranju paketa, vatrozidi moraju koristiti aplikacijske programe za filtriranje veza s uslugama kao što su Telnet, HTTP, FTP. Slična primjena nazvao proxy usluga, a glavno računalo na kojem se izvodi proxy usluga je pristupnik na razini aplikacije. Takav gateway eliminira izravnu interakciju između ovlaštenog klijenta i vanjskog računala. Gateway filtrira sve dolazne i odlazne pakete na sloju aplikacije (sloj aplikacije - gornji sloj mrežnog modela) i može analizirati sadržaj podataka, kao što je URL sadržan u HTTP poruci ili naredba sadržana u FTP poruci. Ponekad je učinkovitije filtrirati pakete na temelju informacija sadržanih u samim podacima. Filtri paketa i filtri na razini veze ne koriste sadržaj toka informacija pri donošenju odluka o filtriranju, ali filtriranje na razini aplikacije to može učiniti. Filtri aplikacijskog sloja mogu koristiti informacije iz zaglavlja paketa kao i sadržaj podataka i korisničke informacije. Administratori mogu koristiti filtriranje na razini aplikacije za kontrolu pristupa na temelju identiteta korisnika i/ili konkretan zadatak koje korisnik pokušava postići. U filtrima na razini aplikacije možete postaviti pravila na temelju naredbi koje izdaje aplikacija. Na primjer, administrator može spriječiti određenog korisnika da preuzima datoteke na određeno računalo pomoću FTP-a ili dopustiti korisniku da hostira datoteke putem FTP-a na istom računalu.

Usporedba hardverskih i softverskih vatrozida

Za usporedbu vatrozida, podijelit ćemo ih u dvije vrste: 1. – hardverski i softversko-hardverski i 2. – softverski.

Hardverski i softverski vatrozidi uključuju uređaje instalirane na rubu mreže. Softverski vatrozidi su oni koji su instalirani na krajnjim računalima.

Glavni pravci svojstveni i prvom i drugom tipu:

• osiguranje sigurnosti dolaznog i odlaznog prometa;
• značajno povećanje sigurnosti mreže i smanjenje rizika za podmrežne hostove prilikom filtriranja poznatih nezaštićenih usluga;
• mogućnost kontrole pristupa mrežnim sustavima;
• obavještavanje o događaju putem odgovarajućih alarma koji se aktiviraju kada se dogodi bilo kakva sumnjiva aktivnost (pokušaji sonde ili napadi);
• pružanje jeftinog sigurnosnog rješenja koje je jednostavno za implementaciju i upravljanje.

Hardverski i softverski vatrozidi dodatno podržavaju funkcionalnost koja omogućuje:

• spriječiti bilo koje ranjive usluge u dobivanju informacija ili ubacivanju informacija u zaštićenu podmrežu;
• bilježiti pokušaje pristupa i pružati potrebne statistike o korištenju interneta;
• osigurati sredstva za reguliranje redoslijeda pristupa mreži;
• osigurati centralizirano upravljanje prometom.

Softverski vatrozidi, uz glavna područja, omogućuju:

• kontrolirati pokretanje aplikacija na hostu na kojem su instalirane;
• zaštititi objekt od prodiranja kroz "otvore" (stražnja vrata);
• pružiti zaštitu od unutarnjih prijetnji.

Vatrozid nije simetričan uređaj. On razlikuje pojmove “izvana” i “iznutra”. Vatrozid štiti unutarnje područje od nekontroliranih i potencijalno neprijateljskih vanjsko okruženje. U isto vrijeme, vatrozid vam omogućuje da ograničite pristup objektima javna mreža od strane subjekata zaštićene mreže. Ako je ovlaštenje prekršeno, rad subjekta pristupa je blokiran, i sve potrebne informacije upisuje se u dnevnik.

Vatrozidi se također mogu koristiti unutar sigurnih korporativnih mreža. Ako lokalna mreža ima podmreže s različitim stupnjevima povjerljivosti informacija, tada je preporučljivo odvojiti takve fragmente vatrozidima. U ovom slučaju, zasloni se nazivaju unutarnjim.

Uz veliki izbor profesionalnih softverskih alata za zaštitu od raznih vrsta napada na lokalnu mrežu izvana (odnosno s interneta), svi imaju jedan ozbiljan nedostatak visoka cijena. A ako govorimo o malim mrežama SOHO klase, onda je kupnja solidnih paketa nedostižan luksuz. U isto vrijeme, vrijedi napomenuti da za male mreže mogućnosti takvih paketa mogu biti čak i suvišne. Stoga su se za zaštitu malih mreža SOHO klase naširoko koristila jeftina hardverska rješenja - vatrozidi. Prema dizajnu, vatrozidi se mogu implementirati kao zasebno rješenje ili biti sastavni dio usmjerivača klase SOHO, posebno bežični usmjerivači, koji vam omogućuje kombiniranje žičnih i bežičnih segmenata lokalne mreže na njihovoj osnovi.
U ovom ćemo članku pogledati glavne funkcije modernih hardverskih vatrozida koji su ugrađeni u usmjerivače SOHO klase i koriste se za zaštitu malih lokalnih mreža.

Vatrozidi kao dio usmjerivača

Budući da su usmjerivači mrežni uređaji instalirani na granici između unutarnje i vanjske mreže, te obavljaju funkciju mrežnog pristupnika, projektirano moraju imati najmanje dva porta. LAN je spojen na jedan od ovih priključaka i taj priključak postaje unutarnji LAN priključak. Vanjska mreža (Internet) povezana je s drugim priključkom, pretvarajući ga u vanjski WAN priključak. Usmjerivači klase SOHO u pravilu imaju jedan WAN port i nekoliko (od jednog do četiri) LAN porta, koji su spojeni u sklopku. U većini slučajeva WAN port preklopnika ima 10/100Base-TX sučelje, a na njega se može spojiti ili xDSL modem s odgovarajućim sučeljem ili Ethernet mrežni kabel.

Osim toga, široko rasprostranjen bežične mreže dovela je do pojave cijele klase takozvanih bežičnih usmjerivača. Ovi uređaji, osim klasičnog routera s WAN i LAN priključcima, sadrže integriranu bežičnu pristupnu točku koja podržava IEEE 802.11a/b/g protokol. Bežični segment Mreža koju vam pristupna točka omogućuje da organizirate, iz perspektive rutera, odnosi se na internu mrežu i u tom smislu se računala bežično spojena na ruter ne razlikuju od onih spojenih na LAN priključak.

Svaki usmjerivač, kao uređaj mrežnog sloja, ima vlastitu IP adresu. Osim rutera, svoju IP adresu ima i WAN port.

Računala spojena na LAN priključke usmjerivača moraju imati IP adresu na istoj podmreži kao i sam usmjerivač. Osim toga, u mrežnim postavkama ovih računala morate postaviti zadanu adresu pristupnika tako da odgovara IP adresi usmjerivača. Konačno, uređaj spojen na WAN port iz vanjske mreže mora imati IP adresu iz iste podmreže kao i WAN port rutera.

Budući da usmjerivač djeluje kao pristupnik između lokalne mreže i Interneta, logično je očekivati ​​takve funkcije kao što je zaštita interne mreže od neovlaštenog pristupa. Stoga gotovo svi moderni usmjerivači klase SOHO imaju ugrađene hardverske vatrozide, koji se još nazivaju i vatrozidi.

Značajke vatrozida

Glavna svrha svakog vatrozida u konačnici se svodi na osiguranje sigurnosti interne mreže. Kako bi riješili ovaj problem, vatrozidi moraju moći maskirati zaštićenu mrežu i blokirati sve poznate vrste hakerski napadi, blokirati curenje informacija iz interne mreže, kontrolirati aplikacije koje pristupaju vanjskoj mreži.

Kako bi implementirali ove funkcije, vatrozidi analiziraju sav promet između vanjskih i internih mreža radi usklađenosti s određenim utvrđenim kriterijima ili pravilima koja određuju uvjete za prolaz prometa s jedne mreže na drugu. Ako promet zadovoljava navedene kriterije, vatrozid mu dopušta prolaz. U protivnom, odnosno ako utvrđeni kriteriji nisu zadovoljeni, promet se blokira vatrozidom. Vatrozidi filtriraju dolazni i odlazni promet, a također vam omogućuju kontrolu pristupa određenim mrežnim resursima ili aplikacijama. Mogu zabilježiti sve pokušaje neovlaštenog pristupa resursima lokalne mreže i izdati upozorenja o pokušajima upada.

Po svojoj namjeni vatrozidi najviše podsjećaju na kontrolnu točku (kontrolnu točku) štićenog objekta, gdje se provjeravaju dokumenti svima koji ulaze na teritorij objekta i svima koji s njega izlaze. Ako je propusnica uredna, pristup teritoriju je dopušten. Vatrozidi rade na potpuno isti način, samo što je uloga ljudi koji prolaze kroz kontrolnu točku mrežni paketi, a prolaz je da su zaglavlja tih paketa u skladu s unaprijed definiranim skupom pravila.

Jesu li vatrozidi doista tako pouzdani?

Može li se reći da firewall pruža 100% sigurnost za korisničku mrežu ili osobno računalo? Sigurno ne. Barem zato što niti jedan sustav ne daje 100% jamstvo sigurnosti. Vatrozid treba tretirati kao alat koji, ako je ispravno konfiguriran, može znatno zakomplicirati zadatak napadača da uđe u osobno računalo korisnika. Naglasimo: to samo komplicira stvari, ali nimalo ne jamči apsolutnu sigurnost. Usput, ako ne govorimo o zaštiti lokalne mreže, već o zaštiti pojedinačnog računala s pristupom Internetu, onda osiguravanje osobna sigurnost ICF vatrozid (Internet Vatrozid veze), ugrađen u operacijsku salu Windows sustav XP. Stoga ćemo ubuduće govoriti samo o korporativnim hardverskim vatrozidima koji imaju za cilj zaštitu malih mreža.

Ako je vatrozid instaliran na ulazu u lokalnu mrežu potpuno aktiviran (u pravilu to odgovara zadanim postavkama), tada je mreža koju štiti potpuno neprobojna i nedostupna izvana. No takva potpuna neprobojnost interne mreže ima i svoju lošu stranu. Činjenica je da u ovom slučaju postaje nemoguće koristiti internetske usluge (na primjer, ICQ i slične programe) instalirane na računalu. Dakle, zadatak postavljanja vatrozida je napraviti prozore u prvobitno praznom zidu koji vatrozid predstavlja za napadača, omogućujući korisničkim programima da odgovore na zahtjeve izvana i u konačnici implementiraju kontroliranu interakciju između interne mreže i vanjskog svijeta. Međutim, što se više takvih prozora pojavljuje u takvom zidu, to sama mreža postaje ranjivija. Stoga još jednom naglasimo: nijedan vatrozid ne može jamčiti apsolutnu sigurnost lokalne mreže koju štiti.

Klasifikacija vatrozida

Mogućnosti i inteligencija vatrozida ovise o sloju OSI referentnog modela na kojem rade. Što je viša OSI razina na kojoj je vatrozid izgrađen, to je veća razina zaštite koju pruža.

Podsjetimo da OSI model (Otvoreni sustav Interconnection) uključuje sedam slojeva mrežne arhitekture. Prvi, najniži, jest fizički sloj. Zatim slijedi podatkovna veza, mreža, transport, sesija, prezentacija i aplikacija ili aplikacijski slojevi. Da bi omogućio filtriranje prometa, vatrozid mora raditi barem na trećem sloju OSI modela, odnosno na mrežnom sloju, gdje se paketi usmjeravaju na temelju prevođenja MAC adresa u mrežne adrese. S gledišta TCP/IP protokola, ovaj sloj odgovara sloju IP (Internet Protocol). Primanjem informacija o mrežnom sloju vatrozidi mogu odrediti izvornu i odredišnu adresu paketa i provjeriti je li dopušten promet između tih odredišta. Međutim, nema dovoljno informacija o mrežnom sloju za analizu sadržaja paketa. Vatrozidi koji rade na transportnom sloju OSI modela primaju malo više informacija o paketima i, u tom smislu, mogu pružiti inteligentnije sheme zaštite mreže. Što se tiče vatrozida koji rade na aplikativnoj razini, oni imaju pristup cjelovitim informacijama o mrežnim paketima, što znači da takvi vatrozidi pružaju najpouzdaniju zaštitu mreže.

Ovisno o razini OSI modela na kojem rade vatrozidi, povijesno se razvila sljedeća klasifikacija ovih uređaja:

• filtar paketa;
• pristupnik na razini sesije (pristupnik na razini sklopa);
• pristupnik na razini aplikacije;
• Stateful Packet Inspection (SPI).

Imajte na umu da ovu klasifikaciju ima samo povijesni interes, budući da svi moderni vatrozidi spadaju u kategoriju najnaprednijih (u smislu zaštite mreže) SPI vatrozida.

Skupni filtri

Vatrozidi tipa filtera paketa su najosnovniji (najmanje inteligentni). Ovi vatrozidi rade na mrežnom sloju OSI modela ili na IP sloju skupa TCP/IP protokola. Takvi su vatrozidi potrebni u svakom usmjerivaču, budući da svaki usmjerivač radi barem na trećem sloju OSI modela.

Zadatak filtara paketa je filtriranje paketa na temelju informacija o izvornoj ili odredišnoj IP adresi i brojevima portova.

U vatrozidima tipa filtara paketa, svaki se paket analizira kako bi se utvrdilo ispunjava li kriterije prijenosa ili je prijenos blokiran prije prijenosa. Ovisno o paketu i generiranim kriterijima prijenosa, vatrozid može poslati paket, odbiti ga ili poslati obavijest inicijatoru prijenosa.

Paketni filteri se lako implementiraju i nemaju praktički nikakvog utjecaja na brzinu usmjeravanja.

Pristupnici sesiji

Pristupnici sloja sesije su vatrozidi koji rade na sloju sesije OSI modela ili na sloju TCP (Transport Control Protocol) skupa TCP/IP protokola. Ovi vatrozidi nadziru proces uspostavljanja TCP veze (organizacija sesija razmjene podataka između krajnjih računala) i omogućuju vam da odredite je li određena komunikacijska sesija legitimna. Podaci poslani na udaljeno računalo na vanjskoj mreži putem gatewaya na razini sesije ne sadrže informacije o izvoru prijenosa, odnosno sve izgleda kao da podatke šalje sam vatrozid, a ne računalo na interna (zaštićena) mreža. Svi vatrozidi temeljeni na NAT protokolu su pristupnici sloja sesije (NAT protokol bit će opisan u nastavku).

Pristupnici na razini sesije također nemaju značajan utjecaj na brzinu usmjeravanja. U isto vrijeme, ovi pristupnici nisu sposobni filtrirati pojedinačne pakete.

Pristupnici aplikacija

Pristupnici aplikacijskog sloja ili proxy poslužitelji rade na aplikacijskom sloju OSI modela. Aplikacijski sloj odgovoran je za pristup aplikacija mreži. Zadaci na ovoj razini uključuju prijenos datoteka, razmjenu preko maila i upravljanje mrežom. Primanjem informacija o paketima na razini aplikacije, pristupnici na razini aplikacije mogu implementirati blokadu pristupa određenim uslugama. Na primjer, ako je pristupnik na razini aplikacije konfiguriran kao web proxy, tada će svaki promet povezan s Telnet, FTP, Gopher protokolima biti blokiran. Budući da ovi vatrozidi analiziraju pakete na aplikacijskom sloju, oni mogu filtrirati određene naredbe, kao što su http:post, get itd. Ova značajka nije dostupna niti za filtere paketa niti za pristupnike sloja sesije. Pristupnici na razini aplikacije također se mogu koristiti za bilježenje aktivnosti pojedinačnih korisnika i uspostavljanje komunikacijskih sesija između njih. Ovi vatrozidi nude robusniji način zaštite mreža od pristupnika sloja sesije i filtara paketa.

SPI vatrozidi

Najnoviji tip vatrozida, Stateful Packet Inspection (SPI), kombinira prednosti filtera paketa, pristupnika na sloju sesije i pristupnika na sloju aplikacije. To jest, zapravo, govorimo o vatrozidima na više razina koji istovremeno djeluju na razini mreže, sesije i aplikacije.

SPI vatrozidi filtriraju pakete na mrežnom sloju, određuju legitimnost komunikacijske sesije na temelju podataka sloja sesije i analiziraju sadržaj paketa na temelju podataka sloja aplikacije.

Ovi vatrozidi pružaju najpouzdaniji način zaštite mreža i trenutno su de facto standard.

Postavljanje vatrozida

Metodologija i mogućnosti za konfiguriranje vatrozida ovise o specifični model. Nažalost, ne postoje jedinstvena konfiguracijska pravila, a još manje jedinstveno sučelje. Možemo govoriti samo o nekim općim pravilima kojih se valja pridržavati. Zapravo, osnovno pravilo je vrlo jednostavno: potrebno je zabraniti sve što nije potrebno za normalan rad mreže.

Najčešće se mogućnost konfiguriranja vatrozida svodi na aktiviranje nekih unaprijed definiranih pravila i stvaranje statičkih pravila u obliku tablice.

Uzmimo, kao primjer, opcije za konfiguriranje vatrozida uključene u Gigabyte GN-B49G usmjerivač. Ovaj usmjerivač ima niz unaprijed definiranih pravila koja vam omogućuju implementaciju različitih razina sigurnosti unutarnje mreže. Ova pravila uključuju sljedeće:

• Zabranjen je pristup konfiguraciji i administraciji rutera s WAN strane. Aktiviranje ove funkcije zabranjuje pristup postavkama usmjerivača iz vanjske mreže;
• Pristup s Global-IP-a na Private-IP zabranjen je unutar LAN-a. Ova vam funkcija omogućuje blokiranje pristupa unutar lokalne mreže s globalnih IP adresa (ako postoje) na IP adrese rezervirane za privatnu upotrebu;
• Spriječite dijeljenje datoteka i pisača izvan mreže usmjerivača. Funkcija sprječava korištenje zajedničkog pristupa pisačima i datotekama na internoj mreži izvana;
• Postojanje usmjerivača ne može se otkriti s WAN strane. Ova funkcija čini usmjerivač nevidljivim s vanjske mreže;
• Spriječeni su napadi tipa uskraćivanja usluge (DoS). Kada je ova funkcija aktivirana, implementirana je zaštita od DoS (Denial of Service) napada. DoS napadi su vrsta mrežnog napada koji uključuje slanje više zahtjeva poslužitelju koji zahtijevaju uslugu koju pruža sustav. Poslužitelj troši svoje resurse na uspostavljanje veze i njeno servisiranje i, s obzirom na određeni tok zahtjeva, ne može se nositi s njima. Zaštita od napada ove vrste temelji se na analizi izvora prometa koji je prekomjeran u odnosu na normalan promet i zabrani njegovog prijenosa.

Kao što smo već napomenuli, mnogi vatrozidi imaju unaprijed definirana pravila, koja su u biti ista kao gore navedena, ali mogu imati različita imena.

Drugi način za konfiguriranje vatrozida je stvaranje statičkih pravila koja vam omogućuju ne samo zaštitu mreže izvana, već i ograničavanje korisnika lokalne mreže u pristupu vanjskoj mreži. Mogućnosti za kreiranje pravila prilično su fleksibilne i omogućuju implementaciju gotovo svake situacije. Da biste izradili pravilo, navedite izvornu IP adresu (ili raspon adresa), izvorne portove, odredišne ​​IP adrese i portove, vrstu protokola, smjer prijenosa paketa (od interne mreže do vanjske mreže ili obrnuto) i radnja koju treba poduzeti kada se otkrije paket s naznačenim svojstvima (ispuštanje ili preskakanje paketa). Na primjer, ako želite zabraniti korisnicima unutarnje mreže (raspon IP adresa: 192.168.1.1-192.168.1.100) pristup FTP poslužitelju (port 21) koji se nalazi na vanjskoj IP adresi 64.233.183.104, tada pravilo može biti formuliran na sljedeći način:

• smjer prijenosa paketa: LAN-WAN;
• Izvorne IP adrese: 192.168.1.1-192.168.1.100;
• izvorni port: 1-65535;
• odredišna luka: 21;
• protokol: TCP;
• radnja: kap.

Statička konfiguracija pravila vatrozida za gore razmotreni primjer prikazana je na slici. 1.

NAT protokol kao dio vatrozida

Svi moderni usmjerivači s ugrađenim vatrozidom podržavaju NAT (Network Address Translation) protokol.

NAT protokol nije dio vatrozida, ali u isto vrijeme pomaže poboljšati sigurnost mreže. Glavna zadaća NAT protokola je riješiti problem nedostatka IP adresa, koji postaje sve hitniji kako raste broj računala.

Činjenica je da su u trenutnoj verziji IPv4 protokola četiri bajta dodijeljena za određivanje IP adrese, što omogućuje generiranje preko četiri milijarde adresa mrežnih računala. Naravno, u tim danima kada je Internet tek nastajao, bilo je teško i zamisliti da jednog dana ovaj broj IP adresa možda neće biti dovoljan. Kako bi se djelomično riješio problem nedostatka IP adresa, svojedobno je predložen NAT protokol za prevođenje mrežnih adresa.

NAT protokol definiran je standardom RFC 1631, koji definira kako se događa prevođenje mrežne adrese.

U većini slučajeva NAT uređaj pretvara IP adrese koje su rezervirane za privatnu upotrebu na lokalnim mrežama u javne IP adrese.

Privatni adresni prostor regulira RFC 1918. Ove adrese uključuju sljedeće IP raspone: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-192.168.255.255.

Prema RFC 1918, privatne IP adrese ne mogu se koristiti u Globalna mreža, tako da se mogu slobodno koristiti samo za interne potrebe.

Prije nego prijeđemo na specifičnosti NAT protokola, pogledajmo kako se mrežna veza javlja između dva računala.

Kada jedno računalo na mreži uspostavi vezu s drugim računalom, otvara se utičnica koju određuju izvorna IP adresa, izvorni port, odredišna IP adresa, odredišni port i mrežni protokol. Format IP paketa pruža dvobajtno polje za brojeve portova. To vam omogućuje da definirate 65.535 portova, koji igraju ulogu jedinstvenih komunikacijskih kanala. Od 65.535 luka, prvih 1.023 rezervirano je za dobro poznate usluge poslužitelja kao što su Web, FTP, Telnet itd. Svi ostali priključci mogu se koristiti za bilo koju drugu svrhu.

Ako, na primjer, jedno mrežno računalo pristupi FTP poslužitelju (port 21), tada kada se otvori utičnica, operativni sustav dodjeljuje sesiji bilo koji port iznad 1023. Na primjer, to može biti port 2153. Zatim IP paket poslan s PC na FTP poslužitelj, sadržavat će IP adresu pošiljatelja, port pošiljatelja (2153), IP adresu primatelja i odredišni port (21). Izvorna IP adresa i port koristit će se za odgovor poslužitelja klijentu. Korištenje različitih priključaka za različite mrežne sesije omogućuje mrežnim klijentima da istovremeno uspostave više sesija s različitim poslužiteljima ili s uslugama s istog poslužitelja.

Sada pogledajmo postupak uspostavljanja sesije pri korištenju NAT usmjerivača na granici interne mreže i Interneta.

Kada interni mrežni klijent uspostavi vezu s vanjskim mrežnim poslužiteljem, tada se, kao i u slučaju uspostavljanja veze između dva računala, otvara socket određen izvornom IP adresom, izvornim portom, odredišnom IP adresom, odredišnim portom, i mrežni protokol. Kada aplikacija prenosi podatke preko ove utičnice, izvorna IP adresa i izvorni port umetnuti su u paket u poljima izvora opcija. Polja opcija odredišta sadržavat će IP adresu poslužitelja i port poslužitelja. Na primjer, računalo na internoj mreži s IP adresom 192.168.0.1 može pristupiti WAN web poslužitelju s IP adresom 64.233.188.104. U tom slučaju operativni sustav klijenta može dodijeliti port 1251 (izvorni port) uspostavljenoj sesiji, a odredišni port je port web usluge, to jest 80. Tada će sljedeći atributi biti naznačeni u zaglavlju poslanog paketa (slika 2):

• izvorišna luka: 1251;
• IP adresa primatelja: 64.233.183.104;
• odredišna luka: 80;
• protokol: TCP.

NAT uređaj (usmjerivač) presreće paket koji dolazi iz interne mreže i unosi u svoju internu tablicu mapiranje izvorišnog i odredišnog porta paketa koristeći odredišnu IP adresu, odredišni port, vanjsku IP adresu NAT uređaja, vanjski port , mrežni protokol i interni IP - adresa i port klijenta.

Pretpostavimo da u gore navedenom primjeru NAT usmjerivač ima vanjsku IP adresu 195.2.91.103 (adresa WAN priključka), a za uspostavljenu sesiju vanjski priključak NAT uređaja je 3210. U ovom slučaju, interna tablica za mapiranje izvorišnog i odredišnog porta paketa koji sadrži sljedeće informacije:

• Izvor IP: 192.168.0.1;
• izvorišna luka: 1251;
• vanjska IP adresa

NAT uređaji: 195.2.91.103;

• priključak vanjskog NAT uređaja: 3210;
• IP adresa primatelja: 64.233.183.104;
• odredišna luka: 80;
• protokol: TCP.

NAT uređaj tada "emituje" paket transformirajući izvorna polja u paketu: interna IP adresa i port klijenta zamjenjuju se vanjskom IP adresom i portom NAT uređaja. U ovom će primjeru pretvoreni paket sadržavati sljedeće informacije:

• Izvor IP: 195.2.91.103;
• izvorni port: 3210;
• IP adresa primatelja: 64.233.183.104;
• odredišna luka: 80;
• protokol: TCP.

Pretvoreni paket šalje se preko vanjske mreže i na kraju dolazi do navedenog poslužitelja.

Poslužitelj će nakon primitka paketa proslijediti pakete odgovora na vanjsku IP adresu i port NAT uređaja (usmjerivača), navodeći vlastitu IP adresu i port u izvornim poljima (slika 3). U razmatranom primjeru, paket odgovora s poslužitelja sadržavat će sljedeće informacije u zaglavlju:

• izvorni priključak: 80;
• IP adresa primatelja: 195.2.91.103;
• odredišna luka: 3210;
• protokol: TCP.

Riža. 3. Princip rada NAT uređaja pri prijenosu paketa iz vanjske mreže u unutarnju

NAT uređaj prima ove pakete od poslužitelja i analizira njihov sadržaj na temelju svoje tablice mapiranja portova. Ako se mapiranje porta pronađe u tablici za koju izvorna IP adresa, izvorni port, odredišni port i mrežni protokol iz dolaznog paketa odgovaraju IP adresi udaljenog glavnog računala, udaljenom portu i mrežnom protokolu navedenom u mapiranju porta, tada će NAT izvršiti obrnuto prevođenje: zamjenjuje vanjsku IP adresu i vanjski port u odredišnim poljima paketa s IP adresom i internim portom internog mrežnog klijenta. Prema tome, paket poslan internoj mreži za gore razmotreni primjer imat će sljedeće atribute:

• Izvor IP: 64.233.183.104;
• izvorni priključak: 80;
• IP adresa primatelja: 192.168.0.1;
• odredišna luka: 1251;
• protokol: TCP.

Međutim, ako nema podudaranja u tablici mapiranja luka, onda dolazni paket se odbija i veza se prekida.

Zahvaljujući NAT usmjerivaču, svako osobno računalo na internoj mreži može prenijeti podatke na globalnu mrežu koristeći vanjsku IP adresu i priključak usmjerivača. U tom slučaju, IP adrese interne mreže, kao portovi dodijeljeni sesijama, ostaju nevidljivi s vanjske mreže.

Međutim, NAT router dopušta razmjenu podataka između računala na unutarnjoj i vanjskoj mreži samo ako tu razmjenu inicira računalo na unutarnjoj mreži. Ako računalo na vanjskoj mreži samoinicijativno pokuša pristupiti računalu na internoj mreži, NAT uređaj odbija vezu. Stoga, osim što rješava problem nedostatka IP adresa, NAT protokol također pomaže u poboljšanju sigurnosti interne mreže.

Problemi povezani s NAT uređajima

Unatoč prividnoj jednostavnosti NAT uređaja, oni su povezani s nekim problemima koji često kompliciraju organizaciju interakcije između mrežnih računala ili čak sprječavaju njezino uspostavljanje. Na primjer, ako je lokalna mreža zaštićena NAT uređajem, tada bilo koji klijent na internoj mreži može uspostaviti vezu s WAN poslužiteljem, ali ne i obrnuto. To jest, ne možete pokrenuti vezu s vanjske mreže na poslužitelj koji se nalazi na unutarnjoj mreži iza NAT uređaja. Ali što ako postoji usluga na unutarnjoj mreži (na primjer, FTP ili web poslužitelj) kojoj korisnici na vanjskoj mreži moraju imati pristup? Kako bi riješili ovaj problem, NAT usmjerivači koriste demilitariziranu zonu i tehnologije prosljeđivanja portova, koje će biti detaljno opisane u nastavku.

Još jedan problem s NAT uređajima je taj što neke mrežne aplikacije uključuju IP adresu i port u podatkovnom dijelu paketa. Jasno je da NAT uređaj nije sposoban izvršiti takav prijevod adrese. Kao rezultat toga, ako mrežna aplikacija umetne IP adresu ili port u korisni dio paketa, poslužitelj koji odgovara na taj paket koristit će ugniježđenu IP adresu i port za koje ne postoji odgovarajući unos mapiranja u internoj tablici NAT uređaja . Kao rezultat toga, NAT uređaj će odbaciti takav paket, pa stoga aplikacije koje koriste ovu tehnologiju neće moći raditi u prisutnosti NAT uređaja.

Postoje mrežne aplikacije koje koriste jedan priključak (kao izvorni priključak) za prijenos podataka, ali čekaju odgovor na drugom priključku. NAT uređaj analizira odlazni promet i pronalazi izvorni port. Međutim, NAT uređaj ne zna da se odgovor očekuje na drugom priključku i ne može izvršiti odgovarajuće mapiranje. Kao rezultat toga, paketi odgovora upućeni portu koji nema mapiranje u internoj tablici NAT uređaja bit će odbačeni.

Drugi problem s NAT uređajima je višestruki pristup istom priključku. Razmotrimo situaciju u kojoj nekoliko klijenata na lokalnoj mreži, odvojenih od vanjske mreže NAT uređajem, pristupa istom standardnom priključku. Na primjer, to može biti port 80, koji je rezerviran za web uslugu. Budući da svi interni mrežni klijenti koriste istu IP adresu, postavlja se pitanje: kako NAT uređaj može odrediti koji interni mrežni klijent je vanjski zahtjev? Da bi se riješio ovaj problem, samo jedan interni mrežni klijent ima pristup standardnom priključku u bilo kojem trenutku.

Statičko prosljeđivanje porta (mapiranje porta)

Kako bi određene aplikacije koje se izvode na poslužitelju na unutarnjoj mreži (kao što je web poslužitelj ili FTP poslužitelj) učinile dostupnima s vanjske mreže, NAT uređaj mora biti konfiguriran za preslikavanje priključaka koje koriste određene aplikacije u IP adrese. ti interni mrežni poslužitelji na kojima se te aplikacije pokreću. U ovom slučaju govori se o tehnologiji preusmjeravanja portova (Port mapping), a sam interni mrežni poslužitelj naziva se virtualni server. Kao rezultat toga, svaki zahtjev vanjske mreže prema vanjskoj IP adresi NAT uređaja (usmjerivača) na navedenom priključku bit će automatski preusmjeren na navedeni virtualni poslužitelj na internoj mreži.

Na primjer, ako je na internoj mreži konfiguriran virtualni FTP poslužitelj koji se pokreće na računalu s IP adresom 192.168.0.10, tada prilikom postavljanja virtualni poslužitelj navedena je IP adresa virtualnog poslužitelja (192.168.0.10), korišteni protokol (TCP) i port aplikacije (21). U tom slučaju, prilikom pristupa vanjskoj adresi NAT uređaja (WAN port rutera) na portu 21, korisnik na vanjskoj mreži može pristupiti FTP poslužitelju na internoj mreži, unatoč korištenju NAT protokola. Primjer konfiguriranja virtualnog poslužitelja na stvarnom NAT usmjerivaču prikazan je na sl. 4.

Obično vam NAT usmjerivači omogućuju stvaranje više statičkih prosljeđivanja portova. Dakle, na jednom virtualnom poslužitelju možete otvoriti nekoliko portova odjednom ili kreirati nekoliko virtualnih poslužitelja s različitim IP adresama. Međutim, sa statičkim prosljeđivanjem porta, ne možete proslijediti jedan port na više IP adresa, što znači da port može odgovarati jednoj IP adresi. Nemoguće je, na primjer, konfigurirati nekoliko web poslužitelja s različitim IP adresama; da biste to učinili, morat ćete promijeniti zadani port web poslužitelja i, kada pristupate portu 80, navesti promijenjeni web port u postavkama usmjerivača kao interni port (privatni port).poslužitelj.

Većina modela usmjerivača također vam omogućuje postavljanje statičkog preusmjeravanja grupe portova, odnosno dodjeljivanje cijele grupe portova odjednom IP adresi virtualnog poslužitelja. Ova značajka je korisna ako trebate podržati aplikacije koje koriste velik broj priključaka, kao što su igre ili audio/video konferencije. Broj proslijeđenih grupa priključaka u različiti modeli ruteri se razlikuju, ali obično ih ima najmanje deset.

Dinamičko prosljeđivanje porta (posebna aplikacija)

Statičko prosljeđivanje portova može djelomično riješiti problem pristupa s vanjske mreže uslugama lokalne mreže zaštićene NAT uređajem. Međutim, postoji i suprotan zadatak - potreba da se korisnicima lokalne mreže omogući pristup vanjskoj mreži putem NAT uređaja. Činjenica je da neke aplikacije (primjerice internetske igrice, videokonferencije, internetska telefonija i druge aplikacije koje zahtijevaju istodobnu uspostavu više sesija) nisu kompatibilne s NAT tehnologijom. Za rješavanje ovog problema koristi se takozvano dinamičko preusmjeravanje porta (ponekad se naziva Posebna aplikacija), kada je preusmjeravanje porta postavljeno na individualnoj razini mrežne aplikacije.

Ako ruter podržava ovu funkciju, morate navesti interni broj porta (ili interval porta) povezan s specifična primjena(obično se naziva Trigger Port) i odredite broj vanjskog priključka NAT uređaja (Public Port), koji će se preslikati na interni priključak.

Kada je omogućeno dinamičko prosljeđivanje portova, usmjerivač prati odlazni promet iz interne mreže i pamti IP adresu računala s kojeg je taj promet potekao. Kada podaci stignu natrag u lokalni segment Prosljeđivanje priključka je omogućeno i podaci se prosljeđuju unutra. Nakon što je prijenos završen, preusmjeravanje je onemogućeno, a zatim bilo koje drugo računalo može kreirati novo preusmjeravanje na svoju IP adresu.

Dinamičko prosljeđivanje porta koristi se prvenstveno za usluge koje uključuju kratkotrajne zahtjeve i prijenose podataka, jer ako jedno računalo koristi određeno prosljeđivanje porta, drugo računalo ne može učiniti isto u isto vrijeme. Ako trebate konfigurirati aplikacije koje zahtijevaju stalni tok podataka koji zauzimaju priključak na Dugo vrijeme, tada je dinamičko preusmjeravanje neučinkovito. Međutim, u ovom slučaju postoji rješenje problema - ono leži u korištenju demilitarizirane zone.

DMZ zona

Demilitarizirana zona (DMZ) još je jedan način za zaobilaženje ograničenja NAT protokola. Svi moderni usmjerivači imaju ovu značajku. Kada se računalo na internoj lokalnoj mreži postavi u DMZ zonu, ono postaje transparentno za NAT protokol. To u biti znači da se interno mrežno računalo virtualno nalazi ispred vatrozida. Za računalo koje se nalazi u DMZ zoni, svi portovi su preusmjereni na jednu internu IP adresu, što vam omogućuje organiziranje prijenosa podataka s vanjske mreže na internu.

Ako se npr. poslužitelj s IP adresom 192.168.1.10, koji se nalazi na internoj lokalnoj mreži, nalazi u DMZ zoni, a sama lokalna mreža je zaštićena NAT uređajem, tada kada zahtjev stigne na bilo koji port od vanjske mreže na adresu WAN porta Za NAT uređaj ovaj zahtjev će biti proslijeđen na IP adresu 192.168.1.10, odnosno na adresu virtualnog poslužitelja u DMZ zoni.

U pravilu NAT usmjerivači klase SOHO dopuštaju postavljanje samo jednog računala u DMZ zonu. Primjer konfiguracije računala u DMZ zoni prikazan je na sl. 5.

Riža. 5. Primjer konfiguracije računala u DMZ zoni

Budući da računalo koje se nalazi u DMZ zoni postaje dostupno s vanjske mreže i nije ni na koji način zaštićeno vatrozidom, ono postaje ranjiva točka mreže. Smještanju računala u demilitariziranu zonu trebali biste pribjeći samo u krajnjem slučaju, kada nijedna druga metoda zaobilaženja ograničenja NAT protokola nije prikladna iz jednog ili drugog razloga.

NAT Traversal tehnologija

Metode koje smo naveli za zaobilaženje ograničenja NAT protokola mogu predstavljati neke poteškoće za korisnike početnike. Kako bi se olakšala administracija, predložena je automatizirana tehnologija za konfiguriranje NAT uređaja. NAT Traversal tehnologija omogućuje mrežnim aplikacijama da utvrde jesu li zaštićene NAT uređajem, saznaju vanjsku IP adresu i izvrše prosljeđivanje porta na automatski način rada. Stoga je prednost tehnologije NAT Traversal u tome što korisnik ne mora ručno konfigurirati preslikavanje portova.

NAT Traversal tehnologija temelji se na UPnP (Universal Plug and Play) protokolu, stoga je za aktivaciju ove tehnologije često potrebno provjeriti opciju UPnP&NAT u ruterima.

Enciklopedijski YouTube

1 / 5

✪ 1. Cisco ASA Administrator. Što je vatrozid?

✪ ZoneAlarm Free Firewall - besplatni vatrozid za vaše računalo

✪ 2. Cisco ASA Administrator. Vatrozidi Cisco

✪ Vatrozidi

titlovi

Svrha

Među zadacima koje vatrozidi rješavaju, glavni je zaštita mrežnih segmenata ili pojedinačnih hostova od neovlaštenog pristupa korištenjem ranjivosti u protokolima mrežnog modela OSI ili u softveru instaliranom na mrežnim računalima. Vatrozidi dopuštaju ili odbijaju promet uspoređujući njegove karakteristike s određenim uzorcima.

Najčešće mjesto za instaliranje vatrozida je na perimetru lokalne mreže radi zaštite unutarnjih računala od vanjskih napada. Međutim, napadi mogu započeti i s unutarnjih računala - u tom slučaju, ako se napadnuto računalo nalazi na istoj mreži, promet neće prijeći perimetar mreže, a vatrozid se neće aktivirati. Stoga su vatrozidi sada postavljeni ne samo na rubu, već i između različitih segmenata mreže, što daje dodatnu razinu sigurnosti.

Priča

Prvi uređaji koji su filtrirali mrežni promet pojavili su se u kasnim 1980-ima, kada je Internet bio nov i nije se koristio na globalnoj razini. Ti su uređaji bili usmjerivači koji provjeravaju promet na temelju podataka sadržanih u zaglavljima protokola mrežnog sloja. Naknadno, s razvojem mrežnih tehnologija, ovi su uređaji mogli filtrirati promet koristeći podatke iz protokola više razine prijenosa. Usmjerivači se mogu smatrati prvom hardverskom i softverskom implementacijom vatrozida.

Softverski vatrozidi pojavili su se mnogo kasnije i bili su puno mlađi od antivirusnih programa. Na primjer, projekt Netfilter/iptables (jedan od prvih softverskih vatrozida ugrađenih u Linux kernel od verzije 2.4) utemeljen je 1998. godine. Ovo kasno pojavljivanje sasvim je razumljivo, jer dugo vremena Antivirus je riješio problem zaštite osobnih računala od malwarea. Međutim, kasnih 1990-ih virusi su počeli aktivno iskorištavati nedostatak vatrozida na računalima, što je dovelo do povećanog interesa korisnika za ovu klasu uređaja.

Filtriranje prometa

Filtriranje prometa provodi se na temelju skupa unaprijed konfiguriranih pravila tzv skup pravila. Prikladno je zamisliti vatrozid kao niz filtara koji obrađuju protok informacija. Svaki od filtara dizajniran je za tumačenje zasebnog pravila. Redoslijed pravila u skupu ima značajan utjecaj na performanse vatrozida. Na primjer, mnogi vatrozidi uzastopno uspoređuju promet s pravilima dok se ne pronađe podudaranje. Za takve vatrozide, pravila koja odgovaraju najvećem prometu trebaju biti postavljena što je moguće više na popisu, čime se povećava izvedba.

Postoje dva principa za obradu dolaznog prometa. Prvo načelo glasi: “Dopušteno je ono što nije izričito zabranjeno.” U u ovom slučaju, ako firewall primi paket koji ne potpada ni pod jedno pravilo, onda se on šalje dalje. Suprotno načelo - "Što nije izričito dopušteno zabranjeno je" - jamči mnogo veću sigurnost, budući da uskraćuje sav promet koji nije izričito dopušten po pravilima. Međutim, ovo načelo dodatno opterećuje administratora.

U konačnici, vatrozidi izvode jednu od dvije operacije na dolaznom prometu: prosljeđuju paket dalje ( dopustiti) ili odbaciti paket ( poricati). Neki vatrozidi imaju još jednu operaciju - odbiti, u kojem je paket odbačen, ali je pošiljatelj obaviješten da je usluga kojoj je pokušavao pristupiti nedostupna. Nasuprot tome, tijekom operacije poricati pošiljatelj nije obaviješten o nedostupnosti usluge, što je sigurnije.

Klasifikacija vatrozida

Još uvijek ne postoji jedinstvena i općeprihvaćena klasifikacija vatrozida. Međutim, u većini slučajeva, podržani sloj OSI mrežnog modela glavna je karakteristika u njihovoj klasifikaciji. S obzirom na ovaj model, razlikuju se sljedeće vrste vatrozida:

1. Upravljani prekidači.
2. Skupni filtri.
3. Pristupnici na razini sesije.
4. Posrednici aplikacijskog sloja.
5. Inspektori stanja.

Upravljani prekidači

Mnogi proizvođači mrežne opreme, kao što su Cisco, Nortel, 3Com, ZyXEL, u svojim preklopnicima pružaju mogućnost filtriranja prometa na temelju MAC adresa sadržanih u zaglavljima okvira. Na primjer, u sklopkama obitelji Cisco Catalyst ova je značajka implementirana pomoću mehanizma za sigurnost porta. . Međutim, ova metoda filtriranja nije učinkovita, budući da se MAC adresa instalirana u hardveru na mrežnoj kartici softverski lako mijenja, budući da vrijednost navedena u upravljačkom programu ima veći prioritet od one koja je ugrađena u karticu. Stoga vam mnogi moderni preklopnici omogućuju korištenje drugih parametara kao značajke filtriranja - na primjer, VLAN ID. Tehnologija virtualne lokalne mreže omogućuje stvaranje grupa hostova čiji je promet potpuno izoliran od ostalih mrežnih čvorova.

Skupni filtri

Filtri paketa djeluju na mrežnom sloju i kontroliraju prolaz prometa na temelju informacija sadržanih u zaglavlju paketa. Mnogi vatrozidi ove vrste mogu raditi sa zaglavljima protokola na višoj razini prijenosa (na primjer, TCP ili UDP). Filtri paketa bili su jedni od prvih koji su se pojavili na tržištu vatrozida i do danas su ostali najčešći tip. Ova tehnologija implementiran u veliku većinu usmjerivača, pa čak i u neke preklopnike.

Prilikom raščlanjivanja zaglavlja mrežni paket Mogu se koristiti sljedeći parametri:

• Izvorišna i odredišna IP adresa;
• tip transportnog protokola;
• polja zaglavlja usluge protokola mrežnog i transportnog sloja;
• izvorišnu i odredišnu luku.

Prilično je uobičajeno filtrirati fragmentirane pakete, što otežava otkrivanje nekih napada. Mnogi mrežni napadi iskorištavaju ovu ranjivost vatrozida prosljeđujući pakete koji sadrže zabranjene podatke kao fragmente drugog, pouzdanog paketa. Jedan od načina za borbu protiv ove vrste napada je konfiguracija vatrozida da blokira fragmentirane pakete. Neki vatrozidi mogu defragmentirati pakete prije nego što ih proslijede internoj mreži, ali to zahtijeva dodatne resurse samog vatrozida, posebno memoriju. Defragmentacija se mora koristiti vrlo promišljeno, inače i sam takav vatrozid može lako postati žrtva DoS napada.

Filtri paketa mogu se implementirati u sljedeće komponente mrežne infrastrukture:

• granični usmjerivači;
• OS;

Budući da filtri paketa obično provjeravaju samo podatke u zaglavljima mrežnog i transportnog sloja, oni to mogu učiniti vrlo brzo. Stoga su filteri paketa ugrađeni u rubne usmjerivače idealni za postavljanje na rubu mreže s niskim stupnjem povjerenja. Međutim, filteri paketa nemaju mogućnost analize protokola na višim razinama OSI mrežnog modela. Osim toga, filtri paketa obično su ranjivi na napade koji koriste lažiranje mrežne adrese. Takvi se napadi obično provode kako bi se zaobišla kontrola pristupa koju provodi vatrozid.

Pristupnici sesiji

Budući da ova vrsta vatrozida eliminira izravnu komunikaciju između dva računala, pristupnik sloja sesije jedini je povezujući element između vanjske mreže i unutarnjih resursa. To stvara dojam da pristupnik odgovara na sve zahtjeve vanjske mreže i čini gotovo nemogućim određivanje topologije zaštićene mreže. Osim toga, budući da se kontakt između čvorova uspostavlja samo ako je valjan, pristupnik sloja sesije sprječava mogućnost DoS napada koji su svojstveni filterima paketa.

Unatoč učinkovitosti ove tehnologije, ona ima ozbiljan nedostatak: kao i sve gore navedene klase vatrozida, pristupnici na razini sesije nemaju mogućnost provjere sadržaja podatkovnog polja, što napadaču omogućuje prijenos "trojanskih konja" u zaštićenu mrežu.

Brokeri aplikacijskog sloja

Nedostaci ove vrste vatrozida su velika količina vremena i resursa utrošenih na analizu svakog paketa. Iz tog razloga općenito nisu prikladni za aplikacije u stvarnom vremenu. Drugi nedostatak je nesposobnost automatsko povezivanje podrška za nove mrežne aplikacije i protokole, jer svaka od njih zahtijeva svog agenta.

Državni inspektori

Svaka od gore navedenih vrsta vatrozida koristi se za zaštitu korporativnih mreža i ima brojne prednosti. No, bilo bi puno učinkovitije skupiti sve te prednosti u jedan uređaj i dobiti vatrozid koji filtrira promet od mreže do aplikativne razine. Ova ideja je implementirana u državnim inspektorima, kombinirajući visoke performanse i sigurnost. Ova klasa vatrozida omogućuje kontrolu:

• svaki poslani paket temelji se na tablici pravila;
• svaka sesija - na temelju tablice stanja;
• Svaka aplikacija temelji se na razvijenim posrednicima.

Filtriranjem prometa na temelju principa pristupnika na razini sesije, ovaj sat vatrozidi ne ometaju proces uspostavljanja veza između čvorova. Stoga je izvedba državnog inspektora znatno veća od one brokera aplikacijskog sloja i pristupnika sloja sesije, te je usporediva s izvedbom filtera paketa. Još jedna prednost državnih inspektora je transparentnost za korisnika: za klijenta softver nije potrebna dodatna konfiguracija. Ovi vatrozidi imaju velike mogućnosti proširenja. Kada se pojavi nova usluga ili novi protokol aplikacijskog sloja, samo trebate dodati nekoliko predložaka koji će ih podržati. Međutim, državni inspektori su sami po sebi manje sigurni od posrednika na razini aplikacije.

Pojam pregleda stanja, koji je uveo Check Point Software, postao je toliko popularan među proizvođačima mrežne opreme da se sada gotovo svaki vatrozid klasificira kao ova tehnologija, čak i ako je ne implementira u potpunosti.

Provedba

Postoje dvije verzije vatrozida - softverska i hardversko-softverska. Zauzvrat, verzija softvera i hardvera ima dvije vrste - u obliku zasebni modul u preklopniku ili usmjerivaču i kao namjenski uređaj.

U današnje vrijeme sve se češće koristi programsko rješenje koje na prvi pogled izgleda privlačnije. To je zbog činjenice da se čini da je za njegovu upotrebu dovoljno samo kupiti softver vatrozida i instalirati ga na bilo koje računalo u organizaciji. Međutim, kao što pokazuje praksa, organizacija nema uvijek besplatno računalo, pa čak ni ono koje zadovoljava prilično visoke zahtjeve za resurse sustava. Nakon što je računalo pronađeno (najčešće kupljeno), slijedi proces instalacije i konfiguracije operativnog sustava, kao i samog vatrozida. Lako je vidjeti da korištenje običnog osobnog računala nije tako jednostavno kao što se čini. Zbog toga su specijalizirani hardverski i softverski sustavi tzv sigurnosni uređaj, na temelju, u pravilu,