Come configurare smartphone e PC. Portale informativo
  • casa
  • Windows 10
  • Meccanismi di sicurezza delle informazioni. Modem con firewall (Firewall) con funzione SPI

Meccanismi di sicurezza delle informazioni. Modem con firewall (Firewall) con funzione SPI

28.04.2019 Windows 10



Perché hai bisogno di un firewall in un router?

Una rete wireless necessita di un'attenta protezione, perché qui si creano le opportunità più favorevoli per intercettare le informazioni. Pertanto, se più computer sono collegati in rete tramite un router, è necessario installare e utilizzare un firewall non solo su ciascun computer, ma anche sul router. Ad esempio, la funzione firewall in un router della serie DI-XXX viene eseguita da SPI, che esegue un ulteriore controllo dei pacchetti. Oggetto del controllo è se i pacchetti appartengono alla connessione stabilita.

Durante una sessione di connessione si apre una porta che può essere attaccata da pacchetti estranei; un momento particolarmente favorevole è quando la sessione è terminata e la porta rimane aperta per diversi minuti. Quindi SPI ricorda Stato attuale sessione e analizza tutti i pacchetti in arrivo. Devono corrispondere a quanto previsto: provenire dall'indirizzo a cui è stata inviata la richiesta, avere determinati numeri. Se il pacchetto non corrisponde alla sessione, cioè è errato, viene bloccato e questo evento viene registrato nel log. Un firewall sul router consente inoltre di bloccare le connessioni in uscita da un computer infetto.

YouTube enciclopedico

    1 / 5

    ✪ 1. Amministratore Cisco ASA. Cos'è un firewall?

    ✪ ZoneAlarm Firewall gratuito: firewall gratuito per il tuo computer

    ✪ 2. Amministratore Cisco ASA. Fra firewall Cisco

    ✪ Firewall

    Sottotitoli

Scopo

Tra i compiti risolti dai firewall, quello principale è proteggere segmenti di rete o singoli host da accessi non autorizzati utilizzando le vulnerabilità nei protocolli del modello di rete OSI o nel software installato sui computer della rete. I firewall consentono o negano il traffico confrontando le sue caratteristiche con modelli specifici.

Il luogo più comune in cui installare i firewall è al perimetro di una rete locale per proteggere gli host interni da attacchi esterni. Tuttavia, gli attacchi possono partire anche da host interni: in questo caso, se l'host attaccato si trova sulla stessa rete, il traffico non attraverserà il perimetro della rete e il firewall non verrà attivato. Pertanto, attualmente, i firewall non sono posizionati solo al confine, ma anche tra diversi segmenti di rete, il che garantisce livello aggiuntivo sicurezza

Storia

I primi dispositivi a svolgere una funzione di filtraggio traffico di rete, è apparso alla fine degli anni '80, quando Internet era nuovo e inutilizzato su scala globale. Questi dispositivi erano router che ispezionano il traffico in base ai dati contenuti nelle intestazioni del protocollo del livello di rete. Successivamente, con lo sviluppo tecnologie di rete, questi dispositivi sono ora in grado di filtrare il traffico utilizzando i dati provenienti da protocolli di livello di trasporto più elevati. I router possono essere considerati la prima implementazione hardware e software di un firewall.

I firewall software sono apparsi molto più tardi ed erano molto più giovani dei programmi antivirus. Ad esempio, il progetto Netfilter/iptables (uno dei primi firewall software integrati nel kernel Linux a partire dalla versione 2.4) è stato fondato nel 1998. Questa comparsa tardiva è abbastanza comprensibile, poiché per molto tempo l'antivirus ha risolto il problema della protezione dei personal computer malware. Tuttavia, alla fine degli anni '90, i virus iniziarono a sfruttare attivamente la mancanza di firewall sui computer, il che portò ad un crescente interesse degli utenti per questa classe di dispositivi.

Filtraggio del traffico

Il filtraggio del traffico viene effettuato sulla base di una serie di regole preconfigurate chiamate set di regole. È conveniente pensare ad un firewall come ad una sequenza di filtri che elaborano un flusso di informazioni. Ciascuno dei filtri è progettato per interpretare una regola separata. La sequenza di regole in un set ha un impatto significativo sulle prestazioni del firewall. Ad esempio, molti firewall confrontano in sequenza il traffico con le regole finché non viene trovata una corrispondenza. Per tali firewall, le regole che corrispondono alla maggior parte del traffico dovrebbero essere posizionate il più in alto possibile nell'elenco, aumentando così le prestazioni.

Esistono due principi per l'elaborazione del traffico in entrata. Il primo principio recita: “Ciò che non è espressamente vietato è consentito”. In questo caso, se il firewall riceve un pacchetto che non rientra in nessuna regola, viene ulteriormente trasmesso. Il principio opposto – “Ciò che non è esplicitamente consentito è vietato” – garantisce una sicurezza molto maggiore, poiché nega tutto il traffico non esplicitamente consentito dalle regole. Tuttavia, questo principio comporta un onere aggiuntivo per l’amministratore.

In definitiva, i firewall eseguono una delle due operazioni sul traffico in entrata: passano il pacchetto ( permettere) o scartare il pacchetto ( negare). Alcuni firewall hanno un'altra operazione: rifiutare, in cui il pacchetto viene scartato, ma il mittente viene informato che il servizio a cui stava tentando di accedere non è disponibile. Al contrario, durante l'intervento chirurgico negare il mittente non viene informato dell'indisponibilità del servizio, che è più sicuro.

Classificazione dei firewall

Non esiste ancora una classificazione unica e generalmente accettata dei firewall. Tuttavia, nella maggior parte dei casi, il livello supportato del modello di rete OSI è la caratteristica principale nella loro classificazione. Considerando questo modello, si distinguono i seguenti tipi di firewall:

  1. Switch gestiti.
  2. Filtri batch.
  3. Gateway a livello di sessione.
  4. Intermediari del livello applicativo.
  5. Ispettori delle condizioni.

Switch gestiti

Molti produttori apparecchiature di rete, come Cisco, Nortel, 3Com, ZyXEL, offrono la possibilità nei loro switch di filtrare il traffico in base agli indirizzi MAC contenuti nelle intestazioni dei frame. Ad esempio, negli switch della famiglia Cisco Catalyst questa funzionalità è implementata utilizzando il meccanismo Port Security. . Tuttavia questo metodo il filtraggio non è efficace, poiché l'hardware installato in scheda di rete L'indirizzo MAC può essere facilmente modificato a livello di programmazione, poiché il valore specificato tramite il driver ha una priorità più alta rispetto a quello codificato nella scheda. Pertanto, molti switch moderni consentono di utilizzare altri parametri come funzionalità di filtro, ad esempio l'ID VLAN. Tecnologia di rete locale virtuale Area locale Network) permette di creare gruppi di host il cui traffico è completamente isolato dagli altri nodi della rete.

Filtri batch

I filtri dei pacchetti operano a livello di rete e controllano il passaggio del traffico in base alle informazioni contenute nell'intestazione del pacchetto. Molti firewall di questo tipo può operare con intestazioni di protocollo di livello di trasporto superiore (ad esempio, TCP o UDP). I filtri di pacchetto sono stati tra i primi ad apparire sul mercato dei firewall e fino ad oggi rimangono il tipo più comune. Questa tecnologia è implementata nella stragrande maggioranza dei router e anche in alcuni switch.

Quando si analizza l'intestazione di un pacchetto di rete, è possibile utilizzare i seguenti parametri:

  • Indirizzi IP di origine e destinazione;
  • tipo di protocollo di trasporto;
  • campi di intestazione del servizio dei protocolli del livello di rete e di trasporto;
  • porto di origine e di destinazione.

È abbastanza comune filtrare pacchetti frammentati, il che rende difficile rilevare alcuni attacchi. Molti attacchi di rete sfruttano questa vulnerabilità nei firewall spacciando pacchetti contenenti dati proibiti come frammenti di un altro pacchetto attendibile. Un modo per combattere questo tipo di attacco è configurare il firewall per bloccare i pacchetti frammentati. Alcuni firewall possono deframmentare i pacchetti prima di inoltrarli alla rete interna, ma ciò è necessario risorse addizionali il firewall stesso, in particolare la memoria. La deframmentazione deve essere utilizzata con molta attenzione, altrimenti lo stesso firewall può facilmente diventare vittima di un attacco DoS.

I filtri dei pacchetti possono essere implementati nei seguenti componenti dell'infrastruttura di rete:

  • router di confine;
  • sistema operativo;

Poiché i filtri di pacchetto in genere ispezionano solo i dati nella rete e nelle intestazioni del livello di trasporto, possono farlo abbastanza rapidamente. Pertanto, i filtri di pacchetto integrati nei router periferici sono ideali per il posizionamento ai margini di una rete a basso livello di attendibilità. Tuttavia, i filtri di pacchetto non hanno la capacità di analizzare i protocolli ai livelli più alti del modello di rete OSI. Inoltre, i filtri dei pacchetti sono generalmente vulnerabili agli attacchi che utilizzano lo spoofing degli indirizzi di rete. Tali attacchi vengono generalmente effettuati per aggirare il controllo degli accessi implementato da un firewall.

Gateway di sessione

Poiché questo tipo di firewall elimina la comunicazione diretta tra due host, il gateway del livello sessione è l'unico elemento di collegamento tra la rete esterna e le risorse interne. Questo crea l'aspetto da cui tutte le richieste rete esterna il gateway risponde e rende quasi impossibile determinare la topologia della rete protetta. Inoltre, poiché il contatto tra i nodi viene stabilito solo se valido, il gateway del livello di sessione impedisce la possibilità di attacchi DoS inerenti ai filtri di pacchetti.

Nonostante l'efficacia di questa tecnologia, presenta un grave inconveniente: come tutte le classi di firewall sopra menzionate, i gateway a livello di sessione non hanno la capacità di verificare il contenuto del campo dati, il che consente a un utente malintenzionato di trasmettere "cavalli di Troia" nella rete protetta.

Broker del livello di applicazione

Gli svantaggi di questo tipo di firewall sono la grande quantità di tempo e risorse spese per analizzare ciascun pacchetto. Per questo motivo generalmente non sono adatti per applicazioni in tempo reale. Un altro svantaggio è l'incapacità connessione automatica supporto per nuove applicazioni e protocolli di rete, poiché ciascuno di essi richiede il proprio agente.

Ispettori statali

Ciascuno dei tipi di firewall sopra indicati viene utilizzato per proteggere le reti aziendali e presenta numerosi vantaggi. Tuttavia, sarebbe molto più efficace raccogliere tutti questi vantaggi in un unico dispositivo e dotarsi di un firewall che filtri il traffico dalla rete al livello dell'applicazione. Questa idea è stata implementata negli ispettori statali, combinando alte prestazioni e sicurezza. Questa classe di firewall consente di controllare:

  • ogni pacchetto trasmesso si basa su una tabella di regole;
  • ogni sessione - in base alla tabella degli stati;
  • Ogni applicazione si basa su intermediari sviluppati.

Filtrando il traffico in base al principio di un gateway a livello di sessione, questa classe i firewall non interferiscono con il processo di creazione di connessioni tra i nodi. Pertanto, le prestazioni dell'ispettore dello stato sono significativamente superiori a quelle del broker del livello di applicazione e del gateway del livello di sessione ed sono paragonabili alle prestazioni dei filtri di pacchetti. Un altro vantaggio degli ispettori statali è la trasparenza per l'utente: non è necessario il software client ulteriore personalizzazione. Questi firewall hanno grandi capacità di espansione. Quando appare un nuovo servizio o un nuovo protocollo a livello di applicazione, devi solo aggiungere alcuni modelli per supportarlo. Tuttavia, gli ispettori statali sono intrinsecamente meno sicuri degli intermediari a livello applicativo.

Il termine Stateful Inspection, introdotto da Check Point Software, è diventato così popolare tra i produttori di apparecchiature di rete che ora quasi tutti i firewall sono classificati come questa tecnologia, anche se non la implementano completamente.

Implementazione

Esistono due versioni di firewall: software e hardware-software. A loro volta, la versione software e hardware ha due varietà: sotto forma di un modulo separato in uno switch o router e sotto forma di un dispositivo specializzato.

Al giorno d'oggi viene utilizzata più spesso una soluzione software che a prima vista sembra più attraente. Ciò è dovuto al fatto che per utilizzarlo sembrerebbe sia sufficiente acquistare un software firewall e installarlo su qualsiasi computer dell'organizzazione. Tuttavia, come dimostra la pratica, l'organizzazione non sempre ce l'ha calcolatore gratuito e persino soddisfare requisiti abbastanza elevati per risorse di sistema. Dopo che il computer è stato trovato (molto spesso acquistato), segue il processo di installazione e configurazione del sistema operativo, nonché del software firewall stesso. È facile intuire che utilizzare un normale personal computer non è così semplice come potrebbe sembrare. Ecco perché vengono chiamati sistemi hardware e software specializzati apparecchio di sicurezza, basato, di regola,

Con una grande varietà di professionisti Software protezione da vari tipi attacchi alla rete locale dall'esterno (cioè da Internet) presentano tutti un grave inconveniente costo alto. E se stiamo parlando per quanto riguarda le piccole reti di classe SOHO, l'acquisto di pacchetti solidi è un lusso insostenibile. Allo stesso tempo, vale la pena notare che per le reti di piccole dimensioni le capacità di tali pacchetti potrebbero addirittura essere ridondanti. Pertanto, per proteggere piccole reti di classe SOHO, sono state ampiamente utilizzate soluzioni hardware poco costose: i firewall. In base alla progettazione, i firewall possono essere implementati come soluzione autonoma oppure esserlo parte integrale Router di classe SOHO, in particolare router senza fili, che consente di combinare segmenti cablati e wireless in base ad essi rete locale.
In questo articolo vedremo i principali funzionalità firewall hardware moderni integrati nei router di classe SOHO e utilizzati per proteggere piccole reti locali.

Firewall come parte dei router

Poiché i router sono dispositivi di rete installati al confine tra reti interne ed esterne e svolgono la funzione di gateway di rete, in termini di progettazione devono avere almeno due porte. La LAN è collegata a una di queste porte e questa porta diventa la porta LAN interna. Una rete esterna (Internet) è collegata alla seconda porta, trasformandola in una porta WAN esterna. Di norma, i router della classe SOHO hanno una porta WAN e diverse porte LAN (da una a quattro), che sono combinate in uno switch. Nella maggior parte dei casi, la porta WAN dello switch ha un'interfaccia 10/100Base-TX e ad essa è possibile collegare un modem xDSL con l'interfaccia appropriata o un cavo di rete Ethernet.

Inoltre, l'uso diffuso delle reti wireless ha portato alla nascita di un'intera classe di cosiddetti router wireless. Questi dispositivi, oltre ad un classico router con porte WAN e LAN, contengono un access point wireless integrato che supporta il protocollo IEEE 802.11a/b/g. Il segmento wireless della rete, che consente di organizzare un punto di accesso, dal punto di vista del router si riferisce alla rete interna, e in questo senso i computer collegati al router in modalità wireless non sono diversi da quelli collegati alla LAN porta.

Qualsiasi router, in quanto dispositivo a livello di rete, ha il proprio indirizzo IP. Oltre al router, anche la porta WAN ha un proprio indirizzo IP.

I computer collegati alle porte LAN del router devono avere un indirizzo IP sulla stessa sottorete del router stesso. Inoltre, nelle impostazioni di rete di questi PC, è necessario impostare l'indirizzo del gateway predefinito in modo che corrisponda all'indirizzo IP del router. Infine, il dispositivo connesso alla porta WAN dalla rete esterna deve avere un indirizzo IP della stessa sottorete della porta WAN del router.

Poiché il router funge da gateway tra la rete locale e Internet, è logico aspettarsi funzioni come la protezione della rete interna dall'accesso non autorizzato. Quindi quasi tutto router moderni La classe SOHO dispone di firewall hardware integrati, chiamati anche firewall.

Funzionalità del firewall

Lo scopo principale di qualsiasi firewall è in definitiva quello di garantire la sicurezza della rete interna. Per risolvere questo problema i firewall devono essere in grado di mascherare la rete protetta, bloccare tutto tipi conosciuti attacchi degli hacker, bloccare la fuga di informazioni dalla rete interna, controllare le applicazioni che accedono alla rete esterna.

Per implementare funzioni specificate, i firewall analizzano tutto il traffico tra le reti esterne e interne per verificarne la conformità con determinati criteri o regole stabiliti che determinano le condizioni per il passaggio del traffico da una rete all'altra. Se il traffico soddisfa i criteri specificati, il firewall ne consente il passaggio. Altrimenti, cioè se i criteri stabiliti non vengono soddisfatti, il traffico viene bloccato dal firewall. I firewall filtrano sia in entrata che traffico in uscita e consentono inoltre di controllare l'accesso a determinate risorse o applicazioni di rete. Possono registrare tutti i tentativi di accesso non autorizzato alle risorse della rete locale ed emettere avvisi sui tentativi di intrusione.

In termini di scopo, i firewall ricordano molto un checkpoint (checkpoint) di una struttura protetta, dove vengono controllati i documenti di tutti coloro che entrano nel territorio della struttura e di tutti coloro che ne escono. Se il lasciapassare è in regola l'accesso al territorio è consentito. I firewall funzionano esattamente allo stesso modo, solo che il ruolo delle persone che passano attraverso il checkpoint sono i pacchetti di rete, e il passaggio è che le intestazioni di questi pacchetti rispettano un insieme predefinito di regole.

I firewall sono davvero così affidabili?

È possibile affermare che un firewall fornisce sicurezza al 100% per la rete o il PC personale di un utente? Certamente no. Se non altro perché nessun sistema offre una garanzia di sicurezza al 100%. Un firewall dovrebbe essere considerato uno strumento che, se configurato correttamente, può complicare notevolmente il compito di un utente malintenzionato di penetrare nel personal computer di un utente. Sottolineiamolo: complica solo le cose, ma non garantisce affatto la sicurezza assoluta. A proposito, se non stiamo parlando di proteggere una rete locale, ma di proteggere un singolo PC che ha accesso a Internet, allora firewall dell'ICF(Internet Connection Firewall), integrato nella sala operatoria Sistema Windows XP. Pertanto in futuro si parlerà solo di firewall hardware aziendali volti a proteggere le piccole reti.

Se il firewall installato all'ingresso della rete locale è attivato da programma completo(di norma ciò corrisponde alle impostazioni predefinite), la rete da esso protetta è completamente impenetrabile e inaccessibile dall'esterno. Tuttavia, anche questa completa impenetrabilità della rete interna ha le sue caratteristiche rovescio. Il fatto è che in questo caso diventa impossibile utilizzare i servizi Internet installati sul PC (ad esempio ICQ e programmi simili). Pertanto, il compito di impostare un firewall è quello di creare finestre nel muro inizialmente vuoto che il firewall rappresenta per un utente malintenzionato, offrendo l'opportunità programmi utente rispondere alle richieste provenienti dall'esterno e, infine, implementare un'interazione controllata tra la rete interna e il mondo esterno. Tuttavia, quanto più finestre di questo tipo compaiono in un muro di questo tipo, tanto più vulnerabile diventa la rete stessa. Sottolineiamolo quindi ancora una volta: nessun firewall può garantire l'assoluta sicurezza della rete locale che protegge.

Classificazione dei firewall

Le capacità e l'intelligenza dei firewall dipendono dal livello del modello di riferimento OSI in cui operano. Maggiore è il livello OSI su cui è costruito il firewall, maggiore è il livello di protezione che fornisce.

Lascia che te lo ricordiamo Modello OSI(Open System Interconnection) comprende sette livelli di architettura di rete. Il primo, il più basso, è il livello fisico. Seguono i livelli di collegamento dati, rete, trasporto, sessione, presentazione e applicazione o applicazione. Per garantire il filtraggio del traffico, un firewall deve operare almeno al terzo livello del modello OSI, ovvero al livello di rete, dove i pacchetti vengono instradati in base alla traduzione degli indirizzi MAC in indirizzi di rete. Dal punto di vista del protocollo TCP/IP, questo livello corrisponde al livello IP (protocollo Internet). Ricevendo informazioni sul livello di rete, i firewall sono in grado di determinare gli indirizzi di origine e di destinazione di un pacchetto e verificare se il traffico è consentito tra queste destinazioni. Tuttavia, non sono disponibili informazioni sufficienti sul livello di rete per analizzare il contenuto del pacchetto. I firewall che operano al livello di trasporto del modello OSI ricevono leggermente più informazioni sui pacchetti e, in questo senso, possono fornire schemi di protezione della rete più intelligenti. Per quanto riguarda i firewall che operano a livello applicativo, hanno accesso a informazioni complete sui pacchetti di rete, il che significa che tali firewall forniscono la protezione di rete più affidabile.

A seconda del livello del modello OSI su cui operano i firewall, storicamente si è sviluppata la seguente classificazione di questi dispositivi:

  • filtro dei pacchetti;
  • gateway a livello di sessione (gateway a livello di circuito);
  • gateway a livello di applicazione;
  • Ispezione dei pacchetti con stato (SPI).

Notare che questa classificazione ha solo interesse storico, poiché tutti i firewall moderni appartengono alla categoria dei firewall SPI più avanzati (in termini di protezione della rete).

Filtri batch

I firewall di tipo filtro pacchetto sono i più basilari (meno intelligenti). Questi firewall operano al livello di rete del modello OSI o al livello IP dello stack di protocolli TCP/IP. Tali firewall sono necessari in ogni router, poiché ogni router opera almeno al terzo livello del modello OSI.

Il compito dei filtri di pacchetti è filtrare i pacchetti in base alle informazioni sull'indirizzo IP di origine o destinazione e sui numeri di porta.

Nei firewall di tipo filtro pacchetto, ciascun pacchetto viene analizzato per determinare se soddisfa i criteri di trasmissione o se la trasmissione è bloccata prima di essere trasmessa. A seconda del pacchetto e dei criteri di trasmissione generati, il firewall può trasmettere il pacchetto, rifiutarlo o inviare una notifica all'iniziatore della trasmissione.

I filtri dei pacchetti sono facili da implementare e non hanno praticamente alcun effetto sulla velocità di instradamento.

Gateway di sessione

I gateway del livello di sessione sono firewall che operano al livello di sessione del modello OSI o al livello TCP (Transport Control Protocol) dello stack di protocolli TCP/IP. Questi firewall monitorano il processo di creazione di una connessione TCP (l'organizzazione delle sessioni di scambio di dati tra computer finali) e consentono di determinare se una determinata sessione di comunicazione è legittima. I dati inviati a un computer remoto su una rete esterna tramite un gateway a livello di sessione non contengono informazioni sulla fonte della trasmissione, ovvero tutto appare come se i dati venissero inviati dal firewall stesso e non da un computer sulla rete esterna. rete interna (protetta). Tutti i firewall basati sul protocollo NAT sono gateway del livello di sessione (il protocollo NAT verrà descritto di seguito).

Anche i gateway a livello di sessione non hanno un impatto significativo sulla velocità di instradamento. Allo stesso tempo questi gateway non sono in grado di filtrare i singoli pacchetti.

Gateway applicativi

I gateway del livello applicativo, o server proxy, operano a livello dell'applicazione del modello OSI. Il livello applicativo è responsabile dell'accesso delle applicazioni alla rete. Le attività a questo livello includono il trasferimento e lo scambio di file per posta e gestione della rete. Ricevendo informazioni sui pacchetti a livello di applicazione, i gateway a livello di applicazione possono implementare il blocco dell'accesso a determinati servizi. Ad esempio, se il gateway a livello di applicazione è configurato come proxy Web, tutto il traffico relativo ai protocolli Telnet, FTP e Gopher verrà bloccato. Poiché questi firewall analizzano i pacchetti a livello di applicazione, sono in grado di filtrare comandi specifici, come http:post, get, ecc. Questa funzionalità non è disponibile né per i filtri di pacchetti né per i gateway a livello di sessione. I gateway a livello di applicazione possono essere utilizzati anche per registrare l'attività dei singoli utenti e per stabilire sessioni di comunicazione tra loro. Questi firewall offrono di più modo affidabile protezione della rete rispetto ai gateway a livello di sessione e ai filtri dei pacchetti.

Firewall SPI

L'ultimo tipo di firewall, Stateful Packet Inspection (SPI), combina i vantaggi dei filtri di pacchetto, dei gateway a livello di sessione e di gateway a livello di applicazione. Stiamo parlando, infatti, di firewall multilivello che operano contemporaneamente a livello di rete, sessione e applicazione.

I firewall SPI filtrano i pacchetti a livello di rete, determinano la legittimità di una sessione di comunicazione in base ai dati a livello di sessione e analizzano il contenuto dei pacchetti in base ai dati a livello di applicazione.

Questi firewall rappresentano il modo più affidabile per proteggere le reti e attualmente rappresentano lo standard de facto.

Configurazione dei firewall

La metodologia e le funzionalità per la configurazione dei firewall dipendono da modello specifico. Sfortunatamente, non esistono regole di configurazione uniformi e ancor meno un'interfaccia uniforme. Possiamo solo parlare di alcune regole generali che dovrebbero essere seguite. In realtà la regola di base è abbastanza semplice: è necessario vietare tutto ciò che non è necessario per il normale funzionamento della rete.

Molto spesso, la possibilità di configurare i firewall si riduce all'attivazione di alcune regole predefinite e alla creazione di regole statiche sotto forma di tabella.

Prendiamo, ad esempio, le opzioni per la configurazione del firewall incluso nel router Gigabyte GN-B49G. Questo router ha una serie di regole predefinite che consentono di implementare diversi livelli di sicurezza della rete interna. Queste regole includono quanto segue:

  • È vietato l'accesso alla configurazione e all'amministrazione del router dal lato WAN. L'attivazione di questa funzione impedisce l'accesso alle impostazioni del router dalla rete esterna;
  • All'interno della LAN è vietato l'accesso da IP Globale a IP Privato. Questa funzione permette di bloccare l'accesso all'interno della rete locale da indirizzi IP globali (se presenti) a indirizzi IP riservati ad uso privato;
  • Impedisci la condivisione di file e stampanti dall'esterno della rete del router. La funzione impedisce l'utilizzo dell'accesso condiviso a stampanti e file sulla rete interna dall'esterno;
  • L'esistenza del router non può essere rilevata dal lato WAN. Questa funzione rende il router invisibile dalla rete esterna;
  • Gli attacchi di tipo Denial of Service (DoS) vengono prevenuti. Quando questa funzione è attivata, viene implementata la protezione contro gli attacchi DoS (Denial of Service). Attacchi DoS si tratta di un tipo di attacco di rete, che consiste nel ricevere numerose richieste al server che esigono un servizio fornito dal sistema. Il server spende le sue risorse per stabilire una connessione e servirla e, dato un certo flusso di richieste, non può farcela. La protezione contro attacchi di questo tipo si basa sull'analisi delle fonti di traffico eccessivo rispetto al traffico normale e sul divieto della sua trasmissione.

Come abbiamo già notato, molti firewall hanno regole predefinite, che sono sostanzialmente le stesse di quelle sopra elencate, ma possono avere nomi diversi.

Un altro modo per configurare un firewall è creare regole statiche che consentano non solo di proteggere la rete dall'esterno, ma anche di limitare l'accesso degli utenti della rete locale alla rete esterna. Le possibilità di creare regole sono abbastanza flessibili e consentono di implementare quasi tutte le situazioni. Per creare una regola, si specifica l'indirizzo IP di origine (o intervallo di indirizzi), le porte di origine, gli indirizzi IP e le porte di destinazione, il tipo di protocollo, la direzione di trasmissione dei pacchetti (dalla rete interna alla rete esterna o viceversa) e il azione da intraprendere quando viene rilevato il pacchetto con le proprietà indicate (rilasciare o saltare il pacchetto). Se ad esempio si desidera impedire agli utenti della rete interna (intervallo di indirizzi IP: 192.168.1.1-192.168.1.100) di accedere al server FTP (porta 21) situato all'indirizzo IP esterno 64.233.183.104, la regola può essere così formulato:

  • direzione di trasmissione dei pacchetti: LAN-to-WAN;
  • Indirizzi IP di origine: 192.168.1.1-192.168.1.100;
  • porta di origine: 1-65535;
  • porto di destinazione: 21;
  • protocollo: TCP;
  • azione: rilasciare.

La configurazione statica di una regola firewall per l'esempio discusso sopra è mostrata in Fig. 1.

Protocollo NAT come parte di un firewall

Tutti i router moderni con firewall integrati supportano il protocollo broadcast indirizzi di rete NAT (Traduzione degli indirizzi di rete).

Il protocollo NAT non fa parte di un firewall, ma allo stesso tempo aiuta a migliorare la sicurezza della rete. Il compito principale del protocollo NAT è risolvere il problema della carenza di indirizzi IP, che diventa sempre più urgente con l'aumento del numero di computer.

Il fatto è che nell'attuale versione del protocollo IPv4 per determinare l'indirizzo IP vengono assegnati quattro byte, il che consente di generare oltre quattro miliardi di indirizzi di computer di rete. Naturalmente, in quei giorni in cui Internet stava appena emergendo, era difficile persino immaginare che un giorno questo numero di indirizzi IP potesse non essere sufficiente. Per risolvere parzialmente il problema della carenza di indirizzi IP, una volta è stato proposto il protocollo di traduzione degli indirizzi di rete NAT.

Il protocollo NAT è definito dallo standard RFC 1631, che definisce come avviene la traduzione degli indirizzi di rete.

Nella maggior parte dei casi, un dispositivo NAT converte gli indirizzi IP riservati per uso privato sulle reti locali in indirizzi IP pubblici.

Lo spazio degli indirizzi privati ​​è regolato da RFC 1918. Questi indirizzi includono i seguenti intervalli IP: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-192.168.255.255.

Secondo RFC 1918 gli indirizzi IP privati ​​non possono essere utilizzati nel World Wide Web, ma possono essere utilizzati liberamente solo per scopi interni.

Prima di passare alle specifiche del protocollo NAT, vediamo come avviene una connessione di rete tra due PC.

Quando un computer su una rete stabilisce una connessione a un altro computer, viene aperto un socket, determinato dall'indirizzo IP di origine, dalla porta di origine, dall'indirizzo IP di destinazione, dalla porta di destinazione e dal protocollo di rete. Il formato del pacchetto IP fornisce un campo a due byte per i numeri di porta. Ciò consente di definire 65.535 porte, che svolgono il ruolo di canali di comunicazione unici. Dei 65.535 porti, i primi 1.023 sono riservati a quelli conosciuti servizi server come Web, FTP, Telnet, ecc. Tutte le altre porte possono essere utilizzate per qualsiasi altro scopo.

Se, ad esempio, un computer della rete accede a un server FTP (porta 21), all'apertura del socket il sistema operativo assegna alla sessione qualsiasi porta superiore a 1023. Ad esempio, potrebbe essere la porta 2153. Quindi il pacchetto IP inviato da il PC al server FTP, conterrà l'indirizzo IP del mittente, la porta del mittente (2153), l'indirizzo IP del destinatario e la porta di destinazione (21). L'indirizzo IP e la porta di origine verranno utilizzati per la risposta del server al client. L'utilizzo di porte diverse per sessioni di rete diverse consente ai client di rete di stabilire simultaneamente più sessioni con server diversi o con servizi dello stesso server.

Consideriamo ora il processo di creazione di una sessione quando si utilizza un router NAT al confine tra la rete interna e Internet.

Quando un client di rete interno stabilisce una connessione con un server di rete esterno, quindi, come nel caso della connessione tra due PC, viene aperto un socket, determinato dall'indirizzo IP di origine, porta di origine, indirizzo IP di destinazione, porta di destinazione, e protocollo di rete. Quando un'applicazione trasmette dati su questo socket, l'indirizzo IP e la porta di origine vengono inseriti nel pacchetto nei campi delle opzioni di origine. I campi delle opzioni di destinazione conterranno l'indirizzo IP del server e la porta del server. Ad esempio, un computer sulla rete interna con un indirizzo IP 192.168.0.1 può accedere a un server Web WAN con un indirizzo IP 64.233.188.104. In questo caso, il sistema operativo client può assegnare la porta 1251 (porta di origine) alla sessione stabilita e la porta di destinazione è la porta del servizio Web, ovvero 80. Quindi nell'intestazione del pacchetto inviato verranno indicati i seguenti attributi (figura 2):

  • porta di origine: 1251;
  • Indirizzo IP del destinatario: 64.233.183.104;
  • porto di destinazione: 80;
  • protocollo: TCP.

Il dispositivo NAT (router) intercetta il pacchetto proveniente dalla rete interna e inserisce nella sua tabella interna una mappatura delle porte di origine e di destinazione del pacchetto utilizzando l'indirizzo IP di destinazione, porta di destinazione, indirizzo IP esterno del dispositivo NAT, porta esterna , protocollo di rete e IP interni: indirizzo e porta del client.

Supponiamo che nell'esempio discusso sopra, il router NAT abbia un indirizzo IP esterno 195.2.91.103 (indirizzo della porta WAN) e per la sessione stabilita, la porta esterna del dispositivo NAT sia 3210. In questo caso, la tabella interna per la mappatura delle porte di origine e di destinazione del pacchetto contiene le seguenti informazioni:

  • IP di origine: 192.168.0.1;
  • porta di origine: 1251;
  • indirizzo IP esterno

Dispositivi NAT: 195.2.91.103;

  • porta dispositivo NAT esterno: 3210;
  • Indirizzo IP del destinatario: 64.233.183.104;
  • porto di destinazione: 80;
  • protocollo: TCP.

Il dispositivo NAT quindi "trasmette" il pacchetto trasformando i campi sorgente nel pacchetto: l'indirizzo IP e la porta interni del client vengono sostituiti con l'indirizzo IP e la porta esterni del dispositivo NAT. In questo esempio, il pacchetto convertito conterrà le seguenti informazioni:

  • IP fonte: 195.2.91.103;
  • porta di origine: 3210;
  • Indirizzo IP del destinatario: 64.233.183.104;
  • porto di destinazione: 80;
  • protocollo: TCP.

Il pacchetto convertito viene inviato sulla rete esterna e infine raggiunge il server specificato.

Dopo aver ricevuto il pacchetto, il server inoltrerà i pacchetti di risposta all'indirizzo IP esterno e alla porta del dispositivo NAT (router), indicando il proprio indirizzo IP e la porta nei campi sorgente (Fig. 3). Nell'esempio considerato, il pacchetto di risposta proveniente dal server conterrà nell'intestazione le seguenti informazioni:

  • porta di origine: 80;
  • Indirizzo IP del destinatario: 195.2.91.103;
  • porto di destinazione: 3210;
  • protocollo: TCP.

Riso. 3. Il principio di funzionamento di un dispositivo NAT durante la trasmissione di un pacchetto da una rete esterna a una interna

Il dispositivo NAT riceve questi pacchetti dal server e ne analizza il contenuto in base alla tabella di mappatura delle porte. Se nella tabella viene trovata una mappatura delle porte per cui l'indirizzo IP di origine, la porta di origine, la porta di destinazione e il protocollo di rete del pacchetto in entrata corrispondono all'indirizzo IP dell'host remoto, con porta remota e con il protocollo di rete specificato nella mappatura delle porte, verrà eseguito NAT conversione inversa: sostituisce l'indirizzo IP esterno e la porta esterna nei campi di destinazione del pacchetto con l'indirizzo IP e la porta interna del client della rete interna. Pertanto, un pacchetto trasmesso alla rete interna per l'esempio discusso sopra avrà i seguenti attributi:

  • IP sorgente: 64.233.183.104;
  • porta di origine: 80;
  • Indirizzo IP del destinatario: 192.168.0.1;
  • porto di destinazione: 1251;
  • protocollo: TCP.

Tuttavia, se non c'è corrispondenza nella tabella di mappatura delle porte, allora pacco in arrivo viene rifiutato e la connessione viene interrotta.

Grazie ad un router NAT, qualsiasi PC della rete interna è in grado di trasferire dati alla Rete Globale utilizzando l'indirizzo IP esterno e la porta del router. In questo caso gli indirizzi IP della rete interna, in quanto porte assegnate alle sessioni, rimangono invisibili dalla rete esterna.

Un router NAT consente tuttavia lo scambio di dati tra computer della rete interna ed esterna solo se questo scambio viene avviato da un computer della rete interna. Se un computer della rete esterna tenta di accedere di propria iniziativa a un computer della rete interna, la connessione viene rifiutata dal dispositivo NAT. Quindi, oltre a risolvere il problema della carenza di indirizzi IP, il protocollo NAT aiuta anche a migliorare la sicurezza della rete interna.

Problemi relativi ai dispositivi NAT

Nonostante l'apparente semplicità dei dispositivi NAT, ad essi sono associati alcuni problemi che spesso complicano l'organizzazione dell'interazione tra i computer della rete o addirittura ne impediscono la realizzazione. Se ad esempio la rete locale è protetta da un dispositivo NAT, qualsiasi client della rete interna potrà stabilire una connessione al server WAN, ma non viceversa. Cioè, non è possibile avviare una connessione da una rete esterna a un server situato sulla rete interna dietro un dispositivo NAT. Ma cosa succede se sulla rete interna è presente un servizio (ad esempio, un server FTP o Web) a cui gli utenti della rete esterna devono avere accesso? Per risolvere questo problema, i router NAT utilizzano tecnologie di zona demilitarizzata e port forwarding, che verranno descritte in dettaglio di seguito.

Un altro problema con i dispositivi NAT è che alcune applicazioni di rete includono l'indirizzo IP e la porta nella parte dati del pacchetto. È chiaro che il dispositivo NAT non è in grado di eseguire tale traduzione di indirizzi. Di conseguenza, se un'applicazione di rete inserisce un indirizzo IP o una porta nella porzione di carico utile di un pacchetto, il server che risponde a quel pacchetto utilizzerà l'indirizzo IP e la porta nidificati per i quali non esiste una voce di mappatura corrispondente nella tabella interna del dispositivo NAT. . Di conseguenza, tale pacchetto verrà scartato dal dispositivo NAT e quindi le applicazioni che utilizzano questa tecnologia non potranno funzionare in presenza di dispositivi NAT.

Esistono applicazioni di rete che utilizzano una porta (come porta di origine) per trasmettere dati, ma attendono una risposta su un'altra porta. Il dispositivo NAT analizza il traffico in uscita e abbina la porta di origine. Tuttavia il dispositivo NAT non sa che è prevista una risposta su un'altra porta e non può eseguire la mappatura corrispondente. Di conseguenza, i pacchetti di risposta indirizzati a una porta che non dispone di una mappatura nella tabella interna del dispositivo NAT verranno eliminati.

Un altro problema con i dispositivi NAT sono gli accessi multipli alla stessa porta. Consideriamo una situazione in cui più client di una rete locale, separati dalla rete esterna da un dispositivo NAT, accedono allo stesso porto standard. Potrebbe ad esempio trattarsi della porta 80, riservata a un servizio Web. Poiché tutti i client della rete interna utilizzano lo stesso indirizzo IP, sorge la domanda: come può un dispositivo NAT determinare quale client della rete interna è una richiesta esterna? Per risolvere questo problema, solo un client della rete interna alla volta ha accesso alla porta standard.

Inoltro porta statico (mappatura porta)

Per rendere accessibili dalla rete esterna alcune applicazioni in esecuzione su un server della rete interna (come un server Web o un server FTP), il dispositivo NAT deve essere configurato per mappare le porte utilizzate da determinate applicazioni sugli indirizzi IP di tali server della rete interna su cui vengono eseguite queste applicazioni. In questo caso, parlano della tecnologia di reindirizzamento delle porte (mappatura delle porte) e il server di rete interno stesso è chiamato server virtuale. Di conseguenza, qualsiasi richiesta dalla rete esterna all'indirizzo IP esterno del dispositivo NAT (router) sulla porta specificata verrà automaticamente reindirizzata al server virtuale specificato della rete interna.

Ad esempio, se la rete interna è configurata server FTP virtuale, che gira su un PC con l'indirizzo IP 192.168.0.10, durante la configurazione di un server virtuale vengono specificati l'indirizzo IP del server virtuale (192.168.0.10), il protocollo utilizzato (TCP) e la porta dell'applicazione (21) . In questo caso, accedendo all'indirizzo esterno del dispositivo NAT (porta WAN del router) sulla porta 21, un utente della rete esterna può accedere al server FTP della rete interna, nonostante l'utilizzo del protocollo NAT. Un esempio di configurazione di un server virtuale su un router NAT reale è mostrato in Fig. 4.

In genere, i router NAT consentono di creare più port forwarding statici. Quindi, su un server virtuale puoi aprire più porte contemporaneamente o creare più server virtuali con indirizzi IP diversi. Tuttavia, con il port forwarding statico, non è possibile inoltrare una singola porta a più indirizzi IP, il che significa che una porta può corrispondere a un singolo indirizzo IP. Non è possibile, ad esempio, configurare più Web server con indirizzi IP diversi; per fare ciò sarà necessario modificare la porta Web server predefinita e, quando si accede alla porta 80, specificare la porta Web modificata nelle impostazioni del router come porta interna porta (porta privata).server.

La maggior parte dei modelli di router consente anche di impostare il reindirizzamento statico di un gruppo di porte, ovvero di assegnare un intero gruppo di porte contemporaneamente all'indirizzo IP di un server virtuale. Questa funzionalità è utile se è necessario supportare applicazioni che utilizzano un numero elevato di porte, come giochi o conferenze audio/video. Il numero di gruppi di porte inoltrate varia a seconda dei diversi modelli di router, ma solitamente ce ne sono almeno dieci.

Inoltro porta dinamico (applicazione speciale)

Il port forwarding statico può risolvere parzialmente il problema dell'accesso da una rete esterna ai servizi di rete locale protetti da un dispositivo NAT. Tuttavia, esiste anche il compito opposto: la necessità di fornire agli utenti della rete locale l'accesso a una rete esterna tramite un dispositivo NAT. Il fatto è che alcune applicazioni (ad esempio giochi su Internet, videoconferenze, telefonia Internet e altre applicazioni che richiedono la creazione simultanea di più sessioni) non sono compatibili con la tecnologia NAT. Per risolvere questo problema viene utilizzato il cosiddetto reindirizzamento dinamico delle porte (a volte chiamato applicazione speciale), quando il reindirizzamento delle porte è impostato a livello delle singole applicazioni di rete.

Se il router supporta questa funzione, è necessario specificare il numero di porta interna (o l'intervallo di porta) associato a applicazione specifica(solitamente indicato come Trigger Port) e specificare il numero della porta esterna del dispositivo NAT (porta pubblica), che verrà mappata sulla porta interna.

Quando è abilitato il port forwarding dinamico, il router monitora il traffico in uscita dalla rete interna e ricorda l'indirizzo IP del computer da cui ha avuto origine quel traffico. Quando i dati tornano a segmento locale Il port forwarding è abilitato e i dati vengono passati all'interno. Una volta completato il trasferimento, il reindirizzamento viene disabilitato e quindi qualsiasi altro computer può creare un nuovo reindirizzamento al proprio indirizzo IP.

Il port forwarding dinamico viene utilizzato principalmente per servizi che implicano richieste e trasferimenti di dati di breve durata, perché se un computer utilizza un determinato port forwarding, un altro computer non può fare lo stesso contemporaneamente. Se è necessario configurare applicazioni che richiedono un flusso costante di dati che occupi una porta per lungo tempo, il reindirizzamento dinamico è inefficace. Tuttavia, in questo caso, la soluzione al problema esiste: consiste nell'utilizzare una zona demilitarizzata.

Zona DMZ

La zona demilitarizzata (DMZ) è un altro modo per aggirare le restrizioni del protocollo NAT. Tutti i router moderni forniscono questa funzionalità. Quando un computer su una rete locale interna viene inserito in una zona DMZ, diventa trasparente al protocollo NAT. Ciò significa essenzialmente che il computer della rete interna si trova virtualmente davanti al firewall. Per un PC situato in una zona DMZ, tutte le porte vengono reindirizzate a un indirizzo IP interno, che consente di organizzare il trasferimento dei dati da una rete esterna a quella interna.

Se, ad esempio, un server con indirizzo IP 192.168.1.10, situato sulla rete locale interna, si trova in una zona DMZ, e la rete locale stessa è protetta da un dispositivo NAT, allora quando arriva una richiesta su qualsiasi porta dal rete esterna all'indirizzo della porta WAN Per un dispositivo NAT, questa richiesta verrà inoltrata all'indirizzo IP 192.168.1.10, cioè all'indirizzo del server virtuale nella zona DMZ.

Di norma i router NAT della classe SOHO consentono l'inserimento di un solo computer nella zona DMZ. Un esempio di configurazione di un computer in una zona DMZ è mostrato in Fig. 5.

Riso. 5. Esempio di configurazione del computer in una zona DMZ

Poiché un computer situato in una zona DMZ diventa accessibile da una rete esterna e non è protetto in alcun modo da un firewall, diventa un punto vulnerabile della rete. Dovresti ricorrere al posizionamento dei computer in una zona demilitarizzata solo come ultima risorsa, quando nessun altro metodo per aggirare le restrizioni del protocollo NAT è adatto per un motivo o per l'altro.

Tecnologia NAT trasversale

I metodi che abbiamo elencato per aggirare le restrizioni del protocollo NAT potrebbero presentare alcune difficoltà per gli utenti alle prime armi. Per facilitare l'amministrazione, è stato proposto tecnologia automatizzata configurazione dei dispositivi NAT. La tecnologia NAT Traversal (passaggio NAT) lo consente applicazioni di rete determinare che sono protetti da un dispositivo NAT, scoprire l'indirizzo IP esterno ed eseguire il port forwarding a Modalità automatica. Pertanto, il vantaggio della tecnologia NAT Traversal è che l'utente non deve configurare manualmente la mappatura delle porte.

La tecnologia NAT Traversal si basa sui protocolli UPnP (Universal Plug and Play); pertanto, per attivare questa tecnologia, spesso è necessario spuntare l'opzione UPnP&NAT nei router.

Parlando della componente software e hardware del sistema di sicurezza delle informazioni, va riconosciuto che la maggior parte metodo efficace protezione degli oggetti della rete locale (segmento di rete) dagli impatti di reti aperte(ad esempio Internet), prevede il posizionamento di un determinato elemento che controlla e filtra i pacchetti di rete che lo attraversano secondo regole specificate. Questo elemento si chiama firewall (firewall) O firewall, firewall.

Firewall, firewall, firewall, firewall– formato dalla traslitterazione del termine inglese firewall.

Firewall (tedesco: Brandmauer)– un termine preso in prestito dalla lingua tedesca, che è un analogo del “firewall” inglese nel suo significato originale (un muro che separa gli edifici adiacenti, proteggendo dalla propagazione del fuoco).

Rete/Firewall (Firewall)– un insieme di hardware o software che monitora e filtra i pacchetti di rete che la attraversano utilizzando vari protocolli secondo regole specificate.

Il compito principale di un firewall è proteggere le reti di computer e/o i singoli nodi da accessi non autorizzati. A volte vengono chiamati firewall filtri, poiché il loro compito principale è quello di non lasciar passare (filtrare) i pacchetti che non soddisfano i criteri definiti nella configurazione.

Per proteggere efficacemente una rete, un firewall monitora e gestisce tutti i dati che la attraversano. Per prendere decisioni di controllo per i servizi TCP/IP (ovvero inoltrare, bloccare o registrare i tentativi di connessione), il firewall deve ricevere, archiviare, selezionare ed elaborare le informazioni ricevute da tutti i livelli di comunicazione e da altre applicazioni.

Il firewall fa passare tutto il traffico attraverso se stesso, prendendo una decisione per ogni pacchetto che passa: consentirlo o meno. Affinché il firewall possa eseguire questa operazione, è necessario definire una serie di regole di filtraggio. La decisione se utilizzare un firewall per filtrare i pacchetti di dati associati a specifici protocolli e indirizzi dipende dalla politica di sicurezza adottata dalla rete da proteggere. Essenzialmente, un firewall è un insieme di componenti configurati per implementare quanto selezionato politiche di sicurezza. Politica sicurezza della rete Ogni organizzazione deve includere (tra le altre cose) due componenti: una policy per l'accesso ai servizi di rete e una policy per l'implementazione dei firewall.

Tuttavia, non è sufficiente controllare semplicemente i pacchi singolarmente. Le informazioni sullo stato della connessione ottenute da ispezioni precedenti della connessione e da altre applicazioni rappresentano un fattore importante nella decisione di controllo quando si tenta di stabilire una nuova connessione. Per prendere una decisione è possibile prendere in considerazione sia lo stato della connessione (derivato dal flusso di dati passato) che lo stato dell'applicazione (derivato da altre applicazioni).

Pertanto, le decisioni gestionali richiedono che il firewall abbia accesso, analisi e utilizzo dei seguenti fattori:

  • informazioni sulla connessione: informazioni provenienti da tutti e sette i livelli (modelli OSI) nel pacchetto;
  • cronologia delle connessioni: informazioni ricevute dalle connessioni precedenti;
  • stato a livello di applicazione: informazioni sullo stato della connessione ricevute da altre applicazioni;
  • manipolazione delle informazioni - calcolo di varie espressioni basato su tutti i fattori di cui sopra.
Tipi di firewall

Esistono diversi tipi di firewall a seconda delle seguenti caratteristiche:

  • se lo scudo fornisce una connessione tra un nodo e una rete o tra due o più reti diverse;
  • il controllo del flusso avviene a livello di rete o più livelli alti modelli OSI;
  • se gli stati delle connessioni attive vengono monitorati o meno.

A seconda della copertura dei flussi di dati controllati, i firewall si dividono in:

  • muro di rete tradizionale (o firewall).– un programma (o parte integrante del sistema operativo) su un gateway (un dispositivo che trasmette traffico tra reti) oppure soluzione hardware, controllare i flussi di dati in entrata e in uscita tra reti connesse (oggetti di rete distribuiti);
  • firewall personale– un programma installato sul computer di un utente e progettato per proteggere solo questo computer da accessi non autorizzati.

A seconda del livello OSI al quale avviene il controllo degli accessi, i firewall possono operare su:

  • livello di rete, quando il filtraggio avviene in base agli indirizzi del mittente e del destinatario dei pacchetti, ai numeri di porta del livello di trasporto del modello OSI e alle regole statiche specificate dall'amministratore;
  • livello di sessione(conosciuto anche come statale), quando le sessioni tra le applicazioni vengono monitorate e i pacchetti che violano le specifiche TCP/IP non vengono passati, spesso utilizzati in operazioni dannose: scansione delle risorse, hacking attraverso implementazioni TCP/IP errate, connessioni interrotte/lente, iniezione di dati;
  • livello di applicazione(o livello di applicazione), quando il filtraggio viene eseguito in base all'analisi dati dell'applicazione trasmesso all'interno del pacchetto. Questi tipi di schermate consentono di bloccare la trasmissione di informazioni indesiderate e potenzialmente dannose in base a policy e impostazioni.

Filtraggio a livello di rete

Il filtraggio dei pacchetti in entrata e in uscita viene effettuato in base alle informazioni contenute nei seguenti campi delle intestazioni TCP e IP dei pacchetti: indirizzo IP del mittente; Indirizzo IP del destinatario; porta del mittente; porta del destinatario.

È possibile implementare il filtraggio diversi modi per bloccare le connessioni con determinati computer o porti. Ad esempio, puoi bloccare le connessioni provenienti da indirizzi specifici quei computer e reti considerati inaffidabili.

  • costo relativamente basso;
  • flessibilità nella definizione delle regole di filtraggio;
  • un leggero ritardo nel passaggio dei pacchetti.

Screpolatura:

  • non raccoglie pacchetti frammentati;
  • non c'è modo di tenere traccia delle relazioni (connessioni) tra i pacchetti.?

Filtraggio a livello di sessione

A seconda del monitoraggio delle connessioni attive, i firewall possono essere:

  • apolide(filtraggio semplice), che non monitorano le connessioni correnti (ad esempio TCP), ma filtrano il flusso di dati esclusivamente in base a regole statiche;
  • statale, statale ispezione dei pacchetti(SPI)(filtraggio sensibile al contesto), monitorando le connessioni correnti e passando solo quei pacchetti che soddisfano la logica e gli algoritmi dei protocolli e delle applicazioni corrispondenti.

I firewall con SPI ti consentono di combattere in modo più efficace vari tipi Attacchi DoS e vulnerabilità di alcuni protocolli di rete. Inoltre, garantiscono il funzionamento di protocolli come H.323, SIP, FTP, ecc., che utilizzano schemi di trasferimento dati complessi tra destinatari, difficili da descrivere con regole statiche e spesso incompatibili con i firewall standard senza stato.

I vantaggi di tale filtrazione includono:

  • analisi del contenuto dei pacchetti;
  • non sono richieste informazioni sul funzionamento dei protocolli di livello 7.

Screpolatura:

  • è difficile analizzare i dati a livello di applicazione (possibilmente utilizzando ALG - Application level gateway).

Gateway a livello di applicazione, ALG (gateway a livello di applicazione)– un componente di un router NAT che comprende alcuni protocolli applicativi e quando i pacchetti di questo protocollo lo attraversano, li modifica in modo tale che gli utenti dietro il NAT possano utilizzare il protocollo.

Il servizio ALG fornisce supporto per protocolli a livello di applicazione (come SIP, H.323, FTP, ecc.) per i quali non è consentita la traduzione degli indirizzi di rete. Questo servizio determina il tipo di applicazione nei pacchetti provenienti dall'interfaccia di rete interna e di conseguenza esegue la traduzione dell'indirizzo/porta per essi attraverso l'interfaccia esterna.

Tecnologia SPI(Stateful Packet Inspection) o la tecnologia di ispezione dei pacchetti che tiene conto dello stato del protocollo è oggi un metodo avanzato di controllo del traffico. Questa tecnologia consente di controllare i dati fino al livello dell'applicazione senza necessità applicazione separata un intermediario o proxy per ciascun protocollo o servizio di rete protetto.

Storicamente, i firewall si sono evoluti da filtri di pacchetti generici a middleware specifici per protocollo fino all'ispezione con stato. Le tecnologie precedenti si completavano a vicenda, ma non fornivano un controllo completo sulle connessioni. I filtri dei pacchetti non hanno accesso alle informazioni sullo stato della connessione e dell'applicazione necessarie affinché il sistema di sicurezza prenda una decisione finale. I programmi middleware elaborano solo i dati a livello di applicazione, il che spesso risulta in varie possibilità per hackerare il sistema. L'architettura di ispezione con stato è unica perché consente di operare sull'intero sistema informazioni possibili che passano attraverso la macchina gateway: dati dal pacchetto, dati sullo stato della connessione, dati necessari all'applicazione.

Un esempio di come funziona il meccanismo di Stateful Inspection. Monitor firewall Sessione FTP, controllando i dati a livello di applicazione. Quando un client richiede al server di aprire una connessione inversa (comando FTP PORT), il firewall estrae il numero di porta da quella richiesta. L'elenco memorizza gli indirizzi client e server e i numeri di porta. Quando viene rilevato un tentativo di stabilire una connessione dati FTP, il firewall scansiona l'elenco e controlla se la connessione è effettivamente una risposta ad una richiesta valida del client. L'elenco delle connessioni viene mantenuto dinamicamente in modo che siano aperte solo quelle necessarie Porte FTP. Non appena la sessione viene chiusa, le porte vengono bloccate, garantendo un elevato livello di sicurezza.

Filtraggio a livello di applicazione

Per proteggere una serie di vulnerabilità inerenti al filtraggio dei pacchetti, i firewall devono utilizzare programmi applicativi per filtrare le connessioni a servizi come Telnet, HTTP, FTP. Applicazione simile chiamato servizio proxy e l'host su cui viene eseguito il servizio proxy è un gateway a livello di applicazione. Un tale gateway elimina l'interazione diretta tra un client autorizzato e un host esterno. Il gateway filtra tutti i pacchetti in entrata e in uscita a livello di applicazione (livello di applicazione - livello superiore modello di rete) e può analizzare il contenuto dei dati, ad es. Indirizzo URL, contenuto in un messaggio HTTP o un comando contenuto in un messaggio FTP. A volte è più efficace filtrare i pacchetti in base alle informazioni contenute nei dati stessi. I filtri di pacchetto e i filtri a livello di collegamento non utilizzano il contenuto del flusso di informazioni quando prendono decisioni di filtraggio, ma il filtraggio a livello di applicazione può farlo. I filtri del livello applicativo possono utilizzare le informazioni dell'intestazione del pacchetto, nonché il contenuto dei dati e le informazioni dell'utente. Gli amministratori possono utilizzare il filtro a livello di applicazione per controllare l'accesso in base all'identità dell'utente e/o in base all'attività specifica che l'utente sta tentando di eseguire. Nei filtri a livello di applicazione è possibile impostare regole in base ai comandi emessi dall'applicazione. Ad esempio, un amministratore può vietare utente specifico scaricare file su un computer specifico da utilizzando l'FTP oppure consentire all'utente di ospitare file tramite FTP sullo stesso computer.

Confronto tra firewall hardware e software

Per confrontare i firewall, li divideremo in due tipi: 1° – hardware e software-hardware e 2° – software.

I firewall hardware e software includono dispositivi installati ai margini della rete. I firewall software sono quelli installati sugli host finali.

Le direzioni principali inerenti sia al primo che al secondo tipo:

  • garantire la sicurezza del traffico in entrata e in uscita;
  • un aumento significativo della sicurezza della rete e una riduzione del rischio per gli host della sottorete durante il filtraggio dei servizi noti non protetti;
  • la capacità di controllare l'accesso ai sistemi di rete;
  • notifica degli eventi tramite appositi allarmi che vengono attivati ​​al verificarsi di qualsiasi attività sospetta (tentativi o attacchi di sonda);
  • fornendo una soluzione di sicurezza a basso costo facile da implementare e gestire.

I firewall hardware e software supportano inoltre funzionalità che consentono:

  • impedire a qualsiasi servizio vulnerabile di ottenere informazioni o di inserire informazioni nella sottorete protetta;
  • registrare i tentativi di accesso e fornire le necessarie statistiche sull'utilizzo di Internet;
  • fornire mezzi per regolare l'ordine di accesso alla rete;
  • fornire gestione centralizzata traffico.

I firewall software, oltre alle aree principali, consentono:

  • controllare l'avvio delle applicazioni sull'host in cui sono installate;
  • proteggere l'oggetto dalla penetrazione attraverso i “portelli” (porte posteriori);
  • fornire protezione contro le minacce interne.

Il firewall non è un dispositivo simmetrico. Distingue tra i concetti “fuori” e “dentro”. Un firewall protegge l'area interna da un ambiente esterno incontrollato e potenzialmente ostile. Allo stesso tempo, il firewall consente di limitare l'accesso agli oggetti rete pubblica da parte dei soggetti della rete protetta. Se l'autorità viene violata, il lavoro del soggetto che accede viene bloccato e tutte le informazioni necessarie vengono registrate nel registro.

I firewall possono essere utilizzati anche all'interno di reti aziendali sicure. Se la rete locale dispone di sottoreti con diversi gradi di riservatezza delle informazioni, è consigliabile separare tali frammenti con firewall. In questo caso le schermate vengono dette interne.

Esistono diversi tipi di firewall a seconda delle seguenti caratteristiche:

    se lo scudo fornisce una connessione tra un nodo e una rete o tra due o più reti diverse;

    se il controllo del flusso di dati avviene a livello di rete o a livelli più alti del modello OSI;

    se gli stati delle connessioni attive vengono monitorati o meno.

A seconda della copertura dei flussi di dati controllati, i firewall si dividono in:

    rete tradizionale (o firewall) - un programma (o parte integrante del sistema operativo) su un gateway (un dispositivo che trasmette traffico tra reti) o una soluzione hardware che controlla i flussi di dati in entrata e in uscita tra reti connesse (oggetti di rete distribuiti) ;

    il firewall personale è un programma installato sul computer di un utente e progettato per proteggere solo questo computer da accessi non autorizzati.

A seconda del livello OSI al quale avviene il controllo degli accessi, i firewall possono operare su:

    livello di rete, quando il filtraggio avviene in base agli indirizzi del mittente e del destinatario dei pacchetti, ai numeri di porta del livello di trasporto del modello OSI e alle regole statiche specificate dall'amministratore;

    livello di sessione(conosciuto anche come statale), quando le sessioni tra le applicazioni vengono monitorate e i pacchetti che violano le specifiche TCP/IP non vengono passati, spesso utilizzati in operazioni dannose: scansione delle risorse, hacking attraverso implementazioni TCP/IP errate, connessioni interrotte/lente, iniezione di dati;

    livello di applicazione(o livello di applicazione), quando il filtraggio viene eseguito in base all'analisi dei dati dell'applicazione trasmessi all'interno del pacchetto. Questi tipi di schermate consentono di bloccare la trasmissione di informazioni indesiderate e potenzialmente dannose in base a policy e impostazioni.

Filtraggio a livello di rete

Il filtraggio dei pacchetti in entrata e in uscita viene effettuato in base alle informazioni contenute nei seguenti campi delle intestazioni TCP e IP dei pacchetti: indirizzo IP del mittente; Indirizzo IP del destinatario; porta del mittente; porta del destinatario.

Il filtraggio può essere implementato in vari modi per bloccare le connessioni a computer o porte specifici. Ad esempio, puoi bloccare le connessioni provenienti da indirizzi specifici di computer e reti considerati inaffidabili.

    costo relativamente basso;

    flessibilità nella definizione delle regole di filtraggio;

    un leggero ritardo nel passaggio dei pacchetti.

Screpolatura:

    non raccoglie pacchetti frammentati;

    non c'è modo di tenere traccia delle relazioni (connessioni) tra i pacchetti.?

Filtraggio a livello di sessione

A seconda del monitoraggio delle connessioni attive, i firewall possono essere:

    apolide(filtraggio semplice), che non monitorano le connessioni correnti (ad esempio TCP), ma filtrano il flusso di dati esclusivamente in base a regole statiche;

    stateful, ispezione dei pacchetti con stato (SPI)(filtraggio sensibile al contesto), monitorando le connessioni correnti e passando solo quei pacchetti che soddisfano la logica e gli algoritmi dei protocolli e delle applicazioni corrispondenti.

I firewall con SPI consentono di combattere in modo più efficace diversi tipi di attacchi DoS e vulnerabilità di alcuni protocolli di rete. Inoltre, garantiscono il funzionamento di protocolli come H.323, SIP, FTP, ecc., che utilizzano schemi di trasferimento dati complessi tra destinatari, difficili da descrivere con regole statiche e spesso incompatibili con i firewall standard senza stato.

I vantaggi di tale filtrazione includono:

    analisi del contenuto dei pacchetti;

    non sono richieste informazioni sul funzionamento dei protocolli di livello 7.

Screpolatura:

    è difficile analizzare i dati a livello di applicazione (possibilmente utilizzando ALG - Application level gateway).

Gateway a livello di applicazione, ALG (application level gateway) è un componente di un router NAT che comprende un protocollo applicativo e quando i pacchetti di questo protocollo lo attraversano, li modifica in modo tale che gli utenti dietro NAT possano utilizzare il protocollo.

Il servizio ALG fornisce supporto per protocolli a livello di applicazione (come SIP, H.323, FTP, ecc.) per i quali non è consentita la traduzione degli indirizzi di rete. Questo servizio determina il tipo di applicazione nei pacchetti provenienti dall'interfaccia di rete interna e di conseguenza esegue la traduzione dell'indirizzo/porta per essi attraverso l'interfaccia esterna.

La tecnologia SPI (Stateful Packet Inspection) o tecnologia di ispezione dei pacchetti che tiene conto dello stato del protocollo è oggi un metodo avanzato di controllo del traffico. Questa tecnologia consente di controllare i dati fino al livello dell'applicazione senza richiedere un intermediario o un'applicazione proxy separata per ciascun protocollo o servizio di rete protetto.

Storicamente, i firewall si sono evoluti da filtri di pacchetti generici a middleware specifici per protocollo fino all'ispezione con stato. Le tecnologie precedenti si completavano a vicenda, ma non fornivano un controllo completo sulle connessioni. I filtri dei pacchetti non hanno accesso alle informazioni sullo stato della connessione e dell'applicazione necessarie affinché il sistema di sicurezza prenda una decisione finale. I programmi middleware elaborano solo i dati a livello di applicazione, il che spesso crea varie opportunità per l'hacking del sistema. L'architettura di ispezione con stato è unica perché consente di gestire tutte le possibili informazioni che passano attraverso la macchina gateway: dati dal pacchetto, dati sullo stato della connessione, dati necessari all'applicazione.

Un esempio del meccanismoStatefulIspezione. Il firewall monitora la sessione FTP esaminando i dati a livello di applicazione. Quando un client richiede al server di aprire una connessione inversa (comando FTP PORT), il firewall estrae il numero di porta da quella richiesta. L'elenco memorizza gli indirizzi client e server e i numeri di porta. Quando viene rilevato un tentativo di stabilire una connessione dati FTP, il firewall scansiona l'elenco e controlla se la connessione è effettivamente una risposta ad una richiesta valida del client. L'elenco delle connessioni viene mantenuto dinamicamente in modo che siano aperte solo le porte FTP necessarie. Non appena la sessione viene chiusa, le porte vengono bloccate, garantendo un elevato livello di sicurezza.

Riso. 2.12. Un esempio del meccanismo Stateful Inspection funzionante con il protocollo FTP

Filtraggio a livello di applicazione

Per proteggere una serie di vulnerabilità inerenti al filtraggio dei pacchetti, i firewall devono utilizzare programmi applicativi per filtrare le connessioni a servizi come Telnet, HTTP, FTP. Tale applicazione è denominata servizio proxy e l'host su cui viene eseguito il servizio proxy è denominato gateway a livello di applicazione. Un tale gateway elimina l'interazione diretta tra un client autorizzato e un host esterno. Il gateway filtra tutti i pacchetti in entrata e in uscita a livello dell'applicazione (livello dell'applicazione - il livello superiore del modello di rete) e può analizzare il contenuto dei dati, come un URL contenuto in un messaggio HTTP o un comando contenuto in un messaggio FTP. A volte è più efficace filtrare i pacchetti in base alle informazioni contenute nei dati stessi. I filtri di pacchetto e i filtri a livello di collegamento non utilizzano il contenuto del flusso di informazioni quando prendono decisioni di filtraggio, ma il filtraggio a livello di applicazione può farlo. I filtri a livello di applicazione possono utilizzare le informazioni dell'intestazione del pacchetto, nonché i dati del contenuto e le informazioni dell'utente. Gli amministratori possono utilizzare il filtro a livello di applicazione per controllare l'accesso in base all'identità dell'utente e/o in base all'attività specifica che l'utente sta tentando di eseguire. Nei filtri a livello di applicazione è possibile impostare regole in base ai comandi emessi dall'applicazione. Ad esempio, un amministratore può impedire a un utente specifico di scaricare file su un computer specifico utilizzando FTP o consentire a un utente di ospitare file tramite FTP sullo stesso computer.

I vantaggi di tale filtrazione includono:

    semplici regole di filtraggio;

    possibilità di organizzazione elevato numero controlli. La protezione a livello di applicazione consente un gran numero di controlli aggiuntivi, riducendo così la probabilità di attacchi hacker tramite falle nel software;

    capacità di analizzare i dati dell'applicazione.

Screpolatura:

    prestazioni relativamente basse rispetto al filtraggio dei pacchetti;

    il proxy deve comprendere il suo protocollo (impossibilità di utilizzo con protocolli sconosciuti)?;

    Di norma, funziona con sistemi operativi complessi.

I migliori articoli sull'argomento

Quali applicazioni di sistema possono essere rimosse su Xiaomi?
Quali applicazioni di sistema possono essere rimosse su Xiaomi?
Come utilizzare Android come modem
Come utilizzare Android come modem
Come impostare una password su TWRP
Come impostare una password su TWRP
Categorie:
© 2023 bumotors.ru. Come configurare smartphone e PC. Portale informativo.