Pentru a contracara accesul neautorizat la Internet, ME ar trebui să fie situat între rețeaua protejată a organizației, care este o rețea internă, și o rețea externă potențial ostilă (Fig. 9.1). În plus, toate interacțiunile dintre aceste rețele ar trebui efectuate numai prin intermediul ME. Din punct de vedere organizațional, ME este parte a rețelei protejate.
Orez. 9.1. Schema de conectare între firewall PE MINE
ME, care protejează multe noduri ale rețelei interne simultan, este conceput pentru a rezolva:
‣‣‣ sarcina de a restricționa accesul utilizatorilor externi (în legătură cu rețeaua protejată) la resursele interne rețeaua corporativă... Acești utilizatori includ parteneri, utilizatori la distanță, hackeri și chiar angajați ai companiei însăși care încearcă să acceseze serverele de baze de date protejate de DOE;
‣‣‣ sarcina de a delimita accesul utilizatorilor la rețeaua protejată la resurse externe... Rezolvarea acestei probleme face posibilă, de exemplu, reglementarea accesului la servere care nu sunt necesare pentru îndeplinirea sarcinilor oficiale.
Până acum, nu există o singură clasificare general acceptată a ME. Ele pot fi clasificate, de exemplu, după următoarele caracteristici principale.
Funcționând la nivelurile modelului OSI:‣‣‣ filtru de pachete (router de ecranare -router de screening); ‣‣‣ gateway la nivel de sesiune (transport de ecranare);‣‣‣ gateway de aplicație (gateway de aplicație); ‣‣‣ gateway la nivel de expert (firewall de inspecție de stat).
După tehnologia utilizată:‣‣‣ monitorizarea stării protocolului (inspecție de stat); ‣‣‣ bazat pe module intermediare (proxy).
Prin executare:‣‣‣ hardware și software;‣‣‣ software.
Conform schemei de conectare:‣‣‣ schema de protecție unificată a rețelei;‣‣‣ schemă cu segmente de rețea deschise protejate închise și neprotejate;‣‣‣ schemă cu protecție separată a segmentelor de rețea închise și deschise.
Scopul firewall-urilor Firewall sau firewall este un set de hardware sau instrumente software, care monitorizează și filtrează pachetele de rețea care trec prin aceasta în conformitate cu regulile specificate. Sarcina principală a rețelei... [citește mai mult].
Firewalling
În practică, CS-urile corporative, distribuite și grupate, adesea închise, sunt conectate la rețele publice, cum ar fi Internetul. Modurile de interacțiune între utilizatorii unui DCS închis cu un sistem disponibil public pot fi diferite:
- cu ajutorul unui DCS disponibil public, ei contactează sistem unificat segmente închise sistem corporativ sau abonați la distanță;
- utilizatorii DCS închis interacționează cu abonații retea publica.
În primul mod, problema autentificării abonaților (proceselor) care interacționează este rezolvată mult mai eficient decât în al doilea mod. Acest lucru se datorează posibilității de a utiliza criptarea abonaților în interacțiunea COP a unei rețele corporative.
Dacă abonații rețelei publice nu folosesc criptarea utilizatorului, atunci este aproape imposibil de furnizat autentificare puternică proceselor, confidențialitatea informațiilor, protecție împotriva înlocuirii și modificării neautorizate a mesajelor.
Pentru a bloca amenințările care provin dintr-un sistem disponibil public, se folosește un software special sau un instrument hardware-software, care se numește firewall(Firewall) (fig. 34). De regulă, firewall-ul este implementat pe un computer dedicat prin care DCS protejat (fragmentul său) este conectat la rețeaua publică.
 |
Firewall-ul implementează controlul asupra informațiilor care intră în DCS protejat și (sau) părăsesc sistemul protejat.
Firewall-ul are patru funcții:
- filtrarea datelor;
- utilizarea agenților de protecție;
- traducerea adreselor;
- înregistrarea evenimentelor.
Funcția principală a firewall-ului este filtrare trafic de intrare (ieșire). În funcție de gradul de securitate al rețelei corporative, pot fi setate diferite reguli de filtrare. Regulile de filtrare sunt stabilite prin selectarea unei secvențe de filtre care permit sau interzice transmiterea de date (pachete) către următorul filtru sau strat de protocol.
Firewall-ul efectuează filtrarea la nivel de canal, rețea, transport și aplicație. Cum cantitate mare cu cât nivelurile acoperă ecranul, cu atât este mai perfect. Firewall-urile concepute pentru a proteja informațiile de un grad ridicat de importanță ar trebui să ofere:
- filtrarea după adrese de expeditor și destinatar (sau după alte atribute echivalente);
- filtrarea pachetelor de protocol de serviciu utilizate pentru diagnosticarea și controlul funcționării dispozitivelor din rețea;
- filtrarea luând în considerare interfața de rețea de intrare și ieșire ca mijloc de verificare a autenticității adreselor de rețea;
- filtrare ținând cont de orice câmpuri semnificative ale pachetelor de rețea;
- filtrarea la nivel de transport a cererilor de stabilit conexiuni virtuale;
- filtrarea la nivel de aplicație a solicitărilor către servicii de aplicații;
- filtrare in functie de data si ora;
- posibilitatea de a ascunde subiectele de acces ale protejatilor rețea de calculatoare;
- capacitatea de a traduce adrese.
Firewall-ul poate folosi agenţi de ecranare(servere proxy), care sunt programe intermediare și asigură stabilirea unei conexiuni între subiect și obiectul de acces, iar apoi transmite informații, exercitând controlul și înregistrarea.
Tema 3. Tehnologii de bază ale securității rețelei
O funcție suplimentară a agentului de ecranare este de a ascunde obiectul adevărat de accesor. Acțiunile agentului de protecție sunt transparente pentru participanții la interacțiune.
Funcţie traduceri de adrese firewall-ul este proiectat pentru a ascunde adevăratele adrese interne de apelanții externi. Acest lucru vă permite să ascundeți topologia și utilizarea rețelei Mai mult adrese, dacă nu sunt alocate suficient pentru rețeaua protejată.
Firewall-ul funcționează înregistrare la evenimentîn reviste speciale. Este posibil să configurați ecranul să se înregistreze cu caracterul complet necesar pentru o anumită aplicație. Analiza înregistrărilor vă permite să înregistrați încercările de a încălca regulile stabilite pentru schimbul de informații în rețea și să identificați atacatorul.
Ecranul nu este simetric. El distinge între conceptele: „în afară” și „înăuntru”. Scutul protejează interiorul de un mediu extern necontrolat și potențial ostil. În același timp, ecranul vă permite să delimitați accesul la obiectele rețelei publice de subiecții rețelei protejate. În caz de încălcare a autorității, munca subiectului de acces este blocată, și toate informatiile necesare este scris în jurnal. Firewall-urile pot fi utilizate și în rețelele corporative securizate. Dacă DCS are fragmente de rețea cu diferite grade de confidențialitate a informațiilor, atunci este recomandabil să separați astfel de fragmente prin firewall-uri. În acest caz, ecranele sunt numite interne.
În funcție de gradul de confidențialitate și de importanța informațiilor, se stabilesc 5 clase de securitate firewall. Fiecare clasă este caracterizată de un anumit set minim de cerințe de protecție a informațiilor. Clasa de securitate cea mai joasă este a cincea, iar cea mai înaltă este prima. Firewall-ul de primă clasă este instalat la procesarea informațiilor cu ștampila de „importanță deosebită”.
Este recomandabil să executați firewall-uri în formă sisteme specializate... Acest lucru ar trebui să crească performanța unor astfel de sisteme (tot schimbul se realizează prin ecran), precum și să crească securitatea informațiilor prin simplificarea structurii. Având în vedere importanța firewall-urilor în asigurarea securității informațiilor în întreaga rețea protejată, acestea au cerințe ridicate pentru controlul accesului, integritatea informațiilor, recuperabilitatea, testarea etc. Administratorul asigură funcționarea firewall-ului. De dorit la locul de muncă plasați administratorul direct la firewall, ceea ce simplifică identificarea și autentificarea administratorului și, de asemenea, simplifică implementarea funcțiilor administrative.
În rețelele cu un curs de schimb ridicat, un firewall poate fi implementat pe două sau mai multe computere, care este indicat să fie amplasate la un singur obiect. Funcțiile unui firewall și ale unui gateway (bridge) pot fi implementate pe un singur CS. În practică, adesea fragmentele unei rețele securizate comunică între ele printr-o rețea publică. Toate fragmentele sunt conectate la rețeaua publică prin firewall-uri.
Progresul științific și tehnologic de astăzi se desfășoară cu salturi, pentru că ieri încă nu am putut spune cu certitudine ce este un computer, dar astăzi discutăm deja despre modalități de a-l securiza, iar acum există o mulțime de aceste moduri. Cu toate acestea, care sunt mai de încredere, utilizatorii învață de obicei din propria lor experiență, uneori negativă. Astăzi vom vorbi despre una dintre modalitățile care vă vor ajuta să vă securizați computerul - un firewall.
Ce este un firewall?
Acum un an, 90% dintre utilizatorii de Internet nu puteau spune cu certitudine ce este un firewall sau ce se numește firewall în alt mod. Astăzi, piața tehnologiei Internet este de-a dreptul plină cu o varietate de produse plătite și versiuni gratuite a acestui program, deoarece în condițiile apariției constante a virușilor, munca unui computer fără firewall este pur și simplu imposibilă. Poate că nu toată lumea știe, dar un computer conectat la Internet fără un firewall instalat devine infectat cu viruși literalmente în câteva ore.
Apropo, unul dintre tipurile gratuite ale acestui program este Zone Alarm, care este destul de potrivit pentru un utilizator cu un computer de acasă. Este destul de fiabil, dar nu ar trebui să fii complet sigur de asta, pentru că hackeri profesioniști găsiți tot mai multe vulnerabilități în sistemele de operare existente.
Principiul schimbului de informații
Este timpul să aflăm cum computerele noastre primesc informații infectate din exterior. Și totul se întâmplă după ce computerul se conectează la Internet și își primește adresa IP. Această adresă nu ar trebui să fie cunoscută de nimeni, cu excepția dvs. și a furnizorului dvs. Și apoi computerul dvs. trimite o cerere altuia și vă oferă adresa acestuia. După aceea, se fac schimb de date și nu se știe care este probabilitatea ca în acest moment să nu primiți fișiere infectate.
Deci, ați înțeles deja că pentru a vă sparge computerul, trebuie să cunoașteți adresa IP a acestuia. Desigur, schimbați în mod regulat adrese cu alte computere, acest lucru este necesar pentru a lucra pe Internet. Cu toate acestea, dacă utilizați resurse de încredere, proprietarii lor nu vor sparge computerul dvs. și nu vor dezvălui adresele clienților altora.
Deși există întotdeauna lacune pentru hackeri: există programe speciale selectând exact acelea adresele de rețea, pe care sunt listate computerele. Aici intervine firewall-ul.
Necesitatea unui firewall
În general, un firewall are două scopuri. Vom vorbi despre ele acum.
1. Protejarea computerului de scurgeri de informații.
Acum, după cum știți, diverse viruși troieni sau, cum îi spun ei, „troieni”. Dacă un troian intră într-un computer, poate fura parole și altele Informații importante, sau oferiți altcuiva posibilitatea de a vă controla computerul de la distanță. Firewall, pe de altă parte, prevede lucrul cu rețeaua doar pentru unele programe cunoscute de el, cum ar fi client de mail, browser etc. Dacă nu cunoaște programul, fie îți cere permisiunea de a accesa rețeaua, fie refuză accesul fără permisiunea ta.
2. Protecție împotriva pătrunderii în computer din exterior.
Uneori unii OS, de exemplu, același Windows, păstrează mai multe porturi deschise.
Document Student # 098756 de la INTUIT
Aceasta înseamnă că prin ele se pot răspândi diferite infecții de rețea. Prin urmare, porturile trebuie să fie închise și făcute invizibile. Și atunci computerul tău va deveni invizibil și nimeni nu îl va ataca.
Cu toate acestea, hackerii experimentați pot obține în continuare adresa computerului dvs., chiar dacă toate porturile sunt invizibile. Prin urmare, o altă sarcină a internetwork-ului ecran firewall- faceți porturile invizibile și închideți-le, apoi probabilitatea de hacking scade.
Data publicării: 13-01-2011, ora 23:53
123456Următorul ⇒
Ecranuri și firewall-uri
Noțiuni de bază
Conform documentului de orientare al Comisiei Tehnice de Stat a Rusiei, un firewall (ME) este o instalație locală (o singură componentă) sau distribuită funcțional (complex) care monitorizează informațiile care intră în CNE și/sau părăsesc CNE și oferă protecție pentru NPP prin filtrarea informațiilor, adică analiza acesteia printr-un set de criterii și luarea deciziilor cu privire la distribuirea acesteia către (din) UA.
Vom folosi conceptele de firewall (FW), firewall, firewall, gateway cu un suplimentar instalat software firewall ca echivalent.
Setarea formală a problemei de screening este după cum urmează. Să fie două seturi de sisteme informaționale. Un ecran este un mijloc de diferențiere a accesului clienților dintr-un set la servere dintr-un alt set. Ecranul își îndeplinește funcțiile controlând toate fluxurile de informații între două seturi de sisteme (Fig. 1a). Controlul fluxurilor consta in filtrarea acestora, eventual efectuarea unor transformari.
Fig. 1a. Ecranul ca mijloc de diferențiere a accesului.
La următorul nivel de detaliu, ecranul (membrană semi-permeabilă) este considerat convenabil ca o secvență de filtre. Fiecare dintre filtre, după analizarea datelor, le poate întârzia (nu sări) și le poate „arunca” imediat de pe ecran. În plus, este permisă transformarea datelor, transferul unei porțiuni de date către următorul filtru pentru a continua analiza sau prelucrarea datelor în numele destinatarului și returnarea rezultatului expeditorului (Fig. 1b).
Fig.1b. Ecran ca o secvență de filtre
Pe lângă funcțiile de control al accesului, ecranele înregistrează schimbul de informații.
Firewall-ul este situat între rețeaua protejată (internă) și Mediul extern(rețele externe sau alte segmente ale rețelei corporative). În primul caz, se vorbește despre EU extern, în al doilea - despre intern. Un firewall este locul ideal pentru a încorpora fonduri audit activ... ME este capabil să realizeze o reacție arbitrar de puternică la activități suspecte, până la întreruperea comunicării cu mediul extern.
Este recomandabil să atribuiți identificare/autentificare firewall-ului utilizatori externi având nevoie de acces la resurse corporative(cu suport pentru concept o singură logare către rețea).
În virtutea principiilor stratificarea apărării pentru pază conexiuni externe de obicei se foloseşte ecranare bicomponentă (fig. 2). Se efectuează filtrarea primară (de exemplu, pachetele cu anumite adrese IP incluse în „lista neagră”) router de frontieră, în spatele căruia se află așa-zisa zonă demilitarizată(o rețea cu încredere moderată în securitate, unde extern servicii de informare organizații - Web, e-mail etc.) și principalul ME care protejează partea internă a rețelei corporative.
Fig. 2. Ecrare din două piese cu zonă demilitarizată.
În teorie firewall (în special intern) ar trebui să fie multi-protocoal Cu toate acestea, în practică, dominația familiei de protocoale TCP/IP este atât de mare încât suportul pentru alte protocoale pare a fi exagerat și dăunător securității (cu cât un serviciu este mai complex, cu atât este mai vulnerabil).
Firewall extern și intern poate deveni blocaj din moment ce volumul trafic de rețea tinde să crească rapid. Una dintre abordările pentru rezolvarea acestei probleme presupune împărțirea ME în mai multe părți hardware și organizarea specializată servere proxy... Firewall-ul principal poate face o clasificare aproximativă trafic de intrare după tip și încredințați filtrarea intermediarilor corespunzători (de exemplu, un intermediar care analizează traficul HTTP). Traficul de ieșire este mai întâi gestionat de un server intermediar care poate funcționa și funcțional acțiuni utile, cum ar fi stocarea în cache a paginilor serverelor Web externe, ceea ce reduce sarcina pe rețea în general și pe ME principal în special.
Situațiile în care o rețea corporativă conține un singur canal extern sunt mai degrabă o excepție decât o regulă. Cel mai adesea, o rețea corporativă constă din mai multe segmente dispersate geografic, fiecare dintre acestea fiind conectat la Internet. În acest caz, fiecare conexiune trebuie să fie protejată de propriul ecran. Se poate considera că firewall-ul extern corporativ este un compozit (distribuit), și este necesar pentru a rezolva problema administrării coordonate a tuturor componentelor.
Există, de asemenea, ME-uri personale concepute pentru a proteja calculatoare individuale... Principala diferență dintre un firewall personal și unul distribuit este prezența unei funcții de control centralizat.
Firewall și funcțiile acestuia
Dacă firewall-urile personale sunt controlate doar de pe computerul pe care sunt instalate și sunt ideale pentru uz casnic apoi firewall-urile distribuite pot fi gestionate central dintr-o singură consolă de management. Aceste diferențe au permis unor producători să-și lanseze soluțiile în două versiuni - personale (pentru utilizatorii casnici) și distribuite (pentru utilizatorii corporativi).
Cum funcționează firewall-urile
Există două modalități principale de a crea seturi de reguli pentru firewall: „inclusiv” și „exclusiv”. Un firewall de excludere permite trecerea întregului trafic, cu excepția traficului care corespunde unui set de reguli. Un firewall de activare funcționează exact în sens invers. Permite doar traficul care corespunde regulilor și blochează orice altceva.
Firewall-urile inclusive sunt în general mai sigure decât firewall-urile exclusive, deoarece reduc foarte mult riscul ca firewall-ul să treacă trafic nedorit.
Securitatea poate fi îmbunătățită în continuare folosind un „firewall cu stare”. Un astfel de firewall stochează informații despre conexiunile deschise și permite doar traficul conexiuni deschise sau deschiderea de noi conexiuni. Dezavantajul unui firewall cu stat este că poate fi vulnerabil la Atacurile DoS(Denial of Service) dacă multe conexiuni noi se deschid foarte repede. Majoritatea firewall-urilor permit o combinație de comportament cu stare și stare, ceea ce este optim pentru aplicațiile din lumea reală.
Numărul de incidente legate de securitatea informațiilor, potrivit agențiilor de analiză de top, este în continuă creștere. Experții în securitatea informațiilor au observat o activitate în creștere a atacatorilor externi care folosesc cea mai recentă tehnologie de atac pentru a se infiltra în rețelele corporative pentru a-și îndeplini faptele murdare.
Numărul de incidente legate de securitatea informațiilor, potrivit agențiilor de analiză de top, este în continuă creștere. Experții în securitatea informațiilor au observat o activitate în creștere a atacatorilor externi care folosesc cea mai recentă tehnologie de atac pentru a se infiltra în rețelele corporative pentru a-și îndeplini faptele murdare. Nu se limitează la furtul de informații sau la eliminarea nodurilor de rețea. Nu este neobișnuit ca rețelele compromise să fie folosite pentru a lansa noi atacuri. Prin urmare, protecția perimetrului Sistem informatic este o element necesar sisteme securitatea informatiei organizatii.
Totodată, pentru a determina componența componentelor de protecție perimetrală care asigură nivelul minim (inițial) de securitate a informațiilor, este necesar să se analizeze cele mai frecvente amenințări la adresa resurselor informaționale ale organizației:
atacuri de rețea care vizează inaccesibilitatea resurselor informaționale (de exemplu, servere web, servicii E-mail etc.) - atacuri DoS și DDoS;
compromiterea resurselor informaționale și escaladarea privilegiilor atât din partea insiderului, cât și a atacatorilor externi, atât cu scopul de a utiliza resursele dvs., cât și cu scopul de a provoca daune;
acțiunile răuvoitorilor codul programului(virusuri, viermi de rețea, troieni, spyware etc.);
o scurgere informații confidențialeși furtul de date atât prin intermediul rețelei (e-mail, FTP, web etc.), cât și prin intermediul medii externe;
diverse atacuri de rețea asupra aplicațiilor.
Pentru a minimiza amenințările la adresa securității informațiilor, este necesar să se implementeze firewall-uri în diferite niveluri Modele OSI așa cum se arată în tabel.
Masa. Firewall-uri și modele OSI
Funcționarea tuturor firewall-urilor se bazează pe utilizarea informațiilor din diferite straturi ale modelului OSI (tabel). Model OSI, dezvoltat de Organizația Internațională pentru Standardizare, definește șapte niveluri la care sisteme informatice interacționează între ele - începând de la nivel mediu fizic transmiterea datelor și terminând cu nivelul programe de aplicație folosit pentru comunicare. V caz general Cu cât este mai mare nivelul modelului OSI la care firewall-ul filtrează pachetele, cu atât este mai mare nivelul de protecție pe care îl oferă.
Poate fi ales următoarele metode controlul traficului între rețelele locale și externe:
1. Filtrarea pachetelor- bazat pe configurarea unui set de filtre. În funcție de faptul dacă pachetul primit îndeplinește condițiile specificate în filtre, acesta este trecut în rețea sau abandonat.
2. Această clasă routers este un traducător al conexiunilor TCP. Gateway-ul acceptă cererea unui client autorizat pentru servicii specifice iar dupa validarea sesiunii solicitate, stabileste o conexiune cu destinatia (gazda externa). Gateway-ul copiază apoi pachetele în ambele direcții fără a le filtra. De regulă, destinația este stabilită în avans, în timp ce pot exista multe surse. Folosind diverse porturi, puteți crea o varietate de configurații de conexiune. Acest tip gateway-ul vă permite să creați un translator de conexiune TCP pentru orice serviciu bazat pe TCP definit de utilizator, pentru a controla accesul la acest serviciu și pentru a colecta statistici privind utilizarea acestuia.
3. Server proxy- instalat între rețelele locale și externe dispozitiv suplimentar un server proxy care servește ca o poartă prin care trebuie să treacă tot traficul de intrare și de ieșire. Inspecție de stat- Inspecția traficului de intrare este una dintre cele mai avansate modalități de implementare a unui firewall. Inspecția nu înseamnă analiza întregului pachet, ci doar partea cheie specială a acestuia și compararea lui în prealabil cu valori cunoscute din baza de date a resurselor permise. Aceasta metoda Oferă cea mai mare performanță firewall și cea mai mică latență.
Principiul de funcționare al firewall-ului se bazează pe controlul traficului care vine din exterior.
Firewall-ul poate fi implementat în hardware sau software. Implementarea specifică depinde de dimensiunea rețelei, volumul de trafic și sarcinile necesare... Cel mai comun tip de firewall este bazat pe software. În acest caz, este implementat sub forma unui program care rulează pe PC-ul țintă sau ca o chenar dispozitiv de rețea de exemplu un router. În cazul execuției hardware, un firewall este un element separat de rețea care are de obicei capabilități de înaltă performanță, dar îndeplinește sarcini similare.
Firewall-ul vă permite să configurați filtre care sunt responsabile pentru trecerea traficului în funcție de următoarele criterii:
1. Adresa IP. După cum știți, orice dispozitiv final care utilizează protocolul IP trebuie să aibă o adresă unică. Specificând o adresă sau un anumit interval, puteți refuza primirea de pachete de la acestea sau, dimpotrivă, puteți permite accesul numai de la aceste adrese IP.
2. Numele domeniului. După cum știți, un site de pe Internet, sau mai degrabă adresa sa IP, poate fi asociat cu un nume alfanumeric, care este mult mai ușor de reținut decât un set de numere. Astfel, filtrul poate fi configurat să transmită trafic numai către/de la una dintre resurse, sau să interzică accesul la aceasta.
3. Port. Este O porturi software, adică punctele de acces ale aplicațiilor la serviciile de rețea. De exemplu, ftp folosește portul 21, iar aplicațiile pentru navigarea pe web folosesc portul 80. Acest lucru vă permite să refuzați accesul de la servicii și aplicații de rețea nedorite sau, dimpotrivă, să permiteți accesul numai la acestea.
4. Protocol. Firewall-ul poate fi configurat pentru a permite trecerea unui singur protocol sau pentru a interzice accesul folosindu-l. De obicei, tipul de protocol poate vorbi despre sarcinile aplicației pe care o folosește și despre un set de parametri de protecție. Astfel, accesul poate fi configurat doar pentru funcționarea oricărei aplicații specifice și poate preveni acces periculos folosind toate celelalte protocoale.
Cele de mai sus enumeră doar principalii parametri prin care se poate face reglarea. De asemenea, se pot aplica si alti parametri pentru filtre, specifici acestuia. rețea specifică, în funcție de sarcinile îndeplinite în acesta.
Astfel, firewall-ul oferă un set cuprinzător de sarcini pentru a preveni accesul neautorizat, deteriorarea sau furtul datelor sau în alt mod. impact negativ care pot afecta performanța rețelei. De obicei, un firewall este utilizat împreună cu alte mijloace de protecție, de exemplu, software-ul antivirus.
Crearea unei politici de filtrare pentru firewall-uri
Există două modalități principale de a crea seturi de reguli pentru firewall: „inclusiv” și „exclusiv”. Un firewall de excludere permite trecerea întregului trafic, cu excepția traficului care corespunde unui set de reguli. Un firewall de activare funcționează exact în sens invers. Permite doar traficul care corespunde regulilor și blochează orice altceva.
Firewall inclusiv oferă mult mai mult control trafic de ieșire... Prin urmare, firewall-ul inclusiv este cea mai buna alegere pentru sistemele care furnizează servicii pe Internet. De asemenea, controlează tipul de trafic provenit din exterior și direcționat către rețeaua dumneavoastră privată. Traficul care nu este inclus în reguli este blocat, iar intrările corespunzătoare sunt făcute în fișierul jurnal. Firewall-urile inclusive sunt în general mai sigure decât firewall-urile exclusive, deoarece reduc foarte mult riscul ca firewall-ul să treacă trafic nedorit.
Securitatea poate fi îmbunătățită în continuare folosind un „firewall cu stare”. Un astfel de firewall reține informații despre conexiunile deschise și permite traficul numai prin conexiuni deschise sau prin deschiderea de conexiuni noi. Dezavantajul unui firewall cu stare este că poate fi vulnerabil la atacurile Denial of Service (DoS) dacă multe conexiuni noi sunt deschise foarte repede. Majoritatea firewall-urilor permit o combinație de comportament cu stare și fără stat pentru a crea configurația optimă pentru fiecare sistem specific.
De exemplu, luați în considerare crearea unor reguli de filtrare într-un filtru simplu de pachete. Există mai multe opțiuni posibile pentru filtrarea pachetelor. Cel mai simplu este filtrarea direcționată; constă în compararea adreselor din pachet cu adresele specificate în reguli. Dacă adresele se potrivesc, pachetul este omis. Această comparație se face după cum urmează:
1. Puteți lua în considerare următoarea regulă: toate gazdele din rețeaua 10.1.x.x pot comunica cu gazdele din rețeaua 10.2.x.x. Această regulă este scrisă după cum urmează:
10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0
——- Sursa —— —— Destinație ——
Acum puteți aplica regula unui pachet care este trimis de la gazda 10.1.1.2 la gazda 10.3.7.7. Să aplicăm o mască ambelor adrese - adresa din regulă și adresa din pachet. Apoi verifică dacă adresele sursă și destinație sunt aceleași. Ca urmare, vom avea:
Pentru adresa sursei:
10.1.0.0 și 255.255.0.0 = 10.1.0.0 (pentru regulă)
10.1.1.2 & 255.255.0.0 = 10.1.0.0 (pentru pachet)
După aplicarea măștii, ambele adrese se potrivesc. Acum să verificăm adresa de destinație:
10.2.0.0 și 255.255.0.0 = 10.2.0.0 (pentru regulă)
10.3.7.7 & 255.255.0.0 = 10.3.0.0 (pentru pachet)
Deoarece adresele de destinație ale pachetului și regulile după aplicarea măștii nu se potrivesc, această regulă nu trebuie aplicată acestui pachet.
Această operațiune se efectuează pe întreaga listă de adrese și măști sursă și destinație până când se ajunge la sfârșitul listei sau până când pachetul se potrivește cu una dintre reguli. Lista de reguli are următorul format:
10.1.1.2 & 255.255.255.255 — 10.2.0.0 & 255.255.0.0
10.3.3.2 & 255.255.255.255 — 10.1.2.1 & 255.255.255.255
10.1.1.0 & 255.0.0.0 — 10.2.3.0 & 255.255.255.0
10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0
Pe lângă adresele sursă și destinație, fiecare pachet IP conține informații despre protocolul și serviciul utilizat. Poate fi folosit ca parametru suplimentar filtrare.
De exemplu, serviciile în Protocolul TCPîntotdeauna asociat cu un port. Ca rezultat, puteți potrivi lista de porturi cu adrese.
Să folosim ca exemplu două servicii binecunoscute - POP3 și HTTP. POP3 folosește portul 110 și HTTP folosește portul 80. Prin urmare, putem adăuga aceste porturi la descrierea regulii. Ca rezultat, obținem:
10.1.0.0 și 255.255.0.0 - 10.2.0.0 și 255.255.0.0 TCP 80 110
—— Sursă —— —— Destinație —— Protocol - Porturi -
Această regulă permite fiecărui pachet care călătorește de la rețeaua 10.1.x.x la rețeaua 10.2.x.x folosind servicii HTTP și POP3 să treacă prin firewall.
În primul rând, adresele din regulă sunt comparate cu adresele pachetului. Dacă după mascare ambele adrese se potrivesc, protocolul și portul de destinație din pachet vor fi comparate cu protocolul și lista de porturi descrise în regulă. Dacă protocolul se potrivește și portul din regulă este același cu portul pachetului, atunci un astfel de pachet se potrivește cu regula. În caz contrar, căutarea va continua în lista de reguli.
Având în vedere acest lucru informație nouă setul de reguli va avea următorul format:
10.1.1.2 și 255.255.255.255 - 10.2.0.0 și 255.255.0.0 UDP 53
10.3.3.2 și 255.255.255.255 - 10.1.2.1 și 255.255.255.255 TCP 80
10.1.1.0 și 255.0.0.0 - 10.2.3.0 și 255.255.255.0 TCP 21 20 113
10.1.0.0 și 255.255.0.0 - 10.2.0.0 și 255.255.0.0 ICMP 0 8
Pe lângă acești parametri de filtrare de bază, puteți adăuga mai mulți. Una dintre ele este interfața de rețea sursă; folosind numele interfeței de rețea ca parametru de filtrare, puteți permite trecerea pachetelor cu anumite adrese doar din spate această interfață.
Scopul acestei proceduri este de a bloca un atac cunoscut sub numele de IP spoofing, care în esență implică rețeaua internă se trimite un pachet cu o adresă sursă falsă (din rețeaua internă). Folosind numele unei interfețe de rețea ca parametru, puteți bloca cu ușurință acest tip de atac. De exemplu, dacă rețeaua internă interacționează cu firewall-ul prin interfața de0, atunci este necesar doar să se stabilească în reguli ca pachetele cu o adresă sursă din rețeaua internă să fie acceptate numai dacă provin de la această interfață; în toate celelalte cazuri, acestea vor fi aruncate.
În Odnoklassniki
La conectarea unei rețele corporative la rețele globale, este necesar să se delimiteze accesul la rețeaua protejată de la retea globalași de la rețeaua protejată la rețeaua globală, precum și pentru a proteja rețeaua conectată împotriva accesului la distanță neautorizat din rețeaua globală. În același timp, organizația este interesată să ascundă informații despre structura rețelei sale și componentele sale de utilizatorii rețelei globale. Lucrul cu utilizatori la distanță necesită stabilirea de restricții stricte privind accesul la resursele de informații ale rețelei protejate.
O organizație trebuie adesea să aibă mai multe segmente cu niveluri diferite de securitate ca parte a unei rețele corporative:
Segmente accesibile gratuit (ex. publicitate VWW-cepBep);
O segment cu acces limitat(de exemplu, pentru accesul la angajații organizației de pe site-uri la distanță);
Segmente private (de exemplu, subrețeaua financiară locală a unei organizații).
Pentru a conecta firewall-uri pot fi folosite diverse scheme, care depind de condițiile de funcționare a rețelei protejate, precum și de numărul de interfețe de rețea și de alte caracteristici ale ME utilizat. Următoarele scheme de conexiune firewall sunt utilizate pe scară largă:
Despre schemele de protecție a rețelei folosind un router de ecranare;
Despre schema de protecție unificată retea locala;
Despre scheme cu subrețele închise protejate și deschise neprotejate;
Despre scheme cu protecție separată a subrețelelor închise și deschise.
Schema de protecție folosind un router de ecranare. Un firewall de filtrare a pachetelor este cel mai comun și mai simplu de implementat. Acesta constă dintr-un router de ecranare situat între rețeaua protejată și rețeaua externă deschisă potențial ostilă (Figura 8.10). Un router de ecranare (filtru de pachete) este configurat să blocheze sau să filtreze pachetele de intrare și de ieșire pe baza unei analize a adreselor și a porturilor acestora.
Calculatoarele din rețeaua protejată au acces direct la Internet, în timp ce majoritatea accesului la Internet la acestea este blocat.
Serviciile periculoase precum X Windows, NIS și NFS sunt adesea blocate. În principiu, un router de ecranare poate aplica oricare dintre politicile de securitate descrise mai devreme. Cu toate acestea, dacă routerul nu filtrează pachetele după portul sursă și numerele portului de intrare și de ieșire, atunci implementarea politicii „interzice orice nu este permis în mod explicit” poate fi dificilă.
Firewall-urile de filtrare a pachetelor suferă de aceleași dezavantaje ca și ruterele de ecranare, iar aceste dezavantaje devin mai pronunțate pe măsură ce cerințele de securitate ale rețelei protejate devin mai stricte. Să notăm câteva dintre ele:
Complexitatea regulilor de filtrare; în unele cazuri, combinația acestor reguli poate deveni imposibil de gestionat;
Despre imposibilitatea testării complete a regulilor de filtrare; aceasta lasă rețeaua neprotejată de atacuri netestate;
Capacități de înregistrare a evenimentelor practic absente; ca urmare, este dificil pentru un administrator să determine dacă un router a fost atacat sau compromis.
Scheme de conectare pentru firewall-uri cu multiple interfețe de rețea... Schemele de protecție cu ME cu o singură interfață de rețea (Fig. 8.11) nu sunt suficient de eficiente atât din punct de vedere al securității, cât și din punct de vedere al ușurinței configurării. Ele nu fac distincție fizică între rețelele interne și externe și, în consecință, nu pot furniza protecţie fiabilă interconectare... Configurarea unor astfel de firewall-uri, precum și a routerelor asociate, este o sarcină destul de dificilă, costul rezolvării care depășește costul înlocuirii unui ME cu o interfață de rețea cu un ME cu două sau trei interfețe de rețea. Prin urmare, mai jos vom analiza mai detaliat schemele de conectare pentru firewall-uri cu două și trei interfețe de rețea.
Este recomandabil să reprezentați rețeaua locală protejată ca o colecție de subrețele închise și deschise. Aici mai jos deschide subrețeaua este înțeles ca o subrețea, acces la care din partea unui potențial ostil rețea externă poate fi deschis total sau parțial. O subrețea deschisă poate include, de exemplu, servere publice WWW, FTP și SMTP, precum și un server terminal cu un pool de modemuri.
Printre numeroasele scheme posibile de conectare ME, tipice sunt următoarele:
Despre schema de protecție unificată a rețelei locale;
О schemă cu subrețele închise protejate și deschise neprotejate;
O schemă cu protecție separată pentru subrețele închise și deschise.
Schema unică de protecție pentru rețeaua locală. Această schemă este cea mai mare solutie simpla(Fig. 8.12), în care ME-ul protejează complet rețeaua locală de o rețea externă potențial ostilă. Există o singură cale între router și ME, pe care trece tot traficul. Această opțiune DOE implementează o politică de securitate bazată pe principiul „tot ceea ce nu este permis în mod explicit este interzis”; în acest caz, toate serviciile sunt indisponibile utilizatorului, cu excepția celor pentru care sunt definite permisiunile corespunzătoare. De obicei, routerul este configurat astfel încât ME să fie singura mașină vizibilă din exterior.
Serverele deschise din rețeaua locală vor fi, de asemenea, protejate de un firewall. Cu toate acestea, combinarea serverelor accesibile din rețeaua externă cu alte resurse ale rețelei locale protejate reduce semnificativ securitatea conexiunii la internet. Asa de această schemă Conexiunile ME pot fi utilizate numai dacă nu există o rețea locală servere deschise sau când serverele deschise existente sunt puse la dispoziție din rețeaua externă numai pentru număr limitat utilizatorii în care poți avea încredere.
Deoarece firewall-ul folosește o gazdă, programele pot fi instalate pe acesta pentru autentificarea puternică a utilizatorului. Firewall-ul poate, de asemenea, să înregistreze accesul, încercările de sondare și atacurile de sistem, care vor dezvălui acțiunile intrușilor.
Pentru unele rețele, lipsa de flexibilitate într-o schemă de protecție firewall cu interfață duală poate fi inacceptabilă.
Schemă cu subrețele închise protejate și deschise neprotejate. Dacă rețeaua locală conține servere deschise disponibile public, atunci este recomandabil să le mutați ca subrețea deschisă în firewall (Fig. 8.13). The
Orez. 8.11
Orez. 8.12.
Orez. 8.13.
metoda are o securitate mai mare a părții închise a rețelei locale, dar asigură o securitate redusă a serverelor deschise situate înaintea firewall-ului.
Unele ME vă permit să găzduiți aceste servere pe cont propriu. Cu toate acestea, o astfel de soluție nu este cea mai bună din punctul de vedere al securității ME în sine și al pornirii computerului. Este recomandabil să utilizați schema de conectare ME cu subrețele deschise protejate închise și neprotejate numai cu cerințe scăzute de siguranță pentru o subrețea deschisă.
Dacă se impun cerințe sporite pentru securitatea serverelor deschise, atunci este necesar să se utilizeze o schemă cu protecție separată a subrețelelor închise și deschise.
Scheme cu protecție separată pentru subrețele închise și deschise. O astfel de schemă poate fi construită bazat pe un ME cu trei interfețe de rețea(fig. 8.14) sau bazat pe două ME cu două interfețe de rețea(fig. 8.15). În ambele cazuri, accesul la subrețelele publice și private ale rețelei locale este posibil doar printr-un firewall. Totuși, accesul la o subrețea deschisă nu permite accesul la o subrețea închisă.
Dintre aceste două scheme, o schemă cu două ME oferă un grad mai mare de securitate pentru interconectare, fiecare dintre acestea formând un eșalon separat de protecție a subrețelei închise. Subrețeaua deschisă protejată acționează aici ca o subrețea de ecranare.
De obicei, subrețeaua de ecranare este configurată pentru a permite accesul la computerele din subrețea atât dintr-o rețea externă potențial ostilă, cât și dintr-o subrețea privată din rețeaua locală. Cu toate acestea, schimb direct pachete informativeîntre rețeaua externă și subrețeaua închisă nu este posibilă. Când atacați un sistem cu o subrețea de ecranare, este necesar să depășiți macar două linii independente de apărare, ceea ce este foarte sarcina dificila... Instrumentele de monitorizare a sănătății firewall detectează aproape întotdeauna o astfel de încercare, iar administratorul de sistem poate lua măsuri în timp util. acțiunile necesare pentru a preveni accesul neautorizat.
Trebuie remarcat faptul că lucrarea utilizatori la distanță conexiunile dial-up trebuie, de asemenea, controlate în conformitate cu politica de securitate a organizației. Soluție tipică această sarcină este de a instala un server de acces la distanță (server terminal), care are necesarul funcţionalitate, de exemplu, serverul terminal Apple al companiei Wow Xe1yor1”. Terminal Server este un sistem cu mai multe porturi asincrone și o interfață LAN. Schimbul de informații între porturile asincrone și rețeaua locală se realizează numai după autentificarea corespunzătoare a utilizatorului extern.
Serverul terminal trebuie să fie conectat în așa fel încât activitatea sa să fie efectuată exclusiv printr-un firewall. Acest lucru vă permite să atingeți nivelul necesar de securitate atunci când lucrați cu utilizatori la distanță. resurse informaționale organizatii. O astfel de conexiune este posibilă,
Orez. 8.14.
cu trei interfețe de rețea
Orez. 8.15.
dacă serverul terminal este inclus în subrețeaua deschisă atunci când se utilizează scheme de conexiune ME cu protecție separată a subrețelelor deschise și închise.
Software-ul serverului terminal trebuie să ofere capacitatea de a administra și controla sesiunile de comunicații prin canale de acces telefonic. Module de control moderne servere terminale au capabilități suficient de dezvoltate pentru a asigura securitatea serverului în sine și diferențierea accesului clientului și îndeplinesc următoarele funcții:
Despre utilizare parola locală a accesa port serial, pe acces de la distanță prin protocolul PPP, precum și pentru accesul la consola administrativă;
Despre utilizarea unei cereri de autentificare de la orice mașină din rețeaua locală; Despre utilizare fonduri externe autentificare;
Despre instalarea listei de control acces pe porturile serverului terminal;
Despre înregistrarea sesiunilor de comunicare printr-un server terminal.
analiza și filtrarea pachetelor de rețea care trec prin aceasta. În funcție de regulile stabilite, ME permite sau distruge pachete, permițând sau refuzând în acest fel conexiuni de retea... ME este un mijloc clasic de protejare a perimetrului unei rețele de calculatoare: este instalat la granița dintre rețelele interne (protejate) și externe (potențial periculoase) și controlează conexiunile dintre nodurile acestor rețele. Dar există și alte scheme de conectare, care vor fi discutate mai jos.Termenul englez folosit pentru ME este firewall. Prin urmare, în literatură, firewall-urile sunt uneori numite și firewall sau firewall (termen german, analog cu firewall).
După cum sa menționat deja, filtrarea se face pe baza unor reguli. Cea mai sigură abordare atunci când se formulează reguli pentru DOE este considerată a fi „tot ceea ce nu este permis în mod explicit” este interzisă. În acest caz, pachet de rețea este verificat pentru respectarea regulilor permisive, iar dacă nu sunt găsite, aruncat. Dar în unele cazuri se aplică și principiul opus: „este permis tot ceea ce nu este interzis în mod explicit”. Apoi se efectuează verificarea conformității cu regulile de interzicere, iar dacă nu se găsesc astfel de reguli, pachetul va fi omis.
Filtrarea se poate face la diferite niveluri ale modelului de referință rețele OSI. Pe această bază, ME sunt împărțite în următoarele clase [,]:
- router de ecranare;
- transport de ecranare (gateway la nivel de sesiune);
- gateway de ecranare (gateway layer de aplicație).
Router de ecranare(sau filtrul de pachete) operează stratul de rețea Model OSI, dar poate folosi și informații din anteturile protocolului stratului de transport pentru a efectua verificări. În consecință, filtrarea poate fi efectuată de adresele IP ale expeditorului și receptorului și de porturile ТСР și UDP. Astfel de ME se disting prin mare performanţăși simplitate relativă - funcționalitate filtre de pachete chiar și cele mai simple și mai ieftine routere hardware au acum. În același timp, nu protejează împotriva multor atacuri, de exemplu, cele legate de înlocuirea participanților la conexiune.
Session Layer Gateway operează la nivelul de sesiune al modelului OSI și poate monitoriza, de asemenea, informațiile de rețea și de nivel de transport. În consecință, în plus față de capacitățile enumerate mai sus, un astfel de ME poate controla procesul de stabilire a unei conexiuni și poate verifica pachetele care trec dacă aparțin conexiunilor permise.
Application Layer Gateway poate analiza pachete la toate nivelurile modelului OSI de la rețea la aplicație, care oferă cel mai mult nivel inalt protecţie. Pe lângă cele enumerate anterior, există oportunități precum autentificarea utilizatorului, analiza comenzilor de protocol la nivel de aplicație, verificarea datelor transmise (pentru prezența virușii informatici, respectarea politicii de securitate) etc.
Să luăm acum în considerare problemele legate de instalarea ME. Pe orez. 6.1 sunt prezentate diagrame tipice de conectare ME. În primul caz ( orez. 6.1), ME este instalat după router și protejează întreaga rețea internă. O astfel de schemă este utilizată dacă cerințele în domeniul protecției împotriva accesului neautorizat de firewall sunt aproximativ aceleași pentru toate nodurile rețelei interne. De exemplu, „permiteți conexiuni de la rețeaua internă la rețeaua externă și suprimați încercările de conectare de la rețeaua externă la rețeaua internă”. În cazul în care cerințele pentru diferite site-uri sunt diferite (de exemplu, trebuie să plasați un server de e-mail la care vă puteți conecta „din exterior”), o astfel de schemă de instalare a firewall-ului nu este suficient de sigură. Dacă în exemplul nostru intrusul, ca urmare a implementării atac de rețea, va câștiga controlul asupra celor specificate server de mail, prin intermediul acestuia poate avea acces la alte noduri ale rețelei interne.
În astfel de cazuri, uneori se creează un segment deschis al rețelei întreprinderii în fața ME ( 6.1b), iar ME protejează restul rețelei interne. Dezavantajul acestei scheme este că ME nu controlează conexiunile la nodurile segmentului deschis.
Mai preferat în în acest caz este utilizarea ME cu trei interfețe de rețea ( 6.1c). În acest caz, ME este configurat în așa fel încât regulile de acces la rețeaua internă să fie mai stricte decât cele pentru segmentul deschis. În același timp, atât acești compuși, cât și alți compuși pot fi controlați de ME. Segmentul deschis în acest caz este uneori denumit „zona demilitarizată” - DMZ.
Se consideră o schemă și mai fiabilă în care două ME configurabile independent ( 6.1d). În acest caz, ME 2 implementează un set mai strict de reguli de filtrare în comparație cu ME1. Și chiar și un atac reușit asupra primului ME nu va face rețeaua internă lipsită de apărare.
V În ultima vreme optiunea de a instala software-ul ME direct pe computerul protejat a devenit larg utilizata. Uneori, un astfel de ME este numit „personal”. Această schemă vă permite să vă protejați de amenințările nu numai din rețeaua externă, ci și din cea internă.
