Cum se configurează smartphone-uri și PC-uri. Portal informativ
  • Acasă
  • Windows 10
  • Tipuri de firewall-uri. Securitate: firewall-uri, detectarea intruziunilor

Tipuri de firewall-uri. Securitate: firewall-uri, detectarea intruziunilor

28.04.2019 Windows 10

Există mai multe tipuri de firewall-uri, în funcție de următoarele caracteristici:

    dacă scutul asigură o conexiune între un nod și o rețea, sau între două sau mai multe rețele diferite;

    dacă fluxul de date este monitorizat stratul de rețea sau straturi superioare ale modelului OSI;

    indiferent dacă stările conexiunilor active sunt monitorizate sau nu.

În funcție de acoperirea fluxurilor de date monitorizate, firewall-urile sunt împărțite în:

    firewall tradițional (sau firewall) - un program (sau o parte integrantă a sistemului de operare) pe un gateway (un dispozitiv care transmite trafic între rețele) sau o soluție hardware care controlează fluxurile de date de intrare și de ieșire între rețelele conectate (obiecte de rețea distribuite) ;

    firewall personal este un program instalat pe computerul unui utilizator și conceput pentru a proteja numai acest computer de accesul neautorizat.

În funcție de stratul OSI pe care are loc controlul accesului, firewall-urile pot funcționa pe:

    stratul de rețea când filtrarea se bazează pe adresele expeditorului și destinatarului pachetelor, numerele de port ale stratului de transport al modelului OSI și regulile statice stabilite de administrator;

    nivel de sesiune(de asemenea cunoscut ca si cu stare) când sunt monitorizate sesiuni între aplicații și pachete care încalcă specificațiile TCP/IP, adesea folosite în operațiuni rău intenționate - scanări de resurse, hack-uri prin implementări TCP/IP incorecte, conexiuni deconectate/încetinite, injecția de date nu sunt trecute;

    nivelul de aplicare(sau stratul de aplicare) atunci când filtrarea se bazează pe analiză Application Data a trecut în interiorul pachetului. Aceste tipuri de ecrane vă permit să blocați transmiterea de informații nedorite și potențial dăunătoare pe baza politicilor și setărilor.

Filtrarea la nivelul rețelei

Filtrarea pachetelor de intrare și de ieșire se realizează pe baza informațiilor conținute în următoarele câmpuri ale anteturilor TCP și IP ale pachetelor: Adresa IP a expeditorului; adresa IP a destinatarului; portul expeditorului; port destinatar.

Filtrarea poate fi implementată în diferite moduri pentru a bloca conexiunile la anumite computere sau porturi. De exemplu, puteți bloca conexiunile de la anumite adrese ale computerelor și rețelelor care sunt considerate nesigure.

    cost relativ scăzut;

    flexibilitate în definirea regulilor de filtrare;

    mică întârziere în trecerea pachetelor.

Defecte:

    nu colectează pachete fragmentate;

    nu există nicio modalitate de a urmări relațiile (conexiunile) dintre pachete.?

Filtrarea la nivel de sesiune

În funcție de modul în care sunt monitorizate conexiunile active, firewall-urile pot fi:

    Fara stare(filtrare simplă), care nu urmăresc conexiunile curente (de exemplu, TCP), ci filtrează fluxul de date exclusiv pe baza regulilor statice;

    inspecție de pachete cu stare, cu stare (SPI)(filtrare în funcție de context), monitorizarea conexiunilor curente și trecerea doar a acelor pachete care satisfac logica și algoritmii protocoalelor și aplicațiilor corespunzătoare.

Firewall-urile SPI vă permit să luptați mai eficient cu diferite tipuri de atacuri DoS și vulnerabilități ale unor protocoale de rețea. În plus, ele asigură funcționarea unor protocoale precum H.323, SIP, FTP etc., care folosesc scheme complexe de transfer de date între destinatari, greu de descris prin reguli statice și adesea incompatibile cu firewall-urile standard, fără stat.

Beneficiile acestei filtre includ:

    analiza conținutului pachetelor;

    nu sunt necesare informații despre modul în care funcționează protocoalele Layer 7.

Defecte:

    dificil de analizat date la nivel de aplicație (eventual folosind ALG - Application level gateway).

Gateway la nivel de aplicație, ALG (gateway la nivel de aplicație) este o componentă a unui router NAT care înțelege un protocol de aplicație și, atunci când pachetele acestui protocol trec prin acesta, le modifică astfel încât utilizatorii care se află în spatele NAT să poată utiliza protocolul.

ALG oferă suport pentru protocoale la nivel de aplicație (cum ar fi SIP, H.323, FTP etc.) pentru care traducerea adresei de rețea nu este permisă. Acest serviciu determină tipul de aplicație în pachete care vin din interfață rețeaua internăși efectuarea adecvată a traducerii adresei/portului pentru ei prin interfața externă.

Tehnologia SPI (Stateful Packet Inspection) sau tehnologia de inspecție a pachetelor cu stat, este astăzi cea mai importantă metodă de control al traficului. Această tehnologie permite controlul datelor până la nivelul aplicației fără a necesita un proxy sau o aplicație proxy separată pentru fiecare protocol protejat sau serviciu de rețea.

Din punct de vedere istoric, evoluția firewall-urilor a venit din filtrele de pachete de uz general, apoi au început să apară programe proxy pentru protocoale individuale și, în sfârșit, a fost dezvoltată tehnologia de inspecție cu state. Tehnologiile anterioare doar s-au completat reciproc, dar nu au oferit un control complet asupra conexiunilor. Filtrele de pachete nu au acces la informații despre starea conexiunii și a aplicației, care sunt necesare pentru luarea unei decizii finale a sistemului de securitate. Programele proxy procesează numai date la nivel de aplicație, ceea ce creează adesea diverse oportunități de compromitere a sistemului. Arhitectura de inspecție cu state este unică deoarece vă permite să operați cu toate informațiile posibile care trec prin mașina gateway: date dintr-un pachet, date despre starea conexiunii, date necesare aplicației.

Un exemplu de mecanismStatefulInspecţie... Firewall-ul monitorizează sesiunea FTP prin verificarea datelor la nivel de aplicație. Când un client cere serverului să deschidă o conexiune inversă (comanda FTP PORT), firewall-ul extrage numărul portului din această solicitare. Lista stochează adresele clientului și serverului, numerele de port. Când detectează o încercare de a stabili o conexiune de date FTP, firewall-ul scanează lista și verifică dacă această conexiune este într-adevăr un răspuns la o solicitare validă a clientului. Netlist-ul este întreținut dinamic, deci numai porturile necesare FTP. Imediat ce sesiunea este închisă, porturile sunt blocate, oferind un nivel ridicat de securitate.

Orez. 2.12. Un exemplu despre cum funcționează Stateful Inspection cu FTP

Filtrarea la nivel de aplicație

Pentru a proteja unele dintre vulnerabilitățile inerente filtrării de pachete, firewall-urile trebuie să folosească programe de aplicație pentru a filtra conexiunile la servicii precum Telnet, HTTP, FTP. O astfel de aplicație se numește serviciu proxy, iar gazda care rulează serviciul proxy se numește gateway layer de aplicație. Acest gateway elimină comunicarea directă între clientul autorizat și gazda externă. Gateway-ul filtrează toate pachetele de intrare și de ieșire la nivelul aplicației (stratul de aplicație - stratul superior al modelului de rețea) și poate analiza conținutul de date, cum ar fi o adresă URL conținută într-un mesaj HTTP sau o comandă conținută într-un mesaj FTP. Uneori, filtrarea pachetelor este mai eficientă pe baza informațiilor conținute în datele în sine. Filtrele de pachete și filtrele din stratul de legătură nu folosesc conținutul fluxului de trafic pentru a lua decizii de filtrare, dar se pot face cu filtrarea la nivel de aplicație. Filtrele stratului de aplicație pot folosi informații din antetul pachetului, precum și conținutul de date și informații despre utilizator. Administratorii pot utiliza filtrarea stratului de aplicație pentru a controla accesul pe baza identității utilizatorului și/sau pe baza unei sarcini specifice pe care utilizatorul încearcă să o îndeplinească. În filtrele de nivel de aplicație, puteți seta reguli pe baza comenzilor emise de aplicație. De exemplu, un administrator poate împiedica un anumit utilizator să descarce fișiere pe un anumit computer folosind FTP sau poate permite unui utilizator să posteze fișiere prin FTP pe același computer.

Beneficiile acestei filtre includ:

    reguli simple de filtrare;

    posibilitatea organizării unui număr mare de verificări. Protecția la nivel de aplicație permite un număr mare de verificări suplimentare, ceea ce reduce probabilitatea de hacking folosind „găuri” în software;

    capacitatea de a analiza datele aplicației.

Defecte:

    relativ performanta slaba versus filtrarea pachetelor;

    proxy trebuie să-și înțeleagă protocolul (nu poate fi folosit cu protocoale necunoscute) ?;

    de obicei rulează sub sisteme de operare complexe.

Cu o mare varietate de instrumente software profesionale pentru protecție împotriva diferitelor tipuri de atacuri asupra unei rețele locale din exterior (adică de pe Internet), toate au un dezavantaj serios - costul ridicat. Și dacă vorbim de rețele mici din clasa SOHO, atunci achiziționarea de pachete solide este un lux nepermis. În același timp, trebuie remarcat faptul că, pentru rețelele mici, capacitățile unor astfel de pachete pot fi chiar excesive. Prin urmare, pentru a proteja rețelele mici din clasa SOHO, sunt utilizate pe scară largă soluții hardware ieftine - firewall-uri. Prin designul lor, firewall-urile pot fi implementate fie ca soluție separată, fie pot fi parte integrantă a routerelor din clasa SOHO, în special a routerelor fără fir, ceea ce face posibilă combinarea segmentelor LAN cu fir și fără fir pe baza lor.
În acest articol, ne vom uita la funcționalitatea de bază a firewall-urilor hardware moderne care sunt încorporate în routerele SOHO și sunt utilizate pentru a oferi protecție rețelelor locale mici.

Firewall-uri ca parte a routerelor

Deoarece routerele sunt dispozitive de rețea care se află la granița dintre rețelele interne și externe și acționează ca o poartă de rețea, acestea ar trebui să fie proiectate cu cel puțin două porturi. Unul dintre aceste porturi se conectează reteaua locala iar acest port devine portul LAN intern. O rețea externă (Internet) este conectată la al doilea port, transformându-l într-un port WAN extern. De regulă, routerele din clasa SOHO au un port WAN și mai multe (de la unul la patru) porturi LAN, care sunt combinate într-un comutator. În cele mai multe cazuri, portul WAN al switch-ului are o interfață 10 / 100Base-TX și poate fi conectat fie un modem xDSL cu interfața corespunzătoare, fie un cablu de rețea Ethernet.

În plus, răspândită rețele fără fir a condus la apariția unei întregi clase de așa-numite routere wireless. Aceste dispozitive, pe lângă routerul clasic cu porturi WAN și LAN, conțin un punct integrat acces wireless care acceptă protocolul IEEE 802.11a/b/g. Segment wireless rețea, care vă permite să organizați un punct de acces, din punctul de vedere al unui router, se referă la rețeaua internă, iar în acest sens, computerele conectate la router wireless nu diferă de cele conectate la portul LAN.

Orice router, ca dispozitiv de nivel de rețea, are propria sa adresă IP. Pe lângă router, portul WAN are și propria sa adresă IP.

Calculatoarele conectate la porturile LAN ale routerului trebuie să aibă o adresă IP pe aceeași subrețea ca și routerul însuși. În plus, în setările de rețea ale acestor PC-uri, trebuie să setați adresa implicită a gateway-ului care se potrivește cu adresa IP a routerului. În sfârșit, dispozitivul conectat la portul WAN din rețeaua externă trebuie să aibă o adresă IP din aceeași subrețea ca și portul WAN al routerului.

Deoarece routerul acționează ca o poartă între rețeaua locală și Internet, este logic să ne așteptăm de la el la o asemenea funcție precum protejarea rețelei interne împotriva accesului neautorizat. Prin urmare, aproape toate routere moderne Clasele SOHO au firewall-uri hardware încorporate, numite și firewall-uri.

Funcții firewall

Sarcina principală a oricărui firewall se rezumă în cele din urmă la securizarea rețelei interne. Pentru a rezolva această problemă, firewall-urile trebuie să fie capabile să mascheze rețeaua protejată, să blocheze toate tipurile cunoscute de atacuri ale hackerilor, să blocheze scurgerile de informații din rețeaua internă și să controleze aplicațiile care obțin acces la rețeaua externă.

Pentru implementarea acestor funcții, firewall-urile analizează tot traficul dintre rețelele externe și interne pentru respectarea anumitor criterii sau reguli stabilite care determină condițiile de flux de trafic de la o rețea la alta. Dacă traficul îndeplinește criteriile specificate, atunci firewall-ul îi va permite să treacă prin el însuși. În caz contrar, adică dacă criteriile specificate nu sunt îndeplinite, traficul este blocat de firewall. Firewall-urile filtrează atât inbound, cât și trafic de ieșireși, de asemenea, vă permit să controlați accesul la anumite resursele rețelei sau aplicații. Aceștia pot înregistra toate încercările de acces neautorizat la resursele rețelei locale și pot emite avertismente cu privire la încercările de intruziune.

Prin scopul lor, firewall-urile seamănă mai ales cu un punct de control (punct de control) al unei instalații păzite, unde documentele sunt verificate pentru toți cei care intră pe teritoriul unității și pentru cei care părăsesc acesta. Dacă permisul este în regulă, accesul în teritoriu este permis. Firewall-urile funcționează exact în același mod, doar pachetele de rețea acționează ca persoane care trec prin punctul de control, iar trecerea este corespondența antetelor acestor pachete cu un set predefinit de reguli.

Sunt firewall-urile atât de fiabile?

Se poate spune că un firewall este 100% sigur pe rețeaua unui utilizator sau pe computerul personal? Desigur că nu. Numai pentru că niciun sistem nu oferă deloc o garanție de securitate 100%. Un firewall ar trebui tratat ca un instrument care, dacă este configurat corect, poate complica semnificativ sarcina unui atacator de a pătrunde în computerul personal al unui utilizator. Subliniem: doar pentru a complica, dar deloc pentru a garanta o siguranță absolută. Apropo, dacă nu vorbim despre protejarea rețelei locale, ci despre protejarea unui computer individual cu acces la Internet, atunci firewall-ul ICF (Internet Connection Firewall) încorporat în sistemul de operare Windows XP face față cu succes la asigurarea securității personale. Prin urmare, în viitor vom vorbi doar despre firewall-uri hardware corporative axate pe protejarea rețelelor mici.

Dacă firewall-ul instalat la intrarea în rețeaua locală este activat de program complet(de regulă, aceasta corespunde setărilor implicite), atunci rețeaua pe care o protejează este complet impenetrabilă și inaccesibilă din exterior. Cu toate acestea, o astfel de impenetrabilitate completă a rețelei interne are propriile sale revers... Faptul este că în acest caz devine imposibilă utilizarea serviciilor de Internet (de exemplu, ICQ și programe similare) instalate pe computer. Astfel, sarcina de a configura firewall-ul este de a face ferestre în peretele inițial gol, care este un firewall pentru atacator, făcând posibil programe de utilizator răspunde solicitărilor din exterior și în cele din urmă implementează interacțiunea controlată a rețelei interne cu lumea exterioară. Cu toate acestea, cu cât apar astfel de ferestre într-un astfel de perete, cu atât rețeaua în sine devine mai vulnerabilă. Așa că subliniem încă o dată: niciun firewall nu poate garanta securitatea absolută a rețelei locale pe care o protejează.

Clasificare firewall

Capacitățile și inteligența firewall-ului depind de stratul modelului de referință OSI la care operează. Cu cât mai sus Stratul OSI firewall-ul este construit deasupra, cu atât este mai mare nivelul de protecție pe care îl oferă.

Amintește-ți asta Model OSI (Sistem deschis Interconectare) include șapte straturi de arhitectură de rețea. Primul, cel mai jos, este strat fizic... Este urmată de legătura de date, rețea, transport, sesiune, prezentare și straturile de aplicație sau aplicație. Pentru a asigura filtrarea traficului, firewall-ul trebuie să funcționeze cel puțin la al treilea strat al modelului OSI, adică la nivelul rețelei, unde pachetele sunt direcționate pe baza traducerii adreselor MAC în adrese de rețea. Din punctul de vedere al protocolului TCP/IP, acest strat corespunde stratului IP (Internet Protocol). Primind informații de nivel de rețea, firewall-urile pot determina adresele sursă și destinație ale pachetului și pot verifica dacă traficul între aceste destinații este acceptabil. Cu toate acestea, nu există suficiente informații de nivel de rețea pentru a analiza conținutul pachetului. Firewall-urile care operează la nivelul de transport al modelului OSI primesc mai multe mai multe informatii despre pachete și în acest sens poate oferi scheme de protecție a rețelei mai inteligente. Firewall-urile la nivel de aplicație au informații complete despre pachetele de rețea, ceea ce înseamnă că oferă cea mai fiabilă protecție a rețelei.

În funcție de nivelul modelului OSI pe care funcționează firewall-urile, s-a dezvoltat istoric următoarea clasificare a acestor dispozitive:

  • filtru de pachete;
  • gateway la nivel de circuit;
  • gateway la nivel de aplicație;
  • Stateful Inspecția pachetelor(SPI).

Rețineți că această clasificare are doar interes istoric, deoarece toate firewall-urile moderne sunt clasificate drept cele mai avansate (în ceea ce privește protecția rețelei) firewall-uri SPI.

Filtre de pachete

Firewall-urile cu filtre de pachete sunt cele mai simple (mai puțin inteligente). Aceste firewall-uri operează la nivelul de rețea al modelului OSI sau la nivelul IP al stivei de protocol TCP / IP. Astfel de firewall-uri sunt obligatorii în fiecare router, deoarece orice router funcționează cel puțin la al treilea strat al modelului OSI.

Scopul filtrelor de pachete este de a filtra pachetele pe baza informațiilor despre adresa IP sursă sau destinație și a numerelor de port.

În firewall-urile de filtrare a pachetelor, fiecare pachet este analizat pentru a îndeplini criteriile de transmisie sau pentru a bloca transmisia înainte de a fi transmis. În funcție de pachet și de criteriile de transmisie definite, firewall-ul poate redirecționa pachetul, îl poate respinge sau trimite o notificare către inițiatorul transmisiei.

Filtrele de pachete sunt ușor de implementat și au un efect redus sau deloc asupra vitezei de rutare.

Gateway-uri la nivel de sesiune

Session Layer Gateway-urile sunt firewall-uri care operează la nivelul de sesiune al modelului OSI sau la nivelul TCP (Transport Control Protocol) al stivei de protocol TCP / IP. Aceste firewall-uri monitorizează procesul de stabilire a unei conexiuni TCP (organizarea sesiunilor de comunicare între mașinile finale) și vă permit să determinați dacă această sesiune de comunicare este legitimă. Datele transmise către un computer la distanță din rețeaua externă printr-un gateway la nivel de sesiune nu conțin informații despre sursa de transmisie, adică totul arată ca și cum datele sunt trimise de firewall-ul însuși, și nu de un computer de pe interior. rețea (protejată). Toate firewall-urile NAT sunt gateway-uri la nivel de sesiune (NAT va fi descris mai jos).

Gateway-urile la nivel de sesiune nu afectează în mod semnificativ viteza de rutare. În același timp, aceste gateway-uri nu sunt capabile să filtreze pachete individuale.

Gateway-uri de aplicații

Gateway-urile de nivel de aplicație sau serverele proxy funcționează la nivelul de aplicație al modelului OSI. Stratul de aplicație este responsabil pentru accesarea aplicațiilor în rețea. Sarcinile la acest nivel includ transferul de fișiere, mesageria prin e-mail și gestionarea rețelei. Primind informații despre pachete la nivel de aplicație, gateway-urile la nivel de aplicație pot implementa blocarea accesului la anumite servicii... De exemplu, dacă gateway-ul stratului de aplicație este configurat ca un Web-proxy, atunci orice trafic legat de protocoalele Telnet, FTP, Gopher va fi blocat. Deoarece aceste firewall-uri analizează pachetele la nivelul aplicației, ele sunt capabile să filtreze comenzi specifice precum http: post, get etc. Această caracteristică nu este disponibilă nici pentru filtrele de pachete, nici pentru gateway-urile la nivel de sesiune. Gateway-urile la nivel de aplicație pot fi folosite și pentru a înregistra activitatea utilizatorilor individuali și pentru a stabili sesiuni de comunicare de către aceștia. Aceste firewall-uri oferă o modalitate mai fiabilă de a proteja rețelele decât gateway-urile de sesiune și filtrele de pachete.

Firewall-uri SPI

Cel mai recent tip de firewall, Stateful Packet Inspection (SPI), combină beneficiile filtrelor de pachete, gateway-urilor de sesiune și gateway-urilor de aplicații în același timp. Adică, de fapt, vorbim de firewall-uri multistrat care funcționează simultan la nivel de rețea, sesiune și aplicație.

Firewall-urile SPI filtrează pachetele la nivelul de rețea, determină legitimitatea stabilirii unei sesiuni pe baza datelor stratului de sesiune și analizează conținutul pachetelor pe baza datelor de la nivelul aplicației.

Aceste firewall-uri oferă cea mai fiabilă modalitate de a proteja rețelele și sunt standardul de facto astăzi.

Configurarea firewall-urilor

Metodologia și opțiunile de configurare pentru firewall-uri variază în funcție de model. Din păcate, nu există reguli uniforme de personalizare, darămite o interfață uniformă. Putem vorbi doar despre câteva reguli generale care ar trebui respectate. De fapt, regula de bază este destul de simplă - este necesar să interziceți tot ceea ce nu este necesar pentru funcționarea normală a rețelei.

Cel mai adesea, posibilitățile de configurare a firewall-urilor se reduc la activarea unor reguli predefinite și crearea de reguli statice sub forma unui tabel.

Să luăm ca exemplu posibilitățile de configurare a firewall-ului inclus în routerul Gigabyte GN-B49G. Acest router are o serie de reguli predefinite pentru a impune diferite niveluri de securitate în rețeaua internă. Aceste reguli includ următoarele:

  • Accesul la configurația și administrarea Routerului din partea WAN este interzisă. Activarea acestei funcții interzice accesul la setările routerului din rețeaua externă;
  • Accesul de la Global-IP la Private-IP este interzis în interiorul LAN. Această funcție vă permite să blocați accesul în cadrul rețelei locale de la adrese IP globale (dacă există) la adrese IP rezervate pentru uz privat;
  • Preveniți partajarea fișierelor și a imprimantei din afara rețelei routerului. Funcția împiedică utilizarea accesului partajat la imprimante și fișiere din rețeaua internă din exterior;
  • Existența routerului nu poate fi detectată din partea WAN. Această funcție face routerul invizibil din rețeaua exterioară;
  • Atacurile de tip Denial of Service (DoS) sunt prevenite. Când această funcție este activată, este implementată protecția împotriva atacurilor DoS (Denial of Service). Atacurile DoS sunt un fel atacuri de rețea, care constă în sosirea unei multitudini de solicitări către server care solicită un serviciu furnizat de sistem. Serverul își cheltuiește resursele pentru stabilirea unei conexiuni și menținerea acesteia, iar cu un anumit flux de solicitări nu le poate face față. Protecția împotriva atacurilor de acest tip se bazează pe analizarea surselor de exces de trafic față de traficul normal și interzicerea transmiterii acestuia.

După cum am observat deja, multe firewall-uri au reguli predefinite care sunt în mod inerent aceleași cu cele enumerate mai sus, dar pot avea nume diferite.

O altă modalitate de a configura firewall-ul este să creați reguli statice care vă permit nu numai să protejați rețeaua din exterior, ci și să restricționați accesul utilizatorilor rețelei locale la rețeaua externă. Posibilitățile de creare a regulilor sunt destul de flexibile și vă permit să implementați aproape orice situație. Pentru a crea o regulă, setați adresa IP sursă (sau intervalul de adrese), porturile sursă, adresele IP și porturile de destinație, tipul de protocol, direcția de transmisie a pachetelor (de la rețeaua internă la rețeaua externă sau invers), precum și acțiune care trebuie întreprinsă atunci când este detectat un pachet.cu proprietățile indicate (scăpați sau săriți pachetul). De exemplu, dacă doriți să interziceți utilizatorilor rețelei interne (interval de adrese IP: 192.168.1.1-192.168.1.100) să acceseze serverul FTP (portul 21) situat la adresa IP externă 64.233.183.104, atunci regula poate fi formulat astfel:

  • direcția de expediere a pachetelor: LAN-la-WAN;
  • Adrese IP sursă: 192.168.1.1-192.168.1.100;
  • port sursă: 1-65535;
  • port destinatar: 21;
  • protocol: TCP;
  • actiune: drop.

Configurația statică a unei reguli de firewall pentru exemplul de mai sus este prezentată în Fig. unu.

NAT ca parte a firewall-ului

Toate routerele moderne cu firewall-uri încorporate acceptă Network Translation Protocol adrese NAT(Traducerea adresei de rețea).

NAT nu face parte dintr-un firewall, dar ajută și la îmbunătățirea securității rețelei. Sarcina principală a protocolului NAT este de a rezolva problema penuriei de adrese IP, care devine din ce în ce mai urgentă pe măsură ce numărul de computere crește.

Cert este că în versiunea actuală a protocolului IPv4 sunt alocați patru octeți pentru determinarea adresei IP, ceea ce face posibilă generarea a peste patru miliarde de adrese de computere din rețea. Desigur, în primele zile ale internetului, era greu de imaginat că într-o zi acest număr de adrese IP ar putea să nu fie suficient. Pentru a rezolva parțial problema deficitului de adrese IP, a fost propus la un moment dat un protocol de traducere. adresele de rețea NAT.

NAT este definit de RFC 1631, care definește modul în care sunt traduse adresele de rețea.

În cele mai multe cazuri, un dispozitiv NAT traduce adrese IP rezervate pentru uz privat în rețelele locale în adrese IP publice.

Spațiul de adrese private este reglementat de RFC 1918. Aceste adrese includ următoarele intervale de IP: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-192.168.0.0-192.5.185.5.125.

Conform RFC 1918, adresele IP private nu pot fi folosite pe WAN, deci pot fi folosite liber doar în scopuri interne.

Înainte de a trece la particularitățile funcționării protocolului NAT, să vedem cum se întâmplă. conexiune reteaîntre două PC-uri.

Când un computer din rețea stabilește o conexiune cu un alt computer, se deschide un socket, identificat prin adresa IP sursă, portul sursă, adresa IP destinație, portul destinație și protocolul de rețea. Formatul pachetului IP oferă un câmp de doi octeți pentru numerele de port. Acest lucru vă permite să definiți 65.535 de porturi, care joacă rolul unui fel de canale de comunicare. Dintre cele 65.535 de porturi, primele 1.023 sunt rezervate cunoscutilor servicii de server precum Web, FTP, Telnet etc. Toate celelalte porturi pot fi utilizate în orice alt scop.

Dacă, de exemplu, un computer din rețea accesează un server FTP (portul 21), atunci când socketul este deschis, sistemul de operare atribuie sesiunii orice port mai mare decât 1023. De exemplu, acesta poate fi portul 2153. Apoi pachetul IP trimis de la PC la FTP -server, va conține adresa IP a expeditorului, portul expeditorului (2153), adresa IP a destinatarului și portul de destinație (21). Adresa IP și portul expeditorului vor fi folosite pentru a răspunde de la server la client. Utilizarea diferitelor porturi pentru diferite sesiuni de rețea permite clienților de rețea să stabilească simultan mai multe sesiuni cu servere diferite sau cu serviciile unui singur server.

Acum să ne uităm la procesul de stabilire a unei sesiuni atunci când utilizați un router NAT la granița rețelei interne și a internetului.

Când un client din rețeaua internă stabilește o conexiune cu un server din rețeaua externă, atunci, ca și în cazul stabilirii unei conexiuni între două PC-uri, se deschide un socket determinat de adresa IP sursă, portul sursă, adresa IP destinație, portul de destinație și protocolul de rețea. Când o aplicație transmite date prin acest socket, adresa IP sursă și portul sursă sunt inserate în pachet în câmpurile parametrului sursă. Câmpurile parametrului de destinație vor conține adresa IP și portul serverului. De exemplu, un computer din rețeaua internă cu o adresă IP de 192.168.0.1 poate accesa un server Web pe WAN cu o adresă IP de 64.233.188.104. În acest caz, sistemul de operare al clientului poate atribui sesiune stabilită portul 1251 (portul sursă), iar portul destinație este portul serviciului Web, adică 80. Atunci următoarele atribute vor fi indicate în antetul pachetului trimis (Fig. 2):

  • port sursă: 1251;
  • Adresa IP a destinatarului: 64.233.183.104;
  • port destinatar: 80;
  • protocol: TCP.

Dispozitivul NAT (routerul) interceptează pachetul de ieșire din rețeaua internă și introduce maparea porturilor sursă și destinație ale pachetului în tabelul său intern folosind adresa IP de destinație, portul de destinație, adresa IP a dispozitivului NAT extern, portul extern, rețea protocol și IP-uri interne - adresa și portul clientului.

Să presupunem că în exemplul de mai sus, routerul NAT are o adresă IP externă 195.2.91.103 (adresa portului WAN), iar pentru sesiunea stabilită, portul extern al dispozitivului NAT este 3210. În acest caz, sursa și destinația internă Tabelul de mapare porturi al pachetului conține următoarele informații:

  • IP sursă: 192.168.0.1;
  • port sursă: 1251;
  • adresa IP externă

Dispozitive NAT: 195.2.91.103;

  • portul extern al dispozitivului NAT: 3210;
  • Adresa IP a destinatarului: 64.233.183.104;
  • port destinatar: 80;
  • protocol: TCP.

Dispozitivul NAT „traduce” pachetul, transformând câmpurile sursă din pachet: adresa IP internă și portul clientului sunt înlocuite cu adresa IP externă și portul NAT. În acest exemplu, pachetul convertit va conține următoarele informații:

  • IP sursă: 195.2.91.103
  • port sursă: 3210;
  • Adresa IP a destinatarului: 64.233.183.104;
  • port destinatar: 80;
  • protocol: TCP.

Pachetul convertit este trimis prin rețeaua externă și ajunge în cele din urmă la serverul specificat.

După primirea pachetului, serverul va redirecționa pachetele de răspuns către adresa IP externă și portul dispozitivului NAT (router), specificând propria adresă IP și port în câmpurile sursă (Figura 3). În exemplul considerat, pachetul de răspuns de la server va conține următoarele informații în antet:

  • port sursă: 80;
  • Adresa IP a destinatarului: 195.2.91.103;
  • port destinatar: 3210;
  • protocol: TCP.

Orez. 3. Principiul de funcționare al unui dispozitiv NAT la transmiterea unui pachet dintr-o rețea externă către una internă

Dispozitivul NAT acceptă aceste pachete de la server și le analizează conținutul pe baza tabelului său de mapare a portului. Dacă în tabelul se găsește o mapare de porturi pentru care adresa IP sursă, portul sursă, portul destinație și protocolul de rețea din pachetul de intrare se potrivesc cu adresa IP a gazdei la distanță, cu port la distanțăși cu protocolul de rețea specificat în maparea portului, atunci va funcționa NAT transformare inversă: va înlocui IP-ul extern și portul extern în câmpurile de destinație ale pachetului cu adresa IP și portul intern al clientului în rețeaua internă. Astfel, un pachet transmis în rețeaua internă pentru exemplul de mai sus va avea următoarele atribute:

  • IP sursă: 64.233.183.104;
  • port sursă: 80;
  • Adresa IP a destinatarului: 192.168.0.1;
  • port destinatar: 1251;
  • protocol: TCP.

Cu toate acestea, dacă nu există nicio potrivire în tabelul de mapare a portului, atunci pachetul primit este respinsă și conexiunea este întreruptă.

Datorită unui router NAT, orice PC din rețeaua internă poate transmite date către WAN folosind adresa IP externă și portul routerului. În același timp, adresele IP ale rețelei interne, ca și porturile alocate sesiunilor, rămân invizibile din rețeaua externă.

Cu toate acestea, un router NAT permite comunicarea între computere din rețelele interne și externe doar dacă acest schimb este inițiat de un computer din rețeaua internă. Dacă orice computer din rețeaua exterioară încearcă să acceseze computerul din rețeaua interioară din proprie inițiativă, atunci această conexiune este respinsă de dispozitivul NAT. Prin urmare, pe lângă rezolvarea problemei adreselor IP insuficiente, NAT ajută și la îmbunătățirea securității rețelei interne.

Probleme cu dispozitivele NAT

În ciuda aparentei simplități de funcționare a dispozitivelor NAT, există unele probleme asociate cu acestea, care complică adesea organizarea interacțiunii dintre calculatoare în rețea sau chiar împiedicând înfiinţarea lui. De exemplu, dacă rețeaua locală este protejată de un dispozitiv NAT, atunci orice client din rețeaua internă poate stabili o conexiune la serverul WAN, dar nu invers. Adică, nu puteți iniția o conexiune de la rețeaua externă la un server situat în rețeaua internă în spatele unui dispozitiv NAT. Dar ce se întâmplă dacă în rețeaua internă există un serviciu (cum ar fi un FTP sau un server Web) la care utilizatorii din rețeaua externă trebuie să aibă acces? Pentru a rezolva această problemă, routerele NAT folosesc tehnologii DMZ și port forwarding, care vor fi descrise în detaliu mai jos.

O altă problemă cu dispozitivele NAT este că unele aplicații de rețea includ adresa IP și portul în porțiunea de date a pachetului. Este clar că un dispozitiv NAT nu este capabil să traducă astfel de adrese. Ca urmare, dacă o aplicație de rețea inserează o adresă IP sau un port în porțiunea de sarcină utilă a unui pachet, serverul care răspunde la acel pachet va folosi adresa IP imbricată și portul pentru care nu există nicio intrare de mapare corespunzătoare în tabelul intern al dispozitivului NAT. . Ca rezultat, un astfel de pachet va fi abandonat de dispozitivul NAT și, prin urmare, aplicațiile care folosesc această tehnologie nu va putea lucra cu dispozitive NAT.

Există aplicații de rețea care folosesc un port (ca port sursă) atunci când transmit date, dar așteaptă un răspuns pe un alt port. Dispozitivul NAT analizează traficul de ieșire și mapează portul sursă. Cu toate acestea, dispozitivul NAT nu știe că este așteptat un răspuns pe un alt port și nu poate efectua maparea corespunzătoare. Ca rezultat, pachetele de răspuns adresate unui port pentru care nu există mapare în tabelul intern al dispozitivului NAT vor fi abandonate.

O altă problemă cu dispozitivele NAT este accesul multiplu la același port. Luați în considerare o situație în care mai mulți clienți ai unei rețele locale, separați de rețeaua externă printr-un dispozitiv NAT, accesează aceeași port standard... De exemplu, acesta ar putea fi portul 80, care este rezervat unui serviciu Web. Deoarece toți clienții din rețeaua internă folosesc aceeași adresă IP, se pune întrebarea: Cum poate un dispozitiv NAT să determine cărui client din rețeaua internă îi aparține cererea externă? Pentru a rezolva această problemă, doar un client din rețeaua internă are acces la portul standard la un moment dat.

Maparea porturilor statice

Pentru ca anumite aplicații care rulează pe un server din rețeaua internă (cum ar fi un server Web sau un server FTP) să fie accesibile din rețeaua externă, trebuie să fie configurată o mapare pe dispozitivul NAT între porturile utilizate de anumite aplicații și adrese IP. acele servere din rețeaua internă pe care rulează aceste aplicații. În acest caz, ei vorbesc despre tehnologia de mapare a porturilor, iar serverul din rețeaua internă se numește server virtual. Ca urmare, orice solicitare de la rețeaua externă către adresa IP externă a dispozitivului NAT (router) prin portul specificat va fi redirecționată automat către serverul virtual specificat din rețeaua internă.

De exemplu, dacă în rețeaua internă este configurat un server FTP virtual, care rulează pe un PC cu o adresă IP de 192.168.0.10, atunci la configurarea serverului virtual, adresa IP a serverului virtual (192.168.0.10), sunt specificate protocolul utilizat (TCP) și portul aplicației.(21). În acest caz, la accesarea adresei externe a dispozitivului NAT (portul WAN al routerului) pe portul 21, un utilizator din rețeaua externă poate accesa serverul FTP al rețelei interne, în ciuda utilizării protocolului NAT. Un exemplu de configurare a unui server virtual pe un router NAT real este prezentat în Fig. 4.

De obicei, routerele NAT vă permit să creați mai multe redirecționări statice de porturi. Deci, pe un server virtual, puteți deschide mai multe porturi simultan sau puteți crea mai multe servere virtuale cu adrese IP diferite. Cu toate acestea, cu redirecționarea portului static, nu puteți redirecționa un port către mai multe adrese IP, adică un port poate corespunde unei singure adrese IP. Este imposibil, de exemplu, să configurați mai multe servere Web cu adrese IP diferite - pentru aceasta, va trebui să schimbați portul implicit al serverului Web și atunci când accesați cel de-al 80-lea port din configurația routerului, specificați portul Web modificat ca Port privat. .server.

Majoritatea modelelor de router vă permit, de asemenea, să setați redirecționarea grupului de porturi statice, adică să asociați un întreg grup de porturi simultan cu adresa IP a unui server virtual. Această caracteristică este utilă dacă trebuie să asigurați funcționarea aplicațiilor care utilizează un numar mare de porturi precum jocuri sau conferințe audio/video. Numărul de grupuri de porturi redirecționate per diferite modele routerele sunt diferite, dar de obicei sunt cel puțin zece dintre ele.

Redirecționare dinamică porturi (aplicație specială)

Port forwarding static rezolvă parțial problema accesului din rețeaua externă la serviciile rețelei locale protejate de un dispozitiv NAT. Cu toate acestea, există și o problemă opusă - necesitatea de a oferi utilizatorilor rețelei locale acces la rețeaua externă printr-un dispozitiv NAT. Cert este că unele aplicații (de exemplu, jocuri pe Internet, conferințe video, telefonie prin Internet și alte aplicații care necesită stabilirea mai multor sesiuni în același timp) nu sunt compatibile cu tehnologia NAT. Pentru a rezolva această problemă, se folosește așa-numita redirecționare dinamică a portului (uneori denumită Aplicație specială), când redirecționarea portului este setată la nivelul aplicațiilor individuale de rețea.

Dacă routerul acceptă această funcție, trebuie să setați numărul de port intern (sau intervalul de porturi) asociat cu o anumită aplicație (de obicei notat ca Port de declanșare) și să setați numărul port extern Dispozitivul NAT (Public Port) care urmează să fie mapat la portul intern.

Când redirecționarea dinamică a portului este activată, routerul monitorizează traficul de ieșire din rețeaua internă și își amintește adresa IP a computerului de la care provine acest trafic. Când datele sosesc înapoi pe segmentul local, redirecționarea portului este activată și datele sunt transmise. După ce transferul este complet, redirecționarea este dezactivată, iar apoi orice alt computer poate crea o nouă redirecționare către propria sa adresă IP.

Redirecționarea dinamică a portului este utilizată în principal pentru solicitări pe termen scurt și transferuri de date, deoarece dacă un computer folosește un anumit port forwarding, celălalt computer nu poate face același lucru în același timp. Dacă trebuie să reglați funcționarea aplicațiilor care au nevoie de un flux constant de date care ocupă un port pentru o perioadă lungă de timp, atunci redirecționarea dinamică este ineficientă. Cu toate acestea, în acest caz, există o soluție la problemă - constă în folosirea zonei demilitarizate.

Zona DMZ

Zona demilitarizată (DMZ) este o altă modalitate de a ocoli restricțiile NAT. Această caracteristică este oferită de toate routerele moderne. Când plasați un computer pe rețeaua LAN internă în DMZ, acesta devine transparent pentru protocolul NAT. Acest lucru înseamnă efectiv că computerul din rețeaua internă este poziționat practic în fața paravanului de protecție. Pentru un PC situat în zona DMZ, toate porturile sunt redirecționate către o singură adresă IP internă, ceea ce permite organizarea transferului de date din rețeaua externă către cea internă.

Dacă, de exemplu, un server cu o adresă IP de 192.168.1.10, situat în rețeaua locală internă, este situat în zona DMZ, iar rețeaua locală în sine este protejată de un dispozitiv NAT, atunci când o solicitare din rețeaua externă ajunge pe orice port la adresa portului WAN Dispozitivele NAT vor redirecționa această solicitare către adresa IP 192.168.1.10, adică către adresa serverului virtual din zona DMZ.

De obicei, routerele SOHO NAT permit localizarea unui singur computer în DMZ. Un exemplu de configurare a unui computer în zona DMZ este prezentat în Fig. 5.

Orez. 5. Un exemplu de configurare a unui computer în zona DMZ

Deoarece un computer situat în DMZ devine accesibil din rețeaua externă și nu este protejat în niciun fel de un firewall, acesta devine un punct vulnerabil în rețea. Este necesar doar să se recurgă la plasarea computerelor în DMZ ca ultimă soluție, atunci când nicio altă metodă de eludare a limitărilor protocolului NAT nu este potrivită dintr-un motiv sau altul.

Tehnologia NAT Traversal

Metodele pe care le-am enumerat pentru a ocoli limitările protocolului NAT pot fi dificile pentru utilizatorii începători. Pentru a facilita administrarea, a fost propusă o tehnologie automatizată pentru configurarea dispozitivelor NAT. Tehnologia NAT Traversal permite aplicațiilor de rețea să detecteze că sunt protejate de un dispozitiv NAT, să învețe adresa IP externă și să efectueze redirecționarea portului către mod automat... Astfel, avantajul tehnologiei NAT Traversal este că utilizatorul nu trebuie să configureze manual maparea portului.

Tehnologia NAT Traversal se bazează pe protocoalele UPnP (Universal Plug and Play), prin urmare, este adesea necesară verificarea opțiunii UPnP & NAT din routere pentru a activa această tehnologie.




De ce aveți nevoie de un firewall într-un router

Rețeaua wireless are nevoie de o protecție atentă, deoarece aici sunt create cele mai favorabile oportunități de interceptare a informațiilor. Prin urmare, dacă mai multe computere sunt conectate la rețea folosind un router (router), firewall-ul ar trebui să fie instalat și utilizat nu numai pe fiecare computer, ci și pe router. De exemplu, funcția unui firewall într-un router din seria DI-XXX este îndeplinită de SPI, care efectuează o inspecție suplimentară a pachetelor. Subiectul verificării este dacă pachetele aparțin conexiunii stabilite.

În timpul sesiunii de conectare se deschide un port, care poate fi încercat să atace de către pachete străine, moment deosebit de favorabil pentru aceasta - când sesiunea este finalizată, iar portul rămâne deschis încă câteva minute. Prin urmare, SPI își amintește Starea curenta sesiune și analizează toate pachetele primite. Ar trebui să corespundă așteptărilor - să provină de la adresa la care a fost trimisă cererea, să aibă anumite numere. Dacă pachetul nu se potrivește cu sesiunea, adică este incorect, este blocat, iar acest eveniment este înregistrat în jurnal. Un alt firewall de pe router vă permite să blocați conexiunile de ieșire de la un computer infectat.

1.590 RUB

TP-Link TP-LINK TD-W8961N (RU)

... Cu suport ADSL2+. Cu suport Telnet. Numărul de porturi de comutare este 4. Cu rutare statică. Cu router încorporat. CU Funcția SPI . Execuție - externă. Cu suport NAT. Cu suport DNS dinamic. Tip modem - ADSL. Cu suport SNMP. Cu un server DHCP. Cu comutator încorporat. Interfață - Ethernet. Cu o interfață web. Cu o zonă demilitarizată (DMZ). Dimensiuni 130x195x35 mm.

Cumpără v magazin online TopComputer.RU

ridicare posibilă

recenzie videoFotografie

1.390 RUB

7% 1 490 RUR

Modem TP-LINK TD-W8901N xDSL

Suport VPN (VPN trece prin intermediul). Router încorporat. Comutator încorporat. Suport DNS dinamic. Interfață web. Suport Telnet. Cu numărul de porturi de comutare 4. SPI. Firewall. Server DHCP. NAT. Execuție - externă. Zona Demilitarizată (DMZ). Interfață - Ethernet. Tip modem - ADSL. Suport SNMP. Suport ADSL2 +. Adâncime: 128 mm. Cu o latime: 35 mm. Cu o inaltime: 182 mm.

Cumpără v magazin online XcomShop

ridicare posibilă

recenzie videoFotografie

790 RUB

Modem UPVEL UR-104AN ADSL2 + router cu 4 porturi Ethernet 10/100 Mbps cu suport IP-TV

Cu rutare statică. Cu o zonă demilitarizată (DMZ). Cu suport NAT. Cu un server DHCP. Suportă tuneluri VPN (VPN Endpoint). Cu suport ADSL2+. Cu funcție SPI. Cu un firewall. Număr de porturi switch - 4. Interfață - Ethernet. Execuție - externă. Numărul de tuneluri VPN acceptate este de 100. Cu un router încorporat. Cu suport SNMP. Cu suport DNS dinamic. Cu o interfață web. Cu comutator încorporat. Tip modem - ADSL. Greutate: 180 g. Dimensiuni 110x160x35 mm.

Cumpără v magazin online Oldi.ru

recenzie videoFotografie

2.261 RUB

Modem D-link DSL-2640U

Suport SNMP. Suport ADSL2 +. SPI... Execuție - externă. Firewall... Zona Demilitarizată (DMZ). Tip modem - ADSL. Suport pentru tuneluri VPN (VPN Endpoint). Suport VPN (VPN trece prin intermediul). Interfață - Ethernet. Server DHCP. NAT. Interfață web. Rutare statica. Comutator încorporat. Suport DNS dinamic. Router încorporat. Cu numărul de porturi de comutare 4. Cu o greutate: 327 g.

v magazin online price-com.ru

recenzie videoFotografie

1.890 RUB

TP-Link TP-LINK TD-W8968

Tip modem - ADSL. Cu o interfață web. Cu un server DHCP. Cu suport DNS dinamic. Cu suport Telnet. Cu o zonă demilitarizată (DMZ). Cu router încorporat. Cu funcție SPI. Cu un firewall. Cu suport NAT. Cu rutare statică. Interfață - Ethernet. Execuție - externă. Cu suport SNMP. Numărul de porturi switch este 4. Cu suport ADSL2 +. Cu suport VPN (trecere VPN). Cu comutator încorporat. Adâncime: 130 mm. Latime: 195 mm. Cu o inaltime: 36 mm.

v magazin online TopComputer.RU

ridicare posibilă

recenzie videoFotografie

1.590 RUB

Modem XDSL TP-LINK TD-W8961N

Zona Demilitarizată (DMZ). Comutator încorporat. SPI... NAT. Execuție - externă. Suport ADSL2 +. Suport Telnet. Interfață - Ethernet. Firewall. Suport SNMP. Suport DNS dinamic. Server DHCP. Interfață web. Cu numărul de porturi de comutare 4. Tip modem - ADSL. Rutare statica. Router încorporat. Adâncime: 130 mm. Latime: 195 mm. Inaltime: 35 mm.

v magazin online XcomShop

ridicare posibilă

recenzie videoFotografie

2.075 RUB

Modem ADSL Upvel UR-203AWP

Execuție - externă. Cu suport ADSL2+. Cu suport SNMP. Interfață - Ethernet. Tip modem - ADSL. Cu o interfață web. Cu rutare statică. Cu funcție SPI. Cu un firewall. Cu suport Telnet. Cu router încorporat. Numărul de porturi de comutare este 3. Cu o zonă demilitarizată (DMZ). Cu suport NAT. Cu un server DHCP. Cu suport VPN (trecere VPN). Cu comutator încorporat. Cu suport DNS dinamic. Cu o latime: 175 mm. Adâncime: 115 mm. Cu o inaltime: 30 mm. Cu o greutate: 280 g.

v magazin online TopComputer.RU

ridicare posibilă

Fotografie

1.790 RUB

Modem XDSL TP-LINK TD-W8960N

Zona Demilitarizată (DMZ). Server DHCP. Suport VPN (VPN trece prin intermediul). Suport DNS dinamic. Comutator încorporat. Suport SNMP. SPI. Firewall. NAT. Interfață - Ethernet. Port de consolă. Interfață web. Tip modem - ADSL. Cu 10 tuneluri VPN acceptate. Execuție - externă. Suport pentru tuneluri VPN (VPN Endpoint). Suport ADSL2 +. Rutare statica. Router încorporat. Cu numărul de porturi de comutare 4. Cu o adâncime: 140 mm. Cu inaltime: 28 mm. Cu o latime: 200 mm.

D-Link este dezvoltator renumitși un furnizor de soluții hardware pentru construcții retele de calculatoare de orice scară. Linia de produse include și dispozitive pentru protejarea rețelei de amenințări externe: firewall-uri și sisteme de detectare a intruziunilor. Am apelat la un reprezentant D-Link cu o solicitare de a ne spune ce tehnologii sunt utilizate în soluțiile hardware pentru a asigura securitatea IT, cum diferă soluțiile hardware de omologii lor software și în ce cazuri, ce clasă de produse este cea mai optimă. O anumită parte a interviului este, de asemenea, dedicată specificului pieței ruse de soluții de securitate IT, precum și tendințelor și perspectivelor acesteia. Ivan Martynyuk, consultant de proiect la D-Link, răspunde la întrebările noastre.


Ivan Martynyuk, Consultant de proiect, D-Link



Alexey Dolya: Ne poți spune puțin despre compania ta?

Ivan Martynyuk: După standardele industriei IT, D-Link este destul de bun veche companie... A fost organizat în martie 1986. 87 de birouri regionale ale companiei vând și susțin echipamente în peste 100 de țări din întreaga lume. Compania are peste trei mii de angajați. Dacă vorbim despre domeniul de aplicare al companiei, atunci D-Link este cel mai mare producator echipamente de rețea pentru segmentele de afaceri mici și mijlocii, astfel încât, conform unei serii de studii din sectorul de consum al pieței echipamentelor de rețea, realizate de compania de analiză Synergy Research Group, D-Link se află pe primul loc în lume în ceea ce privește echipamentele vânzări în acest sector. Potrivit Synergy Research Group, în primul trimestru al anului 2004, D-Link a vândut peste 8 milioane dispozitive de rețea, care este aproape dublu față de numărul de dispozitive vândute de cel mai apropiat concurent al său. Și conform IDC, D-Link este comutatorul numărul 1 în vânzare și echipamente fără firîn ţările din regiunea Asia-Pacific.


Alexey Dolya: De cât timp dezvoltați produse pentru securitatea rețelei? Care sunt aceste produse?

Ivan Martynyuk: Primele produse specializate pentru protectia retelei au aparut la compania noastra nu cu mult timp in urma - in 2002. Apariția relativ târzie a companiei pe acest segment este cauzată de politica de lucru pe piață. D-Link produce numai produse „consacrate” în masă, care au o cerere mare pe piață. Firma nu se dezvoltă cea mai recentă tehnologieși protocoale și utilizează specificații standardizate deja bine stabilite în produsele sale. O altă diferență între compania noastră și ceilalți este că noi înșine nu doar dezvoltăm dispozitive până la dezvoltarea unor microcircuite și scriem pentru ele. softwareși, de asemenea, le producem singuri în fabricile noastre. Compania are mai multe centre de dezvoltare și fabrici situate în diferite țări ale lumii. Produsele de securitate de rețea sunt proiectate și fabricate în Taiwan. Astăzi, această linie de produse este destul de largă și include: routere și switch-uri cu funcții de securitate a rețelei, firewall-uri și sisteme de detectare a intruziunilor, precum și dispozitive specializate, de exemplu, gateway-uri fără fir, care au unele caracteristici funcționale special concepute pentru utilizare în rețelele fără fir. , acestea sunt mijloace de securitate specifice rețelelor wireless, mijloace de autentificare și facturare a utilizatorilor etc.


Alexey Dolya: Ne puteți spune în detaliu despre funcționalitatea firewall-urilor și a instrumentelor dvs. de detectare a intruziunilor și împotriva ce atacuri protejează acestea?

Ivan Martynyuk: Astăzi există trei generații de firewall-uri. Prima generație este firewall-uri de filtrare a pachetelor. Aceste dispozitive pot analiza pachete la nivelurile de rețea și de transport, adică să analizeze adrese IP, precum și porturile TCP și UDP sursă și destinație și, pe baza acestor informații, pot lua o decizie cu privire la ce să facă în continuare cu acest pachet: permiteți-i. a trece prin, a nega, a schimba prioritatea etc. A doua generație de dispozitive sunt firewall-uri proxy. Aceste dispozitive pot analiza informațiile la toate cele șapte niveluri, până la nivelul aplicației și, prin urmare, oferă un nivel foarte ridicat de protecție. Mai mult, astfel de dispozitive nu transmit direct pachete către lumea exterioară, ci acționează ca un agent intermediar între aplicatii interneși servicii externe, care în cazul unei încercări de hacking duce la piratarea firewall-ului, nu a gazdei interne. În consecință, astfel de dispozitive pentru furnizarea performanta ridicata necesită platforme hardware de mare viteză și au cel mai mare cost. A treia generație este firewall-urile Stateful Packet Inspections (SPI). Aceste dispozitive funcționează similar cu ecranele de filtrare a pachetelor, dar analizează mai multe câmpuri din pachete, cum ar fi steagurile și numerele secvențiale ale pachetelor și, de asemenea, păstrează informații despre pachetele transmise anterior și, prin urmare, oferă un nivel mai ridicat de protecție. Astfel de dispozitive pot interzice trecerea pachetelor de la o interfață la alta, dacă nu fac parte dintr-o sesiune stabilită anterior în direcția opusă, sau pot încheia sesiunea în cazul în care sunt observate încălcări în ea. Aceste dispozitive necesită aproape aceleași resurse de calcul ca firewall-urile de filtrare a pachetelor și nu diferă mult de acestea ca preț, dar oferă un nivel de protecție mult mai ridicat.
Sistemele de detectare a intruziunilor (IDS) sunt dispozitive și mai inteligente care nu numai că funcționează la toate cele șapte straturi, dar conțin și instrumente care vă permit să analizați conținutul pachetelor mai detaliat și să detectați deghizarea. troieniși viruși sau alte activități dăunătoare. În acest scop, astfel de sisteme conțin baze de date pre-preparate de semnături ale atacurilor și virușilor, precum și sisteme de analiză euristică care permit în unele cazuri blocarea acelor atacuri ale căror semnături nu sunt conținute în baza de date.
Dacă vorbim despre dispozitivele noastre, atunci, în funcție de model, acestea au una sau alta funcționalitate.


Alexey Dolya: Ce tehnologii și algoritmi specifici sunt utilizați pentru a proteja rețelele, adică cum funcționează exact firewall-urile dvs.?

Ivan Martynyuk: Toate firewall-urile noastre: DFL-100, DFL-200, DFL-600, DFL-700, DFL-900, DFL-1100, DFL-1500 sunt ecrane de inspecție a pachetelor și de stare (SPI), suportă funcția de traducere a adresei (Traducerea adresei de rețea - NAT), care vă permite să vă ascundeți structura interna rețelele, protejează împotriva atacurilor de denial of service (DoS este un grup separat de atacuri care vizează scoaterea unei gazde sau a unui serviciu dintr-o stare de funcționare), vă permit să restricționați accesul utilizatorilor locali la anumite resurse web externe și instrumente de asistență pentru crearea unei rețele private virtuale rețele ( Privat virtual Rețea - VPN) folosind protocoale: IPSec, PPTP și L2TP. În plus, toate funcțiile de securitate de mai sus sunt acceptate nu numai în dispozitive specializate - firewall-uri, ci și în cele mai ieftine - gateway-uri de internet din seria DI-8xx (DI-804HV, DI-808HV, DI-824VUP +). Cel mai tânăr dispozitiv (DI-804HV) se vinde cu amănuntul la doar 99 USD, ceea ce îl face accesibil pentru aproape orice companie și chiar pentru utilizatorii casnici.
Modelele mai vechi de dispozitive acceptă altele, mai multe mecanisme complexe asigurarea securitatii. De exemplu, dispozitivele: DFL-200, DFL-600, DFL-700, DFL-900, DFL-1100 și DFL-1500 permit autentificarea utilizatorului cu încorporat sau prin mijloace externe... DFL-600, DFL-700, DFL-900, DFL-1100 și DFL-1500 asigură controlul lățimii de bandă. DFL-200, DFL-700, DFL-900, DFL-1100 și DFL-1500 au încorporat un modul Sistem de detectare a intruziunilor (IDS) cu o bază de date de semnături actualizată. DFL-900 și DFL-1500 au module proxy încorporate pentru protocoale: HTTP, FTP, SMTP și POP3, de ex. sunt firewall-uri proxy, iar atunci când lucrați la aceste protocoale oferă nu numai un nivel mai ridicat de securitate, dar vă permit și să controlați conținutul. De exemplu, vă permit să restricționați accesul utilizatorilor la anumite resurse web și, spre deosebire de alte modele în care administratorul a trebuit să introducă aceste resurse manual, DFL-900 și DFL-1500 au încorporată o bază de date clasificată care este actualizată automat, și singurul lucru de care are nevoie administratorul pentru a selecta categoriile de site-uri web permise sau refuzate pentru acces. De asemenea, accesul poate fi limitat în funcție de conținutul paginii web sau de o anumită resursă pe care administratorul a introdus-o manual. Executarea applet-urilor și scripturilor Java sau ActiveX, încărcarea cookie-urilor poate fi blocată. Descărcarea poate fi blocată pe protocoalele FTP, SMTP și POP3 anumite tipuri fișiere. Dispozitive: DFL-1100 și DFL-1500 acceptă modul de înaltă disponibilitate, adică vă permit să instalați două dispozitive în paralel și să treceți automat la backup dacă cel principal eșuează.
În plus, toate dispozitivele diferă unele de altele în ceea ce privește performanța, numărul de interfețe, prezența unor funcționalități suplimentare și, desigur, costul.


Alexey Dolya: Cum funcționează sistemele dumneavoastră de detectare a intruziunilor?

Ivan Martynyuk: Sistemele noastre de detectare a intruziunilor (DFL-2100 și DFL-2400) sunt clasice transparente sisteme de rețea detectarea intruziunilor (Transparent Network based Intrusion Detection System - TNIDS). Adică, acestea sunt dispozitive hardware dedicate care sunt instalate în golul de rețea și analizează tot traficul care trece prin ele. Analiza se poate baza pe o bază de date de semnături care este actualizată periodic, sau pe baza analizei euristice pentru a detecta noi atacuri care nu sunt în lista de semnături. Dacă este detectat un atac, sistemul scrie informații într-un fișier jurnal, poate notifica administratorul de sistem, poate bloca trecerea pachetelor sau poate încheia sesiunea. Sistemele sunt furnizate cu software special - Policy Server, care permite gestionarea flexibilă a sistemelor de detectare a intruziunilor, primirea mesajelor despre atacuri, actualizarea bazelor de date de semnături, crearea propriilor semnături pentru administratorul de sistem, construirea diferitelor rapoarte și monitorizarea traficului în timp real. DFL-2100 și DFL-2400 diferă doar prin performanță.


Alexey Dolya: Ați putea compara conceptele de utilizare a hardware-ului și software-ului pentru protejarea rețelelor (firewall-uri și sisteme de detectare a intruziunilor)? Care sunt avantajele și dezavantajele acestor două categorii de produse una față de cealaltă?

Ivan Martynyuk: La dezvoltare soluții software există mai puține diverse restricții tehnologice și, de regulă, mai puțini dezvoltatori sunt implicați în acest proces, respectiv, costul unitar al unor astfel de soluții este adesea mai mic. Același lucru este valabil și pentru firewall-uri. Costul firewall-urilor software este mai mic în comparație cu soluțiile hardware cu funcționalități similare. În același timp, soluțiile software sunt mai flexibile. Va fi mai ușor să le adăugați funcționalități suplimentare în viitor sau să corectați greșelile anterioare. Din câte am spus, se dovedește că soluțiile hardware, așa cum ar fi, nu sunt necesare - soluțiile software sunt mai funcționale și mai ieftine. Dar nu este atât de simplu. În primul rând, pentru utilizatorul final, o soluție software poate fi mai scumpă decât o soluție hardware, deoarece o soluție completă include nu numai costul software-ului firewall, ci și costul sistemului de operare pe care rulează firewall-ul, precum și costul platformei hardware, a cărei performanță ar trebui să fie mult mai mare decât în ​​cazul unei soluții hardware. Freeware, firewall-uri gratuite nu sunt aproape niciodată folosite de companii. Conform analizelor diverselor agenții, acest software este folosit de aproximativ 3-5% dintre companii. Procentul scăzut de utilizare se datorează în principal problemelor cu suportul, pentru care este foarte critic din această clasă echipament și, în unele cazuri, cu calitatea unui astfel de software. În al doilea rând, soluțiile software au o serie de alte dezavantaje, iar principalul este că pot fi piratate sau ocolite nu direct, ci prin vulnerabilitățile sistemului de operare pe deasupra căruia funcționează. Iar numărul de vulnerabilități conținute în sistemele de operare este mult mai mare decât în ​​software-ul de firewall specializat sau în comparațiile lor hardware. În plus, fiabilitatea soluțiilor software este mai scăzută, deoarece acestea funcționează pe platforme hardware universale care conțin un număr mare de componente (cu cât un sistem conține mai puține componente, cu atât este mai mare fiabilitatea acestuia). Mai mult, unele dintre aceste componente contin: elemente mecanice in miscare (hard disk-uri, ventilatoare), care au un MTBF mult mai mic decat cele electronice; elemente magnetice (hard disk), care au rezistență scăzută la deteriorare și sunt susceptibile la radiații electromagnetice; un număr mare de grupuri de contact, de ex. există o mare probabilitate de probleme asociate cu întreruperea contactului. Firewall-urile software necesită un nivel mai ridicat de calificare din partea personalului lor de service, deoarece este necesar să se configureze corect nu numai ecranul în sine, ci și sistemul de operare, ceea ce nu este atât de ușor pe cât cred mulți. Unele firewall-uri software nici măcar nu sunt vândute fără servicii de personalizare plătite. Firewall-urile software sunt mai costisitoare de întreținut, deoarece este necesar să se monitorizeze în mod constant nu numai vulnerabilitățile descoperite în software-ul specializat și să se instaleze patch-uri, ci și vulnerabilitățile din sistemele de operare, dintre care, după cum am spus, sunt multe altele. În plus, pot apărea unele probleme de compatibilitate între software, mai ales după instalarea unor corecții suplimentare. De asemenea, este necesar să se monitorizeze constant starea componentelor mecanice și magnetice pentru deteriorare. Camera în care se află firewall-ul software ar trebui să aibă reguli mai stricte pentru admiterea personalului, deoarece platforma hardware universală vă permite să vă conectați la acesta în diferite moduri. Acestea sunt porturi externe (USB, LPT, RS-232) și unități încorporate (CD, Floppy), iar prin deschiderea platformei, vă puteți conecta prin interfața IDE sau SCSI. În același timp, sistemul de operare vă permite să instalați diverse malware... Și, în sfârșit, platforma hardware universală are un consum mare de energie, care îi afectează negativ timpul de funcționare de la o sursă de alimentare neîntreruptibilă în cazul unei pene de curent. Dezbaterea despre ce soluții, în cele din urmă, software-ul sau hardware-ul sunt mai bune se desfășoară de mult timp, dar aș dori să remarc că orice mijloace tehnice sunt doar un instrument în mâinile celor care le exploatează. Și în majoritatea cazurilor, problemele de securitate apar din cauza neglijenței sau calificărilor scăzute a personalului responsabil de acest lucru, și nu a alegerii uneia sau alteia platforme.


Alexey Dolya: În ce cazuri considerați că este recomandabil să folosiți soluții hardware pentru protejarea rețelelor și în ce - soluții software? Câteva exemple de cazuri de utilizare a produsului sunt de dorit.

Ivan Martynyuk: Utilizarea firewall-urilor software este justificată dacă este necesară utilizarea unora foarte specifice funcţionalitate, care soluții hardware nu au, de exemplu, un modul intermediar este necesar pentru un protocol exotic, sau invers, trebuie să obțineți o soluție foarte ieftină, în timp ce compania sau utilizatorul are deja o platformă hardware și un sistem de operare. În orice caz, trebuie să țineți cont de toate dezavantajele și avantajele ambelor soluții și să alegeți un compromis.


Alexey Dolya: Am înțeles corect că utilizatorii casnici pur și simplu nu au nevoie de firewall-uri hardware?

Ivan Martynyuk: Nu as spune asta. Utilizarea anumitor mijloace de protecție nu depinde de cine este utilizatorul: acasă sau corporativ, fie că este vorba de o companie mare sau mică, ci de costul informațiilor care trebuie protejate, de exemplu. din pierderile suferite de utilizator în cazul încălcării uneia sau mai multor funcții de protecție - încălcarea confidențialității, integrității sau disponibilității informațiilor. De regulă, într-adevăr, cu cât compania este mai mare, cu atât deține mai multe informații, care sunt de natură confidențială și pierderile companiei în acest caz sunt mai mari. Dar și un utilizator obișnuit, de exemplu, șeful aceleiași companii pe a lui computer de acasă poate conține informații care pot fi foarte costisitoare de pierdut. În consecință, computerul său trebuie să fie protejat nu mai rău decât rețeaua corporativă... Alegerea mijloacelor de protecție și costul acestora, de regulă, sunt determinate de costul informațiilor protejate. Cu alte cuvinte, nu are sens să cheltuiți mai mult pe produse de securitate decât valorează informațiile în sine. Problema este diferită - în determinarea valorii informațiilor. Dacă este vorba de protecția informațiilor care aparțin statului, atunci intră în vigoare acte legislative care reglementează nivelul cerut protecţie.


Alexey Dolya: Judecând după experiența de a face afaceri în Rusia, puteți urmări ratele de creștere ale pieței hardware pentru securitatea rețelei în ultimii câțiva ani?

Ivan Martynyuk: Am spus deja că compania are trei ani de experiență pe acest segment de piață. Iar pentru noi, anul 2004 a fost indicativ în acest sens. Volumul vânzărilor de dispozitive în termeni monetari comparativ cu anul precedent a crescut cu peste 170%. Judecând după rapoartele agențiilor de analiză, anul trecut s-a observat o creștere semnificativă pe acest segment nu doar la noi, ci și la alte companii producătoare de astfel de echipamente. Piața sistemelor de securitate în forma în care există s-a format undeva în 1997, dar abia de anul trecut poate fi considerată masivă.


Alexey Dolya: Există o specificitate de a face afaceri pe segmentul rus al pieței hardware de securitate în comparație cu alte țări?

Ivan Martynyuk: Da, într-adevăr, piața rusă este puțin diferită de cea mondială. Acest lucru se datorează cel mai probabil stării economice a țării și mentalității. În primul rând, însăși structura pieței sistemelor de securitate este diferită. Dacă piața globală de hardware este mai mult decât dublă față de piață produse software, apoi în Rusia cotele lor sunt aproximativ aceleași. Acest lucru este cauzat de anumite probleme economice și, în consecință, de un nivel ridicat de distribuție a software-ului piratat. În Rusia, practic nu există nicio piață pentru externalizarea serviciilor de securitate, care este foarte populară în alte țări. Această afacere nu este dezvoltată, deoarece mulți manageri consideră că este nesigur să ofere soluția problemelor de protecție a informațiilor unor terți și este mai profitabil din punct de vedere economic să rezolve problemele cu ajutorul propriilor specialiști, ale căror calificări adesea nu mulțumesc. Cerințe minime... Faptul că rețelele rusești sunt mai bine protejate și că avem un nivel mai ridicat de personal este același mit cu faptul că software-ul gratuit este mai fiabil decât software-ul comercial. Prin urmare, modul de a face afaceri în Rusia este ușor diferit. Trebuie să acordăm o atenție deosebită nu lucrului cu integratori de sisteme și companii de outsourcing, ci cu utilizatorii finali, consumatori de produse.


Alexey Dolya: Puteți prezice pentru viitor cum se va dezvolta industria de securitate a informațiilor în următorii câțiva ani?

Ivan Martynyuk: Recent, din ce în ce mai multe daune și inconveniente aduse utilizatorilor sunt aduse de atacurile implementate la nivel de aplicație, precum și de viruși, spyware și spam. În consecință, dezvoltatorii vor acorda mai multă atenție sistemelor care operează la acest nivel - acestea sunt diverse firewall-uri proxy, sisteme de gestionare a conținutului și sisteme de detectare și prevenire a intruziunilor. Diverse sisteme distribuite vor deveni mai răspândite și se vor dezvolta în termeni funcționali, ceea ce va face posibilă luarea unei decizii cu privire la un atac și o metodă de respingere a acestuia pe baza informațiilor primite de la diverse surse, sisteme și sonde.


Alexey Dolya: Nu ați putut dezvălui ideea specialiștilor cunoscutei companii The Yankee Group că în următorii ani accentul pe construirea sisteme de protectie se va mișca fără probleme - de la contracararea atacurilor hackerilor „externi” la apărarea împotriva atacurilor „din interior”?

Ivan Martynyuk: Dacă te uiți la rapoartele diferitelor agenții analitice, vei observa un paradox. Pe de o parte, sunt mult mai multe companii care folosesc măsuri de securitate care asigură securitatea de-a lungul perimetrului rețelei decât cele care se protejează de atacurile din interior, iar pe de altă parte, pierderile companiilor din atacurile „interne” implementate sunt mult mai mari. mai mare decât din atacurile „externe”... Specialiștii în acest domeniu, desigur, speră ca într-o zi personalul companiilor responsabile cu asigurarea securității să-și vină în fire și să fie atent atât la amenințările interne, cât și la cele externe.


Alexey Dolya: Ce fel de suport tehnic oferiți cumpărătorilor produselor dumneavoastră? Pe baza informațiilor furnizate pe site-ul dvs. web, D-Link oferă servicii suplimentare, Întrebări frecvente, Baza de cunoștințe, HELPER și multe altele. Ar putea fi mai detaliat?

Ivan Martynyuk: Deși compania D-Link este specializată în producția de echipamente pentru segmentele întreprinderilor mici și mijlocii, dar în arsenalul nostru există destul de funcționale și produse complexe, care nu este ușor de stăpânit nici măcar pentru un specialist înalt calificat. Dacă intri pe site-ul nostru, vei vedea că compania are un număr foarte mare de birouri regionale care oferă suport local. Cu cât ești mai aproape de o persoană, cu atât o înțelegi mai bine și îi vei putea oferi cea mai bună soluție tehnică sau îi vei rezolva problema mai rapid. În acest caz, este mai ușor pentru o persoană să sune sau să conducă până la tine, sau tu însuți poți să conduci până la utilizator și să rezolvi problema pe loc. Compania deține, de asemenea, un site web în limba rusă unde puteți găsi informații detaliate despre produse, aflați de unde le puteți cumpăra, citiți știri. Una dintre cele mai mari secțiuni ale site-ului este secțiunea de asistență tehnică, care conține răspunsuri la întrebări frecvente (FAQ), baza de cunoștințe, care conține răspunsuri la multe probleme tehnice, un asistent (Helper), care este util la construirea unei rețele pentru utilizatorii începători, emulatori de interfață dispozitiv, un forum unde puteți discuta diverse aspecte tehnice ale utilizării echipamentelor, atât cu alți utilizatori, cât și cu angajații D-Link, și multe alte utile informații tehnice... Pe lângă site, este acceptat și un site FTP, de unde puteți descărca manuale de utilizare complete pentru dispozitive, multe dintre ele traduse în limba rusă, precum și firmware, drivere și alte software, precum și documentație pentru echipament.


Alexey Dolya: Pe lângă suportul tehnic, oferiți training? Seminarii, cursuri?

Ivan Martynyuk: Toate birourile noastre regionale găzduiesc în mod regulat seminarii tehnice gratuite care vă permit să comunicați interactiv cu utilizatorii și să transmiteți informații care nu pot fi furnizate prin intermediul mijloacelor mass media sau un site web. Creșterea nivelului tehnic al specialiștilor IT are ca urmare un efect pozitiv asupra nivelului de solutii tehnice, vândute de ei și volumul vânzărilor echipamentelor noastre. Seminariile constau din două părți: teoretică, care descrie principiile construirii rețelelor, protocoalele de rețea, tehnologiile și produsele noastre, și practică, care arată cum să personalizați aceste produse pentru sarcini specifice.


Alexey Dolya: Vrei să le spui ceva cititorilor noștri până la urmă?

Ivan Martynyuk: Aș dori să menționez că firewall-urile și sistemele de detectare a intruziunilor sunt necesare, dar nu suficiente mijloace de protejare a informațiilor. Această problemă trebuie abordată pe scară largă și ar trebui introdus așa-numitul „Sistem integrat de securitate a informațiilor”, care este un complex de măsuri organizatorice, juridice și tehnice. Rezolvarea problemei securitatea informatieiîncepe întotdeauna cu o analiză a informațiilor care circulă în întreprindere, clasificarea și determinarea valorii acesteia, apoi identifică multe potențiale amenințări, iar multe dintre ele pot fi de natură naturală, de exemplu, defecțiuni ale echipamentelor, dezastre naturale, erori de personal etc. ., și numai după aceea alegeți modelul și mijloacele de protecție necesare. În plus, chiar și un sistem de protecție proiectat și construit corespunzător nu vă va proteja întotdeauna eficient rețeaua, deoarece structura sa logică și fizică se schimbă constant, structura organizatorică a întreprinderii se schimbă constant și apar noi tipuri de amenințări. Sistemul de protecție trebuie analizat și adaptat în mod constant la circumstanțele schimbate. Securitatea este un proces.


Alexey Dolya: Vă mulțumim foarte mult că ați acceptat să răspundeți la întrebările noastre. Vom continua să monitorizăm succesul companiei dumneavoastră și al produselor sale!

Top articole similare

Mișcarea mouse-ului pe verticală și pe orizontală este diferită
Mișcarea mouse-ului pe verticală și pe orizontală este diferită
Cum să comprimați texturile în Fallout 4
Cum să comprimați texturile în Fallout 4
Rămâne doar să înțelegem nivelul cerut
Rămâne doar să înțelegem nivelul cerut
Categorii:
© 2021 bumotors.ru. Cum se configurează smartphone-uri și PC-uri. Portal informativ.