Časť 5. Otázka 8. (53) Firewally.

Firewall (ME) - ide o lokálny (jednozložkový) alebo funkčne distribuovaný softvérový (softvérový a hardvérový) nástroj (komplexný), ktorý implementuje kontrolu nad informáciami vstupujúcimi do AS a/alebo výstupmi z AS. ME zabezpečuje ochranu AU filtrovaním informácií, t.j. jej analýza na základe súboru kritérií a rozhodovanie o jej distribúcii do (z) AÚ na základe daných pravidiel, čím sa vymedzí prístup subjektov z jednej AÚ k objektom inej AÚ. Každé pravidlo zakazuje alebo povoľuje prenos určitých typov informácií medzi subjektmi a objektmi. V dôsledku toho majú subjekty z jedného AS prístup len k povoleným informačným objektom z iného AS. Interpretácia množiny pravidiel sa vykonáva sériou filtrov, ktoré umožňujú alebo zakazujú prenos dát (paketov) do ďalšej vrstvy filtra alebo protokolu.

(definícia z RD ME)

Firewally - komplexný softvér alebo hardvér, ktorý vám umožňuje kontrolovať množstvo a kvalitu sieťových paketov, ktoré ním prechádzajú, na správnej úrovni zabezpečenia. Firewall analyzuje sieťovú prevádzku na základe špecifického súboru pravidiel, podľa ktorých sú filtrované všetky údaje.

(zjednodušená definícia pre zapamätanie, Habr)

Hlavnou úlohou ME (firewall, firewall, firewall) teda jeochrana autonómnych uzlov alebo spoločných počítačových sietí pred neoprávneným prístupom tretích osôb, ktoré môžu použiť údaje pre svoje účely alebo spôsobiť vlastníkovi siete nenapraviteľnú ujmu. Firewally sa preto nazývajú aj filtre, ktoré nepovoľujú dátové pakety, ktoré nespĺňajú kritériá špecifikované v konfigurácii. Filtrovanie sieťovej prevádzky je možné vykonávať na akejkoľvek úrovni modelu OSI. Ako kritériá možno použiť informácie z rôznych úrovní: čísla portov, obsah dátových polí, adresa odosielateľa/príjemcu.

Štátne kontrolné orgány informačných technológií definujú firewall konkrétnejšie - ako jednu zo súčastí rozsiahleho systému informačnej bezpečnosti, ktorý obsahuje množstvo doplnkových charakteristík na zabezpečenie jeho efektívnej prevádzky. Firewall je pre vlastníka siete voliteľný. Napriek tomu, že je plne zodpovedný za bezpečnosť dôverných informácií, v súčasnosti nie je takýto systém ochrany v Ruskej federácii rozšírený na správnej úrovni. V ideálnom prípade by mal byť zabudovaný v každej internej sieti, aby bolo možné nepretržite monitorovať toky prichádzajúcich / odchádzajúcich informácií. Monitorovací systém informačnej bezpečnosti v súčasnosti do určitej miery nahrádza dodatočné prostriedky na ochranu siete, čo však nestačí na to, aby sme definovali osobný bezpečnostný systém ako súbor hardvéru na vysokej úrovni.

(Habr)

Pre zvedavých, dobre napísané o problémoch s certifikáciouhttp://habrahabr.ru/post/246193/

POŽARNE dvere(ME) plní funkcie vymedzovania informačných tokov na hranici chráneného automatizovaného systému. Toto povoľuje:

Zvýšiť bezpečnosť objektov vo vnútornom prostredí ignorovaním neoprávnených požiadaviek z vonkajšieho prostredia;

Riadiť toky informácií do vonkajšieho prostredia;

Zabezpečte registráciu procesov výmeny informácií.

Informačné toky sú riadené pomocoufiltrovanie informácií, t.j. analyzovať ho podľa súboru kritérií a rozhodnúť o tom distribúcia do AÚ alebo z AÚ.

V závislosti od princípov fungovania je ich niekoľkotriedy firewallov... Hlavným klasifikačným znakom je úroveň ISO / OSI model, na ktorom ME funguje.

1. Paketové filtre.

Najjednoduchšia trieda firewallov pracujúcich na sieťovej a transportnej vrstve modelu ISO / OSI. Filtrovanie paketov sa zvyčajne vykonáva podľa nasledujúcich kritérií:

zdrojová IP adresa;

IP adresa príjemcu;

Zdrojový port;

Port príjemcu;

Špecifické parametre hlavičiek sieťových paketov.

Filtrovanie sa realizuje porovnaním uvedených parametrov hlavičiek sieťových paketov s bázou pravidiel filtrovania.

Firewally na filtrovanie paketov môžu byť aj softvérové ​​balíky založené na operačných systémoch na všeobecné použitie (ako napríklad Windows NT a Unix) alebo hardvérových platformách brány firewall. Firewall má niekoľko rozhraní, jedno pre každú zo sietí, ku ktorým je firewall pripojený. Podobne ako pri firewalloch aplikačnej vrstvy je definované doručovanie prevádzky z jednej siete do druhej

súbor pravidiel politiky. Ak pravidlo výslovne nepovoľuje určitú komunikáciu, potom budú príslušné pakety firewallom odmietnuté alebo zahodené. Pravidlá politiky sú posilnené o

pomocou paketových filtrov. Filtre skúmajú pakety a určujú, či je prevádzka povolená podľa

pravidlá politiky a stav protokolu (kontrola stavu). Ak je aplikačný protokol funkčný

cez TCP je určenie stavu relatívne jednoduché, pretože samotný TCP stavy udržiava. To znamená,

že keď je protokol v určitom stave, je dovolené prenášať len určité pakety.

Vezmime si ako príklad postupnosť nastavenia pripojenia. Prvý očakávaný paket je paket SYN. Firewall deteguje tento paket a uvedie spojenie do stavu SYN. V tomto stave sa očakáva jeden z dvoch paketov – buď SYN ACK (rozpoznanie paketu a povolenie na pripojenie) alebo paket RST (resetovanie spojenia z dôvodu odmietnutia spojenia príjemcom). Ak sa na tomto spojení objavia ďalšie pakety, firewall ich zahodí alebo odmietne, pretože nie sú vhodné pre daný stav pripojenia, aj keď je spojenie povolené súborom pravidiel. Ak je protokol pripojenia UDP, firewall na filtrovanie paketov nemôže použiť vlastný stav protokolu a namiesto toho monitoruje stav prenosu UDP. Firewall zvyčajne prijíma externý paket UDP a čaká na prichádzajúci paket od príjemcu, ktorý sa zhoduje s pôvodným paketom podľa adresy a portu počas určeného času. Ak je paket prijatý v tomto časovom rámci, jeho prenos je povolený. V opačnom prípade brána firewall zistí, že prevádzka UDP nie je odpoveďou na požiadavku a zahodí ju. S firewallom na filtrovanie paketov sa spojenia neprerušujú na firewalle, ale sú smerované priamo do koncového systému. Keď dorazia pakety, firewall skontroluje, či paket a stav pripojenia povoľujú pravidlá politiky. Ak áno, paket cestuje po svojej vlastnej trase. V opačnom prípade bude balík odmietnutý alebo zrušený.

Firewally na filtrovanie paketov nepoužívajú prístupové moduly pre každý z nich

protokol, a preto ho možno použiť s akýmkoľvek protokolom cez IP. Niektoré protokoly vyžadujú, aby brána firewall rozpoznala akcie, ktoré vykonávajú. Napríklad FTP použije jedno pripojenie na počiatočné prihlásenie a príkazy a druhé na prenos súborov. Pripojenia používané na prenos súborov sa vytvárajú ako súčasť pripojenia FTP, a preto musí byť brána firewall schopná čítať prevádzku a určiť porty, ktoré má nové pripojenie použiť. Ak to váš firewall nepodporuje

funkcia, prenos súborov nie je možný. Firewally na filtrovanie paketov majú schopnosť podporovať väčšiu prevádzku, pretože ich nezaťažuje dodatočná konfigurácia a výpočty v moduloch prístupového softvéru. Firewally iba na filtrovanie paketov nepoužívajú prístupové moduly, a preto je prevádzka odosielaná z klienta priamo na server. Ak je server napadnutý prostredníctvom otvorenej služby povolenej pravidlami politiky brány firewall,

firewall nebude na útok žiadnym spôsobom reagovať. Firewally na filtrovanie paketov vám tiež umožňujú vidieť vnútornú štruktúru adresovania zvonku. Nie je potrebné skrývať interné adresy, pretože spojenie nie je prerušené bránou firewall.

2. Brány na úrovni relácie

Tieto brány firewall fungujú na relačnej vrstve modelu ISO / OSI. Na rozdiel od paketových filtrov môžu kontrolovať platnosť relácie analýzou parametrov protokolov vrstvy relácie. Preto sa filtre, ktoré nemožno identifikovať ani so sieťou, ani s transportom, ani s aplikačnou vrstvou, klasifikujú ako brány na úrovni relácie. Filtre na úrovni relácie majú niekoľko odrôd v závislosti od ich funkčných vlastností, ale táto klasifikácia je skôr ľubovoľná, pretože ich možnosti sa do značnej miery prekrývajú. Pamätajte, že brány firewall zahŕňajú všetky alebo väčšinu typov brán na úrovni relácie.

Ovládanie bitov SYN a ACK. Množstvo filtrov monitoruje bity SYN a ACK v paketoch TCP. Všetky sú navrhnuté tak, aby bojovali proti SYN-flooding útokom (pozri bočný panel „SYN-flooding attacks“), ale používajú rôzne prístupy. Najjednoduchší filter zakazuje prenos paketov TCP s bitom SYN, ale bez bitu ACK, z verejnej siete do počítačov vo vnútornej sieti, pokiaľ tieto neboli výslovne deklarované ako servery pre externú sieť (alebo aspoň pre špecifická skupina počítačov vo vonkajšej sieti). Žiaľ, takýto filter nepomôže pri SYN-flooding útokoch na počítače, ktoré sú servermi pre externú sieť, ale nachádzajú sa vo vnútornej sieti.

Na tieto účely sa používajú špecializované filtre s viacstupňovým príkazom na vytvorenie pripojenia. Napríklad filter SYNDender Gateway od Check Point Firewall-1 funguje nasledovne. Povedzme, že externý počítač Z sa pokúša nadviazať spojenie s interným serverom A cez ME firewall. Postup nadviazania spojenia je znázornený na obrázku 2. Keď ME prijme paket SYN z počítača Z (1. etapa), tento paket sa prepošle na server A (2. etapa). Ako odpoveď server A odošle paket SYN / ACK do počítača Z, ale ME ho zachytí (3. fáza). Ďalej ME odošle prijatý paket do počítača Z, navyše ME v mene počítača Z pošle ACK paket na server A (štádium 4). Kvôli rýchlej odozve na server A nebude pamäť servera vyhradená na nadviazanie nových spojení nikdy plná a útok SYN-flooding nebude fungovať.

Ďalší vývoj udalostí závisí od toho, či počítač Z skutočne inicioval vytvorenie spojenia so serverom A. Ak áno, počítač Z pošle ACK paket na server A, ktorý prejde cez ME (krok 5a). Server A bude ignorovať druhý ACK paket. Potom ME bude voľne posielať pakety medzi počítačmi A a Z. Ak ME nedostane ACK paket alebo uplynie časový limit na vytvorenie spojenia, pošle RST paket na adresu servera A, čím sa spojenie zruší (krok 5b). .

Filtre na sledovanie stavu komunikačného kanála.

Filtre na monitorovanie stavu komunikačného kanála často obsahujú sieťové filtre (sieťová vrstva) s pokročilými funkciami.

Dynamické filtrovanie v riadkových filtroch. Na rozdiel od štandardného statického filtrovania v sieťových filtroch vám dynamické (stavové) filtrovanie umožňuje priradiť iba jedno pravidlo pre každý komunikačný kanál namiesto niekoľkých pravidiel filtrovania. Samotný dynamický filter zároveň monitoruje postupnosť výmeny dátových paketov medzi klientom a serverom, vrátane IP adries, protokolu transportnej vrstvy, čísel zdrojových a cieľových portov a niekedy aj poradových čísel paketov. Je jasné, že takéto filtrovanie si vyžaduje dodatočnú RAM. Z hľadiska výkonu je dynamický filter o niečo horší ako statický filter.

Fragmentovaný paketový filter. Pri prenose cez siete s rôznymi MTU je možné IP pakety rozdeliť na samostatné fragmenty, pričom iba prvý fragment vždy obsahuje úplnú hlavičku transportnej vrstvy vrátane informácií o softvérových portoch. Bežné sieťové filtre nedokážu skontrolovať iné fragmenty ako prvý a nechať ich prejsť (ak sú splnené kritériá pre adresy IP a použitý protokol). To umožňuje útočníkom spustiť nebezpečné útoky typu denial-of-service zámerným generovaním veľkého počtu fragmentov a tým blokovaním prevádzky prijímajúceho počítača. Fragmentovaný paketový filter neumožňuje prejsť fragmentom, ak prvý z nich zlyhá pri registrácii.

3. Aplikačné brány

Firewally tejto triedy vám umožňujú filtrovať určité typy príkazov alebo množín údajov v protokoloch na úrovni aplikácie. Na to sa používajúproxy služby- špeciálne programy, ktoré riadia prevádzku cez firewall pre určité protokoly vysokej úrovne (http, ftp, telnet atď.).

Ak sa bez použitia proxy služieb vytvorí sieťové spojenie medzi interagujúcimi stranamiA a Bpriamo, potom sa v prípade použitia proxy služby objaví sprostredkovateľ -proxy server, ktorý nezávisle interaguje s druhým účastníkom výmeny informácií. Táto schéma vám umožňuje kontrolovať prípustnosť používania jednotlivých príkazov protokolov vysokej úrovne, ako aj filtrovať údaje prijaté serverom proxy zvonku; v tomto prípade môže proxy server na základe stanovených pravidiel rozhodnúť o možnosti alebo nemožnosti prenosu týchto údajov klientoviA.

Firewally na aplikačnej úrovni alebo proxy firewally sú softvérové ​​balíky založené na operačných systémoch na všeobecné použitie (napríklad Windows NT a Unix) alebo hardvérovej platforme brány firewall.

V aplikačnom firewalle musí mať každý povolený protokol vlastný prístupový modul. Najlepšie prístupové prvky sú tie, ktoré sú zostavené špeciálne pre riešený protokol. Napríklad prístupový objekt FTP je pre protokol FTP a môže určiť, či prenos, ktorý ním prechádza, vyhovuje tomuto protokolu a či je tento prenos povolený pravidlami bezpečnostnej politiky.

Firewall akceptuje spojenie, analyzuje obsah paketu a použitý protokol a určí, či je prevádzka v súlade s pravidlami bezpečnostnej politiky. Pri zhode firewall inicializuje nové spojenie medzi svojim externým rozhraním a serverovým systémom.

Prístupový modul vo firewalle prijíma prichádzajúce spojenie a spracováva príkazy pred odoslaním prevádzky príjemcovi, čím chráni systémy pred útokmi aplikácií.

Firewally aplikačnej vrstvy obsahujú prístupové moduly pre najbežnejšie používané protokoly ako HTTP, SMTP, FTP a telnet. Niektoré prístupové moduly môžu chýbať, čo znemožňuje použitie konkrétneho protokolu na komunikáciu cez firewall.

4. Firewally na expertnej úrovni.

Najsofistikovanejšie firewally, ktoré kombinujú prvky všetkých troch vyššie uvedených kategórií. Namiesto proxy služieb takéto obrazovky používajú algoritmy na rozpoznávanie a spracovanie údajov na aplikačnej úrovni. Väčšina v súčasnosti používaných firewallov patrí do kategórie expertov. Najznámejšie a najbežnejšie JA -CISCO PIX a CheckPoint FireWall-1... Výrobcovia firewallov aplikačnej vrstvy v dôsledku rýchleho rozvoja IT technológií dospeli k záveru, že je potrebné vyvinúť spôsob podpory protokolov, pre ktoré neexistujú špecifické prístupové moduly. Takto vznikla technológia prístupového modulu Generic Services Proxy (GSP), ktorá je navrhnutá tak, aby podporovala prístupové moduly aplikačnej vrstvy pre iné protokoly vyžadované správcom bezpečnosti a siete. GSP poskytuje brány firewall aplikačnej vrstvy ako obrazovky filtrovania paketov. Typ firewallov na filtrovanie paketov sa už dodáva s prístupovým modulom SMTP. V súčasnosti je prakticky nemožné nájsť firewall, ktorý funguje čisto na aplikačnej vrstve alebo filtrovaní paketov, pretože umožňuje bezpečnostným administrátorom prispôsobiť zariadenie tak, aby fungovalo v špecifickom prostredí.

(zdroj z minuloročných odpovedí)

Hlavný regulačný dokumentpre DOE je „Pokyn. Počítačové vybavenie. Firewally. Ochrana pred neoprávneným prístupom k informáciám. Indikátory zabezpečenia proti neoprávnenému prístupu k informáciám "(Schválené Štátnou technickou komisiou 25. júla 1997)

Podľa nej je ME lokálny (jednozložkový) alebo funkčne distribuovaný prostriedok (komplex), ktorý implementuje kontrolu nad informáciami vstupujúcimi do AS a/alebo výstupmi z AS a poskytuje ochranu AS filtrovaním informácií, t.j. analýzu súboru kritérií a rozhodovanie o jeho distribúcii do (z) AÚ.

Nainštalovaných päť tried ochrany ME.

Každá trieda sa vyznačuje určitým minimálnym súborom požiadaviek na ochranu informácií.

Najnižšia bezpečnostná trieda je piata, používa sa pre bezpečnú interakciu triedy 1D AS s vonkajším prostredím, štvrtá pre 1G, tretia pre 1B, druhá pre 1B, najvyššia je prvá, používa sa pre bezpečnú interakciu triedy 1A. reproduktorov s vonkajším prostredím.

Požiadavky na ME nevylučujú požiadavky na počítačové vybavenie (SVT) a AS v súlade s usmerneniami Štátnej technickej komisie Ruska „Výpočtové vybavenie. Ochrana pred neoprávneným prístupom k informáciám. Indikátory zabezpečenia proti neoprávnenému prístupu k informáciám „a“ Automatizované systémy. Ochrana pred neoprávneným prístupom k informáciám. Klasifikácia automatizovaných systémov a požiadavky na ochranu informácií “.

Keď je ME zahrnutá do AU určitej bezpečnostnej triedy, bezpečnostná trieda súhrnnej AU získanej z pôvodnej AU pridaním ME by sa nemala znížiť.

Pre AC triedu 3B, 2B sa musí použiť ME triedy 5 alebo vyššej.

Pre triedu AU 3A, 2A by sa v závislosti od dôležitosti spracovávaných informácií malo použiť ME nasledujúcich tried:

Pri spracovaní informácií klasifikovaných ako "tajné" - nie menej ako 3 triedy;

Pri spracovaní informácií klasifikovaných ako "prísne tajné" - nie menej ako 2 triedy;

Pri spracovaní informácií s pečiatkou "osobitnej dôležitosti" - nie menej ako 1 trieda.

Požiadavky na bránu firewall

Bezpečnostné ukazovatele	Bezpečnostné triedy
Kontrola prístupu (filtrovanie údajov a preklad adries)
Identifikácia a autentifikácia
registrácia
Administrácia: identifikácia a autentifikácia
Administrácia: registrácia
Správa: jednoduchosť použitia
bezúhonnosť
zotavenie
Testovanie
Príručka bezpečnostného administrátora
Testovacia dokumentácia
Projektová (projektová) dokumentácia

(zdroj RD ME)

14.9. Firewally

Záujem o firewally (firewall, firewall) zo strany ľudí pripojených na internet rastie a dokonca existujú aplikácie pre lokálnu sieť, ktoré poskytujú zvýšenú úroveň bezpečnosti. Dúfame, že v tejto časti načrtneme, čo sú firewally, ako ich používať a ako používať možnosti, ktoré poskytuje jadro FreeBSD na ich implementáciu.

14.9.1. Čo je firewall?

V súčasnosti sa na internete používajú dva výrazne odlišné typy brán firewall. Je správnejšie zavolať prvý typ smerovač na filtrovanie paketov ... Tento typ brány firewall beží na počítači pripojenom k ​​viacerým sieťam a na každý paket aplikuje súbor pravidiel, aby určil, či sa má paket poslať ďalej alebo ho zablokovať. Druhý typ, známy ako proxy server , implementované ako démoni, ktorí vykonávajú autentifikáciu a preposielanie paketov, prípadne na stroji s viacerými sieťovými pripojeniami, kde je preposielanie paketov v jadre zakázané.

Niekedy sa tieto dva typy firewallov používajú spolu, takže iba konkrétny počítač (známy ako ochranný hostiteľ (baštový hostiteľ) ) môže odosielať pakety cez filtrovací smerovač do internej siete. Proxy služby bežia na zabezpečenom hostiteľovi, ktorý je zvyčajne bezpečnejší ako konvenčné autentifikačné mechanizmy.

FreeBSD sa dodáva s balíkom filtrov jadra (známy ako IPFW), ktorý bude predmetom zvyšku tejto časti. Proxy môžu byť postavené na FreeBSD zo softvéru tretích strán, ale je ich príliš veľa na to, aby sme ich pokryli v tejto časti.

14.9.1.1. Smerovače na filtrovanie paketov

Smerovač je stroj, ktorý preposiela pakety medzi dvoma alebo viacerými sieťami. Smerovač na filtrovanie paketov je naprogramovaný tak, aby porovnával každý paket so zoznamom pravidiel predtým, ako sa rozhodne, či ho poslať alebo nie. Väčšina moderného smerovacieho softvéru má možnosti filtrovania a všetky pakety sú štandardne posielané ďalej. Ak chcete povoliť filtre, musíte definovať súbor pravidiel.

Na určenie, či by mal byť paket odovzdaný, firewall hľadá v množine pravidlo, ktoré sa zhoduje s obsahom hlavičiek paketov. Po nájdení zhody sa vykoná akcia priradená tomuto pravidlu. Akciou môže byť zrušenie paketu, preposlanie paketu alebo dokonca odoslanie správy ICMP na zdrojovú adresu. Počíta sa len prvý zápas, pretože pravidlá sa vyhľadajú v konkrétnom poradí. Preto sa zoznam pravidiel môže nazývať „reťazec pravidiel » .

Kritériá výberu pre pakety závisia od použitého softvéru, ale zvyčajne môžete definovať pravidlá na základe zdrojovej IP paketu, cieľovej IP, zdrojového portu paketu, čísla cieľového portu (pre protokoly, ktoré podporujú porty) alebo dokonca aj typ paketu (UDP, TCP, ICMP atď.).

14.9.1.2. Proxy servery

Proxy servery sú počítače, na ktorých sa nachádzajú bežné systémové démony ( telnetd, ftpd atď.) sú nahradené dedikovanými servermi. Tieto servery sú tzv proxy servery pretože zvyčajne fungujú iba na prichádzajúcich spojeniach. To vám umožní spustiť (napr. telnet proxy servera na firewalle a umožňujú prihlásenie pomocou telnet na firewall, odovzdanie autentifikačného mechanizmu a získanie prístupu do internej siete (podobne je možné použiť proxy servery na prístup k externej sieti).

Proxy sú zvyčajne bezpečnejšie ako iné servery a často majú širšiu sadu autentifikačných mechanizmov vrátane systémov jednorazových hesiel, takže aj keď niekto vie, aké heslo ste použili, nemôže ho použiť na získanie prístupu do systému, pretože platnosť hesla vyprší. ihneď po prvom použití. Keďže heslo nemá priamy prístup k počítaču, kde sa nachádza proxy, je oveľa ťažšie nainštalovať zadné vrátka do systému.

Proxy servery majú zvyčajne spôsob, ako ďalej obmedziť prístup tak, aby k serverom mali prístup iba určití hostitelia. Väčšina tiež umožňuje správcovi určiť, ku ktorým používateľom a počítačom môžu pristupovať. Dostupné možnosti opäť väčšinou závisia od softvéru, ktorý používate.

14.9.2. Čo umožňuje IPFW robiť?

Softvér IPFW, ktorý sa dodáva s FreeBSD, je systém na filtrovanie paketov a účtovanie založený na jadre s vlastným konfiguračným nástrojom. ipfw (8)... Spoločne vám umožňujú definovať a zobraziť pravidlá používané jadrom na smerovanie.

IPFW má dve súvisiace časti. Firewall vykonáva filtrovanie paketov. Časť sledovania paketov IP monitoruje používanie smerovača na základe pravidiel podobných tým, ktoré sa používajú v časti brány firewall. To umožňuje správcovi určiť napríklad objem prevádzky prijímanej smerovačom z konkrétneho počítača alebo objem presmerovanej návštevnosti WWW.

Vďaka spôsobu implementácie IPFW ho môžete použiť na počítačoch bez smerovača na filtrovanie prichádzajúcich a odchádzajúcich pripojení. Toto je špeciálny prípad všeobecnejšieho použitia IPFW a v tejto situácii sa používajú rovnaké príkazy a techniky.

14.9.3. Povolenie IPFW na FreeBSD

Keďže väčšina systému IPFW sa nachádza v jadre, budete musieť pridať jeden alebo viacero parametrov do konfiguračného súboru jadra v závislosti od požadovaných schopností a prebudovať jadro. Podrobný popis tohto postupu nájdete v kapitole o prestavbe jadra (kapitola 8).

Pozor: Predvolené pravidlo IPFW je odmietnutie adresy IP z ľubovoľnej do ľubovoľnej. Pokiaľ nepridáte ďalšie pravidlá v čase zavádzania na povolenie prístupu blokovať prístup na server s firewallom s povoleným jadrom po reštarte. Pri prvom pridávaní firewallu odporúčame zadať firewall_type = open v súbore /etc/rc.conf a potom, po jeho otestovaní, upraviť pravidlá v súbore /etc/rc.firewall. Ďalším opatrením môže byť počiatočná konfigurácia brány firewall z lokálnej konzoly namiesto prihlasovania ssh... Okrem toho je možné zostaviť jadro s parametrami IPFIREWALL a IPFIREWALL_DEFAULT_TO_ACCEPT. V tomto prípade sa predvolené pravidlo IPFW zmení tak, aby umožňovalo ip z ľubovoľnej na ľubovoľnú, čo zabráni prípadnému blokovaniu.

Existujú štyri parametre ladenia jadra súvisiace s IPFW:

možnosti IPFIREWALL

Zahŕňa kód filtrovania paketov v jadre.

Možnosti IPFIREWALL_VERBOSE

Umožňuje protokolovanie paketov cez syslogd (8)... Bez tohto parametra, aj keď v pravidlách filtrovania určíte protokolovanie paketov, nebude fungovať.

Možnosti IPFIREWALL_VERBOSE_LIMIT = 10

Obmedzuje počet paketov zaznamenaných každým pravidlom syslogd (8)... Tento parameter môžete použiť, ak chcete protokolovať firewall, ale nechcete povoliť útok DoS pretečením syslogu.

Keď jedno z pravidiel v reťazci dosiahne limit definovaný parametrom, protokolovanie pre toto pravidlo sa deaktivuje. Ak chcete povoliť protokolovanie, musíte pomocou pomôcky vynulovať príslušné počítadlo ipfw (8) :

# ipfw nula 4500

kde 4500 je číslo pravidla, pre ktoré chcete obnoviť protokolovanie.

Možnosti IPFIREWALL_DEFAULT_TO_ACCEPT

Zmení predvolené pravidlo z „odmietnuť“ na „povoliť“. Toto zabraňuje možnému zablokovaniu, ak je jadro zavedené s podporou IPFIREWALL, ale firewall ešte nie je nakonfigurovaný. Tento parameter je tiež užitočný, ak používate ipfw (8) ako liek na konkrétne problémy, keď sa vyskytnú. Tento parameter však používajte opatrne, pretože otvára bránu firewall a mení jej správanie.

komentár: Predchádzajúce verzie FreeBSD obsahovali parameter IPFIREWALL_ACCT. Tento parameter je zastaraný, pretože kód automaticky umožňuje účtovanie.

14.9.4. Konfigurácia IPFW

Softvér IPFW sa konfiguruje pomocou pomôcky ipfw (8)... Syntax tohto príkazu vyzerá veľmi zložito, ale keď pochopíte jeho štruktúru, bude pomerne jednoduchá.

Pomôcka momentálne používa štyri rôzne kategórie príkazov: pridanie/vymazanie, výpis, vyprázdnenie a vymazanie. Pridať / Odstrániť sa používa na vytvorenie pravidiel pre prijímanie, zahadzovanie a zaznamenávanie paketov. Prezeranie sa používa na určenie obsahu súboru pravidiel (nazývaných aj reťaz) a počítadiel paketov (účtovanie). Reset sa používa na vymazanie všetkých pravidiel v reťazci. Vymazanie sa používa na vynulovanie jedného alebo viacerých počítadiel.

14.9.4.1. Zmena pravidiel IPFW

ipfw [-N] príkaz [číslo] adresa protokolu akcie [parametre]

Pri použití tejto formy príkazu je k dispozícii jeden príznak:

Rozlíšenie adries a názvov služieb pri zobrazení.

Dané príkaz možno skrátiť na kratší jedinečný tvar. Existujúce príkazy :

Pridanie pravidla do filtrovacieho / účtovného zoznamu

Odstránenie pravidla z filtrovacieho / účtovného zoznamu

Predchádzajúce verzie IPFW používali samostatné položky na filtrovanie paketov a účtovanie. Moderné verzie berú do úvahy pakety pre každé pravidlo.

Ak je zadaná hodnota miestnosť, používa sa na umiestnenie pravidla na konkrétnu pozíciu v reťazci. V opačnom prípade sa pravidlo umiestni na koniec reťazca s číslom o 100 vyšším ako predchádzajúce pravidlo (toto nezahŕňa predvolené pravidlo s číslom 65535).

Ak bolo jadro zostavené s voľbou IPFIREWALL_VERBOSE, pomocou parametra protokolu budú príslušné pravidlá odosielať informácie do systémovej konzoly.

Existujúce akcie :

Zlikvidujte paket a odošlite paket s nedostupným hostiteľom alebo portom na zdrojovú adresu ICMP.

Preskočte balík ako zvyčajne. (synonymá: prejsť, povoliť a prijať)

Zložte balík. Žiadna ICMP správa nie je odoslaná zdroju (ako keby paket nikdy nedosiahol cieľ).

Aktualizujte počítadlo paketov, ale neaplikujte naň pravidlá povolenia / odmietnutia. Hľadanie bude pokračovať s ďalším pravidlom v reťazci.

Každý akcie možno zapísať ako kratšiu jednoznačnú predponu.

Je možné definovať nasledovné protokoly :

Zhoduje sa so všetkými IP paketmi

Zodpovedá paketom ICMP

Zodpovedá TCP paketom

Zodpovedá paketom UDP

Lúka adresy tvorené takto:

Zdroj adresa / maska [prístav] cieľ adresa / maska [prístav]

Môžete špecifikovať prístav len spolu s protokoly ktoré podporujú porty (UDP a TCP).

Parameter via je voliteľný a môže obsahovať IP adresu alebo názov domény lokálneho IP rozhrania, alebo názov rozhrania (napríklad ed0), konfiguruje pravidlo tak, aby zodpovedalo iba tým paketom, ktoré prechádzajú cez toto rozhranie. Čísla rozhrania je možné nahradiť voliteľnou maskou. Napríklad ppp * bude zodpovedať rozhraniam jadra PPP.

Syntax použitá na zadanie adresy / masky:

adresu alebo adresu/maskovacie bity alebo adresu:maska-šablóna

Namiesto adresy IP možno zadať existujúci názov hostiteľa. maskovacie bity je to desiatkové číslo označujúce počet bitov, ktoré sa majú nastaviť v maske adresy. Napríklad 192.216.222.1/24 vytvorí masku, ktorá sa zhoduje so všetkými adresami podsiete triedy C (v tomto prípade 192.216.222). Namiesto adresy IP možno zadať platný názov hostiteľa. maska-šablóna to je IP, ktorá sa logicky vynásobí danou adresou. Kľúčové slovo any môže znamenať „akákoľvek adresa IP“.

Čísla portov sú špecifikované v nasledujúcom formáte:

prístav [,prístav [,prístav [.]]]

Ak chcete určiť jeden port alebo zoznam portov, príp

prístav-prístav

Na určenie rozsahu portov. Môžete tiež kombinovať jeden rozsah so zoznamom portov, ale rozsah musí byť vždy na prvom mieste.

Dostupné možnosti :

Spustí sa, ak paket nie je prvým paketom v datagrame.

Zodpovedá prichádzajúcim paketom.

Zhoduje sa s odchádzajúcimi paketmi.

Ipoptions špec

Spustí sa, ak hlavička IP obsahuje čiarkami oddelený zoznam parametrov špecifikovaných v špec... Podporované parametre IP sú ssrr (prísna zdrojová trasa), lsrr (voľná zdrojová trasa), rr (záznamová trasa paketov) a ts (časová známka). Účinok jednotlivých parametrov je možné zmeniť zadaním predpony!.

Založené

Spustí sa, ak je paket súčasťou už vytvoreného TCP spojenia (teda ak sú nastavené bity RST alebo ACK). Výkon svojho firewallu môžete zlepšiť umiestnením pravidla s založená blízko začiatku reťazca.

Zodpovedá, ak je paket pokusom o nadviazanie TCP spojenia (bit SYN je nastavený a bit ACK nie je nastavený).

Tcpflags vlajky

Spustí sa, ak hlavička TCP obsahuje zoznam oddelený čiarkami vlajky... Podporované príznaky sú fin, syn, rst, psh, ack a urg. Účinok pravidiel pre jednotlivé príznaky je možné zmeniť zadaním prefixu !.

Icmptypes typy

Spustí sa, ak je typ paketu ICMP v zozname typy... Zoznam môže byť špecifikovaný ako ľubovoľná kombinácia rozsahov a/alebo jednotlivých typov oddelených čiarkami. Bežne používané typy ICMP sú 0 echo response (ping response), 3 destinácia nedostupná, 5 redirect, 8 echo request (ping request) a 11 time prekročená (používa sa na označenie vypršania TTL, ako napr. traceroute (8)).

14.9.4.2. Prezeranie pravidiel IPFW

Syntax tohto príkazového formulára je:

ipfw [-a] [-c] [-d] [-e] [-t] [-N] [-S] zoznam

Pre túto formu príkazu existuje sedem príznakov:

Zobraziť hodnoty počítadla. Tento parameter je jediný spôsob, ako zobraziť hodnoty počítadla.

Pozrite si pravidlá v kompaktnej forme.

Zobrazovať okrem statických pravidiel aj dynamické pravidlá.

Ak je zadaná voľba -d, zobrazia sa aj dynamické pravidlá, ktorých platnosť uplynula.

Zobrazte čas posledného zásahu pre každé pravidlo v reťazci. Tento zoznam nie je kompatibilný so syntaxou, ktorú akceptuje ipfw (8) .

Pokúste sa vyriešiť zadané adresy a názvy služieb.

Zobrazte množinu, do ktorej každé pravidlo patrí. Ak tento príznak nie je zadaný, zablokované pravidlá sa nezobrazia.

14.9.4.3. Obnovte pravidlá IPFW

Syntax pre resetovanie pravidiel je:

Všetky pravidlá v reťazci budú odstránené, okrem predvoleného pravidla nastaveného jadrom (číslo 65535). Buďte opatrní pri resetovaní pravidiel; predvolené pravidlo zahadzovania paketov odpojí systém od siete, kým sa do reťazca nepridajú povoľovacie pravidlá.

14.9.4.4. Vymazanie počítadiel paketov IPFW

Syntax na vymazanie jedného alebo viacerých počítadiel paketov je:

ipfw nula [ index]

Pri použití bez argumentu miestnosť všetky počítadlá paketov budú vymazané. Ak index zadaný, operácia čistenia sa vzťahuje len na zadané pravidlo reťazenia.

14.9.5. Príklady príkazov pre ipfw

Nasledujúci príkaz odmietne všetky pakety z hostiteľa evil.crackers.org do telnet portu hostiteľa nice.people.org:

# ipfw pridať deny tcp z evil.crackers.org na nice.people.org 23

Nasledujúci príklad popiera a zaznamenáva všetku komunikáciu TCP z crackers.org (trieda C) do nice.people.org (na akomkoľvek porte).

# ipfw pridať deny log tcp z evil.crackers.org/24 na nice.people.org

Ak chcete zakázať organizáciu X relácií vašej sieti (časť siete triedy C), nasledujúci príkaz vykoná potrebné filtrovanie:

# ipfw pridajte deny tcp z ľubovoľného do nastavenia my.org/28 6000

Ak chcete zobraziť účtovné záznamy:

# ipfw -a zoznam alebo skratka # ipfw -a l

Môžete tiež zobraziť čas, kedy boli pravidlá naposledy spustené, pomocou príkazu:

14.9.6. Budovanie firewallu na filtrovanie paketov

Pri prvom nastavovaní firewallu, pred testovaním výkonu a uvedením servera do prevádzky, sa dôrazne odporúča použiť protokolované verzie príkazov a povoliť prihlasovanie v jadre. To vám umožní rýchlo identifikovať problémové oblasti a bez námahy opraviť vaše nastavenie. Dokonca aj po dokončení počiatočnej konfigurácie sa odporúča použiť protokolovanie na „odmietnutie“, pretože to umožňuje sledovať potenciálne útoky a zmeniť pravidlá brány firewall, ak sa zmenia požiadavky na to.

komentár: Ak používate prihlásenú verziu prijatia, buďte opatrní, pretože môže vytvoriť veľký množstvo protokolových údajov. Každý paket prechádzajúci cez firewall bude zaznamenaný, takže veľké objemy FTP/http a inej prevádzky výrazne spomalia systém. Zvýši to aj latenciu takýchto paketov, pretože jadro musí pred odovzdaním paketu vykonať ďalšiu prácu. syslogd zaberie tiež oveľa viac času CPU, pretože odošle na disk akékoľvek ďalšie údaje a oddiel / var / log sa môže rýchlo zaplniť.

Budete musieť povoliť firewall v /etc/rc.conf.local alebo /etc/rc.conf. Príslušná manuálová stránka vysvetľuje, čo presne je potrebné urobiť, a obsahuje príklady hotových nastavení. Ak nepoužijete preddefinované nastavenie, príkaz ipfw list môže vložiť aktuálnu sadu pravidiel do súboru, odkiaľ sa dá umiestniť do súborov spúšťania systému. Ak na aktiváciu brány firewall nepoužívate /etc/rc.conf.local alebo /etc/rc.conf, je dôležité po konfigurácii rozhraní zabezpečiť, aby bola povolená.

Ďalej je potrebné určiť čo presne vytvorí váš firewall! Závisí to hlavne od toho, do akej miery chcete svoju sieť otvoriť vonku. Tu je niekoľko všeobecných pravidiel:

Blokujte vonkajší prístup k portom TCP pod 1024. Väčšina kritických bezpečnostných služieb, ako sú finger, SMTP (mail) a telnet, sa nachádza tu.

Blokovať celá prichádzajúci prenos UDP. Cez UDP je veľmi málo užitočných služieb, ale zvyčajne predstavujú bezpečnostné riziko (napr. protokoly RPC a NFS od Sunu). Táto metóda má aj nevýhody, pretože UDP nepodporuje pripojenia a odmietnutie prichádzajúcich paketov tiež zablokuje odpovede na odchádzajúce prenosy UDP. To môže byť problém pre tých, ktorí používajú externé UDP servery. Ak chcete otvoriť prístup k týmto službám, budete musieť povoliť prichádzajúce pakety z príslušných portov. Napríklad pre ntp možno budete musieť povoliť pakety prichádzajúce z portu 123.

Zablokujte všetku komunikáciu zvonku na port 6000. Port 6000 sa používa na prístup k serverom X11 a môže predstavovať bezpečnostné riziko (najmä ak používatelia majú vo zvyku spúšťať na svojich pracovných staniciach xhost +). X11 môže používať rozsah portov začínajúci na 6000, horná hranica je určená počtom X displejov, ktoré môžu bežať na stroji. Horná hranica definovaná v RFC 1700 (Assigned Numbers) je 6063.

Skontrolujte porty používané internými službami (napr. SQL servery atď.). Pravdepodobne je dobré zablokovať aj tieto porty, pretože zvyčajne nespadajú do vyššie uvedeného rozsahu 1-1024.

Ďalší kontrolný zoznam na kontrolu nastavení brány firewall je dostupný na CERT na http://www.cert.org/tech_tips/packet_filtering.html

Ako je uvedené vyššie, všetky tieto pravidlá sú spravodlivé zvládanie ... Sami sa môžete rozhodnúť, ktoré pravidlá filtrovania sa použijú vo firewalle. Nemôžeme prijať ŽIADNU zodpovednosť za ohrozenie vašej siete, a to ani v prípade, že ste postupovali podľa vyššie uvedených rád.

14.9.7. Optimalizácia réžie a IPFW

Mnoho používateľov chce vedieť, koľko IPFW zaťažuje systém. Odpoveď závisí najmä od súboru pravidiel a rýchlosti procesora. S malým súborom pravidiel pre väčšinu ethernetových aplikácií je odpoveď „zanedbateľná“. Pre tých, ktorí potrebujú presnejšiu odpoveď, je určená táto časť.

Následné merania sa uskutočnili od 2,2,5-STABLE do 486-66. (Aj keď sa IPFW v nasledujúcich vydaniach FreeBSD mierne zmenilo, rýchlosť zostala približne rovnaká.) IPFW bol upravený tak, aby meral čas ip_fw_chk, pričom výsledok sa vytlačí na konzolu po každom 1000. pakete.

Testovali sa dve sady 1000 pravidiel. Prvý bol napísaný, aby demonštroval zlý súbor pravidiel opakovaním pravidla:

# ipfw pridajte deny tcp z ľubovoľného do ľubovoľného 55555

Tento súbor pravidiel je zlý, pretože väčšina pravidiel IPFW sa nezhoduje s kontrolovanými paketmi (kvôli číslu portu). Po 999. opakovaní tohto pravidla nasleduje pravidlo povoliť ip z ľubovoľnej na ľubovoľnú.

Druhý súbor pravidiel bol navrhnutý na rýchle otestovanie každého pravidla:

# ipfw add deny ip od 1.2.3.4 do 1.2.3.4

Nezhodujúca sa zdrojová IP adresa v pravidle vyššie povedie k veľmi rýchlej kontrole týchto pravidiel. Ako predtým, pravidlo 1000 je povoliť IP z ľubovoľnej na ľubovoľnú.

Náklady na kontrolu paketu v prvom prípade sú približne 2,703 ms/paket alebo približne 2,7 mikrosekúnd na pravidlo. Teoretický limit pre rýchlosť skenovania je asi 370 paketov za sekundu. Za predpokladu 10 Mbps ethernetového pripojenia a veľkosti paketu približne 1 500 bajtov získame len 55,5 % využitie šírky pásma.

V druhom prípade bol každý paket skontrolovaný za približne 1,172 ms alebo približne 1,2 mikrosekúnd na pravidlo. Teoretický limit rýchlosti je okolo 853 paketov za sekundu, čo umožňuje plné využitie 10 Mbps ethernetovej šírky pásma.

Nadmerný počet kontrolovaných pravidiel a ich forma neumožňuje vytvoriť obraz blízky bežným podmienkam - tieto pravidlá slúžili len na získanie informácie o čase kontroly. Tu je niekoľko pokynov, ktoré je potrebné zvážiť, aby ste vytvorili efektívny súbor pravidiel:

Umiestnite zavedené pravidlo čo najskôr, aby ste zvládli väčšinu prenosu TCP. Neumiestňujte predň pravidlá allow tcp.

Umiestnite často používané pravidlá bližšie k začiatku sady ako zriedka používané pravidlá (samozrejme, bez zmeny akcie celej zostavy ). Najbežnejšie používané pravidlá môžete určiť skontrolovaním počítadiel paketov pomocou príkazu ipfw -a l.

\\ 06.04.2012 17:16

Firewall je súbor úloh, ktoré majú zabrániť neoprávnenému prístupu, poškodeniu alebo krádeži údajov alebo iným negatívnym vplyvom, ktoré môžu ovplyvniť výkon siete.

Firewall, nazývaný tiež POŽARNE dvere(z angl. Firewall) alebo firewall na bráne umožňuje zabezpečiť bezpečný prístup používateľa na internet a zároveň chrániť vzdialené pripojenie k interným zdrojom. POŽARNE dvere prezerá cez seba všetku prevádzku prechádzajúcu medzi segmentmi siete a pre každý paket implementuje rozhodnutie - prejsť alebo neprejsť. Flexibilný systém pravidiel brány firewall vám umožňuje zakázať alebo povoliť pripojenia podľa mnohých parametrov: adries, sietí, protokolov a portov.

Metódy riadenia prevádzky medzi lokálnymi a externými sieťami

Filtrovanie paketov. V závislosti od toho, či prichádzajúci paket spĺňa podmienky špecifikované vo filtroch, je odovzdaný do siete alebo zahodený.

Štátna inšpekcia. V tomto prípade sa vykonáva kontrola prichádzajúcej prevádzky - jeden z najpokročilejších spôsobov implementácie brány firewall. Inšpekcia neznamená analýzu celého balíka, ale iba jeho špeciálnej kľúčovej časti a porovnanie s predtým známymi hodnotami z databázy povolených zdrojov. Táto metóda poskytuje najvyšší výkon brány firewall a najnižšiu latenciu.

Proxy server V tomto prípade je medzi lokálnu a externú sieť nainštalované ďalšie proxy serverové zariadenie, ktoré slúži ako „brána“, cez ktorú musí prechádzať všetka prichádzajúca a odchádzajúca prevádzka.

POŽARNE dvere vám umožňuje konfigurovať filtre, ktoré sú zodpovedné za prechod návštevnosti cez:

IP adresa. Zadaním adresy alebo určitého rozsahu môžete zakázať prijímanie paketov od nich, alebo naopak povoliť prístup len z týchto IP adries.

- Port. Firewall dokáže nakonfigurovať prístupové body pre aplikácie k sieťovým službám. Napríklad ftp používa port 21 a aplikácie na prehliadanie webu používajú port 80.

Protokol. Firewall môže byť nakonfigurovaný tak, aby umožňoval priechod iba jednému protokolu, alebo aby prístup pomocou neho zakázal. Typ protokolu môže najčastejšie hovoriť o úlohách, ktoré vykonáva, aplikácii, ktorú používa, a súbore parametrov ochrany. V tomto ohľade môže byť prístup nakonfigurovaný iba na prevádzku akejkoľvek konkrétnej aplikácie a zabrániť potenciálne nebezpečnému prístupu pomocou všetkých ostatných protokolov.

Doménové meno. V tomto prípade filter zamietne alebo povolí pripojenia konkrétnych zdrojov. To vám umožní zakázať prístup nechceným službám a sieťovým aplikáciám, alebo naopak povoliť prístup len k nim.

Ďalšie parametre filtra špecifické pre túto konkrétnu sieť možno použiť na konfiguráciu v závislosti od úloh, ktoré sa v nej vykonávajú.

Firewall sa najčastejšie používa v spojení s inými prostriedkami ochrany, napríklad antivírusovým softvérom.

Ako funguje firewall

POŽARNE dvere môže byť urobené:

Hardvér. V tomto prípade router, ktorý sa nachádza medzi počítačom a internetom, funguje ako hardvérový firewall. K firewallu je možné pripojiť viacero PC a všetky budú chránené firewallom, ktorý je súčasťou routera.

Programovo. Najbežnejší typ brány firewall, čo je špecializovaný softvér, ktorý si používateľ nainštaluje do svojho PC.

Aj keď je pripojený router so vstavaným firewallom, dodatočný softvérový firewall je možné nainštalovať na každý počítač samostatne. V tomto prípade bude pre útočníka ťažšie preniknúť do systému.

Oficiálne dokumenty

V roku 1997 bol prijatý Smerný dokument Štátnej technickej komisie pod vedením prezidenta Ruskej federácie "Počítačové zariadenia. Firewally. Ochrana od NSD k informáciám. Ukazovatele bezpečnosti od NSD k informáciám". Tento dokument stanovuje päť tried zabezpečenia brány firewall, z ktorých každá je charakterizovaná určitým minimálnym súborom požiadaviek na bezpečnosť informácií.

V roku 1998 bol vypracovaný ďalší dokument: „Časové požiadavky na zariadenia ako firewall.“ Podľa tohto dokumentu je ustanovených 5 tried zabezpečenia firewallu, ktoré sa používajú na ochranu informácií v automatizovaných systémoch obsahujúcich kryptografické prostriedky.

A od roku 2011 vstúpili do platnosti požiadavky legislatívy na certifikáciu firewallov. Ak sa teda práca s osobnými údajmi vykonáva v podnikovej sieti, je potrebné nainštalovať bránu firewall certifikovanú Federálnou službou kontroly vývozu (FSTEC).

V poslednej dobe sa objavuje tendencia obmedzovať súkromie na internete. Dôvodom sú obmedzenia, ktoré používateľovi ukladá štátna regulácia internetu. Štátna regulácia internetu existuje v mnohých krajinách (Čína, Rusko, Bielorusko).

„Podvod s registráciou doménového mena v Ázii“ v Runet! Zaregistrovali ste si alebo kúpili doménu a vytvorili ste na nej webovú stránku. Roky plynú, stránka sa vyvíja a stáva sa populárnou. Už príjem z nej „kvapkal“. Dostanete svoj príjem, zaplatíte doménu, hosting a ďalšie výdavky ...

Požiadavky na vedomosti a zručnosti

Študent by mal vedieť:

• mechanizmus brány firewall.

Študent by mal byť schopný:

• zvoliť firewally na ochranu informačných systémov.

Kľúčový pojem

Kľúčový pojem: Firewall tienený.

POŽARNE dvere alebo firewall (firewall) - softvérový alebo softvérový a hardvérový systém, ktorý monitoruje informačné toky vstupujúce a/alebo vystupujúce z informačného systému a zabezpečuje ochranu informačného systému filtrovaním informácií.

Vedľajšie pojmy

• Klasifikácia firewallov.

• Charakteristika firewallov.

Bloková schéma pojmov

4.5.1 Klasifikácia firewallov

Jedným z účinných mechanizmov zabezpečenia informačnej bezpečnosti distribuovaných výpočtových sietí je tienenie, ktoré plní funkcie vymedzovania informačných tokov na hranici chránenej siete.

Firewalling zvyšuje bezpečnosť objektov vo vnútornej sieti ignorovaním neoprávnených požiadaviek z externého prostredia, čím zabezpečuje všetky komponenty informačnej bezpečnosti. Okrem funkcií kontroly prístupu zabezpečuje skríning registráciu výmeny informácií.

POŽARNE dvere alebo firewall, ktorým sa rozumie softvérový alebo hardvérovo-softvérový systém, ktorý riadi informačné toky vstupujúce a/alebo vystupujúce z informačného systému a zabezpečuje ochranu informačného systému filtrovaním informácií. Filtrovanie informácií spočíva v analýze informácií na základe súboru kritérií a rozhodovaní o ich prijatí a/alebo prenose.

Firewally sú klasifikované podľa nasledujúcich kritérií:

• na mieste v sieti - na externé a interné, poskytujúce ochranu pred externou sieťou alebo ochranu medzi segmentmi siete;

• úroveň filtrovania v súlade s referenčným modelom OSI / ISO.

Externé brány firewall zvyčajne fungujú iba s globálnym internetovým protokolom TCP / IP. Interné brány firewall môžu podporovať viacero protokolov, napríklad pri použití sieťového operačného systému Novell Netware je potrebné vziať do úvahy protokol SPX / IPX.

4.5.2 Charakteristiky firewallov

Fungovanie všetkých firewallov je založené na využívaní informácií z rôznych vrstiev modelu OSI. Typicky, čím vyššia je vrstva OSI, na ktorej firewall filtruje pakety, tým vyššiu úroveň ochrany poskytuje.

Firewally sú rozdelené do štyroch typov:

• brány firewall na filtrovanie paketov;

• brány na úrovni relácie;

• brány na aplikačnej úrovni;

• firewally na expertnej úrovni.

Tabuľka 1. Typy firewallov a vrstiev modelu ISO OSI

№	úroveň OSI modely	Protokol	Typ POŽARNE dvere
1	Aplikované	Telnet, FTP, DNS, NFS, SMTP, HTTP	· Brána na úrovni aplikácie; · Firewall na expertnej úrovni.
2	Zobrazenia údajov
3	relácia	TCP, UDP	Brána na úrovni relácie
4	Doprava	TCP, UDP
5	sieť	IP, ICMP	Firewall na filtrovanie paketov
6	Potrubie
7	Fyzické

Firewally na filtrovanie paketov sú smerovače alebo programy na strane servera nakonfigurované na filtrovanie prichádzajúcich a odchádzajúcich paketov. Preto sa tieto obrazovky niekedy nazývajú paketové filtre. Filtrovanie sa vykonáva analýzou zdrojových a cieľových IP adries, ako aj portov prichádzajúcich paketov TCP a UDP a ich porovnaním s nakonfigurovanou tabuľkou pravidiel. Tieto brány firewall sa ľahko používajú, sú lacné a majú minimálny vplyv na výpočtový výkon. Hlavnou nevýhodou je ich zraniteľnosť pri spoofingu IP adries. Okrem toho sú zložité na konfiguráciu: ich inštalácia si vyžaduje znalosť sieťových, transportných a aplikačných protokolov.

Brány na úrovni relácie kontrolovať prípustnosť komunikačnej relácie. Monitorujú handshake medzi autorizovaným klientom a externým hostiteľom (a naopak), aby určili, či je požadovaná relácia platná. Pri filtrovaní paketov sa brána relačnej vrstvy spolieha na informácie obsiahnuté v hlavičkách paketov relačnej vrstvy TCP, to znamená, že pracuje o dve vrstvy vyššie ako firewall na filtrovanie paketov. Okrem toho majú tieto systémy zvyčajne funkciu prekladu sieťových adries, ktorá skryje interné adresy IP, čím sa eliminuje spoofing IP. Takýmto firewallom však chýba kontrola nad obsahom paketov generovaných rôznymi službami. Na odstránenie tejto nevýhody sa používajú brány na aplikačnej úrovni.

Aplikačné brány kontrolovať obsah každého paketu prechádzajúceho cez bránu a môže filtrovať špecifické druhy príkazov alebo informácií v aplikačných protokoloch, ktoré majú za úlohu obsluhovať. Ide o pokročilejší a spoľahlivejší typ brány firewall, ktorý využíva aplikačné proxy alebo agentov. Agenti sú navrhnutí pre špecifické internetové služby (HTTP, FTP, telnet atď.) a používajú sa na kontrolu platných dát v sieťových paketoch.

Aplikačné brány znižujú výkon systému v dôsledku opätovného spracovania v middleware. Toto je neviditeľné pri práci na internete pri práci na nízkorýchlostných kanáloch, ale nevyhnutné pri práci v internej sieti.

Firewally na úrovni expertov kombinujú prvky zo všetkých troch kategórií popísaných vyššie. Podobne ako firewally na filtrovanie paketov fungujú na sieťovej vrstve modelu OSI, pričom filtrujú prichádzajúce a odchádzajúce pakety na základe kontroly IP adries a čísel portov. Firewally na expertnej úrovni fungujú aj ako brána na úrovni relácie, ktorá určuje, či pakety majú správnu reláciu. Nakoniec, expertné firewally fungujú ako brána na aplikačnej úrovni, ktorá vyhodnocuje obsah každého paketu v porovnaní s bezpečnostnou politikou organizácie.

Namiesto používania serverov proxy súvisiacich s aplikáciami používajú expertné brány firewall špeciálne algoritmy na rozpoznanie a spracovanie údajov na úrovni aplikácie. Tieto algoritmy porovnávajú pakety so známymi dátovými vzormi, čo by teoreticky malo poskytovať efektívnejšie filtrovanie paketov.

Závery k téme

1. Firewalling zvyšuje bezpečnosť objektov vo vnútornej sieti ignorovaním neoprávnených požiadaviek z externého prostredia, čím zabezpečuje všetky komponenty informačnej bezpečnosti. Okrem funkcií kontroly prístupu zabezpečuje skríning registráciu výmeny informácií.

2. Tienenie funkcie vykonáva POŽARNE dvere alebo firewall, ktorým sa rozumie softvérový alebo hardvérovo-softvérový systém, ktorý riadi informačné toky vstupujúce a/alebo vystupujúce z informačného systému a zabezpečuje ochranu informačného systému filtrovaním informácií.

3. Firewally sú klasifikované podľa nasledujúcich kritérií: umiestnenie v sieti a úroveň filtrovania, ktorá zodpovedá referenčnému modelu OSI / ISO.

4. Externé brány firewall zvyčajne fungujú iba s globálnym internetovým protokolom TCP / IP. Interné brány firewall môžu podporovať viacero protokolov.

5. Firewally sú rozdelené do štyroch typov:

• brány firewall na filtrovanie paketov;

• brány na úrovni relácie;

• brány na aplikačnej úrovni;

• POŽARNE dvere

  Firewall (Firewall alebo Firewall) je prostriedok na filtrovanie paketovej prevádzky prichádzajúcej z externej siete vo vzťahu k danej lokálnej sieti alebo počítaču. Pozrime sa na dôvody vzhľadu a úlohy, ktoré vykonáva brána firewall. Moderná sieť na prenos údajov je súbor vzdialených vysokovýkonných zariadení, ktoré navzájom spolupracujú na značnú vzdialenosť. Niektoré z najrozsiahlejších dátových sietí sú počítačové siete, ako je internet. Súčasne zamestnáva milióny zdrojov a spotrebiteľov informácií po celom svete. Široký rozvoj tejto siete umožňuje, aby ju využívali nielen jednotlivci, ale aj veľké spoločnosti na zjednotenie svojich nesúrodých zariadení po celom svete do jednej siete. Zdieľaný prístup k jedinému fyzickému zdroju zároveň otvára prístup podvodníkom, vírusom a konkurentom príležitosť poškodiť koncových používateľov: ukradnúť, skresliť, umiestniť alebo zničiť uložené informácie, narušiť integritu softvéru a dokonca odstrániť hardvér zariadenia. koncová stanica. Aby sa predišlo týmto nežiaducim vplyvom, je potrebné zabrániť neoprávnenému prístupu, na čo sa často používa Firewall. Už samotný názov Firewall (stena - z anglického wall) v sebe skrýva svoj účel, t.j. slúži ako stena medzi chránenou lokálnou sieťou a internetom alebo akoukoľvek inou externou sieťou a zabraňuje akýmkoľvek hrozbám. Okrem vyššie uvedeného môže firewall vykonávať aj ďalšie funkcie súvisiace s filtrovaním prevádzky z/na ľubovoľný zdroj na internete.

  Princíp fungovania Firewallu je založený na riadení premávky prichádzajúcej zvonku. Na riadenie prevádzky medzi LAN a externou sieťou je možné zvoliť nasledujúce metódy:

  1. Filtrovanie paketov- založené na nastavení sady filtrov. V závislosti od toho, či prichádzajúci paket spĺňa podmienky špecifikované vo filtroch, je odovzdaný do siete alebo zahodený.

  2. Proxy server- medzi lokálnu a externú sieť je nainštalované ďalšie zariadenie proxy-server, ktoré slúži ako "brána", cez ktorú musí prechádzať všetka prichádzajúca a odchádzajúce prevádzka.

  3. Štátna inšpekcia- Kontrola prichádzajúcej prevádzky - jeden z najpokročilejších spôsobov implementácie brány firewall. Inšpekcia neznamená analýzu celého balíka, ale iba jeho špeciálnej kľúčovej časti a porovnanie s predtým známymi hodnotami z databázy povolených zdrojov. Táto metóda poskytuje najvyšší výkon brány firewall a najnižšiu latenciu.

  Firewall môže byť implementovaný hardvérovo alebo softvérovo. Konkrétna implementácia závisí od rozsahu siete, objemu prevádzky a požadovaných úloh. Najbežnejší typ brány firewall je softvérový. V tomto prípade je implementovaný vo forme programu spusteného na cieľovom PC, alebo napríklad okrajovom sieťovom zariadení. V prípade spustenia hardvéru je brána firewall samostatným sieťovým prvkom, ktorý má zvyčajne vysoký výkon, ale vykonáva podobné úlohy.

  Firewall vám umožňuje konfigurovať filtre, ktoré sú zodpovedné za prenos dát podľa nasledujúcich kritérií:

  1. IP adresa... Ako viete, každé koncové zariadenie pracujúce pod protokolom musí mať jedinečnú adresu. Zadaním adresy alebo určitého rozsahu môžete zakázať prijímanie paketov od nich, alebo naopak povoliť prístup len z týchto IP adries.

  2. Doménové meno... Ako viete, stránke na internete, alebo skôr jej IP-adrese, možno priradiť zodpovedajúci alfanumerický názov, ktorý je oveľa ľahšie zapamätateľný ako súbor čísel. Filter teda možno nakonfigurovať tak, aby prenášal návštevnosť iba do/z jedného zo zdrojov, alebo aby k nemu zakázal prístup.

  3. Port... Hovoríme o softvérových portoch, t.j. miesta prístupu aplikácií k sieťovým službám. Napríklad ftp používa port 21, zatiaľ čo aplikácie na prehliadanie webu používajú port 80. To vám umožňuje zakázať prístup nechceným službám a sieťovým aplikáciám, alebo naopak povoliť prístup iba k nim.

  4. Protokol... Firewall je možné nakonfigurovať tak, aby prenášal údaje iba jedného protokolu, alebo aby pomocou neho zakázal prístup. Typ protokolu môže zvyčajne hovoriť o úlohách, ktoré vykonáva, aplikácii, ktorú používa, a súbore bezpečnostných parametrov. Prístup je teda možné nakonfigurovať iba na prevádzku ktorejkoľvek konkrétnej aplikácie a zabrániť potenciálne nebezpečnému prístupu pomocou všetkých ostatných protokolov.

  Vyššie uvedené uvádza iba hlavné parametre, pomocou ktorých je možné vykonať úpravu. Môžu sa použiť aj iné parametre filtra špecifické pre sieť v závislosti od úloh vykonávaných v tejto sieti.

  Firewall teda poskytuje komplexný súbor úloh, ktoré majú zabrániť neoprávnenému prístupu, poškodeniu alebo krádeži údajov alebo iným negatívnym vplyvom, ktoré môžu ovplyvniť výkon siete. Firewall sa zvyčajne používa v spojení s inými prostriedkami ochrany, napríklad s antivírusovým softvérom.