Bölüm 5. Soru 8. (53) Güvenlik duvarları.

Güvenlik Duvarı (ME) - AS'ye giren ve/veya AS'den çıkan bilgiler üzerinde kontrol uygulayan yerel (tek bileşenli) veya işlevsel olarak dağıtılmış bir yazılım (yazılım ve donanım) aracıdır (karmaşık). ME, bilgileri filtreleyerek AU'nun korunmasını sağlar; bir dizi kriter temelinde analizi ve verilen kurallar temelinde AU'ya (dan) dağıtımına ilişkin karar verme, böylece öznelerin bir AU'dan başka bir AU'nun nesnelerine erişimini sınırlandırır. Her kural, özneler ve nesneler arasında belirli türdeki bilgilerin transferini yasaklar veya buna izin verir. Sonuç olarak, bir AS'den gelen özneler, yalnızca başka bir AS'den izin verilen bilgi nesnelerine erişim elde eder. Bir dizi kuralın yorumlanması, verilerin (paketlerin) bir sonraki filtre veya protokol katmanına iletilmesine izin veren veya bunu reddeden bir dizi filtre tarafından gerçekleştirilir.

(RD ME'den tanım)

güvenlik duvarları - içinden geçen ağ paketlerinin miktarını ve kalitesini uygun güvenlik düzeyinde kontrol etmenizi sağlayan karmaşık yazılım veya donanım. Güvenlik duvarı, tüm verilerin filtrelendiği belirli bir dizi kurala dayalı olarak ağ trafiğini analiz eder.

(hafıza için basitleştirilmiş tanım, Habr)

Böylece ME'nin (güvenlik duvarı, güvenlik duvarı, güvenlik duvarı) ana görevi,otonom düğümlerin veya paylaşılan bilgisayar ağlarının, verileri kendi amaçları için kullanabilecek veya ağ sahibine onarılamaz zarar verebilecek yetkisiz üçüncü taraf erişiminden korunması. Bu nedenle güvenlik duvarlarına, yapılandırmada belirtilen kriterlere uymayan veri paketlerine izin vermeyen filtreler de denir. Ağ trafiği filtreleme, OSI modelinin herhangi bir seviyesinde gerçekleştirilebilir. Farklı seviyelerdeki bilgiler kriter olarak kullanılabilir: port numaraları, veri alanı içerikleri, gönderici/alıcı adresi.

Bilgi teknolojisinin devlet kontrol organları, güvenlik duvarını daha spesifik olarak tanımlar - etkin çalışmasını sağlamak için bir dizi ek özellik içeren kapsamlı bir bilgi güvenlik sisteminin bileşenlerinden biri olarak. Ağın sahibi için bir güvenlik duvarı isteğe bağlıdır. Gizli bilgilerin güvenliğinden tamamen sorumlu olmasına rağmen, şu anda Rusya Federasyonu'nda böyle bir koruma sistemi uygun düzeyde yaygın değildir. İdeal olarak, günün her saatinde gelen/giden bilgi akışını izlemek için her dahili ağa yerleştirilmelidir. Bilgi güvenliği izleme sistemi şu anda bir dereceye kadar ek ağ koruma araçlarının yerini almaktadır, ancak bu, bir kişisel güvenlik sistemini bir dizi üst düzey donanım olarak tanımlamak için yeterli değildir.

(Habr)

Meraklılar için, sertifika sorunları hakkında iyi yazılmışhttp://habrahabr.ru/post/246193/

güvenlik duvarı(ME), korumalı otomatik sistemin sınırında bilgi akışlarını sınırlandırma işlevlerini yerine getirir. Bu şunları sağlar:

Dış ortamdan gelen yetkisiz istekleri yok sayarak iç ortamdaki nesnelerin güvenliğini artırmak;

Kontrol bilgisi dış ortama akar;

Bilgi alışverişi süreçlerinin kaydını sağlayın.

Bilgi akışları aşağıdakiler tarafından kontrol edilir:filtreleme bilgisi, yani bir dizi kritere göre analiz etmek ve hakkında bir karar vermek AU'ya veya AU'dan dağıtım.

İşleyiş ilkelerine bağlı olarak, birkaç tane vardır.güvenlik duvarı sınıfları... Ana sınıflandırma özelliği seviyedir. ME'nin üzerinde çalıştığı ISO / OSI modeli.

1. Paket filtreler.

ISO / OSI modelinin ağ ve taşıma katmanlarında çalışan en basit güvenlik duvarı sınıfı. Paket filtreleme genellikle aşağıdaki kriterlere göre yapılır:

Kaynak IP Adresi;

Alıcı IP adresi;

Kaynak bağlantı noktası;

Alıcı bağlantı noktası;

Ağ paketlerinin başlıklarının belirli parametreleri.

Filtreleme, ağ paketlerinin başlıklarının listelenen parametrelerinin filtreleme kurallarının temeli ile karşılaştırılmasıyla gerçekleştirilir.

Paket filtreleme güvenlik duvarları, genel amaçlı işletim sistemlerine (Windows NT ve Unix gibi) veya güvenlik duvarı donanım platformlarına dayalı yazılım paketleri de olabilir. Güvenlik duvarının, bağlı olduğu ağların her biri için bir tane olmak üzere birkaç arabirimi vardır. Uygulama katmanı güvenlik duvarlarına benzer şekilde, trafiğin bir ağdan diğerine teslimi tanımlanır

bir dizi politika kuralı. Kural belirli trafiğe açıkça izin vermiyorsa, karşılık gelen paketler güvenlik duvarı tarafından reddedilecek veya atılacaktır. Politika kuralları şu şekilde güçlendirilmiştir:

paket filtreleri kullanarak. Filtreler paketleri inceler ve trafiğe izin verilip verilmediğini belirler.

ilke kuralları ve protokol durumu (durum denetimi). Uygulama protokolü işlevsel ise

TCP üzerinden durum belirleme nispeten kolaydır çünkü TCP'nin kendisi durumları korur. Anlamı,

protokol belirli bir durumdayken, yalnızca belirli paketlerin iletilmesine izin verilir.

Örnek olarak bağlantı kurulum sırasını düşünün. Beklenen ilk paket bir SYN paketidir. Güvenlik duvarı bu paketi algılar ve bağlantıyı SYN durumuna getirir. Bu durumda, iki paketten biri beklenir - ya bir SYN ACK (paket tanıma ve bağlantı izni) ya da bir RST paketi (alıcı tarafından bir bağlantı reddi nedeniyle bağlantı sıfırlanır). Bu bağlantıda başka paketler görünürse, bağlantıya bir dizi kural tarafından izin verilse bile, verilen bağlantı durumu için uygun olmadıklarından güvenlik duvarı bunları atar veya reddeder. Bağlantı protokolü UDP ise, paket filtreleme güvenlik duvarı protokolün doğal durumunu kullanamaz ve bunun yerine UDP trafiğinin durumunu izler. Tipik olarak, güvenlik duvarı harici bir UDP paketini kabul eder ve belirli bir süre boyunca orijinal paketle adres ve bağlantı noktası ile eşleşen alıcıdan gelen bir paketi bekler. Bu zaman çerçevesi içinde bir paket alınırsa, iletimine izin verilir. Aksi takdirde güvenlik duvarı, UDP trafiğinin isteğe yanıt olmadığını belirler ve onu atar. Paket filtreleme güvenlik duvarı ile, güvenlik duvarında bağlantılar kesilmez, doğrudan uç sisteme yönlendirilir. Paketler geldiğinde güvenlik duvarı, pakete ve bağlantı durumuna politika kuralları tarafından izin verilip verilmediğini kontrol eder. Eğer öyleyse, paket kendi rotası boyunca hareket eder. Aksi takdirde paket reddedilir veya iptal edilir.

Paket filtreleme güvenlik duvarları, her biri için erişim modülleri kullanmaz.

protokolüdür ve bu nedenle IP üzerinden herhangi bir protokolle kullanılabilir. Bazı protokoller, güvenlik duvarının gerçekleştirdikleri eylemleri tanımasını gerektirir. Örneğin FTP, ilk oturum açma ve komutlar için bir bağlantı ve dosya aktarımları için başka bir bağlantı kullanır. Dosya aktarımları için kullanılan bağlantılar FTP bağlantısının bir parçası olarak kurulur ve bu nedenle güvenlik duvarı trafiği okuyabilmeli ve yeni bağlantı tarafından kullanılacak bağlantı noktalarını belirleyebilmelidir. Güvenlik duvarınız bunu desteklemiyorsa

işlev, dosya aktarımı mümkün değildir. Paket filtreleme güvenlik duvarları, erişim yazılımındaki ek yapılandırma ve hesaplama yükünü ortadan kaldırarak daha fazla trafiği destekleme yeteneğine sahiptir. Yalnızca paket filtreleme güvenlik duvarları erişim modüllerini kullanmaz ve bu nedenle trafik istemciden doğrudan sunucuya gönderilir. Sunucuya, güvenlik duvarı ilke kurallarının izin verdiği açık bir hizmet üzerinden saldırıya uğrarsa,

güvenlik duvarı saldırıya hiçbir şekilde yanıt vermeyecektir. Paket filtreleme güvenlik duvarları ayrıca dahili adresleme yapısını dışarıdan görmenizi sağlar. Güvenlik duvarında bağlantılar kesilmediği için dahili adresleri gizlemeye gerek yoktur.

2. Oturum düzeyinde ağ geçitleri

Bu güvenlik duvarları, ISO/OSI modelinin oturum katmanında çalışır. Paket filtrelerinden farklı olarak, oturum katmanı protokollerinin parametrelerini analiz ederek bir iletişim oturumunun geçerliliğini kontrol edebilirler. Bu nedenle, ağ, taşıma veya uygulama katmanı ile tanımlanamayan filtreler, oturum düzeyinde ağ geçitleri olarak sınıflandırılır. Oturum düzeyinde filtreler, işlevsel özelliklerine bağlı olarak çeşitli çeşitlere sahiptir, ancak yetenekleri büyük ölçüde örtüştüğü için bu sınıflandırma oldukça keyfidir. Güvenlik duvarlarının, oturum düzeyindeki ağ geçitlerinin tümünü veya çoğunu içerdiğini unutmayın.

SYN ve ACK bitlerini kontrol etme. Bir dizi filtre, TCP paketlerindeki SYN ve ACK bitlerini izler. Hepsi SYN-sel saldırılarıyla mücadele etmek için tasarlanmıştır ("SYN-sel saldırıları" kenar çubuğuna bakın), ancak farklı yaklaşımlar kullanır. En basit filtre, TCP paketlerinin SYN biti ile, ancak ACK biti olmadan, genel ağdan dahili ağdaki bilgisayarlara iletilmesini yasaklar, eğer ikincisi açıkça harici ağ için sunucular olarak bildirilmediyse (veya en azından bir harici ağdaki belirli bir bilgisayar grubu). Ne yazık ki, böyle bir filtre, harici ağ için sunucu olan ancak dahili ağda bulunan makinelere SYN-flooding saldırılarına yardımcı olmaz.

Bu amaçlar için, çok aşamalı bağlantı kurma sırasına sahip özel filtreler kullanılır. Örneğin Check Point Firewall-1'den SYNDefender Gateway filtresi aşağıdaki gibi çalışır. Diyelim ki harici bilgisayar Z, ME güvenlik duvarı üzerinden dahili sunucu A ile bağlantı kurmaya çalışıyor. Bağlantı kurma prosedürü Şekil 2'de gösterilmiştir. ME, Z bilgisayarından (aşama 1) bir SYN paketi aldığında, bu paket sunucu A'ya (aşama 2) iletilir. Yanıt olarak, sunucu A, Z bilgisayarına bir SYN / ACK paketi gönderir, ancak ME onu durdurur (3. adım). Ayrıca ME, alınan paketi Z bilgisayarına iletir, ayrıca Z bilgisayarı adına ME, sunucu A'ya bir ACK paketi gönderir (aşama 4). A sunucusuna hızlı yanıt vererek, yeni bağlantılar kurmak için ayrılan sunucu belleği hiçbir zaman dolu olmayacak ve SYN-flooding saldırısı çalışmayacaktır.

Olayların daha da geliştirilmesi, Z bilgisayarının, sunucu A ile bir bağlantı kurulmasını gerçekten başlatıp başlatmadığına bağlıdır. Eğer öyleyse, Z bilgisayarı, ME'den geçen A sunucusuna bir ACK paketi gönderecektir (adım 5a). Sunucu A, ikinci ACK paketini yok sayar. Daha sonra ME, paketleri A ve Z bilgisayarları arasında serbestçe geçirecektir. ME bir ACK paketi almazsa veya bağlantı kurma zaman aşımı sona ererse, bağlantıyı iptal ederek sunucu A adresine bir RST paketi gönderir (adım 5b).

İletişim kanalının durumunu izlemek için filtreler.

İletişim kanalının durumunu izlemeye yönelik filtreler genellikle gelişmiş yeteneklere sahip ağ filtrelerini (ağ katmanı) içerir.

Hat filtrelerinde dinamik filtreleme. Ağ filtrelerindeki standart statik filtrelemeden farklı olarak dinamik (durumlu) filtreleme, birkaç filtreleme kuralı yerine her iletişim kanalı için yalnızca bir kural atamanıza olanak tanır. Bu durumda, dinamik filtrenin kendisi, IP adresleri, taşıma katmanı protokolü, kaynak ve hedef bağlantı noktası numaraları ve bazen paketlerin sıra numaraları dahil olmak üzere istemci ve sunucu arasında değiş tokuş edilen veri paketlerinin sırasını izler. Bu tür filtrelemenin ek RAM gerektirdiği açıktır. Performans açısından dinamik filtre, statik filtreden biraz daha düşüktür.

Parçalanmış paket filtresi. Farklı MTU'lara sahip ağlar üzerinden iletildiğinde, IP paketleri, yazılım portları hakkında bilgiler de dahil olmak üzere her zaman taşıma katmanının tam başlığını içeren yalnızca ilk parça ile ayrı parçalara ayrılabilir. Normal ağ filtreleri, birincisi dışındaki parçaları kontrol edemez ve geçmelerine izin verir (IP adresleri ve kullanılan protokol kriterleri karşılanıyorsa). Bu, saldırganların tehlikeli hizmet reddi saldırıları başlatmasına, kasıtlı olarak çok sayıda parça oluşturmasına ve böylece alıcı bilgisayarın çalışmasını engellemesine olanak tanır. Parçalanmış paket filtresi, ilki kayıtta başarısız olursa parçaların geçmesine izin vermez.

3. Uygulama ağ geçitleri

Bu sınıfın güvenlik duvarları, uygulama düzeyindeki protokollerde belirli türdeki komutları veya veri kümelerini filtrelemenize olanak tanır. Bunun için kullanılırproxy hizmetleri- belirli üst düzey protokoller (http, ftp, telnet, vb.) için güvenlik duvarı üzerinden trafiği yöneten özel amaçlı programlar.

Proxy hizmetleri kullanılmadan etkileşimde bulunan taraflar arasında bir ağ bağlantısı kurulursaA ve Bdoğrudan, daha sonra bir proxy hizmeti kullanılması durumunda bir aracı görünür -Proxy sunucubilgi alışverişinde ikinci katılımcıyla bağımsız olarak etkileşime giren . Bu şema, proxy sunucusu tarafından dışarıdan alınan filtre verilerinin yanı sıra, üst düzey protokollerin ayrı komutlarını kullanmanın kabul edilebilirliğini kontrol etmenizi sağlar; bu durumda, proxy sunucusu, oluşturulan politikalara dayanarak, bu verilerin istemciye aktarılmasının mümkün olup olmadığı konusunda bir karar verebilir.A.

Uygulama düzeyinde güvenlik duvarları veya proxy güvenlik duvarları, genel amaçlı işletim sistemlerine (Windows NT ve Unix gibi) veya güvenlik duvarı donanım platformuna dayalı yazılım paketleridir.

Uygulama güvenlik duvarında, izin verilen her protokolün kendi erişim modülü olmalıdır. En iyi erişimciler, özellikle çözülmekte olan protokol için oluşturulmuş olanlardır. Örneğin, FTP erişimcisi FTP protokolü içindir ve içinden geçen trafiğin bu protokolle uyumlu olup olmadığını ve bu trafiğe güvenlik ilkesi kuralları tarafından izin verilip verilmediğini belirleyebilir.

Güvenlik duvarı bağlantıyı kabul eder, paketin içeriğini ve kullanılan protokolü analiz eder ve trafiğin güvenlik ilkesi kurallarına uygun olup olmadığını belirler. Eşleştiğinde güvenlik duvarı, harici arayüzü ile sunucu sistemi arasında yeni bir bağlantı başlatır.

Güvenlik duvarındaki erişim modülü, gelen bağlantıyı kabul eder ve alıcıya trafik göndermeden önce komutları işler, böylece sistemleri uygulama saldırılarından korur.

Uygulama katmanı güvenlik duvarları, HTTP, SMTP, FTP ve telnet gibi en yaygın kullanılan protokoller için erişim modülleri içerir. Güvenlik duvarı üzerinden iletişim kurmak için belirli bir protokolün kullanılmasını yasaklayan bazı erişim modülleri eksik olabilir.

4. Uzman düzeyinde güvenlik duvarları.

Yukarıdaki kategorilerin üçünün de öğelerini birleştiren en gelişmiş güvenlik duvarları. Bu tür ekranlar, proxy hizmetleri yerine, uygulama düzeyinde verileri tanımak ve işlemek için algoritmalar kullanır. Şu anda kullanılan güvenlik duvarlarının çoğu uzman kategorisindedir. En ünlü ve yaygın ME -CISCO PIX ve CheckPoint Güvenlik Duvarı-1... Uygulama katmanı güvenlik duvarı üreticileri, BT teknolojilerinin hızlı gelişimi nedeniyle, belirli erişim modülleri olmayan protokolleri desteklemek için bir yöntem geliştirmenin gerekli olduğu sonucuna varmışlardır. Güvenlik ve ağ yöneticilerinin ihtiyaç duyduğu diğer protokoller için uygulama katmanı erişim modüllerini desteklemek üzere tasarlanan Genel Hizmetler Proxy (GSP) erişim modülü teknolojisi bu şekilde doğdu. GSP, paket filtreleme ekranları olarak uygulama katmanı güvenlik duvarları sağlar. Paket filtreleme güvenlik duvarlarının bir çeşidi zaten bir SMTP erişim modülüyle birlikte gelir. Şu anda, güvenlik yöneticilerinin cihazı belirli bir ortamda çalışacak şekilde özelleştirmesine izin verdiği için, yalnızca uygulama katmanında veya paket filtrelemede çalışan bir güvenlik duvarı bulmak neredeyse imkansızdır.

(geçen yılın Cevaplarından kaynak)

Ana düzenleyici belgeDOE için “Rehberlik Belgesi. Bilgisayar tesisleri. Güvenlik duvarları. Bilgiye yetkisiz erişime karşı koruma. Bilgiye yetkisiz erişime karşı güvenlik göstergeleri "(Devlet Teknik Komisyonu tarafından 25 Temmuz 1997'de onaylanmıştır)

Buna göre ME, AS'ye giren ve/veya AS'den çıkan bilgiler üzerinde kontrol uygulayan ve bilgileri filtreleyerek AS'nin korunmasını sağlayan yerel (tek bileşenli) veya işlevsel olarak dağıtılmış bir araçtır (karmaşık). Bir dizi kritere göre analizi ve AU'ya (dan) dağıtımına ilişkin karar verme.

ME'nin beş koruma sınıfı oluşturulmuştur.

Her sınıf, belirli bir minimum bilgi güvenliği gereksinimleri seti ile karakterize edilir.

En düşük güvenlik sınıfı, 1D AS sınıfının dış ortamla güvenli etkileşimi için kullanılan beşinci, 1G için dördüncü, 1B için üçüncü, 1B için ikinci, en yüksek birinci sınıftır, sınıfın güvenli etkileşimi için kullanılır Dış ortam ile 1A hoparlörler.

ME gereklilikleri, Rusya Devlet Teknik Komisyonu “Bilgisayar ekipmanı” kılavuz belgelerine uygun olarak bilgisayar ekipmanı (SVT) ve AS gerekliliklerini hariç tutmaz. Bilgiye yetkisiz erişime karşı koruma. Bilgiye yetkisiz erişime karşı güvenlik göstergeleri ”ve“ Otomatik sistemler. Bilgiye yetkisiz erişime karşı koruma. Otomatik Sistemlerin Sınıflandırılması ve Bilgi Koruma Gereksinimleri ”.

ME, belirli bir güvenlik sınıfının AU'suna dahil edildiğinde, orijinal olandan ME eklenerek elde edilen toplam AU'nun güvenlik sınıfı azalmamalıdır.

AC sınıfı 3B, 2B, ME sınıfı 5 veya üstü kullanılmalıdır.

AU sınıfı 3A, 2A için, işlenen bilgilerin önemine bağlı olarak, aşağıdaki sınıfların ME'leri kullanılmalıdır:

"Gizli" olarak sınıflandırılan bilgileri işlerken - en az 3 sınıftan;

"Çok gizli" olarak sınıflandırılan bilgileri işlerken - en az 2 sınıf;

"Özel önem" damgası olan bilgileri işlerken - en az 1 sınıftan.

Güvenlik Duvarı Gereksinimleri

Güvenlik göstergeleri	Güvenlik sınıfları
Erişim kontrolü (veri filtreleme ve adres çevirisi)
Tanımlama ve Kimlik Doğrulama
kayıt
Yönetim: tanımlama ve kimlik doğrulama
Yönetim: kayıt
Yönetim: kullanım kolaylığı
Bütünlük
Kurtarma
Test yapmak
Güvenlik Yöneticisi Kılavuzu
Test Dokümantasyonu
Tasarım (proje) dokümantasyonu

(kaynak RD ME)

14.9. güvenlik duvarları

İnternete bağlı kişilerin güvenlik duvarlarına (güvenlik duvarı, güvenlik duvarı) ilgisi artıyor ve yerel ağ için daha yüksek düzeyde güvenlik sağlayan uygulamalar bile var. Bu bölümde, güvenlik duvarlarının ne olduğunu, nasıl kullanılacağını ve bunları uygulamak için FreeBSD çekirdeği tarafından sağlanan yeteneklerin nasıl kullanılacağını özetlemeyi umuyoruz.

14.9.1. Güvenlik duvarı nedir?

Bugün internette günlük olarak kullanılan birbirinden farklı iki güvenlik duvarı türü vardır. İlk türü aramak daha doğru paket filtreleme yönlendiricisi ... Bu tür güvenlik duvarı, birden çok ağa bağlı bir makinede çalışır ve paketin iletilmesini veya bloke edilmesini belirlemek için her pakete bir dizi kural uygular. olarak bilinen ikinci tip Proxy sunucu , muhtemelen birden çok ağ bağlantısına sahip bir makinede, çekirdekte paket iletmenin devre dışı bırakıldığı bir makinede, kimlik doğrulama ve paket iletme gerçekleştiren arka plan programları olarak uygulanır.

Bazen bu iki tür güvenlik duvarı birlikte kullanılır, böylece yalnızca belirli bir makine (olarak bilinir) koruyucu konak (bastion host) ) filtreleme yönlendiricisi aracılığıyla dahili ağa paket göndermesine izin verilir. Proxy hizmetleri, genellikle geleneksel kimlik doğrulama mekanizmalarından daha güvenli olan güvenli bir ana bilgisayarda çalışır.

FreeBSD, bu bölümün geri kalanının konusu olacak bir çekirdek filtre paketi (IPFW olarak bilinir) ile birlikte gelir. Üçüncü taraf yazılımlardan FreeBSD üzerine proxy'ler oluşturulabilir, ancak bu bölümde ele alınacak çok fazla şey var.

14.9.1.1. Paket Filtreleme Yönlendiricileri

Yönlendirici, paketleri iki veya daha fazla ağ arasında ileten bir makinedir. Bir paket filtreleme yönlendiricisi, her paketi iletip iletmemeye karar vermeden önce bir kurallar listesiyle karşılaştırmak üzere programlanmıştır. Çoğu modern yönlendirme yazılımının filtreleme yetenekleri vardır ve tüm paketler varsayılan olarak iletilir. Filtreleri etkinleştirmek için bir dizi kural tanımlamanız gerekir.

Bir paketin iletilmesi gerekip gerekmediğini belirlemek için güvenlik duvarı, paket başlıklarının içeriğiyle eşleşen bir kural kümesine bakar. Bir eşleşme bulunduğunda, bu kurala atanan eylem gerçekleştirilir. Eylem paketi bırakmak, paketi iletmek ve hatta kaynak adrese bir ICMP mesajı göndermek olabilir. Kurallar belirli bir sırayla arandığı için yalnızca ilk eşleşme sayılır. Bu nedenle, kurallar listesine “kurallar zinciri” denilebilir. » .

Paket seçim kriterleri kullanılan yazılıma bağlıdır, ancak kuralları genellikle paketin kaynak IP'sine, hedef IP'ye, paketin kaynak bağlantı noktasına, hedef bağlantı noktası numarasına (bağlantı noktalarını destekleyen protokoller için) ve hatta paket türü (UDP , TCP, ICMP, vb.).

14.9.1.2. Proxy sunucuları

Proxy sunucuları, normal sistem arka plan programlarının ( telnet, ftpd, vb.) özel sunucularla değiştirilir. Bu sunucular denir proxy sunucuları çünkü genellikle yalnızca gelen bağlantılarda çalışırlar. Bu, çalıştırmanıza izin verir (örneğin) telnet güvenlik duvarında proxy sunucusu ve oturum açmayı mümkün kılmak telnet güvenlik duvarına girme, kimlik doğrulama mekanizmasını geçme ve dahili ağa erişim sağlama (benzer şekilde, harici ağa erişmek için proxy sunucuları kullanılabilir).

Proxy sunucuları genellikle diğer sunuculardan daha güvenlidir ve genellikle tek kullanımlık şifre sistemleri de dahil olmak üzere daha geniş bir kimlik doğrulama mekanizmalarına sahiptir, bu nedenle birisi hangi şifreyi kullandığınızı bilse bile sisteme erişmek için onu kullanamaz. ilk kullanımdan hemen sonra sona erer. Parola, proxy'nin bulunduğu bilgisayara doğrudan erişmediğinden, sisteme bir arka kapı kurmak çok daha zor hale gelir.

Proxy sunucuları genellikle erişimi daha fazla kısıtlama yoluna sahiptir, böylece sunuculara yalnızca belirli ana bilgisayarlar erişebilir. Çoğu, yöneticinin hangi kullanıcılara ve bilgisayarlara erişebileceklerini belirlemesine de izin verir. Yine, mevcut seçenekler çoğunlukla kullandığınız yazılıma bağlıdır.

14.9.2. IPFW ne yapmanıza izin veriyor?

FreeBSD ile birlikte gelen IPFW yazılımı, özel bir yapılandırma yardımcı programı ile çekirdek tabanlı bir paket filtreleme ve muhasebe sistemidir. ipfw (8)... Birlikte, yönlendirme için çekirdek tarafından kullanılan kuralları tanımlamanıza ve görüntülemenize izin verirler.

IPFW'nin iki ilgili bölümü vardır. Güvenlik duvarı paket filtreleme gerçekleştirir. IP paketi hesaplama bölümü, güvenlik duvarı bölümünde kullanılanlara benzer kurallara dayalı olarak yönlendiricinin kullanımını izler. Bu, yöneticinin örneğin belirli bir bilgisayardan yönlendirici tarafından alınan trafik miktarını veya WWW tarafından gönderilen trafik miktarını belirlemesine olanak tanır.

IPFW'nin uygulanma şekli nedeniyle, gelen ve giden bağlantıları filtrelemek için yönlendirici olmayan bilgisayarlarda kullanabilirsiniz. Bu, IPFW'nin daha genel kullanımının özel bir durumudur ve bu durumda aynı komutlar ve teknikler kullanılır.

14.9.3. FreeBSD'de IPFW'yi Etkinleştirme

IPFW sisteminin çoğu çekirdekte bulunduğundan, gerekli yeteneklere bağlı olarak çekirdek yapılandırma dosyasına bir veya daha fazla parametre eklemeniz ve çekirdeği yeniden oluşturmanız gerekecektir. Bu prosedürün ayrıntılı bir açıklaması için çekirdeğin yeniden oluşturulması hakkındaki bölüme (Bölüm 8) bakın.

Dikkat: Varsayılan IPFW kuralı, herhangi birinden herhangi birine ipi reddetmektir. Erişime izin vermek için önyükleme sırasında başka kurallar eklemezseniz, erişimi engelle yeniden başlatmanın ardından çekirdek etkin güvenlik duvarına sahip bir sunucuya. Güvenlik duvarını ilk kez eklerken /etc/rc.conf dosyasında firewall_type = open belirtmenizi ve ardından, test ettikten sonra /etc/rc.firewall dosyasındaki kuralları düzenlemenizi öneririz. Ek bir önlem, güvenlik duvarının oturum açmak yerine yerel konsoldan ilk yapılandırması olabilir. ssh... Ayrıca IPFIREWALL ve IPFIREWALL_DEFAULT_TO_ACCEPT parametreleri ile bir çekirdek oluşturmak da mümkündür. Bu durumda, varsayılan IPFW kuralı, olası engellemeyi önleyecek şekilde ip'e herhangi birinden herhangi birine izin verecek şekilde değiştirilecektir.

IPFW ile ilgili dört çekirdek ayar parametresi vardır:

seçenekler IPFIREWALL

Çekirdekte paket filtreleme kodunu içerir.

Seçenekler IPFIREWALL_VERBOSE

Paketlerin günlüğe kaydedilmesini sağlar sistem günlüğü (8)... Bu parametre olmadan, paketleri günlüğe kaydetmek için filtreleme kurallarında belirtseniz bile çalışmayacaktır.

Seçenekler IPFIREWALL_VERBOSE_LIMIT = 10

aracılığıyla her bir kural tarafından günlüğe kaydedilen paketlerin sayısını sınırlar. sistem günlüğü (8)... Güvenlik duvarını günlüğe kaydetmek istiyor ancak sistem günlüğünü taşarak bir DoS saldırısına izin vermek istemiyorsanız bu parametreyi kullanabilirsiniz.

Zincirdeki kurallardan biri parametre tarafından belirtilen sınıra ulaştığında, o kuralın kaydı devre dışı bırakılır. Günlüğe kaydetmeyi etkinleştirmek için yardımcı programı kullanarak ilgili sayacı sıfırlamanız gerekir. ipfw (8) :

# ipfw sıfır 4500

burada 4500, günlüğe kaydetmeye devam etmek istediğiniz kuralın numarasıdır.

Seçenekler IPFIREWALL_DEFAULT_TO_ACCEPT

"Reddet" olan varsayılan kuralı "izin ver" olarak değiştirir. Bu, çekirdek IPFIREWALL desteğiyle önyüklenirse ancak güvenlik duvarı henüz yapılandırılmamışsa olası engellemeyi önler. kullanıyorsanız bu parametre de yararlıdır. ipfw (8) ortaya çıktıkça belirli sorunlar için bir çare olarak. Ancak, güvenlik duvarını açtığı ve davranışını değiştirdiği için bu parametreyi dikkatli kullanın.

Yorum Yap: FreeBSD'nin önceki sürümleri IPFIREWALL_ACCT parametresini içeriyordu. Kod otomatik olarak hesap oluşturmayı etkinleştirdiği için bu parametre kullanımdan kaldırılmıştır.

14.9.4. IPFW'yi Yapılandırma

IPFW yazılımı, yardımcı program kullanılarak yapılandırılır ipfw (8)... Bu komutun sözdizimi çok karmaşık görünüyor, ancak yapısını anladığınızda nispeten basit hale geliyor.

Yardımcı program şu anda dört farklı komut kategorisi kullanır: ekleme / silme, listeleme, temizleme ve temizleme. Ekle/Kaldır, paketlerin nasıl kabul edildiğine, bırakıldığına ve günlüğe kaydedildiğine ilişkin kurallar oluşturmak için kullanılır. Görüntüleme, bir dizi kuralın (zincir olarak da adlandırılır) ve paket sayaçlarının (muhasebe) içeriğini belirlemek için kullanılır. Sıfırlama, zincirdeki tüm kuralları temizlemek için kullanılır. Temizleme, bir veya daha fazla sayacı sıfırlamak için kullanılır.

14.9.4.1. IPFW kurallarını değiştirme

ipfw [-N] komut [sayı] eylem protokol adresi [parametreler]

Bu komut biçimini kullanırken kullanılabilen bir bayrak vardır:

Görüntülendiğinde adreslerin ve hizmet adlarının çözünürlüğü.

Verilen emretmek daha kısa benzersiz bir şekle kısaltılabilir. Var olan komutlar :

Filtreleme/hesaplama listesine kural ekleme

Filtreleme/hesaplama listesinden bir kuralın kaldırılması

IPFW'nin önceki sürümleri, paket filtreleme ve hesaplama için ayrı girişler kullanırdı. Modern sürümler, her kural için paketleri dikkate alır.

değer belirtilirse oda, kuralı zincirde belirli bir konuma yerleştirmek için kullanılır. Aksi takdirde kural, zincirin sonuna bir önceki kuralın 100 fazlası ile yerleştirilir (buna 65535 numaralı varsayılan kural dahil değildir).

Günlük parametresiyle, çekirdek IPFIREWALL_VERBOSE seçeneğiyle oluşturulmuşsa, ilgili kurallar sistem konsoluna bilgi verir.

Var olan hareketler :

Paketi atın ve ICMP kaynak adresine erişilemeyen bir ICMP ana bilgisayarı veya bağlantı noktası paketi gönderin.

Paketi her zamanki gibi atlayın. (eş anlamlılar: geçmek, izin vermek ve kabul etmek)

Paketi bırak. Kaynağa hiçbir ICMP mesajı gönderilmez (paket hedefe hiç ulaşmamış gibi).

Paket sayacını güncelleyin, ancak buna izin verme/reddetme kurallarını uygulamayın. Arama, zincirdeki bir sonraki kuralla devam edecek.

Her biri eylem daha kısa benzersiz bir önek olarak yazılabilir.

Aşağıdaki tanımlanabilir protokoller :

Tüm IP paketleriyle eşleşir

ICMP paketlerine karşılık gelir

TCP paketlerine karşılık gelir

UDP paketlerine karşılık gelir

Alan adreslerşu şekilde oluşur:

bir kaynak adres / maske [Liman] hedef adres / maske [Liman]

belirtebilirsiniz Liman sadece birlikte protokoller bağlantı noktalarını destekleyen (UDP ve TCP).

via parametresi isteğe bağlıdır ve yerel IP arabiriminin IP adresini veya etki alanı adını veya arabirim adını (örneğin ed0) içerebilir, kuralı yalnızca bu arabirimden geçen paketlerle eşleşecek şekilde yapılandırır. Arayüz numaraları isteğe bağlı bir maske ile değiştirilebilir. Örneğin, ppp *, PPP çekirdek arayüzleriyle eşleşecektir.

Belirtmek için kullanılan sözdizimi adresler / maskeler:

adres veya adres/maske bitleri veya adres:maske şablonu

Bir IP adresi yerine mevcut bir ana bilgisayar adı belirtilebilir. maske bitleri adres maskesinde ayarlanacak bit sayısını gösteren ondalık bir sayıdır. Örneğin, 192.216.222.1/24, tüm C sınıfı alt ağ adresleriyle eşleşen bir maske oluşturacaktır (bu durumda, 192.216.222). IP adresi yerine geçerli bir ana bilgisayar adı belirtilebilir. maske şablonu bu, verilen adresle mantıksal olarak çarpılacak olan IP'dir. Any anahtar sözcüğü, "herhangi bir IP adresi" anlamında kullanılabilir.

Bağlantı noktası numaraları aşağıdaki biçimde belirtilir:

Liman [,Liman [,Liman [.]]]

Tek bir bağlantı noktası veya bağlantı noktası listesi belirtmek için veya

Liman-Liman

Bir dizi bağlantı noktası belirtmek için. Ayrıca tek bir aralığı bir bağlantı noktası listesiyle birleştirebilirsiniz, ancak aralık her zaman önce gelmelidir.

Mevcut seçenekler :

Paket datagramdaki ilk paket değilse tetiklenir.

Gelen paketlerle eşleşir.

Giden paketlerle eşleşir.

Ipoptions özellik

IP başlığı, içinde belirtilen virgülle ayrılmış bir parametre listesi içeriyorsa tetiklenir. özellik... Desteklenen IP parametreleri ssrr (katı kaynak yolu), lsrr (gevşek kaynak yolu), rr (kayıt paket yolu) ve ts'dir (zaman damgası). Bireysel parametrelerin etkisi ! öneki belirtilerek değiştirilebilir.

Kurulmuş

Paket önceden kurulmuş bir TCP bağlantısının parçasıysa (yani, RST veya ACK bitleri ayarlanmışsa) tetiklenir. ile bir kural koyarak güvenlik duvarınızın performansını artırabilirsiniz. kurulmuş zincirin başlangıcına yakın.

Paket bir TCP bağlantısı kurma girişimiyse (SYN biti ayarlanmış ve ACK biti ayarlanmamışsa) eşleşir.

Tcp bayrakları bayraklar

TCP başlığı virgülle ayrılmış bir liste içeriyorsa tetiklenir bayraklar... Desteklenen bayraklar fin, syn, rst, psh, ack ve urg'dir. Bireysel bayraklar için kuralların etkisi ! öneki belirtilerek değiştirilebilir.

Icmptype'ler türleri

ICMP paket türü listedeyse tetiklenir türleri... Liste, virgülle ayrılmış herhangi bir aralık ve / veya bireysel tür kombinasyonu olarak belirtilebilir. Yaygın olarak kullanılan ICMP türleri, 0 yankı yanıtı (ping yanıtı), 3 hedefe ulaşılamaz, 5 yeniden yönlendirme, 8 yankı isteği (ping isteği) ve 11 zaman aşıldı (TTL'nin sona erdiğini belirtmek için kullanılır, olduğu gibi izleme yolu (8)).

14.9.4.2. IPFW Kurallarını Görüntüleme

Komutun bu formunun sözdizimi şöyledir:

ipfw [-a] [-c] [-d] [-e] [-t] [-N] [-S] listesi

Bu komut biçimi için yedi bayrak vardır:

Sayaç değerlerini göster. Bu parametre, sayaç değerlerini görüntülemenin tek yoludur.

Kuralları kompakt bir biçimde görüntüleyin.

Statik olanlara ek olarak dinamik kuralları gösterin.

-d seçeneği belirtilmişse, süresi dolmuş dinamik kuralları da göster.

Zincirdeki her kural için son vuruş zamanını görüntüleyin. Bu liste, tarafından kabul edilen sözdizimi ile uyumlu değil. ipfw (8) .

Verilen adresleri ve hizmet adlarını çözmeye çalışın.

Her kuralın ait olduğu kümeyi görüntüleyin. Bu bayrak belirtilmezse, engellenen kurallar görüntülenmez.

14.9.4.3. IPFW kurallarını sıfırla

Kuralları sıfırlamanın sözdizimi şöyledir:

Çekirdek tarafından belirlenen varsayılan kural (sayı 65535) dışında, zincirdeki tüm kurallar kaldırılacaktır. Kuralları sıfırlarken dikkatli olun; varsayılan paket bırakma kuralı, izin veren kurallar zincire eklenene kadar sistemin ağ bağlantısını kesecektir.

14.9.4.4. IPFW Paket Sayaçlarını Temizleme

Bir veya daha fazla paket sayacını temizlemek için sözdizimi şöyledir:

ipfw sıfır [ dizin]

Argümansız kullanıldığında oda tüm paket sayaçları temizlenecektir. Eğer dizin belirtilen, temizleme işlemi yalnızca belirtilen zincirleme kuralı için geçerlidir.

14.9.5. için komut örnekleri ipfw

Aşağıdaki komut, kötü.crackers.org ana bilgisayarından nice.people.org ana bilgisayarının telnet bağlantı noktasına giden tüm paketleri reddedecektir:

# ipfw kötü.crackers.org'dan nice.people.org'a inkar tcp'sini ekleyin 23

Aşağıdaki örnek, crackers.org'dan (C sınıfı) nice.people.org'a (herhangi bir bağlantı noktasında) tüm TCP trafiğini devre dışı bırakır ve günlüğe kaydeder.

# ipfw kötü.crackers.org/24 adresinden nice.people.org'a reddet log tcp ekleyin

Ağınıza (C sınıfı bir ağın parçası) X oturumlarının organizasyonunu reddetmek istiyorsanız, aşağıdaki komut gerekli filtrelemeyi gerçekleştirecektir:

# ipfw, herhangi birinden my.org/28 6000 kurulumuna reddetme tcp'sini ekleyin

Muhasebe kayıtlarını görüntülemek için:

# ipfw -bir liste veya steno # ipfw -a l

Ayrıca, şu komutu kullanarak kuralların en son ne zaman başlatıldığını da görüntüleyebilirsiniz:

14.9.6. Paket filtreleme güvenlik duvarı oluşturma

İlk kez bir güvenlik duvarı kurarken, performansı test etmeden ve sunucuyu çalıştırmadan önce, komutların günlüğe kaydedilen sürümlerinin kullanılması ve çekirdekte oturum açmanın etkinleştirilmesi şiddetle tavsiye edilir. Bu, sorunlu alanları hızlı bir şekilde belirlemenize ve kurulumunuzu zahmetsizce düzeltmenize olanak tanır. İlk yapılandırma tamamlandıktan sonra bile, olası saldırıları izlemenize ve gereksinimlerin değişmesi durumunda güvenlik duvarı kurallarını değiştirmenize olanak tanıdığından, "reddet" için günlük kaydı kullanılması önerilir.

Yorum Yap: Kabul etmenin günlüğe kaydedilen sürümünü kullanıyorsanız, oluşturabileceğinden dikkatli olun. büyük protokol verilerinin miktarı. Güvenlik duvarından geçen her paket günlüğe kaydedilecek, bu nedenle büyük hacimli FTP / http ve diğer trafik sistemi önemli ölçüde yavaşlatacaktır. Çekirdeğin paketi geçirmeden önce fazladan iş yapması gerektiğinden, bu tür paketlerin gecikmesini de artıracaktır. sistem günlüğü ayrıca diske fazladan veri göndereceği için çok daha fazla CPU zamanı kullanır ve / var / log bölümü hızla dolabilir.

/etc/rc.conf.local veya /etc/rc.conf dosyasında güvenlik duvarını etkinleştirmeniz gerekir. İlgili kılavuz sayfası tam olarak ne yapılması gerektiğini açıklar ve hazır ayar örnekleri içerir. Önceden tanımlanmış bir ayar kullanmazsanız, ipfw list komutu, geçerli kural kümesini sistem başlangıç ​​dosyalarına yerleştirilebileceği bir dosyaya koyabilir. Güvenlik duvarını etkinleştirmek için /etc/rc.conf.local veya /etc/rc.conf kullanmıyorsanız, arayüzleri yapılandırdıktan sonra etkinleştirildiğinden emin olmak önemlidir.

Ardından, belirlemeniz gerekir tam olarak ne güvenlik duvarınızı yapar! Esas olarak ağınızı dışarıdan ne kadar geniş açmak istediğinize bağlıdır. İşte bazı genel kurallar:

1024'ün altındaki TCP bağlantı noktalarına dışarıdan erişimi engelleyin. Parmak, SMTP (posta) ve telnet gibi güvenlik açısından kritik hizmetlerin çoğu burada bulunur.

Engellemek bütün gelen UDP trafiği. UDP üzerinde çok az sayıda yararlı hizmet vardır, ancak bunlar genellikle bir güvenlik riski oluştururlar (örn. Sun RPC ve NFS protokolleri). UDP bağlantıları desteklemediğinden ve gelen paketleri reddetmek, giden UDP trafiğine verilen yanıtları da engelleyeceğinden, bu yöntemin dezavantajları da vardır. Bu, harici UDP sunucuları kullananlar için bir sorun olabilir. Bu hizmetlere erişimi açmak istiyorsanız, ilgili bağlantı noktalarından gelen paketlere izin vermeniz gerekecektir. örneğin, için ntp 123 numaralı bağlantı noktasından gelen paketlere izin vermeniz gerekebilir.

Dışarıdan gelen tüm trafiği 6000 numaralı bağlantı noktasına engelleyin. 6000 numaralı bağlantı noktası, X11 sunucularına erişmek için kullanılır ve bir güvenlik riski oluşturabilir (özellikle kullanıcılar iş istasyonlarında xhost + çalıştırma alışkanlığındaysa). X11, 6000'den başlayan bir bağlantı noktası aralığı kullanabilir, üst sınır, makinede çalıştırılabilen X ekranlarının sayısıyla belirlenir. RFC 1700 (Atanan Numaralar) tarafından tanımlanan üst sınır 6063'tür.

Dahili hizmetler tarafından kullanılan bağlantı noktalarını kontrol edin (örn. SQL sunucuları, vb.). Genellikle yukarıdaki 1-1024 aralığına düşmediklerinden, bu bağlantı noktalarını da engellemek muhtemelen iyi bir fikirdir.

Güvenlik duvarı ayarlarını kontrol etmek için başka bir kontrol listesi, http://www.cert.org/tech_tips/packet_filtering.html adresinde CERT'de mevcuttur.

Yukarıda belirtildiği gibi, tüm bu kurallar sadece yönetmek ... Güvenlik duvarında hangi filtreleme kurallarının kullanılacağına kendiniz karar verebilirsiniz. Yukarıdaki tavsiyelere uymuş olsanız bile, ağınızın tehlikeye girmesi durumunda HİÇBİR sorumluluk kabul edemeyiz.

14.9.7. Genel gider ve IPFW Optimizasyonu

Birçok kullanıcı, sisteme ne kadar IPFW yüklediğini bilmek ister. Cevap esas olarak bir dizi kurala ve işlemcinin hızına bağlıdır. Çoğu Ethernet uygulaması için küçük bir dizi kuralla, cevap "ihmal edilebilir"dir. Daha kesin bir cevaba ihtiyaç duyanlar için bu bölüm amaçlanmıştır.

Sonraki ölçümler 2.2.5-STABLE'dan 486-66'ya alındı. (Daha sonraki FreeBSD sürümlerinde IPFW biraz değişmiş olsa da, hız kabaca aynı kalmıştır.) IPFW, ip_fw_chk tarafından geçen süreyi ölçmek için değiştirildi ve sonuç her 1000'inci paketten sonra konsola yazdırıldı.

1000 kurallık iki set test edildi. İlki, bir kuralı tekrarlayarak kötü bir kurallar dizisini göstermek için yazılmıştır:

# ipfw tcp'yi herhangi birinden herhangi birine 55555'e ekle

IPFW kurallarının çoğu taranan paketlerle eşleşmediğinden (port numarasından dolayı) bu kurallar dizisi kötüdür. Bu kuralın 999. yinelemesinden sonra, kural, herhangi birinden herhangi birine ip izin verir.

İkinci kural grubu, her kuralı hızlı bir şekilde test etmek için tasarlanmıştır:

# ipfw 1.2.3.4'ten 1.2.3.4'e red ipi ekleyin

Yukarıdaki kuralda eşleşmeyen bir kaynak IP adresi, bu kuralların çok hızlı bir şekilde kontrol edilmesini sağlar. Daha önce olduğu gibi, kural 1000, herhangi birinden herhangi birine ipe izin vermektir.

İlk durumda bir paketi kontrol etmenin maliyeti yaklaşık 2.703 ms/paket veya kural başına yaklaşık 2.7 mikrosaniyedir. Tarama hızı için teorik sınır, saniyede yaklaşık 370 pakettir. 10 Mbps Ethernet bağlantısı ve yaklaşık 1500 baytlık bir paket boyutu varsayarsak, yalnızca %55,5 bant genişliği kullanımı elde ederiz.

İkinci durumda, her paket yaklaşık 1.172 ms'de veya kural başına yaklaşık 1.2 mikrosaniyede kontrol edildi. Teorik hız limiti saniyede 853 paket civarındadır ve bu da 10 Mbps Ethernet bant genişliğinin tam kullanımını mümkün kılar.

Çok sayıda kontrol edilen kural ve formları, normal koşullara yakın bir resim oluşturmaya izin vermiyor - bu kurallar sadece kontrol zamanı hakkında bilgi almak için kullanıldı. Etkili bir kural seti oluşturmak için dikkate alınması gereken bazı yönergeler şunlardır:

Çoğu TCP trafiğini işlemek için mümkün olan en kısa sürede yerleşik bir kuralı yerleştirin. Önüne tcp izin ver kurallarını koymayın.

Sık kullanılan kuralları setin başlangıcına nadiren kullanılanlardan daha yakın yerleştirin (elbette, tüm setin hareketini değiştirmeden ). ipfw -a l komutu ile paket sayaçlarını kontrol ederek en sık kullanılan kuralları belirleyebilirsiniz.

\\ 06.04.2012 17:16

Güvenlik duvarı, yetkisiz erişimi, verilerin hasar görmesini veya çalınmasını veya ağın performansını etkileyebilecek diğer olumsuz etkileri önlemek için bir dizi görevdir.

Güvenlik duvarı olarak da adlandırılır güvenlik duvarı(İngilizce Güvenlik Duvarından) veya ağ geçidindeki bir güvenlik duvarı, dahili kaynaklara olan uzak bağlantıyı korurken İnternet'e güvenli kullanıcı erişimi sağlamanıza olanak tanır. güvenlik duvarı ağ segmentleri arasında geçen tüm trafiğe bakar ve her paket için bir karar uygular - geçmek veya geçmemek. Esnek bir güvenlik duvarı kuralları sistemi, çok sayıda parametreyle bağlantıları reddetmenize veya izin vermenize olanak tanır: adresler, ağlar, protokoller ve bağlantı noktaları.

Yerel ve harici ağlar arasındaki trafiği kontrol etme yöntemleri

Paket filtreleme. Gelen paketin filtrelerde belirtilen koşulları sağlayıp sağlamadığına bağlı olarak ağa geçirilir veya atılır.

Durum denetimi. Bu durumda, bir Güvenlik Duvarı uygulamanın en gelişmiş yollarından biri olan gelen trafiğin denetimi gerçekleştirilir. İnceleme, tüm paketi analiz etmek değil, yalnızca özel anahtar parçasını analiz etmek ve izin verilen kaynakların veritabanından önceden bilinen değerlerle karşılaştırmak anlamına gelir. Bu yöntem, en yüksek Güvenlik Duvarı performansını ve en düşük gecikmeyi sağlar.

Proxy sunucusu Bu durumda, yerel ve harici ağlar arasında, gelen ve giden tüm trafiğin geçmesi gereken bir "geçit" görevi gören ek bir proxy sunucu cihazı kurulur.

güvenlik duvarı trafiği geçirmekten sorumlu filtreleri yapılandırmanıza olanak tanır:

IP adresi. Bir adres veya belirli bir aralık belirleyerek, onlardan paket almayı yasaklayabilir veya tam tersine yalnızca bu IP adreslerinden erişime izin verebilirsiniz.

- Liman. Güvenlik duvarı, uygulamalar için ağ hizmetlerine erişim noktalarını yapılandırabilir. Örneğin, ftp 21 numaralı bağlantı noktasını ve web tarama uygulamaları 80 numaralı bağlantı noktasını kullanır.

Protokol. Güvenlik duvarı, yalnızca bir protokolün geçmesine izin verecek veya onu kullanarak erişimi engelleyecek şekilde yapılandırılabilir. Çoğu zaman, protokol türü gerçekleştirdiği görevler, kullandığı uygulama ve bir dizi koruma parametresi hakkında konuşabilir. Bu bağlamda, erişim yalnızca belirli bir uygulamanın çalışması için yapılandırılabilir ve diğer tüm protokoller kullanılarak potansiyel olarak tehlikeli erişimi engeller.

Alan adı. Bu durumda, filtre belirli kaynakların bağlantılarını reddeder veya bunlara izin verir. Bu, istenmeyen hizmetlerden ve ağ uygulamalarından erişimi reddetmenize veya tam tersine yalnızca bunlara erişime izin vermenize olanak tanır.

Bu belirli ağa özgü diğer filtre parametreleri, içinde gerçekleştirilen görevlere bağlı olarak yapılandırmak için kullanılabilir.

Çoğu zaman, bir güvenlik duvarı, örneğin virüsten koruma yazılımı gibi diğer koruma araçlarıyla birlikte kullanılır.

Güvenlik duvarı nasıl çalışır?

güvenlik duvarı yapılabilir:

Donanım. Bu durumda, bilgisayar ile İnternet arasında bulunan bir yönlendirici, bir donanım güvenlik duvarı görevi görür. Güvenlik duvarına birkaç bilgisayar bağlanabilir ve hepsi yönlendiricinin bir parçası olan bir güvenlik duvarı tarafından korunacaktır.

Programlı olarak. Kullanıcının bilgisayarına yüklediği özel yazılım olan en yaygın güvenlik duvarı türü.

Yerleşik güvenlik duvarına sahip bir yönlendirici bağlansa bile, her bilgisayara ayrı ayrı ek bir yazılım güvenlik duvarı yüklenebilir. Bu durumda, bir saldırganın sisteme girmesi daha zor olacaktır.

Resmi belgeler

1997 yılında, Rusya Federasyonu Başkanı altında Devlet Teknik Komisyonu'nun Kılavuz Belgesi "Bilgisayar tesisleri. Güvenlik duvarları. NSD'den bilgiye koruma. NSD'den bilgiye güvenlik göstergeleri" kabul edildi. Bu belge, her biri belirli bir minimum bilgi güvenliği gereksinimleri grubu ile karakterize edilen beş güvenlik duvarı güvenlik sınıfı oluşturur.

1998'de başka bir belge geliştirildi: "Güvenlik duvarı gibi cihazlar için zaman gereksinimleri." Bu belgeye göre, kriptografik araçlar içeren otomatik sistemlerde bilgileri korumak için kullanılan 5 güvenlik duvarı güvenliği sınıfı oluşturulmuştur.

Ve 2011 yılından itibaren güvenlik duvarlarının sertifikalandırılmasına ilişkin mevzuatın gereklilikleri yürürlüğe girmiştir. Bu nedenle, kurumsal ağda kişisel verilerle çalışma yapılırsa, Federal İhracat Kontrol Servisi (FSTEC) tarafından onaylanmış bir güvenlik duvarı kurulması gerekir.

Son zamanlarda, internette mahremiyeti sınırlama eğilimi olmuştur. Bunun nedeni, İnternet'in devlet düzenlemesi tarafından kullanıcıya uygulanan kısıtlamalardır. İnternetin devlet düzenlemesi birçok ülkede (Çin, Rusya, Beyaz Rusya) mevcuttur.

Runet'te Dolandırıcılık "Asya Alan Adı Kaydı Dolandırıcılığı"! Bir alan adı kaydettiniz veya satın aldınız ve üzerinde bir web sitesi oluşturdunuz. Yıllar geçiyor, site gelişiyor ve popüler hale geliyor. Zaten ondan gelen gelir "damladı". Gelirinizi alırsınız, alan adı, barındırma ve diğer masrafları ödersiniz...

Bilgi ve beceriler için gereksinimler

Öğrenci şunları bilmelidir:

• güvenlik duvarı mekanizması.

Öğrenci şunları yapabilmelidir:

• bilgi sistemlerini korumak için güvenlik duvarlarını seçin.

anahtar terim

Anahtar terim: Güvenlik duvarı korumalı.

güvenlik duvarı veya güvenlik duvarı (güvenlik duvarı) - bilgi sistemine giren ve/veya çıkan bilgi akışlarını kontrol eden ve bilgileri filtreleyerek bilgi sisteminin korunmasını sağlayan yazılım veya yazılım ve donanım sistemi.

ikincil terimler

• Güvenlik duvarlarının sınıflandırılması.

• Güvenlik duvarlarının özellikleri.

Terimlerin blok şeması

4.5.1 Güvenlik duvarlarının sınıflandırılması

Dağıtılmış bilgisayar ağlarının bilgi güvenliğini sağlamak için etkili mekanizmalardan biri, korunan ağın sınırında bilgi akışlarını sınırlama işlevlerini yerine getiren korumadır.

Güvenlik duvarı, dış ortamdan gelen yetkisiz istekleri yok sayarak iç ağdaki nesnelerin güvenliğini artırır, böylece bilgi güvenliğinin tüm bileşenlerini sağlar. Erişim kontrol işlevlerine ek olarak, tarama, bilgi alışverişlerinin kaydedilmesini sağlar.

güvenlik duvarı veya bilgi sistemine giren ve/veya çıkan bilgi akışlarını kontrol eden ve bilgileri filtreleyerek bilgi sisteminin korunmasını sağlayan yazılım veya donanım-yazılım sistemi olarak anlaşılan güvenlik duvarı. Bilgilerin filtrelenmesi, bilgilerin bir dizi kritere dayalı olarak analiz edilmesinden ve alınması ve / veya iletilmesi hakkında karar verilmesinden oluşur.

Güvenlik duvarları aşağıdaki kriterlere göre sınıflandırılır:

• ağdaki konumda - sırasıyla harici bir ağdan veya ağ segmentleri arasında koruma sağlayan harici ve dahili olarak;

• OSI / ISO referans modeliyle tutarlı filtreleme seviyesi.

Harici güvenlik duvarları genellikle yalnızca global İnternet TCP/IP protokolü ile çalışır. Dahili güvenlik duvarları birden fazla protokolü destekleyebilir, örneğin bir Novell Netware ağ işletim sistemi kullanılırken SPX / IPX protokolü dikkate alınmalıdır.

4.5.2 Güvenlik duvarlarının özellikleri

Tüm güvenlik duvarlarının çalışması, OSI modelinin farklı katmanlarından gelen bilgilerin kullanımına dayanmaktadır. Tipik olarak, güvenlik duvarının paketleri filtrelediği OSI katmanı ne kadar yüksekse, sağladığı koruma düzeyi de o kadar yüksek olur.

Güvenlik duvarları dört türe ayrılır:

• paket filtreleme güvenlik duvarları;

• oturum düzeyinde ağ geçitleri;

• uygulama seviyesi ağ geçitleri;

• uzman düzeyinde güvenlik duvarları.

Tablo 1. ISO OSI modelinin güvenlik duvarı türleri ve katmanları

№	Seviye OSI modelleri	Protokol	Bir çeşit güvenlik duvarı
1	Uygulamalı	Telnet, FTP, DNS, NFS, SMTP, HTTP	· Uygulama seviyesi ağ geçidi; · Uzman düzeyinde güvenlik duvarı.
2	Veri görünümleri
3	Oturum, toplantı, celse	TCP, UDP	Oturum katmanı ağ geçidi
4	Ulaşım	TCP, UDP
5	Ağ	IP, ICMP	Paket filtreleme güvenlik duvarı
6	kanal
7	Fiziksel

Paket filtreleme güvenlik duvarları gelen ve giden paketleri filtrelemek için yapılandırılmış yönlendiriciler veya sunucu tarafı programlardır. Bu nedenle, bu ekranlara bazen paket filtreler denir. Filtreleme, kaynak ve hedef IP adreslerinin yanı sıra gelen TCP ve UDP paketlerinin portları analiz edilerek ve yapılandırılmış bir kural tablosu ile karşılaştırılarak gerçekleştirilir. Bu güvenlik duvarlarının kullanımı kolaydır, ucuzdur ve bilgi işlem performansı üzerinde minimum etkiye sahiptir. Başlıca dezavantajı, IP adreslerini sızdırırken güvenlik açığıdır. Ek olarak, yapılandırmaları karmaşıktır: kurulumları ağ, taşıma ve uygulama protokolleri hakkında bilgi gerektirir.

Oturum düzeyinde ağ geçitleri iletişim oturumunun kabul edilebilirliğini kontrol edin. İstenen oturumun geçerli olup olmadığını belirlemek için yetkili istemci ile harici ana bilgisayar (ve tersi) arasındaki anlaşmayı izlerler. Paketleri filtrelerken, oturum katmanı ağ geçidi, TCP oturum katmanı paket başlıklarında bulunan bilgilere dayanır, yani bir paket filtreleme güvenlik duvarından iki katman daha yüksek çalışır. Ek olarak, bu sistemler genellikle dahili IP adreslerini gizleyen ve böylece IP sahtekarlığını ortadan kaldıran bir ağ adresi çeviri işlevine sahiptir. Ancak, bu tür güvenlik duvarları, çeşitli hizmetler tarafından oluşturulan paketlerin içeriği üzerinde denetimden yoksundur. Bu dezavantajı ortadan kaldırmak için uygulama düzeyinde ağ geçitleri kullanılır.

Uygulama ağ geçitleri ağ geçidinden geçen her paketin içeriğini inceler ve hizmet vermekle görevlendirildikleri uygulama protokollerindeki belirli türdeki komutları veya bilgileri filtreleyebilir. Uygulama proxy'leri veya aracıları kullanan daha gelişmiş ve güvenilir bir güvenlik duvarı türüdür. Aracılar, belirli İnternet hizmetleri (HTTP, FTP, telnet vb.) için tasarlanmıştır ve ağ paketlerini geçerli veriler için kontrol etmek için kullanılır.

Uygulama ağ geçitleri, ara yazılımda yeniden işleme nedeniyle sistem performansını düşürür. Bu, düşük hızlı kanallarda çalışırken İnternette çalışırken görünmez, ancak dahili bir ağda çalışırken çok önemlidir.

Uzman düzeyinde güvenlik duvarları, yukarıda açıklanan üç kategorinin tüm öğelerini birleştirir. Paket filtreleme güvenlik duvarları gibi, OSI modelinin ağ katmanında çalışırlar, gelen ve giden paketleri IP adreslerini ve port numaralarını kontrol etmeye dayalı olarak filtrelerler. Uzman düzeyinde güvenlik duvarları, paketlerin doğru oturumda olup olmadığını belirleyerek oturum düzeyinde bir ağ geçidi görevi de görür. Son olarak, uzman güvenlik duvarları, her paketin içeriğini kuruluşun güvenlik politikasına göre değerlendiren, uygulama düzeyinde bir ağ geçidi görevi görür.

Uzman güvenlik duvarları, uygulamayla ilgili proxy'ler kullanmak yerine, uygulama düzeyinde verileri tanımak ve işlemek için özel algoritmalar kullanır. Bu algoritmalar kullanılarak paketler, teoride daha verimli paket filtreleme sağlaması gereken bilinen veri kalıplarıyla karşılaştırılır.

Konuyla ilgili sonuçlar

1. Güvenlik duvarı, dış ortamdan gelen yetkisiz istekleri yok sayarak iç ağdaki nesnelerin güvenliğini artırır, böylece bilgi güvenliğinin tüm bileşenlerini sağlar. Erişim kontrol işlevlerine ek olarak, tarama, bilgi alışverişlerinin kaydedilmesini sağlar.

2. Ekranlama işlevleri şu şekilde gerçekleştirilir: güvenlik duvarı veya bilgi sistemine giren ve/veya çıkan bilgi akışlarını kontrol eden ve bilgileri filtreleyerek bilgi sisteminin korunmasını sağlayan yazılım veya donanım-yazılım sistemi olarak anlaşılan güvenlik duvarı.

3. Güvenlik duvarları şu kriterlere göre sınıflandırılır: ağdaki konum ve OSI / ISO referans modeline karşılık gelen filtreleme seviyesi.

4. Harici güvenlik duvarları genellikle yalnızca global İnternet TCP/IP protokolü ile çalışır. Dahili güvenlik duvarları birden çok protokolü destekleyebilir.

5. Güvenlik duvarları dört türe ayrılır:

• paket filtreleme güvenlik duvarları;

• oturum düzeyinde ağ geçitleri;

• uygulama seviyesi ağ geçitleri;

• güvenlik duvarı

  Güvenlik duvarı (Güvenlik Duvarı veya Güvenlik Duvarı), belirli bir yerel ağ veya bilgisayarla ilgili olarak harici bir ağdan gelen paket trafiğini filtrelemenin bir yoludur. Güvenlik Duvarı tarafından gerçekleştirilen görünüm ve görevlerin nedenlerini ele alalım. Modern bir veri iletim ağı, birbirleriyle önemli bir mesafe üzerinden etkileşime giren bir dizi uzak yüksek performanslı cihazdır. En büyük ölçekli veri ağlarından bazıları, İnternet gibi bilgisayar ağlarıdır. Aynı anda dünya çapında milyonlarca bilgi kaynağını ve tüketicisini kullanır. Bu ağın yaygın gelişimi, yalnızca bireyler tarafından değil, aynı zamanda büyük şirketler tarafından dünya çapındaki farklı cihazlarını tek bir ağda birleştirmek için kullanılmasına izin verir. Aynı zamanda, tek bir fiziksel kaynağa paylaşılan erişim, dolandırıcılara, virüslere ve rakiplere, son kullanıcılara zarar verme fırsatı sunar: saklanan bilgileri çalmak, bozmak, yerleştirmek veya yok etmek, yazılımın bütünlüğünü ihlal etmek ve hatta sonuncunun donanımını kaldırmak. istasyon. Bu istenmeyen etkileri önlemek için, Güvenlik Duvarı'nın sıklıkla kullanıldığı yetkisiz erişimi engellemek gerekir. Güvenlik Duvarı adı (duvar - English.wall'dan) amacını gizler, yani. korunan yerel ağ ile İnternet veya herhangi bir harici ağ arasında bir duvar görevi görür ve herhangi bir tehdidi önler. Yukarıdakilere ek olarak, güvenlik duvarı, İnternet'teki herhangi bir kaynağa / kaynaktan gelen trafiği filtrelemekle ilgili diğer işlevleri de gerçekleştirebilir.

  Firewall'un çalışma prensibi dışarıdan gelen trafiğin kontrolüne dayanmaktadır. LAN ve harici ağ arasındaki trafiği kontrol etmek için aşağıdaki yöntemler seçilebilir:

  1. Paket filtreleme- bir dizi filtre oluşturmaya dayalı. Gelen paketin filtrelerde belirtilen koşulları sağlayıp sağlamadığına bağlı olarak ağa geçirilir veya atılır.

  2. Proxy sunucu- yerel ve harici ağlar arasında, gelen ve giden tüm trafiğin geçmesi gereken bir "geçit" görevi gören ek bir proxy sunucu cihazı kurulur.

  3. Durum denetimi- Gelen trafiğin incelenmesi, Güvenlik Duvarı uygulamanın en gelişmiş yollarından biridir. İnceleme, tüm paketi analiz etmek değil, yalnızca özel anahtar parçasını analiz etmek ve izin verilen kaynakların veritabanından önceden bilinen değerlerle karşılaştırmak anlamına gelir. Bu yöntem, en yüksek Güvenlik Duvarı performansını ve en düşük gecikmeyi sağlar.

  Güvenlik duvarı, donanım veya yazılımda uygulanabilir. Spesifik uygulama, ağın ölçeğine, trafik miktarına ve gerekli görevlere bağlıdır. En yaygın Güvenlik Duvarı türü yazılım tabanlıdır. Bu durumda, örneğin hedef PC'de veya bir uç ağ aygıtında çalışan bir program şeklinde uygulanır. Donanım yürütmesi durumunda, Güvenlik Duvarı, genellikle yüksek performans özelliklerine sahip olan ancak benzer görevleri gerçekleştiren ayrı bir ağ öğesidir.

  Güvenlik duvarı, trafiğin geçmesinden sorumlu filtreleri aşağıdaki kriterlere göre yapılandırmanıza olanak tanır:

  1. IP adresi... Bildiğiniz gibi, protokol altında çalışan herhangi bir uç cihazın benzersiz bir adresi olmalıdır. Bir adres veya belirli bir aralık belirleyerek, onlardan paket almayı yasaklayabilir veya tam tersine yalnızca bu IP adreslerinden erişime izin verebilirsiniz.

  2. Alan adı... Bildiğiniz gibi, İnternet'teki bir siteye veya daha doğrusu IP adresine karşılık gelen bir alfasayısal ad atanabilir; bu, bir dizi sayıyı hatırlamaktan çok daha kolaydır. Böylece filtre, trafiği yalnızca kaynaklardan birine/kaynaklardan birine iletecek veya erişimi reddedecek şekilde yapılandırılabilir.

  3. Liman... Yazılım portlarından bahsediyoruz, yani. uygulamaların ağ hizmetlerine erişim noktaları. Örneğin, ftp 21 numaralı bağlantı noktasını kullanırken, web tarama uygulamaları 80 numaralı bağlantı noktasını kullanır. Bu, istenmeyen hizmetlerden ve ağ uygulamalarından erişimi reddetmenize veya tersine yalnızca bunlara erişime izin vermenize olanak tanır.

  4. Protokol... Güvenlik duvarı, yalnızca bir protokolün verilerini iletmek veya onu kullanarak erişimi reddetmek üzere yapılandırılabilir. Tipik olarak, protokol türü gerçekleştirdiği görevler, kullandığı uygulama ve bir dizi güvenlik parametresi hakkında konuşabilir. Bu nedenle, erişim yalnızca belirli bir uygulamanın çalışması için yapılandırılabilir ve diğer tüm protokolleri kullanarak potansiyel olarak tehlikeli erişimi engeller.

  Yukarıda sadece ayarlamanın yapılabileceği ana parametreler listelenmiştir. Ayrıca, o ağda gerçekleştirilen görevlere bağlı olarak, uygulanan ağa özgü başka filtre parametreleri de olabilir.

  Bu nedenle, Güvenlik Duvarı, yetkisiz erişimi, verilerin hasar görmesini veya çalınmasını veya ağın performansını etkileyebilecek diğer olumsuz etkileri önlemek için kapsamlı bir dizi görev sağlar. Tipik olarak, bir güvenlik duvarı, örneğin virüsten koruma yazılımı gibi diğer koruma araçlarıyla birlikte kullanılır.