Firewall

Firewall , firewall  - un software sau un element hardware-software al unei rețele de calculatoare care controlează și filtrează traficul de rețea care trece prin aceasta în conformitate cu regulile specificate [1] .

Alte titluri [2] :

• Brandmauer ( germană:  Brandmauer  - zid de foc ) - un termen împrumutat din limba germană;
• Firewall ( eng.  Firewall  - fire wall) - un termen împrumutat din engleză.

Numire

Printre sarcinile pe care le rezolvă firewall-urile, principala este protejarea segmentelor de rețea sau a gazdelor individuale de accesul neautorizat folosind vulnerabilități în protocoalele modelului de rețea OSI sau în software-ul instalat pe computerele din rețea. Firewall-urile permit sau refuza traficul prin compararea caracteristicilor acestuia cu modele date [3] .

Cel mai obișnuit loc pentru a instala firewall-uri este la marginea perimetrului rețelei locale pentru a proteja gazdele interne de atacurile externe. Totuși, atacurile pot începe și de la gazde interne - în acest caz, dacă gazda atacată este situată în aceeași rețea, traficul nu va traversa perimetrul rețelei și firewall-ul nu va fi activat. Prin urmare, în prezent, firewall-urile sunt plasate nu numai la graniță, ci și între diferite segmente de rețea, ceea ce oferă un nivel suplimentar de securitate [4] .

Istorie

Primele dispozitive care filtrau traficul de rețea au apărut la sfârșitul anilor 1980, când Internetul era nou și nu era folosit la scară globală. Aceste dispozitive erau routere care inspectau traficul pe baza informațiilor conținute în anteturile protocolului stratului de rețea . Ulterior, odată cu dezvoltarea tehnologiilor de rețea, aceste dispozitive au fost capabile să efectueze filtrarea traficului folosind date de protocol dintr-un nivel superior de transport . Routerele pot fi considerate prima implementare hardware și software a unui firewall [5] .

Firewall-urile software au apărut mult mai târziu și au fost mult mai tinere decât programele antivirus . De exemplu, proiectul Netfilter/iptables (unul dintre primele firewall-uri software integrate în nucleul Linux de la versiunea 2.4) a fost fondat în 1998. O astfel de apariție târzie este destul de de înțeles, deoarece pentru o lungă perioadă de timp antivirusul a rezolvat problema protejării computerelor personale de malware. Cu toate acestea, la sfârșitul anilor 1990, virușii au început să folosească în mod activ lipsa firewall-urilor pe computere, ceea ce a dus la creșterea interesului utilizatorilor pentru această clasă de dispozitive [6] .

Filtrarea traficului

Filtrarea traficului se bazează pe un set de reguli preconfigurate numite set de reguli . Este convenabil să ne gândim la un firewall ca la o secvență de filtre care procesează fluxul de informații. Fiecare dintre filtre este conceput pentru a interpreta o regulă separată. Secvența de reguli dintr-un set afectează semnificativ performanța unui firewall. De exemplu, multe firewall-uri compară în mod constant traficul cu regulile până când se găsește o potrivire. Pentru astfel de firewall-uri, regulile care se potrivesc cu cel mai mare trafic ar trebui plasate cât mai sus posibil în listă, crescând astfel performanța [7] [8] .

Există două principii pentru procesarea traficului de intrare. Primul principiu spune: „Este permis ceea ce nu este interzis în mod explicit”. În acest caz, dacă firewall-ul a primit un pachet care nu se încadrează sub nicio regulă, atunci acesta este transmis în continuare. Principiul opus – „Ceea ce nu este permis în mod explicit este interzis” – garantează o securitate mult mai mare, deoarece interzice tot traficul care nu este permis în mod explicit de reguli. Totuși, acest principiu se transformă într-o povară suplimentară pentru administrator [7] [8] .

În cele din urmă, firewall-urile efectuează una dintre cele două operațiuni asupra traficului de intrare: transmiteți pachetul ( permite ) sau renunțați la pachet ( deny ). Unele firewall-uri au o altă operațiune - respingere , în care pachetul este abandonat, dar expeditorul este informat că serviciul pe care încerca să îl acceseze nu este disponibil. În schimb, operația de refuzare nu informează expeditorul că serviciul este indisponibil, ceea ce este mai sigur [7] [8] .

Clasificarea firewall-urilor

Până în prezent, nu există o clasificare unificată și general recunoscută a firewall-urilor [9] . Cu toate acestea, în majoritatea cazurilor, nivelul suportat al modelului de rețea OSI este principala caracteristică în clasificarea lor. Având în vedere acest model, se disting următoarele tipuri de firewall-uri [10] [11] :

1. comutatoare gestionate.
2. filtre de pachete.
3. Gateway-uri la nivel de sesiune.
4. Intermediarii stratului de aplicație.
5. Inspectori de stare.

Comutatoare gestionate

Switch -urile gestionate sunt uneori clasificate ca firewall-uri deoarece filtrează traficul dintre rețele sau nodurile de rețea. Cu toate acestea, ele operează la nivelul de legătură și separă traficul în cadrul rețelei locale, ceea ce înseamnă că nu pot fi utilizate pentru a procesa traficul din rețele externe (de exemplu, de pe Internet ) [11] .

Mulți producători de echipamente de rețea, cum ar fi Cisco , Nortel , 3Com , ZyXEL , oferă în switch-urile lor capacitatea de a filtra traficul pe baza adreselor MAC conținute în anteturile de cadre . De exemplu, în comutatoarele din familia Cisco Catalyst , această caracteristică este implementată folosind mecanismul Port Security . [12] . Cu toate acestea, această metodă de filtrare nu este eficientă, deoarece adresa MAC setată în hardware-ul plăcii de rețea poate fi schimbată cu ușurință prin software, deoarece valoarea specificată prin driver are o prioritate mai mare decât cea conectată pe placă [13] . Prin urmare, multe comutatoare moderne vă permit să utilizați alți parametri ca semn de filtrare - de exemplu, ID-ul VLAN . Tehnologia rețelelor locale virtuale ( ing.  Virtual Local Area Network ) vă permite să creați grupuri de gazde, al căror trafic este complet izolat de alte noduri de rețea [14] .

Atunci când implementați o politică de securitate într-o rețea corporativă , care se bazează pe comutatoare gestionate, acestea pot fi o soluție puternică și destul de ieftină. Interacționând numai cu protocoale de nivel de legătură, aceste firewall-uri filtrează traficul la o rată foarte mare. Principalul dezavantaj al acestei soluții este imposibilitatea analizării protocoalelor de niveluri superioare [15] .

Filtre de pachete

Filtrele de pachete operează la nivel de rețea și controlează trecerea traficului pe baza informațiilor conținute în antetul pachetului . Multe firewall-uri de acest tip pot funcționa cu antete de protocol și un nivel de transport mai ridicat (de exemplu, TCP sau UDP ). Filtrele de pachete au fost printre primele care au apărut pe piața firewall-ului și rămân până în prezent tipul cel mai comun dintre ele. Această tehnologie este implementată în marea majoritate a routerelor și chiar în unele switch -uri [16] .

La analizarea antetului unui pachet de rețea, pot fi utilizați următorii parametri [10] :

• adrese IP sursă și destinație ;
• tip de protocol de transport;
• anteturile domeniilor de serviciu ale protocoalelor nivelurilor de rețea și transport;
• portul sursă și destinație .

Destul de des este necesară filtrarea pachetelor fragmentate, ceea ce face dificilă identificarea unor atacuri . Multe atacuri de rețea exploatează această vulnerabilitate firewall prezentând pachete care conțin date interzise ca fragmente ale altui pachet de încredere. O modalitate de a face față acestui tip de atac este configurarea firewall-ului pentru a bloca pachetele fragmentate [17] . Unele firewall-uri pot defragmenta pachetele înainte de a le redirecționa către rețeaua internă, dar acest lucru necesită resurse suplimentare de la firewall-ul însuși, în special memorie. Defragmentarea ar trebui folosită foarte rezonabil, altfel un astfel de firewall poate deveni cu ușurință victima unui atac DoS [18] .

Filtrele de pachete pot fi implementate în următoarele componente ale infrastructurii de rețea [18] :

• routere de frontieră;
• Sisteme de operare;
• firewall-uri personale .

Deoarece filtrele de pachete verifică de obicei doar datele din anteturile stratului de rețea și transport, ele pot face acest lucru destul de rapid. Prin urmare, filtrele de pachete încorporate în routerele de frontieră sunt ideale pentru plasarea la marginea unei rețele cu încredere scăzută. Cu toate acestea, filtrelor de pachete le lipsește capacitatea de a analiza protocoalele straturilor superioare ale modelului de rețea OSI. În plus, filtrele de pachete sunt de obicei vulnerabile la atacurile care utilizează falsificarea adreselor de rețea . Astfel de atacuri sunt de obicei efectuate pentru a ocoli controlul accesului implementat de firewall [19] [20] .

Gateway la nivel de sesiune

Firewall -ul la nivel de sesiune exclude interacțiunea directă a gazdelor externe cu o gazdă situată în rețeaua locală, acționând ca un intermediar ( proxy englezesc  ) care răspunde la toate pachetele primite și verifică valabilitatea acestora pe baza fazei curente a conexiunii. Gateway-ul de nivel de sesiune garantează că niciun pachet de rețea nu va fi ratat dacă nu aparține unei conexiuni stabilite anterior. De îndată ce sosește o solicitare de conectare, informațiile corespunzătoare sunt plasate într-un tabel special (adresele expeditorului și destinației, protocoalele de rețea și de nivel de transport utilizate, starea conexiunii etc.). Dacă se stabilește conexiunea, pachetele transmise în cadrul acestei sesiuni vor fi pur și simplu copiate în rețeaua locală fără filtrare suplimentară. Când o sesiune de comunicare se termină, informațiile despre aceasta sunt eliminate din acest tabel. Prin urmare, toate pachetele ulterioare care „se prefac” a fi pachete ale unei conexiuni deja finalizate sunt aruncate [21] .

Deoarece acest tip de firewall exclude comunicarea directă între două gazde, gateway-ul la nivel de sesiune este singurul element de conectare între rețeaua externă și resursele interne. Acest lucru creează aspectul că toate solicitările din rețeaua externă primesc răspuns de către gateway și face aproape imposibilă determinarea topologiei rețelei protejate. În plus, deoarece contactul între noduri este stabilit doar dacă este permis, gateway-ul la nivel de sesiune previne posibilitatea unui atac DoS inerent filtrelor de pachete [22] .

În ciuda eficacității acestei tehnologii, aceasta are un dezavantaj serios: ca toate clasele de firewall de mai sus, gateway-urile la nivel de sesiune nu au capacitatea de a verifica conținutul câmpului de date, ceea ce permite unui atacator să transfere „ cai troieni ” către rețeaua protejată [23] .

Brokeri de strat de aplicație

Firewall -urile la nivel de aplicație , care, în special, includ firewall-ul aplicației web , precum și gateway-urile de nivel de sesiune, exclud interacțiunea directă a două noduri. Cu toate acestea, operând la nivelul aplicației, aceștia sunt capabili să „înțeleagă” contextul traficului transmis. Firewall-urile care implementează această tehnologie conțin mai multe aplicații intermediare ( proxy de aplicație engleză  ), fiecare dintre ele servește propriul protocol de aplicație. Un astfel de firewall este capabil să detecteze în mesajele transmise și să blocheze secvențe de comenzi inexistente sau nedorite, ceea ce înseamnă adesea un atac DoS, sau să interzică utilizarea anumitor comenzi (de exemplu, FTP PUT, care permite utilizatorului să scrie informații în server FTP).

Proxy-ul stratului de aplicație poate determina tipul de informații care trebuie transferate. De exemplu, acest lucru vă permite să blocați un mesaj de e-mail care conține un fișier executabil. O altă caracteristică a acestui tip de firewall este validarea argumentelor de intrare. De exemplu, un argument de nume de utilizator care are 100 de caractere sau conține date binare este cel puțin suspect.

Intermediarii din nivelul aplicației pot efectua autentificarea utilizatorului, precum și să verifice dacă certificatele SSL sunt semnate de o anumită autoritate . Firewall-urile la nivel de aplicație sunt disponibile pentru multe protocoale, inclusiv HTTP , FTP, mail ( SMTP , POP , IMAP ), Telnet și altele [24] [25] .

Dezavantajele acestui tip de firewall sunt timpul mare și resursele cheltuite pentru analiza fiecărui pachet. Din acest motiv, ele nu sunt în general potrivite pentru aplicații în timp real. Un alt dezavantaj este imposibilitatea conectării automate a suportului pentru noi aplicații și protocoale de rețea, deoarece fiecare dintre ele necesită propriul agent [26] .

Inspectori de stare

Fiecare dintre tipurile de firewall de mai sus este folosit pentru a proteja rețelele corporative și are o serie de avantaje. Cu toate acestea, ar fi mult mai eficient să colectați toate aceste avantaje într-un singur dispozitiv și să obțineți un firewall care filtrează traficul de la rețea la nivelul aplicației. Această idee a fost implementată în inspectorii de stat, care îmbină performanța ridicată și securitatea. Această clasă de firewall vă permite să controlați [27] :

• fiecare pachet transmis se bazează pe un tabel de reguli;
• fiecare sesiune - pe baza tabelului de stat;
• fiecare aplicație  se bazează pe intermediari dezvoltați.

Prin filtrarea traficului pe principiul unui gateway la nivel de sesiune, această clasă de firewall-uri nu interferează în procesul de stabilire a unei conexiuni între noduri. Prin urmare, performanța inspectorului de stat este vizibil mai mare decât cea a brokerului de nivel de aplicație și a gateway-ului stratului de sesiune și este comparabilă cu performanța filtrelor de pachete. Un alt beneficiu al inspectorilor de stat este că sunt transparenți pentru utilizator: nu este necesară nicio configurație suplimentară pentru software-ul client. Aceste firewall-uri sunt foarte extinse. Când apare un nou serviciu sau un nou protocol de nivel de aplicație, este suficient să adăugați câteva șabloane pentru a-l susține. Cu toate acestea, inspectorii de stat tind să fie mai puțin siguri decât proxy-urile aplicației [28] .

Termenul de  inspecție de stat , introdus de Check Point Software , este atât de iubit de producătorii de echipamente de rețea încât acum aproape fiecare firewall este clasificat ca această tehnologie, chiar dacă nu o implementează pe deplin.

Implementare

Există două versiuni de firewall - software și hardware-software. La rândul său, versiunea software și hardware are două soiuri - sub forma unui modul separat într-un comutator sau router și sub forma unui dispozitiv specializat.

În prezent, se folosește mai des o soluție software, care la prima vedere pare mai atractivă. Acest lucru se datorează faptului că, pentru a-l folosi, s-ar părea că este suficient doar să achiziționați software de firewall și să îl instalați pe orice computer disponibil în organizație. Cu toate acestea, după cum arată practica, o organizație nu are întotdeauna un computer gratuit și chiar unul care îndeplinește cerințe destul de ridicate pentru resursele sistemului. După ce computerul este încă găsit (cel mai des achiziționat), urmează procesul de instalare și configurare a sistemului de operare, precum și, direct, software-ul firewall. Este ușor de observat că utilizarea unui computer personal convențional nu este atât de ușoară pe cât ar părea. De aceea, sistemele hardware și software specializate, numite dispozitiv de securitate , bazate, de regulă, pe FreeBSD sau Linux , „taiate” pentru a îndeplini doar funcțiile necesare , au devenit mai răspândite . Avantajele acestor soluții sunt [29] :

• Ușurință de implementare: aceste dispozitive au un sistem de operare preinstalat și configurat și necesită un minim de setări după implementarea în rețea.
• Ușurință de administrare: aceste dispozitive pot fi gestionate de oriunde prin protocoale standard, cum ar fi SNMP sau Telnet , sau prin protocoale securizate, cum ar fi SSH sau SSL .
• Performanță: Aceste dispozitive funcționează mai eficient, deoarece toate serviciile neutilizate sunt excluse din sistemul lor de operare.
• Toleranță la erori și disponibilitate ridicată: Aceste dispozitive sunt concepute pentru a îndeplini sarcini specifice cu disponibilitate ridicată.

Limitări ale analizei firewall

Firewall-ul vă permite să filtrați doar traficul pe care îl poate „înțelege”. În caz contrar, își pierde eficacitatea, deoarece nu este capabil să decidă în mod conștient ce să facă cu traficul nerecunoscut. Există protocoale precum TLS , SSH , IPsec și SRTP care folosesc criptografie pentru a ascunde conținutul, astfel încât traficul lor să nu poată fi interpretat. De asemenea, unele protocoale, cum ar fi OpenPGP și S/MIME , criptează datele stratului de aplicație, ceea ce face imposibilă filtrarea traficului pe baza informațiilor conținute la acest nivel de rețea. Un alt exemplu de limitări ale analizei firewall-ului este traficul tunelizat , deoarece filtrarea acestuia este imposibilă dacă firewall-ul „nu înțelege” mecanismul de tunelare utilizat. În toate aceste cazuri, regulile configurate pe firewall trebuie să definească în mod explicit ce să facă cu traficul pe care nu îl pot interpreta [30] .

Note

1. ↑ Lebăda, 2002 , p. 22.
2. ↑ Shangin, 2011 , p. 193.
3. ↑ Lebăda, 2002 , p. 22-25.
4. ↑ Laponina, 2014 , p. 43.
5. ↑ Forrest , p. 2.
6. ↑ Faronov, 2016 , p. 62.
7. ↑ 1 2 3 Laponina, 2014 , p. 131.
8. ↑ 1 2 3 Shangin, 2011 , p. 195.
9. ↑ Shangin, 2011 , p. 194.
10. ↑ 1 2 Fox, 2003 , p. treizeci.
11. ↑ 1 2 Lebed, 2002 , p. 48.
12. ↑ Cisco .
13. ↑ Cardenas, 2003 .
14. ↑ Lebăda, 2002 , p. cincizeci.
15. ↑ Lebăda, 2002 , p. 52.
16. ↑ Laponina, 2014 , p. 52.
17. ↑ Laponina, 2014 , p. 51-56.
18. ↑ 1 2 Laponina, 2014 , p. 53.
19. ↑ Fox, 2003 , p. 30-31.
20. ↑ Lebăda, 2002 , p. 54.
21. ↑ Fox, 2003 , p. 31.
22. ↑ Lebăda, 2002 , p. 58.
23. ↑ Laponina, 2014 , p. 63-64.
24. ↑ Lebăda, 2002 , p. 55-56.
25. ↑ Laponina, 2014 , p. 59.
26. ↑ Lebăda, 2002 , p. 56.
27. ↑ Lebăda, 2002 , p. 58-61.
28. ↑ Fox, 2003 , p. 32.
29. ↑ Shangin, 2011 , p. 207.
30. ↑ Laponina, 2014 , p. 73.

Literatură

Cărți

• Lebed SV Firewall. Teoria și practica protecției perimetrului exterior. - MSTU im. N. E. Bauman, 2002. - 306 p. — ISBN 5-7038-2059-6 .
• Chapman Jr. DV, Fox E. Cisco Secure PIX Firewalls = Cisco® Secure PIX® Firewalls. - Williams, 2003. - 341 p. — ISBN 5-8459-0463-3 .
• Maywald E. Cursul 10 „Firewall-uri” // Securitatea rețelei: informații . - INTUIT, 2006. - ISBN 978-5-9570-0046-9 .
• Shangin VF Protecția informațiilor în sistemele și rețelele informatice. - INFRA-M, 2011. - 416 p. - ISBN 978-5-16-003132-3 .
• Faronov A.E. Fundamentele securității informațiilor atunci când lucrați pe un computer. — INTUIT, 2016. — 155 p.
• Laponina SAU Firewalling. - Binom, 2014. - 343 p. — ISBN 5-94774-603-4 .

Articole

• K. Ingham, S. Forrest. O istorie și un studiu al  firewall -urilor de rețea .
• Cisco. Configurarea  securității porturilor .
• Edgar D Cardenas. MAC Spoofing - O introducere  . — 2003.