firewall-uri

Un firewall sau un firewall este un sistem sau o combinație de sisteme care vă permite să împărțiți o rețea în două sau mai multe părți și să implementați un set de reguli care determină condițiile pentru trecerea pachetelor dintr-un (vezi figura 1). Cel mai adesea această limită se află între LAN-ul întreprinderii și INTERNET. deși se poate face în interiorul rețelei enterprise. Prin urmare, firewall-ul trece întregul trafic prin el însuși. Pentru fiecare pachet care trece, firewall-ul decide să îl ignore sau să îl arunce. Pentru ca firewall-ul să ia aceste decizii, trebuie să definească un set de reguli. Despre modul în care sunt descrise aceste reguli și care sunt parametrii utilizați în descrierea acestora, va fi discutat puțin mai târziu.

Fig.1

De regulă, firewall-urile funcționează pe orice platformă UNIX - cel mai adesea BSDI, SunOS, AIX, IRIX etc. mai rar - DOS, VMS, WNT, Windows NT. De pe platformele hardware există procesoare R4400-R5000 INTEL, Sun SPARC, RS6000, Alpha, HP PA-RISC, familiale RISC. În plus față de Ethernet, multe firewall-uri suportă FDDI, Token Ring, 100Base-T, 100VG-AnyLan, diverse dispozitive seriale. Cerințele pentru RAM și spațiu pe hard disk depind de numărul de mașini din segmentul protejat al rețelei.

De obicei, se fac modificări în sistemul de operare sub controlul firewall-ului, al cărui scop este de a spori protecția firewall-ului propriu-zis. Aceste modificări afectează atât nucleul sistemului de operare, cât și fișierele de configurare corespunzătoare. Pe firewall-ul în sine, nu este permisă existența conturilor de utilizator (și, prin urmare, a găurilor potențiale), numai contul de administrator. Unele firewall-uri funcționează numai în modul pentru un singur utilizator. Multe firewall-uri au un sistem de verificare a integrității codurilor software. În acest caz, sumele de control ale codurilor software sunt stocate într-un loc sigur și comparate atunci când programul este pornit pentru a evita înlocuirea software-ului.

Toate tipurile se pot întâlni simultan în același firewall.

Filtre de pachete

Pentru a descrie regulile pentru trecerea pachetelor, se creează tabele:

Câmpul "acțiune" poate lua valori pentru a sări sau a renunța.
Tipul de pachete este TCP, UDP sau ICMP.
Steaguri - steaguri din antetul pachetului IP.
Porturile "port sursă" și "port de destinație" au sens numai pentru pachetele TCP și UDP.

Servere la nivel de aplicație

Firewall-urile cu servere la nivel de aplicație utilizează serverul de servicii specifice (server proxy) - TELNET, FTP etc. Rularea pe firewall și trecerea prin sine a întregului trafic legat de acest serviciu. Astfel, există două conexiuni între client și server: de la client la firewall și de la firewall la destinație.

Utilizarea serverelor la nivel de aplicație poate rezolva o sarcină importantă - ascunderea structurii rețelei locale de la utilizatori externi, inclusiv informațiile din antetele pachetelor de poștă electronică sau din sistemul de nume de domeniu (DNS). O altă calitate pozitivă este posibilitatea autentificării la nivel de utilizator (vă reamintesc că autentificarea este procesul de confirmare a identității cevaului, în acest caz este procesul de confirmare a faptului dacă utilizatorul este într-adevăr ceea ce pretinde a fi).

numele serviciului,
numele de utilizator,
interval de timp admisibil de utilizare a serviciului,
computerele din care puteți utiliza serviciul,
Scheme de autentificare.

Serverele la nivel de aplicație oferă cel mai înalt nivel de protecție, deoarece interacțiunea cu lumea exterioară se realizează printr-un număr mic de aplicații care controlează complet traficul de intrare și de ieșire.

Servere de nivel de conectare

Serverul de nivel de conectare este un traducător de conexiune TCP. Utilizatorul formează o conexiune la un anumit port din firewall, după care acesta din urmă face o conexiune la destinația din cealaltă parte a paravanului de protecție. În timpul sesiunii, acest traducător copiază octeții în ambele direcții, acționând ca un fir.

De obicei, destinația este setată în avans, în timp ce pot exista mai multe surse (o conexiune unică la multe). Folosind porturi diferite, puteți crea diferite configurații.

Acest tip de server vă permite să creați un traducător pentru orice serviciu definit de utilizator bazat pe TCP, să controlați accesul la acest serviciu, să colectați statistici privind utilizarea acestuia.

Caracteristicile comparative ale filtrelor de pachete și ale serverelor la nivel de aplicație

Mai jos sunt principalele avantaje și dezavantaje ale filtrelor de pachete și ale serverelor la nivel de aplicație relativ una de cealaltă.

cost relativ scăzut;
flexibilitate în definirea regulilor de filtrare;
o mică întârziere în trecerea pachetelor.

rețeaua locală este invizibilă din INTERNET;
dacă paravanul de protecție nu reușește, pachetele nu mai trec prin firewall, astfel nu există nici o amenințare la adresa mașinilor pe care le protejează;
securitatea la nivel de aplicație permite efectuarea unui număr mare de verificări suplimentare, reducând astfel probabilitatea de hacking folosind găuri în software;
autentificare la nivel de utilizator poate fi implementat un sistem de avertizare imediat despre încercarea de hacking.

mai mare decât pentru filtrele de pachete;
Imposibilitatea utilizării protocoalelor RPC și UDP;
Performanța este mai mică decât pentru filtrele de pachete.

Rețele virtuale

Diagrame conexiuni firewall

Sunt folosite diferite scheme pentru conectarea firewall-urilor. Paravanul de protecție poate fi folosit ca un router extern, utilizând tipurile de dispozitive acceptate pentru conectarea la o rețea externă (a se vedea figura 1). Uneori se utilizează circuitul prezentat în figura 2, dar ar trebui folosit doar ca o ultimă soluție, deoarece este necesară o configurație foarte atentă a routerelor, iar erorile mici pot forma găuri de securitate grave.
Fig. 2

Cea mai obișnuită conexiune este printr-un router extern care acceptă două interfețe Ethernet (așa-numitul firewall dual-homed) (două carduri de rețea într-un singur computer) (a se vedea Figura 3).
Figura 3

În acest caz, între ruterul extern și paravanul de protecție există o singură cale, de-a lungul căreia trece tot traficul. De obicei, routerul este configurat astfel încât firewall-ul să fie singura mașină vizibilă din exterior. Această schemă este cea mai preferabilă în ceea ce privește securitatea și fiabilitatea protecției.

O altă schemă este prezentată în Fig.
Figura 4

În acest caz, numai o singură subrețea a mai multor ieșiri de la router este protejată de paravanul de protecție. Într-un paravan de protecție neprotejat, serverele au deseori servere care trebuie să fie vizibile din exterior (WWW, FTP etc.). Cele mai multe firewall-uri vă permit să găzduiți aceste servere pe ea - soluția este departe de cele mai bune în ceea ce privește încărcarea mașinii și securitatea firewall-ului în sine.

Există soluții (vezi Figura 5), care vă permit să organizați oa treia rețea pentru servere care trebuie să fie vizibile din exterior; acest lucru vă permite să controlați accesul la acestea, menținând în același timp nivelul necesar de protecție pentru mașinile din rețeaua centrală.
Figura 5

În același timp, o atenție deosebită este acordată asigurării faptului că utilizatorii rețelei interne nu pot deschide accidental sau intenționat o gaură în rețeaua locală prin intermediul acestor servere. Pentru a spori nivelul de securitate, este posibil să utilizați mai multe firewall-uri într-o singură rețea, în picioare unul după altul.

administrare

Sisteme de colectare a statisticilor și avertizări despre atac

O altă componentă importantă a firewall-ului este sistemul de colectare a statisticilor și avertizarea despre atac. Informații despre toate evenimentele - eșecuri, intrări, conexiuni de ieșire, număr de octeți transferați, servicii utilizate, timp de conectare etc. - se acumulează în fișierele statistice. Multe firewall-uri vă permit să definiți în mod flexibil evenimentele care trebuie înregistrate, să descrieți acțiunile firewall-ului în atacuri sau încercări de acces neautorizate - acesta poate fi un mesaj către consola, un mesaj de mail către administratorul de sistem etc. Afișarea imediată a unui mesaj despre o încercare de hacking pe ecranul consolei sau al administratorului poate ajuta dacă încercarea a avut succes și atacatorul sa logat deja în sistem. Multe firewall-uri includ generatoare de rapoarte pentru procesarea statisticilor. Acestea vă permit să colectați statistici privind utilizarea resurselor de către anumiți utilizatori, utilizarea serviciilor, eșecurile, sursele din care s-au făcut încercări de acces neautorizat etc.

autentificare

Autentificarea este una dintre cele mai importante componente ale firewall-urilor. Înainte ca utilizatorul să aibă dreptul de a folosi acest serviciu, este necesar să se asigure că el este de fapt cel pentru care se eliberează el însuși.

De regulă, se folosește principiul care a primit numele "că el știe". utilizatorul cunoaște un cuvânt secret pe care îl trimite la serverul de autentificare ca răspuns la solicitarea sa.

Una dintre schemele de autentificare este utilizarea de parole standard UNIX. Această schemă este cea mai vulnerabilă din punct de vedere al securității - parola poate fi interceptată și utilizată de o altă persoană.

Categorii de securitate pentru firewall

În ceea ce privește prelucrarea informațiilor confidențiale, sistemele automate (UA) sunt împărțite în trei grupe:

Multi-utilizator AS, de prelucrare a informațiilor de diferite nivele de confidențialitate.
AC multi-utilizator, în care toți utilizatorii au acces egal la toate informațiile prelucrate, situate pe medii de diferite nivele de confidențialitate.
AC cu un singur utilizator, în care utilizatorul are acces deplin la toate informațiile procesate, amplasate pe medii de diferite nivele de confidențialitate.

În primul grup, se disting 5 clase de protecție a AC: 1A, 1B, 1B, 1G, 1D, în grupa a doua și a treia - 2 clase de protecție: 2A, 2B și 3A, respectiv 3B. Clasa A corespunde clasei maxime D - siguranță minimă a UA.

Firewall-urile vă permit să păstrați securitatea obiectelor din zona interioară, ignorând cererile neautorizate din zona externă, i. E. screening-ul este efectuat. Ca urmare, vulnerabilitatea obiectelor interne scade, deoarece inițial infractorul terț trebuie să depășească firewall-ul, unde mecanismele de protecție sunt configurate cu mare atenție și rigiditate. În plus, sistemul de screening, spre deosebire de cel universal, este construit într-un mod mai simplu și, prin urmare, mai sigur. Acesta conține numai acele componente care sunt necesare pentru a efectua funcții de screening. De asemenea, screening-ul face posibilă controlul fluxurilor de informații direcționate către zona exterioară, ceea ce contribuie la menținerea confidențialității regimului privat. Pe lângă funcțiile de control al accesului, firewall-urile înregistrează fluxurile de informații.

În ceea ce privește securitatea, firewall-urile sunt împărțite în 5 clase. Cea mai mică clasă de securitate este a cincea. Se utilizează pentru interacțiunea în siguranță a clasei 1D cu mediul extern, a patra pentru 1G, a treia pentru 1V, a doua pentru 1B, cea mai mare pentru 1A.

Pentru clasa AC 2B, 3B, se folosesc fire de protecție de cel puțin clasa a cincea.

Pentru clasa AC 2A, 3A, în funcție de importanța informațiilor procesate, sunt utilizate firewall-uri din următoarele clase:

atunci când prelucrarea informațiilor cu ștampila "secret" - nu mai mică decât clasa a treia;
atunci când prelucrarea informațiilor cu ștampila "top secret" - nu mai mică decât clasa a doua;
atunci când prelucrarea informațiilor cu ștampila de "importanță deosebită" - numai prima clasa.

Indicatorii de protecție sunt rezumați în tabelul 1.

- nu există cerințe pentru această clasă;

Documentație de proiectare (proiectare)

Ghid pentru achiziționarea unui paravan de protecție

Se presupune că societatea, completând acest formular și trimițându-l producătorului, îi va permite acestuia să formuleze oferta cea mai calitativă pentru cumpărător. Completarea acestui formular, fără a le trimite nimănui, va permite organizației să înțeleagă mai bine ce decizie are nevoie.

Articole similare

Pagina anterioară

Pagina următoare