Принцип работы межсетевого экрана

Как работает файрвол

С приходом широкополосного доступа в Интернет, увеличением пропускной возможности, Интернет вошел в нашу повседневную жизнь где мы общаемся, обмениваемся информацией и решаем повседневные задачи быстрее, чем на старых коммутируемых линиях.

Тем не менее, не все так гладко, так как те же самые преимущества в плане скорости есть и у злоумышленников. Распространение вирусов, проведение хакерских атак на все виды компьютеров (личные, рабочие, корпоративные) через сеть увеличилось в разы.

Чтобы не стать жертвами сетевых атак, есть несколько видов программ, предназначенных для защиты системы. И один из этих видов это брандмауэр или файервол.

Закрываем окна и двери

Для того что бы воры не проникли в ваш дом вы запираете свои двери и окна, устанавливаете решетки, сигнализацию. Брандмауэр выполняет те же задачи «блокируя» все двери и окна вашего компьютера, так что только авторизованные(знакомые) данные могут прийти и уйти. У пользователя есть возможность вручную отрыть или закрыть дверь (порт), например для корректной работы нужной программы.

Говоря техническим языком, брандмауэр отвечает за контроль данных, передаваемых как в, так и из вашего компьютера через Интернет и иные сети, предотвращая утечку или кражу личной или конфиденциальной информации, предотвращая вторжение извне злоумышленников, так называемых хакеров.

Виды файрволов

В зависимости от типа соединения, используемого на компьютере, может использовать два типа брандмауэра:

Аппаратные файрволы встроены в маршрутизаторы и модемы широкополосного доступа в Интернет. А программным считаем тот, который можно скачать и установить в операционной системе. Например Windows поставляется со встроенным программным брандмауэр, но вы можете его отключить и установить более надежные фаерволы с большим количеством опций и гарантий безопасности.

В случае если все таки у вас есть маршрутизатор, но без файрвола, то остается использовать программный брандмауэр. Есть возможность на одном из компьютеров настроить политику безопасности под себя и через импорт/экспорт правил перенести их на другую машину.

Принцип работы брандмауэра

Аппаратные и программные фаерволы работают одинаково. В соответствии с конфигурацией, определяемой пользователем, брандмауэр сравнивает полученные данные с политиками безопасности и либо пропускает, либо блокирует пакеты. Для иллюстрации работы, давайте представим, что компьютер — это хозяйственная сумка. Вы брандмауэр, а интернет — это магазин с продуктами. У вас есть список покупок того, что надо купить, рассмотрим его как разрешения для брандмауэра. Пусть он у нас содержит такие элементы как “овощи”, “фрукты” и “хлеб”.

На компьютере, брандмауэр будет блокировать прохождение любого элемента, который отличается от «овощей», «фруктов» и «хлеба», и не допустит их в вашу «сумку», а пропустит только то что есть в списке, такой список называется белым. Отсюда важность правильной настройки брандмауэра, потому что, если вы включите «пиво» или «чипсы» в белый список, фаервол не будет их блокировать.

Метод, описанный выше, называется «Фильтрация пакетов». Все данные проходящие в сети организованы в пакеты.

Так же, как и любое другое решение безопасности, брандмауэр не сможет обеспечить 100% защиту, поскольку существуют злоумышленники, специализирующиеся на проникновении через все элементы безопасности, использующие недокументированные особенности Windows и иные средства и методы. Так например опытные хакеры могут представить свой продукт «чипсы» под видом «хлеба», спрятавшись внутри, что естественно соответствует разрешенным «правилам» брандмауэра и он его пропустит, а затем получив доступ к Вашей машине сделает свое грязное дело.

Так какой лучше использовать аппаратный или программный firewall

Ответ на этот вопрос будет спорным, поскольку многие придерживаются мнения, что достаточно и одного из двух, но в идеале лучше иметь как программный так и аппаратный firewall.

Рассмотрим один из возможных случаев: У вас только программный файервол, вы запускаете вредоносную программу, только что загруженную из Интернета, и в ней реализовано возможность автоматически перенастроить правила вашего брандмауэра, чтобы принимать вредоносные пакеты.

Аппаратный же так не получится перенастроить, потому что даже если ваша машина инфицирована, она не будет иметь доступа к программному обеспечению внешних устройств, таких как маршрутизаторы, модемы, роутеры.

Нужен ли антивирус если у меня файрвол?

Как уже объяснялось выше, файрвол действует как фильтр соединений, предотвращая передачу и получение нежелательных данных путем закрытия всех нежелательных портов. Тем не менее, порты, используемые вашим браузером Chrome, Safari, Opera или электронной почтой, по умолчанию открыты (иначе вы не смогли попасть ни на какой сайт или получить почту).
Таким образом на компьютер могут попасть вирусы из спам-сообщений электронной почты, или быть загруженными с веб-сайтов, потому что загрузка не защищена межсетевым экраном, так как она проходит через открытые порты.

Таким образом, брандмауэр не заменяет антивирусы! Он просто необходим. Поэтому скачайте и установите бесплатный антивирус с нашего сайта.

Подводим итоги

Что делает файрвол:

• Предотвращает вашу машину от вторжений извне.
• Блокирует передачу данных с вашего компьютера, кроме тех, которые разрешены.

Что не делает файрволл?

• Не защищает от загружаемых пользователем программ.
• Не блокирует сообщения почтовых программ.
• Не в силах воспрепятствовать пользователю создать ошибочные исключения, которые могут подвергнуть компьютер риску.

Лучший способ защитить компьютер, это настроить брандмауэр, на блокировку всего! Это может показаться немного странным, но это только первый шаг. Если заблокировать все, то очевидно, что ничего не будет работать, но затем вы последовательно разрешаете лишь то, что вам необходимо для работы на компьютере, тем самым не пропустите и не забудете заблокировать какую-нибудь стороннюю программу..

Источник: http://freeprotection.ru/kak-rabotaet-fajrvol/

Как работает межсетевой экран? Типы межсетевых экранов

Сеть нуждается в защите от внешних угроз. Хищение данных, несанкционированный доступ и повреждения могут сказаться на работе сети и принести серьезные убытки. Используйте специальные программы и устройства, чтобы обезопасить себя от разрушительных воздействий. В этом обзоре мы расскажем об межсетевом экране и рассмотрим его основные типы.

Назначение межсетевых экранов

Межсетевые экраны (МСЭ) или файрволы — это аппаратные и программные меры для предотвращения негативных воздействий извне. Файрвол работает как фильтр: из всего потока трафика просеивается только разрешенный. Это первая линия защитных укреплений между внутренними сетями и внешними, такими как интернет. Технология применяется уже на протяжении 25 лет.

Необходимость в межсетевых экранах возникла, когда стало понятно, что принцип полной связности сетей больше не работает. Компьютеры начали появляться не только в университетах и лабораториях. С распространением ПК и интернета возникла необходимость отделять внутренние сети от небезопасных внешних, чтобы уберечься от злоумышленников и защитить компьютер от взлома.

Имеет смысл использовать программный межсетевой экран на корпоративном ноутбуке, которым вы пользуетесь в защищенной сети компании. За стенами организации вы попадаете в незащищенную среду — установленный файрвол обезопасит вас в командировках, при работе в кафе и ресторанах.

Как работает межсетевой экран

Фильтрация трафика происходит на основе заранее установленных правил безопасности. Для этого создается специальная таблица, куда заносится описание допустимых и недопустимым к передаче данных. Межсетевой экран не пропускает трафик, если одно из запрещающих правил из таблицы срабатывает.

Файрволы могут запрещать или разрешать доступ, основываясь на разных параметрах: IP-адресах, доменных именах, протоколах и номерах портов, а также комбинировать их.

• IP-адреса. Каждое устройство, использующее протокол IP, обладает уникальным адресом. Вы можете задать определенный адрес или диапазон, чтобы пресечь попытки получения пакетов. Или наоборот — дать доступ только определенному кругу IP-адресов.
• Порты. Это точки, которые дают приложениям доступ к инфраструктуре сети. К примеру, протокол ftp пользуется портом 21, а порт 80 предназначен для приложений, используемых для просмотра сайтов. Таким образом, мы получаем возможность воспрепятствовать доступу к определенным приложениям и сервисам.
• Доменное имя. Адрес ресурса в интернете также является параметром для фильтрации. Можно запретить пропускать трафик с одного или нескольких сайтов. Пользователь будет огражден от неприемлемого контента, а сеть от пагубного воздействия.
• Протокол. Файрвол настраивается так, чтобы пропускать трафик одного протокола или блокировать доступ к одному из них. Тип протокола указывает на набор параметров защиты и задачу, которую выполняет используемое им приложение.

1. Прокси-сервер

Один из родоначальников МСЭ, который выполняет роль шлюза для приложений между внутренними и внешними сетями. Прокси-серверы имеют и другие функции, среди которых защита данных и кэширование. Кроме того, они не допускают прямые подключения из-за границ сети. Использование дополнительных функций может чрезмерно нагрузить производительность и уменьшить пропускную способность.

2. МСЭ с контролем состояния сеансов

Экраны с возможностью контролировать состояние сеансов — уже укоренившаяся технология. На решение принять или блокировать данные влияет состояние, порт и протокол. Такие версии следят за всей активностью сразу после открытия соединения и вплоть до самого закрытия. Блокировать трафик или не блокировать система решает, опираясь на установленные администратором правила и контекст. Во втором случае учитываются данные, которые МСЭ дали прошлые соединения.

3. МСЭ Unified threat management (UTM)

Комплексное устройство. Как правило, такой межсетевой экран решает 3 задачи:

• контролирует состояние сеанса;
• предотвращает вторжения;
• занимается антивирусным сканированием.

Порой фаерволы, усовершенствованные до версии UTM, включают и другой функционал, например: управление облаком.

4. Межсетевой экран Next-Generation Firewall (NGFW)

Ответ современным угрозам. Злоумышленники постоянно развивают технологии нападения, находят новые уязвимости, совершенствуют вредоносные программы и усложняют для отражения атаки на уровне приложений. Такой файрвол не только фильтрует пакеты и контролирует состояние сеансов. Он полезен в поддержании информационной безопасности благодаря следующим функциям:

• учет особенностей приложений, который дает возможность идентифицировать и нейтрализовать вредоносную программу;
• оборона от непрекращающихся атак из инфицированных систем;
• обновляемая база данных, которая содержит описание приложений и угроз;
• мониторинг трафика, который шифруется с помощью протокола SSL.

5. МСЭ нового поколения с активной защитой от угроз

Данный тип межсетевого экрана — усовершенствованная версия NGFW. Это устройство помогает защититься от угроз повышенной сложности. Дополнительный функционал умеет:

• учитывать контекст и находить ресурсы, которые находятся под наибольшим риском;
• оперативно отражать атаки за счет автоматизации безопасности, которая самостоятельно управляет защитой и устанавливает политики;
• выявлять отвлекающую или подозрительную активность, благодаря применению корреляции событий в сети и на компьютерах;

В этой версии межсетевого экрана NGFW введены унифицированные политики, которые значительно упрощают администрирование.

Недостатки МСЭ

Межсетевые экраны обороняют сеть от злоумышленников. Однако необходимо серьезно отнестись к их настройке. Будьте внимательны: ошибившись при настройке параметров доступа, вы нанесете вред и файрвол будет останавливать нужный и ненужный трафик, а сеть станет неработоспособной.

Применение межсетевого экрана может стать причиной падения производительности сети. Помните, что они перехватывают весь входящий трафик для проверки. При крупных размерах сети чрезмерное стремление обеспечить безопасность и введение большего числа правил приведет к тому, что сеть станет работать медленно.

Зачастую одного файрвола недостаточно, чтобы полностью обезопасить сеть от внешних угроз. Поэтому его применяют вместе с другими программами, такими как антивирус.

Как работает межсетевой экран? обновлено: Ноябрь 20, 2018 автором: admin

Источник: https://meliorit.ru/blog/kak-rabotayet-mezhsetevoy-ekran/

Межсетевые экраны

Текстовый вариант видеолекции на по межсетевым экранам.

Межсетевой экран — это устройство, которое отделяет разные компьютерные сети друг от друга. Другое название межсетевого экрана — брандмауэр или firewall.

Зачем нужны межсетевые экраны

При создании сетей TCP/IP в них был заложен принцип полной связности: любой компьютер в сети может соединиться с любым другим. Но тогда в сети было немного компьютеров, большая часть из которых находилась в университетах и исследовательских центрах.

Сейчас ситуация кардинально поменялась: интернет стал огромной сетью с миллиардами компьютеров, которые используются не только для научных целей. В том числе в интернет появилось много злоумышленников, которые могут взломать ваш компьютер. Поэтому принцип полной связности сейчас нежизнеспособен.

Наоборот, нам нужен способ отделять сети от небезопасных внешних сетей. Именно это и позволяет делать межсетевой экран.

Как используются межсетевые экраны

Есть несколько вариантов использования межсетевых экранов. Если мы хотим защитить сеть нашей организации или домашнюю сеть, то межсетевой экран устанавливается между защищаемой сетью и интернетом. На рисунке межсетевой экран показан в виде стены с огнем (от английского firewall — огненная стена). В таких случаях, как правило, используется аппаратный межсетевой экран, который представляет собой отдельное устройство или является частью маршрутизатора.

Другой вариант — установка программных межсетевых экранов на компьютеры, которые мы хотим защитить. Один из популярных вариантом программных межсетевых экранов — брандмауэр Windows.

Программные межсетевые экраны особенно полезны для ноутбуков, с которыми вы работаете не только в защищенной сети организации, но и в других местах: других организациях, отелях, кафе, ресторанах и т.п. Здесь вы не имеете контроля над сетью и не можете обеспечить ее безопасность.

Как работают межсетевые экраны

Межсетевые экраны работают на сетевом и транспортном уровнях моделей OSI и TCP/IP. Они анализируют IP-адреса отправителя и получателя, а также порты транспортного уровня.

Межсетевой экран перехватывает все пакеты, которые приходят из интернет и из внутренней сети. У межсетевого экрана есть таблица правил с описанием, какие пакеты можно передавать, а какие нельзя. Если пакет подходит под одно из разрешающих правил в таблице, он передается дальше. В противном случае пакет отбрасывается.

Таблица правил выглядит следующим образом. Здесь показаны наиболее важные для понимания логики работы межсетевого экрана столбцы. В реальных межсетевых экранах таблицы могут отличаться.

IP отправителя Порт отправителя IP получателя Порт получателя Протокол Действие

220.10.1.0/24	>1024	Вне 220.10.1.0/24	80	TCP	Разрешить
Вне 220.10.1.0/24	80	220.10.1.0/24	>1024	TCP	Разрешить
Любой	Любой	Любой	Любой	Любой	Запретить

Основные поля в таблице — это IP-адреса и порты отправителя и получателя. Также есть поле протокол, в котором указывается используемый протокол транспортного или сетевого уровня, например, TCP, UDP или ICMP. Последнее после таблицы — действие. В нем прописывается, что межсетевой экран должен сделать с пакетом: разрешить его прохождение или запретить.

Предположим, что мы хотим существенно ограничить политику использования компьютерной сети для обеспечения безопасности. Пользователям разрешается работать с Web-сайтами в интернет, но все остальное запрещено. Для этого нам понадобились три правила, записанные в таблице выше.

Первая строка таблицы содержит правило, которое позволяет пакетам из внутренней сети, предназначенных для Web-серверов, проходить через межсетевой экран. Предположим, что наша внутренняя сеть имеет блок адресов 220.10.1.0/24.

Указываем этот блок в качестве IP-адреса отправителя, порт отправителя >1024 (порты для браузеров назначаются операционной системой автоматически). IP получателя: все, кроме 220.10.1.0/24, порт получателя: 80 (порт на котором по умолчанию работают Web-серверы).

Второе правило разрешает прохождение пакетов с ответами Web-серверов. IP-адрес отправителя: любой вне 220.10.1.0/24, порт отправителя: 80 (порт Web-серверов). IP-получателя: 220.10.1.0/24 (наша внутренняя сеть), порт получателя: >1024 (автоматически назначенный порт для браузера). Протокол также TCP, действие Разрешить.

Третье правило запрещает прохождение любых пакетов.

Межсетевой экран читает правила в таблице последовательно и выполняет проверку пакета по прочитанному правилу. Сначала пакет проверяется на соответствие правилу в первой строке, и если он под него подходит, то сразу же передается. Затем межсетевой экран переходит ко второму правилу, проверяет пакет, и передает его, если пакет подходит под второе правило. После этого межсетевой экран переходит к третьему правилу и отбрасывает все пакеты, которые не подошли под первые два правила.

Проверка флагов и состояния соединения

Правила в примере очень ограниченные, но злоумышленник все равно сможет попасть в нашу внутреннюю сеть. Для этого ему нужно сконструировать пакет, у которого порт отправителя равен 80, IP получателя находится в нашей сети, и порт получателя больше 1024. Такой пакет подходит под второе правило.

Наш межсетевой экран подумает, что это ответ какого-то из Web-серверов, и пропустит его. Таким образом, злоумышленники смогут подключиться к сетевым сервисам, которые работают на портах >1024.

Чтобы избежать таких ситуаций, можно контролировать флаги в заголовке TCP, а также факт установки соединения TCP.

IP отправителя Порт отправителя IP получателя Порт получателя Протокол Флаг Действие

220.10.1.0/24	>1024	Вне 220.10.1.0/24	80	TCP	Любой	Разрешить
Вне 220.10.1.0/24	80	220.10.1.0/24	>1024	TCP	Ack	Разрешить
Любой	Любой	Любой	Любой	Любой	Любой	Запретить

В первом правиле мы по-прежнему выпускаем в интернет все пакеты, которые предназначены для Web-серверов. Но во втором правиле во внутреннюю сеть пропускаем только пакеты с установленным флагом ACK (Acknowledgement) в заголовке TCP. Этот флаг установлен почти у всех пакетов TCP, кроме первого пакета с запросом на установку соединения (в таком пакете установлен только флаг SYN). Таким образом, злоумышленник не сможет установить соединения с сервисами нашей внутренней сети, даже если будет посылать пакеты, похожие на ответы Web-серверов.

Межсетевой экран может напрямую проверять, установлено ли TCP соединение между отправителем и получателем. Межсетевой экран перехватывает все пакеты, поэтому он видит и пакеты установки TCP соединения. Таким образом, он легко может узнать, какой компьютер из внутренней сети устанавливал соединение с компьютерами из внешней сети, и с какими именно. После того, как межсетевой экран увидел успешную процедуру установки соединения TCP (трехкратное рукопожатие), он вносит запись в таблицу установленных соединений.

IP отправителя Порт отправителя IP получателя Порт получателя

220.10.1.86	53638	77.88.55.66	80

Компьютер из внутренней сети с IP-адресом 220.10.1.86 установил соединение, используя порт 53638, с Web-сервером 77.88.55.66 (порт 80).

Для проверки наличия соединения, в таблицу межсетевого экрана добавляется соответствующее поле.

IP отправителя Порт отправителя IP получателя Порт получателя Протокол Флаг Соединение Действие

220.10.1.0/24	>1024	Вне 220.10.1.0/24	80	TCP	Любой	—	Разрешить
Вне 220.10.1.0/24	80	220.10.1.0/24	>1024	TCP	Ack	Проверять	Разрешить
Любой	Любой	Любой	Любой	Любой	Любой	—	Запретить

Компьютеры из внутренней сети должны иметь возможность устанавливать соединение с Web-серверами в интернет, поэтому в первом правиле мы не требуем наличия соединения. Но ответы нужно пропускать только от тех Web-серверов, с которыми соединение уже установлено. Поэтому во втором правиле мы проверяем наличие записи о соединении в таблице соединений.

Другие методы ограничения доступа

Кроме межсетевых экранов могут использоваться также другие методы ограничения доступа, работающие на разных уровнях модели OSI.

На канальном уровне возможна фильтрация по MAC-адресам на портах коммутатора. Можно составить список MAC-адресов компьютеров, которым разрешено подключаться к коммутатору. Передавать кадры компьютеров с другими MAC-адресами коммутатор не будет.

На прикладном уровне используются прокси-серверы (proxy server) и фильтры содержимого (content filter). Прокси-серверы работают как межсетевые экраны, но на прикладном уровне: принимают все пакеты, которые передаются по какому-нибудь прикладному протоколу, анализируют заголовки протокола, и могу принять решение, передать пакет дальше, или нет. Часто используются Web-прокси, которые работают по протоколу HTTP. Такие прокси серверы могут ограничивать доступ, например, к социальным сетям с рабочих мест организации.

Фильтры содержимого также работают на прикладном уровне, но они анализируют не только заголовки пакетов, но и данные. С помощью фильтров содержимого можно, например, заблокировать передачу видео, на каких бы сайтах оно ни размещалось.

Системы обнаружения вторжений (intrusion detection system) и предотвращения вторжений (intrusion prevention system) работают по принципу, похожему на межсетевые экраны. Отличие заключается в том, что они анализируют не отдельные пакеты, а последовательности пакетов. Они могут определить, например, что злоумышленник подбирает пароль к вашему серверу или ведет сканирование вашей сети. Система обнаружения вторжений предупредит администратора о проходящей атаке, а система предотвращения вторжений попытается автоматически предпринять какие-то действия, чтобы остановить атаку.

Недостатки межсетевых экранов

Межсетевые экраны обеспечивают безопасность, но нужно быть очень осторожными при их настройке. Ошибка при составлении правил доступа может привести к тому, что все нужные пакеты будет блокироваться межсетевым экраном и сеть будет неработоспособна.

Другая возможная проблема — снижение производительности работы сети при использовании межсетевых экранов. Все пакеты в сети должны быть перехвачены межсетевым экраном и проверены. Если у вас крупная сеть, сложная политика безопасности с большим количеством правил доступа, а межсетевой экран не обладает достаточной производительность, то вся сеть будет работать медленно.

Итоги

Межсетевые экраны — это устройства или программы, предназначенные для отделения сетей друг от друга. Межсетевые экраны перехватывают все пакеты между сетям и проверяют их на соответствие правилам доступа. При проверке используются IP-адреса отправителей и получателей, порты транспортного уровня, флаги в заголовках сетевых протоколов, а также состояние соединения TCP. Если пакет подходит под разрешающее правило, он передается дальше, в противном случае отбрасывается.

Источник: https://www.asozykin.ru/computer_networks/2016/10/15/Firewalls.html

Межсетевой экран: классы и типы, функции

Межсетевой экран, который еще именуют, как Firewall или Брандмауэр состоит из программных продуктов, которые призваны надежно защищать передаваемую информацию.

По сути, МЭ разделяет сеть на два узла (в редких случаях на большее количество) и при дальнейшем соблюдении определенных правил и условий, производится передача данных и файлов между этими двумя узлами. Как правило, подобные программные продукты размещаются в корпоративной (локальной) и глобальной сети.

Функции межсетевого экрана

Для того, чтобы надежно защищать корпоративную сеть от несанкционированных подключений и перехвата пакетов информации, фаервол должен быть размещен между защищаемой корпоративной сетью и внешней, которую принято считать потенциально опасной. При этом стоит сразу же учесть тот факт, что абсолютно все операции по взаимодействию между этими двумя сетями должны однозначно проходить через сетевой экран, только этот факт поможет защитить надежно персональную информацию.

Межсетевой экран защищает множество узлов, которые входят в состав локальной сети и призван реализовать:

• разграничение прав пользователя для посещения лишь определенных внешних ресурсов;
• невозможность подключения и получения доступа к внутренней информации сторонних пользователей, лишь определенные люди могут подключаться.

Классы межсетевых экранов

На данный момент отсутствуют какие-то упорядоченные виды классификации МЭ, при этом они различаются по определенным признакам и параметрам:

1. По используемой МЭ технологии (proxy, statefull inspection).
2. По принципу работы на уровнях модели OSI (экранирующий транспорт, маршрутизатор, прикладной шлюз и шлюз на экспертном уровне).
3. По исполнению (программный, аппаратно-программный).

Работа межсетевого экрана осуществляется по определенным правилам, которые изначально устанавливаются администратором. Производится отбор передаваемых пакетов информации. Если передача будет ограничена правилами, операция будет прекращена, в иной же ситуации определенная информация или файлы будут передаваться конечному адресату. По мере того, насколько руководство компании будет предпринимать попытки защититься от несанкционированного доступа, подобные правила будут наращиваться. Подобные фильтры работают последовательно и схематически ее можно описать следующим образом ( см. скриншот)

Типы межсетевых экранов

Фаерволы можно разделить на три типа, которые имеют свои преимущества и недостатки. Рассмотрим каждый из них в отдельности:

Подобные МЭ принимают решение, отбросить или пропустить передаваемый пакет. С его помощью просматриваются последовательно определенные параметры, а уж затем принимается решение. Алгоритм действия можно описать следующим образом.

Среди положительных моментов данного МЭ можно выделить следующие:

• небольшая стоимость по сравнению с другими типами;
• гибкость при установке правил фильтрации;
• оперативная работа, то есть минимальный порог задержки при передаче пакета.

При этом стоит учесть и недостатки, которые в реальности не дают возможности реализации этого типа в больших корпорациях, а именно:

• маршрутизация локальной сети производится извне (непосредственно из глобальной сети);
• познания в создании и написании фильтров (правил) должны быть на наивысшем уровне;
• аутентификация при помощи IP-адреса довольно просто обманывается при помощи спуфинга;
• при сбое в работе фаервола, фактически все рабочие станции и сервера перестают быть доступными или становятся полностью уязвимыми перед угрозами;
• отсутствие аутентификации на пользовательском уровне.

1. Серверы прикладного уровня.

Подобные типы межсетевых экранов используют в начальной и конечной точке однотипные сервисы, например, FTP, Telnet и пр. С их помощью реализуется передача данных для конкретного сервиса. Иными словами, пакет отправляется от клиента, поступает на брандмауэр, после чего данные передаются в конечный пункт назначения. Применение подобных МЭ позволяют решить важные задачи, а именно:

• скрывать заголовки пакетов от юзеров извне;
• производить аутентификацию на пользовательском уровне;
• уровень безопасности очень высокий, ведь весь входящий и исходящий трафик контролируется прикладными программами и подключение извне фактически невозможно.

1. Серверы уровня соединения.

Подобные брандмауэры создают соединение с определенным портом одного из сервисов при помощи транслятора TCP-соединения, вследствие чего, передаваемый пакет будет получен лишь определенным пользователем (рабочей станцией). Этот тип МЭ является наиболее надежным, однако стоит учесть тот факт, что стоимость подобного фаервола довольно высокая и не каждая компания готова тратить такие деньги. К тому же, время передачи пакетов будет существенно больше, нежели в двух других вышеописанных межсетевых экранах.

Напоследок стоит отметить, что одного лишь брандмауэра будет мало для надежной защиты корпоративной или локальной сети. Помимо этого инструмента рекомендуется использовать и иные, что в комплексе поможет реализовать действительно неплохую защиту от несанкционированного доступа и потери персональных данных.

Источник: http://bezwindowsa.ru/moya-zhizn/mezhsetevoy-ekran.html

Новый принцип межсетевого экранирования

Современные средства защиты информации довольно сложны и требуют от потребителя определенного набора специальных знаний. Данное обстоятельство с учетом бешеного ритма современной жизни заставляет людей постоянно откладывать «на потом» вопросы, связанные с безопасностью их данных, которые практически все время остаются без защиты.

В данной статье мы рассмотрим новый принцип построения межсетевых экранов, ориентированный на обычных людей, не имеющих специальных знаний в области информационной безопасности.

Устройства, реализующие рассмотренный ниже принцип, не требуют настройки, не мешают работе типовых клиентских приложений, устойчивы к деактивации по сети и обеспечивают гарантированный базовый уровень информационной безопасности. Демонстрацию их работы можно увидеть на видео в конце данной статьи.

Чего хочет пользователь от межсетевого экрана?

Попытаемся сформулировать типовые представления среднестатистического пользователя о межсетевых экранах.

Обычно про межсетевые экраны знают, что это устройства, способные защитить компьютер от несанкционированного доступа и атак по сети. Другим общераспространенным знанием является то, что межсетевые экраны очищают сетевой трафик, подобно фильтру, пропускающему легитимный и блокирующему вредоносный трафик. И, конечно, при всем при этом пользователю важно, чтобы, используя межсетевой экран, он был защищен, мог работать «как обычно», и ему не надо было бы ничего настраивать и ни за чем следить.

Таким образом, с точки зрения пользователя, межсетевой экран должен:

1. Защищать компьютер от несанкционированного доступа и атак по сети (блокирование вредоносного трафика).
2. Позволять работать «как обычно» (пропуск легитимного трафика).
3. Не требовать конфигурирования и обслуживания.

Анализ задачи

Как удовлетворить данные потребности? Что считать вредоносным, и что считать легитимным трафиком? Что значит работать «как обычно»?

Для начала проанализируем типовую работу пользователя в корпоративной сети. Каждый пользователь создает на своем компьютере электронные документы, передает их коллегам по электронной почте, IM-мессенджерами, в системах электронного документооборота и т.д… Часть пользователей работает с серверами корпоративных информационных систем, и практически все пользуются корпоративным Интернет-доступом.

Что плохого может произойти с данными пользователя в корпоративной сети?
Их могут своровать не добропорядочные коллеги, используя стандартные механизмы сетевого доступа (общий доступ к файлам, системы удаленного администрирования и т.д.). Компьютер, содержащий уязвимое программное обеспечение, может быть атакован по сети, в результате чего важные файлы могут быть уничтожены или украдены, причем атака может производиться как коллегами, так и хакерами или вредоносным ПО, попавшим в корпоративную сеть.

Если провести исследование трафика легитимной работы пользователя и трафика типовых сетевых атак, то мы увидим одну очень важную закономерность: в подавляющем большинстве случаев на компьютере пользователя размещены клиентские части программных продуктов, которые при своей работе инициируют сетевые подключения к серверам, в то время как при вредоносном воздействии злоумышленник пытается сам установить соединение с атакуемым компьютером.

Это наблюдение позволяет нам сформулировать схему фильтрации трафика будущего межсетевого экрана: разрешать прохождение трафика только по соединениям, инициированным защищаемым компьютером, и блокировать весь остальной трафик.

Для того чтобы межсетевой экран мог понять, какие соединения инициируются защищаемым компьютером, в его настройках можно прописать адрес этого компьютера, но это сразу нарушает принцип неконфигурируемости устройства, поэтому такой вариант не подходит.

Альтернативой будет установка межсетевого экрана в разрыв между защищаемым компьютером и остальной сетью, тогда сторону, инициирующую соединение, можно будет сопоставить порту (сетевому интерфейсу), на который пришли соответствующие сетевые пакеты.

1. Подключаться в разрыв между защищаемым компьютером и остальной сетью.
2. Обеспечивать транзит сетевого трафика только по соединениям, инициированным защищаемым компьютером. Весь остальной трафик должен быть отброшен.

Техническое решение

Рассмотрим один из возможных вариантов реализации технического задания.
В нашем случае это будет аппаратный межсетевой экран, содержащий два порта (сетевых интерфейса):

• «Внешний порт» – сетевой интерфейс, к которому подключается потенциально враждебная вычислительная сеть.
• «Внутренний порт» – сетевой интерфейс, к которому подключается защищаемый компьютер.

После подключения межсетевого экрана в разрыв между защищаемым компьютером и остальной сетью (потенциально враждебной) он сразу начинает фильтровать трафик, отбрасывая все сетевые пакеты, не принадлежащие сетевым соединениям, инициированным защищаемым компьютером, и делает это он следующим образом.

С точки зрения стека TCP/IP межсетевой экран подобного типа выглядит как неуправляемый коммутатор. Его порты, не имеющие IP и MAC адресов, логически объединены в мост, работающий по алгоритму IEEE 802.1D (transparent bridge). Однако, в отличии от обычного коммутатора данное устройство при принятии решения о транзите сетевого пакета между портами применяет также алгоритм многоуровневой фильтрации, при котором прохождение сетевого пакета возможно только в случае прохождения всех модулей фильтрации.

Дальнейшее рассмотрение логики работы будет основываться на том, что межсетевой экран построен на базе Linux-box и обладает стандартными возможностями работы со стеком TCP/IP.

В модуле фильтрации канального уровня (L2) производятся следующие действия:

1. Для поступившего в устройство сетевого пакета по алгоритму IEEE 802.1D определяются порты источника и назначения.
2. Сетевой пакет, пришедший с порта, который мы ранее обозначили как «Внутренний порт», помечается как «ВНУТРЕННИЙ».
3. Сетевой пакет, пришедший с любого из интерфейсов и не содержащий в себе инкапсулированный IP- или ARP- пакет, отбрасывается.
   Примечание. Модуль фильтрации L3 работает только с пакетами, принадлежащими стеку TCP/IP. Для устранения возможных утечек сетевые пакеты других стеков отбрасываются.
4. Сетевой пакет передается на модуль фильтрации сетевого уровня (L3).
5. Если сетевой пакет вернулся с модуля фильтрации сетевого уровня (L3), то он передается в порт назначения и покидает межсетевой экран.

Модуль фильтрации сетевого уровня (L3) выполняет следующие действия:

1. На постоянной основе ведет таблицу активных сетевых соединений, где для каждого соединения фиксируется информация о конечных точках (адреса, порты и т.д.), а также состояния, описывающие различные этапы жизненного цикла соединений «новое соединение», «установленное соединение» и др. (более подробно про отслеживание состояния соединений в Linux можно посмотреть тут).
   Для осознания дальнейшего алгоритма важно понять, что как только какая-либо сторона послала запрос на соединение, то состояние записывается как «новое соединение». После того как сторона, получившая запрос, шлет пакет в ответ, состояние соединения принимает значение «установленное соединение».
2. Возвращает на модуль фильтрации канального уровня (L2) сетевые пакеты, удовлетворяющие следующим требованиям:
   • сетевой пакет принадлежит установленному соединению;
   • сетевой пакет имеет маркировку «ВНУТРЕННИЙ».
3. Все остальные пакеты отбрасываются.

Как мы видим, рассмотренный алгоритм фильтрации не привязан к сетевым адресам или портам, а оперирует лишь направлением трафика и состоянием соединения, что позволяет использовать устройство без конфигурирования в IP-сети с любой адресацией.

Первые опыты и трудности

Собрав устройство, реализующее приведенный алгоритм, получили два результата: первый, и главный, что данный подход работает; второй, и не менее важный, что неопытный пользователь не сможет пользоваться подобным устройством, поскольку оказались не доступны многие базовые сетевые протоколы (DHCP, NetBIOS NS, WS-Discovery и др.), использующие широковещательные адреса. Возможны два варианта решения этой проблемы:

• добавить в исключения модулей фильтрации типовые протоколы, использующие широковещательные посылки;
• вообще не блокировать широковещательный трафик.

Первый вариант, возможно, более безопасный, но гораздо менее масштабируемый, был отброшен, поскольку нарушает принцип неконфигурируемости устройства. В разных вариантах использования устройства найдутся широковещательные протоколы, не добавленные в исключения, но нужные пользователям (например, некоторые протоколы сетевых компьютерных игр).

Поэтому было решено не блокировать широковещательный трафик. Попутно был также разрешен и трафик с групповой адресацией (multicast), поскольку данный тип трафика также широко используется, например, в ОС Windows для обнаружения конфликтов IP-адресов.

Защита подсети

Учитывая то, что межсетевой экран не привязан к конкретным сетевым адресам и портам, стало интересно, можно ли с помощью подобного устройства защитить подсеть. Для этого была собрана следующая конфигурация:

Оказалось, что подобная схема также работает. Межсетевой экран защитил оба компьютера от подключений из внешней сети. После этого было решено попробовать собрать межсетевой экран, у которого несколько портов, отнесенных к «внутренним портам».

Для того, чтобы данная схема работала, в алгоритм фильтрации были внесены изменения, разрешающие транзит трафика между портами, отнесенными к внутренним портам, без ограничений. После этого работа в данной схеме стала идентична предыдущей.

Защита в беспроводных сетях (WiFi)

В беспроводных сетях в общем случае невозможно установить межсетевой экран в разрыв между двумя узлами, поскольку общий радиоэфир позволят узлам сети обращаться друг к другу непосредственно. Другой нюанс в том, что невозможно создать устройство, которое бы вообще не требовало конфигурирования при подключении к беспроводной сети, поскольку в зоне нахождения может находиться несколько беспроводных сетей, и в общем случае неизвестно, какая именно нужна пользователю.

Поэтому изначальный принцип неконфигурируемости устройства был упразднен, и в экспериментальный образец была добавлена возможность настройки беспроводной сети. С точки зрения структуры устройства изменения получились довольно небольшими, проводной интерфейс, который ранее обозначался как «Внешний порт», был заменен на беспроводной интерфейс, и в результате получилась следующая схема.

В остальном функционирование экрана и его защитные функции остались без изменений.

Опытная эксплуатация

Окончив лабораторные эксперименты, решили опробовать данный принцип экранирования на практике. Для этого было собрано несколько экспериментальных образцов и роздано коллегам, работающим офисными служащими в ряде организаций.

После года опытной эксплуатации было установлено, что практически все типовые офисные программы: MS Office, 1C: Предприятие, браузеры, IM-мессенджеры, VoIP, электронная почта, системы видеонаблюдения и даже игры работают через устройство, реализующее рассматриваемый принцип фильтрации, без проблем. Исключение составили ряд программ, имеющих нестандартную систему защиты от не лицензионного копирования, при которой сервер лицензий требует подключения к защищаемому компьютеру.

Выводы

Приведенный в статье принцип межсетевого экранирования позволяет решить поставленные в начале статьи задачи. Устройство, построенное по данному принципу, не требует настройки и может быть внедрено неквалифицированным пользователем за считанные секунды. За счет того что порты устройства не имеют сетевых адресов, устройство «невидимо» (stealth) для остальной сети и не может быть удалённо деактивировано.

Безусловно приведенный принцип межсетевого экранирования не является панацеей от всех атак, но в то же время он обеспечивает базовый уровень безопасности, который тем или иным образом должен быть достигнут практически в любых сценариях. В то же время данный принцип мало применим для защиты серверов и других узлов сети, требующих обеспечения входящих подключений, но данные задачи выходят за рамки деятельности обычных пользователей.

По большому счету приведенный принцип межсетевого экранирования может быть реализованне только в аппаратно, но и в виде программного межсетевого экрана или даже виртуальной машины.

Демо-видео к статье (RuTube)

imbasoft

Источник

Источник: http://www.pvsm.ru/algoritmy/214583