Firewall

Firewall , firewall  - softwarový nebo hardwarově-softwarový prvek počítačové sítě , který řídí a filtruje síťový provoz procházející přes ni v souladu se stanovenými pravidly [1] .

Další tituly [2] :

Schůzka

Mezi úkoly, které firewally řeší, patří především ochrana segmentů sítě nebo jednotlivých hostitelů před neoprávněným přístupem pomocí zranitelností v protokolech modelu sítě OSI nebo v softwaru instalovaném na počítačích v síti. Firewally povolují nebo zakazují provoz porovnáním jeho charakteristik s danými vzory [3] .

Nejběžnějším místem pro instalaci firewallů je okraj místní sítě , aby byly interní hostitelé chráněni před vnějšími útoky. Útoky však mohou začít i z interních hostitelů – v tomto případě, pokud se napadený hostitel nachází ve stejné síti, provoz nepřekročí perimetr sítě a firewall nebude aktivován. Firewally se proto v současnosti umisťují nejen na hranici, ale i mezi různé segmenty sítě, což poskytuje další úroveň zabezpečení [4] .

Historie

První zařízení, která filtrovala síťový provoz, se objevila na konci 80. let, kdy byl internet nový a v celosvětovém měřítku se nepoužíval. Tato zařízení byly směrovače , které kontrolovaly provoz na základě informací obsažených v hlavičkách protokolu síťové vrstvy . Následně s rozvojem síťových technologií byla tato zařízení schopna provádět filtrování provozu pomocí protokolových dat z vyšší transportní vrstvy . Směrovače lze považovat za první hardwarovou a softwarovou implementaci firewallu [5] .

Softwarové firewally se objevily mnohem později a byly mnohem mladší než antivirové programy . Například projekt Netfilter/iptables (jeden z prvních softwarových firewallů zabudovaných do linuxového jádra od verze 2.4) byl založen v roce 1998. Takový pozdní vzhled je zcela pochopitelný, protože antivirus po dlouhou dobu vyřešil problém ochrany osobních počítačů před malwarem. Koncem 90. let však viry začaly aktivně využívat chybějící firewally na počítačích, což vedlo ke zvýšenému zájmu uživatelů o tuto třídu zařízení [6] .

Filtrování provozu

Filtrování provozu je založeno na sadě předem nakonfigurovaných pravidel nazývaných sada pravidel . Firewall je vhodné považovat za posloupnost filtrů, které zpracovávají tok informací. Každý z filtrů je navržen tak, aby interpretoval samostatné pravidlo. Posloupnost pravidel v sadě významně ovlivňuje výkon brány firewall. Mnoho firewallů například konzistentně porovnává provoz s pravidly, dokud není nalezena shoda. U takových firewallů by měla být pravidla, která odpovídají největšímu provozu, umístěna v seznamu co nejvýše, čímž se zvýší výkon [7] [8] .

Existují dva principy zpracování příchozího provozu. První zásada říká: "Co není výslovně zakázáno, je dovoleno." V tomto případě, pokud firewall obdržel paket, který nespadá pod žádné pravidlo, je přenášen dále. Opačný princip - "Co není výslovně povoleno, je zakázáno" - zaručuje mnohem větší bezpečnost, protože zakazuje veškerý provoz, který není výslovně povolen pravidly. Tento princip se však pro správce mění v další zátěž [7] [8] .

Firewally nakonec provádějí s příchozím provozem jednu ze dvou operací: předají paket dál ( allow ) nebo paket zahodí ( deny ). Některé firewally mají další operaci - odmítnutí , při které je paket zahozen, ale odesílatel je informován, že služba, ke které se pokoušel přistupovat, je nedostupná. Naproti tomu operace odmítnutí neinformuje odesílatele, že služba je nedostupná, což je bezpečnější [7] [8] .

Klasifikace firewallů

Doposud neexistuje jednotná a obecně uznávaná klasifikace firewallů [9] . Ve většině případů je však hlavní charakteristikou jejich klasifikace podporovaná úroveň modelu sítě OSI . Vzhledem k tomuto modelu se rozlišují následující typy firewallů [10] [11] :

  1. spravované přepínače.
  2. paketové filtry.
  3. Brány na úrovni relace.
  4. Zprostředkovatelé aplikační vrstvy.
  5. Inspektoři stavu.

Řízené přepínače

Spravované přepínače jsou někdy klasifikovány jako brány firewall, protože filtrují provoz mezi sítěmi nebo síťovými uzly. Fungují však na linkové vrstvě a oddělují provoz v rámci lokální sítě, což znamená, že je nelze použít ke zpracování provozu z externích sítí (například z Internetu ) [11] .

Mnoho výrobců síťových zařízení, jako jsou Cisco , Nortel , 3Com , ZyXEL , poskytuje ve svých přepínačích možnost filtrovat provoz na základě MAC adres obsažených v záhlaví rámců . Například u přepínačů řady Cisco Catalyst je tato funkce implementována pomocí mechanismu Port Security . [12] . Tato metoda filtrování však není účinná, protože MAC adresu nastavenou v hardwaru síťové karty lze snadno softwarově změnit, protože hodnota zadaná ovladačem má vyšší prioritu než ta, která je napevno připojena k desce [13] . Mnoho moderních přepínačů proto umožňuje použít jako znak filtrování další parametry – například VLAN ID. Technologie virtuálních lokálních sítí ( angl.  Virtual Local Area Network ) umožňuje vytvářet skupiny hostitelů, jejichž provoz je zcela izolován od ostatních síťových uzlů [14] .

Při implementaci bezpečnostní politiky v rámci podnikové sítě , která je založena na řízených přepínačích, mohou být výkonné a poměrně levné řešení. Tyto brány firewall spolupracují pouze s protokoly linkové vrstvy a filtrují provoz velmi vysokou rychlostí. Hlavní nevýhodou tohoto řešení je nemožnost analyzovat protokoly vyšších úrovní [15] .

Paketové filtry

Paketové filtry fungují na úrovni sítě a řídí průchod provozu na základě informací obsažených v hlavičce paketu . Mnoho firewallů tohoto typu může pracovat s hlavičkami protokolu a vyšší úrovní přenosu (například TCP nebo UDP ). Paketové filtry se na trhu firewallů objevily mezi prvními a dodnes zůstávají jejich nejrozšířenějším typem. Tato technologie je implementována v naprosté většině směrovačů a dokonce i v některých přepínačích [16] .

Při analýze hlavičky síťového paketu lze použít následující parametry [10] :

Poměrně často je nutné filtrovat fragmentované pakety, což ztěžuje identifikaci některých útoků . Mnoho síťových útoků využívá tuto chybu zabezpečení brány firewall tím, že prezentuje pakety obsahující zakázaná data jako fragmenty jiného důvěryhodného paketu. Jedním ze způsobů, jak se vypořádat s tímto typem útoku, je nakonfigurovat firewall tak, aby blokoval fragmentované pakety [17] . Některé firewally mohou defragmentovat pakety před jejich předáním do vnitřní sítě, ale to vyžaduje další zdroje od samotného firewallu, zejména paměť. Defragmentaci je třeba používat velmi rozumně, jinak se takový firewall může sám snadno stát obětí DoS útoku [18] .

Paketové filtry lze implementovat do následujících komponent síťové infrastruktury [18] :

Protože paketové filtry obvykle kontrolují pouze data v záhlaví sítě a transportní vrstvy, mohou to udělat poměrně rychle. Proto jsou paketové filtry zabudované do hraničních směrovačů ideální pro umístění na okraji sítě s nízkou důvěryhodností. Paketové filtry však postrádají schopnost analyzovat protokoly vyšších vrstev modelu sítě OSI. Kromě toho jsou paketové filtry obvykle zranitelné vůči útokům, které používají falšování síťových adres . Takové útoky jsou obvykle prováděny s cílem obejít kontrolu přístupu implementovanou firewallem [19] [20] .

Brány na úrovni relace

Firewall na úrovni relace vylučuje přímou interakci externích hostitelů s hostitelem umístěným v lokální síti, který funguje jako prostředník ( anglicky  proxy ), který odpovídá na všechny příchozí pakety a kontroluje jejich platnost na základě aktuální fáze připojení. Brána vrstvy relace zaručuje, že nebude zmeškán žádný síťový paket, pokud nepatří k dříve vytvořenému spojení. Jakmile přijde požadavek na připojení, odpovídající informace se umístí do speciální tabulky (adresy odesílatele a cíle, použité protokoly síťové a transportní vrstvy, stav připojení atd.). Pokud je spojení navázáno, pakety přenášené v rámci této relace budou jednoduše zkopírovány do místní sítě bez dalšího filtrování. Když komunikační relace skončí, informace o ní se z této tabulky odstraní. Proto jsou všechny následující pakety, které se „vydávají“ za pakety již dokončeného spojení, zahozeny [21] .

Protože tento typ firewallu vylučuje přímou komunikaci mezi dvěma hostiteli, je brána na úrovni relace jediným spojovacím prvkem mezi externí sítí a interními zdroji. To vytváří dojem, že na všechny požadavky z externí sítě odpovídá brána, a je téměř nemožné určit topologii chráněné sítě. Navíc, protože kontakt mezi uzly je navázán pouze tehdy, je-li povolen, brána na úrovni relace zabraňuje možnosti útoku DoS, který je vlastní filtrům paketů [22] .

Navzdory účinnosti této technologie má tato technologie vážnou nevýhodu: stejně jako všechny výše uvedené třídy firewallů nemají brány na úrovni relace schopnost kontrolovat obsah datového pole, což umožňuje útočníkovi přenést „ trojské koně “ na chráněná síť [23] .

Zprostředkovatelé aplikační vrstvy

Firewally aplikační vrstvy , mezi které patří zejména firewall webových aplikací , stejně jako brány vrstvy relací, vylučují přímou interakci dvou uzlů. Nicméně, operujíce na aplikační vrstvě, jsou schopny „rozumět“ kontextu přenášeného provozu. Firewally, které implementují tuto technologii, obsahují několik zprostředkujících aplikací ( anglicky  application proxy ), z nichž každá obsluhuje svůj vlastní aplikační protokol. Takový firewall je schopen detekovat v přenášených zprávách a blokovat neexistující nebo nechtěné sekvence příkazů, které často znamenají DoS útok, nebo zakázat použití určitých příkazů (například FTP PUT, který umožňuje uživateli zapisovat informace do FTP server).

Proxy aplikační vrstvy může určit typ informací, které mají být přeneseny. To vám například umožňuje zablokovat e-mailovou zprávu obsahující spustitelný soubor. Další funkcí tohoto typu firewallu je ověřování vstupních argumentů. Například argument uživatelského jména, který je dlouhý 100 znaků nebo obsahuje binární data, je přinejmenším podezřelý.

Zprostředkovatelé aplikační vrstvy jsou schopni provádět ověřování uživatelů a také ověřovat, zda jsou certifikáty SSL podepsány konkrétní autoritou . Firewally aplikační vrstvy jsou dostupné pro mnoho protokolů, včetně HTTP , FTP , pošty ( SMTP , POP , IMAP ), Telnetu a dalších [24] [25] .

Nevýhody tohoto typu firewallů jsou velké množství času a zdrojů vynaložených na analýzu každého paketu. Z tohoto důvodu nejsou obecně vhodné pro aplikace v reálném čase. Další nevýhodou je nemožnost automatického připojování podpory pro nové síťové aplikace a protokoly, jelikož každá z nich vyžaduje vlastního agenta [26] .

Inspektoři stavu

Každý z výše uvedených typů firewallů se používá k ochraně podnikových sítí a má řadu výhod. Mnohem efektivnější by však bylo shromáždit všechny tyto výhody do jednoho zařízení a pořídit si firewall, který filtruje provoz ze sítě do aplikační vrstvy. Tato myšlenka byla realizována u státních inspektorů, které spojují vysoký výkon a bezpečnost. Tato třída firewallů vám umožňuje ovládat [27] :

Filtrováním provozu na principu brány na úrovni relace tato třída firewallů nezasahuje do procesu navazování spojení mezi uzly. Proto je výkon stavového inspektoru znatelně vyšší než výkon zprostředkovatele aplikační vrstvy a brány vrstvy relace a je srovnatelný s výkonem paketových filtrů. Další výhodou státních inspektorů je, že jsou pro uživatele transparentní: klientský software nevyžaduje žádnou další konfiguraci. Tyto firewally jsou vysoce rozšiřitelné. Když se objeví nová služba nebo nový protokol aplikační vrstvy, stačí přidat několik šablon pro jeho podporu. Státní inspektoři však bývají méně zabezpečeni než proxy na aplikační vrstvě [28] .

Termín stavová kontrola zavedený společností Check Point Software je  tak oblíbený výrobci síťových zařízení, že nyní je jako tato technologie klasifikován téměř každý firewall, i když ji plně neimplementuje.

Implementace

Existují dvě verze firewallů – softwarová a hardwarově-softwarová. Softwarová a hardwarová verze má zase dvě varianty - ve formě samostatného modulu v přepínači nebo routeru a ve formě specializovaného zařízení.

V současnosti se častěji používá softwarové řešení, které na první pohled vypadá atraktivněji. Je to proto, že pro jeho použití by se zdálo, že stačí pouze zakoupit software firewall a nainstalovat jej na jakýkoli počítač dostupný v organizaci. Jak však ukazuje praxe, organizace nemá vždy volný počítač, a dokonce ani ten, který splňuje poměrně vysoké požadavky na systémové prostředky. Poté, co je počítač stále nalezen (nejčastěji zakoupen), následuje proces instalace a konfigurace operačního systému a také přímo softwaru brány firewall. Je snadné vidět, že používání běžného osobního počítače není tak snadné, jak by se mohlo zdát. To je důvod, proč se specializované hardwarové a softwarové systémy, nazývané bezpečnostní zařízení , založené zpravidla na FreeBSD nebo Linuxu , "omezily", aby vykonávaly pouze nezbytné funkce . Výhody těchto řešení jsou [29] :

Omezení analýzy firewallu

Firewall umožňuje filtrovat pouze provoz, kterému je schopen „rozumět“. V opačném případě ztrácí účinnost, protože se nedokáže vědomě rozhodnout, co s nerozpoznaným provozem udělá. Existují protokoly jako TLS , SSH , IPsec a SRTP , které používají kryptografii ke skrytí obsahu, takže jejich provoz nelze interpretovat. Některé protokoly, jako například OpenPGP a S/MIME , také šifrují data aplikační vrstvy, což znemožňuje filtrování provozu na základě informací obsažených v této síťové vrstvě. Dalším příkladem omezení analýzy firewallu je tunelovaný provoz, protože jeho filtrování není možné, pokud firewall „nerozumí“ použitému mechanismu tunelování. Ve všech těchto případech musí pravidla nakonfigurovaná na firewallu explicitně definovat, co dělat s provozem, který nemohou interpretovat [30] .

Poznámky

  1. Labuť, 2002 , str. 22.
  2. Shangin, 2011 , str. 193.
  3. Labuť, 2002 , str. 22-25.
  4. Laponina, 2014 , str. 43.
  5. Forrest , str. 2.
  6. Faronov, 2016 , str. 62.
  7. 1 2 3 Laponina, 2014 , str. 131.
  8. 1 2 3 Shangin, 2011 , str. 195.
  9. Shangin, 2011 , str. 194.
  10. 1 2 Fox, 2003 , str. třicet.
  11. 1 2 Lebed, 2002 , str. 48.
  12. Cisco .
  13. Cardenas, 2003 .
  14. Labuť, 2002 , str. padesáti.
  15. Labuť, 2002 , str. 52.
  16. Laponina, 2014 , str. 52.
  17. Laponina, 2014 , str. 51-56.
  18. 1 2 Laponina, 2014 , str. 53.
  19. Fox, 2003 , str. 30-31.
  20. Labuť, 2002 , str. 54.
  21. Fox, 2003 , str. 31.
  22. Labuť, 2002 , str. 58.
  23. Laponina, 2014 , str. 63-64.
  24. Labuť, 2002 , str. 55-56.
  25. Laponina, 2014 , str. 59.
  26. Labuť, 2002 , str. 56.
  27. Labuť, 2002 , str. 58-61.
  28. Fox, 2003 , str. 32.
  29. Shangin, 2011 , str. 207.
  30. Laponina, 2014 , str. 73.

Literatura

Knihy

Články

 Firewally
Volný, uvolnit
Volný, uvolnit
Komerční
Hardware
 Škodlivý software
Infekční malware
Metody skrývání
Malware
pro zisk
Podle operačních systémů
Ochrana
Protiopatření
  • Anti Spyware koalice
  • počítačový dohled
  • hrnec medu
  • Operace: Bot Roast