Firewally firewally. Firewally. Způsoby organizace ochrany

Intenzivní rozvoj globálních počítačových sítí a vznik nových technologií vyhledávání informací přitahuje stále větší pozornost k internetu ze strany jednotlivců i různých organizací. Mnoho organizací se rozhoduje integrovat své místní a podnikové sítě do Internetu. Využívání internetu pro komerční účely, stejně jako při přenosu informací obsahujících důvěrné informace, s sebou nese potřebu vybudovat účinný systém ochrany dat. Využití globálního internetu má nepopiratelné výhody, ale jako mnoho jiných nových technologií má i své nevýhody. Rozvoj globálních sítí vedl k mnohonásobnému nárůstu počtu nejen uživatelů, ale i útoků na počítače připojené k internetu. Roční ztráty v důsledku nedostatečného zabezpečení počítače se odhadují na desítky milionů dolarů. Při připojování lokální nebo podnikové sítě k internetu je proto třeba dbát na zajištění její informační bezpečnosti.

Globální internet byl vytvořen jako otevřený systém určený pro svobodnou výměnu informací. Internet díky otevřenosti své ideologie poskytuje útočníkům výrazně větší možnosti proniknout do informačních systémů. Prostřednictvím internetu může pachatel:

• proniknout do vnitřní sítě podniku a získat neoprávněný přístup k důvěrným informacím;
• Kopírování důležitých a cenných informací pro společnost je nezákonné;
• získat hesla, adresy serverů a někdy i jejich obsah;
• přihlásit se do podnikového informačního systému pod jménem registrovaného uživatele apod.

Získáním informací útočníkem může být vážně narušena konkurenceschopnost podniku a důvěra jeho zákazníků.

Firewally mohou vyřešit řadu úkolů, aby odrazily nejpravděpodobnější hrozby pro vnitřní sítě. Firewall je firewallový systém, který umožňuje rozdělit každou síť na dvě nebo více částí a implementovat sadu pravidel, která určují podmínky pro průchod datových paketů přes hranici z jedné části celkové sítě do druhé. Tato hranice je zpravidla vedena mezi podnikovou (lokální) sítí podniku a globálním internetem, i když může být vedena i v rámci podnikové sítě podniku. Použití firewallů umožňuje organizovat vnitřní bezpečnostní politiku podnikové sítě rozdělením celé sítě do segmentů. To nám umožňuje formulovat základní principy bezpečnostní architektury podnikové sítě:

1. Zavedení N kategorií soukromí a vytvoření N vyhrazených síťových segmentů uživatelů. V tomto případě má každý uživatel v rámci segmentu sítě stejnou úroveň soukromí (přístup k informacím se stejnou úrovní soukromí). Tento případ lze přirovnat k tajné továrně, kde mají všichni zaměstnanci podle úrovně přístupu přístup pouze do určitých pater. Tato struktura je vysvětlena skutečností, že v žádném případě by se neměly míchat informační toky různých úrovní utajení. Stejně zřejmým vysvětlením tohoto rozdělení všech uživatelů do N, izolovaných segmentů je snadnost provedení útoku v rámci jednoho segmentu sítě.
2. Rozdělení všech interních firemních serverů do samostatného segmentu. Toto opatření také umožňuje izolovat informační toky mezi uživateli s různými úrovněmi přístupu.
3. Výběr do samostatného segmentu všech firemních serverů, na které se bude přistupovat z internetu (vytvoření demilitarizované zóny pro externí zdroje).
4. Vytvoření specializovaného segmentu administrativního managementu.
5. Vytvořte vyhrazený segment správy zabezpečení.

Firewall prochází veškerý provoz sám přes sebe a u každého procházejícího paketu se rozhoduje: zda mu povolí průchod nebo ne. Aby firewall mohl tuto operaci provést, potřebuje definovat sadu filtrovacích pravidel. Rozhodnutí, zda filtrovat konkrétní protokoly a adresy pomocí brány firewall, závisí na bezpečnostní politice přijaté chráněnou sítí. Brána firewall je sada součástí, které jsou nakonfigurovány tak, aby implementovaly vybranou bezpečnostní politiku.

Politika zabezpečení sítě každé organizace by měla zahrnovat dvě složky:

1. Zásady pro přístup k síťovým službám.
2. Zásady implementace brány firewall.

Politika přístupu k síťovým službám by měla objasňovat celkovou politiku organizace týkající se ochrany informačních zdrojů v organizaci. Aby firewall úspěšně chránil zdroje organizace, musí být politika pro přístup uživatelů k síťovým službám realistická. To je považováno za politiku, ve které je nalezena harmonická rovnováha mezi ochranou sítě organizace před známými riziky a potřebou uživatelského přístupu k síťovým službám. V souladu s přijatou politikou přístupu k síťovým službám je stanoven seznam internetových služeb, ke kterým mají mít uživatelé omezený přístup. Omezení přístupových metod jsou také nastavena, aby se zajistilo, že uživatelé nebudou moci přistupovat k zakázaným internetovým službám prostřednictvím náhradních řešení.

Firewall může implementovat řadu zásad přístupu ke službám. Obvykle je však politika přístupu k síťovým službám založena na jednom z následujících principů:

1. Odepřít přístup z Internetu do vnitřní sítě a povolit přístup z vnitřní sítě k Internetu.
2. Umožňují omezený přístup do vnitřní sítě z internetu a zajišťují provoz pouze určitých autorizovaných systémů, jako jsou informační a poštovní servery.

V souladu s politikou implementace firewallu jsou stanovena pravidla pro přístup k interním síťovým zdrojům. Nejprve je nutné stanovit, jak „důvěryhodný“ nebo „podezřelý“ bezpečnostní systém by měl být. Jinými slovy, pravidla pro přístup k interním zdrojům by měla být založena na jednom z následujících principů:

1. Zakázat vše, co není výslovně povoleno.
2. Povolit vše, co není výslovně zakázáno.

Efektivita ochrany vnitřní sítě pomocí firewallů závisí nejen na zvolené politice přístupu k síťovým službám a interním síťovým zdrojům, ale také na racionalitě výběru a použití hlavních komponent firewallu.

Funkční požadavky na firewally pokrývají následující oblasti:

• filtrování na úrovni sítě;
• filtrování na aplikační úrovni;
• nastavení filtrovacích pravidel a administrace;
• nástroje síťové autentizace;
• implementace deníků a účetnictví.

Klasifikace firewallů

V současné době neexistuje jednotná a obecně uznávaná klasifikace firewallů. Zdůrazněme následující třídy firewallů:

1. Filtrování směrovačů.
2. Brány na úrovni relace.
3. Brány na aplikační úrovni.

Tyto kategorie lze považovat za základní součásti skutečných firewallů. Jen málo firewallů zahrnuje pouze jednu z těchto kategorií. Tyto komponenty však představují klíčové schopnosti, které firewally od sebe odlišují.

Filtrovat routery

Směrovač s filtrem je směrovač nebo program běžící na serveru, který je nakonfigurován pro filtrování příchozích a odchozích paketů. Filtrování paketů se provádí na základě informací obsažených v TCP a IP hlavičkách paketů.

Směrovač s filtrem může obvykle filtrovat pakety IP na základě skupiny následujících polí záhlaví paketů:

• IP adresa odesílatele;
• IP adresa příjemce;
• port odesílatele;
• port příjemce.

Některé směrovače zkontrolují, ze kterého síťového rozhraní směrovače paket přišel, a poté tuto informaci použijí jako další kritéria filtrování.

Filtrování lze implementovat různými způsoby k blokování připojení ke konkrétním počítačům nebo portům. Můžete například blokovat připojení přicházející z konkrétních adres těch počítačů a sítí, které jsou považovány za nepřátelské nebo nedůvěryhodné.

Pravidla pro filtrování paketů je obtížné formulovat a k ověření jejich správnosti obvykle neexistují jiné prostředky než pomalé ruční testování. Navíc, pokud neexistuje směrovač protokolovacího filtru (pokud pravidla filtrování paketů stále umožňují nebezpečným paketům procházet směrovačem), nebude možné takové pakety identifikovat, dokud nebudou zjištěny důsledky pronikání. I když se správci sítě podaří vytvořit účinná pravidla filtrování, jeho možnosti zůstanou omezené. Administrátor například nastaví pravidlo, podle kterého bude router odmítat všechny pakety s neznámou zdrojovou adresou. V tomto případě však může hacker provést útok zvaný podvržení adresy, aby pronikl do chráněné sítě. Za takových podmínek filtrovací router nerozezná falešný paket od skutečného a propustí ho.

Mezi pozitivní vlastnosti filtrovacích směrovačů patří:

• relativně nízké náklady;
• flexibilita při definování pravidel filtrování;
• mírné zpoždění v průchodu paketů.

Nevýhody filtrovacích routerů:

• vnitřní síť je viditelná (směrovatelná) z internetu;
• pravidla filtrování paketů se obtížně popisují a vyžadují velmi dobrou znalost technologií TCP a UDP;
• pokud firewall pro filtrování paketů selže, všechny počítače za ním se stanou zcela nechráněnými nebo nepřístupnými;
• neexistuje žádná autentizace na úrovni uživatele.

Brány relace

Tato třída směrovačů je překladač TCP spojení. Brána přijme požadavek autorizovaného klienta na konkrétní služby a po ověření platnosti požadované relace naváže spojení s cílem (externím hostitelem). Poté brána zkopíruje pakety v obou směrech, aniž by je filtrovala. Zpravidla je cíl určen předem, přičemž zdrojů může být mnoho. Pomocí různých portů můžete vytvořit různé konfigurace připojení. Tento typ brány vám umožňuje vytvořit překladač připojení TCP pro jakoukoli uživatelsky definovanou službu na bázi TCP, řídit přístup k této službě a shromažďovat statistiky o jejím použití.

Brána monitoruje handshake mezi autorizovaným klientem a externím hostitelem a určuje, zda je požadovaná komunikační relace platná. K určení, zda je požadavek relace platný, provede brána následující postup. Když autorizovaný klient požaduje službu, brána tento požadavek přijme kontrolou, zda klient splňuje základní kritéria filtrování. Poté brána jedná jménem klienta a naváže spojení s externím hostitelem a sleduje dokončení procedury TCP handshake. Tento postup spočívá ve výměně TCP paketů, které jsou označeny příznaky SYN (synchronizovat) a ACK (potvrdit).

První paket relace TCP, označený příznakem SYN a obsahující libovolné číslo, například 500, je požadavek klienta na otevření relace. Externí hostitel, který tento paket přijal, odpoví jiným, označeným příznakem ACK a obsahujícím číslo o jedna větší než v přijatém paketu (v našem případě 501), čímž potvrdí přijetí paketu SYN od klienta.

Dále se provede opačný postup: hostitel odešle klientovi paket SYN s počátečním číslem, například 700, a klient potvrdí jeho přijetí odesláním ACK paketu s číslem 701. Tím je proces handshake dokončen.

Brána na úrovni relace rozpozná dokončené připojení jako platné pouze tehdy, když při provádění procedury handshake příznaky SYN a ACK, stejně jako čísla obsažená v paketech TCP, spolu logicky souvisí.

Jakmile brána určí, že důvěryhodný klient a externí hostitel jsou autorizovanými účastníky relace TCP, a ověří její platnost, naváže spojení. Od tohoto okamžiku brána kopíruje a předává pakety tam a zpět, aniž by prováděla jakékoli filtrování. Udržuje tabulku navázaných spojení, předává data, která patří k jedné z komunikačních relací zaznamenaných v této tabulce. Když relace skončí, brána odstraní odpovídající záznam z tabulky a ukončí síť používanou v aktuální relaci.

Nevýhodou bran na úrovni relace je chybějící ověření obsahu přenášených paketů, což útočníkovi umožňuje proniknout přes takovou bránu.

Brány aplikační úrovně

K ochraně před některými zranitelnostmi, které jsou součástí filtrování směrovačů, musí brány firewall používat aplikace k filtrování připojení ke službám, jako je Telnet a FTP. Taková aplikace se nazývá služba proxy a hostitel, na kterém služba proxy běží, se nazývá brána na úrovni aplikace. Taková brána eliminuje přímou interakci mezi autorizovaným klientem a externím hostitelem. Brána filtruje všechny příchozí a odchozí pakety na aplikační vrstvě.

Po detekci síťové relace ji aplikační brána zastaví a zavolá autorizovanou aplikaci, aby poskytla ukončenou službu. Aplikační brány a filtrovací směrovače lze kombinovat do firewallu pro dosažení vyšší úrovně zabezpečení a flexibility.

Brány na aplikační úrovni poskytují spolehlivé zabezpečení, protože komunikace s vnějším světem je realizována prostřednictvím malého počtu autorizovaných aplikací, které plně řídí veškerý příchozí a odchozí provoz. Je třeba poznamenat, že brány aplikační vrstvy vyžadují samostatnou aplikaci pro každou síťovou službu.

Ve srovnání s těmi, které pracují v normálním režimu, ve kterém je aplikační provoz předáván přímo interním hostitelům, mají brány na aplikační úrovni řadu výhod:

• neviditelnost struktury chráněné sítě z globálního internetu. Názvy interních systémů nesmí být sdělovány externím systémům prostřednictvím DNS, protože aplikační brána může být jediným hostitelem, jehož jméno bude znát externí systémy;
• bezpečná autentizace a registrace. Aplikační provoz lze ověřovat dříve, než se dostane k interním hostitelům, a protokolovat jej efektivněji než při standardním protokolování;
• přijatelný poměr cena výkon. Další softwarové nebo hardwarové autentizační nebo registrační nástroje stačí nainstalovat na aplikační bránu;
• jednoduchá pravidla filtrování. Pravidla na směrovači s filtry jsou méně složitá než na směrovači, který filtruje provoz aplikací sám a posílá ho velkému počtu interních systémů. Směrovač musí povolit aplikační provoz určený pouze pro aplikační bránu a blokovat všechny ostatní;
• možnost pořádání velkého množství kontrol. Ochrana na úrovni aplikace umožňuje velké množství dodatečných kontrol, což snižuje pravděpodobnost hackování pomocí děr v softwaru.

Nevýhody bran aplikační vrstvy jsou:

• relativně nízký výkon ve srovnání s filtrovacími routery. Zejména při použití protokolů klient-server, jako je Telnet, je pro vstupní a výstupní připojení vyžadován dvoustupňový postup;
• vyšší náklady ve srovnání s filtrovacími routery.

Jedním z důležitých prvků koncepce firewallu je autentizace (autentizace uživatele), to znamená, že uživatel získá právo používat určitou službu až poté, co se zjistí, že je skutečně tím, za koho se vydává. V tomto případě se má za to, že služba je pro tohoto uživatele povolena (proces určování, které služby jsou pro konkrétního uživatele povoleny, se nazývá autorizace).

Při přijetí požadavku na použití služby jménem uživatele brána firewall zkontroluje, která metoda ověřování je pro tento subjekt definována, a předá řízení ověřovacímu serveru. Po obdržení kladné odpovědi od ověřovacího serveru firewall pokračuje v připojení požadovaném uživatelem. Většina komerčních firewallů obvykle podporuje několik různých schémat autentizace, což dává správci zabezpečení sítě možnost vybrat si nejvhodnější schéma za převládajících podmínek.

Základní metody nasazení firewallů v podnikových sítích

Při připojování podnikové nebo místní sítě ke globálním sítím musí správce zabezpečení sítě vyřešit následující úkoly:

• ochrana podnikové nebo místní sítě před neoprávněným vzdáleným přístupem z globální sítě;
• skrývání informací o struktuře sítě a jejích komponentech před uživateli globální sítě;
• rozlišení přístupu do chráněné sítě od globální a od chráněné sítě ke globální.

Potřeba práce se vzdálenými uživateli vyžaduje stanovení přísných omezení přístupu k informačním zdrojům chráněné sítě. Organizace zároveň často potřebuje mít v rámci podnikové sítě několik segmentů s různou úrovní zabezpečení:

• volně přístupné segmenty;
• omezené segmenty;
• uzavřené segmenty.

K ochraně podnikové nebo místní sítě se používají následující základní organizační schémata brány firewall:

1. Firewall prezentovaný jako filtrovací router.
2. Firewall založený na dvouportové bráně.
3. Firewall založený na stíněné bráně.
4. Firewall se stíněnou podsítí.

Firewall prezentovaný jako filtrovací router

Firewall založený na filtrování paketů je nejběžnější a nejsnáze implementovatelný, představuje filtrovací router umístěný mezi chráněnou sítí a Internetem.

Směrovač s filtrem je nakonfigurován tak, aby blokoval nebo filtroval příchozí a odchozí pakety na základě analýzy jejich adres a portů.

Počítače umístěné v chráněné síti mají přímý přístup k internetu, přičemž většina přístupu k nim z internetu je blokována. V zásadě může filtrující směrovač implementovat kteroukoli z výše popsaných bezpečnostních politik. Pokud však router nefiltruje pakety podle zdrojových portů a čísel vstupních a výstupních portů, pak může být obtížné explicitně implementovat zásadu „zakázat vše, co není povoleno“.

Firewally založené na filtrování paketů mají stejné nevýhody jako filtrovací routery.

Firewall založený na dvouportové bráně

Aplikační brána firewall se dvěma porty je hostitel se dvěma síťovými rozhraními. Při přenosu informací mezi těmito rozhraními se provádí hlavní filtrování. Pro zajištění dodatečného zabezpečení je mezi aplikační bránu a internet umístěn filtrovací směrovač. V důsledku toho se mezi aplikační bránou a routerem vytvoří vnitřní stíněná podsíť. Může být použit k hostování externě přístupného informačního serveru. Umístění informačního serveru zvyšuje bezpečnost sítě, protože i když do ní útočník pronikne, nebude moci získat přístup k síťovým systémům přes bránu se dvěma rozhraními.

Na rozdíl od návrhu firewallu s filtrem routeru aplikační brána zcela blokuje IP provoz mezi Internetem a chráněnou sítí. Služby a přístup uživatelům mohou poskytovat pouze autorizované aplikace umístěné na aplikační bráně.

Tato verze firewallu implementuje bezpečnostní politiku založenou na principu „vše, co není výslovně povoleno, je zakázáno“; v tomto případě má uživatel přístup pouze k těm službám, pro které byla definována příslušná oprávnění. Tento přístup poskytuje vysokou úroveň zabezpečení, protože cesty do chráněné podsítě zná pouze firewall a jsou skryté před externími systémy.

Zvažované organizační schéma firewallu je relativně jednoduché a docela efektivní. Vzhledem k tomu, že brána firewall používá hostitele, lze na něj nainstalovat programy, které poskytují vylepšené ověřování uživatelů. Brána firewall může také protokolovat přístup, pokusy o testování a útoky na systém, což může pomoci identifikovat škodlivou aktivitu.

Firewall založený na stíněné bráně

Brána firewall nabízí větší flexibilitu než brána firewall se dvěma rozhraními, ale tato flexibilita přichází za cenu určitého snížení zabezpečení. Firewall se skládá z filtrovacího routeru a aplikační brány umístěné na straně vnitřní sítě. Aplikační brána je implementována na hostiteli a má pouze jedno síťové rozhraní.

V tomto návrhu je primární zabezpečení zajišťováno filtrujícím směrovačem, který filtruje nebo blokuje potenciálně nebezpečné protokoly, aby se dostaly k aplikační bráně a interním systémům. Filtrování paketů ve filtrovacím směrovači lze implementovat jedním z následujících způsobů:

• interní hostitelé mohou otevírat připojení k hostitelům v Internetu pro určité služby (přístup k nim je povolen prostředí filtrování paketů);
• Všechna připojení z interních hostitelů jsou odepřena (musí používat autorizované aplikace na aplikační bráně).

V této konfiguraci může firewall používat kombinaci dvou zásad, jejichž vzájemný vztah závisí na konkrétní bezpečnostní politice přijaté ve vnitřní síti. Zejména filtrování paketů na filtrujícím routeru může být organizováno tak, že aplikační brána pomocí svých autorizovaných aplikací poskytuje služby jako Telnet, FTP, SMTP pro systémy v chráněné síti.

Hlavní nevýhodou firewallu se stíněnou bránou je, že pokud se útočníkovi podaří proniknout na hostitele, budou mu vystaveny vnitřní síťové systémy. Další nevýhoda souvisí s možným kompromisem routeru. Pokud je router kompromitován, interní síť bude k dispozici útočníkovi.

Firewall se stíněnou podsítí

Firewall stíněné podsítě je evolucí designu brány firewall stíněné brány. Pro vytvoření stíněné podsítě se používají dva stínící routery. Externí směrovač je umístěn mezi internetem a chráněnou podsítí a interní směrovač je umístěn mezi stíněnou podsítí a chráněnou vnitřní sítí. Stíněná podsíť zahrnuje aplikační bránu a může také zahrnovat informační servery a další systémy, které vyžadují řízený přístup. Tento design firewallu poskytuje vysokou úroveň zabezpečení vytvořením stíněné podsítě, která dále izoluje chráněnou vnitřní síť od Internetu.

Externí router chrání jak stíněnou podsíť, tak vnitřní síť před průniky z internetu. Externí směrovač odepře přístup z World Wide Web k systémům ve vnitřní síti a blokuje veškerý provoz na Internet přicházející ze systémů, které by neměly iniciovat připojení.

Tento směrovač lze také použít k blokování dalších zranitelných protokolů, které by neměly být odesílány do nebo z vnitřních síťových hostitelů.

Interní router chrání vnitřní síť před neoprávněným přístupem jak z internetu, tak v rámci stíněné podsítě. Kromě toho provádí většinu filtrování paketů a také řídí provoz do az interních síťových systémů.

Filtrovaný firewall podsítě se dobře hodí k ochraně sítí s velkým objemem provozu nebo vysokou rychlostí provozu.

Mezi jeho nevýhody patří skutečnost, že dvojice filtrujících routerů vyžaduje velkou pozornost k zajištění požadované úrovně zabezpečení, protože chyby v jejich konfiguraci mohou způsobit narušení bezpečnosti celé sítě. Navíc je zde zásadní možnost přístupu obcházením aplikační brány.

Nevýhody používání firewallů

Firewally se používají k organizaci bezpečných virtuálních privátních sítí. Několik lokálních sítí připojených ke globální síti je sloučeno do jedné zabezpečené virtuální privátní sítě. Přenos dat mezi těmito lokálními sítěmi je pro uživatele neviditelný a důvěrnost a integrita přenášených informací musí být zajištěna pomocí šifrovacích nástrojů, používání digitálních podpisů atd. Při přenosu dat lze zašifrovat nejen obsah paketu, ale i některá pole záhlaví.

Firewall nemůže vyřešit všechny problémy se zabezpečením podnikové sítě. Kromě výše popsaných výhod firewallů existuje řada omezení v jejich použití a existují také bezpečnostní hrozby, před kterými firewally nedokážou ochránit. Všimněme si nejvýznamnějších omezení při používání firewallů:

• velké množství zbývajících zranitelností. Firewally nechrání před zadními vrátky v síti. Pokud lze například neomezený přístup modemu do sítě chráněné firewallem, mohou útočníci účinně obejít firewall;
• nedostatečná ochrana před útoky zaměstnanců společnosti. Firewally obvykle neposkytují ochranu proti vnitřním hrozbám;
• omezení přístupu k nezbytným službám. Nejzřetelnější nevýhodou firewallu je, že může blokovat řadu služeb, které uživatelé používají, Telnet, FTP atd. K řešení takových problémů je zapotřebí dobře promyšlená bezpečnostní politika, která zajistí rovnováhu mezi bezpečnostními požadavky a potřeby uživatele;
• soustředění zabezpečovacího zařízení na jednom místě. To usnadňuje správu firewallu;
• omezení šířky pásma.

Organizace komplexní ochrany podnikové sítě

Pro ochranu informačních zdrojů a zajištění optimálního provozu distribuovaných podnikových informačních systémů je nutné používat komplexní systém informační bezpečnosti, který efektivně využije výhody firewallů a kompenzuje jejich nedostatky pomocí dalších bezpečnostních nástrojů.

Plnohodnotná ochrana podnikové sítě by měla poskytovat:

• bezpečná interakce uživatelů a informačních zdrojů umístěných na extranetových a intranetových sítích s externími sítěmi, jako je internet;
• technologicky jednotný soubor ochranných opatření pro distribuované a segmentované lokální sítě podnikových oddělení;
• přítomnost hierarchického bezpečnostního systému, který poskytuje adekvátní bezpečnostní prostředky pro segmenty podnikové sítě s různým stupněm utajení.

Povaha moderního zpracování dat v podnikových internetových/intranetových systémech vyžaduje, aby firewally měly následující základní vlastnosti:

• mobilita a škálovatelnost ve vztahu k různým hardwarovým a softwarovým platformám;
• možnost integrace s hardwarem a softwarem jiných výrobců;
• snadnost instalace, konfigurace a provozu;
• řízení v souladu s centralizovanou bezpečnostní politikou.

V závislosti na velikosti organizace a bezpečnostní politice přijaté podnikem mohou být použity různé firewally. Pro malé podniky využívající až tucet uzlů jsou vhodné firewally s pohodlným grafickým rozhraním, které umožňují místní konfiguraci bez použití centralizované správy. Pro velké podniky jsou vhodnější systémy s konzolami a manažery správy, které poskytují provozní správu lokálních firewallů a podporu virtuálních privátních sítí.

Nárůst informačních toků přenášených přes internet ze strany firem a soukromých uživatelů, stejně jako potřeba organizovat vzdálený přístup do podnikových sítí, jsou důvody pro neustálé zdokonalování technologií pro připojení podnikových sítí k internetu.

Je třeba poznamenat, že v současné době žádná z technologií připojení, i když má vysoké výkonové charakteristiky, ve standardní konfiguraci nemůže poskytnout plnohodnotnou ochranu podnikové sítě. Řešení tohoto problému je možné pouze pomocí technologie firewallu, která organizuje bezpečnou interakci s vnějším prostředím.

Podívejme se blíže na technologie firewallu.

Ochrana vaší podnikové sítě před neoprávněným přístupem z internetu

Když je vaše podniková síť připojena k internetu, můžete svou podnikovou síť chránit před neoprávněným přístupem pomocí jednoho z následujících řešení:

• hardwarový software nebo softwarový firewall;
• router s vestavěným paketovým filtrem;
• specializovaný router, který implementuje bezpečnostní mechanismus založený na přístupových seznamech;
• operační systém z rodiny UNIX nebo méně běžně MS Windows, rozšířený o speciální nástroje, které implementují filtrování paketů.

Ochrana podnikové sítě na základě firewallu vám umožňuje získat vysoký stupeň zabezpečení a implementovat následující funkce:

• sémantické filtrování cirkulujících datových toků;
• filtrování na základě síťových adres odesílatele a příjemce;
• filtrování požadavků na úrovni přenosu za účelem vytvoření virtuálních připojení;
• filtrování požadavků na aplikační úrovni na aplikační služby;
• lokální signalizace pokusů o porušení pravidel filtrování;
• odepření přístupu neznámému subjektu nebo subjektu, jehož pravost nebyla potvrzena při autentizaci;
• poskytování zabezpečení typu point-to-point: firewall, autorizace směrování a směrovače, tunel směrování a šifrování dat atd.

Je třeba poznamenat, že firewally umožňují organizovat komplexní ochranu podnikové sítě před neoprávněným přístupem, založenou jak na tradičním syntaktickém (IP-paketovém) filtrování řízených datových toků, které provádí většina operačních systémů rodiny Windows a UNIX, tak o sémantickém (obsahovém) filtrování, dostupné pouze komerčním společnostem.

V současné době lze všechny vyráběné firewally klasifikovat podle následujících hlavních charakteristik:

• provedením:
  • - hardware a software,
  • - software;
• o fungování na úrovních modelu OSI:
  • - brána na expertní úrovni,
  • - stínící brána (aplikační brána),
  • - transport stínění (brána na úrovni relace),
  • - stínící router (paketový filtr);
• podle použité technologie:
  • - sledování stavu protokolu,
  • - založené na zprostředkujících modulech (proxy);
• podle schématu zapojení:
  • - jednotné schéma ochrany sítě,
  • - schéma s chráněnými uzavřenými a nechráněnými otevřenými segmenty sítě,
  • - schéma s oddělenou ochranou uzavřených a otevřených segmentů sítě.

Dnes zcela běžná ochrana podnikové sítě založená na routeru s přístupovým seznamem je založena na použití specializovaných routerů. Toto schéma je vysoce efektivní a má dostatečný stupeň bezpečnosti. Jako takové řešení se hojně používají routery Cisco řady 12000 a 7600 Pro připojení podnikové sítě k internetu lze využít i předchozí řady routerů této společnosti.

Ochrana podnikové sítě založené na operačních systémech rozšířených o funkce filtrování paketů je založena na skutečnosti, že systémový software plní funkce směrování, filtrování, údržby atd. Z hlediska spolehlivosti, bezpečnosti a výkonu jsou řešení založená na UNIX- jako operační systém jsou nejvýhodnější.

Organizace interní podnikové síťové bezpečnostní politiky

V moderních podmínkách se více než 50 % různých útoků a pokusů o přístup k informacím provádí z lokálních sítí. Firemní síť lze považovat za skutečně chráněnou před neoprávněným přístupem pouze tehdy, pokud má jak prostředky ochrany vstupních bodů před internetem, tak řešení zajišťující bezpečnost jednotlivých počítačů, podnikových serverů a fragmentů podnikové lokální sítě. Bezpečnost jednotlivých počítačů, podnikových serverů a fragmentů lokální sítě nejlépe zajistí řešení založená na distribuovaných nebo personálních firewallech.

Interní podnikové servery jsou obvykle aplikace s operačními systémy Windows NT/2000, NetWare nebo, méně často, operační systémy řady UNIX. Z tohoto důvodu se podnikové servery stávají potenciálně zranitelnými vůči různým typům útoků.

Nejjednodušším způsobem ochrany serverů je instalace firewallu mezi servery a Internetem, jako je Checkpoint's Firewall-1. Při správné konfiguraci může většina firewallů chránit interní servery před vnějšími útočníky a některé detekovat a zabránit útokům odmítnutí služby. Tento přístup však není bez některých nevýhod. Když jsou podnikové servery chráněny jediným firewallem, všechna pravidla řízení přístupu a data jsou soustředěna na jednom místě. Firewall se tak stává úzkým hrdlem a se zvyšujícím se zatížením výrazně ztrácí výkon.

Alternativou k předchozímu schématu je nákup dalších serverů a instalace firewallu Firewall-1 od Checkpoint nebo Cisco PIX od Cisco před každý server. Tím, že se z brány firewall stane vyhrazený serverový prostředek, je problém s úzkým hrdlem vyřešen a dopad jediného selhání brány firewall na celkový stav sítě je snížen. Tento přístup však nelze nazvat ideálním, protože náklady společnosti na nákup vybavení prudce rostou. Navíc rostou mzdové náklady na správu a údržbu sítě.

Nejúspěšnějším řešením problému ochrany podnikových serverů je umístění bezpečnostních nástrojů na stejnou platformu jako server, který budou chránit. Tento úkol se provádí pomocí distribuovaných nebo osobních firewallů, jako je CyberwallPLUS Network-1 Security Solution. Tato řešení významně doplňují funkčnost tradičních (obvodových) firewallů a lze je použít k ochraně interních i internetových serverů.

Na rozdíl od tradičních firewallů, které jsou obvykle místními „kontrolními body“ pro řízení přístupu ke kritickým informačním zdrojům společnosti, jsou distribuované firewally dalším softwarem, který spolehlivě chrání podnikové servery, jako je internetový server.

Porovnejme tradiční a distribuované firewally na základě několika ukazatelů.

Účinnost. Tradiční firewall je často umístěn na perimetru a poskytuje pouze jednu vrstvu ochrany. Osobní firewall funguje na úrovni jádra operačního systému a spolehlivě chrání podnikové servery skenováním všech příchozích a odchozích paketů.

Snadná instalace. Tradiční firewall by měl být nainstalován jako součást konfigurace podnikové sítě. Distribuovaný firewall je software, který se nainstaluje a odinstaluje během několika minut.

Řízení. Tradiční firewall je spravován správcem sítě. Distribuovaný firewall může spravovat buď správce sítě, nebo uživatel místní sítě.

Výkon. Tradiční firewall je firewallové zařízení s pevným limitem výkonu paketů za sekundu a není vhodné pro rostoucí serverové flotily navzájem propojené komutovanými místními sítěmi. Distribuovaný firewall umožňuje rozšiřovat serverové parky, aniž by došlo k ohrožení přijaté bezpečnostní politiky.

Cena. Tradiční firewally bývají systémy s pevnými funkcemi a poměrně vysokou cenou. Distribuované firewally jsou software, který obvykle stojí mezi 20 % a 10 % tradičních firewallů. Například distribuovaný firewall CyberwallPLUS Network-1 Security Solution stojí 6 000 USD, zatímco firewall Cisco PIX 535 společnosti Cisco stojí přibližně 50 000 USD.

Distribuované brány firewall kombinují řízení přístupu k síti s vestavěnou detekcí neoprávněné manipulace a fungují v režimu jádra, přičemž prověřují každý paket informací při vstupu do sítě. Činnosti, jako jsou pokusy o hackování a neoprávněný přístup, jsou touto obrazovkou blokovány před přechodem na aplikační vrstvu serveru.

Mezi hlavní výhody distribuovaných firewallů patří:

• zajištění bezpečnosti příchozího a odchozího provozu;
• poskytování škálovatelné architektury šířením firewallové ochrany na více serverů;
• odstranění tradičního firewallu jako jediného bodu selhání;
• poskytující nízkonákladové bezpečnostní řešení, které se snadno implementuje a spravuje.

Firewally CyberwallPLUS tedy poskytují další úroveň ochrany pro platformy s operačním systémem Windows NT/2000, na kterých jsou nainstalovány podnikové aplikace, jako je internetový server. Kromě toho může firewall CyberwallPLUS zabránit tomu, aby byly známé typy útoků použity k narušení důležitých firemních serverů a upozornit správce zabezpečení na podezřelou aktivitu v síti.

Takže firewall:

• chrání přenášené informace bez ohledu na způsob a médium přenosu dat (satelitní kanály, optické komunikační linky, telefonní spojení, radioreléové linky);
• chrání jakékoli aplikace bez nutnosti jakýchkoli změn;
• transparentní pro koncové uživatele;
• umožňuje implementovat škálovatelné ochranné systémy s možností jejich dalšího rozšiřování a komplexnosti s růstem organizací a zlepšujícími se požadavky na bezpečnostní politiku;
• chrání jednotlivé síťové informační systémy a aplikace bez ohledu na topologii sítě, kterou používají;
• chrání podnikový informační systém před útoky z vnějšího prostředí;
• chrání informace před zachycením a modifikací nejen na externích otevřených připojeních, ale také na interních sítích společnosti;
• lze snadno překonfigurovat podle toho, jak se vyvíjí podniková politika zabezpečení informací, přidávají se zdroje, aktualizují se technologie a síť korporace roste.

Implementace firewallu

V současné době nabízí velké množství zahraničních i tuzemských firem různé hardwarové, softwarové i softwarové implementace firewallů. Níže je uveden stručný popis některých produktů, které dnes vyrábí přední zahraniční výrobci.

NetScreen Technologies nabízí širokou škálu produktů, od zařízení, která poskytují jednotlivým uživatelům přístup k podnikové podnikové síti přes zabezpečený kanál, až po modely navržené pro implementaci ve velkých podnikových strukturách a vytváření vysoce výkonných bezpečnostních systémů. Každý produkt NetScreen je kombinací brány firewall a zařízení virtuální privátní sítě (VPN).

Produktová řada NetScreen-5 umožňuje vytvořit firewall s propustností 70 Mbps pro model NetScreen-5XT a 20 Mbps pro model NetScreen-5XP a také VPN s propustností 20, respektive 13 Mbps. Na rozdíl od NetScreen-5XP, který podporuje až pět 10Base-T portů, NetScreen-5XT poskytuje pět rozhraní Fast Ethernet.

Oba produkty jsou schopny podporovat až 2 tisíce VPN tunelů a až 2 tisíce současných TCP spojení. Jsou vybaveny operačním systémem NetScreen ScreenOS 4.0, který slouží ke konfiguraci fyzických a virtuálních rozhraní v souladu s bezpečnostními požadavky.

Produkty řady NetScreen-5 jsou ideální pro instalaci mezi domácím počítačem uživatele a webem nebo pro poskytování zabezpečeného přístupu k místní podnikové síti.

Pro implementaci v malých a středních podnicích vyvinula společnost NetScreen Technologies produkty řady NetScreen-25, -50, -100, -200. Umožňují vytvářet firewally s propustností od 100 do 550 Mbit/s. Data, pokud jsou šifrována pomocí protokolu Triple DES se 168bitovým klíčem, jsou navíc přenášena mezi uzly tunelem virtuální privátní sítě rychlostí 20 až 200 Mbit/s. Tyto produktové řady podporují čtyři až osm portů Fast Ethernet.

Řada zařízení NetScreen-500, NetScreen-1000 a NetScreen-5000 nabízí výjimečnou propustnost, což z nich dělá nejlepší řešení pro nasazení ve velkých podnicích. Model NetScreen-500 poskytuje propustnost téměř 750 Mbps a rychlost VPN 240 Mbps.

Model NetScreen-5200 umožňuje implementovat firewall s propustností 4 Gbit/s a VPN s 2 Gbit/s. Podporuje až osm portů Gigabit Ethernet nebo dva porty Gigabit Ethernet a 24 Fast Ethernet. Model NetScreen-5400 poskytuje rychlosti 12 Gbps pro firewall a 6 Gbps pro VPN. Podporuje až 78 portů Gigabit Ethernet a Fast Ethernet.

Oba produkty jsou schopny podporovat až 25 tisíc VPN tunelů a až milion současných TCP spojení. Jsou vybaveny operačním systémem NetScreen ScreenOS 3.1. Produkty NetScreen Technologies navíc podporují protokol RADIUS (Remote Authentication Dial-In User Service) a mají vlastní databázi pro ověřování uživatelů požadujících vzdálený přístup.

WatchGuard Technologies nabízí modely určené pro implementaci v malých a středních i velkých podnicích. Produkty řady Firebox III (4500, 2500, 1000 a 700) jsou k dispozici pro použití v malých a středních podnicích. Modely Firebox 4500 a 2500 jsou hardwarové firewally s operačním systémem Linux se zabezpečeným jádrem. Propustnost firewallů je 197 Mbit/s v režimu filtrování paketů a 60 Mbit/s v režimu mediátoru (transparentní proxy) na aplikační úrovni. Každý firewall má tři síťová rozhraní Fast Ethernet 10/100 Mbps.

Oba firewally mohou podporovat až 3 tisíce VPN tunelů, ale model FireBox 4500 umožňuje dosáhnout vyšších rychlostí šifrování pomocí algoritmu TripleDES 100, respektive 55 Mbit/s ve srovnání s FireBoxem 2500.

Pro malé a střední podniky a vzdálené kanceláře firma vyrábí Firebox SOHO 6, Firebox SOHO 6/tc a Firebox 700.

Firebox 700 je schopen obsluhovat až 250 uživatelů současně. Jedná se o firewall, který podporuje jak filtrování paketů, tak filtry aplikačních zprostředkovatelů. WatchGuard odhaduje výkon Fireboxu 700 na 131 Mbps v režimu filtrování paketů a 43 Mbps v režimu proxy. Firebox 700 umožňuje vytvořit virtuální privátní síť se 150 tunely současně a provádět šifrování TripleDES rychlostí 5 Mbps.

Firebox SOHO 6 podporuje paketové filtry s propustností 75 Mbps. Podporuje také pětitunelovou virtuální privátní síť s propustností 20 Mbps (modifikace SOHO/tc) pomocí šifrování TripleDES.

Pro zajištění vysokorychlostní propustnosti pro velké informační společnosti byl vyvinut model Firebox Vclass, který umožňuje propustnost až 600 Mbit/s. Produkt je schopen podporovat až 20 tisíc VPN tunelů. V režimu šifrování je dosaženo rychlosti 300 Mbit/s.

Společnost Cisco Systems nabízí řadu firewallů Cisco PIX Firewall, které poskytují vysokou úroveň zabezpečení, výkonu a spolehlivosti. Sortiment firewallů představují následující produkty: PIX 506E, 515E, 525 a 535.

Firewally Cisco PIX 506E a 515E jsou upgrady na modely Cisco PIX 506 a 515. Tyto modely jsou určeny pro použití v podnikových sítích malých firem a také pro zajištění bezpečnosti vzdálených klientů podnikových podnikových sítí. Model 506E má výkon 20 Mbit/s a 515E 188 Mbit/s. Datový tok lze šifrovat buď pomocí algoritmu DES s 56bitovým klíčem nebo TripleDES se 168bitovým klíčem. Propustnost Cisco PIX 506E s DES šifrováním 20 Mbit/s, TripleDES 16 Mbit/s. Rychlost šifrování pro model 515E využívající algoritmus TripleDES je 63 Mbit/s. Model 515E podporuje až 2 tisíce VPN tunelů.

Pro použití ve středních a velkých podnicích vyrábí Cisco modely 525 a 535. Propustnost modelu 525 je 370 Mbps. Tento model může současně obsloužit až 280 tisíc relací. Model Cisco PIX 535 má výkon 1 Gbps a podporuje VPN s propustností 100 Mbps. Tento model navíc podporuje až 2 tisíce VPN tunelů a až 500 tisíc současných TCP spojení.

Firewally Cisco používají jako metodu ochrany verzi algoritmu pro skenování kontextu Adaptive Security Algorithm (ASA) a interní operační systém PIX OS, aby byla zajištěna vysoká spolehlivost a bezpečnost před možnými internetovými útoky.

Od společnosti eSoft, Inc. v listopadu 2002 byla představena nová řada produktů InstaGate xSP, která nahradila dřívější modely InstaGate EX2 a InstaGate PRO. Pod značkou InstaGate xSP vyrábí eSoft InstaGate xSP Branch Office pro malé a distribuované kanceláře a InstaGate xSP Business pro střední a velké kanceláře. Produkty řady xSP se dodávají se sadou aplikací SoftPak, které uživatelům umožňují rychle a snadno vytvořit robustní zabezpečení v celém obvodu jejich podnikové sítě. Produktová řada xSP je plně kompatibilní se stávajícími modely InstaGate a umožňuje vytvářet virtuální privátní sítě založené na IPSec a PPTP. InstaGate xSP Branch Office podporuje až 10 uživatelů a 10 VPN tunelů a InstaGate xSP Business podporuje až 100 uživatelů a 100 VPN tunelů. Produkty této řady jsou relativně levné.

3Com nabízí na trh dva typy firewallů: SuperStack 3, určený pro firemní centrály a velké kanceláře, a také pro zákazníky, kteří vyžadují vysoce výkonný přístup k virtuální privátní síti, a OfficeConnect pro malé kanceláře s méně než stovkou zaměstnanců, domácí kanceláře a domácí profesionálové.

Výrobci odhadují, že SuperStack 3 podporuje neomezený počet uživatelů podnikové sítě a poskytuje až 1000 VPN tunelů. Propustnost tohoto modelu při šifrování pomocí algoritmu TripleDES je 45 Mbit/s.

Modelovou řadu OfficeConnect představují modely OfficeConnect Internet Firewall 25 a OfficeConnect Internet Firewall DMZ. Model OfficeConnect Internet Firewall DMZ využívající port DMZ vám umožňuje poskytovat bezpečný externí přístup k síťovým zdrojům. OfficeConnect Internet Firewall DMZ podporuje až 100 uživatelů a OfficeConnect Internet Firewall 25 25 uživatelů. Spolu s OfficeConnect Internet Firewall DMZ a OfficeConnect Internet Firewall 25 firewally se OfficeConnect Web Site Filter používá k filtrování přístupu na nežádoucí webové stránky. Všechny firewally 3Com mají certifikaci ICSA. Řada firewallů 3Com kombinuje výjimečně snadné použití s ​​flexibilními možnostmi řešení. Firewally 3Com se snadno instalují a poskytují extrémně vysokou úroveň zabezpečení. Plug-and-play instalace eliminuje složité a časově náročné postupy nastavení a správy, aniž by byla obětována přísnost, úplnost a podrobnosti vaší bezpečnostní strategie.

Využití firewallů je tedy klíčovým prvkem při budování vysoce výkonných, bezpečných a spolehlivých informačních a analytických systémů a podnikových automatizačních systémů, finančních systémů, distribuovaných databází, systémů pro vzdálený přístup zaměstnanců k interním zdrojům podnikových sítí, segmentům podnikových sítí. a firemní síť jako celek.

Síť potřebuje ochranu před vnějšími hrozbami. Krádež dat, neoprávněný přístup a poškození mohou ovlivnit provoz sítě a způsobit vážné ztráty. K ochraně před ničivými vlivy používejte speciální programy a zařízení. V této recenzi budeme hovořit o firewallu a podíváme se na jeho hlavní typy.

Účel firewallů

Firewally (Firewally) neboli firewally jsou hardwarová a softwarová opatření, která mají zabránit negativním vlivům zvenčí. Firewall funguje jako filtr: z celého toku provozu se třídí pouze povolený provoz. Jedná se o první obrannou linii mezi vnitřními sítěmi a vnějšími, jako je internet. Technologie se používá již 25 let.

Potřeba firewallů vyvstala, když se ukázalo, že princip kompletní síťové konektivity již nefunguje. Počítače se začaly objevovat nejen na univerzitách a v laboratořích. S rozšířením počítačů a internetu bylo nutné oddělit vnitřní sítě od nebezpečných vnějších, abyste se ochránili před vetřelci a ochránili svůj počítač před hackováním.

K ochraně podnikové sítě je instalován hardwarový firewall – může to být samostatné zařízení nebo součást routeru. Ne vždy se však tato praxe uplatňuje. Alternativním způsobem je instalace softwarové brány firewall na počítač, který potřebuje ochranu. Příkladem je firewall zabudovaný ve Windows.

Na firemním notebooku, který používáte v zabezpečené firemní síti, má smysl používat softwarový firewall. Mimo zdi organizace se ocitnete v nechráněném prostředí – na služebních cestách, při práci v kavárnách a restauracích vás ochrání nainstalovaný firewall.

Jak to funguje firewall

Filtrování provozu probíhá na základě předem stanovených bezpečnostních pravidel. Pro tento účel je vytvořena speciální tabulka, kde se zadává popis dat, která jsou pro přenos přijatelná a nepřijatelná. Firewall nepovolí provoz, pokud je spuštěno jedno z blokovacích pravidel z tabulky.

Firewally mohou odepřít nebo povolit přístup na základě různých parametrů: IP adres, názvů domén, protokolů a čísel portů a také jejich kombinace.

• IP adresy. Každé zařízení využívající protokol IP má jedinečnou adresu. Můžete zadat konkrétní adresu nebo rozsah pro zastavení pokusů o příjem paketů. Nebo naopak - dejte přístup pouze k určitému okruhu IP adres.
• Porty. To jsou body, které umožňují aplikacím přístup k síťové infrastruktuře. Například protokol ftp používá port 21 a port 80 je určen pro aplikace používané k procházení webových stránek. To nám dává možnost zabránit přístupu k určitým aplikacím a službám.
• Doménové jméno. Adresa internetového zdroje je také parametrem filtrování. Můžete blokovat provoz z jednoho nebo více webů. Uživatel bude chráněn před nevhodným obsahem a síť před škodlivými vlivy.
• Protokol. Firewall je nakonfigurován tak, aby umožňoval provoz jednoho protokolu nebo blokoval přístup k jednomu z nich. Typ protokolu označuje sadu parametrů zabezpečení a úlohu, kterou aplikace, kterou používá, provádí.

Typy ITU

1. Proxy server

Jeden ze zakladatelů ITU, která funguje jako brána pro aplikace mezi interními a externími sítěmi. Proxy servery mají další funkce, včetně ochrany dat a ukládání do mezipaměti. Navíc neumožňují přímé připojení zvenčí hranic sítě. Použití dalších funkcí může způsobit nepřiměřenou zátěž na výkon a snížit propustnost.

2. Firewall s řízením stavu relace

Obrazovky s možností sledování stavu relací jsou již zavedenou technologií. Rozhodnutí o přijetí nebo blokování dat je ovlivněno stavem, portem a protokolem. Takové verze monitorují veškerou aktivitu ihned po otevření spojení až do jeho uzavření. Systém se rozhodne, zda provoz zablokuje nebo ne, na základě pravidel a kontextu nastavených administrátorem. Ve druhém případě se berou v úvahu údaje, které ITU poskytla z minulých spojení.

3. Jednotná správa hrozeb ITU (UTM)

Komplexní zařízení. Takový firewall zpravidla řeší 3 problémy:

• monitoruje stav relace;
• zabraňuje průnikům;
• provádí antivirovou kontrolu.

Někdy firewally upgradované na verzi UTM obsahují další funkce, například: cloud management.

4. Firewall nové generace (NGFW)

Reakce na moderní hrozby. Útočníci neustále vyvíjejí útočné technologie, nacházejí nové zranitelnosti, vylepšují malware a znesnadňují odrážení útoků na úrovni aplikací. Takový firewall nejen filtruje pakety a sleduje stav relací. Je užitečný při udržování bezpečnosti informací díky následujícím funkcím:

• zohlednění funkcí aplikace, což umožňuje identifikovat a neutralizovat škodlivé programy;
• obrana proti probíhajícím útokům z infikovaných systémů;
• aktualizovaná databáze, která obsahuje popisy aplikací a hrozeb;
• Sledování provozu, který je šifrován pomocí protokolu SSL.

5. Firewall nové generace s aktivní ochranou před hrozbami

Tento typ brány firewall je vylepšenou verzí NGFW. Toto zařízení pomáhá chránit před pokročilými hrozbami. Další funkce mohou:

• zvážit kontext a identifikovat zdroje, které jsou nejvíce ohroženy;
• rychle odrazit útoky pomocí automatizace zabezpečení, která nezávisle spravuje ochranu a nastavuje zásady;
• identifikovat rušivé nebo podezřelé aktivity pomocí korelace událostí v síti a na počítačích;

Tato verze brány firewall NGFW zavádí jednotné zásady, které výrazně zjednodušují správu.

Nevýhody ITU

Firewally chrání síť před vetřelci. Jejich konfiguraci však musíte brát vážně. Buďte opatrní: pokud uděláte chybu při konfiguraci přístupových parametrů, způsobíte škodu a firewall zastaví nezbytný a zbytečný provoz a síť se stane nefunkční.

Použití brány firewall může způsobit snížení výkonu sítě. Pamatujte, že zachycují veškerý příchozí provoz kvůli kontrole. Když je síť velká, přílišná snaha o vynucení zabezpečení a zavádění dalších pravidel způsobí zpomalení sítě.

K úplnému zabezpečení sítě před vnějšími hrozbami často nestačí pouze firewall. Proto se používá ve spojení s dalšími programy, například antivirem.

Klasifikace firewallů

Jedním z účinných mechanismů pro zajištění informační bezpečnosti distribuovaných počítačových sítí je stínění, které plní funkce vymezování informačních toků na hranici chráněné sítě.

Firewalling zvyšuje bezpečnost vnitřních síťových objektů tím, že ignoruje neoprávněné požadavky z vnějšího prostředí, čímž zajišťuje všechny součásti informační bezpečnosti. Kromě funkcí řízení přístupu zajišťuje stínění registraci výměn informací.

Funkce stínění provádí firewall nebo firewall, kterým se rozumí softwarový nebo hardwarově-softwarový systém, který řídí informační toky vstupující a/nebo vystupující z informačního systému a zajišťuje ochranu informačního systému filtrováním informací. Filtrování informací spočívá v analýze informací na základě souboru kritérií a rozhodování o jejich příjmu a/nebo vysílání.

Firewally jsou klasifikovány podle následujících kritérií:

· podle umístění v síti – vnější a vnitřní, poskytující ochranu před vnější sítí nebo ochranu mezi segmenty sítě;

· podle úrovně filtrování odpovídající referenčnímu modelu OSI/ISO.

Externí firewally obvykle pracují pouze s protokolem TCP/IP globálního Internetu. Interní firewally mohou podporovat více protokolů, například při použití síťového operačního systému Novell Netware je třeba vzít v úvahu protokol SPX/IPX.

Charakteristika firewallů

Provoz všech firewallů je založen na využití informací z různých vrstev modelu OSI. Obecně platí, že čím vyšší je úroveň modelu OSI, na kterém firewall filtruje pakety, tím vyšší úroveň ochrany poskytuje.

Firewally jsou rozděleny do čtyř typů:

· brány na úrovni relace;

brány na aplikační úrovni;

Tabulka 4.5.1. Typy firewallů a úrovně modelu ISO OSI

Firewally pro filtrování paketů jsou směrovače nebo programy běžící na serveru, které jsou nakonfigurovány pro filtrování příchozích a odchozích paketů. Proto se takové obrazovky někdy nazývají paketové filtry. Filtrování se provádí analýzou zdrojové a cílové IP adresy a také portů příchozích paketů TCP a UDP a jejich porovnáním s konfigurovanou tabulkou pravidel. Tyto brány firewall se snadno používají, jsou levné a mají minimální dopad na výkon počítačového systému. Hlavní nevýhodou je jejich zranitelnost vůči falšování IP adres. Navíc jsou složité na konfiguraci: jejich instalace vyžaduje znalost síťových, transportních a aplikačních protokolů.

Brány relace kontrolovat přípustnost komunikační relace. Monitorují handshake mezi autorizovaným klientem a externím hostitelem (a naopak) a určují, zda je požadovaná komunikační relace platná. Při filtrování paketů se brána vrstvy relace spoléhá na informace obsažené v hlavičkách paketů vrstvy relace TCP, tj. pracuje o dvě vrstvy vyšší než firewall pro filtrování paketů. Navíc tyto systémy obvykle disponují funkcí překladu síťových adres, která skrývá interní IP adresy, čímž eliminuje falšování IP adres. Takové firewally však postrádají kontrolu nad obsahem paketů generovaných různými službami. K odstranění tohoto nedostatku se používají brány aplikační úrovně.

Aplikační brány kontrolovat obsah každého paketu procházejícího bránou a může filtrovat specifické typy příkazů nebo informací v protokolech aplikační vrstvy, které mají za úkol obsluhovat. Jedná se o pokročilejší a spolehlivější typ brány firewall, který využívá proxy nebo agenty aplikační vrstvy. Agenti jsou sestaveni pro specifické internetové služby (HTTP, FTP, Telnet atd.) a používají se ke kontrole síťových paketů na přítomnost spolehlivých dat.

Brány na aplikační úrovni snižují úrovně výkonu systému kvůli opětovnému zpracování v programu proxy. To není patrné při práci na internetu při práci přes nízkorychlostní kanály, ale je významné při práci v interní síti.

Firewally na expertní úrovni kombinují prvky všech tří výše popsaných kategorií. Stejně jako firewally pro filtrování paketů fungují na síťové vrstvě modelu OSI a filtrují příchozí a odchozí pakety na základě kontroly IP adres a čísel portů. Firewally na úrovni expertů také fungují jako brána na úrovni relace, která určuje, zda pakety patří do příslušné relace. A konečně, expertní firewally přebírají roli aplikační brány, která vyhodnocuje obsah každého paketu podle bezpečnostní politiky organizace.

Namísto použití programů typu man-in-the-middle specifických pro aplikaci používají expertní firewally specializované algoritmy k rozpoznání a zpracování dat na aplikační úrovni. Tyto algoritmy porovnávají pakety se známými datovými vzory, což by teoreticky mělo poskytovat efektivnější filtrování paketů.

Závěry k tématu

1. Firewalling zvyšuje bezpečnost vnitřních síťových objektů tím, že ignoruje neoprávněné požadavky z vnějšího prostředí, čímž zajišťuje všechny součásti informační bezpečnosti. Kromě funkcí řízení přístupu zajišťuje stínění registraci výměn informací.

2. Stínící funkce plní firewall nebo firewall, kterým se rozumí softwarový nebo hardwarově-softwarový systém, který řídí informační toky vstupující a/nebo vystupující z informačního systému a zajišťuje ochranu informačního systému filtrováním informací.

3. Firewally jsou klasifikovány podle následujících kritérií: podle umístění v síti a podle úrovně filtrování odpovídající referenčnímu modelu OSI/ISO.

4. Externí firewally obvykle pracují pouze s protokolem TCP/IP globálního Internetu. Interní firewally mohou podporovat více protokolů.

5. Firewally se dělí na čtyři typy:

· firewally s filtrováním paketů;

· brány na úrovni relace;

brány na aplikační úrovni;

· firewally na expertní úrovni.

6. Nejkomplexnějším řešením problému stínění jsou firewally na expertní úrovni, které kombinují prvky všech typů firewallů.

Otázky pro sebeovládání

1. Jaký je mechanismus brány firewall?

2. Definujte firewall.

3. Princip fungování firewallů s filtrováním paketů.

4. Na jaké úrovni protokolu funguje brána na úrovni relace?

5. Co je zvláštního na firewallech na expertní úrovni?

16.09.1999

Typy firewallů a technologie v nich používané. Si vis pacem, para bellum (Chceš-li mír, připrav se na válku). Konstantin Pyanzin Internet se díky své otevřené architektuře stal jedním z nejpohodlnějších komunikačních prostředků.

Typy firewallů a technologie v nich používané.

Si vis pacem, para bellum

(Pokud chceš mír, připrav se na válku).

Konstantin Pyanzin

Internet se díky své otevřené architektuře stal jedním z nejpohodlnějších komunikačních prostředků. Otevřenost internetu zároveň vyvolala mnoho bezpečnostních problémů. Zde nemohlo být vhodnější rčení: „Každý je sám za sebe, jen Bůh je pro každého“. Jakýkoli počítač připojený k internetu by měl být považován za potenciální cíl útoku. Tento problém je obzvláště akutní v případě organizací, protože potřebují ovládat provoz velkého počtu počítačů a síťových zařízení na internetu.

Bezpečnost při připojení k internetu je zajištěna pomocí následujících specializovaných nástrojů:

• firewally;
• síťové skenery navržené k nalezení nedostatků a potenciálně nebezpečných oblastí v sítích;
• sniffery neboli analyzátory protokolů, které umožňují sledovat příchozí a odchozí provoz;
• prostředky protokolování událostí v sítích;
• prostředky k budování virtuálních privátních sítí a organizování uzavřených kanálů pro výměnu dat.

Důležité místo ve výčtu prostředků pro zajištění bezpečného připojení k internetu zaujímají firewally (často nazývané firewally, nebo anglicky firewall). Podle pokynů. Firewally“ Státní technické komise prezidenta Ruské federace „firewall je lokální (jednosložkový) nebo funkčně distribuovaný nástroj (komplex), který implementuje kontrolu nad informacemi vstupujícími a/nebo opouštějícími automatizovaný systém a zajišťuje ochranu automatizovaný systém filtrováním informací, tj. analýzou na základě souboru kritérií a rozhodováním o jejich distribuci v (z) automatizovaném systému.“ Bohužel tato definice je příliš obecná a vyžaduje příliš široký výklad.

V běžné řeči jsou firewally (firewally) prostředky ochrany instalované mezi veřejnou sítí (jako je Internet) a vnitřní sítí. Firewall má dvojí funkci. Zaprvé je navržen tak, aby omezoval přístup do vnitřní sítě z veřejné sítě pomocí filtrů a autentizačních nástrojů, aby útočníci nemohli získat neoprávněný přístup k informacím nebo narušit běžný provoz síťové infrastruktury. Za druhé, ME slouží ke kontrole a regulaci přístupu uživatelů vnitřní sítě k veřejným síťovým zdrojům, když představují bezpečnostní hrozbu nebo odvádějí pozornost zaměstnanců od práce (pornografické, herní, sportovní servery).

Nyní jsou však firewally instalovány i uvnitř podnikových sítí, aby omezily přístup uživatelů ke zvláště důležitým síťovým zdrojům, například k serverům obsahujícím finanční informace nebo informace související s obchodním tajemstvím. Existují také osobní firewally určené k regulaci přístupu k jednotlivým počítačům a nainstalované na těchto počítačích.

Firewally se pochopitelně používají pro sítě TCP/IP a jsou klasifikovány podle vrstvy Open Systems Interconnection Reference Model (OSI). Vzhledem k řadě okolností je však takové zařazení spíše podmíněné. Za prvé, síťový model sítí TCP/IP poskytuje pouze 5 vrstev (fyzická, rozhraní, síť, transport a aplikace), zatímco model OSI má 7 vrstev (fyzická, linková, síťová, transportní, relace, prezentace a aplikace). Proto není vždy možné vytvořit mezi těmito modely vzájemnou korespondenci. Za druhé, většina vyráběných firewallů zajišťuje provoz na několika úrovních hierarchie OSI najednou. Zatřetí, některé obrazovky fungují v režimu, který je obtížné korelovat s nějakou přísně definovanou úrovní hierarchie.

Podporovaná vrstva modelu sítě OSI je však hlavní charakteristikou při klasifikaci firewallů. Rozlišují se následující typy firewallů:

• řízené přepínače (linková vrstva);
• síťové filtry (úroveň sítě);
• brány na úrovni relace (proxy na úrovni okruhu);
• zprostředkovatelé aplikační vrstvy;
• stavová inspekce, což jsou firewally na úrovni relace s pokročilými funkcemi.

Existuje také koncept „firewallu expertní úrovně“. Takové firewally jsou obvykle založeny na prostřednících na úrovni aplikace nebo státních inspektorech, ale jsou nezbytně vybaveny bránami na úrovni relace a síťovými filtry. Mezi expertní firewally patří téměř všechny komerční firewally na trhu.

Firewally se mohou spolehnout na jeden ze dvou vzájemně se vylučujících principů zpracování příchozích datových paketů. První zásada říká: "Co není výslovně zakázáno, je dovoleno." To znamená, že pokud ME přijalo paket, který nespadá pod jedno z přijatých omezení nebo není identifikován pravidly zpracování, je přenášen dále. Opačný princip – „Co není zjevně dovoleno, je zakázáno“ – zaručuje mnohem větší bezpečnost, ale přináší další zátěž pro správce. V tomto případě je vnitřní síť zpočátku zcela nepřístupná a správce ručně nastavuje síťové adresy, protokoly, služby a operace povolené při komunikaci s veřejnou sítí.

Pravidla pro zpracování informací v mnoha firewallech expertní třídy mohou mít víceúrovňovou hierarchickou strukturu. Mohou vám například umožnit nastavit následující schéma: „Všechny počítače v místní síti jsou zvenčí nepřístupné, s výjimkou přístupu k serveru A přes protokol ftp a k serveru B přes protokol telnet, ale přístup k server A s provozem PUT služby ftp je zakázán."

Firewally mohou s příchozími datovými pakety provádět jednu ze dvou operací: povolit paketu projít (povolit) nebo paket zahodit (zakázat). Některé firewally mají další operaci – odmítnutí, při které je paket zahozen, ale odesílatel je prostřednictvím ICMP protokolu informován, že služba je na počítači příjemce nedostupná. Naproti tomu během operace odmítnutí není odesílatel informován, že služba je nedostupná, což je bezpečnější.

Níže se podíváme na výhody a nevýhody jednotlivých typů firewallů podrobněji.

VYPÍNAČE

Přepínače střední a vyšší třídy od společností Cisco, Bay Networks (Nortel), 3Com a dalších výrobců umožňují vázat MAC adresy počítačových síťových karet na konkrétní porty přepínačů. Mnoho přepínačů navíc poskytuje možnost filtrovat informace na základě adresy síťové karty odesílatele nebo příjemce, a tím vytvářet virtuální sítě (VLAN). Jiné přepínače umožňují organizovat sítě VLAN na úrovni portu samotného přepínače. Tímto způsobem může přepínač fungovat jako firewall pro datové spojení.

Je třeba poznamenat, že většina specialistů na bezpečnost informačních systémů zřídka klasifikuje přepínače jako firewally. Hlavním důvodem tohoto vztahu je, že oblast filtrování přepínače sahá až k nejbližšímu routeru, a proto není vhodná pro regulaci přístupu z internetu.

Navíc obvykle není těžké podvrhnout adresu síťové karty (mnoho ethernetových karet umožňuje programově měnit nebo přidávat adresy linkové vrstvy) a tento přístup k zabezpečení je extrémně nespolehlivý. Je pravda, že organizace virtuálních sítí na úrovni portu přepínače je spolehlivější, ale opět je omezena místní sítí.

Pokud se však budete řídit doslovným výkladem „Guide Document“ Státní technické komise, pak jsou přepínače se schopností vytvářet VLAN firewally.

SÍŤOVÉ FILTRY

Síťové filtry fungují na úrovni sítě v hierarchii OSI (viz obrázek 1). Síťový filtr je směrovač, který zpracovává pakety na základě informací obsažených v hlavičkách paketů. Síťové filtry existují pro sítě TCP/IP a IPX/SPX, ale poslední jmenované se používají v lokálních sítích, takže je nebudeme uvažovat.

Při zpracování paketů berou v úvahu následující informace:

• IP adresa odesílatele;
• IP adresa příjemce;
• protokol (TCP, UDP, ICMP);
• číslo softwarového portu odesílatele;
• číslo softwarového portu přijímače.

Na základě těchto informací administrátor nastaví pravidla, podle kterých budou pakety filtrem buď procházet, nebo jej zahazovat. Síťový filtr vám například umožňuje implementovat následující schéma výměny dat mezi počítači v podnikové síti a na internetu:

1. všechny počítače v podnikové síti mají schopnost komunikovat s externími webovými a ftp servery, ale ne s telnet, NNTP atd.;
2. externí přístup je zakázán všem počítačům v podnikové síti, kromě přístupu k serveru A přes HTTP a k serveru B přes ftp; kromě toho má externí počítač Z povolen přístup k internímu serveru C a jakýmkoli službám TCP a UDP, ale ne ICMP.

Síťové filtry jsou velmi snadno implementovatelné, proto se rozšířily a jsou zastoupeny v hardwarově-softwarových i čistě softwarových implementacích. Funkcemi filtrování sítě jsou vybaveny zejména routery od společností Cisco, Bay Networks (divize Nortel) a dalších výrobců, v důsledku čehož se takové routery nazývají filtrovací routery. Seznam softwarových síťových filtrů je ještě působivější a většina z nich jsou bezplatné nebo sharewarové nástroje. Jsou implementovány pro mnoho síťových platforem, včetně UNIX, Windows NT, NetWare, VMS, MVS.

Bohužel nevýhodou jednoduchosti implementace a nízké ceny síťových filtrů je složitost jejich správy a špatná ochrana před útoky.

Síťové filtry primárně využívají statické filtrování, kdy administrátor musí vytvořit filtr pro každý unikátní typ paketu, který je potřeba zpracovat. Pojďme si to vysvětlit na příkladu. Řekněme, že všechny počítače mají ve výchozím nastavení zakázán přístup k internetu. Počítač Z (IP adresa 123.45.67.89) však potřebuje přístup k externímu serveru A (IP adresa 211.111.111.111), který poskytuje službu telnet. V tomto případě musí správce nastavit dvě pravidla:

1. předat paket, pokud je přenášen ze síťového rozhraní vnitřní sítě na síťové rozhraní vnější sítě a má tyto parametry: IP adresa odesílatele 123.45.67.89, IP adresa příjemce 211.111.111.111, protokol transportní vrstvy TCP, software odesílatele port větší než 6000, příjemce softwarového portu 23;
2. přeskočit paket, pokud je přenášen ze síťového rozhraní vnější sítě na síťové rozhraní vnitřní sítě a má následující parametry: IP adresa odesílatele 211.111.111.111, IP adresa příjemce 123.45.67.89, protokol transportní vrstvy TCP, software odesílatele port 23, softwarový port příjemce více než 6000.

Pro každý kanál výměny dat je tedy nutné nastavit dvě pravidla (filtry); v případě vícekanálových připojení (například pro službu ftp) se počet pravidel odpovídajícím způsobem zvyšuje. Pro velkou síť dosahuje seznam pravidel velmi působivé velikosti, ve které se může správce snadno zmást. Je pravda, že síťové filtry obvykle umožňují kombinovat pravidla pro podmnožinu počítačů na základě podsítí IP.

Protože brána firewall prohledává tabulku pravidel v sekvenčním pořadí při příjmu každého paketu, každé nové pravidlo snižuje celkový výkon směrovače.

Řada výrobců (zejména Novell v nástroji FILTCFG.NLM) poskytuje dynamické nebo kontextové (stavové) filtrování a filtrování fragmentů IP paketů, ale pokud jde o jejich vlastnosti, pravděpodobněji patří do kategorie relace. brány na úrovni, a proto bude diskutováno později.

Dalším problémem, zejména u bezplatných síťových filtrů, je nemožnost vytvořit hierarchickou strukturu pravidel. Například v případě zásady „co není výslovně dovoleno, je zakázáno“ filtr nejprve prohlédne seznam výjimek, a pokud balíček nevyhovuje více než jedné výjimce, pak v souladu se zadanou zásadou balíček je vyloučeno. Pokud paket splňuje alespoň jednu výjimku, je předán dál. Představte si však tuto situaci: síť je uzavřena zvenčí, ale jeden server musí být přístupný vnějšímu světu přes ftp protokol. To vše lze perfektně organizovat pomocí síťového filtru, s výjimkou malého, ale velmi nepříjemného detailu - na přístup k serveru přes ftp nelze uvalit další omezení. Například v tomto případě není možné zakázat přístup k němu z počítače Z, který útočník používá. Navíc může hacker přenášet pakety na server s adresou odesílatele odpovídající adrese počítače ve vnitřní síti (nejnebezpečnější typ falšování IP paketů). A síťový filtr takový paket propustí. Aby se předešlo těmto problémům, jsou administrátoři nuceni instalovat dva za sebou propojené filtry, aby tak implementovali hierarchická pravidla filtrování.

Přepěťové filtry mají řadu zásadních nevýhod. V prvé řadě se autentizace (resp. identifikace) odesílatele provádí pouze na základě IP adresy. Pomocí IP spoofingu však může útočník takovou bariéru obejít bez velkého úsilí. Navíc osoba, která nemá právo pracovat se serverem, může v zásadě sedět u autorizovaného počítače. Autentizace na základě uživatelského jména a hesla je mnohem bezpečnější, ale není možné ji použít v síťových filtrech.

Síťový filtr nemůže monitorovat provoz síťových aplikací a obecně neřídí obsah paketů transportní, relační a aplikační vrstvy. Přítomnost síťového filtru proto neochrání podnikovou síť před útoky, jako je SYN-flooding (viz postranní panel), před útoky souvisejícími s fragmentací paketů a před průniky prostřednictvím služeb na úrovni aplikací.

Hlavní (vedle ceny a snadné implementace) výhodou síťových filtrů je jejich velmi vysoký výkon, mnohem vyšší než u firewallů na úrovni relací a aplikací. I přes své vážné nedostatky je přepěťová ochrana nedílnou součástí každého firewallu profesionální úrovně. Je to však pouze jedna z jeho součástí, protože funguje ve spojení s bránou na vyšší úrovni hierarchie OSI. V tomto provedení síťový filtr zabraňuje přímé komunikaci mezi vnitřní a vnější sítí (kromě předdefinovaných počítačů). Veškeré základní filtrování, ale na vyšších úrovních OSI, je organizováno bránou příslušné úrovně nebo státním inspektorem.

BRÁNY ÚROVNĚ SEKCE

Brány na úrovni relace, jak název napovídá, fungují na úrovni relace v hierarchii OSI. V síťovém modelu TCP/IP však neexistuje žádná vrstva, která by jednoznačně odpovídala vrstvě relace OSI. Brány na úrovni relace proto zahrnují filtry, které nelze identifikovat ani u síťové, transportní ani aplikační vrstvy.

Filtry na úrovni relace mají několik variant v závislosti na jejich funkčních vlastnostech, ale tato klasifikace je spíše libovolná, protože jejich možnosti se do značné míry překrývají. Je třeba mít na paměti, že firewally zahrnují všechny nebo většinu typů bran na úrovni relace.

FILTRY PRO MONITOROVÁNÍ STAVU KOMUNIKAČNÍHO KANÁLU

Filtry pro monitorování stavu komunikačního kanálu často zahrnují síťové filtry (úroveň sítě) s pokročilými funkcemi.

Dynamické filtrování v síťových filtrech. Na rozdíl od standardního statického filtrování v síťových filtrech vám dynamické (stavové) filtrování umožňuje přiřadit každému komunikačnímu kanálu pouze jedno pravidlo namísto několika pravidel filtrování. V tomto případě samotný dynamický filtr monitoruje sekvenci výměn datových paketů mezi klientem a serverem, včetně IP adres, protokolu transportní vrstvy, čísel portů odesílatele a příjemce a někdy pořadových čísel paketů. Je jasné, že takové filtrování vyžaduje další RAM. Z hlediska výkonu je dynamický filtr poněkud horší než statický filtr.

Filtrujte fragmentované pakety. Při přenosu po sítích s různými MTU lze pakety IP rozdělit na samostatné fragmenty, přičemž pouze první fragment vždy obsahuje kompletní záhlaví paketu transportní vrstvy, včetně informací o softwarovém portu. Konvenční síťové filtry nejsou schopny kontrolovat jiné fragmenty než první a nechat je projít (pokud jsou splněna kritéria pro IP adresy a použitý protokol). Díky tomu mohou útočníci organizovat nebezpečné útoky typu denial-of-service záměrným generováním velkého počtu fragmentů a tím blokováním provozu počítače příjemce paketu. Fragmentovaný paketový filtr neumožňuje průchod fragmentů, pokud první selže při registraci.

Řízení bitů SYN a ACK. Řada filtrů umožňuje sledovat bity SYN a ACK v paketech TCP. Všechny jsou navrženy pro boj s SYN-flooding útoky (viz postranní panel), ale používají různé přístupy. Nejjednodušší filtr zakazuje přenos TCP paketů s bitem SYN, ale bez bitu ACK, z veřejné sítě do počítačů ve vnitřní síti, pokud tyto nebyly výslovně deklarovány jako servery pro vnější síť (nebo alespoň pro konkrétní skupina počítačů ve vnější síti). Bohužel takový filtr nepomůže s SYN-flooding útoky na stroje, které jsou servery pro externí síť, ale jsou umístěny ve vnitřní síti.

Pro tyto účely se používají specializované filtry s vícestupňovým pořadím navazování spojení. Například filtr SYNDender Gateway z firewallu Check Point FireWall-1 funguje následovně. Řekněme, že externí počítač Z se pokouší navázat spojení s interním serverem A přes firewall firewallu. Postup navázání spojení je znázorněn na obrázku 2. Když firewall přijme paket SYN z počítače Z (krok 1), je tento paket přenesen na server A (krok 2). V odezvě server A odešle paket SYN/ACK do počítače Z, ale firewall jej zachytí (krok 3). Dále ME předá přijatý paket do počítače Z, navíc ME, jménem počítače Z, pošle ACK paket na server A (krok 4); Kvůli rychlé odezvě na server A nebude paměť serveru přidělená pro navazování nových spojení nikdy plná a útok SYN-flooding nebude fungovat.

Co se stane dále, závisí na tom, zda počítač Z skutečně zahájil spojení se serverem A. Pokud ano, pak počítač Z odešle ACK paket na server A, který projde firewallem (krok 5a). Server A bude druhý ACK paket ignorovat. Poté bude firewall volně předávat pakety mezi počítači A a Z. Pokud firewall neobdrží ACK paket nebo vyprší časový limit pro navázání spojení, odešle RST paket na server A, čímž spojení zruší (krok 5b).

Filtr SYNDender Relay ze stejného Check Point FireWall-1 funguje trochu jinak. Před odesláním SYN paketu na server A firewall nejprve naváže spojení s počítačem Z. Postup navázání spojení pro tento případ je znázorněn na obrázku 3. Teprve po přijetí ACK paketu z počítače Z firewall zahájí spojení se serverem A (krok 3). Je zřejmé, že jakmile jsou spojení navázána, firewall bude nucen dynamicky měnit hodnoty polí Sequent number a Acknowledgement number ve všech paketech TCP přenášených mezi počítači A a Z, což snižuje výkon.

BRÁNY ROZŠIŘUJÍCÍ ADRESY NEBO SÍŤOVÉ PROTOKOLY

Snad nejznámější bránou na úrovni relace je brána NAT (Network Address Translation). Při použití brány NAT má vnitřní síť adresy, které jsou ve veřejné síti neviditelné (a dokonce neregistrované). Když interní počítač přistupuje ven, brána zachytí požadavek a jedná jménem klienta pomocí jeho externí (registrované) IP adresy. Brána přenese přijatou odpověď do vnitřního počítače (po nahrazení vnitřní adresy počítače), přičemž funguje jako přenosový spoj. To vám umožní zabít dvě mouchy jednou ranou: výrazně snížit počet registrovaných IP adres a řídit tok informací, tedy přidělovat nebo odepřít přístup k internetu jednotlivým počítačům.

Brány NAT mohou pracovat v jednom ze čtyř režimů: dynamický, statický, statický s dynamickým výběrem IP adres a kombinovaný.

V dynamickém režimu, někdy nazývaném Port Address Translation (PAT), má brána jednu externí IP adresu. Všechna volání do veřejné sítě (Internet) od klientů vnitřní sítě jsou prováděna pomocí této externí adresy, zatímco brána funguje pouze na portech externího rozhraní, tj. když klient volá, brána přiděluje jedinečný softwarový port transportního protokolu (UDP). , TCP) pro externí IP adresu. Brána NAT může mít fondy až 64 000 portů TCP, 64 000 portů UDP a 64 000 portů ICMP (ICMP nepoužívá termín „port“, ale vývojáři bran jej používají ke zdůraznění principu překladu paketů), ačkoli některé implementace kapacita fondů může být mnohem menší než tyto hodnoty, například v Novell BorderManager obsahuje každý fond 5000 portů.

Dynamický režim je určen pro sítě, jejichž počítače fungují výhradně jako klienti internetových zdrojů.

Ve statickém režimu je externímu rozhraní brány přiděleno tolik registrovaných IP adres, kolik je počítačů ve vnitřní síti. Každému počítači ve vnitřní síti je přiřazena jedinečná externí IP adresa brány. Při výměně dat mezi vnitřní a veřejnou sítí brána překládá vnitřní IP adresy na externí a naopak. Statický režim je nezbytný, pokud počítače ve vnitřní síti fungují jako internetové servery.

Statický režim s dynamickým výběrem IP adres je podobný statickému režimu, až na to, že interním počítačům nejsou přidělovány předdefinované (staticky) externí IP adresy, jsou rezervovány dynamicky ze skupiny externích IP adres.

Kombinovaný režim zahrnuje současné použití několika výše uvedených režimů a je určen pro sítě, kde jsou jak internetoví klienti, tak servery.

Kromě obecných nedostatků bran na relaci (viz níže) mají brány NAT svou vlastní specifickou chybu: nepodporují síťové aplikace, jejichž pakety na aplikační vrstvě obsahují IP adresy. Jedinou výjimkou je služba ftp, pro kterou může většina bran NAT ovládat (a měnit) IP adresy uvnitř paketů aplikační vrstvy.

Druhou nevýhodou NAT bran je, že nepodporují autentizaci na úrovni uživatele, ale pouze na úrovni IP adresy, což je činí zranitelnými vůči útokům IP spoofing. Brány NAT navíc nemohou zabránit útokům typu Denial of Service, zejména SYN-flooding, takže jejich použití má smysl pouze ve spojení s jinými typy bran relací a/nebo aplikační vrstvy. Kromě bran NAT jsou dobře známé brány IPX/IP, určené k poskytování přístupu k Internetu pro počítače pracující v sítích IPX/SPX. Když klient interní sítě odešle požadavek na internetový server, brána zachytí požadavek a namísto paketu IPX vygeneruje odpovídající paket IP. Když přijde odpověď ze serveru, brána provede zpětnou konverzi. Možná je to nejspolehlivější typ brány, protože vnitřní síť má ve srovnání s TCP/IP zásadně odlišné softwarové prostředí. Dosud nebyl zaznamenán jediný případ hacknutí takové infrastruktury. Navíc na rozdíl od NAT bran probíhá autentizace na IPX/IP branách nejen na úrovni adres počítačové sítě, ale také na úrovni uživatele pomocí informací z databáze NDS (pro NetWare 4.x a 5.x) popř. BINDERY (pro NetWare 3.x). Taková autentizace je však možná pouze při přístupu z vnitřní sítě do Internetu, s výjimkou případu, kdy externí klient používá NetWare na bázi TCP/IP.

ZPROSTŘEDKOVATELÉ NA ÚROVNI SEKCE

Než povolíte navázání TCP spojení mezi počítači v interní a externí síti, zprostředkovatelé vrstvy relace nejprve minimálně zaregistrují klienta. Nezáleží na tom, na které straně (externí nebo interní) je tento klient. Pokud je výsledek registrace kladný, je mezi externím a interním počítačem uspořádán virtuální kanál, přes který jsou přenášeny pakety mezi sítěmi. Od této chvíle zprostředkovatel nezasahuje do procesu výměny dat a nefiltruje informace. Ale toto schéma je obecné, specifické implementace bran na aplikační úrovni mohou mít své vlastní charakteristiky. Nejznámějším a nejoblíbenějším zprostředkovatelem vrstvy relace je zprostředkovatel SOCKS 5, který funguje jako server SOCKS 5. Když se klient pokusí komunikovat se serverem na druhé straně zprostředkovatele, jeho klient SOCKS kontaktuje server SOCKS, kde. dochází nejen k registraci, ale také k SOCKS serveru, ale také k plné autentizaci na základě uživatelského jména a hesla. Autentizaci lze organizovat tak, aby bylo heslo přenášeno v zašifrované podobě. Pokud je výsledek autentizace kladný, zprostředkovatel SOCKS umožní klientovi připojit se k serveru a již nezasahuje do výměny informací. Služba SOCKS 5 však umožňuje přenos dat mezi klientem a zprostředkovatelem šifrovat pomocí protokolu SSL. S přihlédnutím k těmto charakteristikám je zřejmé, že použití brokera SOCKS 5 je relevantní zejména v situaci, kdy je server na interní síti a klient na veřejné síti. Případ, kdy interní klienti přistupují k internetovým zdrojům, by však neměl být zlevněn, protože zprostředkovatel SOCKS 5 vám umožňuje regulovat přístup na úrovni uživatelských jmen a hesel. Nevýhodou zprostředkovatelů SOCKS je nutnost instalovat na každý klientský web specializovaný software - klientskou část SOCKS.

BĚŽNÉ NEVÝHODY BRAN NA ÚROVNI SEKCE

Hlavní nevýhodou bran na úrovni relace je nemožnost regulovat přenos informací na aplikační úrovni a v důsledku toho sledovat nesprávné nebo potenciálně nebezpečné akce uživatele. Neumožní vám například řídit provádění příkazu PUT služby ftp nebo filtrovat aplikace ActiveX z externích počítačů, pokud je taková operace povolena pro interní klienty.

Přestože použití bran na úrovni relace může zabránit řadě nebezpečných útoků na vnitřní síť, některé typy útoků, jako je odmítnutí služby, mohou tyto brány obejít. S výjimkou IPX/IP brány a brokera SOCKS 5 mají všechny ostatní filtry velmi slabý systém identifikace a autentizace na základě IP adres odesílatele/příjemce. Použití bran IPX/IP a SOCKS 5 zase přináší své vlastní problémy, protože vyžaduje instalaci specializovaného softwaru na klientské počítače.

S výjimkou bran IPX/IP a SOCKS 5 nejsou jiné brány vrstvy relace obvykle dostupné jako komerční produkt. Všechny expertní firewally však musí být vybaveny různými bránami na úrovni relací (stejně jako síťovými filtry), protože zprostředkovatelé na aplikační úrovni nebo státní inspektoři nemohou sledovat přenosy dat na nižších úrovních hierarchie OSI.

ZPROSTŘEDKOVATELÉ APLIKACE

Proxy na aplikační úrovni, často nazývané proxy servery, monitorují a filtrují informace na aplikační úrovni hierarchie OSI (viz obrázek 4). Zprostředkovatelé se liší protokoly na aplikační úrovni, které podporují: čím více jich je, tím dražší produkt. Nejčastěji podporované služby jsou Web (HTTP), ftp, SMTP, POP3/IMAP, NNTP, Gopher, telnet, DNS, RealAudio/RealVideo. Když interní síťový klient přistupuje například k webovému serveru, jeho požadavek směřuje k webovému zprostředkovateli (nebo je jím zachycen). Ten naváže spojení se serverem jménem klienta a přenese přijaté informace klientovi. Pro externí server funguje broker jako klient a pro interního klienta jako webový server. Obdobně může prostředník fungovat v případě externího klienta a interního serveru.

Prostředníky aplikační vrstvy se dělí na průhledné a neprůhledné. Transparentní zprostředkovatelé jsou pro klienty a servery neviditelní: klient kontaktuje server nejběžnějším způsobem a zprostředkovatel zachytí požadavek a jedná jménem klienta. Transparentní prostředníci pro webové služby jsou obzvláště populární; často je instalují poskytovatelé internetu, aby zlepšili výkon a snížili zatížení globálních komunikačních kanálů ukládáním informací do mezipaměti.

V případě neprůhledných zprostředkovatelů musí být klientský systém explicitně nakonfigurován pro spolupráci s zprostředkovatelem (např. při použití neprůhledného webového prostředníka musí být v konfiguraci prohlížeče uvedena IP adresa zprostředkovatele a k němu přiřazený TCP port možnosti). Neprůhlední prostředníci jsou dobří tam, kde je vyžadována silná autentizace při vstupu nebo opuštění vnitřní sítě, zejména u služeb, které nepodporují šifrování hesel. Obvykle se jedná o služby telnet a ftp a používají systém jednorázového hesla (OTP) (další informace o systémech OTP naleznete v článku „Vzdálená správa síťových operačních systémů“ v LAN č. 5, 1999).

Obrázek 5 ukazuje typický příklad použití telnetu. Zde klient pomocí systému OTP naváže spojení se serverem tn.anywhere.com, který se nachází za neprůhledným prostředníkem fw.anywhere.com. Uživatel se musí nejprve zaregistrovat u zprostředkovatele tak, že nejprve poskytne své jméno, načež je na něj přenesena výzva (673 jar564). Pomocí kalkulátoru OTP pak uživatel vypočítá přístupovou frázi, kterou zadá do pole Heslo. Dále nahlásí adresu serveru, se kterým se chystá navázat spojení. Je třeba poznamenat, že registrace na serveru tn.anywhere.com není nutná, protože firewall a tento server sdílejí společnou databázi uživatelských účtů.

Společnou nevýhodou neprůhledných zprostředkovatelů je jejich nedostatečná transparentnost vůči klientskému softwaru a uživatelům. Ne všechny klientské programy lze konfigurovat například pro neprůhledné prostředníky SMTP, POP3, IMAP4, DNS, ftp.

Na rozdíl od bran relace zpracovávají brokeři na aplikační vrstvě pouze ty datové pakety aplikační vrstvy, jejichž služby podporují, a pakety neznámých (pro brokera) nebo nekonfigurovaných protokolů jsou odstraněny z oběhu. Pokud je například prostředník nakonfigurován tak, aby obsluhoval pouze službu ftp, nedovolí průchod paketům telnet nebo HTTP.

Zprostředkovatel aplikační vrstvy ověřuje obsah každého datového paketu. Navíc broker filtruje pakety na úrovni specifických operací síťových služeb. Například Raptor Firewall od AXENT Technologies vám umožňuje filtrovat ftp pakety obsahující příkaz PUT.

Zprostředkovatelé aplikační vrstvy jsou povinni podporovat silné ověřování pomocí operačního systému nebo jedné z adresářových služeb (domén) NDS, Windows NT, NIS/NIS+ nebo RADIUS, TACACS atd.

Nevýhodou těchto schopností prostředníků aplikační vrstvy je jejich nízký výkon (u těch síťových služeb, které neposkytují ukládání informací do mezipaměti). Kromě toho je pro každé TCP spojení man-in-the-middle nucen vytvořit dva komunikační kanály: jeden se serverem a druhý s klientem. Je ale třeba připomenout, že úzkým hrdlem připojení k internetu jsou především pomalé globální komunikační linky, takže o nízkém výkonu prostředníků na aplikační úrovni lze hovořit velmi orientačně.

Weboví brokeři zaujímají zvláštní místo mezi zprostředkovateli aplikační vrstvy, protože spolu s řízením provozu ukládají informace do mezipaměti. Weboví zprostředkovatelé se díky své funkčnosti stali samostatným odvětvím vývoje softwaru, proto se této službě budeme dále věnovat podrobněji.

WEBOVÉ ZPROSTŘEDKOVATELÉ

Webová služba je hlavní službou na celosvětovém internetu. Pomalé komunikační kanály a intenzivní používání grafiky a multimédií na webových stránkách však vedou ke snížení produktivity uživatelů na internetu. Mezitím uživatelé velmi často přistupují ke stejným internetovým zdrojům. Pro zvýšení rychlosti přístupu proto všechny oblíbené prohlížeče ukládají informace do mezipaměti. V podnikovém prostředí však ukládání do mezipaměti na úrovni jednotlivých počítačů nemůže vyřešit všechny problémy, protože ke stejným zdrojům často přistupují zcela různí uživatelé, zejména pokud pracují ve stejné organizaci. Je zřejmé, že nejlepším způsobem, jak bojovat se špatným výkonem WAN, je nainstalovat webový caching proxy na okraj interní sítě. Tento přístup navíc umožňuje snížit zatížení internetových komunikačních kanálů a tím buď ušetřit peníze, nebo spustit další síťové služby.

Zprostředkovatelé webové mezipaměti jsou instalovány i v místech, kde není vyžadována autentizace uživatele nebo filtrování informací, ale výhradně za účelem zlepšení výkonu.

Existují čtyři typy ukládání informací do mezipaměti u webových zprostředkovatelů:

• pasivní;
• aktivní;
• negativní;
• hierarchický.

Nejvýkonnější moderní weboví zprostředkovatelé mohou podporovat všechny čtyři typy ukládání do mezipaměti. Při pasivním ukládání do mezipaměti (jinak známé jako základní nebo na vyžádání) klient používá webový prohlížeč ke kontaktování serveru proxy a server proxy vrátí požadované informace ze své mezipaměti, pokud existují. V opačném případě webový zprostředkovatel kontaktuje webový server.

Aktivní ukládání do mezipaměti předpokládá, že zprostředkovatel má určitou inteligenci. Ukládání do mezipaměti se provádí předem (read-ahead), před obdržením výslovného požadavku od klienta. Prohlížeč si například vyžádá webovou stránku, která obsahuje obrázky nebo jiné prvky. Zprostředkovatel nebude čekat na výslovné požadavky klienta na výměnu těchto komponent a pokusí se je získat nezávisle, takříkajíc s předstihem. Aktivní ukládání do mezipaměti probíhá na pozadí, což zlepšuje výkon.

Negativní ukládání do mezipaměti zahrnuje selhání ukládání do mezipaměti. Pokud prohlížeč požaduje stránku, kterou zprostředkovatel nemůže přijmout (žádné připojení nebo protože stránka není na serveru dostupná), odmítnutí se uloží do mezipaměti. Při opětovném kontaktu klient obratem obdrží negativní odpověď. Muž-in-the-middle se však bude nadále pokoušet získat požadovanou stránku na pozadí. Negativní ukládání do mezipaměti u webových zprostředkovatelů je nedávný vývoj v takzvané druhé generaci zprostředkovatelů vyvinutých v souladu s technologií Harvest/Squid. Zprostředkovatelé vytvoření v rámci staré technologie CERN neukládají do mezipaměti selhání a snaží se pokaždé kontaktovat webový server.

Hierarchické ukládání do mezipaměti je dalším pokrokem technologie Harvest/Squid. V souladu s ní mohou zprostředkovatelé vytvářet složité hierarchické struktury s rovnocennými nebo podřízenými vazbami. Organizace má například dva internetové kanály se stejnou výkonností. Na každém kanálu je instalován prostředník a jsou mezi nimi stanoveny rovné vztahy. V tomto případě, pokud požadované informace nejsou v mezipaměti, zprostředkovatel se neobrátí na internetový server, ale na druhého zprostředkovatele. Pokud má druhý zprostředkovatel potřebné informace ve své mezipaměti, předá se prvnímu zprostředkovateli a poté klientovi. V opačném případě bude první zprostředkovatel nucen kontaktovat samotný webový server. Ve vztazích dítě-rodič nikdy nepřistupuje podřízený zprostředkovatel k samotnému webovému serveru, ale pouze prostřednictvím rodiče. Taková schémata výrazně snižují zatížení globálních komunikačních linek a zvyšují odolnost spojení proti chybám. Hierarchické ukládání do mezipaměti je organizováno v souladu s jedním ze dvou standardizovaných protokolů ukládání do mezipaměti: ICP (Internet Caching Protocol) nebo CARP (Cache Array Routing Protocol). Přestože byl CARP vyvinut později než ICP, stal se rozšířenějším, protože eliminuje nadbytečné ukládání informací mezi zprostředkovatele do mezipaměti.

Obrázek 6. Webové přímé ukládání do mezipaměti.

Kromě typů cachování (pasivní, aktivní, negativní a hierarchické) se zprostředkovatelé liší také v režimech cachování: vpřed a vzad. Přímé ukládání do mezipaměti je něco, na co jsme všichni zvyklí. To znamená, že prostředník je nainstalován u vstupu do vnitřní sítě a ukládá informace z internetových serverů pro klienty vnitřní sítě (viz obrázek 6). U transparentního proxy si klienti o existenci proxy ani nemusí být vědomi, u neprůhledného proxy musí být jeho souřadnice uvedeny v možnostech prohlížeče.

Obrázek 7. Webové zpětné ukládání do mezipaměti.

Zpětné ukládání do mezipaměti zahrnuje obsluhu externích klientů požadujících informace ze serverů umístěných ve vnitřní síti organizace. To znamená, že prostředník s reverzním ukládáním do mezipaměti má přiřazen jeden nebo více webových serverů, ze kterých stahuje informace. Nejlepší je instalovat takového prostředníka u poskytovatele internetu, aby se snížilo zatížení komunikačního kanálu s poskytovatelem a zvýšil výkon externích klientů přistupujících k webovému serveru (viz obrázek 7). Broker zpětné mezipaměti musí být transparentní pro externí uživatele. To je však možné pouze při reverzním cachování pouze jednoho serveru (na port 80 protokolu TCP, který je zodpovědný za službu HTTP, může být na zprostředkovateli vázán pouze jeden server - pro ostatní servery je nutné přiřadit jiné porty ). Nicméně pomocí nepříliš složitých manipulací lze klientům téměř zprůhlednit práci prostředníka při cachování několika serverů najednou.

Někteří zprostředkovatelé vám umožňují ukládat informace do mezipaměti offline, v podstatě fungují jako offline prohlížeč.

Ukládání informací do mezipaměti je samozřejmě velmi atraktivní funkcí webových brokerů, ale neměli bychom zapomínat na další schopnosti specifické pro brokery aplikační vrstvy. Weboví zprostředkovatelé jsou schopni podporovat silnou autentizaci uživatelů, filtrovat Java a ActiveX aplikace, skenovat viry a regulovat přístup uživatelů ke konkrétním URL. Navíc jsou pro webové zprostředkovatele dodávány speciální programy obsahující seznamy pornografických, rasistických, herních a zábavních serverů. S pomocí takových programů je pro správce snadné regulovat přístup k takovým uzlům.

INSPEKTOŘI STAVU

Stavové inspektory nebo jinak stavové inspekční firewally jsou v podstatě brány na vrstvě relací s pokročilými schopnostmi. Pojem „inspektor zdraví“ byl vytvořen společností Check Point, aby zdůraznil rozdíl mezi její technologií a jinými technologiemi firewallu. Stavoví inspektoři pracují na úrovni relace, ale rozumí také protokolům na aplikační úrovni (viz obrázek 8). To znamená, že když je přijat datový paket, obsah tohoto paketu je porovnán s určitými šablonami specifickými pro odpovídající protokol aplikační vrstvy. A v závislosti na výsledku porovnání je paket buď předán, nebo zahozen. Čím výkonnější státní inspektor, tím větší seznam šablon má. Pokud balíček neodpovídá žádné šabloně, bude odstraněn.

Na rozdíl od zprostředkovatele aplikační vrstvy, který otevírá dva virtuální kanály TCP (jeden pro klienta a jeden pro server) pro každé připojení, inspektor stavu nebrání přímému spojení mezi klientem a serverem. Díky tomu je výkon státního inspektora mnohem vyšší než výkon zprostředkovatelů aplikační vrstvy a blíží se výkonu síťových filtrů. Je pravda, že vývojáři zprostředkovatelů aplikační vrstvy poukazují na vyšší úroveň zabezpečení svých produktů, protože provoz je řízen přímo na aplikační vrstvě. Většina odborníků však taková prohlášení považuje za kontroverzní nebo v každém případě za samozřejmá. Kdo by se například odvážil označit firewall Check Point FireWall-1, který je kontrolorem stavu, za nedostatečně spolehlivý, když vlastní 40 % trhu s firewally a získal řadu nejprestižnějších ocenění, mimo jiné i za bezpečnost?

Vývojáři inspektorů stavu poukazují na to, že jejich systémy jsou mnohem rozšiřitelnější. Když se objeví nová služba nebo nový protokol aplikační vrstvy, stačí přidat několik šablon, které ji podporují. Zároveň jsou vývojáři aplikační vrstvy nuceni napsat modul od začátku pro každý nový protokol. To je pravda, ale přidání modulu do zprostředkovatele aplikační vrstvy není o nic složitější než přidání šablon do státního inspektora. Výrobci stavových kontrolorů a zprostředkovatelé aplikační vrstvy jsou navíc zvyklí řešit problém radikálním způsobem, a to vydáním nové verze produktu.

Jedinou výhodou státních inspektorů (bez ovlivnění problému s výkonem) ve srovnání s prostředníky na aplikační úrovni je to, že státní inspektor je pro klienty naprosto transparentní a nevyžaduje další konfiguraci klientského softwaru. Klasičtí státní inspektoři se však zase nehodí pro ukládání do mezipaměti webu. Proto, i když je brána firewall založena na inspektoru stavu, obsahuje webový proxy server aplikační vrstvy pro ukládání do mezipaměti webu.

Debata o tom, zda je lepší státní inspektor nebo zprostředkovatel aplikační vrstvy, se ve skutečnosti jeví jako nepodložená. Pro většinu úkolů jsou přibližně ekvivalentní. Výkonnostní výhoda státních inspektorů není zvlášť důležitá, pokud jde o připojení k internetu přes pomalé komunikační kanály.

Firewally expertní třídy jsou založeny buď na technologii státního inspektoru, nebo na technologii mediátoru aplikační vrstvy, ale jsou nezbytně doplněny síťovými filtry a bránami vrstvy relací. Naprostá většina vydaných firewallů jsou proxy aplikační vrstvy, ale jak již bylo zmíněno dříve, na trhu dominují zdravotní inspektoři (nebo spíše jeden inspektor, Check Point FireWall-1).

DALŠÍ FUNKCE FIREWALL

Firewally expertní třídy mají kromě plnění svých základních funkcí promyšlený systém pro protokolování událostí a upozorňování správců. ME umožňuje registrovat všechny požadavky uživatelů na zdroje procházející obrazovkou, včetně toho, kdo, kdy, ze kterého stroje přistupoval ke konkrétnímu zdroji nebo byl odmítnut. Protokolování umožňuje identifikovat případy útoků na vnitřní síť, zjistit polohu hackera a předem od něj blokovat provoz.

Nedílnou součástí většiny komerčních firewallů expertní úrovně jsou nástroje virtuální privátní sítě, které umožňují šifrovat informace při jejich přenosu po veřejné síti. Navíc takové nástroje mají i některé síťové filtry založené na hardwarových směrovačích.

Značná část firewallů je vybavena nástroji pro podporu vzdálených uživatelů, včetně výkonných prostředků pro ověřování těchto uživatelů.

ZÁVĚR

Firewally nejsou všelékem pro boj se škodlivými útoky. Nedokážou zabránit útokům v rámci lokální sítě, ale spolu s dalšími bezpečnostními opatřeními hrají mimořádně důležitou roli v ochraně sítí před vniknutím zvenčí. Pochopení technologie firewallů vám umožňuje nejen správně se rozhodnout při nákupu bezpečnostního systému, ale také správně nakonfigurovat firewall. Nepřítel nesmí projít!

Konstantin Pyanzin je publicista LAN. Lze ho kontaktovat na adrese: [e-mail chráněný]

V polovině 90. let byl útok SYN-flooding jedním z nejčastějších. Využívá nedostatky stroje s protokolem TCP. Útok SYN-flooding spadá do kategorie útoků Denial of Service (DoS), které způsobují zamrznutí počítače – to znamená, že počítač nadále funguje, ale stane se nedostupným prostřednictvím sítě.

Když klientský počítač naváže spojení se serverem pomocí protokolu TCP, odešle paket TCP s nastaveným bitem SYN. Jako odpověď server odešle TCP paket s bity SYN/ACK. Klient zase odešle TCP paket s bitem ACK. Poté je spojení mezi klientem a serverem považováno za navázané. Toto schéma připojení se nazývá třístupňové, protože zahrnuje výměnu tří paketů.

Když server přijme paket SYN, alokuje další paměť pro nové připojení. Většina operačních systémů má pro každou síťovou službu limit (obvykle deset) na počet nově vytvořených TCP spojení (některé systémy takový limit nemají, ale není to o moc lepší, protože pokud není volná paměť, celý počítač zamrzne, ne pouze jedna konkrétní služba). Dokud server nepřijme paket SYN/ACK nebo paket RST (viz níže) nebo nevyprší časový limit nově vytvořeného připojení (obvykle 75 sekund), připojení pokračuje v rezervování paměti.

Útok SYN-flooding zahrnuje odeslání více paketů TCP s nastaveným bitem SYN na server jménem neexistujících nebo nefunkčních hostitelů (pomocí falšování IP adres). Poslední požadavek je důležitý, protože pokud požadavek na navázání spojení přijde jménem fungujícího hostitele, pak když server odešle paket SYN/ACK na jeho adresu, hostitel odpoví paketem RST (reset) a spustí reset připojení. A připojení bude vymazáno z paměti serveru.

Během útoku SYN-flooding se paměť serveru přidělená pro navazování nových připojení rychle vyčerpá a síťová služba zamrzne.

Aby bylo možné čelit útokům typu SYN-flooding, kromě zvýšení velikosti paměti pro navázaná spojení a snížení časového limitu se na firewallech používají různá důmyslná protiopatření. Instalace firewallů relace a aplikační vrstvy nebo stavových inspektorů radikálně řeší problém SYN-flooding útoků, protože právě oni odrážejí všechny útoky, zatímco počítače ve vnitřní síti o nich ani nevědí.

1. Symetrické šifrování

Symetrické kryptosystémy(Taky symetrické šifrování, symetrické šifry) (Angličtina) symetrický- klíč algoritmus) - metoda šifrování, při které se pro šifrování a dešifrování používá stejný šifrovací klíč. Před vynálezem schématu asymetrického šifrování bylo jedinou metodou, která existovala, symetrické šifrování. Klíč algoritmu musí být oběma stranami utajen. Šifrovací algoritmus si strany vyberou před zahájením výměny zpráv.

V symetrických kryptosystémech se pro šifrování a dešifrování používá stejný klíč. Odtud název - symetrický. Algoritmus a klíč jsou vybrány předem a jsou známy oběma stranám. Uchování klíče v tajnosti je důležitým úkolem pro vytvoření a udržování bezpečného komunikačního kanálu. V tomto ohledu vyvstává problém prvotního přenosu klíče (synchronizace klíčů). Kromě toho existují metody krypto-útoků, které umožňují tak či onak dešifrovat informace bez klíče nebo jejich zachycením ve fázi schvalování. Obecně jsou tyto body problémem kryptografické síly konkrétního šifrovacího algoritmu a jsou argumentem při výběru konkrétního algoritmu.

Symetrické nebo konkrétněji abecední šifrovací algoritmy byly mezi prvními algoritmy . Později bylo vynalezeno asymetrické šifrování, ve kterém mají účastníci rozhovoru různé klíče .

Základní informace[upravit | upravit kód]

Algoritmy šifrování dat jsou široce používány v počítačové technologii v systémech pro skrývání důvěrných a komerčních informací před zneužitím třetími stranami. Hlavním principem v nich je podmínka, že vysílač a přijímač znají šifrovací algoritmus předem, stejně jako klíč ke sdělení, bez kterého jsou informace jen souborem symbolů, které nemají žádný význam.

Klasické příklady takových algoritmů jsou symetrické kryptografické algoritmy vypsáno níže:

Jednoduché přeskupení

Jednoduchá permutace podle klíče

Dvojitá permutace

Permutace "Magický čtverec"

Jednoduché přeskupení[upravit | upravit kód]

Jednoduchá bezklíčová permutace je jednou z nejjednodušších metod šifrování. Zpráva se zapisuje do tabulky ve sloupcích. Poté, co je prostý text napsán ve sloupcích, je přečten řádek po řádku, aby se vytvořil šifrový text. Aby bylo možné tuto šifru použít, musí se odesílatel a příjemce dohodnout na sdíleném klíči ve formě velikosti tabulky. Kombinování písmen do skupin není součástí šifrovacího klíče a používá se pouze pro usnadnění psaní nesmyslného textu.

Jednoduchá permutace podle klíče[upravit | upravit kód]

Praktičtější metoda šifrování zvaná permutace s jedním klíčem je velmi podobná té předchozí. Liší se pouze tím, že sloupce tabulky jsou přeskupovány podle klíčového slova, fráze nebo sady čísel délky řádku tabulky.

Dvojitá permutace[upravit | upravit kód]

Pro zvýšení bezpečnosti můžete znovu zašifrovat zprávu, která již byla zašifrována. Tato metoda je známá jako dvojitá permutace. K tomu je velikost druhé tabulky zvolena tak, aby se délky jejích řádků a sloupců lišily od délek v první tabulce. Nejlepší je, když jsou relativně prvotřídní. Kromě toho lze přeskupit sloupce v první tabulce a řádky ve druhé tabulce. Nakonec můžete tabulku vyplnit klikatě, hadem, spirálou nebo jiným způsobem. Takové způsoby vyplňování tabulky, pokud nezvyšují sílu šifry, činí proces šifrování mnohem zábavnějším.

Permutace "Magický čtverec"[upravit | upravit kód]

Magické čtverce jsou čtvercové tabulky s po sobě jdoucími přirozenými čísly od 1 vepsanými do jejich buněk, jejichž součet dává stejné číslo pro každý sloupec, každý řádek a každou úhlopříčku. Takové čtverce byly široce používány pro zadávání šifrovaného textu podle číslování v nich uvedeného. Pokud pak vypíšete obsah tabulky řádek po řádku, získáte šifrování přeskupením písmen. Na první pohled se zdá, jako by magických čtverců bylo velmi málo. Jejich počet však velmi rychle narůstá s rostoucí velikostí čtverce. Existuje tedy pouze jeden magický čtverec o rozměrech 3 x 3, pokud nepočítáte jeho rotace. Existuje již 880 magických čtverců o velikosti 4 x 4 a počet magických čtverců o velikosti 5 x 5 je asi 250 000. Proto by velké magické čtverce mohly být dobrým základem pro spolehlivý šifrovací systém té doby, protože ručně zkoušel všechny klíčové možnosti pro tuto šifru byly nemyslitelné.

Čísla od 1 do 16 se vešly do čtverce o rozměrech 4 x 4. Jeho kouzlo spočívalo v tom, že součet čísel v řádcích, sloupcích a plných úhlopříčkách byl roven stejnému číslu - 34. Tyto čtverce se poprvé objevily v Číně, kde byly přiřazeny nějaká „magická síla“.

Šifrování magickým čtvercem bylo provedeno následovně. Například musíte zašifrovat frázi: „Dnes dorazím.“ Písmena této fráze se zapisují postupně do čtverce podle čísel v nich zapsaných: pozice písmene ve větě odpovídá pořadové číslu. Do prázdných buněk se umístí tečka.

Poté je šifrový text zapsán na řádek (čtení se provádí zleva doprava, řádek po řádku): .irdzegyuSzhaoyanP

Po dešifrování se text vejde do čtverce a prostý text se přečte v posloupnosti čísel „kouzelného čtverce“. Program by měl vygenerovat „magické čtverce“ a vybrat požadovaný na základě klíče. Čtverec je větší než 3x3.

Obecné schéma[upravit | upravit kód]

V současné době jsou symetrické šifry:

blokové šifry. Zpracovávají informace v blocích o určité délce (obvykle 64, 128 bitů), aplikují klíč na blok v předepsaném pořadí, obvykle prostřednictvím několika cyklů míchání a substituce, nazývaných kola. Výsledkem opakujících se kol je lavinový efekt – rostoucí ztráta bitové korespondence mezi bloky otevřených a šifrovaných dat.

proudové šifry, ve kterých je šifrování prováděno přes každý bit nebo byte původního (prostého) textu pomocí gama. Proudovou šifru lze snadno vytvořit na základě blokové šifry (například GOST 28147-89 v gama režimu), spuštěné ve speciálním režimu.

Většina symetrických šifer používá komplexní kombinaci velkého množství substitucí a permutací. Mnoho takových šifer se provádí v několika (někdy až 80) průchodech, přičemž se v každém průchodu používá „klíč“. Sada "klíčů" pro všechny průchody se nazývá "plán klíčů". Zpravidla se vytváří z klíče prováděním určitých operací s ním, včetně permutací a substitucí.

Typickým způsobem konstrukce symetrických šifrovacích algoritmů je síť Feistel. Algoritmus vytváří schéma šifrování založené na funkci F(D, K), kde D je část dat poloviční velikosti šifrovacího bloku a K je „klíč“ pro daný průchod. Funkce nemusí být invertibilní – její inverzní funkce může být neznámá. Výhodou sítě Feistel je téměř úplná shoda dešifrování se šifrováním (jediným rozdílem je obrácené pořadí „průchozích klíčů“ v plánu), což značně usnadňuje implementaci hardwaru.

Operace permutace míchá bity zpráv podle určitého zákona. V hardwarových implementacích je triviálně implementován jako převrácení drátu. Jsou to permutační operace, které umožňují dosáhnout „lavinový efekt“. Permutační operace je lineární - f(a) xor f(b) == f(a xor b)

Substituční operace se provádějí jako nahrazení hodnoty určité části zprávy (často 4, 6 nebo 8 bitů) standardním pevně zapojeným číslem v algoritmu přístupem k poli konstant. Operace substituce zavádí do algoritmu nelinearitu.

Síla algoritmu, zejména proti diferenciální kryptoanalýze, často závisí na volbě hodnot ve vyhledávacích tabulkách (S-boxech). Minimálně se považuje za nežádoucí mít pevné prvky S(x) = x, stejně jako nepřítomnost vlivu některého bitu vstupního bytu na některý bit výsledku – tedy případy, kdy je výsledným bitem stejné pro všechny dvojice vstupních slov, které se liší pouze tímto bitem.

Parametry algoritmu[editovat | upravit kód]

Existuje mnoho (nejméně dva tucty) symetrických šifrovacích algoritmů, jejichž základní parametry jsou:

trvanlivost

délka klíče

počet kol

délka zpracovaného bloku

složitost hardwarové/softwarové implementace

složitost konverze

Typy symetrických šifer[upravit | upravit kód]

blokové šifry

AES (anglicky) Pokročilý Šifrování Standard) - Americký šifrovací standard

GOST 28147-89 - sovětský a ruský šifrovací standard, také standard CIS

DES (anglicky) Data Šifrování Standard) - standard šifrování dat v USA

3DES (Triple-DES, triple DES)

RC2 (Rivest Cipher nebo Ron's Cipher)

IDEA (International Data Encryption Algorithm, mezinárodní algoritmus šifrování dat)

CAST (podle iniciál vývojářů Carlisle Adams a Stafford Tavares)

proudové šifry

RC4 (šifrovací algoritmus s variabilním klíčem)

SEAL (Software Efficient Algorithm, softwarově efektivní algoritmus)

WAKE (World Auto Key Encryption algorithm, celosvětový algoritmus automatického šifrování klíče)

Srovnání s asymetrickými kryptosystémy[editovat | upravit kód]

Výhody[upravit | upravit kód]

Rychlost

snadná implementace (díky jednoduššímu ovládání)

kratší požadovaná délka klíče pro srovnatelnou životnost

znalosti (vzhledem k vyššímu věku)

Nedostatky[upravit | upravit kód]

složitost správy klíčů ve velké síti

složitost výměny klíčů. Pro jeho použití je nutné vyřešit problém spolehlivého přenosu klíčů každému účastníkovi, protože pro přenos každého klíče oběma stranám je potřeba tajný kanál

Pro kompenzaci nedostatků symetrického šifrování je v současné době široce používáno kombinované (hybridní) kryptografické schéma, kdy klíč relace používaný stranami k výměně dat pomocí symetrického šifrování je přenášen pomocí asymetrického šifrování.

Významnou nevýhodou symetrických šifer je nemožnost jejich použití v mechanismech pro generování elektronických digitálních podpisů a certifikátů, protože klíč je znám každé straně.

2. Firewall. Firewall. Brandmauer

Firewall, firewall - program nebo softwarový a hardwarový prvek počítačová síť, která řídí a filtruje to, co jím prochází síťový provoz v souladu s danými pravidly .

Ostatní jména :

Firewall (Němec Brandmauer - požární stěna) - termín převzatý z němčiny;

Firewall (Angličtina Firewall- fire wall) je termín přejatý z angličtiny.

Firewall

Firewall (Firewall nebo Firewall) je prostředek pro filtrování paketového provozu přicházejícího z externí sítě ve vztahu k dané místní síti nebo počítači. Zvažme důvody vzhledu a úkolů, které firewall provádí. Moderní datová síť se skládá z mnoha vzdálených vysoce výkonných zařízení, která spolu vzájemně komunikují na značnou vzdálenost. Jednou z nejrozsáhlejších sítí pro přenos dat jsou počítačové sítě, jako je internet. Současně zaměstnává miliony informačních zdrojů a spotřebitelů po celém světě. Široký rozvoj této sítě umožňuje, aby ji mohli využívat nejen jednotlivci, ale i velké společnosti ke sjednocení svých nesourodých zařízení po celém světě do jediné sítě. Sdílený přístup ke společným fyzickým zdrojům zároveň otevírá příležitost pro podvodníky, viry a konkurenty způsobit škody koncovým uživatelům: ukrást, zkreslit, umístit nebo zničit uložené informace, narušit integritu softwaru a dokonce odstranit hardware koncová stanice. Pro zamezení těchto nežádoucích dopadů je nutné zabránit neoprávněnému přístupu, k čemuž se často používá Firewall. Samotný název Firewall (stěna - z anglického wall) v sobě skrývá svůj účel, tzn. slouží jako zeď mezi chráněnou místní sítí a Internetem nebo jakoukoli jinou externí sítí a zabraňuje jakýmkoli hrozbám. Kromě výše uvedeného může firewall provádět i další funkce související s filtrováním provozu z/do jakéhokoli internetového zdroje.

Princip fungování brány firewall je založen na řízení provozu přicházejícího zvenčí. Lze zvolit následující způsoby monitorování provozu mezi lokální a externí sítí:

1. Filtrování paketů– na základě nastavení sady filtrů. V závislosti na tom, zda příchozí paket splňuje podmínky specifikované ve filtrech, je předán do sítě nebo zahozen.

2. Proxy server– mezi lokální a externí sítí je instalováno další zařízení proxy serveru, které slouží jako „brána“, přes kterou musí procházet veškerý příchozí a odchozí provoz.

3. Státní kontrola– kontrola příchozího provozu je jedním z nejpokročilejších způsobů implementace brány firewall. Inspekce neznamená analyzovat celý balíček, ale pouze jeho speciální klíčovou část a porovnat ji s dříve známými hodnotami z databáze povolených zdrojů. Tato metoda poskytuje nejvyšší výkon brány firewall a nejnižší zpoždění.

Princip fungování firewallu

Firewall může být implementován hardwarově nebo softwarově. Konkrétní implementace závisí na velikosti sítě, objemu provozu a požadovaných úlohách. Nejběžnějším typem brány firewall je software. V tomto případě je implementován jako program běžící na koncovém PC nebo okrajovém síťovém zařízení, jako je router. V případě hardwarové implementace je Firewall samostatný síťový prvek, který má obvykle větší výkonnostní možnosti, ale plní podobné úkoly.

Firewall umožňuje konfigurovat filtry, které jsou zodpovědné za předávání provozu podle následujících kritérií:

1. IP adresa. Jak víte, každé koncové zařízení pracující přes protokol IP musí mít jedinečnou adresu. Zadáním určité adresy nebo určitého rozsahu můžete zakázat příjem paketů od nich, nebo naopak povolit přístup pouze z těchto IP adres.

2. Doménové jméno. Jak víte, webové stránce na internetu, respektive její IP adrese, lze přiřadit alfanumerický název, který je mnohem snadněji zapamatovatelný než sada čísel. Filtr lze tedy nakonfigurovat tak, aby povoloval provoz pouze do/z jednoho ze zdrojů, nebo aby k němu odepřel přístup.

3. Přístav. Mluvíme o softwarových portech, tzn. aplikační přístupové body k síťovým službám. Takže například ftp používá port 21 a aplikace pro prohlížení webových stránek používají port 80. Ten umožňuje odepřít přístup nežádoucím službám a síťovým aplikacím, nebo naopak povolit přístup pouze k nim.

4. Protokol. Firewall může být nakonfigurován tak, aby umožňoval průchod dat pouze z jednoho protokolu, nebo aby přístup pomocí něj odepřel. Typ protokolu může obvykle indikovat úkoly, které provádí, aplikaci, kterou používá, a sadu parametrů zabezpečení. Tímto způsobem lze nakonfigurovat přístup tak, aby spouštěl pouze jednu konkrétní aplikaci a zabránil potenciálně nebezpečnému přístupu pomocí všech ostatních protokolů.

Výše jsou uvedeny pouze hlavní parametry, které lze konfigurovat. V závislosti na úlohách prováděných v dané síti mohou platit i jiná nastavení filtru specifická pro síť.

Firewall tedy poskytuje komplexní sadu úloh, které mají zabránit neoprávněnému přístupu, poškození nebo krádeži dat nebo jiným negativním dopadům, které mohou ovlivnit výkon sítě. Firewall se obvykle používá ve spojení s dalšími bezpečnostními nástroji, jako je antivirový software.