Principy fungování firewallů. Princip fungování firewallů. Funkce brány firewall

1. Symetrické šifrování

Symetrické kryptosystémy(Také symetrické šifrování, symetrické šifry) (anglicky) symetrický- klíč algoritmus) - metoda šifrování, při které se pro šifrování a dešifrování používá stejný šifrovací klíč. Před vynálezem schématu asymetrického šifrování bylo jedinou metodou, která existovala, symetrické šifrování. Klíč algoritmu musí být oběma stranami utajen. Šifrovací algoritmus si strany vyberou před zahájením výměny zpráv.

V symetrických kryptosystémech se pro šifrování a dešifrování používá stejný klíč. Odtud název - symetrický. Algoritmus a klíč jsou vybrány předem a jsou známy oběma stranám. Uchování klíče v tajnosti je důležitým úkolem pro vytvoření a udržování bezpečného komunikačního kanálu. V tomto ohledu vyvstává problém prvotního přenosu klíče (synchronizace klíčů). Kromě toho existují metody krypto-útoků, které umožňují tak či onak dešifrovat informace bez klíče nebo jejich zachycením ve fázi schvalování. Obecně jsou tyto body problémem kryptografické síly konkrétního šifrovacího algoritmu a jsou argumentem při výběru konkrétního algoritmu.

Symetrické nebo konkrétněji abecední šifrovací algoritmy byly mezi prvními algoritmy . Později bylo vynalezeno asymetrické šifrování, ve kterém mají účastníci rozhovoru různé klíče .

Základní informace[upravit | upravit kód]

Algoritmy šifrování dat jsou široce používány v počítačové technologii v systémech pro skrývání důvěrných a komerčních informací před zneužitím třetími stranami. Hlavním principem v nich je podmínka, že vysílač a přijímač znají šifrovací algoritmus předem, stejně jako klíč ke sdělení, bez kterého jsou informace jen souborem symbolů, které nemají žádný význam.

Klasické příklady takových algoritmů jsou symetrické kryptografické algoritmy níže uvedené:

Jednoduché přeskupení

Jednoduchá permutace podle klíče

Dvojitá permutace

Permutace "Magický čtverec"

Jednoduché přeskupení[upravit | upravit kód]

Jednoduchá bezklíčová permutace je jednou z nejjednodušších metod šifrování. Zpráva se zapisuje do tabulky ve sloupcích. Po napsání otevřeného textu do sloupců se čte řádek po řádku, aby se vytvořil šifrový text. Aby bylo možné tuto šifru použít, musí se odesílatel a příjemce dohodnout na sdíleném klíči ve formě velikosti tabulky. Kombinování písmen do skupin není součástí šifrovacího klíče a používá se pouze pro usnadnění psaní nesmyslného textu.

Jednoduchá permutace podle klíče[upravit | upravit kód]

Praktičtější metoda šifrování zvaná permutace s jedním klíčem je velmi podobná té předchozí. Liší se pouze tím, že sloupce tabulky jsou přeskupovány podle klíčového slova, fráze nebo sady čísel délky řádku tabulky.

Dvojitá permutace[upravit | upravit kód]

Pro zvýšení bezpečnosti můžete znovu zašifrovat zprávu, která již byla zašifrována. Tato metoda je známá jako dvojitá permutace. K tomu je velikost druhé tabulky zvolena tak, aby se délky jejích řádků a sloupců lišily od délek v první tabulce. Nejlepší je, když jsou relativně prvotřídní. Kromě toho lze přeskupit sloupce v první tabulce a řádky ve druhé tabulce. Nakonec můžete tabulku vyplnit klikatě, hadem, spirálou nebo jiným způsobem. Takové způsoby vyplňování tabulky, pokud nezvyšují sílu šifry, činí proces šifrování mnohem zábavnějším.

Permutace "Magický čtverec"[upravit | upravit kód]

Magické čtverce jsou čtvercové tabulky s po sobě jdoucími přirozenými čísly od 1 vepsanými do jejich buněk, jejichž součet dává stejné číslo pro každý sloupec, každý řádek a každou úhlopříčku. Takové čtverce byly široce používány pro zadávání šifrovaného textu podle číslování v nich uvedeného. Pokud pak vypíšete obsah tabulky řádek po řádku, získáte šifrování přeskupením písmen. Na první pohled se zdá, jako by magických čtverců bylo velmi málo. Jejich počet však velmi rychle narůstá s rostoucí velikostí čtverce. Existuje tedy pouze jeden magický čtverec o rozměrech 3 x 3, pokud neberete v úvahu jeho rotace. Existuje již 880 magických čtverců o velikosti 4 x 4 a počet magických čtverců o velikosti 5 x 5 je asi 250 000. Proto by větší magické čtverce mohly být dobrým základem spolehlivý systémšifrování té doby, protože ruční prohledávání všech možností klíče pro tuto šifru bylo nemyslitelné.

Čísla od 1 do 16 se vešly do čtverce o rozměrech 4 x 4. Jeho kouzlo spočívalo v tom, že součet čísel v řádcích, sloupcích a plných úhlopříčkách byl roven stejnému číslu - 34. Tyto čtverce se poprvé objevily v Číně, kde byly přiřazeny nějaká „magická síla“.

Šifrování magickým čtvercem bylo provedeno následovně. Například musíte zašifrovat frázi: „Dnes dorazím.“ Písmena této fráze se zapisují postupně do čtverce podle čísel v nich zapsaných: pozice písmene ve větě odpovídá pořadové číslu. Do prázdných buněk se umístí tečka.

Poté je šifrový text zapsán na řádek (čtení se provádí zleva doprava, řádek po řádku): .irdzegyuSzhaoyanP

Po dešifrování se text vejde do čtverce a prostý text se přečte v posloupnosti čísel „kouzelného čtverce“. Program by měl vygenerovat „magické čtverce“ a vybrat požadovaný na základě klíče. Čtverec je větší než 3x3.

Obecné schéma[editovat | upravit kód]

V současné době jsou symetrické šifry:

blokové šifry.

Zpracovávají informace v blocích o určité délce (obvykle 64, 128 bitů), aplikují klíč na blok v předepsaném pořadí, obvykle prostřednictvím několika cyklů míchání a substituce, nazývaných kola.

Výsledkem opakujících se kol je lavinový efekt – rostoucí ztráta bitové korespondence mezi bloky otevřených a šifrovaných dat. proudové šifry, ve kterých je šifrování prováděno přes každý bit nebo byte původního (prostého) textu pomocí gama. Proudovou šifru lze snadno vytvořit na základě blokové šifry (například GOST 28147-89 v gama režimu), spuštěné ve speciálním režimu.

Typickým způsobem konstrukce symetrických šifrovacích algoritmů je síť Feistel. Algoritmus vytváří schéma šifrování založené na funkci F(D, K), kde D je část dat poloviční velikosti šifrovacího bloku a K je „klíč“ pro daný průchod. Funkce nemusí být invertibilní - její inverzní funkce může být neznámá. Výhodou sítě Feistel je téměř úplná shoda dešifrování se šifrováním (jediným rozdílem je obrácené pořadí „průchozích klíčů“ v plánu), což značně usnadňuje implementaci hardwaru.

Operace permutace míchá bity zpráv podle určitého zákona. V hardwarových implementacích je triviálně implementován jako převrácení drátu. Jsou to permutační operace, které umožňují dosáhnout „lavinový efekt“. Permutační operace je lineární - f(a) xor f(b) == f(a xor b)

Substituční operace se provádějí jako nahrazení hodnoty určité části zprávy (často 4, 6 nebo 8 bitů) standardním pevně zapojeným číslem v algoritmu přístupem k poli konstant. Operace substituce zavádí do algoritmu nelinearitu.

Síla algoritmu, zejména proti diferenciální kryptoanalýze, často závisí na volbě hodnot ve vyhledávacích tabulkách (S-boxech). Minimálně se považuje za nežádoucí mít pevné prvky S(x) = x, stejně jako nepřítomnost vlivu některého bitu vstupního bytu na některý bit výsledku – tedy případy, kdy je výsledným bitem stejné pro všechny dvojice vstupních slov, které se liší pouze tímto bitem.

Parametry algoritmu[editovat | upravit kód]

Existuje mnoho (nejméně dva tucty) symetrických šifrovacích algoritmů, jejichž základní parametry jsou:

trvanlivost

délka klíče

počet kol

délka zpracovaného bloku

složitost hardwarové/softwarové implementace

složitost konverze

Typy symetrických šifer[upravit | upravit kód]

blokové šifry

AES (anglicky) Moderní Šifrování Norma) - Americký šifrovací standard

GOST 28147-89 - Sovětský a ruský standardšifrování, také standard CIS

DES (anglicky) Data Šifrování Norma) - standard šifrování dat v USA

3DES (Triple-DES, triple DES)

RC2 (Rivest Cipher nebo Ron's Cipher)

IDEA (International Data Encryption Algorithm, mezinárodní algoritmus šifrování dat)

CAST (podle iniciál vývojářů Carlisle Adams a Stafford Tavares)

proudové šifry

RC4 (šifrovací algoritmus s variabilním klíčem)

SEAL (Software Efficient Algorithm, softwarově efektivní algoritmus)

WAKE (World Auto Key Encryption algorithm, celosvětový algoritmus automatického šifrování klíče)

Srovnání s asymetrickými kryptosystémy[editovat | upravit kód]

Výhody[upravit | upravit kód]

rychlost

snadná implementace (díky jednoduššímu ovládání)

kratší požadovaná délka klíče pro srovnatelnou životnost

znalosti (vzhledem k vyššímu věku)

Nedostatky[upravit | upravit kód]

složitost správy klíčů ve velké síti

složitost výměny klíčů. Pro jeho použití je nutné vyřešit problém spolehlivého přenosu klíčů každému účastníkovi, protože pro přenos každého klíče oběma stranám je potřeba tajný kanál

Pro kompenzaci nedostatků symetrického šifrování je v současné době široce používáno kombinované (hybridní) kryptografické schéma, kdy klíč relace používaný stranami k výměně dat pomocí symetrického šifrování je přenášen pomocí asymetrického šifrování.

Významnou nevýhodou symetrických šifer je nemožnost jejich použití v mechanismech pro generování elektronických digitálních podpisů a certifikátů, protože klíč je znám každé straně.

2. Firewall. Firewall. Brandmauer

Firewall, firewall - naprogramovat nebo softwarový a hardwarový prvek počítačová síť, která řídí a filtruje to, co jím prochází síťový provoz v souladu s danými pravidly .

Jiná jména :

Firewall (Němec Brandmauer - požární stěna) - termín převzatý z němčiny;

Firewall (angličtina Firewall- fire wall) je termín přejatý z angličtiny.

Firewall

Firewall (Firewall nebo Firewall) je prostředek pro filtrování paketového provozu přicházejícího z externí sítě ve vztahu k dané místní síti nebo počítači. Zvažme důvody vzhledu a úkolů, které firewall provádí. Moderní datová síť se skládá z mnoha vzdálených vysoce výkonných zařízení, která spolu vzájemně komunikují na značnou vzdálenost. Jednou z nejrozsáhlejších sítí pro přenos dat jsou počítačové sítě, jako je internet. Současně zaměstnává miliony informačních zdrojů a spotřebitelů po celém světě. Široký rozvoj této sítě umožňuje její využití nejen jednotlivci, ale i velkými společnostmi, aby sjednotili svá nesourodá zařízení po celém světě do jediná síť. Sdílený přístup ke společným fyzickým zdrojům zároveň otevírá příležitost pro podvodníky, viry a konkurenty způsobit škody koncovým uživatelům: ukrást, zkreslit, umístit nebo zničit uložené informace, narušit integritu softwaru a dokonce odstranit hardware koncová stanice. Aby se těmto nežádoucím účinkům zabránilo, je nutné předcházet neoprávněný přístup, pro který se často používá Firewall. Už samotný název Firewall (stěna - z anglického wall) v sobě skrývá svůj účel, tzn. slouží jako zeď mezi chráněnou lokální sítí a Internetem nebo jakoukoli jinou externí sítí a zabraňuje jakýmkoli hrozbám. Kromě výše uvedeného může firewall provádět i další funkce související s filtrováním provozu z/do jakéhokoli internetového zdroje.

Princip fungování brány firewall je založen na řízení provozu přicházejícího zvenčí. Lze zvolit následující způsoby monitorování provozu mezi lokální a externí sítí:

1. Filtrování paketů– na základě nastavení sady filtrů. V závislosti na tom, zda příchozí paket splňuje podmínky specifikované ve filtrech, je předán do sítě nebo zahozen.

2. Proxy server– mezi místní a externí sítí je instalováno další zařízení proxy serveru, které slouží jako „brána“, kterou musí procházet veškerý příchozí a odchozí provoz.

3. Státní kontrola– kontrola příchozího provozu je jedním z nejpokročilejších způsobů implementace brány firewall. Inspekce neznamená analyzovat celý balíček, ale pouze jeho speciální klíčovou část a porovnat ji s dříve známými hodnotami z databáze povolených zdrojů. Tato metoda poskytuje nejvyšší výkon brány firewall a nejnižší zpoždění.

Princip fungování firewallu

Firewall může být implementován hardwarově nebo softwarově. Konkrétní implementace závisí na velikosti sítě, objemu provozu a požadovaných úlohách. Nejběžnějším typem brány firewall je software. V tomto případě je implementován jako program běžící na koncovém PC nebo okrajovém síťovém zařízení, jako je router. V případě hardwarové implementace je Firewall samostatným síťovým prvkem, který má obvykle větší výkonnostní možnosti, ale plní podobné úkoly.

Firewall umožňuje konfigurovat filtry, které jsou zodpovědné za předávání provozu podle následujících kritérií:

1. IP adresa. Jak víte, každé koncové zařízení pracující přes protokol IP musí mít jedinečnou adresu. Nastavením určité adresy nebo určitého rozsahu můžete zakázat příjem paketů od nich, nebo naopak povolit přístup pouze z těchto IP adres.

2. Název domény. Jak víte, webové stránce na internetu, respektive její IP adrese, lze přiřadit alfanumerický název, který je mnohem snadněji zapamatovatelný než sada čísel. Filtr lze tedy nakonfigurovat tak, aby povoloval provoz pouze do/z jednoho ze zdrojů, nebo aby k němu odepřel přístup.

3. Přístav. Mluvíme o softwarových portech, tzn. aplikační přístupové body k síťovým službám. Například ftp používá port 21 a aplikace pro prohlížení webových stránek používají port 80. Ten umožňuje odepřít přístup nežádoucím službám a síťovým aplikacím, nebo naopak povolit přístup pouze k nim.

4. Protokol. Firewall může být nakonfigurován tak, aby umožňoval průchod dat pouze z jednoho protokolu, nebo aby pomocí něj odepřel přístup. Typ protokolu může obvykle indikovat úkoly, které provádí, aplikaci, kterou používá, a sadu parametrů zabezpečení. Tímto způsobem lze nakonfigurovat přístup tak, aby spouštěl pouze jednu konkrétní aplikaci a zabránil potenciálně nebezpečnému přístupu pomocí všech ostatních protokolů.

Výše jsou uvedeny pouze hlavní parametry, které lze konfigurovat. Mohou se také použít další možnosti filtru, které jsou specifické pro daný web. konkrétní síť, v závislosti na úkolech v něm prováděných.

Firewall tedy poskytuje komplexní sadu úloh, které mají zabránit neoprávněnému přístupu, poškození nebo krádeži dat nebo jiným negativním dopadům, které mohou ovlivnit výkon sítě. Firewall se obvykle používá ve spojení s dalšími bezpečnostními nástroji, jako je antivirový software.

Klasifikace firewally

Jedním z účinných mechanismů zajištění informační bezpečnost distribuované počítačové sítě je stínění, které plní funkce vymezení informačních toků na hranici chráněné sítě.

Firewalling zvyšuje bezpečnost zařízení vnitřní síť ignorováním neoprávněných požadavků z vnějšího prostředí, čímž jsou zajištěny všechny složky informační bezpečnosti. Kromě funkcí řízení přístupu zajišťuje stínění registraci výměn informací.

Funkce stínění provádí firewall nebo firewall, kterým se rozumí softwarový nebo hardwarově-softwarový systém, který řídí informační toky vstupující a/nebo vystupující z informačního systému a zajišťuje ochranu informačního systému filtrováním informací. Filtrování informací spočívá v analýze informací na základě souboru kritérií a rozhodování o jejich příjmu a/nebo vysílání.

Firewally jsou klasifikovány podle následujících kritérií:

· podle umístění v síti – vnější a vnitřní, poskytující ochranu před vnější sítí nebo ochranu mezi segmenty sítě;

· podle odpovídající úrovně filtrace referenční model OSI/ISO.

Externí firewally obvykle pracují pouze s protokolem TCP/IP globálního Internetu. Interní firewally mohou podporovat více protokolů, například při použití sítě operační systém Novell Netware, je třeba vzít v úvahu protokol SPX/IPX.

Charakteristika firewallů

Provoz všech firewallů je založen na využití informací z různých vrstev modelu OSI. Obecně platí, že čím vyšší je úroveň modelu OSI, na kterém firewall filtruje pakety, tím vyšší úroveň ochrany poskytuje.

Firewally jsou rozděleny do čtyř typů:

· brány na úrovni relace;

· brány aplikační úroveň;

Tabulka 4.5.1. Typy firewallů a úrovně modelu ISO OSI

Firewally pro filtrování paketů jsou směrovače nebo programy běžící na serveru, které jsou nakonfigurovány pro filtrování příchozích a odchozích paketů. Proto se takové obrazovky někdy nazývají paketové filtry. Filtrování se provádí analýzou zdrojové a cílové IP adresy a také portů příchozích paketů TCP a UDP a jejich porovnáním s konfigurovanou tabulkou pravidel. Tyto firewally se snadno používají, jsou levné a mají minimální dopad na výkon výpočetní systém. Hlavní nevýhodou je jejich zranitelnost vůči falšování IP adres. Navíc jsou složité na konfiguraci: jejich instalace vyžaduje znalost síťových, transportních a aplikačních protokolů.

Brány relace kontrolovat přípustnost komunikační relace. Monitorují handshake mezi autorizovaným klientem a externím hostitelem (a naopak) a určují, zda je požadovaná komunikační relace platná. Při filtrování paketů se brána vrstvy relace spoléhá na informace obsažené v hlavičkách paketů vrstvy relace TCP, tj. pracuje o dvě vrstvy vyšší než firewall pro filtrování paketů. Navíc tyto systémy obvykle disponují funkcí překladu síťových adres, která skrývá interní IP adresy, a tím zabraňuje falšování IP adres. Takové firewally však postrádají kontrolu nad obsahem paketů generovaných různými službami. K odstranění tohoto nedostatku se používají brány na úrovni aplikace.

Aplikační brány kontrolovat obsah každého paketu procházejícího bránou a může filtrovat specifické typy příkazů nebo informací v protokolech aplikační vrstvy, které mají za úkol obsluhovat. Jedná se o pokročilejší a spolehlivější typ brány firewall, který využívá proxy nebo agenty aplikační vrstvy. Agenti jsou sestaveni pro konkrétní internetové služby (HTTP, FTP, Telnet atd.) a slouží ke kontrole síťové pakety pro dostupnost spolehlivých dat.

Brány na aplikační úrovni snižují úrovně výkonu systému kvůli opětovnému zpracování v programu proxy. To není patrné při práci na internetu při práci přes nízkorychlostní kanály, ale je významné při práci v interní síti.

Firewally na expertní úrovni kombinují prvky všech tří výše popsaných kategorií. Stejně jako firewally pro filtrování paketů fungují úroveň sítě Model OSI, filtrování příchozích a odchozích paketů na základě kontroly IP adres a čísel portů. Firewally na úrovni expertů také fungují jako brána na úrovni relace, která určuje, zda pakety patří do příslušné relace. A konečně, expertní firewally přebírají roli aplikační brány, která vyhodnocuje obsah každého paketu podle bezpečnostní politiky organizace.

Namísto použití aplikačně specifického middlewaru používají expertní firewally speciální algoritmy rozpoznávání a zpracování dat na aplikační úrovni. Tyto algoritmy porovnávají pakety se známými datovými vzory, které by teoreticky měly poskytnout více účinná filtrace balíčky.

Závěry k tématu

1. Firewalling zvyšuje bezpečnost vnitřních síťových objektů tím, že ignoruje neoprávněné požadavky z vnějšího prostředí, čímž zajišťuje všechny součásti informační bezpečnosti. Kromě funkcí řízení přístupu zajišťuje stínění registraci výměn informací.

2. Stínící funkce plní firewall nebo firewall, kterým se rozumí softwarový nebo hardwarově-softwarový systém, který řídí informační toky vstupující a/nebo vystupující z informačního systému a zajišťuje ochranu informačního systému filtrováním informací.

3. Firewally jsou klasifikovány podle následujících kritérií: podle umístění v síti a podle úrovně filtrování odpovídající referenčnímu modelu OSI/ISO.

4. Externí firewally obvykle pracují pouze s protokolem TCP/IP globálního Internetu. Interní firewally mohou podporovat více protokolů.

5. Firewally se dělí na čtyři typy:

· firewally s filtrováním paketů;

· brány na úrovni relace;

brány na aplikační úrovni;

· firewally na expertní úrovni.

6. Nejkomplexnějším řešením problému stínění jsou firewally na expertní úrovni, které kombinují prvky všech typů firewallů.

Otázky pro sebeovládání

1. Jaký je mechanismus firewall?

2. Definujte firewall.

3. Princip fungování firewallů s filtrováním paketů.

4. Na jaké úrovni protokolu funguje brána na úrovni relace?

5. Co je zvláštního na firewallech na expertní úrovni?

14.9. Firewally

Zájem o firewally (firewall) ze strany lidí připojených k internetu roste a objevily se i aplikace pro lokální síť, které poskytují zvýšenou úroveň zabezpečení. Doufáme, že v této části nastíníme, co jsou firewally, jak je používat a jak využít možností, které poskytuje jádro FreeBSD k jejich implementaci.

14.9.1. Co je firewall?

Každý den se používají dva jasně odlišné typy firewallů moderní internet. Správněji se nazývá první typ router pro filtrování paketů . Tento typ brány firewall běží na počítači připojeném k více sítím a na každý paket aplikuje sadu pravidel, která určují, zda je paket předán nebo blokován. Druhý typ, známý jako proxy server , je implementován jako démoni, kteří provádějí ověřování a předávání paketů, případně na počítači s více síťovými připojeními, kde je předávání paketů v jádře zakázáno.

Někdy se tyto dva typy firewallů používají společně, takže pouze konkrétní počítač (známý jako bašta hostitel ) může odesílat pakety přes filtrovací směrovač do vnitřní sítě. Proxy služby běží na zabezpečeném hostiteli, který je obvykle bezpečnější než běžné autentizační mechanismy.

FreeBSD přichází s balíčkem filtrů (známým jako IPFW) zabudovaným do jádra, na který se bude soustředit zbytek této části. Proxy servery mohou být postaveny na FreeBSD ze softwaru třetích stran, ale je jich příliš mnoho na to, abychom je popsali v této části.

14.9.1.1. Směrovače s filtrováním paketů

Router je stroj, který předává pakety mezi dvěma nebo více sítěmi. Směrovač pro filtrování paketů je naprogramován tak, aby porovnal každý paket se seznamem pravidel, než se rozhodne, zda jej přeposlat nebo ne. Většina moderního směrovacího softwaru má možnosti filtrování a ve výchozím nastavení jsou všechny pakety předávány dál. Chcete-li povolit filtry, budete muset definovat sadu pravidel.

K určení, zda má být paket povolen průchod, brána firewall prohledává sadu pravidel, která odpovídají obsahu hlaviček paketů. Jakmile je nalezena shoda, je provedena akce přiřazená danému pravidlu. Akce může spočívat v zahození paketu, předání paketu nebo dokonce odeslání zprávy ICMP na zdrojovou adresu. Počítá se pouze první zápas, protože pravidla jsou sledována v určitém pořadí. Proto lze seznam pravidel nazvat „řetězcem pravidel“ » .

Kritéria výběru paketů závisí na softwaru, který používáte, ale obvykle můžete definovat pravidla na základě zdrojové IP adresy paketu, cílové IP adresy, čísla zdrojového portu paketu, čísla cílového portu (pro protokoly, které podporují porty), nebo dokonce typ paketu (UDP , TCP, ICMP atd.).

14.9.1.2. Proxy servery

Proxy servery jsou počítače, kde jsou běžní systémoví démoni ( telnetd, ftpd atd.) jsou nahrazeny speciálními servery. Tyto servery se nazývají proxy servery , protože obvykle pracují pouze s příchozími připojeními. To vám umožní spustit (např. telnet proxy server na bráně firewall a proveďte možný vstup Podle telnet k firewallu, předání autentizačního mechanismu a získání přístupu do vnitřní sítě (podobně lze pro přístup k vnější síti použít proxy servery).

Proxy servery jsou obvykle lépe chráněny než jiné servery a často mají širší škálu ověřovacích mechanismů, včetně systémů jednorázových hesel, takže i když někdo ví, jaké heslo jste použili, nebude ho moci použít k získání přístupu k systém , protože platnost hesla vyprší ihned po jeho prvním použití. Protože heslo přímo nedává přístup k počítači, na kterém je umístěn proxy server, je mnohem obtížnější nainstalovat zadní vrátka do systému.

Proxy servery mají obvykle způsob, jak dále omezit přístup, aby k serverům měli přístup pouze někteří hostitelé. Většina také umožňuje správci určit, ke kterým uživatelům a počítačům mají přístup. Dostupné možnosti opět závisí především na použitém softwaru.

14.9.2. Co vám IPFW umožňuje?

Software IPFW dodávaný s FreeBSD je systém pro filtrování paketů a účtování umístěný v jádře a vybavený uživatelským konfiguračním nástrojem, ipfw (8). Společně umožňují definovat a zobrazit pravidla používaná jádrem pro směrování.

IPFW se skládá ze dvou souvisejících částí. Firewall filtruje pakety. Část účtování paketů IP sleduje využití směrovače na základě pravidel podobných těm, která se používají v části brány firewall. To umožňuje správci určit například objem provozu, který router přijímá z určitého počítače, nebo objem WWW provozu, který předává.

Vzhledem k tomu, jak je IPFW implementováno, můžete jej použít také na počítačích bez směrovače k ​​filtrování příchozích a odchozích připojení. Tento speciální případ obecnější použití IPFW a v této situaci se používají stejné příkazy a techniky.

14.9.3. Povolení IPFW na FreeBSD

Protože většina systému IPFW je umístěna v jádře, budete muset přidat jeden nebo více parametrů do konfiguračního souboru jádra v závislosti na požadovaných schopnostech a znovu sestavit jádro. Podrobný popis tohoto postupu naleznete v kapitole o přestavbě jádra (kapitola 8).

Pozor: Výchozí pravidlo IPFW je odepřít ip z libovolného do libovolného. Pokud při spouštění nepřidáte žádná další pravidla pro povolení přístupu, pak blokovat přístup na server s povoleným firewallem v jádře po restartu. Při počátečním přidávání firewallu doporučujeme zadat firewall_type=open v souboru /etc/rc.conf a poté po otestování jeho funkčnosti upravit pravidla v souboru /etc/rc.firewall. Dalším opatřením může být počáteční konfigurace brány firewall z místní konzoly namísto přihlašování ssh. Kromě toho je možné sestavit jádro s parametry IPFIREWALL a IPFIREWALL_DEFAULT_TO_ACCEPT. V tomto případě bude výchozí pravidlo IPFW změněno tak, aby umožňovalo ip z libovolné na libovolnou, což zabrání možné blokování.

Existují čtyři možnosti konfigurace jádra související s IPFW:

možnosti IPFIREWALL

Zahrnuje kód filtrování paketů v jádře.

Možnosti IPFIREWALL_VERBOSE

Umožňuje protokolování paketů přes syslogd (8). Bez tohoto parametru nebude fungovat, i když v pravidlech filtrování určíte protokolování paketů.

Možnosti IPFIREWALL_VERBOSE_LIMIT=10

Omezuje počet paketů protokolovaných každým pravidlem syslogd (8). Tuto možnost můžete použít, pokud chcete protokolovat činnost brány firewall, ale nechcete vystavit syslog útoku DoS.

Když jedno z pravidel v řetězci dosáhne limitu určeného parametrem, protokolování pro toto pravidlo se vypne. Chcete-li povolit protokolování, budete muset pomocí nástroje resetovat odpovídající čítač ipfw (8) :

# ipfw nula 4500

kde 4500 je číslo pravidla, pro které chcete obnovit protokolování.

Možnosti IPFIREWALL_DEFAULT_TO_ACCEPT

Změní výchozí pravidlo z „odmítnout“ na „povolit“. Tím se zabrání možnému zablokování, pokud je jádro načteno s podporou IPFIREWALL, ale firewall ještě není nakonfigurován. Tato možnost je také užitečná, pokud používáte ipfw (8) jako lék na určité problémy, jakmile nastanou. Toto nastavení však používejte opatrně, protože otevře bránu firewall a změní její chování.

Komentář: Předchozí Verze FreeBSD obsahoval parametr IPFIREWALL_ACCT. Tato možnost byla zastaralá, protože kód automaticky umožňuje účtování.

14.9.4. Nastavení IPFW

Software IPFW se konfiguruje pomocí nástroje ipfw (8). Syntaxe tohoto příkazu vypadá velmi složitě, ale jakmile pochopíte jeho strukturu, bude relativně jednoduchá.

Nástroj v současné době používá čtyři různé kategorie příkazů: přidání/vymazání, výpis, vyprázdnění a vymazání. Add/Drop se používá k vytvoření pravidel, která určují, jak jsou pakety přijímány, zahazovány a protokolovány. Vyhledávání se používá k určení obsahu sady pravidel (nazývaných také řetězec) a počítadel paketů (účtování). Reset se používá k odstranění všech pravidel v řetězci. Clear se používá k vynulování jednoho nebo více čítačů.

14.9.4.1. Změna pravidel IPFW

ipfw [-N] příkaz [číslo] akce adresa protokol [parametry]

Při použití této formy příkazu je k dispozici jeden příznak:

Řešení adres a názvů služeb při zobrazování.

Definovatelné tým lze zkrátit na kratší unikátní formu. Existující týmy :

Přidání pravidla do seznamu filtrování/účetnictví

Odebrání pravidla z filtrovacího/účetního seznamu

Používaly se předchozí verze IPFW jednotlivé záznamy pro filtrování a účtování paketů. Moderní verze zvažte pakety pro každé pravidlo.

Pokud je zadána hodnota číslo, používá se k umístění pravidla na konkrétní pozici v řetězci. V opačném případě je pravidlo umístěno na konec řetězce s číslem o 100 vyšším než předchozí pravidlo (toto nezahrnuje výchozí číslo pravidla 65535).

S parametrem log vydávají informace odpovídající pravidla systémové konzole, pokud bylo jádro sestaveno s volbou IPFIREWALL_VERBOSE.

Existující akce :

Zahoďte paket a odešlete paket ICMP na zdrojovou adresu, což znamená, že hostitel nebo port je nedostupný.

Přeskočte balíček jako obvykle. (synonyma: projít, povolit a přijmout)

Balíček zlikvidujte. Zdroji není vydána žádná zpráva ICMP (jako by paket nikdy nedosáhl cíle).

Aktualizujte počítadlo paketů, ale nepoužívejte na něj pravidla povolení/odmítnutí. Hledání bude pokračovat s dalším pravidlem v řetězci.

Každý akce lze zapsat jako kratší jedinečnou předponu.

Lze definovat následující protokoly :

Odpovídá všem IP paketům

Odpovídá paketům ICMP

Odpovídá paketům TCP

Odpovídá paketům UDP

Pole adresy se tvoří takto:

zdroj adresa/maska [přístav] cíl adresa/maska [přístav]

Můžete upřesnit přístav pouze společně s protokoly podporující porty (UDP a TCP).

Parametr via je volitelný a může obsahovat IP adresu nebo název domény lokálního IP rozhraní nebo název rozhraní (například ed0), konfiguruje pravidlo tak, aby odpovídalo pouze těm paketům, které procházejí tímto rozhraním. Čísla rozhraní lze nahradit volitelnou maskou. Například ppp* bude odpovídat rozhraním PPP jádra.

Syntaxe použitá k označení adresy/masky:

adresa nebo adresa/maskovací bity nebo adresa:maska ​​šablony

Místo IP adresy můžete zadat existující název hostitele. maskovací bity toto je dekadické číslo udávající počet bitů, které je třeba nastavit v masce adresy. Například 192.216.222.1/24 vytvoří masku, která odpovídá všem adresám podsítě třídy C (v v tomto případě, 192.216.222). Místo IP adresy lze zadat platný název hostitele. maska ​​šablony to je IP, která bude logicky násobena danou adresou. Klíčové slovo any může být použito ve významu „libovolná IP adresa“.

Čísla portů jsou zadána v následujícím formátu:

přístav [,přístav [,přístav [.]]]

Chcete-li zadat jeden port nebo seznam portů, popř

přístav-přístav

Chcete-li určit rozsah portů. Můžete také kombinovat jeden rozsah se seznamem portů, ale rozsah musí být vždy uveden jako první.

K dispozici parametry :

Spustí se, pokud paket není prvním paketem datagramu.

Odpovídá příchozím paketům.

Odpovídá odchozím paketům.

Ipoptions spec

Spustí se, pokud hlavička IP obsahuje čárkami oddělený seznam parametrů uvedených v spec. Podporované parametry IP: ssrr (přísná zdrojová trasa), lsrr (volná zdrojová trasa), rr (směrování paketů záznamu) a ts (časové razítko). Účinek jednotlivých parametrů lze změnit zadáním prefixu!.

Založeno

Spustí se, pokud je balíček součástí již nainstalovaného balíčku TCP spojení(tj. pokud jsou nastaveny bity RST nebo ACK). Výkon brány firewall můžete zlepšit umístěním pravidla s založeno blízko začátku řetězce.

Odpovídá, pokud je paket pokusem Nastavení TCP spojení (bit SYN je nastaven a bit ACK není nastaven).

Tcpflags vlajky

Spustí se, pokud hlavička TCP obsahuje seznam položek oddělených čárkami vlajky. Podporované příznaky jsou fin, syn, rst, psh, ack a urg. Účinek pravidel pro jednotlivé příznaky lze změnit zadáním prefixu!.

Icmptypes typy

Spustí se, pokud je typ paketu ICMP v seznamu typy. Seznam lze zadat jako libovolnou kombinaci rozsahů a/nebo jednotlivých typů oddělených čárkami. Běžně používané typy ICMP jsou 0 echo response (ping response), 3 destination nedosažitelné, 5 redirect, 8 echo request (ping request) a 11 times over (používá se k označení vypršení TTL, jako např. traceroute (8)).

14.9.4.2. Zobrazit pravidla IPFW

Syntaxe této formy příkazu je:

ipfw [-a] [-c] [-d] [-e] [-t] [-N] [-S] seznam

Pro tuto formu příkazu existuje sedm příznaků:

Zobrazit hodnoty počítadla. Tento parametr je jediný způsob, jak zobrazit hodnoty čítače.

Zobrazit pravidla v kompaktní podobě.

Zobrazit dynamická pravidla kromě statických.

Pokud je zadána volba -d, zobrazí se také dynamická pravidla, jejichž platnost vypršela.

Zobrazit v poslední době střelba pro každé pravidlo v řetězci. Tento seznam není kompatibilní s přijatou syntaxí ipfw (8) .

Pokuste se vyřešit zadané adresy a názvy služeb.

Zobrazte sadu, do které každé pravidlo patří. Pokud tento příznak není zadán, zablokovaná pravidla se nezobrazí.

14.9.4.3. Resetování pravidel IPFW

Syntaxe pro resetování pravidel:

Všechna pravidla v řetězci budou odstraněna kromě výchozího pravidla nastaveného jádrem (číslo 65535). Při resetování pravidel buďte opatrní; pravidlo, které ve výchozím nastavení zahazuje pakety, odpojí systém od sítě, dokud nebudou do řetězce přidána povolovací pravidla.

14.9.4.4. Vymazání čítačů paketů IPFW

Syntaxe pro vymazání jednoho nebo více čítačů paketů je:

ipfw nula [ index]

Při použití bez argumentu číslo Všechna počítadla paketů budou vymazána. Li index zadaný, operace čištění se vztahuje pouze na zadané pravidlo zřetězení.

14.9.5. Příklad příkazů pro ipfw

Následující příkaz odmítne všechny pakety z hostitele evil.crackers.org do telnet portu hostitele nice.people.org:

# ipfw přidat deny tcp z evil.crackers.org na nice.people.org 23

Následující příklad popírá a zaznamenává veškerý provoz TCP ze sítě crackers.org (třída C) do počítače nice.people.org (na libovolném portu).

# ipfw přidat deny log tcp z evil.crackers.org/24 na nice.people.org

Pokud chcete zabránit odesílání X relací do vaší sítě (součást sítě třídy C), následující příkaz provede potřebné filtrování:

# ipfw přidat deny tcp from any do my.org/28 nastavení 6000

Chcete-li zobrazit účetní záznamy:

# ipfw -seznam nebo in krátká forma# ipfw -a l

Můžete také zobrazit poslední spuštění pravidel pomocí příkazu:

14.9.6. Vytvoření brány firewall s filtrováním paketů

Při počáteční konfiguraci firewallu, před testováním výkonu a uvedením serveru do provozu se důrazně doporučuje používat protokolovací verze příkazů a povolit protokolování v jádře. To vám umožní rychle identifikovat problémové oblasti a opravit nastavení bez velkého úsilí. I po dokončení počátečního nastavení se doporučuje používat protokolování k „odmítnutí“, protože vám umožňuje sledovat možné útoky a změnit pravidla brány firewall, pokud se změní požadavky na bránu firewall.

Komentář: Pokud používáte protokolovací verzi aplikace accept, buďte opatrní, protože se může vytvořit velký objem protokolových dat. Každý paket procházející firewallem bude zaznamenán, takže velké objemy FTP/http a dalšího provozu výrazně zpomalí systém. To také zvýší latenci takových paketů, které jádro potřebuje ke spuštění práce navíc před předáním balíčku. syslogd také zabere mnohem více času CPU, protože odešle všechna data navíc na disk a oddíl /var/log se může rychle zaplnit.

Budete muset povolit firewall v /etc/rc.conf.local nebo /etc/rc.conf. Odpovídající manuálová stránka vysvětluje, co přesně je třeba udělat, a obsahuje příklady hotových nastavení. Pokud nepoužíváte předvolbu, může příkaz ipfw list umístit aktuální sadu pravidel do souboru, odkud ji lze umístit do spouštěcích souborů systému. Pokud k povolení brány firewall nepoužíváte /etc/rc.conf.local nebo /etc/rc.conf, je důležité po konfiguraci rozhraní zajistit, aby byla povolena.

Dále je třeba určit Co přesně vytvoří váš firewall! To závisí hlavně na tom, jak velký přístup chcete mít zvenčí do vaší sítě. Zde je několik obecná pravidla:

Blokujte vnější přístup k číslům portů TCP nižším než 1024. Většina služeb kritických pro zabezpečení, jako je Finger, SMTP (mail) a telnet, se nachází zde.

Blok vše příchozí provoz UDP. Je jich velmi málo užitečné služby běží přes UDP, ale obvykle představují bezpečnostní riziko (např. protokoly Sun RPC a NFS). Tato metoda má také nevýhody, protože UDP je bez spojení a blokování příchozích paketů bude blokovat i odpovědi na odchozí provoz UDP. To může být problém pro ty, kteří používají externí servery, které pracují s UDP. Pokud chcete povolit přístup k těmto službám, budete muset povolit příchozí pakety z příslušných portů. Například pro ntp možná budete muset povolit pakety přicházející z portu 123.

Blokujte veškerý provoz zvenčí na port 6000. Port 6000 se používá pro přístup k serverům X11 a může představovat bezpečnostní riziko (zejména pokud uživatelé mají ve zvyku spouštět na svých pracovních stanicích příkaz xhost +). X11 může používat řadu portů počínaje 6000, přičemž horní limit je určen počtem X displejů, které mohou na stroji běžet. Horní limit definovaný RFC 1700 (Assigned Numbers) je 6063.

Zkontrolujte porty používané interními službami (např. SQL servery atd.). Může být dobré zablokovat i tyto porty, protože obvykle nespadají do výše uvedeného rozsahu 1-1024.

Další kontrolní seznam pro kontrolu nastavení firewallu je k dispozici na CERT na http://www.cert.org/tech_tips/packet_filtering.html

Jak je uvedeno výše, všechna tato pravidla jsou spravedlivá řízení . Sami se můžete rozhodnout, jaká pravidla filtrování budou ve firewallu použita. Nemůžeme převzít ŽÁDNOU odpovědnost, pokud je vaše síť napadena hackery, i když jste postupovali podle výše uvedených rad.

14.9.7. Optimalizace režie a IPFW

Mnoho uživatelů chce vědět, jak moc IPFW zatěžuje systém. Odpověď závisí především na sadě pravidel a rychlosti procesoru. Vzhledem k malému souboru pravidel pro většinu aplikací běžících na Ethernetu je odpověď „nic moc“. Tato část je určena těm, kteří potřebují přesnější odpověď.

Následná měření byla provedena s 2.2.5-STABLE na 486-66. (Ačkoli se IPFW v následujících verzích FreeBSD mírně změnilo, rychlost zůstala přibližně stejná.) IPFW bylo upraveno tak, aby měřilo čas strávený ip_fw_chk, přičemž výsledek tiskne do konzole po každém 1000. paketu.

Byly testovány dvě sady 1000 pravidel. První z nich byl navržen tak, aby demonstroval špatnou sadu pravidel opakováním pravidla:

# ipfw přidat deny tcp z libovolného do libovolného 55555

Tato sada pravidel je špatná, protože většina pravidel IPFW neodpovídá kontrolovaným paketům (kvůli číslu portu). Po 999. iteraci tohoto pravidla následuje povolená ip z libovolného do libovolného pravidla.

Druhá sada pravidel byla navržena tak, aby každé pravidlo otestovala co nejrychleji:

# ipfw add deny ip od 1.2.3.4 do 1.2.3.4

Neodpovídající zdrojová IP adresa ve výše uvedeném pravidle bude mít za následek velmi rychlá kontrola tato pravidla. Stejně jako dříve, 1000. pravidlo povoluje IP z libovolné do libovolné.

Náklady na kontrolu paketu jsou v prvním případě přibližně 2,703 ms/paket, neboli přibližně 2,7 mikrosekundy na pravidlo. Teoretický limit rychlosti skenování je asi 370 paketů za sekundu. Za předpokladu 10 Mb/s ethernetového připojení a velikosti paketu přibližně 1500 bajtů získáme pouze 55,5% využití šířku pásma.

Ve druhém případě byl každý paket naskenován přibližně za 1,172 ms, neboli přibližně 1,2 mikrosekundy na pravidlo. Teoretický limit rychlosti kontroly je asi 853 paketů za sekundu, což umožňuje plně využít šířku pásma Ethernetu 10 Mbps.

Nadměrný počet kontrolovaných pravidel a jejich typ neumožňují vytvořit obrázek blízký běžným podmínkám - tato pravidla sloužila pouze k získání informace o době ověření. Zde je několik pokynů, které je třeba zvážit, abyste vytvořili účinný soubor pravidel:

Umístěte zavedené pravidlo co nejdříve, abyste zvládli většinu TCP provoz. Nedávejte před něj pravidla allow tcp.

Často používaná pravidla umístěte blíže k začátku sady než zřídka používaná pravidla (samozřejmě aniž by se změnil účinek celé sady ). Nejběžněji používaná pravidla můžete určit kontrolou čítačů paketů pomocí příkazu ipfw -a l.

Firewall nebo firewall je soubor hardwaru nebo softwaru, který řídí a filtruje síťové pakety procházející přes něj na různých úrovních modelu OSI v souladu se stanovenými pravidly.

Hlavním účelem firewallu je chránit počítačové sítě nebo jednotlivé uzly před neoprávněným přístupem. Firewally se také často nazývají filtry, protože jejich hlavním úkolem je nepropouštět (filtrovat) pakety, které nesplňují kritéria definovaná v konfiguraci (obr. 6.1).

Firewall má několik jmen. Pojďme se na ně podívat.

Firewall (německy: Brandmauer) je termín převzatý z němčiny, který je obdobou anglického firewallu v původním významu (stěna, která odděluje sousední budovy, chrání před šířením požáru). Zajímavé je, že v oblasti výpočetní technika V němčině se používá slovo „firewall“.

Firewall, firewall, firewall – vzniklý přepisem anglického termínu firewall, ekvivalentu termínu firewall, není v současné době oficiálním výpůjčním slovem v ruském jazyce.

Obr.6.1 Typické umístění ME v podnikové síti

Na moderním internetu se každý den používají dva jasně odlišné typy firewallů. První typ se správněji nazývá směrovač pro filtrování paketů. Tento typ brány firewall běží na počítači připojeném k více sítím a na každý paket aplikuje sadu pravidel, která určují, zda je paket předán nebo blokován. Druhý typ, známý jako proxy server, je implementován jako démoni, kteří provádějí ověřování a předávání paketů, možná na počítači s více síťovými připojeními, kde je předávání paketů v jádře zakázáno.

Někdy se tyto dva typy firewallů používají společně, takže pouze konkrétní stroj (známý jako bastion host) může odesílat pakety přes filtrační směrovač do vnitřní sítě. Proxy služby běží na zabezpečeném hostiteli, který je obvykle bezpečnější než běžné autentizační mechanismy.

Firewally se dodávají v různých tvarech a velikostech a někdy jsou jen souborem několika různé počítače. Firewall zde označuje počítač nebo počítače mezi důvěryhodnými sítěmi (například interní) a nedůvěryhodnými sítěmi (například Internet), které kontrolují veškerý provoz procházející mezi nimi. Efektivní firewally mají následující vlastnosti:

· Všechna připojení musí projít firewallem. Jeho účinnost je značně snížena, pokud existuje alternativní síťová trasa – neautorizovaný provoz bude přenášen přes firewall.

· Firewall povoluje pouze autorizovaný provoz. Pokud není schopen jasně rozlišit mezi autorizovaným a neoprávněným provozem, nebo pokud je nakonfigurován tak, aby umožňoval nebezpečný nebo zbytečný provoz, pak je jeho užitečnost značně snížena. Když firewall selže nebo je přetížen, měl by se vždy přepnout do stavu selhání nebo zavřeno. Je lepší přerušit spojení, než nechat systémy nechráněné.

· Firewall musí odolávat útokům proti sobě, protože nejsou instalována žádná další zařízení, která by jej chránila.

Firewall lze přirovnat k uzamčení přední dveře. Může být nejbezpečnější na světě, ale pokud dveře nejsou zamčené, vetřelci je mohou snadno otevřít. Firewall chrání síť před neoprávněným přístupem, stejně jako zámek chrání vstup do místnosti. Nechali byste cennosti doma, kdyby nebyl zámek na vašich domovních dveřích zabezpečený?

Firewall je pouze prvkem celkové bezpečnostní architektury. Hraje však velmi důležitou roli ve struktuře sítě a jako každé jiné zařízení má své výhody i nevýhody.

Výhody firewallu:

· Firewally jsou vynikajícím prostředkem pro implementaci podnikových bezpečnostních politik. Měly by být nakonfigurovány tak, aby omezovaly připojení na základě názoru vedení na danou záležitost.

· Brány firewall omezují přístup k určitým službám. Například může být povolen veřejný přístup k webovému serveru, ale nemusí být povolen telnet a další neveřejné služby. Většina firewallů poskytuje selektivní přístup prostřednictvím ověřování.

· Účel firewallů je velmi specifický, takže není třeba dělat kompromisy mezi bezpečností a použitelností.

· Firewally jsou vynikajícím nástrojem auditu. S dostatečným prostorem pevné disky nebo s podporou vzdáleného protokolování mohou protokolovat informace o jakémkoli provozu, který prochází.

· Firewally mají velmi dobré příležitosti informovat personál o konkrétních událostech.

Nevýhody firewallů:

· Firewally neblokují to, co bylo autorizováno. Umožňují navázání normálních připojení z autorizovaných aplikací, ale pokud aplikace představují hrozbu, firewall nebude schopen zabránit útoku tím, že bude připojení považovat za autorizované. Firewally například umožňují, aby e-maily procházely poštovním serverem, ale ve zprávách nedetekují viry.

· Účinnost firewallů závisí na pravidlech, která jsou nakonfigurována k vynucování. Pravidla by neměla být příliš volná.

· Firewally nebrání útokům sociálního inženýrství nebo útokům oprávněného uživatele, který úmyslně a se zlým úmyslem používá jeho adresu.

· Firewally nemohou odolat špatným postupům správy nebo špatně navrženým bezpečnostním zásadám.

· Firewally nezabrání útokům, pokud přes ně neprochází provoz.

Někteří lidé předpovídali konec éry firewallů, které mají potíže s rozlišením mezi autorizovaným a neoprávněným provozem aplikací. Mnoho aplikací, jako je rychlé zasílání zpráv, se stává stále mobilnější a kompatibilní s více porty. Tímto způsobem mohou obejít firewall přes port, který je otevřený pro jinou autorizovanou službu. Navíc stále více aplikací přesměrovává provoz přes jiné autorizované porty, které jsou s největší pravděpodobností přístupné. Příklady takových populární aplikace jsou HTTP-Tunnel (www.http-tunnel.com) a SocksCap (www.socks.permeo.com). Kromě toho jsou vyvíjeny aplikace speciálně navržené pro obcházení firewallů, jako je aplikace pro vzdálené ovládání počítače GoToMyPC (www.gotomypc.com).

Firewally však nejdou dolů bez boje. Aktuální verze softwaru od hlavních výrobců obsahují pokročilé nástroje prevence narušení a možnosti stínění aplikační vrstvy. Tyto brány firewall detekují a filtrují neoprávněný provoz, jako jsou například aplikace okamžitá výměna zprávy pokoušející se proniknout do portů otevřených jiným autorizovaným službám. Firewally nyní navíc porovnávají výsledky výkonu s publikovanými protokolovými standardy a známky různých aktivit (podobně jako antivirový software), aby detekovaly a blokovaly útoky obsažené v přenášených paketech. Zůstávají tedy primárním prostředkem ochrany sítí. Pokud je však ochrana aplikací poskytovaná firewallem nedostatečná nebo není schopna správně rozlišit mezi autorizovaným a neoprávněným provozem, je třeba zvážit alternativní kompenzační metody zabezpečení.

Firewall může být směrovač, osobní počítač, speciálně navržený stroj nebo sada uzlů speciálně nakonfigurovaných k ochraně privátní síť z protokolů a služeb, které by mohly být zneužity mimo důvěryhodnou síť.

Způsob ochrany závisí na samotném firewallu a také na zásadách nebo pravidlech, které jsou na něm nakonfigurovány. Dnes se používají čtyři technologie brány firewall:

· Dávkové filtry.

· Aplikační brány.

· Brány na úrovni smyčky.

· Zařízení pro adaptivní kontrolu paketů.

Než prozkoumáme funkce firewallů, podívejme se na sadu Transmission Control and Internet Protocol (TCP/IP).

TCP/IP poskytuje metodu pro přenos dat z jednoho počítače do druhého po síti. Účelem brány firewall je řídit přenos paketů TCP/IP mezi hostiteli a sítěmi.

TCP/IP je sada protokolů a aplikací, které provádějí různé funkce podle konkrétních vrstev modelu OSI (Open Systems Interconnection). TCP/IP nezávisle přenáší bloky dat po síti ve formě paketů a každá vrstva modelu TCP/IP přidává k paketu hlavičku. V závislosti na použité technologii firewall zpracovává informace obsažené v těchto hlavičkách pro účely řízení přístupu. Pokud podporuje demarkaci aplikací jako aplikační brány, pak lze řízení přístupu dosáhnout také samotnými daty obsaženými v těle paketu.

Řízení informačních toků spočívá v jejich filtrování a transformaci v souladu s daným souborem pravidel. Protože v moderních ME lze filtraci provádět na různé úrovně Referenční model Open Systems Interconnection (OSI), ME je vhodně reprezentován jako systém filtrů. Každý filtr se na základě analýzy procházejících dat rozhodne - přeskočit dále, hodit jej za obrazovku, zablokovat nebo převést data (obr. 6.2).

Obr.6.2 Schéma filtrace v ME.

Nedílnou funkcí ME je protokolování výměny informací. Udržování protokolů umožňuje správci identifikovat podezřelé aktivity, chyby v konfiguraci ME a rozhodnout o změně pravidel ME.

Klasifikace obrazovky

V souladu s fungováním na různých úrovních OSI se rozlišuje následující klasifikace ME:

· Přemosťovací obrazovky (OSI úroveň 2).

· Filtrování směrovačů (úrovně OSI 3 a 4).

· Brány na úrovni relace (OSI úroveň 5).

· Brány na aplikační úrovni (OSI úroveň 7).

· Komplexní obrazovky (úrovně OSI 3-7).

Obr.6.3 Model OSI

Most MEs

Tato třída firewallů, fungující na vrstvě 2 modelu OSI, je také známá jako transparentní firewally, skryté firewally a stínové firewally. Bridge ME se objevily relativně nedávno a představují slibný směr vývoj technologií firewallu. Filtrují provoz na úrovni datového spoje, tzn. ME pracují s rámečky. Mezi výhody těchto ME patří:

· Není třeba měnit nastavení podnikové sítě, není to nutné další konfigurace ME síťová rozhraní.

· Vysoký výkon. Protože se jedná o jednoduchá zařízení, nevyžadují mnoho zdrojů. Zdroje jsou nutné buď ke zlepšení schopností strojů, nebo k hlubší analýze dat.

· Transparentnost. Klíčem k tomuto zařízení je jeho provoz na vrstvě 2 modelu OSI. To znamená, že síťové rozhraní nemá IP adresu. Tato funkce je důležitější než snadné nastavení. Bez IP adresy není toto zařízení přístupné v síti a je neviditelné pro vnější svět. Pokud takové ME není k dispozici, tak jak na něj zaútočit? Útočníci ani nebudou vědět, že existuje firewall, který kontroluje každý z jejich paketů.

Filtrovat routery

Router je stroj, který předává pakety mezi dvěma nebo více sítěmi. Směrovač pro filtrování paketů je naprogramován tak, aby porovnal každý paket se seznamem pravidel, než se rozhodne, zda jej přeposlat nebo ne.

Firewall pro filtrování paketů (ME s filtrováním paketů)

Firewally udržují sítě zabezpečené filtrováním síťových připojení na základě hlaviček TCP/IP každého paketu. Prozkoumají tyto hlavičky a použijí je k povolení a směrování paketu na místo určení nebo k jeho zablokování jeho zahozením nebo odmítnutím (tj. zahozením paketu a upozorněním odesílatele).

Paketové filtry rozlišují na základě následujících údajů:

· Zdrojová IP adresa;

Cílová IP adresa;

· použitý síťový protokol (TCP, UDP nebo ICMP);

· Zdrojový port TCP nebo UDP;

· cílový TCP nebo UDP port;

· Typ zprávy ICMP (pokud je protokol ICMP).

Dobrý paketový filtr se také může spolehnout na informace, které nejsou přímo obsaženy v hlavičce paketu, jako je například rozhraní, na kterém je paket přijímán. Filtr paketů v podstatě obsahuje nedůvěryhodné nebo „špinavé“ rozhraní, sadu filtrů a důvěryhodné rozhraní. „Nečistá“ strana hraničí s nedůvěryhodnou sítí a jako první přijímá provoz. Jakmile přes něj projde provoz, je zpracován podle sady filtrů používaných firewallem (těmto filtrům se říká pravidla). V závislosti na nich je provoz buď přijat a odeslán dále přes „čisté“ rozhraní do cíle, nebo vynechán či odmítnut. Které rozhraní je „špinavé“ a které „čisté“ závisí na směru pohybu konkrétního paketu ( kvalitní filtry balíčky jsou platné pro odchozí i příchozí provoz).

Strategie implementace paketových filtrů se liší, ale je třeba dodržovat základní techniky.

· Konstrukce pravidel – od nejkonkrétnějších po nejobecnější. Většina paketových filtrů provádí zpracování zdola nahoru pomocí sad pravidel a zastaví se, když je nalezena shoda. Vložení specifičtějších filtrů do horní části sady pravidel znemožní obecnému pravidlu skrýt konkrétní pravidlo níže v sadě filtrů.

· Ubytování nejvíce aktivní pravidla v horní části sady filtrů. Únikové pakety zabírají významnou část času CPU a. Jak již bylo zmíněno dříve, paketový filtr přestane zpracovávat paket, když zjistí, že odpovídá pravidlu. Umístění oblíbených pravidel na první nebo druhou pozici, spíše než na 30. nebo 31. pozici, šetří čas CPU, který by byl potřeba ke zpracování dávky více než 30 pravidel. Když je potřeba zpracovat tisíce paketů najednou, neměla by se zanedbávat úspora výkonu CPU.

Definování konkrétních a správných pravidel filtrování paketů je velmi složitý proces. Je třeba zhodnotit výhody a nevýhody paketových filtrů. Zde jsou některé výhody.

· Vysoký výkon. Filtraci lze provést pomocí lineární rychlost, srovnatelné s rychlostí moderních procesorů.

· Návratnost. Paketové filtry jsou relativně levné nebo dokonce zdarma. Většina směrovače mají funkce filtrování paketů integrované do jejich operačních systémů.

· Transparentnost. Uživatelské a aplikační akce není nutné upravovat, aby bylo zajištěno, že pakety projdou paketovým filtrem.

· Rozsáhlé možnosti řízení provozu. Jednoduché paketové filtry lze použít k odstranění zjevně nežádoucího provozu na perimetru sítě a mezi různými vnitřními podsítěmi (například pomocí okrajových směrovačů zahazovat pakety se zdrojovými adresami odpovídajícími vnitřní síti (např. mluvíme o o falešných paketech), "soukromé" IP adresy (RFC 1918) a zavěšené pakety).

Podívejme se na nevýhody paketových filtrů.

· Přímá spojení mezi nedůvěryhodnými a důvěryhodnými uzly jsou povolena.

· Nízká úroveň škálovatelnosti. Jak množiny pravidel rostou, je stále obtížnější vyhnout se „zbytečným“ spojením. Se složitostí pravidel přichází problém škálovatelnosti. Pokud nemůžete rychle prohledat sadu pravidel, abyste viděli účinek svých změn, budete ji muset zjednodušit.

· Schopnost otevřít velké rozsahy portů. Kvůli dynamické povaze některých protokolů musí být otevřeny velké rozsahy portů, aby protokoly správně fungovaly. Tady je nejhorší případ FTP protokol. Vyžaduje FTP příchozí spojení ze serveru na klienta a paketové filtry budou muset otevřít širokou škálu portů, aby umožnily takový přenos dat.

· Náchylnost k útokům spoofingu dat. Útoky nahrazující data (spoofing) obvykle zahrnují připojení nepravdivých informací k hlavičce TCP/IP. Útoky zahrnující falšování zdrojových adres a maskování paketů pod rouškou toho, že jsou součástí již vytvořených spojení, jsou běžné.

Brána relace

Brána na úrovni okruhu je firewall, který eliminuje přímou interakci mezi autorizovaným klientem a externím hostitelem. Nejprve přijme požadavek od důvěryhodného klienta pro určité služby a po kontrole platnosti požadované relace naváže spojení s externím hostitelem.

Poté brána jednoduše zkopíruje pakety v obou směrech, aniž by je filtrovala. Na této úrovni je možné použít funkci překladu síťových adres (NAT, překlad síťových adres). Přenos interní adresy se provádí ve vztahu ke všem paketům pohybujícím se z vnitřní sítě do vnější. U těchto paketů jsou IP adresy odesílacích počítačů ve vnitřní síti automaticky převedeny na jednu IP adresu spojenou se stínícím firewallem. V důsledku toho jsou všechny pakety pocházející z vnitřní sítě odesílány firewallem, což eliminuje přímý kontakt mezi vnitřní a vnější sítí. Adresa IP brány vrstvy relace se stane jedinou aktivní IP adresa, který končí na externí síti.

Zvláštnosti:

· Funguje na úrovni 4.

· Přenáší TCP spojení na základě portu.

· Levný, ale bezpečnější než paketový filtr.

· Obecně vyžaduje, aby uživatel nebo konfigurační program plně fungoval.

· Příklad: SOCKS firewall.

Aplikační brána

Brány na aplikační úrovni – firewall, který eliminuje přímou interakci mezi autorizovaným klientem a externím hostitelem filtrováním všech příchozích a odchozích paketů na aplikační úrovni modelu OSI.

Aplikační middlewarové programy předávají informace generované specifickými službami TCP/IP přes bránu.

možnosti:

· Identifikace a autentizace uživatelů při pokusu o navázání spojení přes ME;

· Filtrování toku zpráv, například dynamické skenování virů a transparentní šifrování informací;

· Registrace událostí a reakce na události;

· Ukládání dat požadovaných z externí sítě do mezipaměti.

Na této úrovni je možné používat mediační funkce (Proxy).

Pro každý probíraný protokol aplikační vrstvy můžete zadat softwarové zprostředkovatele – zprostředkovatele HTTP, zprostředkovatele FTP atd. Broker každé služby TCP/IP se zaměřuje na zpracování zpráv a provádění bezpečnostních funkcí specifických pro danou službu. Stejně jako brána na úrovni relace i aplikační brána zachycuje příchozí a odchozí pakety pomocí vhodných screeningových agentů, kopíruje a předává informace přes bránu a funguje jako zprostředkující server, čímž eliminuje přímá spojení mezi interní a externí sítí. Proxy používané aplikační bránou se však v důležitých ohledech liší od kanálových proxy bran relací. Nejprve jsou spojeny proxy aplikační brány konkrétní aplikace softwarové servery) a za druhé mohou filtrovat tok zpráv na aplikační vrstvě modelu OSI.

Zvláštnosti:

· Funguje na úrovni 7.

· Specifické pro aplikaci.

· Středně drahé a pomalé, ale bezpečnější a umožňuje zaznamenat aktivitu uživatele.

· Plně funkční vyžaduje uživatele nebo konfigurační program.

· Příklad: Web (http) proxy.

Expertní úroveň ME

Stavová inspekční firewall je firewall na expertní úrovni, který kontroluje obsah přijatých paketů na třech úrovních modelu OSI: síť, relace a aplikace. Tato úloha používá speciální algoritmy filtrování paketů, které porovnávají každý paket se známým vzorem autorizovaných paketů.

Zvláštnosti:

· Filtrace 3 stupně.

· Kontrola správnosti na úrovni 4.

· Kontrola 5. úrovně.

· Vysoké úrovně náklady, ochrana a složitost.

· Příklad: CheckPoint Firewall-1.

Některé moderní firewally používají kombinaci výše uvedených metod a poskytují další metody ochrany sítí i systémů.

"Osobní" JÁ

Tato třída firewallů umožňuje další rozšíření zabezpečení tím, že umožňuje kontrolu nad tím, jaké typy systémových funkcí nebo procesů mají přístup k síťovým zdrojům. Tyto ME lze použít různé typy podpisy a podmínky s cílem povolit nebo zakázat provoz. Zde jsou některé z nich obecné funkce osobní JÁ:

· Blokování na úrovni aplikací – umožňuje pouze určitým aplikacím nebo knihovnám provádět síťové akce nebo přijímat příchozí připojení

· Blokování na základě podpisu – neustále monitorujte síťový provoz a blokujte vše známé útoky. Další ovládací prvky zvyšují složitost správy zabezpečení kvůli potenciálně velkému počtu systémů, které mohou být chráněny osobním firewallem. Zvyšuje také riziko poškození a zranitelnosti kvůli špatné konfiguraci.

Dynamické ME

Dynamické firewally kombinují standardní firewally (uvedené výše) a techniky detekce narušení, aby poskytovaly průběžné blokování síťových připojení, která odpovídají konkrétní signatuře, a zároveň umožňují připojení z jiných zdrojů ke stejnému portu. Můžete například blokovat činnost síťových červů, aniž byste narušili běžný provoz.

Schémata zapojení ME:

· Jednotné schéma ochrany místní sítě

· Schéma chráněných uzavřených a nechráněných otevřených podsítí

· Schéma s oddělenou ochranou uzavřených a otevřených podsítí.

Nejjednodušším řešením je, že firewall pouze stíní lokální síť před tou globální. Současně WWW server, FTP server, poštovní server a další servery jsou také chráněny firewallem. V tomto případě je nutné věnovat velkou pozornost zamezení průniku do chráněných stanic lokální sítě pomocí snadno dostupných WWW serverů.

Obr.6.4 Schéma jednotné ochrany lokální sítě

Pro zamezení přístupu do lokální sítě pomocí prostředků WWW serveru je doporučeno připojit veřejné servery před firewall. Tato metoda má vyšší zabezpečení pro lokální síť, ale nižší úroveň zabezpečení pro WWW a FTP servery.

Obr. 6.5 Schéma chráněných uzavřených a nechráněných otevřených podsítí

Související informace.

Ještě před pár lety stačilo ke spolehlivé ochraně vašeho PC nainstalovat dobrý antivirový program a sledovat pravidelné aktualizace databáze. Vynalézavost útočníků však dává vzniknout stále více novým způsobům způsobování škod. Hlavním způsobem, jak proniknout do počítače uživatele, je často jeho síťová připojení, respektive systémové zranitelnosti s nimi spojené. Antivirový balíček může pouze určit škodlivý kód, ne každý antivir však dokáže odhalit neoprávněný přístup k datům.

S rozvojem tržních vztahů informace stále více nabývají kvalit zboží, to znamená, že je lze kupovat, prodávat, převádět a bohužel i krást. Proto je problém zajištění informační bezpečnosti každým rokem stále naléhavější. Jedním z možných řešení tohoto problému je použití firewallů.

Moderní technologie ochrany sítě jsou jedním z nejdynamičtějších segmentů moderní trh zajištění bezpečnosti. Nástroje síťové bezpečnosti se vyvíjejí tak rychle, že v současné době obecně přijímaná terminologie v této oblasti ještě není plně zavedena. Tyto prostředky ochrany se objevují v literatuře a médiích jako firewally, firewally a dokonce informační membrány. Nejčastěji používaným termínem je však „firewalls“ (FW).

Obecně k zajištění zabezpečení sítě mezi dvěma sadami informační systémy(IS) je instalována obrazovka nebo informační membrána, která je prostředkem k vymezení přístupu klientů z jedné sady systémů k informacím uloženým na serverech jiné sady. V tomto smyslu lze ME reprezentovat jako sadu filtrů, které analyzují informace, které jimi procházejí, a rozhodují se: předat informaci nebo ji zablokovat. Zároveň jsou zaznamenávány události a generovány alarmy, pokud je detekována hrozba. Typicky jsou stínící systémy vyrobeny asymetricky. Pro obrazovky jsou definovány pojmy „uvnitř“ a „venku“ a úkolem obrazovky je chránit vnitřní síť před potenciálně nepřátelským prostředím. Kromě toho lze ME použít jako podnikovou otevřenou část sítě viditelnou z internetu. Například v mnoha organizacích se ME používají k ukládání dat otevřený přístup, jako jsou informace o produktech a službách, soubory z databází FTP, chybové zprávy a tak dále.

Firewall nebo firewall je soubor hardwaru nebo softwaru, který řídí a filtruje síťové pakety procházející přes něj v souladu se stanovenými pravidly.

Hlavním úkolem firewallu je chránit počítačové sítě nebo jednotlivé uzly před neoprávněným přístupem. Firewally se také často nazývají filtry, protože jejich hlavním úkolem je nepropouštět (filtrovat) pakety, které nesplňují kritéria definovaná v konfiguraci.

Některé firewally umožňují i ​​překlad adres – dynamické nahrazování intranetových (šedých) adres nebo portů externími používanými mimo lokální síť.

Obrázek 4. Obecná struktura firewallu

Jiná jména

Firewall (německy: Brandmauer) je termín převzatý z němčiny, který je obdobou anglického firewallu v původním významu (stěna, která odděluje sousední budovy, chrání před šířením požáru). Zajímavé je, že v oblasti výpočetní techniky se slovo „Firewall“ používá v němčině.

Firewall – vznikl přepisem anglického výrazu firewall.

Typy firewallů

Firewally jsou rozděleny do různých typů v závislosti na následujících vlastnostech:

zda štít poskytuje spojení mezi jedním uzlem a sítí nebo mezi dvěma či více různými sítěmi;

na úrovni jakých síťových protokolů je řízen datový tok;

zda jsou či nejsou sledovány stavy aktivních spojení.

V závislosti na pokrytí řízených datových toků se firewally dělí na:

tradiční síť (neboli firewall) - program (nebo nedílná součást operačního systému) na bráně (server, který přenáší provoz mezi sítěmi) popř. hardwarové řešení, řízení příchozích a odchozích datových toků mezi připojenými sítěmi.

osobní firewall - program nainstalovaný na uživatelský počítač a navrženy tak, aby chránily pouze tento počítač před neoprávněným přístupem.

Zvrhlým případem je použití tradičního firewallu serverem k omezení přístupu k jeho vlastním zdrojům.

V závislosti na úrovni, na které probíhá řízení přístupu, existuje rozdělení na firewally fungující na:

úrovni sítě, kdy dochází k filtrování na základě adres odesílatele a příjemce paketů, čísel portů transportní vrstva OSI model a statická pravidla nastavená správcem;

vrstva relace (také známá jako stavová) – sledování relací mezi aplikacemi, nepovolení paketů, které porušují specifikace TCP/IP, často používané při škodlivých operacích – skenování zdrojů, hackování přes nesprávné implementace TCP/IP, přerušovaná/pomalá připojení, vkládání dat.

aplikační úrovni, filtrování založené na analýze aplikačních dat přenášených v rámci balíčku. Tyto typy obrazovek umožňují blokovat přenos nežádoucích a potenciálně škodlivých informací na základě zásad a nastavení.

Některá řešení firewallu na aplikační úrovni jsou proxy servery s některými funkcemi firewallu, které implementují transparentní proxy se specializací na protokol. Díky možnostem proxy serveru a multiprotokolové specializaci je filtrování mnohem flexibilnější než klasické firewally, ale takové aplikace mají všechny nevýhody proxy serverů (například anonymizaci provozu).

V závislosti na monitorování aktivních připojení jsou brány firewall:

bezstavové (jednoduché filtrování), které nesledují aktuální připojení (například TCP), ale filtrují datový tok výhradně na základě statických pravidel;

stavová, stavová kontrola paketů (SPI) (kontextové filtrování), sledování aktuálních spojení a předávání pouze těch paketů, které splňují logiku a algoritmy odpovídajících protokolů a aplikací. Tyto typy firewallů umožňují efektivněji bojovat s různými typy DoS útoků a zranitelností některých síťových protokolů. Kromě toho poskytují funkcionalitu protokolů jako H.323, SIP, FTP atd., které využívají složité obvody přenos dat mezi příjemci, obtížně popsatelný statickými pravidly a často nekompatibilní se standardními bezstavovými firewally.

Je třeba poznamenat, že v současnosti jsou spolu s jednoúrovňovými firewally stále oblíbenější komplexní firewally pokrývající úrovně od sítě po aplikaci, protože takové produkty kombinují nejlepší vlastnosti jednoúrovňových firewallů různých typů. Obrázek 1 ukazuje strukturu stínění informací mezi dvěma systémy při použití referenčního modelu ISO/OSI.

Obrázek 5. Rámec informačního stínění využívající referenční model

Moderní požadavky na firewally

Hlavním požadavkem je zajištění bezpečnosti vnitřní (chráněné) sítě a plnou kontrolu přes externí připojení a komunikační relace.

Bezpečnostní systém musí mít výkonné a flexibilní ovládací prvky, aby bylo možné snadno a úplně implementovat bezpečnostní politiku organizace.

Firewall by měl fungovat bez povšimnutí uživatelů místní sítě a neměl by jim ztěžovat právní úkony.

Firewallový procesor musí být rychlý, pracovat dostatečně efektivně a umět obsloužit veškerý příchozí i odchozí provoz ve špičce, aby jej nemohlo zablokovat velké množství hovorů a narušit jeho provoz.

Samotný bezpečnostní systém musí být spolehlivě chráněn před jakýmikoli neoprávněnými vlivy, protože je klíčem k důvěrným informacím v organizaci.

Systém správy obrazovky musí být schopen centrálně vynutit jednotnou bezpečnostní politiku pro vzdálené pobočky.

Vlastnosti moderních firewallů

Jak je patrné z tabulky 3, firewall je nejběžnějším prostředkem pro posílení tradičních prostředků ochrany před neoprávněným přístupem a používá se k zajištění ochrany dat při organizaci práce v síti.

Konkrétní implementace ME do značné míry závisí na použitých výpočetních platformách, ale přesto všechny systémy této třídy používají dva mechanismy, z nichž jeden zajišťuje blokování síťového provozu a druhý naopak umožňuje výměnu dat.

Některé verze ME se zároveň zaměřují na blokování nežádoucího provozu, zatímco jiné se zaměřují na regulaci povolené výměny mezi stroji.

Tabulka 3 – Vlastnosti firewallů

Typ brány firewall	Princip fungování	Výhody	Nedostatky
Stínící směrovače (brány firewall pro filtrování paketů)	Filtrování paketů se provádí v souladu s IP hlavičkou paketu podle kritéria: co není výslovně zakázáno, je povoleno. Analyzované informace jsou: - adresa odesílatele; - adresa příjemce; - informace o aplikaci nebo protokolu; - číslo zdrojového portu; - číslo portu příjemce	Nízké náklady Minimální dopad na výkon sítě Snadná konfigurace a instalace Průhledný software	Zranitelnost ochranného mechanismu pro různé typy síťové útoky, jako je falšování zdrojových adres balíčků, neoprávněná úprava obsahu balíčků Nedostatek podpory protokolů událostí a auditních nástrojů v řadě produktů
Screening gateway (ESG)	Výměna informací probíhá prostřednictvím bašty instalované mezi vnitřní a vnější sítí, která rozhoduje o možnosti směrování provozu. Existují dva typy ES: úroveň relace a aplikace	· Nedostatek end-to-end přenosu paketů v případě selhání · Vylepšené, ve srovnání s EM, ochranné mechanismy, které umožňují použití dodatečné finanční prostředky autentizace, softwarová i hardwarová · Použití postupu překladu adres, který umožňuje skrytí hostitelských adres uzavřená síť	· Použití pouze výkonných bastionových hostitelů kvůli velkému objemu výpočtů · Nedostatek „transparentnosti“ kvůli skutečnosti, že ES zavádí zpoždění v procesu přenosu a vyžaduje autentizační procedury od uživatele
stínící podsítě (ES)	Mezi vnitřní a veřejnou sítí je vytvořena izolovaná podsíť. Zprávy z otevřené sítě zpracovává aplikační brána a končí v elektronickém podpisu. Po úspěšném absolvování kontroly u elektronického podpisu vstupují do uzavřené sítě. Stejným způsobem jsou prostřednictvím elektronického podpisu zpracovávány i požadavky z uzavřené sítě. Filtrování je založeno na principu: co není dovoleno, je zakázáno	Možnost skrytí adresy vnitřní sítě · Zvýšená spolehlivost ochrany · Možnost vytvoření velkého provozu mezi vnitřními a otevřenými sítěmi při použití více bastionových hostitelů v elektronické síti · "transparentnost" práce pro libovolné síťové služby a libovolnou strukturu vnitřní sítě síť	Používání pouze výkonných bastionových hostitelů kvůli vysokému výpočetnímu objemu · Údržba(instalaci, konfiguraci) mohou provádět pouze odborníci

Typické možnosti povolení brány firewall

Obrázek 6. Zapnutí ME pomocí schématu dvouportové brány

Obrázek 7. Povolení ME přímo na chráněném serveru

Obrázek 8. Povolení ME v systému Internet Intranet

Srovnávací charakteristiky moderních firewallů

Tabulka 4 - Srovnávací charakteristiky moderních firewallů

		Platforma	Společnost	Zvláštnosti
Solstice Firewall	Komplex	SunOS, UNIX, Solaris	Sun Microsystems	Implementuje bezpečnostní politiku: všechna data, která nemají výslovné oprávnění, jsou vyřazena. Během provozu paketové filtry na branách a serverech generují záznamy o všech událostech a spouštějí mechanismy alarmů, které vyžadují odezvu správce.
			Milkyway Networks Corporation	Nepoužívá mechanismus filtrování paketů. Princip fungování: co není výslovně povoleno, je zakázáno. Registruje všechny akce serveru a varuje před možným porušením. Lze použít jako obousměrnou bránu.
Server brány firewall BorderWare	Brána pro screening na aplikační úrovni	UNIX, Windows, DOS	Secure Computing Corporation	Bezpečnostní software, který zajišťuje provoz pod kontrolou OS (vlastní vývoj). Umožňuje zaznamenávat adresy, časy, pokusy, použitý protokol.
ALF (filtr aplikační vrstvy)	Brána pro screening na aplikační úrovni			Dokáže filtrovat IP pakety podle adres, rozsahů portů, protokolů a rozhraní. Došlý balíček lze zmeškat, odstranit nebo poslat na jeho adresu.
Služba ANS InterLock	Brána pro screening na aplikační úrovni		Systémy ANS CO+RE	Používá zprostředkující programy pro služby Telnet, FTR, HTTR. Podporuje šifrování spojení typu point-to-point a jako prostředek ověřování lze použít hardware.
	Integrovaná obrazovka	SunOS, BSDI na Intel, IRIX na INDY a Challenge		Pro analýzu používá čas, datum, adresu, port atd. Zahrnuje middleware aplikační vrstvy pro Telnet, FTR, SMTP, X11, HTTP, Gopher a další služby Podporuje většinu hardwarových autentizačních balíčků.
	Brána pro screening na aplikační úrovni	SunOS, BSDI, Solaris, HP-UX, AIX		Uzavřená síť je zvenčí vnímána jako jediný hostitel. Má zprostředkující programy pro služby: e-mail, protokol FTR atd. Registruje všechny akce serveru a varuje před porušením.
	Brána pro screening na aplikační úrovni		Sterling Software	je softwarový produkt, poskytující ochranu informací před neoprávněným přístupem při připojení uzavřené a otevřené sítě. Umožňuje zaznamenávat všechny akce serveru a varovat před možným porušením.
CyberGuard Firewall	Obousměrná end-to-end brána (host-to-bastion jako filtr, brána na úrovni aplikace nebo end-to-end obrazovka)	Platforma RISC, OS UNIX	Harris Computer Systems Corporation	Použitý komplexní řešení, včetně bezpečnostních mechanismů OS UNIX a integrovaných síťových nástrojů určených pro počítače RISC. Pro analýzu se používá zdrojová adresa, cílová adresa atd.
Digitální brána firewall pro UNIX	Integrovaná obrazovka		Digital Equipment Corporation	Předinstalované na systémech Digital Alpha a poskytující funkce stínícího filtru a aplikační brány.
Eagle Enterprise	Brána pro screening na aplikační úrovni	Implementace technologie Virtuální privát vytváření sítí		Zahrnuje zprostředkující programy na aplikační úrovni pro služby FTR, HTTP a Telnet. Registruje všechny akce serveru a varuje před porušením.
Firewall IRX router	Stínící router			Umožňuje analyzovat síť za účelem optimalizace síťového provozu, bezpečného propojení místní sítě se vzdálenými sítěmi založenými na otevřených sítích.
	Komplexní firewall	Intel x86, Sun Sparc atd.		Poskytuje ochranu před útoky hackerů, jako je podvržení adres (padělání adres paketů) a představuje kombinaci nástrojů ochrany na úrovni sítě a aplikací.
Firewall-1/VPN-1	Komplexní firewall	Intel x86, Sun Sparc atd.	Technologie Check Point Software	Představuje otevřené rozhraní Aplikace OPSEC API. Zajišťuje: - identifikaci počítačových virů; - skenování URL; - blokování Javy a ActiveX; - Podpora protokolu SMTP; - filtrování HTTP; - Zpracování protokolu FTP
TIS Firewall Toolkit	Sada programů pro vytváření a správu firewallových systémů		Důvěryhodné informační systémy	Všechny moduly jsou distribuovány ve zdrojovém kódu a jsou napsány v jazyce C. Sada je určena pro zkušené programátory.
Gauntlet Internet Firewall	Brána pro screening na aplikační úrovni	UNIX, zabezpečené BSD	Důvěryhodné informační systémy	Podporuje služby: e-mail, webová služba, terminálové služby atd. Vlastnosti: šifrování na úrovni sítě, ochrana proti útokům hackerů, jako je podvržení adresy, ochrana proti pokusům o změnu směrování.
	Víceprotokolový firewall	Různé hardwarové platformy	Software a technologie Network-1	Řízení je implementováno na úrovni rámce, paketu, kanálu a aplikace (pro každý protokol). Umožňuje pracovat s více než 390 protokoly, umožňuje popsat případné podmínky filtrování pro následnou práci.
Zastava-Jet	Komplexní firewall	SPARC, Solaris, UNIX		Implementuje bezpečnostní politiku: všechna data, která nemají výslovné oprávnění, jsou vyřazena.

Firewall sám o sobě není všelékem na všechny síťové hrozby. Zejména on:

nechrání síťové uzly před pronikáním zadními vrátky nebo zranitelností softwaru;

neposkytuje ochranu proti mnoha interním hrozbám, především únikům dat;

nechrání před stahováním uživatele malware včetně virů;

K vyřešení posledních dvou problémů se používají vhodné doplňkové nástroje, zejména antiviry. Obvykle se připojují k firewallu a procházejí odpovídající částí síťového provozu, přičemž fungují jako proxy transparentní pro ostatní síťové uzly, nebo dostávají kopii všech přenášených dat z firewallu. Taková analýza však vyžaduje značné hardwarové zdroje, takže se obvykle provádí nezávisle na každém síťovém uzlu.