Operadores wifi.

Operadores wifi.

\\ 06.04.2012 17:16

Hogar

Un firewall es un conjunto de tareas para evitar el acceso no autorizado, daño o robo de datos, u otros impactos negativos que puedan afectar el rendimiento de la red. Cortafuegos, también llamado cortafuegos (del inglés Firewall) o firewall en la puerta de enlace le permite proporcionar acceso seguro usuarios a Internet, al mismo tiempo que protege las conexiones remotas a los recursos internos. Cortafuegos

examina todo el tráfico que pasa entre segmentos de la red y, para cada paquete, toma una decisión: pasar o no pasar. Un sistema flexible de reglas de firewall le permite denegar o permitir conexiones en función de numerosos parámetros: direcciones, redes, protocolos y puertos.


Métodos para monitorear el tráfico entre redes locales y externas.

Filtrado de paquetes. Dependiendo de si el paquete entrante cumple las condiciones especificadas en los filtros, se pasa a la red o se descarta. Inspección de estado. En este caso, se inspecciona el tráfico entrante, uno de los métodos más avanzados para implementar un firewall. Una inspección significa un análisis no del paquete completo, sino sólo de su parte clave especial y una comparación con valores conocidos

de la base de datos de recursos permitidos. Este método proporciona el mayor rendimiento del Firewall y los retrasos más bajos. Servidor proxy.B en este caso

usuarios a Internet, al mismo tiempo que protege las conexiones remotas a los recursos internos. Se instala un dispositivo adicional, un servidor proxy, entre las redes local y externa, que sirve como una "puerta" a través de la cual debe pasar todo el tráfico entrante y saliente.

le permite configurar filtros que se encargan de pasar el tráfico por: Dirección IP. Al especificar una dirección o cierto rango

- puede prohibir la recepción de paquetes de ellos o, por el contrario, permitir el acceso solo desde estas direcciones IP.

Protocolo. El firewall se puede configurar para permitir el paso de datos de un solo protocolo o para denegar el acceso a través de él. En la mayoría de los casos, el tipo de protocolo puede indicar las tareas realizadas, la aplicación que utiliza y el conjunto de parámetros de seguridad. En este sentido, el acceso se puede configurar solo para operar una aplicación específica y evitar el acceso potencialmente peligroso utilizando todos los demás protocolos.

Nombre de dominio. En este caso, el filtro niega o permite conexiones a recursos específicos. Esto le permite denegar el acceso desde servicios no deseados y las aplicaciones de red, o viceversa, permiten el acceso sólo a ellos.

También se pueden utilizar para personalización otros parámetros de filtros que son específicos de una aplicación determinada. red específica, en función de las tareas que en él se realicen.

Muy a menudo, un firewall se utiliza junto con otras herramientas de seguridad, por ejemplo, software antivirus.

Cómo funciona un cortafuegos

Cortafuegos se puede hacer:

Hardware. En este caso, el enrutador, que se encuentra entre la computadora e Internet, actúa como un firewall de hardware. Se pueden conectar varias PC al firewall y todas estarán protegidas por el firewall, que forma parte del enrutador.

Programáticamente. El tipo más común de firewall, que es un software especializado que el usuario instala en su PC.

Incluso si se conecta un enrutador con un firewall incorporado, se puede instalar un software de firewall adicional en cada computadora individualmente. En este caso, será más difícil para un atacante penetrar en el sistema.

Documentos oficiales

En 1997, el documento rector de la Comisión Técnica Estatal bajo la presidencia de la Federación de Rusia "Medios tecnología informática. Cortafuegos. Protección contra el acceso no autorizado a la información. Indicadores de seguridad contra el acceso no autorizado a la información". Este documento establece cinco clases de seguridad de firewall, cada una de las cuales se caracteriza por un cierto conjunto mínimo de requisitos para la protección de la información.

En 1998, se desarrolló otro documento: "Requisitos temporales para dispositivos tipo firewall". este documento Se han establecido 5 clases de seguridad de firewall, que se utilizan para proteger la información en sistemas automatizados que contienen herramientas criptográficas.

Y desde 2011 entraron en vigor los requisitos legislativos para la certificación de cortafuegos. Por lo tanto, si los datos personales se procesan en una red empresarial, se requiere instalar un firewall certificado servicio federal sobre control de exportaciones (FSTEK).

EN últimamente Ha habido una tendencia a limitar la privacidad en Internet. Esto se debe a las restricciones que la regulación gubernamental de Internet impone al usuario. Regulación gubernamental Internet existe en muchos países (China, Rusia, Bielorrusia).

¡"Estafa de registro de nombres de dominio en Asia" en RuNet! Usted registró o compró un dominio y creó un sitio web en él. Con el paso de los años, el sitio se desarrolla y se vuelve popular. Ahora los ingresos obtenidos ya se han "goteado". Recibes tus ingresos, pagas el dominio, hosting y otros gastos...

red diseñada para bloquear todo el tráfico excepto los datos autorizados. Esto se diferencia de un enrutador, cuya función es entregar el tráfico a su destino lo más rápido posible.

Se cree que un enrutador también puede desempeñar el papel de firewall. Sin embargo, existe una diferencia fundamental entre estos dispositivos: un enrutador está diseñado para enrutar rápidamente el tráfico, no bloquearlo. usuarios a Internet, al mismo tiempo que protege las conexiones remotas a los recursos internos. es un dispositivo de seguridad que permite cierto tráfico desde el flujo de datos, y un enrutador es un dispositivo de red que se puede configurar para bloquear cierto tráfico.

Además, los cortafuegos suelen tener una amplia gama de configuraciones. El paso del tráfico en el firewall se puede configurar por servicios, direcciones IP del remitente y del destinatario, y por los ID de los usuarios que solicitan el servicio. Los cortafuegos permiten centralizar gestión de seguridad. En una configuración, el administrador puede configurar el tráfico entrante permitido para todos sistemas internos organizaciones. Esto no elimina la necesidad de actualizar y configurar sistemas, pero sí reduce la probabilidad de que uno o más sistemas estén mal configurados y los exponga a un ataque a un servicio mal configurado.

Definición de tipos de firewall

Hay dos tipos principales de cortafuegos: cortafuegos nivel de aplicación y cortafuegos con filtrado de paquetes. Se basan en principios operativos diferentes, pero cuando se configuran correctamente, ambos tipos de dispositivos brindan las funciones de seguridad correctas para bloquear el tráfico prohibido. Como verá en las siguientes secciones, el grado de protección que brindan estos dispositivos depende de cómo se aplican y configuran.

Cortafuegos de capa de aplicación

Los firewalls de capa de aplicación, o pantallas proxy, son paquetes de software basados ​​en sistemas operativos. sistemas propósito general (como Windows NT y Unix) o en plataformas de hardware de firewall. usuarios a Internet, al mismo tiempo que protege las conexiones remotas a los recursos internos. Dispone de varias interfaces, una para cada una de las redes a las que está conectado. Un conjunto de reglas de políticas determina cómo se transfiere el tráfico de una red a otra. Si la regla no permite explícitamente el paso del tráfico, cortafuegos rechaza o descarta paquetes.

Reglas de política de seguridad se mejoran mediante el uso de módulos de acceso. En un firewall de capa de aplicación, cada protocolo permitido debe tener su propio módulo de acceso. Los mejores módulos de acceso son aquellos que se crean específicamente para el protocolo que se está resolviendo. Por ejemplo, módulo acceso FTP está destinado al protocolo FTP y puede determinar si el tráfico que pasa cumple con este protocolo y si este tráfico está permitido por las reglas de la política de seguridad.

Cuando se utiliza un firewall de capa de aplicación, todas las conexiones pasan a través de él (consulte la Figura 10.1). Como se muestra en la figura, la conexión comienza en el sistema cliente y va a la interfaz interna del firewall. usuarios a Internet, al mismo tiempo que protege las conexiones remotas a los recursos internos. acepta la conexión, analiza el contenido del paquete y el protocolo utilizado, y determina si este trafico reglas de política de seguridad. Si es así, entonces cortafuegos inicia una nueva conexión entre su interfaz externa y el sistema del servidor.

Los firewalls de la capa de aplicación utilizan módulos de acceso entrante conexiones. Módulo el acceso en el firewall acepta conexión entrante y procesa comandos antes de enviar tráfico al destinatario. De este modo, cortafuegos Protege los sistemas de ataques basados ​​en aplicaciones.


Arroz. 10.1.

Nota

Esto supone que el módulo de acceso al firewall en sí no es vulnerable a ataques. Si software Si no se desarrolla cuidadosamente, puede ser una declaración falsa.

Ventaja adicional de la arquitectura. de este tipo es que hace muy difícil, si no imposible, "ocultar" el tráfico dentro de otros servicios. Por ejemplo, algunos programas de control del sistema como NetBus y

La red necesita protección contra amenazas externas. El robo de datos, el acceso no autorizado y los daños pueden afectar las operaciones de la red y provocar pérdidas graves. Utilice programas y dispositivos especiales para protegerse de influencias destructivas. En esta revisión hablaremos sobre el firewall y veremos sus tipos principales.

Propósito de los cortafuegos

Los cortafuegos (Firewalls) o cortafuegos son medidas de hardware y software para evitar impactos negativos desde afuera. Un firewall funciona como un filtro: de todo el flujo de tráfico, sólo se filtra el tráfico permitido. Esta es la primera línea de defensa entre las redes internas y las externas, como Internet. La tecnología se ha utilizado durante 25 años.

La necesidad de cortafuegos surgió cuando quedó claro que el principio de conectividad de red completa ya no funcionaba. Las computadoras comenzaron a aparecer no solo en universidades y laboratorios. Con la expansión de las PC e Internet, se hizo necesario separar las redes internas de las externas inseguras para protegerse de los intrusos y proteger su computadora de la piratería.

Para proteger la red corporativa, se instala un firewall de hardware; esto puede ser dispositivo separado o parte de un enrutador. Sin embargo, esta práctica no siempre se aplica. Una forma alternativa es instalar un software de firewall en la computadora que necesita protección. Un ejemplo es el firewall integrado en Windows.

Tiene sentido utilizar un software de firewall en una computadora portátil de la empresa que utiliza en una red empresarial segura. Fuera de los muros de la organización te encuentras en un entorno desprotegido. cortafuegos instalado Lo protegerá en viajes de negocios, cuando trabaje en cafeterías y restaurantes.

como funciona cortafuegos

El filtrado del tráfico se produce en función de reglas de seguridad preestablecidas. Para ello, se crea una tabla especial donde se ingresa una descripción de los datos que son aceptables e inaceptables para la transmisión. El firewall no permite el tráfico si se activa una de las reglas de bloqueo de la tabla.

Los cortafuegos pueden denegar o permitir el acceso según diferentes parámetros: Direcciones IP, nombres de dominio, protocolos y números de puerto, y también combinarlos.

  • Direcciones IP. Cada dispositivo que utiliza el protocolo IP tiene dirección única. puedes preguntar dirección específica o rango para detener los intentos de recibir paquetes. O viceversa: dé acceso solo a un determinado círculo de direcciones IP.
  • Puertos. Estos son los puntos que dan acceso a las aplicaciones a la infraestructura de red. Por ejemplo, el protocolo ftp utiliza el puerto 21 y el puerto 80 está destinado a aplicaciones utilizadas para navegar por sitios web. Esto nos da la capacidad de impedir el acceso a determinadas aplicaciones y servicios.
  • Nombre de dominio. La dirección del recurso de Internet también es un parámetro de filtrado. Puede bloquear el tráfico de uno o más sitios. El usuario estará protegido de contenido inapropiado y la red de efectos nocivos.
  • Protocolo. El firewall está configurado para permitir el tráfico de un protocolo o bloquear el acceso a uno de ellos. El tipo de protocolo indica el conjunto de parámetros de seguridad y la tarea que realiza la aplicación que utiliza.

Tipos de UIT

1. Servidor proxy

Uno de los fundadores de la UIT, que actúa como puerta de entrada para aplicaciones entre redes internas y externas. Los servidores proxy también tienen otras funciones, incluida la protección de datos y el almacenamiento en caché. Además, no permiten conexiones directas desde fuera de los límites de la red. El uso de funciones adicionales puede ejercer una presión excesiva sobre el rendimiento y reducir el rendimiento.

2. Firewall con monitoreo del estado de la sesión

Las pantallas con capacidad de monitorizar el estado de las sesiones son ya una tecnología consolidada. La decisión de aceptar o bloquear datos está influenciada por el estado, el puerto y el protocolo. Estas versiones monitorean toda la actividad inmediatamente después de que se abre la conexión hasta que se cierra. El sistema decide si bloquear el tráfico o no, según las reglas y el contexto establecidos por el administrador. En el segundo caso, se tienen en cuenta los datos que la UIT proporcionó de conexiones pasadas.

3. Gestión unificada de amenazas (UTM) de la UIT

Dispositivo complejo. Como regla general, un firewall de este tipo resuelve 3 problemas:

  • monitorea el estado de la sesión;
  • previene intrusiones;
  • realiza un análisis antivirus.

En ocasiones, los firewalls actualizados a la versión UTM incluyen otras funciones, por ejemplo: gestión de la nube.

4. Cortafuegos de próxima generación (NGFW)

Respuesta amenazas modernas. Los atacantes desarrollan constantemente tecnologías de ataque, encuentran nuevas vulnerabilidades y mejoran malware y hacer que sea más difícil repeler ataques a nivel de aplicación. Un firewall de este tipo no solo filtra paquetes y monitorea el estado de las sesiones. Es útil para mantener la seguridad de la información debido a las siguientes características:

  • teniendo en cuenta las características de la aplicación, lo que permite identificar y neutralizar programas maliciosos;
  • defensa contra ataques continuos de sistemas infectados;
  • una base de datos actualizada que contiene descripciones de aplicaciones y amenazas;
  • Monitorear el tráfico cifrado mediante el protocolo SSL.

5. Firewall de nueva generación con protección activa contra amenazas

Este tipo de firewall es una versión mejorada de NGFW. Este dispositivo ayuda a proteger contra amenazas avanzadas. La funcionalidad adicional puede:

  • considerar el contexto e identificar los recursos que están en mayor riesgo;
  • repeler rápidamente los ataques mediante la automatización de la seguridad, que gestiona la protección y establece políticas de forma independiente;
  • identificar actividades que distraigan o sospechosas mediante el uso de correlación de eventos en la red y en las computadoras;

Esta versión del firewall NGFW introduce políticas unificadas que simplifican enormemente la administración.

Desventajas de la UIT

Los firewalls protegen la red de intrusos. Sin embargo, debes tomarte en serio su configuración. Tenga cuidado: si comete un error al configurar los parámetros de acceso, causará daños y el firewall detendrá el tráfico necesario e innecesario y la red quedará inoperable.

El uso de un firewall puede provocar una disminución en el rendimiento de la red. Recuerde que interceptan todo el tráfico entrante para su inspección. Con redes de gran tamaño, existe un deseo excesivo de brindar seguridad e introducción. más Las reglas harán que la red funcione lentamente.

A menudo, un firewall por sí solo no es suficiente para proteger completamente una red de amenazas externas. Por tanto, se utiliza junto con otros programas, como los antivirus.

Los cortafuegos son especiales complejos protectores programas (firewalls) que impiden la entrada de programas maliciosos no autorizados y también crean una barrera tanto para una computadora individual como para toda la red local. Debido a su objetivo principal: no permitir el paso de paquetes sospechosos, dichos programas han recibido otro nombre. - filtros. Hoy en día, los fabricantes más famosos de firewalls de seguridad son los siguientes: ZyXEL, Firewall, TrustPort Total Protection, ZoneAlarm, D-Link, Secure Computing, Watchguard Technologies.

Configurar cortafuegos

Los firewalls se configuran manualmente, lo que brinda la posibilidad de configurar una protección detallada. Una de las características más importantes es la configuración de un antivirus directamente en el puerto USB. Habiendo especificado la configuración necesaria, puede utilizar dicho programa para crear software. control total encima de la entrada y salida en la red local y en cada dispositivo electrónico de su composición.

habiendo logrado ajuste manual pantalla protectora en una de las computadoras de la red, puede transferir rápidamente configuraciones listas para usar a otras unidades de la red. Además, el funcionamiento sincrónico está garantizado incluso con una conexión de red inalámbrica. Ejercicio parámetros requeridos El firewall tarda algún tiempo en funcionar, pero si lo descuidas, las restricciones de protección pueden bloquear algunos servicios necesarios para el funcionamiento.

Funciones adicionales de filtro de red

Hay firewalls que se pueden configurar para protección adicional servicios individuales y aplicaciones. Por ejemplo, para evitar el hackeo de “controles parentales” o instalar “antispam”. La configuración del acceso a Internet y los derechos de funcionamiento en una red local cerrada para cada programa y aplicación se puede determinar por separado. Un firewall le permite controlar el acceso a los sitios, puede monitorear el escaneo de puertas de enlace y filtrar el contenido web. También es capaz de bloquear el acceso desde direcciones IP sospechosas y notificar ataques o intentos de sondeo.

Especies cortafuegos

Los cortafuegos se dividen en siguientes tipos:

Un firewall tradicional que proporciona filtrado de acceso para enviar y recibir paquetes;

Firewall de sesión que rastrea sesiones individuales entre aplicaciones instaladas, que garantiza el bloqueo oportuno del acceso a paquetes no certificados, que generalmente se utilizan para piratear, escanear datos confidenciales, etc.;

Firewall analítico que realiza filtrado basado en el análisis de la información de los paquetes internos con posterior bloqueo de los troyanos identificados;

Un firewall de hardware equipado con un acelerador incorporado que le permite implementar simultáneamente prevención de intrusiones (IPS), escaneo antivirus, prevención de usuarios dentro de una red privada y anonimato de VPN, así como realizar el rendimiento del firewall de manera más eficiente.

Precauciones

Para garantizar una seguridad confiable y de alta calidad contra intrusiones no autorizadas y piratería, es necesario instalar únicamente un firewall certificado en los nodos de la red. EN momento presente Los actos legislativos de la Federación de Rusia prevén la certificación por parte de FSTEC, Gazpromsert y FSB. Por ejemplo, certifica que este filtro firewall cumple con todos los requisitos establecidos en la primera parte del documento de la Comisión Técnica Estatal de Rusia. Y los certificados del FSB muestran que el sistema de programas de protección cumple con el Gosstandart ruso en cuanto a los requisitos para garantizar la seguridad y confidencialidad de la información.

16.09.1999

Tipos de firewalls y tecnologías utilizadas en ellos. Si vis pacem, para bellum (Si quieres la paz, prepárate para la guerra). Konstantin Pyanzin Gracias a su

arquitectura abierta

Internet se ha convertido en uno de los medios de comunicación más convenientes.

Tipos de firewalls y tecnologías utilizadas en ellos.

Si vis pacem, para bellum

(Si quieres la paz, prepárate para la guerra).

Konstantin Pyanzin

  • Gracias a su arquitectura abierta, Internet se ha convertido en uno de los medios de comunicación más convenientes. Al mismo tiempo, la apertura de Internet ha dado lugar a muchos problemas de seguridad. Aquí no podría encajar mejor el dicho: “Cada uno es para sí, sólo Dios es para todos”. Cualquier computadora conectada a Internet debe considerarse un objetivo potencial de ataque. El problema es especialmente grave en el caso de las organizaciones, ya que necesitan controlar el funcionamiento de una gran cantidad de ordenadores y dispositivos de red en Internet.
  • La seguridad al conectarse a Internet se garantiza mediante las siguientes herramientas especializadas:
  • cortafuegos;
  • escáneres de red diseñados para encontrar fallas y áreas potencialmente peligrosas dentro de las redes;
  • rastreadores o analizadores de protocolos que le permiten monitorear el tráfico entrante y saliente; medios para registrar eventos en redes; herramientas para construir redes privadas virtuales y organizar

canales cerrados intercambio de datos. Internet está ocupada por firewalls (a menudo llamados firewalls o, en inglés, firewall). Según el Documento Orientativo. Cortafuegos" de la Comisión Técnica Estatal del Presidente de la Federación de Rusia "un cortafuegos es una herramienta local (de un solo componente) o funcionalmente distribuida (compleja) que controla la información que entra y/o sale de un sistema automatizado y garantiza la protección de el sistema automatizado filtrando información, es decir, análisis basado en un conjunto de criterios y tomando una decisión sobre su distribución en (desde) un sistema automatizado”. Lamentablemente, esta definición es demasiado general e implica una interpretación demasiado amplia.

En el lenguaje común, los firewalls (cortafuegos) se refieren a medidas de seguridad instaladas entre una red pública (como Internet) y una red interna. El firewall cumple una doble función. En primer lugar, está diseñado para limitar el acceso a la red interna desde la red pública mediante el uso de filtros y herramientas de autenticación para que los atacantes no puedan obtener acceso no autorizado a la información ni interrumpir las operaciones normales. infraestructura de red. En segundo lugar, ME sirve para controlar y regular el acceso de los usuarios. red interna a los recursos de la red pública cuando representan una amenaza a la seguridad o distraen a los empleados del trabajo (servidores pornográficos, de juegos, deportivos).

Sin embargo, ahora también se instalan firewalls dentro de las redes corporativas para limitar el acceso de los usuarios a recursos de red particularmente importantes, por ejemplo a servidores que contienen información financiera o información relacionada con secreto comercial. También existen firewalls personales diseñados para regular el acceso a computadoras individuales e instalados en esas computadoras.

Los cortafuegos se utilizan comprensiblemente para redes TCP/IP y se clasifican según el nivel del modelo de referencia de interoperabilidad. sistemas abiertos(modelo de red) OSI. Sin embargo, debido a una serie de circunstancias, dicha clasificación es bastante condicional. En primer lugar, el modelo de red de redes TCP/IP proporciona sólo 5 capas (física, interfaz, red, transporte y aplicación), mientras que modelo OSI- 7 niveles (físico, canal, red, transporte, sesión, presentación y aplicación). Por tanto, no siempre es posible establecer una correspondencia uno a uno entre estos modelos. En segundo lugar, la mayoría de los cortafuegos fabricados permiten trabajar en varios niveles de la jerarquía OSI a la vez. En tercer lugar, algunas pantallas funcionan en un modo que es difícil de correlacionar con cualquier nivel de jerarquía estrictamente definido.

Sin embargo, el nivel soportado modelo de red OSI es la característica principal a la hora de clasificar los cortafuegos. Se distinguen los siguientes tipos de cortafuegos:

  • conmutadores gestionados (capa de enlace);
  • filtros de red (nivel de red);
  • puertas de enlace a nivel de sesión (proxy a nivel de circuito);
  • intermediarios de la capa de aplicación;
  • inspección de estado, que son firewalls a nivel de sesión con capacidades avanzadas.

También existe el concepto de "firewall de nivel experto". Estos cortafuegos suelen basarse en intermediarios a nivel de aplicación o inspectores estatales, pero necesariamente están equipados con puertas de enlace a nivel de sesión y filtros de red. Los cortafuegos expertos incluyen casi todos los cortafuegos comerciales del mercado.

Los cortafuegos pueden basarse en uno de dos principios mutuamente excluyentes para procesar paquetes de datos entrantes. El primer principio establece: “Lo que no está expresamente prohibido está permitido”. Es decir, si el ME recibió un paquete que no cae dentro de una de las restricciones aceptadas o no está identificado por las reglas de procesamiento, entonces se transmite más. El principio opuesto: “Lo que claramente no está permitido, está prohibido” garantiza una seguridad mucho mayor, pero supone una carga adicional para el administrador. En este caso, la red interna es inicialmente completamente inaccesible y el administrador establece manualmente las direcciones de red, protocolos, servicios y operaciones permitidas al comunicarse con la red pública.

Las reglas para procesar información en muchos firewalls de clase experta pueden tener una estructura jerárquica de varios niveles. Por ejemplo, pueden permitirle configurar el siguiente esquema: “Todas las computadoras de la red local son inaccesibles desde el exterior, con la excepción del acceso al servidor A a través del protocolo ftp y al servidor B a través del protocolo telnet, pero el acceso a El servidor A con la operación PUT del servicio ftp está prohibido”.

Los firewalls pueden realizar una de dos operaciones en los paquetes de datos entrantes: permitir que el paquete pase (permitir) o descartar el paquete (denegar). Algunos firewalls tienen otra operación: rechazar, en la que el paquete se descarta, pero se informa al remitente a través del protocolo ICMP que el servicio no está disponible en la computadora del destinatario. Por el contrario, durante la operación de denegación, no se informa al remitente que el servicio no está disponible, lo que es más seguro.

A continuación veremos con más detalle las ventajas y desventajas de cada tipo de firewall.

INTERRUPTORES

Los conmutadores de gama media y alta de Cisco, Bay Networks (Nortel), 3Com y otros fabricantes le permiten vincular direcciones MAC de tarjetas de red de computadoras a ciertos puertos cambiar. Además, muchos conmutadores ofrecen la capacidad de filtrar información según la dirección de la tarjeta de red del remitente o del destinatario, creando así redes virtuales (VLAN). Otros conmutadores le permiten organizar las VLAN en el nivel de puerto del propio conmutador. De esta manera, el conmutador puede actuar como un cortafuegos de enlace de datos.

Cabe señalar que la mayoría de los expertos en seguridad sistemas de información Los conmutadores rara vez se clasifican como firewalls. La razón principal de esta relación es que el área de filtrado del conmutador se extiende hasta el enrutador más cercano y, por lo tanto, no es adecuado para regular el acceso desde Internet.

Además, generalmente no es difícil falsificar la dirección de una tarjeta de red (muchas tarjetas Ethernet le permiten cambiar o agregar direcciones de capa de enlace mediante programación) y este enfoque de seguridad es extremadamente poco confiable. Es cierto que organizar redes virtuales a nivel de puerto del conmutador es más confiable, pero, nuevamente, está limitado por la red local.

Sin embargo, si se sigue la interpretación literal del "Documento Guía" de la Comisión Técnica Estatal, los conmutadores con la capacidad de crear VLAN son firewalls.

FILTROS DE POTENCIA

Los filtros de red operan en el nivel de red de la jerarquía OSI (consulte la Figura 1). Un filtro de red es un enrutador que procesa paquetes en función de la información contenida en los encabezados de los paquetes. Existen filtros de red para redes TCP/IP e IPX/SPX, pero estos últimos se utilizan en redes locales, por lo que no los consideraremos.

Al procesar paquetes tienen en cuenta siguiente información:

  • Dirección IP del remitente;
  • Dirección IP del destinatario;
  • protocolo (TCP, UDP, ICMP);
  • número de puerto del software del remitente;
  • número de puerto del software del receptor.

Basándose en esta información, el administrador establece reglas según las cuales los paquetes pasarán a través del filtro o serán descartados por este. Por ejemplo, un filtro de red le permite implementar el siguiente esquema de intercambio de datos entre computadoras en una red corporativa e Internet:

  1. todas las computadoras de la red corporativa tienen la capacidad de comunicarse con servidores web y ftp externos, pero no con telnet, NNTP, etc.;
  2. el acceso externo está prohibido a todas las computadoras de la red corporativa, excepto el acceso al servidor A vía HTTP y al servidor B vía ftp; Además, la computadora externa Z puede acceder al servidor interno C y a cualquier servicios TCP y UDP, pero no ICMP.

Los filtros de red son muy fáciles de implementar, por lo que se han generalizado y están representados en implementaciones de hardware-software y puramente software. En particular, enrutadores cisco, Bay Networks (una división de Nortel) y otros fabricantes están equipados con funciones de filtrado de red, por lo que dichos enrutadores se denominan enrutadores de filtrado. La lista de filtros de red de software es aún más impresionante y la mayoría de ellos son gratuitos o utilidades shareware. Se implementan para muchas plataformas de red, incluidas UNIX, Windows NT, NetWare, VMS, MVS.

Lamentablemente, la desventaja de la facilidad de implementación y el bajo precio de los filtros de red es la complejidad de su administración y la escasa protección contra ataques.

Los filtros de red utilizan principalmente filtrado estático, donde el administrador tiene que crear un filtro para cada tipo único de paquete que debe procesarse. Expliquemos esto con un ejemplo. Digamos que a todas las computadoras se les niega el acceso a Internet de forma predeterminada. Sin embargo, la computadora Z (dirección IP 123.45.67.89) necesita acceso al servidor externo A (dirección IP 211.111.111.111), que proporciona el servicio telnet. En este caso, el administrador debe establecer dos reglas:

  1. omita el paquete si se transmite desde la interfaz de red de la red interna a interfaz de red red externa y tiene los siguientes parámetros: dirección IP del remitente 123.45.67.89, dirección IP del destinatario 211.111.111.111, protocolo de transporte nivel tcp, el puerto de software del remitente es mayor que 6000, el puerto de software del receptor es 23;
  2. omita el paquete si se transmite desde la interfaz de red de la red externa a la interfaz de red de la red interna y tiene los siguientes parámetros: dirección IP del remitente 211.111.111.111, dirección IP del destinatario 123.45.67.89, protocolo de capa de transporte TCP, software del remitente puerto 23, puerto de software del destinatario superior a 6000.

Así, para cada canal de intercambio de datos es necesario establecer dos reglas (filtros); En el caso de conexiones multicanal (por ejemplo, para el servicio FTP), el número de reglas aumenta en consecuencia. Para una red grande, la lista de reglas alcanza un tamaño impresionante, en el que es fácil que un administrador se confunda. Es cierto que los filtros de red generalmente le permiten combinar reglas para un subconjunto de computadoras basadas en subredes IP.

Debido a que el filtro de red escanea la tabla de reglas en orden secuencial a medida que se recibe cada paquete, cada nueva regla reduce rendimiento general enrutador.

Varios fabricantes (en particular, Novell en la utilidad FILTCFG.NLM) proporcionan filtrado y filtrado dinámico o contextual (con estado) de fragmentos de paquetes IP, pero en términos de características es más probable que pertenezcan a la categoría de sesión- puertas de enlace de nivel y, por lo tanto, se analizarán más adelante.

Otro problema, especialmente para los filtros de red gratuitos, es la imposibilidad de crear una estructura de reglas jerárquica. Por ejemplo, en el caso del principio "lo que no está explícitamente permitido está prohibido", el filtro primero revisa la lista de excepciones, y si el paquete no se ajusta a más de una excepción, entonces, de acuerdo con el principio especificado, el paquete es eliminado. Si el paquete cumple con al menos una excepción, se transmite. Sin embargo, imagine esta situación: la red está cerrada al acceso externo, pero un servidor debe ser accesible al mundo exterior a través del protocolo ftp. Todo esto se puede organizar perfectamente mediante un filtro de red, con la excepción de un pequeño pero muy desagradable detalle: el acceso al servidor a través de ftp no se puede bloquear. restricciones adicionales. Por ejemplo, en este caso es imposible denegar el acceso desde el ordenador Z, que utiliza el atacante. Además, un pirata informático puede transmitir paquetes al servidor con una dirección de remitente correspondiente a la dirección de una computadora en la red interna (el tipo más peligroso de suplantación de paquetes IP). Y el filtro de red dejará pasar ese paquete. para evitar problemas similares, los administradores se ven obligados a instalar dos filtros conectados secuencialmente para implementar así reglas de filtrado jerárquico.

Los filtros contra sobretensiones tienen una serie de desventajas fundamentales. En primer lugar, la autenticación (o más precisamente, la identificación) del remitente se realiza únicamente a partir de la dirección IP. Sin embargo, al utilizar la suplantación de IP, un atacante puede superar dicha barrera sin mucho esfuerzo. Además, una persona que no tenga derecho a trabajar con el servidor puede, en principio, sentarse frente a un ordenador autorizado. La autenticación basada en nombre de usuario y contraseña es mucho más segura, pero no es posible utilizarla en filtros de red.

El filtro de red no puede monitorear el funcionamiento de las aplicaciones de red y, en general, no controla el contenido de los paquetes de capa de transporte, sesión y aplicación. Por lo tanto, la presencia de un filtro de red no protegerá la red corporativa de ataques como la inundación SYN (consulte la barra lateral), de ataques relacionados con la fragmentación de paquetes y de intrusiones a través de servicios a nivel de aplicación.

La principal ventaja (además del precio y la facilidad de implementación) de los filtros de red es su rendimiento alto, mucho más alto que el de los firewalls de capa de sesión y aplicación. A pesar de sus graves deficiencias, un protector contra sobretensiones es una parte integral de cualquier firewall de nivel experto. Sin embargo, es sólo uno de sus componentes, ya que funciona en conjunto con una puerta de enlace en un nivel superior de la jerarquía OSI. En este diseño, el filtro de red impide la comunicación directa entre las redes interna y externa (excepto para computadoras predefinidas). Todo el filtrado básico, pero en niveles OSI superiores, lo organiza una puerta de enlace del nivel correspondiente o un inspector estatal.

PASARELAS A NIVEL DE SESIÓN

Las puertas de enlace a nivel de sesión, como su nombre indica, operan en el nivel de sesión de la jerarquía OSI. Sin embargo, en el modelo de red TCP/IP no existe ninguna capa que corresponda únicamente a la sesión. nivel OSI. Por lo tanto, las puertas de enlace a nivel de sesión incluyen filtros que no se pueden identificar ni con las capas de red, de transporte ni de aplicación.

Los filtros de nivel de sesión tienen varias variedades dependiendo de sus características funcionales, pero esta clasificación es bastante arbitraria, ya que sus capacidades se superponen en gran medida. Debe recordarse que los firewalls incluyen todos o la mayoría de los tipos de puertas de enlace de capa de sesión.

FILTROS PARA SEGUIMIENTO DEL ESTADO DEL CANAL DE COMUNICACIÓN

Los filtros para monitorear el estado de un canal de comunicación a menudo incluyen filtros de red (nivel de red) con capacidades avanzadas.

Filtrado dinámico en filtros de red. A diferencia del filtrado estático estándar en los filtros de red, el filtrado dinámico (con estado) le permite asignar solo una regla a cada canal de comunicación en lugar de varias reglas de filtrado. En este caso, el propio filtro dinámico monitorea la secuencia de intercambios de paquetes de datos entre el cliente y el servidor, incluidas las direcciones IP, el protocolo de la capa de transporte, los números de puerto del remitente y del destinatario y, a veces, los números de secuencia de los paquetes. Está claro que dicho filtrado requiere RAM. En términos de rendimiento, un filtro dinámico es algo inferior a un filtro estático.

Filtrar paquetes fragmentados. Cuando se transmiten a través de redes con diferentes MTU, los paquetes IP se pueden dividir en fragmentos separados, y solo el primer fragmento siempre contiene el encabezado completo del paquete de la capa de transporte, incluida la información del puerto de software. Los filtros de red convencionales no pueden verificar fragmentos distintos del primero y dejarlos pasar (si se cumplen los criterios para las direcciones IP y el protocolo utilizado). Debido a esto, los atacantes pueden organizar peligrosos ataques de denegación de servicio generando deliberadamente gran número fragmentos y bloqueando así el funcionamiento del ordenador que recibe los paquetes. El filtro de paquetes fragmentados no permite el paso de fragmentos si el primero no logra registrarse.

Control de bits SYN y ACK. Varios filtros le permiten monitorear los bits SYN y ACK en paquetes TCP. Todos ellos están diseñados para combatir ataques de inundación SYN (ver barra lateral), pero utilizan enfoques diferentes. El filtro más simple prohíbe la transmisión de paquetes TCP con el bit SYN, pero sin el bit ACK, desde la red pública a ordenadores de la red interna, a menos que estos últimos hayan sido declarados explícitamente servidores para la red externa (o al menos para una red específica). grupo de computadoras en la red externa). Desafortunadamente, un filtro de este tipo no ayuda con los ataques de inundación SYN en máquinas que son servidores de la red externa, pero que se encuentran en la red interna.

Para estos fines, se utilizan filtros especializados con un orden de múltiples etapas para establecer conexiones. Por ejemplo, el filtro SYNDefender Gateway del firewall FireWall-1 de Check Point funciona de la siguiente manera. digamos computadora externa Z intenta establecer una conexión con el servidor interno A a través del firewall del Firewall. El procedimiento de establecimiento de conexión se muestra en la Figura 2. Cuando el firewall recibe un paquete SYN de la computadora Z (paso 1), este paquete se transmite al servidor A (paso 2). En respuesta, el servidor A envía un paquete SYN/ACK a la computadora Z, pero el firewall lo intercepta (paso 3). A continuación, el ME reenvía el paquete recibido al ordenador Z; además, el ME, en nombre del ordenador Z, envía un paquete ACK al servidor A (paso 4). Debido a la rápida respuesta del servidor A, la memoria del servidor asignada para establecer nuevas conexiones nunca estará llena y el ataque de inundación SYN no funcionará.

Lo que suceda a continuación depende de si la computadora Z realmente ha iniciado una conexión con el servidor A. Si es así, la computadora Z enviará un paquete ACK al servidor A, que pasa a través del firewall (paso 5a). El servidor A ignorará el segundo paquete ACK. Luego, el firewall pasará paquetes libremente entre las computadoras A y Z. Si el firewall no recibe un paquete ACK o expira el tiempo de espera para establecer una conexión, enviará un paquete RST al servidor A, cancelando la conexión (paso 5b).

El filtro SYNDefender Relay del mismo Check Point FireWall-1 funciona de forma un poco diferente. Antes de transmitir el paquete SYN al servidor A, el firewall primero establece una conexión con la computadora Z. El procedimiento de establecimiento de conexión para este caso se muestra en la Figura 3. Solo después de recibir el paquete ACK de la computadora Z el firewall inicia una conexión con el servidor A. (paso 3). Obviamente, después de establecer conexiones, el firewall se verá obligado a cambiar dinámicamente los valores de los campos de Número secuencial ( número de serie) y número de confirmación en todos los paquetes TCP enviados entre las computadoras A y Z, lo que reduce el rendimiento.

PASARELAS AMPLIAS DIRECCIONES O PROTOCOLOS DE RED

Quizás la puerta de enlace a nivel de sesión más famosa sea la puerta de enlace de traducción de direcciones de red (NAT). Cuando se utiliza una puerta de enlace NAT, la red interna tiene direcciones que son invisibles (e incluso no registradas) en la red pública. Cuando la computadora interna accede al exterior, la puerta de enlace intercepta la solicitud y actúa en nombre del cliente, utilizando su dirección IP externa (registrada). La puerta de enlace transmite la respuesta recibida a la computadora interna (después de sustituir direcciones internas computadora), actuando como enlace de transmisión. Esto le permite matar dos pájaros de un tiro: reducir drásticamente el número de direcciones IP registradas y controlar el flujo de información, es decir, asignar o denegar el acceso a Internet a computadoras individuales.

Las puertas de enlace NAT pueden funcionar en uno de cuatro modos: dinámico, estático, estático con selección dinámica de direcciones IP y combinado.

En modo dinámico, a veces llamado traducción de dirección de puerto (PAT), la puerta de enlace tiene una única dirección IP externa. Todas las llamadas a la red pública (Internet) desde los clientes de la red interna se realizan utilizando esta dirección externa, mientras que la puerta de enlace opera solo con puertos de interfaz externos, es decir, cuando un cliente llama, la puerta de enlace le asigna un puerto de software único. protocolo de transporte(UDP, TCP) para dirección IP externa. Una puerta de enlace NAT puede tener grupos de hasta 64.000 puertos TCP, 64.000 puertos UDP y 64.000 puertos ICMP (ICMP no utiliza el término "puerto", pero los desarrolladores de puertas de enlace lo utilizan para enfatizar el principio de traducción de paquetes), aunque algunas implementaciones la capacidad de los grupos puede ser mucho menor que estos valores; por ejemplo, en Novell BorderManager, cada grupo contiene 5000 puertos.

El modo dinámico está destinado a redes cuyas computadoras actúan exclusivamente como clientes de recursos de Internet.

En modo estático interfaz externa A la puerta de enlace se le asignan tantas direcciones IP registradas como ordenadores haya en la red interna. A cada computadora en la red interna se le asigna una dirección IP externa única de la puerta de enlace. Al intercambiar datos entre redes internas y públicas, la puerta de enlace traduce las direcciones IP internas a externas y viceversa. Se requiere el modo estático si las computadoras de la red interna funcionan como servidores de internet.

El modo estático con selección dinámica de direcciones IP es similar al modo estático, excepto que a las computadoras internas no se les asignan direcciones IP externas predefinidas (estáticamente), sino que se reservan dinámicamente de un grupo de direcciones IP externas.

Modo combinado significa uso simultáneo varios de los modos anteriores a la vez y está destinado a redes donde hay tanto clientes como servidores de Internet.

Además de las desventajas generales de las puertas de enlace a nivel de sesión (ver más abajo), las puertas de enlace NAT tienen su propio defecto específico: no admiten aplicaciones de red, cuyos paquetes de capa de aplicación contienen direcciones IP. La única excepción es el servicio ftp, para el cual la mayoría de las puertas de enlace NAT pueden controlar (y cambiar) las direcciones IP dentro de los paquetes de la capa de aplicación.

La segunda desventaja de las puertas de enlace NAT es que no admiten la autenticación a nivel de usuario, sino sólo a nivel de dirección IP, lo que las hace vulnerables a ataques de suplantación de IP. Además, las puertas de enlace NAT no pueden evitar ataques de denegación de servicio, en particular la inundación SYN, por lo que solo tiene sentido utilizarlas junto con otros tipos de puertas de enlace de capa de aplicación y/o sesión. Además de las puertas de enlace NAT, son bien conocidas las puertas de enlace IPX/IP, diseñadas para proporcionar acceso a Internet a ordenadores que operan en redes IPX/SPX. Cuando un cliente de red interna realiza una solicitud a un servidor de Internet, la puerta de enlace intercepta la solicitud y genera el paquete IP correspondiente en lugar del paquete IPX. Cuando llega una respuesta del servidor, la puerta de enlace no conversión inversa. Quizás este sea el tipo de puerta de enlace más confiable, ya que la red interna es fundamentalmente diferente en comparación con TCP/IP, entorno de software. Hasta el momento no se ha producido ni un solo caso de piratería de dicha infraestructura. Además, a diferencia de las puertas de enlace NAT, la autenticación en las puertas de enlace IPX/IP no sólo se lleva a cabo en el direcciones de red computadoras, sino también a nivel de usuario utilizando información de la base de datos NDS (para NetWare 4.x y 5.x) o BINDERY (para NetWare 3.x). Sin embargo, dicha autenticación sólo es posible cuando se accede desde la red interna a Internet, con la excepción del caso en que el cliente externo utiliza NetWare basado en TCP/IP.

INTERMEDIARIOS A NIVEL DE SESIÓN

Los agentes de la capa de sesión primero, como mínimo, registran al cliente antes de permitir que se establezcan conexiones TCP entre computadoras en las redes interna y externa. No importa de qué lado (externo o interno) esté este cliente. En resultado positivo Al registrarse, se organiza un canal virtual entre computadoras externas e internas a través del cual se transmiten paquetes entre redes. A partir de ahora, el intermediario no interfiere con el proceso de intercambio de datos y no filtra información. Pero este esquema es general; las implementaciones específicas de puertas de enlace a nivel de aplicación pueden tener sus propias características. El intermediario de capa de sesión más conocido y popular es el intermediario SOCKS 5, que actúa como CALCETINES servidores 5. Cuando un cliente intenta contactar con un servidor ubicado al otro lado del intermediario, su cliente SOCKS contacta al servidor SOCKS, donde no solo se realiza el registro, sino también la autenticación completa basada en el nombre de usuario y la contraseña. La autenticación se puede organizar de modo que la contraseña se transmita de forma cifrada. Si el resultado de la autenticación es positivo, el intermediario SOCKS permite que el cliente se conecte al servidor y ya no interfiere con el intercambio de información. Sin embargo Servicio de calcetines 5 le permite establecer una transferencia de datos cifrada entre el cliente y el intermediario utilizando el protocolo SSL. teniendo en cuenta características enumeradas, es obvio que el uso de un broker SOCKS 5 es especialmente relevante en una situación en la que el servidor está en una red interna y el cliente está en una red pública. Pero no se debe descartar el caso en el que los clientes internos acceden a recursos de Internet, ya que el intermediario SOCKS 5 permite regular el acceso a nivel de nombres de usuario y contraseñas. La desventaja de los intermediarios de SOCKS es la necesidad de instalar software especializado (la parte del cliente de SOCKS) en el sitio de cada cliente.

DESVENTAJAS COMUNES DE LAS PASARELAS A NIVEL DE SESIÓN

La principal desventaja de las puertas de enlace a nivel de sesión es la incapacidad de regular la transferencia de información a nivel de aplicación y, como resultado, monitorear acciones incorrectas o potencialmente peligrosas del usuario. Por ejemplo, no te permitirán controlar la ejecución del comando PUT del servicio ftp o filtro. Aplicaciones ActiveX desde máquinas externas, si dicha operación está permitida para clientes internos.

Aunque el uso de puertas de enlace a nivel de sesión puede evitar una serie de ataques peligrosos en la red interna, algunos tipos de ataques, como la denegación de servicio, pueden evitar estas puertas de enlace. Con la excepción de la puerta de enlace IPX/IP y el corredor SOCKS 5, todos los demás filtros tienen un sistema de identificación y autenticación muy débil basado en las direcciones IP del remitente/destinatario. A su vez, el uso de gateways IPX/IP y SOCKS 5 trae sus propios problemas, ya que requiere instalación en máquinas cliente software especializado.

Con la excepción de las puertas de enlace IPX/IP y SOCKS 5, otras puertas de enlace de capa de sesión no suelen estar disponibles como producto comercial. Sin embargo, todos los firewalls de nivel experto en obligatorio están equipados con una variedad de puertas de enlace de capa de sesión (así como filtros de red), ya que los corredores de capa de aplicación o los inspectores estatales no pueden monitorear las transferencias de datos en niveles inferiores de la jerarquía OSI.

MEDIADORES DE SOLICITUD

Los proxies a nivel de aplicación, a menudo llamados servidores proxy, monitorean y filtran información en el nivel de aplicación de la jerarquía OSI (consulte la Figura 4). Los intermediarios se diferencian por los protocolos a nivel de aplicación que admiten: cuantos más, más caro será el producto. Los servicios más comúnmente admitidos son Web (HTTP), ftp, SMTP, POP3/IMAP, NNTP, Gopher, telnet, DNS, RealAudio/RealVideo. Cuando un cliente de la red interna accede, por ejemplo, a un servidor web, su solicitud va a (o es interceptada por) un intermediario web. Este último establece una conexión con el servidor en nombre del cliente y transfiere la información recibida al cliente. Para un servidor externo, el corredor actúa como cliente y para un cliente interno, actúa como servidor web. El intermediario puede funcionar de manera similar en el caso de un cliente externo y un servidor interno.

Los intermediarios de la capa de aplicación se dividen en transparentes y opacos. Los intermediarios transparentes son invisibles para los clientes y servidores: el cliente contacta al servidor de la forma más normal y el intermediario intercepta la solicitud y actúa en nombre del cliente. Los intermediarios transparentes son especialmente populares para servicio web, a menudo los instalan los proveedores de Internet para mejorar el rendimiento y reducir la carga en los canales de comunicación globales mediante el almacenamiento en caché de información.

En el caso de intermediarios opacos, el sistema cliente debe configurarse explícitamente para trabajar con el intermediario (por ejemplo, cuando se utiliza un intermediario web opaco, la dirección IP del intermediario y el puerto TCP asignado se deben especificar en la configuración del navegador). opciones). Los intermediarios opacos son buenos cuando se requiere una autenticación sólida al ingresar o salir de una red interna, especialmente para servicios que no admiten cifrado de contraseña. Normalmente se trata de servicios telnet y ftp, que implican que el sistema contraseñas de un solo uso(Contraseña de un solo uso, OTP) (para obtener más información sobre los sistemas OTP, consulte el artículo “Gestión remota de sistemas operativos de red” en LAN No. 5, 1999).

La Figura 5 muestra un ejemplo típico de uso de telnet. Aquí el cliente, utilizando el sistema OTP, establece una conexión con el servidor tn.anywhere.com, ubicado detrás del intermediario opaco fw.anywhere.com. El usuario primero debe registrarse con el intermediario proporcionando primero su nombre, en respuesta a lo cual se le transfiere un desafío (673 jar564). Usando la calculadora OTP, el usuario calcula una frase de contraseña, que ingresa en el campo Contraseña. A continuación, informa la dirección del servidor con el que va a establecer conexión. Cabe señalar que no es necesario registrarse en el servidor tn.anywhere.com, ya que el firewall y este servidor utilizar una base de datos común de cuentas de usuario.

Una desventaja común de los intermediarios opacos es su falta de transparencia hacia el software del cliente y los usuarios. No todos los programas cliente se pueden configurar, por ejemplo, para intermediarios opacos SMTP, POP3, IMAP4, DNS, ftp.

A diferencia de las puertas de enlace de la capa de sesión, los intermediarios de la capa de aplicación procesan sólo aquellos paquetes de datos de la capa de aplicación cuyos servicios admiten, y los paquetes de protocolos desconocidos (para el intermediario) o no configurados se eliminan de la circulación. Por ejemplo, si el intermediario está configurado para servir únicamente el servicio ftp, no permitirá el paso de paquetes telnet o HTTP.

El intermediario de la capa de aplicación verifica el contenido de cada paquete de datos. Además, el corredor filtra paquetes a nivel de operaciones de servicios de red específicas. Por ejemplo, Raptor Firewall de AXENT Technologies le permite filtrar paquetes ftp que contienen un comando PUT.

Los intermediarios de la capa de aplicación deben admitir una autenticación sólida utilizando el sistema operativo o uno de los servicios de directorio (dominios) NDS, Windows NT, NIS/NIS+ o RADIUS, TACACS, etc.

La desventaja de estas capacidades de los intermediarios de la capa de aplicación es su bajo rendimiento (para aquellos servicios de red que no proporcionan almacenamiento en caché de información). Además, para cada conexión TCP, el intermediario se ve obligado a establecer dos canales de comunicación: uno con el servidor y el otro con el cliente. Pero conviene recordar que el cuello de botella de las conexiones a Internet son principalmente las lentas líneas de comunicación globales, por lo que el bajo rendimiento de los intermediarios a nivel de aplicación se puede hablar de forma muy provisional.

Los intermediarios web ocupan un lugar especial entre los intermediarios de la capa de aplicación porque, junto con el control del tráfico, almacenan información en caché. Debido a su funcionalidad, los intermediarios web se han convertido en una rama independiente del desarrollo de software, por lo que analizaremos este servicio con más detalle a continuación.

INTERMEDIARIOS WEB

El servicio web es el principal en Internet global. Sin embargo, la lentitud de los canales de comunicación y el uso intensivo de gráficos y multimedia en las páginas web provocan una disminución de la productividad de los usuarios en Internet. Mientras tanto, los usuarios acceden muy a menudo a los mismos recursos de Internet. Por tanto, para aumentar la velocidad de acceso, todo navegadores populares información de caché. Sin embargo, en un entorno corporativo, el almacenamiento en caché a nivel de computadoras individuales no puede resolver todos los problemas, ya que a menudo se accede completamente a los mismos recursos. diferentes usuarios, especialmente si trabajan en la misma organización. Obviamente, la mejor manera de combatir el bajo rendimiento de la WAN es instalar un proxy de almacenamiento en caché web en el borde de la red interna. Además, este enfoque le permite reducir la carga en los canales de comunicación de Internet y, por lo tanto, ahorrar dinero o iniciar servicios de red adicionales.

Los intermediarios de almacenamiento en caché web se instalan incluso en lugares donde no se requiere autenticación de usuario o filtrado de información, sino únicamente con el fin de mejorar el rendimiento.

Hay cuatro tipos de almacenamiento en caché de información en intermediarios web:

  • pasivo;
  • activo;
  • negativo;
  • jerárquico.

Los intermediarios web modernos más potentes pueden admitir los cuatro tipos de almacenamiento en caché. Con el almacenamiento en caché pasivo (también conocido como almacenamiento en caché básico o bajo demanda), el cliente a través de navegador web se pone en contacto con el intermediario, y el intermediario devuelve la información solicitada de su caché, si está allí. De lo contrario, el intermediario web se pone en contacto con el servidor web.

El almacenamiento en caché activo supone que el intermediario tiene cierta inteligencia. El almacenamiento en caché se realiza por adelantado (lectura anticipada), antes de recibir una solicitud explícita del cliente. Por ejemplo, el navegador solicita Página web que contenga dibujos u otros elementos. El intermediario no esperará solicitudes explícitas del cliente para intercambiar estos componentes e intentará obtenerlos de forma independiente, por así decirlo, con antelación. El almacenamiento en caché activo se produce en segundo plano, lo que mejora el rendimiento.

El almacenamiento en caché negativo implica errores de almacenamiento en caché. Si el navegador solicita una página que el intermediario no puede recibir (sin conexión o porque la página no está disponible en el servidor), entonces el rechazo se almacena en caché. Al contactar nuevamente, el cliente recibirá inmediatamente una respuesta negativa. Sin embargo, el intermediario seguirá intentando obtener la página solicitada en segundo plano. El almacenamiento en caché negativo en los intermediarios web es un desarrollo reciente en la llamada segunda generación de intermediarios desarrollados de acuerdo con la tecnología Harvest/Squid. Creado dentro vieja tecnología Los intermediarios del CERN no almacenan en caché los fallos e intentan ponerse en contacto con el servidor web cada vez.

El almacenamiento en caché jerárquico es otro avance de la tecnología Harvest/Squid. De acuerdo con esto, los intermediarios pueden formar estructuras jerárquicas complejas con conexiones iguales o subordinadas. Por ejemplo, una organización tiene dos canales de Internet de igual rendimiento. Se instala un intermediario en cada canal y se determinan relaciones iguales entre ellos. En este caso, si la información solicitada no está en el caché, el intermediario no recurrirá al servidor de Internet, sino al segundo intermediario. Si el segundo intermediario tiene en su caché información necesaria, luego será transferido al primer intermediario y luego al cliente. De lo contrario, el primer intermediario se verá obligado a contactar con el propio servidor web. En las relaciones entre padres e hijos, el mediador infantil nunca accede al servidor web, sino sólo a través del padre. Estos esquemas reducen significativamente la carga en las líneas de comunicación globales y aumentan la tolerancia a fallos de la conexión. El almacenamiento en caché jerárquico se organiza de acuerdo con uno de dos protocolos de almacenamiento en caché estandarizados: ICP (Protocolo de almacenamiento en caché de Internet) o CARP (Protocolo de enrutamiento de matriz de caché). Aunque CARP se desarrolló más tarde que ICP, se ha generalizado más porque elimina el almacenamiento en caché redundante de información entre intermediarios.
Figura 6. Almacenamiento en caché directo web.

Además de los tipos de almacenamiento en caché (pasivo, activo, negativo y jerárquico), los intermediarios también se diferencian en los modos de almacenamiento en caché: directo e inverso. El almacenamiento en caché directo es algo a lo que todos estamos acostumbrados. Es decir, el intermediario se instala en la entrada de la red interna y almacena en caché la información de los servidores de Internet para los clientes de la red interna (ver Figura 6). Con un proxy transparente, es posible que los clientes ni siquiera sean conscientes de su existencia, mientras que con un proxy opaco, sus coordenadas deben especificarse en las opciones del navegador.
Figura 7. Almacenamiento en caché inverso web.

El almacenamiento en caché inverso implica atender a clientes externos que solicitan información de servidores ubicados en la red interna de la organización. Es decir, a un intermediario con almacenamiento en caché inverso se le asigna uno o más servidores web, desde los cuales descarga información. Es mejor instalar dicho intermediario en un proveedor de Internet para reducir la carga en el canal de comunicación con el proveedor y aumentar el rendimiento de los clientes externos que acceden al servidor web (ver Figura 7). Un mediador de almacenamiento en caché debe ser transparente para los usuarios externos. Sin embargo, esto sólo es posible con el almacenamiento en caché inverso de un solo servidor (al puerto 80 del protocolo TCP, que es responsable de servicio HTTP, sólo se puede vincular un servidor al intermediario; para otros servidores es necesario asignar puertos diferentes). Sin embargo, con la ayuda de manipulaciones no muy complicadas, el trabajo de un intermediario al almacenar en caché varios servidores a la vez puede resultar casi transparente para los clientes.

Algunos intermediarios le permiten almacenar información en caché sin conexión, actuando esencialmente como un navegador sin conexión.

El almacenamiento en caché de información es, por supuesto, muy característica atractiva Intermediarios web, pero no debemos olvidarnos de otras capacidades específicas de los intermediarios a nivel de aplicación. Los intermediarios web son capaces de soportar una fuerte autenticación de usuario, filtrado aplicaciones java y ActiveX, escanea en busca de virus, regula el acceso de los usuarios a determinadas URL. Además, se proporcionan programas especiales para intermediarios web que contienen listas de servidores pornográficos, racistas, de juegos y de entretenimiento. Con la ayuda de dichos programas, al administrador le resulta fácil regular el acceso a dichos nodos.

INSPECTORES DE CONDICIÓN

Los inspectores estatales, o firewalls de inspección de estado, son esencialmente puertas de enlace de capa de sesión con capacidades avanzadas. Check Point acuñó el término "inspector de salud" para resaltar la diferencia entre su tecnología y otras tecnologías de firewall. Los inspectores estatales operan a nivel de sesión, pero también comprenden los protocolos a nivel de aplicación (ver Figura 8). Es decir, cuando se recibe un paquete de datos, el contenido de este paquete se compara con ciertas plantillas específicas del protocolo de capa de aplicación correspondiente. Y dependiendo del resultado de la comparación, el paquete se transmite o se descarta. Cuanto más poderoso sea el inspector estatal, mayor será la lista de plantillas que tendrá. Si un paquete no coincide con ninguna plantilla, será eliminado.

A diferencia del intermediario de la capa de aplicación, que abre dos canales virtuales TCP (uno para el cliente y otro para el servidor) para cada conexión, el inspector estatal no interfiere con la organización. conexión directa entre cliente y servidor. Debido a esto, el rendimiento del inspector estatal es mucho mayor que el rendimiento de los intermediarios de la capa de aplicación y se acerca al rendimiento de los filtros de red. Es cierto que los desarrolladores de intermediarios de la capa de aplicación señalan más alto nivel seguridad de sus productos, ya que el tráfico se controla directamente a nivel de aplicación. Pero la mayoría de los expertos consideran que tales declaraciones son controvertidas o, al menos, no obvias. ¿Quién, por ejemplo, se atrevería a calificar de insuficientemente fiable el cortafuegos Check Point FireWall-1, que es un inspector de estado, cuando posee el 40% del mercado de cortafuegos y ha recibido muchos de los premios más prestigiosos, incluso en materia de seguridad?

Por su parte, los desarrolladores de inspectores de estado señalan que sus sistemas tienen mucho más más posibilidades extensiones. Cuando nuevo servicio o un nuevo protocolo de capa de aplicación, sólo necesita agregar algunas plantillas para admitirlo. Al mismo tiempo, los desarrolladores intermediarios de la capa de aplicación se ven obligados a escribir un módulo desde cero para cada nuevo protocolo. Eso es cierto, pero agregar un módulo al intermediario de la capa de aplicación no es más difícil que agregar plantillas al inspector estatal. Además, los fabricantes de inspectores de estado e intermediarios de la capa de aplicación están acostumbrados a solucionar el problema de forma radical, lanzando una nueva versión del producto.

La única ventaja de los inspectores de salud (más allá de las cuestiones de rendimiento) sobre los servidores proxy de la capa de aplicación es que el inspector de salud es completamente transparente para los clientes y no requiere configuraciones adicionales software cliente. Sin embargo, los inspectores estatales clásicos, a su vez, no son adecuados para el almacenamiento en caché web. Por lo tanto, incluso si el firewall se basa en un inspector de estado, incluye un proxy web de capa de aplicación para el almacenamiento en caché web.

De hecho, el debate sobre si es mejor un inspector estatal o un mediador de la capa de aplicación parece carecer de fundamento. Para la mayoría de las tareas son aproximadamente equivalentes. La ventaja de desempeño de los inspectores estatales no es particularmente importante cuando se trata de conectarse a Internet a través de canales de comunicación lentos.

Los cortafuegos expertos se basan en tecnología de inspector estatal o en tecnología de mediador de capa de aplicación, pero se complementan necesariamente con filtros de red y puertas de enlace de capa de sesión. La gran mayoría de los firewalls lanzados son servidores proxy de capa de aplicación, pero como se señaló anteriormente, los inspectores de salud (o más bien un inspector, el FireWall-1 de Check Point) dominan el mercado.

OTRAS CARACTERÍSTICAS DEL FIREWALL

Además de realizar sus funciones básicas, los firewalls de clase experta tienen un sistema bien pensado para registrar eventos y alertar a los administradores. ME le permite registrar el acceso de todos los usuarios a los recursos que pasan por la pantalla, incluido quién, cuándo y desde qué máquina accedió. recurso específico o fue rechazado. El registro le permite identificar casos de ataques a la red interna, detectar la ubicación del pirata informático y bloquear su tráfico con anticipación.

Un componente de la mayoría de los firewalls comerciales de nivel experto son las herramientas de redes privadas virtuales que le permiten cifrar información cuando se transmite a través de una red pública. Además, incluso algunos filtros de red basados ​​en enrutadores de hardware tienen este tipo de herramientas.

Una parte considerable de los cortafuegos están equipados con herramientas para dar soporte a usuarios remotos, incluidos medios potentes para autenticar a dichos usuarios.

CONCLUSIÓN

Los firewalls no son una panacea para combatir ataques maliciosos. No pueden prevenir ataques dentro de la red local, pero junto con otras medidas de seguridad desempeñan un papel extremadamente importante en la protección de las redes contra intrusiones externas. Comprender la tecnología de los firewalls le permite no sólo elección correcta al comprar un sistema de protección, pero también configurar el firewall correctamente. ¡El enemigo no debe pasar!

Konstantin Pyanzin es columnista de LAN. Se le puede contactar en: [correo electrónico protegido]

A mediados de los 90, el ataque de inundación SYN fue uno de los más comunes. Explota las deficiencias de la máquina del protocolo TCP. El ataque de inundación SYN se incluye en la categoría de ataques de denegación de servicio (DoS), que hacen que la computadora se congele, es decir, la computadora continúa funcionando, pero deja de estar disponible a través de la red.

Cuando una computadora cliente establece una conexión con un servidor utilizando el protocolo TCP, envía un paquete TCP con el bit SYN establecido. En respuesta, el servidor envía un paquete TCP con bits SYN/ACK. A su vez, el cliente envía un paquete TCP con el bit ACK. Después de esto, la conexión entre el cliente y el servidor se considera establecida. Este esquema de conexión se denomina de tres etapas porque implica el intercambio de tres paquetes.

Cuando el servidor recibe un paquete SYN, asigna memoria adicional para una nueva conexión. en la mayoría sistemas operativos para cada uno de los servicios de red hay un límite (normalmente igual a diez) en el número de servicios de red recién creados. Conexiones TCP(Algunos sistemas no tienen ese límite, pero esto no mejora mucho la situación, ya que si no hay memoria libre, se congelará toda la computadora y no solo un servicio específico). Hasta que el servidor reciba un paquete SYN/ACK o un paquete RST (ver más abajo) o hasta que la conexión recién creada expire (generalmente 75 segundos), la conexión continúa reservando memoria.

El ataque de inundación SYN implica enviar múltiples paquetes TCP con el bit SYN configurado al servidor en nombre de hosts inexistentes o que no funcionan (mediante el uso de suplantación de direcciones IP). Último requisito Es importante porque si una solicitud para establecer una conexión proviene de un host en funcionamiento, cuando el servidor envía un paquete SYN/ACK a su dirección, el host responderá con un paquete RST (restablecimiento), iniciando un restablecimiento de la conexión. Y la conexión se eliminará de la memoria del servidor.

Durante un ataque de inundación SYN, la memoria del servidor asignada para establecer nuevas conexiones se agota rápidamente y el servicio de red se congela.

Para contrarrestar los ataques de inundación SYN, además de aumentar el tamaño de la memoria para las conexiones establecidas y reducir el tiempo de espera, se utilizan varias contramedidas ingeniosas en los firewalls. Instalar firewalls de sesión y de capa de aplicación o inspectores estatales soluciona radicalmente el problema de los ataques de inundación SYN, ya que son ellos quienes reflejan todos los ataques, mientras que los ordenadores de la red interna ni siquiera los conocen.





Popular en la categoría:
Esquema territorial de gestión de residuos: ¿quién lo gestionó?
Esquema territorial de gestión de residuos: ¿quién lo gestionó?
leer
¿Es posible grabar Windows 7 en una unidad flash USB?
¿Es posible grabar Windows 7 en una unidad flash USB?
leer
Cómo combinar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
leer
Transferir contactos a un nuevo teléfono Android
Transferir contactos a un nuevo teléfono Android
leer

Últimos artículos
Samsung Galaxy se reinicia solo -...
leer
Características clave de Kaspersky Rescue Disk
leer
MacBook no se conecta a wifi MacBook no ve...
leer
Cómo ganar dinero con WebMoney
leer
Tableta "Supra": opiniones de clientes
leer
Ubicaciones de barcos en tiempo real
leer
Los mejores programas para Android Grabar llamadas desde...
leer
Eliminar a los no seguidores en Twitter
leer
Arriba