межсетевой экран или брандмауэр (firewall), под которым понимают программную или программно-аппаратную систему, которая выполняет контроль информационных потоков, поступающих в информационную систему и/или выходящих из нее, и обеспечивает защиту информационной системы посредством фильтрации информации. Фильтрация информации состоит в анализе информации по совокупности критериев и принятии решения о ее приеме и/или передаче.
№ |
Уровеньмодели OSI |
Протокол |
Типмежсетевого экрана |
1 |
Прикладной |
Telnet, FTP, DNS, NFS, SMTP, HTTP |
·Шлюз прикладного уровня;·Межсетевой экран экспертного уровня. |
2 |
Представления данных |
||
3 |
Сеансовый |
TCP, UDP |
·Шлюз сеансового уровня |
4 |
Транспортный |
TCP, UDP |
|
5 |
Сетевой |
IP, ICMP |
·Межсетевой экран с фильтрацией пакетов |
6 |
Канальный |
||
7 |
Физический |
Межсетевые экраны с фильтрацией пакетов представляют собой маршрутизаторы или работающие на сервере программы, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты. Поэтому такие экраны называют иногда пакетными фильтрами. Фильтрация осуществляется путем анализа IP-адреса источника и приемника, а также портов входящих TCP- и UDP-пакетов и сравнением их с сконфигурированной таблицей правил. Эти межсетевые экраны просты в использовании, дешевы, оказывают минимальное влияние на производительность вычислительной системы. Основным недостатком является их уязвимость при подмене адресов IP. Кроме того, они сложны при конфигурировании: для их установки требуется знание сетевых, транспортных и прикладных протоколов.
Шлюзы сеансового уровня контролируют допустимость сеанса связи. Они следят за подтверждением связи между авторизованным клиентом и внешним хостом (и наоборот), определяя, является ли запрашиваемый сеанс связи допустимым. При фильтрации пакетов шлюз сеансового уровня основывается на информации, содержащейся в заголовках пакетов сеансового уровня протокола TCP, т. е. функционирует на два уровня выше, чем межсетевой экран с фильтрацией пакетов. Кроме того, указанные системы обычно имеют функции трансляции сетевых адресов, которая скрывает внутренние IP-адреса, тем самым, исключая подмену IP-адреса. Однако, в таких межсетевых экранах отсутствует контроль содержимого пакетов, генерируемых различными службами. Для исключения указанного недостатка применяются шлюзы прикладного уровня.
Шлюзы прикладного уровня проверяют содержимое каждого проходящего через шлюз пакета и могут фильтровать отдельные виды команд или информации в протоколах прикладного уровня, которые им поручено обслуживать. Это более совершенный и надежный тип межсетевого экрана, использующий программы-посредники (proxies) прикладного уровня или агенты. Агенты составляются для конкретных служб сети Интернет (HTTP, FTP, telnet и т.д.) и служат для проверки сетевых пакетов на наличие достоверных данных.
Межсетевые экраны экспертного уровня сочетают в себе элементы всех трех описанных выше категорий. Как и межсетевые экраны с фильтрацией пакетов, они работают на сетевом уровне модели OSI, фильтруя входящие и исходящие пакеты на основе проверки IP-адресов и номеров портов. Межсетевые экраны экспертного уровня также выполняют функции шлюза сеансового уровня, определяя, относятся ли пакеты к соответствующему сеансу. И, наконец, брандмауэры экспертного уровня берут на себя функции шлюза прикладного уровня, оценивая содержимое каждого пакета в соответствии с политикой безопасности, выработанной в конкретной организации.
Интенсивное развитие глобальных компьютерных сетей, появление новых технологий поиска информации привлекают все большее внимание к сети Интернет со стороны частных лиц и различных организаций. Многие организации принимают решения по интеграции своих локальных и корпоративных сетей в Интернет. Использование Интернета в коммерческих целях, а также при передаче информации, содержащей сведения конфиденциального характера, влечет за собой необходимость построения эффективной системы защиты данных. Использование глобальной сети Интернет обладает неоспоримыми достоинствами, но, как и многие другие новые технологии, имеет и свои недостатки. Развитие глобальных сетей привело к многократному увеличению количества не только пользователей, но и атак на компьютеры, подключенные к Интернету. Ежегодные потери из-за недостаточного уровня защищенности компьютеров оцениваются десятками миллионов долларов. Поэтому при подключении к Интернету локальной или корпоративной сети необходимо позаботиться об обеспечении ее информационной безопасности.
лобальная сеть Интернет создавалась как открытая система, предназначенная для свободного обмена информации. В силу открытости своей идеологии Интернет предоставляет злоумышленникам значительно большие возможности по проникновению в информационные системы. Через Интернет нарушитель может:
Посредством получения злоумышленником информации может быть серьезно подорвана конкурентоспособность предприятия и доверие его клиентов.
Ряд задач по отражению наиболее вероятных угроз для внутренних сетей способны решать межсетевые экраны. Межсетевой экран это система межсетевой защиты, позволяющая разделить каждую сеть на две и более части и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Интернет, хотя ее можно провести и внутри корпоративной сети предприятия. Использование межсетевых экранов позволяет организовать внутреннюю политику безопасности сети предприятия, разделив всю сеть на сегменты. Это позволяет сформулировать основные принципы архитектуры безопасности корпоративной сети:
Межсетевой экран пропускает через себя весь трафик, принимая относительно каждого проходящего пакета решение: дать ему возможность пройти или нет. Для того чтобы межсетевой экран мог осуществить эту операцию, ему необходимо определить набор правил фильтрации. Решение о том, фильтровать ли с помощью межсетевого экрана конкретные протоколы и адреса, зависит от принятой в защищаемой сети политики безопасности. Межсетевой экран представляет собой набор компонентов, настраиваемых для реализации выбранной политики безопасности.
Политика сетевой безопасности каждой организации должна включать две составляющие:
Политика доступа к сетевым сервисам должна быть уточнением общей политики организации в отношении защиты информационных ресурсов в организации. Для того чтобы межсетевой экран успешно защищал ресурсы организации, политика доступа пользователей к сетевым сервисам должна быть реалистичной. Таковой считается политика, при которой найден гармоничный баланс между защитой сети организации от известных рисков и необходимостью доступа пользователей к сетевым сервисам. В соответствии с принятой политикой доступа к сетевым сервисам определяется список сервисов Интернета, к которым пользователи должны иметь ограниченный доступ. Задаются также ограничения на методы доступа, необходимые для того, чтобы пользователи не могли обращаться к запрещенным сервисам Интернета обходными путями.
Межсетевой экран может реализовать ряд политик доступа к сервисам. Но обычно политика доступа к сетевым сервисам основана на одном из следующих принципов:
В соответствии с политикой реализации межсетевых экранов определяются правила доступа к ресурсам внутренней сети. Прежде всего необходимо установить, насколько «доверительной» или «подозрительной» должна быть система защиты. Иными словами, правила доступа к внутренним ресурсам должны базироваться на одном из следующих принципов:
Эффективность защиты внутренней сети с помощью межсетевых экранов зависит не только от выбранной политики доступа к сетевым сервисам и ресурсам внутренней сети, но и от рациональности выбора и использования основных компонентов межсетевого экрана.
Функциональные требования к межсетевым экранам охватывают следующие сферы:
Настоящее время не существует единой и общепризнанной классификации межсетевых экранов. Выделим следующие классы межсетевых экранов:
Эти категории можно рассматривать как базовые компоненты реальных межсетевых экранов. Лишь немногие межсетевые экраны включают лишь одну из перечисленных категорий. Тем не менее эти компоненты отражают ключевые возможности, отличающие межсетевые экраны друг от друга.
Фильтрующий маршрутизатор представляет собой маршрутизатор или работающую на сервере программу, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP-заголовках пакетов.
Фильтрующий маршрутизатор обычно может фильтровать IP-пакеты на основе группы следующих полей заголовка пакета:
Некоторые маршрутизаторы проверяют, с какого сетевого интерфейса маршрутизатора пришел пакет, и затем используют эту информацию как дополнительный критерий фильтрации.
Фильтрация может быть реализована различными способами для блокирования соединений с определенными компьютерами или портами. Например, можно блокировать соединения, идущие от конкретных адресов тех компьютеров и сетей, которые считаются враждебными или ненадежными.
Правила фильтрации пакетов формулируются сложно, к тому же обычно не существует средств для проверки их корректности, кроме медленного ручного тестирования. При этом в отсутствие фильтрующего маршрутизатора средств протоколирования (если правила фильтрации пакетов все-таки позволят опасным пакетам пройти через маршрутизатор) такие пакеты не смогут быть выявлены до обнаружения последствий проникновения. Даже если администратору сети удастся создать эффективные правила фильтрации, их возможности останутся ограниченными. Например, администратор задает правило, в соответствии с которым маршрутизатор будет отбраковывать все пакеты с неизвестным адресом отправителя. Однако в данном случае хакер для проникновения внутрь защищенной сети может осуществить атаку, которую называют подменой адреса. В таких условиях фильтрующий маршрутизатор не сумеет отличить поддельный пакет от настоящего и пропустит его.
К положительным качествам фильтрующих маршрутизаторов можно отнести следующие:
Недостатки фильтрующих маршрутизаторов:
Данный класс маршрутизаторов представляет собой транслятор TCP-соединения. Шлюз принимает запрос авторизованного клиента на конкретные услуги и после проверки допустимости запрошенного сеанса устанавливает соединение с местом назначения (внешним хостом). После этого шлюз копирует пакеты в обоих направлениях, не осуществляя их фильтрации. Как правило, пункт назначения задается заранее, в то время как источников может быть много. Используя различные порты, можно создавать разнообразные конфигурации соединений. Данный тип шлюза позволяет создать транслятор TCP-соединения для любого определенного пользователем сервиса, базирующегося на ТСР, осуществлять контроль доступа к этому сервису и сбор статистики по его использованию.
Шлюз следит за подтверждением (квитированием) связи между авторизованным клиентом и внешним хостом, определяя, является ли запрашиваемый сеанс связи допустимым. Чтобы выявить допустимость запроса на сеанс связи, шлюз выполняет следующую процедуру. Когда авторизованный клиент запрашивает некоторый сервис, шлюз принимает этот запрос, проверяя, удовлетворяет ли данный клиент базовым критериям фильтрации. Затем, действуя от имени клиента, шлюз устанавливает соединение с внешним хостом и следит за выполнением процедуры квитирования связи по протоколу ТСР. Эта процедура состоит из обмена ТСР-пакетами, которые помечаются флагами SYN (синхронизировать) и АСК (подтвердить).
Первый пакет сеанса ТСР, помеченный флагом SYN и содержащий произвольное число, например 500, является запросом клиента на открытие сеанса. Внешний хост, получивший этот пакет, посылает в ответ другой, помеченный флагом АСК и содержащий число на единицу большее, чем в принятом пакете (в нашем случае 501), подтверждая тем самым прием пакета SYN от клиента.
Далее осуществляется обратная процедура: хост посылает клиенту пакет SYN с исходным числом, например 700, а клиент подтверждает его получение передачей пакета АСК, содержащего число 701. На этом процесс квитирования связи завершается.
Шлюз сеансового уровня признает завершенное соединение допустимым только в том случае, если при выполнении процедуры квитирования связи флаги SYN и АСК, а также числа, содержащиеся в ТСР-пакетах, оказываются логически связанными между собой.
После того как шлюз определил, что доверенный клиент и внешний хост являются авторизованными участниками сеанса ТСР, и проверил его допустимость, он устанавливает соединение. Начиная с этого момента шлюз копирует и перенаправляет пакеты туда и обратно, не проводя никакой фильтрации. Он поддерживает таблицу установленных соединений, пропуская данные, которые относятся к одному из сеансов связи, зафиксированных в данной таблице. Когда сеанс завершается, шлюз удаляет соответствующий элемент из таблицы и разрывает сеть, использовавшуюся в текущем сеансе.
Недостатком шлюзов сеансового уровня является отсутствие проверки содержимого передаваемых пакетов, что дает возможность нарушителю проникнуть через такой шлюз.
С целью защиты ряда уязвимых мест, присущих фильтрующим маршрутизаторам, межсетевые экраны должны использовать прикладные программы для фильтрации соединений с такими сервисами, как Telnet и FTP. Подобное приложение называется proxy-службой, а хост, на котором работает proxy-служба, шлюзом уровня приложений. Такой шлюз исключает прямое взаимодействие между авторизованным клиентом и внешним хостом. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне.
Обнаружив сетевой сеанс, шлюз приложений останавливает его и вызывает уполномоченное приложение для оказания завершаемой услуги. Для достижения более высокого уровня безопасности и гибкости шлюзы уровня приложений и фильтрующие маршрутизаторы могут быть объединены в межсетевом экране.
Шлюзы прикладного уровня позволяют обеспечить надежную защиту, поскольку взаимодействие с внешним миром реализуется через небольшое число уполномоченных приложений, полностью контролирующих весь входящий и исходящий трафик. Следует отметить, что шлюзы уровня приложений требуют отдельного приложения для каждого сетевого сервиса.
По сравнению с работающими в обычном режиме, при котором прикладной трафик пропускается непосредственно к внутренним хостам, шлюзы прикладного уровня имеют ряд преимуществ:
Недостатками шлюзов уровня приложений являются:
Одним из важных элементов концепции межсетевых экранов является аутентификация (проверка подлинности пользователя), то есть пользователь получает право воспользоваться тем или иным сервисом только после того, как будет установлено, что он действительно тот, за кого себя выдает. При этом считается, что сервис для данного пользователя разрешен (процесс определения, какие сервисы разрешены конкретному пользователю, называется авторизацией).
При получении запроса на использование сервиса от имени какого-либо пользователя межсетевой экран проверяет, какой способ аутентификации определен для данного субъекта, и передает управление серверу аутентификации. После получения положительного ответа от сервера аутентификации межсетевой экран осуществляет запрашиваемое пользователем соединение. Как правило, большинство коммерческих межсетевых экранов поддерживает несколько различных схем аутентификации, предоставляя администратору сетевой безопасности возможность сделать выбор наиболее приемлемой в сложившихся условиях схемы.
ри подключении корпоративной или локальной сети к глобальным сетям администратор сетевой безопасности должен решать следующие задачи:
Необходимость работы с удаленными пользователями требует установления жестких ограничений доступа к информационным ресурсам защищаемой сети. При этом в организации часто возникает потребность иметь в составе корпоративной сети несколько сегментов с разными уровнями защищенности:
Для защиты корпоративной или локальной сети применяются следующие основные схемы организации межсетевых экранов:
Межсетевой экран, основанный на фильтрации пакетов, является самым распространенным и наиболее простым в реализации, представляя собой фильтрующий маршрутизатор, расположенный между защищаемой сетью и Интернетом.
Фильтрующий маршрутизатор сконфигурирован для блокирования или фильтрации входящих и исходящих пакетов на основе анализа их адресов и портов.
Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ в Интернет, в то время как большая часть доступа к ним из Интернета блокируется. В принципе, фильтрующий маршрутизатор может реализовать любую из политик безопасности, описанных ранее. Однако если маршрутизатор не фильтрует пакеты по порту источника и номеру входного и выходного порта, то реализация политики «запрещено все, что не разрешено» в явной форме может быть затруднена.
Межсетевые экраны, основанные на фильтрации пакетов, имеют те же недостатки, что и фильтрующие маршрутизаторы.
Межсетевой экран на базе двухпортового прикладного шлюза представляет собой хост с двумя сетевыми интерфейсами. При передаче информации между этими интерфейсами и осуществляется основная фильтрация. Для обеспечения дополнительной защиты между прикладным шлюзом и Интернетом размещают фильтрующий маршрутизатор. В результате между прикладным шлюзом и маршрутизатором образуется внутренняя экранированная подсеть. Ее можно использовать для размещения доступного извне информационного сервера. Размещение информационного сервера увеличивает безопасность сети, поскольку даже при проникновении на него злоумышленник не сможет получить доступ к системам сети через шлюз с двумя интерфейсами.
В отличие от схемы межсетевого экрана с фильтрующим маршрутизатором, прикладной шлюз полностью блокирует трафик IP между Интернетом и защищаемой сетью. Только уполномоченные приложения, расположенные на прикладном шлюзе, могут предоставлять услуги и доступ пользователям.
Данный вариант межсетевого экрана реализует политику безопасности, основанную на принципе «запрещено все, что не разрешено в явной форме»; при этом пользователю доступны только те службы, для которых определены соответствующие полномочия. Такой подход обеспечивает высокий уровень безопасности, поскольку маршруты к защищенной подсети известны лишь межсетевому экрану и скрыты от внешних систем.
Рассматриваемая схема организации межсетевого экрана относительно проста и достаточно эффективна. Поскольку межсетевой экран использует хост, то на нем могут быть установлены программы для усиленной аутентификации пользователей. Межсетевой экран может также протоколировать доступ, попытки зондирования и атак системы, что позволяет выявить действия злоумышленников.
Межсетевой экран на основе экранированного шлюза обладает большей гибкостью по сравнению с межсетевым экраном, построенным на основе шлюза с двумя интерфейсами, однако эта гибкость достигается ценой некоторого уменьшения безопасности. Межсетевой экран состоит из фильтрующего маршрутизатора и прикладного шлюза, размещаемого со стороны внутренней сети. Прикладной шлюз реализуется на хосте и имеет только один сетевой интерфейс.
В данной схеме первичная безопасность обеспечивается фильтрующим маршрутизатором, который фильтрует или блокирует потенциально опасные протоколы, чтобы они не достигли прикладного шлюза и внутренних систем. Пакетная фильтрация в фильтрующем маршрутизаторе может быть реализована одним из следующих способов:
В подобной конфигурации межсетевой экран может использовать комбинацию двух политик, соотношение между которыми зависит от конкретной политики безопасности, принятой во внутренней сети. В частности, пакетная фильтрация на фильтрующем маршрутизаторе может быть организована таким образом, чтобы прикладной шлюз, используя свои уполномоченные приложения, обеспечивал для систем защищаемой сети сервисы типа Telnet, FTP, SMTP.
Основной недостаток схемы межсетевого экрана с экранированным шлюзом заключается в том, что если атакующий нарушитель сумеет проникнуть в хост, перед ним окажутся незащищенными системы внутренней сети. Другой недостаток связан с возможной компрометацией маршрутизатора. Если маршрутизатор окажется скомпрометированным, внутренняя сеть станет доступна атакующему нарушителю.
Межсетевой экран, состоящий из экранированной подсети, представляет собой развитие схемы межсетевого экрана на основе экранированного шлюза. Для создания экранированной подсети используются два экранирующих маршрутизатора. Внешний маршрутизатор располагается между Интернетом и экранируемой подсетью, а внутренний между экранируемой подсетью и защищаемой внутренней сетью. В экранируемую подсеть входит прикладной шлюз, а также могут включаться информационные серверы и другие системы, требующие контролируемого доступа. Эта схема межсетевого экрана обеспечивает высокий уровень безопасности благодаря организации экранированной подсети, которая еще лучше изолирует внутреннюю защищаемую сеть от Интернета.
Внешний маршрутизатор защищает от вторжений из Интернета как экранированную подсеть, так и внутреннюю сеть. Внешний маршрутизатор запрещает доступ из Глобальной сети к системам внутренней сети и блокирует весь трафик к Интернету, идущий от систем, которые не должны являться инициаторами соединений.
Этот маршрутизатор может быть использован также для блокирования других уязвимых протоколов, которые не должны передаваться к хост-компьютерам внутренней сети или от них.
Внутренний маршрутизатор защищает внутреннюю сеть от несанкционированного доступа как из Интернета, так и внутри экранированной подсети. Кроме того, он осуществляет большую часть пакетной фильтрации, а также управляет трафиком к системам внутренней сети и от них.
Межсетевой экран с экранированной подсетью хорошо подходит для защиты сетей с большими объемами трафика или с высокими скоростями обмена.
К его недостаткам можно отнести то, что пара фильтрующих маршрутизаторов нуждается в большом внимании для обеспечения необходимого уровня безопасности, поскольку из-за ошибок в их конфигурировании могут возникнуть провалы в системе безопасности всей сети. Кроме того, существует принципиальная возможность доступа в обход прикладного шлюза.
ежсетевые экраны используются при организации защищенных виртуальных частных сетей. Несколько локальных сетей, подключенных к глобальной, объединяются в одну защищенную виртуальную частную сеть. Передача данных между этими локальными сетями является невидимой для пользователей, а конфиденциальность и целостность передаваемой информации должны обеспечиваться при помощи средств шифрования, использования цифровых подписей и т.п. При передаче данных может шифроваться не только содержимое пакета, но и некоторые поля заголовка.
Межсетевой экран не в состоянии решить все проблемы безопасности корпоративной сети. Помимо описанных выше достоинств межсетевых экранов имеется ряд ограничений в их использовании, а также существуют угрозы безопасности, от которых межсетевые экраны не могут защитить. Отметим наиболее существенные ограничения в применении межсетевых экранов:
ля защиты информационных ресурсов и обеспечения оптимальной работы распределенных корпоративных информационных систем необходимо применение комплексной системы информационной безопасности, которая позволит эффективно использовать достоинства межсетевых экранов и компенсировать их недостатки с помощью других средств безопасности.
Полнофункциональная защита корпоративной сети должна обеспечить:
Характер современной обработки данных в корпоративных системах Интернет/интранет требует наличия у межсетевых экранов следующих основных качеств:
В зависимости от масштабов организации и принятой на предприятии политики безопасности могут применяться различные межсетевые экраны. Для небольших предприятий, использующих до десятка узлов, подойдут межсетевые экраны с удобным графическим интерфейсом, допускающие локальное конфигурирование без применения централизованного управления. Для крупных предприятий предпочтительнее системы с консолями и менеджерами управления, которые обеспечивают оперативное управление локальными межсетевыми экранами, поддержку виртуальных частных сетей.
Увеличение потоков информации, передаваемых по Интернету компаниями и частными пользователями, а также потребность в организации удаленного доступа к корпоративным сетям являются причинами постоянного совершенствования технологий подключения корпоративных сетей к Интернету.
Следует отметить, что в настоящее время ни одна из технологий подключения, обладая высокими характеристиками по производительности, в стандартной конфигурации не может обеспечить полнофункциональной защиты корпоративной сети. Решение данной задачи становится возможным только при использовании технологии межсетевых экранов, организующей безопасное взаимодействие с внешней средой.
Рассмотрим более подробно технологии межсетевого экранирования.
При подключении сети предприятия к Интернету можно защитить корпоративную сеть от несанкционированного доступа с помощью одного из следующих решений:
Защита корпоративной сети на основе межсетевого экрана позволяет получить высокую степень безопасности и реализовать следующие возможности:
Следует отметить, что межсетевые экраны позволяют организовать комплексную защиту корпоративной сети от несанкционированного доступа, основанную как на традиционной синтаксической (IP-пакетной) фильтрации контролируемых потоков данных, осуществляемой большинством ОС семейства Windows и UNIX, так и на семантической (контентной), доступной только коммерческим специальным решениям.
В настоящее время все выпускаемые межсетевые экраны можно классифицировать по следующим основным признакам:
Довольно распространенная на сегодня защита корпоративной сети на основе маршрутизатора со списком доступа основывается на использовании специализированных маршрутизаторов. Данная схема обладает высокой эффективностью и достаточной степенью безопасности. В качестве такого решения получили широкое распространение маршрутизаторы компании Cisco серий 12000, 7600. Для подключения сети предприятия к Интернету можно также использовать предшествующие серии маршрутизаторов этой фирмы.
Защита корпоративной сети на основе операционных систем, усиленных функциями пакетной фильтрации, построена на том, что системное программное обеспечение выполняет функции маршрутизации, фильтрации, сервисного обслуживания и др. По уровню надежности, безопасности и производительности наиболее предпочтительны решения на основе UNIX-подобной операционной системы.
В современных условиях более 50% различных атак и попыток доступа к информации осуществляется изнутри локальных сетей. Корпоративную сеть можно считать действительно защищенной от несанкционированного доступа только при наличии в ней как средств защиты точек входа со стороны Интернета, так и решений, обеспечивающих безопасность отдельных компьютеров, корпоративных серверов и фрагментов локальной сети предприятия. Безопасность отдельных компьютеров, корпоративных серверов и фрагментов локальной сети наилучшим образом обеспечивают решения на основе распределенных или персональных межсетевых экранов.
Внутренние корпоративные серверы компании, как правило, представляют собой приложения под управлением операционной системы Windows NT/2000, NetWare или, реже, семейства UNIX. По этой причине корпоративные серверы становятся потенциально уязвимыми к различного рода атакам.
Простейший способ защиты серверов установка между серверами и Интернетом межсетевого экрана, например Firewall-1 компании Checkpoint. При правильной конфигурации большинство межсетевых экранов может защитить внутренние серверы от внешних злоумышленников, а некоторые выявляют и предотвращают атаки типа «отказ в обслуживании». Тем не менее этот подход не лишен некоторых недостатков. Когда корпоративные серверы защищены одним-единственным межсетевым экраном, все правила контроля доступа и данные оказываются сосредоточенными в одном месте. Таким образом, межсетевой экран становится узким местом и по мере нарастания нагрузки значительно теряет в производительности.
Альтернатива предыдущей схеме приобретение дополнительных серверов и установка межсетевого экрана Firewall-1 компании Checkpoint или Cisco PIX компании Cisco перед каждым сервером. В результате того, что межсетевой экран становится выделенным ресурсом сервера, решается проблема узкого места и уменьшается влияние отказа отдельного межсетевого экрана на общее состояние сети. Однако и данный подход нельзя назвать идеальным, поскольку резко увеличиваются затраты компании на приобретение оборудования. К тому же возрастают трудозатраты на администрирование и обслуживание сети.
Наиболее удачным решением проблемы защиты корпоративных серверов представляется размещение средств безопасности на одной платформе с сервером, который они будут защищать. Эта задача выполняется путем использования распределенных или персональных межсетевых экранов, например CyberwallPLUS компании Network-1 Security Solution. Данные решения существенно дополняют функциональные возможности традиционных (периметровых) межсетевых экранов и могут использоваться для защиты как внутренних, так и Интернет-серверов.
В отличие от традиционных межсетевых экранов, представляющих собой, как правило, локальные «контрольные точки» контроля доступа к критическим информационным ресурсам корпорации, распределенные межсетевые экраны являются дополнительным программным обеспечением, которое надежно защищает корпоративные серверы, например Интернет-сервер.
Сравним традиционный и распределенный межсетевые экраны по нескольким показателям.
Эффективность. Традиционный межсетевой экран часто располагается по периметру, обеспечивая лишь один слой защиты. Персональный межсетевой экран функционирует на уровне ядра операционной системы и надежно защищает корпоративные серверы, проверяя все входящие и исходящие пакеты.
Простота установки. Традиционный межсетевой экран должен устанавливаться как часть конфигурации корпоративной сети. Распределенный межсетевой экран представляет собой программное обеспечение, которое устанавливается и удаляется в считанные минуты.
Управление. Традиционный межсетевой экран управляется сетевым администратором. Распределенный межсетевой экран может управляться либо сетевым администратором, либо пользователем локальной сети.
Производительность. Традиционный межсетевой экран является устройством обеспечения межсетевого обмена с фиксированным ограничением производительности по пакетам в секунду и не подходит для растущих серверных парков, соединенных друг с другом коммутированными местными сетями. Распределенный межсетевой экран позволяет наращивать серверные парки без ущерба принятой политике безопасности.
Стоимость. Традиционные межсетевые экраны, как правило, являются системами с фиксированными функциями и достаточно высокой стоимостью. Распределенные межсетевые экраны представляют собой программное обеспечение, стоимость которого, как правило, составляет от 20 до 10% от стоимости традиционных экранов. К примеру, распределенный межсетевой экран CyberwallPLUS компании Network-1 Security Solution стоит 6 тыс. долл., в то время как цена межсетевого экрана Cisco PIX 535 компании Cisco составляет порядка 50 тыс. долл.
Распределенные межсетевые экраны сочетают в себе средства контроля сетевого доступа со встроенными средствами выявления несанкционированного доступа и работают в режиме ядра, проверяя каждый пакет информации по мере его поступления из сети. Такие виды деятельности, как попытки взлома и несанкционированного доступа, блокируются этим экраном до перехода на уровень приложений сервера.
К основным преимуществам распределенных межсетевых экранов относятся:
Таким образом, межсетевые экраны CyberwallPLUS обеспечивают дополнительный уровень защиты платформ под управлением операционной системы Windows NT/2000, на которых установлены корпоративные приложения, например Интернет-сервер. Кроме того, межсетевой экран CyberwallPLUS может предотвратить применение известных типов атак для вторжений на критичные серверы компании и сообщить администратору безопасности о подозрительной деятельности в сети.
Итак, межсетевой экран:
Настоящее время большое количество как иностранных, так и отечественных компаний предлагают различные аппаратно-программные и программные реализации межсетевых экранов. Ниже приводится краткое описание некоторых выпускаемых сегодня продуктов ведущих иностранных производителей.
Компания NetScreen Technologies предлагает широкий спектр продуктов, начиная от устройств, обеспечивающих доступ отдельных пользователей к корпоративной сети предприятия по защищенному каналу, и заканчивая моделями, предназначенными для внедрения в структуры больших предприятий и создания систем безопасности с высокой пропускной способностью. Каждый продукт серии NetScreen представляет собой комбинацию межсетевого экрана и устройства VPN (virtual private network).
Серия продуктов NetScreen-5 позволяет создавать межсетевой экран с пропускной способностью 70 Мбит/с для модели NetScreen-5XT и 20 Мбит/с для модели NetScreen-5XP, а также VPN с пропускной способностью 20 и 13 Мбит/с соответственно. В отличие от NetScreen-5XP, поддерживающей до пяти портов 10Base-T, модель NetScreen-5XT обеспечивает пять интерфейсов Fast Ethernet.
Оба продукта способны поддерживать до 2 тыс. туннелей VPN и до 2 тыс. одновременных соединений TCP. Они комплектуются операционной системой NetScreen ScreenOS 4.0, которая используется для настройки физических и виртуальных интерфейсов в соответствии с требованиями безопасности.
Продукты серии NetScreen-5 идеальным образом подходят для установки между домашним компьютером пользователя и Web или для обеспечения защищенного доступа к локальной сети предприятия.
Для внедрения на мелких и средних предприятиях компанией NetScreen Technologies разработаны продукты серий NetScreen-25, -50, -100, -200. Они позволяют создавать межсетевые экраны с пропускной способностью от 100 до 550 Мбит/с. К тому же данные при шифровании по протоколу Triple DES со 168-битным ключом передаются между узлами по туннелю виртуальной частной сети на скоростях от 20 до 200 Мбит/с. Эти серии продуктов поддерживают от четырех до восьми портов Fast Ethernet.
Семейство устройств NetScreen-500, NetScreen-1000 и NetScreen-5000 отличается исключительной пропускной способностью, поэтому является наилучшим решением для внедрения на крупных предприятиях. Модель NetScreen-500 обеспечивает пропускную способность почти 750 Мбит/с, а также VPN со скоростью 240 Мбит/с.
Модель NetScreen-5200 позволяет реализовать межсетевой экран с пропускной способностью 4 Гбит/с и VPN с 2 Гбит/с. Она поддерживает до восьми портов Gigabit Ethernet или два порта Gigabit Ethernet и 24 Fast Ethernet. Модель NetScreen-5400 обеспечивает скорость в 12 Гбит/с для межсетевого экрана и 6 Гбит/с для VPN. Она поддерживает до 78 портов Gigabit Ethernet и Fast Ethernet.
Оба продукта способны поддерживать до 25 тыс. туннелей VPN и до миллиона одновременных соединений TCP. Они комплектуются операционной системой NetScreen ScreenOS 3.1. Кроме того, продукты компании NetScreen Technologies поддерживают протокол RADIUS (Remote Authentication Dial-In User Service служба дистанционной аутентификации пользователей по коммутируемым линиям) и имеют собственную базу данных для аутентификации пользователей, подающих запрос на удаленный доступ.
Компания WatchGuard Technologies предлагает модели, предназначенные для внедрения как на мелких и средних, так и на крупных предприятиях. Для использования на предприятиях малого и среднего бизнеса предлагаются продукты серии Firebox III (4500, 2500, 1000, и 700). Модели Firebox 4500 и 2500 представляют собой аппаратные межсетевые экраны под управлением ОС Linux с защищенным ядром. Пропускная способность межсетевых экранов составляет 197 Мбит/с в режиме пакетной фильтрации и 60 Мбит/с в режиме посредника (прозрачный proxy) на прикладном уровне. Каждый межсетевой экран имеет три сетевых интерфейса 10/100 Мбит/с Fast Ethernet.
Оба межсетевых экрана могут поддерживать до 3 тыс. туннелей VPN, но модель FireBox 4500 позволяет достичь более высоких по сравнению с FireBox 2500 скоростей шифрования информации по алгоритму TripleDES 100 и 55 Мбит/с соответственно.
Для небольших и средних предприятий и удаленных офисов компания выпускает продукты Firebox SOHO 6, Firebox SOHO 6/tc и Firebox 700.
Firebox 700 способен обслуживать одновременно до 250 пользователей. Это межсетевой экран, поддерживающий как пакетную фильтрацию, так и фильтры посредники приложений. Специалисты WatchGuard оценивают производительность Firebox 700 в 131 Мбит/с в режиме пакетной фильтрации и в 43 Мбит/с в режиме посредника. Firebox 700 позволяет создавать виртуальную частную сеть с 150 туннелями одновременно и выполнять шифрование TripleDES со скоростью 5 Мбит/с.
Firebox SOHO 6 поддерживает функционирование пакетных фильтров с пропускной способностью 75 Мбит/с. Он также поддерживает виртуальную частную сеть с пятью туннелями и пропускной способностью 20 Мбит/с (модификация SOHO/tc) при использовании шифрования TripleDES.
Для обеспечения высокоскоростной пропускной способности крупных информационных компаний разработана модель Firebox Vclass, позволяющая получить пропускную способность до 600 Мбит/с. Продукт способен поддерживать до 20 тыс. туннелей VPN. В режиме шифрования достигается скорость 300 Мбит/с.
Компания Cisco Systems предлагает серию межсетевых экранов Cisco PIX Firewall, обеспечивающих высокий уровень безопасности, производительности и надежности. Модельный ряд межсетевых экранов представлен следующими продуктами: PIX 506E, 515E, 525 и 535.
Межсетевые экраны Cisco PIX 506E и 515Е являются модернизациями моделей Cisco PIX 506 и 515 соответственно. Данные модели предназначены для использования в корпоративных сетях небольших компаний, а также для обеспечения безопасности удаленных клиентов корпоративных сетей предприятий. Модель 506Е имеет производительность 20 Мбит/с, а 515Е 188 Мбит/с. Шифрование потока данных может осуществляться как с использованием алгоритма DES с 56-битным ключом, так и TripleDES с 168-битным ключом. Пропускная способность Cisco PIX 506E при шифровании DES 20 Мбит/с, TripleDES 16 Мбит/с. Скорость шифрования для модели 515Е на алгоритме TripleDES равна 63 Мбит/с. Модель 515Е поддерживает до 2 тыс. туннелей VPN.
Для использования на предприятиях среднего и крупного масштаба компания Cisco выпускает модели 525 и 535. Пропускная способность модели 525 составляет 370 Мбит/с. Данная модель может одновременно обслуживать до 280 тыс. сеансов. Модель Cisco PIX 535 имеет производительность 1 Гбит/с и поддерживает VPN с пропускной способностью 100 Мбит/с. Кроме того, эта модель поддерживает до 2 тыс. туннелей VPN и до 500 тыс. одновременных соединений TCP.
В качестве метода защиты в межсетевых экранах компании Cisco используются разновидность алгоритма контекстной проверки Adaptive Security Algorithm (ASA) и внутренняя операционная система PIX OS, позволяющие обеспечить высокую надежность и безопасность со стороны возможных Интернет-атак.
Компанией eSoft, Inc. в ноябре 2002 года представлена новая серия продуктов InstaGate xSP, которая пришла на смену более ранним моделям InstaGate EX2 и InstaGate PRO. Под маркой InstaGate xSP компанией eSoft выпускаются InstaGate xSP Branch Office для небольших и распределенных офисов и InstaGate xSP Business для средних и больших офисов. Продукты серии xSP поставляются с пакетом приложений SoftPak, что позволяет пользователям быстро и легко создавать надежную систему безопасности всего периметра корпоративной сети. Серия продуктов xSP полностью совместима с существующими моделями InstaGate и позволяет создавать виртуальные частные сети на базе IPSec и PPTP. InstaGate xSP Branch Office поддерживает до 10 пользователей и 10 туннелей VPN, а InstaGate xSP Business до 100 пользователей и 100 туннелей VPN. Продукты этой серии отличаются относительно невысокой стоимостью.
Компания 3Com предлагает на рынок два типа межсетевых экранов: SuperStack 3, предназначенные для штаб-квартир корпораций и крупных офисов, а также для клиентов, которым требуется высокопроизводительный доступ к виртуальной частной сети, и OfficeConnect для небольших офисов с числом сотрудников менее ста, домашних офисов и работающих на дому специалистов.
По оценкам производителей, SuperStack 3 поддерживает неограниченное число пользователей корпоративной сети и обеспечивает до 1000 туннелей VPN. Пропускная способность данной модели при шифровании алгоритмом TripleDES составляет 45 Мбит/с.
Модельный ряд OfficeConnect представлен моделями OfficeConnect Internet Firewall 25 и OfficeConnect Internet Firewall DMZ. Модель OfficeConnect Internet Firewall DMZ, используя порт DMZ, позволяет обеспечить безопасный внешний доступ к ресурсам сети. OfficeConnect Internet Firewall DMZ поддерживает до 100 пользователей, а OfficeConnect Internet Firewall 25 25 пользователей. Совместно с межсетевыми экранами OfficeConnect Internet Firewall DMZ и OfficeConnect Internet Firewall 25 используется фильтр Web-сайтов OfficeConnect Web Site Filter, обеспечивающий фильтрацию доступа к нежелательным Web-сайтам. Все межсетевые экраны компании 3Com имеют сертификат ICSA. Семейство межсетевых экранов компании 3Com сочетает исключительную простоту в использовании с гибкостью выбора решений. Межсетевые экраны компании 3Com легко устанавливаются и обеспечивают чрезвычайно высокий уровень защиты. Установка в режиме plug-and-play исключает сложные и длительные процедуры настройки и администрирования без ущерба для строгости, полноты и детальности стратегии безопасности.
Таким образом, применение межсетевых экранов является ключевым элементом в построении высокопроизводительных, безопасных и надежных информационно-аналитических систем и систем автоматизации предприятий, финансовых систем, распределенных баз данных, систем удаленного доступа работников к внутренним ресурсам корпоративных сетей, сегментов корпоративной сети и корпоративной сети в целом.
Интерес к межсетевым экранам (брандмауэр, firewall) со стороны людей, подключенных к интернет, все возрастает и появились даже приложения для локальной сети, предоставляющие повышенный уровень безопасности. В этом разделе мы надеемся изложить что такое межсетевые экраны, как их использовать, и как использовать возможности, предоставляемые ядром FreeBSD для их реализации.
Есть два четко различающихся типа межсетевых экранов, повседневно используемых в современном интернет. Первый тип правильнее называть маршрутизатор с фильтрацией пакетов . Этот тип межсетевого экрана работает на машине, подключенной к нескольким сетям и применяет к каждому пакету набор правил, определяющий переправлять ли этот пакет или блокировать. Второй тип, известный как прокси сервер , реализован в виде даемонов, выполняющих аутентификацию и пересылку пакетов, возможно на машине с несколькими сетевыми подключениями, где пересылка пакетов в ядре отключена.
Иногда эти два типа межсетевых экранов используются вместе, так что только определенной машине (известной как защитный хост (bastion host) ) позволено отправлять пакеты через фильтрующий маршрутизатор во внутреннюю сеть. Прокси сервисы работают на защитном хосте, что обычно более безопасно, чем обычные механизмы аутентификации.
FreeBSD поставляется с встроенным в ядро фильтром пакетом (известным как IPFW), ему будет посвящена оставшаяся часть раздела. Прокси серверы могут быть собраны на FreeBSD из программного обеспечения сторонних разработчиков, но их слишком много и невозможно описать их в этом разделе.
Маршрутизатор это машина, пересылающая пакеты между двумя или несколькими сетями. Маршрутизатор с фильтрацией пакетов запрограммирован на сравнение каждого пакета со списком правил перед тем как решить, пересылать его или нет. Большинство современного программного обеспечения маршрутизации имеет возможности фильтрации, и по умолчанию пересылаются все пакеты. Для включения фильтров, вам потребуется определить набор правил.
Для определения того, должен ли быть пропущен пакет, межсетевой экран ищет в наборе правило, совпадающее с содержимым заголовков пакета. Как только совпадение найдено, выполняется действие, присвоенное данному правилу. Действие может заключаться в отбрасывании пакета, пересылке пакета, или даже в отправлении ICMP сообщения в адрес источника. Учитывается только первое совпадение, поскольку правила просматриваются в определенном порядке. Следовательно, список правил можно назвать «цепочкой правил» .
Критерий отбора пакетов зависит от используемого программного обеспечения, но обычно вы можете определять правила, зависящие от IP адреса источника пакета, IP адреса назначения, номера порта источника пакета, номера порта назначения (для протоколов, поддерживающих порты), или даже от типа пакета (UDP, TCP, ICMP, и т.д.).
Прокси серверы это компьютеры, где обычные системные даемоны (telnetd , ftpd , и т.д.) заменены специальными серверами. Эти серверы называются прокси серверами , поскольку они обычно работают только с входящими соединениями. Это позволяет запускать (например) telnet прокси сервер на межсетевом экране, и делать возможным вход по telnet на межсетевой экран, прохождение механизма аутентификации, и получение доступа к внутренней сети (аналогично, прокси серверы могут быть использованы для выхода во внешнюю сеть).
Прокси серверы обычно лучше защищены, чем другие серверы, и зачастую имеют более широкий набор механизмов аутентификации, включая системы «одноразовых» паролей, так что даже если кто-то узнает, какой пароль вы использовали, он не сможет использовать его для получения доступа к системе, поскольку срок действия пароля истекает немедленно после его первого использования. Поскольку пароль не дает доступа непосредственно к компьютеру, на котором находится прокси-сервер, становится гораздо сложнее установить в систему backdoor.
Прокси серверы обычно имеют способ дополнительного ограничения доступа, так что только определенные хосты могут получить доступ к серверам. Большинство также позволяют администратору указывать, пользователей и компьютеры, к которым они могут обращаться. Опять же доступные возможности в основном зависят от используемого программного обеспечения.
Программное обеспечение IPFW, поставляемое с FreeBSD, это система фильтрации и учета пакетов, находящаяся в ядре и снабженная пользовательской утилитой настройки, ipfw (8) . Вместе они позволяют определять и просматривать правила, используемые ядром при маршрутизации.
IPFW состоит из двух связанных частей. Межсетевой экран осуществляет фильтрацию пакетов. Часть, занимающаяся учетом IP пакетов, отслеживает использование маршрутизатора на основе правил подобных тем, что используются в части межсетевого экрана. Это позволяет администратору определять, например, объем трафика, полученного маршрутизатором от определенного компьютера, или объем пересылаемого WWW трафика.
Благодаря тому, как реализован IPFW, вы можете использовать его и на компьютерах, не являющихся маршрутизаторами для фильтрации входящих и исходящих соединений. Это особый случай более общего использования IPFW, и в этой ситуации используются те же команды и техника.
Поскольку основная часть системы IPFW находится в ядре, вам потребуется добавить один или несколько параметров в файл настройки ядра, в зависимости от требуемых возможностей, и пересобрать ядро. Обратитесь к главе о пересборке ядра (Гл. 8) за подробным описанием этой процедуры.
Внимание: Правилом IPFW по умолчанию является deny ip from any to any. Если вы не добавите других правил во время загрузки для разрешения доступа, то заблокируете доступ к серверу с включенным в ядро межсетевым экраном после перезагрузки. Мы предлагаем указать firewall_type=open в файле /etc/rc.conf при первоначальном добавлении межсетевого экрана, а затем, после тестирования его работоспособности, отредактировать правила в файле /etc/rc.firewall. Дополнительной предосторожностью может быть первоначальная настройка межсетевого экрана с локальной консоли, вместо входа через ssh . Кроме того, возможна сборка ядра с параметрами IPFIREWALL и IPFIREWALL_DEFAULT_TO_ACCEPT. В этом случае правило IPFW по умолчанию будет изменено на allow ip from any to any, что предотвратит возможную блокировку.
Существует четыре параметра настройки ядра, относящихся к IPFW:
options IPFIREWALL
Включает в ядро код для фильтрации пакетов.
Options IPFIREWALL_VERBOSE
Включает протоколирование пакетов через syslogd (8) . Без этого параметра, даже если вы укажете в правилах фильтрации протоколировать пакеты, это не сработает.
Options IPFIREWALL_VERBOSE_LIMIT=10
Ограничивает число пакетов, протоколируемых каждым правилом через syslogd (8) . Вы можете использовать этот параметр если хотите протоколировать работу межсетевого экрана, но не хотите делать возможной DoS атаку путем переполнения syslog.
Когда для одного из правил в цепочке достигается определенный параметром предел, протоколирование для этого правила выключается. Для включения протоколирования, вам потребуется сбросить соответствующий счетчик с помощью утилиты ipfw (8) :
# ipfw zero 4500
где 4500 это номер правила, для которого вы хотите возобновить протоколирование.
Options IPFIREWALL_DEFAULT_TO_ACCEPT
Изменяет правило по умолчанию с «deny» на «allow». Это предотвращает возможное блокирование, если ядро загружено с поддержкой IPFIREWALL, но межсетевой экран еще не настроен. Этот параметр также полезен, если вы используете ipfw (8) в качестве средства от определенных проблем по мере их возникновения. Тем не менее, используйте параметр с осторожностью, поскольку он открывает межсетевой экран и изменяет его поведение.
Замечание: Предыдущие версии FreeBSD содержали параметр IPFIREWALL_ACCT. Этот параметр устарел, поскольку код автоматически включает возможность учета.
Настройка программного обеспечения IPFW выполняется с помощью утилиты ipfw (8) . Синтаксис этой команды выглядит очень сложным, но он становится относительно прост как только вы поймете его структуру.
В настоящее время утилита использует четыре различных категории команд: добавление/удаление (addition/deletion), просмотр (listing), сброс (flushing) и очистка (clearing). Добавление/удаление используется для создания правил, определяющих как пакеты принимаются, отбрасываются и протоколируются. Просмотр используется для определения содержимого набора правил (называемого еще цепочкой) и счетчиков пакетов (учет). Сброс используется для удаления всех правил цепочки. Очистка используется для обнуления одного или нескольких счетчиков.
ipfw [-N] команда [номер] действие протокол адреса [параметры]
При использовании этой формы команды доступен один флаг:
Разрешение адресов и имен сервисов при отображении.
Задаваемая команда может быть сокращена до более короткой уникальной формы. Существующие команды :
Добавление правила к списку фильтрации/учета
Удаление правила из списка фильтрации/учета
Предыдущие версии IPFW использовали отдельные записи для фильтрации и учета пакетов. Современные версии учитывают пакеты для каждого правила.
Если указано значение номер , оно используется для помещения правила на определенную позицию в цепочке. Иначе правило помещается в конец цепочки с номером на 100 больше, чем у предыдущего правила (сюда не включается правило по умолчанию с номером 65535).
С параметром log соответствующие правила выводят информацию на системную консоль, если ядро собрано с опцией IPFIREWALL_VERBOSE.
Существующие действия :
Отбросить пакет и отправить в адрес источникаICMP пакет, сообщающий о недостижимости хоста или порта.
Пропустить пакет как обычно. (синонимы: pass, permit, и accept)
Отбросить пакет. Источнику не выдается ICMP сообщение (как если бы пакет вообще не достиг цели).
Обновить счетчик пакета, но не применять по отношению к нему правила allow/deny. Поиск продолжится со следующего правила в цепочке.
Каждое действие может быть записано в виде более короткого уникального префикса.
Могут быть определены следующие протоколы :
Соответствует всем IP пакетам
Соответствует ICMP пакетам
Соответствует TCP пакетам
Соответствует UDP пакетам
Поле адреса формируется так:
источник адрес/маска [порт ] цель адрес/маска [порт ]
Вы можете указать port только вместе с протоколами , поддерживающими порты (UDP и TCP).
Параметр via опционален и может содержать IP адрес или имя домена локального IP интерфейса, или имя интерфейса (например ed0), он настраивает правило на соответствие только тем пакетам, которые проходят через этот интерфейс. Номера интерфейсов могут быть заменены на опциональную маску. Например, ppp* будет соответствовать PPP интерфейсам ядра.
Синтаксис, используемый для указания адреса/маски :
адрес или адрес /маска-биты или адрес :маска-шаблонВместо IP адреса возможно указание существующего имени хоста. маска-биты это десятичный номер, указывающий количество бит, которые должны быть установлены в маске адреса. Например, 192.216.222.1/24 создаст маску, соответствующую всем адресам подсети класса C (в данном случае, 192.216.222). A valid hostname may be specified in place of the IP address. маска-шаблон это IP, который будет логически перемножен с заданным адресом. Ключевое слово any может использоваться для обозначения «любого IP адреса».
Номера портов указываются в следующем формате:
порт [,порт [,порт [.]]]
Для указания одного порта или списка портов, или
порт -порт
Для указания диапазона портов. Вы можете также комбинировать указание одного диапазона со списком портов, но диапазон всегда должен указываться первым.
Доступные параметры :
Срабатывает, если пакет не является первым пакетом дейтаграммы.
Соответствует входящим пакетам.
Соответствует исходящим пакетам.
Ipoptions spec
Срабатывает, если заголовок IP содержит перечисленный через запятую список параметров, указанных в spec . Поддерживаемые параметры IP: ssrr (strict source route), lsrr (loose source route), rr (record packet route), и ts (time stamp). Действие отдельных параметров может быть изменено путем указания префикса!.
Established
Срабатывает, если пакет является частью уже установленного TCP соединения (т.е. если установлены биты RST или ACK). Вы можете поднять производительность межсетевого экрана, поместив правило с established близко к началу цепочки.
Соответствует, если пакет является попыткой установки TCP соединения (установлен бит SYN, а бит ACK не установлен).
Tcpflags флаги
Срабатывает, если заголовок TCP содержит список перечисленных через запятую флагов . Поддерживаемые флаги: fin, syn, rst, psh, ack, и urg. Действие правил по отдельным флагам может быть изменено указанием префикса!.
Icmptypes типы
Срабатывает, если тип пакета ICMP находится в списке типы . Список может быть указан в виде любой комбинации диапазонов и/или отдельных типов, разделенных запятыми. Обычно используемые типы ICMP: 0 echo reply (ping reply), 3 destination unreachable, 5 redirect, 8 echo request (ping request), и 11 time exceeded (используется для обозначения истечения TTL, как с traceroute (8) ).
Синтаксис этой формы команды такой:
ipfw [-a] [-c] [-d] [-e] [-t] [-N] [-S] list
Для этой формы команды существует семь флагов:
Показывать значения счетчиков. Этот параметр -- единственный путь для просмотра значений счетчиков.
Просмотр правил в компактной форме.
Показывать динамические правила в дополнение к статическим.
Если определен параметр -d, показывать также динамические правила с истекшим сроком действия.
Отображать последнее время срабатывание для каждого правила в цепочке. Этот список несовместим с синтаксисом, принимаемым ipfw (8) .
Попытаться разрешить заданные адреса и имена сервисов.
Отображать набор, к которому принадлежит каждое правило. Если этот флаг не указан, заблокированные правила не будут отображены.
Синтаксис для сброса правил:
Все правила в цепочке будут удалены, за исключением правила по умолчанию, устанавливаемого ядром (номер 65535). Будьте осторожны при сбросе правил; правило, отбрасывающее пакеты по по умолчанию отключит систему от сети, пока разрешающие правила не будут добавлены в цепочку.
Синтаксис для очистки одного или нескольких счетчиков пакетов:
ipfw zero [index ]
При использовании без аргумента номер будут очищены все счетчики пакетов. Если index указан, операция очистки применяется только к указанному правилу цепочки.
Следующая команда запретит все пакеты с хоста evil.crackers.org на telnet порт хоста nice.people.org:
# ipfw add deny tcp from evil.crackers.org to nice.people.org 23
Следующий пример запрещает и протоколирует весь TCP трафик из сети crackers.org (класса C) к компьютеру nice.people.org (на любой порт).
# ipfw add deny log tcp from evil.crackers.org/24 to nice.people.org
Если вы хотите запретить организацию X сессий в вашу сеть (часть сети класса C), следующая команда осуществит необходимую фильтрацию:
# ipfw add deny tcp from any to my.org/28 6000 setup
Для просмотра записей учета:
# ipfw -a list или в краткой форме # ipfw -a l
Вы можете также просмотреть время последнего срабатывания правил с помощью команды:
При первоначальной настройке межсетевого экрана, до тестирования производительности и введения сервера в строй, настоятельно рекомендуется использовать версии команд с протоколированием и включить протоколирование в ядре. Это позволит вам быстро выявить проблемные области и исправить настройку без больших усилий. Даже после завершения первоначальной настройки рекомендуется использовать протоколирование для «deny», поскольку это позволяет отслеживать возможные атаки и изменять правила межсетевого экрана, если требования к нему изменятся.
Замечание: Если вы используете версию команды accept с протоколированием, будьте осторожны, поскольку она может создать большой объем протокольных данных. Будет произведено протоколирование каждого пакета, проходящего через межсетевой экран, поэтому большие объемы FTP/http и другого трафика существенно замедлят систему. Это также увеличит задержку таких пакетов, поскольку ядру требуется выполнить дополнительную работу перед тем, как пропустить пакет. syslogd также будет использовать гораздо больше времени процессора, поскольку он отправит все дополнительные данные на диск, и раздел /var/log может быть быстро заполнен.
Вам потребуется включить межсетевой экран в /etc/rc.conf.local или /etc/rc.conf. Соответствующая страница справочника разъясняет что именно необходимо сделать и содержит примеры готовых настроек. Если вы не используете предустановленную настройку, команда ipfw list может поместить текущий набор правил в файл, откуда он может быть помещен в стартовые файлы системы. Если вы не используете /etc/rc.conf.local или /etc/rc.conf для включения межсетевого экрана, важно убедиться в том, что он включается после настройки интерфейсов.
Далее необходимо определить, что именно делает ваш межсетевой экран! Это в основном зависит от того, насколько широкий доступ вы хотите открыть снаружи к вашей сети. Вот несколько общих правил:
Заблокируйте доступ снаружи к портам TCP с номерами ниже 1024. Здесь расположена большая часть критичных для безопасности сервисов, таких как finger, SMTP (почта) и telnet.
Заблокируйте весь входящий трафик UDP. Есть очень немного полезных сервисов, работающих через UDP, но они обычно представляют угрозу безопасности (например, Sun RPC и NFS протоколы). У этого способа есть и недостатки, поскольку протокол UDP не поддерживает соединения, и запрещение входящих пактов заблокирует также ответы на исходящий UDP трафик. Это может стать проблемой для тех, кто использует внешние серверы, работающие с UDP. Если вы хотите открыть доступ к этим сервисам, потребуется разрешить входящие пакеты с соответствующих портов. К примеру, для ntp вам может потребоваться разрешить пакеты, приходящие с порта 123.
Заблокировать весь трафик снаружи к порту 6000. Порт 6000 используется для доступа к серверам X11, и может быть угрозой безопасности (особенно если у пользователей есть привычка выполнять на своих рабочих станциях команду xhost +). X11 может использовать диапазон портов, начинающийся с 6000, верхний предел определяется количеством X дисплеев, которые могут быть запущены на машине. Верхний предел, определенный RFC 1700 (Assigned Numbers), равен 6063.
Проверьте порты, используемые внутренними сервисами (например, SQL серверами и т.п.). Возможно хорошей идеей является блокирование и этих портов, поскольку они обычно не попадают в диапазон 1-1024, указанный выше.
Еще один список для проверки настроек межсетевого экрана доступен на CERT по адресу http://www.cert.org/tech_tips/packet_filtering.html
Как сказано выше, все эти правила всего лишь руководство . Вы сами сможете решить, какие правила фильтрации будут использованы в межсетевом экране. Мы не можем нести НИКАКОЙ ответственности в случае взлома вашей сети, даже если вы следовали советам, представленным выше.
Многие пользователи хотят знать, как сильно IPFW нагружает систему. Ответ в основном зависит от набора правил и скорости процессора. При небольшом наборе правил для большинства приложений, работающих в Ethernet ответ «незначительно». Для тех, кому нужен более точный ответ, и предназначен этот раздел.
Последующие измерения были выполнены с 2.2.5-STABLE на 486-66. (Хотя IPFW немного изменился в последующих релизах FreeBSD, скорость осталась приблизительно той же.) IPFW был модифицирован для измерения времени, затраченного ip_fw_chk, с выводом на консоль результата после каждого 1000-го пакета.
Были протестированы два набора из 1000 правил. Первый был составлен для демонстрации плохого набора правил путем повторения правила:
# ipfw add deny tcp from any to any 55555
Этот набор правил плох, поскольку большая часть правил IPFW не соответствует проверяемым пакетам (из-за номера порта). После 999-й итерации этого правила следует правило allow ip from any to any.
Второй набор правил был разработан для быстрейшей проверки каждого правила:
# ipfw add deny ip from 1.2.3.4 to 1.2.3.4
Не совпадающий IP адрес источника в правиле выше приведет к очень быстрой проверке этих правил. Как и прежде, 1000-е правило allow ip from any to any.
Затраты на проверку пакета в первом случае приблизительно 2.703 мс/пакет, или приблизительно 2.7 микросекунд на правило. Теоретический предел скорости проверки около 370 пакетов в секунду. Предполагая подключение через 10 Mbps Ethernet и размер пакета приблизительно 1500 байт, получаем только 55.5% использования пропускной способности.
Во втором случае каждый пакет был проверен приблизительно за 1.172 мс, или приблизительно 1.2 микросекунд на правило. Теоретический предел скорости проверки около 853 пакетов в секунду, что делает возможным полное использование пропускной способности 10 Mbps Ethernet.
Чрезмерное количество проверяемых правил и их вид не позволяет составить картину близкую к обычным условиям -- эти правила были использованы только для получения информации о времени проверки. Вот несколько рекомендаций, которые необходимо учесть для создания эффективного набора правил:
Поместите правило established как можно раньше для обработки большей части TCP трафика. Не помещайте перед ним правила allow tcp.
Помещайте часто используемые правила ближе к началу набора чем редко используемые (конечно же, без изменения действия всего набора ). Вы можете определить наиболее часто используемые правила путем проверки счетчиков пакетов командой ipfw -a l.
\\ 06.04.2012 17:16
Межсетевой экран представляет собой комплекс задач по предотвращению несанкционированного доступа, повреждения или хищения данных, либо иного негативного воздействия, которое может повлиять на работоспособность сети.
Межсетевой экран, его также называют фаервол (от англ. Firewall) или брандмауэр на шлюзе позволяет обеспечить безопасный доступ пользователей в сеть Интернет, при этом защищая удаленное подключение к внутренним ресурсам. Межсетевой экран просматривает через себя весь трафик, проходящий между сегментами сети, и для каждого пакета реализует решение - пропускать или не пропускать. Гибкая система правил межсетевого экрана позволяет запрещать или разрешать соединения по многочисленным параметрам: адресам, сетям, протоколам и портам.
Методы контроля трафика между локальной и внешней сетью
Фильтрация пакетов. В зависимости от того удовлетворяет ли поступающий пакет указанным в фильтрах условиям он пропускается в сеть либо отбрасывается.
Stateful inspection. В этом случае осуществляется инспектирование входящего трафика - один из самых передовых способов реализации Firewall. Под инспекцией подразумевается анализ не всего пакета, а лишь его специальной ключевой части и сравнении с заранее известными значениями из базы данных разрешенных ресурсов. Такой метод обеспечивает наибольшую производительность работы Firewall и наименьшие задержки.
Proxy-сервер.В данном случае между локальной и внешней сетями устанавливается дополнительное устройство proxy-сервер, который служит «воротами», через который должен проходить весь входящий и исходящий трафик.
Межсетевой экран позволяет настраивать фильтры, которые отвечают за пропуск трафика по:
IP-адрес. Задав какой-то адрес либо определенный диапазон можно запретить получать из них пакеты, либо наоборот разрешить доступ только с данных IP адресов.
- Порт. Фаервол может настроить точки доступа приложений к услугам сети. К примеру, ftp использует порт 21, а приложения для просмотра web-страниц порт 80.
Протокол. Брандмауэр может быть настроен на пропуск данных только какого-либо одного протокола, либо запретить доступ с его использованием. Чаще всего тип протокола может говорить о выполняемых задачах, используемого им приложения и о наборе параметров защиты. В связи с этим, доступ может быть настроен только для работы какого-либо одного специфического приложения и предотвратить потенциально опасный доступ с использованием всех остальных протоколов.
Доменное имя. В данном случае фильтр запрещает или разрешает соединения конкретных ресурсов. Это позволяет запретить доступ с нежелательных сервисов и приложений сети, либо наоборот разрешить доступ только к ним.
Для настройки могут применяться и другие параметры для фильтров, характерные для данной конкретной сети, в зависимости от выполняемых в ней задач.
Чаще всего межсетевой экран используется в комплексе с другими средствами защиты, к примеру, антивирусное программное обеспечение.
Принцип действия межсетевого экрана
Брандмауэр может быть выполнен:
Аппаратно. В таком случае в роли аппаратного фаервола выступает маршрутизатор, который располагается между компьютером и сетью Интернет. К фаерволу может быть подключено несколько ПК и при этом все они будут защищены межсетевым экраном, который выступает частью маршрутизатора.
Программно. Наиболее распространенный тип межсетевого экрана, который представляют собой специализированное программное обеспечение, которое пользователь устанавливает на свой ПК.
Даже если подключен маршрутизатор со встроенным межсетевым экраном, дополнительно может быть установлен программный фаервол на каждый компьютер в отдельности. В таком случае злоумышленнику будет сложнее проникнуть в систему.
Официальные документы
В 1997 году был принят Руководящий документ Гостехкоммиссии при Президенте РФ "Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации". Данный документ устанавливает пять классов защищенности межсетевого экрана, каждый из которых характеризуется определенной минимальной совокупностью требований по защите информации.
В 1998 году был разработан еще один документ: "Временные требования к устройствам типа межсетевой экран». Согласно данному документу установлено 5 классов защищенности межсетевого экрана, которые применяются для защиты информации в автоматизированных системах, содержащих криптографические средства.
А с 2011 года вступили в силу требования законодательства по сертификации межсетевых экранов. Таким образом, если в сети предприятия осуществляется работа с персональными данными, то требуется установить межсетевой экран, сертифицированный Федеральной службой по экспортному контролю (ФСТЭК).
В последнее время наметилась тенденция по ограничению приватности в сети Интернет. Это связано с ограничениями, которое налагает на пользователя государственное регулирование сети Интернет. Государственное регулирование Интернет существует во многих странах (Китай, Россия, Беларусь).
Афера "Asia Domain Name Registration scam" в Рунете! Вы зарегистрировали или купили домен и создали на нем сайт. Годы идут, сайт развивается, становится популярным. Вот уже и доход с него "закапал". Вы получаете свой доход, оплачиваете домен, хостинг и другие расходы...
Межсетевой экран (МСЭ) - это устройство обеспечения безопасности сети, которое осуществляет мониторинг входящего и исходящего сетевого трафика и на основании установленного набора правил безопасности принимает решения, пропустить или блокировать конкретный трафик.
Межсетевые экраны используются в качестве первой линии защиты сетей уже более 25 лет. Они ставят барьер между защищенными, контролируемыми внутренними сетями, которым можно доверять, и ненадежными внешними сетями, такими как Интернет.
Межсетевой экран может быть аппаратным, программным или смешанного типа.
Это один из первых типов МСЭ. Прокси-сервер служит шлюзом между сетями для конкретного приложения. Прокси-серверы могут выполнять дополнительные функции, например кэширование и защиту контента, препятствуя прямым подключениям из-за пределов сети. Однако это может отрицательно сказаться на пропускной способности и производительности поддерживаемых приложений.
Сегодня МСЭ с контролем состояния сеансов считается «традиционным». Он пропускает или блокирует трафик с учетом состояния, порта и протокола. Он осуществляет мониторинг всей активности с момента открытия соединения и до его закрытия. Решения о фильтрации принимаются на основании как правил, определяемых администратором, так и контекста. Под контекстом понимается информация, полученная из предыдущих соединений и пакетов, принадлежащих данному соединению.
Типичное устройство UTM, как правило, сочетает такие функции, как контроль состояния сеансов, предотвращение вторжений и антивирусное сканирование. Также оно может включать в себя дополнительные службы, а зачастую - и управление облаком. Основные достоинства UTM - простота и удобство.
Современные межсетевые экраны не ограничиваются фильтрацией пакетов и контролем состояния сеансов. Большинство компаний внедряет межсетевые экраны нового поколения, чтобы противостоять современным угрозам, таким как сложное вредоносное ПО и атаки на уровне приложений.
Согласно определению компании Gartner, Inc., межсетевой экран нового поколения должен иметь:
И хотя эти возможности постепенно становятся стандартными для большинства компаний, межсетевые экраны нового поколения способны на большее.
Эти межсетевые экраны сочетают в себе функции традиционного NGFW с возможностями обнаружения и нейтрализации сложных угроз. Межсетевые экраны нового поколения с активной защитой от угроз позволяют:
