Различают несколько типов межсетевых экранов в зависимости от следующих характеристик:

обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;

происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;

отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных межсетевые экраны подразделяются на:

традиционный сетевой (или межсетевой) экран – программа (или неотъемлемая часть операционной системы) на шлюзе (устройстве, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями (объектами распределённой сети);

персональный межсетевой экран – программа, установленная на пользова-тельском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

В зависимости от уровня OSI, на котором происходит контроль доступа, сетевые экраны могут работать на:

сетевом уровне , когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;

сеансовом уровне (также известные, как stateful ), когда отслеживаются сеансы между приложениями и не пропускаются пакеты, нарушающие спецификации TCP/IP, часто используемые в злонамеренных операциях – сканирование ресурсов, взломы через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных;

прикладном уровне (или уровне приложений), когда фильтрация производится на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.

Фильтрация на сетевом уровне

Фильтрация входящих и исходящих пакетов осуществляется на основе информации, содержащейся в следующих полях TCP- и IP-заголовков пакетов: IP-адрес отправителя; IP-адрес получателя; порт отправителя; порт получателя.

Фильтрация может быть реализована различными способами для блокирования соединений с определенными компьютерами или портами. Например, можно блокировать соединения, идущие от конкретных адресов тех компьютеров и сетей, которые считаются ненадежными.

сравнительно невысокая стоимость;

гибкость в определении правил фильтрации;

небольшая задержка при прохождении пакетов.

Недостатки:

не собирает фрагментированные пакеты;

нет возможности отслеживать взаимосвязи (соединения) между пакетами.?

Фильтрация на сеансовом уровне

В зависимости от отслеживания активных соединений межсетевые экраны могут быть:

stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;

stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений.

Межсетевые экраны с SPI позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и зачастую несовместимых со стандартными, stateless сетевыми экранами.

К преимуществам такой фильтрации относится:

анализ содержимого пакетов;

не требуется информации о работе протоколов 7 уровня.

Недостатки:

сложно анализировать данные уровня приложений (возможно с использованием ALG – Application level gateway).

Application level gateway, ALG (шлюз прикладного уровня) – компонент NAT-маршрутизатора, который понимает какой-либо прикладной протокол, и при прохождении через него пакетов этого протокола модифицирует их таким образом, что находящиеся за NAT’ом пользователи могут пользоваться протоколом.

Служба ALG обеспечивает поддержку протоколов на уровне приложений (таких как SIP, H.323, FTP и др.), для которых подмена адресов/портов (Network Address Translation) недопустима. Данная служба определяет тип приложения в пакетах, приходящих со стороны интерфейса внутренней сети и соответствующим образом выполняя для них трансляцию адресов/портов через внешний интерфейс.

Технология SPI (Stateful Packet Inspection) или технология инспекции пакетов с учетом состояния протокола на сегодня является передовым методом контроля трафика. Эта технология позволяет контролировать данные вплоть до уровня приложения, не требуя при этом отдельного приложения посредника или proxy для каждого защищаемого протокола или сетевой службы.

Исторически эволюция межсетевых экранов происходила от пакетных фильтров общего назначения, затем стали появляться программы-посредники для отдельных протоколов, и, наконец, была разработана технология stateful inspection. Предшествующие технологии только дополняли друг друга, но всеобъемлющего контроля за соединениями не обеспечивали. Пакетным фильтрам недоступна информация о состоянии соединения и приложения, которая необходима для принятия заключительного решения системой безопасности. Программы-посредники обрабатывают только данные уровня приложения, что зачастую порождает различные возможности для взлома системы. Архитектура stateful inspection уникальна потому, что она позволяет оперировать всей возможной информацией, проходящей через машину-шлюз: данными из пакета, данными о состоянии соединения, данными, необходимыми для приложения.

Пример работы механизма Stateful Inspection . Межсетевой экран отслеживает сессию FTP, проверяя данные на уровне приложения. Когда клиент запрашивает сервер об открытии обратного соединения (команда FTP PORT), межсетевой экран извлекает номер порта из этого запроса. В списке запоминаются адреса клиента и сервера, номера портов. При фиксировании попытки установить соединение FTP-data, межсетевой экран просматривает список и проверяет, действительно ли данное соединение является ответом на допустимый запрос клиента. Список соединений поддерживается динамически, так что открыты только необходимые порты FTP. Как только сессия закрывается, порты блокируются, обеспечивая высокий уровень защищенности.

Рис. 2.12. Пример работы механизма Stateful Inspection с FTP-протоколом

Фильтрация на прикладном уровне

С целью защиты ряда уязвимых мест, присущих фильтрации пакетов, межсетевые экраны должны использовать прикладные программы для фильтрации соединений с такими сервисами, как, например, Telnet, HTTP, FTP. Подобное приложение называется proxy-службой, а хост, на котором работает proxy-служба – шлюзом уровня приложений. Такой шлюз исключает прямое взаимодействие между авторизованным клиентом и внешним хостом. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне (уровне приложений – верхний уровень сетевой модели) и может анализировать содержимое данных, например, адрес URL, содержащийся в HTTP-сообщении, или команду, содержащуюся в FTP-сообщении. Иногда эффективнее бывает фильтрация пакетов, основанная на информации, содержащейся в самих данных. Фильтры пакетов и фильтры уровня канала не используют содержимое информационного потока при принятии решений о фильтрации, но это можно сделать с помощью фильтрации уровня приложений. Фильтры уровня прил ожений могут использовать информацию из заголовка пакета, а также содержимого данных и информации о пользователе. Администраторы могут использовать фильтрацию уровня приложений для контроля доступа на основе идентичности пользователя и/или на основе конкретной задачи, которую пытается осуществить пользователь. В фильтрах уровня приложений можно установить правила на основе отдаваемых приложением команд. Например, администратор может запретить конкретному пользователю скачивать файлы на конкретный компьютер с помощью FTP или разрешить пользователю размещать файлы через FTP на том же самом компьютере.

К преимуществам такой фильтрации относится:

простые правила фильтрации;

возможность организации большого числа проверок. Защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, что снижает вероятность взлома с использованием "дыр" в программном обеспечении;

способность анализировать данные приложений.

Недостатки:

относительно низкая производительность по сравнению с фильтрацией пакетов;

proxy должен понимать свой протокол (невозможность использования с неизвестными протоколами)?;

как правило, работает под управлением сложных ОС.

Компания D-Link является известным разработчиком и поставщиком аппаратных решений для построения компьютерных сетей любого масштаба. В линейку продуктов также входят устройства для обеспечения защиты сети от внешних угроз: межсетевые экраны и системы обнаружения вторжений. Мы обратились к представителю D-Link с просьбой рассказать, какие технологии используются в аппаратных решениях для обеспечения IT-безопасности, чем аппаратные решения отличаются от своих программных аналогов и в каких случаях, какой класс продуктов наиболее оптимален. Определенная часть интервью также посвящена специфике российского рынка решений в сфере IT-безопасности, а также его тенденциям и перспективам. На наши вопросы отвечает Иван Мартынюк, консультант по проектам компании D-Link.

Иван Мартынюк, консультант по проектам компании D-Link

Алексей Доля : Вы не могли немного рассказать о своей компании?

Иван Мартынюк : По меркам IT-индустрии компания D-Link является довольно старой компанией. Она была организована в марте 1986 года. 87 региональных офисов компании осуществляют продажу и поддержку оборудования на территории более чем 100 стран мира. В компании работает более трёх тысяч сотрудников. Если говорить о сфере деятельности компании, то D-Link является крупнейшим производителем сетевого оборудования для сегментов малого и среднего бизнеса, так, согласно ряду исследований потребительского сектора рынка сетевого оборудования, проведенных аналитической компанией Synergy Research Group, D-Link занимает первое место в мире по объему продаж оборудования в этом секторе. По данным Synergy Research Group, в первом квартале 2004 года компания D-Link продала более 8 миллионов сетевых устройств, что почти в два раза превосходит количество устройств, проданных ее ближайшим конкурентом. А по оценкам IDC, D-Link занимает первое место по продажам коммутаторов и беспроводного оборудования в странах Азиатско-Тихоокеанского региона.


Алексей Доля : Как давно вы занимаетесь разработкой продуктов для защиты сетей? Что это за продукты?

Иван Мартынюк : Первые специализированные продукты для защиты сетей появились у нашей компании не очень давно - в 2002 году. Относительно позднее появление компании в этом сегменте вызвано политикой работы на рынке. D-Link занимается выпуском только массовой "устоявшейся" продукции, которая обладает высоким рыночным спросом. Компания не разрабатывает новейшие технологии и протоколы, а использует в своих продуктах уже хорошо отлаженные стандартизированные спецификации. Ещё одним отличием нашей компании от других является то, что мы сами не только разрабатываем устройства вплоть до разработки некоторых микросхем и пишем для них программное обеспечение, а ещё и сами производим их на собственных заводах. У компании есть несколько центров разработки и заводов, которые находятся в разных странах мира. Продукты для защиты сетей разрабатываются и производятся на Тайване. На сегодняшний день, эта продуктовая линейка довольно широка и включает в себя: маршрутизаторы и коммутаторы, обладающие функциями защиты сетей, межсетевые экраны и системы обнаружения вторжений, а также специализированные устройства, например, беспроводные шлюзы, которые обладают некоторыми функциональными особенностями, специально предназначенными для использования в беспроводных сетях, - это специфические для беспроводных сетей средства обеспечения безопасности, средства аутентификации и тарификации пользователей и др.


Алексей Доля : Вы не могли бы подробно рассказать о функционале ваших межсетевых экранов и средств обнаружения вторжений, от каких атак они защищают?

Иван Мартынюк : На сегодняшний день существует три поколения межсетевых экранов. Первое поколение - это межсетевые экраны с пакетной фильтрацией. Эти устройства могут выполнять анализ пакетов на сетевом и транспортном уровнях, то есть анализировать IP-адреса, а также TCP и UDP порты источника и назначения, и на основании этой информации принимать решение о том, что делать дальше с этим пакетом: разрешить его прохождение, запретить, изменить приоритет и т.д. Второе поколение устройств - это межсетевые экраны посредники (Proxy). Данные устройства могут выполнять анализ информации на всех семи уровнях, вплоть до уровня приложений и соответственно обеспечивают очень высокий уровень защиты. При этом такие устройства не напрямую передают пакеты во внешний мир, а выступают в качестве агента-посредника между внутренними приложениями и внешними службами, что в случае попытки взлома приводит к взлому межсетевого экрана, а не внутреннего хоста. Соответственно, такие устройства для обеспечения высокой производительности требуют высокоскоростных аппаратных платформ и имеют самую высокую стоимость. Третье поколение - это межсетевые экраны с анализом пакетов и сохранением состояния (Stateful Packet Inspections - SPI). Эти устройства по своей работе похожи на экраны с пакетной фильтрацией, но они анализируют большее число полей в пакетах, например, флаги и последовательные номера пакетов, а также сохраняют информацию о ранее проходивших пакетах и, соответственно, обеспечивают более высокий уровень защиты. Такие устройства могут запрещать прохождение пакетов с одного интерфейса на другой, в случае, если они не являются частью предварительно установленной сессии в обратном направлении, или разрывать сессию, если в ней замечены какие-то нарушения. Данные устройства требуют практически таких же вычислительных ресурсов, как и межсетевые экраны с пакетной фильтрацией и не сильно отличаются от них по цене, но обеспечивают гораздо более высокий уровень защиты.
Системы обнаружение вторжений (Intrusion Detection System - IDS) - это ещё более интеллектуальные устройства, которые не только работают на всех семи уровнях, а ещё и содержат средства, позволяющие более детально анализировать содержимое пакетов и обнаруживать замаскированные троянские программы и вирусы или другие вредоносные действия. Для этого такие системы содержат заранее подготовленные базы сигнатур атак и вирусов, а также обладают системами эвристического анализа, позволяющими в некоторых случаях блокировать те атаки, сигнатуры которых не содержатся в базе.
Если говорить о наших устройствах, то в зависимости от модели они обладают одними или другими функциональными возможностями.


Алексей Доля : Какие конкретно технологии и алгоритмы применяются для защиты сетей, то есть, как именно работают ваши межсетевые экраны?

Иван Мартынюк : Все наши межсетевые экраны: DFL-100, DFL-200, DFL-600, DFL-700, DFL-900, DFL-1100, DFL-1500 являются экранами с анализом пакетов и сохранением состояния (SPI), поддерживают функцию трансляции адресов (Network Address Translation - NAT), которая позволяет скрыть внутреннюю структуру сети, защищают от атак типа "отказ в обслуживании" (DoS - это отдельная группа атак, направленных на вывод хоста или службы из рабочего состояния), позволяют ограничить доступ локальных пользователей к определённым внешним web-ресурсам и поддерживают средства построения виртуальных частных сетей (Virtual Private Network - VPN) при помощи протоколов: IPSec, PPTP и L2TP. Причём, все вышеперечисленные функции обеспечения безопасности поддерживаются не только в специализированных устройствах - межсетевых экранах, а и в более дешёвых - интернет-шлюзах серии DI-8xx (DI-804HV, DI-808HV, DI-824VUP+). Розничная стоимость самого младшего устройства (DI-804HV) составляет всего 99$, что делает его доступным практически для каждой компании и даже домашних пользователей.
Старшие модели устройств поддерживают и другие, более сложные механизмы обеспечения безопасности. Например, устройства: DFL-200, DFL-600, DFL-700, DFL-900, DFL-1100 и DFL-1500 позволяют производить аутентификацию пользователей встроенными или внешними средствами. DFL-600, DFL-700, DFL-900, DFL-1100 и DFL-1500 позволяют управлять полосой пропускания канала. DFL-200, DFL-700, DFL-900, DFL-1100 и DFL-1500 имеют встроенный модуль системы обнаружения вторжений (IDS), с обновляемой базой сигнатур. DFL-900 и DFL-1500 имеют встроенные модули-посредники (Proxy) для протоколов: HTTP, FTP, SMTP и POP3, т.е. являются межсетевыми экранами-посредниками, и при работе на этих протоколах обеспечивают не только более высокий уровень безопасности, а ещё и позволяют выполнять контроль содержимого. Например, позволяют ограничить доступ пользователя к определённым web-ресурсам, причём, в отличие от других моделей, где администратор должен был вводить эти ресурсы вручную, в DFL-900 и DFL-1500 имеется встроенная категоризированная база, которая автоматически обновляется, и единственное, что нужно администратору - это выбрать разрешённые или запрещённые для доступа категории web-сайтов. Также доступ может быть ограничен на основании содержимого web-страницы или к определённому ресурсу, который администратор ввёл вручную. Может быть заблокировано выполнение Java или ActiveX апплетов и скриптов, загрузка Cookies. На протоколах FTP, SMTP и POP3 может быть заблокирована загрузка определённых типов файлов. Устройства: DFL-1100 и DFL-1500 поддерживают режим высокой доступности, то есть позволяют установить параллельно два устройства и в автоматическом режиме переключиться на резервное, если основное вышло со строя.
Кроме того, все устройства отличаются друг от друга производительностью, количеством интерфейсов, наличием некоторых дополнительных функциональных возможностей и, естественно, стоимостью.


Алексей Доля : Как работают ваши системы обнаружения вторжений?

Иван Мартынюк : Наши системы обнаружения вторжений (DFL-2100 и DFL-2400) являются классическими прозрачными сетевыми системами обнаружения вторжений (Transparent Network based Intrusion Detection System - TNIDS). То есть, это выделенные аппаратные устройства, которые устанавливаются в разрыв сети и анализируют весь проходящий через них трафик. Анализ может производиться на основании базы сигнатур, которая периодически обновляется, или на основе эвристического анализа, позволяющего обнаруживать новые атаки, которых нет в перечне сигнатур. В случае обнаружения атаки система записывает информацию в лог файл, может выполнить уведомление системного администратора, заблокировать прохождение пакетов или разорвать сессию. С системами поставляется специальное программное обеспечение - Policy Server, позволяющее выполнять гибкое управление системами обнаружения вторжений, принимать сообщения об атаках, обновлять базы сигнатур, создавать системному администратору свои собственные сигнатуры, строить различные отчёты и выполнять мониторинг трафика в реальном режиме времени. Между собой DFL-2100 и DFL-2400 отличаются только производительностью.


Алексей Доля : Вы не могли бы сравнить концепции использования аппаратных и программных средств защиты сетей (брандмауэров и систем обнаружения вторжений)? Какие плюсы и минусы есть у этих двух категорий продуктов относительно друг друга?

Иван Мартынюк : При разработке программных решений существует меньше различных технологических ограничений и к этому процессу привлекается, как правило, меньшее количество разработчиков, соответственно, удельная стоимость таких решений зачастую ниже. Это справедливо и для межсетевых экранов. Стоимость программных межсетевых экранов по сравнению с аналогичными по функциональным возможностям аппаратными решениями - ниже. При этом программные решения оказываются гибче. К ним в будущем проще добавить дополнительные функциональные возможности или исправить допущенные ранее ошибки. Из того, что я сказал, получается, что аппаратные решения как бы и не нужны - программные и функциональнее и дешевле. Но не всё так просто. Во-первых, для конечного пользователя программное решение может оказаться дороже, чем аппаратное, так как законченное решение включает в себя не только стоимость программного обеспечения межсетевого экрана, а и стоимость операционной системы, поверх которой работает брандмауэр, а также стоимость аппаратной платформы, производительность которой должна быть гораздо выше, чем в случае аппаратного решения. Свободно распространяемые бесплатные межсетевые экраны практически не применяются компаниями. По анализам различных агентств такое программное обеспечение применяет порядка 3-5% компаний. Низкий процент использования обусловлен в основном проблемами с поддержкой, что очень критично для данного класса оборудования, а в некоторых случаях и с качеством такого программного обеспечения. Во-вторых, программные решения обладают ещё целым рядом недостатков, и основным из них является то, что их взлом или обход можно произвести не напрямую, а через уязвимости операционной системы, поверх которой они работают. А количество уязвимостей, содержащихся в операционных системах гораздо выше, чем в специализированном программном обеспечении межсетевого экрана или их аппаратных аналогах. Кроме того, надёжность программных решений ниже, так как они работают на универсальных аппаратных платформах, которые содержат большое количество компонентов (чем меньше компонентов содержит система, тем выше её надёжность). Причём, некоторые из этих компонентов содержат: движущиеся механические элементы (винчестеры, вентиляторы), у которых наработка на отказ гораздо ниже, чем у электронных; магнитные элементы (винчестеры), которые имеют низкую стойкость к повреждениям и подвержены электромагнитному излучению; большое количество контактных групп, т.е. высока вероятность возникновения проблем, связанных с нарушением контакта. Программные межсетевые экраны требуют более высокого уровня квалификации от обслуживающего их персонала, так как необходимо правильно настроить не только сам экран, а и операционную систему, что не так просто, как многие полагают. Некоторые программные межсетевые экраны даже не продаются без предоставления платных услуг по их настройке. Программные межсетевые экраны более дорогие в обслуживании, так как необходимо постоянно отслеживать не только обнаруженные уязвимости в специализированном программном обеспечении и устанавливать заплатки, а и уязвимости операционных систем, которых, как я уже сказал, гораздо больше. Кроме того, возможны некоторые проблемы с совместимостью между программным обеспечением, особенно после установки дополнительных заплаток. Также необходимо постоянно отслеживать состояние механических и магнитных компонентов на отсутствие повреждений. Помещение, в котором находится программный межсетевой экран, должно иметь более строгие правила по допуску персонала, так как универсальная аппаратная платформа позволяет произвести подключение к ней различными путями. Это и внешние порты (USB, LPT, RS-232), и встроенные приводы (CD, Floppy), а, вскрыв платформу можно подключиться через IDE или SCSI интерфейс. При этом операционная система позволяет установить различные вредоносные программы. И, наконец, универсальная аппаратная платформа имеет большую потребляемую мощность, что негативно сказывается на её времени работы от источника бесперебойного питания в случае пропадания электроэнергии. Споры о том, какие решения, в конечном итоге, программные или аппаратные лучше ведутся давно, но я хотел бы заметить, что любые технические средства - это лишь инструмент в руках тех, кто их эксплуатирует. И в большинстве случаев, проблемы с безопасностью происходят по причине невнимательности или низкой квалификации ответственного за это персонала, а не выбора той или иной платформы.


Алексей Доля : В каких случаях вы считаете целесообразным использовать именно аппаратные решения для защиты сетей, а в каких - программные? Желательно парочку примеров сценариев использования продуктов.

Иван Мартынюк : Применение программных межсетевых экранов оправдано в случае необходимости использования какой-то очень специфической функциональной возможности, которой не обладают аппаратные решения, например, необходим модуль посредник для какого-то экзотического протокола, или наоборот, необходимо получить очень дешёвое решение, при этом у компании или пользователя уже есть аппаратная платформа и операционная система. В любом случае, нужно учитывать все недостатки и достоинства обоих решений и выбирать компромиссное.


Алексей Доля : Правильно ли я понимаю, что домашним пользователям аппаратные брандмауэры просто не нужны?

Иван Мартынюк : Я бы так не сказал. Применение тех или иных средств защиты зависит не от того, кто этот пользователь: домашний или корпоративный, большая это компания или маленькая, а от стоимости информации, которую нужно защищать, т.е. от потерь, которые понесёт пользователь в случае нарушения одной или нескольких функций защиты - нарушения конфиденциальности, целостности или доступности информации. Как правило, действительно, чем больше компания, тем больше у неё информации, которая носит конфиденциальный характер и потери компании в этом случае выше. Но и обычный пользователь, например, руководитель той же компании на своём домашнем компьютере может содержать информацию, потеря которой может обойтись очень дорого. Соответственно, его компьютер должен быть защищён не хуже, чем корпоративная сеть. Выбор средств защиты и их стоимость, как правило, и определяется стоимостью защищаемой информации. Другими словами, не имеет смысла тратиться на средства защиты больше, чем стоит сама информация. Проблема состоит в другом - в определении стоимости информации. Если речь заходит о защите информации, которая принадлежит государству, то тут в силу вступают законодательные акты, которые регламентируют необходимый уровень защиты.


Алексей Доля : Судя по опыту ведения бизнеса в России, вы можете проследить темпы роста рынка аппаратных средств защиты сетей за последние несколько лет?

Иван Мартынюк : Я уже говорил, что компания имеет трёхлетний опыт работы в этом сегменте рынка. И для нас 2004 год в этом плане был показательным. Объёмы продаж устройств в денежном выражении по сравнению с предыдущим годом увеличились более чем на 170%. Если судить по отчётам аналитических агентств, то в прошедшем году значительный рост в этом сегменте наблюдался не только у нас, а и у других компаний, выпускающих такое оборудование. Рынок систем безопасности в том виде, в котором он существует, сформировался где-то в 1997 году но, только начиная с прошлого года его можно считать массовым.


Алексей Доля : Есть ли специфика ведения бизнеса в российском сегменте рынка аппаратных средств защиты по сравнению с другими странами?

Иван Мартынюк : Да, действительно российский рынок немного отличается от мирового. Связано это, скорее всего, с экономическим состоянием страны и менталитетом. Во-первых, отличается сама структура рынка систем обеспечения безопасности. Если в мировом масштабе рынок аппаратных средств более чем в два раза превышает рынок программных продуктов, то в России их доли примерно одинаковы. Вызвано это определёнными экономическими проблемами и, соответственно, высоким уровнем распространения пиратского программного обеспечения. В России практически отсутствует очень популярный в других странах рынок аутсорсинговых услуг в сфере обеспечения безопасности. Данный бизнес не развит, так как многие руководители считают не безопасным отдавать решение проблем защиты информации третьим лицам, и экономически более выгодным решать проблемы силами собственных специалистов, уровень квалификации которых зачастую не удовлетворяет минимальным требованиям. То, что Российские сети лучше защищены, и у нас более высокий уровень персонала - это такой же миф, как и то, что свободно распространяемое программное обеспечение надёжнее коммерческого. Поэтому и способ ведения бизнеса в России немного отличается. У нас особое внимание приходится уделять не работе с системными интеграторами и аутсорсинговыми компаниями, а с конечными пользователями, потребителями продукции.


Алексей Доля : Можете сделать прогноз на будущее, как будет развиваться отрасль защиты информации в ближайшие несколько лет?

Иван Мартынюк : В последнее время всё больше ущерба и неудобства пользователям приносят атаки, реализованные на уровне приложений, а также вирусы, Spyware и спам. Соответственно, разработчиками будет больше внимания уделено системам, работающим именно на этом уровне - это и различные межсетевые экраны-посредники, системы контроля содержимого (Content Management), системы обнаружения и предотвращения вторжений. Получат большее распространение, и будут развиваться в функциональном плане различные распределённые системы, позволяющие принимать решение об атаке и способе её отражения на основании информации, полученной от различных источников, систем и зондов.


Алексей Доля : Вы не могли раскрыть мысль специалистов известной компании The Yankee Group о том, что в ближайшие годы акцент при построении защитных систем будет плавно перемещаться - от противодействия "внешним" хакерским нападениям к защите от нападений "изнутри"?

Иван Мартынюк : Если посмотреть на отчёты различных аналитических агентств, то можно заметить один парадокс. С одной стороны, компаний, которые используют средства защиты, обеспечивающие безопасность по периметру сети - гораздо больше, чем тех, которые защищаются и от атак изнутри, а с другой, потери компаний от реализованных "внутренних" атак гораздо выше, чем от "внешних". Специалисты в этой области, естественно, надеются, что когда-нибудь персонал компаний, ответственный за обеспечение безопасности, одумается, и будет уделять внимание внутренним угрозам не меньшее, чем внешним.


Алексей Доля : Какую техническую поддержку вы оказываете покупателям своих продуктов? Судя по информации предоставленной на вашем сайте, D-Link предоставляет дополнительные сервисные услуги, FAQ, Базу Знаний, HELPER и многое другое. Нельзя ли поподробнее?

Иван Мартынюк : Хотя компания D-Link и специализируется на производстве оборудования для сегментов малого и среднего бизнеса, но в нашем арсенале есть довольно высокофункциональные и сложные продукты, освоить которые не просто даже высококвалифицированному специалисту. Если вы зайдёте на наш web-сайт, то увидите, что у компании очень большое количество региональных офисов, которые оказывают поддержку на местах. Чем ближе вы к человеку, тем лучше его понимаете и сможете предложить ему лучшее техническое решение или решить его проблему более оперативно. В этом случае человеку проще позвонить к вам или подъехать, или вы сами можете подъехать к пользователю и решить проблему на месте. Компанией также поддерживается русскоязычный web-сайт, на котором можно найти подробную информацию о продуктах, узнать, где их можно приобрести, прочитать новости. Одним из наибольших разделов сайта является раздел технической поддержки, который содержит ответы на часто задаваемые вопросы (FAQ), базу знаний (Knowledge Base), в которой есть ответы на многие технические вопросы, помощник (Helper), который пригодится при построении сети начинающим пользователям, эмуляторы интерфейсов устройств, форум, где можно обсудить различные технические аспекты применения оборудования, как с другими пользователями, так и сотрудниками D-Link, а также множество другой полезной технической информации. Кроме web-сайта, поддерживается и FTP-сайт, откуда можно загрузить полные руководства пользователя для устройств, причём многие из них переведены на русский язык, а также прошивки, драйвера и другое программное обеспечение, и документацию для оборудования.


Алексей Доля : Помимо технической поддержки вы занимаетесь обучением? Семинары, курсы?

Иван Мартынюк : Во всех наших региональных офисах регулярно проводятся бесплатные технические семинары, которые позволяют интерактивно общаться с пользователями и донести до них ту информацию, которую невозможно предоставить через средства массовой информации или web-сайт. Повышение технического уровня IT-специалистов в результате положительно сказывается на уровне технических решений, реализуемых ими и объёмах продаж нашего оборудования. Семинары состоят из двух частей: теоретической, где рассказывается о принципах построения сетей, сетевых протоколах, технологиях и наших продуктах и практической, где показывается, как эти продукты настраивать под конкретные задачи.


Алексей Доля : Хотите сказать что-нибудь нашим читателям напоследок?

Иван Мартынюк : Хотелось бы заметить, что межсетевые экраны и системы обнаружения вторжений являются необходимыми, но не достаточными средствами защиты информации. К этому вопросу нужно подходить масштабно и внедрять так называемую "Комплексную систему защиты информации", которая представляет собой комплекс организационно-правовых и технических мероприятий. Решение задачи информационной безопасности всегда начинают с анализа информации, циркулирующей на предприятии, её классификации и определения ценности, потом выявляют множество потенциально возможных угроз, причём многие из них могут быть естественного характера, например, отказ оборудования, природные катаклизмы, ошибка персонала и др., и только после этого выбирают необходимую модель и средства защиты. Кроме того, даже правильно спроектированная и построенная система защиты не будет всегда эффективно защищать вашу сеть, так как её логическая и физическая структура постоянно изменяется, постоянно изменяется организационная структура предприятия, и появляются новые виды угроз. Систему защиты постоянно нужно анализировать и подстраивать под изменившиеся обстоятельства. Безопасность - это процесс.


Алексей Доля : Большое спасибо, что согласились ответить на наши вопросы. Мы и дальше будем следить за успехами вашей компании и ее продуктов!

Зачем нужен сетевой экран в роутере

Беспроводная сеть нуждается в тщательной защите, ведь возможности для перехвата информации здесь создаются самые благоприятные. Поэтому, если с помощью маршрутизатора (роутера) в сеть объединяется несколько компьютеров, сетевой экран должен стоять и использоваться не только на каждом компьютере, но и на роутере. Например, функцию сетевого экрана в роутере серии DI-XXX выполняет SPI, осуществляющая дополнительную проверку пакетов. Предметом проверки является принадлежность пакетов к установленному соединению.

Во время сессии соединения открывается порт, который могут пытаться атаковать посторонние пакеты, особенно благоприятный момент для этого - когда сессия завершена, а порт остается открытым еще несколько минут. Поэтому SPI запоминает текущее состояние сессии и анализирует все входящие пакеты. Они должны соответствовать ожидаемым - приходить с того адреса, на который был отправлен запрос, иметь определенные номера. Если пакет не соответствует сессии, то есть является некорректным, он блокируется, и это событие регистрируется в логе. Еще сетевой экран на роутере позволяет блокировать исходящие соединения с зараженного компьютера.

Говоря о программно-аппаратной составляющей системы информационной безопасности, следует признать, что наиболее эффективный способ защиты объектов локальной сети (сегмента сети) от воздействий из открытых сетей (например, Интернета), предполагает размещение некоего элемента, осуществляющего контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Такой элемент получил название межсетевой экран (сетевой экран) или файрволл, брандмауэр .

Файрволл, файрвол, файервол, фаервол – образовано транслитерацией английского термина firewall.

Брандмауэр (нем. Brandmauer) – заимствованный из немецкого языка термин, являющийся аналогом английского "firewall" в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара).

Сетевой/межсетевой экран (МСЭ) – комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов по различным протоколам в соответствии с заданными правилами.

Основной задачей межсетевого экрана является защита компьютерных сетей и/или отдельных узлов от несанкционированного доступа. Иногда межсетевые экраны называют фильтрами , так как их основная задача – не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Для того чтобы эффективно обеспечивать безопасность сети, межсетевой экран отслеживает и управляет всем потоком данных, проходящим через него. Для принятия управляющих решений для TCP/IP-сервисов (то есть передавать, блокировать или отмечать в журнале попытки установления соединений) межсетевой экран должен получать, запоминать, выбирать и обрабатывать информацию, полученную от всех коммуникационных уровней и от других приложений.

Межсетевой экран пропускает через себя весь трафик, принимая относительно каждого проходящего пакета решение: дать ему возможность пройти или нет. Для того чтобы межсетевой экран мог осуществить эту операцию, ему необходимо определить набор правил фильтрации. Решение о том, фильтровать ли с помощью межсетевого экрана пакеты данных, связанные с конкретными протоколами и адресами, зависит от принятой в защищаемой сети политики безопасности. По сути, межсетевой экран представляет собой набор компонентов, настраиваемых для реализации выбранной политики безопасности . Политика сетевой безопасности каждой организации должна включать (кроме всего прочего) две составляющие: политика доступа к сетевым сервисам и политика реализации межсетевых экранов.

Однако недостаточно просто проверять пакеты по отдельности. Информация о состоянии соединения, полученная из инспекции соединений в прошлом и других приложений – главный фактор в принятии управляющего решения при попытке установления нового соединения. Для принятия решения могут учитываться как состояние соединения (полученное из прошлого потока данных), так и состояние приложения (полученное из других приложений).

Таким образом, управляющие решения требуют, чтобы межсетевой экран имел доступ, возможность анализа и использования следующих факторов:

• информации о соединениях – информация от всех семи уровней (модели OSI) в пакете;
• истории соединений – информация, полученная от предыдущих соединений;
• состоянии уровня приложения – информация о состоянии соединения, полученная из других приложений;
• манипулировании информацией – вычисление разнообразных выражений, основанных на всех вышеперечисленных факторах.

Типы межсетевых экранов

Различают несколько типов межсетевых экранов в зависимости от следующих характеристик:

• обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
• происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;
• отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных межсетевые экраны подразделяются на:

• традиционный сетевой (или межсетевой) экран – программа (или неотъемлемая часть операционной системы) на шлюзе (устройстве, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями (объектами распределённой сети);
• персональный межсетевой экран – программа, установленная на пользова-тельском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

В зависимости от уровня OSI, на котором происходит контроль доступа, сетевые экраны могут работать на:

• сетевом уровне , когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
• сеансовом уровне (также известные, как stateful ), когда отслеживаются сеансы между приложениями и не пропускаются пакеты, нарушающие спецификации TCP/IP, часто используемые в злонамеренных операциях – сканирование ресурсов, взломы через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных;
• прикладном уровне (или уровне приложений), когда фильтрация производится на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.

Фильтрация на сетевом уровне

Фильтрация входящих и исходящих пакетов осуществляется на основе информации, содержащейся в следующих полях TCP- и IP-заголовков пакетов: IP-адрес отправителя; IP-адрес получателя; порт отправителя; порт получателя.

Фильтрация может быть реализована различными способами для блокирования соединений с определенными компьютерами или портами. Например, можно блокировать соединения, идущие от конкретных адресов тех компьютеров и сетей, которые считаются ненадежными.

• сравнительно невысокая стоимость;
• гибкость в определении правил фильтрации;
• небольшая задержка при прохождении пакетов.

Недостатки:

• не собирает фрагментированные пакеты;
• нет возможности отслеживать взаимосвязи (соединения) между пакетами.?

Фильтрация на сеансовом уровне

В зависимости от отслеживания активных соединений межсетевые экраны могут быть:

• stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
• stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений.

Межсетевые экраны с SPI позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и зачастую несовместимых со стандартными, stateless сетевыми экранами.

К преимуществам такой фильтрации относится:

• анализ содержимого пакетов;
• не требуется информации о работе протоколов 7 уровня.

Недостатки:

• сложно анализировать данные уровня приложений (возможно с использованием ALG – Application level gateway).

Application level gateway, ALG (шлюз прикладного уровня) – компонент NAT-маршрутизатора, который понимает какой-либо прикладной протокол, и при прохождении через него пакетов этого протокола модифицирует их таким образом, что находящиеся за NAT’ом пользователи могут пользоваться протоколом.

Служба ALG обеспечивает поддержку протоколов на уровне приложений (таких как SIP, H.323, FTP и др.), для которых подмена адресов/портов (Network Address Translation) недопустима. Данная служба определяет тип приложения в пакетах, приходящих со стороны интерфейса внутренней сети и соответствующим образом выполняя для них трансляцию адресов/портов через внешний интерфейс.

Технология SPI (Stateful Packet Inspection) или технология инспекции пакетов с учетом состояния протокола на сегодня является передовым методом контроля трафика. Эта технология позволяет контролировать данные вплоть до уровня приложения, не требуя при этом отдельного приложения посредника или proxy для каждого защищаемого протокола или сетевой службы.

Исторически эволюция межсетевых экранов происходила от пакетных фильтров общего назначения, затем стали появляться программы-посредники для отдельных протоколов, и, наконец, была разработана технология stateful inspection. Предшествующие технологии только дополняли друг друга, но всеобъемлющего контроля за соединениями не обеспечивали. Пакетным фильтрам недоступна информация о состоянии соединения и приложения, которая необходима для принятия заключительного решения системой безопасности. Программы-посредники обрабатывают только данные уровня приложения, что зачастую порождает различные возможности для взлома системы. Архитектура stateful inspection уникальна потому, что она позволяет оперировать всей возможной информацией, проходящей через машину-шлюз: данными из пакета, данными о состоянии соединения, данными, необходимыми для приложения.

Пример работы механизма Stateful Inspection . Межсетевой экран отслеживает сессию FTP, проверяя данные на уровне приложения. Когда клиент запрашивает сервер об открытии обратного соединения (команда FTP PORT), межсетевой экран извлекает номер порта из этого запроса. В списке запоминаются адреса клиента и сервера, номера портов. При фиксировании попытки установить соединение FTP-data, межсетевой экран просматривает список и проверяет, действительно ли данное соединение является ответом на допустимый запрос клиента. Список соединений поддерживается динамически, так что открыты только необходимые порты FTP. Как только сессия закрывается, порты блокируются, обеспечивая высокий уровень защищенности.

Фильтрация на прикладном уровне

С целью защиты ряда уязвимых мест, присущих фильтрации пакетов, межсетевые экраны должны использовать прикладные программы для фильтрации соединений с такими сервисами, как, например, Telnet, HTTP, FTP. Подобное приложение называется proxy-службой , а хост, на котором работает proxy-служба – шлюзом уровня приложений. Такой шлюз исключает прямое взаимодействие между авторизованным клиентом и внешним хостом. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне (уровне приложений – верхний уровень сетевой модели) и может анализировать содержимое данных, например, адрес URL, содержащийся в HTTP-сообщении, или команду, содержащуюся в FTP-сообщении. Иногда эффективнее бывает фильтрация пакетов, основанная на информации, содержащейся в самих данных. Фильтры пакетов и фильтры уровня канала не используют содержимое информационного потока при принятии решений о фильтрации, но это можно сделать с помощью фильтрации уровня приложений. Фильтры уровня приложений могут использовать информацию из заголовка пакета, а также содержимого данных и информации о пользователе. Администраторы могут использовать фильтрацию уровня приложений для контроля доступа на основе идентичности пользователя и/или на основе конкретной задачи, которую пытается осуществить пользователь. В фильтрах уровня приложений можно установить правила на основе отдаваемых приложением команд. Например, администратор может запретить конкретному пользователю скачивать файлы на конкретный компьютер с помощью FTP или разрешить пользователю размещать файлы через FTP на том же самом компьютере.

Сравнение аппаратных и программных межсетевых экранов

Для сравнения межсетевых экранов разделим их на два типа: 1-й – аппаратные и программно-аппаратные и 2-й – программные.

К аппаратным и программно-аппаратным межсетевым экранам относятся устройства, установленные на границе сети. Программные межсетевые экраны – это те, которые установлены на конечных хостах.

Основные направления, присущие и первому, и второму типам:

• обеспечение безопасности входящего и исходящего трафика;
• значительное увеличение безопасности сети и уменьшение риска для хостов подсети при фильтрации заведомо незащищенных служб;
• возможность контроля доступа к системам сети;
• уведомление о событиях с помощью соответствующих сигналов тревоги, которые срабатывают при возникновении какой-либо подозрительной деятельности (попытки зондирования или атаки);
• обеспечение недорогого, простого в реализации и управлении решения безопасности.

Аппаратные и программно-аппаратные межсетевые экраны дополнительно поддерживают функционал, который позволяет:

• препятствовать получению из защищенной подсети или внедрению в защищенную подсеть информации с помощью любых уязвимых служб;
• регистрировать попытки доступа и предоставлять необходимую статистику об использовании Интернет;
• предоставлять средства регламентирования порядка доступа к сети;
• обеспечивать централизованное управление трафиком.

Программные межсетевые экраны, кроме основных направлений, позволяют:

• контролировать запуск приложений на том хосте, где установлены;
• защищать объект от проникновения через "люки" (back doors);
• обеспечивать защиту от внутренних угроз.

Межсетевой экран не является симметричным устройством. Он различает понятия: "снаружи" и "внутри". Межсетевой экран обеспечивает защиту внутренней области от неконтролируемой и потенциально враждебной внешней среды. В то же время межсетевой экран позволяет разграничить доступ к объектам общедоступной сети со стороны субъектов защищенной сети. При нарушении полномочий работа субъекта доступа блокируется, и вся необходимая информация записывается в журнал.

Межсетевые экраны могут использоваться и внутри защищенных корпоративных сетей. Если в локальной сети имеются подсети с различной степенью конфиденциальности информации, то такие фрагменты целесообразно отделять межсетевыми экранами. В этом случае экраны называют внутренними.

Энциклопедичный YouTube

1 / 5

✪ 1. Cisco ASA Administrator. Что такое межсетевой экран?

✪ ZoneAlarm Free Firewall - Бесплатный межсетевой экран вашего компьютера

✪ 2. Cisco ASA Administrator. Межсетевые экраны Cisco

✪ Межсетевые экраны

Субтитры

Назначение

Среди задач, которые решают межсетевые экраны, основной является защита сегментов сети или отдельных хостов от несанкционированного доступа с использованием уязвимых мест в протоколах сетевой модели OSI или в программном обеспечении, установленном на компьютерах сети. Межсетевые экраны пропускают или запрещают трафик, сравнивая его характеристики с заданными шаблонами .

Наиболее распространённое место для установки межсетевых экранов - граница периметра локальной сети для защиты внутренних хостов от атак извне. Однако атаки могут начинаться и с внутренних узлов - в этом случае, если атакуемый хост расположен в той же сети, трафик не пересечёт границу сетевого периметра, и межсетевой экран не будет задействован. Поэтому в настоящее время межсетевые экраны размещают не только на границе, но и между различными сегментами сети, что обеспечивает дополнительный уровень безопасности .

История

Первые устройства, выполняющие функцию фильтрации сетевого трафика, появились в конце 1980-х, когда Интернет был новшеством и не использовался в глобальных масштабах. Этими устройствами были маршрутизаторы , инспектирующие трафик на основании данных, содержащихся в заголовках протоколов сетевого уровня . Впоследствии, с развитием сетевых технологий, данные устройства получили возможность выполнять фильтрацию трафика, используя данные протоколов более высокого, транспортного уровня . Маршрутизаторы можно считать первой программно-аппаратной реализацией межсетевого экрана .

Программные межсетевые экраны появились существенно позже и были гораздо моложе, чем антивирусные программы . Например, проект Netfilter/iptables (один из первых программных межсетевых экранов, встраиваемых в ядро Linux с версии 2.4) был основан в 1998 году. Такое позднее появление вполне объяснимо, так как долгое время антивирус решал проблему защиты персональных компьютеров от вредоносных программ. Однако в конце 1990-х вирусы стали активно использовать отсутствие межсетевых экранов на компьютерах, что привело к повышению интереса пользователей к данному классу устройств .

Фильтрация трафика

Фильтрация трафика осуществляется на основе набора предварительно сконфигурированных правил, которые называются ruleset . Удобно представлять межсетевой экран как последовательность фильтров, обрабатывающих информационный поток. Каждый из фильтров предназначен для интерпретации отдельного правила. Последовательность правил в наборе существенно влияет на производительность межсетевого экрана. Например, многие межсетевые экраны последовательно сравнивают трафик с правилами до тех пор, пока не будет найдено соответствие. Для таких межсетевых экранов, правила, которые соответствуют наибольшему количеству трафика, следует располагать как можно выше в списке, увеличивая тем самым производительность .

Существует два принципа обработки поступающего трафика. Первый принцип гласит: «Что явно не запрещено, то разрешено». В данном случае, если межсетевой экран получил пакет, не попадающий ни под одно правило, то он передается далее. Противоположный принцип - «Что явно не разрешено, то запрещено» - гарантирует гораздо большую защищенность, так как он запрещает весь трафик, который явно не разрешен правилами. Однако, этот принцип оборачивается дополнительной нагрузкой на администратора .

В конечном счете, межсетевые экраны выполняют над поступающим трафиком одну из двух операций: пропустить пакет далее (allow ) или отбросить пакет (deny ). Некоторые межсетевые экраны имеют ещё одну операцию - reject , при которой пакет отбрасывается, но отправителю сообщается о недоступности сервиса, доступ к которому он пытался получить. В противовес этому, при операции deny отправитель не информируется о недоступности сервиса, что является более безопасным .

Классификация межсетевых экранов

До сих пор не существует единой и общепризнанной классификации межсетевых экранов . Однако в большинстве случаев поддерживаемый уровень сетевой модели OSI является основной характеристикой при их классификации. Учитывая данную модель, различают следующие типы межсетевых экранов :

1. Управляемые коммутаторы.
2. Пакетные фильтры.
3. Шлюзы сеансового уровня.
4. Посредники прикладного уровня.
5. Инспекторы состояния.

Управляемые коммутаторы

Многие производители сетевого оборудования, такие как Cisco , Nortel , 3Com , ZyXEL , предоставляют в своих коммутаторах возможность фильтрации трафика на основе MAC-адресов , содержащихся в заголовках фреймов . Например, в коммутаторах семейства Cisco Catalyst эта возможность реализована при помощи механизма Port Security. . Однако данный метод фильтрации не является эффективным, так как аппаратно установленный в сетевой карте MAC-адрес легко меняется программным путем, поскольку значение, указанное через драйвер, имеет более высокий приоритет, чем зашитое в плату . Поэтому многие современные коммутаторы позволяют использовать другие параметры в качестве признака фильтрации - например, VLAN ID. Технология виртуальных локальных сетей (англ. Virtual Local Area Network ) позволяет создавать группы хостов, трафик которых полностью изолирован от других узлов сети .

Пакетные фильтры

Пакетные фильтры функционируют на сетевом уровне и контролируют прохождение трафика на основе информации, содержащейся в заголовке пакетов . Многие межсетевые экраны данного типа могут оперировать заголовками протоколов и более высокого, транспортного , уровня (например, TCP или UDP). Пакетные фильтры одними из первых появились на рынке межсетевых экранов и по сей день остаются самым распространённым их типом. Данная технология реализована в подавляющем большинстве маршрутизаторов и даже в некоторых коммутаторах .

При анализе заголовка сетевого пакета могут использоваться следующие параметры :

• IP-адреса источника и получателя;
• тип транспортного протокола;
• поля служебных заголовков протоколов сетевого и транспортного уровней;
• порт источника и получателя.

Достаточно часто приходится фильтровать фрагментированные пакеты, что затрудняет определение некоторых атак . Многие сетевые атаки используют данную уязвимость межсетевых экранов, выдавая пакеты, содержащие запрещённые данные, за фрагменты другого, доверенного пакета. Одним из способов борьбы с данным типом атак является конфигурирование межсетевого экрана таким образом, чтобы блокировать фрагментированные пакеты . Некоторые межсетевые экраны могут дефрагментировать пакеты перед пересылкой во внутреннюю сеть, но это требует дополнительных ресурсов самого межсетевого экрана, особенно памяти. Дефрагментация должна использоваться очень обоснованно, иначе такой межсетевой экран легко может сам стать жертвой DoS-атаки .

Пакетные фильтры могут быть реализованы в следующих компонентах сетевой инфраструктуры :

• пограничные маршрутизаторы;
• операционные системы;

Так как пакетные фильтры обычно проверяют данные только в заголовках сетевого и транспортного уровней, они могут выполнять это достаточно быстро. Поэтому пакетные фильтры, встроенные в пограничные маршрутизаторы, идеальны для размещения на границе с сетью с низкой степенью доверия. Однако в пакетных фильтрах отсутствует возможность анализа протоколов более высоких уровней сетевой модели OSI. Кроме того, пакетные фильтры обычно уязвимы для атак, которые используют подделку сетевого адреса . Такие атаки обычно выполняются для обхода управления доступом, осуществляемого межсетевым экраном .

Шлюзы сеансового уровня

Так как межсетевой экран данного типа исключает прямое взаимодействие между двумя узлами, шлюз сеансового уровня является единственным связующим элементом между внешней сетью и внутренними ресурсами. Это создаёт видимость того, что на все запросы из внешней сети отвечает шлюз, и делает практически невозможным определение топологии защищаемой сети. Кроме того, так как контакт между узлами устанавливается только при условии его допустимости, шлюз сеансового уровня предотвращает возможность реализации DoS-атаки, присущей пакетным фильтрам .

Несмотря на эффективность этой технологии, она обладает серьёзным недостатком: как и у всех вышеперечисленных классов межсетевых экранов, у шлюзов сеансового уровня отсутствует возможность проверки содержания поля данных, что позволяет злоумышленнику передавать «троянских коней » в защищаемую сеть .

Посредники прикладного уровня

Недостатками данного типа межсетевых экранов являются большие затраты времени и ресурсов на анализ каждого пакета. По этой причине они обычно не подходят для приложений реального времени. Другим недостатком является невозможность автоматического подключения поддержки новых сетевых приложений и протоколов, так как для каждого из них необходим свой агент .

Инспекторы состояния

Каждый из вышеперечисленных типов межсетевых экранов используется для защиты корпоративных сетей и обладает рядом преимуществ. Однако, куда эффективней было бы собрать все эти преимущества в одном устройстве и получить межсетевой экран, осуществляющий фильтрацию трафика с сетевого по прикладной уровень. Данная идея была реализована в инспекторах состояний, совмещающих в себе высокую производительность и защищённость. Данный класс межсетевых экранов позволяет контролировать :

• каждый передаваемый пакет - на основе таблицы правил;
• каждую сессию - на основе таблицы состояний;
• каждое приложение - на основе разработанных посредников.

Осуществляя фильтрацию трафика по принципу шлюза сеансового уровня, данный класс межсетевых экранов не вмешивается в процесс установления соединения между узлами. Поэтому производительность инспектора состояний заметно выше, чем у посредника прикладного уровня и шлюза сеансового уровня, и сравнима с производительностью пакетных фильтров. Ещё одно достоинство инспекторов состояния - прозрачность для пользователя: для клиентского программного обеспечения не потребуется дополнительная настройка. Данные межсетевые экраны имеют большие возможности расширения. При появлении новой службы или нового протокола прикладного уровня для его поддержки достаточно добавить несколько шаблонов. Однако инспекторам состояний по сравнению с посредниками прикладного уровня свойственна более низкая защищённость .

Термин инспектор состояния (англ. stateful inspection ), внедрённый компанией Check Point Software , полюбился производителям сетевого оборудования настолько, что сейчас практически каждый межсетевой экран причисляют к этой технологии, даже если он и не реализует её полностью.

Реализация

Существует два варианта исполнения межсетевых экранов - программный и программно-аппаратный. В свою очередь программно-аппаратный вариант имеет две разновидности - в виде отдельного модуля в коммутаторе или маршрутизаторе и в виде специализированного устройства.

В настоящее время чаще используется программное решение, которое на первый взгляд выглядит более привлекательным. Это вызвано тем, что для его применения достаточно, казалось бы, всего лишь приобрести программное обеспечение межсетевого экрана и установить на любой имеющийся в организации компьютер. Однако, как показывает практика, в организации далеко не всегда находится свободный компьютер, да ещё и удовлетворяющий достаточно высоким требованиям по системным ресурсам. После того, как компьютер все-таки найден (чаще всего - куплен), следует процесс установки и настройки операционной системы, а также, непосредственно, программного обеспечения межсетевого экрана. Нетрудно заметить, что использование обычного персонального компьютера далеко не так просто, как может показаться. Именно поэтому все большее распространение стали получать специализированные программно-аппаратные комплексы, называемые security appliance , на основе, как правило,