Зміст
Пакетні фільтри
Сервера прикладного рівня
Сервера рівня з'єднання
Віртуальні мережі
Адміністрування
Системи збору статистики і попередження про атаку
Аутентифікація
Навіщо потрібен брандмауер?
Апаратні брандмауери
Програмні брандмауери
Брандмауер Cisco PIX Firewall
Адаптивна безпека
Брандмауер - це система або комбінація систем, що дозволяють розділити мережу на дві або більше частин і реалізувати набір правил, що визначають умови проходження пакетів з однієї частини в іншу (см рис.1). Як правило, ця межа проводиться між локальною мережею підприємства і INTERNET, хоча її можна провести і всередині локальної мережі підприємства. Брандмауер таким чином пропускає через себе весь трафік. Для кожного проходить пакету брандмауер приймає рішення пропускати його або відкинути. Для того щоб брандмауер міг приймати ці рішення, йому необхідно визначити набір правил. Про те, як ці правила описуються і які параметри використовуються при їх описі мова піде нижче.
Як правило, брандмауери функціонують на який-небудь UNIX платформі - найчастіше це BSDI, SunOS, AIX, IRIX і т.д., рідше - DOS, VMS, WNT, Windows NT. З апаратних платформ зустрічаються INTEL, Sun SPARC, RS6000, Alpha, HP PA-RISC, сімейство RISC процесорів R4400-R5000. Крім Ethernet, багато брандмауери підтримують FDDI, Token Ring, 100Base-T, 100VG-AnyLan, різні серійні пристрої. Вимоги до оперативної пам'яті і обсягом жорсткого диска залежать від кількості машин в захищуваному сегменті мережі, але частіше за все рекомендується мати не менше 32Мб ОЗУ і 500 Мб на жорсткому диску.
Як правило, в операційну систему, під управлінням якої працює брандмауер вносяться зміни, мета яких - підвищення захисту самого брандмауера. Ці зміни зачіпають як ядро ОС, так і відповідні файли конфігурації. На самому брандмауері не дозволяється мати рахунків користувачів (а значить і потенційних дірок), тільки рахунок адміністратора. Деякі брандмауери працюють тільки в режимі одного користувача. Багато брандмауерів мають систему перевірки цілісності програмних кодів. При цьому контрольні суми програмних кодів зберігаються в захищеному місці і порівнюються при старті програми, щоб уникнути підміни програмного забезпечення.
Всі брандмауери можна розділити на три типи:
пакетні фільтри (packet filter)
сервера прикладного рівня (application gateways)
сервера рівня з'єднання (circuit gateways)
Всі типи можуть одночасно зустрітися в одному брандмауері.
Пакетні фільтри
Брандмауери з пакетними фільтрами приймають рішення про те, пропускати пакет або відкинути, переглядаючи IP-адреси, прапори або номери TCP портів в заголовку цього пакета. IP-адресу та номер порту - це інформація мережевого і транспортного рівнів відповідно, але пакетні фільтри використовують і інформацію прикладного рівня, т.к всі стандартні сервіси в TCP / IP асоціюються з певним номером порту.
Для опису правил проходження пакетів складаються таблиці типу:
Дія | тип пакету | адреса Істочна. | порт Істочна. | адреса признач. | порт признач. | прапори |
Поле "дія" може приймати значення пропустити або відкинути.
Тип пакету - TCP, UDP або ICMP.
Прапори - прапори із заголовка IP-па-кета.
Поля "порт джерела" і "порт призначення" мають сенс тільки для TCP і UDP пакетів.
Сервера прикладного рівня
Брандмауери з серверами прикладного рівня використовують сервера конкретних сервісів - TELNET, FTP і т.д. (Proxy server), що запускаються на брандмауері і пропускають через себе весь трафік, що відноситься до даного сервісу. Таким чином, між клієнтом і сервером утворюються два з'єднання: від клієнта до брандмауера і від брандмауера до місця призначення.
Повний набір підтримуваних серверів розрізняється для кожного конкретного брандмауера, однак найчастіше зустрічаються сервера для наступних сервісів:
термінали (Telnet, Rlogin)
передача файлів (Ftp)
електронна пошта (SMTP, POP3)
WWW (HTTP)
Gopher
Wais
X Window System (X11)
Принтер
Rsh
Finger
новини (NNTP) і т.д.
Використання серверів прикладного рівня дозволяє вирішити важливе завдання - приховати від зовнішніх користувачів структуру локальної мережі, включаючи інформацію в заголовках поштових пакетів або служби доменних імен (DNS). Іншим позитивним якістю є можливість аутентифікації на призначеному для користувача рівні (аутентифікація - процес підтвердження ідентичності чого-небудь, у даному випадку це процес підтвердження, чи справді користувач є тим, за кого він себе видає). Трохи докладніше про аутентифікації буде сказано нижче.
При описі правил доступу використовуються такі параметри як назва сервісу, ім'я користувача, допустимий часовий діапазон використання сервісу, комп'ютери, з яких можна користуватися сервісом, схеми аутентифікації. Сервера протоколів прикладного рівня дозволяють забезпечити найбільш високий рівень захисту - взаємодія із зовнішнім світів реалізується через мало прикладних програм, повністю контролюють весь вхідний і вихідний трафік.
Сервера рівня з'єднання
Сервер рівня з'єднання представляє з себе транслятор TCP з'єднання. Користувач утворює сполучення з певним портом на брандмауері, після чого останній виробляє з'єднання з місцем призначення по іншу сторону від брандмауера. Під час сеансу цей транслятор копіює байти в обох напрямах, діючи як дріт.
Як правило, пункт призначення задається заздалегідь, у той час як джерел може бути багато (з'єднання типу один - багато). Використовуючи різні порти, можна створювати різні конфігурації.
Такий тип сервера дозволяє створювати транслятор для будь-якого певного користувачем сервісу, що базується на TCP, здійснювати контроль доступу до цього сервісу, збір статистики щодо його використання.
Порівняльні характеристики
Нижче наведені основні переваги та недоліки пакетних фільтрів і серверів прикладного рівня відносно один одного.
До позитивних якостей пакетних фільтрів слід віднести наступні:
відносно невисока вартість
гнучкість у визначенні правил фільтрації
невелика затримка при проходженні пакетів
Недоліки у даного типу брандмауерів наступні:
локальна мережа видно (маршрутизується) з INTERNET
правила фільтрації пакетів важкі в описі, потрібні дуже хороші знання технологій TCP і UDP
при порушенні працездатності брандмауера всі комп'ютери за ним стають повністю незахищеними або недоступними
аутентифікацію з використанням IP-адреси можна обдурити використанням IP-спуфінга (атакуюча система видає себе за іншу, використовуючи її IP-адреса)
відсутня аутентифікація на рівні користувача
До переваг серверів прикладного рівня слід віднести наступні:
локальна мережа невидима з INTERNET
при порушенні працездатності брандмауера пакети перестають проходити через брандмауер, тим самим не виникає загрози для захищаються ним машин
захист на рівні додатків дозволяє здійснювати велику кількість додаткових перевірок, знижуючи тим самим імовірність злому з використанням дірок у програмному забезпеченні
аутентифікація на рівні користувача може бути реалізована система негайного попередження про спробу злому.
Недоліками цього типу є:
більш висока, ніж для пакетних фільтрів вартість;
неможливість використання протоколів RPC і UDP;
продуктивність нижче, ніж для пакетних фільтрів.
Віртуальні мережі
Ряд брандмауерів дозволяє також організовувати віртуальні корпоративні мережі (Virtual Private Network), тобто об'єднати декілька локальних мереж, включених в INTERNET в одну віртуальну мережу. VPN дозволяють організувати прозоре для користувачів з'єднання локальних мереж, зберігаючи секретність і цілісність передаваної інформації за допомогою шифрування. При цьому при передачі по INTERNET шифруються не тільки дані користувача, але і мережева інформація - мережеві адреси, номери портів і т.д.
Схеми підключення
Для підключення брандмауерів використовуються різні схеми. Брандмауер може використовуватися в якості зовнішнього роутера, використовуючи підтримувані типи пристроїв для підключення до зовнішньої мережі (см рис.1). Іноді використовується схема, зображена на рис 3, проте користуватися нею слід тільки в крайньому випадку, оскільки потрібно дуже акуратна налаштування роутерів і невеликі помилки можуть утворити серйозні діри в захисті.
Якщо брандмауер може підтримувати два Ethernet інтерфейсу (так званий dual-homed брандмауер), то найчастіше підключення здійснюється через зовнішній маршрутизатор (см рис.4).
При цьому між зовнішнім роутером і брандмауером є тільки один шлях, яким іде весь трафік. Зазвичай роутер настроюється таким чином, що брандмауер є єдиною видимою зовні машиною. Ця схема є найбільш кращою з точки зору безпеки і надійності захисту.
Інша схема представлена на рис.5.
При цьому брандмауером захищається тільки одна підмережа з декількох виходять з роутера. У незащіщаемой брандмауером області часто розташовують сервери, які повинні бути видимі зовні (WWW, FTP і т.д.). Деякі брандмауери пропонують розмістити ці сервера на ньому самому - рішення, далеко не найкращий з точки зору завантаження машини та безпеки самого брандмауера
Існують рішення (см Рис.6), які дозволяють організувати для серверів, які повинні бути видимі зовні, третю мережу; це дозволяє забезпечити контроль за доступом до них, зберігаючи в той же час необхідний рівень захисту машин в основній мережі.
При цьому досить багато уваги приділяється тому, щоб користувачі внутрішньої мережі не могли випадково чи навмисне відкрити діру в локальну мережу через ці сервера. Для підвищення рівня захищеності можливо використовувати в одній мережі декілька брандмауерів, що стоять один за одним.
Адміністрування
Легкість адміністрування є одним з ключових аспектів у створенні ефективної і надійної системи захисту. Помилки при визначенні правил доступу можуть утворити дірку, через яку може бути зламана система. Тому в більшості брандмауерів реалізовані сервісні утиліти, що полегшують введення, видалення, перегляд набору правил. Наявність цих утиліт дозволяє також здійснювати перевірки на синтаксичні або логічні помилки при введенні або редагування правил. Як правило, ці утиліти дозволяють переглядати інформацію, згруповану по яких або критеріям - наприклад, все що відноситься до конкретного користувача або сервісу.
Системи збору статистики і попередження про атаку
Ще одним важливим компонентом брандмауера є система збору статистики і попередження про атаку. Інформація про всі події - відмовах, вхідних, вихідних з'єднаннях, зокрема передані байт, що використовувалися сервісах, часу з'єднання і т.д. - Накопичується у файлах статистики. Багато брандмауерів дозволяють гнучко визначати підлягають протоколювання події, описати дії брандмауера при атаках або спробах несанкціонованого доступу - це може бути повідомлення на консоль, поштове послання адміністратору системи і т.д. Негайне виведення повідомлення про спробу злому на екран консолі або адміністратора може допомогти, якщо спроба виявилася успішною і атакуючий вже проник в систему. До складу багатьох брандмауерів входять генератори звітів, службовці для обробки статистики. Вони дозволяють зібрати статистику по використанню ресурсів конкретними користувачами, з використання сервісів, відмов, джерелам, з яких проводилися спроби несанкціонованого доступу і т.д.
Аутентифікація
Аутентифікація є одним з найважливіших компонентів брандмауерів. Перш ніж користувачеві буде надано право скористатися тим чи іншим сервісом, необхідно переконатися, що він дійсно той, за кого він себе видає (передбачається, що цей сервіс для даного користувача дозволений: процес визначення, які сервіси дозволені називається авторизацією. Авторизація звичайно розглядається в контексті аутентифікації - як тільки користувач аутентифікований, для нього визначаються дозволені йому сервіси). При отриманні запиту на використання сервісу від імені будь-якого користувача, брандмауер перевіряє, який спосіб аутентифікації визначений для даного користувача і передає керування серверу аутентифікації. Після отримання позитивної відповіді від сервера аутентифікації брандмауер утворює запитувана користувачем з'єднання.
Як правило, використовується принцип, що отримав назву "що він знає" - тобто користувач знає деякий секретне слово, яке він посилає серверу аутентифікації у відповідь на його запит.
Однією зі схем аутентифікації є використання стандартних UNIX паролів. Ця схема є найбільш вразливою з точки зору безпеки - пароль може бути перехоплений і використаний іншою особою.
Найчастіше використовуються схеми з використанням одноразових паролів. Навіть будучи перехопленим, цей пароль буде марний при наступній реєстрації, а отримати наступний пароль з попереднього є вкрай важким завданням. Для генерації одноразових паролів використовуються як програмні, так і апаратні генератори - останні представляють із себе пристрої, що вставляються в слот комп'ютера. Знання секретного слова необхідно користувачеві для приведення цього пристрою в дію. Ряд брандмауерів підтримують Kerberos - один з найбільш поширених методів аутентифікації. Деякі схеми вимагають зміни клієнтського програмного забезпечення - крок, який далеко не завжди прийнятний. Як правило, всі комерційні брандмауери підтримують декілька різних схем, дозволяючи адміністратору зробити вибір найбільш прийнятною для своїх умов
Брандмауер - firewall - мережевий екран - може допомогти обмежити доступ до комп'ютера сторонніх осіб через інтернет. Брандмауери бувають двох видів, програмні й апаратні, вони допомагають забезпечити захист від зловмисників, що намагаються отримати доступ до комп'ютера в локальній мережі та мережі інтернет (хакерські атаки, віруси, спам і т.д.).
Навіщо потрібен брандмауер?
Firewall необхідний для контролю вхідного і вихідного трафіку на комп'ютері або в локальній мережі, дозволяє припиняти практично всі види мережевих атак, вирізати рекламу (відключає банери, рекламні скрипти, спливаючі віконця і інш.), Прибирати cookies, не віддавати "чужим" серверів інформацію про вашому комп'ютері, робить марною роботу "троянів" і засобів віддаленого адміністрування. Крім цього брандмауери допомагають уникнути участі вашого комп'ютера в таких атаках на інші комп'ютери без вашого відома. Використання брандмауера особливо важливо при постійному підключенні до Інтернету, наприклад через кабельну, DSL - чи ADSL-лінії.
Апаратні брандмауери
Рекомендується використовувати такі брандмауери, якщо на комп'ютері встановлена одна з ранніх версій Windows. Багато точок бездротового доступу для домашніх мереж вже мають вбудовані брандмауери поряд з маршрутизаторами. Підключити брандмауер у мережу так само просто, як підключити до телефону автовідповідач. Від'єднайте підключення Ethernet між кабельним чи DSL-модемом і ПК і приєднаєте між ними брандмауер. (Це підходить для більшості брандмауерів, хоча і не для всіх)
Програмні брандмауери
Програмні брандмауери для захисту комп'ютерів з ранніми версіями Windows можна придбати у низки постачальників. Ці ж постачальники пропонують брандмауери, які можна використовувати з Windows XP.
Брандмауер підключення до Інтернету може не взаємодіяти з деяким мережним програмним забезпеченням, встановленим на комп'ютері. У більшості випадків таку несумісність можна усунути, скорегувавши роботу брандмауера підключення до Інтернету або звернувшись за порадою до постачальника програмного забезпечення чи послуг інтернету. Іноді проблему можна вирішити, встановивши новішу версію програмного забезпечення.
Попередження: firewall вимагає чіткої налаштування, неправильне налаштування призведе до некоректної роботи програм, що використовують мережевий трафік.
Брандмауер Cisco PIX Firewall
Самий передовий в галузі брандмауер (міжмережевий захисний екран), робота якого заснована на трансляції мережевих адрес, забезпечує незрівнянну гнучкість при розробці проекту мережі.
Брандмауер PIX (Private Internet Exchange) Firewall фірми Cisco Systems забезпечує абсолютний захист внутрішньої мережі корпорації від несанкціонованого доступу з зовнішнього світу.
Функціонування PIX Firewall грунтується на ядрі операційної системи, абсолютно відмінному від UNIX; це ядро орієнтований на роботу в реальному масштабі часу і забезпечує принципово інший рівень безпеки. Забезпечення безпеки брандмауером PIX Firewall не ускладнює адміністративне управління мережею і не пов'язане з ризиком, властивим системам брандмауерних захисту на основі UNIX.
Адміністратора надаються всебічні можливості проведення аналізу всіх транзакцій, включаючи спроби несанкціонованого проникнення в мережу корпорації. PIX Firewall забезпечує контрольований доступ до Internet. Програмне забезпечення брандмауера відрізняється можливістю масштабування і простотою конфігурування; на налаштування типової конфігурації йде не більше п'яти хвилин.
Для PIX Firewall характерні висока продуктивність, невелика ціна, незначний обсяг технічного обслуговування. Цей брандмауер надійно захистить внутрішню мережу корпорації від несанкціонованого доступу.
PIX Firewall забезпечує безпечний доступ до Internet з приватних мереж. PIX Firewall використовує схему параметричної (stateful) захисту NAT (Network Address Translation - трансляція мережевих адрес). Ця схема надійним щитом відгороджує внутрішню корпоративну мережу від Internet, простежуючи такі параметри з'єднання, як порти джерела і порти призначення, адреси, порядкові номери пакетів TCP і додаткові прапори TCP. Брандмауер PIX Firewall забезпечує безпеку доступу користувачів внутрішньої мережі вашої організації до Internet і одночасно захищає вашу внутрішню мережу від несанкціонованого доступу ззовні.
PIX Firewall також забезпечує додаткові переваги для вашої організації, надаючи можливість розширення і зміни конфігурації мереж TCP / IP, не турбуючись, чи вистачить для цього IP-адрес. NAT дозволяє використовувати будь-які з наявних IP-адрес або адреси з резервного пулу повноважною організації, що виділяє адреси в Internet (IANA - Internet Assigned Numbers Authority) (відповідно до RFC 1918).
У брандмауері є плата Cisco PIX Firewall Private Link, яка здійснює шифрування даних і забезпечує безпеку зв'язку при з'єднаннях по Internet між декількома системами PIX Firewall на основі стандарту шифрування даних DES (DES - Data Encryption Standard).
Адаптивна безпека
Контролюються такі параметри вхідного трафіку:
IP-адреси джерела і призначення
Номери порту джерела і призначення
Протокол
Порядковий номер TCP
Повністю забороняється доступ у внутрішню мережу з зовнішньої мережі
Забезпечується параметрична безпеку виконання транзакцій по протоколах ТСР та UDP
Характеристики
Робота брандмауера заснована на застосуванні схеми параметричної захисту Stateful Network Address Translation
Підтримуються більше 16.000 одночасних з'єднань
Внутрішня мережа відгороджується від зовнішнього світу
Типова конфігурація налаштовується за допомогою п'яти команд протягом п'яти хвилин
Безпечна динамічна та статична трансляція
Трансляція мережевих адрес (Network Address Translation) здійснюється в повній відповідності зі специфікаціями RFC 1631
Прозора підтримка для всіх загальних сервісів TCP / IP Internet, таких як World Wide Web, FTP, Telnet, Archie, Gopher і Rlogin
Програма забезпечення безпеки займає менше 80 кбайт і діє в режимі реального часу
Переваги
Брандмауер менш складний і більш надійний, ніж фільтри пакетів
Для його інсталяції не потрібно переривати роботу мережі
Не потрібно проводити модернізацію хост-машин або маршрутизаторів
Не потрібно щоденне адміністративне управління брандмауером
Повні можливості доступу з незареєстрованих хост-машин внутрішньої корпоративної мережі до Internet
Для розширення мережі не потрібні додаткові зареєстровані IP-адреси
Дозволяється використання як IP-адрес, що виділяються приватних мереж (у відповідності зі специфікацією RFC 1918 - Address Allocation for Private Internets), так і наявних зареєстрованих IP-адрес
Не створює перешкод для роботи користувачів, що не погіршує функціонування локальних мереж
Специфікації PIX Firewall
Число доступних програмних сеансів
(У разі одночасних з'єднань за протоколом TCP / IP)
32, 256, 1024, 4096, 16.384
Підтримувані типи мереж
10BaseT, Ethernet на "товстому" або "тонкому" коаксіальному кабелі
10/100 Base T
Стандарти протоколів Internet: IP, TCP, UDP, ICMP
Особливості конструкції пристрою
Може бути встановлений в 19-дюймову стійку
Два інтерфейсу Ethernet (для підключення до мережі корпорації і до зовнішньої мережі)
Порт підключення консолі: DB-9 EIA/TIA-232
Накопичувач 3.5 "флоппі-дисків
Замикаються передня панель
Фізичні характеристики
Висота, см - 17.8
Ширина, см - 48.3
Глибина, см - 48.3
Вага, кг - 9.5
Електричні характеристики
115 VAC ± 10%, 47-63 Гц, 2.5 А
230 VAC ± 10%, 47-63 Гц, 1.3 А