Firewalls

Index Page - Lections - Security - Firewalls

Брандмауэр

Основной задачей брандмауэра является защита сетевых коммуникаций от несанкционированного доступа как извне, так и изнутри компьютерной сети. Брандмауэры бывают различных типов и размеров и зачастую представляют собой комплекс, фактически установленный на нескольких разных компьютерах. Здесь брандмаузер (firewall) — это одно или несколько устройств, расположенных между безопасными (trusted) внутренними сетями и небезопасными (untrusted) внешними (такими как Internet), которые исследуют весь протекающий между сетями трафик (см. рис.1).

Брандмауэр в сети

Рис.1. Брандмауэр в сети

Брандмауэры обладают следующими свойствами:

  1. Вся связь проходит через брандмауэр.
  2. Брандмауэр разрешает только санкционированный трафик.
  3. Брандмауэр способен противодействовать атакам на себя.

Брандмауэр можно рассматривать как буфер между безопасной и небезопасной сетями. Термин брандмауэр (firewall — огненная стена) происходит от названия строительной технологии, подразумевающей установку огнеупорных перегородок препятствующих распространению огня в случае пожара. По существу это просто барьер. Сетевой брандмауэр — это средство противодействия вторжению из других сетей.

В качестве брандмауэра может выступать маршрутизатор, персональный компьютер, хост или совокупность хостов, специально предназначенных для защиты закрытой сети от расположенных на внешних хостах служб, которые могут нанести вред. Обычно система брандмауэра устанавливается на границе внутренней сети, в точке ее подключения к Internet. Однако брандмауэр может быть расположен и внутри сети, обеспечивая дополнительную, специализированную защиту некоторого ограниченного числа хостов.

Способ защиты безопасной сети зависит как от конструкции брандмауэра, так и от применяемых им правил. В настоящий момент существует четыре основных категории брандмауэров:

  1. Фильтры пакетов.
  2. Шлюзы прикладного уровня.
  3. Шлюзы канального уровня.
  4. Процессоры проверки пакетов с фиксацией состояния.

Подобно всем остальным программным технологиям брандмауэр обладает жизненным циклом, на протяжении которого происходит его проектирование, разработка и усовершенствование.

Брандмауэр является специализированным средством решения конкретной задачи — выявления несанкционированного трафика, а его применение избавляет от необходимости искать компромисс между степенью защищенности и функциональными возможностями системы.

В общем случае, брандмауэры позволяют уменьшить риск несанкционированных или непреднамеренных действий в системе (например, деятельности хакеров). От каких же именно рисков брандмауэры защищают системы? Корпоративные системы и данные требуют защиты от следующих возможных неприятностей:

- Риск нарушения конфиденциальности.
- Риск нарушения целостности данных.
- Риск нарушения доступа.

Основные типы атак

Человеческий фактор (social engineering).

Подразумевает завладение нападающим пароля либо сертификата администратора или другого пользователя, обладающего в системе правами, достаточными для доступа к необходимым ресурсам или для выполнения системных операций.

Ошибки программного обеспечения (software bug).

Нападающий, используя дефект программного обеспечения, заставляет приложение или службу выполнить несанкционированные либо непредусмотренные команды. Такие атаки особенно опасны, когда приложение выполняется с расширенными или административными правами. Подобные атаки возможны в случае переполнения буфера (butter overflow) и ошибки формата строки (format string vulnerabilities).

Вирусы и/или троянские кони (Viruses and/or Trojan code).

Подразумевает запуск вредоносной программы на выполнение законным пользователем. Обычно программу для такой атаки маскируют невинным посланием электронной почты или распространяют при помощи вируса. Будучи запущенной на выполнение, такая программа способна на многое, она может не только открыть доступ чужаку, похитить файлы и/или сертификаты, но и удалить файлы системы.

Плохая настройка системы (poor system configuration).

Нападавший использует ошибки в настройке системы: доступные службы и/или учетные записи. Начинающие администраторы достаточно часто забывают (или не умеют) изменить заданные по умолчанию пароли и учетные записи (как в системе, так и на прикладном уровне), а также не ограничивают доступ к администрационным приложениям и не отключают посторонние и неиспользуемые службы.

Достоинства и недостатки брандмауэров

Брандмауэр — это всего лишь один из фрагментов архитектуры системы безопасности, и, как любой фрагмент архитектуры, он обладает сильными и слабыми сторонами.

Достоинства

  • Брандмауэры превосходны в реализации корпоративной политики безопасности.
  • Они должны быть настроены так, чтобы ограничить доступ к средствам управления, а к общедоступным ресурсам — нет.
  • Брандмауэры позволяют ограничить доступ к определенным службам.
  • Например, брандмауэр разрешает свободный доступ к Web-серверу, но запрещает доступ к Telnet и другим демонам, не предназначенным для общего использования. При помощи функций аутентификации большинство брандмауэров способно обеспечить выборочный доступ.
  • Брандмауэры являются специализированным средством.
  • Следовательно, не придется искать компромисс между степенью защищенности и функциональными возможностями.
  • Брандмауэры — превосходные ревизоры.
  • Обладая достаточным пространством на диске или возможностью удалённого хранения журналов регистрации, брандмауэр способен регистрировать весь проходящий через него трафик (или только указанный).
  • Брандмауэры способны оповестить пользователей о соответствующих событиях.

Недостатки

  • Брандмауэры не могут защитить от разрешенного содержимого.
  • Брандмауэры защищают приложения и разрешают обычный обмен информацией с этими приложениями (в противном случае от брандмауэров было бы больше вреда, чем пользы). Но если сами приложения обладают дефектами, то брандмауэры их не исправят и не смогут предотвратить атаку, поскольку для брандмауэра вся передаваемая информация вполне допустима.
  • Брандмауэры эффективны настолько, насколько эффективны правила, которые они призваны выполнять.
  • Набор чрезмерно вольготных правил уменьшит эффективность брандмауэра.
  • Брандмауэры бессильны перед человеческим фактором
  • Также как и перед уполномоченным пользователем, преднамеренно использующим свои права в злонамеренных целях.
  • Брандмауэры не могут ни устранить просчеты администратора, ни заменить плохо разработанную политику безопасности.
  • Брандмауэры не противодействуют атакам, трафик которых через них не проходит.

взаимное расположение безопасных и небезопасных сетей относительно брандмауэра

Рис.2. Взаимное расположение безопасных и небезопасных сетей относительно брандмауэра

Чтобы рассмотреть пример фильтрации пакета, создадим набор правил по таким критериям:

- тип протокола;
- адрес отправителя;
- адрес получателя;
- порт отправителя;
- порт получателя;
- действие, которое брандмауэр должен предпринять обнаружив соответствие критерию.

Полный текст(294 КБ)
Презентация(53,5 КБ)

Вернуться.



  Яндекс.Новости
Hosted by uCoz