previous up down next index search
Previous: 6.2 Виртуальные локальные сети VLAN, Интранет    UP: 6 Сетевая безопасность
Down: 6.3.1 Обзор уязвимостей, некоторых видов атак и средств защиты
    Next: 6.4 Системы шифрования

6.3 Система Firewall

Семенов Ю.А. (ИТЭФ-МФТИ)
Yu. Semenov (ITEP-MIPT)

Номер раздела Название раздела Объем в страницах Объем в кбайт
6.3.1 Обзор уязвимостей, некоторых видов атак и средств защиты 88 1462
6.3.2 Средства противодействия атакам 54 657
6.3.3 Атаки из перечня сигнатур BlackIce Defender 36 108
6.3.4 Что делать если вы атакованы? 4 13
6.3.5 IPS нового поколения (HP) 6 80
6.3.6 Кибероружие и кибервойны 7 61
Итого  
 Быть в гуще людей! Но с поправкой одной:
отгородившись от них стеной.

        Станислав Ежи Лец, "Фрашки"
Фильтрующие Firewall
Прокси Firewall
Прикладные Firewall
Firewall нового поколения (NGFW)
Firewall inbound и outbound
Полезные ссылки

Учитывая важность проблемы защиты, разработана специальная система firewall ("огненная стена” или брандмауэр). Первые Firewall появились в конце 80-х годов, в 1991 году фирма DEC предложила устройство SEAL (Secure External Access Link), устройства же современного типа появились в 1993 году (TIS – Trusted Information System). Система firewall заменяет маршрутизатор или внешний порт сети (gateway). Защищенная часть сети размещается за ним. Пакеты, адресованные Firewall, обрабатываются локально, а не просто переадресуются. Пакеты же, которые адресованы объектам, расположенным за Firewall, не доставляются. По этой причине хакер вынужден иметь дело с системой защиты ЭВМ Firewall. Схема взаимодействия Firewall с локальной сетью и внешним Интернет показана на рис. 6.3.1.


Рис. 6.3.1. Схема Firewall

Такая схема проще и надежнее, так как следует заботиться о защите одной машины, а не многих. Экран, маршрутизатор и ЭВМ управления экраном объединены небольшой, незащищенной локальной сетью. Основные операции по защите осуществляются здесь на IP-уровне. Эту схему можно реализовать и на одной ЭВМ, снабженной двумя интерфейсами. При этом через один интерфейс осуществляется связь с Интернет, а через второй - с защищенной сетью. Такая ЭВМ совмещает функции маршрутизатора-шлюза, экрана и управления экраном. Возможна реализация Firewall, показанная на рис 6.3.2. Здесь функция экрана выполняется маршрутизатором, но и прокси может выполнять некоторые защитные функции. Возможен вариант прокси-сервера и с одним сетевым интерфейсом. Эту схему можно реализовать и на одной ЭВМ, снабженной двумя интерфейсами. При этом через один интерфейс осуществляется связь с Интернет, а через второй - с защищенной сетью.


Рис. 6.3.2. Схема Firewall, где функцию экрана выполняет маршрутизатор

В этой схеме доступ из Интернет возможен только к прокси-серверу, ЭВМ из защищенной сети могут получить доступ к Интернет тоже только через прокси-сервер. Ни один пакет посланный из защищенной ЭВМ не может попасть в Интернет и, аналогично, ни один пакет из Интернет не может попасть непосредственно защищенной ЭВМ. Возможны и другие более изощренные схемы, например со вторым “внутренним” Firewall для защиты от внутренних угроз.

Вне зависимости от того, насколько надежен ваш сетевой экран, не следует снижать требования к безопасному конфигурированию рабочих станций и серверов.

Следует также помнить, что сетевой экран не способен защитить от вирусов, сетевых червей, троянских коней, атак из локальной сети и различных мошеннических трюков (“социальная инженерия”). Но самой серьезной угрозой являются “новые” неизвестные доселе атаки. Существует несколько разновидностей Firewall.

Фильтрующие Firewall

Фильтрующая разновидность сетевых экранов производит отбор пакетов по содержимому заголовков (адреса и номера портов). Но такие экраны не могут различить команду get от put, так как для этого надо просматривать поле данных. Функции таких сетевых экранов могут быть реализованы практически любым маршрутизатором.

Прокси Firewall

Сетевые экраны на основе прокси-серверов способны анализировать не только заголовки, но и пересылаемые данные. Такие серверы исключают прямое соединение клиента и удаленного сервера. От имени клиента запрос посылает сетевой экран. Для большой сети целесообразно иметь отдельные машины для прокси-серверов, обеспечивающих разные виды услуг (WWW, FTP и пр.), см. рис. 6.3.3. и 6.3.3A.


Разные серверы для разных услуг помимо безопасности пропорционально увеличивают быстродействие системы в целом.

На рисунках показаны два (но не единственных) варианта защиты сети с помощью сетевого экрана, построенного на основе прокси-сервера и имеющего “демилитаризованную” зону. В такой зоне обычно размещаются серверы, доступные из Интернет непосредственно (вне защищаемого контура). Такие серверы бывают нужны для рекламирования изделий фирмы, обслуживания клиентов или для демонстрации достижений учреждения или научного центра. Такие схемы сохраняют доступность вашего WEB-сервера со стороны поисковых систем, что позволит узнать о вашей компании или учреждении большему количеству людей. Вариант на рис. 6.3.3А несколько гибче, но требует трех сетевых интерфейсов для прокси-сервера. Существуют аппаратные решения, совмещающие многие из описанных здесь возможностей.


Следует помнить, что подключение через модем должно производиться через специальный защищенный сервер с поддержкой протоколов типа Radius. Наилучшее для него место размещения - демилитаризованная зона, ведь безопасность сети определяется ее самым уязвимым элементом.

Рис. 6.3.3. Размещение WEB-сервера в демилитаризованной зоне

При выборе политики и правил отбора пакетов важно ответить на следующие вопросы:

  1. Какие сетевые услуги вы желаете реализовать и для каких направлений (изнутри и снаружи)?
  2. Следует ли ограничивать “внутренних” клиентов в части подключения к серверам в Интернет?
  3. Имеются ли узлы в Интернет, для которых вы бы хотели создать особые условия доступа (например, филиалы вашего учреждения)?

Рис. 6.3.3a. Вариант построения демилитаризованной зоны с помощью сетевого экрана с 3-мя интерфейсами

Обычно сетевым экраном реализуется одна из двух политик безопасности:

  1. Разрешено все, что не запрещено правилами
  2. Запрещено все, что не разрешено правилами

На первый взгляд может показаться, что эти две политики неотличимы, но это совсем не так. В первом варианте при появлении нового приложения или протокола придется вводить новые ограничительные правила. Второй вариант политики консервативнее и здесь реже приходится менять правила.

Прокси-сервер обычно привязан к конкретному типу приложений и способен разрешать или запрещать выполнение определенных операций. Рассмотрим, как внутренним клиентом через такого рода сервер может быть загружена определенная WEB-страница с сервера в Интернет.

Прямое соединение внутреннего клиента с внешним сервером через сетевой экран невозможно. Прокси-сервер посылает HTTP-запрос внешнему серверу от своего имени с IP-адреса своего внешнего интерфейса, подключенного к Интернет. Понятно, что и отклик от внешнего WEB-сервера придет через указанный интерфейс в прокси-сервер. После получения запрошенной WEB-страницы прокси-сервер производит определенные администратором проверки, после чего открывает сессию передачи полученных данных через свой интерфейс LAN клиенту-заказчику. На фазе проверок возможна сортировка данных и блокировка доступа клиента к определенному типу данных, например, порнографического вида.

Вообще фильтрация данных стала в последнее время широко обсуждаемой проблемой. Отбор может производиться по URL, хотя этот способ селекции мало эффективен, во-первых, потому что URL часто меняются, во-вторых, из-за того, что клиент может всегда заменить URL на IP-адрес. Надежда на то, что в ограничительный список можно включить и IP-адреса, напрасна, так как некоторые программы могут воспринимать IP-адрес в десятичном (а не в десятично-точечном) представлении. Существуют и более изощренные фильтры, где содержимое анализируется по ключевым словам или по характеру вложений (Java или ActiveX).

Выбирая правила фильтрации, нужно сначала сформулировать общую стратегию:

  1. Какие сервисы в сети нужно обеспечить и в каком направлении (изнутри вовне или извне внутрь).
  2. Какие ограничения на выход в Интернет для внутренних машин вы готовы установить.
  3. Имеются ли внешние машины, для которых вы готовы предоставить какие-то формы доступа в вашу сеть.

В разных системах межсетевых экранов правила фильтрации формулируются различным образом, но, как правило, требуются следующие данные:

  1. В каком направлении и через какой интерфейс передаются пакеты.
  2. IP-адреса отправителя и получателя
  3. Допустимые опции IP
  4. Используемые протоколы высокого уровня (UDP, TCP, ICMP).

  5. Допустимые типы ICMP-сообщений
  6. Номера портов отправителя и получателя (для протоколов (UDP и TCP)

Некоторые протоколы желательно отфильтровывать из-за их потенциальной опасности. Работа с ними допускается лишь на специально выделенных машинах.

  1. Порт 23 (Telnet), не должен использоваться вообще или использоваться для исследовательских целей на одной ЭВМ
  2. Порты 20 и 21 (FTP) лучше закрыть везде, но, в крайнем случае, их можно открыть при необходимости на одном FTP-сервере.
  3. Порт 25 (SMTP) обычно разрешается только на центральном почтовом сервере.
  4. Порт 53 (DNS) открывается только для серверов имен (первичного и вторичного).
  5. Порт 520 (RIP) может быть использован для перенаправления потока данных. Если можно обойтись без протокола маршрутизации RIP, это следует сделать.
  6. Порты 70 (Gopher) и 80 (WWW) должны быть открыты только для шлюзов соответствующих приложений.
  7. Порт 119 (NNTP -служба новостей) должен использоваться только сервером новостей.
  8. Порт 79 (Finger) желательно закрыть, так как через него может быть получена полезная для хакера персональная информация.
  9. Порт 69 (TFTP) безоговорочно должен быть закрыт для любых внешних пользователей. Открытие для внутренних пользователей должно осуществляться в случае крайней необходимости для выбранных IP-адресов.
  10. Порт 540 (UUCP) лучше заблокировать из-за его уязвимости (сама услуга устарела и ее безопасность не совершенствуется).

В принципе, прокси-серверы могут работать в обоих направлениях, т.е. обеспечивать внешним клиентам доступ к внутренним серверам. Обеспечивая сокрытие данных о клиентах и структуре внутренней сети, прокси-серверы становятся критической точкой системы в целом. Взлом или выход из строя такого устройства может парализовать работу большого числа людей.

Существуют так называемые прозрачные прокси-серверы. Такие серверы создают больший комфорт клиентам, ведь не нужно авторизоваться сначала в прокси или как-то адаптировать свое программное обеспечение. Для клиента создается впечатление, что он работает непосредственно с внешним сетевым объектом, он может даже не знать о существовании прокси. Запросы внутреннего клиента к внешнему серверу перехватываются прокси-сервером и после анализа блокируются или передаются во внешнюю сеть. Пользователь авторизуется на внешнем сервере, а не в прокси. Но у прокси остается возможность блокировки некоторых операций, например, GET или PUT. Прокси может вести журнал операций или предоставлять различные права разным клиентам. Следует заметить, что прозрачный сервер не скрывает IP-адреса внутренних клиентов. Если прокси организует подключение внешнего клиента к внутреннему серверу, для внутреннего сервера клиентом является прокси, а не внешний объект. Но внешний объект знает IP-адрес внутреннего сервера. Ситуацию можно несколько улучшить, если поместить все внутренние серверы в демилитаризованную зону, тогда хакер не получит никаких данных об остальных объектах внутренней сети. Внутренние серверы в этом случае должны быть дополнительно защищены, например, локальными программами типа Firewall.

В случае классического прокси клиенту нужно знать имя прокси и ЭВМ, с которой он хочет взаимодействовать. Имя прокси клиент должен преобразовать в его IP-адрес, послав запрос в DNS, а имя ЭВМ передать прокси-серверу в качестве параметра запроса. DNS в этом случае сообщает внутренние IP-адреса только внутренним сетевым объектам. Для работы с внешними IP-адресами служит другой DNS-сервер. В случае же прозрачного прокси схема взаимодействия с DNS идентична той, которая существует при отсутствии сетевого экрана.

Для прокси-серверов достаточно типично использование трансляции сетевых адресов NAT (Network Address Translation). Такая схема, среди прочего, позволяет обойтись меньшим числом реальных IP-адресов. При реализации запросов во внешнюю сеть программа NAT подставляет в поле адрес отправителя IP сервера NAT. При получении отклика программа NAT заносит в поле адреса получателя адрес клиента источника запроса.

Существуют сетевые услуги, которые следует блокировать сетевым экраном:

  1. NFS (Network File System). В случае разрешения доступа к этой услуге через сетевой экран, на удаленной машине можно будет смонтировать файловую систему вашей сети и делать с ней все что угодно…
  2. NIS (Network Information System - сетевая информационная система). Эта система позволяет хакерам узнать нужные им имена узлов и пользователей в вашей сети.
  3. X-windows. По уязвимости эта услуга сравнима с Telnet, допускает удаленный запуск процессов.

Не следует оставлять без внимания безобидный на первый взгляд протокол ICMP, так как он позволяет получить много разнообразной и полезной для хакера информации. По этой причине целесообразно блокировать прохождение ICMP-пакетов следующих типов:

  1. Входящие echo request и исходящие echo replay. Это сохранит возможность для внутренних клиентов тестировать доступность узлов Интернет, но не даст зондировать ваши внутренние сетевые объекты.
  2. Входящие сообщения redirect. Такие сообщения позволяют модифицировать таблицу маршрутизации.
  3. Входящие сообщения service unavailable и исходящие destination unreachable. Это препятствует хакеру зондирование вашей сети. Если хакер может узнать, доступны ли нужные ему узлы или службы, это существенно упростит его задачу.

Если вы поставили и сконфигурировали Firewall, не следует расслабляться. Во-первых, ваш сетевой экран защитит вашу сеть не от всех потенциальных угроз (например, вирусы, сетевые черви, троянские кони, доставляемые по почте, не в его сфере возможностей). Во-вторых, если за экраном не вы один, то вас могут обслужить по части сетевых проблем ваши соседи по локальной сети. По этой причине нужно позаботиться об уязвимости ваших внутренних серверов и рабочих станций.

Расстаньтесь с услугами rlogin, rcp, rexec, telnet (замените на ssh), так как с ними работать удобно не только вам, но и хакерам. По возможности замените услуги FTP на SFTP или scp. Загляните в конфигурационный файл /etc/inetd.conf, а также в /etc/rc.* и удалите все ненужные и потенциально опасные услуги и приложения, например, finger. Не оставляйте без внимания и такие файлы как /etc/networks, /etc/protocols, /etc/services, /etc/hosts.

Если сетевой экран работает на ЭВМ с ОС Windows, там не должно быть файловой системы FAT, так как она не обеспечивает защиты.

В последнее время появился новый вид услуг - MFWS (Managed Firewall Service). Компании, предоставляющие такую услугу, берутся за настройку и управление сетевыми экранами клиента. Сами сетевые экраны могут располагаться у клиента или сервис-провайдера. О настройке межсетевых экранов смотри firewallbyhand.txt.

Недостатки системы Firewall происходят от ее преимуществ, осложняя доступ извне, система делает трудным и доступ наружу. По этой причине система Firewall должна выполнять функции DNS (сервера имен) для внешнего мира, не выдавая никакой информации об именах или адресах внутренних объектов, функции почтового сервера, поддерживая систему псевдонимов для своих клиентов. Псевдонимы не раскрываются при посылке почтовых сообщений во внешний мир. Служба FTP в системе может и отсутствовать, но если она есть, доступ возможен только в сервер Firewall и из него. Внутренние ЭВМ не могут установить прямую FTP-связь ни с какой ЭВМ из внешнего мира. Процедуры telnet и rlogin возможны только путем входа в сервер Firewall. Ни одна из ЭВМ в защищенной сети не может быть обнаружена с помощью PING (ICMP) извне. И даже внутри сети будут возможны только определенные виды трафика между строго определенными машинами. Понятно, что в целях безопасности защищенная сеть не может иметь выходов во внешний мир помимо системы экран, в том числе и через модемы. Экран конфигурируется так, чтобы маршрут по умолчанию указывал на защищенную сеть. Экран не принимает и не обрабатывает пакеты внутренних протоколов маршрутизации (например, RIP). ЭВМ из защищенной сети может адресоваться к экрану, но при попытке направить пакет с адресом из внешней сети будет выдан сигнал ошибки, так как маршрут по умолчанию указывает назад в защищенную сеть. Для пользователей защищенной сети создаются специальные входы для FTP/scp, telnet/ssh и других услуг. При этом не вводится каких-либо ограничений по транспортировке файлов в защищенную сеть и блокируется передача любых файлов из этой сети, даже в случае, когда инициатором FTP-сессии является клиент защищенной сети. Единственные протоколы, которым всегда позволен доступ к ЭВМ Firewall являются SMTP (электронная почта) и NNTP (служба новостей). Внешние клиенты Интернет не могут получить доступа ни к одной из защищенных ЭВМ ни через один из протоколов. Если нужно обеспечить доступ внешним пользователям к каким-то данным или услугам, для этого можно использовать сервер, подключенный к незащищенной части сети (или воспользоваться услугами ЭВМ управления экраном, что нежелательно, так как снижает безопасность). ЭВМ управления экраном может быть сконфигурирована так, чтобы не воспринимать внешние (приходящие не из защищенной сети) запросы типа FTP/scp, telnet/ssh и пр., это дополнительно повысит безопасность. Стандартная система защиты здесь часто дополняется программой wrapper. Немалую пользу может оказать и хорошая система регистрации всех сетевых запросов. Системы Firewall часто используются и в корпоративных сетях, где отдельные части сети удалены друг от друга. В этом случае в качестве дополнительной меры безопасности применяется шифрование пакетов. Система Firewall требует специального программного обеспечения. Следует иметь в виду, что сложная и дорогостоящая система Firewall не защитит от “внутренних” злоумышленников. Нужно тщательно продумать систему защиты модемных каналов (сама система Firewall на них не распространяется, так как это не внешняя часть сети, а просто удаленный терминал). Хороший результат можно получить, совместно обрабатывая журнальные файлы IDS и Firewall.

Если требуется дополнительная степень защиты, при авторизации пользователей в защищенной части сети могут использоваться аппаратные средства идентификации, а также шифрование имен и паролей.

В последнее время появилось большое число аппаратных решений для межсетевых экранов. Это, прежде всего CISCO PIX Firewall. Но крайне интересное предложение поступило от компании 3СОМ (см. www.3com.com/products), где Firewall встроен в сетевой интерфейс и снабжен программным обеспечением, позволяющим мониторировать состояние группы таких интерфейсов.

При выборе той или иной системы Firewall следует учитывать ряд обстоятельств.

  1. Операционная система. Существуют версии Firewall, работающие с UNIX и Windows NT. Некоторые производители модифицируют ОС с целью усиления безопасности. Выбирать следует ту ОС, которую вы знаете лучше.
  2. Рабочие протоколы. Все Firewall могут работать с FTP (порт 21), e-mail (порт 25), HTTP (порт 80), NNTP (порт 119), Telnet/ssh (порт 23/22), Gopher (порт 70), SSL (порт 443) и некоторыми другими известными протоколами. Как правило, они не поддерживают SNMP.
  3. Типы фильтров. Сетевые фильтры, работающие на прикладном уровне прокси-сервера, предоставляют администратору сети возможность контролировать информационные потоки, проходящие через Firewall, но они обладают не слишком высоким быстродействием. Аппаратные решения могут пропускать большие потоки, но они менее гибки. Существует также “схемный” уровень прокси, который рассматривает сетевые пакеты, как черные ящики и определяет, пропускать их или нет. Отбор при этом осуществляется по адресам отправителя, получателя, номерам портов, типам интерфейсов и некоторым полям заголовка пакета.
  4. Система регистрации операций. Практически все системы Firewall имеют встроенную систему регистрации всех операций. Но здесь бывает важно также наличие средств для обработки файлов с такого рода записями.
  5. Администрирование. Некоторые системы Firewall снабжены графическими интерфейсами пользователя. Другие используют текстовые конфигурационные файлы. Большинство из них допускают удаленное управление.
  6. Простота. Хорошая система Firewall должна быть простой. Прокси-сервер (экран) должен иметь понятную структуру и удобную систему проверки. Желательно иметь тексты программ этой части, так как это прибавит ей доверия.
  7. Туннелирование. Некоторые системы Firewall позволяют организовывать туннели через Интернет для связи с удаленными филиалами фирмы или организации (системы Интранет). Естественно, что информация по этим туннелям передается в зашифрованном виде.

К средствам мониторинга сетевых атак относятся такие программные продукты, как SNORT (IDS), для предотвращения атак используются различные системы типа Firewall.

Интересные возможности предоставляет программный пакет TCP Wrapper, который использует демон tcpd, запускаемый вместо сетевых служб, указанных в файле inetd.conf. TCP wrapper позволяет разрешить доступ только с определенных узлов, находящихся в вашей сети. Кроме того, эта программа регистрирует запросы к сервисам и имена (адреса) узлов, откуда они поступили. Это ее свойство может быть крайне полезной при анализе, который нужно проводить при подозрении вторжения.

Хорошего результата можно достичь, грамотно конфигурируя программное обеспечение ЭВМ и контролируя качество паролей. Пример фрагмента журнального файла ZoneAlarm (разновидность Firewall) представлен ниже:


FWIN,2005/08/19,14:25:04 +4:00 MT,61.235.154.103:44666,194.85.70.31:1027,UDP
FWIN,2005/08/19,14:39:36 +4:00 GMT,220.168.156.70:37740,194.85.70.31:1026,UDP
FWIN,2005/08/19,14:39:36 +4:00 GMT,220.168.156.70:37740,194.85.70.31:1027,UDP
FWIN,2005/08/19,14:44:34 +4:00 GMT,222.241.95.69:32875,194.85.70.31:1027,UDP


Эта распечатка демонстрирует попытки прощупывания ЭВМ с IP-адресом 194.85.70.31 на предмет откликов со стороны портов 1026 и 1027 (протоколы cap и exosee). Зондирование производится с нескольких разных адресов (61.235.154.103, 220.168.156.70 и 222.241.95.69). Объектом атаки в данном случае является рабочая станция, которая не поддерживает эти протоколы.

После проникновения хакер старается ликвидировать следы своей работы и в то же время оставить для себя “калитку”. Сделать это он может, заведя новую учетную запись или загрузив троянского коня. По этой причине нужно регулярно проверять список учетных записей и сканировать машину на предмет наличия троянских коней и spyware.

В последнее время возникли новые угрозы - вторжения через приложения, когда для распознавания атаки нужно просматривать не только заголовки пакета (уровни L3-L4), но и поле данных. Для борьбы с такими попытками вторжений создаются Firewall нового типа для распознавания атак на прикладном уровне. Кроме того, современные Firewall при фильтрации URL используют их репутацию, это же касается и IP-адресов.

В Интернет можно найти утверждения, что Firewall можно легко обойти. Отчасти это верно. Но не следует из этого делать вывод, что можно обойтись без этого средства защиты. Во-первых, нужно стремиться максимально осложнять жизнь хакерам, во-вторых, хакер всегда предпочтет найти более легкую мишень для атаки, взломав, например, незащищенный сервер соседа ().

Информацию по системам Firewall можно найти по следующим адресам.

URL Содержание
http://search.netscape.com/ eng/mozilla/2.0/relnotes/demo/proxy-live.html Автоматическая конфигурация прокси для Netscape и Microsoft броузеров
http://www.software.digital.com Alta Vista Firewall
http://www.cyberguardcorp.com/ CyberGuard Firewall
http://www.raptor.com/ Eagle Firewall
http://www.checkpoint.com/ Firewall-1
http://www.tis.com/ Gauntlet Firewall
http://www.on.com/ ON Guard Firewall
http://www.sctc.com BorderWare Firewall
ftp://ftp.nec.com/pub/socks/ SOCKS прокси
ftp://ftp.tis.com/pub/firewalls/toolkit Средства для работы с Firewall
majordomo@greatcircle.com Подписной лист по проблематике Firewall. Для подписки в тело сообщения следует поместить subscribe firewall. Там же имеется архив: http://www.greatcircle.com/firewalls

Прикладные Firewall

Сегодня 75% успешных Интернет атак (данные Gartner Inc.) использует уязвимости приложений. WEB-приложения также часто являются объектами сетевых атак. Безопасность таких приложений обеспечивается специальными программами - "прикладными Firewall". Смотри Application Firewalls. Несмотря на то что 98% компаний имеют традиционные Firewall, а 69% - оснащены системами IDS/IPS, они становятся мишенями атак. Названные средства в основном анализируют заголовки пакетов (IP-адреса и номера портов), а прикладные порты, например, порт=80 для WEB-приложений всегда открыт. Для обеспечения безопасности нужно достаточно глубоко анализировать поле данных. Существуют специальные программы для сканирования уязвимости приложений. При этом анализируются десятки параметров и в конечном итоге блокируются тысячи уязвимостей.

Но реально на рынке пока достаточно мало средств противодействия атакам против приложений.

Прикладными Firewall [4, 6] используют знания о специфических особенностях приложения для блокировки вредоносных запросов, обеспечивая защиту не на сетевом, а на прикладном уровне. Такие программы пригодны для защиты WEB-, SOA и XML-приложений. Хакер при таких атаках входит в систему как легальный пользователь, затем меняет свой уровень привилегий и получает доступ в зоны, куда доступ обычным пользователям запрещен. Эти средства защиты предполагают контроль не только входного трафика, но и выходного. С учетом того, что большинство видов электронного бизнеса мигрирует в область WEB-технологий, прикладные Firewall будут весьма востребованы. Разумеется, это не исключает применения всех других средств сетевой защиты.

Особую разновидность прикладных Firewall составляют WAF (WEB-application Firewall), которые имеют целью защиту на прикладном уровне.

Следует иметь в виду, что со многих точек зрения IPS (система предотвращения вторжения) эффективнее Firewall. Современные Firewall и IPS могут работать с входными потоками до 10 Гбит/c. Эти системы для распознавания атак используют как сигнатуры, так детектирование аномального поведения.

К 2009 году сложилась технология FireWall нового поколения, базирующаяся на UTM (Unified Threat Management). Эта технология объединяет в себе традиционные методы и IPS. Анализ трафика производится не только на уровнях L3-L4, но и на прикладном уровне. На текущий момент такие приборы составляют не более 1%, но ожидается, что к 2014 году их число достигнет 35% от общего числа Firewall.

На практике число Firewall, используемых в одной сети, зависит от поставленной задачи. Помимо главного Firewall, отделяющего сеть от Интернет, могут существовать Firewall, защищающие отдельные серверы (DNS, NTP, SMTP) или даже отдельные рабочие станции. В последнем случае речь идет об установленных там программах. Поставив Firewall на входе, например, вашего почтового сервера, вы можете в несколько раз сократить объем приходящего SPAM. Схема защиты с несколькими Firewall показана на рис. 6.3.4. См. The Essential Guide for Upgrading your Network.

Рис. 6.3.4. Вариант системы Firewall, настроенных на разные задачи

Firewall почтового сервера должен контролировать не только входящий трафик, но и исходящий. Так можно выявлять взлом машин локальной сети и превращение их в зомби для рассылки SPAM. При этом в сети нужно запретить посылку почты непосредственно из рабочей станции, минуя почтовый сервер.

Цена Firewall зависит от полосы канала и в 2009 году составляла 5000$ за гигабит в секунду [3].

Ниже в таблице перечислены опции современных Firewall и их функции [5].

Технология Решаемая проблема
Анализ состояния Блокировка всех нежелательных протоколов
Firewall рабочей станции Защищает от DoS-атак
Глубокий анализ пакетов (DPI) Выявляет опасное содержимое пакетов в случае разрешенных протоколов
Фильтрация уязвимостей Блокирует влияние известных уязвимостей
Экранирование уязвимостей Блокирует уязвимость пока она не удалена.
Блокурует уязвимости, которые не могут быть удалены.
Интеллектуальные фильтры Защищают от атак нулевого дня.
Усиливают политику безопасности.
Обычные фильтры Защита приложений

Firewall нового поколения

В последнее время появились новые опции Firewall:

Эти устройства могут работать в каналах с быстродействием до 10 Гбит/c.

Пример Firewall нового поколения представлен на рис. 6.3.5. Новые возможности в этой сфере предоставляет пользователям техника SDN (Software Defined Network).

Рис. 6.3.5. Вариант Firewall нового поколение

Firewall нового поколения могут помочь решить проблемы безопасного применения мобильного оборудования (см. "NGFW benefits include identity awareness, secure mobile access", Diana Kelley).

Firewall inbound и outbound типов

Большинство Firewall относятся к inbound-типу, т.е. к блокирующим вредоносный внешний трафик, включая DDoS-атаки. Но существуют также и outbound Firewall, которые блокируют вредоносный трафик, исходящий из локальной сети, включая SPAM (см. "Comparing firewalls: Differences between an inbound & outbound firewall", Kevin Beaver, Network Security). Некоторые Firewall могут решать обе эти задачи.

Полезные ссылки

  1. Understanding Firewalls (CERT)
  2. Debunking Some Common Myths (Некоторые мифы сетевой безопасности)
  3. Greg Young, John Pescatore. Magic Quadrant for Enterprise Network Firewalls (Gartner)
  4. Next Generation Web Application Firewalls: NG-WAF
  5. Intrusion Defense Firewall (Trend Micro)
  6. The Technical Guide on WEB application Firewall
  7. Proactive Security through Firewall Log Analysis
Широкое использование мобильных устройств (laptop с Wi-Fi, iPAD, iPhone и т.д.) размывает периметр сети и делает Firewall неэффективным.


Previous: 6.2 Виртуальные локальные сети VLAN, Интранет    UP: 6 Сетевая безопасность
Down: 6.3.1 Обзор уязвимостей, некоторых видов атак и средств защиты
    Next: 6.4 Системы шифрования