Главная

Новости

Статьи и обзоры
  Горожанин
  Обнинск в Internet
  Web Design
  Hardware
  Software
  Безопасность
  Серфинг
  Игродром
  Relax
  Технологии
  Web-обзор
  Интернет-ликбез
  Опросник
  УП-Технологии
  ART.net

Ссылки

Архив

О нас

Контакты

Форумы

POPULAR.RU

"FIREWALL": СТЕНА ОГНЯ, КОТОРАЯ ЗАЩИЩАЕТ

Константин Николаенко aka Steel Human stainlessteel@freemail.ru

Продолжение, начало в #73

Как и обещал, на этот раз речь пойдет о трех основных типах firewall: пакетные фильтры, серверы уровня соединения и серверы прикладного уровня. Узнать чуть-чуть теории никогда не помешает:)

Прочитав и осмыслив предыдущую статью, многие придут к верному умозаключению: межсетевой экран необходимо установить таким образом, чтобы не было входящих запросов, которые могли бы в обход межсетевого экрана получить ресурсы, находящиеся за firewall-ом. То есть, firewall "фильтрует" всю проходящую через него информацию, отбрасывая "мусор" (подозрительные пакеты), запрещая и отслеживая попытки несанкционированного доступа как в защищаемый сегмент, так и из него. Это, разумеется, не гарантирует нам абсолютной защищенности, но все-таки уже кое-что...

ФИЛЬТРЫ ПАКЕТОВ
Межсетевые экраны с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая в заголовке этого пакета IP-адреса, флаги или номера TCP-портов. IP-адрес и номер порта - это информация соответственно сетевого и транспортного уровней, но пакетные фильтры используют и информацию прикладного уровня - все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта.

Преимущества:

• относительно невысокая стоимость;
• небольшая задержка при прохождении пакетов.

• локальная сеть видна (маршрутизируется) из Интернет;
• правила фильтрации довольно трудны в описании, поэтому требуются очень хорошие знания технологий TCP и UDP;
• отсутствует аутентификация на пользовательском уровне;
• аутентификацию с использованием IP-адреса можно обмануть при помощи IP-спуфинга, когда атакующая система выдает себя за другую, используя ее IP-адрес.

СЕРВЕРЫ УДАЛЕННОГО СОЕДИНЕНИЯ (PROXY-SERVERS)
Представляет из себя транслятор TCP-соединения. Пользователь устанавливает соединение с определенным портом на брандмауэре, который производит соединение с местом назначения по другую от себя сторону. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод.

СЕРВЕРЫ ПРИКЛАДНОГО УРОВНЯ
Межсетевые экраны этого типа используют серверы конкретных сервисов - TELNET, FTP, HTTP и т.п., запускаемые на межсетевом экране и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения прикладного уровня: от клиента до межсетевого экрана и от межсетевого экрана до места назначения. Полный набор поддерживаемых серверов различается для каждого конкретного межсетевого экрана. Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS).

Другим положительным качеством является возможность централизованной аутентификации - подтверждения действительно ли пользователь является тем, за кого он себя выдает. Преимущества:

• локальная сеть невидима из Internet;
• защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в программном обеспечении;
• при организации аутентификации на пользовательском уровне может быть реализована система немедленного предупреждения о попытке взлома.

• более высокая, чем для пакетных фильтров стоимость;
• производительность ниже, чем для пакетных фильтров.

Ввиду того, что серверы прикладного уровня (шлюзы приложений) функционируют на уровне приложений, контроль доступа может быть отрегулирован значительно точнее, нежели в случае фильтров пакетов. Однако одним из недостатков такого подхода является то, что поток трафика существенно замедляется, поскольку инициация уполномоченного сеанса требует времени. Шлюзы приложений, кроме того, требуют отдельного приложения для каждого сетевого сервиса. Межсетевые экраны, не имеющие соответствующего приложения, не позволят осуществить доступ к данному сервису. С технической точки зрения, это означает, что при появлении новой версии какого-либо приложения она должна быть загружена в межсетевой экран.

Далее в следующей статье мы перейдем к рассмотрению конкретных программных продуктов, реализующих функции firewall. Как было замечено в прошлой статье, будут рассмотрены только программные firewall, и начнем мы с продукта eSafe Protect.

Кстати, не будут рассмотрены продукты подобные AtGuard, Jammer, NukeNabber и проч. Поскольку, во-первых, они уже весьма известны широкой публике; а во-вторых, они реализуют функции персонального firewall, т.е. в большей степени расчитаны на применение исключительно на пользовательской машине (клиенте). Нас же больше интересуют firewall-ы для серверов (шлюзы, маршрутизаторы, mail-серверы и тэ пэ).

Ссылки по теме:
pl-computers.ru/article.cfm?ID=178 - теория о firewall, рекомендую почитать всем...
pl-computers.ru/article.cfm?ID=336 - практика: использование и настройка AtGuard, Jammer, NukeNabber. Это больше подходит для рядовых юзверей.