Главная » Помощь » Объясняет назначение брандмауэра. Назначение параметров настройки брандмауэра Windows

Объясняет назначение брандмауэра. Назначение параметров настройки брандмауэра Windows

Брандмауэр, он же файервол - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Как правило, зта граница проводится между локальной сетью предприятия и ИНТЕРНЕТ, хотя ее можно провести и внутри локальной сети предприятия или домашней сети. Брандмауэр таким образом пропускает через себя весь трафик. Для каждого проходящего пакета брандмауэр принимает решение пропускать его или отбросить.

Обычно под брандмауэром подразумевают комплекс программных средств, устанавливаемых на компьютер, выполняющий функции шлюза в интернет. Существуют так же специализированные программно-аппаратные комплексы, обычно включающие в себя функции шлюза и маршрутизатора. Как правило, в операционную систему, под управлением которой работает брандмауэр вносятся изменения, цель которых - повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации.

С целью обеспечения безопасности доступ к операционной системе должен быть только у администратора. Некоторые брандмауэры работают только в однопользовательском режиме. Многие брандмауэры имеют систему проверки целостности программных кодов. При этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются при старте программы во избежание подмены программного обеспечения.

Типы брандмауэров:

пакетные фильтры (packet filter)
сервера прикладного уровня (application gateways)
сервера уровня соединения (circuit gateways)

Все типы могут одновременно встретиться в одном брандмауэре.

Пакетные фильтры

Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета. IP-адрес и номер порта - это информация сетевого и транспортного уровней соответственно, но пакетные фильтры используют и информацию прикладного уровня, т.к. все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта.

Сервера прикладного уровня

Брандмауэры с серверами прикладного уровня используют сервера конкретных сервисов - TELNET, FTP и т.д. (proxy server), запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения.

Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством является возможность аутентификации на пользовательском уровне (аутентификация - процесс подтверждения идентичности чего-либо; в данном случае это процесс подтверждения, действительно ли пользователь является тем, за кого он себя выдает).

Сервера протоколов прикладного уровня позволяют обеспечить наиболее высокий уровень защиты - взаимодействие с внешним миров реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.

Сервера уровня соединения

Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод.

Как правило, пункт назначения задается заранее, в то время как источников может быть много (соединение типа один - много). Используя различные порты, можно создавать различные конфигурации.

Такой тип сервера позволяет создавать транслятор для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор статистики по его использованию.

Сравнительные характеристики

Ниже приведены основные преимущества и недостатки пакетных фильтров и серверов прикладного уровня относительно друг друга.

К положительным качествам пакетных фильтров следует отнести следующие:

относительно невысокая стоимость
гибкость в определении правил фильтрации
небольшая задержка при прохождении пакетов

Недостатки у данного типа брандмауэров следующие:

локальная сеть видна (маршрутизируется) из ИНТЕРНЕТ
правила фильтрации пакетов трудны в описании, требуются очень хорошие знания технологий TCP и UDP
при нарушении работоспособности брандмауэра все компьютеры за ним становятся полностью незащищенными либо недоступными
аутентификацию с использованием IP-адреса можно обмануть использованием IP-спуфинга (атакующая система выдает себя за другую, используя ее IP-адрес)
отсутствует аутентификация на пользовательском уровне

К преимуществам серверов прикладного уровня следует отнести следующие:

локальная сеть невидима из ИНТЕРНЕТ
при нарушении работоспособности брандмауэра пакеты перестают проходить через брандмауэр, тем самым не возникает угрозы для защищаемых им машин
защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в программном обеспечении
аутентификация на пользовательском уровне может быть реализована система немедленного предупреждения о попытке взлома.

Недостатками этого типа являются:

более высокая, чем для пакетных фильтров стоимость;
невозможность использования протоколов RPC и UDP;
производительность ниже, чем для пакетных фильтров.

Виртуальные сети

Ряд брандмауэров позволяет также организовывать виртуальные корпоративные сети (Virtual Private Network), т.е. объединить несколько локальных сетей, включенных в ИНТЕРНЕТ в одну виртуальную сеть. VPN позволяют организовать прозрачное для пользователей соединение локальных сетей, сохраняя секретность и целостность передаваемой информации с помощью шифрования. При этом при передаче по ИНТЕРНЕТ шифруются не только данные пользователя, но и сетевая информация - сетевые адреса, номера портов и т.д.

Администрирование

Легкость администрирования является одним из ключевых аспектов в создании эффективной и надежной системы защиты. Ошибки при определении правил доступа могут образовать дыру, через которую может быть взломана система. Поэтому в большинстве брандмауэров реализованы сервисные утилиты, облегчающие ввод, удаление, просмотр набора правил. Наличие этих утилит позволяет также производить проверки на синтаксические или логические ошибки при вводе или редактирования правил. Как правило, эти утилиты позволяют просматривать информацию, сгруппированную по каким либо критериям - например, все что относится к конкретному пользователю или сервису.

Системы сбора статистики и предупреждения об атаке Еще одним важным компонентом брандмауэра является система сбора статистики и предупреждения об атаке. Информация обо всех событиях - отказах, входящих, выходящих соединениях, числе переданных байт, использовавшихся сервисах, времени соединения и т.д. - накапливается в файлах статистики. Многие брандмауэры позволяют гибко определять подлежащие протоколированию события, описать действия брандмауэра при атаках или попытках несанкционированного доступа - это может быть сообщение на консоль, почтовое послание администратору системы и т.д. Немедленный вывод сообщения о попытке взлома на экран консоли или администратора может помочь, если попытка оказалась успешной и атакующий уже проник в систему. В состав многих брандмауэров входят генераторы отчетов, служащие для обработки статистики. Они позволяют собрать статистику по использованию ресурсов конкретными пользователями, по использованию сервисов, отказам, источникам, с которых проводились попытки несанкционированного доступа и т.д.

Аутентификация

Аутентификация является одним из самых важных компонентов брандмауэров. Прежде чем пользователю будет предоставлено право воспользоваться тем или иным сервисом, необходимо убедиться, что он действительно тот, за кого он себя выдает (предполагается, что этот сервис для данного пользователя разрешен: процесс определения, какие сервисы разрешены называется авторизацией. Авторизация обычно рассматривается в контексте аутентификации - как только пользователь аутентифицирован, для него определяются разрешенные ему сервисы). При получении запроса на использование сервиса от имени какого-либо пользователя, брандмауэр проверяет, какой способ аутентификации определен для данного пользователя и передает управление серверу аутентификации. После получения положительного ответа от сервера аутентификации брандмауэр образует запрашиваемое пользователем соединение.

Как правило, используется принцип, получивший название \\\\\"что он знает\\\\\" - т.е. пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос.

Одной из схем аутентификации является использование стандартных UNIX паролей. Эта схема является наиболее уязвимой с точки зрения безопасности - пароль может быть перехвачен и использован другим лицом.

Чаще всего используются схемы с использованием одноразовых паролей. Даже будучи перехваченным, этот пароль будет бесполезен при следующей регистрации, а получить следующий пароль из предыдущего является крайне трудной задачей. Для генерации одноразовых паролей используются как программные, так и аппаратные генераторы - последние представляют из себя устройства, вставляемые в слот компьютера. Знание секретного слова необходимо пользователю для приведения этого устройства в действие. Ряд брандмауэров поддерживают Kerberos - один из наиболее распространенных методов аутентификации. Некоторые схемы требуют изменения клиентского программного обеспечения - шаг, который далеко не всегда приемлем.

На данный момент на рынке присутствует множество видов программных и аппаратных решений для защиты локальной сети либо отдельного компьютера от несанкционированного доступа. Не пренебрегайте собственной безопасностью.

Internet, как и любое сообщество, страдает от идиотов, получающих удовольствие от электронной разновидности похабной писанины на стенах, поджигания почтовых ящиков или гудения автомобильными сигналами во дворах. Многие пытаются сделать с помощью сети Internet что-то полезное, у других есть важные или конфиденциальные данные, требующие защиты. Обычно задача брандмауэра - оградить сеть от идиотов, не мешая при этом пользователям выполнять свою работу.

Многие традиционные компании и центры обработки данных разработали правила и принципы компьютерной безопасности, которым надо следовать. Если правила работы компании указывают, как необходимо защищать данные, брандмауэр становится особенно важным, становясь частью корпоративной системы безопасности. Зачастую при подключении большой компании к сети Internet самым трудным является не обоснование того, что это выгодно или полезно, а объяснение руководству, что это вполне безопасно. Брандмауэр не только обеспечивает реальную защиту, он часто играет существенную роль гаранта безопасности для руководства.

Наконец, брандмауэр может служить корпоративным "посланником" ("лицом") в Internet. Многие компании используют системы брандмауэров для предоставления широкой общественности информации о продукции и услугах компании, в качестве хранилища файлов для загрузки, источника исправленных версий программ и т.д. Некоторые из этих систем стали важной составляющей спектра услуг сети Internet (например, UUnet.uu.net, whitehouse.gov, gatekeeper.dec.com), что положительно сказалось на имидже их организаторов.

Некоторые брандмауэры пропускают только сообщения электронной почты, тем самым защищая сеть от любых атак, кроме атак на почтовую службу. Другие брандмауэры обеспечивают менее строгую защиту и блокируют лишь службы, определенно угрожающие безопасности.

Обычно брандмауэры конфигурируются для защиты от неавторизованной интерактивной регистрации из "внешнего" мира. Именно это, больше, чем все остальное, помогает предотвратить проникновение вандалов в машины вашей сети. Более развитые брандмауэры блокируют передачу информации извне в защищаемую сеть, разрешая при этом внутренним пользователям свободно взаимодействовать с внешним миром. При правильной настройке брандмауэр может защитить от любого типа сетевой атаки.

Брандмауэры также важны, поскольку позволяют создать единую "уязвимую точку" ("choke point"), где можно организовать защиту и аудит. В отличие от ситуации, когда компьютерная система атакуется извне путем дозвона по модему, брандмауэр может служить эффективным средством "прослушивания" и регистрации подключений. Брандмауэры обеспечивают важные функции журнализации и аудита; часто они позволяют администраторам получать отчеты о типах и объемах переданной через них информации, о количестве попыток взлома и т.п.

Важно, что создание такой "уязвимой точки" может служить в сети той же цели, что и ворота с охраной возле здания фирмы. Тем самым, при изменении "зон" или уровней защищенности имеет смысл создавать такую "проходную". Редко когда в здании фирмы есть только ворота для выезда транспорта и нет дежурного или охранников, проверяющих пропуска у входящих. Если в офисе есть различные уровни доступа, логичным будет и создание нескольких уровней защиты в офисной сети.

Брандмауэр не может защитить от атак, которые выполняются не через него. Многие подключенные к Internet корпорации очень опасаются утечки конфиденциальных данных через этот канал. К несчастью для них, магнитную ленту использовать для передачи данных ничуть не сложнее. Руководство многих организаций, напуганное подключением к Internet, не вполне представляет, как защищать доступ к модемам по коммутируемым линиям. Смешно устанавливать стальную дверь двухметровой толщины в деревянном доме, но многие организации покупают дорогие брандмауэры и игнорирую другие многочисленные лазейки в корпоративную сеть. Чтобы брандмауэр выполнял свои функции, он должен быть часть согласованной общей системы защиты в организации. Правила брандмауэра должны быть реалистичными и отражать уровень защиты всей сети в целом. Например, для систем с совершенно секретными или конфиденциальными данными брандмауэр вообще не нужен - их просто не надо подключать к Internet, или же надо изолировать системы с действительно секретными данными от остальной части корпоративной сети.

Брандмауэр практически не может защитить вас и от саботажников или идиотов внутри сети. Хотя агент, занимающийся промышленным шпионажем, может передавать информацию через ваш брандмауэр, он точно так же может предавать ее по телефону, по факсу или на дискете. Дискеты - куда более вероятные каналы утечки информации из компании, чем брандмауэр! Брандмауэры также не могут защитить от глупости. Пользователи, предоставляющие важную информацию по телефону, - хорошая цель для обработки психологически подготовленным злоумышленником. Он может взломать сеть, полностью обойдя брандмауэр, если сможет найти "полезного" сотрудника в организации, которого сможет обманом заставить дать доступ к модемному пулу. Прежде чем решить, что в вашей организации такой проблемы не существует, спросите себя, насколько сложно представителю организации-партнера получить доступ в сеть, или будет ли трудно пользователю, забывшему пароль, добиться его сброса. Если сотрудники справочной службы считают, что им звонят только из вашего офиса, у вас определенно есть проблема.

Наконец, брандмауэры не могут защитить от передачи по большинству прикладных протоколов команд подставным ("троянским") или плохо написанным клиентским программам. Брандмауэр - не панацея, и его наличие не отменяет необходимости контролировать программное обеспечение в локальных сетях или обеспечивать защиту хостов и серверов. Передать "плохие" вещи по протоколам HTTP, SMTP и другим очень просто, и это можно легко продемонстрировать. Защита - это не то, что можно "сделать и забыть".

Брандмауэры не могут обеспечить хорошую защиту от вирусов и им подобных программ. Имеется слишком много способов кодирования двоичных файлов для передачи по сетям, а также слишком много различных аппаратных архитектур и вирусов, чтобы можно было пытаться выявить их все. Другими словами, брандмауэр не может заменить соблюдение принципов защиты вашими пользователями. В общем случае, брандмауэр не может защитить от атаки на базе данных, когда программа в виде данных посылается или копируется на внутренний хост, где затем выполняется. Такого рода атаки в прошлом выполнялись на различные версии программ sendmail, ghostscript и почтовых агентов, типа OutLook, поддерживающих языки сценариев.

Организации, серьезно обеспокоенные проблемой вирусов, должны применять специальные меры для контроля распространения вирусов в масштабе всей организации. Вместо того, чтобы пытаться оградить сеть от вирусов с помощью брандмауэра, проверьте, что каждое уязвимое рабочее место оснащено программами сканирования вирусов, запускаемыми при перезагрузке машины. Оснащение сети программами сканирования вирусов защитит ее от вирусов, полученных с дискет, через модемы и по сети Internet. Попытка заблокировать вирусы на брандмауэре защитит только от попадания вирусов из Internet, а подавляющее большинство вирусов переносится как раз на дискетах.

Тем не менее, все больше поставщиков брандмауэров предлагают брандмауэры "выявляющие вирусы". Они будут полезны только наивным пользователям, обменивающимся выполняемыми программами для платформы Windows-Intel или документами с потенциально разрушительными макросами. Есть много решений на базе брандмауэра для проблем типа червя "ILOVEYOU" и других подобных атак, но они реализуют слишком упрощенные подходы, пытаясь ограничить ущерб от действий настолько глупых, что они вообще не должны выполняться. Не полагайтесь на то, что эти средства защитят вас хоть сколько-нибудь от атакующих.

Мощный брандмауэр не заменяет чувствительного программного обеспечения, знающего природу обрабатываемых данных - ненадежных и поступивших из не обладающего доверием источника, - и обрабатывающего их соответствующим образом. Не думайте, что вы в безопасности, раз "все" используют некую почтовую программу, произведенную гигантской транснациональной компанией.

Если вы пользовались Интернетом некоторое время, а тем более если работаете в большой компании и использование Всемирной паутины входит в ваши служебные обязанности, то, наверное, слышали термин "Брандмауэр". Например, от сотрудников можно часто услышать фразы такого типа: "Не могу пользоваться этим сайтом, поскольку меня не пропускает брандмауэр".

Если у вас дома есть высокоскоростное подключение к Интернету (подключение с помощью DSL либо кабельного модема), то, скорее всего, вам говорили также о необходимости использования брандмауэра в домашней сети. Оказывается, что домашние сети сталкиваются со многими проблемами безопасности, встречающимися также в больших сетях предприятий. Брандмауэр можно использовать для защиты домашней сети и членов своей семьи от соединения с нежелательными веб-узлами и от возможных атак злоумышленников.

По сути, брандмауэр представляет собой барьер, не подпускающий различные деструктивные силы к вашей собственности. Поэтому его и называют брандмауэром. Он выполняет такие же функции, что и физический брандмауэр, изготовляемый из кирпича и предназначенный для недопущения распространения пожара из одной части дома в другую. В этой статье подробно рассказано о работе брандмауэра, а также о том, от каких угроз он может защитить.

Какие функции выполняет брандмауэр

Брандмауэр – программа или устройство, предназначенное для фильтрации информации, поступающей в вашу частную сеть или компьютерную систему через подключение к Интернету. Если входящий информационный пакет помечен фильтрами, он не будет пропущен в систему через брандмауэр.

Прочитав статью о том, как работают веб-серверы, вы узнаете, как данные передаются по Интернету и сможете легко понять, как брандмауэр помогает защитить компьютеры большой компании. Допустим, вы работаете в компании, насчитывающей 500 сотрудников. Причем в компании имеются сотни компьютеров, снабженных сетевыми адаптерами для обеспечения обмена информацией между этими компьютерами. Допустим также, что компания располагает одним или несколькими подключениями к Интернету, к примеру, линиями T1 или T3. Без брандмауэра к любому их этих сотен компьютеров может получить прямой доступ любой пользователь Интернета. Человек, обладающий знаниями и опытом в этой области, получает возможность зондировать эти компьютеры, пробовать установить с ними сеансы FTP и Telnet и проводить другие подобные манипуляции. Если работник компании вследствие ошибки оставляет брешь в системе безопасности, злоумышленники могут воспользоваться этой брешью и получить доступ к машине.

Если используется брандмауэр, ситуация совсем иная. Компания может установить брандмауэр на каждом подключении к Интернету (например, на каждой линии T1, по которой компания осуществляет связь с внешним миром). В брандмауэре можно вводить правила безопасности. Например, одно из правил безопасности, используемое внутри компании, может предусматривать следующее:

Из 500 компьютеров компании только одному разрешается получать приходящий извне трафик FTP. И только этому одному компьютеру разрешается проводить FTP-сеансы. Компания может устанавливать подобные правила для FTP-серверов, Web-серверов, Telnet-серверов и т. п. Кроме того, с помощью брандмауэра можно контролировать возможности персонала, связанные с подключением к веб-узлам, разрешать или запрещать отправку тех или иных файлов за пределы компании и тому подобное. Брандмауэр является мощным инструментом по обеспечению контроля над действиями персонала во Всемирной сети.

Для контроля входящего и исходящего трафика используют от одного до трех различных методов:

Фильтрация пакетов – пакеты (небольшие фрагменты данных) анализируются с использованием набора фильтров. Пропущенные фильтрами пакеты отправляются к системе, которая их запрашивала, а все остальные – задерживаются.

Функция посредника (proxy service) – поступившая из Интернета информация принимается брандмауэром и лишь затем поступает на запрашивающую систему; аналогично производится и передача информации.

Проверка с отслеживанием состояния – новейший метод, при котором не проверяется содержимое каждого пакета, а производится сравнение определенных ключевых элементов пакета с базой данных надежной информации. Брандмауэром отслеживаются отличительные характеристики исходящей информации, после чего на соответствие этим характеристикам проверяется входящая информация. Если сравнение выявляет достаточную степень соответствия, получаемая информация пропускается. В противном случае она не пропускается.

Межсетевой экран или брандмауэр (по-нем.brandmauer , по-англ.firewall , по-рус.граница огня ) - это система или комбинация систем, позволяющих разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую (см. рис.1). Чаще всего эта граница проводится между локальной сетью предприятия и INTERNET, хотя ее можно провести и внутри локальной сети предприятия. Брандмауэр, таким образом, пропускает через себя весь трафик. Для каждого проходящего пакета брандмауэр принимает решение пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор правил. О том, как эти правила описываются и какие параметры используются при их описании, речь пойдет чуть позже.

Как правило, брандмауэры функционируют на какой-либо UNIX платформе - чаще всего это BSDI, SunOS, AIX, IRIX и т.д., реже - DOS, VMS, WNT, Windows NT. Из аппаратных платформ встречаются INTEL, Sun SPARC, RS6000, Alpha, HP PA-RISC, семейство RISC процессоров R4400-R5000. Помимо Ethernet, многие брандмауэры поддерживают FDDI, Token Ring, 100Base-T, 100VG-AnyLan, различные серийные устройства. Требования к оперативной памяти и объему жесткого диска зависят от количества машин в защищаемом сегменте сети.

Обычно в операционную систему, под управлением которой работает брандмауэр, вносятся изменения, цель которых - повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом брандмауэре не разрешается иметь счета пользователей (а значит и потенциальных дыр), только счет администратора. Некоторые брандмауэры работают только в однопользовательском режиме. Многие брандмауэры имеют систему проверки целостности программных кодов. При этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются при старте программы во избежание подмены программного обеспечения.

Все брандмауэры можно разделить на три типа:

пакетные фильтры (packet filter);

сервера прикладного уровня (application gateways);

сервера уровня соединения (circuit gateways).

Все типы могут одновременно встретиться в одном брандмауэре.

Пакетные фильтры

Для описания правил прохождения пакетов составляются таблицы типа:

Действие

тип пакета

адрес источн.

порт источн.

адрес назнач.

порт назнач.

Поле "действие" может принимать значения пропустить или отбросить. Тип пакета - TCP, UDP или ICMP. Флаги - флаги из заголовка IP-пакета. Поля "порт источника" и "порт назначения" имеют смысл только для TCP и UDP пакетов.

Сервера прикладного уровня

Брандмауэры с серверами прикладного уровня используют сервера конкретных сервисов (proxy server) - TELNET, FTP и т.д., запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения.

Полный набор поддерживаемых серверов различается для каждого конкретного брандмауэра, однако чаще всего встречаются сервера для следующих сервисов:

терминалы (Telnet, Rlogin);

передача файлов (Ftp);

электронная почта (SMTP, POP3);

X Window System (X11);
сетевая печать (LP);
удаленное выполнение задач (Rsh);
новости Usenet (NNTP);

Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством является возможность аутентификации на пользовательском уровне (напоминаю, что аутентификация - процесс подтверждения идентичности чего-либо; в данном случае это процесс подтверждения, действительно ли пользователь является тем, за кого он себя выдает).

При описании правил доступа используются такие параметры, как

название сервиса,

имя пользователя,

допустимый временной диапазон использования сервиса,

компьютеры, с которых можно пользоваться сервисом,

схемы аутентификации.

Сервера прикладного уровня позволяют обеспечить наиболее высокий уровень защиты, т.к. взаимодействие с внешним миров реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.

Сервера уровня соединения

Сравнительные характеристики пакетных фильтров и серверов прикладного уровня

Ниже приведены основные достоинства и недостатки пакетных фильтров и серверов прикладного уровня относительно друг друга.

Достоинства пакетных фильтров:

относительно невысокая стоимость;

гибкость в определении правил фильтрации;

небольшая задержка при прохождении пакетов.

Недостатки пакетных фильтров:

локальная сеть видна (маршрутизируется) из INTERNET;

правила фильтрации пакетов трудны в описании, требуются очень хорошие знания технологий TCP и UDP;

при нарушении работоспособности брандмауэра все компьютеры за ним становятся полностью незащищенными либо недоступными;

аутентификацию с использованием IP-адреса можно обмануть использованием IP-спуфинга (атакующая система выдает себя за другую, используя ее IP-адрес);

отсутствует аутентификация на пользовательском уровне.

Достоинства серверов прикладного уровня:

локальная сеть невидима из INTERNET;

при нарушении работоспособности брандмауэра пакеты перестают проходить через брандмауэр, тем самым не возникает угрозы для защищаемых им машин;

защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в программном обеспечении;

аутентификация на пользовательском уровне может быть реализована система немедленного предупреждения о попытке взлома.

Недостатки серверов прикладного уровня:

более высокая, чем для пакетных фильтров стоимость;

невозможность использовании протоколов RPC и UDP;

производительность ниже, чем для пакетных фильтров.

Виртуальные сети

Ряд брандмауэров позволяет также организовывать виртуальные корпоративные сети (Virtual Private Network), т.е. объединить несколько локальных сетей, включенных в INTERNET в одну виртуальную сеть. VPN позволяют организовать прозрачное для пользователей соединение локальных сетей, сохраняя секретность и целостность передаваемой информации с помощью шифрования. При этом при передаче по INTERNET шифруются не только данные пользователя, но и сетевая информация - сетевые адреса, номера портов и т.д.

Схемы подключения

Для подключения брандмауэров используются различные схемы. Брандмауэр может использоваться в качестве внешнего роутера, используя поддерживаемые типы устройств для подключения к внешней сети (см. рис.1). Иногда используется схема, изображенная на рис.2, однако пользоваться ей следует только в крайнем случае, поскольку требуется очень аккуратная настройка роутеров и небольшие ошибки могут образовать серьезные дыры в защите.

рис.2

Чаще всего подключение осуществляется через внешний маршрутизатор, поддерживающий два Ethernet интерфейса(так называемый dual-homed брандмауэр) (две сетевые карточки в одном компьютре) (см. рис.3).

рис.3

При этом между внешним роутером и брандмауэром имеется только один путь, по которому идет весь трафик. Обычно роутер настраивается таким образом, что брандмауэр является единственной видимой снаружи машиной. Эта схема является наиболее предпочтительной с точки зрения безопасности и надежности защиты.

Другая схема представлена на рис.4.

рис.4

При этом брандмауэром защищается только одна подсеть из нескольких выходящих из роутера. В незащищаемой брандмауэром области часто располагают серверы, которые должны быть видимы снаружи (WWW, FTP и т.д.). Большинство брандмауэров позволяет разместить эти сервера на нем самом - решение, далеко не лучшее с точки зрения загрузки машины и безопасности самого брандмауэра.

Существуют решения (см. рис.5), которые позволяют организовать для серверов, которые должны быть видимы снаружи, третью сеть; это позволяет обеспечить контроль за доступом к ним, сохраняя в то же время необходимый уровень защиты машин в основной сети.

рис.5

При этом достаточно много внимания уделяется тому, чтобы пользователи внутренней сети не могли случайно или умышленно открыть дыру в локальную сеть через эти сервера. Для повышения уровня защищенности возможно использовать в одной сети несколько брандмауэров, стоящих друг за другом.

Администрирование

Легкость администрирования является одним из ключевых аспектов в создании эффективной и надежной системы защиты. Ошибки при определении правил доступа могут образовать дыру, через которую может быть взломана система. Поэтому в большинстве брандмауэров реализованы сервисные утилиты, облегчающие ввод, удаление, просмотр набора правил. Наличие этих утилит позволяет также производить проверки на синтаксические или логические ошибки при вводе или редактирования правил. Как правило, эти утилиты позволяют просматривать информацию, сгруппированную по каким-либо критериям, например, все что относится к конкретному пользователю или сервису.

Системы сбора статистики и предупреждения об атаке

Еще одним важным компонентом брандмауэра является система сбора статистики и предупреждения об атаке. Информация обо всех событиях - отказах, входящих, выходящих соединениях, числе переданных байт, использовавшихся сервисах, времени соединения и т.д. - накапливается в файлах статистики. Многие брандмауэры позволяют гибко определять подлежащие протоколированию события, описать действия брандмауэра при атаках или попытках несанкционированного доступа - это может быть сообщение на консоль, почтовое послание администратору системы и т.д. Немедленный вывод сообщения о попытке взлома на экран консоли или администратора может помочь, если попытка оказалась успешной и атакующий уже проник в систему. В состав многих брандмауэров входят генераторы отчетов, служащие для обработки статистики. Они позволяют собрать статистику по использованию ресурсов конкретными пользователями, по использованию сервисов, отказам, источникам, с которых проводились попытки несанкционированного доступа и т.д.

Аутентификация

Как правило, используется принцип, получивший название "что он знает" - т.е. пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос.

Классы защищенности брандмауэров

Применительно к обработке конфиденциальной информации автоматизированные системы (АС) делятся на три группы:

Многопользовательские АС, обрабатывающие информацию различных уровней конфиденциальности.

Многопользовательские АС, в которых все пользователи имеют равный доступ ко всей обрабатываемой информации, расположенной на носителях разного уровня конфиденциальности.

Однопользовательские АС, в которых пользователль имеет подный доступ ко всей обрабатываемой информации, расположенной на носителях разного уровня конфиденциальности.

В первой группе выделяют 5 классов защищенности АС: 1А, 1Б, 1В, 1Г, 1Д, во второй и третьей группах - по 2 класса защищенности: 2А, 2Б и 3А, 3Б сооответственно. Класс А соответствует максимальной, класс Д - минимальной защищенности АС.

Брандмауэры позволяют поддерживать безопасность объектов внутренней области, игнорируя несанкционированные запросы из внешней области, т.е. осуществляют экранирование . В результате уменьшается уязвимость внутренних объектов, поскольку первоначально сторонний нарушитель должен преодолеть брандмауэр, где защитные механизмы сконфигурированы особенно тщательно и жестко. Кроме того, экранирующая система в отличие от универсальной устроена более простым, а следовательно, более безопасным образом. На ней присутствуют только те компоненты, которые необходимы для выполнения функций экранирования. Экранирование дает также возможность контролировать информационные потоки, направленные во внешнюю область, что способствует поддержанию во внутренней области режима конфиденциальности. Помимо функций разграничения доступа, брандмауэры осуществляют регистрацию информационных потоков.

По уровню защищенности брандмауэры делятся на 5 классов. Самый низкий класс защищенности - пятый. Он применяется для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - для 1В, второй - для 1Б, самый высокий - первый - для 1А.

Для АС класса 2Б, 3Б применяются брандмауэры не ниже пятого класса.

Для АС класса 2А, 3А в зависимости от важности обрабатываемой информации применяются брандмауэры следующих классов:

при обработки информации с грифом "секретно" - не ниже третьего класса;

при обработки информации с грифом "совершенно секретно" - не ниже второго класса;

при обработки информации с грифом "особой важности" - только первого класса.

Показатели защищенности сведены в табл.1.

Обозначения:

Таблица 1
Показатели защищенности	Классы защищенности
Показатели защищенности
Управление доступом (фильтрация данных и трансляция адресов)
Идентификация и аутентификация
Регистрация
Администрирование: идентификация и аутентификация
Администрирование: регистрация
Администрирование: простота использования
Целостность
Восстановление
Тестирование
Руководство администратора защиты
Тестовая документация
Конструкторская (проектная) документация

Руководство для приобретающих брандмауэр

Исследовательским подразделением компании TruSecure - лабораторией ICSA - разработан документ "Firewall Buyers Guide" (Гид покупателей межсетевого экрана). В одном из разделов этого документа дана следующая форма оценки покупателя:

Контактная информация - адрес и ответственные лица.

Бизнес-среда работы:

количество и расположение отдельных учреждений (зданий) предприятия;

указание подразделений и информации ограниченного характера и информации, для которой важна доступность данных для взаимодействия подразделений, их размещение;

Указание внешних партнеров, с которыми необходимо организовать взаимодействие;

описание сервисов, открытых публично;

трребования к организации удаленного доступа во внутреннее информационное пространство предприятия;

сервисы электронных служб, использующие публичные каналы связи (например, электронная коммерция).

Планируемые изменения в бизнес-среде по перечисленным параметрам.

Информационная среда:

количество пользовательских рабочих станций с указанием аппаратного обеспечения, системного и прикладного программного обеспечения;
структура сети с указанием топологии, среды передачи данных, используемых устройств и протоколов;
структура удаленного доступа с указанием используемых устройств, а также методов аутентификации;
количество серверов с указанием аппаратного обеспечения,системного и прикладного программного обеспечения;
существующая система поддержки информационных систем со стороны поставщиков с их указанием и границами сферы деятельности;
антивирусные системы и другие системы контроля программного обеспечения;
технология упрравления сетью и информационными системами;
аутентификационные технологии - список и описание.

Планируемые изменения в информационной среде по перечисленням параметрам.

Связь с Интернетом:

тип интернет-соединения;
существующие межсетевые экраны (если они есть);
Средства связи с внешней средой, используемые внутренними системами;
внутренние системы и сервисы, доступные извне;
серверы электронной коммерции и других транзакционных систем;
указание на наличие утвержденной политики безопасности доступа и использования Интернета.

Планируемые мероприятия (для которых приобретается межсетевой экран):

изменение в способах доступа к Интернету и в политике безопасности предприятия;
появление новых протокоолов, которые необходимо поддерживать отдельно для внутренних пользователей, пользователей с удаленным доступом или специальных пользователей, доступных публично.

Требуемая функциональность межсетевого экрана:

по контролю доступа;
выдаваемым сообщениям;
аутентификации;
управлению конфигурацией;
контролю содержимого проходящего трафика;
регистрационным журналам;
распознаванию атак;
сетевым опциям (количество интерфейсов, способ доступа);
удаленному администрированию;
системным требованиям (под ключ, интеграция с другими продуктами и т.д.).

Прочие условия:

предполагаемая стоимость межсетевого экрана (сколько предприятие может потратить);
предполагаемая дата начала работы продукта;
требования к наличию у продукта сертификатов;
требования к предполагаемому администратору продукта и к службе поддержки;
специальные условия контракта (если есть);
другие замечания, которые не включены в данную форму.

Предполагается, что предприятие, заполнив данную форму и отправив ее производителю, позволит последнему сформировать наиболее качественное предложение для покупателя. Заполнение данной формы, впрочем, и без отправки ее кому-либо, позволит организации лучше понять, какое решение ей необходимо.

Объясняет назначение брандмауэра. Назначение параметров настройки брандмауэра Windows

Популярное