ћерион Ќетворкс

ƒоскональное понимание принципов работы межсетевых экранов (брандмауэров) и относ€щихс€ к ним технологий крайне необходимо дл€ любого человека, который желает развиватьс€ в сфере информационной безопасности. “ак же это помогает настраивать и управл€ть системой информационной безопасности правильно и с минимальным количеством ошибок.

—лово Ђмежсетевой экранї как правило обозначает систему или устройство, которое находитс€ на границе между внутренней(доверенной) сетью и внешней.

Ќесколько различных межсетевых экранов предлагают пользовател€м и приложени€м особые политики управлени€ безопасностью дл€ различных угроз. “ак же они часто обладают способностью записи событий, дл€ предоставлени€ системному администратору возможности идентифицировать, изучить, проверить и избавитьс€ от угрозы.

 роме того, несколько программных продуктов могут запускатьс€ на рабочей станции только дл€ защиты конкретной машины.

—етевые брандмауэры обладают несколькими ключевыми особенност€ми, дл€ того что бы обеспечивать защиту сети по ее периметру. ќсновной задачей сетевого брандмауэры €вл€етс€ запрет или разрешение на пропуск траффика, который попадает в сеть, основыва€сь на предварительно настроенных политиках. Ќиже перечислены процессы, позвол€ющие предоставл€ть или блокировать доступ траффику:

  • ќднокритериальные (простые) методики фильтрации пакетов
  • ћногокритериальные методики фильтрации пакетов
  • ѕрокси-серверы
  • ѕроверка состо€ни€ пакетов
  • “рансл€ци€ сетевого адреса

ћетоды фильтрации пакетов

ќсновна€ цель пакетных фильтров Ц просто контроль доступа к отдельным сегментам сети путем определени€ разрешенного трафика. ‘ильтры, как правило, исследуют вход€щий трафик на 2 уровне модели OSI (транспортном).   примеру, пакетные фильтры способны анализировать пакеты TCP и UDP и оценивать их по р€ду критериев, которые называютс€ листами контрол€ доступа. ќни провер€ют следующие элементы внутри пакета:

  • »сход€щий сетевой адрес
  • јдрес назначени€
  • »сход€щий порт
  • ѕорт назначени€
  • ѕротокол

–азличные брандмауэры основанные на технике пакетной фильтрации так же могут провер€ть заголовки пакетов дл€ определени€ источника пакета Ц т.е из какой сессии он по€вилс€: новой или уже существующий.

ѕростые методики фильтрации пакетов, к сожалению, имеют определенные недостатки:

Ћисты контрол€ доступа могут быть крайне велики и трудны дл€ управлени€

»х можно обойти путем подмены пакетов, злоумышленник может послать пакет, в заголовке которого будет разрешенный листом контрол€ доступа сетевой адрес.

ќчень многие приложени€ могут посто€нно строить множественные соединени€ со случайно используемыми портами. »з-за этого становитс€ действительно т€жело определить какие порты будут использованы после установлени€ соединени€.   примеру, таким приложением €вл€ютс€ различные мультимедиа программы Ц RealAudio, QuickTime и прочие. ѕакетные фильтры не воспринимают протоколы выше транспортного и их специфику, св€занную с каждым конкретным приложением и предоставление такого доступа с использованием листов контрол€ доступа, €вл€етс€ очень трудоЄмкой задачей.


ѕрокси-серверы

ѕрокси-серверы Ч это устройства, которые €вл€ютс€ промежуточными агентами, которые действуют от имени клиентов, которые наход€тс€ в защищенной или частной сети.  лиенты на защищенной стороне посылают запросы на установление соединени€ к прокси-серверу дл€ передачи информации в незащищенную сеть или в »нтернет. —оответственно, прокси-сервер или приложение совершает запрос от имени внутреннего пользовател€. Ѕольшинство прокси брандмауэров работает на самом верхнем, седьмом уровне модели OSI (прикладном) и могут сохран€ть информацию в кэш-пам€ть дл€ увеличени€ их производительности. ѕрокси-технологии могут защитить сеть от специфических веб-атак, но в общем и целом они не €вл€ютс€ панацеей, и, кроме того, они плохо масштабируютс€.


“рансл€ци€ сетевого адреса

Ќекоторые устройства, работающие на третьем уровне(сетевом) могут совершать трансл€цию сетевых адресов, или NAT (Network Address Translation). ”стройство третьего уровн€ транслирует внутренний сетевой адрес хоста в публичный, который может маршрутизироватьс€ в сети »нтернет. ¬ следствие малого числа сетевых адресов в протоколе IP, данна€ технологи€ используетс€ повсеместно.


Ѕрандмауэры с проверкой состо€ни€ пакетов

“акие межсетевые экраны имеют дополнительные преимущества по сравнению с брандмауэрами с однокритериальной пакетной фильтрацией. ќни провер€ют каждый пакет, проход€щий через их интерфейсы на корректность. ќни исследуют не только заголовок пакета, но и информацию с прикладного уровн€ и полезную загрузку пакета. “аким образом, возможно создание различных правил, основанных на различных типах трафика. “акие брандмауэры так же позвол€ют контролировать состо€ние соединени€ и имеют базу данных с данной информацию, котора€ так же называетс€ Ђбаза данных состо€нийї. ¬ ней описываютс€ состо€ни€ соединений, т.е такие как Ђустановленої, Ђзакрытої, Ђперезапускї, Ђв процессе согласовани€ї. “акие брандмауэры хорошо защищают сеть от различных сетевых атак.

 оличество различных брандмауэров велико, и в насто€щее врем€ в них совмещаютс€ различные техники предотвращени€ атак. √лавное Ц сеть всегда должна находитьс€ под защитой. ќднако нельз€ забывать, что не стоит увлекатьс€, и тратить на защиту информации больше средств, чем стоит сама информаци€.


ѕолезна ли ¬ам эта стать€?

–аз в неделю мы отправл€ем дайджест с самыми интересными стать€ми.

P.S. ≈сли укажите свою дату рождени€, то мы об€зательно ¬ас поздравим и подарим небольшой подарок :)

Ќажима€ на кнопку "ѕодписатьс€", вы даете согласие на обработку своих персональных данных