Хардуерни защитни стени. Хардуерни защитни стени

С бързия растеж на Интернет проблемът със сигурността на малките мрежи и домашните потребители е не по-малко належащ от, да речем, сигурността на мрежите на големи компании. Ако вашата мрежа или компютър е част от голяма корпоративна мрежа, най-вероятно вече нямате нужда от защитна стена, тъй като голяма мрежа обикновено е защитена. В същия случай, когато не знаете със сигурност дали има външна защитна стена или когато се свържете към мрежата чрез интернет доставчик (интернет доставчиците не винаги имат инсталирана защитна стена, тъй като това влошава пропускателната способност на шлюза), тогава вероятно има смисъл да се погрижите за защитата на вашата мрежа или компютър. Между другото, трябва да разберете, че като се свържете с интернет чрез модем, вие също ставате пълноправен интернет възел. Модемната връзка се различава от кабелната само по това, че в повечето случаи не е постоянна.В тази статия ще се опитам да обясня накратко какво е защитна стена, как работи, защо трябва да се инсталира и да опиша функциите на някои програми. Основно ще говорим за Windows (95/98/NT/2000/…), тъй като това е най-разпространената операционна система днес. Програмите, работещи под UNIX (по-специално Linux), ще бъдат споменати накратко. За да разберете защо е необходима защитна стена, е необходимо да отговорите на въпроса: от какво трябва да се предпазите, когато работите в мрежата?

Проблеми със сигурността при свързване с интернет

Свързвайки се с интернет, вие сте физически свързани с повече от 50 хиляди неизвестни мрежи и всичките им потребители. Докато такава връзка отваря пътя към мнозина полезни програмии предоставя огромни възможности за споделяне на информация, вашата мрежа или персонален компютър също стават достъпни за интернет потребителите. Основният въпрос: колко достъпни са ресурсите на вашата мрежа и колко достъпни могат да бъдат (по-нататък няма да разделям малка мрежа и отделен домашен компютър, стига това да не е важно)? Друг въпрос: как компютърът ви е защитен от проникване? Заслужава да се отбележи, че тези, които се наричат ​​хакери, обикновено не се стремят да получат информация - те се интересуват от процеса на хакване на самата система. Понякога това води до повреда на информацията, съхранявана на вашия компютър. Рядко, но понякога целта на хакването на системата е унищожаването на информация. В същото време, за разлика от корпоративните мрежи, методите и методите за проникване в малка мрежа или домашен компютър са по-прозаични. Ето някои от тях.

• Те ви изпращат на пръв поглед безобидни писма с прикачен файл, например това:

pricelist.zip .exe Обърнете внимание на .exe в края на реда. В този случай всички пощенски клиенти при получаване на такова писмо ще показват само pricelist.zip, но при отваряне на този файл, вместо да стартират архиватора, те ще го изпълнят.

• Вие не инсталирате безплатни актуализацииДа се Internet Explorer, въпреки че всички отдавна знаят, че в самия Windows и в частност в IE основният проблем е сигурността на системата.
• Използвате непроверени програми, като скрийнсейвъри. Те много често съдържат троянски коне, тоест програмен код, който тайно извършва действия, които не са ви необходими и са насочени срещу вас, например изпращане на пароли по мрежата.
• Отделно отбелязваме, че Windows, за разлика от UNIX, страда от факта, че устройството файлова системаи системните ядра ви позволяват да създавате вируси. И хем безвреден, хем много разрушителен. Тези вируси могат да бъдат в изпълними файлове, скриптове, дори в офис документи. И възможност за проверка входящи писмаи изтеглените файлове за вируси са просто необходими.

Разбира се, по отношение на домашен компютър можете да използвате и методи от по-ниско ниво, свързани с конкретен достъп до портове. Това става по следния начин. Нападателят сканира вашия компютър за свободни и незащитени портове, тоест портове, които не отговарят при получаване на пакети. Първото нещо, което може да се случи, е препълване на мрежовия стек (мястото, където временно се съхраняват пакетите) и в резултат на това неизправност на машината (обикновено замръзване). Този ефект може да се постигне чрез изпращане на твърде много пакети. Освен това такъв празен порт може да се използва за комуникация с вашия компютър. Това означава достъп до файлове, пароли, възможност за промяна на файлове, например, за поставяне на заразени с вируси програми на диск. Възможен е и по-сложен механизъм: първо стекът се препълва, а след това, когато работата на мрежовите програми вече е нарушена, възниква проникване през стандартни портове. Нека веднага да отбележим, че е препоръчително да деактивирате възможността за споделяне на файлове и принтери на домашния си компютър. За да направите това, трябва да отворите контролния панел в Windows, в секцията Мрежа, да влезете в секцията Файл и Споделяне на печат и да премахнете отметката от елементите:

• Искам да мога да давам на други достъп до моите файлове;
• Искам да мога да разреша на други да печатат на моя принтер(и).

Като цяло е препоръчително, ако е възможно, да деактивирате всичко, което би могло да доведе до проникване или да отслаби защитата на самата система. Разбира се, при условие, че нямате нужда от тази функция. Горното е описание на такава функция, която изобщо не е необходима в случай на един домашен компютър, особено с модемна връзка. Може да попитате: защо да хакнете домашния си компютър? Има две основни причини според мен. На първо място, както вече казах, е интересът към самия процес на хакване. Друга причина е, че напоследък хората често използват интернет връзка за достъп и работа с работна информация. Може би такава информация може да представлява интерес. Така или иначе във ваш интерес е да защитите домашния си компютър, дори ако на него няма чувствителна информация. защитата е необходима още повече, ако действително използвате интернет за достъп до информация на друг компютър. Именно за този вид защита съществува защитната стена.

Какво е защитна стена

Няма да навлизам в технически подробности, свързани с мрежовия стек, методите на филтриране и подобни тънкости. Освен това по-рано беше публикувана статията „Защита на мрежата и защитна стена“, където защитната стена беше описана доста подробно. Накратко защитната стена може да се дефинира като точката на разделяне между вашата мрежа или компютър и интернет. Тази точка може да бъде компютър, работещ със софтуерна защитна стена или хардуерна защитна стена. Ако имате един компютър, тогава защитната стена е просто програма, работеща на него. Каква е идеята? Нека ви напомним как се прехвърлят данни в интернет. Всички данни се предават по IP протокол. Прехвърлянето става на порции - пакети. Всеки пакет има заглавка, съдържаща адреса на подателя, адреса на получателя, номера на мрежовия порт, връзка към предишния пакет, контролна информация, необходима за безопасността на данните, и самите данни. Първите три точки (адреси и порт) са необходими, за да може пакетът изобщо да пристигне. Номерът на порта е свързан с конкретна програма. По този начин telnet работи с порт 22, http протоколът работи с порт 80. Има общо 65 535 порта.Връзка към предишния пакет е необходима за правилното залепване на части от информация във файлове и контролна информация е необходима за проверка на коректност на прехвърлянето. Идеята на защитната стена е, че се стартира програма, която първа, преди всички сървъри и клиенти, получава всички пакети, пристигащи на вашия компютър. Така тази програма е първата, която има достъп до информацията за пакета. Схематично работата на защитната стена може да бъде представена по следния начин Пакетите се проверяват по различни начини в зависимост от нивото на защитната стена. Има пет нива на защитна стена:

• Първото ниво проверява записаните в пакета адреси и номера на порта. В този случай, естествено, става възможно да се забрани приемането на пакети от определени адреси или до определени портове. Това ниво осигурява минимална защита, тъй като пакетът все още не е файл или програма, а просто част от информацията. Но въпреки това може да е полезно, например, да се забрани преминаването на пакети през определени портове.
• Второто ниво, в допълнение към това, което се случва в първото ниво, използва препратки към предишни пакети. С помощта на такива връзки се формира пълна верига от информация, например цял файл. Тази защитна стена проверява целостта на прехвърлянето на файлове и ви позволява незабавно да отрежете подозрителни файлове.
• Третото ниво е защитна стена на ниво софтуер. В допълнение към филтрирането на пакети и проверката на целостта на информацията е добавена възможност за проверка на съдържанието на файловете. Тоест, например, изпълнимите файлове се проверяват за вируси, съдържанието на архивите се проверява, прикачените файлове в писма се тестват и т.н.
• Четвъртото и петото ниво се различават от третото само по техническата реализация на основните функции на защитната стена на софтуерно ниво.

Когато избирате конкретна реализация на защитна стена, е важно да обърнете внимание на следното важни точки. На първо място, настройването на портове и мрежови адреси изисква точно разбиране, с други думи, това не винаги е възможно да се направи редовен потребител. По-грубите настройки изискват програмата да прави някои неща автоматично. Важният компромис тук е между простотата на програмата и ефективността на нейното използване. Второто е силата на програмата. Ако просто имате домашен компютър и разглеждате само уеб страници в Интернет, тогава може би просто се нуждаете от антивирусна програма, която сканира онлайн изтеглени файлове. Друг е въпросът, ако имате малка мрежа и искате да контролирате прехвърлянето на файлове към съседни машини или споделянето на принтери. Трето е цената. Има безплатни програми, има мощни и скъпи. Важно е да разберете, че безплатно не означава лошо.Сега нека преминем към описанието на конкретни програми. Веднага ще кажа, че редът, в който се показват програмите, не е свързан с цена, популярност или сложност. Освен това е трудно да се сравни популярността на програмите, тъй като те са предназначени за различни компютри, различни по големина мрежи. По-долу е най-добрият, по мое мнение, пример за организиране на защитата на вашата мрежа. Двете програми, описани по-долу, се допълват взаимно, като по този начин осигуряват необходимото ниво на сигурност. Естествено, нашият избор не е панацея. Единственото нещо, което може да се каже е, че всички програми, описани по-долу, заемат водещи места в рейтингите, публикувани в Интернет. Освен това на нашия CD-ROM ще намерите преглед на някои от най-популярните програми, които изпълняват функции на защитна стена.

реализации на защитна стена

Norton Internet Security 2000 (NIS)

NIS комбинира няколко различни програми.Системата за защита е наследена от програмата AtGuard и е формирана под формата на набор от правила за наблюдение на портове и адреси. Включена е също система за блокиране на бисквитки, филтриране за ActiveX, Java, скриптове и проследяване при сърфиране в Интернет. Вградено е и антивирусно сканиране. Системата за акаунти ви позволява да имате множество набори от настройки за различни потребители. Тъй като темата на тази статия е защитата, ще ви разкажа за това малко по-подробно. Бих искал веднага да отбележа, че системата от правила е много гъвкава, но в същото време едва ли е подходяща за обикновения потребител. Ако вече сте решили да създадете система от правила, тогава е препоръчително да деактивирате опцията „Автоматично създаване на правила за защитна стена“. По-долу е възможна версия на системата от правила. Това включва свързване на един компютър към доставчика. Важно е да се отбележи, че това е възможен набор от правила. Трябва да тествате всяко правило на вашия компютър, за да проверите неговата ефективност. За да зададете правила, трябва да влезете в секцията Защита и персонализирани настройки. Специална функция на NIS, която не всички програми предоставят, е, че можете да посочите кои програми да използват кои портове. В някои случаи това е много удобно. Например, блокирайте браузъра да използва всички портове с изключение на 80 (http) или 443 (https). Но да продължим за правилата. Възможен е следният набор.

1. Блокирайте всички входящи и изходящи ICMP пакети. Може да е вярно, че вашият интернет доставчик изисква ICMP.
2. Блокирайте входа на портове от 135 до 139 (TCP и UDP).
3. Блокирайте входа на портове 67 до 69 (TCP и UDP).
4. Блокирайте входа и изхода на порт 113. Това може да доведе до забавяне на изпращането на писма, но въпреки това те ще бъдат изпратени, освен ако използването на този порт не е изрично договорено от доставчика.
5. Блокирайте въвеждането на UDP "NetBIOS".
6. Блокиране на TCP вход "пръст".
7. Блокиране на "чорапи" TCP/UDP вход (порт 1080).
8. Блокирайте въвеждането на UDP "Bootpc". Това не е необходимо да се прави, ако използвате динамичен IP.
9. Блокиране на UDP изход "Bootp". Това не е необходимо да се прави, ако използвате динамичен IP.
10. Блокиране на TCP входни 27374 портове.
11. Блокиране на UDP вход "snmp". портове 161 и 162.
12. Блокиране на UDP вход "ndmp". Портове от 10 096 до 10 945.
13. Блокиране на TCP вход "netstat".
14. Блокиране на TCP вход "systat".
15. Блокиране на TCP и UDP вход "nfs".
16. Блокиране на TCP вход "печели". Порт 1512.
17. Блокиране на TCP и UDP вход "remote-winsock".
18. Блокирайте входа и изхода на UDP „Достъп с ключ на Windows“. Портът е необходим за игри.
19. Microsoft на www.zone.com.
20. Блокирайте въвеждането на TCP и UDP на "lotusnotes".
21. Блокиране на TCP вход "IBM Data Exchange". Порт 10044.
22. Блокиране на TCP и UDP вход и изход на порт 4000 (може да се нарича "icq").

Нека ви напомним още веднъж, че всеки конкретен случай може да има свои собствени правила или модификации на представените правила. След като правилата бъдат инсталирани, NIS ще започне да работи според тях. Пример за екран със съобщения е показан по-долу. Всички събития, свързани с работата на самата програма и с обработката на събития, свързани с установени правила, се записват.В заключение отбелязваме, че NIS струва приблизително $60.В същото време получавате възможност да актуализирате програмата през Интернет с помощта на функцията LiveUpdate.

BlackICE Defender (BID)

BID е програма за откриване на проникване за вашата система. Основната му цел е да следи всички трансфери на данни по мрежата. За разлика от NIS, няма антивирусна програмаили инструктиране на отделни програми за достъп до портове. Въпреки това, системата за регулиране и контролиране на достъпа до мрежови портове и възможността за указване на надеждни и ненадеждни адреси се считат за по-надеждни въз основа на резултатите от тестването. Освен това има възможност за контролиране на достъпа до файлове. Екранът за конфигуриране на BID изглежда така. Блокът за защита е показан тук. По принцип, определянето на едно от нивата на сигурност вече определя набор от правила, според които BID работи. Степента на защита намалява отгоре надолу. Трябва да се има предвид, че откриването, независимо от нивото, винаги се извършва на всички портове. Ниво означава нивото на защита, тоест извършване на всякакви действия по отношение на пакети: отражение, проверка и др. Нивото Paranoid често е ненужно, тъй като проверява всички портове, което може значително да забави мрежата. Всички събития се записват в лог файл и могат да се видят по-късно.Важна особеност е, че не е необходимо да се блокират адреси. Възможно е динамично блокиране на адреси, ако се опитат да влязат в системата с неправилна парола. Този метод е необходим, например, когато искате да получите достъп до вашите файлове от друг компютър, чийто номер е неизвестен предварително (например от някое интернет кафе, докато пътувате). В блока Нарушители на прозореца за наблюдавани събития се записват адресът, от който е направен опитът за влизане и портът: Важно е, когато се прави опит за проникване в системата през нестандартен порт или влизане с неправилен парола или потребителско име, BID не просто блокира пакета или не позволява влизане в системата, но изпълнява процедури за обратно проследяване. Това е набор от инструменти, с които BID се опитва да събере възможно най-много информация за нападателя. След това тази информация се записва във файл и се показва в блока за история.Недостатък може би може да се счита липсата на възможност за създаване на правила за отделни програми. Препоръчва се комбинация от BID и NIS. Това ви позволява да използвате BID, за да контролирате мрежовия поток от информация и NIS, за да разделите правата за достъп между програмите и антивирусно сканиранефайлове. BID струва по-малко от NIS, струвайки приблизително $40, а лицензът е валиден само за една година.

Хардуерна защитна стена

Сега малко за хардуерните защитни стени. Дори в случай на домашни мрежи и особено за малка компания, това не е безполезно нещо. Факт е, че това е компютър, специално пригоден да изпълнява функции на защитна стена. Често същата ефективност може да се постигне само чрез инсталиране на мощна програма на отделен мощен компютър, а това може да бъде значително по-скъпо. Освен това хардуерната защитна стена почти винаги е независима от системата и може да комуникира с почти всяка операционна система. Има и предимства: поставяте компютъра в защитена зона, няма операционна система, което усложнява хакването Кратко описаниеняколко евтини хардуерни защитни стени Linksys EtherFast Cable/DSL Router поддържа NAT, Firewall, DHCP контрол на достъпа и също така е 10/100 4-портов суич хъб. Цена - $170 SonicWALL SOHO от SonicWALL, Inc. и WebRamp 700s от Ramp Networks, Inc. по-функционален от предишния, има възможности за надграждане, поддържа защитна стена, NAT, DHCP, контекстно управление на пакети. Цената е съответно около $400 и $350.В заключение трябва да се отбележи, че сега защитната стена е вероятно толкова необходима, колкото и самият Интернет. Разбира се, винаги трябва да избирате защитната стена, която е най-подходяща за вашите задачи и размери на мрежата. Разнообразието от програми, които изпълняват функциите на защитната стена, е толкова голямо, че едва ли е възможно да се препоръча нещо конкретно. Всяко решение има своите плюсове и минуси. Най-подробната информация за програмите за защитна стена, документацията и поддръжката е достъпна на уебсайта http://www.firewall.com/, където препоръчвам да разгледате дали проблемът с избора на защитна стена е от значение за вас.

КомпютърПрес 10"2000г

Създаването на сигурна система е сложна задача. Една от мерките за сигурност е използването на защитни стени (известни още като защитни стени и защитни стени). Както всички знаем, защитните стени се предлагат в софтуер и хардуер. Възможностите както на първото, така и на второто не са неограничени. В тази статия ще се опитаме да разберем какво могат и какво не могат да правят двата типа защитни стени.

Софтуерни и хардуерни защитни стени

Първата стъпка е да се говори за това какво е софтуерно решение и какво е хардуерно решение. Всички сме свикнали с факта, че ако купувате някакъв вид хардуер, това решение се нарича хардуер, а ако е кутия със софтуер, тогава това е знак за софтуерно решение. Според нас разликата между хардуерно и софтуерно решение е доста произволна. Какво е желязна кутия? По същество това е същият компютър, макар и с различна архитектура, макар и с малко ограничени възможности (не можете да свържете клавиатура и монитор към него, той е „пригоден“ да изпълнява една функция), на който е инсталиран софтуерът. Софтуерът е някаква версия на UNIX система с „уеб лице“. Функциите на хардуерната защитна стена зависят от използвания пакетен филтър (отново, това е софтуер) и самото „уеб лице“. Всички хардуерни защитни стени могат да бъдат „префлашнати“, т.е. по същество просто заменени със софтуер. И с истинския фърмуер (който в добрите стари времена се правеше с помощта на програмист), процесът на актуализиране на „фърмуера“ на съвременните устройства няма много общо. Новият софтуер просто се записва на флаш устройство в хардуера. Софтуерната защитна стена е софтуер, който е инсталиран на съществуващ обикновен компютър, но в случай на хардуерна защитна стена не можете да го направите без софтуер, а в случай на софтуерна защитна стена не можете да го направите без хардуер. Ето защо границата между тези видове защитни стени е много произволна.
Най-голямата разлика между софтуерната и хардуерната защитна стена дори не е във функционалността. Никой не ви притеснява да изберете хардуерна защитна стена с необходимите функции. Разликата е в начина на използване. По правило софтуерната защитна стена се инсталира на всеки компютър в мрежата (на всеки сървър и на всяка работна станция), а хардуерната защитна стена осигурява защита не за отделен компютър, а за цялата мрежа наведнъж. Разбира се, никой няма да ви попречи да инсталирате хардуерна защитна стена за всеки компютър, но всичко се свежда до пари. Като се има предвид цената на хардуера, малко вероятно е да искате да защитите всеки компютърен хардуер със защитна стена.

Предимства на хардуерните защитни стени

Хардуерните защитни стени имат следните предимства:

• Относителна лекота на внедряване и използване. Свързах го, включих го, зададох параметрите през уеб интерфейса и забравих за съществуването му. Съвременният софтуер обаче защитни стениподдържа внедряване чрез ActiveDirectory, което също не отнема много време. Но, първо, не всички защитни стени поддържат ActiveDirectory, и второ, предприятията не винаги използват Windows.
• Размери и консумация на енергия. Обикновено хардуерните защитни стени са с по-малък размер и изискват по-малко енергия. Консумацията на енергия обаче не винаги играе роля, но размерите са важни. Малка компактна кутия е едно, огромна „системна единица“ е друго.
• производителност. Обикновено производителността на хардуерното решение е по-висока. Макар и само защото хардуерната защитна стена е ангажирана само с непосредствената си функция - филтриране на пакети. Той не изпълнява никакви процеси или услуги на трети страни, както често се случва със софтуерните защитни стени. Само си представете, че сте организирали софтуерен шлюз (със защитна стена и NAT функции), базиран на сървър с Windows сървър. Малко вероятно е да отделите цял сървър само за защитна стена и NAT. Това е ирационално. Най-вероятно на него ще работят други услуги - същият AD, DNS и т.н. Вече мълча за СУБД и пощенските услуги.
• Надеждност. Смята се, че хардуерните решения са по-надеждни (именно защото рядко изпълняват услуги на трети страни). Но никой не ви спира да изберете отделна системна единица (дори и да не е най-модерната), да инсталирате същата FreeBSD (една от най-надеждните операционни системи в света) върху нея и да настроите правилата на защитната стена. Мисля, че надеждността на такова решение няма да бъде по-ниска, отколкото в случай на хардуерна защитна стена. Но такава задача изисква усъвършенствани администраторски квалификации, поради което по-рано беше отбелязано, че хардуерните решения са по-лесни за използване.

Предимства на софтуерните защитни стени

Към ползите софтуерни решенияотнасям се:

• Цена. Цената на софтуерната защитна стена обикновено е по-ниска от цената на хардуера. На цената на средно хардуерно решение можете да защитите цялата си мрежа със софтуерна защитна стена.
• Възможност за защита на вашата мрежа отвътре. Заплахите не винаги идват отвън. В локалната мрежа има много заплахи. Атаките могат да идват от вътрешни компютри. Всеки потребител на LAN, например, недоволен от компанията, може да инициира атака. Както вече беше отбелязано, можете, разбира се, да използвате отделен хардуерен рутер, за да защитите всеки отделен възел, но на практика не сме срещали такива решения. Те са твърде ирационални.
• Възможност за разграничаване на сегменти от локална мрежа без разпределяне на подмрежи. В повечето случаи към локалната мрежа са свързани компютри от различни отдели, например счетоводство, финансов отдел, ИТ отдел и др. Тези компютри не винаги трябва да комуникират помежду си. Как да различим ISPDn? Първото решение е да създадете няколко подмрежи (например 192.168.1.0, 192.168.2.0 и т.н.) и да конфигурирате маршрутизирането между тези подмрежи по подходящ начин. Това не означава, че решението е много сложно, но все пак е по-сложно от използването на софтуерна защитна стена. И не винаги е възможно да се разграничат подмрежите по една или друга причина. Второто решение е да използвате защитна стена, предназначена специално за защита на ISPD (не всички софтуерни защитни стени улесняват разграничаването между ISPD). В този случай, дори и в най-голямата мрежа, ще извършите ISPD диференциация за няколко минути и няма да се налага да се занимавате с настройките за маршрутизиране.
• Възможност за внедряване на съществуващи сървъри. Няма смисъл да купувате друг хардуер, ако има достатъчно компютърен парк. Достатъчно е да разположите защитна стена на един от сървърите и да конфигурирате NAT и маршрутизиране. Обикновено и двете от тези операции се извършват с помощта на GUI firewall и се внедряват с няколко щраквания на мишката на точните места.
• Разширена функционалност. По правило функционалността на софтуерните защитни стени е по-широка от тази на техните хардуерни колеги. Така че някои защитни стени предоставят функции за балансиране на натоварването, IDS/IPS и подобни полезни неща, които могат да подобрят цялостната сигурност на системата за обработка на данни. Да, не всички софтуерни защитни стени имат тези функции, но нищо не ви пречи да изберете защитната стена, която отговаря на вашите нужди. Разбира се, някои хардуерни системи също имат такива функции. Например, StoneGate IPS осигурява функционалността на система за предотвратяване на проникване, но цената на такива решения не винаги ще зарадва ръководството на предприятието. Има и хардуерни load balancers, но те са дори по-скъпи от хардуерните IPS.

Няма да пишем за недостатъците - те следват от предимствата. Предимствата на един тип защитна стена обикновено са недостатъците на друг тип. Например, недостатъците на хардуерните решения включват цената и невъзможността за защита на локалната мрежа отвътре, а недостатъците на софтуерните решения включват сложността на внедряване и използване (въпреки че, както беше отбелязано, всичко е относително).
Има обаче един недостатък на хардуерните защитни стени, който си струва да се спомене. По правило всички хардуерни защитни стени имат бутон за нулиране, натискайки който можете да върнете настройките по подразбиране. Не е необходима специална квалификация, за да натиснете този бутон. Но за да промените настройките на софтуерна защитна стена, трябва най-малко да получите администраторски права. С натискането на един бутон недоволен служител може да компрометира сигурността на цялото предприятие (или да остави предприятието без достъп до интернет, което е още по-добре). Ето защо, когато използвате хардуерни решения, трябва да подходите по-отговорно към физическата сигурност на самите устройства.

Битката на защитните стени

След това ще се опитаме да разберем коя защитна стена осигурява по-добра защита: софтуер или хардуер. Хардуерът ще бъде защитната стена, вградена в рутера от TP-Link. Като софтуер - Cybersafe Firewall.
За да тестваме защитните стени, ще използваме помощни програми от сайта www.testmypcsecurity.com, а именно Jumper, DNStester и CPIL Suite (разработен от Comodo). Едно предупреждение: за разлика от сертифицирани инструменти като XSpider, тези помощни програми използват същите техники като зловредния софтуер, който симулират. Ето защо по време на тестването (ако искате да повторите резултатите) всички инструменти за антивирусна защита трябва да бъдат деактивирани.
Може, разбира се, да се обмисли XSpider, но този тест би бил твърде скучен и безинтересен за крайния читател. И кой може да си представи нападател да използва сертифициран скенер?
Накратко за помощните програми:

• Jumper - позволява ви да заобиколите защитната стена, като използвате методите „инжектиране на DLL“ и „инжектиране на нишка“.
• DNS тестер - използва рекурсивна DNS заявка за заобикаляне на защитната стена.
• CPIL Suite - набор от тестове (3 теста) от Comodo.

Всички тези помощни програми ще бъдат стартирани отвътре, тоест директно от компютрите, които се тестват. Но навън ще сканираме с добрия стар nmap.
Така че имаме два компютъра. И двете са свързани с интернет. Единият е свързан чрез хардуерна защитна стена (захранвана от TP-Link рутер) и няма инсталирана софтуерна защитна стена или антивирусна програма. Вторият компютър е свързан директно към интернет и е защитен от софтуерната защитна стена CyberSafe. Първият компютър има инсталиран Windows 7, вторият е с Windows Server 2008 R2.

Тест 1: Джъмпър

Jumper, стартиран с администраторски права (честно казано, много потребители работят с такива права), успешно изпълни задачата си в Windows 7 (фиг. 1). Нищо не можеше да го спре - в края на краищата в нашата система не беше инсталиран нито един инструмент за сигурност, нито антивирусна, нито защитна стена, нито IDS/IPS, а хардуерната защитна стена не се интересува какво се случва на клиентските компютри. Той по никакъв начин не може да повлияе на случващото се.

Ориз. 1. Jumper в Windows 7

За да бъдем честни, трябва да се отбележи, че ако потребителят не е работил като администратор, тогава нищо нямаше да работи за Jumper.
В Windows Server 2008 Jumper дори не стартира, но това не е заслуга на защитната стена, а на самата операционна система. Следователно има равенство между защитните стени, тъй като защитата срещу тази уязвимост може да бъде осигурена от самата операционна система.

Тест 2. DNStester

Целта на този тест е да изпрати рекурсивна DNS заявка. По подразбиране, започвайки с Windows 2000, Windows услуга DNS клиентът приема и управлява всички DNS заявки. По този начин всички DNS заявки от всички приложения в системата ще бъдат изпратени до DNS клиента (SVCHOST.EXE). Самата DNS заявка се прави директно от DNS клиента. DNStester използва рекурсивна DNS заявка, за да заобиколи защитната стена, с други думи, услугата се обажда сама.

Ориз. 2. Тестът е неуспешен

Ако настройките на защитната стена са оставени по подразбиране, тогава нито софтуерната, нито хардуерната защитна стена могат да се справят с този тест. Ясно е, че хардуерната защитна стена не се интересува какво се случва на работната станция, така че не може да се очаква да защити системата от тази уязвимост. Във всеки случай, с настройките по подразбиране (и те практически не са се променили).
Но това не означава, че Cybersafe Firewall е лоша защитна стена. Когато нивото на сигурност беше повишено до трето, тестът беше напълно преминат (виж Фиг. 3). Програмата съобщи за грешка в DNS заявката. За да се уверите, че това не е по вина на Windows Server 2008, тестът беше повторен на машина с Windows 7.

Ориз. 3. Издържан тест (DNStest)

За да бъдем честни, трябва да се отбележи, че ако на вашия компютър е инсталирана антивирусна програма, най-вероятно това приложениеще бъде поставен под карантина, но все още ще има време да изпрати една заявка (фиг. 4).

Ориз. 4. Comodo Antivirus блокира нежелано приложение

Тест 3. Тестов пакет от Comodo (CPIL)

И така, хардуерната защитна стена с настройки по подразбиране не успя и на трите CPIL теста (ако щракнете върху Разкажете ми повече за теста, ще се появи прозорец, обясняващ принципа на теста). Но той ги провали по някакъв странен начин. Преминаването на теста включва следната последователност от действия:

1. Трябва да въведете предадените данни. Въведохме стойностите 1, 2, 3 съответно за тестове 1, 2 и 3.
2. След това натиснете един от бутоните за тестово повикване (фиг. 5)

Ориз. 5.CPIL Test Suite

След това браузърът трябва да се отвори с резултатите от теста. В допълнение към съобщението, че тестът е неуспешен, страницата с резултати трябва да показва въведената от нас стойност, която е предадена на скрипта като GET параметър (вижте Фигура 6). Вижда се, че стойността (2 в адресната лента) е предадена, но скриптът не я показва. Грешка в скрипта на Comodo? Разбира се, всеки прави грешки, но доверието ни в този тест намаля.

Ориз. 6. Резултат от теста (хардуерна защитна стена)

Но когато използвате софтуерна защитна стена, CPIL тестовете дори не се изпълняват. При натискане на бутони 1 - 3 не се случи нищо (фиг. 7). Наистина ли е виновен Windows Server 2008, а не защитната стена? Решихме да го проверим. Следователно Cybersafe Firewall е инсталиран на компютър с Windows 7, защитен от хардуерна защитна стена. Но в Windows 7 помощната програма успя да пробие защитата на защитната стена. Първият и третият тест бяха издържани, но когато натиснахме бутона Test 2, трябваше да съзерцаваме прозореца Браузър Chrome, подобно на показаното на фиг. 6.

Ориз. 7. Когато щракнете върху бутона, нищо не се случва (виждате, че антивирусната програма е деактивирана)

Ориз. 8. Тестове 1 и 3 са издържани

Тест 4. Сканиране отвън

Преди това се опитахме да пробием защитната стена отвътре. Сега нека се опитаме да сканираме системи, защитени от защитна стена. Ще сканираме nmap скенер. Никой не се усъмни в резултатите от хардуерната защитна стена - всичко беше затворено и беше невъзможно дори да се определи типът на тестваната система (фиг. 9 и 10). Във всички следващи илюстрации IP адресите са скрити, защото са постоянни - така че никой да няма желание да повтори теста на нашите адреси.

Ориз. 9. Сканирайте вашата хардуерна защитна стена

Ориз. 10. Сканиране на хардуерна защитна стена (подробности за хоста)

Сега нека се опитаме да сканираме система, защитена от софтуерна защитна стена. Ясно е, че по подразбиране софтуерната защитна стена ще позволи всичко и всичко (фиг. 11).

Ориз. единадесет. Отворени портове(софтуерна защитна стена, настройки по подразбиране)

Ориз. 12. Определен тип система (софтуерна защитна стена, настройки по подразбиране)

Когато правилата са настроени, всичко си идва на мястото (фиг. 13). Както можете да видите, софтуерната защитна стена гарантира сигурността на защитената система не по-лошо от нейния „хардуерен“ аналог.

Ориз. 13. Няма отворени портове

Атаки в локалната мрежа

Защо е толкова важно да се осигури защита в локалната мрежа? Много администратори погрешно не обръщат внимание на защитата отвътре, но напразно. В края на краищата много атаки могат да бъдат реализирани в локална мрежа. Нека разгледаме някои от тях.

ARP атака

Преди да се свърже с мрежата, компютърът изпраща ARP заявка, за да разбере дали IP адресът на компютъра е зает. Когато в локалната мрежа има няколко Windows машини с един и същ IP адрес, потребителят вижда прозорец със съобщение, че IP адресът е зает (използван от друг компютър). Windows знае, че даден IP адрес е зает чрез ARP протокола.
ARP атака включва нападател, който наводнява машини, които работят Windows контрол. Освен това до всеки компютър ще бъдат изпратени стотици заявки, в резултат на което потребителят няма да може да затвори постоянно изскачащите прозорци и ще бъде принуден поне да рестартира компютъра.
Ситуацията не е много приятна. Но наличието на защитна стена на работна станция ще отмени всички усилия на нападателя.

DoS атаки, включително различни flood атаки

DoS атаките (отказните атаки) са възможни не само в интернет, но и в локални мрежи. Различават се само методите на такива атаки. Природата на DoS атаките може да бъде всякаква, но е невъзможно да се борим с тях без защитна стена, инсталирана на всяка машина в локалната мрежа.
Един тип DoS атака, която може да се използва успешно в локална мрежа, е ICMP наводнение. Защитна стена CyberSafe Firewall съдържа специални инструменти за борба с този тип атаки (фиг. 14). Той също така съдържа инструменти за балансиране на натоварването на сървъра, които също могат да помогнат в борбата с DoS атаките.

Ориз. 14. ICMP сигурност (защитна стена CyberSafe)

Промяна на MAC адреса

В локална мрежа компютрите се идентифицират не само по IP адрес, но и по MAC адрес. Някои администратори позволяват достъп до определени ресурси чрез MAC адрес, тъй като IP адресите обикновено са динамични и се издават от DHCP. Това решение не е много оправдано, тъй като MAC адресът се променя много лесно. За съжаление, не винаги е възможно да се защитите срещу промени на MAC адреса с помощта на защитна стена. Не всяка защитна стена проследява промените на MAC адресите, тъй като те обикновено са свързани с IP адреси. Най-ефективното решение тук е да използвате комутатор, който ви позволява да свържете MAC адреса към конкретен физически порт на комутатора. Почти невъзможно е да се измами такава защита, но тя също струва много. Вярно е, че има и софтуерни начини за борба с промените в MAC адресите, но те са по-малко ефективни. Ако се интересувате от защитна стена, която може да разпознае подправяне на MAC адрес, обърнете внимание на Kaspersky Internet Security 8.0. Вярно е, че последният може да разпознае само замяната на MAC адреса на шлюза. Но той напълно разпознава подмяната на IP адреса на компютъра и IP наводняването.

Подправяне на IP адрес

В мрежи, където достъпът до ресурси е ограничен от IP адреси, атакуващият може да промени IP адреса и да получи достъп до защитения ресурс. При използване на защитната стена Cybersafe Firewall такъв сценарий е невъзможен, тъй като няма обвързване към IP адреси дори за самата защитна стена. Дори ако промените IP адреса на компютъра, той все още няма да бъде включен в ISDN, който нападателят се опитва да проникне.

Маршрутизиране на атаки

Този тип атака се основава на изпращане на „фалшиви“ ICMP пакети до жертвата. Същността на тази атака е да фалшифицира адреса на шлюза - на жертвата се изпраща ICMP пакет, който го информира за по-кратък маршрут. Но всъщност пакетите няма да преминат през новия рутер, а през компютъра на атакуващия. Както беше отбелязано по-рано, Cybersafe Firewall осигурява ICMP сигурност. По същия начин могат да се използват други защитни стени.

Има много други атаки в локалните мрежи - както снифъри, така и различни атаки, използващи DNS. Както и да е, използването на софтуерни защитни стени, инсталирани на всяка работна станция, може значително да подобри сигурността.

заключения

защита информационна систематрябва да бъде изчерпателна - това включва софтуерни и хардуерни защитни стени, антивируси и правилна настройкасамата система. Що се отнася до нашата конфронтация между софтуерни и хардуерни защитни стени, първите се използват ефективно за защита на всеки мрежов възел, а вторите се използват за защита на цялата мрежа като цяло. Хардуерната защитна стена не може да осигури защита за всяка отделна работна станция, безсилна е срещу атаки в мрежата и също така не може да прави разлика между ISDN, което трябва да се направи в контекста на защита на личните данни.

Тагове: Добавете тагове

В раздела по въпроса Какво е защитна стена и къде може да бъде разположена? дадено от автора Кривонай-добрият отговор е Това е защита от всякакви опити за проникване във вашия компютър и от всякакви вредни програми. Ако е стандартен Windows, можете да го намерите в контролния панел (защитна стена)

Отговор от Смучете[гуру]
Рестартирайте компютъра си

Отговор от Промиване[гуру]
readme read

Отговор от Зъл хамстер[гуру]
Противопожарната стена е преведена. Той е вграден в XP Service Pack 2. Вижте Център за сигурност.

Отговор от Зайчена[майстор]
Защитната стена е пожар на различни устройства. Мисля, че е във Victory Park, но може и да греша.

Отговор от *lix[експерт]
Защитна стена или защитна стена (жарг: защитна стена или защитна стена от английски firewall) - комплекс от хардуер и/или софтуер, който контролира и филтрира преминаващите през него мрежови пакети на различни нива на модела OSI в съответствие с определени правила. Основната задача на защитната стена е да защитава компютърни мрежи или отделни възли от неоторизиран достъп. Също така защитните стени често се наричат ​​филтри, тъй като тяхната основна задача е да не допускат (филтрират) пакети, които не отговарят на критериите, дефинирани в конфигурацията.

Отговор от Потребителят е изтрит[новак]
защитна стена: а) софтуер - програма за защита и наблюдение на мрежовата активност на компютър, т.е. от атаки от мрежата и други подобни.
б) хардуер - ако не греша, същото нещо, не е програма, а външно устройство, между другото, полезно нещо :)
защитната стена изглежда е същото нещо

31окт

Какво е защитна стена (защитна стена)

Защитна стенаили Защитната стена екомпютърна програма, чиято цел е да защити вашия компютър от вируси и. Защитната стена проследява мрежов трафик, който влиза в операционната система и помага за спиране на зловреден софтуер, който се опитва да получи достъп до личната информация на потребителя. Освен това термините защитна стена и защитна стена имат друго определение. Тези термини обикновено се използват за описване на огнеустойчиви главни стени, които на теория трябва да предпазват къщите от пожари в гъсто застроени райони.

Какво е защитна стена (Firewall) - с прости думи.

С прости думи, Защитна стена (Защитна стена) еспециална защита компютърни програми, които непрекъснато сканират данни, получени и изпратени в Интернет. Образно казано, това са виртуални стени, които предпазват компютъра от опасностите в Интернет: вируси, руткитове, шпионски софтуер и др. Въпреки че си струва да се отбележи, че защитната стена не е единственият или най-надежден източник на защита за вашия компютър. Като правило, за да се осигури най-голяма сигурност, защитната стена (Firewall) винаги работи заедно с антивирусен и антишпионски софтуер.

В повечето случаи защитната стена се инсталира директно на работната машина (PC), но понякога, както в случаите на различни офиси, където има много компютри, защитната стена се инсталира като физическо устройство ( но повече за това по-късно). Потребители на операционната зала Windows системи, няма нужда сами да инсталирате защитна стена ( отделно), тъй като операционната система първоначално има свой собствен - Защитна стена на Windows.

Защитна стена - как работи, с прости думи.

Без да навлизаме в сложни технически подробности, работата на защитната стена може да бъде описана по следния начин. Когато потребител стартира програма, свързана с интернет, като например браузър или компютърна игра, компютърът се свързва с отдалечен уебсайт и изпраща информация за компютърната система на потребителя. Въпреки това, преди данните да бъдат изпратени или получени, те преминават през защитна стена ( защитна стена), където в зависимост от зададените параметри, данните ще бъдат пропуснати или спрени.

Образно казано, в процеса на работата си защитната стена играе ролята на своеобразен граничар или митничар, който следи всичко, което се изнася и внася в компютъра. Освен това неговите отговорности включват проверка на пакетите данни за съответствие с необходимите параметри. По този начин защитната стена може да помогне да се спре стартирането на съществуващ зловреден софтуер, като троянски коне и друг шпионски софтуер. С прости думи, екранът просто няма да предаде данните, събрани от тези програми, в Интернет. Но това, разбира се, е всичко на теория, тъй като такива злонамерени програми непрекъснато се подобряват и се учат да мамят защитните стени.

Какво е хардуерна защитна стена и как да защитите мрежата си?

Хардуерната защитна стена ефизическо устройство, което свързва компютър или мрежа с интернет, използвайки определени усъвършенствани техники за защита срещу неоторизиран достъп. Кабелни рутери, широколентови шлюзове и безжични рутеривключват хардуерни защитни стени, които защитават всеки компютър в мрежата. Хардуерните защитни стени използват различни типове сигурност за защита на мрежата: филтриране на пакети, проверка на пакети с постоянно състояние, преобразуване на мрежови адреси и шлюзове на ниво приложение.

Защитна стена за филтриране на пакетипроверява всички пакети данни, изпратени към и от системата. Той препраща данни въз основа на набор от правила, определени от мрежовия администратор. Тази хардуерна защитна стена проверява заглавката на пакета и филтрира пакетите въз основа на адреса на източника, адреса на местоназначението и порта. Ако даден пакет не отговаря на правилата или отговаря на критериите за блокиране, не му е позволено да премине през компютъра или мрежата.

Динамично филтриране на пакетиили проверка на пакети със състояние, това е по-сложен метод за сигурност. Тази защитна стена следи откъде идва пакетът, за да разбере какво да прави с него. Той проверява дали данните са изпратени в отговор на искане за повече информация или просто са се появили сами. Пакетите, които не съответстват на определеното състояние на връзка, се отхвърлят.

Друг начин за гарантиране на сигурността е маршрутизатор за преобразуване на мрежови адреси (NAT). Той скрива компютър или мрежа от компютри от външния свят, представяйки един на обществеността за достъп до Интернет. IP адресът на защитната стена е единственият валиден адрес в този сценарий и е единственият IP адрес, представен на всички компютри в мрежата. На всеки компютър от вътрешната страна на мрежата се присвоява собствен IP адрес, валиден само в мрежата. Тази опция за сигурност е много ефективна, защото ви позволява да използвате само един публичен IP адрес за изпращане и получаване на информационни пакети. Което от своя страна значително минимизира възможността за въвеждане на зловреден софтуер. Тази хардуерна защитна стена обикновено се внедрява на отделен компютър в мрежата, чиято единствена функция е да работи като . Той е доста сложен и се счита за един от най-сигурните видове хардуерни защитни стени.

Основни проблеми със защитните стени.

Има няколко общи проблемипроблеми, които могат да възникнат в резултат на използването на защитна стена. Най-честият проблем е, че освен зловреден софтуер, защитната стена често блокира нормалния трафик, от който се нуждаем. Някои уебсайтове може да имат ограничен достъпили не се отварят, защото са били погрешно диагностицирани. Доста често възникват проблеми с мрежови игри, тъй като защитната стена често разпознава такъв трафик като злонамерен и блокира стартирането на програми. Въз основа на това трябва да се отбележи, че въпреки че защитната стена е много полезно нещо, тя трябва да бъде конфигурирана правилно, така че да не разваля живота със своите забрани.

Категории: , // от