Hardwarové firewally. Hardwarové firewally

S rychlým růstem internetu je problém bezpečnosti pro malé sítě a domácí uživatele neméně naléhavý než například bezpečnost sítí velkých společností. Pokud je vaše síť nebo počítač součástí velké podnikové sítě, pak s největší pravděpodobností již firewall nepotřebujete, protože velká síť je obvykle chráněna. Ve stejném případě, kdy si nejste jisti, zda existuje externí firewall, nebo když se připojujete k síti přes ISP (poskytovatelé internetu nemají vždy firewall nainstalovaný, protože to snižuje propustnost brány), pak pravděpodobně má smysl starat se o ochranu sítě nebo počítače. Mimochodem, musíte pochopit, že připojením k internetu přes modem se stáváte také plnohodnotným internetovým uzlem. Modemové připojení se od kabelového liší pouze tím, že ve většině případů není trvalé.V tomto článku se pokusím stručně vysvětlit, co je firewall, jak funguje, proč je potřeba jej nainstalovat a popsat funkce některých programy. Budeme hovořit hlavně o Windows (95/98/NT/2000/…), protože to je dnes nejrozšířenější operační systém. Stručně budou zmíněny programy běžící pod UNIXem (zejména Linux). Abychom pochopili, proč je potřeba firewall, je nutné odpovědět na otázku: před čím se musíte chránit při práci v síti?

Bezpečnostní problémy při připojení k internetu

Připojením k internetu jste fyzicky připojeni k více než 50 tisícům neznámých sítí a všem jejich uživatelům. I když takové spojení mnohým otevírá cestu užitečné programy a poskytuje obrovské možnosti pro sdílení informací, vaše síť nebo osobní počítač se také stanou dostupnými uživatelům internetu. Hlavní otázka: jak dostupné jsou zdroje vaší sítě a jak dostupné mohou být (v následujícím nebudu oddělovat malou síť a samostatný domácí počítač, pokud to není důležité)? Další otázka: jak je váš počítač chráněn před vniknutím? Stojí za zmínku, že ti, kteří si říkají hackeři, se obvykle nesnaží získat informace - zajímá je proces hackování samotného systému. Někdy to vede k poškození informací uložených ve vašem počítači. Zřídka, ale někdy je to zničení informací, které je účelem hackování systému. Přitom na rozdíl od podnikových sítí jsou metody a způsoby pronikání do malé sítě či domácího počítače prozaičtější. Tady jsou některé z nich.

• Posílají vám zdánlivě neškodné dopisy s přílohou, například toto:

pricelist.zip .exe Všimněte si .exe na konci řádku. V tomto případě všichni poštovní klienti po obdržení takového dopisu zobrazí pouze ceník.zip, ale při otevření tohoto souboru místo spuštění archivátoru jej spustí.

• Neinstalujete bezplatné aktualizace Na internet Explorer, i když každý už dávno ví, že v samotných Windows a konkrétně v IE je hlavním problémem bezpečnost systému.
• Používáte netestované programy, jako jsou spořiče obrazovky. Velmi často obsahují trojské koně, tedy programový kód, který skrytě provádí akce, které jsou pro vás zbytečné a namířené proti vám, například odesílání hesel po síti.
• Samostatně poznamenáváme, že Windows, na rozdíl od UNIXu, trpí tím, že zařízení souborový systém a systémová jádra umožňují vytvářet viry. A to jak neškodné, tak velmi destruktivní. Tyto viry mohou být ve spustitelných souborech, skriptech, dokonce i v kancelářských dokumentech. A možnost ověření příchozí dopisy a stažené soubory pro viry jsou prostě nezbytné.

Ve vztahu k domácímu počítači můžete samozřejmě použít i metody nižší úrovně související s konkrétním přístupem k portům. To se děje následovně. Útočník prohledá váš počítač, zda neobsahuje volné a nechráněné porty, tedy porty, které při příjmu paketů nereagují. První, co se může stát, je přetečení síťového zásobníku (místo, kde jsou dočasně uloženy pakety) a v důsledku toho porucha stroje (obvykle zamrznutí). Tohoto efektu lze dosáhnout odesláním příliš mnoha paketů. Navíc lze takto prázdný port využít ke komunikaci s vaším počítačem. To znamená přístup k souborům, heslům, možnost měnit soubory, například dávat na disk programy napadené viry. Možný je i složitější mechanismus: nejprve dojde k přetečení zásobníku a poté, když je již práce síťových programů narušena, dojde k průniku přes standardní porty. Ihned poznamenejme, že je vhodné vypnout možnost sdílení souborů a tiskáren na domácím počítači. Chcete-li to provést, musíte ve Windows otevřít Ovládací panely, v části Síť vstoupit do části Soubor a Sdílení tisku a zrušit výběr položek:

• Chci mít možnost umožnit ostatním přístup k mým souborům;
• Chci umožnit ostatním tisknout na mé tiskárně (tiskárnách).

Obecně je vhodné, pokud je to možné, zakázat vše, co by mohlo způsobit narušení nebo oslabit ochranu samotného systému. Samozřejmě za předpokladu, že tuto funkci nepotřebujete. Výše je popsána taková funkce, která v případě jednoho domácího počítače není vůbec nutná, zvláště s modemovým připojením. Můžete se zeptat: proč hackovat váš domácí počítač? Existují dva hlavní důvody, podle mého názoru. Na prvním místě, jak jsem již řekl, je zájem o samotný proces hackování. Dalším důvodem je, že v poslední době lidé často využívají připojení k internetu pro přístup a práci s pracovními informacemi. Možná by taková informace mohla být zajímavá. V každém případě je ve vašem nejlepším zájmu chránit svůj domácí počítač, i když na něm nejsou žádné citlivé informace. ochrana je nezbytná ještě více, pokud skutečně používáte internet k přístupu k informacím na jiném počítači. Firewall existuje pro tento druh ochrany.

Co je Firewall

Nebudu zabíhat do technických detailů souvisejících se síťovým zásobníkem, metodami filtrování a podobnými jemnostmi. Navíc již dříve vyšel článek „Ochrana sítě a firewall“, kde byl firewall poměrně podrobně popsán. Firewall lze ve stručnosti definovat jako bod oddělení mezi vaší sítí nebo počítačem a Internetem. Tímto bodem může být počítač se softwarovým firewallem nebo hardwarovým firewallem. Pokud máte jeden počítač, tak firewall je jen program, který na něm běží. Připomeňme si, jak se data přenášejí na internet. Všechna data jsou přenášena pomocí protokolu IP. Přenos probíhá po částech - paketech. Každý paket má hlavičku obsahující adresu odesílatele, adresu příjemce, číslo síťového portu, odkaz na předchozí paket, řídicí informace nezbytné pro bezpečnost dat a samotná data. První tři body (adresy a port) jsou nutné k tomu, aby paket vůbec dorazil. Číslo portu je spojeno s konkrétním programem. Telnet tedy pracuje s portem 22, protokol http s portem 80. Portů je celkem 65 535. Ke správnému nalepení informací do souborů je nutný odkaz na předchozí balíček, pro ověření jsou potřebné kontrolní informace. správnost převodu. Myšlenka firewallu spočívá v tom, že se spustí program, který jako první před všemi servery a klienty obdrží všechny pakety přicházející do vašeho počítače. Tento program je tedy první, kdo má přístup k informacím o balíčku. Schematicky lze práci firewallu znázornit následovně: Pakety jsou kontrolovány různými způsoby v závislosti na úrovni firewallu. Existuje pět úrovní brány firewall:

• První úroveň kontroluje adresy zapsané v paketu a číslo portu. V tomto případě je přirozeně možné zakázat příjem paketů z určitých adres nebo na určité porty. Tato úroveň poskytuje minimální ochranu, protože balíček ještě není soubor nebo program, ale pouze informace. Ale přesto může být užitečné například zakázat průchod paketů na určitých portech.
• Druhá úroveň, kromě toho, co se děje v první úrovni, používá odkazy na předchozí balíčky. Pomocí takových odkazů se vytvoří kompletní řetězec informací, například celý soubor. Tento firewall kontroluje integritu přenosů souborů a umožňuje okamžitě odříznout podezřelé soubory.
• Třetí úrovní je firewall na softwarové úrovni. Kromě filtrování paketů a kontroly integrity informací byla přidána možnost kontroly obsahu souborů. To znamená, že se například ve spustitelných souborech kontrolují viry, kontroluje se obsah archivů, testují se přiložené soubory v dopisech a podobně.
• Čtvrtá a pátá úroveň se od třetí liší pouze technickým provedením hlavních funkcí firewallu na softwarové úrovni.

Při výběru konkrétní implementace firewallu je důležité věnovat pozornost následujícímu důležité body. Za prvé, nastavení portů a síťových adres vyžaduje přesné pochopení, jinými slovy, není to vždy možné běžný uživatel. Hrubší nastavení vyžaduje, aby program provedl některé věci automaticky. Zde je důležitý kompromis mezi jednoduchostí programu a efektivitou jeho použití. Druhým je síla programu. Pokud máte jen domácí počítač a prohlížíte si pouze webové stránky na internetu, pak vám možná stačí antivirový program, který skenuje online stažené soubory. Jiná věc je, pokud máte malou síť a chcete mít pod kontrolou přenos souborů na sousední stroje nebo sdílení tiskáren. Třetí je cena. Existují bezplatné programy, existují výkonné a drahé. Je důležité pochopit, že zdarma neznamená špatně Nyní přejděme k popisu konkrétních programů. Hned řeknu, že pořadí, ve kterém se programy objevují, nesouvisí s cenou, popularitou nebo složitostí. Navíc je obtížné porovnávat popularitu programů, protože jsou určeny pro různé počítače, liší se velikostí sítí. Níže je podle mého názoru nejlepší příklad organizace ochrany vaší sítě. Dva níže popsané programy se vzájemně doplňují a zajišťují tak požadovanou úroveň zabezpečení. Naše volba samozřejmě není všelék. Jediné, co lze říci, je, že všechny níže popsané programy zaujímají přední místa v hodnocení zveřejněném na internetu. Kromě toho na našem CD-ROM najdete přehled některých nejoblíbenějších programů, které implementují funkce brány firewall.

implementace firewallu

Norton Internet Security 2000 (NIS)

NIS kombinuje několik různých programů.Ochranný systém je zděděn z programu AtGuard a je tvořen v podobě sady pravidel pro monitorování portů a adres. Součástí je také systém blokování souborů cookie, filtrování ActiveX, Java, skriptů a sledování při procházení internetu. Antivirová kontrola je také integrována. Systém účtů umožňuje mít více sad nastavení pro různé uživatele. Protože předmětem tohoto článku je ochrana, řeknu vám o tom trochu podrobněji. Hned bych chtěl poznamenat, že systém pravidel je velmi flexibilní, ale zároveň je stěží vhodný pro běžného uživatele. Pokud jste se již rozhodli vytvořit systém pravidel, pak je vhodné zakázat volbu „Automatické vytváření pravidel brány firewall“. Níže je možná verze systému pravidel. Jedná se o připojení jednoho počítače k ​​poskytovateli. Je důležité si uvědomit, že jde o možný soubor pravidel. Každé pravidlo musíte otestovat na svém počítači, abyste ověřili jeho účinnost. Pro nastavení pravidel je potřeba vstoupit do sekce Zabezpečení a vlastní nastavení. Zvláštní funkcí NIS, kterou neposkytují všechny programy, je to, že můžete určit, které programy mohou používat které porty. V některých případech je to velmi výhodné. Například zablokujte prohlížeč v používání všech portů kromě 80 (http) nebo 443 (https). Ale pokračujme v pravidlech. Následující sada je možná.

1. Blokovat všechny příchozí a odchozí ICMP pakety. Může být pravda, že váš ISP vyžaduje ICMP.
2. Blokovat vstup na portech 135 až 139 (TCP a UDP).
3. Blokovat vstup na portech 67 až 69 (TCP a UDP).
4. Blokujte vstup a výstup na portu 113. To může vést ke zpoždění v odesílání dopisů, ale přesto budou odeslány, pokud nebude použití tohoto portu výslovně dohodnuto s poskytovatelem.
5. Zablokujte vstup UDP "NetBIOS".
6. Zablokujte vstup TCP "prst".
7. Blokujte "socks" TCP/UDP vstup (port 1080).
8. Zablokujte vstup UDP "Bootpc". Pokud používáte dynamickou IP, není to nutné.
9. Blokovat výstup UDP "Bootp". Pokud používáte dynamickou IP, není to nutné.
10. Zablokujte vstup TCP 27374 portů.
11. Blokovat UDP vstup "snmp". porty 161 a 162.
12. Blokovat UDP vstup "ndmp". Porty od 10 096 do 10 945.
13. Blokovat TCP vstup "netstat".
14. Blokovat TCP vstup "systat".
15. Blokovat vstup TCP a UDP "nfs".
16. Blokový TCP vstup "vyhrává". Port 1512.
17. Zablokujte vstup TCP a UDP "remote-winsock".
18. Blokovat UDP vstup a výstup "Windows Key Access". Port je nutný pro hry.
19. Microsoft na www.zone.com.
20. Blokovat TCP a UDP vstup "lotusnotes".
21. Blokovat TCP vstup "IBM Data Exchange". Port 10044.
22. Blokovat TCP a UDP vstup a výstup portu 4000 (může být nazýván "icq").

Ještě jednou připomeňme, že každý konkrétní případ může mít svá pravidla nebo modifikace prezentovaných pravidel. Jakmile jsou pravidla nainstalována, NIS začne pracovat podle nich. Příklad obrazovky se zprávou je uveden níže. Veškeré události související s provozem samotného programu a se zpracováním událostí souvisejících se stanovenými pravidly jsou zaznamenávány.Na závěr podotýkáme, že NIS stojí přibližně 60 USD. Zároveň získáte možnost aktualizovat program přes internet pomocí funkce LiveUpdate.

BlackICE Defender (BID)

BID je program pro detekci narušení pro váš systém. Jeho hlavním účelem je sledování všech datových přenosů po síti. Na rozdíl od NIS neexistuje antivirový program nebo instruování jednotlivých programů k přístupu k portům. Systém pro regulaci a kontrolu přístupu k síťovým portům a možnost specifikovat důvěryhodné a nedůvěryhodné adresy jsou však na základě výsledků testování považovány za spolehlivější. Navíc je zde možnost řídit přístup k souborům. Obrazovka konfigurace BID vypadá takto. Zde je zobrazen blok Ochrana. V zásadě již zadání jedné z úrovní zabezpečení určuje soubor pravidel, podle kterých BID funguje. Stupeň ochrany klesá shora dolů. Je třeba mít na paměti, že detekce bez ohledu na úroveň probíhá vždy na všech portech. Úroveň znamená úroveň ochrany, to znamená provádění jakýchkoli akcí ve vztahu k paketům: odraz, ověření atd. Úroveň Paranoid je často zbytečná, protože kontroluje všechny porty, což může značně zpomalit síť. Všechny události jsou zaznamenávány do log souboru a lze je zobrazit později.Důležitou vlastností je, že není nutné blokovat adresy. Je možné dynamicky blokovat adresy, pokud se pokusí přihlásit do systému s nesprávným heslem. Tento způsob je potřeba například tehdy, když chcete přistupovat ke svým souborům z jiného počítače, jehož číslo není předem známo (například z nějaké internetové kavárny na cestách). V bloku Vetřelci okna sledovaných událostí je zaznamenána adresa, ze které byl proveden pokus o přihlášení, a port: Je důležité, aby při pokusu o průnik do systému přes nestandardní port nebo přihlášení s nesprávným heslo nebo uživatelské jméno, BID jednoduše nezablokuje paket nebo neumožní vstup do systému, ale provede procedury Back-trace. Jedná se o sadu nástrojů, pomocí kterých se BID snaží shromáždit co nejvíce informací o útočníkovi. Tyto informace jsou následně zapsány do souboru a zobrazeny v bloku historie, za nevýhodu lze snad považovat chybějící možnost vytvářet pravidla pro jednotlivé programy. Doporučuje se kombinace BID a NIS. To vám umožňuje používat BID k řízení toku informací v síti a NIS k oddělení přístupových práv mezi programy a antivirová kontrola soubory. BID stojí méně než NIS, stojí přibližně 40 USD a licence je platná pouze jeden rok.

Hardwarový firewall

Nyní něco o hardwarových firewallech. Ani v případě domácích sítí a zvlášť pro malou firmu nejde o zbytečnost. Faktem je, že se jedná o počítač speciálně přizpůsobený k provádění funkcí brány firewall. Často lze stejné účinnosti dosáhnout pouze instalací výkonného programu na samostatném zařízení výkonný počítač, a to může být výrazně dražší. Hardwarový firewall je navíc téměř vždy nezávislý na systému a může komunikovat s téměř jakýmkoli operačním systémem. Má to i výhody: počítač umístíte do chráněného prostoru, není operační systém, což komplikuje hackování. Dám Stručný popis několik levných hardwarových firewallů Linksys EtherFast Cable/DSL Router podporuje NAT, Firewall, DHCP řízení přístupu a je také 10/100 4-portový switch hub. Cena – 170 USD SonicWALL SOHO od SonicWALL, Inc. a WebRamp 700 od Ramp Networks, Inc. funkčnější než předchozí, mají možnosti upgradu, podporují firewall, NAT, DHCP, kontextovou správu paketů. Cena je přibližně 400, respektive 350. Na závěr je třeba poznamenat, že firewall je nyní pravděpodobně stejně nezbytný jako samotný internet. Samozřejmě byste měli vždy zvolit firewall, který je nejvhodnější pro vaše úkoly a velikosti sítě. Rozmanitost programů, které implementují funkce brány firewall, je tak velká, že je stěží možné doporučit něco konkrétního. Každé řešení má svá pro a proti. Nejpodrobnější informace o firewallových programech, dokumentaci a podpoře jsou k dispozici na webu http://www.firewall.com/, kde doporučuji se podívat, jestli se vás problém s výběrem firewallu týká.

ComputerPress 10"2000

Vytvoření bezpečného systému je složitý úkol. Jedním z bezpečnostních opatření je použití firewallů (známých také jako firewally a firewally). Jak všichni víme, firewally jsou součástí softwaru a hardwaru. Možnosti prvního i druhého nejsou neomezené. V tomto článku se pokusíme zjistit, co oba typy firewallů umí a co ne.

Softwarové a hardwarové firewally

Prvním krokem je mluvit o tom, co je softwarové řešení a co je hardwarové řešení. Všichni jsme zvyklí, že pokud si koupíte nějaký hardware, tak se toto řešení nazývá hardware, a pokud se jedná o krabici se softwarem, tak je to označení softwarového řešení. Podle našeho názoru je rozdíl mezi hardwarovým a softwarovým řešením zcela libovolný. Co je to železná skříň? V podstatě se jedná o stejný počítač, i když s jinou architekturou, i když s mírně omezenými možnostmi (nelze k němu připojit klávesnici a monitor, je „šitý na míru“ pro plnění jedné funkce), na kterém je nainstalován software. Software je nějaká verze systému UNIX s „webovou tváří“. Funkce hardwarového firewallu závisí na použitém paketovém filtru (opět jde o software) a samotné „webové tváři“. Všechny hardwarové firewally lze „přeflashovat“, tedy v podstatě jednoduše nahradit softwarem. A se skutečným firmwarem (který se za starých dobrých časů prováděl pomocí programátoru) má proces aktualizace „firmwaru“ na moderních zařízeních jen málo společného. Nový software se jednoduše zapíše na flash disk uvnitř hardwaru. Softwarový firewall je software, který je nainstalován na stávajícím běžném počítači, ale v případě hardwarového firewallu se neobejdete bez softwaru a v případě softwarového firewallu bez hardwaru. Proto je hranice mezi těmito typy firewallů velmi libovolná.
Největší rozdíl mezi softwarovým a hardwarovým firewallem není ani ve funkčnosti. Nikdo vás neobtěžuje vybírat hardwarový firewall s potřebnými funkcemi. Rozdíl je ve způsobu použití. Softwarový firewall je zpravidla nainstalován na každém počítači v síti (na každém serveru a na každé pracovní stanici) a hardwarový firewall poskytuje ochranu nikoli pro jednotlivý počítač, ale pro celou síť najednou. Samozřejmě, že vám nikdo nebude bránit v instalaci hardwarového firewallu pro každý počítač, ale jde o peníze. Vzhledem k nákladům na hardware je nepravděpodobné, že budete chtít chránit každý hardware počítače firewallem.

Výhody hardwarových firewallů

Hardwarové firewally mají následující výhody:

• Relativní snadnost nasazení a použití. Připojil jsem ho, zapnul, nastavil parametry přes webové rozhraní a zapomněl na jeho existenci. Nicméně moderní software firewally podpora nasazení přes ActiveDirectory, což také nezabere mnoho času. Ale za prvé, ne všechny brány firewall podporují ActiveDirectory a za druhé, podniky ne vždy používají Windows.
• Rozměry a spotřeba. Hardwarové brány firewall jsou obvykle menší a vyžadují méně energie. Ne vždy však hraje roli spotřeba energie, ale důležité jsou rozměry. Malá kompaktní krabice je jedna věc, obrovská „systémová jednotka“ druhá.
• Výkon. Obvykle je výkon hardwarového řešení vyšší. Už jen proto, že hardwarový firewall se zabývá pouze svou bezprostřední funkcí - filtrováním paketů. Neprovozuje žádné procesy ani služby třetích stran, jak tomu často bývá u softwarových firewallů. Jen si představte, že jste zorganizovali softwarovou bránu (s firewallem a funkcemi NAT) založenou na serveru s Windows Server. Je nepravděpodobné, že vyhradíte celý server pouze pro firewall a NAT. To je iracionální. S největší pravděpodobností na něm budou běžet další služby - stejné AD, DNS atp. O DBMS a poštovních službách už mlčím.
• Spolehlivost. Předpokládá se, že hardwarová řešení jsou spolehlivější (právě proto, že zřídka spouštějí služby třetích stran). Nikdo vám ale nebrání vybrat si samostatnou systémovou jednotku (i když ne nejmodernější), nainstalovat na ni stejný FreeBSD (jeden z nejspolehlivějších operačních systémů na světě) a nastavit pravidla firewallu. Myslím, že spolehlivost takového řešení nebude nižší než v případě hardwarového firewallu. Takový úkol však vyžaduje pokročilou kvalifikaci správce, a proto bylo dříve uvedeno, že hardwarová řešení se používají snadněji.

Výhody softwarových firewallů

K výhodám softwarová řešení vztahovat se:

• Cena. Cena softwarového firewallu je obvykle nižší než cena hardwaru. Za cenu průměrného hardwarového řešení můžete ochránit celou síť softwarovým firewallem.
• Schopnost chránit vaši síť zevnitř. Hrozby nepřicházejí vždy zvenčí. V lokální síti existuje mnoho hrozeb. Útoky mohou pocházet z interních počítačů. Každý uživatel LAN, například nespokojený s firmou, může zahájit útok. Jak již bylo poznamenáno, k ochraně každého jednotlivého uzlu můžete samozřejmě použít samostatný hardwarový router, ale v praxi jsme se s takovými řešeními nesetkali. Jsou příliš iracionální.
• Možnost vymezování segmentů lokální sítě bez přidělování podsítí. Ve většině případů jsou k místní síti připojeny počítače z různých oddělení, například účetní, finanční oddělení, IT oddělení atd. Tyto počítače spolu nemusí vždy komunikovat. Jak odlišit ISPDn? Prvním řešením je vytvořit několik podsítí (například 192.168.1.0, 192.168.2.0 atd.) a vhodně nakonfigurovat směrování mezi těmito podsítěmi. Tím neříkám, že řešení je velmi složité, ale pořád je to složitější než použití softwarového firewallu. A není vždy možné rozlišit podsítě z toho či onoho důvodu. Druhým řešením je použití firewallu navrženého speciálně pro ochranu ISPD (ne všechny softwarové firewally umožňují snadné rozlišení mezi ISPD). V tomto případě i v té největší síti provedete rozlišení ISPD v řádu minut a nebudete se muset trápit s nastavením směrování.
• Možnost nasazení na stávající servery. Nemá smysl kupovat další hardware, pokud je k dispozici dostatečný počítačový park. Stačí nasadit firewall na jeden ze serverů a nakonfigurovat NAT a směrování. Obvykle se obě tyto operace provádějí pomocí GUI firewall a jsou implementovány pomocí několika kliknutí myší na správných místech.
• Pokročilá funkčnost. Funkčnost softwarových firewallů je zpravidla širší než u jejich hardwarových protějšků. Některé firewally tedy poskytují funkce pro vyrovnávání zátěže, IDS/IPS a podobné užitečné věci, které mohou zlepšit celkovou bezpečnost systému zpracování dat. Ano, ne všechny softwarové firewally mají tyto funkce, ale nic vám nebrání vybrat si firewall, který vyhovuje vašim potřebám. Takové funkce samozřejmě mají i některé hardwarové systémy. Například StoneGate IPS poskytuje funkcionalitu systému prevence narušení, ale náklady na taková řešení ne vždy potěší vedení podniku. Existují i ​​hardwarové zátěžové balancéry, ale ty jsou ještě dražší než hardwarové IPS.

O nevýhodách psát nebudeme – vyplývají z výhod. Výhody jednoho typu firewallu jsou obvykle nevýhodami jiného typu. Mezi nevýhody hardwarových řešení patří například cena a nemožnost ochrany lokální sítě zevnitř a mezi nevýhody softwarových řešení patří složitost nasazení a použití (ačkoli, jak bylo uvedeno, vše je relativní).
Existuje však jedna nevýhoda hardwarových firewallů, která stojí za zmínku. Všechny hardwarové firewally mají zpravidla resetovací tlačítko, jehož stisknutím lze vrátit výchozí nastavení. Ke stisknutí tohoto tlačítka nepotřebujete žádnou zvláštní kvalifikaci. Chcete-li však změnit nastavení softwarového firewallu, musíte minimálně získat práva správce. Kliknutím jediného tlačítka může nespokojený zaměstnanec ohrozit bezpečnost celého podniku (nebo opustit podnik bez přístupu k internetu, což je ještě lepší). Při používání hardwarových řešení je proto potřeba přistupovat zodpovědněji k fyzickému zabezpečení samotných zařízení.

Bitva o firewally

Dále se pokusíme pochopit, který firewall poskytuje lepší ochranu: software nebo hardware. Hardware bude firewall zabudovaný do routeru od TP-Link. Jako software - Cybersafe Firewall.
K testování firewallů použijeme utility ze stránky www.testmypcsecurity.com, jmenovitě Jumper, DNStester a CPIL Suite (vyvinutý Comodo). Slovo varování: na rozdíl od certifikovaných nástrojů, jako je XSpider, tyto nástroje používají stejné techniky jako malware, který simulují. Proto musí být během testování (pokud chcete výsledky opakovat) deaktivovány všechny nástroje antivirové ochrany.
Dalo by se samozřejmě uvažovat o XSpideru, ale tento test by byl pro koncového čtenáře příliš nudný a nezajímavý. A kdo si dokáže představit útočníka, který používá certifikovaný skener?
Krátce o utilitách:

• Jumper - umožňuje obejít firewall pomocí metod „DLL injection“ a „thread injection“.
• DNS Tester – používá rekurzivní DNS dotaz k obejití firewallu.
• CPIL Suite - sada testů (3 testy) od Comodo.

Všechny tyto nástroje budou spouštěny zevnitř, tedy přímo z testovaných počítačů. Ale venku budeme skenovat se starou dobrou nmapou.
Takže máme dva počítače. Oba jsou připojeni k internetu. Jeden je připojen přes hardwarový firewall (napájený routerem TP-Link) a nemá nainstalovaný softwarový firewall ani antivirus. Druhý počítač je připojen přímo k internetu a je chráněn softwarovým firewallem CyberSafe. První počítač má nainstalovaný Windows 7, druhý má Windows Server 2008 R2.

Test 1: Jumper

Jumper, spuštěný s administrátorskými právy (upřímně řečeno, mnoho uživatelů s takovými právy pracuje), úspěšně dokončil svůj úkol ve Windows 7 (obr. 1). Nic ho nemohlo zastavit – koneckonců v našem systému nebyl nainstalován jediný bezpečnostní nástroj, žádný antivirus, žádný firewall, žádný IDS/IPS a hardwarovému firewallu je jedno, co se děje na klientských počítačích. Nemůže nijak ovlivnit, co se děje.

Rýže. 1. Propojka ve Windows 7

Abychom byli spravedliví, je třeba poznamenat, že pokud by uživatel nepracoval jako správce, pak by pro Jumper nic nefungovalo.
Ve Windows Server 2008 se Jumper ani nespustil, ale to není zásluha firewallu, ale samotného operačního systému. Proto existuje parita mezi firewally, protože ochranu proti této zranitelnosti může poskytnout samotný operační systém.

Test 2. DNStester

Účelem tohoto testu je odeslat rekurzivní DNS dotaz. Ve výchozím nastavení, počínaje Windows 2000, Služba Windows Klient DNS přijímá a spravuje všechny dotazy DNS. Tímto způsobem budou všechny požadavky DNS ze všech aplikací v systému odeslány klientovi DNS (SVCHOST.EXE). Samotný DNS požadavek zadává přímo DNS klient. DNStester používá rekurzivní DNS dotaz k obejití firewallu, jinými slovy, služba volá sama sebe.

Rýže. 2. Test se nezdařil

Pokud je nastavení brány firewall ponecháno ve výchozím nastavení, pak se s tímto testem nedokáže vyrovnat ani softwarový ani hardwarový firewall. Je jasné, že hardwarovému firewallu nezáleží na tom, co se na pracovní stanici děje, takže nelze očekávat, že ochrání systém před touto zranitelností. V každém případě s výchozím nastavením (a prakticky se nezměnilo).
To však neznamená, že Cybersafe Firewall je špatný firewall. Když byla úroveň zabezpečení zvýšena na třetí, test zcela prošel (viz obr. 3). Program hlásil chybu v požadavku DNS. Abychom se ujistili, že to není chyba systému Windows Server 2008, byl test opakován na počítači s Windows 7.

Rýže. 3. Test prošel (DNStest)

Abychom byli spravedliví, je třeba poznamenat, že pokud je na vašem počítači nainstalován antivirus, pak s největší pravděpodobností tato aplikace bude v karanténě, ale ještě stihne odeslat jednu žádost (obr. 4).

Rýže. 4. Comodo Antivirus zablokoval nežádoucí aplikaci

Test 3. Testovací sada od Comodo (CPIL)

Hardwarový firewall s výchozím nastavením tedy selhal všechny tři testy CPIL (pokud kliknete na Tell me more about Test, zobrazí se okno s vysvětlením principu testu). Ale nějakým zvláštním způsobem jim selhal. Absolvování testu zahrnuje následující posloupnost akcí:

1. Musíte zadat přenášená data. Pro testy 1, 2 a 3 jsme zadali hodnoty 1, 2, 3.
2. Poté stiskněte jedno z tlačítek testovacího volání (obr. 5)

Rýže. 5. Testovací sada CPIL

Poté by se měl prohlížeč otevřít s výsledky testu. Kromě zprávy, že test selhal, měla stránka s výsledky zobrazovat námi zadanou hodnotu, která byla předána skriptu jako parametr GET (viz obrázek 6). Je vidět, že hodnota (2 v adresním řádku) byla předána, ale skript ji nezobrazil. Chyba skriptu Comodo? Každý samozřejmě dělá chyby, ale naše důvěra v tento test se snížila.

Rýže. 6. Výsledek testu (hardwarový firewall)

Ale při použití softwarového firewallu se testy CPIL ani nespustily. Při stisknutí tlačítek 1 - 3 se nic nestalo (obr. 7). Je to opravdu chyba Windows Server 2008 a ne firewall? Rozhodli jsme se to prověřit. Proto byl Cybersafe Firewall nainstalován na počítač se systémem Windows 7 chráněný hardwarovým firewallem. Ale ve Windows 7 se nástroji podařilo prolomit obranu brány firewall. První a třetí test prošel, ale když jsme stiskli tlačítko Test 2, museli jsme uvažovat o okně Prohlížeč Chrome, podobný tomu, který je znázorněn na Obr. 6.

Rýže. 7. Když kliknete na tlačítko, nic se nestane (můžete vidět, že antivirus je vypnutý)

Rýže. 8. Testy 1 a 3 prospěly

Test 4. Skenování zvenčí

Předtím jsme se pokusili prolomit firewall zevnitř. Nyní zkusme prohledat systémy chráněné firewallem. Budeme skenovat skener nmap. O výsledcích hardwarového firewallu nikdo nepochyboval – vše bylo uzavřeno a nebylo možné ani určit typ testovaného systému (obr. 9 a 10). Na všech následujících ilustracích jsou IP adresy skryté, protože jsou trvalé – aby nikdo neměl chuť opakovat test na našich adresách.

Rýže. 9. Prohledejte hardwarovou bránu firewall

Rýže. 10. Kontrola hardwarové brány firewall (podrobnosti o hostiteli)

Nyní zkusme prohledat systém chráněný softwarovým firewallem. Je jasné, že ve výchozím nastavení softwarový firewall propustí cokoli a všechno (obr. 11).

Rýže. jedenáct. Otevřené porty(softwarový firewall, výchozí nastavení)

Rýže. 12. Určený typ systému (softwarový firewall, výchozí nastavení)

Když jsou pravidla nastavena, vše do sebe zapadne (obr. 13). Jak vidíte, softwarový firewall zajišťuje bezpečnost chráněného systému o nic horší než jeho „hardwarový“ protějšek.

Rýže. 13. Žádné otevřené porty

Lokální síťové útoky

Proč je tak důležité poskytovat ochranu v rámci místní sítě? Mnoho správců se mylně nevěnuje ochraně zevnitř, ale marně. Mnoho útoků lze totiž realizovat v rámci lokální sítě. Podívejme se na některé z nich.

ARP útok

Před připojením k síti počítač odešle požadavek ARP, aby zjistil, zda je IP adresa počítače obsazená. Pokud je v místní síti několik počítačů s Windows se stejnou IP adresou, uživatel uvidí okno se zprávou, že IP adresa je zaneprázdněna (používá ji jiný počítač). Systém Windows ví, že adresa IP je zaneprázdněna prostřednictvím protokolu ARP.
Útok ARP zahrnuje útočník zaplavující stroje, pod kterými běží Ovládání Windows. Kromě toho budou na každý počítač odeslány stovky požadavků, v důsledku čehož uživatel nebude moci zavřít neustále vyskakující okna a bude nucen počítač alespoň restartovat.
Situace není moc příjemná. Přítomnost firewallu na pracovní stanici však znemožní veškeré úsilí útočníka.

DoS útoky, včetně různých záplavových útoků

DoS útoky (denial attack) jsou možné nejen na internetu, ale i v lokální sítě. Liší se pouze způsoby takových útoků. Povaha DoS útoků může být jakákoliv, bojovat proti nim však nelze bez firewallu nainstalovaného na každém počítači v lokální síti.
Jedním z typů DoS útoku, který lze úspěšně použít v lokální síti, je ICMP flood. Firewall CyberSafe Firewall obsahuje vyhrazené nástroje pro boj s tímto typem útoku (obr. 14). Obsahuje také nástroje pro vyrovnávání zátěže serveru, které mohou také pomoci v boji proti útokům DoS.

Rýže. 14. Zabezpečení ICMP (CyberSafe Firewall)

Změna MAC adresy

V lokální síti jsou počítače identifikovány nejen podle IP adresy, ale také podle MAC adresy. Někteří administrátoři umožňují přístup k určitým zdrojům pomocí MAC adresy, protože IP adresy jsou obvykle dynamické a vydává je DHCP. Toto řešení není příliš opodstatněné, protože MAC adresu lze velmi snadno změnit. Bohužel ne vždy je možné chránit se před změnami MAC adresy pomocí firewallu. Ne každý firewall sleduje změny MAC adres, protože jsou obvykle spojeny s IP adresami. Nejúčinnějším řešením je zde použití přepínače, který umožňuje navázat MAC adresu na konkrétní fyzický port přepínače. Ošidit takovou ochranu je téměř nemožné, ale také to hodně stojí. Pravda, existují i ​​softwarové způsoby, jak bojovat proti změnám MAC adres, ale jsou méně účinné. Pokud máte zájem o firewall, který dokáže rozpoznat falšování MAC adres, pak věnujte pozornost Kaspersky Internet Security 8.0. Je pravda, že druhý může rozpoznat pouze náhradu MAC adresy brány. Plně však rozpoznává nahrazení IP adresy počítače a zahlcení IP.

Spoofing IP adresy

V sítích, kde je přístup ke zdrojům omezen IP adresami, může útočník změnit IP adresu a získat přístup k chráněnému zdroji. Při použití brány firewall Cybersafe Firewall je takový scénář nemožný, protože neexistuje žádná vazba na adresy IP ani pro samotný firewall. I když změníte IP adresu počítače, stále nebude zahrnuta do ISDN, do kterého se útočník pokouší proniknout.

Směrování útoků

Tento typ útoku je založen na odesílání „falešných“ ICMP paketů oběti. Podstatou tohoto útoku je podvržení adresy brány – oběti je zaslán ICMP paket, který ji informuje o kratší cestě. Ve skutečnosti ale pakety neprojdou přes nový router, ale přes počítač útočníka. Jak již bylo zmíněno dříve, Cybersafe Firewall poskytuje zabezpečení ICMP. Podobně lze použít i jiné firewally.

Existuje mnoho dalších útoků na lokální sítě – jak sniffery, tak různé útoky pomocí DNS. Ať je to jakkoli, použití softwarových firewallů nainstalovaných na každé pracovní stanici může výrazně zlepšit zabezpečení.

závěry

Ochrana informační systém by měl být komplexní – to zahrnuje softwarové a hardwarové firewally, antiviry a správné nastavení samotný systém. Pokud jde o naši konfrontaci mezi softwarovými a hardwarovými firewally, první se účinně používají k ochraně každého síťového uzlu a druhé se používají k ochraně celé sítě jako celku. Hardwarový firewall nemůže poskytnout ochranu pro každou jednotlivou pracovní stanici, je bezmocný proti útokům v rámci sítě a také nedokáže rozlišovat mezi ISDN, což je nutné provést v rámci ochrany osobních údajů.

Štítky: Přidat štítky

V části o otázce Co je firewall a kde může být umístěn? daný autorem Křivý nejlepší odpověď je Toto je ochrana před jakýmikoli pokusy proniknout do vašeho počítače a před jakýmikoli škodlivými programy. Pokud je to standardní Windows, najdete jej v ovládacím panelu (Firewall)

Odpověď od Sát[guru]
Restartovat váš počítač

Odpověď od Spláchnout[guru]
readme číst

Odpověď od Zlý křeček[guru]
Požární stěna je přeložena. Je zabudován do XP Service Pack 2. Viz Centrum zabezpečení.

Odpověď od Zaichena[mistr]
Firewall se spouští na různých zařízeních. Myslím, že je ve Victory Parku, ale mohu se mýlit.

Odpověď od *lix[expert]
Firewall nebo firewall (jarg: firewall nebo firewall z angličtiny firewall) - komplex hardwaru a/nebo software, který řídí a filtruje síťové pakety procházející přes něj na různých úrovních modelu OSI v souladu se stanovenými pravidly. Hlavním úkolem firewallu je chránit počítačové sítě nebo jednotlivé uzly před neoprávněným přístupem. Firewally se také často nazývají filtry, protože jejich hlavním úkolem není povolit (filtrovat) pakety, které nesplňují kritéria definovaná v konfiguraci.

Odpověď od Uživatel byl smazán[nováček]
firewall: a) software - program pro ochranu a sledování síťové aktivity počítače, tedy před útoky ze sítě a podobně.
b) hardware - pokud se nepletu, to samé, není to program, ale externí zařízení, mimochodem užitečná věc :)
firewall se zdá být to samé

31Oct

Co je firewall (Firewall)

Firewall nebo Firewall je počítačový program, jehož účelem je chránit váš počítač před viry a. Firewall sleduje síťový provoz, který vstupuje do operačního systému a pomáhá zastavit malware, který se pokouší získat přístup k osobním údajům uživatele. Pojmy Firewall a Firewall mají navíc další definici. Tyto termíny se běžně používají k popisu protipožárních hlavních stěn, které by teoreticky měly chránit domy před požáry v hustě zastavěných oblastech.

Co je firewall (Firewall) - jednoduše řečeno.

Jednoduše řečeno, Firewall (Firewall) je speciální ochranné počítačové programy, které neustále skenují data přijatá a odeslaná na internet. Obrazně řečeno se jedná o virtuální stěny, které chrání počítač před nebezpečím internetu: viry, rootkity, spyware atd. I když stojí za zmínku, že firewall není jediným ani nejspolehlivějším zdrojem ochrany vašeho počítače. Aby byla zajištěna maximální bezpečnost, firewall (Firewall) pracuje zpravidla vždy ve spojení s antivirovým a antispywarovým softwarem.

Ve většině případů je firewall instalován přímo na pracovním stroji (PC), ale někdy, jako v případě různých kanceláří, kde je mnoho počítačů, je firewall instalován jako fyzické zařízení ( ale o tom později). Uživatelé operačních sálů Systémy Windows, není třeba instalovat firewall sami ( odděleně), protože OS má zpočátku svůj vlastní - Brána firewall systému Windows.

Firewall - jak to funguje, jednoduše řečeno.

Aniž bychom zacházeli do složitých technických detailů, lze práci brány firewall popsat následovně. Když uživatel spustí program související s internetem, jako je prohlížeč nebo počítačová hra, počítač se připojí ke vzdálené webové stránce a odešle informace o počítačovém systému uživatele. Než jsou však data odeslána nebo přijata, projdou firewallem ( firewall), kde v závislosti na nastavených parametrech budou data přeskočena nebo zastavena.

Obrazně řečeno, firewall v procesu své práce funguje jako jakýsi pohraničník nebo celník, který sleduje vše, co se do počítače vyváží a dováží. Kromě toho mezi jeho povinnosti patří kontrola datových paketů, zda vyhovují požadovaným parametrům. Firewall tak může pomoci zastavit spouštění existujícího malwaru, jako jsou trojské koně a další spyware. Jednoduše řečeno, obrazovka jednoduše nepřenese data shromážděná těmito programy na internet. Ale to je samozřejmě vše v teorii, protože takové škodlivé programy se neustále vylepšují a učí se klamat brány firewall.

Co je to hardwarová brána firewall a jak chránit vaši síť?

Hardwarový firewall je fyzické zařízení, které připojuje počítač nebo síť k internetu pomocí určitých pokročilých technik k ochraně před neoprávněným přístupem. Drátové směrovače, širokopásmové brány a bezdrátové routery zahrnují hardwarové brány firewall, které chrání každý počítač v síti. Hardwarové brány firewall používají k ochraně sítě různé typy zabezpečení: filtrování paketů, stavovou kontrolu paketů, překlad síťových adres a brány na aplikační úrovni.

Firewall pro filtrování paketů kontroluje všechny datové pakety odeslané do a ze systému. Předává data na základě sady pravidel definovaných správcem sítě. Tento hardwarový firewall kontroluje hlavičku paketu a filtruje pakety na základě zdrojové adresy, cílové adresy a portu. Pokud paket neodpovídá pravidlům nebo nesplňuje kritéria blokování, nesmí projít počítačem nebo sítí.

Dynamické filtrování paketů nebo stavová kontrola paketů, to je složitější metoda zabezpečení. Tento firewall sleduje, odkud paket přišel, aby zjistil, co s ním dělat. Kontroluje, zda byla data odeslána jako odpověď na žádost o další informace, nebo zda se jednoduše objevila sama od sebe. Pakety, které neodpovídají zadanému stavu připojení, jsou odmítnuty.

Dalším způsobem, jak zajistit bezpečnost, je router s překladem síťových adres (NAT). Skrývá počítač nebo síť počítačů před vnějším světem a představuje jeden veřejnosti pro přístup k internetu. Adresa IP brány firewall je v tomto scénáři jedinou platnou adresou a je to jediná adresa IP prezentovaná všem počítačům v síti. Každému počítači na vnitřní straně sítě je přidělena vlastní IP adresa, platná pouze v rámci sítě. Tato možnost zabezpečení je velmi účinná, protože umožňuje používat pouze jednu veřejnou IP adresu pro odesílání a přijímání informačních paketů. Což zase výrazně minimalizuje možnost zavlečení malwaru. Tento hardwarový firewall je obvykle implementován na samostatném počítači v síti, který má jedinou funkci běžet jako . Je poměrně složitý a je považován za jeden z nejbezpečnějších typů hardwarových firewallů.

Základní problémy s firewally.

Je jich několik běžné problémy problémy, které mohou nastat v důsledku používání brány firewall. Nejčastějším problémem je, že kromě malwaru firewall často blokuje běžný provoz, který potřebujeme. Některé webové stránky mohou mít omezený přístup nebo se neotevřou, protože byly špatně diagnostikovány. Poměrně často nastávají problémy s síťové hry, protože brána firewall často rozpozná takový provoz jako škodlivý a zablokuje spuštění programů. Na základě toho je třeba poznamenat, že ačkoli je firewall velmi užitečná věc, je potřeba jej správně nakonfigurovat, aby svými zákazy nekazil život.

Kategorie: , // z