V části o otázce Co je firewall a kde může být umístěn? daný autorem Křivý nejlepší odpověď je Toto je ochrana před jakýmikoli pokusy proniknout do vašeho počítače a před jakýmikoli škodlivými programy. Pokud se jedná o standardní Windows, pak jej najdete v ovládacím panelu (Firewall)

Odpověď od Sát[guru]
Restartovat váš počítač

Odpověď od Spláchnout[guru]
readme číst

Odpověď od Zlý křeček[guru]
Požární stěna je přeložena. Je zabudován do XP Service Pack 2. Viz Centrum zabezpečení.

Odpověď od Zaichena[mistr]
Firewall je na různých zařízeních, myslím, že je to v Victory Park, ale mohu se mýlit.

Odpověď od *lix[expert]
Firewall nebo firewall (jarg: firewall nebo firewall z angličtiny firewall) - komplex hardwaru a/nebo software, který řídí a filtruje ty, kteří jím procházejí síťové pakety na různých úrovních modelu OSI v souladu se stanovenými pravidly. Hlavním úkolem firewallu je chránit počítačové sítě nebo jednotlivé uzly před neoprávněným přístupem. Firewally se také často nazývají filtry, protože jejich hlavním úkolem není povolit (filtrovat) pakety, které nesplňují kritéria definovaná v konfiguraci.

Odpověď od Uživatel smazán[nováček]
firewall: a) software - program pro ochranu a sledování síťové aktivity počítače, tedy před útoky ze sítě a podobně.
b) hardware - pokud se nepletu, to samé, není to program, ale externí zařízení, mimochodem užitečná věc :)
firewall se zdá být to samé

31Oct

Co je firewall (Firewall)

Firewall nebo Firewall je počítačový program, jehož účelem je chránit váš počítač před viry a. Firewall monitoruje síťový provoz vstupující do operačního systému a pomáhá zastavit malware, který se pokouší získat přístup k osobním údajům uživatele. Pojmy Firewall a Firewall mají navíc další definici. Tyto termíny se běžně používají k popisu protipožárních hlavních stěn, které by teoreticky měly chránit domy před požáry v hustě zastavěných oblastech.

Co je firewall (Firewall) - jednoduše řečeno.

Jednoduše řečeno, Firewall (Firewall) je speciální ochranné počítačové programy, které neustále skenují data přijatá a odeslaná na internet. Obrazně řečeno se jedná o virtuální stěny, které chrání počítač před nebezpečím internetu: viry, rootkity, spyware atd. I když stojí za zmínku, že firewall není jediným ani nejspolehlivějším zdrojem ochrany vašeho počítače. Aby byla zajištěna maximální bezpečnost, firewall (Firewall) pracuje zpravidla vždy ve spojení s antivirovým a antispywarovým softwarem.

Ve většině případů je firewall instalován přímo na pracovním stroji (PC), ale někdy, jako v případě různých kanceláří, kde je mnoho počítačů, je firewall instalován jako fyzické zařízení ( ale o tom později). Uživatelé operačních sálů Systémy Windows, není třeba instalovat firewall sami ( odděleně), protože OS má zpočátku svůj vlastní - Brána firewall systému Windows.

Firewall - jak to funguje, jednoduše řečeno.

Aniž bychom zacházeli do složitých technických detailů, lze práci brány firewall popsat následovně. Když uživatel spustí program související s internetem, jako je prohlížeč nebo počítačová hra, počítač se připojí ke vzdálené webové stránce a odešle informace o počítačovém systému uživatele. Než jsou však data odeslána nebo přijata, projdou firewallem ( firewall), kde v závislosti na nastavených parametrech budou data přeskočena nebo zastavena.

Obrazně řečeno, firewall v procesu své práce funguje jako jakýsi pohraničník nebo celník, který sleduje vše, co se do počítače vyváží a dováží. Kromě toho mezi jeho povinnosti patří kontrola datových paketů, zda vyhovují požadovaným parametrům. Firewall tak může pomoci zastavit spouštění existujícího malwaru, jako jsou trojské koně a další spyware. Jednoduše řečeno, obrazovka jednoduše nepřenese data shromážděná těmito programy na internet. Ale to je samozřejmě vše v teorii, protože takové škodlivé programy se neustále vylepšují a učí se klamat brány firewall.

Co je to hardwarová brána firewall a jak chránit vaši síť?

Hardwarový firewall je fyzické zařízení, které připojuje počítač nebo síť k internetu pomocí určitých pokročilých technik k ochraně před neoprávněným přístupem. Drátové směrovače, širokopásmové brány a bezdrátové routery zahrnují hardwarové brány firewall, které chrání každý počítač v síti. Hardwarové brány firewall používají k ochraně sítě různé typy zabezpečení: filtrování paketů, stavovou kontrolu paketů, překlad síťových adres a brány na aplikační úrovni.

Firewall pro filtrování paketů kontroluje všechny datové pakety odeslané do a ze systému. Předává data na základě sady pravidel definovaných správcem sítě. Tento hardwarový firewall kontroluje hlavičku paketu a filtruje pakety na základě zdrojové adresy, cílové adresy a portu. Pokud paket neodpovídá pravidlům nebo nesplňuje kritéria blokování, nesmí projít počítačem nebo sítí.

Dynamické filtrování paketů nebo stavová kontrola paketů, to je složitější metoda zabezpečení. Tento firewall sleduje, odkud paket přišel, aby zjistil, co s ním dělat. Kontroluje, zda byla data odeslána jako odpověď na žádost o další informace, nebo zda se jednoduše objevila sama od sebe. Pakety, které neodpovídají zadanému stavu připojení, jsou odmítnuty.

Dalším způsobem, jak zajistit bezpečnost, je router s překladem síťových adres (NAT). Skrývá počítač nebo síť počítačů před vnějším světem a představuje jeden veřejnosti pro přístup k internetu. Adresa IP brány firewall je v tomto scénáři jedinou platnou adresou a je to jediná adresa IP prezentovaná všem počítačům v síti. Každému počítači na vnitřní straně sítě je přidělena vlastní IP adresa, platná pouze v rámci sítě. Tato možnost zabezpečení je velmi účinná, protože umožňuje používat pouze jednu veřejnou IP adresu pro odesílání a přijímání informačních paketů. Což zase výrazně minimalizuje možnost zavlečení malwaru. Tento hardwarový firewall je obvykle implementován na samostatném počítači v síti, který má jedinou funkci běžet jako . Je poměrně složitý a je považován za jeden z nejbezpečnějších typů hardwarových firewallů.

Základní problémy s firewally.

Je jich několik běžné problémy problémy, které mohou nastat v důsledku používání brány firewall. Nejčastějším problémem je, že kromě malwaru firewall často blokuje běžný provoz, který potřebujeme. Některé webové stránky mohou mít omezený přístup nebo se neotevřou, protože byly špatně diagnostikovány. Poměrně často nastávají problémy s síťové hry, protože brána firewall často rozpozná takový provoz jako škodlivý a zablokuje spuštění programů. Na základě toho je třeba poznamenat, že ačkoli je firewall velmi užitečná věc, je potřeba jej správně nakonfigurovat, aby svými zákazy nekazil život.

Kategorie: , // z

Vytvoření bezpečného systému je složitý úkol. Jedním z bezpečnostních opatření je použití firewallů (známých také jako firewally a firewally). Jak všichni víme, firewally přicházejí v softwaru a hardwaru. Možnosti prvního i druhého nejsou neomezené. V tomto článku se pokusíme zjistit, co oba typy firewallů umí a co ne.

Softwarové a hardwarové firewally

Prvním krokem je mluvit o tom, co je softwarové řešení a co je hardwarové řešení. Všichni jsme zvyklí, že pokud si koupíte nějaký hardware, tak se toto řešení nazývá hardware, a pokud se jedná o krabici se softwarem, tak je to označení softwarového řešení. Podle našeho názoru je rozdíl mezi hardwarovým a softwarovým řešením zcela libovolný. Co je to železná skříň? V podstatě se jedná o stejný počítač, i když s jinou architekturou, i když s mírně omezenými možnostmi (nelze k němu připojit klávesnici a monitor, je „šitý na míru“ pro plnění jedné funkce), na kterém je nainstalován software. Software je nějaká verze systému UNIX s „webovou tváří“. Funkce hardwarového firewallu závisí na použitém paketovém filtru (opět jde o software) a samotné „webové tváři“. Všechny hardwarové firewally lze „přeflashovat“, tedy v podstatě jednoduše nahradit softwarem. A se skutečným firmwarem (který se za starých dobrých časů prováděl pomocí programátoru) má proces aktualizace „firmwaru“ na moderních zařízeních jen málo společného. Nový software se jednoduše zapíše na flash disk uvnitř hardwaru. Softwarový firewall je software, který je nainstalován na stávajícím běžném počítači, ale v případě hardwarového firewallu se neobejdete bez softwaru a v případě softwarového firewallu bez hardwaru. Proto je hranice mezi těmito typy firewallů velmi libovolná.
Největší rozdíl mezi softwarovým a hardwarovým firewallem není ani ve funkčnosti. Nikdo vás neobtěžuje vybírat hardwarový firewall s potřebnými funkcemi. Rozdíl je ve způsobu použití. Softwarový firewall je zpravidla nainstalován na každém počítači v síti (na každém serveru a na každé pracovní stanici) a hardwarový firewall poskytuje ochranu nikoli pro jednotlivý počítač, ale pro celou síť najednou. Samozřejmě, že vám nikdo nebude bránit v instalaci hardwarového firewallu pro každý počítač, ale jde o peníze. Vzhledem k nákladům na hardware je nepravděpodobné, že budete chtít chránit každý hardware počítače firewallem.

Výhody hardwarových firewallů

Hardwarové firewally mají následující výhody:

• Relativní snadnost nasazení a použití. Připojil jsem ho, zapnul, nastavil parametry přes webové rozhraní a zapomněl na jeho existenci. Nicméně moderní software firewally podpora, která také nezabere mnoho času. Ale za prvé, ne všechny brány firewall podporují ActiveDirectory a za druhé, podniky ne vždy používají Windows.
• Rozměry a spotřeba. Hardwarové brány firewall jsou obvykle menší a vyžadují méně energie. Ne vždy však hraje roli spotřeba energie, ale důležité jsou rozměry. Malá kompaktní krabice je jedna věc, obrovská „systémová jednotka“ druhá.
• Výkon. Obvykle je výkon hardwarového řešení vyšší. Už jen proto, že hardwarový firewall se zabývá pouze svou bezprostřední funkcí - filtrováním paketů. Neprovozuje žádné procesy ani služby třetích stran, jak tomu často bývá u softwarových firewallů. Jen si představte, že jste zorganizovali softwarovou bránu (s firewallem a funkcemi NAT) založenou na serveru s Windows Server. Je nepravděpodobné, že vyhradíte celý server pouze pro firewall a NAT. To je iracionální. S největší pravděpodobností na něm budou běžet další služby - stejné AD, DNS atp. O DBMS a poštovních službách už mlčím.
• Spolehlivost. Předpokládá se, že hardwarová řešení jsou spolehlivější (právě proto, že zřídka spouštějí služby třetích stran). Nikdo vám ale nebrání vybrat si samostatnou systémovou jednotku (i když ne nejmodernější), nainstalovat na ni stejný FreeBSD (jeden z nejspolehlivějších operačních systémů na světě) a nastavit pravidla firewallu. Myslím, že spolehlivost takového řešení nebude nižší než v případě hardwarového firewallu. Takový úkol však vyžaduje pokročilou kvalifikaci správce, a proto bylo dříve uvedeno, že hardwarová řešení se používají snadněji.

Výhody softwarových firewallů

K výhodám softwarová řešení vztahovat se:

• Cena. Cena softwarového firewallu je obvykle nižší než cena hardwaru. Za cenu průměrného hardwarového řešení můžete ochránit celou síť softwarovým firewallem.
• Schopnost chránit vaši síť zevnitř. Ne vždy přicházejí hrozby zvenčí. V rámci lokální sítě existuje mnoho hrozeb. Útoky mohou pocházet z interních počítačů. Každý uživatel LAN, například nespokojený s firmou, může zahájit útok. Jak již bylo poznamenáno, k ochraně každého jednotlivého uzlu můžete samozřejmě použít samostatný hardwarový router, ale v praxi jsme se s takovými řešeními nesetkali. Jsou příliš iracionální.
• Možnost vymezování segmentů lokální sítě bez přidělování podsítí. Ve většině případů jsou k místní síti připojeny počítače z různých oddělení, například účetní, finanční oddělení, IT oddělení atd. Tyto počítače spolu nemusí vždy komunikovat. Jak odlišit ISPDn? Prvním řešením je vytvořit několik podsítí (například 192.168.1.0, 192.168.2.0 atd.) a vhodně nakonfigurovat směrování mezi těmito podsítěmi. Tím neříkám, že řešení je velmi složité, ale pořád je to složitější než použití softwarového firewallu. A není vždy možné rozlišit podsítě z toho či onoho důvodu. Druhým řešením je použití firewallu navrženého speciálně pro ochranu ISPD (ne všechny softwarové firewally to usnadňují). V tomto případě i v té největší síti provedete rozlišení ISPD v řádu minut a nebudete se muset trápit s nastavením směrování.
• Možnost nasazení na stávající servery. Nemá smysl kupovat další hardware, pokud je k dispozici dostatečný počítačový park. Stačí nasadit firewall na jeden ze serverů a nakonfigurovat NAT a směrování. Obvykle se obě tyto operace provádějí pomocí GUI firewall a jsou implementovány pomocí několika kliknutí myší na správných místech.
• Pokročilá funkčnost. Funkčnost softwarových firewallů je zpravidla širší než u jejich hardwarových protějšků. Některé firewally tedy poskytují funkce pro vyrovnávání zátěže, IDS/IPS a podobné užitečné věci, které mohou zlepšit celkovou bezpečnost systému zpracování dat. Ano, ne všechny softwarové firewally mají tyto funkce, ale nic vám nebrání vybrat si firewall, který vyhovuje vašim potřebám. Takové funkce samozřejmě mají i některé hardwarové systémy. Například StoneGate IPS poskytuje funkcionalitu systému prevence narušení, ale náklady na taková řešení ne vždy potěší vedení podniku. Existují i ​​hardwarové zátěžové balancéry, ale ty jsou ještě dražší než hardwarové IPS.

O nevýhodách psát nebudeme – vyplývají z výhod. Výhody jednoho typu firewallu jsou obvykle nevýhodami jiného typu. Mezi nevýhody hardwarových řešení patří například cena a nemožnost ochrany lokální sítě zevnitř a mezi nevýhody softwarových řešení patří složitost nasazení a použití (ačkoli, jak bylo uvedeno, vše je relativní).
Existuje však jedna nevýhoda hardwarových firewallů, která stojí za zmínku. Všechny hardwarové firewally mají zpravidla resetovací tlačítko, jehož stisknutím lze vrátit výchozí nastavení. Ke stisknutí tohoto tlačítka nepotřebujete žádnou zvláštní kvalifikaci. Chcete-li však změnit nastavení softwarového firewallu, musíte minimálně získat práva správce. Kliknutím jediného tlačítka může nespokojený zaměstnanec ohrozit bezpečnost celého podniku (nebo opustit podnik bez přístupu k internetu, což je ještě lepší). Při používání hardwarových řešení je proto potřeba přistupovat zodpovědněji k fyzickému zabezpečení samotných zařízení.

Bitva o firewally

Dále se pokusíme pochopit, který firewall poskytuje lepší ochranu: software nebo hardware. Hardware bude firewall zabudovaný do routeru od TP-Link. Jako software - Cybersafe Firewall.
K testování firewallů použijeme utility ze stránky www.testmypcsecurity.com, jmenovitě Jumper, DNStester a CPIL Suite (vyvinutý Comodo). Slovo varování: na rozdíl od certifikovaných nástrojů, jako je XSpider, tyto nástroje používají stejné techniky jako malware, který simulují. Proto musí být během testování (pokud chcete výsledky opakovat) deaktivovány všechny nástroje antivirové ochrany.
Dalo by se samozřejmě uvažovat o XSpideru, ale tento test by byl pro koncového čtenáře příliš nudný a nezajímavý. A kdo si dokáže představit útočníka, který používá certifikovaný skener?
Krátce o utilitách:

• Jumper - umožňuje obejít firewall pomocí metod „DLL injection“ a „thread injection“.
• DNS Tester – používá rekurzivní DNS dotaz k obejití firewallu.
• CPIL Suite - sada testů (3 testy) od Comodo.

Všechny tyto nástroje budou spouštěny zevnitř, tedy přímo z testovaných počítačů. Ale venku budeme skenovat se starou dobrou nmapou.
Takže máme dva počítače. Oba jsou připojeni k internetu. Jeden je připojen přes hardwarový firewall (napájený routerem TP-Link) a nemá nainstalovaný softwarový firewall ani antivirus. Druhý počítač je připojen přímo k internetu a je chráněn softwarovým firewallem CyberSafe. První počítač má nainstalovaný Windows 7, druhý má Windows Server 2008 R2.

Test 1: Jumper

Jumper, spuštěný s administrátorskými právy (upřímně řečeno, mnoho uživatelů s takovými právy pracuje), úspěšně dokončil svůj úkol ve Windows 7 (obr. 1). Nic ho nemohlo zastavit – koneckonců v našem systému nebyl nainstalován jediný bezpečnostní nástroj, žádný antivirus, žádný firewall, žádný IDS/IPS a hardwarovému firewallu je jedno, co se děje na klientských počítačích. Nemůže nijak ovlivnit, co se děje.

Rýže. 1. Propojka ve Windows 7

Abychom byli spravedliví, je třeba poznamenat, že pokud by uživatel nepracoval jako správce, pak by pro Jumper nic nefungovalo.
Ve Windows Server 2008 se Jumper ani nespustil, ale to není zásluha firewallu, ale samotného operačního systému. Proto zde existuje parita mezi firewally, protože ochranu proti této zranitelnosti může poskytnout samotný operační systém.

Test 2. DNStester

Účelem tohoto testu je odeslat rekurzivní DNS dotaz. Ve výchozím nastavení, počínaje Windows 2000, služba DNS systému Windows Klient přijímá a spravuje všechny dotazy DNS. Tímto způsobem budou všechny požadavky DNS ze všech aplikací v systému odeslány klientovi DNS (SVCHOST.EXE). Samotný DNS požadavek zadává přímo DNS klient. DNStester používá rekurzivní DNS dotaz k obejití firewallu, jinými slovy, služba volá sama sebe.

Rýže. 2. Test se nezdařil

Pokud je nastavení brány firewall ponecháno ve výchozím nastavení, pak se s tímto testem nedokáže vyrovnat ani softwarový ani hardwarový firewall. Je jasné, že hardwarovému firewallu nezáleží na tom, co se na pracovní stanici děje, takže nelze očekávat, že ochrání systém před touto zranitelností. V každém případě s výchozím nastavením (a prakticky se nezměnilo).
To však neznamená, že Cybersafe Firewall je špatný firewall. Když byla úroveň zabezpečení zvýšena na třetí, test zcela prošel (viz obr. 3). Program hlásil chybu v požadavku DNS. Abychom se ujistili, že to není chyba systému Windows Server 2008, byl test opakován na počítači s Windows 7.

Rýže. 3. Test prošel (DNStest)

Abychom byli spravedliví, je třeba poznamenat, že pokud je na počítači nainstalován antivirus, pak se s největší pravděpodobností tato aplikace dostane do karantény, ale přesto stihne odeslat jeden požadavek (obr. 4).

Rýže. 4. Comodo Antivirus zablokoval nežádoucí aplikaci

Test 3. Testovací sada od Comodo (CPIL)

Hardwarový firewall s výchozím nastavením tedy selhal všechny tři testy CPIL (pokud kliknete na Tell me more about Test, zobrazí se okno s vysvětlením principu testu). Ale nějakým zvláštním způsobem jim selhal. Absolvování testu zahrnuje následující posloupnost akcí:

1. Musíte zadat přenášená data. Pro testy 1, 2 a 3 jsme zadali hodnoty 1, 2, 3.
2. Poté stiskněte jedno z tlačítek testovacího volání (obr. 5)

Rýže. 5. Testovací sada CPIL

Poté by se měl prohlížeč otevřít s výsledky testu. Kromě zprávy, že test selhal, měla stránka s výsledky zobrazovat námi zadanou hodnotu, která byla předána skriptu jako parametr GET (viz obrázek 6). Je vidět, že hodnota (2 v adresním řádku) byla předána, ale skript ji nezobrazil. Chyba skriptu Comodo? Každý samozřejmě dělá chyby, ale naše důvěra v tento test se snížila.

Rýže. 6. Výsledek testu (hardwarový firewall)

Ale při použití softwarového firewallu se testy CPIL ani nespustily. Při stisknutí tlačítek 1 - 3 se nic nestalo (obr. 7). Je to opravdu chyba Windows Server 2008 a ne firewall? Rozhodli jsme se to prověřit. Proto byl Cybersafe Firewall nainstalován na počítač se systémem Windows 7 chráněný hardwarovým firewallem. Ale ve Windows 7 se nástroji podařilo prolomit obranu brány firewall. První a třetí test prošel, ale když jsme stiskli tlačítko Test 2, museli jsme uvažovat o okně Prohlížeč Chrome, podobný tomu, který je znázorněn na Obr. 6.

Rýže. 7. Když kliknete na tlačítko, nic se nestane (můžete vidět, že antivirus je vypnutý)

Rýže. 8. Testy 1 a 3 prospěly

Test 4. Skenování zvenčí

Předtím jsme se pokusili prolomit firewall zevnitř. Nyní zkusme prohledat systémy chráněné firewallem. Budeme skenovat skener nmap. O výsledcích hardwarového firewallu nikdo nepochyboval - vše bylo uzavřeno a nebylo možné ani určit typ testovaného systému (obr. 9 a 10). Na všech následujících ilustracích jsou IP adresy skryté, protože jsou trvalé – aby nikdo neměl chuť opakovat test na našich adresách.

Rýže. 9. Prohledejte hardwarovou bránu firewall

Rýže. 10. Kontrola hardwarové brány firewall (podrobnosti o hostiteli)

Nyní zkusme prohledat systém chráněný softwarovým firewallem. Je jasné, že ve výchozím nastavení softwarový firewall propustí cokoli a všechno (obr. 11).

Rýže. jedenáct. Otevřené porty(softwarový firewall, výchozí nastavení)

Rýže. 12. Určený typ systému (softwarový firewall, výchozí nastavení)

Když jsou pravidla nastavena, vše do sebe zapadne (obr. 13). Jak vidíte, softwarový firewall zajišťuje bezpečnost chráněného systému o nic horší než jeho „hardwarový“ protějšek.

Rýže. 13. Žádné otevřené porty

Lokální síťové útoky

Proč je tak důležité poskytovat ochranu v rámci místní sítě? Mnoho správců se mylně nevěnuje ochraně zevnitř, ale marně. Mnoho útoků lze totiž realizovat v rámci lokální sítě. Podívejme se na některé z nich.

ARP útok

Před připojením k síti počítač odešle ARP požadavek, aby zjistil, zda je IP adresa počítače obsazená. Pokud je v místní síti několik počítačů s Windows se stejnou IP adresou, uživatel uvidí okno se zprávou, že IP adresa je zaneprázdněna (používá ji jiný počítač). Windows ví, že IP adresa je zaneprázdněna prostřednictvím protokolu ARP.
Útok ARP zahrnuje útočník zaplavující stroje, pod kterými běží Ovládání Windows. Kromě toho budou na každý počítač odeslány stovky požadavků, v důsledku čehož uživatel nebude moci zavřít neustále vyskakující okna a bude nucen počítač alespoň restartovat.
Situace není moc příjemná. Přítomnost firewallu na pracovní stanici však znemožní veškeré úsilí útočníka.

DoS útoky, včetně různých záplavových útoků

DoS útoky (denial attack) jsou možné nejen na internetu, ale i v lokálních sítích. Liší se pouze způsoby takových útoků. Povaha DoS útoků může být jakákoliv, bojovat proti nim však nelze bez firewallu nainstalovaného na každém počítači v lokální síti.
Jedním z typů DoS útoku, který lze úspěšně použít v místní síti, je ICMP flood. Firewall CyberSafe Firewall obsahuje vyhrazené nástroje pro boj s tímto typem útoku (obr. 14). Obsahuje také nástroje pro vyrovnávání zátěže serveru, které mohou také pomoci v boji proti útokům DoS.

Rýže. 14. Zabezpečení ICMP (CyberSafe Firewall)

Změna MAC adresy

V lokální síti jsou počítače identifikovány nejen podle IP adresy, ale také podle MAC adresy. Někteří administrátoři umožňují přístup k určitým zdrojům pomocí MAC adresy, protože IP adresy jsou obvykle dynamické a vydává je DHCP. Toto řešení není příliš opodstatněné, protože MAC adresu lze velmi snadno změnit. Bohužel ne vždy je možné chránit se před změnami MAC adresy pomocí firewallu. Ne každý firewall sleduje změny MAC adres, protože jsou obvykle spojeny s IP adresami. Nejúčinnějším řešením je zde použití přepínače, který umožňuje navázat MAC adresu na konkrétní fyzický port přepínače. Ošidit takovou ochranu je téměř nemožné, ale také to hodně stojí. Pravda, také existuje softwarové metody bojovat proti změnám MAC adresy, ale jsou méně účinné. Pokud máte zájem o firewall, který dokáže rozpoznat falšování MAC adres, pak věnujte pozornost aplikaci Kaspersky Internet Security 8.0. Je pravda, že druhý může rozpoznat pouze náhradu MAC adresy brány. Plně však rozpoznává nahrazení IP adresy počítače a zahlcení IP.

Spoofing IP adresy

V sítích, kde je přístup ke zdrojům omezen IP adresami, může útočník změnit IP adresu a získat přístup k chráněnému zdroji. Při použití brány firewall Cybersafe Firewall je takový scénář nemožný, protože neexistuje žádná vazba na adresy IP ani pro samotný firewall. I když změníte IP adresu počítače, stále nebude zahrnuta do ISDN, do kterého se útočník pokouší proniknout.

Směrování útoků

Tento typ útoku je založen na odesílání „falešných“ ICMP paketů oběti. Podstatou tohoto útoku je podvržení adresy brány – oběti je zaslán ICMP paket, který ji informuje o kratší cestě. Ve skutečnosti ale pakety neprojdou přes nový router, ale přes počítač útočníka. Jak již bylo zmíněno dříve, Cybersafe Firewall poskytuje zabezpečení ICMP. Podobně lze použít i jiné firewally.

Existuje mnoho dalších útoků na lokální sítě – jak sniffery, tak různé útoky pomocí DNS. Ať je to jakkoli, použití softwarových firewallů nainstalovaných na každé pracovní stanici může výrazně zlepšit zabezpečení.

závěry

Ochrana informační systém by měly být komplexní – to zahrnuje softwarové a hardwarové firewally, antiviry a správné nastavení samotný systém. Pokud jde o naši konfrontaci mezi softwarovými a hardwarovými firewally, první se účinně používají k ochraně každého síťového uzlu a druhé se používají k ochraně celé sítě jako celku. Hardwarový firewall nemůže poskytnout ochranu pro každou jednotlivou pracovní stanici, je bezmocný proti útokům v rámci sítě a také nedokáže rozlišovat mezi ISDN, což je nutné provést v rámci ochrany osobních údajů.

Štítky:

• firewall
• firewall

Přidat štítky

Vytvoření bezpečného systému je složitý úkol. Jedním z bezpečnostních opatření je použití firewallů (známých také jako firewally a firewally). Jak všichni víme, firewally přicházejí v softwaru a hardwaru. Možnosti prvního i druhého nejsou neomezené. V tomto článku se pokusíme zjistit, co oba typy firewallů umí a co ne.

Softwarové a hardwarové firewally

Prvním krokem je mluvit o tom, co je softwarové řešení a co je hardwarové řešení. Všichni jsme zvyklí, že pokud si koupíte nějaký hardware, tak se toto řešení nazývá hardware, a pokud se jedná o krabici se softwarem, tak je to označení softwarového řešení. Podle našeho názoru je rozdíl mezi hardwarovým a softwarovým řešením zcela libovolný. Co je to železná skříň? V podstatě se jedná o stejný počítač, i když s jinou architekturou, i když s mírně omezenými možnostmi (nelze k němu připojit klávesnici a monitor, je „šitý na míru“ pro plnění jedné funkce), na kterém je nainstalován software. Software je nějaká verze systému UNIX s „webovou tváří“. Funkce hardwarového firewallu závisí na použitém paketovém filtru (opět jde o software) a samotné „webové tváři“. Všechny hardwarové firewally lze „přeflashovat“, tedy v podstatě jednoduše nahradit softwarem. A se skutečným firmwarem (který se za starých dobrých časů prováděl pomocí programátoru) má proces aktualizace „firmwaru“ na moderních zařízeních jen málo společného. Nový software se jednoduše zapíše na flash disk uvnitř hardwaru. Softwarový firewall je software, který je nainstalován na stávajícím běžném počítači, ale v případě hardwarového firewallu se neobejdete bez softwaru a v případě softwarového firewallu bez hardwaru. Proto je hranice mezi těmito typy firewallů velmi libovolná.
Největší rozdíl mezi softwarovým a hardwarovým firewallem není ani ve funkčnosti. Nikdo vás neobtěžuje vybírat hardwarový firewall s potřebnými funkcemi. Rozdíl je ve způsobu použití. Softwarový firewall je zpravidla nainstalován na každém počítači v síti (na každém serveru a na každé pracovní stanici) a hardwarový firewall poskytuje ochranu nikoli pro jednotlivý počítač, ale pro celou síť najednou. Samozřejmě, že vám nikdo nebude bránit v instalaci hardwarového firewallu pro každý počítač, ale jde o peníze. Vzhledem k nákladům na hardware je nepravděpodobné, že budete chtít chránit každý hardware počítače firewallem.

Výhody hardwarových firewallů

Hardwarové firewally mají následující výhody:

• Relativní snadnost nasazení a použití. Připojil jsem ho, zapnul, nastavil parametry přes webové rozhraní a zapomněl na jeho existenci. Moderní softwarové firewally však podporují nasazení přes ActiveDirectory, což také nezabere mnoho času. Ale za prvé, ne všechny brány firewall podporují ActiveDirectory a za druhé, podniky ne vždy používají Windows.
• Rozměry a spotřeba. Hardwarové brány firewall jsou obvykle menší a vyžadují méně energie. Ne vždy však hraje roli spotřeba energie, ale důležité jsou rozměry. Malá kompaktní krabice je jedna věc, obrovská „systémová jednotka“ druhá.
• Výkon. Obvykle je výkon hardwarového řešení vyšší. Už jen proto, že hardwarový firewall se zabývá pouze svou bezprostřední funkcí - filtrováním paketů. Neprovozuje žádné procesy ani služby třetích stran, jak tomu často bývá u softwarových firewallů. Představte si, že jste zorganizovali softwarovou bránu (s firewallem a funkcemi NAT) založenou na serveru se systémem Windows Server. Je nepravděpodobné, že vyhradíte celý server pouze pro firewall a NAT. To je iracionální. S největší pravděpodobností na něm budou běžet další služby - stejné AD, DNS atp. O DBMS a poštovních službách už mlčím.
• Spolehlivost. Předpokládá se, že hardwarová řešení jsou spolehlivější (právě proto, že zřídka spouštějí služby třetích stran). Nikdo vám ale nebrání vybrat si samostatnou systémovou jednotku (i když ne nejmodernější), nainstalovat na ni stejný FreeBSD (jeden z nejspolehlivějších operačních systémů na světě) a nastavit pravidla firewallu. Myslím, že spolehlivost takového řešení nebude nižší než v případě hardwarového firewallu. Takový úkol však vyžaduje pokročilou kvalifikaci správce, a proto bylo dříve uvedeno, že hardwarová řešení se používají snadněji.

Výhody softwarových firewallů

Mezi výhody softwarových řešení patří:

• Cena. Cena softwarového firewallu je obvykle nižší než cena hardwaru. Za cenu průměrného hardwarového řešení můžete ochránit celou síť softwarovým firewallem.
• Schopnost chránit vaši síť zevnitř. Ne vždy přicházejí hrozby zvenčí. V rámci lokální sítě existuje mnoho hrozeb. Útoky mohou pocházet z interních počítačů. Každý uživatel LAN, například nespokojený s firmou, může zahájit útok. Jak již bylo poznamenáno, k ochraně každého jednotlivého uzlu můžete samozřejmě použít samostatný hardwarový router, ale v praxi jsme se s takovými řešeními nesetkali. Jsou příliš iracionální.
• Možnost vymezování segmentů lokální sítě bez přidělování podsítí. Ve většině případů jsou k místní síti připojeny počítače z různých oddělení, například účetní, finanční oddělení, IT oddělení atd. Tyto počítače spolu nemusí vždy komunikovat. Jak odlišit ISPDn? Prvním řešením je vytvořit několik podsítí (například 192.168.1.0, 192.168.2.0 atd.) a vhodně nakonfigurovat směrování mezi těmito podsítěmi. Tím neříkám, že řešení je velmi složité, ale pořád je to složitější než použití softwarového firewallu. A není vždy možné rozlišit podsítě z toho či onoho důvodu. Druhým řešením je použití firewallu navrženého speciálně pro ochranu ISPD (ne všechny softwarové firewally umožňují snadné rozlišení mezi ISPD). V tomto případě i v té největší síti provedete rozlišení ISPD v řádu minut a nebudete se muset trápit s nastavením směrování.
• Možnost nasazení na stávající servery. Nemá smysl kupovat další hardware, pokud je k dispozici dostatečný počítačový park. Stačí nasadit firewall na jeden ze serverů a nakonfigurovat NAT a směrování. Obvykle se obě tyto operace provádějí prostřednictvím GUI brány firewall a jsou implementovány několika kliknutími na správných místech.
• Pokročilá funkčnost. Funkčnost softwarových firewallů je zpravidla širší než u jejich hardwarových protějšků. Některé firewally tedy poskytují funkce pro vyrovnávání zátěže, IDS/IPS a podobné užitečné věci, které mohou zlepšit celkovou bezpečnost systému zpracování dat. Ano, ne všechny softwarové firewally mají tyto funkce, ale nic vám nebrání vybrat si firewall, který vyhovuje vašim potřebám. Takové funkce samozřejmě mají i některé hardwarové systémy. Například StoneGate IPS poskytuje funkcionalitu systému prevence narušení, ale náklady na taková řešení ne vždy potěší vedení podniku. Existují i ​​hardwarové zátěžové balancéry, ale ty jsou ještě dražší než hardwarové IPS.

O nevýhodách psát nebudeme – vyplývají z výhod. Výhody jednoho typu firewallu jsou obvykle nevýhodami jiného typu. Mezi nevýhody hardwarových řešení patří například cena a nemožnost ochrany lokální sítě zevnitř a mezi nevýhody softwarových řešení patří složitost nasazení a použití (ačkoli, jak bylo uvedeno, vše je relativní).
Existuje však jedna nevýhoda hardwarových firewallů, která stojí za zmínku. Všechny hardwarové firewally mají zpravidla resetovací tlačítko, jehož stisknutím lze vrátit výchozí nastavení. Ke stisknutí tohoto tlačítka nepotřebujete žádnou zvláštní kvalifikaci. Chcete-li však změnit nastavení softwarového firewallu, musíte minimálně získat práva správce. Kliknutím jediného tlačítka může nespokojený zaměstnanec ohrozit bezpečnost celého podniku (nebo opustit podnik bez přístupu k internetu, což je ještě lepší). Při používání hardwarových řešení je proto potřeba přistupovat zodpovědněji k fyzickému zabezpečení samotných zařízení.

Bitva o firewally

Dále se pokusíme pochopit, který firewall poskytuje lepší ochranu: software nebo hardware. Hardware bude firewall zabudovaný do routeru od TP-Link. Jako software - Cybersafe Firewall.
K testování firewallů použijeme utility ze stránky www.testmypcsecurity.com, jmenovitě Jumper, DNStester a CPIL Suite (vyvinutý Comodo). Slovo varování: na rozdíl od certifikovaných nástrojů, jako je XSpider, tyto nástroje používají stejné techniky jako malware, který simulují. Proto musí být během testování (pokud chcete výsledky opakovat) deaktivovány všechny nástroje antivirové ochrany.
Dalo by se samozřejmě uvažovat o XSpideru, ale tento test by byl pro koncového čtenáře příliš nudný a nezajímavý. A kdo si dokáže představit útočníka, který používá certifikovaný skener?
Krátce o utilitách:

• Jumper - umožňuje obejít firewall pomocí metod „DLL injection“ a „thread injection“.
• DNS Tester – používá rekurzivní DNS dotaz k obejití firewallu.
• CPIL Suite - sada testů (3 testy) od Comodo.

Všechny tyto nástroje budou spouštěny zevnitř, tedy přímo z testovaných počítačů. Ale venku budeme skenovat se starou dobrou nmapou.
Takže máme dva počítače. Oba jsou připojeni k internetu. Jeden je připojen přes hardwarový firewall (napájený routerem TP-Link) a nemá nainstalovaný softwarový firewall ani antivirus. Druhý počítač je připojen přímo k internetu a je chráněn softwarovým firewallem CyberSafe. První počítač má nainstalovaný Windows 7, druhý má Windows Server 2008 R2.

Test 1: Jumper

Jumper, spuštěný s administrátorskými právy (upřímně řečeno, mnoho uživatelů s takovými právy pracuje), úspěšně dokončil svůj úkol ve Windows 7 (obr. 1). Nic ho nemohlo zastavit – koneckonců v našem systému nebyl nainstalován jediný bezpečnostní nástroj, žádný antivirus, žádný firewall, žádný IDS/IPS a hardwarovému firewallu je jedno, co se děje na klientských počítačích. Nemůže nijak ovlivnit, co se děje.

Rýže. 1. Propojka ve Windows 7

Abychom byli spravedliví, je třeba poznamenat, že pokud by uživatel nepracoval jako správce, pak by pro Jumper nic nefungovalo.
Ve Windows Server 2008 se Jumper ani nespustil, ale to není zásluha firewallu, ale samotného operačního systému. Proto zde existuje parita mezi firewally, protože ochranu proti této zranitelnosti může poskytnout samotný operační systém.

Test 2. DNStester

Účelem tohoto testu je odeslat rekurzivní DNS dotaz. Ve výchozím nastavení, počínaje Windows 2000, Služba Windows Klient DNS přijímá a spravuje všechny dotazy DNS. Tímto způsobem budou všechny požadavky DNS ze všech aplikací v systému odeslány klientovi DNS (SVCHOST.EXE). Samotný DNS požadavek zadává přímo DNS klient. DNStester používá rekurzivní DNS dotaz k obejití firewallu, jinými slovy, služba volá sama sebe.

Rýže. 2. Test se nezdařil

Pokud je nastavení brány firewall ponecháno ve výchozím nastavení, pak se s tímto testem nedokáže vyrovnat ani softwarový ani hardwarový firewall. Je jasné, že hardwarovému firewallu nezáleží na tom, co se na pracovní stanici děje, takže nelze očekávat, že ochrání systém před touto zranitelností. V každém případě s výchozím nastavením (a prakticky se nezměnilo).
To však neznamená, že Cybersafe Firewall je špatný firewall. Když byla úroveň zabezpečení zvýšena na třetí, test zcela prošel (viz obr. 3). Program hlásil chybu v požadavku DNS. Abychom se ujistili, že to není chyba systému Windows Server 2008, byl test opakován na počítači s Windows 7.

Rýže. 3. Test prošel (DNStest)

Abychom byli spravedliví, je třeba poznamenat, že pokud je na počítači nainstalován antivirus, pak se s největší pravděpodobností tato aplikace dostane do karantény, ale přesto stihne odeslat jeden požadavek (obr. 4).

Rýže. 4. Comodo Antivirus zablokoval nežádoucí aplikaci

Test 3. Testovací sada od Comodo (CPIL)

Hardwarový firewall s výchozím nastavením tedy selhal všechny tři testy CPIL (pokud kliknete na Tell me more about Test, zobrazí se okno s vysvětlením principu testu). Ale nějakým zvláštním způsobem jim selhal. Absolvování testu zahrnuje následující posloupnost akcí:

1. Musíte zadat přenášená data. Pro testy 1, 2 a 3 jsme zadali hodnoty 1, 2, 3.
2. Poté stiskněte jedno z tlačítek testovacího volání (obr. 5)

Rýže. 5. Testovací sada CPIL

Poté by se měl prohlížeč otevřít s výsledky testu. Kromě zprávy, že test selhal, měla stránka s výsledky zobrazovat námi zadanou hodnotu, která byla předána skriptu jako parametr GET (viz obrázek 6). Je vidět, že hodnota (2 v adresním řádku) byla předána, ale skript ji nezobrazil. Chyba skriptu Comodo? Každý samozřejmě dělá chyby, ale naše důvěra v tento test se snížila.

Rýže. 6. Výsledek testu (hardwarový firewall)

Ale při použití softwarového firewallu se testy CPIL ani nespustily. Při stisknutí tlačítek 1 - 3 se nic nestalo (obr. 7). Je to opravdu chyba Windows Server 2008 a ne firewall? Rozhodli jsme se to prověřit. Proto byl Cybersafe Firewall nainstalován na počítač se systémem Windows 7 chráněný hardwarovým firewallem. Ale ve Windows 7 se nástroji podařilo prolomit obranu brány firewall. První a třetí test prošel, ale když jsme klikli na tlačítko Test 2, museli jsme uvažovat o okně prohlížeče Chrome podobném tomu, které je znázorněno na obr. 6.

Rýže. 7. Když kliknete na tlačítko, nic se nestane (můžete vidět, že antivirus je vypnutý)

Rýže. 8. Testy 1 a 3 prospěly

Test 4. Skenování zvenčí

Předtím jsme se pokusili prolomit firewall zevnitř. Nyní zkusme prohledat systémy chráněné firewallem. Budeme skenovat skenerem nmap. O výsledcích hardwarového firewallu nikdo nepochyboval - vše bylo uzavřeno a nebylo možné ani určit typ testovaného systému (obr. 9 a 10). Na všech následujících ilustracích jsou IP adresy skryté, protože jsou trvalé – aby nikdo neměl chuť opakovat test na našich adresách.

Rýže. 9. Prohledejte hardwarovou bránu firewall

Rýže. 10. Kontrola hardwarové brány firewall (podrobnosti o hostiteli)

Nyní zkusme prohledat systém chráněný softwarovým firewallem. Je jasné, že ve výchozím nastavení softwarový firewall propustí cokoli a všechno (obr. 11).

Rýže. 11. Otevřené porty (softwarová brána firewall, výchozí nastavení)

Rýže. 12. Určený typ systému (softwarový firewall, výchozí nastavení)

Když jsou pravidla nastavena, vše do sebe zapadne (obr. 13). Jak vidíte, softwarový firewall zajišťuje bezpečnost chráněného systému o nic horší než jeho „hardwarový“ protějšek.

Rýže. 13. Žádné otevřené porty

Lokální síťové útoky

Proč je tak důležité poskytovat ochranu v rámci místní sítě? Mnoho správců se mylně nevěnuje ochraně zevnitř, ale marně. Mnoho útoků lze totiž realizovat v rámci lokální sítě. Podívejme se na některé z nich.

ARP útok

Před připojením k síti počítač odešle ARP požadavek, aby zjistil, zda je IP adresa počítače obsazená. Pokud je v místní síti několik počítačů s Windows se stejnou IP adresou, uživatel uvidí okno se zprávou, že IP adresa je zaneprázdněna (používá ji jiný počítač). Windows ví, že IP adresa je zaneprázdněna prostřednictvím protokolu ARP.
Útok ARP zahrnuje útočník zaplavení počítačů se systémem Windows. Kromě toho budou na každý počítač odeslány stovky požadavků, v důsledku čehož uživatel nebude moci zavřít neustále vyskakující okna a bude nucen počítač alespoň restartovat.
Situace není moc příjemná. Přítomnost firewallu na pracovní stanici však znemožní veškeré úsilí útočníka.

DoS útoky, včetně různých záplavových útoků

DoS útoky (denial attack) jsou možné nejen na internetu, ale i v lokálních sítích. Liší se pouze způsoby takových útoků. Povaha DoS útoků může být jakákoliv, bojovat proti nim však nelze bez firewallu nainstalovaného na každém počítači v lokální síti.
Jedním z typů DoS útoku, který lze úspěšně použít v místní síti, je ICMP flood. Firewall CyberSafe Firewall obsahuje vyhrazené nástroje pro boj s tímto typem útoku (obr. 14). Obsahuje také nástroje pro vyrovnávání zátěže serveru, které mohou také pomoci v boji proti útokům DoS.

Rýže. 14. Zabezpečení ICMP (CyberSafe Firewall)

Změna MAC adresy

V lokální síti jsou počítače identifikovány nejen podle IP adresy, ale také podle MAC adresy. Někteří administrátoři umožňují přístup k určitým zdrojům pomocí MAC adresy, protože IP adresy jsou obvykle dynamické a vydává je DHCP. Toto řešení není příliš opodstatněné, protože MAC adresu lze velmi snadno změnit. Bohužel ne vždy je možné chránit se před změnami MAC adresy pomocí firewallu. Ne každý firewall sleduje změny MAC adres, protože jsou obvykle spojeny s IP adresami. Nejúčinnějším řešením je zde použití přepínače, který umožňuje navázat MAC adresu na konkrétní fyzický port přepínače. Ošidit takovou ochranu je téměř nemožné, ale také to hodně stojí. Pravda, existují i ​​softwarové způsoby, jak bojovat proti změnám MAC adres, ale jsou méně účinné. Pokud máte zájem o firewall, který dokáže rozpoznat falšování MAC adres, pak věnujte pozornost Kaspersky Internet Security 8.0. Je pravda, že druhý může rozpoznat pouze náhradu MAC adresy brány. Plně však rozpoznává nahrazení IP adresy počítače a zahlcení IP.

Spoofing IP adresy

V sítích, kde je přístup ke zdrojům omezen IP adresami, může útočník změnit IP adresu a získat přístup k chráněnému zdroji. Při použití brány firewall Cybersafe Firewall je takový scénář nemožný, protože neexistuje žádná vazba na adresy IP ani pro samotný firewall. I když změníte IP adresu počítače, stále nebude zahrnuta do ISDN, do kterého se útočník pokouší proniknout.

Směrování útoků

Tento typ útoku je založen na odesílání „falešných“ ICMP paketů oběti. Podstatou tohoto útoku je podvržení adresy brány – oběti je zaslán ICMP paket, který ji informuje o kratší cestě. Ve skutečnosti ale pakety neprojdou přes nový router, ale přes počítač útočníka. Jak již bylo zmíněno dříve, Cybersafe Firewall poskytuje zabezpečení ICMP. Podobně lze použít i jiné firewally.

Existuje mnoho dalších útoků na lokální sítě – jak sniffery, tak různé útoky pomocí DNS. Ať je to jakkoli, použití softwarových firewallů nainstalovaných na každé pracovní stanici může výrazně zlepšit zabezpečení.

závěry

Ochrana informačního systému musí být komplexní – zahrnuje softwarové a hardwarové firewally, antiviry a správnou konfiguraci samotného systému. Pokud jde o naši konfrontaci mezi softwarovými a hardwarovými firewally, první se účinně používají k ochraně každého síťového uzlu a druhé se používají k ochraně celé sítě jako celku. Hardwarový firewall nemůže poskytnout ochranu pro každou jednotlivou pracovní stanici, je bezmocný proti útokům v rámci sítě a také nedokáže rozlišovat mezi ISDN, což je nutné provést v rámci ochrany osobních údajů.

Štítky: Přidat štítky

Globalizace a komunikační možnosti, které internet uživatelům poskytuje, přitahují do globálních informačních sítí nejen soukromé, ale i firemní uživatele. Velmi často se stávají terčem útočníků, kteří využívají důvěrné informace k osobnímu zisku. Organizace, které se rozhodnou přenášet citlivá data po globálních sítích, přicházejí každý rok o obrovské množství peněz. hotovost vzhledem k velkému počtu útoků bohužel úspěšný. Cílem rozvoje internetu bylo vytvořit systém určený pro bezplatnou výměnu dat. A milovníci snadných peněz toho okamžitě začali využívat. Prostřednictvím internetu můžete:

• prolomit hesla a proniknout do vnitřní sítě organizace, kde není těžké najít tajné informace;
• kopírovat důvěrná data;
• zjistit adresy serverů a hesla a další.

K vyřešení tohoto problému bylo navrženo hardwarové firewally. Častěji se používají názvy firewall a firewall. Jedná se o sadu hardwaru a softwaru, která umožňuje rozdělit každou síť na několik částí, monitorovat a chránit síťové pakety procházející přes hranice z jedné části sítě do druhé. Obvykle se taková hranice vytváří mezi vnitřní sítí podniku a globálním internetem. V některých případech však může být vytvořen mezi odděleními stejné podnikové sítě.

Firewally musí pokrývat specifické oblasti podnikové sítě. V obecném smyslu je lze označit takto:

• filtrování na úrovni sítě;
• filtrování na aplikační úrovni;
• nastavení filtrovacích pravidel, administrace;
• nástroje síťové autentizace;
• zakládání protokolů a vedení záznamů.

Klasifikace firewallů

Je obvyklé rozlišovat následující třídy ochranných firewallů:

• filtrační směrovače;
• brány na úrovni relace;
• brány na aplikační úrovni.

Filtrovat routery

Filtrují příchozí a odchozí pakety pomocí dat obsažených v hlavičkách TCP a IP. Pro výběr IP paketů se používají skupiny polí hlavičky paketů:

• IP adresa odesílatele;
• IP adresa příjemce;
• port odesílatele;
• port příjemce.

Jednotlivé routery ovládají síťové rozhraní routeru, ze kterého paket přišel. Tyto údaje slouží k podrobnějšímu filtrování. To druhé lze provést různé způsoby, přerušení připojení k určitým portům nebo počítačům.

Pravidla filtrování pro routery je obtížné vytvořit. Neexistuje žádný jiný způsob, jak zkontrolovat správnost, než pomalé a pracné ruční testování. Mezi nevýhody filtrovacích směrovačů patří také následující případy:

• vnitřní síť je viditelná z internetu;
• složitá pravidla směrování vyžadují vynikající znalost TCP a UDP;
• Když je firewall hacknut, všechny počítače v síti se stanou bezbrannými nebo nedostupnými.

Filtrační směrovače však mají také řadu výhod:

• nízké náklady;
• flexibilní definice filtrovacích pravidel;
• nízká latence při práci s pakety.

Brány relace

Jedná se o překladače spojení TCP. Brána zpracovává požadavek oprávněného klienta na konkrétní služby. Ověří platnost relace a vytvoří připojení k externímu hostiteli. Brána pak zkopíruje pakety v obou směrech bez filtrování. Destinace je většinou stanovena předem. Zdrojů může být několik. Díky rozmanitosti portů můžete konfigurovat různé konfigurace připojení. Pomocí brány můžete vytvořit překladač TCP pro jakoukoli službu, která pracuje s připojením TCP.

Brána určuje přípustnost požadavku na komunikační relaci podle určitých pravidel. Nejprve autorizovaný klient požádá o přístup ke konkrétní službě. Brána jej přijme a zkontroluje, zda klient splňuje základní parametry filtrování. Pokud je vše v pořádku, brána naváže spojení s externím hostitelem. Dále je sledována procedura handshake komunikace TCP. Pokud brána určí, že klient a externí hostitel jsou autorizováni, je navázáno spojení. Během přenosu informací brána udržuje tabulku navázaná spojení a přeskakuje informace, které se týkají jedné z komunikačních relací specifikovaných v tabulce. Po ukončení relace je spojení ukončeno. Odpovídající data se z tabulky vymažou.

Brány aplikační vrstvy

Pro spolehlivější ochranu používají obrazovky při připojování k Telnetu a FTP filtrovací aplikace. Tato aplikace se nazývá proxy služba nebo jinými slovy brána na aplikační úrovni. Při použití brány tohoto typu Komunikace mezi autorizovaným klientem a externím hostitelem není možná. Filtrování se provádí na aplikační úrovni.

Když brána detekuje síťovou relaci, zastaví ji a připojí se speciální aplikace k dokončení služby. Brány na aplikační úrovni poskytují spolehlivou ochranu, protože dochází k interakci s externí sítí malé množství autorizované aplikace. Provádějí přísnou kontrolu příchozího a odchozího provozu. Každá síťová služba vyžaduje samostatné aplikace.

Výhody použití brány aplikační vrstvy:

• neviditelnost chráněné sítě z internetu;
• efektivní a bezpečná autentizace a registrace;
• optimální poměr nákladů a úrovně ochrany;
• jednoduchá pravidla filtrování;
• možnost instalace dalších kontrol.

Hardwarové firewally

Hardwarové brány firewall používají k filtrování paketů své vlastní brány firewall. OS, speciálně navržený vývojáři.

Aby hardwarová brána firewall fungovala správně, je důležité ji správně nainstalovat, připojit a nakonfigurovat. Nejjednodušší firewall je zařízení, které obsahuje sadu aplikací pro centralizaci řízení přístupu a ochranu informací. Hlavní funkce, které plní hardwarový firewall, jsou stejné jako u softwarových: analýza paketů, filtrování a přesměrování provozu, ověřování připojení, blokování obsahu protokolu, šifrování dat.

Pro zvýšení bezpečnosti je často nutné nainstalovat několik hardwarových firewallů. Zástěny je možné kombinovat odlišné typy do jednoho systému. Použití firewallů s různými strukturami založenými na různých architekturách umožňuje vytvořit vyšší úroveň ochrany.

Vytváření firewallů v podnikových sítích

Pokud potřebujete nainstalovat spolehlivou firemní popř lokální síť, je nutné vyřešit následující problémy:

• ochrana sítě před neoprávněným přístupem vzdálený přístup používání globálního internetu;
• Ochrana dat konfigurace sítě před návštěvníky globální sítě;
• oddělení přístupu do podnikové či lokální sítě od globální a naopak.

Aby byla zajištěna bezpečnost chráněné sítě, různá schémata vytváření firewallů:

Firewall jako filtrovací router- nejjednodušší a nejběžnější možnost. Router je umístěn mezi sítí a internetem. K ochraně jsou využívána data z analýzy adres a portů příchozích a odchozích paketů.

Firewall využívající dvouportovou bránu je hostitel se dvěma síťovými rozhraními. Mezi těmito porty se provádí hlavní filtrování pro výměnu dat. Pro zvýšení bezpečnosti lze nainstalovat filtrovací router. V tomto případě je mezi bránou a routerem vytvořena vnitřní stíněná síť, kterou lze použít k instalaci informačního serveru.

Firewall se stíněnou bránou— vysoká flexibilita řízení, ale nedostatečná bezpečnost. Liší se přítomností pouze jednoho síťového rozhraní. Filtrování paketů se provádí několika způsoby: když interní hostitel povolí přístup do globální sítě pouze vybraným službám, když jsou všechna spojení z interních hostitelů blokována.

Firewall se stíněnou podsítí— k jeho vytvoření jsou použity dva stínící routery. Externí se instaluje mezi stíněnou podsíť a Internet, vnitřní se instaluje mezi stíněnou podsíť a vnitřní chráněnou síť. Dobrá volba pro zabezpečení s velkým provozem a vysokou rychlostí.