Kysymyksen Mikä on palomuuri ja missä se voi sijaita? kirjoittajan antama Kiero paras vastaus on Tämä on suoja kaikilta yrityksiltä tunkeutua tietokoneeseesi ja haitallisilta ohjelmilta. Jos se on tavallinen Windows, löydät sen ohjauspaneelista (palomuuri)

Vastaus osoitteesta Imeä[guru]
Käynnistä tietokoneesi uudelleen

Vastaus osoitteesta Huuhtele[guru]
lue minut lukemaan

Vastaus osoitteesta Paha hamsteri[guru]
Palomuuri on käännetty. Se on sisäänrakennettu XP Service Pack 2:een. Katso Turvakeskus.

Vastaus osoitteesta Zaichena[hallita]
Palomuuri syttyy useissa laitteissa, luulen sen olevan Victory Parkissa, mutta voin olla väärässä.

Vastaus osoitteesta *lix[asiantuntija]
Palomuuri tai palomuuri (jarg: palomuuri tai palomuuri englanninkielisestä palomuurista) - laitteisto- ja/tai yhdistelmä ohjelmisto, joka ohjaa ja suodattaa sen läpi kulkevia verkkopaketteja OSI-mallin eri tasoilla määriteltyjen sääntöjen mukaisesti. Palomuurin päätehtävä on suojata tietokoneverkkoja tai yksittäisiä solmuja luvattomalta käytöltä. Myös palomuuria kutsutaan usein suodattimiksi, koska niiden päätehtävänä ei ole sallia (suodattaa) paketteja, jotka eivät täytä konfiguraatiossa määritettyjä ehtoja.

Vastaus osoitteesta Käyttäjä poistettu[aloittelija]
palomuuri: a) ohjelmisto - ohjelma, joka suojaa ja valvoo tietokoneen verkkotoimintaa, eli verkon hyökkäyksiltä ja vastaavilta.
b) laitteisto - jos en erehdy, sama asia, se ei ole ohjelma vaan ulkoinen laite, muuten hyödyllinen asia :)
palomuuri näyttää olevan sama asia

31lokakuu

Mikä on palomuuri (palomuuri)

Palomuuri tai Palomuuri on tietokoneohjelma, jonka tarkoituksena on suojata tietokonettasi viruksilta ja. Palomuuri valvoo käyttöjärjestelmään tulevaa verkkoliikennettä ja auttaa pysäyttämään haittaohjelmat, jotka yrittävät päästä käsiksi käyttäjän henkilökohtaisiin tietoihin. Lisäksi termeillä palomuuri ja palomuuri on toinen määritelmä. Näitä termejä käytetään yleisesti kuvaamaan palonkestäviä pääomaseiniä, joiden pitäisi teoriassa suojata taloja tulipaloilta tiheästi rakennetuilla alueilla.

Mikä on palomuuri (palomuuri) - yksinkertaisin sanoin.

Yksinkertaisin sanoin, Palomuuri (palomuuri) on erityinen suoja tietokoneohjelmat, jotka skannaavat jatkuvasti Internetiin vastaanotettuja ja lähetettyjä tietoja. Kuvaannollisesti puhuen nämä ovat virtuaalisia seiniä, jotka suojaavat tietokonetta Internetin vaaroilta: viruksilta, rootkit-ohjelmilta, vakoiluohjelmilta jne. Vaikka on syytä huomata, että palomuuri ei ole ainoa tai luotettavin tietokoneesi suojan lähde. Pääsääntöisesti parhaan turvallisuuden takaamiseksi palomuuri (palomuuri) toimii aina yhdessä virustentorjunta- ja vakoiluohjelmien torjuntaohjelmiston kanssa.

Useimmissa tapauksissa palomuuri asennetaan suoraan työkoneeseen (PC), mutta joskus, kuten useissa toimistoissa, joissa on paljon tietokoneita, palomuuri asennetaan fyysisenä laitteena ( mutta siitä lisää myöhemmin). Leikkaussalin käyttäjät Windows-järjestelmät, sinun ei tarvitse asentaa palomuuria itse ( erikseen), koska käyttöjärjestelmällä on alun perin oma - Windowsin palomuuri.

Palomuuri - miten se toimii, yksinkertaisin sanoin.

Menemättä monimutkaisiin teknisiin yksityiskohtiin, palomuurin työtä voidaan kuvata seuraavasti. Kun käyttäjä käynnistää Internetiin liittyvän ohjelman, kuten selaimen tai tietokonepeli, tietokone muodostaa yhteyden etäsivustoon ja lähettää tietoja käyttäjän tietokonejärjestelmästä. Ennen kuin tiedot lähetetään tai vastaanotetaan, ne kuitenkin kulkevat palomuurin läpi ( palomuuri), jossa asetetuista parametreista riippuen tiedot ohitetaan tai pysäytetään.

Kuvaannollisesti sanottuna palomuuri toimii työssään eräänlaisena rajavartijana tai tullivirkailijana, joka valvoo kaikkea, mitä viedään ja tuodaan tietokoneelle. Lisäksi hänen tehtäviinsä kuuluu tarkistaa, että datapaketit ovat vaadittujen parametrien mukaisia. Näin ollen palomuuri voi auttaa estämään olemassa olevien haittaohjelmien, kuten troijalaisten ja muiden vakoiluohjelmien, toiminnan. Yksinkertaisesti sanottuna näyttö ei yksinkertaisesti lähetä näiden ohjelmien keräämiä tietoja Internetiin. Mutta tämä on tietysti kaikki teoriassa, koska tällaisia ​​haittaohjelmia parannetaan jatkuvasti ja ne oppivat pettämään palomuureja.

Mikä on laitteistopalomuuri ja kuinka suojata verkkoasi?

Laitteistopalomuuri on fyysinen laite, joka yhdistää tietokoneen tai verkon Internetiin käyttämällä tiettyjä edistyneitä tekniikoita suojaamaan luvattomalta käytöltä. Langalliset reitittimet, laajakaistayhdyskäytävät ja langattomat reitittimet sisältää laitteiston palomuurit, jotka suojaavat jokaista verkon tietokonetta. Laitteistopalomuurit suojaavat verkkoa erityyppisillä suojauksilla: pakettisuodatus, tilallinen pakettien tarkistus, verkko-osoitteiden käännös ja sovellustason yhdyskäytäviä.

Pakettisuodatuspalomuuri tarkistaa kaikki järjestelmään ja järjestelmästä lähetetyt datapaketit. Se välittää tietoja verkonvalvojan määrittelemien sääntöjen perusteella. Tämä laitteistopalomuuri tarkastaa paketin otsikon ja suodattaa paketit lähdeosoitteen, kohdeosoitteen ja portin perusteella. Jos paketti ei täytä sääntöjä tai täyttää estokriteerit, se ei saa kulkea tietokoneen tai verkon läpi.

Dynaaminen pakettisuodatus tai tilallinen pakettitarkastus, tämä on monimutkaisempi suojausmenetelmä. Tämä palomuuri tarkkailee, mistä paketti tuli selvittääkseen, mitä sille tehdään. Se tarkistaa, onko tiedot lähetetty vastauksena lisätietopyyntöön vai ilmestyivätkö ne vain itsestään. Paketit, jotka eivät vastaa määritettyä yhteystilaa, hylätään.

Toinen tapa varmistaa tietoturva on verkko-osoitteen muunnos (NAT) -reititin. Se piilottaa tietokoneen tai tietokoneiden verkon ulkomaailmalta ja esittelee sellaisen yleisölle Internet-yhteyttä varten. Palomuurin IP-osoite on ainoa kelvollinen osoite tässä skenaariossa, ja se on ainoa IP-osoite, joka esitetään kaikille verkon tietokoneille. Jokaiselle verkon sisäisen puolen tietokoneelle on määritetty oma IP-osoite, joka on voimassa vain verkon sisällä. Tämä suojausvaihtoehto on erittäin tehokas, koska sen avulla voit käyttää vain yhtä julkista IP-osoitetta tietopakettien lähettämiseen ja vastaanottamiseen. Mikä puolestaan ​​​​minimoi merkittävästi haittaohjelmien leviämisen mahdollisuuden. Tämä laitteistopalomuuri on yleensä toteutettu erillisellä verkossa olevalla tietokoneella, jonka ainoa tehtävä on toimia . Se on melko monimutkainen ja sitä pidetään yhtenä turvallisimmista laitteistopalomuurityypeistä.

Palomuurien perusongelmat.

On useita yleisiä ongelmia ongelmia, joita voi ilmetä palomuurin käytön seurauksena. Yleisin ongelma on, että haittaohjelmien lisäksi palomuuri estää usein normaalin tarvitsemamme liikenteen. Joillakin sivustoilla saattaa olla rajoitettu pääsy tai eivät avaudu, koska ne oli diagnosoitu väärin. Varsin usein ongelmia syntyy verkkopelejä, koska palomuuri tunnistaa usein tällaisen liikenteen haitalliseksi ja estää ohjelmia toimimasta. Tämän perusteella on syytä huomioida, että vaikka palomuuri onkin erittäin hyödyllinen asia, se on konfiguroitava oikein, jotta se ei pilaa elämää kielloillaan.

Luokat: , // alkaen

Turvallisen järjestelmän luominen on monimutkainen tehtävä. Yksi turvatoimista on palomuurien (tunnetaan myös nimellä palomuurit ja palomuurit) käyttö. Kuten me kaikki tiedämme, palomuurit tulevat ohjelmistoina ja laitteistoina. Sekä ensimmäisen että toisen mahdollisuudet eivät ole rajattomat. Tässä artikkelissa yritämme selvittää, mitä molemmat palomuurityypit voivat tehdä ja mitä eivät.

Ohjelmisto- ja laitteistopalomuurit

Ensimmäinen askel on puhua siitä, mikä on ohjelmistoratkaisu ja mikä laitteistoratkaisu. Olemme kaikki tottuneet siihen, että jos ostat jonkinlaisen laitteiston, tätä ratkaisua kutsutaan laitteistoksi, ja jos se on laatikko ohjelmistolla, niin tämä on merkki ohjelmistoratkaisusta. Mielestämme ero laitteisto- ja ohjelmistoratkaisun välillä on melko mielivaltainen. Mikä on rautalaatikko? Pohjimmiltaan tämä on sama tietokone, vaikkakin erilaisella arkkitehtuurilla, vaikkakin hieman rajoitetuilla ominaisuuksilla (et voi liittää siihen näppäimistöä ja näyttöä, se on "räätälöity" suorittamaan yksi toiminto), johon ohjelmisto on asennettu. Ohjelmisto on jokin versio UNIX-järjestelmästä, jossa on "web face". Laitteistopalomuurin toiminnot riippuvat käytetystä pakettisuodattimesta (jälleen tämä on ohjelmisto) ja itse "web facesta". Kaikki laitteiston palomuurit voidaan "päivittää", eli käytännössä yksinkertaisesti korvata ohjelmistolla. Ja todellisen laiteohjelmiston (joka vanhoina hyvinä aikoina tehtiin ohjelmoijalla) kanssa nykyaikaisten laitteiden "laiteohjelmiston" päivitysprosessilla on vähän yhteistä. Uusi ohjelmisto kirjoitetaan yksinkertaisesti laitteiston sisällä olevalle flash-asemalle. Ohjelmistopalomuuri on ohjelmisto, joka asennetaan olemassa olevaan tavalliseen tietokoneeseen, mutta laitteistopalomuurissa sitä ei voi tehdä ilman ohjelmistoa, eikä ohjelmistopalomuurin tapauksessa ilman laitteistoa. Tästä syystä näiden palomuurityyppien välinen raja on hyvin mielivaltainen.
Suurin ero ohjelmiston ja laitteiston palomuurin välillä ei ole edes toimivuus. Kukaan ei vaivaudu valitsemaan laitteistopalomuuria, jossa on tarvittavat toiminnot. Ero on käyttötavassa. Ohjelmistopalomuuri asennetaan pääsääntöisesti jokaiseen verkon tietokoneeseen (jokaiseen palvelimeen ja jokaiseen työasemaan), ja laitteistopalomuuri ei suojaa yksittäistä tietokonetta, vaan koko verkkoa kerralla. Kukaan ei tietenkään estä sinua asentamasta laitteistopalomuuria jokaiselle tietokoneelle, mutta kaikki riippuu rahasta. Kun otetaan huomioon laitteiston kustannukset, on epätodennäköistä, että haluat suojata jokaista PC-laitteistoa palomuurilla.

Laitteistopalomuurien edut

Laitteistopalomureilla on seuraavat edut:

• Suhteellinen helppokäyttöisyys ja käyttöönotto. Yhdistin sen, laitoin sen päälle, asetin parametrit verkkoliittymän kautta ja unohdin sen olemassaolon. Kuitenkin moderni ohjelmisto palomuurit tukea, mikä ei myöskään vie paljon aikaa. Mutta ensinnäkin kaikki palomuurit eivät tue ActiveDirectoryta, ja toiseksi yritykset eivät aina käytä Windowsia.
• Mitat ja virrankulutus. Tyypillisesti laitteistopalomuurit ovat kooltaan pienempiä ja vaativat vähemmän virtaa. Energiankulutuksella ei kuitenkaan aina ole merkitystä, mutta mitat ovat tärkeitä. Pieni kompakti laatikko on yksi asia, valtava "järjestelmäyksikkö" on toinen.
• Esitys. Tyypillisesti laitteistoratkaisun suorituskyky on korkeampi. Jos vain siksi, että laitteistopalomuuri on mukana vain välittömässä toiminnassaan - pakettisuodatuksessa. Se ei suorita mitään kolmannen osapuolen prosesseja tai palveluita, kuten ohjelmistopalomuurit usein tekevät. Kuvittele, että olet järjestänyt ohjelmistoyhdyskäytävän (palomuuri- ja NAT-toiminnoilla), joka perustuu palvelimeen, jossa on Windows Server. On epätodennäköistä, että omistat koko palvelimen vain palomuurille ja NAT:lle. Tämä on järjetöntä. Todennäköisesti muut palvelut ovat käynnissä siinä - sama AD, DNS jne. Olen jo vaiti DBMS:stä ja postipalveluista.
• Luotettavuus. Laitteistoratkaisujen uskotaan olevan luotettavampia (juuri siksi, että ne harvoin käyttävät kolmannen osapuolen palveluita). Mutta kukaan ei estä sinua valitsemasta erillistä järjestelmäyksikköä (vaikka ei nykyaikaisinta), asentamasta siihen samaa FreeBSD:tä (yksi maailman luotettavimmista käyttöjärjestelmistä) ja asettamasta palomuurisääntöjä. Uskon, että tällaisen ratkaisun luotettavuus ei ole alhaisempi kuin laitteistopalomuurin tapauksessa. Mutta tällainen tehtävä vaatii edistyneen järjestelmänvalvojan pätevyyden, minkä vuoksi aiemmin todettiin, että laitteistoratkaisut ovat helpompia käyttää.

Ohjelmiston palomuurien edut

Hyötyihin ohjelmistoratkaisuja liittyä:

• Hinta. Ohjelmistopalomuurin hinta on yleensä halvempi kuin laitteiston. Keskivertolaitteistoratkaisun hinnalla voit suojata koko verkkosi ohjelmistopalomuurilla.
• Mahdollisuus suojata verkkoasi sisältäpäin. Uhat eivät aina tule ulkopuolelta. Paikallisessa verkossa on monia uhkia. Hyökkäykset voivat tulla sisäisistä tietokoneista. Jokainen LAN-käyttäjä, esimerkiksi yritykseen tyytymätön, voi aloittaa hyökkäyksen. Kuten jo todettiin, voit tietysti käyttää erillistä laitteistoreititintä jokaisen yksittäisen solmun suojaamiseen, mutta käytännössä emme ole törmänneet tällaisiin ratkaisuihin. Ne ovat liian irrationaalisia.
• Mahdollisuus rajata paikallisverkkosegmenttejä ilman aliverkkojen allokointia. Useimmiten paikallisverkkoon on kytketty eri osastojen tietokoneita, esimerkiksi kirjanpito, talousosasto, IT-osasto jne. Näiden tietokoneiden ei aina tarvitse olla yhteydessä toisiinsa. Kuinka erottaa ISPDn? Ensimmäinen ratkaisu on luoda useita aliverkkoja (esimerkiksi 192.168.1.0, 192.168.2.0 jne.) ja määrittää näiden aliverkkojen välinen reititys asianmukaisesti. Tämä ei tarkoita, että ratkaisu olisi kovin monimutkainen, mutta se on silti monimutkaisempi kuin ohjelmistopalomuurin käyttäminen. Eikä aina ole mahdollista erottaa aliverkkoja syystä tai toisesta. Toinen ratkaisu on käyttää palomuuria, joka on suunniteltu erityisesti suojaamaan ISPD:tä (kaikki ohjelmistopalomuurit eivät tee sitä helpoksi). Tässä tapauksessa jopa suurimmassa verkossa suoritat ISPD-erottelun muutamassa minuutissa, eikä sinun tarvitse vaivautua reititysasetuksiin.
• Mahdollisuus ottaa käyttöön olemassa olevilla palvelimilla. Ei ole mitään järkeä ostaa toista laitteistoa, jos tietokonetta on riittävästi. Riittää, kun otat palomuuri käyttöön yhdelle palvelimista ja määrität NAT:n ja reitityksen. Tyypillisesti nämä molemmat toiminnot suoritetaan käyttämällä GUI palomuuri ja ne toteutetaan muutamalla hiiren napsautuksella oikeissa paikoissa.
• Kehittyneet toiminnot. Ohjelmistopalomuurien toiminnallisuus on pääsääntöisesti laajempi kuin vastaavien laitteistojen. Joten jotkut palomuurit tarjoavat kuormituksen tasapainotustoimintoja, IDS/IPS:ää ja vastaavia hyödyllisiä asioita, jotka voivat parantaa tietojenkäsittelyjärjestelmän yleistä turvallisuutta. Kyllä, kaikissa ohjelmistopalomuureissa ei ole näitä ominaisuuksia, mutta mikään ei estä sinua valitsemasta tarpeisiisi sopivaa palomuuria. Tietysti joissakin laitteistojärjestelmissä on myös tällaisia ​​toimintoja. Esimerkiksi StoneGate IPS tarjoaa tunkeutumisenestojärjestelmän toiminnallisuuden, mutta tällaisten ratkaisujen kustannukset eivät aina miellytä yritysjohtoa. On myös laitteiston kuormituksen tasaajia, mutta ne ovat jopa kalliimpia kuin laitteisto-IPS.

Emme kirjoita haitoista - ne johtuvat eduista. Yhden palomuurityypin edut ovat yleensä toisen tyypin haitat. Esimerkiksi laitteistoratkaisujen haittoja ovat kustannukset ja mahdottomuus suojata paikallisverkkoa sisältäpäin, ja ohjelmistoratkaisujen haittoja ovat käyttöönoton ja käytön monimutkaisuus (vaikka kaikki on suhteellista, kuten todettiin).
Laitteistopalomuurissa on kuitenkin yksi haittapuoli, joka kannattaa mainita. Pääsääntöisesti kaikissa laitteiston palomuureissa on nollauspainike, jota painamalla voit palauttaa oletusasetukset. Tämän painikkeen painaminen ei vaadi erityistä pätevyyttä. Mutta ohjelmistopalomuurin asetusten muuttamiseksi sinun on hankittava vähintään järjestelmänvalvojan oikeudet. Yhdellä napin painalluksella tyytymätön työntekijä voi vaarantaa koko yrityksen turvallisuuden (tai jättää yrityksen ilman Internet-yhteyttä, mikä on vielä parempi). Siksi laitteistoratkaisuja käytettäessä sinun on omaksuttava vastuullisempi lähestymistapa itse laitteiden fyysiseen turvallisuuteen.

Palomuurien taistelu

Seuraavaksi yritämme ymmärtää, mikä palomuuri tarjoaa paremman suojan: ohjelmisto vai laitteisto. Laitteisto on TP-Linkin reitittimeen sisäänrakennettu palomuuri. Ohjelmistona - Cybersafe Firewall.
Palomuurien testaamiseen käytämme www.testmypcsecurity.com-sivuston apuohjelmia, nimittäin Jumperia, DNStesteriä ja CPIL Suitea (Comodon kehittämä). Varoituksen sana: toisin kuin sertifioidut työkalut, kuten XSpider, nämä apuohjelmat käyttävät samoja tekniikoita kuin haittaohjelmat, joita ne simuloivat. Siksi testauksen aikana (jos haluat toistaa tulokset) kaikki virustorjuntatyökalut on poistettava käytöstä.
Tietysti voisi harkita XSpideria, mutta tämä testi olisi liian tylsä ​​ja epäkiinnostava loppulukijalle. Ja kuka voi kuvitella hyökkääjän käyttävän sertifioitua skanneria?
Lyhyesti apuohjelmista:

• Jumper - voit ohittaa palomuurin käyttämällä "DLL-injektio"- ja "kierteen lisäys" -menetelmiä.
• DNS Tester - Käyttää rekursiivista DNS-kyselyä palomuurin ohittamiseen.
• CPIL Suite - Comodon testisarja (3 testiä).

Kaikki nämä apuohjelmat käynnistetään sisältä, eli suoraan testattavista tietokoneista. Mutta ulkopuolella skannaamme vanhalla hyvällä nmapilla.
Meillä on siis kaksi tietokonetta. Molemmat ovat yhteydessä Internetiin. Yksi on yhdistetty laitteistopalomuurin kautta (joka toimii TP-Link-reitittimellä), eikä siihen ole asennettu ohjelmistopalomuuria tai virustorjuntaa. Toinen tietokone on yhteydessä Internetiin suoraan ja on suojattu CyberSafe-ohjelmistopalomuurilla. Ensimmäiseen tietokoneeseen on asennettu Windows 7 ja toisessa Windows Server 2008 R2.

Testi 1: Puskuri

Jumper, joka käynnistettiin järjestelmänvalvojan oikeuksilla (rehellisesti sanottuna monet käyttäjät työskentelevät tällaisilla oikeuksilla), suoritti tehtävänsä onnistuneesti Windows 7:ssä (kuva 1). Mikään ei voinut estää häntä – järjestelmäämme ei loppujen lopuksi asennettu yhtään suojaustyökalua, ei virustorjuntaa, ei palomuuria, ei IDS/IPS:ää, eikä laitteistopalomuuri välitä siitä, mitä asiakastietokoneissa tapahtuu. Hän ei voi vaikuttaa tapahtumiin millään tavalla.

Riisi. 1. Jumper Windows 7:ssä

Ollakseni rehellinen, on huomattava, että jos käyttäjä ei olisi työskennellyt järjestelmänvalvojana, mikään ei olisi toiminut Jumperille.
Windows Server 2008:ssa Jumper ei edes käynnistynyt, mutta tämä ei ole palomuurin, vaan itse käyttöjärjestelmän ansio. Siksi palomuurien välillä on pariteetti, koska käyttöjärjestelmä itse voi tarjota suojan tätä haavoittuvuutta vastaan.

Testi 2. DNS-testeri

Tämän testin tarkoitus on lähettää rekursiivinen DNS-kysely. Oletuksena Windows 2000:sta alkaen palvelu Windowsin DNS Asiakas hyväksyy ja hallitsee kaikki DNS-kyselyt. Tällä tavalla kaikki DNS-pyynnöt kaikista järjestelmän sovelluksista lähetetään DNS-asiakkaalle (SVCHOST.EXE). DNS-asiakas tekee suoraan DNS-pyynnön. DNStester ohittaa palomuurin rekursiivisen DNS-kyselyn avulla, toisin sanoen palvelu kutsuu itsensä.

Riisi. 2. Testi epäonnistui

Jos palomuuriasetukset jätetään oletusarvoiksi, ohjelmisto tai laitteistopalomuuri eivät selviä tästä testistä. On selvää, että laitteistopalomuuri ei välitä siitä, mitä työasemalla tapahtuu, joten sen ei voida odottaa suojaavan järjestelmää tältä haavoittuvuudella. Joka tapauksessa oletusasetuksilla (ja ne eivät käytännössä muuttuneet).
Mutta tämä ei tarkoita, että Cybersafe Firewall olisi huono palomuuri. Kun turvataso nostettiin kolmanteen, testi läpäistiin täysin (ks. kuva 3). Ohjelma ilmoitti virheestä DNS-pyynnössä. Varmistaakseen, että tämä ei ollut Windows Server 2008:n vika, testi toistettiin Windows 7 -koneella.

Riisi. 3. Testi läpäissyt (DNStest)

Oikeudenmukaisuuden vuoksi on syytä huomata, että jos tietokoneeseen on asennettu virustorjunta, tämä sovellus joutuu todennäköisesti karanteeniin, mutta se onnistuu silti lähettämään yhden pyynnön (kuva 4).

Riisi. 4. Comodo Antivirus esti ei-toivotun sovelluksen

Testi 3. Comodon testipaketti (CPIL)

Joten laitteiston palomuuri oletusasetuksineen epäonnistui kaikissa kolmessa CPIL-testissä (jos napsautat Kerro minulle lisää testistä, näkyviin tulee ikkuna, joka selittää testin periaatteen). Mutta hän epäonnistui heissä jollain oudolla tavalla. Testin läpäiseminen sisältää seuraavan toimintosarjan:

1. Sinun on syötettävä lähetetyt tiedot. Syötimme arvot 1, 2, 3 testeille 1, 2 ja 3.
2. Paina sitten yhtä testikutsupainikkeista (kuva 5).

Riisi. 5.CPIL Test Suite

Tämän jälkeen selaimen pitäisi avautua testituloksilla. Sen lisäksi, että testi epäonnistui, tulossivulla olisi pitänyt näyttää syöttämämme arvo, joka välitettiin komentosarjalle GET-parametrina (katso kuva 6). Voidaan nähdä, että arvo (2 osoitepalkissa) välitettiin, mutta komentosarja ei näyttänyt sitä. Comodon kirjoitusvirhe? Tietysti kaikki tekevät virheitä, mutta luottamuksemme tähän testiin on heikentynyt.

Riisi. 6. Testitulos (laitteiston palomuuri)

Mutta käytettäessä ohjelmistopalomuuria, CPIL-testit eivät edes toimineet. Kun painikkeita 1 - 3 painettiin, mitään ei tapahtunut (kuva 7). Onko se todellakin Windows Server 2008:n vika eikä palomuurissa? Päätimme tarkistaa sen. Siksi Cybersafe Firewall asennettiin Windows 7 -tietokoneeseen, joka on suojattu laitteistopalomuurilla. Mutta Windows 7:ssä apuohjelma onnistui murtautumaan palomuurin suojan läpi. Ensimmäinen ja kolmas testi läpäistiin, mutta kun painoimme Test 2 -painiketta, jouduimme miettimään ikkunaa Chrome-selain, samanlainen kuin kuvassa näkyy. 6.

Riisi. 7. Kun napsautat painiketta, mitään ei tapahdu (näet, että virustorjunta on poistettu käytöstä)

Riisi. 8. Testit 1 ja 3 läpäisty

Testi 4. Skannaus ulkopuolelta

Ennen tätä yritimme murtautua palomuurin läpi sisältä käsin. Yritetään nyt skannata palomuurilla suojattuja järjestelmiä. Me skannaamme nmap skanneri. Kukaan ei epäillyt laitteistopalomuurin tuloksia - kaikki oli suljettuna ja oli mahdotonta edes määrittää testattavan järjestelmän tyyppiä (kuvat 9 ja 10). Kaikissa myöhemmissä kuvissa IP-osoitteet on piilotettu, koska ne ovat pysyviä - jotta kukaan ei halua toistaa testiä osoitteillamme.

Riisi. 9. Tarkista laitteiston palomuuri

Riisi. 10. Laitteiston palomuurin tarkistus (isäntätiedot)

Yritetään nyt skannata ohjelmistopalomuurilla suojattu järjestelmä. On selvää, että oletusarvoisesti ohjelmistopalomuuri sallii kaiken ja kaiken läpi (kuva 11).

Riisi. yksitoista. Avaa portit(ohjelmiston palomuuri, oletusasetukset)

Riisi. 12. Järjestelmän tyyppi määritetty (ohjelmiston palomuuri, oletusasetukset)

Kun säännöt on asetettu, kaikki loksahtaa paikoilleen (kuva 13). Kuten näette, ohjelmistopalomuuri takaa suojatun järjestelmän turvallisuuden ei huonommin kuin sen "laitteisto"-vastine.

Riisi. 13. Ei avoimia portteja

Lähiverkkohyökkäykset

Miksi on niin tärkeää tarjota suojaus paikallisverkossa? Monet ylläpitäjät eivät virheellisesti kiinnitä huomiota suojaamiseen sisältä, mutta turhaan. Loppujen lopuksi monet hyökkäykset voidaan toteuttaa paikallisessa verkossa. Katsotaanpa joitain niistä.

ARP-hyökkäys

Ennen verkkoyhteyden muodostamista tietokone lähettää ARP-pyynnön selvittääkseen, onko tietokoneen IP-osoite varattu. Kun paikallisverkossa on useita Windows-koneita samalla IP-osoitteella, käyttäjä näkee ikkunan, jossa ilmoitetaan, että IP-osoite on varattu (toisen tietokoneen käyttämä). Windows tietää, että IP-osoite on varattu ARP-protokollan kautta.
ARP-hyökkäys tarkoittaa, että hyökkääjä tulvii alle käynnissä olevia koneita Windowsin ohjaus. Lisäksi jokaiselle tietokoneelle lähetetään satoja pyyntöjä, minkä seurauksena käyttäjä ei voi sulkea jatkuvasti ponnahdusikkunoita ja joutuu ainakin käynnistämään tietokoneen uudelleen.
Tilanne ei ole kovin miellyttävä. Mutta palomuurin läsnäolo työasemassa tekee tyhjäksi kaikki hyökkääjän ponnistelut.

DoS-hyökkäykset, mukaan lukien erilaiset tulvahyökkäykset

DoS-hyökkäykset (kieltohyökkäykset) ovat mahdollisia paitsi Internetissä myös paikallisissa verkoissa. Vain tällaisten hyökkäysten menetelmät eroavat. DoS-hyökkäykset voivat olla luonteeltaan mitä tahansa, mutta niitä on mahdotonta torjua ilman palomuuria, joka on asennettu jokaiseen paikallisverkon koneeseen.
Eräs DoS-hyökkäystyyppi, jota voidaan menestyksekkäästi käyttää paikallisessa verkossa, on ICMP-tulva. Palomuuri CyberSafe Firewall sisältää erityisiä työkaluja tämäntyyppisten hyökkäysten torjuntaan (kuva 14). Se sisältää myös palvelinkuormituksen tasapainotustyökaluja, jotka voivat myös auttaa torjumaan DoS-hyökkäyksiä.

Riisi. 14. ICMP-suojaus (CyberSafe Firewall)

MAC-osoitteen muuttaminen

Paikallisessa verkossa tietokoneet tunnistetaan IP-osoitteen lisäksi myös MAC-osoitteen perusteella. Jotkut järjestelmänvalvojat sallivat pääsyn tiettyihin resursseihin MAC-osoitteen perusteella, koska IP-osoitteet ovat yleensä dynaamisia ja DHCP:n myöntämiä. Tämä ratkaisu ei ole kovin perusteltu, koska MAC-osoite on erittäin helppo muuttaa. Valitettavasti ei aina ole mahdollista suojautua MAC-osoitteen muutoksilta palomuurilla. Kaikki palomuurit eivät seuraa MAC-osoitteiden muutoksia, koska ne on yleensä sidottu IP-osoitteisiin. Tehokkain ratkaisu tässä on kytkimen käyttö, jonka avulla voit sitoa MAC-osoitteen kytkimen tiettyyn fyysiseen porttiin. Tällaista suojaa on lähes mahdotonta pettää, mutta se maksaa myös paljon. Totta, on myös ohjelmistomenetelmiä torjua MAC-osoitteen muutoksia, mutta ne ovat vähemmän tehokkaita. Jos olet kiinnostunut palomuurista, joka tunnistaa MAC-osoitehuijauksen, kiinnitä huomiota Kaspersky Internet Security 8.0:aan. Totta, jälkimmäinen voi tunnistaa vain yhdyskäytävän MAC-osoitteen korvaamisen. Mutta se tunnistaa täysin tietokoneen IP-osoitteen korvaamisen ja IP-tulvan.

IP-osoitteen huijaus

Verkoissa, joissa resurssien pääsyä rajoittavat IP-osoitteet, hyökkääjä voi muuttaa IP-osoitteen ja päästä suojattuun resurssiin. Cybersafe Firewall -palomuuria käytettäessä tällainen skenaario on mahdoton, koska IP-osoitteisiin ei ole sitoutumista edes itse palomuurille. Vaikka muutat tietokoneen IP-osoitetta, se ei silti sisälly ISDN-verkkoon, johon hyökkääjä yrittää tunkeutua.

Reitityshyökkäykset

Tämäntyyppinen hyökkäys perustuu "väärennösten" ICMP-pakettien lähettämiseen uhrille. Tämän hyökkäyksen ydin on yhdyskäytävän osoitteen huijaaminen - uhrille lähetetään ICMP-paketti, joka kertoo hänelle lyhyemmän reitin. Mutta itse asiassa paketit eivät kulje uuden reitittimen, vaan hyökkääjän tietokoneen läpi. Kuten aiemmin todettiin, Cybersafe Firewall tarjoaa ICMP-suojauksen. Vastaavasti voidaan käyttää muita palomuureja.

Paikallisiin verkkoihin kohdistuu monia muita hyökkäyksiä - sekä haistajia että erilaisia ​​DNS-hyökkäyksiä. Oli miten oli, jokaiseen työasemaan asennettujen ohjelmistopalomuurien käyttö voi parantaa tietoturvaa merkittävästi.

johtopäätöksiä

Suojaus tietojärjestelmä tulee olla kattava – tämä sisältää ohjelmisto- ja laitteistopalomuurit, virustorjuntaohjelmat ja oikea asetus itse järjestelmä. Mitä tulee ohjelmisto- ja laitteistopalomuuriemme yhteenottoon, ensimmäisiä käytetään tehokkaasti jokaisen verkkosolmun suojaamiseen ja jälkimmäisiä koko verkon suojaamiseen. Laitteistopalomuuri ei voi tarjota suojaa jokaiselle yksittäiselle työasemalle, se on voimaton verkon sisäisiä hyökkäyksiä vastaan, eikä myöskään pysty erottamaan ISDN:ää, mikä on tehtävä henkilötietojen suojaamisen yhteydessä.

Tunnisteet:

• palomuuri
• palomuuri

Lisää tageja

Turvallisen järjestelmän luominen on monimutkainen tehtävä. Yksi turvatoimista on palomuurien (tunnetaan myös nimellä palomuurit ja palomuurit) käyttö. Kuten me kaikki tiedämme, palomuurit tulevat ohjelmistoina ja laitteistoina. Sekä ensimmäisen että toisen mahdollisuudet eivät ole rajattomat. Tässä artikkelissa yritämme selvittää, mitä molemmat palomuurityypit voivat tehdä ja mitä eivät.

Ohjelmisto- ja laitteistopalomuurit

Ensimmäinen askel on puhua siitä, mikä on ohjelmistoratkaisu ja mikä laitteistoratkaisu. Olemme kaikki tottuneet siihen, että jos ostat jonkinlaisen laitteiston, tätä ratkaisua kutsutaan laitteistoksi, ja jos se on laatikko ohjelmistolla, niin tämä on merkki ohjelmistoratkaisusta. Mielestämme ero laitteisto- ja ohjelmistoratkaisun välillä on melko mielivaltainen. Mikä on rautalaatikko? Pohjimmiltaan tämä on sama tietokone, vaikkakin erilaisella arkkitehtuurilla, vaikkakin hieman rajoitetuilla ominaisuuksilla (et voi liittää siihen näppäimistöä ja näyttöä, se on "räätälöity" suorittamaan yksi toiminto), johon ohjelmisto on asennettu. Ohjelmisto on jokin versio UNIX-järjestelmästä, jossa on "web face". Laitteistopalomuurin toiminnot riippuvat käytetystä pakettisuodattimesta (jälleen tämä on ohjelmisto) ja itse "web facesta". Kaikki laitteiston palomuurit voidaan "päivittää", eli käytännössä yksinkertaisesti korvata ohjelmistolla. Ja todellisen laiteohjelmiston (joka vanhoina hyvinä aikoina tehtiin ohjelmoijalla) kanssa nykyaikaisten laitteiden "laiteohjelmiston" päivitysprosessilla on vähän yhteistä. Uusi ohjelmisto kirjoitetaan yksinkertaisesti laitteiston sisällä olevalle flash-asemalle. Ohjelmistopalomuuri on ohjelmisto, joka asennetaan olemassa olevaan tavalliseen tietokoneeseen, mutta laitteistopalomuurissa sitä ei voi tehdä ilman ohjelmistoa, eikä ohjelmistopalomuurin tapauksessa ilman laitteistoa. Tästä syystä näiden palomuurityyppien välinen raja on hyvin mielivaltainen.
Suurin ero ohjelmiston ja laitteiston palomuurin välillä ei ole edes toimivuus. Kukaan ei vaivaudu valitsemaan laitteistopalomuuria, jossa on tarvittavat toiminnot. Ero on käyttötavassa. Ohjelmistopalomuuri asennetaan pääsääntöisesti jokaiseen verkon tietokoneeseen (jokaiseen palvelimeen ja jokaiseen työasemaan), ja laitteistopalomuuri ei suojaa yksittäistä tietokonetta, vaan koko verkkoa kerralla. Kukaan ei tietenkään estä sinua asentamasta laitteistopalomuuria jokaiselle tietokoneelle, mutta kaikki riippuu rahasta. Kun otetaan huomioon laitteiston kustannukset, on epätodennäköistä, että haluat suojata jokaista PC-laitteistoa palomuurilla.

Laitteistopalomuurien edut

Laitteistopalomureilla on seuraavat edut:

• Suhteellinen helppokäyttöisyys ja käyttöönotto. Yhdistin sen, laitoin sen päälle, asetin parametrit verkkoliittymän kautta ja unohdin sen olemassaolon. Nykyaikaiset ohjelmistopalomuurit tukevat kuitenkin käyttöönottoa ActiveDirectoryn kautta, mikä ei myöskään vie paljon aikaa. Mutta ensinnäkin kaikki palomuurit eivät tue ActiveDirectoryta, ja toiseksi yritykset eivät aina käytä Windowsia.
• Mitat ja virrankulutus. Tyypillisesti laitteistopalomuurit ovat kooltaan pienempiä ja vaativat vähemmän virtaa. Energiankulutuksella ei kuitenkaan aina ole merkitystä, mutta mitat ovat tärkeitä. Pieni kompakti laatikko on yksi asia, valtava "järjestelmäyksikkö" on toinen.
• Esitys. Tyypillisesti laitteistoratkaisun suorituskyky on korkeampi. Jos vain siksi, että laitteistopalomuuri on mukana vain välittömässä toiminnassaan - pakettisuodatuksessa. Se ei suorita mitään kolmannen osapuolen prosesseja tai palveluita, kuten ohjelmistopalomuurit usein tekevät. Kuvittele, että olet järjestänyt ohjelmistoyhdyskäytävän (palomuuri- ja NAT-toiminnoilla), joka perustuu Windows Server -palvelimeen. On epätodennäköistä, että omistat koko palvelimen vain palomuurille ja NAT:lle. Tämä on järjetöntä. Todennäköisesti muut palvelut ovat käynnissä siinä - sama AD, DNS jne. Olen jo vaiti DBMS:stä ja postipalveluista.
• Luotettavuus. Laitteistoratkaisujen uskotaan olevan luotettavampia (juuri siksi, että ne harvoin käyttävät kolmannen osapuolen palveluita). Mutta kukaan ei estä sinua valitsemasta erillistä järjestelmäyksikköä (vaikka ei nykyaikaisinta), asentamasta siihen samaa FreeBSD:tä (yksi maailman luotettavimmista käyttöjärjestelmistä) ja asettamasta palomuurisääntöjä. Uskon, että tällaisen ratkaisun luotettavuus ei ole alhaisempi kuin laitteistopalomuurin tapauksessa. Mutta tällainen tehtävä vaatii edistyneen järjestelmänvalvojan pätevyyden, minkä vuoksi aiemmin todettiin, että laitteistoratkaisut ovat helpompia käyttää.

Ohjelmiston palomuurien edut

Ohjelmistoratkaisujen etuja ovat mm.

• Hinta. Ohjelmistopalomuurin hinta on yleensä halvempi kuin laitteiston. Keskivertolaitteistoratkaisun hinnalla voit suojata koko verkkosi ohjelmistopalomuurilla.
• Mahdollisuus suojata verkkoasi sisältäpäin. Uhat eivät aina tule ulkopuolelta. Paikallisessa verkossa on monia uhkia. Hyökkäykset voivat tulla sisäisistä tietokoneista. Jokainen LAN-käyttäjä, esimerkiksi yritykseen tyytymätön, voi aloittaa hyökkäyksen. Kuten jo todettiin, voit tietysti käyttää erillistä laitteistoreititintä jokaisen yksittäisen solmun suojaamiseen, mutta käytännössä emme ole törmänneet tällaisiin ratkaisuihin. Ne ovat liian irrationaalisia.
• Mahdollisuus rajata paikallisverkkosegmenttejä ilman aliverkkojen allokointia. Useimmiten paikallisverkkoon on kytketty eri osastojen tietokoneita, esimerkiksi kirjanpito, talousosasto, IT-osasto jne. Näiden tietokoneiden ei aina tarvitse olla yhteydessä toisiinsa. Kuinka erottaa ISPDn? Ensimmäinen ratkaisu on luoda useita aliverkkoja (esimerkiksi 192.168.1.0, 192.168.2.0 jne.) ja määrittää näiden aliverkkojen välinen reititys asianmukaisesti. Tämä ei tarkoita, että ratkaisu olisi kovin monimutkainen, mutta se on silti monimutkaisempi kuin ohjelmistopalomuurin käyttäminen. Eikä aina ole mahdollista erottaa aliverkkoja syystä tai toisesta. Toinen ratkaisu on käyttää palomuuria, joka on suunniteltu erityisesti suojaamaan ISPD:tä (kaikki ohjelmistopalomuurit eivät tee ISPD:n erottamista helposti toisistaan). Tässä tapauksessa jopa suurimmassa verkossa suoritat ISPD-erottelun muutamassa minuutissa, eikä sinun tarvitse vaivautua reititysasetuksiin.
• Mahdollisuus ottaa käyttöön olemassa olevilla palvelimilla. Ei ole mitään järkeä ostaa toista laitteistoa, jos tietokonetta on riittävästi. Riittää, kun otat palomuuri käyttöön yhdelle palvelimista ja määrität NAT:n ja reitityksen. Tyypillisesti nämä molemmat toiminnot suoritetaan palomuurin graafisen käyttöliittymän kautta ja ne toteutetaan muutamalla napsautuksella oikeissa paikoissa.
• Kehittyneet toiminnot. Ohjelmistopalomuurien toiminnallisuus on pääsääntöisesti laajempi kuin vastaavien laitteistojen. Joten jotkut palomuurit tarjoavat kuormituksen tasapainotustoimintoja, IDS/IPS:ää ja vastaavia hyödyllisiä asioita, jotka voivat parantaa tietojenkäsittelyjärjestelmän yleistä turvallisuutta. Kyllä, kaikissa ohjelmistopalomuureissa ei ole näitä ominaisuuksia, mutta mikään ei estä sinua valitsemasta tarpeisiisi sopivaa palomuuria. Tietysti joissakin laitteistojärjestelmissä on myös tällaisia ​​toimintoja. Esimerkiksi StoneGate IPS tarjoaa tunkeutumisenestojärjestelmän toiminnallisuuden, mutta tällaisten ratkaisujen kustannukset eivät aina miellytä yritysjohtoa. On myös laitteiston kuormituksen tasaajia, mutta ne ovat jopa kalliimpia kuin laitteisto-IPS.

Emme kirjoita haitoista - ne johtuvat eduista. Yhden palomuurityypin edut ovat yleensä toisen tyypin haitat. Esimerkiksi laitteistoratkaisujen haittoja ovat kustannukset ja mahdottomuus suojata paikallisverkkoa sisältäpäin, ja ohjelmistoratkaisujen haittoja ovat käyttöönoton ja käytön monimutkaisuus (vaikka kaikki on suhteellista, kuten todettiin).
Laitteistopalomuurissa on kuitenkin yksi haittapuoli, joka kannattaa mainita. Pääsääntöisesti kaikissa laitteiston palomuureissa on nollauspainike, jota painamalla voit palauttaa oletusasetukset. Tämän painikkeen painaminen ei vaadi erityistä pätevyyttä. Mutta ohjelmistopalomuurin asetusten muuttamiseksi sinun on hankittava vähintään järjestelmänvalvojan oikeudet. Yhdellä napin painalluksella tyytymätön työntekijä voi vaarantaa koko yrityksen turvallisuuden (tai jättää yrityksen ilman Internet-yhteyttä, mikä on vielä parempi). Siksi laitteistoratkaisuja käytettäessä sinun on omaksuttava vastuullisempi lähestymistapa itse laitteiden fyysiseen turvallisuuteen.

Palomuurien taistelu

Seuraavaksi yritämme ymmärtää, mikä palomuuri tarjoaa paremman suojan: ohjelmisto vai laitteisto. Laitteisto on TP-Linkin reitittimeen sisäänrakennettu palomuuri. Ohjelmistona - Cybersafe Firewall.
Palomuurien testaamiseen käytämme www.testmypcsecurity.com-sivuston apuohjelmia, nimittäin Jumperia, DNStesteriä ja CPIL Suitea (Comodon kehittämä). Varoituksen sana: toisin kuin sertifioidut työkalut, kuten XSpider, nämä apuohjelmat käyttävät samoja tekniikoita kuin haittaohjelmat, joita ne simuloivat. Siksi testauksen aikana (jos haluat toistaa tulokset) kaikki virustorjuntatyökalut on poistettava käytöstä.
Tietysti voisi harkita XSpideria, mutta tämä testi olisi liian tylsä ​​ja epäkiinnostava loppulukijalle. Ja kuka voi kuvitella hyökkääjän käyttävän sertifioitua skanneria?
Lyhyesti apuohjelmista:

• Jumper - voit ohittaa palomuurin käyttämällä "DLL-injektio"- ja "kierteen lisäys" -menetelmiä.
• DNS Tester - Käyttää rekursiivista DNS-kyselyä palomuurin ohittamiseen.
• CPIL Suite - Comodon testisarja (3 testiä).

Kaikki nämä apuohjelmat käynnistetään sisältä, eli suoraan testattavista tietokoneista. Mutta ulkopuolella skannaamme vanhalla hyvällä nmapilla.
Meillä on siis kaksi tietokonetta. Molemmat ovat yhteydessä Internetiin. Yksi on yhdistetty laitteistopalomuurin kautta (joka toimii TP-Link-reitittimellä), eikä siihen ole asennettu ohjelmistopalomuuria tai virustorjuntaa. Toinen tietokone on yhteydessä Internetiin suoraan ja on suojattu CyberSafe-ohjelmistopalomuurilla. Ensimmäiseen tietokoneeseen on asennettu Windows 7 ja toisessa Windows Server 2008 R2.

Testi 1: Puskuri

Jumper, joka käynnistettiin järjestelmänvalvojan oikeuksilla (rehellisesti sanottuna monet käyttäjät työskentelevät tällaisilla oikeuksilla), suoritti tehtävänsä onnistuneesti Windows 7:ssä (kuva 1). Mikään ei voinut estää häntä – järjestelmäämme ei loppujen lopuksi asennettu yhtään suojaustyökalua, ei virustorjuntaa, ei palomuuria, ei IDS/IPS:ää, eikä laitteistopalomuuri välitä siitä, mitä asiakastietokoneissa tapahtuu. Hän ei voi vaikuttaa tapahtumiin millään tavalla.

Riisi. 1. Jumper Windows 7:ssä

Ollakseni rehellinen, on huomattava, että jos käyttäjä ei olisi työskennellyt järjestelmänvalvojana, mikään ei olisi toiminut Jumperille.
Windows Server 2008:ssa Jumper ei edes käynnistynyt, mutta tämä ei ole palomuurin, vaan itse käyttöjärjestelmän ansio. Siksi palomuurien välillä on pariteetti, koska käyttöjärjestelmä itse voi tarjota suojan tätä haavoittuvuutta vastaan.

Testi 2. DNS-testeri

Tämän testin tarkoitus on lähettää rekursiivinen DNS-kysely. Oletuksena Windows 2000:sta alkaen Windows-palvelu DNS-asiakas hyväksyy ja hallitsee kaikki DNS-kyselyt. Tällä tavalla kaikki DNS-pyynnöt kaikista järjestelmän sovelluksista lähetetään DNS-asiakkaalle (SVCHOST.EXE). DNS-asiakas tekee suoraan DNS-pyynnön. DNStester ohittaa palomuurin rekursiivisen DNS-kyselyn avulla, toisin sanoen palvelu kutsuu itsensä.

Riisi. 2. Testi epäonnistui

Jos palomuuriasetukset jätetään oletusarvoiksi, ohjelmisto tai laitteistopalomuuri eivät selviä tästä testistä. On selvää, että laitteistopalomuuri ei välitä siitä, mitä työasemalla tapahtuu, joten sen ei voida odottaa suojaavan järjestelmää tältä haavoittuvuudella. Joka tapauksessa oletusasetuksilla (ja ne eivät käytännössä muuttuneet).
Mutta tämä ei tarkoita, että Cybersafe Firewall olisi huono palomuuri. Kun turvataso nostettiin kolmanteen, testi läpäistiin täysin (ks. kuva 3). Ohjelma ilmoitti virheestä DNS-pyynnössä. Varmistaakseen, että tämä ei ollut Windows Server 2008:n vika, testi toistettiin Windows 7 -koneella.

Riisi. 3. Testi läpäissyt (DNStest)

Oikeudenmukaisuuden vuoksi on syytä huomata, että jos tietokoneeseen on asennettu virustorjunta, tämä sovellus joutuu todennäköisesti karanteeniin, mutta se onnistuu silti lähettämään yhden pyynnön (kuva 4).

Riisi. 4. Comodo Antivirus esti ei-toivotun sovelluksen

Testi 3. Comodon testipaketti (CPIL)

Joten laitteiston palomuuri oletusasetuksineen epäonnistui kaikissa kolmessa CPIL-testissä (jos napsautat Kerro minulle lisää testistä, näkyviin tulee ikkuna, joka selittää testin periaatteen). Mutta hän epäonnistui heissä jollain oudolla tavalla. Testin läpäiseminen sisältää seuraavan toimintosarjan:

1. Sinun on syötettävä lähetetyt tiedot. Syötimme arvot 1, 2, 3 testeille 1, 2 ja 3.
2. Paina sitten yhtä testikutsupainikkeista (kuva 5).

Riisi. 5.CPIL Test Suite

Tämän jälkeen selaimen pitäisi avautua testituloksilla. Sen lisäksi, että testi epäonnistui, tulossivulla olisi pitänyt näyttää syöttämämme arvo, joka välitettiin komentosarjalle GET-parametrina (katso kuva 6). Voidaan nähdä, että arvo (2 osoitepalkissa) välitettiin, mutta komentosarja ei näyttänyt sitä. Comodon kirjoitusvirhe? Tietysti kaikki tekevät virheitä, mutta luottamuksemme tähän testiin on heikentynyt.

Riisi. 6. Testitulos (laitteiston palomuuri)

Mutta käytettäessä ohjelmistopalomuuria, CPIL-testit eivät edes toimineet. Kun painikkeita 1 - 3 painettiin, mitään ei tapahtunut (kuva 7). Onko se todellakin Windows Server 2008:n vika eikä palomuurissa? Päätimme tarkistaa sen. Siksi Cybersafe Firewall asennettiin Windows 7 -tietokoneeseen, joka on suojattu laitteistopalomuurilla. Mutta Windows 7:ssä apuohjelma onnistui murtautumaan palomuurin suojan läpi. Ensimmäinen ja kolmas testi läpäistiin, mutta kun napsautimme Test 2 -painiketta, jouduimme harkitsemaan kuvassa 2 esitetyn kaltaista Chrome-selainikkunaa. 6.

Riisi. 7. Kun napsautat painiketta, mitään ei tapahdu (näet, että virustorjunta on poistettu käytöstä)

Riisi. 8. Testit 1 ja 3 läpäisty

Testi 4. Skannaus ulkopuolelta

Ennen tätä yritimme murtautua palomuurin läpi sisältä käsin. Yritetään nyt skannata palomuurilla suojattuja järjestelmiä. Skannaamme nmap skannerilla. Kukaan ei epäillyt laitteistopalomuurin tuloksia - kaikki oli suljettuna ja oli mahdotonta edes määrittää testattavan järjestelmän tyyppiä (kuvat 9 ja 10). Kaikissa myöhemmissä kuvissa IP-osoitteet on piilotettu, koska ne ovat pysyviä - jotta kukaan ei halua toistaa testiä osoitteillamme.

Riisi. 9. Tarkista laitteiston palomuuri

Riisi. 10. Laitteiston palomuurin tarkistus (isäntätiedot)

Yritetään nyt skannata ohjelmistopalomuurilla suojattu järjestelmä. On selvää, että oletusarvoisesti ohjelmistopalomuuri sallii kaiken ja kaiken läpi (kuva 11).

Riisi. 11. Avaa portit (ohjelmiston palomuuri, oletusasetukset)

Riisi. 12. Järjestelmän tyyppi määritetty (ohjelmiston palomuuri, oletusasetukset)

Kun säännöt on asetettu, kaikki loksahtaa paikoilleen (kuva 13). Kuten näette, ohjelmistopalomuuri takaa suojatun järjestelmän turvallisuuden ei huonommin kuin sen "laitteisto"-vastine.

Riisi. 13. Ei avoimia portteja

Lähiverkkohyökkäykset

Miksi on niin tärkeää tarjota suojaus paikallisverkossa? Monet ylläpitäjät eivät virheellisesti kiinnitä huomiota suojaamiseen sisältä, mutta turhaan. Loppujen lopuksi monet hyökkäykset voidaan toteuttaa paikallisessa verkossa. Katsotaanpa joitain niistä.

ARP-hyökkäys

Ennen verkkoyhteyden muodostamista tietokone lähettää ARP-pyynnön selvittääkseen, onko tietokoneen IP-osoite varattu. Kun paikallisverkossa on useita Windows-koneita samalla IP-osoitteella, käyttäjä näkee ikkunan, jossa ilmoitetaan, että IP-osoite on varattu (toisen tietokoneen käyttämä). Windows tietää, että IP-osoite on varattu ARP-protokollan kautta.
ARP-hyökkäys tarkoittaa, että hyökkääjä tulvii Windowsia käyttäviä koneita. Lisäksi jokaiselle tietokoneelle lähetetään satoja pyyntöjä, minkä seurauksena käyttäjä ei voi sulkea jatkuvasti ponnahdusikkunoita ja joutuu ainakin käynnistämään tietokoneen uudelleen.
Tilanne ei ole kovin miellyttävä. Mutta palomuurin läsnäolo työasemassa tekee tyhjäksi kaikki hyökkääjän ponnistelut.

DoS-hyökkäykset, mukaan lukien erilaiset tulvahyökkäykset

DoS-hyökkäykset (kieltohyökkäykset) ovat mahdollisia paitsi Internetissä myös paikallisissa verkoissa. Vain tällaisten hyökkäysten menetelmät eroavat. DoS-hyökkäykset voivat olla luonteeltaan mitä tahansa, mutta niitä on mahdotonta torjua ilman palomuuria, joka on asennettu jokaiseen paikallisverkon koneeseen.
Eräs DoS-hyökkäystyyppi, jota voidaan menestyksekkäästi käyttää paikallisessa verkossa, on ICMP-tulva. Palomuuri CyberSafe Firewall sisältää erityisiä työkaluja tämäntyyppisten hyökkäysten torjuntaan (kuva 14). Se sisältää myös palvelinkuormituksen tasapainotustyökaluja, jotka voivat myös auttaa torjumaan DoS-hyökkäyksiä.

Riisi. 14. ICMP-suojaus (CyberSafe Firewall)

MAC-osoitteen muuttaminen

Paikallisessa verkossa tietokoneet tunnistetaan IP-osoitteen lisäksi myös MAC-osoitteen perusteella. Jotkut järjestelmänvalvojat sallivat pääsyn tiettyihin resursseihin MAC-osoitteen perusteella, koska IP-osoitteet ovat yleensä dynaamisia ja DHCP:n myöntämiä. Tämä ratkaisu ei ole kovin perusteltu, koska MAC-osoite on erittäin helppo muuttaa. Valitettavasti ei aina ole mahdollista suojautua MAC-osoitteen muutoksilta palomuurilla. Kaikki palomuurit eivät seuraa MAC-osoitteiden muutoksia, koska ne on yleensä sidottu IP-osoitteisiin. Tehokkain ratkaisu tässä on kytkimen käyttö, jonka avulla voit sitoa MAC-osoitteen kytkimen tiettyyn fyysiseen porttiin. Tällaista suojaa on lähes mahdotonta pettää, mutta se maksaa myös paljon. Totta, on olemassa myös ohjelmistokeinoja MAC-osoitteen muutosten torjumiseksi, mutta ne ovat vähemmän tehokkaita. Jos olet kiinnostunut palomuurista, joka tunnistaa MAC-osoitehuijauksen, kiinnitä huomiota Kaspersky Internet Security 8.0:aan. Totta, jälkimmäinen voi tunnistaa vain yhdyskäytävän MAC-osoitteen korvaamisen. Mutta se tunnistaa täysin tietokoneen IP-osoitteen korvaamisen ja IP-tulvan.

IP-osoitteen huijaus

Verkoissa, joissa resurssien pääsyä rajoittavat IP-osoitteet, hyökkääjä voi muuttaa IP-osoitteen ja päästä suojattuun resurssiin. Cybersafe Firewall -palomuuria käytettäessä tällainen skenaario on mahdoton, koska IP-osoitteisiin ei ole sitoutumista edes itse palomuurille. Vaikka muutat tietokoneen IP-osoitetta, se ei silti sisälly ISDN-verkkoon, johon hyökkääjä yrittää tunkeutua.

Reitityshyökkäykset

Tämäntyyppinen hyökkäys perustuu "väärennösten" ICMP-pakettien lähettämiseen uhrille. Tämän hyökkäyksen ydin on yhdyskäytävän osoitteen huijaaminen - uhrille lähetetään ICMP-paketti, joka kertoo hänelle lyhyemmän reitin. Mutta itse asiassa paketit eivät kulje uuden reitittimen, vaan hyökkääjän tietokoneen läpi. Kuten aiemmin todettiin, Cybersafe Firewall tarjoaa ICMP-suojauksen. Vastaavasti voidaan käyttää muita palomuureja.

Paikallisiin verkkoihin kohdistuu monia muita hyökkäyksiä - sekä haistajia että erilaisia ​​DNS-hyökkäyksiä. Oli miten oli, jokaiseen työasemaan asennettujen ohjelmistopalomuurien käyttö voi parantaa tietoturvaa merkittävästi.

johtopäätöksiä

Tietojärjestelmän suojauksen tulee olla kattavaa - tämä sisältää ohjelmisto- ja laitteistopalomuurit, virustorjunnan ja itse järjestelmän oikean konfiguroinnin. Mitä tulee ohjelmisto- ja laitteistopalomuuriemme yhteenottoon, ensimmäisiä käytetään tehokkaasti jokaisen verkkosolmun suojaamiseen ja jälkimmäisiä koko verkon suojaamiseen. Laitteistopalomuuri ei voi tarjota suojaa jokaiselle yksittäiselle työasemalle, se on voimaton verkon sisäisiä hyökkäyksiä vastaan, eikä myöskään pysty erottamaan ISDN:ää, mikä on tehtävä henkilötietojen suojaamisen yhteydessä.

Tunnisteet: Lisää tunnisteita

Globalisaatio ja Internetin käyttäjille tarjoamat viestintämahdollisuudet houkuttelevat paitsi yksityisiä myös yrityskäyttäjiä globaaleihin tietoverkkoihin. Hyvin usein niistä tulee hyökkääjien kohteita, jotka käyttävät luottamuksellisia tietoja henkilökohtaisen hyödyn saamiseksi. Joka vuosi organisaatiot, jotka päättävät lähettää arkaluonteisia tietoja maailmanlaajuisten verkkojen kautta, menettävät valtavia summia rahaa. Käteinen raha hyökkäysten suuren määrän vuoksi, valitettavasti onnistunut. Internetin kehittämisen tavoitteena oli luoda järjestelmä, joka on suunniteltu vapaaseen tiedonvaihtoon. Ja helpon rahan ystävät alkoivat heti hyödyntää tätä. Internetin kautta voit:

• murtaa salasanat ja tunkeutua organisaation sisäiseen verkkoon, josta ei ole vaikea löytää salaisia ​​tietoja;
• kopioida luottamuksellisia tietoja;
• selvittää palvelinosoitteet ja salasanat ja paljon muuta.

Tämän ongelman ratkaisemiseksi ehdotettiin laitteiston palomuurit. Palomuuri ja palomuuri ovat yleisemmin käytössä. Tämä on laitteisto- ja ohjelmistosarja, jonka avulla voit jakaa jokaisen verkon useisiin osiin, valvoa ja suojata rajan yli kulkevia verkkopaketteja verkon yhdestä osasta toiseen. Tyypillisesti tällainen raja luodaan yrityksen sisäisen verkon ja maailmanlaajuisen Internetin välille. Mutta joissakin tapauksissa se voidaan luoda saman yritysverkon osastojen välille.

Palomuurien on katettava tietyt yritysverkon alueet. Yleisesti ottaen ne voidaan nimetä seuraavasti:

• suodatus verkkotasolla;
• suodatus sovellustasolla;
• suodatussääntöjen määrittäminen, hallinto;
• verkon todennustyökalut;
• lokien perustaminen ja kirjaaminen.

Palomuurien luokitus

On tapana erottaa seuraavat suojaavat palomuuriluokat:

• suodatusreitittimet;
• istuntotason yhdyskäytävät;
• sovellustason yhdyskäytäviä.

Suodata reitittimet

Ne suodattavat saapuvat ja lähtevät paketit käyttämällä TCP- ja IP-otsikoiden sisältämiä tietoja. IP-pakettien valitsemiseen käytetään pakettien otsikkokenttien ryhmiä:

• Lähettäjän IP-osoite;
• Vastaanottajan IP-osoite;
• lähettäjän portti;
• vastaanottajan portti.

Yksittäiset reitittimet ohjaavat sen reitittimen verkkoliitäntää, josta paketti tuli. Näitä tietoja käytetään yksityiskohtaisempaan suodatukseen. Jälkimmäinen voidaan suorittaa eri tavoilla, joka katkaisee yhteydet tiettyihin portteihin tai tietokoneisiin.

Reitittimien suodatussääntöjä on vaikea luoda. Oikuuden tarkistamiseen ei ole muuta keinoa kuin hidas ja työvoimavaltainen manuaalinen testaus. Myös reitittimien suodattamisen haittoja ovat seuraavat tapaukset:

• sisäinen verkko näkyy Internetistä;
• monimutkaiset reitityssäännöt edellyttävät erinomaista TCP:n ja UDP:n tuntemusta;
• Kun palomuuriin murtaudutaan, kaikista verkon tietokoneista tulee puolustuskyvyttömiä tai niihin ei päästä käsiksi.

Mutta reitittimien suodatuksella on myös useita etuja:

• halpa;
• suodatussääntöjen joustava määrittely;
• alhainen latenssi pakettien kanssa työskenneltäessä.

Istuntoyhdyskäytävät

Nämä ovat TCP-yhteyskääntäjiä. Yhdyskäytävä käsittelee valtuutetun asiakkaan tiettyjä palveluita koskevia pyyntöjä. Tarkistaa istunnon oikeellisuuden ja muodostaa yhteyden ulkoiseen isäntään. Sitten yhdyskäytävä kopioi paketit molempiin suuntiin ilman suodatusta. Määränpää on yleensä sovittu etukäteen. Lähteitä voi olla useita. Erilaisten porttien ansiosta voit määrittää erilaisia ​​yhteyskokoonpanoja. Yhdyskäytävän avulla voit luoda TCP-kääntäjän mille tahansa palvelulle, joka toimii TCP-yhteyden kanssa.

Yhdyskäytävä määrittää viestintäistunnon pyynnön hyväksyttävyyden tiettyjen sääntöjen mukaisesti. Ensin valtuutettu asiakas pyytää pääsyä tiettyyn palveluun. Yhdyskäytävä hyväksyy sen ja tarkistaa, että asiakas täyttää perussuodatusparametrit. Jos kaikki on kunnossa, yhdyskäytävä muodostaa yhteyden ulkoiseen isäntään. Seuraavaksi seurataan TCP-viestinnän kättelymenettelyä. Jos yhdyskäytävä on määrittänyt, että asiakas ja ulkoinen isäntä ovat valtuutettuja, yhteys muodostetaan. Tiedonsiirron aikana yhdyskäytävä ylläpitää taulukkoa muodostetut yhteydet ja ohittaa tiedot, jotka liittyvät johonkin taulukossa määritellyistä viestintäistunnoista. Istunnon päätyttyä yhteys katkeaa. Vastaavat tiedot poistetaan taulukosta.

Sovelluskerroksen yhdyskäytävät

Luotettavamman suojan saamiseksi näytöt käyttävät suodatussovelluksia, kun ne muodostavat yhteyden Telnetiin ja FTP:hen. Tämä hakemus kutsutaan välityspalvelimeksi tai toisin sanoen sovellustason yhdyskäytäväksi. Kun käytät yhdyskäytävää tämän tyyppistä Yhteys valtuutetun asiakkaan ja ulkoisen isännän välillä ei ole mahdollista. Suodatus suoritetaan sovellustasolla.

Kun yhdyskäytävä havaitsee verkkoistunnon, se pysäyttää sen ja muodostaa yhteyden erityinen sovellus suorittaaksesi palvelun loppuun. Sovellustason yhdyskäytävät tarjoavat luotettavan suojan, koska vuorovaikutus ulkoisen verkon kanssa tapahtuu pieni määrä valtuutetut sovellukset. He valvovat tarkasti saapuvaa ja lähtevää liikennettä. Jokainen verkkopalvelu vaatii erilliset sovellukset.

Sovelluskerroksen yhdyskäytävän käytön edut:

• suojatun verkon näkyvyys Internetistä;
• tehokas ja turvallinen todennus ja rekisteröinti;
• optimaalinen kustannus- ja suojatason suhde;
• yksinkertaiset suodatussäännöt;
• mahdollisuus asentaa lisätarkastuksia.

Laitteiston palomuurit

Laitteistopalomuurit käyttävät omia palomuuriaan pakettien suodattamiseen. OS, kehittäjien erityisesti ehdottama.

Jotta laitteistopalomuuri toimisi oikein, on tärkeää asentaa, yhdistää ja määrittää se oikein. Yksinkertaisin palomuuri on laite, joka sisältää joukon sovelluksia kulunvalvonnan keskittämiseksi ja tietojen suojaamiseksi. Laitteistopalomuurin päätoiminnot ovat samat kuin ohjelmistojen: pakettianalyysi, liikenteen suodatus ja uudelleenohjaus, yhteyden todennus, protokollan sisällön esto, tietojen salaus.

Usein turvallisuuden lisäämiseksi on tarpeen asentaa useita laitteiston palomuureja. Näyttöjä on mahdollista yhdistää erilaisia ​​tyyppejä yhteen järjestelmään. Eri arkkitehtuuriin perustuvien eri rakenteiden palomuurien käyttö mahdollistaa korkeamman suojan tason.

Palomuurien luominen yritysverkoissa

Jos haluat asentaa luotettavan yrityksen tai paikallinen verkko, on tarpeen ratkaista seuraavat ongelmat:

• verkon suojaus luvattomalta etäyhteys maailmanlaajuisen Internetin käyttö;
• verkon määritystietojen suojaaminen maailmanlaajuisen verkon vierailijoilta;
• yritys- tai paikallisverkkoon pääsyn erottaminen globaalista ja päinvastoin.

Suojatun verkon turvallisuuden varmistamiseksi erilaisia ​​järjestelmiä palomuurien luominen:

Palomuuri suodatinreitittimenä- yksinkertaisin ja yleisin vaihtoehto. Reititin sijaitsee verkon ja Internetin välissä. Suojaukseen käytetään saapuvien ja lähtevien pakettien osoitteiden ja porttien analyysin tietoja.

Palomuuri käyttäen kaksiporttista yhdyskäytävää on isäntä, jossa on kaksi verkkoliitäntää. Tietojenvaihdon pääsuodatus suoritetaan näiden porttien välillä. Suodatinreititin voidaan asentaa turvallisuuden lisäämiseksi. Tällöin yhdyskäytävän ja reitittimen välille muodostuu sisäinen suojattu verkko, jota voidaan käyttää tietopalvelimen asentamiseen.

Palomuuri suojatulla yhdyskäytävällä— suuri hallinnon joustavuus, mutta riittämätön turvallisuus. Poikkeaa vain yhden verkkoliitännän läsnäolosta. Pakettisuodatus suoritetaan useilla tavoilla: kun sisäinen isäntä sallii pääsyn globaaliin verkkoon vain valituille palveluille, kun kaikki yhteydet sisäisistä isännistä on estetty.

Palomuuri suojatulla aliverkolla— sen luomiseen käytetään kahta suojareititintä. Ulkoinen asennetaan suojatun aliverkon ja Internetin väliin, sisäinen suojatun aliverkon ja sisäisen suojatun verkon väliin. Hyvä vaihtoehto turvallisuuteen suurella liikenteellä ja suurella nopeudella.