Firewall hardware. Firewall hardware

Con la rapida crescita di Internet, il problema della sicurezza per le piccole reti e gli utenti domestici non è meno urgente della sicurezza delle reti delle grandi aziende. Se la tua rete o il tuo computer fa parte di una grande rete aziendale, molto probabilmente non avrai più bisogno di un firewall, poiché una rete di grandi dimensioni è solitamente protetta. Nello stesso caso, quando non si sa con certezza se è presente un firewall esterno o quando ci si connette alla rete tramite un ISP (i provider Internet non sempre hanno un firewall installato, poiché questo riduce la velocità del gateway), allora probabilmente ha senso prendersi cura di proteggere la propria rete o computer. A proposito, devi capire che connettendoti a Internet tramite un modem, diventi anche un nodo Internet a tutti gli effetti. Una connessione via modem differisce da una connessione via cavo solo perché nella maggior parte dei casi non è permanente. In questo articolo cercherò di spiegare brevemente cos'è un firewall, come funziona, perché è necessario installarlo e descriverò le funzioni di alcuni programmi. Parleremo principalmente di Windows (95/98/NT/2000/…), poiché questo è il sistema operativo oggi più diffuso. Verranno brevemente menzionati i programmi che girano sotto UNIX (in particolare Linux). Per capire perché è necessario un firewall, è necessario rispondere alla domanda: da cosa è necessario proteggersi quando si lavora in rete?

Problemi di sicurezza durante la connessione a Internet

Collegandoti a Internet sei fisicamente connesso a più di 50mila reti sconosciute e a tutti i loro utenti. Mentre tale connessione apre la strada a molti programmi utili e offre enormi opportunità per la condivisione delle informazioni, la tua rete o il tuo personal computer diventano disponibili anche agli utenti di Internet. La domanda principale: quanto sono accessibili le risorse della tua rete e quanto possono essere accessibili (di seguito non separerò una piccola rete e un computer di casa separato, purché ciò non sia importante)? Un'altra domanda: come è protetto il tuo computer dalle intrusioni? Vale la pena notare che coloro che si definiscono hacker di solito non cercano di ottenere informazioni: sono interessati al processo di hacking del sistema stesso. A volte questo porta a danneggiare le informazioni memorizzate sul tuo computer. Raramente, ma a volte è la distruzione delle informazioni lo scopo dell'hacking di un sistema. Allo stesso tempo, a differenza delle reti aziendali, i metodi e i metodi per penetrare in una piccola rete o in un computer domestico sono più prosaici. Ecco qui alcuni di loro.

• Ti inviano lettere apparentemente innocue con un allegato, ad esempio questo:

pricelist.zip .exe Notare il file .exe alla fine della riga. In questo caso, tutti i client di posta, dopo aver ricevuto tale lettera, visualizzeranno solo listino prezzi.zip, ma all'apertura di questo file, invece di avviare l'archiviatore, lo eseguiranno.

• Non si installa aggiornamenti gratuiti A Internet Explorer, anche se tutti sanno da tempo che in Windows stesso e in IE, in particolare, il problema principale è la sicurezza del sistema.
• Stai utilizzando programmi non testati, come gli screen saver. Molto spesso contengono cavalli di Troia, ovvero codice di programma che esegue segretamente azioni che non sono necessarie per te e dirette contro di te, ad esempio l'invio di password sulla rete.
• Separatamente, notiamo che Windows, a differenza di UNIX, soffre del fatto che il dispositivo file system e i kernel di sistema ti consentono di creare virus. E sia innocuo che molto distruttivo. Questi virus possono trovarsi in file eseguibili, script e persino in documenti di Office. E la possibilità di verifica lettere in arrivo e i file scaricati per i virus sono semplicemente necessari.

Naturalmente, in relazione al computer di casa, è possibile utilizzare anche metodi di livello inferiore relativi all'accesso specifico alle porte. Ciò accade come segue. L'aggressore esegue la scansione del computer alla ricerca di porte libere e non protette, ovvero porte che non rispondono alla ricezione di pacchetti. La prima cosa che può accadere è un overflow dello stack di rete (il luogo in cui i pacchetti vengono temporaneamente archiviati) e, di conseguenza, un malfunzionamento della macchina (di solito un blocco). Questo effetto può essere ottenuto inviando troppi pacchetti. Inoltre, una porta così vuota può essere utilizzata per comunicare con il tuo computer. Ciò significa accesso a file, password, possibilità di modificare file, ad esempio, per inserire programmi infetti da virus su disco. È anche possibile un meccanismo più complesso: prima lo stack viene traboccato e poi, quando il lavoro dei programmi di rete è già interrotto, si verifica un'intrusione attraverso le porte standard. Notiamo subito che è consigliabile disattivare la possibilità di condividere file e stampanti sul computer di casa. Per fare ciò è necessario aprire il Pannello di controllo di Windows, nella sezione Rete, entrare nella sezione File e Condivisione stampa e deselezionare le voci:

• Voglio poter consentire ad altri l'accesso ai miei file;
• Desidero poter consentire ad altri di stampare sulle mie stampanti.

In generale è consigliabile, se possibile, disabilitare tutto ciò che potrebbe dar luogo ad un'intrusione o indebolire la protezione del sistema stesso. Naturalmente, a condizione che tu non abbia bisogno di questa funzionalità. Quanto sopra è una descrizione di tale funzione, che nel caso di un computer di casa non è affatto necessaria, soprattutto con una connessione modem. Potresti chiederti: perché hackerare il tuo computer di casa? Ci sono due ragioni principali, secondo me. In primo luogo, come ho già detto, c'è l'interesse per il processo di hacking stesso. Un altro motivo è che ultimamente le persone utilizzano spesso una connessione Internet per accedere e lavorare con le informazioni di lavoro. Forse tali informazioni potrebbero essere interessanti. In ogni caso, è nel tuo interesse proteggere il tuo computer di casa, anche se non contiene informazioni sensibili. la protezione è necessaria ancora di più se si utilizza effettivamente Internet per accedere alle informazioni su un altro computer. È per questo tipo di protezione che esiste un firewall.

Cos'è il firewall

Non entrerò nei dettagli tecnici relativi allo stack di rete, ai metodi di filtraggio e sottigliezze simili. Inoltre, in precedenza è stato pubblicato l'articolo "Protezione della rete e firewall", in cui il firewall veniva descritto in dettaglio. In breve, il Firewall può essere definito come il punto di separazione tra la rete o il computer e Internet. Questo punto può essere un computer che esegue un firewall software o un firewall hardware. Se hai un computer, il firewall è semplicemente un programma in esecuzione su di esso. Qual è l'idea? Ti ricordiamo come vengono trasferiti i dati su Internet. Tutti i dati vengono trasmessi utilizzando il protocollo IP. Il trasferimento avviene in porzioni: pacchetti. Ogni pacchetto ha un'intestazione contenente l'indirizzo del mittente, l'indirizzo del destinatario, il numero della porta di rete, un collegamento al pacchetto precedente, le informazioni di controllo necessarie per la sicurezza dei dati e i dati stessi. I primi tre punti (indirizzi e porta) sono necessari affinché il pacchetto arrivi. Il numero di porta è associato a un programma specifico. Pertanto, telnet funziona con la porta 22, il protocollo http funziona con la porta 80. In totale ci sono 65.535 porte. Per il corretto incollaggio delle informazioni nei file è necessario un collegamento al pacchetto precedente e sono necessarie informazioni di controllo per verificare la correttezza del bonifico. L'idea di un firewall è che venga avviato un programma che sia il primo, prima di tutti i server e client, a ricevere tutti i pacchetti che arrivano al tuo computer. Pertanto, questo programma è il primo ad accedere alle informazioni sul pacchetto. Schematicamente il lavoro di un firewall può essere rappresentato come segue: i pacchetti vengono controllati in modi diversi, a seconda del livello del firewall. Esistono cinque livelli di firewall:

• Il primo livello controlla gli indirizzi scritti nel pacchetto e il numero di porta. In questo caso, naturalmente, diventa possibile vietare la ricezione di pacchetti da determinati indirizzi o verso determinate porte. Questo livello fornisce una protezione minima, poiché il pacchetto non è ancora un file o un programma, ma semplicemente un'informazione. Tuttavia potrebbe essere utile, ad esempio, vietare il passaggio di pacchetti su determinate porte.
• Il secondo livello, oltre a quanto accade nel primo livello, utilizza riferimenti a pacchetti precedenti. Con l'aiuto di tali collegamenti si forma una catena completa di informazioni, ad esempio un intero file. Questo firewall controlla l'integrità dei trasferimenti di file e consente di eliminare immediatamente i file sospetti.
• Il terzo livello è un firewall a livello software. Oltre al filtraggio dei pacchetti e al controllo dell'integrità delle informazioni, è stata aggiunta la possibilità di controllare il contenuto dei file. Cioè, ad esempio, viene controllata la presenza di virus nei file eseguibili, viene controllato il contenuto degli archivi, vengono testati i file allegati in lettere e così via.
• Il quarto e il quinto livello differiscono dal terzo solo nell'implementazione tecnica delle principali funzioni del firewall a livello software.

Quando si sceglie un'implementazione specifica del firewall, è importante prestare attenzione a quanto segue punti importanti. Innanzitutto la configurazione delle porte e degli indirizzi di rete richiede una conoscenza approfondita, in altre parole non sempre è possibile farlo utente normale. Le impostazioni più grossolane richiedono che il programma esegua alcune cose automaticamente. L’importante compromesso qui è tra la semplicità del programma e l’efficienza del suo utilizzo. Il secondo è la potenza del programma. Se hai solo un computer di casa e navighi solo nelle pagine Web su Internet, forse hai solo bisogno di un programma antivirus che esegua la scansione dei file scaricati online. Un'altra cosa è se hai una piccola rete e vuoi controllare il trasferimento di file su macchine vicine o la condivisione di stampanti. Il terzo è il prezzo. Ci sono programmi gratuiti, ce ne sono di potenti e costosi. È importante capire che gratuito non significa cattivo, passiamo ora alla descrizione dei programmi specifici. Dirò subito che l'ordine in cui appaiono i programmi non è correlato al prezzo, alla popolarità o alla complessità. Inoltre, è difficile confrontare la popolarità dei programmi, poiché sono progettati per computer diversi, reti di dimensioni diverse. Di seguito è riportato il miglior esempio, a mio avviso, di come organizzare la protezione della propria rete. I due programmi descritti di seguito si completano a vicenda, garantendo così il livello di sicurezza richiesto. Naturalmente la nostra scelta non è una panacea. L'unica cosa che si può dire è che tutti i programmi descritti di seguito occupano i primi posti nelle classifiche pubblicate su Internet. Inoltre sul nostro CD-ROM troverete una panoramica di alcuni dei programmi più popolari che implementano le funzioni firewall.

implementazioni del firewall

Norton Internet Security 2000 (NIS)

NIS combina diversi programmi diversi. Il sistema di protezione è ereditato dal programma AtGuard ed è formato sotto forma di un insieme di regole per il monitoraggio di porte e indirizzi. È incluso anche un sistema di blocco dei cookie, filtraggio per ActiveX, Java, script e tracciamento durante la navigazione in Internet. È integrata anche la scansione antivirus. Il sistema Account ti consente di avere più set di impostazioni per utenti diversi. Poiché l’argomento di questo articolo è la protezione, te ne parlerò un po’ più nel dettaglio. Vorrei subito sottolineare che il sistema di regole è molto flessibile, ma allo stesso tempo difficilmente adatto all'utente medio. Se hai già deciso di creare un sistema di regole, è consigliabile disabilitare l'opzione “Creazione automatica regole firewall”. Di seguito è riportata una possibile versione del sistema di regole. Implica la connessione di un computer al provider. È importante notare che questo è un possibile insieme di regole. Devi testare ogni regola sul tuo computer per verificarne l'efficacia. Per impostare le regole è necessario accedere alla sezione Impostazioni di sicurezza e personalizzate. Una caratteristica speciale di NIS che non tutti i programmi forniscono è che puoi specificare quali programmi possono utilizzare quali porte. In alcuni casi questo è molto conveniente. Ad esempio, impedisci al browser di utilizzare tutte le porte tranne 80 (http) o 443 (https). Ma continuiamo con le regole. È possibile il seguente set.

1. Blocca tutti i pacchetti ICMP in entrata e in uscita. Potrebbe essere vero che il tuo ISP richieda ICMP.
2. Blocca l'ingresso sulle porte da 135 a 139 (TCP e UDP).
3. Blocca l'ingresso sulle porte da 67 a 69 (TCP e UDP).
4. Blocca input e output sulla porta 113. Ciò può comportare un ritardo nell'invio delle lettere, che però verranno comunque inviate, a meno che l'utilizzo di questa porta non venga concordato espressamente con il fornitore.
5. Blocca l'ingresso UDP "NetBIOS".
6. Blocca l'input TCP "dito".
7. Blocca l'input TCP/UDP "socks" (porta 1080).
8. Blocca l'ingresso UDP "Bootpc". Non è necessario farlo se si utilizza l'IP dinamico.
9. Blocca l'output UDP "Bootp". Non è necessario farlo se si utilizza l'IP dinamico.
10. Blocca le porte di ingresso TCP 27374.
11. Blocca l'ingresso UDP "snmp". porte 161 e 162.
12. Blocca l'ingresso UDP "ndmp". Porte da 10.096 a 10.945.
13. Blocca l'ingresso TCP "netstat".
14. Blocca l'ingresso TCP "systat".
15. Blocca l'input TCP e UDP "nfs".
16. Blocca l'input TCP "vince". Porto 1512.
17. Blocca l'input TCP e UDP "remote-winsock".
18. Blocca l'input e l'output UDP "Accesso chiave Windows". La porta è necessaria per i giochi.
19. Microsoft sul sito www.zone.com.
20. Blocca l'input TCP e UDP di "lotusnotes".
21. Blocca l'input TCP "IBM Data Exchange". Porta 10044.
22. Blocca l'input e l'output TCP e UDP della porta 4000 (può essere chiamata "icq").

Ricordiamo ancora una volta che ogni caso specifico può avere le proprie regole o modifiche alle regole presentate. Una volta installate le regole, NIS inizierà a funzionare in base ad esse. Di seguito è riportato un esempio della schermata del messaggio. Vengono registrati tutti gli eventi relativi al funzionamento del programma stesso e all'elaborazione degli eventi legati alle regole stabilite. In conclusione, notiamo che NIS costa circa $ 60. Allo stesso tempo, hai la possibilità di aggiornare il programma tramite Internet utilizzando la funzione LiveUpdate.

BlackICE Defender (BID)

BID è un programma di rilevamento delle intrusioni per il tuo sistema. Il suo scopo principale è monitorare tutti i trasferimenti di dati sulla rete. A differenza del NIS, non esiste programma antivirus o istruire i singoli programmi ad accedere alle porte. Tuttavia, il sistema di regolamentazione e controllo dell'accesso alle porte di rete e la possibilità di specificare indirizzi attendibili e non attendibili sono considerati più affidabili in base ai risultati dei test. Inoltre, c'è la possibilità di controllare l'accesso ai file. La schermata di configurazione del BID è simile alla seguente. Il blocco Protezione è mostrato qui. In linea di principio, specificando uno dei livelli di sicurezza si specifica già un insieme di regole secondo le quali opera il BID. Il grado di protezione diminuisce dall'alto verso il basso. Va tenuto presente che il rilevamento, indipendentemente dal livello, avviene sempre su tutte le porte. Per livello si intende il livello di protezione, ovvero l'esecuzione di qualsiasi azione in relazione ai pacchetti: riflessione, verifica, ecc. Il livello Paranoid spesso non è necessario poiché controlla tutte le porte, il che può rallentare notevolmente la rete. Tutti gli eventi vengono registrati in un file di registro e possono essere visualizzati in seguito. Una caratteristica importante è che non è necessario bloccare gli indirizzi. È possibile bloccare dinamicamente gli indirizzi se tentano di accedere al sistema con una password errata. Questo metodo è necessario, ad esempio, quando desideri accedere ai tuoi file da un altro computer il cui numero non è noto in anticipo (ad esempio, da qualche Internet cafè durante il viaggio). Nel blocco Intrusi della finestra eventi monitorati viene registrato l'indirizzo da cui è stato effettuato il tentativo di accesso e la porta: È importante che quando si tenta di penetrare nel sistema tramite una porta non standard o si accede con una porta non password o nome utente, il BID non si limita a bloccare il pacchetto o a non consentirne l'ingresso nel sistema, ma esegue procedure di Back-trace. Si tratta di un insieme di strumenti con cui il BID cerca di raccogliere quante più informazioni possibili sull'aggressore. Queste informazioni vengono quindi scritte in un file e visualizzate nel blocco della cronologia.Uno svantaggio, forse, può essere considerato la mancanza della capacità di creare regole per i singoli programmi. Si consiglia una combinazione di BID e NIS. Ciò consente di utilizzare BID per controllare il flusso di informazioni sulla rete e NIS per separare i diritti di accesso tra programmi e scansione antivirus File. Il BID costa meno del NIS, circa 40 dollari, e la licenza è valida solo per un anno.

Firewall hardware

Ora parliamo un po' dei firewall hardware. Anche nel caso delle reti domestiche, e soprattutto per una piccola azienda, questa non è una cosa inutile. Il fatto è che si tratta di un computer appositamente adattato per eseguire funzioni firewall. Spesso la stessa efficienza può essere ottenuta solo installando un programma potente su un dispositivo separato computer potente, e questo può essere significativamente più costoso. Inoltre un firewall hardware è quasi sempre indipendente dal sistema e può comunicare con quasi tutti i sistemi operativi. Ci sono anche dei vantaggi: metti il ​​computer in un'area protetta, non c'è sistema operativo, il che complica l'hacking breve descrizione diversi firewall hardware economici.Il router via cavo/DSL Linksys EtherFast supporta NAT, firewall, controllo degli accessi DHCP ed è anche uno switch hub 10/100 a 4 porte. Prezzo: $ 170 SonicWALL SOHO da SonicWALL, Inc. e WebRamp 700 di Ramp Networks, Inc. più funzionale del precedente, ha capacità di aggiornamento, supporta Firewall, NAT, DHCP, gestione contestuale dei pacchetti. Il prezzo è rispettivamente di circa $ 400 e $ 350. In conclusione, va notato che ora un firewall è probabilmente tanto necessario quanto Internet stessa. Naturalmente dovresti sempre scegliere il firewall più adatto alle tue attività e alle dimensioni della rete. La varietà di programmi che implementano le funzioni firewall è così ampia che difficilmente è possibile consigliare qualcosa di specifico. Qualsiasi soluzione ha i suoi pro e i suoi contro. Le informazioni più dettagliate sui programmi firewall, documentazione e supporto sono disponibili sul sito http://www.firewall.com/, dove ti consiglio di dare un'occhiata se il problema della scelta di un firewall è rilevante per te.

ComputerPress 10"2000

Creare un sistema sicuro è un compito complesso. Una delle misure di sicurezza è l'uso di firewall (noti anche come firewall e firewall). Come tutti sappiamo, i firewall sono disponibili in software e hardware. Le possibilità sia del primo che del secondo non sono illimitate. In questo articolo cercheremo di capire cosa possono e cosa non possono fare entrambi i tipi di firewall.

Firewall software e hardware

Il primo passo è parlare di cos'è una soluzione software e cos'è una soluzione hardware. Siamo tutti abituati al fatto che se acquisti un qualche tipo di hardware, questa soluzione si chiama hardware e se è una scatola con software, questo è un segno di una soluzione software. A nostro avviso, la differenza tra una soluzione hardware e una soluzione software è abbastanza arbitraria. Cos'è una scatola di ferro? In sostanza, si tratta dello stesso computer, anche se con un'architettura diversa, anche se con capacità leggermente limitate (non è possibile collegarvi tastiera e monitor, è "su misura" per eseguire una funzione), su cui è installato il software. Il software è una versione di un sistema UNIX con una “faccia web”. Le funzioni di un firewall hardware dipendono dal filtro dei pacchetti utilizzato (anche in questo caso si tratta di un software) e dalla “faccia web” stessa. Tutti i firewall hardware possono essere "reflash", ovvero, in sostanza, semplicemente sostituiti con software. E con il firmware reale (che ai bei vecchi tempi veniva eseguito utilizzando un programmatore), il processo di aggiornamento del "firmware" sui dispositivi moderni ha poco in comune. Il nuovo software viene semplicemente scritto su un'unità flash all'interno dell'hardware. Un firewall software è un software installato su un normale computer esistente, ma nel caso di un firewall hardware non è possibile farlo senza software e nel caso di un firewall software non è possibile farlo senza hardware. Ecco perché la linea tra questi tipi di firewall è molto arbitraria.
La più grande differenza tra un firewall software e uno hardware non è nemmeno la funzionalità. Nessuno ti disturba a scegliere un firewall hardware con le funzioni necessarie. La differenza sta nella modalità di utilizzo. Di norma, su ogni PC della rete (su ogni server e su ogni workstation) è installato un firewall software e un firewall hardware fornisce protezione non per un singolo PC, ma per l'intera rete contemporaneamente. Naturalmente nessuno ti impedirà di installare un firewall hardware per ogni PC, ma è tutta una questione di soldi. Considerando il costo dell'hardware, è improbabile che tu voglia proteggere ogni hardware del PC con un firewall.

Vantaggi dei firewall hardware

I firewall hardware presentano i seguenti vantaggi:

• Relativa facilità di distribuzione e utilizzo. L'ho collegato, acceso, impostato i parametri tramite interfaccia web e mi sono dimenticato della sua esistenza. Tuttavia, software moderno firewall supporta la distribuzione tramite ActiveDirectory, che non richiede molto tempo. Ma, in primo luogo, non tutti i firewall supportano ActiveDirectory e, in secondo luogo, le aziende non utilizzano sempre Windows.
• Dimensioni e consumo energetico. In genere, i firewall hardware sono di dimensioni più ridotte e richiedono meno energia. Tuttavia, il consumo energetico non gioca sempre un ruolo, ma le dimensioni sono importanti. Una piccola scatola compatta è una cosa, un'enorme "unità di sistema" è un'altra.
• Prestazione. In genere, le prestazioni di una soluzione hardware sono più elevate. Se non altro perché il firewall hardware è impegnato solo nella sua funzione immediata: il filtraggio dei pacchetti. Non esegue processi o servizi di terze parti, come spesso accade con i firewall software. Immagina di aver organizzato un gateway software (con funzioni firewall e NAT) basato su un server con Windows Server. È improbabile che dedicherai un intero server solo al firewall e al NAT. Questo è irrazionale. Molto probabilmente, su di esso verranno eseguiti altri servizi: lo stesso AD, DNS, ecc. Sono già in silenzio sul DBMS e sui servizi postali.
• Affidabilità. Si ritiene che le soluzioni hardware siano più affidabili (proprio perché raramente eseguono servizi di terze parti). Ma nessuno ti impedisce di selezionare un'unità di sistema separata (anche se non la più moderna), installarvi lo stesso FreeBSD (uno dei sistemi operativi più affidabili al mondo) e impostare le regole del firewall. Penso che l'affidabilità di tale soluzione non sarà inferiore a quella del firewall hardware. Ma un compito del genere richiede qualifiche avanzate di amministratore, motivo per cui è stato precedentemente notato che le soluzioni hardware sono più facili da usare.

Vantaggi dei firewall software

Ai benefici soluzioni software relazionare:

• Prezzo. Il prezzo di un firewall software è generalmente inferiore a quello dell'hardware. Al prezzo di una soluzione hardware media, puoi proteggere l'intera rete con un firewall software.
• Possibilità di proteggere la tua rete dall'interno. Non sempre le minacce provengono dall’esterno. Esistono molte minacce all'interno di una rete locale. Gli attacchi possono provenire da computer interni. Qualsiasi utente LAN, ad esempio, insoddisfatto dell'azienda, può avviare un attacco. Come già notato, ovviamente è possibile utilizzare un router hardware separato per proteggere ogni singolo nodo, ma in pratica non ci siamo imbattuti in tali soluzioni. Sono troppo irrazionali.
• Possibilità di delimitare segmenti di rete locale senza allocare sottoreti. Nella maggior parte dei casi, i computer di diversi reparti sono collegati alla rete locale, ad esempio contabilità, dipartimento finanziario, dipartimento IT, ecc. Questi computer non hanno sempre bisogno di comunicare tra loro. Come differenziare l'ISPDn? La prima soluzione è creare diverse sottoreti (ad esempio, 192.168.1.0, 192.168.2.0, ecc.) e configurare adeguatamente il routing tra queste sottoreti. Questo non vuol dire che la soluzione sia molto complicata, ma è comunque più complicata dell'utilizzo di un firewall software. E non è sempre possibile distinguere le sottoreti per un motivo o per l'altro. La seconda soluzione consiste nell'utilizzare un firewall progettato specificamente per proteggere l'ISPD (non tutti i firewall software consentono di distinguere facilmente tra ISPD). In questo caso, anche nella rete più grande, eseguirai la differenziazione ISPD in pochi minuti e non dovrai preoccuparti delle impostazioni del routing.
• Possibilità di distribuzione su server esistenti. Non ha senso acquistare un altro componente hardware se si dispone di un parco computer sufficiente. È sufficiente implementare un firewall su uno dei server e configurare NAT e routing. In genere entrambe queste operazioni vengono eseguite utilizzando GUI firewall e vengono implementati con pochi clic del mouse nei posti giusti.
• Funzionalità avanzate. Di norma, la funzionalità dei firewall software è più ampia di quella delle loro controparti hardware. Pertanto, alcuni firewall forniscono funzioni di bilanciamento del carico, IDS/IPS e cose utili simili che possono migliorare la sicurezza complessiva del sistema di elaborazione dei dati. Sì, non tutti i firewall software dispongono di queste funzionalità, ma nulla ti impedisce di scegliere il firewall adatto alle tue esigenze. Naturalmente anche alcuni sistemi hardware dispongono di tali funzioni. Ad esempio, StoneGate IPS fornisce la funzionalità di un sistema di prevenzione delle intrusioni, ma il costo di tali soluzioni non sempre piacerà al management aziendale. Esistono anche bilanciatori del carico hardware, ma sono ancora più costosi degli IPS hardware.

Non scriveremo degli svantaggi: derivano dai vantaggi. I vantaggi di un tipo di firewall sono solitamente gli svantaggi di un altro tipo. Ad esempio, gli svantaggi delle soluzioni hardware includono il costo e l'impossibilità di proteggere la rete locale dall'interno, mentre gli svantaggi delle soluzioni software includono la complessità di implementazione e utilizzo (anche se, come notato, tutto è relativo).
Tuttavia, vale la pena menzionare uno svantaggio dei firewall hardware. Di norma, tutti i firewall hardware dispongono di un pulsante di ripristino, premendo il quale è possibile ripristinare le impostazioni predefinite. Non sono necessarie qualifiche speciali per premere questo pulsante. Ma per modificare le impostazioni di un firewall software è necessario, come minimo, ottenere i diritti di amministratore. Con il semplice clic di un pulsante, un dipendente scontento può compromettere la sicurezza di un'intera azienda (o lasciare l'azienda senza accesso a Internet, il che è ancora meglio). Pertanto, quando si utilizzano soluzioni hardware, è necessario adottare un approccio più responsabile nei confronti della sicurezza fisica dei dispositivi stessi.

La battaglia dei firewall

Successivamente cercheremo di capire quale firewall offre una protezione migliore: software o hardware. L'hardware sarà il firewall integrato nel router da TP-Link. Come software: Cybersafe Firewall.
Per testare i firewall, utilizzeremo le utilità del sito www.testmypcsecurity.com, ovvero Jumper, DNStester e CPIL Suite (sviluppato da Comodo). Un avvertimento: a differenza di strumenti certificati come XSpider, queste utility utilizzano le stesse tecniche del malware che simulano. Ecco perché durante il test (se si desidera ripetere i risultati) è necessario disattivare tutti gli strumenti di protezione antivirus.
Si potrebbe ovviamente prendere in considerazione XSpider, ma questo test sarebbe troppo noioso e poco interessante per il lettore finale. E chi può immaginare un utente malintenzionato che utilizza uno scanner certificato?
Brevemente sulle utilità:

• Jumper: consente di bypassare il firewall utilizzando i metodi "DLL injection" e "thread injection".
• Tester DNS: utilizza una query DNS ricorsiva per bypassare il firewall.
• CPIL Suite: una serie di test (3 test) da Comodo.

Tutte queste utilità verranno lanciate dall'interno, cioè direttamente dai computer in fase di test. Ma all'esterno effettueremo la scansione con il buon vecchio nmap.
Quindi abbiamo due computer. Entrambi sono connessi a Internet. Uno è connesso tramite un firewall hardware (alimentato da un router TP-Link) e non ha un firewall software o un antivirus installato. Il secondo computer è connesso direttamente a Internet ed è protetto dal firewall software CyberSafe. Sul primo computer è installato Windows 7, sul secondo è installato Windows Server 2008 R2.

Prova 1: saltatore

Jumper, avviato con diritti di amministratore (a dire il vero, molti utenti lavorano con tali diritti), ha completato con successo il suo compito in Windows 7 (Fig. 1). Niente poteva fermarlo: dopo tutto, sul nostro sistema non era installato un singolo strumento di sicurezza, né antivirus, né firewall, né IDS/IPS, e al firewall hardware non interessa cosa succede sui computer client. Non può influenzare in alcun modo ciò che sta accadendo.

Riso. 1. Ponticello in Windows 7

Per essere onesti, va notato che se l'utente non avesse lavorato come amministratore, per Jumper non avrebbe funzionato nulla.
In Windows Server 2008 il Jumper non si avviava nemmeno, ma questo non è merito del firewall, ma del sistema operativo stesso. Pertanto esiste la parità tra i firewall, poiché la protezione contro questa vulnerabilità può essere fornita dal sistema operativo stesso.

Prova 2. DNStester

Lo scopo di questo test è inviare una query DNS ricorsiva. Per impostazione predefinita, a partire da Windows 2000, Servizio Windows Il client DNS accetta e gestisce tutte le query DNS. In questo modo, tutte le richieste DNS provenienti da tutte le applicazioni del sistema verranno inviate al client DNS (SVCHOST.EXE). La richiesta DNS stessa viene effettuata direttamente dal client DNS. DNStester utilizza una query DNS ricorsiva per aggirare il firewall, in altre parole, il servizio chiama se stesso.

Riso. 2. Test fallito

Se le impostazioni del firewall vengono lasciate ai valori predefiniti, né il software né il firewall hardware potrebbero far fronte a questo test. È chiaro che un firewall hardware non si preoccupa di ciò che accade sulla workstation, quindi non ci si può aspettare che protegga il sistema da questa vulnerabilità. In ogni caso, con le impostazioni predefinite (e praticamente non sono cambiate).
Ma questo non significa che Cybersafe Firewall sia un cattivo firewall. Quando il livello di sicurezza è stato aumentato al terzo, il test è stato completamente superato (vedi Fig. 3). Il programma ha segnalato un errore nella richiesta DNS. Per assicurarsi che non fosse colpa di Windows Server 2008, il test è stato ripetuto su una macchina con Windows 7.

Riso. 3. Test superato (DNStest)

Per essere onesti, va notato che se sul tuo computer è installato un antivirus, molto probabilmente questa applicazione verrà messo in quarantena, ma avrà ancora tempo per inviare una richiesta (Fig. 4).

Riso. 4. Comodo Antivirus ha bloccato un'applicazione indesiderata

Test 3. Suite di test di Comodo (CPIL)

Pertanto, il firewall hardware con le impostazioni predefinite non ha superato tutti e tre i test CPIL (se si fa clic su Ulteriori informazioni sul test, verrà visualizzata una finestra che spiega il principio del test). Ma li ha delusi in qualche strano modo. Il superamento del test prevede la seguente sequenza di azioni:

1. È necessario inserire i dati trasmessi. Abbiamo inserito i valori 1, 2, 3 rispettivamente per i test 1, 2 e 3.
2. Successivamente premere uno dei pulsanti di chiamata di prova (Fig. 5)

Riso. 5.Suite di test CPIL

Successivamente, il browser dovrebbe aprirsi con i risultati del test. Oltre al messaggio che il test non è riuscito, la pagina dei risultati avrebbe dovuto visualizzare il valore immesso, che è stato passato allo script come parametro GET (vedere Figura 6). Si può vedere che il valore (2 nella barra degli indirizzi) è stato passato, ma lo script non lo ha visualizzato. Bug nello script Comodo? Naturalmente tutti commettono errori, ma la nostra fiducia in questo test è diminuita.

Riso. 6. Risultato del test (firewall hardware)

Ma quando si utilizza un firewall software, i test CPIL non vengono nemmeno eseguiti. Premendo i pulsanti 1 - 3 non è successo nulla (Fig. 7). È davvero colpa di Windows Server 2008 e non del firewall? Abbiamo deciso di provarlo. Pertanto, Cybersafe Firewall è stato installato su un computer Windows 7 protetto da un firewall hardware. Ma in Windows 7 l'utilità è riuscita a sfondare le difese del firewall. Il primo e il terzo test sono stati superati, ma quando abbiamo premuto il pulsante Test 2 abbiamo dovuto contemplare la finestra Browser Chrome, simile a quello mostrato in Fig. 6.

Riso. 7. Quando fai clic sul pulsante, non succede nulla (puoi vedere che l'antivirus è disabilitato)

Riso. 8. Prove 1 e 3 superate

Test 4. Scansione dall'esterno

Prima di ciò abbiamo provato a sfondare il firewall dall'interno. Ora proviamo a scansionare i sistemi protetti da un firewall. Effettueremo la scansione scanner nmap. Nessuno dubitava dei risultati del firewall hardware: tutto era chiuso ed era impossibile persino determinare il tipo di sistema testato (Fig. 9 e 10). In tutte le illustrazioni successive gli indirizzi IP vengono nascosti perché sono permanenti, in modo che nessuno abbia il desiderio di ripetere il test sui nostri indirizzi.

Riso. 9. Scansiona il tuo firewall hardware

Riso. 10. Scansione firewall hardware (dettagli host)

Ora proviamo a scansionare un sistema protetto da un firewall software. È chiaro che per impostazione predefinita il firewall del software consentirà il passaggio di qualsiasi cosa (Fig. 11).

Riso. undici. Porti aperti(firewall software, impostazioni predefinite)

Riso. 12. Tipo di sistema determinato (firewall software, impostazioni predefinite)

Una volta stabilite le regole, tutto va a posto (Fig. 13). Come puoi vedere, un firewall software garantisce la sicurezza del sistema protetto non peggiore della sua controparte "hardware".

Riso. 13. Nessuna porta aperta

Attacchi alla rete locale

Perché è così importante fornire protezione all'interno della rete locale? Molti amministratori erroneamente non prestano attenzione alla protezione dall'interno, ma invano. Dopotutto, all’interno di una rete locale possono essere attuati molti attacchi. Diamo un'occhiata ad alcuni di loro.

Attacco ARP

Prima di connettersi alla rete, il computer invia una richiesta ARP per scoprire se l'indirizzo IP del computer è occupato. Quando sulla rete locale sono presenti più macchine Windows con lo stesso indirizzo IP, l'utente vede una finestra con un messaggio che informa che l'indirizzo IP è occupato (utilizzato da un altro computer). Windows sa che un indirizzo IP è occupato tramite il protocollo ARP.
Un attacco ARP coinvolge un utente malintenzionato che inonda le macchine che stanno funzionando Controllo di Windows. Inoltre, verranno inviate centinaia di richieste a ciascun computer, di conseguenza l'utente non sarà in grado di chiudere le finestre pop-up costanti e sarà costretto almeno a riavviare il computer.
La situazione non è molto piacevole. Ma la presenza di un firewall su una workstation annullerà tutti gli sforzi dell'aggressore.

Attacchi DoS, inclusi vari attacchi Flood

Gli attacchi DoS (attacchi di negazione) sono possibili non solo su Internet, ma anche in reti locali. Differiscono solo i metodi di tali attacchi. La natura degli attacchi DoS può essere qualsiasi, tuttavia è impossibile combatterli senza un firewall installato su ogni macchina della rete locale.
Un tipo di attacco DoS che può essere utilizzato con successo su una rete locale è il Flood ICMP. Firewall CyberSafe Firewall contiene strumenti dedicati per contrastare questo tipo di attacchi (Fig. 14). Contiene inoltre strumenti di bilanciamento del carico del server, che possono anche aiutare a combattere gli attacchi DoS.

Riso. 14. Sicurezza ICMP (CyberSafe Firewall)

Modifica dell'indirizzo MAC

In una rete locale i computer vengono identificati non solo tramite l'indirizzo IP, ma anche tramite l'indirizzo MAC. Alcuni amministratori consentono l'accesso a determinate risorse tramite indirizzo MAC, poiché gli indirizzi IP sono generalmente dinamici e emessi da DHCP. Questa soluzione non è molto giustificata, poiché l'indirizzo MAC è molto facile da modificare. Purtroppo non è sempre possibile proteggersi dalle modifiche dell'indirizzo MAC utilizzando un firewall. Non tutti i firewall tengono traccia delle modifiche degli indirizzi MAC, poiché in genere sono legate agli indirizzi IP. La soluzione più efficace in questo caso è utilizzare uno switch, che consente di associare l'indirizzo MAC a una porta fisica specifica dello switch. È quasi impossibile ingannare tale protezione, ma costa anche molto. È vero, esistono anche soluzioni software per contrastare le modifiche dell'indirizzo MAC, ma sono meno efficaci. Se sei interessato a un firewall in grado di riconoscere lo spoofing dell'indirizzo MAC, presta attenzione a Kaspersky Internet Security 8.0. È vero, quest'ultimo può riconoscere solo la sostituzione dell'indirizzo MAC del gateway. Ma riconosce pienamente la sostituzione dell’indirizzo IP di un computer e l’IP Flooding.

Spoofing dell'indirizzo IP

Nelle reti in cui l'accesso alle risorse è limitato dagli indirizzi IP, un utente malintenzionato può modificare l'indirizzo IP e ottenere l'accesso alla risorsa protetta. Quando si utilizza il firewall Cybersafe Firewall, uno scenario del genere è impossibile, poiché non esiste alcun legame con gli indirizzi IP nemmeno per il firewall stesso. Anche se si modifica l’indirizzo IP del computer, questo non verrà comunque incluso nell’ISDN in cui l’aggressore tenta di penetrare.

Attacchi in rotta

Questo tipo di attacco si basa sull’invio di pacchetti ICMP “falsi” alla vittima. L'essenza di questo attacco è lo spoofing dell'indirizzo del gateway: un pacchetto ICMP viene inviato alla vittima, informandola di un percorso più breve. Ma in realtà i pacchetti non passeranno attraverso il nuovo router, ma attraverso il computer dell'aggressore. Come notato in precedenza, Cybersafe Firewall fornisce la sicurezza ICMP. Allo stesso modo è possibile utilizzare altri firewall.

Esistono molti altri attacchi alle reti locali: sia sniffer che vari attacchi che utilizzano DNS. Comunque sia, l'uso di firewall software installati su ciascuna postazione di lavoro può migliorare significativamente la sicurezza.

conclusioni

Protezione sistema informativo dovrebbe essere completo: include firewall software e hardware, antivirus e impostazione corretta il sistema stesso. Per quanto riguarda il nostro confronto tra firewall software e hardware, i primi vengono effettivamente utilizzati per proteggere ciascun nodo della rete, mentre i secondi vengono utilizzati per proteggere l'intera rete nel suo insieme. Un firewall hardware non può proteggere ogni singola postazione di lavoro, è impotente contro gli attacchi all'interno della rete e non può nemmeno distinguere tra ISDN, cosa che deve essere fatta nell'ambito della protezione dei dati personali.

Tag: aggiungi tag

Nella sezione sulla domanda Cos'è un firewall e dove può essere posizionato? dato dall'autore Storto la risposta migliore è Questa è protezione da qualsiasi tentativo di penetrazione nel tuo computer e da qualsiasi programma dannoso. Se è Windows standard, puoi trovarlo nel pannello di controllo (Firewall)

Risposta da Succhiare[guru]
Riavvia il tuo computer

Risposta da Sciacquone[guru]
leggimi leggi

Risposta da Criceto malvagio[guru]
Il muro tagliafuoco è tradotto. È integrato in XP Service Pack 2. Vedi Centro sicurezza.

Risposta da Zaichena[maestro]
Il firewall è attivo su vari dispositivi, penso che sia a Victory Park, ma potrei sbagliarmi.

Risposta da *lix[esperto]
Firewall o firewall (jarg: firewall o firewall dall'inglese firewall) - un complesso di hardware e/o Software, che controlla e filtra i pacchetti di rete che lo attraversano a vari livelli del modello OSI in conformità con regole specificate. Il compito principale di un firewall è proteggere le reti di computer o i singoli nodi da accessi non autorizzati. Inoltre, i firewall sono spesso chiamati filtri, perché il loro compito principale è quello di non consentire (filtrare) i pacchetti che non soddisfano i criteri definiti nella configurazione.

Risposta da Utente eliminato[novizio]
firewall: a) software: un programma per proteggere e monitorare l'attività di rete di un computer, ad es. da attacchi dalla rete e simili.
b) hardware - se non sbaglio, la stessa cosa, non è un programma ma un dispositivo esterno, comunque, una cosa utile :)
il firewall sembra essere la stessa cosa

31ottobre

Cos'è un firewall (Firewall)

Firewall O Il firewall lo è un programma per computer il cui scopo è proteggere il computer da virus e. Il firewall sta monitorando traffico di rete, che entra nel sistema operativo e aiuta a bloccare il malware che tenta di accedere alle informazioni personali dell'utente. Inoltre, i termini Firewall e Firewall hanno un'altra definizione. Questi termini sono comunemente usati per descrivere i muri di cinta resistenti al fuoco, che in teoria dovrebbero proteggere le case dagli incendi in aree densamente edificate.

Cos'è un firewall (firewall) - in parole semplici.

In parole semplici, Firewall (Firewall) è protettivo speciale programmi per computer, che scansionano costantemente i dati ricevuti e inviati a Internet. In senso figurato, si tratta di muri virtuali che proteggono il computer dai pericoli di Internet: virus, rootkit, spyware, ecc. Anche se vale la pena notare che un firewall non è l'unica o la più affidabile fonte di protezione per il tuo computer. Di norma, per garantire la massima sicurezza, un firewall (Firewall) funziona sempre insieme a un software antivirus e antispyware.

Nella maggior parte dei casi il firewall viene installato direttamente sulla macchina da lavoro (PC), ma a volte, come nei casi di vari uffici dove sono presenti molti computer, il firewall viene installato come dispositivo fisico ( ma ne parleremo più avanti). Utenti della sala operatoria Sistemi Windows, non è necessario installare autonomamente un firewall ( separatamente), poiché il sistema operativo inizialmente ha il proprio - firewall di Windows.

Firewall: come funziona, in parole semplici.

Senza entrare nei complessi dettagli tecnici, il lavoro del Firewall può essere descritto come segue. Quando un utente avvia un programma relativo a Internet come un browser o gioco per computer, il computer si collega a un sito Web remoto e invia informazioni sul sistema informatico dell'utente. Tuttavia, prima che i dati vengano inviati o ricevuti, passano attraverso un firewall ( firewall), dove a seconda dei parametri impostati i dati verranno saltati o interrotti.

In senso figurato, nel processo del suo lavoro, il firewall agisce come una sorta di guardia di frontiera o doganiere che monitora tutto ciò che viene esportato e importato sul computer. Inoltre, tra le sue responsabilità rientra il controllo della conformità dei pacchetti di dati con i parametri richiesti. Pertanto, un firewall può aiutare a impedire l'esecuzione di malware esistenti come cavalli di Troia e altri spyware. In parole semplici, lo schermo semplicemente non trasmetterà a Internet i dati raccolti da questi programmi. Ma questo, ovviamente, è tutto in teoria, poiché tali programmi dannosi vengono costantemente migliorati e imparano a ingannare i firewall.

Cos'è un firewall hardware e come proteggere la tua rete?

Un firewall hardware lo è un dispositivo fisico che connette un computer o una rete a Internet utilizzando determinate tecniche avanzate per proteggerlo dall'accesso non autorizzato. Router cablati, gateway a banda larga e router senza fili includere firewall hardware che proteggono tutti i computer della rete. I firewall hardware utilizzano diversi tipi di sicurezza per proteggere la rete: filtraggio dei pacchetti, ispezione dei pacchetti con stato, traduzione degli indirizzi di rete e gateway a livello di applicazione.

Firewall di filtraggio dei pacchetti controlla tutti i pacchetti di dati inviati da e verso il sistema. Inoltra i dati in base a una serie di regole definite dall'amministratore di rete. Questo firewall hardware controlla l'intestazione del pacchetto e filtra i pacchetti in base all'indirizzo di origine, all'indirizzo di destinazione e alla porta. Se un pacchetto non rispetta le regole o non soddisfa i criteri di blocco, non gli è consentito passare attraverso il computer o la rete.

Filtraggio dinamico dei pacchetti o Stateful Packet Inspection, questo è un metodo di sicurezza più complesso. Questo firewall monitora la provenienza del pacchetto per capire cosa farne. Verifica se i dati sono stati inviati in risposta ad una richiesta di maggiori informazioni o se sono semplicemente comparsi da soli. I pacchetti che non corrispondono allo stato di connessione specificato vengono rifiutati.

Un altro modo per garantire la sicurezza è un router NAT (Network Address Translation). Nasconde un computer o una rete di computer al mondo esterno, presentandone uno al pubblico per l'accesso a Internet. L'indirizzo IP del firewall è l'unico indirizzo valido in questo scenario ed è l'unico indirizzo IP presentato a tutti i computer della rete. Ad ogni computer all'interno della rete viene assegnato un proprio indirizzo IP, valido solo all'interno della rete. Questa opzione di sicurezza è molto efficace perché consente di utilizzare un solo indirizzo IP pubblico per inviare e ricevere pacchetti di informazioni. Il che a sua volta riduce notevolmente la possibilità di introdurre malware. Questo firewall hardware viene solitamente implementato su un computer separato sulla rete, che ha l'unica funzione di funzionare come file . È piuttosto complesso ed è considerato uno dei tipi di firewall hardware più sicuri.

Problemi di base con i firewall.

Ce ne sono diversi problemi comuni problemi che potrebbero verificarsi a seguito dell'utilizzo di un firewall. Il problema più comune è che oltre al malware, il firewall spesso blocca il normale traffico di cui abbiamo bisogno. Alcuni siti Web potrebbero avere accesso limitato o non si sono aperti perché sono stati diagnosticati erroneamente. Molto spesso sorgono problemi con giochi in rete, poiché il firewall spesso riconosce questo traffico come dannoso e blocca l'esecuzione dei programmi. Sulla base di ciò, va notato che sebbene un firewall sia una cosa molto utile, deve essere configurato correttamente in modo da non rovinare la vita con i suoi divieti.

Categorie: , // da