Nella sezione sulla domanda Cos'è un firewall e dove può essere posizionato? dato dall'autore Storto la risposta migliore è Questa è protezione da qualsiasi tentativo di penetrazione nel tuo computer e da qualsiasi programma dannoso. Se è Windows standard, puoi trovarlo nel pannello di controllo (Firewall)

Risposta da Succhiare[guru]
Riavvia il tuo computer

Risposta da Sciacquone[guru]
leggimi leggi

Risposta da Criceto malvagio[guru]
Il muro tagliafuoco è tradotto. È integrato in XP Service Pack 2. Vedi Centro sicurezza.

Risposta da Zaichena[maestro]
Il firewall è attivo su vari dispositivi, penso che sia a Victory Park, ma potrei sbagliarmi.

Risposta da *lix[esperto]
Firewall o firewall (jarg: firewall o firewall dall'inglese firewall) - un complesso di hardware e/o Software, che controlla e filtra chi lo attraversa pacchetti di rete ai vari livelli del modello OSI secondo regole specificate. Il compito principale di un firewall è proteggere le reti di computer o i singoli nodi da accessi non autorizzati. Inoltre, i firewall sono spesso chiamati filtri, perché il loro compito principale è quello di non consentire (filtrare) i pacchetti che non soddisfano i criteri definiti nella configurazione.

Risposta da Utente eliminato[novizio]
firewall: a) software: un programma per proteggere e monitorare l'attività di rete di un computer, ad es. da attacchi dalla rete e simili.
b) hardware - se non sbaglio, la stessa cosa, non è un programma ma un dispositivo esterno, comunque, una cosa utile :)
il firewall sembra essere la stessa cosa

31ottobre

Cos'è un firewall (Firewall)

Firewall O Il firewall lo è un programma per computer il cui scopo è proteggere il computer da virus e. Il firewall monitora il traffico di rete in ingresso al sistema operativo e aiuta a bloccare il malware che tenta di accedere alle informazioni personali dell'utente. Inoltre, i termini Firewall e Firewall hanno un'altra definizione. Questi termini sono comunemente usati per descrivere i muri di cinta resistenti al fuoco, che in teoria dovrebbero proteggere le case dagli incendi in aree densamente edificate.

Cos'è un firewall (firewall) - in parole semplici.

In parole semplici, Firewall (Firewall) è protettivo speciale programmi per computer, che scansionano costantemente i dati ricevuti e inviati a Internet. In senso figurato, si tratta di muri virtuali che proteggono il computer dai pericoli di Internet: virus, rootkit, spyware, ecc. Anche se vale la pena notare che un firewall non è l'unica o la più affidabile fonte di protezione per il tuo computer. Di norma, per garantire la massima sicurezza, un firewall (Firewall) funziona sempre insieme a un software antivirus e antispyware.

Nella maggior parte dei casi il firewall viene installato direttamente sulla macchina da lavoro (PC), ma a volte, come nei casi di vari uffici dove sono presenti molti computer, il firewall viene installato come dispositivo fisico ( ma ne parleremo più avanti). Utenti della sala operatoria Sistemi Windows, non è necessario installare autonomamente un firewall ( separatamente), poiché il sistema operativo inizialmente ha il proprio - firewall di Windows.

Firewall: come funziona, in parole semplici.

Senza entrare nei complessi dettagli tecnici, il lavoro del Firewall può essere descritto come segue. Quando un utente avvia un programma relativo a Internet come un browser o gioco per computer, il computer si collega a un sito Web remoto e invia informazioni sul sistema informatico dell'utente. Tuttavia, prima che i dati vengano inviati o ricevuti, passano attraverso un firewall ( firewall), dove a seconda dei parametri impostati i dati verranno saltati o interrotti.

In senso figurato, nel processo del suo lavoro, il firewall agisce come una sorta di guardia di frontiera o doganiere che monitora tutto ciò che viene esportato e importato sul computer. Inoltre, tra le sue responsabilità rientra il controllo della conformità dei pacchetti di dati con i parametri richiesti. Pertanto, un firewall può aiutare a impedire l'esecuzione di malware esistenti come cavalli di Troia e altri spyware. In parole semplici, lo schermo semplicemente non trasmetterà a Internet i dati raccolti da questi programmi. Ma questo, ovviamente, è tutto in teoria, poiché tali programmi dannosi vengono costantemente migliorati e imparano a ingannare i firewall.

Cos'è un firewall hardware e come proteggere la tua rete?

Un firewall hardware lo è un dispositivo fisico che connette un computer o una rete a Internet utilizzando determinate tecniche avanzate per proteggerlo dall'accesso non autorizzato. Router cablati, gateway a banda larga e router senza fili includere firewall hardware che proteggono tutti i computer della rete. I firewall hardware utilizzano diversi tipi di sicurezza per proteggere la rete: filtraggio dei pacchetti, ispezione dei pacchetti con stato, traduzione degli indirizzi di rete e gateway a livello di applicazione.

Firewall di filtraggio dei pacchetti controlla tutti i pacchetti di dati inviati da e verso il sistema. Inoltra i dati in base a una serie di regole definite dall'amministratore di rete. Questo firewall hardware controlla l'intestazione del pacchetto e filtra i pacchetti in base all'indirizzo di origine, all'indirizzo di destinazione e alla porta. Se un pacchetto non rispetta le regole o non soddisfa i criteri di blocco, non gli è consentito passare attraverso il computer o la rete.

Filtraggio dinamico dei pacchetti o Stateful Packet Inspection, questo è un metodo di sicurezza più complesso. Questo firewall monitora la provenienza del pacchetto per capire cosa farne. Verifica se i dati sono stati inviati in risposta ad una richiesta di maggiori informazioni o se sono semplicemente comparsi da soli. I pacchetti che non corrispondono allo stato di connessione specificato vengono rifiutati.

Un altro modo per garantire la sicurezza è un router NAT (Network Address Translation). Nasconde un computer o una rete di computer al mondo esterno, presentandone uno al pubblico per l'accesso a Internet. L'indirizzo IP del firewall è l'unico indirizzo valido in questo scenario ed è l'unico indirizzo IP presentato a tutti i computer della rete. Ad ogni computer all'interno della rete viene assegnato un proprio indirizzo IP, valido solo all'interno della rete. Questa opzione di sicurezza è molto efficace perché consente di utilizzare un solo indirizzo IP pubblico per inviare e ricevere pacchetti di informazioni. Il che a sua volta riduce notevolmente la possibilità di introdurre malware. Questo firewall hardware viene solitamente implementato su un computer separato sulla rete, che ha l'unica funzione di funzionare come file . È piuttosto complesso ed è considerato uno dei tipi di firewall hardware più sicuri.

Problemi di base con i firewall.

Ce ne sono diversi problemi comuni problemi che potrebbero verificarsi a seguito dell'utilizzo di un firewall. Il problema più comune è che oltre al malware, il firewall spesso blocca il normale traffico di cui abbiamo bisogno. Alcuni siti Web potrebbero avere accesso limitato o non si sono aperti perché sono stati diagnosticati erroneamente. Molto spesso sorgono problemi con giochi in rete, poiché il firewall spesso riconosce questo traffico come dannoso e blocca l'esecuzione dei programmi. Sulla base di ciò, va notato che sebbene un firewall sia una cosa molto utile, deve essere configurato correttamente in modo da non rovinare la vita con i suoi divieti.

Categorie: , // da

Creare un sistema sicuro è un compito complesso. Una delle misure di sicurezza è l'uso di firewall (noti anche come firewall e firewall). Come tutti sappiamo, i firewall sono disponibili in software e hardware. Le possibilità sia del primo che del secondo non sono illimitate. In questo articolo cercheremo di capire cosa possono e cosa non possono fare entrambi i tipi di firewall.

Firewall software e hardware

Il primo passo è parlare di cos'è una soluzione software e cos'è una soluzione hardware. Siamo tutti abituati al fatto che se acquisti un qualche tipo di hardware, questa soluzione si chiama hardware e se è una scatola con software, questo è un segno di una soluzione software. A nostro avviso, la differenza tra una soluzione hardware e una soluzione software è abbastanza arbitraria. Cos'è una scatola di ferro? In sostanza, si tratta dello stesso computer, anche se con un'architettura diversa, anche se con capacità leggermente limitate (non è possibile collegarvi tastiera e monitor, è "su misura" per eseguire una funzione), su cui è installato il software. Il software è una versione di un sistema UNIX con una “faccia web”. Le funzioni di un firewall hardware dipendono dal filtro dei pacchetti utilizzato (anche in questo caso si tratta di un software) e dalla “faccia web” stessa. Tutti i firewall hardware possono essere "reflash", ovvero, in sostanza, semplicemente sostituiti con software. E con il firmware reale (che ai bei vecchi tempi veniva eseguito utilizzando un programmatore), il processo di aggiornamento del "firmware" sui dispositivi moderni ha poco in comune. Il nuovo software viene semplicemente scritto su un'unità flash all'interno dell'hardware. Un firewall software è un software installato su un normale computer esistente, ma nel caso di un firewall hardware non è possibile farlo senza software e nel caso di un firewall software non è possibile farlo senza hardware. Ecco perché la linea tra questi tipi di firewall è molto arbitraria.
La più grande differenza tra un firewall software e uno hardware non è nemmeno la funzionalità. Nessuno ti disturba a scegliere un firewall hardware con le funzioni necessarie. La differenza sta nella modalità di utilizzo. Di norma, su ogni PC della rete (su ogni server e su ogni workstation) è installato un firewall software e un firewall hardware fornisce protezione non per un singolo PC, ma per l'intera rete contemporaneamente. Naturalmente nessuno ti impedirà di installare un firewall hardware per ogni PC, ma è tutta una questione di soldi. Considerando il costo dell'hardware, è improbabile che tu voglia proteggere ogni hardware del PC con un firewall.

Vantaggi dei firewall hardware

I firewall hardware presentano i seguenti vantaggi:

• Relativa facilità di distribuzione e utilizzo. L'ho collegato, acceso, impostato i parametri tramite interfaccia web e mi sono dimenticato della sua esistenza. Tuttavia, software moderno firewall supporto, che non richiederà molto tempo. Ma, in primo luogo, non tutti i firewall supportano ActiveDirectory e, in secondo luogo, le aziende non utilizzano sempre Windows.
• Dimensioni e consumo energetico. In genere, i firewall hardware sono di dimensioni più ridotte e richiedono meno energia. Tuttavia, il consumo energetico non gioca sempre un ruolo, ma le dimensioni sono importanti. Una piccola scatola compatta è una cosa, un'enorme "unità di sistema" è un'altra.
• Prestazione. In genere, le prestazioni di una soluzione hardware sono più elevate. Se non altro perché il firewall hardware è impegnato solo nella sua funzione immediata: il filtraggio dei pacchetti. Non esegue processi o servizi di terze parti, come spesso accade con i firewall software. Immagina di aver organizzato un gateway software (con funzioni firewall e NAT) basato su un server con Windows Server. È improbabile che dedicherai un intero server solo al firewall e al NAT. Questo è irrazionale. Molto probabilmente, su di esso verranno eseguiti altri servizi: lo stesso AD, DNS, ecc. Sono già in silenzio sul DBMS e sui servizi postali.
• Affidabilità. Si ritiene che le soluzioni hardware siano più affidabili (proprio perché raramente eseguono servizi di terze parti). Ma nessuno ti impedisce di selezionare un'unità di sistema separata (anche se non la più moderna), installarvi lo stesso FreeBSD (uno dei sistemi operativi più affidabili al mondo) e impostare le regole del firewall. Penso che l'affidabilità di tale soluzione non sarà inferiore a quella del firewall hardware. Ma un compito del genere richiede qualifiche avanzate di amministratore, motivo per cui è stato precedentemente notato che le soluzioni hardware sono più facili da usare.

Vantaggi dei firewall software

Ai benefici soluzioni software relazionare:

• Prezzo. Il prezzo di un firewall software è generalmente inferiore a quello dell'hardware. Al prezzo di una soluzione hardware media, puoi proteggere l'intera rete con un firewall software.
• Possibilità di proteggere la tua rete dall'interno. Non sempre le minacce provengono dall’esterno. Esistono molte minacce all'interno di una rete locale. Gli attacchi possono provenire da computer interni. Qualsiasi utente LAN, ad esempio, insoddisfatto dell'azienda, può avviare un attacco. Come già notato, ovviamente è possibile utilizzare un router hardware separato per proteggere ogni singolo nodo, ma in pratica non ci siamo imbattuti in tali soluzioni. Sono troppo irrazionali.
• Possibilità di delimitare segmenti di rete locale senza allocare sottoreti. Nella maggior parte dei casi, i computer di diversi reparti sono collegati alla rete locale, ad esempio contabilità, dipartimento finanziario, dipartimento IT, ecc. Questi computer non hanno sempre bisogno di comunicare tra loro. Come differenziare l'ISPDn? La prima soluzione è creare diverse sottoreti (ad esempio, 192.168.1.0, 192.168.2.0, ecc.) e configurare adeguatamente il routing tra queste sottoreti. Questo non vuol dire che la soluzione sia molto complicata, ma è comunque più complicata dell'utilizzo di un firewall software. E non è sempre possibile distinguere le sottoreti per un motivo o per l'altro. La seconda soluzione consiste nell'utilizzare un firewall progettato specificamente per proteggere l'ISPD (non tutti i firewall software lo rendono semplice). In questo caso, anche nella rete più grande, eseguirai la differenziazione ISPD in pochi minuti e non dovrai preoccuparti delle impostazioni del routing.
• Possibilità di distribuzione su server esistenti. Non ha senso acquistare un altro componente hardware se si dispone di un parco computer sufficiente. È sufficiente implementare un firewall su uno dei server e configurare NAT e routing. In genere entrambe queste operazioni vengono eseguite utilizzando GUI firewall e vengono implementati con pochi clic del mouse nei posti giusti.
• Funzionalità avanzate. Di norma, la funzionalità dei firewall software è più ampia di quella delle loro controparti hardware. Pertanto, alcuni firewall forniscono funzioni di bilanciamento del carico, IDS/IPS e cose utili simili che possono migliorare la sicurezza complessiva del sistema di elaborazione dei dati. Sì, non tutti i firewall software dispongono di queste funzionalità, ma nulla ti impedisce di scegliere il firewall adatto alle tue esigenze. Naturalmente anche alcuni sistemi hardware dispongono di tali funzioni. Ad esempio, StoneGate IPS fornisce la funzionalità di un sistema di prevenzione delle intrusioni, ma il costo di tali soluzioni non sempre piacerà al management aziendale. Esistono anche bilanciatori del carico hardware, ma sono ancora più costosi degli IPS hardware.

Non scriveremo degli svantaggi: derivano dai vantaggi. I vantaggi di un tipo di firewall sono solitamente gli svantaggi di un altro tipo. Ad esempio, gli svantaggi delle soluzioni hardware includono il costo e l'impossibilità di proteggere la rete locale dall'interno, mentre gli svantaggi delle soluzioni software includono la complessità di implementazione e utilizzo (anche se, come notato, tutto è relativo).
Tuttavia, vale la pena menzionare uno svantaggio dei firewall hardware. Di norma, tutti i firewall hardware dispongono di un pulsante di ripristino, premendo il quale è possibile ripristinare le impostazioni predefinite. Non sono necessarie qualifiche speciali per premere questo pulsante. Ma per modificare le impostazioni di un firewall software è necessario, come minimo, ottenere i diritti di amministratore. Con il semplice clic di un pulsante, un dipendente scontento può compromettere la sicurezza di un'intera azienda (o lasciare l'azienda senza accesso a Internet, il che è ancora meglio). Pertanto, quando si utilizzano soluzioni hardware, è necessario adottare un approccio più responsabile nei confronti della sicurezza fisica dei dispositivi stessi.

La battaglia dei firewall

Successivamente cercheremo di capire quale firewall offre una protezione migliore: software o hardware. L'hardware sarà il firewall integrato nel router da TP-Link. Come software: Cybersafe Firewall.
Per testare i firewall, utilizzeremo le utilità del sito www.testmypcsecurity.com, ovvero Jumper, DNStester e CPIL Suite (sviluppato da Comodo). Un avvertimento: a differenza di strumenti certificati come XSpider, queste utility utilizzano le stesse tecniche del malware che simulano. Ecco perché durante il test (se si desidera ripetere i risultati) è necessario disattivare tutti gli strumenti di protezione antivirus.
Si potrebbe ovviamente prendere in considerazione XSpider, ma questo test sarebbe troppo noioso e poco interessante per il lettore finale. E chi può immaginare un utente malintenzionato che utilizza uno scanner certificato?
Brevemente sulle utilità:

• Jumper: consente di bypassare il firewall utilizzando i metodi "DLL injection" e "thread injection".
• Tester DNS: utilizza una query DNS ricorsiva per bypassare il firewall.
• CPIL Suite: una serie di test (3 test) da Comodo.

Tutte queste utilità verranno lanciate dall'interno, cioè direttamente dai computer in fase di test. Ma all'esterno effettueremo la scansione con il buon vecchio nmap.
Quindi abbiamo due computer. Entrambi sono connessi a Internet. Uno è connesso tramite un firewall hardware (alimentato da un router TP-Link) e non ha un firewall software o un antivirus installato. Il secondo computer è connesso direttamente a Internet ed è protetto dal firewall software CyberSafe. Sul primo computer è installato Windows 7, sul secondo è installato Windows Server 2008 R2.

Prova 1: saltatore

Jumper, avviato con diritti di amministratore (a dire il vero, molti utenti lavorano con tali diritti), ha completato con successo il suo compito in Windows 7 (Fig. 1). Niente poteva fermarlo: dopo tutto, sul nostro sistema non era installato un singolo strumento di sicurezza, né antivirus, né firewall, né IDS/IPS, e al firewall hardware non interessa cosa succede sui computer client. Non può influenzare in alcun modo ciò che sta accadendo.

Riso. 1. Ponticello in Windows 7

Per essere onesti, va notato che se l'utente non avesse lavorato come amministratore, per Jumper non avrebbe funzionato nulla.
In Windows Server 2008 il Jumper non si avviava nemmeno, ma questo non è merito del firewall, ma del sistema operativo stesso. Pertanto esiste la parità tra i firewall, poiché la protezione contro questa vulnerabilità può essere fornita dal sistema operativo stesso.

Prova 2. DNStester

Lo scopo di questo test è inviare una query DNS ricorsiva. Per impostazione predefinita, a partire da Windows 2000, il servizio DNS di Windows Il client accetta e gestisce tutte le query DNS. In questo modo, tutte le richieste DNS provenienti da tutte le applicazioni del sistema verranno inviate al client DNS (SVCHOST.EXE). La richiesta DNS stessa viene effettuata direttamente dal client DNS. DNStester utilizza una query DNS ricorsiva per aggirare il firewall, in altre parole, il servizio chiama se stesso.

Riso. 2. Test fallito

Se le impostazioni del firewall vengono lasciate ai valori predefiniti, né il software né il firewall hardware potrebbero far fronte a questo test. È chiaro che un firewall hardware non si preoccupa di ciò che accade sulla workstation, quindi non ci si può aspettare che protegga il sistema da questa vulnerabilità. In ogni caso, con le impostazioni predefinite (e praticamente non sono cambiate).
Ma questo non significa che Cybersafe Firewall sia un cattivo firewall. Quando il livello di sicurezza è stato aumentato al terzo, il test è stato completamente superato (vedi Fig. 3). Il programma ha segnalato un errore nella richiesta DNS. Per assicurarsi che non fosse colpa di Windows Server 2008, il test è stato ripetuto su una macchina con Windows 7.

Riso. 3. Test superato (DNStest)

Per essere onesti, va notato che se sul computer è installato un antivirus, molto probabilmente questa applicazione verrà messa in quarantena, ma riuscirà comunque a inviare una richiesta (Fig. 4).

Riso. 4. Comodo Antivirus ha bloccato un'applicazione indesiderata

Test 3. Suite di test di Comodo (CPIL)

Pertanto, il firewall hardware con le impostazioni predefinite non ha superato tutti e tre i test CPIL (se si fa clic su Ulteriori informazioni sul test, verrà visualizzata una finestra che spiega il principio del test). Ma li ha delusi in qualche strano modo. Il superamento del test prevede la seguente sequenza di azioni:

1. È necessario inserire i dati trasmessi. Abbiamo inserito i valori 1, 2, 3 rispettivamente per i test 1, 2 e 3.
2. Successivamente premere uno dei pulsanti di chiamata di prova (Fig. 5)

Riso. 5.Suite di test CPIL

Successivamente, dovrebbe aprirsi un browser con i risultati del test. Oltre al messaggio che il test non è riuscito, la pagina dei risultati avrebbe dovuto visualizzare il valore immesso, che è stato passato allo script come parametro GET (vedere Figura 6). Si può vedere che il valore (2 nella barra degli indirizzi) è stato passato, ma lo script non lo ha visualizzato. Bug nello script Comodo? Naturalmente tutti commettono errori, ma la nostra fiducia in questo test è diminuita.

Riso. 6. Risultato del test (firewall hardware)

Ma quando si utilizza un firewall software, i test CPIL non vengono nemmeno eseguiti. Premendo i pulsanti 1 - 3 non è successo nulla (Fig. 7). È davvero colpa di Windows Server 2008 e non del firewall? Abbiamo deciso di provarlo. Pertanto, Cybersafe Firewall è stato installato su un computer Windows 7 protetto da un firewall hardware. Ma in Windows 7 l'utilità è riuscita a sfondare le difese del firewall. Il primo e il terzo test sono stati superati, ma quando abbiamo premuto il pulsante Test 2 abbiamo dovuto contemplare la finestra Browser Chrome, simile a quello mostrato in Fig. 6.

Riso. 7. Quando fai clic sul pulsante, non succede nulla (puoi vedere che l'antivirus è disabilitato)

Riso. 8. Prove 1 e 3 superate

Test 4. Scansione dall'esterno

Prima di ciò abbiamo provato a sfondare il firewall dall'interno. Ora proviamo a scansionare i sistemi protetti da un firewall. Effettueremo la scansione scanner nmap. Nessuno dubitava dei risultati del firewall hardware: tutto era chiuso ed era impossibile persino determinare il tipo di sistema testato (Fig. 9 e 10). In tutte le illustrazioni successive gli indirizzi IP vengono nascosti perché sono permanenti, in modo che nessuno abbia il desiderio di ripetere il test sui nostri indirizzi.

Riso. 9. Scansiona il tuo firewall hardware

Riso. 10. Scansione firewall hardware (dettagli host)

Ora proviamo a scansionare un sistema protetto da un firewall software. È chiaro che per impostazione predefinita il firewall del software consentirà il passaggio di qualsiasi cosa (Fig. 11).

Riso. undici. Porti aperti(firewall software, impostazioni predefinite)

Riso. 12. Tipo di sistema determinato (firewall software, impostazioni predefinite)

Una volta stabilite le regole, tutto va a posto (Fig. 13). Come puoi vedere, un firewall software garantisce la sicurezza del sistema protetto non peggiore della sua controparte “hardware”.

Riso. 13. Nessuna porta aperta

Attacchi alla rete locale

Perché è così importante fornire protezione all'interno della rete locale? Molti amministratori erroneamente non prestano attenzione alla protezione dall'interno, ma invano. Dopotutto, all’interno di una rete locale possono essere attuati molti attacchi. Diamo un'occhiata ad alcuni di loro.

Attacco ARP

Prima di connettersi alla rete, il computer invia una richiesta ARP per scoprire se l'indirizzo IP del computer è occupato. Quando sulla rete locale sono presenti più macchine Windows con lo stesso indirizzo IP, l'utente vede una finestra con un messaggio che informa che l'indirizzo IP è occupato (utilizzato da un altro computer). Windows sa che un indirizzo IP è occupato tramite il protocollo ARP.
Un attacco ARP coinvolge un utente malintenzionato che inonda le macchine che stanno funzionando Controllo di Windows. Inoltre, verranno inviate centinaia di richieste a ciascun computer, di conseguenza l'utente non sarà in grado di chiudere le finestre pop-up costanti e sarà costretto almeno a riavviare il computer.
La situazione non è piacevole. Ma la presenza di un firewall su una workstation annullerà tutti gli sforzi dell'aggressore.

Attacchi DoS, inclusi vari attacchi Flood

Gli attacchi DoS (attacchi Denial) sono possibili non solo su Internet, ma anche sulle reti locali. Differiscono solo i metodi di tali attacchi. La natura degli attacchi DoS può essere qualsiasi, tuttavia è impossibile combatterli senza un firewall installato su ogni macchina della rete locale.
Un tipo di attacco DoS che può essere utilizzato con successo su una rete locale è il Flood ICMP. Firewall CyberSafe Firewall contiene strumenti dedicati per contrastare questo tipo di attacchi (Fig. 14). Contiene inoltre strumenti di bilanciamento del carico del server, che possono anche aiutare a combattere gli attacchi DoS.

Riso. 14. Sicurezza ICMP (CyberSafe Firewall)

Modifica dell'indirizzo MAC

In una rete locale i computer vengono identificati non solo tramite l'indirizzo IP, ma anche tramite l'indirizzo MAC. Alcuni amministratori consentono l'accesso a determinate risorse tramite indirizzo MAC, poiché gli indirizzi IP sono generalmente dinamici e emessi da DHCP. Questa soluzione non è molto giustificata, poiché l'indirizzo MAC è molto facile da modificare. Purtroppo non è sempre possibile proteggersi dalle modifiche dell'indirizzo MAC utilizzando un firewall. Non tutti i firewall tengono traccia delle modifiche degli indirizzi MAC, poiché in genere sono legate agli indirizzi IP. La soluzione più efficace in questo caso è utilizzare uno switch, che consente di associare l'indirizzo MAC a una porta fisica specifica dello switch. È quasi impossibile ingannare tale protezione, ma costa anche molto. È vero, c'è anche metodi software combattere le modifiche dell'indirizzo MAC, ma sono meno efficaci. Se sei interessato a un firewall in grado di riconoscere lo spoofing dell'indirizzo MAC, presta attenzione a Kaspersky Internet Security 8.0. È vero, quest'ultimo può riconoscere solo la sostituzione dell'indirizzo MAC del gateway. Ma riconosce pienamente la sostituzione dell’indirizzo IP di un computer e l’IP Flooding.

Spoofing dell'indirizzo IP

Nelle reti in cui l'accesso alle risorse è limitato dagli indirizzi IP, un utente malintenzionato può modificare l'indirizzo IP e ottenere l'accesso alla risorsa protetta. Quando si utilizza il firewall Cybersafe Firewall, uno scenario del genere è impossibile, poiché non esiste alcun legame con gli indirizzi IP nemmeno per il firewall stesso. Anche se si modifica l’indirizzo IP del computer, questo non verrà comunque incluso nell’ISDN in cui l’aggressore tenta di penetrare.

Attacchi in rotta

Questo tipo di attacco si basa sull’invio di pacchetti ICMP “falsi” alla vittima. L'essenza di questo attacco è lo spoofing dell'indirizzo del gateway: un pacchetto ICMP viene inviato alla vittima, informandola di un percorso più breve. Ma in realtà i pacchetti non passeranno attraverso il nuovo router, ma attraverso il computer dell'aggressore. Come notato in precedenza, Cybersafe Firewall fornisce la sicurezza ICMP. Allo stesso modo è possibile utilizzare altri firewall.

Esistono molti altri attacchi alle reti locali: sia sniffer che vari attacchi che utilizzano DNS. Comunque sia, l'uso di firewall software installati su ciascuna postazione di lavoro può migliorare significativamente la sicurezza.

conclusioni

Protezione sistema informativo dovrebbe essere completo: include firewall software e hardware, antivirus e impostazione corretta il sistema stesso. Per quanto riguarda il nostro confronto tra firewall software e hardware, i primi vengono effettivamente utilizzati per proteggere ciascun nodo della rete, mentre i secondi vengono utilizzati per proteggere l'intera rete nel suo insieme. Un firewall hardware non può proteggere ogni singola postazione di lavoro, è impotente contro gli attacchi all'interno della rete e non può nemmeno distinguere tra ISDN, cosa che deve essere fatta nell'ambito della protezione dei dati personali.

tag:

• firewall
• firewall

Aggiungere etichette

Creare un sistema sicuro è un compito complesso. Una delle misure di sicurezza è l'uso di firewall (noti anche come firewall e firewall). Come tutti sappiamo, i firewall sono disponibili in software e hardware. Le possibilità sia del primo che del secondo non sono illimitate. In questo articolo cercheremo di capire cosa possono e cosa non possono fare entrambi i tipi di firewall.

Firewall software e hardware

Il primo passo è parlare di cos'è una soluzione software e cos'è una soluzione hardware. Siamo tutti abituati al fatto che se acquisti un qualche tipo di hardware, questa soluzione si chiama hardware e se è una scatola con software, questo è un segno di una soluzione software. A nostro avviso, la differenza tra una soluzione hardware e una soluzione software è abbastanza arbitraria. Cos'è una scatola di ferro? In sostanza, si tratta dello stesso computer, anche se con un'architettura diversa, anche se con capacità leggermente limitate (non è possibile collegarvi tastiera e monitor, è "su misura" per eseguire una funzione), su cui è installato il software. Il software è una versione di un sistema UNIX con una “faccia web”. Le funzioni di un firewall hardware dipendono dal filtro dei pacchetti utilizzato (anche in questo caso si tratta di un software) e dalla “faccia web” stessa. Tutti i firewall hardware possono essere "reflash", ovvero, in sostanza, semplicemente sostituiti con software. E con il firmware reale (che ai bei vecchi tempi veniva eseguito utilizzando un programmatore), il processo di aggiornamento del "firmware" sui dispositivi moderni ha poco in comune. Il nuovo software viene semplicemente scritto su un'unità flash all'interno dell'hardware. Un firewall software è un software installato su un normale computer esistente, ma nel caso di un firewall hardware non è possibile farlo senza software e nel caso di un firewall software non è possibile farlo senza hardware. Ecco perché la linea tra questi tipi di firewall è molto arbitraria.
La più grande differenza tra un firewall software e uno hardware non è nemmeno la funzionalità. Nessuno ti disturba a scegliere un firewall hardware con le funzioni necessarie. La differenza sta nella modalità di utilizzo. Di norma, su ogni PC della rete (su ogni server e su ogni workstation) è installato un firewall software e un firewall hardware fornisce protezione non per un singolo PC, ma per l'intera rete contemporaneamente. Naturalmente nessuno ti impedirà di installare un firewall hardware per ogni PC, ma è tutta una questione di soldi. Considerando il costo dell'hardware, è improbabile che tu voglia proteggere ogni hardware del PC con un firewall.

Vantaggi dei firewall hardware

I firewall hardware presentano i seguenti vantaggi:

• Relativa facilità di distribuzione e utilizzo. L'ho collegato, acceso, impostato i parametri tramite interfaccia web e mi sono dimenticato della sua esistenza. Tuttavia, i moderni firewall software supportano l'implementazione tramite ActiveDirectory, che non richiede molto tempo. Ma, in primo luogo, non tutti i firewall supportano ActiveDirectory e, in secondo luogo, le aziende non utilizzano sempre Windows.
• Dimensioni e consumo energetico. In genere, i firewall hardware sono di dimensioni più ridotte e richiedono meno energia. Tuttavia, il consumo energetico non gioca sempre un ruolo, ma le dimensioni sono importanti. Una piccola scatola compatta è una cosa, un'enorme "unità di sistema" è un'altra.
• Prestazione. In genere, le prestazioni di una soluzione hardware sono più elevate. Se non altro perché il firewall hardware è impegnato solo nella sua funzione immediata: il filtraggio dei pacchetti. Non esegue processi o servizi di terze parti, come spesso accade con i firewall software. Immagina di aver organizzato un gateway software (con funzioni firewall e NAT) basato su un server che esegue Windows Server. È improbabile che dedicherai un intero server solo al firewall e al NAT. Questo è irrazionale. Molto probabilmente, su di esso verranno eseguiti altri servizi: lo stesso AD, DNS, ecc. Sono già in silenzio sul DBMS e sui servizi postali.
• Affidabilità. Si ritiene che le soluzioni hardware siano più affidabili (proprio perché raramente eseguono servizi di terze parti). Ma nessuno ti impedisce di selezionare un'unità di sistema separata (anche se non la più moderna), installarvi lo stesso FreeBSD (uno dei sistemi operativi più affidabili al mondo) e impostare le regole del firewall. Penso che l'affidabilità di tale soluzione non sarà inferiore a quella del firewall hardware. Ma un compito del genere richiede qualifiche avanzate di amministratore, motivo per cui è stato precedentemente notato che le soluzioni hardware sono più facili da usare.

Vantaggi dei firewall software

I vantaggi delle soluzioni software includono:

• Prezzo. Il prezzo di un firewall software è generalmente inferiore a quello dell'hardware. Al prezzo di una soluzione hardware media, puoi proteggere l'intera rete con un firewall software.
• Possibilità di proteggere la tua rete dall'interno. Non sempre le minacce provengono dall’esterno. Esistono molte minacce all'interno di una rete locale. Gli attacchi possono provenire da computer interni. Qualsiasi utente LAN, ad esempio, insoddisfatto dell'azienda, può avviare un attacco. Come già notato, ovviamente è possibile utilizzare un router hardware separato per proteggere ogni singolo nodo, ma in pratica non ci siamo imbattuti in tali soluzioni. Sono troppo irrazionali.
• Possibilità di delimitare segmenti di rete locale senza allocare sottoreti. Nella maggior parte dei casi, i computer di diversi reparti sono collegati alla rete locale, ad esempio contabilità, dipartimento finanziario, dipartimento IT, ecc. Questi computer non hanno sempre bisogno di comunicare tra loro. Come differenziare l'ISPDn? La prima soluzione è creare diverse sottoreti (ad esempio, 192.168.1.0, 192.168.2.0, ecc.) e configurare adeguatamente il routing tra queste sottoreti. Questo non vuol dire che la soluzione sia molto complicata, ma è comunque più complicata dell'utilizzo di un firewall software. E non è sempre possibile distinguere le sottoreti per un motivo o per l'altro. La seconda soluzione consiste nell'utilizzare un firewall progettato specificamente per proteggere l'ISPD (non tutti i firewall software consentono di distinguere facilmente tra ISPD). In questo caso, anche nella rete più grande, eseguirai la differenziazione ISPD in pochi minuti e non dovrai preoccuparti delle impostazioni del routing.
• Possibilità di distribuzione su server esistenti. Non ha senso acquistare un altro componente hardware se si dispone di un parco computer sufficiente. È sufficiente implementare un firewall su uno dei server e configurare NAT e routing. In genere, entrambe queste operazioni vengono eseguite tramite la GUI del firewall e implementate con pochi clic nei punti giusti.
• Funzionalità avanzate. Di norma, la funzionalità dei firewall software è più ampia di quella delle loro controparti hardware. Pertanto, alcuni firewall forniscono funzioni di bilanciamento del carico, IDS/IPS e cose utili simili che possono migliorare la sicurezza complessiva del sistema di elaborazione dei dati. Sì, non tutti i firewall software dispongono di queste funzionalità, ma nulla ti impedisce di scegliere il firewall adatto alle tue esigenze. Naturalmente anche alcuni sistemi hardware dispongono di tali funzioni. Ad esempio, StoneGate IPS fornisce la funzionalità di un sistema di prevenzione delle intrusioni, ma il costo di tali soluzioni non sempre piacerà al management aziendale. Esistono anche bilanciatori del carico hardware, ma sono ancora più costosi degli IPS hardware.

Non scriveremo degli svantaggi: derivano dai vantaggi. I vantaggi di un tipo di firewall sono solitamente gli svantaggi di un altro tipo. Ad esempio, gli svantaggi delle soluzioni hardware includono il costo e l'impossibilità di proteggere la rete locale dall'interno, mentre gli svantaggi delle soluzioni software includono la complessità di implementazione e utilizzo (anche se, come notato, tutto è relativo).
Tuttavia, vale la pena menzionare uno svantaggio dei firewall hardware. Di norma, tutti i firewall hardware dispongono di un pulsante di ripristino, premendo il quale è possibile ripristinare le impostazioni predefinite. Non sono necessarie qualifiche speciali per premere questo pulsante. Ma per modificare le impostazioni di un firewall software è necessario, come minimo, ottenere i diritti di amministratore. Con il semplice clic di un pulsante, un dipendente scontento può compromettere la sicurezza di un'intera azienda (o lasciare l'azienda senza accesso a Internet, il che è ancora meglio). Pertanto, quando si utilizzano soluzioni hardware, è necessario adottare un approccio più responsabile nei confronti della sicurezza fisica dei dispositivi stessi.

La battaglia dei firewall

Successivamente cercheremo di capire quale firewall offre una protezione migliore: software o hardware. L'hardware sarà il firewall integrato nel router da TP-Link. Come software: Cybersafe Firewall.
Per testare i firewall, utilizzeremo le utilità del sito www.testmypcsecurity.com, ovvero Jumper, DNStester e CPIL Suite (sviluppato da Comodo). Un avvertimento: a differenza di strumenti certificati come XSpider, queste utility utilizzano le stesse tecniche del malware che simulano. Ecco perché durante il test (se si desidera ripetere i risultati) è necessario disattivare tutti gli strumenti di protezione antivirus.
Si potrebbe ovviamente prendere in considerazione XSpider, ma questo test sarebbe troppo noioso e poco interessante per il lettore finale. E chi può immaginare un utente malintenzionato che utilizza uno scanner certificato?
Brevemente sulle utilità:

• Jumper: consente di bypassare il firewall utilizzando i metodi "DLL injection" e "thread injection".
• Tester DNS: utilizza una query DNS ricorsiva per bypassare il firewall.
• CPIL Suite: una serie di test (3 test) da Comodo.

Tutte queste utilità verranno lanciate dall'interno, cioè direttamente dai computer in fase di test. Ma all'esterno effettueremo la scansione con il buon vecchio nmap.
Quindi abbiamo due computer. Entrambi sono connessi a Internet. Uno è connesso tramite un firewall hardware (alimentato da un router TP-Link) e non ha un firewall software o un antivirus installato. Il secondo computer è connesso direttamente a Internet ed è protetto dal firewall software CyberSafe. Sul primo computer è installato Windows 7, sul secondo è installato Windows Server 2008 R2.

Prova 1: saltatore

Jumper, avviato con diritti di amministratore (a dire il vero, molti utenti lavorano con tali diritti), ha completato con successo il suo compito in Windows 7 (Fig. 1). Niente poteva fermarlo: dopo tutto, sul nostro sistema non era installato un singolo strumento di sicurezza, né antivirus, né firewall, né IDS/IPS, e al firewall hardware non interessa cosa succede sui computer client. Non può influenzare in alcun modo ciò che sta accadendo.

Riso. 1. Ponticello in Windows 7

Per essere onesti, va notato che se l'utente non avesse lavorato come amministratore, per Jumper non avrebbe funzionato nulla.
In Windows Server 2008 il Jumper non si avviava nemmeno, ma questo non è merito del firewall, ma del sistema operativo stesso. Pertanto esiste la parità tra i firewall, poiché la protezione contro questa vulnerabilità può essere fornita dal sistema operativo stesso.

Prova 2. DNStester

Lo scopo di questo test è inviare una query DNS ricorsiva. Per impostazione predefinita, a partire da Windows 2000, Servizio Windows Il client DNS accetta e gestisce tutte le query DNS. In questo modo, tutte le richieste DNS provenienti da tutte le applicazioni del sistema verranno inviate al client DNS (SVCHOST.EXE). La richiesta DNS stessa viene effettuata direttamente dal client DNS. DNStester utilizza una query DNS ricorsiva per aggirare il firewall, in altre parole, il servizio chiama se stesso.

Riso. 2. Test fallito

Se le impostazioni del firewall vengono lasciate ai valori predefiniti, né il software né il firewall hardware potrebbero far fronte a questo test. È chiaro che un firewall hardware non si preoccupa di ciò che accade sulla workstation, quindi non ci si può aspettare che protegga il sistema da questa vulnerabilità. In ogni caso, con le impostazioni predefinite (e praticamente non sono cambiate).
Ma questo non significa che Cybersafe Firewall sia un cattivo firewall. Quando il livello di sicurezza è stato aumentato al terzo, il test è stato completamente superato (vedi Fig. 3). Il programma ha segnalato un errore nella richiesta DNS. Per assicurarsi che non fosse colpa di Windows Server 2008, il test è stato ripetuto su una macchina con Windows 7.

Riso. 3. Test superato (DNStest)

Per essere onesti, va notato che se sul computer è installato un antivirus, molto probabilmente questa applicazione verrà messa in quarantena, ma riuscirà comunque a inviare una richiesta (Fig. 4).

Riso. 4. Comodo Antivirus ha bloccato un'applicazione indesiderata

Test 3. Suite di test di Comodo (CPIL)

Pertanto, il firewall hardware con le impostazioni predefinite non ha superato tutti e tre i test CPIL (se si fa clic su Ulteriori informazioni sul test, verrà visualizzata una finestra che spiega il principio del test). Ma li ha delusi in qualche strano modo. Il superamento del test prevede la seguente sequenza di azioni:

1. È necessario inserire i dati trasmessi. Abbiamo inserito i valori 1, 2, 3 rispettivamente per i test 1, 2 e 3.
2. Successivamente premere uno dei pulsanti di chiamata di prova (Fig. 5)

Riso. 5.Suite di test CPIL

Successivamente, dovrebbe aprirsi un browser con i risultati del test. Oltre al messaggio che il test non è riuscito, la pagina dei risultati avrebbe dovuto visualizzare il valore immesso, che è stato passato allo script come parametro GET (vedere Figura 6). Si può vedere che il valore (2 nella barra degli indirizzi) è stato passato, ma lo script non lo ha visualizzato. Bug nello script Comodo? Naturalmente tutti commettono errori, ma la nostra fiducia in questo test è diminuita.

Riso. 6. Risultato del test (firewall hardware)

Ma quando si utilizza un firewall software, i test CPIL non vengono nemmeno eseguiti. Premendo i pulsanti 1 - 3 non è successo nulla (Fig. 7). È davvero colpa di Windows Server 2008 e non del firewall? Abbiamo deciso di provarlo. Pertanto, Cybersafe Firewall è stato installato su un computer Windows 7 protetto da un firewall hardware. Ma in Windows 7 l'utilità è riuscita a sfondare le difese del firewall. Il primo e il terzo test sono stati superati, ma quando abbiamo cliccato sul pulsante Test 2, abbiamo dovuto contemplare una finestra del browser Chrome simile a quella mostrata in Fig. 6.

Riso. 7. Quando fai clic sul pulsante, non succede nulla (puoi vedere che l'antivirus è disabilitato)

Riso. 8. Prove 1 e 3 superate

Test 4. Scansione dall'esterno

Prima di ciò abbiamo provato a sfondare il firewall dall'interno. Ora proviamo a scansionare i sistemi protetti da un firewall. Effettueremo la scansione con uno scanner nmap. Nessuno dubitava dei risultati del firewall hardware: tutto era chiuso ed era impossibile persino determinare il tipo di sistema testato (Fig. 9 e 10). In tutte le illustrazioni successive gli indirizzi IP vengono nascosti perché sono permanenti, in modo che nessuno abbia il desiderio di ripetere il test sui nostri indirizzi.

Riso. 9. Scansiona il tuo firewall hardware

Riso. 10. Scansione firewall hardware (dettagli host)

Ora proviamo a scansionare un sistema protetto da un firewall software. È chiaro che per impostazione predefinita il firewall del software consentirà il passaggio di qualsiasi cosa (Fig. 11).

Riso. 11. Porte aperte (firewall software, impostazioni predefinite)

Riso. 12. Tipo di sistema determinato (firewall software, impostazioni predefinite)

Una volta stabilite le regole, tutto va a posto (Fig. 13). Come puoi vedere, un firewall software garantisce la sicurezza del sistema protetto non peggiore della sua controparte “hardware”.

Riso. 13. Nessuna porta aperta

Attacchi alla rete locale

Perché è così importante fornire protezione all'interno della rete locale? Molti amministratori erroneamente non prestano attenzione alla protezione dall'interno, ma invano. Dopotutto, all’interno di una rete locale possono essere attuati molti attacchi. Diamo un'occhiata ad alcuni di loro.

Attacco ARP

Prima di connettersi alla rete, il computer invia una richiesta ARP per scoprire se l'indirizzo IP del computer è occupato. Quando sulla rete locale sono presenti più macchine Windows con lo stesso indirizzo IP, l'utente vede una finestra con un messaggio che informa che l'indirizzo IP è occupato (utilizzato da un altro computer). Windows sa che un indirizzo IP è occupato tramite il protocollo ARP.
Un attacco ARP coinvolge un utente malintenzionato che inonda i computer che eseguono Windows. Inoltre, verranno inviate centinaia di richieste a ciascun computer, di conseguenza l'utente non sarà in grado di chiudere le finestre pop-up costanti e sarà costretto almeno a riavviare il computer.
La situazione non è piacevole. Ma la presenza di un firewall su una workstation annullerà tutti gli sforzi dell'aggressore.

Attacchi DoS, inclusi vari attacchi Flood

Gli attacchi DoS (attacchi Denial) sono possibili non solo su Internet, ma anche sulle reti locali. Differiscono solo i metodi di tali attacchi. La natura degli attacchi DoS può essere qualsiasi, tuttavia è impossibile combatterli senza un firewall installato su ogni macchina della rete locale.
Un tipo di attacco DoS che può essere utilizzato con successo su una rete locale è il Flood ICMP. Firewall CyberSafe Firewall contiene strumenti dedicati per contrastare questo tipo di attacchi (Fig. 14). Contiene inoltre strumenti di bilanciamento del carico del server, che possono anche aiutare a combattere gli attacchi DoS.

Riso. 14. Sicurezza ICMP (CyberSafe Firewall)

Modifica dell'indirizzo MAC

In una rete locale i computer vengono identificati non solo tramite l'indirizzo IP, ma anche tramite l'indirizzo MAC. Alcuni amministratori consentono l'accesso a determinate risorse tramite indirizzo MAC, poiché gli indirizzi IP sono generalmente dinamici e emessi da DHCP. Questa soluzione non è molto giustificata, poiché l'indirizzo MAC è molto facile da modificare. Purtroppo non è sempre possibile proteggersi dalle modifiche dell'indirizzo MAC utilizzando un firewall. Non tutti i firewall tengono traccia delle modifiche degli indirizzi MAC, poiché in genere sono legate agli indirizzi IP. La soluzione più efficace in questo caso è utilizzare uno switch, che consente di associare l'indirizzo MAC a una porta fisica specifica dello switch. È quasi impossibile ingannare tale protezione, ma costa anche molto. È vero, esistono anche soluzioni software per contrastare le modifiche dell'indirizzo MAC, ma sono meno efficaci. Se sei interessato a un firewall in grado di riconoscere lo spoofing dell'indirizzo MAC, presta attenzione a Kaspersky Internet Security 8.0. È vero, quest'ultimo può riconoscere solo la sostituzione dell'indirizzo MAC del gateway. Ma riconosce pienamente la sostituzione dell’indirizzo IP di un computer e l’IP Flooding.

Spoofing dell'indirizzo IP

Nelle reti in cui l'accesso alle risorse è limitato dagli indirizzi IP, un utente malintenzionato può modificare l'indirizzo IP e ottenere l'accesso alla risorsa protetta. Quando si utilizza il firewall Cybersafe Firewall, uno scenario del genere è impossibile, poiché non esiste alcun legame con gli indirizzi IP nemmeno per il firewall stesso. Anche se si modifica l’indirizzo IP del computer, questo non verrà comunque incluso nell’ISDN in cui l’aggressore tenta di penetrare.

Attacchi in rotta

Questo tipo di attacco si basa sull’invio di pacchetti ICMP “falsi” alla vittima. L'essenza di questo attacco è lo spoofing dell'indirizzo del gateway: un pacchetto ICMP viene inviato alla vittima, informandola di un percorso più breve. Ma in realtà i pacchetti non passeranno attraverso il nuovo router, ma attraverso il computer dell'aggressore. Come notato in precedenza, Cybersafe Firewall fornisce la sicurezza ICMP. Allo stesso modo è possibile utilizzare altri firewall.

Esistono molti altri attacchi alle reti locali: sia sniffer che vari attacchi che utilizzano DNS. Comunque sia, l'uso di firewall software installati su ciascuna postazione di lavoro può migliorare significativamente la sicurezza.

conclusioni

La protezione del sistema informativo deve essere completa: include firewall software e hardware, antivirus e una corretta configurazione del sistema stesso. Per quanto riguarda il nostro confronto tra firewall software e hardware, i primi vengono effettivamente utilizzati per proteggere ciascun nodo della rete, mentre i secondi vengono utilizzati per proteggere l'intera rete nel suo insieme. Un firewall hardware non può proteggere ogni singola postazione di lavoro, è impotente contro gli attacchi all'interno della rete e non può nemmeno distinguere tra ISDN, cosa che deve essere fatta nell'ambito della protezione dei dati personali.

Tag: aggiungi tag

La globalizzazione e le opportunità di comunicazione che Internet offre agli utenti attraggono non solo gli utenti privati ​​ma anche quelli aziendali verso le reti di informazione globali. Molto spesso diventano bersagli di aggressori che utilizzano informazioni riservate per guadagno personale. Ogni anno, le organizzazioni che scelgono di trasferire dati sensibili su reti globali perdono enormi quantità di denaro. contanti a causa del gran numero di attacchi, purtroppo riusciti. L'obiettivo dello sviluppo di Internet era creare un sistema progettato per il libero scambio di dati. E gli amanti del denaro facile iniziarono subito ad approfittarne. Tramite Internet è possibile:

• rompere le password e penetrare nella rete interna dell'organizzazione, dove non è difficile trovare informazioni segrete;
• copiare dati riservati;
• scoprire indirizzi e password dei server e altro ancora.

Per risolvere questo problema, è stato proposto firewall hardware. I nomi firewall e firewall sono più ampiamente utilizzati. Si tratta di un insieme di hardware e software che consente di dividere ciascuna rete in più parti, monitorare e proteggere i pacchetti di rete che attraversano il confine da una parte all'altra della rete. In genere, tale confine viene creato tra la rete interna di un'azienda e Internet globale. Ma in alcuni casi può essere creato tra reparti della stessa rete aziendale.

I firewall devono coprire aree specifiche della rete aziendale. In senso generale, possono essere designati come segue:

• filtraggio a livello di rete;
• filtraggio a livello di applicazione;
• impostazione di regole di filtraggio, amministrazione;
• strumenti di autenticazione di rete;
• impostazione di registri e conservazione dei registri.

Classificazione dei firewall

È consuetudine distinguere le seguenti classi di firewall protettivi:

• router di filtraggio;
• gateway a livello di sessione;
• gateway a livello di applicazione.

Filtra i router

Filtrano i pacchetti in entrata e in uscita utilizzando i dati contenuti nelle intestazioni TCP e IP. Per selezionare i pacchetti IP, vengono utilizzati gruppi di campi di intestazione dei pacchetti:

• Indirizzo IP del mittente;
• Indirizzo IP del destinatario;
• porta del mittente;
• porta del destinatario.

I singoli router controllano l'interfaccia di rete del router da cui proviene il pacchetto. Questi dati vengono utilizzati per filtri più dettagliati. Quest'ultimo può essere eseguito diversi modi, interrompendo le connessioni a determinate porte o PC.

Le regole di filtraggio per i router sono difficili da creare. Non esiste altro modo per verificarne la correttezza se non un test manuale lento e laborioso. Inoltre, gli svantaggi del filtraggio dei router includono i seguenti casi:

• la rete interna è visibile da Internet;
• regole di routing complesse richiedono un'ottima conoscenza di TCP e UDP;
• Quando un firewall viene violato, tutti i computer della rete diventano indifesi o inaccessibili.

Ma i router filtering presentano anche una serie di vantaggi:

• basso costo;
• definizione flessibile delle regole di filtraggio;
• bassa latenza quando si lavora con i pacchetti.

Gateway di sessione

Questi sono traduttori di connessione TCP. Il gateway elabora la richiesta del cliente autorizzato per servizi specifici. Verifica la validità della sessione ed effettua una connessione all'host esterno. Il gateway quindi copia i pacchetti in entrambe le direzioni senza filtrarli. La destinazione viene solitamente stabilita in anticipo. Potrebbero esserci diverse fonti. Grazie alla varietà di porte, è possibile configurare diverse configurazioni di connessione. Utilizzando un gateway, puoi creare un traduttore TCP per qualsiasi servizio che funzioni con una connessione TCP.

Il gateway determina l'ammissibilità di una richiesta di sessione di comunicazione secondo determinate regole. Innanzitutto, un cliente autorizzato effettua una richiesta di accesso a un servizio specifico. Il gateway lo accetta e verifica che il client soddisfi i parametri di filtraggio di base. Se tutto è ok, il gateway stabilisce una connessione con l'host esterno. Successivamente viene monitorata la procedura di handshake della comunicazione TCP. Se il gateway ha determinato che il client e l'host esterno sono autorizzati, la connessione viene stabilita. Durante il trasferimento delle informazioni, il gateway mantiene una tabella connessioni stabilite e salta le informazioni relative a una delle sessioni di comunicazione specificate nella tabella. Al termine della sessione la connessione viene interrotta. I dati corrispondenti vengono cancellati dalla tabella.

Gateway del livello applicativo

Per una protezione più affidabile, gli schermi utilizzano applicazioni di filtraggio durante la connessione a Telnet e FTP. Questa applicazioneè chiamato servizio proxy o, in altre parole, gateway a livello di applicazione. Quando si utilizza un gateway di questo tipo La comunicazione tra un client autorizzato e un host esterno non è possibile. Il filtraggio viene eseguito a livello di applicazione.

Quando il gateway rileva una sessione di rete, la interrompe e si connette applicazione speciale per completare il servizio. I gateway a livello di applicazione forniscono una protezione affidabile, poiché l'interazione con la rete esterna avviene tramite piccola quantità applicazioni autorizzate. Eseguono un controllo rigoroso del traffico in entrata e in uscita. Ciascun servizio di rete richiede applicazioni separate.

Vantaggi dell'utilizzo di un gateway a livello di applicazione:

• invisibilità della rete protetta da Internet;
• autenticazione e registrazione efficienti e sicure;
• rapporto ottimale tra costo e livello di protezione;
• semplici regole di filtraggio;
• possibilità di installare controlli aggiuntivi.

Firewall hardware

I firewall hardware utilizzano i propri firewall per filtrare i pacchetti. sistema operativo, appositamente proposto dagli sviluppatori.

Affinché un firewall hardware funzioni correttamente, è importante installarlo, collegarlo e configurarlo correttamente. Il firewall più semplice è un dispositivo che include un insieme di applicazioni per centralizzare il controllo degli accessi e proteggere le informazioni. Le principali funzioni svolte da un firewall hardware sono le stesse di quelli software: analisi dei pacchetti, filtraggio e reindirizzamento del traffico, autenticazione della connessione, blocco del contenuto del protocollo, crittografia dei dati.

Spesso, per aumentare la sicurezza, è necessario installare diversi firewall hardware. È possibile combinare gli schermi tipi diversi in un unico sistema. L'utilizzo di firewall con strutture diverse basate su architetture diverse consente di creare un livello di protezione più elevato.

Creazione di firewall nelle reti aziendali

Se è necessario installare un'azienda affidabile o rete locale, è necessario risolvere i seguenti problemi:

• protezione della rete da persone non autorizzate accesso remoto utilizzare Internet globale;
• proteggere i dati di configurazione della rete dai visitatori della rete globale;
• separazione dell’accesso ad una rete aziendale o locale da una globale e viceversa.

Per garantire la sicurezza della rete protetta, utilizziamo vari schemi creazione di firewall:

Firewall come router di filtro- l'opzione più semplice e più comune. Il router si trova tra la rete e Internet. Per la protezione vengono utilizzati i dati derivanti dall'analisi degli indirizzi e delle porte dei pacchetti in entrata e in uscita.

Firewall che utilizza un gateway a due porteè un host con due interfacce di rete. Il filtraggio principale per lo scambio di dati viene effettuato tra queste porte. È possibile installare un router filtro per aumentare la sicurezza. In questo caso tra il gateway e il router si forma una rete interna schermata sulla quale è possibile installare un server informativo.

Firewall con gateway schermato— elevata flessibilità gestionale, ma sicurezza insufficiente. Differisce in presenza di una sola interfaccia di rete. Il filtraggio dei pacchetti viene eseguito in diversi modi: quando un host interno consente l'accesso alla rete globale solo per servizi selezionati, quando tutte le connessioni dagli host interni vengono bloccate.

Firewall con sottorete schermata— per crearlo vengono utilizzati due router di schermatura. Quello esterno è installato tra la sottorete schermata e Internet, quello interno è installato tra la sottorete schermata e la rete protetta interna. Una buona opzione per la sicurezza con traffico significativo e alta velocità.