Междумрежова защитна стена

от Уикипедия, свободната енциклопедия
Направо към навигацията Направо към търсенето

Междумрежова защитна стена е разновидност на защитна стена, която осигурява безопасност на връзката между две мрежи. Корпоративна защитна стена е по същество същото, но по-маркетингово – показва, че с нея дадено предприятие може да си обезопаси връзката между вътрешнофирмената мрежа и Интернет или други мрежи.

Общи положения[редактиране | редактиране на кода]

За междумрежовата защитна стена са валидни общите положения за защитни стени, описани в защитна стена.

Архитектури на междумрежовите защитни стени. Разположения[редактиране | редактиране на кода]

Вариантите за изпълнение на междумрежова защитна стена са много. Различават се по цена, изпълнение, капацитет, интерфейса и репутацията на стената. Изборът се прави според нуждите на мрежата, чувствителността на информацията и параноята на мрежовия администратор.

Сигурността се реализира в следните две парадигми:

  • Защита в дълбочина – серия от последователни еднотипни механизми за защита; и
  • Защита в широчина – основана на разнообразието на методите и продуктите за мрежова защита, покриващи различните възможни атаки.

Защитните стени могат да се класифицират в зависимост от природата им – софтуер или хардуер.

Софтуерно-базирани защитни стени[редактиране | редактиране на кода]

Този тип защитни стени обикновено са специално написани за целта приложения, които работят на специализирани UNIX (Линукс, Free BSD) или Windows NT. Тези решения се оскъпяват от разноските за софтуер и сървърна операционна система при Windows NT, сървърен хардуер, и непрекъсната поддръжка.

Тези защитни стени наследяват бъговете и уязвимостите на операционната система.

Поради тази причина преди инсталирането им, самата операционна система трябва да бъде подготвена за целта, като бъдат спрени всички излишни или опасни услуги и „закърпени“ известните дупки.

Администрирането на такава стена налага постоянно да се следи за нови версии на операционната система и новите пачове към нея, свързани със сигурността на защитната стена и самата ОС, и да ги инсталира веднага при тяхното появяване. Без тези пачове, които да закърпват новооткритите дупки в съответната ОС, защитната стена се компрометира.

Маршрутизатори[редактиране | редактиране на кода]

Маршрутизаторът е отправната точка за всички връзки на локалната мрежа с външния свят, което го прави особено уязвимо място в мрежата, ако не е снабдено с допълнителни средства за защита.

По-старите маршрутизатори демонстрират ограничени способности на защитни стени. Те могат да бъдат надграждани с допълнителни софтуерни и фирмуерни възможности.

Пресяващият маршрутизатор (screening router) е най-евтиното, но и най-ненадеждно средство за мрежова защита. Способностите му се простират до мониторинг на достъпа до един или повече вътрешни сървъра и филтриране на входящите и изходящите пакети данни.

Предимствата на маршрутизатора с пакетно филтриране в общи линии се изчерпват с неговата достъпност, лекота и ниска цена. Недостатъците са значително повече. Маршрутизаторът не позволява обстойни правила за филтриране, и следователно е предразположен към грешки и атаки. Още повече, че не дава възможност за автентификация на пакетите. Почти е невъзможно да се скрие вътрешната структура и реалното адресиране на хостовете в мрежата.

Съвременните маршрутизатори на CISCO са и мощни защитни стени. Необходимо е да се купи и инсталира съответният софтуер, т.нар. „Cisco IOS“ и защитните функции почват да работят.

Специализирани устройства от тип „защитна стена“[редактиране | редактиране на кода]

Продават се специализирани (dedicated) хардуерно-базирани системи за сигурност. Те работят под вградени операционни системи, специално пригодени за нуждите на защитните стени, затова те са доста по-„безчувствени“ към много от слабостите със сигурността, присъщи на Windows NT и UNIX. Наличието на слабости в техния софтуер (firmware) обаче е потенциална опасност и поради тази причина трябва да бъдат специално проучвани преди инсталиране и софтуерът им своевременно обновяван.

Разположения[редактиране | редактиране на кода]

Защитната стена е пред сървъра
Защитната стена е зад сървъра
Демилитаризирана зона

Защитната стена не само че няма да е от полза, но може и да е във вреда, ако не е разположена на правилното място. Следните фактори определят разположението на защитната стена:

  • Броят на компютрите в локалната мрежа и нейната топология определят дали на всеки компютър ще се постави защитна стена или няколко компютъра могат да бъдат скрити зад една обща защитна стена. Освен това, тези параметри определят дали не е по-подходящо за защитна стена да се постави обикновен маршрутизатор или дори цял компютър, който да изпълнява защитни функции.
  • Степента на необходимата защита и положението със защитата на съседните мрежи определят колко и какви защитни механизми едновременно ще работят за сигурността на локалната мрежа. Ако локалната мрежа съхранява критична по отношение на сигурността информация (например ако мрежата обслужва военна или финансова институция), то защитните механизми трябва да се прилагат както за цялата мрежа, така и за всеки хост поотделно.
  • Характерът на информацията и услугите в локалната мрежа пък е фактор, който определя необходимостта и разположението на демилитаризирани зони в мрежата.
  • Обемът и видът на трафика, генериран от защитаваната мрежа, определя начина, по който ще бъде конфигурирана защитната стена. Колкото е по-голям и разнообразен трафикът, толкова по-сложни ще са правилата, които стената ще съблюдава.

От значение е разположението на публичните сървъри, които не биха работили правилно, ако заради защитната стена хостовете от глобалната мрежа не могат да се свързват с тях. Ако e-mail сървърът, например, е разположен зад защитната стена на корпоративната локална мрежа, тогава в нея трябва да се „пробиват дупки“, за да се разреши електронната поща. Тези дупки обаче може да се използват от хакери. Ако e-mail сървъра е пред защитната стена и просто се наложат правила за електронна поща, то хем хостовете в локалната мрежа ще могат да използват тази услуга, хем ще бъде осигурена защита за мрежата. Защото, ако хакер все пак пробие защитата на e-mail сървъра, той все още няма да може да достигне до локалната мрежа, заради стоящата отзад защитна стена.

Затова е по-добре публичните сървъри (като e-mail сървъра) да стоят пред защитната стена на локалната мрежа. За да се обезопасят обаче и те, пред тях също се слага защитна стена. Това в крайна сметка е от полза за локалната мрежа, която така бива защитена двойно. Зоната между двете защитни стени обикновено се нарича демилитаризирана зона (demilitarized zone, DMZ).

Демилитаризираната зона представлява самостоятелен мрежови сегмент, в който информацията е под протекцията на защитни стени. Външните потребители имат достъп до DMZ, но не и до останалата част от корпоративната мрежа. Достъпът до данните и услугите от DMZ-сегмента се осъществява само през защитна стена. Комуникацията между DMZ и вътрешната мрежа също се осъществява чрез защитна стени със свои правила. DMZ е ефективен механизъм за онези компании, които очакват клиентите им да се свързват с техните мрежи по Интернет от външен за компанията източник, например при осъществяването на електронна търговия.

Технологии на защитните стени[редактиране | редактиране на кода]

Концепцията за защитна стена може да бъде реализирана по различни начини и в различна степен. Тези различни реализации в литературата се наричат технологии. Международната асоциация за компютърна сигурност (International Computer Security Association, ICSA, [1]) класифицира защитните стени в три категории в зависимост от използваната технология:

  • пакетно филтриращи защитни стени (packet filter firewalls),
  • защитни стени с пакетно филтриране и състояние (stateful packet inspection firewalls),
  • Deep Packet Inspection (DPI)
  • прокси сървъри на приложно ниво (application-level proxy servers).

В литературата[1] се среща още една възможна технология:

  • кръгови защитни стени (circuit-level firewalls).

Пакетно филтриращи защитни стени[редактиране | редактиране на кода]

Това е най-лесният и евтин за реализация тип защитна стена.

Базираната на пакетно филтриране стена проверява адреса на входящия трафик и отклонява всичко, което не съответства на списъка ѝ с доверени адреси. Този тип защитна стена използва правила за отказване на достъп по отношение на информация, която се съдържа във всеки пакет: обекти на анализ са номерът на TCP/IP порта, IP адресите на източника и дестинацията, протоколът и типът на данните.

Предимства Недостатъци
  • относително малък брой необходими изчислителни операции, поради което този тип защитна стена има най-висока производителност,
  • не е необходимо клиентът да бъде специално конфигуриран.
  • функционира само на базата на информацията от транспортното ниво и не различава команди от приложното ниво. Това прави невъзможно прилагането на по-прецизни правила, регламентрищи достъпа.
  • трудност при дефинирането на филтрите: колкото повече правила се включват, толкова повече се забавя обработката на пакета и оттам пада и производителността.

Защитни стени с пакетно филтриране и състояние[редактиране | редактиране на кода]

Защитните стени от този тип надграждат технологията на пакетно филтриращите защитни стени, като пазят информация за сесиите и връзките във „таблици на състоянието“. Проследяват се и се запомнят заявките за информация, които излизат от вътрешната мрежа. След това стената проверява входящата към мрежата информация, за да установи заявена ли е или не, и пропуска само заявената информация. Критериите, по които се определя дали даден пакет принадлежи към вече отворена връзка са следните: IP адресите на източника и получателя (source/destination IP addresses); номерата на порта на източника и получателя (source/destination ports); поредният номер на пакета (sequence number). Допускат се само пакети принадлежащи към вече отворена отвътре връзка (connection) или към услуги, разрешени от администратора. Тази технология се счита за най-съвременната и сигурната, понеже при нея се сканират всички компоненти на пакета и неговия полезен товар (payload), преди се определи дали да бъде приета или отхвърлена заявената информация.

Прокси сървъри на приложно ниво[редактиране | редактиране на кода]

Този тип защитна стена още се нарича „шлюз на приложенията“ или „прокси-базирана защитна стена“. Прокси сървърът представлява програма, която действа едновременно и като сървър, и като клиент. Прокси сървърите изискват реконфигурация на мрежовите настройки и приложения (като уеб-браузъри), които да поддържат проксито, а това може да се окаже доста трудоемко.

Прокси-базираната защитна стена работи на приложното ниво от OSI модела. За разлика от защитната стена с пакетно филтриране и състояние, прокси-стената инспектира трафика на приложния слой в допълнение на по-долните слоеве. Когато при този тип защитна стена пристигне пакет, той бива предаден на специфично за приложението прокси, което проверява валидността на пакета и на самата заявка на приложния слой. В зависимост от типа на заявката – например, HTTP, FTP, Telnet – пакетът се предава на HTTP-прокси процес, FTP-прокси процес или Telnet-прокси процес. Това означава, че щом прокси-базирана защитна стена разпознава протокола на заявката, при нея могат да бъдат конфигурирани много по-прецизни правила за разрешаване и отхвърляне на данните. Освен това, както и при защитните стени с пакетно филтриране и състояние, работните сесии също могат да бъдат документирани и запазени в подробни дневници на информационния обмен. Новото тук е възможността за кеширане на ресурсите, ползвани от прокси клиентите. Когато към прокси сървъра бъде изпратена заявка, той първо проверява в кеша си за съхранено копие на заявения ресурс. Така освен че клиентът бива бързо обслужен (кеш паметта е най-бързата памет), но и трафикът между вътрешната мрежа и проксито не се натоварва излишно. Това преимущество е от критично значение за този вид защитни стени, понеже тяхната технология е доста по-бавна от технологията на пакетното филтриране със състояние.

Кръгови защитни стени[редактиране | редактиране на кода]

Този тип технология на защитните стени реализира контрол на транспортно ниво. При нея стената прави допълнителни проверки дали дадена връзка може да бъде отворена или не, от гледна точка на мрежовите адреси на източника и дестинацията, типа протокол, номерата на портовете на източника и дестинацията, паролата. Информацията към отдалечения хост (remote computer) се изпраща от името на защитната стена, като по този начин се крие информация за мрежата. За всяка изградена връзка през защитната стена се поддържа таблица на валидните връзки. Тази таблица включва състоянието на текущата сесия и информация за двете системи. Интерпретирайки тази информация, защитната стена може да определи дали друго устройство се опитва да влезе в сесията и да вмъкне свои пакети в TCP потока. След прекъсването на дадена връзка, нейният запис в таблицата се изтрива. Това прави тази защитна технология изключително стабилна по отношение на атаките с фалшифициране на мрежовия адрес.

Предимства Недостатъци
  • добра ефективност,
  • възможност да се приложи преобразуване на мрежовите адреси,
  • чрез таблица от правила могат да се забранят връзки от цялата мрежа или от конкретни устройства
  • възможността да се приложи преобразуване на мрежовите адреси,
  • отделните пакети не се филтрират,
  • правилата се тестват по-трудно,
  • невъзможно е да се поддържат правила, базирани на протоколи от по-високо от транспортното ниво.

Балансиране на натоварването[редактиране | редактиране на кода]

Съществуват продукти, които освен защита на мрежата осигуряват и подобряване на качеството на някои услуги чрез оптимизиране на натоварването. Терминът за това е QoS (Quality of Service). Тази техника определя минимум и максимум от капацитета на връзката (bandwidth shaping) и възможност да се приоритизира част от трафика. По този начин за някои особено важни или ресурсоемки услуги могат да се заделят нужните капацитет и качество, за да работят те безпроблемно (VoIP, видеоконферентни връзки), а за други услуги, които не са толкова чувствителни да се оставят по-малко ресурс (FTP, HTTP, P2P приложения и други). Коя част от трафика в кой QoS-сегмент ще попадне може да се определи по адресите на пакетите, време от денонощието, клиент и приложение, генериращо трафика.

Самият продукт дава информация за оптимизацията, тъй като осигурява средства за мониторинг на трафика. Така може да разберем и каква част от капацитета се използва по предназначение и колко се разхищава. Информацията включва количество трафик, брой сесии, хост и приложение източник на трафика. С тази информация, на защитните стени могат да се дефинират различните политики спрямо вида трафик. По посочените критерии трафикът може да се пренасочва към съответния proxy сървър. Благодерение на тази функционалност може да се окаже, че за една и съща работа ни е нужен доста по-малко капацитет, което води до значителни икономии.

Bandwidth shaping може да служи да ограничаването на DoS атаките, като SYN floods и ICMP floods, които защитната стена с пакетно филтриране не може да спре. Принципът, по който се организира защитата, е следният:

  1. входящите пакети се маркират;
  2. политиката спрямо изходящите пакети се определя според тази маркировка, като те могат да бъдат вкарани в група с малък капацитет и приоритет.

Продукти[редактиране | редактиране на кода]

Източници[редактиране | редактиране на кода]

  1. Брайян Комър, „TCP/IP – Мрежи и администриране“, Издателство „Инфодар“, София, 1999

Външни препратки[редактиране | редактиране на кода]