Аппаратный firewall для офиса. Аппаратные межсетевые экраны

31Окт

Что такое Брандмауэр (Файрвол)

Брандмауэр (Brandmauer) или Файрвол (Firewall) – это компьютерная программа, целью которой является защита компьютера от вирусов и . Брандмауэр отслеживает сетевой трафик, поступающий в операционную систему, и помогает остановить вредоносные программы, которые пытаются получить доступ к личной информации пользователя. Помимо этого, у терминов Брандмауэр и Файрвол есть еще и другое определение. Данными терминами принято назвать противопожарные капитальные стены, которые по идее должны защищать дома от пожаров в местах плотной застройки.

Что такое Брандмауэр (Файрвол) – простыми словами.

Простыми словами, Брандмауэр (Фаервол) – это специальные защитные компьютерные программы, которые постоянно сканируют получаемые и отправляемые в интернет данные. Образно говоря, это виртуальные стены, которые защищают компьютер от опасностей интернета: вирусы, руткиты, шпионские программы, и тд. Хотя стоит отметить, что брандмауэр не является единственным или самым надежным источником защиты вашего компьютера. Как правило, для обеспечения наибольшей безопасности, брандмауэр (Файрвол), всегда работает в связке с антивирусом и анти-шпионским программным обеспечением.

В большинстве случаев, брандмауэр устанавливается непосредственно на рабочую машину (ПК), но иногда, как в случаях с различными офисами, где присутствует много компьютеров, файрвол ставится в виде физического устройства (но об этом позже ). Пользователям операционной системы Windows, нет нужды устанавливать брандмауэр самостоятельно (отдельно ), так как в ОС изначально присутствует собственный — Брандмауэр Windows .

Брандмауэр – как это работает, простыми словами.

Не вникая в сложные технические подробности, работу Брандмауэра можно описать следующим образом. Когда пользователь запускает программу, связанную с Интернетом, такую ​​как браузер или компьютерная игра, компьютер подключается к удаленному веб-сайту и отправляет информацию о компьютерной системе пользователя. Однако перед тем как данные будут отправлены или получены они проходят через межсетевой экран (файрвол ), где в зависимости от установленных параметров, данные будут пропущены или остановлены.

Образно говоря, в процессе своей работы, брандмауэр выступает своеобразным пограничником или таможенником, который следит за всем что вывозится и завозится на компьютер. Кроме того, в его обязанности входит проверка пакетов данных на соответствие необходимым параметрам. Таким образом, файрвол может помочь остановить работу уже установленного вредоносного ПО, такого как троянские кони и другие шпионские программы. Простыми словами, экран просто не будет передавать собранные этими программами данные в интернет. Но это, конечно же все в теории, так как подобные вредительские программы постоянно совершенствуются и учатся обманывать файрволы.

Что такое Аппаратный брандмауэр и способы защиты сети?

Аппаратный брандмауэр — это физическое устройство, которое соединяет компьютер или сеть с Интернетом, используя определенные усовершенствованные методы защиты от несанкционированного доступа. Проводные маршрутизаторы, широкополосные шлюзы и беспроводные маршрутизаторы включают в себя аппаратные брандмауэры, которые защищают каждый компьютер в сети. Аппаратные брандмауэры используют для защиты сети разные виды обеспечения безопасности: фильтрация пакетов, проверка пакетов с учетом состояния, трансляция сетевых адресов и шлюзы уровня приложения.

Брандмауэр фильтрации пакетов проверяет все пакеты данных, отправляемые в систему и из нее. Он пересылает данные на основе набора правил, определенных сетевым администратором. Этот аппаратный брандмауэр проверяет заголовок пакета и фильтрует пакеты на основе адреса источника, адресата и порта. Если пакет не соответствует правилам или соответствует критериям блокировки, ему не разрешается проходить через компьютер или сеть.

Динамическая фильтрация пакетов или проверка пакетов с учетом состояния, это более сложный метод защиты. Этот брандмауэр контролирует, откуда пришел пакет, чтобы выяснить, что с ним делать. Он проверяет, были ли данные отправлены в ответ на запрос для получения дополнительной информации или просто он появился сам по себе. Пакеты, которые не соответствуют заданному состоянию соединения, отклоняются.

Еще одним способом обеспечения безопасности является — маршрутизатор трансляции сетевых адресов (NAT). Он скрывает компьютер или сеть компьютеров от внешнего мира, представляя один общедоступный для доступа в Интернет. IP-адрес брандмауэра является единственным допустимым адресом в этом сценарии, и это единственный IP-адрес, представленный для всех компьютеров в сети. Каждому компьютеру на внутренней стороне сети присваивается свой IP-адрес, действительный только внутри сети. Этот вариант защиты очень эффективен, поскольку он представляет возможность использовать только один публичный IP-адрес для отправки и поступления пакетов информации. Что в свою очередь значительно минимизирует возможности по внедрению вредоносного ПО. Этот аппаратный брандмауэр обычно реализуется на отдельном компьютере в сети, который имеет единственную функцию работы в качестве . Он довольно сложный и считается одним из самых безопасных типов аппаратных брандмауэров.

Основные проблемы с брандмауэрами.

Существует несколько общих проблем, которые могут возникнуть в результате использования брандмауэра. Самой распространенной проблемой является то, что помимо вредоносных программ, брандмауэр часто блокирует нормальный, нужный нам трафик. Некоторые веб-сайты могут иметь ограниченный доступ или не открываться, потому что они были неправильно диагностированы. Довольно часто возникают проблемы с сетевыми играми, так как фаервол, часто распознает подобный трафик, как вредоносный и блокирует работу программ. Исходя из этого, следует отметить, что хоть брандмауэр штука весьма полезная, его нужно правильно настраивать, чтобы он не портил жизнь своими запретами.

Категории: , / / от

Создание защищенной системы - задача комплексная. Одна из мер обеспечения безопасности - использование межсетевых экранов (они же брандмауэры и файрволы). Как все мы знаем, брандмауэры бывают программными и аппаратными. Возможности и первых, и вторых - не безграничны. В этой статье мы попробуем разобраться, что могут брандмауэры обоих типов, а что им не под силу.

Программные и аппаратные файрволы

Первым делом нужно поговорить, что является программным, а что - аппаратным решением. Все мы привыкли, что если покупается какая-то «железка», то это решение называется аппаратным, а если коробочка с ПО, то это признак программного решения. На наш взгляд, разница между аппаратным и программным решением довольно условна. Что представляет собой железная коробочка? По сути, это тот же компьютер, пусть с другой архитектурой, пусть с немного ограниченными возможностями (к нему нельзя подключить клавиатуру и монитор, он «заточен» под выполнение одной функции), на который установлено ПО. ПО - это какой-то вариант UNIX-системы с «веб-мордой». Функции аппаратного брандмауэра зависят от используемого фильтра пакетов (опять-таки - это ПО) и самой «веб-морды». Все аппаратные брандмауэры можно «перепрошить», то есть по сути, просто заменить ПО. Да и с настоящей прошивкой (которая в старые-добрые времена выполнялась с помощью программатора) процесс обновления «прошивки» на современных устройствах имеет мало что общего. Просто на «флешку» внутри «железки» записывается новое ПО. Программный брандмауэр - это ПО, которое устанавливается на уже имеющийся самый обычный компьютер, но в случае с аппаратным брандмауэром - без ПО никак, а в случае с программным - без «железа» никак. Именно поэтому грань между данными типами межсетевых экранов весьма условная.
Наибольшая разница между программным и аппаратным брандмауэром даже отнюдь не функциональность. Никто не мешает выбрать аппаратный брандмауэр с нужными функциями. Разница в способе использования. Как правило, программный брандмауэр устанавливается на каждый ПК сети (на каждый сервер и на каждую рабочую станцию), а аппаратный брандмауэр обеспечивает защиту не отдельного ПК, а всей сети сразу. Конечно, никто не помешает вам установить аппаратный брандмауэр для каждого ПК, но все упирается в деньги. Учитывая стоимость «железок», вряд ли вам захочется защищать каждый ПК аппаратный брандмауэром.

Преимущества аппаратных брандмауэров

У «железных» межсетевых экранов наблюдаются следующие преимущества:
  • Относительная простота развертывания и использования . Подключил, включил, задал параметры через веб-интерфейс и забыл о его существовании. Впрочем, современные программные межсетевые экраны поддерживают развертывание через ActiveDirectory , на которое тоже не уйдет много времени. Но, во-первых, не все брандмауэры поддерживают ActiveDirectory, и, во-вторых, не всегда на предприятии используется Windows.
  • Размеры и энергопотребление . Как правило, аппаратные брандмауэры имеют более скромные размеры и меньшее энергопотребление. Не всегда, правда, энергопотребление играет роль, а вот размеры важны. Одно дело небольшая компактная коробочка, другое - огромный «системник».
  • Производительность . Обычно производительность у аппаратного решения выше. Хотя бы потому, что аппаратный межсетевой экран занимается только своей непосредственной функцией - фильтрацией пакетов. На нем не запущены какие-либо сторонние процессы и службы, как это часто бывает в случае с программными брандмауэрами. Вот представьте, что вы организовали программный шлюз (с функциями межсетевого экрана и NAT) на базе сервера с Windows Server. Вряд ли вы будете выделять целый сервер только под брандмауэр и NAT. Это нерационально. Скорее всего, на нем будут запущены и другие службы - тот же AD, DNS и т.д. Уже молчу про СУБД и почтовые службы.
  • Надежность . Считается, что аппаратные решения более надежны (именно по причине того, что на них редко когда выполняются сторонние службы). Но никто вам не мешает выделить отдельный системник (пусть даже не самый современный), установить на него ту же FreeBSD (одна из самых надежных в мире операционных систем) и настроить правила брандмауэра. Думаю, надежность такого решения будет не ниже, чем в случае с аппаратным файрволом. Но такая задача требует повышенной квалификации администратора, именно поэтому ранее было отмечено, что аппаратные решения более просты в использовании.

Преимущества программных межсетевых экранов

К преимуществам программных решений относятся:
  • Стоимость . Цена программного межсетевого экрана обычно ниже «железки». За цену среднего аппаратного решения можно защитить всю сеть программным брандмауэром.
  • Возможность защиты сети изнутри . Не всегда угрозы исходят извне. Внутри локальной сети есть множество угроз. Атаки могут исходить с внутренних компьютеров. Инициировать атаку может любой пользователь LAN, например, недовольный компанией. Как уже отмечалось, можно, конечно, использовать отдельный аппаратный маршрутизатор для защиты каждого отдельного узла, но на практике нам таких решений не встречались. Уж больно они нерациональны.
  • Возможность разграничения сегментов локальной сети без выделения подсетей . В большинстве случаев к локальной сети подключаются компьютеры разных отделов, например, бухгалтерии, финансового отдела, IT-отдела и т.д. Не всегда эти компьютеры должны взаимодействовать между собой. Как выполнить разграничение ИСПДн? Первое решение заключается в создании нескольких подсетей (например, 192.168.1.0, 192.168.2.0 и т.д.) и настройке надлежащим образом маршрутизации между этими подсетями. Нельзя сказать, что решение очень сложное, но все же сложнее, чем использование программного файрвола. Да и не всегда можно выделить подсети по тем или иным причинам. Второе решение заключается в использовании межсетевого экрана, предназначенного именно для защиты ИСПДн (не во всех программных межсетевых экранах легко разграничить ИСПДн). В этом случае даже в самой большой сети вы выполните разграничение ИСПДн за считанные минуты, и вам не придется возиться с настройкой маршрутизации.
  • Возможность развертывания на существующих серверах . Нет смысла покупать еще одну «железку», если есть достаточный компьютерный парк. Достаточно на одном из серверов развернуть межсетевой экран и настроить NAT и машрутизацию. Обычно обе эти операции выполняются посредством графического интерфейса межсетевого экрана и реализуются посредством нескольких щелчков мышью в нужных местах.
  • Расширенный функционал . Как правило, функционал программных межсетевых экранов шире, чем у их аппаратных собратьев. Так, некоторые межсетевые экраны предоставляют функции балансировки нагрузки , IDS/IPS и тому подобные полезные вещи, позволяющие повысить общую безопасность системы обработки данных. Да, такие функции есть не у всех программных брандмауэров, но ничто и никто не мешает вам выбрать межсетевой экран, соответствующий вашим нуждам. Конечно, такие функции есть и у некоторых аппаратных комплексов. Например, StoneGate IPS - предоставляет функционал системы предотвращения вторжений, но стоимость таких решений не всегда понравится руководству предприятия. Также есть и аппаратные балансировщики нагрузки, но они стоят еще дороже, чем аппаратные IPS.
О недостатках писать не станем - они следуют из преимуществ. Преимущества одного вида брандмауэров обычно являются недостатками другого вида. Например, к недостаткам аппаратных решений можно отнести стоимость и невозможность защиты локальной сети изнутри, а к недостаткам программных - сложность развертывания и использования (хотя, как было отмечено, все относительно).
Правда, есть один недостаток аппаратных межсетевых экранов, о котором стоит упомянуть. Как правило, у всех аппаратных межсетевых экранов есть кнопка сброса, нажав которую можно вернуть параметры по умолчанию. Для нажатия этой кнопки не нужно обладать какой-то особой квалификацией. А вот, чтобы изменить параметры программного межсетевого экрана, нужно, как минимум, получить права администратора. Нажав одну кнопку, недовольный сотрудник может нарушить безопасность всего предприятия (или оставить предприятие без доступа к Интернету, что даже лучше). Поэтому при использовании аппаратных решений нужно более ответственно подойти к вопросам физической безопасности самих устройств.

Битва брандмауэров

Далее мы попытаемся понять, какой брандмауэр обеспечивает лучшую защиту: программный или аппаратный. В качестве аппаратного будет выступать встроенный в маршрутизатор от TP-Link межсетевой экран. В качестве программного - Киберсейф Межсетевой экран .
Для теста брандмауэров мы будем использовать утилиты с сайта www.testmypcsecurity.com , а именно Jumper, DNStester и CPIL Suite (разработка компании Comodo). Сразу предупреждаем: в отличие от сертифицированных инструментов вроде XSpider эти утилиты используют те же методы, что и вредоносные программы, работу которых они симулируют. Именно поэтому на время тестирования (если вы хотите повторить результаты) все средства антивирусной защиты должны быть деактивированы.
Можно было бы, конечно, рассмотреть XSpider, но данный тест был бы слишком скучным и неинтересным для конечного читателя. Да и кто может представить себе злоумышленника, который использует сертифицированный сканер?
Вкратце об утилитах:
  • Jumper - позволяет обойти брандмауэр, используя методы «DLL injection» и «thread injection».
  • DNS Tester - использует рекурсивный DNS-запрос, чтобы обойти брандмауэр.
  • CPIL Suite - набор тестов (3 теста) от компании Comodo.

Все эти утилиты будут запускаться изнутри, то есть непосредственно с тестируемых компьютеров. А вот снаружи мы будем сканировать старым-добрым nmap.
Итак, у нас есть два компьютера. Оба подключены к Интернету. Один подключается через аппаратный межсетевой экран (работающий на базе маршрутизатора TP-Link) и на нем не установлены ни программный брандмауэр, ни антивирус. Второй компьютер подключен к Интернету непосредственно и защищен программным межсетевым экраном КиберСейф. На первом компьютере установлена Windows 7, на втором - Windows Server 2008 R2.

Тест 1: Jumper

Jumper, запущенный с правами администратора (чего греха таить, с такими правами работают множество пользователей), успешно выполнил свою задачу в Windows 7 (рис. 1). Ничто не могло ему помешать - ведь на нашей системе не было установлено ни одно средство защиты, ни антивирус, ни брандмауэр, ни IDS/IPS, а аппаратному брандмауэру все равно, что происходит на клиентских компьютерах. Он никак не может повлиять на происходящее.


Рис. 1. Jumper в Windows 7

Ради справедливости нужно отметить, что если бы пользователь работал не справами администратора, то у Jumper ничего бы не вышло.
В Windows Server 2008 Jumper даже не запустился, но это не заслуга межсетевого экрана, а самой операционной системы. Поэтому здесь между межсетевыми экранами - паритет, поскольку защита от данной уязвимости может быть обеспечена средствами самой операционной системы.

Тест 2. DNStester

Цель данного теста - отправить рекурсивный DNS-запрос. По умолчанию, начиная с Windows 2000, служба Windows DNS Client принимает обращения по всем запросам DNS и управляет ими. Таким образом, все DNS-запросы от всех приложений в системе будут отправлены клиенту DNS (SVCHOST.EXE). Сам DNS-запрос делает непосредственно DNS-клиент. DNStester использует рекурсивный запрос DNS, чтобы обойти брандмауэр, другими словами, служба обращается сама к себе.


Рис. 2. Тест не пройден

Если настройки брандмауэра оставить по умолчанию, то с данным тестом не справились, ни программный, ни аппаратный брандмауэр. Понятно, что аппаратному брандмауэру все равно, что происходит на рабочей станции, поэтому рассчитывать, что он защитит систему от этой уязвимости, не приходится. Во всяком случае, с дефолтными настройками (а они практически не изменялись).
Но это не говорит о том, что Киберсейф Межсетевой экран - плохой брандмауэр. При повышении уровня безопасности до третьего, тест был полностью пройден (см. рис. 3). Программа сообщила об ошибке в DNS-запросе. Чтобы убедиться, что это не заслуга Windows Server 2008 тест был повторен на машине с Windows 7.


Рис. 3. Тест пройден (DNStest)

Ради справедливости нужно отметить, что если на компьютере установлен антивирус, то, скорее всего, данное приложение будет помещено в карантин, но все же один запрос оно успеет отправить (рис. 4).


Рис. 4. Антивирус Comodo заблокировал нежелательное приложение

Тест 3. Набор тестов от Comodo (CPIL)

Итак, аппаратный брандмауэр с дефолтными настройками провалил все три теста CPIL (если щелкнуть по надписи Tell me more about Test, появится окошко, объясняющее принцип теста). Но провалил он их как-то странно. Прохождение теста подразумевает такую последовательность действий:
  1. Нужно ввести передаваемые данные. Нами вводились значения 1, 2, 3 для тестов 1, 2 и 3 соответственно.
  2. Затем нажать одну из кнопок вызова теста (рис. 5)


Рис. 5. CPIL Test Suite

После этого должен был открыться браузер с результатами теста. Кроме сообщения о том, что тест провален, страница результатов должна была отображать введенное нами значение, которое передавалось сценарию в качестве GET-параметра (см. рис. 6). Видно, что значение (2 в адресной строке) таки было передано, но сценарий его не отобразил. Ошибка в сценарии Comodo? Ошибаются, конечно, все, но доверия к этому тесту у нас поубавилось.


Рис. 6. Результат теста (аппаратный брандмауэр)

А вот при использовании программного брандмауэра тесты CPIL даже не запустились. При нажатии кнопок 1 - 3 ничего не произошло (рис. 7). Неужели это заслуга Windows Server 2008, а не брандмауэра? Мы решили это проверить. Поэтому на компьютер с Windows 7, защищенный аппаратным брандмауэром, был установлен Киберсейф Межсетевой экран. А вот в Windows 7 утилите удалось-таки прорвать оборону файрвола. Первый и третий тест были пройдены, а вот при нажатии кнопки Test 2 нам пришлось созерцать окно браузера Chrome, подобное изображенному на рис. 6.


Рис. 7. При нажатии на кнопку ничего не происходит (видно, что антивирус отключен)


Рис. 8. Тесты 1 и 3 пройдены

Тест 4. Сканирование извне

До этого мы пытались прорваться через брандмауэр изнутри. Сейчас же попробуем просканировать защищаемые брандмауэром системы. Сканировать будем сканером nmap. В результатах аппаратного брандмауэра никто не сомневался - все закрыто и невозможно даже определить тип тестируемой системы (рис. 9 и 10). На всех последующих иллюстрациях IP-адреса скрыты, поскольку являются постоянными - дабы ни у кого не было желания повторить тест на наших адресах.


Рис. 9. Сканирование аппаратного брандмауэра


Рис. 10. Сканирование аппаратного брандмауэра (детали хоста)

Теперь попробуем просканировать систему, защищенную программным межсетевым экраном. Понятное дело, по умолчанию программный межсетевой экран будет пропускать все и вся (рис. 11).


Рис. 11. Открытые порты (программный межсетевой экран, настройки по умолчанию)


Рис. 12. Определен тип системы (программный межсетевой экран, настройки по умолчанию)

Когда же настраиваются правила, то все встает на свои места (рис. 13). Как видите, программный брандмауэр обеспечивает безопасность защищаемой системы ничем не хуже, чем его «железный» коллега.


Рис. 13. Открытых портов нет

Атаки по локальной сети

Почему так важно обеспечить защиту внутри локальной сети? Многие администраторы ошибочно не уделяют внимание защите изнутри, а зря. Ведь внутри локальной сети можно реализовать множество атак. Рассмотрим некоторые из них.

ARP-атака

Перед соединением с сетью компьютер отправляет ARP-запрос, позволяющий узнать, не занят ли IP-адрес компьютера. Когда в локальной сети есть несколько Windows-машин с одним IP-адресом, то пользователь видит окошко с сообщением о том, что IP-адрес занят (используется другим компьютером). Windows о занятости IP-адреса узнает посредством протокола ARP.
ARP-атака заключается в том, что злоумышленник флудит машины, которые работают под управлением Windows. Причем на каждый компьютер будут отправлены сотни запросов, в результате пользователь будет не в силе закрыть постоянно всплывающие окна и будет вынужден, как минимум перезагрузить компьютер.
Ситуация мало приятная. Но наличие брандмауэра на рабочей станции позволит свести на нет все старания злоумышленника.

DoS-атаки, в том числе различные флуд-атаки

DoS-атаки (атаки на отказ) возможны не только в Интернете, но и в локальных сетях. Отличаются лишь методы таких атак. Природа DoS-атак может быть любой, однако, бороться с ними без брандмауэра, который был бы установлен на каждой машине локальной сети, невозможно.
Один из видов DoS-атаки, который может с успехом применяться в локальной сети - это ICMP-флуд. Брандмауэр КиберСейф Межсетевой экран содержит выделенные средства для борьбы с этим видом атак (рис. 14). Также он содержит средства балансировки нагрузки на сервер , что также может помочь в борьбе с DoS-атаками.


Рис. 14. ICMP безопасность (КиберСейф Межсетевой экран)

Смена MAC-адреса

В локальной сети компьютеры идентифицируются не только по IP-адресу, но и по MAC-адресу. Некоторые администраторы разрешают доступ к определенным ресурсам по MAC-адресу, поскольку IP-адреса, как правило, динамические и выдаются DHCP. Такое решение не очень себя оправдывает, поскольку MAC-адрес очень легко сменить. К сожалению, защититься от смены MAC-адреса с помощью брандмауэра не всегда возможно. Не каждый брандмауэр отслеживает изменение MAC-адреса, поскольку обычно привязан к IP-адресам. Здесь самое эффективное решение - использование коммутатора, позволяющего сделать привязку MAC-адреса к конкретному физическому порту коммутатора. Обмануть такую защиту практически невозможно, но и стоит она немало. Правда, есть и программные способы борьбы со сменой MAC-адреса , но они менее эффективны. Если вам интересен брандмауэр, который умеет распознавать подмену MAC-адреса, то обратите внимание на Kaspersky Internet Security 8.0 . Правда, последний умеет распознавать подмену MAC-адреса только шлюза. Но зато он полноценно распознает подмену IP-адреса компьютера и IP-флуд.

Подмена IP-адреса

В сетях, где доступ к ресурсам ограничивается по IP-адресам, злоумышленник может сменить IP-адрес и получить доступ к защищаемому ресурсу. При использовании брандмауэра Киберсейф Межсетевой экран такой сценарий невозможен, поскольку нет привязки к IP-адресам даже у самого брандмауэра. Даже если изменить IP-адрес компьютера, то он все равно не войдет в состав ИСПДн, в которую стремиться проникнуть злоумышленник.

Routing-атаки

Данный вид атак основан на отправке жертве «фальшивых» ICMP-пакетов. Суть этой атаки в подмене адреса шлюза - жертве отправляется ICMP-пакет, сообщающий более короткий маршрут. Но на самом деле пакеты будут проходить не через новый маршрутизатор, а через компьютер злоумышленника. Как уже было отмечено ранее, Киберсейф Межсетевой экран обеспечивает безопасность ICMP. Аналогично, можно использовать и другие межсетевые экраны.

Существует и множество других атак в локальных сетях - и снифферы, и различные атаки с использованием DNS. Как бы там ни было, а использование программных брандмауэров, установленных на каждой рабочей станции, позволяет существенно повысить безопасность.

Выводы

Защита информационной системы должна быть комплексной - это и программные, и аппаратные брандмауэры, и антивирусы, и правильная настройка самой системы. Что же касается нашего противостояния между программными и аппаратными брандмауэрами, то первые эффективно использовать для защиты каждого узла сети, а последние - для защиты всей сети в целом. Аппаратный брандмауэр не может обеспечить защиту каждой отдельной рабочей станции, бессилен при атаках внутри сети, а также не может выполнить разграничение ИСПДн, которое необходимо выполнять в контексте защиты персональных данных.

Теги: Добавить метки

Создание защищенной системы - задача комплексная. Одна из мер обеспечения безопасности - использование межсетевых экранов (они же брандмауэры и файрволы). Как все мы знаем, брандмауэры бывают программными и аппаратными. Возможности и первых, и вторых - не безграничны. В этой статье мы попробуем разобраться, что могут брандмауэры обоих типов, а что им не под силу.

Программные и аппаратные файрволы

Первым делом нужно поговорить, что является программным, а что - аппаратным решением. Все мы привыкли, что если покупается какая-то «железка», то это решение называется аппаратным, а если коробочка с ПО, то это признак программного решения. На наш взгляд, разница между аппаратным и программным решением довольно условна. Что представляет собой железная коробочка? По сути, это тот же компьютер, пусть с другой архитектурой, пусть с немного ограниченными возможностями (к нему нельзя подключить клавиатуру и монитор, он «заточен» под выполнение одной функции), на который установлено ПО. ПО - это какой-то вариант UNIX-системы с «веб-мордой». Функции аппаратного брандмауэра зависят от используемого фильтра пакетов (опять-таки - это ПО) и самой «веб-морды». Все аппаратные брандмауэры можно «перепрошить», то есть по сути, просто заменить ПО. Да и с настоящей прошивкой (которая в старые-добрые времена выполнялась с помощью программатора) процесс обновления «прошивки» на современных устройствах имеет мало что общего. Просто на «флешку» внутри «железки» записывается новое ПО. Программный брандмауэр - это ПО, которое устанавливается на уже имеющийся самый обычный компьютер, но в случае с аппаратным брандмауэром - без ПО никак, а в случае с программным - без «железа» никак. Именно поэтому грань между данными типами межсетевых экранов весьма условная.
Наибольшая разница между программным и аппаратным брандмауэром даже отнюдь не функциональность. Никто не мешает выбрать аппаратный брандмауэр с нужными функциями. Разница в способе использования. Как правило, программный брандмауэр устанавливается на каждый ПК сети (на каждый сервер и на каждую рабочую станцию), а аппаратный брандмауэр обеспечивает защиту не отдельного ПК, а всей сети сразу. Конечно, никто не помешает вам установить аппаратный брандмауэр для каждого ПК, но все упирается в деньги. Учитывая стоимость «железок», вряд ли вам захочется защищать каждый ПК аппаратный брандмауэром.

Преимущества аппаратных брандмауэров

У «железных» межсетевых экранов наблюдаются следующие преимущества:
  • Относительная простота развертывания и использования . Подключил, включил, задал параметры через веб-интерфейс и забыл о его существовании. Впрочем, современные программные межсетевые экраны поддерживают , на которое тоже не уйдет много времени. Но, во-первых, не все брандмауэры поддерживают ActiveDirectory, и, во-вторых, не всегда на предприятии используется Windows.
  • Размеры и энергопотребление . Как правило, аппаратные брандмауэры имеют более скромные размеры и меньшее энергопотребление. Не всегда, правда, энергопотребление играет роль, а вот размеры важны. Одно дело небольшая компактная коробочка, другое - огромный «системник».
  • Производительность . Обычно производительность у аппаратного решения выше. Хотя бы потому, что аппаратный межсетевой экран занимается только своей непосредственной функцией - фильтрацией пакетов. На нем не запущены какие-либо сторонние процессы и службы, как это часто бывает в случае с программными брандмауэрами. Вот представьте, что вы организовали программный шлюз (с функциями межсетевого экрана и NAT) на базе сервера с Windows Server. Вряд ли вы будете выделять целый сервер только под брандмауэр и NAT. Это нерационально. Скорее всего, на нем будут запущены и другие службы - тот же AD, DNS и т.д. Уже молчу про СУБД и почтовые службы.
  • Надежность . Считается, что аппаратные решения более надежны (именно по причине того, что на них редко когда выполняются сторонние службы). Но никто вам не мешает выделить отдельный системник (пусть даже не самый современный), установить на него ту же FreeBSD (одна из самых надежных в мире операционных систем) и настроить правила брандмауэра. Думаю, надежность такого решения будет не ниже, чем в случае с аппаратным файрволом. Но такая задача требует повышенной квалификации администратора, именно поэтому ранее было отмечено, что аппаратные решения более просты в использовании.

Преимущества программных межсетевых экранов

К преимуществам программных решений относятся:
  • Стоимость . Цена программного межсетевого экрана обычно ниже «железки». За цену среднего аппаратного решения можно защитить всю сеть программным брандмауэром.
  • Возможность защиты сети изнутри . Не всегда угрозы исходят извне. Внутри локальной сети есть множество угроз. Атаки могут исходить с внутренних компьютеров. Инициировать атаку может любой пользователь LAN, например, недовольный компанией. Как уже отмечалось, можно, конечно, использовать отдельный аппаратный маршрутизатор для защиты каждого отдельного узла, но на практике нам таких решений не встречались. Уж больно они нерациональны.
  • Возможность разграничения сегментов локальной сети без выделения подсетей . В большинстве случаев к локальной сети подключаются компьютеры разных отделов, например, бухгалтерии, финансового отдела, IT-отдела и т.д. Не всегда эти компьютеры должны взаимодействовать между собой. Как выполнить разграничение ИСПДн? Первое решение заключается в создании нескольких подсетей (например, 192.168.1.0, 192.168.2.0 и т.д.) и настройке надлежащим образом маршрутизации между этими подсетями. Нельзя сказать, что решение очень сложное, но все же сложнее, чем использование программного файрвола. Да и не всегда можно выделить подсети по тем или иным причинам. Второе решение заключается в использовании межсетевого экрана, предназначенного именно для защиты ИСПДн (не во всех программных межсетевых экранах легко ). В этом случае даже в самой большой сети вы выполните разграничение ИСПДн за считанные минуты, и вам не придется возиться с настройкой маршрутизации.
  • Возможность развертывания на существующих серверах . Нет смысла покупать еще одну «железку», если есть достаточный компьютерный парк. Достаточно на одном из серверов развернуть межсетевой экран и настроить NAT и машрутизацию. Обычно обе эти операции выполняются посредством графического интерфейса межсетевого экрана и реализуются посредством нескольких щелчков мышью в нужных местах.
  • Расширенный функционал . Как правило, функционал программных межсетевых экранов шире, чем у их аппаратных собратьев. Так, некоторые межсетевые экраны предоставляют функции балансировки нагрузки , IDS/IPS и тому подобные полезные вещи, позволяющие повысить общую безопасность системы обработки данных. Да, такие функции есть не у всех программных брандмауэров, но ничто и никто не мешает вам выбрать межсетевой экран, соответствующий вашим нуждам. Конечно, такие функции есть и у некоторых аппаратных комплексов. Например, StoneGate IPS - предоставляет функционал системы предотвращения вторжений, но стоимость таких решений не всегда понравится руководству предприятия. Также есть и аппаратные балансировщики нагрузки, но они стоят еще дороже, чем аппаратные IPS.
О недостатках писать не станем - они следуют из преимуществ. Преимущества одного вида брандмауэров обычно являются недостатками другого вида. Например, к недостаткам аппаратных решений можно отнести стоимость и невозможность защиты локальной сети изнутри, а к недостаткам программных - сложность развертывания и использования (хотя, как было отмечено, все относительно).
Правда, есть один недостаток аппаратных межсетевых экранов, о котором стоит упомянуть. Как правило, у всех аппаратных межсетевых экранов есть кнопка сброса, нажав которую можно вернуть параметры по умолчанию. Для нажатия этой кнопки не нужно обладать какой-то особой квалификацией. А вот, чтобы изменить параметры программного межсетевого экрана, нужно, как минимум, получить права администратора. Нажав одну кнопку, недовольный сотрудник может нарушить безопасность всего предприятия (или оставить предприятие без доступа к Интернету, что даже лучше). Поэтому при использовании аппаратных решений нужно более ответственно подойти к вопросам физической безопасности самих устройств.

Битва брандмауэров

Далее мы попытаемся понять, какой брандмауэр обеспечивает лучшую защиту: программный или аппаратный. В качестве аппаратного будет выступать встроенный в маршрутизатор от TP-Link межсетевой экран. В качестве программного - Киберсейф Межсетевой экран .
Для теста брандмауэров мы будем использовать утилиты с сайта www.testmypcsecurity.com , а именно Jumper, DNStester и CPIL Suite (разработка компании Comodo). Сразу предупреждаем: в отличие от сертифицированных инструментов вроде XSpider эти утилиты используют те же методы, что и вредоносные программы, работу которых они симулируют. Именно поэтому на время тестирования (если вы хотите повторить результаты) все средства антивирусной защиты должны быть деактивированы.
Можно было бы, конечно, рассмотреть XSpider, но данный тест был бы слишком скучным и неинтересным для конечного читателя. Да и кто может представить себе злоумышленника, который использует сертифицированный сканер?
Вкратце об утилитах:
  • Jumper - позволяет обойти брандмауэр, используя методы «DLL injection» и «thread injection».
  • DNS Tester - использует рекурсивный DNS-запрос, чтобы обойти брандмауэр.
  • CPIL Suite - набор тестов (3 теста) от компании Comodo.

Все эти утилиты будут запускаться изнутри, то есть непосредственно с тестируемых компьютеров. А вот снаружи мы будем сканировать старым-добрым nmap.
Итак, у нас есть два компьютера. Оба подключены к Интернету. Один подключается через аппаратный межсетевой экран (работающий на базе маршрутизатора TP-Link) и на нем не установлены ни программный брандмауэр, ни антивирус. Второй компьютер подключен к Интернету непосредственно и защищен программным межсетевым экраном КиберСейф. На первом компьютере установлена Windows 7, на втором - Windows Server 2008 R2.

Тест 1: Jumper

Jumper, запущенный с правами администратора (чего греха таить, с такими правами работают множество пользователей), успешно выполнил свою задачу в Windows 7 (рис. 1). Ничто не могло ему помешать - ведь на нашей системе не было установлено ни одно средство защиты, ни антивирус, ни брандмауэр, ни IDS/IPS, а аппаратному брандмауэру все равно, что происходит на клиентских компьютерах. Он никак не может повлиять на происходящее.


Рис. 1. Jumper в Windows 7

Ради справедливости нужно отметить, что если бы пользователь работал не справами администратора, то у Jumper ничего бы не вышло.
В Windows Server 2008 Jumper даже не запустился, но это не заслуга межсетевого экрана, а самой операционной системы. Поэтому здесь между межсетевыми экранами - паритет, поскольку защита от данной уязвимости может быть обеспечена средствами самой операционной системы.

Тест 2. DNStester

Цель данного теста - отправить рекурсивный DNS-запрос. По умолчанию, начиная с Windows 2000, служба Windows DNS Client принимает обращения по всем запросам DNS и управляет ими. Таким образом, все DNS-запросы от всех приложений в системе будут отправлены клиенту DNS (SVCHOST.EXE). Сам DNS-запрос делает непосредственно DNS-клиент. DNStester использует рекурсивный запрос DNS, чтобы обойти брандмауэр, другими словами, служба обращается сама к себе.


Рис. 2. Тест не пройден

Если настройки брандмауэра оставить по умолчанию, то с данным тестом не справились, ни программный, ни аппаратный брандмауэр. Понятно, что аппаратному брандмауэру все равно, что происходит на рабочей станции, поэтому рассчитывать, что он защитит систему от этой уязвимости, не приходится. Во всяком случае, с дефолтными настройками (а они практически не изменялись).
Но это не говорит о том, что Киберсейф Межсетевой экран - плохой брандмауэр. При повышении уровня безопасности до третьего, тест был полностью пройден (см. рис. 3). Программа сообщила об ошибке в DNS-запросе. Чтобы убедиться, что это не заслуга Windows Server 2008 тест был повторен на машине с Windows 7.


Рис. 3. Тест пройден (DNStest)

Ради справедливости нужно отметить, что если на компьютере установлен антивирус, то, скорее всего, данное приложение будет помещено в карантин, но все же один запрос оно успеет отправить (рис. 4).


Рис. 4. Антивирус Comodo заблокировал нежелательное приложение

Тест 3. Набор тестов от Comodo (CPIL)

Итак, аппаратный брандмауэр с дефолтными настройками провалил все три теста CPIL (если щелкнуть по надписи Tell me more about Test, появится окошко, объясняющее принцип теста). Но провалил он их как-то странно. Прохождение теста подразумевает такую последовательность действий:
  1. Нужно ввести передаваемые данные. Нами вводились значения 1, 2, 3 для тестов 1, 2 и 3 соответственно.
  2. Затем нажать одну из кнопок вызова теста (рис. 5)


Рис. 5. CPIL Test Suite

После этого должен был открыться браузер с результатами теста. Кроме сообщения о том, что тест провален, страница результатов должна была отображать введенное нами значение, которое передавалось сценарию в качестве GET-параметра (см. рис. 6). Видно, что значение (2 в адресной строке) таки было передано, но сценарий его не отобразил. Ошибка в сценарии Comodo? Ошибаются, конечно, все, но доверия к этому тесту у нас поубавилось.


Рис. 6. Результат теста (аппаратный брандмауэр)

А вот при использовании программного брандмауэра тесты CPIL даже не запустились. При нажатии кнопок 1 - 3 ничего не произошло (рис. 7). Неужели это заслуга Windows Server 2008, а не брандмауэра? Мы решили это проверить. Поэтому на компьютер с Windows 7, защищенный аппаратным брандмауэром, был установлен Киберсейф Межсетевой экран. А вот в Windows 7 утилите удалось-таки прорвать оборону файрвола. Первый и третий тест были пройдены, а вот при нажатии кнопки Test 2 нам пришлось созерцать окно браузера Chrome, подобное изображенному на рис. 6.


Рис. 7. При нажатии на кнопку ничего не происходит (видно, что антивирус отключен)


Рис. 8. Тесты 1 и 3 пройдены

Тест 4. Сканирование извне

До этого мы пытались прорваться через брандмауэр изнутри. Сейчас же попробуем просканировать защищаемые брандмауэром системы. Сканировать будем сканером nmap. В результатах аппаратного брандмауэра никто не сомневался - все закрыто и невозможно даже определить тип тестируемой системы (рис. 9 и 10). На всех последующих иллюстрациях IP-адреса скрыты, поскольку являются постоянными - дабы ни у кого не было желания повторить тест на наших адресах.


Рис. 9. Сканирование аппаратного брандмауэра


Рис. 10. Сканирование аппаратного брандмауэра (детали хоста)

Теперь попробуем просканировать систему, защищенную программным межсетевым экраном. Понятное дело, по умолчанию программный межсетевой экран будет пропускать все и вся (рис. 11).


Рис. 11. Открытые порты (программный межсетевой экран, настройки по умолчанию)


Рис. 12. Определен тип системы (программный межсетевой экран, настройки по умолчанию)

Когда же настраиваются правила, то все встает на свои места (рис. 13). Как видите, программный брандмауэр обеспечивает безопасность защищаемой системы ничем не хуже, чем его «железный» коллега.


Рис. 13. Открытых портов нет

Атаки по локальной сети

Почему так важно обеспечить защиту внутри локальной сети? Многие администраторы ошибочно не уделяют внимание защите изнутри, а зря. Ведь внутри локальной сети можно реализовать множество атак. Рассмотрим некоторые из них.

ARP-атака

Перед соединением с сетью компьютер отправляет ARP-запрос, позволяющий узнать, не занят ли IP-адрес компьютера. Когда в локальной сети есть несколько Windows-машин с одним IP-адресом, то пользователь видит окошко с сообщением о том, что IP-адрес занят (используется другим компьютером). Windows о занятости IP-адреса узнает посредством протокола ARP.
ARP-атака заключается в том, что злоумышленник флудит машины, которые работают под управлением Windows. Причем на каждый компьютер будут отправлены сотни запросов, в результате пользователь будет не в силе закрыть постоянно всплывающие окна и будет вынужден, как минимум перезагрузить компьютер.
Ситуация мало приятная. Но наличие брандмауэра на рабочей станции позволит свести на нет все старания злоумышленника.

DoS-атаки, в том числе различные флуд-атаки

DoS-атаки (атаки на отказ) возможны не только в Интернете, но и в локальных сетях. Отличаются лишь методы таких атак. Природа DoS-атак может быть любой, однако, бороться с ними без брандмауэра, который был бы установлен на каждой машине локальной сети, невозможно.
Один из видов DoS-атаки, который может с успехом применяться в локальной сети - это ICMP-флуд. Брандмауэр КиберСейф Межсетевой экран содержит выделенные средства для борьбы с этим видом атак (рис. 14). Также он содержит средства балансировки нагрузки на сервер , что также может помочь в борьбе с DoS-атаками.


Рис. 14. ICMP безопасность (КиберСейф Межсетевой экран)

Смена MAC-адреса

В локальной сети компьютеры идентифицируются не только по IP-адресу, но и по MAC-адресу. Некоторые администраторы разрешают доступ к определенным ресурсам по MAC-адресу, поскольку IP-адреса, как правило, динамические и выдаются DHCP. Такое решение не очень себя оправдывает, поскольку MAC-адрес очень легко сменить. К сожалению, защититься от смены MAC-адреса с помощью брандмауэра не всегда возможно. Не каждый брандмауэр отслеживает изменение MAC-адреса, поскольку обычно привязан к IP-адресам. Здесь самое эффективное решение - использование коммутатора, позволяющего сделать привязку MAC-адреса к конкретному физическому порту коммутатора. Обмануть такую защиту практически невозможно, но и стоит она немало. Правда, есть и программные способы борьбы со сменой MAC-адреса , но они менее эффективны. Если вам интересен брандмауэр, который умеет распознавать подмену MAC-адреса, то обратите внимание на Kaspersky Internet Security 8.0 . Правда, последний умеет распознавать подмену MAC-адреса только шлюза. Но зато он полноценно распознает подмену IP-адреса компьютера и IP-флуд.

Подмена IP-адреса

В сетях, где доступ к ресурсам ограничивается по IP-адресам, злоумышленник может сменить IP-адрес и получить доступ к защищаемому ресурсу. При использовании брандмауэра Киберсейф Межсетевой экран такой сценарий невозможен, поскольку нет привязки к IP-адресам даже у самого брандмауэра. Даже если изменить IP-адрес компьютера, то он все равно не войдет в состав ИСПДн, в которую стремиться проникнуть злоумышленник.

Routing-атаки

Данный вид атак основан на отправке жертве «фальшивых» ICMP-пакетов. Суть этой атаки в подмене адреса шлюза - жертве отправляется ICMP-пакет, сообщающий более короткий маршрут. Но на самом деле пакеты будут проходить не через новый маршрутизатор, а через компьютер злоумышленника. Как уже было отмечено ранее, Киберсейф Межсетевой экран обеспечивает безопасность ICMP. Аналогично, можно использовать и другие межсетевые экраны.

Существует и множество других атак в локальных сетях - и снифферы, и различные атаки с использованием DNS. Как бы там ни было, а использование программных брандмауэров, установленных на каждой рабочей станции, позволяет существенно повысить безопасность.

Выводы

Защита информационной системы должна быть комплексной - это и программные, и аппаратные брандмауэры, и антивирусы, и правильная настройка самой системы. Что же касается нашего противостояния между программными и аппаратными брандмауэрами, то первые эффективно использовать для защиты каждого узла сети, а последние - для защиты всей сети в целом. Аппаратный брандмауэр не может обеспечить защиту каждой отдельной рабочей станции, бессилен при атаках внутри сети, а также не может выполнить разграничение ИСПДн, которое необходимо выполнять в контексте защиты персональных данных.

Теги:

  • межсетевой экран
  • брандмауэр
Добавить метки

Глобализация и коммуникативные возможности, которые предоставляет пользователям Интернет, привлекают в мировые информационные сети не только частных, но и корпоративных пользователей. Очень часто они становятся мишенью для злоумышленников, которые используют в корыстных целях конфиденциальную информацию. Каждый год организации, решившие передавать важные данные через глобальные сети, теряют огромные денежные средства из-за большого числа атак, к сожалению, успешных. Целью разработки сети Интернет было создание системы, предназначенной для свободного обмена данными. И этим сразу же начали пользоваться любители легкой наживы. Через Интернет можно:

  • сломать пароли и проникнуть во внутреннюю сеть организации, где не трудно найти секретную информацию;
  • скопировать конфиденциальные данные;
  • узнать адреса и пароли серверов и другое.

Для решения этой проблемы были предложены аппаратные межсетевые экраны . Более широкое распространение получили названия брандмауэр и файрвол. Это набор аппаратных, а также программных средств, которые позволяют разделить каждую сеть на несколько частей, производить мониторинг и защиту проходящих сетевых пакетов через границу из одной части сети в другую. Обычно такая граница создается между внутренней сетью предприятия и глобальной сетью Интернет. Но в отдельных случаях ее можно создать и между отделами одной корпоративной сети.

Межсетевые экраны должны охватывать определенные области в работе корпоративной сети. В общем смысле их можно обозначить следующим образом:

  • фильтрация на сетевом уровне;
  • фильтрация на прикладном уровне;
  • наладка правил фильтрации, администрирование;
  • инструменты сетевой аутентификации;
  • настройка журналов и ведение учета.

Классификация межсетевых экранов

Принято выделять следующие классы защитных межсетевых экранов:

  • фильтрующие маршрутизаторы;
  • шлюзы сеансового уровня;
  • шлюзы уровня приложений.

Фильтрующие маршрутизаторы

Осуществляют фильтрацию входящих и исходящих пакетов с использованием данных, которые содержатся в ТСР и IP-заголовках. Для отбора IP-пакетов применяются группы полей заголовка пакета:

  • IP-адрес отправителя;
  • IP-адрес получателя;
  • порт отправителя;
  • порт получателя.

Отдельные маршрутизаторы контролируют сетевой интерфейс маршрутизатора, с которого поступил пакет. Эти данные используются для более детальной фильтрации. Последняя может выполняться разными способами, прерывая соединения с определенными портами или ПК.

Правила фильтрации у маршрутизаторов составляются сложно. Нет возможности проверки корректности, за исключением медленного и трудоемкого тестирования вручную. Также к недостаткам фильтрующих маршрутизаторов можно отнести случаи, если:

  • из Интернета видна внутренняя сеть;
  • сложные правила маршрутизации требуют отличного знания ТСР и UDP;
  • при взломе сетевого экрана становятся беззащитными или недоступными все компьютеры в сети.

Но фильтрующие маршрутизаторы имеют и ряд преимуществ:

  • невысокая стоимость;
  • гибкое определение правил фильтрации;
  • невысокая степень задержки при работе с пакетами.

Шлюзы сеансового уровня

Это трансляторы ТСР-соединения. Шлюз обрабатывает запрос авторизованного клиента в отношении конкретных услуг. Проверяет правильность сеанса и выполняет соединение с внешним хостом. Затем шлюз копирует пакеты в обоих направлениях без фильтрации. Пункт назначения стандартно устанавливается заранее. Источников может быть несколько. Благодаря разнообразию портов можно настраивать различные конфигурации соединений. Используя шлюз, можно создавать транслятор ТСР для любого сервиса, который работает с ТСР-соединением.

Шлюз определяет допустимость запроса на сеанс связи по определенным правилам. Сначала авторизованный клиент делает запрос к доступу на определенный сервис. Шлюз принимает его и проверяет соответствие клиента основным параметрам фильтрации. Если все в порядке, шлюз устанавливает соединение с внешним хостом. Далее выполняется контроль за процедурой квитирования связи по ТСР. Если шлюз определил, что клиент и внешний хост авторизованы, идет соединение. В ходе передачи информации шлюз поддерживает таблицу установленных соединений и пропускает информацию, которая относится к одному из сеансов связи, прописанных в таблице. После окончания сеанса связь прерывается. Из таблицы стираются соответствующие данные.

Шлюзы уровня приложений

Для более надежной защиты экраны применяют прикладные фильтрующие программы при соединении с Telnet и FTP. Данное приложение носит название proxy-службы или, другими словами, — шлюза уровня приложений. При использовании шлюза данного типа взаимодействие между авторизованным клиентом и внешним хостом невозможно. Фильтрация осуществляется на прикладном уровне.

Когда шлюз обнаруживает сетевой сеанс, он останавливает его и подключает специальное приложение для завершения услуги. Шлюзы прикладного уровня обеспечивают надежную защиту, так как с внешней сетью взаимодействие происходит через маленькое количество уполномоченных приложений. Они выполняют строгий контроль входящего и исходящего трафика. Для каждого сетевого сервиса требуются отдельные приложения.

Плюсы использования шлюза уровня приложений:

  • невидимость защищаемой сети из Интернета;
  • эффективная и надежная аутентификация и регистрация;
  • оптимальное соотношение стоимости и уровня защиты;
  • простые правила фильтрации;
  • возможность установки дополнительных проверок.

Аппаратные межсетевые экраны

Аппаратные брандмауэры используют для фильтрации пакетов собственные операционные системы, специально предложенные разработчиками.

Чтобы аппаратный сетевой экран работал корректно, важно правильно выполнить его установку и подключение, а также конфигурирование. Самый простой файервол представляет собой устройство, включающее набор приложений для централизации управления доступом и защиты информации. Основные функции, которые выполняет аппаратный брандмауэр, такие же как и у программных: анализ пакетов, фильтрация и перенаправление трафика, аутентификация подключения, блокирование содержимого протоколов, шифрование данных.

Зачастую для увеличения защищенности приходится устанавливать несколько аппаратных сетевых экранов. Возможно объединение экранов разных типов в одну систему. Применение брандмауэров с разной структурой на основе различающихся архитектур позволяет создавать защиту более высокого уровня.

Создание брандмауэров в в корпоративных сетях

Если требуется установить надежную корпоративную или локальную сеть, необходимо решить следующие задачи:

  • защита сети от несанкционированного удаленного доступа с использованием глобальной сети Интернет;
  • защита данных о конфигурации сети от посетителей глобальной сети;
  • разделение доступа в корпоративную или локальную сеть из глобальной и наоборот.

Для обеспечения безопасности защищаемой сети используются различные схемы создания межсетевых экранов:

Брандмауэр в виде фильтрующего маршрутизатора — самый простой и распространенный вариант. Маршрутизатор располагается между сетью и Интернетом. Для защиты используются данные анализа адресов и портов входящих и исходящих пакетов.

Брандмауэр с использованием двухпортового шлюза — это хост с двумя сетевыми интерфейсами. Основная фильтрация при обмене данными осуществляется между этими портами. Для увеличения безопасности может быть установлен фильтрующий маршрутизатор. В таком случае между шлюзом и маршрутизатором образуется внутренняя экранированная сеть, которую можно применять для установки информационного сервера.

Брандмауэр с экранированным шлюзом — высокая гибкость управления, но недостаточная степень защищенности. Отличается наличием только одного сетевого интерфейса. Пакетная фильтрация выполняется несколькими способами: когда внутренний хост открывает доступ в глобальную сеть только для избранных сервисов, когда блокируются все соединения от внутренних хостов.

Брандмауэр с экранированной подсетью — для его создания используются два экранирующих маршрутизатора. Внешний установлен между экранируемой подсетью и Интернетом, внутренний — между экранируемой подсетью и внутренней защищаемой сетью. Хороший вариант для обеспечения безопасности со значительным трафиком и высокой скоростью работы.

С быстрым ростом Интернета проблема безопасности малых сетей и домашних пользователей не менее актуальна, чем, скажем, безопасность сетей крупных компаний. Если ваши сеть или компьютер являются частью большой корпоративной сети, то, скорее всего, firewall вам уже не нужен, поскольку большая сеть, как правило, бывает защищена. В том же случае, когда вы не знаете точно, есть ли внешний firewall, или когда вы подсоединяетесь к сети через провайдера (у Интернет-провайдеров не всегда установлен firewall, так как это ухудшает пропускную способность шлюза), то, наверное, имеет смысл самому позаботиться о защите своей сети или компьютера. Кстати, нужно понимать, что, подключаясь к Интернету по модему, вы тоже становитесь полноценным Интернет-узлом. Модемное подключение отличается от кабельного лишь тем, что оно в большинстве случаев не постоянно.В данной статье я постараюсь кратко объяснить, что такое firewall, как он работает, почему его необходимо устанавливать, и опишу функции некоторых программ. В основном речь пойдет о Windows (95/98/NT/2000/…), поскольку сегодня это наиболее распространенная операционная система. Кратко будут упомянуты программы, работающие под UNIX (в частности Linux). Для того чтобы понять, зачем нужен firewall, необходимо ответить на вопрос: от чего нужно защищаться при работе в сети?

Проблемы безопасности при соединении с Интернетом

Подключаясь к Интернету, вы физически соединяетесь с более чем 50 тыс. неизвестных сетей и всеми их пользователями. В то время как такое соединение открывает путь ко многим полезным программам и обеспечивает огромные возможности разделения информации, ваша сеть или личный компьютер тоже становятся доступными для пользователей Интернета. Основной вопрос: насколько ресурсы вашей сети доступны и насколько они могут быть доступны (далее я не буду разделять малую сеть и отдельный домашний компьютер, пока это не принципиально)? Еще один вопрос: как защищен ваш компьютер от вторжения? Стоит заметить, что те, кто зовет себя хакерами, обычно не стремятся завладеть информацией - им интересен сам процесс взлома системы. Иногда это приводит к порче информации, хранящейся на вашем компьютере. Редко, но иногда все же именно порча информации является целью взлома системы. При этом, в отличие от корпоративных сетей, методы и способы проникновения в малую сеть или домашний компьютер более прозаичны. Вот некоторые из них.
  • Вам присылают с виду безобидные письма с аттачментом, например таким:
pricelist.zip .exeОбратите внимание на.exe в конце строки. При этом все почтовые клиенты по получении такого письма отобразят только pricelist.zip, но при открытии этого файла вместо запуска архиватора выполнят его.
  • Вы не устанавливаете бесплатные обновления к Internet Explorer, хотя все давно знают, что в самом Windows и в IE, в частности, основной проблемой является безопасность системы.
  • Вы используете непроверенные программы, например экранные заставки. Они очень часто содержат троянских коней, то есть программный код, который исподтишка выполняет ненужные вам и направленные против вас действия, например отсылает по сети пароли.
  • Отдельно заметим, что Windows в отличие от UNIX страдает тем, что устройство файловой системы и ядра системы позволяют создавать вирусы. Причем как безобидные, так и весьма разрушительные. Эти вирусы могут быть в выполняемых файлах, скриптах, даже в офисных документах. И возможность проверки приходящих писем и скачиваемых файлов на вирусы является просто необходимой.
Конечно, в отношении домашнего компьютера можно применять и более низкоуровневые методы, связанные с конкретным обращением к портам. Происходит это следующим образом. Взломщик сканирует ваш компьютер на свободные и незащищенные порты, то есть порты, которые не отвечают при приеме пакетов. Первое, что при этом может произойти, - это переполнение сетевого стека (место временного хранения пакетов) и, как следствие, сбой в работе машины (обычно зависание). Такого эффекта можно добиться, если послать слишком много пакетов. Кроме того, такой пустой порт может быть использован для общения с вашим компьютером. Имеется в виду доступ к файлам, паролям, возможность изменять файлы, например класть на диск зараженные вирусом программы. Возможен и более сложный механизм: сначала переполняется стек, а затем, когда работа сетевых программ уже нарушена, происходит вторжение через стандартные порты. Отметим сразу, что желательно отключить возможность разделения файлов и принтеров на домашнем компьютере. Для этого нужно в Windows открыть Панель Управления (Control Panel), в разделе Сеть (Network) войти в раздел Разделение Файлов и Принтеров (File abd Print Sharing) и убрать выделение с пунктов:
  • I want to be able to give others access to my files;
  • I want to be able to allow others to print to my printer(s).
Вообще желательно, по возможности, отключать все, что может дать повод для вторжения или ослабить защиту самой системы. Конечно, при условии, что эта функция вам не нужна. Выше как раз дано описание такой функции, которая совсем не нужна в случае одного домашнего компьютера, особенно при модемном подключении. Можно задаться вопросом: а зачем взламывать домашний компьютер? Основных причин, на мой взгляд, две. На первом месте, как я уже говорил, - интерес к самому процессу взлома. Еще одной причиной стало то, что в последнее время люди нередко используют подключение к Интернету для доступа к рабочей информации и работе с ней. Возможно, такая информация может представлять интерес. Так или иначе, в ваших интересах защитить свой домашний компьютер, даже если на нем нет конфиденциальной информации. защита необходима тем более, если вы реально используете выход в Интернет для доступа к информации на другом компьютере. Именно для такой защиты и существует firewall.

Что такое Firewall

Я не буду вдаваться в технические подробности, связанные с сетевым стеком, способами фильтрации и тому подобными тонкостями. Тем более что ранее была опубликована статья «Защита сетей и firewall», где firewall был описан довольно подробно. Коротко Firewall можно определить как точку разделения вашей сети или компьютера и Интернета . Этой точкой может быть компьютер, на котором запущен программный firewall или аппаратно реализованный firewall. Если у вас один компьютер, то firewall - это просто программа, запущенная на нем.В чем же идея? Напомним, как происходит передача данных в Интернет. Все данные передаются с помощью IP-протокола. Передача происходит порциями - пакетами. В каждом пакете есть заголовок, содержащий адрес отправителя, адрес получателя, номер сетевого порта, ссылку на предыдущий пакет, контрольную информацию, необходимую для сохранности данных, и сами данные. Первые три пункта (адреса и порт) необходимы для того, чтобы пакет вообще дошел. Номер порта связан с определенной программой. Так, telnet работает с портом 22, http-протокол - с портом 80. Всего портов 65 535. Ссылка на предыдущий пакет необходима для правильной склейки порций информации в файлы, а контрольная информация - для проверки правильности передачи. Идея firewall состоит в том, что запускается программа, которая первой, до всех серверов и клиентов, получает все пакеты, приходящие в ваш компьютер. Таким образом, эта программа первой получает доступ к информации пакета. Схематически работу firewall можно представить следующим образом.Проверка пакетов осуществляется по-разному - в зависимости от уровня firewall. Существует пять уровней firewall:
  • Первый уровень проверяет адреса, записанные в пакете, и номер порта. При этом, естественно, появляется возможность запрета приема пакетов с определенных адресов или в определенные порты. Этот уровень обеспечивает минимальную защиту, так как пакет - это еще не файл и не программа, а просто кусок информации. Но тем не менее может быть полезно, например, запретить прохождение пакетов по некоторым портам.
  • Второй уровень в дополнение к тому, что происходит на первом уровне, использует ссылки на предыдущие пакеты. С помощью таких ссылок формируется законченная цепь информации, например целый файл. Такой firewall проверяет целостность передачи файлов и позволяет сразу отсекать подозрительные файлы.
  • Третий уровень - это firewall программного уровня. К фильтрации пакетов и проверки целостности информации добавлена возможность проверки содержимого файлов. То есть, например, исполняемые файлы проверяются на вирусы, проверяется содержимое архивов, в письмах тестируются вложенные файлы и так далее.
  • Четвертый и пятый уровни отличаются от третьего лишь технической реализацией основных функций firewall программного уровня.
При выборе конкретной реализации firewall важно обратить внимание на следующие важные моменты. Прежде всего настройка по портам и сетевым адресам требует точного понимания, другими словами, это не всегда в состоянии сделать обычный пользователь. Более грубые настройки требуют от программы делать некоторые вещи автоматически. Здесь важен компромисс между простотой программы и эффективностью ее использования. Второе - мощность программы. Если у вас всего лишь домашний компьютер и в Интернете вы только просматриваете web-странички, то, возможно, вам просто нужна антивирусная программа, проверяющая online-скачиваемые файлы. Другое дело, если у вас есть небольшая сеть и вы хотите контролировать передачу файлов на соседние машины или разделение принтеров. Третье - цена. Есть программы бесплатные, есть мощные и дорогие. Важно понимать, что бесплатное - не значит плохое.Теперь перейдем к описанию конкретных программ. Сразу скажу, что порядок следования программ не связан ни с ценой, ни с популярностью, ни со сложностью. Тем более что трудно сравнивать популярность программ, так как они рассчитаны на разные компьютеры, разные по величине сети. Ниже приведен оптимальный, на мой взгляд, пример организации защиты своей сети. Две описанные ниже программы дополняют друг друга, чем обеспечивается необходимый уровень защищенности. Естественно, наш выбор не является панацеей. Единственное, что можно сказать, - все описанные ниже программы занимают ведущие места в публикуемых в Интернете рейтингах. Помимо этого на нашем CD-ROM вы найдете обзор некоторых наиболее популярных программ, реализующих в себе функции firewall.

Реализации firewall

Norton Internet Security 2000 (NIS)

NIS сочетает в себе несколько различных программ.Система защиты унаследована от программы AtGuard и формируется в виде набора правил для слежения за портами и адресами. Также включена система блокировки cookie, фильтрация для ActiveX, Java, скриптов и слежения при работе в Интернете. Встроена и антивирусная проверка. Система Accounts позволяет иметь несколько наборов установок для разных пользователей. Поскольку предметом статьи является защита, расскажу об этом чуть подробнее. Сразу отмечу, что система правил очень гибкая, но при этом она вряд ли подходит обычному пользователю. Если уж вы взялись создавать систему правил, то желательно отключить опцию «Automatic Firewall Rule Creation». Ниже приведен возможный вариант системы правил. Он подразумевает подключение одного компьютера к провайдеру. Важно отметить, что это возможный набор правил. Вам необходимо тестировать каждое правило на своем компьютере, чтобы проверить его эффективность. Для установки правил нужно войти в раздел Security и Custom settings. Отдельно отметим особенность NIS, которую предоставляют не все программы: вы можете указывать, какие программы могут использовать какие порты. В ряде случаев это очень удобно. Например, запретить браузеру использование всех портов, кроме 80 (http) или 443 (https). Но продолжим про правила. Возможен следующий набор.
  1. Заблокировать все входящие и выходящие пакеты ICMP. Возможно, правда, что ваш провайдер требует наличия ICMP.
  2. Заблокировать вход по портам со 135-го по 139-й (TCP и UDP).
  3. Заблокировать вход по портам с 67-го по 69-й (TCP и UDP).
  4. Заблокировать вход и выход в 113 порте. Это может привести к задержке при отправке писем, но тем не менее они будут уходить, если специально не оговорено использование этого порта провайдером.
  5. Заблокировать «NetBIOS» UDP-вход.
  6. Заблокировать «finger» TCP-вход.
  7. Заблокировать «socks» TCP/UDP-вход (порт 1080).
  8. Заблокировать «Bootpc» UDP-вход. Это не нужно делать, если вы используете Dynamic IP.
  9. Заблокировать «Bootp» UDP-выход. Это не нужно делать, если вы используете Dynamic IP.
  10. Заблокировать TCP-вход 27 374 порта.
  11. Заблокировать UDP-вход «snmp». порты 161 и 162.
  12. Заблокировать UDP-вход «ndmp». Порты с 10 096-го по 10 945-й.
  13. Заблокировать TCP-вход «netstat».
  14. Заблокировать TCP-вход «systat».
  15. Заблокировать TCP- и UDP-вход «nfs».
  16. Заблокировать TCP-вход «wins». Порт 1512.
  17. Заблокировать TCP- и UDP-вход «remote-winsock».
  18. Заблокировать UDP-вход и выход «Windows Key Access». Порт необходим для игр.
  19. Microsoft на www.zone.com.
  20. Заблокировать TCP- и UDP-вход «lotusnotes».
  21. Заблокировать TCP-вход «IBM Data Exchange». Порт 10 044.
  22. Заблокировать TCP- и UDP-вход и выход порта 4000 (может называться «icq»).
Еще раз напомним, что в каждом конкретном случае возможны свои правила или модификации представленных правил. После установки правил NIS начнет работать в соответствии с ними. Примерный вид экрана сообщений представлен ниже. Фиксируются все события, связанные с работой самой программы и с обработкой событий, связанных с установленными правилами.В заключение отметим, что стоит NIS примерно 60 долл. При этом вы получаете возможность обновления программы через Интернет, используя функцию LiveUpdate.

BlackICE Defender (BID)

BID является программой - детектором вторжений в вашу систему. Ее основная цель - отслеживать все передачи данных по сети. В отличие от NIS здесь нет антивирусной программы или указания отдельным программам доступа к портам. Однако система регулирования и контроля доступа к сетевым портам, возможность задания доверительных (trusted) и запрещенных (untrusted) адресов считается по результатам тестирований более надежной. Плюс к тому есть возможность контроля доступа к файлам. Экран конфигурации BID выглядит так. Здесь показан блок защиты (Protection). В принципе, указание одного из уровней защиты уже задает набор правил, в соответствии с которым работает BID. Степень защиты убывает сверху вниз. При этом надо иметь в виду, что детектирование независимо от уровня всегда происходит на всех портах. Уровень означает уровень защиты, то есть выполнение каких-либо действий в отношении пакетов: отражение, проверка и т.д. Уровень Paranoid зачастую бывает излишним, так как происходит проверка всех портов, что может сильно замедлить работу сети. Все события записываются в log-файл и могут быть потом просмотрены.Важной особенностью является то, что не обязательно блокировать адреса. Есть возможность динамической блокировки адресов, если с них происходит попытка входа в систему с неверным паролем. Такой способ нужен, например, когда вы хотите получить доступ к своим файлам с другого компьютера, номер которого заранее неизвестен (например, из какого-нибудь Интернет-кафе во время путешествия). В блоке Intruders окна отслеженных событий записывается адрес, с которого была предпринята попытка вхождения и порт:Важно, что при попытке проникновения в систему по нестандартному порту или входа с неверным паролем или именем пользователя BID не просто блокирует пакет или не пускает в систему, а выполняет процедуры Back-trace. Это некий набор средств, с помощью которого BID пытается собрать максимум информации о взломщике. Далее эта информация записывается в файл и отображается в блоке истории .Недостатком, наверное, можно считать отсутствие возможности создания правил для отдельных программ. Рекомендуемым является сочетание BID и NIS. Это позволяет использовать BID для контроля сетевого прохождения информации и NIS для разделения прав доступа по программ и антивирусной проверки файлов. Стоимость BID ниже, чем NIS, и составляет примерно 40 долл., при этом лицензия действительна в течение всего одного года.

Аппаратные Firewall

Теперь немного об аппаратных firewall. Даже в случае домашних сетей, а тем более малой фирмы это не бесполезная вещь. Дело в том, что это компьютер, специально приспособленный для выполнения функций firewall. Зачастую добиться такой же эффективности можно, лишь установив мощную программу на отдельный мощный компьютер, а это может быть значительно дороже. Тем более что аппаратный firewall почти всегда системно независим и может общаться почти с любой операционной системой. Есть и еще преимущества: вы помещаете компьютер в защищенную зону, на нем нет операционной системы, что осложняет взлом.Приведу краткое описание нескольких недорогих аппаратных firewall.Linksys EtherFast Cable/DSL Router поддерживает NAT, Firewall, DHCP-контроль доступа, а также является switch hub 10/100 4 порта. Цена - 170 долл.SonicWALL SOHO фирмы SonicWALL, Inc. и WebRamp 700s фирмы Ramp Networks, Inc. более функциональны, чем предыдущий, имеют возможности апгрейда, поддерживают Firewall, NAT, DHCP, контекстное управление пакетами. Цена - примерно 400 долл. и 350 долл. соответственно.В заключение необходимо отметить, что сейчас firewall является, наверное, столь же необходимым, как и сам Интернет. Конечно, всегда следует выбирать наиболее подходящие для задач и размеров сетей firewall. Многообразие программ, реализующих функции firewall, настолько велико, что вряд ли можно посоветовать что-либо конкретное. У любого решения есть свои плюсы и минусы. Наиболее подробная информация о программах, документации и поддержке firewall имеется на сайте http://www.firewall.com/ , куда и рекомендую взглянуть, если проблема выбора firewall актуальна для вас.

КомпьютерПресс 10"2000