Межсетевые экраны. Способы организации защиты

История межсетевых экранов

Фаерволом может быть как программное средство, так и комплекс ПО и оборудования. И поначалу они были чисто железными, как и давшие им название противопожарные сооружения.

В контексте компьютерных технологий термин стал применяться в 1980-х годах. Интернет тогда был в самом начале своего применения в глобальных масштабах.

Есть мнение, что, прежде чем название фаервола пришло в реальную жизнь, оно прозвучало в фильме «Военные игры» 1983 г., где главный герой — хакер, проникший в сеть Пентагона. Возможно, это повлияло на заимствование и использование именно такого именования оборудования.

Первыми фаерволами можно назвать маршрутизаторы, которые защищали сети в конце 1980-х. Все передаваемые данные проходили сквозь них, поэтому логично было добавить им возможность фильтрации пакетов.

Виды межсетевых экранов

В целом, межсетевые экраны можно разделить на 2 группы:

  • Классический МЭ — фильтрует трафик на канальном, сетевом и транспортных уровнях
  • Прикладной МЭ — фильтрует трафик на прикладном уровне

Web Application Firewall

Можно рассматривать Web Application Firewall как межсетевой экран прикладного уровня. Примеры отечественных файрволов — WAF Wallarm, PT Firewall.

Deep Packet Inspection

Deep Packet Inspection — технология фильтрации трафика на основе глубокого анализа содержимого пакетов. Deep Packet Inspection часто используются провайдерами для контроля трафика, а иногда и для блокировки некоторых протоколов, таких как BitTorrent, Skype и т.д. Очень часто используется мобильными операторами для того, чтобы заблокировать трафик интернет телефонии.

Что такое USER-ID


USER-ID
  1. Server monitoring: User-ID агент читает события Exchange Servers, domain controllers или серверов Novell eDirectory
  2. Client probing: User-ID агент опрашивает Windows клиентов по WMI
  3. Terminal services agent: TS агент раздает разным пользователям разные диапазоны TCP/UDP портов для работы с Windows/Citrix Terminal Servers
  4. Разбор сообщений Syslog: User-ID агент читает syslog соообщения об аутентификации от различных систем, wireless controllers, 802.1x устройств, Apple Open Directory servers, proxy серверов, VPN шлюзов, Сisco ISE
  5. Аутентификация через клиент GlobalProtect: логин и пароль на VPN + можно добавить MFA
  6. Аутентификация через через Captive Portal: Web traffic аутентифицируется по NTLM или AAA web формой (Captive Portal используется в Московском метро и кафешках. NTLM позволяет делать аутентификацию прозрачной)
  7. XML API: информация о входе и выходе передается User-ID агентом специальными командами через REST API firewall
  8. X-Forwarded-For: прокси-сервера заполняют это поле в HTTP запросе, чтобы было понятно кто там прячется за прокси

История создания

Обзор и настройка модема D-Link Dir-320

Конец 80-х гг. прошлого века — время, когда это решение и начало свою историю. Тогда Интернет не был ещё доступен для большинства людей. Та же функция раньше передавалась маршрутизаторам.

Обратите внимание! Протокол по сетевому уровню давал информацию, достаточную для проведения анализа. Устройства перешли к транспортному уровню по мере дальнейшего развития технологий.

Маршрутизатор по сути первым реализовывал принцип аппаратно-программного брэндмауэра. Он нужен, чтобы блокировать информацию, способную нанести урон системе.

Намного позже возникли сами межсетевые экраны. Только в 1998 г. разработчики создали Netfilter/Iptables — сетевой экран, разработанный специально для операционной системы Linux. Такой поздний переход к новым стандартам произошёл по причине того, что долгое время функция файервола успешно передавалась антивирусным программам. Но к концу 90-х гг. сами вирусы отличались более сложным устройством.

Обратите внимание! Таким образом, межсетевые экраны — это необходимость, продиктованная временем.

Организация комплексной защиты корпоративной сети


ля защиты информационных ресурсов и обеспечения оптимальной работы распределенных корпоративных информационных систем необходимо применение комплексной системы информационной безопасности, которая позволит эффективно использовать достоинства межсетевых экранов и компенсировать их недостатки с помощью других средств безопасности.

Основные способы развертывания межсетевых экранов в корпоративных сетях

    защита корпоративной или локальной сети от несри подключении корпоративной или локальной сети к глобальным сетям администратор сетевой безопасности должен решать следующие задачи:

  • защита корпоративной или локальной сети от несанкционированного удаленного доступа со стороны глобальной сети;
  • скрытие информации о структуре сети и ее компонентов от пользователей глобальной сети;
  • разграничение доступа в защищаемую сеть из глобальной и из защищаемой сети в глобальную.

Типичные возможности

  • фильтрация доступа к заведомо незащищенным службам;
  • препятствование получению закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб;
  • контроль доступа к узлам сети;
  • может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Интернет отдельными узлами сети;
  • регламентирование порядка доступа к сети;
  • уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран;

Вследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие как Telnet, FTP, SMB, NFS, и так далее. Поэтому настройка файрвола требует участия специалиста по сетевой безопасности. В противном случае вред от неправильного конфигурирования может превысить пользу.

Также следует отметить, что использование файрвола увеличивает время отклика и снижает пропускную способность, поскольку фильтрация происходит не мгновенно.

Недостатки МСЭ

Межсетевые экраны обороняют сеть от злоумышленников. Однако необходимо серьезно отнестись к их настройке. Будьте внимательны: ошибившись при настройке параметров доступа, вы нанесете вред и файрвол будет останавливать нужный и ненужный трафик, а сеть станет неработоспособной.

Применение межсетевого экрана может стать причиной падения производительности сети. Помните, что они перехватывают весь входящий трафик для проверки. При крупных размерах сети чрезмерное стремление обеспечить безопасность и введение большего числа правил приведет к тому, что сеть станет работать медленно.

Зачастую одного файрвола недостаточно, чтобы полностью обезопасить сеть от внешних угроз. Поэтому его применяют вместе с другими программами, такими как антивирус.

Теги

Adblock
detector