Защитна стена

от Уикипедия, свободната енциклопедия

Диаграма на защитна стена
Увеличаване
Диаграма на защитна стена

Защитната стена (от англ. firewall, още срещано и като файъруол) общо взето е обект, който разделя други обекти, като ги предпазва един от друг. При строителството на сгради, откъдето и произлиза терминът “защитна стена” (буквално “стена срещу огън”), специално внимание се е обръщало на устойчивите на огън стени, които да спират бързото разпространение на евентуалните пожари в сградата. В съвременния смисъл на термина, защитната стена е хардуерен или софтуерен компонент на цялостната защита на локалните мрежи от глобалната мрежа.

Реализирани са защитни стени на няколко нива от OSI модела, като най-високото е приложният слой (application layer), а най-ниското – каналният слой (datalink layer) от OSI модела. Най-често защитните стени работят на нивото на мрежовия и транспортния слоеве (network layer, transport layer), където изследват пакетите данни на TCP/IP протоколите и обикновено взимат решенията си в зависимост от IP адреса на изпращача или дестинацията, порта, от който пакетът е получен или на който ще се изпрати, или всяка комбинация от тези параметри. Гледат се също така и опциите в заглавната част на пакета. Защитните стени, които работят на приложния слой от OSI модела, филтрират трафика между вътрешната и външната мрежи по отношение на полезния товар в пакетите, зададени ключови думи и като следят за спам, вируси и троянски коне.

Съдържание

[редактиране] Дефиниции на защитна стена

  • Следната дефиниция за защитна стена е дадена в “Oxford Dictionary of Computing”[1]: “система, проектирана да контролира преминаването на информация от една мрежа във втора мрежа. Типично защитната стена се използва като средство за ограничаване на риска от нежелан достъп до чувствителни системи, които се съдържат в добре регулирана мрежа, свързана към някоя по-голяма и по-слабо регулирана мрежа.”
  • В Интернет енциклопедията Webopedia[2] определението на защитна стена звучи по следния начин: “система, проектирана да предотврати неоторизиран достъп до или от частна мрежа. Защитните стени има хардуерни и софтуерни имплементации или комбинация от двете. (…) Защитната стена се счита първата линия на отбрана в защитата на личната информация. За по-голяма сигурност данните могат да се криптират.”
  • Друга дефиниция, предоставена от 3com[3], гласи: “Защитната стена е система, която налага контролна политика на достъпа между две мрежи (…) Защитната стена определя кои вътрешни услуги могат да са достъпни отвън, и обратно. Широко варират средствата, с които тези ограничения се постигат, но принципно защитните стени могат да се разглеждат като двойка механизми: единият блокира трафика, а другият го разрешава.”

Всички тези дефиниции взаимно се допълват и разкриват различните аспекти на понятието защитна стена. Всички те започват с единодушното й определяне като система. Освен това и при трите определения се твърди, че защитните стени служат, за да се предпазят добре регулираните вътрешни/локални/частни мрежи от неоторизиран достъп от слабо регулираната (по правилата на вътрешната мрежа) външна/глобална/обществена мрежа. Споменава се обаче и нерегламентираният достъп вътре от мрежата към ресурси отвън. Тоест защитната стена предпазва не само от изтичане на информация навън и от нежелано навлизане на вредна информация (всякакви вируси, троянски коне и спам), но и може да предпазва от достъп до безвредна от тази гледна точка външна информация и услуги (определени сайтове, електронна поща, музика, игри, филми и пр.). Причините за това ограничение на достъпа могат да са разнообразни: по този начин родител може да ограничи детето си от сайтове с порнографско съдържание, а работодател да ограничи служителите си от ползване на фирмени ресурси за лични нужди.

Точно каква информация ще бъде поставена под контрол е въпрос на политиката на защитната стена. Тази политика се реализира посредством налагането на правила за достъп.


[редактиране] Функции на защитната стена

Фигуративно казано, защитната стена представлява "граничен контролен пункт" за локалната мрежа към външната мрежа. Целият трафик между двете мрежи се осъществява през този пункт, който има за задача да предпазва вътрешната мрежа от нерегламентиран външен достъп и злоупотреби. Защитата на мрежата се основава на един от следните два генерални подхода:

  1. пропускат се всички данни и услуги с изключение на изрично забранените,
  2. забраняват се всички данни и услуги с изключение на специално разрешените.[4]

[редактиране] Основни функционалности

Три са основните функции на защитната стена:

  • да блокира входящите данни, за които има вероятност да прикриват хакерски атаки,
  • да скрива информация за мрежата, като за изходящия трафик маскира IP адреса на мрежата с IP адреса на защитната стена,
  • да води дневници (logs) за информационния поток със записи на определени събития.

[редактиране] Блокиране на входните данни

Данните се блокират тогава, когато не отговарят на правилата за сигурност, зададени от администратора на мрежата. Например, ако от определен източник са регистрирани опити за хакерски атаки или flooding, администраторът задава правило за отхвърляне на всички пакети с IP адреса на този източник. Много често за подобно филтриране не е необходим допълнителен софтуер, а е възможно то да се извърши и от маршрутизатора (всички съвременни маршрутизатори имат такава функционалност). Освен входящите данни могат да се блокират и изходящите. По този начин се защитава останалият свят от локалната мрежа и могат да се забранят някои потенциално опасни услуги и действия от даден хост. Блокирането на данни е в основата на втория генерален подход за реализация на защитните стени. Така по подразбиране се отхвърлят непознатите протоколи и се осъществява по-силен контрол на трафика.

[редактиране] Скриване на информация за мрежата

Замяната на адресната информация осигурява анонимност на защитаваната мрежа. Така се прикриват вътрешните мрежови характеристики от външната мрежа.[5] Най-често се скриват DNS, FINGER и други протоколи. Чрез тях би могла да бъде получена вътрешно мрежова информация, чрез която по-нататъшното проникване в мрежата ще бъде максимално улеснено.

[редактиране] Документиране на входния поток

В специални таблици на защитната стена се пази подробна информация за допуснатите и отхвърлените от стената пакети, като например мрежовите адреси на източника на пакета и дестинацията, номерата на портовете на източника и дестинацията, типа протокол, и други. На базата на тази информация може да се прави одит на причините за възникване на дадено събитие.[4]

[редактиране] Допълнителни функционалности

Освен основните си функционалности защитната стена има и допълнителни възможности:

  • филтриране на съдържанието (content filtering),
  • преобразуване на мрежови адреси и номера на портове (network address translation, port address translation),
  • балансиране на натоварването (bandwidth shaping, QoS),
  • откриване на пробиви в системата (intrusion detection).

[редактиране] Филтриране на съдържанието

Когато се налага ограничение за достъп от вътрешни хостове до определени данни и услуги от външната мрежа, то може да бъде реализирано, като се филтрира съдържанието на заявките по адрес или по ключови думи. Обикновено се блокира достъпът до сайтове с пиратско или порнографско съдържание, сайтове за електронна поща и пр. При тази функционалност на защитните стени списъкът със забранени (banned) сайтове трябва регулярно да се обновява. При филтрирането на съдържанието може да се избегне досадното или зловредно съдържание на pop-up рекламите, спама по електронна поща, Java аплети, ActiveX програми, някои типове файлове (например .exe), троянски коне, вируси и др.[6]

[редактиране] Преобразуване на мрежови адреси и номера на портове

Преобразуването на мрежовите адреси (network address translation, NAT) се използва за скриване на реалните вътрешно мрежови адреси. Същността на този механизъм се състои в това, че във всички пакети от изходящия трафик към външния свят като адрес на източника се използва един или няколко IP адреса на защитната стена.[5] Стандартът RFC 1918 дефинира следните три адресни обхвата за използване от вътрешни мрежи:

10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255

Горепосочените адреси се използват за локални мрежи и не са достъпни отникъде, освен от локалната мрежа. Поради това те са естествено защитени от директни външни атаки. Първичната функция на NAT сървъра е да им осигури достъп до Интернет, като предава заявките (маскира тези адреси, masquerading) с някой от своите IP адреси за пред хостовете извън локалната мрежа. Така им осигурява еднопосочен достъп до Интернет, т.е. хостът може да се свързва директно с други хостове, притежаващи рутируеми IP адреси, но хостове извън локалната мрежа не могат да се свързват с този хост. NAT е ефикасно средство за защита, понеже силно затруднява атаките срещу защитаваните хостове.

Обявяването само на мрежовите адреси на защитната стена носи значително по-малък риск, понеже стената е специализирана и силно защитена система, достъпна за конфигуриране само от системния администратор, която концентрира контрола върху достъпа до хостовете от мрежата. Преобразуването на номерата на портовете (port address translation, PAT) е сходно с NAT. При него във всички пакети от изходящия трафик реалният номер на порта е заменен с друг номер. Идеята е да се елиминират външните атаки, извършвани по определен номер на порт. PAT е наложително и когато множество защитавани хостове използват като клиенти един и същ външен мрежов адрес на защитната стена – в този случай PAT се използва освен за защита, но и за идентификация на връзките между многото хостове и външния сървър.

[редактиране] Балансиране на натоварването

Съществуват продукти, които освен защита на мрежата осигуряват и подобряване на качеството на някои услуги чрез оптимизиране на натоварването. Терминът за това е QoS (Quality of Service). Тази техника определя минимум и максимум от капацитета на връзката (bandwidth shaping) и да се приоритизира част от трафика. По този начин за някои особено важни или ресурсоемки услуги могат да се заделят нужните капацитет и качество, за да работят те безпроблемно (VoIP, видеоконферентни връзки), а за други услуги, които не са толкова чувствителни да се оставят по-малко ресурс (FTP, HTTP, P2P приложения и други). Коя част от трафика в кой QoS-сегмент ще попадне може да се определи по адресите на пакетите, време от денонощието, клиент и приложение, гeнeриращо трафика.

Самият продукт дава информация за оптимизацията, тъй като осигурява средства за мониторинг на трафика. Така може да разберем и каква част от капацитета се използва по предназначение и колко се разхищава. Информацията включва количество трафик, брой сесии, хост и приложение източник на трафика. С тази информация, на защитните стени могат да се дефинират различните политики спрямо вида трафик. По посочените критерии трафикът може да се пренасочва към съответния proxy сървър. Благодерение на тази функционалност може да се окаже, че за една и съща работа ни е нужен доста по-малко капацитет, което води до значителни икономии.

Bandwidth shaping може да служи да ограничаването на DoS атаките, като SYN floods и ICMP floods, които защитната стена с пакетно филтриране не може да спре. Принципът, по който се организира защитата, е следният:

  1. входящите пакети се маркират;
  2. политиката спрямо изходящите пакети се определя според тази маркировка, като те могат да бъдат вкарани в група с малък капацитет и приоритет.

[редактиране] Откриване на пробиви в системата

Защитните стени придобиват тази допълнителна функционалност когато в тях се интегрира система за откриване на пробивите (intrusion detection system, IDS). Тази система сканира съдържанието на всички преминаващи през стената данни и е способна да проследява хакерските атаки в развитие. Съвременните IDS типично се състоят от множество monitoring станции, свързани към централни сървъри, които анализират данните. Например, ако атакуващият сондира защитната стена за слаби места през една връзка, а се опитва да ги експлоатира през друга връзка, има много голяма вероятност IDS да разкрие източника на атаката [kurt]. Недостъкът на IDS е, че за изпълнението му са необходими повече ресурси.

[редактиране] Устойчивост на срив

Често наричани high-availability, усъвършенстваните средства за устойчивост на срив позволяват защитните стени да работят по двойки, като второто устройство стои в готовност да поеме работата на титулярното, ако настъпи срив и то престане да функционира. Някои от съвременните защитни стени, които поддържат този и други механизми за устойчивост на срив, са реализирани в Cisco PIX или Nokia/Checkpoint.[7]


[редактиране] Политики на защитните стени

[редактиране] Достъп отвън навътре

[редактиране] Достъп отвътре навън

[редактиране] Политика на паролите

[редактиране] Архитектури на защитните стени. Разположения

[редактиране] Архитектури

[редактиране] Маршрутизатори и фърмуер-базирани защитни стени

[редактиране] Софтуерно-базирани защитни стени

[редактиране] Специализирани устройства от тип “защитна стена”

[редактиране] Разположения

[редактиране] Технологии на защитните стени

[редактиране] Основни категории защитни стени (по ICSA)

[редактиране] Пакетно филтриращи защитни стени

[редактиране] Защитни стени с пакетно филтриране и състояние

[редактиране] Прокси сървъри на приложно ниво

[редактиране] Допълнителни категории защитни стени (по Б. Комър)

[редактиране] Кръгови защитни стени

[редактиране] Защитни стени, приложени на ниво ядро на операционната система

[редактиране] Възможни атаки

[редактиране] Сканиране на портове

[редактиране] Неоторизиран достъп

[редактиране] Отказ на услуга

[редактиране] Подслушване

[редактиране] Измама

[редактиране] Използвани източници

  1. “Oxford Dictionary of Computing”, Oxford University Press, Oxford, 4th edition, 1996
  2. Webopedia: Firewall
  3. “Network Security: A Simple Guide to Firewalls”, 3COM Corporation
  4. 4,0 4,1 Брайян Комър, “TCP/IP – Мрежи и администриране” , Издателство “Инфодар”, София, 1999
  5. 5,0 5,1 Кирил Боянов, Христо Турлаков, Димитър Тодоров, Любен Боянов, Владимир Димитров, Ведрин Желязков, “Принципи на работа на компютърните мрежи. Интернет”, Апиинфоцентър “Котларски”, София, 2003
  6. “Firewalls: a technical overview”
  7. “Максимална защита”, Книга 1, Издателство “Инфодар”, София, 2002