Межсетевые экраны Firewalls Часть 2 1 Типы 1 и 2: сравнение возможностей фильтрации IP-адрес Номер порта Адрес прикладного уровня (в том числе – URL) Идентификатор пользователя Аутентификация пользователя Прозрачность Фильтр пакетов Шлюз приложений + + - + + + + + + 2 Тип 3. Шлюз соединений • Транспортный уровень Прикл. Трансп. Сет. 3 Типы 1, 2, 3: сравнение возможностей фильтрации IP-адрес Номер порта Адрес прикладного уровня (в том числе – URL) Идентификатор пользователя Аутентификация пользователя Прозрачность Фильтр пакетов Шлюз приложений Шлюз соединений + + - + + + + + - + + + - - 4 Тип 3. Шлюз соединений • Шлюз соединений объединяет недостатки файерволов типов 1 и 2, но не их достоинства. • Шлюз приложений (тип 2) может быть сконфигурирован для работы в режиме шлюза соединений – Для неизвестного протокола – Для протокола, использующего шифрование 5 • Возможно ли создать файервол, который объединял бы достоинства типов 1 и 2 (а не их недостатки)? 6 Тип 4. Фильтр пакетов с инспекцией состояний • Packet filter with stateful inspection • Сетевой уровень Прикл. Трансп. ? Сет. • При фильтрации пакетов анализируются сообщения транспортного и прикладного уровней, отслеживаются состояния сеанс 7 Тип 4. Фильтр пакетов с инспекцией состояний • По возможностям фильтрации такой фильтр пакетов не уступает шлюзу приложений (тип 2). • В то же время он обладает свойством прозрачности, как обычный фильтр пакетов (тип 1). • В разработке и настройке этот тип файерволов самый сложный. 8 Тип 4. Фильтр пакетов с инспекцией состояний • Первый файервол типа 4 был выпущен компанией CheckPoint Software в 1993 г. • Firewall-1 • Продукт развивается до сих пор • Дальнейшие названия продукта: VPN-1, NGX-1, NGFW • CheckPoint до сих пор является лидером рынка таких файерволов • Другие производители: Cisco (PIX Firewall, ASA Firewall), Microsoft (ISA Server) …и практически всё 9 Тип 4. Фильтр пакетов с инспекцией состояний • Тип 4.1 – инспекция состояния транспортного и прикладного уровней (CheckPoint, Cisco, Microsoft) • Тип 4.2 – инспекция состояния только транспортного уровня – Такие возможности включены почти во все современные «обычные» фильтры пакетов, включая IPFW, IPF, PF и iptables/NetFilter 10 Типы 1, 2, 3, 4: сравнение возможностей фильтрации IP-адрес Номер порта Адрес прикладного уровня (в том числе – URL) Идентификато р пользователя Аутентификаци я пользователя Прозрачность Фильтр пакетов Шлюз приложений Шлюз соединений Фильтр с инспекцией прикладого уровня Фильтр с инспекцией транспортного уровня + + - + + + + + - + + + + + - + + + - - + + + + 11 Тип 4.1: Фильтр пакетов с инспекцией состояния транспортного уровня • Фильтр пакетов запоминает факт установления TCP-соединения и автоматически разрешает трафик, относящийся к этому соединению • Аналогично, фильтр пакетов запоминает факт разрешения UDP-запроса и автоматически разрешает ответные UDPпакеты 12 Пример: отличия типов 1 и 4.2 ipfw add pass udp from 10.20.30.0/24 to any 53 ipfw add pass udp from any 53 to 10.20.30.0/24 • Злоумышленник со своего порта 53 может отправлять UDP-дейтаграммы в любой порт любого хоста защищаемой сети ipfw add pass udp from 10.20.30.0/24 to any 53 keep-state • Ответ автоматически разрешен за счет динамических правил, добавленных механизмом инспекции состояния • Другие пакеты с порта 53 остаются запрещенными 13 Пример: отличия типов 2, 4.1 и 4.2 • Существуют протоколы (прикладного уровня), в который в рамках сеанса открываются дополнительные TCPсоединения или UDP-потоки. • О параметрах дополнительных соединений (ip-адреса, номера портов) стороны договариваются при помощи сообщений прикладного протокола 14 Пример: отличия типов 2, 4.1 и 4.2 • Пример (TCP): протокол FTP (File Transfer Protocol) Командное соединение клиент сервер Соединения данных • Соединения данных устанавливаются для передачи конкретных файлов • IP-адреса и номера портов соединений данных стороны согласуют при помощи сообщений по командному соединению 15 Пример: отличия типов 2, 4.1 и 4.2 • Пример (UDP): протокол SIP (Session Initiation Protocol) SIP Абонент А Абонент Б Медия-потоки • Наличие и количество медиа-потоков, используемые ip-адреса и порты стороны согласовывают при установлении сеанса, обмениваясь сообщениями SIP 16 Пример: отличия типов 2, 4.1 и 4.2 • Файервол, который не понимает сообщений прикладного уровня (FTP, SIP), не может пропустить дополнительные соединения и потоки, даже если основное соединение разрешено FTP клиент сервер SIP Абонент А Абонент Б FW 17 Пример: отличия типов 2, 4.1 и 4.2 • Корректно обрабатывать протоколы, подобные FTP и SIP, могут только шлюзы приложений и фильтры пакетов с инспекцией состояния прикладного уровня FTP клиент сервер SIP Абонент А Абонент Б FW 18 Пример: отличия типов 2, 4.1 и 4.2 Обработка протоколов с дополнительными соединениями или потоками Фильтр пакетов Шлюз приложений Шлюз соединений Фильтр с инспекцией прикладого уровня Фильтр с инспекцией транспортного уровня - + - + - 19 Системы из нескольких файерволов • В 2000-е: объемная литература по организации защиты сети при помощи нескольких файерволов. • Мотивации: – Для проникновения в сеть требуется взломать несколько файерволов (желательно – разных типов, моделей) – Возможно разделение нагрузки, при котором файервол более простого типа разгружает файервол более сложного типа от фильтрации, которую можно реализовать простыми правилами 20 Системы из нескольких файерволов • Пример: Фильтр пакетов LAN Шлюз приложений (или фильтр пакетов типа 4.1) Фильтр пакетов Internet 21 Демилитаризованная зона • В ходе подобных теоретических построений было выработано практически ценное понятие демилитаризованной зоны • Демилитаризованная зона (Demilitarized zone, DMZ) – выделенный сегмент корпоративной сети, в котором располагаются серверы, которые должны быть доступны извне • Правила доступа к демилитаризованной зоне ослаблены по сравнению с остальной корпоративной сетью 22 Демилитаризованная зона • Серверы в LAN LAN DNS email Internet HTTP 23 Демилитаризованная зона • Образование демилитаризованной зоны LAN Internet DNS HTTP email DMZ 24 Демилитаризованная зона • Правила доступа между LAN, DMZ и внешней сетью LAN Internet DNS HTTP email DMZ 25 Демилитаризованная зона FW LAN FW • Реализация: вариант 1 К FW Internet DNS HTTP email DMZ 26 Демилитаризованная зона • Реализация: вариант 2 DNS HTTP email DMZ FW FW LAN Internet 27 Демилитаризованная зона • Реализация: вариант 3 LAN FW DMZ Internet DNS HTTP email DMZ 28 Персональные файерволы • Персональный файервол предназначен для защиты единственного хоста (клиентской станции или сервера) • Персональный файервол может учитывать при принятии решения дополнительные признаки, недоступные сетевому файерволу – Имя приложения (исполняемого файла), участвующего в обмене трафиком – Идентификатор пользователя, от имени которого запущено приложение 29 Другие функции, часто поручаемые файерволом • Фильтрация опасного контента – Анализ данных протоколов HTTP, email, FTP – Изменение сообщений, удаление потенциально опасного содержания • Исполняемых элементов (плагинов, аплетов, скриптов) • Вирусов (во взаимодействии с антивирусными системами) • Защита от определенных атак, например TCP SYN-FLOOD 30 Другие системы, с которыми часто взаимодействуют файерволы • Антивирусные системы • Системы обнаружения вторжений, Intrusuion Detection Systems, IDC – При обнаружении атаки IDC командует файерволу ввести дополнительные ограничения трафика для противодействия атаке 31 Другие системы, сходные по результатам работы с файерволами • Network Address Translators, NAT • Proxy (типа WinProxy) • В обоих случаях решается задача экономии IPадресов, подключения к Internet станций с немаршрутизируемыми («серыми») адресами. • Станция, не имеющая реального IP-адреса, недоступна для активных атак (путем отправки ей сообщений тех или иных сетевых протоколов) 32