Загрузил Michael Nikulenkov

Файерволы - часть 2

Реклама
Межсетевые экраны
Firewalls
Часть 2
1
Типы 1 и 2: сравнение возможностей
фильтрации
IP-адрес
Номер порта
Адрес прикладного
уровня (в том числе –
URL)
Идентификатор
пользователя
Аутентификация
пользователя
Прозрачность
Фильтр пакетов
Шлюз приложений
+
+
-
+
+
+
+
+
+
2
Тип 3. Шлюз соединений
• Транспортный уровень
Прикл.
Трансп.
Сет.
3
Типы 1, 2, 3: сравнение
возможностей фильтрации
IP-адрес
Номер порта
Адрес
прикладного
уровня (в том
числе – URL)
Идентификатор
пользователя
Аутентификация
пользователя
Прозрачность
Фильтр пакетов
Шлюз
приложений
Шлюз соединений
+
+
-
+
+
+
+
+
-
+
+
+
-
-
4
Тип 3. Шлюз соединений
• Шлюз соединений объединяет недостатки
файерволов типов 1 и 2, но не их
достоинства.
• Шлюз приложений (тип 2) может быть
сконфигурирован для работы в режиме
шлюза соединений
– Для неизвестного протокола
– Для протокола, использующего шифрование
5
• Возможно ли создать файервол, который
объединял бы достоинства типов 1 и 2 (а не
их недостатки)?
6
Тип 4. Фильтр пакетов с инспекцией
состояний
• Packet filter with stateful inspection
• Сетевой уровень
Прикл.
Трансп.
?
Сет.
• При фильтрации пакетов анализируются сообщения
транспортного и прикладного уровней,
отслеживаются состояния сеанс
7
Тип 4. Фильтр пакетов с инспекцией
состояний
• По возможностям фильтрации такой фильтр
пакетов не уступает шлюзу приложений
(тип 2).
• В то же время он обладает свойством
прозрачности, как обычный фильтр пакетов
(тип 1).
• В разработке и настройке этот тип
файерволов самый сложный.
8
Тип 4. Фильтр пакетов с инспекцией
состояний
• Первый файервол типа 4 был выпущен
компанией CheckPoint Software в 1993 г.
• Firewall-1
• Продукт развивается до сих пор
• Дальнейшие названия продукта: VPN-1, NGX-1,
NGFW
• CheckPoint до сих пор является лидером рынка
таких файерволов
• Другие производители:
Cisco (PIX Firewall, ASA Firewall), Microsoft (ISA
Server)
…и практически всё
9
Тип 4. Фильтр пакетов с инспекцией
состояний
• Тип 4.1 – инспекция состояния
транспортного и прикладного уровней
(CheckPoint, Cisco, Microsoft)
• Тип 4.2 – инспекция состояния только
транспортного уровня
– Такие возможности включены почти во все
современные «обычные» фильтры пакетов,
включая IPFW, IPF, PF и iptables/NetFilter
10
Типы 1, 2, 3, 4: сравнение
возможностей фильтрации
IP-адрес
Номер порта
Адрес
прикладного
уровня (в том
числе – URL)
Идентификато
р пользователя
Аутентификаци
я пользователя
Прозрачность
Фильтр
пакетов
Шлюз
приложений
Шлюз
соединений
Фильтр с
инспекцией
прикладого
уровня
Фильтр с
инспекцией
транспортного
уровня
+
+
-
+
+
+
+
+
-
+
+
+
+
+
-
+
+
+
-
-
+
+
+
+
11
Тип 4.1: Фильтр пакетов с
инспекцией состояния
транспортного уровня
• Фильтр пакетов запоминает факт
установления TCP-соединения и
автоматически разрешает трафик,
относящийся к этому соединению
• Аналогично, фильтр пакетов запоминает
факт разрешения UDP-запроса и
автоматически разрешает ответные UDPпакеты
12
Пример: отличия типов 1 и 4.2
ipfw add pass udp from 10.20.30.0/24 to any 53
ipfw add pass udp from any 53 to 10.20.30.0/24
• Злоумышленник со своего порта 53 может отправлять
UDP-дейтаграммы в любой порт любого хоста
защищаемой сети
ipfw add pass udp from 10.20.30.0/24 to any 53 keep-state
• Ответ автоматически разрешен за счет динамических
правил, добавленных механизмом инспекции
состояния
• Другие пакеты с порта 53 остаются запрещенными
13
Пример: отличия типов 2, 4.1 и 4.2
• Существуют протоколы (прикладного
уровня), в который в рамках сеанса
открываются дополнительные TCPсоединения или UDP-потоки.
• О параметрах дополнительных соединений
(ip-адреса, номера портов) стороны
договариваются при помощи сообщений
прикладного протокола
14
Пример: отличия типов 2, 4.1 и 4.2
• Пример (TCP): протокол FTP
(File Transfer Protocol)
Командное соединение
клиент
сервер
Соединения данных
• Соединения данных устанавливаются для передачи конкретных
файлов
• IP-адреса и номера портов соединений данных стороны
согласуют при помощи сообщений по командному соединению
15
Пример: отличия типов 2, 4.1 и 4.2
• Пример (UDP): протокол SIP
(Session Initiation Protocol)
SIP
Абонент А
Абонент Б
Медия-потоки
• Наличие и количество медиа-потоков,
используемые ip-адреса и порты стороны
согласовывают при установлении сеанса,
обмениваясь сообщениями SIP
16
Пример: отличия типов 2, 4.1 и 4.2
• Файервол, который не понимает сообщений прикладного
уровня (FTP, SIP), не может пропустить дополнительные
соединения и потоки, даже если основное соединение
разрешено
FTP
клиент
сервер
SIP
Абонент А
Абонент Б
FW
17
Пример: отличия типов 2, 4.1 и 4.2
• Корректно обрабатывать протоколы, подобные FTP и
SIP, могут только шлюзы приложений и фильтры пакетов
с инспекцией состояния прикладного уровня
FTP
клиент
сервер
SIP
Абонент А
Абонент Б
FW
18
Пример: отличия типов 2, 4.1 и 4.2
Обработка
протоколов
с дополнительными
соединениями или
потоками
Фильтр
пакетов
Шлюз
приложений
Шлюз
соединений
Фильтр с
инспекцией
прикладого
уровня
Фильтр с
инспекцией
транспортного
уровня
-
+
-
+
-
19
Системы из нескольких файерволов
• В 2000-е: объемная литература по
организации защиты сети при помощи
нескольких файерволов.
• Мотивации:
– Для проникновения в сеть требуется взломать
несколько файерволов (желательно – разных
типов, моделей)
– Возможно разделение нагрузки, при котором
файервол более простого типа разгружает
файервол более сложного типа от фильтрации,
которую можно реализовать простыми правилами
20
Системы из нескольких файерволов
• Пример:
Фильтр
пакетов
LAN
Шлюз
приложений
(или фильтр
пакетов
типа 4.1)
Фильтр
пакетов
Internet
21
Демилитаризованная зона
• В ходе подобных теоретических построений
было выработано практически ценное понятие
демилитаризованной зоны
• Демилитаризованная зона (Demilitarized
zone, DMZ) – выделенный сегмент
корпоративной сети, в котором располагаются
серверы, которые должны быть доступны
извне
• Правила доступа к демилитаризованной зоне
ослаблены по сравнению с остальной
корпоративной сетью
22
Демилитаризованная зона
• Серверы в LAN
LAN
DNS
email
Internet
HTTP
23
Демилитаризованная зона
• Образование демилитаризованной зоны
LAN
Internet
DNS
HTTP
email
DMZ
24
Демилитаризованная зона
• Правила доступа между LAN, DMZ и внешней сетью
LAN
Internet
DNS
HTTP
email
DMZ
25
Демилитаризованная зона
FW
LAN
FW
• Реализация: вариант 1
К
FW
Internet
DNS
HTTP
email
DMZ
26
Демилитаризованная зона
• Реализация: вариант 2
DNS
HTTP
email
DMZ
FW
FW
LAN
Internet
27
Демилитаризованная зона
• Реализация: вариант 3
LAN
FW
DMZ
Internet
DNS
HTTP
email
DMZ
28
Персональные файерволы
• Персональный файервол предназначен для
защиты единственного хоста (клиентской
станции или сервера)
• Персональный файервол может учитывать при
принятии решения дополнительные признаки,
недоступные сетевому файерволу
– Имя приложения (исполняемого файла),
участвующего в обмене трафиком
– Идентификатор пользователя, от имени которого
запущено приложение
29
Другие функции, часто поручаемые
файерволом
• Фильтрация опасного контента
– Анализ данных протоколов HTTP, email, FTP
– Изменение сообщений, удаление
потенциально опасного содержания
• Исполняемых элементов (плагинов, аплетов,
скриптов)
• Вирусов (во взаимодействии с антивирусными
системами)
• Защита от определенных атак, например
TCP SYN-FLOOD
30
Другие системы, с которыми часто
взаимодействуют файерволы
• Антивирусные системы
• Системы обнаружения вторжений,
Intrusuion Detection Systems, IDC
– При обнаружении атаки IDC командует
файерволу ввести дополнительные
ограничения трафика для противодействия
атаке
31
Другие системы, сходные по
результатам работы с файерволами
• Network Address Translators, NAT
• Proxy (типа WinProxy)
• В обоих случаях решается задача экономии IPадресов, подключения к Internet станций с
немаршрутизируемыми («серыми») адресами.
• Станция, не имеющая реального IP-адреса,
недоступна для активных атак (путем отправки
ей сообщений тех или иных сетевых
протоколов)
32
Скачать