Güvenlik duvarlarının çalışma ilkeleri. Güvenlik duvarları. Korumayı organize etmenin yolları

Yönlendiricinin bir güvenlik duvarı rolü de oynayabileceği yönünde bir görüş var. Bununla birlikte, bu cihazlar arasında temel bir fark vardır: yönlendirici, trafiği engellemek için değil, hızlı bir şekilde yönlendirmek için tasarlanmıştır. Arasında güvenlik duvarı veri akışından belirli trafiğin çıkmasına izin veren bir güvenlik özelliğidir ve yönlendirici, belirli trafiği engelleyecek şekilde yapılandırılabilen bir ağ aygıtıdır.

Ek olarak, güvenlik duvarlarının kural olarak çok sayıda ayarı vardır. Güvenlik duvarındaki trafik akışı, servisler, gönderici ve alıcının IP adresleri, servisi talep eden kullanıcıların tanımlayıcıları tarafından yapılandırılabilir. Güvenlik duvarları merkezileştirmeye izin verir güvenlik Yönetimi. Yönetici, tek bir yapılandırmada, izin verilen gelen trafiği herkes için yapılandırabilir. iç sistemler kuruluşlar. Bu, sistemleri güncelleme ve ayarlama ihtiyacını ortadan kaldırmaz, ancak bir veya daha fazla sistemin yanlış yapılandırılma olasılığını azaltır, bu da bu sistemlerin hatalı yapılandırılmış bir hizmete karşı saldırıya uğramasına neden olabilir.

Güvenlik Duvarı Türlerini Belirleme

İki ana tip vardır güvenlik duvarları: güvenlik duvarları uygulama katmanı ve güvenlik duvarları ile paket filtreleme. Farklı çalışma ilkelerine dayalıdırlar, ancak uygun şekilde yapılandırıldığında, her iki cihaz türü de yasaklanmış trafiği engelleme güvenlik işlevlerinin doğru performansını sağlar. Bu cihazların sağladığı koruma derecesinin, bunların nasıl uygulandığına ve yapılandırıldığına bağlı olduğunu, aşağıdaki bölümlerde yer alan malzemeden göreceksiniz.

Uygulama Katmanı Güvenlik Duvarları

Uygulama katmanı güvenlik duvarları veya proxy güvenlik duvarları, işletime dayalı yazılım paketleridir. genel amaçlı sistemler(Windows NT ve Unix gibi) veya güvenlik duvarı donanım platformunda. güvenlik duvarı bağlı olduğu ağların her biri için bir tane olmak üzere birkaç arabirime sahiptir. Bir dizi ilke kuralı, trafiğin bir ağdan diğerine nasıl gönderildiğini tanımlar. Kural, trafiğin geçmesine açıkça izin vermiyorsa, güvenlik duvarı paketleri reddeder veya atar.

Güvenlik politikası kuralları erişim modüllerinin kullanımıyla geliştirildi. Bir uygulama katmanı güvenlik duvarında, izin verilen her protokolün kendi erişim modülü olmalıdır. En iyi erişim modülleri, özellikle izin verilen protokol için oluşturulmuş olanlardır. Örneğin, FTP erişim modülü FTP protokolü için tasarlanmıştır ve geçen trafiğin bu protokole uyup uymadığını ve bu trafiğe güvenlik politikası kuralları tarafından izin verilip verilmediğini belirleyebilir.

Bir uygulama katmanı güvenlik duvarı kullanırken, tüm bağlantılar buradan geçer (bkz. Şekil 10.1). Şekilde gösterildiği gibi, bağlantı istemci sistemde başlar ve güvenlik duvarının dahili arayüzüne gider. güvenlik duvarı bir bağlantıyı kabul eder, paketin içeriğini ve kullanılan protokolü analiz eder ve verilen trafiğin güvenlik politikası kurallarına uygun olup olmadığını belirler. Eğer öyleyse, o zaman güvenlik duvarı arasında yeni bir bağlantı başlatır. harici arayüz ve sunucu sistemi.

Uygulama katmanı güvenlik duvarları, gelenler için erişim modüllerini kullanır. bağlantılar. Modül erişim güvenlik duvarı gelen bir bağlantıyı kabul eder ve trafiği alıcıya göndermeden önce komutları işler. Böylece, güvenlik duvarı uygulamaları tarafından gerçekleştirilen saldırılara karşı sistemleri korur.

Pirinç. 10.1.

Not

Bu, güvenlik duvarındaki erişim modülünün saldırılara karşı bağışık olduğunu varsayar. Eğer yazılım yeterince dikkatli geliştirilmemişse yanlış bir ifade de olabilir.

Mimarinin ek bir avantajı bu türden diğer hizmetlerin içindeki trafiği "gizlemeyi" imkansız değilse bile çok zorlaştırmasıdır. Örneğin, NetBus ve benzeri bazı sistem kontrol programları

Bu makalenin amacı, ISDN'yi korumak için kullanılabilecek sertifikalı güvenlik duvarlarını karşılaştırmaktır. İnceleme, yalnızca listesi Rusya FSTEC sicilinden oluşturulmuş sertifikalı yazılım ürünlerini dikkate almaktadır.

Belirli bir düzeyde kişisel veri koruması için güvenlik duvarı seçimi

Tablo 1. FSTEC sertifikalı güvenlik duvarlarının listesi

3. seviye PD güvenliğini sağlamak için en az 3. sınıf (veya 3. tip tehditler ilgiliyse ve IS İnternet ile etkileşime girmiyorsa 4. sınıf) güvenlik duvarları uygundur. Ve 4. güvenlik seviyesini sağlamak için en basit güvenlik duvarları uygundur - 5. sınıftan daha düşük değildir. Bununla birlikte, FSTEC kaydındakiler şu an kayıtlı değil. Aslında, Tablo 1'de sunulan güvenlik duvarlarının her biri, 3. tür tehdit olmaması ve İnternet ile etkileşim olmaması koşuluyla 1-3 güvenlik düzeyi sağlamak için kullanılabilir. İnternet bağlantısı varsa, en az 3 sınıflı bir güvenlik duvarına ihtiyacınız vardır.

Güvenlik Duvarı Karşılaştırması

Ayrıca, kabul edilen tüm güvenlik duvarları NAT'ı destekler. Ancak, bağlantı noktası maskeleme, yük dengeleme, çok kullanıcılı çalışma modu, bütünlük kontrolü, ActiveDirectory'de program dağıtımı gibi oldukça spesifik (ancak daha az kullanışlı olmayan) özellikler vardır ve uzaktan yönetim dışarıdan. Gördüğünüz gibi, program ActiveDirectory'de dağıtımı desteklediğinde oldukça kullanışlıdır - onu ağdaki her bilgisayara manuel olarak yüklemeniz gerekmez. Güvenlik duvarının dışarıdan uzaktan yönetimi desteklemesi de uygundur - ağı evinizden çıkmadan yönetebilirsiniz; bu, işlevlerini uzaktan gerçekleştirmeye alışkın yöneticiler için geçerli olacaktır.

ActiveDirectory dağıtımlarının Tablo 1'de gösterilen güvenlik duvarlarının çoğu tarafından desteklenmemesi okuyucuyu şaşırtabilir ve aynı şey yük azaltma ve bağlantı noktası maskeleme gibi diğer özellikler için de söylenebilir. Hangi güvenlik duvarlarının belirli bir işlevi desteklediğini açıklamamak için özelliklerini Tablo 2'de sistematik hale getirdik.

Tablo 2. Güvenlik duvarı yetenekleri

Güvenlik duvarlarını nasıl karşılaştıracağız?

1. Koruma süresi. Açıkçası, ne kadar erken o kadar iyi.
2. Kullanım kolaylığı. İncelemede gösterilecek olan tüm güvenlik duvarları eşit derecede uygun değildir.
3. Fiyat. Genellikle finansal taraf belirleyicidir.
4. Teslimat süresi. Genellikle teslimat süresi arzulanan çok şey bırakır ve verilerinizi şimdi korumanız gerekir.

Tüm güvenlik duvarlarının güvenliği yaklaşık olarak aynıdır, aksi takdirde sertifikaları olmaz.

Genel Bakış Güvenlik Duvarları

ISPD koruma süresi

Üç güvenlik duvarı da şu şekilde dağıtılır: MSI paketleri, yani bunları merkezi olarak yüklemek için ActiveDirectory Dağıtım Araçlarını kullanabilirsiniz. Görünüşe göre her şey basit. Ama pratikte öyle olmadığı ortaya çıkıyor.

İşletme, kural olarak, güvenlik duvarlarının merkezi yönetimini kullanır. Ve bu, bazı bilgisayarlara bir güvenlik duvarı yönetim sunucusunun yüklendiği ve diğer bilgisayarlara istemci programlarının veya aracılar olarak da adlandırıldıkları için yüklendiği anlamına gelir. Bütün sorun, aracıyı kurarken belirli parametreleri ayarlamanız gerektiğidir - en azından yönetim sunucusunun IP adresi ve belki de bir şifre vb.
Bu nedenle, MSI dosyalarını ağdaki tüm bilgisayarlara dağıtsanız bile, bunları manuel olarak yapılandırmanız gerekir. Ve ağın büyük olduğu göz önüne alındığında, bu pek arzu edilmez. Yalnızca 50 bilgisayarınız olsa bile, bir düşünün - her bir bilgisayara gidin ve kurun.

Bir problem nasıl çözülür? MSI dosyası için yanıt dosyası olarak da bilinen bir dönüştürme dosyası (MST dosyası) oluşturularak sorun çözülebilir. Ancak ne VipNet Office Firewall ne de TrustAccess bunu yapamaz. Bu nedenle, bu arada, Tablo 2'de Active Directory dağıtımı için destek bulunmadığı gösterilmektedir. Bu programları etki alanında dağıtmak mümkündür, ancak yöneticinin manuel çalışması gerekir.

Elbette yönetici, MST dosyasını oluşturmak için Orca gibi editörleri kullanabilir.

Pirinç. 1. Editör Orca. TrustAccess.Agent.1.3.msi için bir MST dosyası oluşturulmaya çalışılıyor

Ama gerçekten her şeyin bu kadar basit olduğunu mu düşünüyorsun? Orca'da bir MSI dosyası açtınız, birkaç parametrede ince ayar yaptınız ve hazır bir yanıt dosyası mı aldınız? Burada değildi! İlk olarak, Orca'nın kendisi basitçe kurulmaz. Windows Installer SDK'yı indirmeniz, orca.msi'yi 7-Zip kullanarak oradan çıkarmanız ve yüklemeniz gerekir. Bundan haberin var mıydı? Değilse, aramak için 15 dakika harcadığınızı düşünün. gerekli bilgi, yazılım indirme ve editör kurulumu. Ancak tüm acılar burada bitmiyor. MSI dosyasının birçok seçeneği vardır. Şek. 1 - bunlar yalnızca Özellik grubunun parametreleridir. Sunucunun IP adresini belirtmek için hangisi değiştirilmelidir? Bilirsin? Değilse, iki seçeneğiniz vardır: ya her bilgisayarı manuel olarak yapılandırın ya da geliştiriciyle iletişime geçin, bir yanıt bekleyin, vb. Geliştiricilerin bazen yanıt vermesinin oldukça uzun sürdüğünü düşünürsek, programın gerçek dağıtım süresi yalnızca bilgisayarlar arasındaki hareketinizin hızına bağlıdır. Uzaktan yönetim aracını önceden yüklediyseniz dağıtım daha hızlı olacaktır.

Cybersafe Firewall kendi başına bir MST dosyası oluşturur, tek yapmanız gereken onu bir bilgisayara yüklemeniz, gıpta ile bakılan MST dosyasını almanız ve grup ilkesinde belirtmeniz yeterlidir. Bunun nasıl yapılacağı hakkında "Kişisel verilerin korunmasında bilgi sistemlerinin sınırlandırılması" makalesinde okuyabilirsiniz. Yaklaşık yarım saat (veya daha az) bir süre için ağdaki tüm bilgisayarlara bir güvenlik duvarı dağıtabilirsiniz.

Bu nedenle Cybersafe Güvenlik Duvarı 5 puan alır ve rakipleri - 3 (teşekkürler, en azından yükleyiciler .exe değil MSI biçimindedir).

Kullanım kolaylığı

Peki, dikkate alınan güvenlik duvarlarının ISPD oluşturma ve koruma sürecinde ne kadar uygun olduğunu görelim.

Bize göre pek uygun olmayan VipNet Office Firewall ile başlayacağız. Bilgisayarları yalnızca IP adreslerine göre gruplar halinde seçebilirsiniz (Şek. 2). Başka bir deyişle, IP adreslerine bir bağlama vardır ve farklı ISPD'leri farklı alt ağlara atamanız veya bir alt ağı IP adres aralıklarına ayırmanız gerekir. Örneğin, üç ISPD vardır: Yönetim, Muhasebe, BT. DHCP sunucusunu, Yönetim grubundaki bilgisayarlara 192.168.1.10 - 192.168.1.20, Muhasebe 192.168.1.21 - 192.168.1.31 vb. IP adresleri verilecek şekilde yapılandırmanız gerekir. Bu pek uygun değil. Bunun için VipNet Office Firewall'dan 1 puan düşülecektir.

Pirinç. 2. Bilgisayar grupları oluştururken, IP adresine açık bir bağlanma vardır.

Cybersafe güvenlik duvarında ise aksine bir IP adresine bağlanma yoktur. Bir grubun parçası olan bilgisayarlar, farklı alt ağlarda, aynı alt ağın farklı aralıklarında ve hatta ağın dışında olabilir. Şek. 3. Şirketin şubeleri farklı şehirlerde bulunmaktadır (Rostov, Novorossiysk, vb.). Grup oluşturmak çok kolaydır - sadece bilgisayar adlarını istenen gruba sürükleyin ve düğmesine tıklayın Uygula. Bundan sonra, düğmeyi tıklayabilirsiniz Kural koymak her gruba özel kurallar oluşturmak için.

Pirinç. 3. Cybersafe Güvenlik Duvarı'ndaki grupları yönetin

TrustAccess'e gelince, sistemin kendisiyle yakın entegrasyona dikkat edilmelidir. Halihazırda oluşturulan sistem kullanıcı ve bilgisayar grupları güvenlik duvarı yapılandırmasına aktarılır, bu da güvenlik duvarını bir ActiveDirectory ortamında yönetmeyi kolaylaştırır. Güvenlik duvarının kendisinde ISDN oluşturamazsınız, ancak güvenlik duvarındaki mevcut bilgisayar gruplarını kullanabilirsiniz. aktif alan dizin.

Pirinç. 4. Kullanıcı ve bilgisayar grupları (TrustAccess)

Üç güvenlik duvarının tümü, yöneticinin paketlerin geçişini bir programa göre yapılandırabilmesi, örneğin iş saatlerinden sonra İnternet erişimini reddetmesi sayesinde sözde programlar oluşturmanıza olanak tanır. VipNet Office Firewall'da çizelgeler bölümünde oluşturulur. Programları(Şek. 5) ve CyberSafe Güvenlik Duvarı'nda, kuralın çalışma süresi kuralın kendisi tanımlanırken ayarlanır (Şek. 6).

Pirinç. 5. VipNet Office Güvenlik Duvarındaki Programlar

Pirinç. 6. Cybersafe Güvenlik Duvarında kural işlem süresi

Pirinç. 7. TrustAccess'te Zamanlama

Her üç güvenlik duvarı da kuralları kendileri oluşturmak için çok kullanışlı araçlar sağlar. TrustAccess ayrıca uygun bir kural oluşturma sihirbazı sağlar.

Pirinç. 8. TrustAccess'te bir kural oluşturun

Başka bir özelliğe, rapor alma araçlarına (günlükler, günlükler) bir göz atalım. TrustAccess'te olaylar hakkında rapor ve bilgi toplamak için bir olay sunucusu (EventServer) ve bir rapor sunucusu (ReportServer) kurmanız gerekir. Bu bir kusur değil, daha çok bu güvenlik duvarının bir özelliği (Bill Gates'in dediği gibi "özellik"). Cybersafe ve VipNet Office güvenlik duvarlarına gelince, her iki güvenlik duvarı da IP paket günlüğünü görüntülemek için uygun araçlar sağlar. Tek fark, Cybersafe Firewall'un önce tüm paketleri göstermesi ve ihtiyacınız olanları tablo başlığında yerleşik filtreyi kullanarak filtreleyebilmenizdir (Şekil 9). Ve VipNet Office Firewall'da önce filtreleri kurmanız ve ardından sonucu görüntülemeniz gerekir.

Pirinç. 9. Cybersafe Güvenlik Duvarında IP Paket Günlüğü Yönetimi

Pirinç. 10. VipNet Ofis Güvenlik Duvarında IP Paket Günlük Yönetimi

Günlüğü Excel veya HTML'ye aktaracak bir işlevin olmaması nedeniyle Cybersafe güvenlik duvarından 0,5 puan düşmek zorunda kaldım. İşlev kritik olmaktan uzaktır, ancak bazen, örneğin bilgi alma için günlükten birkaç satırı basit ve hızlı bir şekilde dışa aktarmak yararlıdır.

Yani, bu bölümün sonuçları:

Fiyat

Bu iki sayıyı hatırla 15710 r. bir bilgisayar için (yılda) ve 23.925 ruble. 1 sunucu ve 5 bilgisayar için (yıllık). Ve şimdi dikkat: bu para için 25 düğüm Cybersafe Güvenlik Duvarı (15178 ruble) için bir lisans satın alabilir veya biraz ekleyebilir ve 50 düğüm (24025 ruble) için bir lisans için yeterli olacaktır. Ancak bu ürünle ilgili en önemli şey maliyet değil. En önemli şey lisansın geçerliliği ve teknik Destek. Cybersafe Güvenlik Duvarı Lisansı - son kullanma tarihi ve teknik destek olmadan. Yani, bir kez ödersiniz ve ömür boyu lisanslı ve teknik destekli bir yazılım ürünü alırsınız.

Teslimat süresi

CyberSafe Güvenlik Duvarı yazılım ürününe gelince, üretici teslimatı garanti eder. elektronik versiyonödeme yapıldıktan sonra 15 dakika içinde.

Ne seçeceksin?

Uzmanlar tarafından incelendi
entegratör şirket DORF LLC

14.9. Güvenlik duvarları

İnternete bağlı kişilerin güvenlik duvarlarına (güvenlik duvarı, güvenlik duvarı) olan ilgisi artıyor ve hatta yerel ağ için daha yüksek düzeyde güvenlik sağlayan uygulamalar ortaya çıktı. Bu bölümde, güvenlik duvarlarının ne olduğunu, nasıl kullanılacağını ve FreeBSD çekirdeği tarafından sağlanan özelliklerin bunları uygulamak için nasıl kullanılacağını açıklamayı umuyoruz.

14.9.1. Güvenlik duvarı nedir?

Yaygın olarak kullanılan iki farklı güvenlik duvarı türü vardır. modern internet. İlk tip daha doğru olarak adlandırılır paket filtreleme yönlendiricisi . Bu güvenlik duvarı türü, birden çok ağa bağlı bir makinede çalışır ve paketin iletilip iletilmeyeceğini belirlemek için her pakete bir dizi kural uygular. olarak bilinen ikinci tiptir. Proxy sunucu , kimlik doğrulama ve paket iletme gerçekleştiren arka plan programları olarak uygulanır, muhtemelen birden çok bilgisayar içeren bir makinede ağ bağlantılarıçekirdekte paket iletmenin devre dışı bırakıldığı yer.

Bazen bu iki tür güvenlik duvarı birlikte kullanılır, böylece yalnızca belirli bir makine (olarak bilinir) burç ev sahibi ) filtreleme yönlendiricisi aracılığıyla dahili ağa paket göndermesine izin verilir. Proxy hizmetleri, genellikle geleneksel kimlik doğrulama mekanizmalarından daha güvenli olan güvenli bir ana bilgisayarda çalışır.

FreeBSD, çekirdeğe yerleşik bir paket filtresiyle (IPFW olarak bilinir) gelir ve bu bölümün geri kalanında ele alınacaktır. Proxy sunucuları, üçüncü taraf yazılımlardan FreeBSD üzerine kurulabilir, ancak bu bölümde açıklanacak çok fazla şey var.

14.9.1.1. Paket filtreleme yönlendiricileri

Yönlendirici, paketleri iki veya daha fazla ağ arasında ileten bir makinedir. Bir paket filtreleme yönlendiricisi, iletilip iletilmeyeceğine karar vermeden önce her paketi bir kurallar listesiyle karşılaştıracak şekilde programlanmıştır. Modern yönlendirme yazılımlarının çoğu filtreleme özelliklerine sahiptir ve tüm paketler varsayılan olarak iletilir. Filtreleri etkinleştirmek için bir dizi kural tanımlamanız gerekir.

Bir paketin geçmesine izin verilip verilmeyeceğini belirlemek için güvenlik duvarı, paket başlıklarının içeriğiyle eşleşen bir kural için kümeye bakar. Bir eşleşme bulunduğunda, o kurala atanan eylem yürütülür. Eylem, paketi bırakmak, paketi iletmek ve hatta kaynak adrese bir ICMP mesajı göndermek olabilir. Kurallar belirli bir sırayla arandığından yalnızca ilk maç sayılır. Bu nedenle, kurallar listesi "kurallar zinciri" olarak adlandırılabilir. » .

Paket seçme kriterleri kullanılan yazılıma bağlıdır, ancak genellikle paketin kaynak IP adresine, hedef IP adresine, paketin kaynak bağlantı noktası numarasına, hedef bağlantı noktası numarasına (destekleyen protokoller için) dayalı kurallar tanımlayabilirsiniz. bağlantı noktaları), hatta paket türü (UDP , TCP, ICMP, vb.).

14.9.1.2. proxy sunucuları

Proxy sunucuları, normal sistem arka plan programlarının ( telnet, ftpd, vb.) özel sunucularla değiştirilmiştir. Bu sunuculara denir vekil sunucular , çünkü genellikle yalnızca gelen bağlantılarla çalışırlar. Bu, koşmanıza izin verir (örneğin) telnet güvenlik duvarında proxy sunucusu ve üzerinden oturum açmaya izin ver telnet güvenlik duvarında, kimlik doğrulama mekanizmasını geçmek ve dahili ağa erişim elde etmek (benzer şekilde, proxy sunucuları harici ağa erişmek için kullanılabilir).

Proxy sunucuları genellikle diğer sunuculardan daha güvenlidir ve genellikle "tek seferlik" parola sistemleri de dahil olmak üzere daha geniş bir kimlik doğrulama mekanizmaları yelpazesine sahiptir, böylece birisi hangi parolayı kullandığınızı bilse bile sisteme erişmek için onu kullanamaz çünkü çünkü parola ilk kullanımdan hemen sonra sona erer. Parola, proxy sunucusunun bulunduğu bilgisayara doğrudan erişim sağlamadığından, sisteme bir arka kapı yüklemek çok daha zor hale gelir.

Proxy sunucularının genellikle bir yolu vardır ek kısıtlama erişim, böylece yalnızca belirli ana bilgisayarlar sunuculara erişebilir. Çoğu, yöneticinin hangi kullanıcılara ve bilgisayarlara erişebileceklerini belirlemesine de izin verir. Bir kez daha mevcut fırsatlar esas olarak kullanılan yazılıma bağlıdır.

14.9.2. IPFW ne yapmanızı sağlar?

FreeBSD ile birlikte gelen IPFW yazılımı, çekirdekte bulunan ve özel bir yapılandırma yardımcı programıyla birlikte gelen bir paket filtreleme ve sayma sistemidir. ipfw(8). Birlikte, yönlendirme sırasında çekirdek tarafından kullanılan kuralları tanımlamanıza ve görüntülemenize izin verirler.

IPFW birbiriyle ilişkili iki bölümden oluşur. Güvenlik duvarı paket filtreleme gerçekleştirir. IP paket izleme bölümü, güvenlik duvarı bölümünde kullanılanlara benzer kurallara dayalı olarak yönlendirici kullanımını takip eder. Bu, yöneticinin, örneğin, yönlendiricinin belirli bir bilgisayardan aldığı trafik miktarını veya ilettiği WWW trafiği miktarını belirlemesine olanak tanır.

IPFW'nin uygulanma şekli nedeniyle, gelen ve giden bağlantıları filtrelemek için yönlendirici olmayan bilgisayarlarda da kullanabilirsiniz. Bu, IPFW'nin daha genel kullanımının özel bir durumudur ve bu durumda aynı komutlar ve teknik kullanılır.

14.9.3. FreeBSD'de IPFW'yi Etkinleştirme

IPFW sisteminin büyük bir kısmı çekirdekte bulunduğundan, ihtiyaç duyduğunuz özelliklere bağlı olarak çekirdek yapılandırma dosyasına bir veya daha fazla seçenek eklemeniz ve çekirdeği yeniden oluşturmanız gerekir. Çekirdeğin yeniden oluşturulması ile ilgili bölüme (Bölüm 8) bakın. Detaylı Açıklama bu prosedür.

Dikkat: Varsayılan IPFW kuralı, herhangi birinden herhangi birine ipi reddet şeklindedir. Erişime izin vermek için önyükleme sırasında başka kurallar eklemezseniz, o zaman erişimi engelle yeniden başlatmanın ardından çekirdek etkin güvenlik duvarına sahip bir sunucuya. Güvenlik duvarını ilk eklerken /etc/rc.conf dosyasında firewall_type=open ayarını yapmanızı ve ardından çalıştığını test ettikten sonra /etc/rc.firewall dosyasındaki kuralları düzenlemenizi öneririz. Ek bir önlem, güvenlik duvarını başlangıçta yerel konsoldan oturum açmak yerine yerel konsoldan yapılandırmak olabilir. ssh. Çekirdeği IPFIREWALL ve IPFIREWALL_DEFAULT_TO_ACCEPT seçenekleriyle oluşturmak da mümkündür. Bu durumda, varsayılan IPFW kuralı, herhangi birinden herhangi bir ip'e izin verecek şekilde değiştirilecek ve bu da olası engellemeyi önleyecektir.

IPFW ile ilgili dört çekirdek yapılandırma seçeneği vardır:

seçeneklerIPGÜVENLİK DUVARI

Çekirdekteki paketleri filtrelemek için kod içerir.

SeçeneklerIPFIREWALL_VERBOSE

Şunun aracılığıyla paket günlüğünü etkinleştirir: sistem günlüğü(8). Bu parametre olmadan, filtreleme kurallarında paketleri günlüğe kaydetmeyi belirtseniz bile çalışmaz.

Seçenekler IPFIREWALL_VERBOSE_LIMIT=10

Her kural tarafından günlüğe kaydedilen paket sayısını sınırlar. sistem günlüğü(8). Güvenlik duvarı etkinliğini günlüğe kaydetmek istiyor ancak sistem günlüğünü taşarak bir DoS saldırısına izin vermek istemiyorsanız bu seçeneği kullanabilirsiniz.

Zincirdeki kurallardan biri parametre tarafından tanımlanan sınıra ulaştığında, o kural için günlük kaydı kapatılır. Günlüğe kaydetmeyi etkinleştirmek için yardımcı programı kullanarak ilgili sayacı sıfırlamanız gerekir. ipfw(8) :

# ipfw sıfır 4500

4500, günlüğe kaydetmeye devam etmek istediğiniz kural numarasıdır.

Seçenekler IPFIREWALL_DEFAULT_TO_ACCEPT

Varsayılan kuralı "reddet"ten "izin ver"e değiştirir. Bu, çekirdek IPFIREWALL desteği ile yüklenmişse ancak güvenlik duvarı henüz yapılandırılmamışsa olası engellemeyi önler. kullanıyorsanız bu seçenek de kullanışlıdır. ipfw(8) Ortaya çıkan belirli sorunlar için bir çare olarak. Ancak, güvenlik duvarını açıp davranışını değiştirdiği için bu ayarı dikkatli kullanın.

Yorum: Önceki sürümler FreeBSD, IPFIREWALL_ACCT seçeneğini içeriyordu. Kod, muhasebeyi otomatik olarak etkinleştirdiği için bu seçenek kullanımdan kaldırılmıştır.

14.9.4. IPFW ayarı

IPFW yazılımı, yardımcı program kullanılarak yapılandırılır ipfw(8). Bu komutun sözdizimi çok karmaşık görünüyor, ancak yapısını anladığınızda nispeten basit hale geliyor.

Şu anda, yardımcı program dört farklı komut kategorisi kullanır: ekleme / silme (ekleme / silme), görüntüleme (listeleme), sıfırlama (yıkama) ve temizleme (temizleme). Ekle/Kaldır, paketlerin nasıl alınacağını, bırakılacağını ve günlüğe kaydedileceğini belirleyen kurallar oluşturmak için kullanılır. Bir dizi kuralın (zincir olarak da adlandırılır) ve paket sayaçlarının (muhasebe) içeriğini belirlemek için bir arama kullanılır. Sıfırlama, tüm zincir kurallarını kaldırmak için kullanılır. Temizle, bir veya daha fazla sayacı sıfırlamak için kullanılır.

14.9.4.1. IPFW Kurallarını Değiştirme

ipfw [-N] komut [sayı] eylem adres protokol [seçenekler]

Komutun bu biçimini kullanırken, bir bayrak kullanılabilir:

Görüntülendiğinde adres ve hizmet adı çözünürlüğü.

Diye sordu takım daha kısa benzersiz bir forma kısaltılabilir. Mevcut komutlar :

Filtreleme/Hesaplama Listesine Kural Ekleme

Filtreleme/hesaplama listesinden bir kuralı kaldırma

IPFW'nin önceki sürümleri, paket filtreleme ve sayma için ayrı girişler kullanıyordu. Modern versiyonlar her kural için paketleri sayın.

değer belirtilirse sayı, kuralı zincirde belirli bir konuma yerleştirmek için kullanılır. Aksi takdirde kural, önceki kuraldan 100 daha büyük olan zincirin sonuna yerleştirilir (bu, varsayılan kural numarası 65535'i içermez).

Günlük seçeneğiyle, çekirdek IPFIREWALL_VERBOSE seçeneğiyle oluşturulmuşsa ilgili kurallar bilgileri sistem konsoluna yazdırır.

Mevcut hareketler :

Paketi bırakın ve ana bilgisayarın veya bağlantı noktasının erişilemez olduğunu belirten ICMP kaynak adresine bir paket gönderin.

Paketi her zamanki gibi atlayın. (eşanlamlılar: geçmek, izin vermek ve kabul etmek)

Paketi bırak. Kaynağa bir ICMP mesajı verilmez (sanki paket hedefe hiç ulaşmamış gibi).

Paket sayacını güncelleyin, ancak ona izin verme/reddetme kurallarını uygulamayın. Arama, zincirdeki bir sonraki kuralla devam edecektir.

Her biri aksiyon daha kısa bir benzersiz önek olarak yazılabilir.

Aşağıdakiler tanımlanabilir protokoller :

Tüm IP paketleriyle eşleşir

ICMP paketleri ile eşleşir

TCP paketleriyle eşleşir

UDP paketleri ile eşleşir

Alan adreslerşu şekilde oluşturulur:

kaynak adres/maske [liman] hedef adres/maske [liman]

belirtebilirsin liman sadece birlikte protokoller bağlantı noktalarını (UDP ve TCP) destekleyen.

via parametresi isteğe bağlıdır ve yerel IP arabiriminin IP adresini veya etki alanı adını veya arabirim adını (örneğin ed0) içerebilir, kuralı yalnızca bu arabirimden geçen paketlerle eşleşecek şekilde yapılandırır. Arayüz numaraları isteğe bağlı bir maske ile değiştirilebilir. Örneğin, ppp*, PPP çekirdek arayüzleriyle eşleşir.

belirtmek için kullanılan sözdizimi adresler/maskeler:

Bir IP adresi yerine mevcut bir ana bilgisayar adını belirtmek mümkündür. maske bitleri adres maskesinde ayarlanacak bit sayısını gösteren ondalık bir sayıdır. Örneğin, 192.216.222.1/24, tüm C Sınıfı alt ağ adresleriyle (bu durumda 192.216.222) eşleşen bir maske oluşturacaktır. IP adresi yerine geçerli bir ana bilgisayar adı belirtilebilir. şablon maskesi bu, verilen adresle mantıksal olarak çarpılacak olan IP'dir. anahtar kelime any "herhangi bir IP adresi" anlamında kullanılabilir.

Bağlantı noktası numaraları aşağıdaki biçimde belirtilir:

liman [,liman [,liman [.]]]

Tek bir bağlantı noktası veya bir bağlantı noktası listesi belirtmek için veya

liman-liman

Bir bağlantı noktası aralığı belirtmek için. Tek bir aralık belirtmeyi bir bağlantı noktası listesiyle de birleştirebilirsiniz, ancak aralık her zaman önce listelenmelidir.

Mevcut seçenekler :

Paket, datagramdaki ilk paket değilse tetiklenir.

Gelen paketleri eşleştirir.

Giden paketleri eşleştirir.

Poptionlar spesifikasyon

IP başlığı, içinde belirtilen seçeneklerin virgülle ayrılmış bir listesini içeriyorsa tetiklenir. spesifikasyon. Desteklenen IP seçenekleri şunlardır: ssrr (katı kaynak yolu), lsrr (gevşek kaynak yolu), rr (kayıt paketi yolu) ve ts (zaman damgası). Bireysel parametrelerin etkisi ! öneki belirtilerek değiştirilebilir.

Kurulmuş

Paket zaten kurulmuş bir TCP bağlantısının parçasıysa tetiklenir (örn. RST veya ACK bitleri ayarlanmışsa). İle bir kural yerleştirerek güvenlik duvarı performansını iyileştirebilirsiniz. kurulmuş zincirin başlangıcına yakın.

Paket, bir TCP bağlantısı kurma girişimiyse eşleşir (SYN biti ayarlanmış ve ACK biti ayarlanmamış).

Tcpflags bayraklar

TCP başlığı virgülle ayrılmış bir liste içeriyorsa tetiklenir bayraklar. Desteklenen bayraklar: fin, syn, rst, psh, ack ve urg. Bireysel bayraklar için kuralların eylemi, ! öneki belirtilerek değiştirilebilir.

icmp türleri türleri

ICMP paket türü listedeyse tetiklenir türleri. Liste, virgülle ayrılmış aralıkların ve/veya bireysel türlerin herhangi bir kombinasyonu olarak belirtilebilir. Yaygın olarak kullanılan ICMP türleri şunlardır: 0 yankı yanıtı (ping yanıtı), 3 hedefe ulaşılamaz, 5 yeniden yönlendirme, 8 yankı isteği (ping isteği) ve 11 zaman aşımı (TTL sona erme durumunu belirtmek için kullanılır; iz yolu (8)).

14.9.4.2. IPFW Kurallarını Görüntüleme

Komutun bu formunun sözdizimi şöyledir:

ipfw [-a] [-c] [-d] [-e] [-t] [-N] [-S] listesi

Bu komut formu için yedi işaret vardır:

Sayaç değerlerini göster. Bu parametre, sayaç değerlerini görüntülemenin tek yoludur.

Kuralları kompakt biçimde görüntüleyin.

Statik olanlara ek olarak dinamik kuralları göster.

-d seçeneği belirtilirse, süresi dolmuş dinamik kuralları da gösterir.

görüntülemek Son zamanlarda zincirdeki her kural için ateşleme. Bu liste, kabul edilen sözdizimi ile uyumlu değil ipfw(8) .

Verilen adresleri ve hizmet adlarını çözümlemeye çalışın.

Her kuralın ait olduğu grubu görüntüleyin. Bu bayrak belirtilmezse, engellenen kurallar görüntülenmez.

14.9.4.3. IPFW Kurallarını Sıfırla

Kuralları sıfırlamak için sözdizimi:

Çekirdek tarafından ayarlanan varsayılan kural (sayı 65535) dışında zincirdeki tüm kurallar kaldırılacaktır. Kuralları sıfırlarken dikkatli olun; varsayılan olarak paketleri düşüren bir kural, zincire izin verme kuralları eklenene kadar sistemin ağ bağlantısını keser.

14.9.4.4. IPFW Paket Sayaçlarını Temizleme

Bir veya daha fazla paket sayacını temizleme sözdizimi şöyledir:

ipfw sıfır[ dizin]

Argüman olmadan kullanıldığında sayı tüm paket sayaçları silinecektir. Eğer dizin temizleme işlemi yalnızca belirtilen zincir kuralına uygulanır.

14.9.5. için komut örnekleri ipfw

Aşağıdaki komut, evil.crackers.org ana bilgisayarından nice.people.org ana bilgisayarının telnet bağlantı noktasına giden tüm paketleri reddedecektir:

# ipfw, evil.crackers.org'dan nice.people.org'a tcp'yi reddetme 23 ekle

Aşağıdaki örnek, crackers.org ağından (C sınıfı) nice.people.org bilgisayarına (herhangi bir bağlantı noktasından) giden tüm TCP trafiğini reddeder ve günlüğe kaydeder.

# ipfw, evil.crackers.org/24'ten nice.people.org'a tcp'yi reddetme günlüğü ekle

Ağınızda (C sınıfı bir ağın parçası) X oturumlarının barındırılmasını önlemek istiyorsanız, aşağıdaki komut gerekli filtrelemeyi yapacaktır:

# ipfw herhangi birinden my.org/28 6000 kurulumuna tcp'yi reddetme ekle

Muhasebe kayıtlarını görüntülemek için:

# ipfw -a liste veya kısaca # ipfw -a l

Kuralların en son ne zaman tetiklendiğini şu komutla da görüntüleyebilirsiniz:

14.9.6. Paket filtreleme ile bir güvenlik duvarı oluşturma

Güvenlik duvarını ilk kurduğunuzda, performans testinden ve sunucuyu üretime almadan önce, komutların günlüğe kaydedilen sürümlerini kullanmanız ve çekirdekte oturum açmayı etkinleştirmeniz önemle tavsiye edilir. Bu, sorunlu alanları hızlı bir şekilde belirlemenize ve fazla çaba harcamadan ayarı düzeltmenize olanak tanır. tamamlandıktan sonra bile ilk kurulum"reddetme" için günlüğe kaydetmenin kullanılması önerilir, çünkü bu, olası saldırıları izlemenize ve gereksinimleri değişirse güvenlik duvarının kurallarını değiştirmenize olanak tanır.

Yorum: Kabul komutunun günlüğe kaydedilmiş sürümünü kullanıyorsanız, oluşturabileceğinden dikkatli olun. büyük protokol verisi miktarı. Güvenlik duvarından geçen her paket günlüğe kaydedilecek, bu nedenle büyük hacimli FTP/http ve diğer trafik sistemi önemli ölçüde yavaşlatacaktır. Çekirdeğin yürütmesi gerektiğinden bu tür paketlerin gecikmesini de artıracaktır. ekstra iş paketi geçmeden önce. sistem günlüğü ayrıca tüm ekstra verileri diske göndereceğinden ve /var/log bölümü hızla dolabileceğinden çok daha fazla CPU zamanı kullanır.

/etc/rc.conf.local veya /etc/rc.conf içinde güvenlik duvarını etkinleştirmeniz gerekecek. İlgili kılavuz sayfası tam olarak ne yapılması gerektiğini açıklar ve hazır ayar örnekleri içerir. Hazır ayarı kullanmıyorsanız, ipfw list komutu geçerli kural kümesini sistem başlangıç ​​dosyalarına yerleştirilebileceği bir dosyaya koyabilir. Güvenlik duvarını etkinleştirmek için /etc/rc.conf.local veya /etc/rc.conf kullanmıyorsanız, arabirimleri yapılandırdıktan sonra etkinleştirildiğinden emin olmanız önemlidir.

Ardından, belirlemeniz gerekir Tam olarak ne güvenlik duvarınızı yapar! Çoğunlukla dışarıdan ağınıza ne kadar erişim istediğinize bağlıdır. İşte bazı genel kurallar:

1024'ün altındaki TCP bağlantı noktalarına dışarıdan erişimi engelleyin. Parmak, SMTP (posta) ve telnet gibi güvenlik açısından kritik hizmetlerin çoğu burada bulunur.

engellemek bütün gelen UDP trafiği. çok az var yararlı hizmetler UDP üzerinden çalışır, ancak bunlar genellikle bir güvenlik riski oluşturur (örn. Sun RPC ve NFS protokolleri). Bu yöntemin dezavantajları da vardır, çünkü UDP protokolü bağlantıları desteklemez ve gelen paketlerin reddedilmesi giden UDP trafiğine verilen yanıtları da engeller. Bu, UDP ile çalışan harici sunucuları kullananlar için sorun olabilir. Bu hizmetlere erişimi açmak istiyorsanız, ilgili bağlantı noktalarından gelen paketlere izin vermeniz gerekecektir. Örneğin, için ntp 123 numaralı bağlantı noktasından gelen paketlere izin vermeniz gerekebilir.

6000 numaralı bağlantı noktasına giden tüm dış trafiği engelleyin. 6000 numaralı bağlantı noktası, X11 sunucularına erişmek için kullanılır ve bir güvenlik riski oluşturabilir (özellikle kullanıcıların iş istasyonlarında xhost + komutunu çalıştırma alışkanlığı varsa). X11, 6000'den başlayan bir dizi bağlantı noktası kullanabilir, üst sınır, makinede çalıştırılabilen X ekran sayısına göre belirlenir. RFC 1700 (Atanan Numaralar) tarafından tanımlanan üst sınır 6063'tür.

Dahili hizmetler tarafından kullanılan bağlantı noktalarını kontrol edin (örneğin, SQL sunucuları vb.). Genellikle yukarıdaki 1-1024 aralığına düşmedikleri için bu bağlantı noktalarını da engellemek iyi bir fikir olabilir.

Güvenlik duvarı ayarlarını kontrol etmek için başka bir kontrol listesi CERT'de http://www.cert.org/tech_tips/packet_filtering.html adresinde mevcuttur.

Yukarıda belirtildiği gibi, tüm bu kurallar sadece yönetmek . Güvenlik duvarında hangi filtreleme kurallarının kullanılacağına kendiniz karar verebilirsiniz. Yukarıdaki ipuçlarını izlemiş olsanız bile, ağınız saldırıya uğrarsa HİÇBİR sorumluluk kabul edemeyiz.

14.9.7. Genel gider ve IPFW optimizasyonu

Birçok kullanıcı, IPFW'nin sistemi ne kadar yüklediğini bilmek ister. Cevap çoğunlukla kural kümesine ve CPU hızına bağlıdır. Ethernet üzerinden çalışan çoğu uygulama için küçük bir dizi kural söz konusu olduğunda, yanıt "fazla değil"dir. Daha kesin bir cevaba ihtiyaç duyanlar için bu bölüm amaçlanmıştır.

Sonraki ölçümler 486-66'da 2.2.5-STABLE ile yapıldı. (IPFW, FreeBSD'nin sonraki sürümlerinde biraz değişmiş olsa da, hız kabaca aynı kalmıştır.) IPFW, her 1000'inci paketten sonra konsola yazdırılacak şekilde, ip_fw_chk tarafından geçen süreyi ölçmek için değiştirilmiştir.

İki set 1000 kural test edildi. İlki, kuralı tekrarlayarak kötü bir kurallar dizisini göstermek için yapıldı:

# ipfw, herhangi birinden herhangi bir 55555'e tcp'yi reddetme ekle

Bu kurallar dizisi kötüdür çünkü IPFW kurallarının çoğu kontrol edilen paketlerle eşleşmez (bağlantı noktası numarası nedeniyle). Bu kuralın 999. tekrarından sonra, allow ip from any to any rule gelir.

İkinci kural seti, her bir kuralı olabildiğince çabuk test etmek için tasarlandı:

# ipfw, 1.2.3.4'ten 1.2.3.4'e reddetme ipi ekle

Yukarıdaki kuraldaki eşleşmeyen bir kaynak IP adresi, çok hızlı kontrol bu kurallar. Daha önce olduğu gibi, 1000. kural herhangi birinden herhangi birine ipe izin verir.

İlk durumda bir paketi kontrol etmenin maliyeti yaklaşık 2,703 ms/paket veya kural başına yaklaşık 2,7 mikrosaniyedir. Tarama hızının teorik sınırı saniyede yaklaşık 370 pakettir. 10 Mbps Ethernet bağlantısı ve yaklaşık 1500 baytlık bir paket boyutu varsayarsak, yalnızca %55,5 bant genişliği kullanımı elde ederiz.

İkinci durumda, her paket yaklaşık 1,172 ms veya kural başına yaklaşık 1,2 mikrosaniyede kontrol edildi. Tarama hızının teorik sınırı saniyede yaklaşık 853 paket olup, bu da 10 Mbps Ethernet bant genişliğinin tam olarak kullanılmasını mümkün kılar.

Aşırı sayıda kontrol edilen kural ve bunların görünümü, olağan koşullara yakın bir resim oluşturmaya izin vermiyor - bu kurallar yalnızca kontrolün zamanı hakkında bilgi almak için kullanıldı. Etkili bir kurallar dizisi oluşturmak için akılda tutulması gereken birkaç yönerge aşağıda verilmiştir:

TCP trafiğinin çoğunu işlemek için oluşturulan kuralı olabildiğince erken yerleştirin. Bunun önüne allow tcp kuralları koymayın.

Sık kullanılan kuralları kümenin başına, seyrek kullanılanlardan daha yakına koyun (elbette, tüm setin hareketini değiştirmeden ). ipfw -a l komutu ile paket sayaçlarını kontrol ederek en sık kullanılan kuralları belirleyebilirsiniz.

Güvenlik duvarları, yetkisiz kişileri önleyen ve ayrıca hem tek bir bilgisayara hem de tüm yerel ağa kötü amaçlı yazılımların girmesine karşı bir engel oluşturan özel koruyucu yazılım kompleksleridir (güvenlik duvarları).Asıl amaçlarına göre - şüpheli paketlerin geçmesine izin vermemek, bu tür programlar başka bir ad aldı - filtreler. Bugüne kadar en ünlü koruyucu güvenlik duvarı üreticileri şunlardır: ZyXEL, Firewall, TrustPort Total Protection, ZoneAlarm, D-Link, Secure Computing, Watchguard Technologies.

Güvenlik Duvarlarını Yapılandırma

Güvenlik duvarları manuel olarak yapılandırılır ve bu da detaylı kurulum koruma. En önemli özelliklerden biri, antivirüsün doğrudan USB bağlantı noktasından yapılandırılmasıdır. Gerekli ayarları yaparak, yerel ağda ve her birinde giriş ve çıkış üzerinde tam kontrol oluşturmak için böyle bir program kullanabilirsiniz. elektronik cihaz bileşiminde.

Ağ bilgisayarlarından birinde koruyucu ekranı manuel olarak yapılandırarak, önceden hazırlanmış ayarları diğer ağ birimlerine hızlı bir şekilde aktarabilirsiniz. Ayrıca, kablosuz ağ bağlantısı ile bile senkronize çalışma sağlanır. Gerekli güvenlik duvarı parametrelerinin ayarlanması biraz zaman alır, ancak ihmal edilirse, koruma kısıtlamaları işlem için gerekli olan bazı hizmetleri engelleyebilir.

Ek özellikler ağ filtreleri

Bireysel hizmetleri ve uygulamaları daha fazla korumak için yapılandırılabilen güvenlik duvarları vardır. Örneğin, "ebeveyn denetimi" veya "istenmeyen posta önleme" yüklemesini önlemek için. İnternet erişiminin ayarlanması ve kapalı bir yerel ağda çalışma hakları her program ve uygulama için ayrı ayrı tanımlanabilir. Güvenlik duvarı, sitelere erişimi kontrol etmenize, ağ geçidi taramalarını izlemenize ve Web içeriğini filtrelemenize olanak tanır. Ayrıca şüpheli IP adreslerinden erişimi engelleyebilir, saldırı veya araştırma girişimlerini bildirebilir.

Güvenlik duvarı türleri

Güvenlik duvarları ikiye ayrılır aşağıdaki türler:

Paket göndermek ve almak için filtreleme erişimi sağlayan geleneksel bir güvenlik duvarı;

arasındaki bireysel oturumları izleyen bir oturum güvenlik duvarı. yüklü uygulamalar genellikle hackleme, gizli verileri tarama vb. için kullanılan onaylanmamış paketlere erişimin zamanında kapatılmasını sağlayan;

Paketin dahili bilgilerinin analizine dayalı olarak filtreleme gerçekleştiren ve ardından tespit edilen Truva atlarını engelleyen analitik bir güvenlik duvarı;

Eşzamanlı izinsiz giriş önleme (IPS), antivirüs taraması, dahili kullanıcı önleme sağlayan yerleşik bir hızlandırıcı ile donatılmış bir donanım güvenlik duvarı özel ağ ve VPN anonimliğinin yanı sıra güvenlik duvarının daha verimli çalışmasını sağlar.

İhtiyati önlemler

Yetkisiz müdahalelere ve bilgisayar korsanlığına karşı yüksek kaliteli ve güvenilir bir şekilde sağlanmasını garanti etmek için, ağ düğümlerine yalnızca sertifikalı bir güvenlik duvarı kurmak gerekir. Şu anda, Rusya Federasyonu'nun yasal düzenlemeleri FSTEC, Gazpromcert ve FSB tarafından sertifika verilmesini sağlıyor. Örneğin, bu güvenlik duvarının Rusya Devlet Teknik Komisyonu belgesinin ilk bölümünde belirtilen tüm gereksinimlere uygun olduğunu onaylar. Ve FSB sertifikaları, koruma programları sisteminin, bilgilerin güvenliğini ve gizliliğini sağlama gereklilikleri açısından Rus Gosstandart'ına uygun olduğunu göstermektedir.

güvenlik duvarı veya güvenlik duvarı(Almanca'da. brandmauer, İngilizce. , Rusça ateş sınırı), ağı iki veya daha fazla bölüme ayırmanıza ve paketleri bir bölümden diğerine geçirme koşullarını belirleyen bir dizi kural uygulamanıza izin veren bir sistem veya sistemler kombinasyonudur (bkz. Şekil 1). Çoğu zaman, bu sınır arasında çizilir yerel ağ işletmeler ve İNTERNET, ancak işletmenin yerel ağı içinde de gerçekleştirilebilir. Güvenlik duvarı böylece tüm trafiği kendi içinden geçirir. Geçen her paket için, güvenlik duvarı ya geçmesine izin verme ya da bırakma kararı verir. Güvenlik duvarının bu kararları verebilmesi için bir dizi kural tanımlaması gerekir. Bu kuralların nasıl açıklandığı ve açıklamalarında hangi parametrelerin kullanıldığı biraz sonra tartışılacaktır.
şekil 1

Kural olarak, güvenlik duvarları bazı UNIX platformlarında çalışır - çoğu zaman BSDI, SunOS, AIX, IRIX vb., daha az sıklıkla - DOS, VMS, WNT, Windows NT. Donanım platformları INTEL, Sun SPARC, RS6000, Alpha, HP PA-RISC, R4400-R5000 RISC işlemci ailesini içerir. Ethernet'in yanı sıra birçok güvenlik duvarı FDDI, Token Ring, 100Base-T, 100VG-AnyLan, çeşitli seri cihazları destekler. RAM ve sabit disk kapasitesi gereksinimleri, korunan ağ segmentindeki makine sayısına bağlıdır.

genellikle işletim sistemi, güvenlik duvarının çalıştığı, amacı güvenlik duvarının korumasını artırmak olan değişiklikler yapılır. Bu değişiklikler hem işletim sistemi çekirdeğini hem de ilgili yapılandırma dosyalarını etkiler. Güvenlik duvarının kendisinde, kullanıcı hesaplarına (ve dolayısıyla olası boşluklara) izin verilmez, yalnızca bir yönetici hesabına izin verilir. Bazı güvenlik duvarları yalnızca tek kullanıcı modunda çalışır. Birçok güvenlik duvarında, program kodlarının bütünlüğünü kontrol etmek için bir sistem bulunur. Aynı zamanda, yazılım değişikliğini önlemek için program kodlarının sağlama toplamları güvenli bir yerde saklanır ve programın başlangıcında karşılaştırılır.

Tüm güvenlik duvarları üç türe ayrılabilir:

Tüm türler aynı güvenlik duvarında aynı anda oluşabilir.

paket filtreleri

Paket filtresi güvenlik duvarları, paketin başlığındaki IP adreslerine, bayraklara veya TCP bağlantı noktası numaralarına bakarak bir paketin geçmesine veya bırakılmasına karar verir. IP adresi ve bağlantı noktası numarası, sırasıyla ağ ve taşıma katmanı bilgileridir, ancak paket filtreler, uygulama katmanı bilgilerini de kullanır. TCP/IP'deki tüm standart hizmetler, belirli bir bağlantı noktası numarasıyla ilişkilendirilir.

Paketleri geçirme kurallarını açıklamak için şu türdeki tablolar derlenir:

"Aksiyon" alanından değerleri atlayabilir veya atabilirsiniz.
Paket türü - TCP, UDP veya ICMP.
Bayraklar - IP paket başlığındaki bayraklar.
"Kaynak bağlantı noktası" ve "hedef bağlantı noktası" alanları yalnızca TCP ve UDP paketleri için anlamlıdır.

Uygulama katmanı sunucuları

Uygulama sunucularına sahip güvenlik duvarları, belirli sunucuları kullanır. Hizmetler(proxy sunucusu) - TELNET, FTP vb. güvenlik duvarı üzerinde çalışır ve ilgili tüm trafiği geçer bu servis. Böylece istemci ile sunucu arasında iki bağlantı oluşur: istemciden güvenlik duvarına ve güvenlik duvarından hedefe.

Desteklenen sunucuların tamamı her bir güvenlik duvarına göre değişir, ancak en yaygın sunucular aşağıdaki hizmetler içindir:

• terminaller (Telnet, Rlogin);
• dosya aktarımı (Ftp);
• e-posta (SMTP, POP3);
• WWW (HTTP);
• sincap;
• Wais;
• X Pencere Sistemi (X11);
• ağdan yazdırma (LP);
• uzaktan görev yürütme (Rsh);
• parmak;
• Usenet haberleri (NNTP);
• kim;
• Gerçek Ses.

Uygulama düzeyinde sunucuların kullanılması, posta paketlerinin veya alan adı hizmetlerinin (DNS) başlıklarındaki bilgiler dahil olmak üzere yerel ağın yapısını harici kullanıcılardan gizlemek gibi önemli bir görevi çözmenize olanak tanır. Diğer bir olumlu özellik, kullanıcı düzeyinde kimlik doğrulama yeteneğidir (kimlik doğrulamanın bir şeyin kimliğini doğrulama süreci olduğunu hatırlayın; bu durumda, bu, kullanıcının gerçekten iddia ettiği kişi olduğunu doğrulama sürecidir).

Erişim kurallarını tanımlarken, aşağıdakiler gibi parametreler
• hizmet adı,
• Kullanıcı adı,
• hizmeti kullanmak için izin verilen zaman aralığı,
• hizmeti kullanabileceğiniz bilgisayarlar,
• kimlik doğrulama şemaları.

Uygulama düzeyindeki sunucular, en üst düzeyde koruma sağlamanıza izin verir, çünkü. dış dünyalarla etkileşim, gelen ve giden tüm trafiği tam olarak kontrol eden az sayıdaki uygulama programları aracılığıyla gerçekleştirilir.

Bağlantı düzeyi sunucuları

Bağlantı katmanı sunucusu, bir TCP bağlantı çevirmenidir. Kullanıcı, güvenlik duvarındaki belirli bir bağlantı noktasına bağlantı kurar ve ardından güvenlik duvarı, güvenlik duvarının diğer tarafındaki bir hedefle bağlantı kurar. Bir oturum sırasında, bu çevirmen baytları her iki yönde kopyalayarak bir tel gibi davranır.

Kural olarak, hedef önceden belirlenir, ancak birçok kaynak olabilir (bağlantı türü bir - çok). Farklı portları kullanarak farklı konfigürasyonlar oluşturabilirsiniz.

Bu tür bir sunucu, TCP tabanlı herhangi bir kullanıcı tanımlı hizmet için çevirmen oluşturmanıza, bu hizmete erişimi kontrol etmenize ve kullanımıyla ilgili istatistikler toplamanıza olanak tanır.

Paket Filtreler ve Uygulama Katmanı Sunucularının Karşılaştırmalı Özellikleri

Aşağıda, paket filtrelerin ve uygulama sunucularının birbirine göre başlıca avantajları ve dezavantajları bulunmaktadır.

Paket filtrelerin avantajları:
• nispeten düşük maliyetli;
• filtreleme kurallarının tanımlanmasında esneklik;
• paketlerin geçişinde küçük bir gecikme.

Paket filtrelerin dezavantajları:
• yerel ağ İNTERNET'ten görülebilir (yönlendirilir);
• paket filtreleme kurallarının tanımlanması zordur, çok iyi TCP ve UDP teknolojileri bilgisi gereklidir;
• güvenlik duvarı başarısız olursa, arkasındaki tüm bilgisayarlar tamamen korumasız veya erişilemez hale gelir;
• bir IP adresi kullanan kimlik doğrulama, IP sahtekarlığı kullanılarak kandırılabilir (saldıran bir sistem, kendi IP adresini kullanarak başka bir sistemin kimliğine bürünür);
• kullanıcı düzeyinde kimlik doğrulaması yok.

Uygulama düzeyi sunucuların avantajları:
• yerel ağ İNTERNET'ten görünmez;
• güvenlik duvarı başarısız olursa, paketler güvenlik duvarından geçmeyi durdurur, dolayısıyla koruduğu makineler için bir tehdit olmaz;
• uygulama katmanı koruması, çok sayıda ek denetime izin vererek, yazılımdaki açıkları kullanarak bilgisayar korsanlığı olasılığını azaltır;
• kullanıcı düzeyinde kimlik doğrulama, bir bilgisayar korsanlığı girişimine karşı anında uyarı sistemi uygulanabilir.

Uygulama katmanı sunucularının dezavantajları:
• paket filtrelere göre daha yüksek maliyet;
• RPC ve UDP protokollerini kullanamama;
• performans, paket filtrelere göre daha düşüktür.

Bir dizi güvenlik duvarı da sanal şirket ağlarını düzenlemenize olanak tanır ( Sanal özel ağ), yani İNTERNET'e dahil olan birkaç yerel ağı tek bir sanal ağda birleştirin. vpnşifreleme kullanarak iletilen bilgilerin gizliliğini ve bütünlüğünü korurken, kullanıcılar için şeffaf olan bir yerel ağ bağlantısı düzenlemenize olanak tanır. Bu durumda, İNTERNET üzerinden aktarım sırasında yalnızca kullanıcı verileri değil, aynı zamanda ağ bilgileri - ağ adresleri, bağlantı noktası numaraları vb.

Güvenlik Duvarı Bağlantı Şemaları

Güvenlik duvarlarını bağlamak için çeşitli şemalar kullanılır. Güvenlik duvarı, harici ağa bağlanmak için desteklenen cihaz türlerini kullanarak harici bir yönlendirici olarak kullanılabilir (bkz. Şekil 1). Bazen Şekil 2'de gösterilen şema kullanılır, ancak yönlendiricilerin çok dikkatli bir şekilde yapılandırılması gerektiğinden ve küçük hatalar ciddi güvenlik açıkları oluşturabileceğinden, yalnızca son çare olarak kullanılmalıdır.

incir. 2

Çoğu zaman bağlantı, iki Ethernet arabirimini (çift bağlantılı güvenlik duvarı olarak adlandırılır) (bir bilgisayarda iki ağ kartı) destekleyen harici bir yönlendirici aracılığıyla yapılır (bkz. Şekil 3).

Şek. 3

Aynı zamanda, harici yönlendirici ile güvenlik duvarı arasında tüm trafiğin geçtiği tek bir yol vardır. Tipik olarak yönlendirici, güvenlik duvarı dışarıdan görünen tek makine olacak şekilde yapılandırılır. Bu şema, güvenlik ve korumanın güvenilirliği açısından en çok tercih edilenidir.

Başka bir şema Şekil 4'te gösterilmiştir.

şekil 4

Aynı zamanda, yönlendiriciden giden birkaç alt ağdan yalnızca biri güvenlik duvarı tarafından korunmaktadır. Güvenlik duvarı ile korunmayan bir alanda genellikle dışarıdan görünmesi gereken sunucular bulunur (WWW, FTP vb.). Çoğu güvenlik duvarı, bu sunucuları kendi başınıza barındırmanıza izin verir - bu, makine yüklemesi ve güvenlik duvarının kendisinin güvenliği açısından en iyi çözüm olmaktan uzaktır.

Dışarıdan görünmesi gereken sunucular için üçüncü bir ağ düzenlemenizi sağlayan çözümler (bkz. Şekil 5) vardır; bu, ana ağdaki makinelerin gerekli koruma seviyesini korurken bunlara erişimi kontrol etmenize olanak tanır.

şekil 5

Aynı zamanda, iç ağ kullanıcılarının bu sunucular aracılığıyla yerel ağda yanlışlıkla veya kasıtlı olarak bir delik açmamasına büyük önem verilmektedir. Güvenlik seviyesini artırmak için, bir ağda arka arkaya birkaç güvenlik duvarı kullanmak mümkündür.

Yönetim

Yönetim kolaylığı, etkili ve güvenilir bir koruma sistemi oluşturmanın kilit yönlerinden biridir. Erişim kurallarının tanımındaki hatalar, sistemin hacklenebileceği bir delik oluşturabilir. Bu nedenle çoğu güvenlik duvarı, bir dizi kuralın girilmesini, silinmesini ve görüntülenmesini kolaylaştıran yardımcı programlar kullanır. Bu yardımcı programların varlığı, kuralları girerken veya düzenlerken sözdizimi veya mantıksal hataları kontrol etmenize de olanak tanır. Kural olarak, bu yardımcı programlar, örneğin belirli bir kullanıcı veya hizmetle ilgili her şey gibi bazı kriterlere göre gruplandırılmış bilgileri görüntülemenize olanak tanır.

Bir saldırı hakkında istatistik ve uyarı toplama sistemleri

Bir diğer önemli bileşen güvenlik duvarı, istatistikleri ve saldırı uyarılarını toplamak için kullanılan bir sistemdir. Tüm olaylarla ilgili bilgiler - arızalar, gelen, giden bağlantılar, aktarılan bayt sayısı, kullanılan hizmetler, bağlantı süresi vb. - istatistik dosyalarında toplanır. Birçok güvenlik duvarı, günlüğe kaydedilecek olayları esnek bir şekilde tanımlamanıza, saldırılar veya yetkisiz erişim girişimleri durumunda güvenlik duvarının eylemlerini açıklamanıza olanak tanır - bu, konsola bir mesaj, sistem yöneticisine bir e-posta mesajı vb. olabilir. Konsolda veya yönetici ekranında bir bilgisayar korsanlığı girişimiyle ilgili bir mesajın anında görüntülenmesi, girişimin başarılı olması ve saldırganın sisteme zaten girmiş olması durumunda yardımcı olabilir. Birçok güvenlik duvarı, istatistikleri işlemek için rapor oluşturucular içerir. Kaynakların belirli kullanıcılar tarafından kullanımı, hizmetlerin kullanımı, arızalar, yetkisiz erişim girişimlerinin yapıldığı kaynaklar vb. hakkında istatistik toplamanıza olanak tanırlar.

kimlik doğrulama

Kimlik doğrulama, güvenlik duvarlarının en önemli bileşenlerinden biridir. Bir kullanıcıya belirli bir hizmeti kullanma hakkı verilmeden önce, gerçekten iddia ettiği kişi olduğundan emin olunmalıdır.

Kural olarak, "ne biliyorsa" adı verilen ilke kullanılır - yani. kullanıcı, isteğine yanıt olarak kimlik doğrulama sunucusuna gönderdiği bazı gizli sözcükleri bilir.

Bir kimlik doğrulama şeması, standart UNIX şifrelerinin kullanılmasıdır. Bu şema, güvenlik açısından en savunmasız olanıdır - şifre başka bir kişi tarafından ele geçirilebilir ve kullanılabilir.

Güvenlik Duvarı Güvenlik Sınıfları

İşleme uygulandı kesin bilgi otomatik sistemler(AS) üç gruba ayrılır:

1. Çeşitli gizlilik düzeylerindeki bilgileri işleyen çok kullanıcılı AS'ler.
2. Tüm kullanıcıların, farklı gizlilik düzeylerine sahip ortamlarda bulunan tüm işlenmiş bilgilere eşit erişime sahip olduğu çok kullanıcılı AS.
3. Kullanıcının, farklı gizlilik seviyelerine sahip ortamlarda bulunan tüm işlenmiş bilgilere erişiminin olduğu tek kullanıcılı AS.

Birinci grupta, 5 AS güvenliği sınıfı ayırt edilir: 1A, 1B, 1C, 1D, 1D, ikinci ve üçüncü gruplarda - her biri 2 güvenlik sınıfı: sırasıyla 2A, 2B ve 3A, 3B. A Sınıfı maksimum, D sınıfı - AU'nun minimum güvenliğine karşılık gelir.

Güvenlik duvarları, dış alemden gelen yetkisiz istekleri göz ardı ederek iç alemdeki nesnelerin güvenliğini sağlamanıza olanak tanır, örn. gerçekleştirmek ekranlama. Sonuç olarak, dahili nesnelerin güvenlik açığı azalır, çünkü başlangıçta üçüncü taraf bir davetsiz misafir, koruma mekanizmalarının özellikle dikkatli ve sıkı bir şekilde yapılandırıldığı güvenlik duvarını aşmak zorundadır. Ek olarak, ekranlama sistemi, evrensel olanın aksine, daha basit ve dolayısıyla daha güvenli bir şekilde düzenlenmiştir. Yalnızca koruma işlevlerini gerçekleştirmek için gerekli olan bileşenleri içerir. Ekranlama ayrıca dış alana yönlendirilen bilgi akışlarını kontrol etmeyi mümkün kılar, bu da iç alanda gizliliğin korunmasına yardımcı olur. Erişim kontrolü işlevlerine ek olarak, güvenlik duvarları bilgi akışlarını kaydeder.

Güvenlik duvarları güvenlik düzeyine göre 5 sınıfa ayrılır. En düşük güvenlik sınıfı beşinci sınıftır. 1D sınıfı hoparlörlerin dış ortamla güvenli etkileşimi için kullanılır, dördüncüsü - 1G için, üçüncüsü - 1B için, ikincisi - 1B için, en yüksek - birincisi - 1A için.

2B, 3B sınıfı AS için en az beşinci sınıf güvenlik duvarları kullanılır.

AS sınıfı 2A, 3A için, işlenen bilginin önemine bağlı olarak aşağıdaki sınıfların güvenlik duvarları kullanılır:

• "gizli" olarak sınıflandırılan bilgileri işlerken - üçüncü sınıftan daha düşük değil;
• "çok gizli" olarak sınıflandırılan bilgileri işlerken - ikinci sınıftan daha düşük değil;
• "özel önem" olarak sınıflandırılan bilgileri işlerken - yalnızca birinci sınıf.

Güvenlik göstergeleri Tablo 1'de özetlenmiştir.

Tanımlar:

Güvenlik Duvarı Satın Alma Rehberi

TruSecure'un araştırma kolu olan ICSA laboratuvarı, Güvenlik Duvarı Satın Alma Kılavuzu'nu geliştirdi. Bu belgenin bölümlerinden birinde, aşağıdaki alıcı değerlendirmesi şekli verilmiştir:

1. İletişim bilgileri - adres ve sorumlu kişiler.
2. İş çalışma ortamı:
   • işletmenin bireysel kurumlarının (binalarının) sayısı ve yeri;
   • bölümlerin belirtilmesi ve sınırlı nitelikteki bilgiler ve bölümlerin etkileşimi için verilerin mevcudiyetinin önemli olduğu bilgiler, bunların yerleştirilmesi;
   • Etkileşimi organize etmenin gerekli olduğu dış ortakların belirtilmesi;
   • halka açık hizmetlerin tanımı;
   • işletmenin dahili bilgi alanına uzaktan erişimin organizasyonu için gereklilikler;
   • Hizmetler elektronik hizmetler halka açık iletişim kanallarını kullanmak (örneğin, e-ticaret).
3. Listelenen parametrelere göre iş ortamındaki planlı değişiklikler.
4. Bilgi ortamı:
   • donanım, sistem ve uygulama yazılımını gösteren kullanıcı iş istasyonlarının sayısı;
   • kullanılan topolojiyi, veri iletim ortamını, cihazları ve protokolleri gösteren ağ yapısı;
   • kimlik doğrulama yöntemlerinin yanı sıra kullanılan cihazları gösteren uzaktan erişim yapısı;
   • donanım, sistem ve uygulama yazılımını gösteren sunucu sayısı;
   • mevcut destek sistemi bilgi sistemi faaliyetlerin kapsamının belirtilmesi ve sınırları ile tedarikçilerden;
   • anti-virüs sistemleri ve diğer yazılım kontrol sistemleri;
   • ağ ve bilgi sistemleri yönetim teknolojisi;
   • kimlik doğrulama teknolojileri - liste ve açıklama.
5. Listelenen parametrelere göre bilgi ortamındaki planlı değişiklikler.
6. İnternet bağlantısı:
   • İnternet bağlantısının türü;
   • mevcut güvenlik duvarları (varsa);
   • İç sistemler tarafından kullanılan dış çevre ile iletişim araçları;
   • dışarıdan sağlanan dahili sistemler ve hizmetler;
   • e-ticaret sunucuları ve diğer işlem sistemleri;
   • İnternete erişim ve İnternet kullanımı için onaylanmış bir güvenlik politikasının varlığının bir göstergesi.
7. Planlanan etkinlikler (bir güvenlik duvarının satın alındığı):
   • İnternete erişim şeklinizde ve kuruluşunuzun güvenlik politikasında bir değişiklik;
   • dahili kullanıcılar için ayrı ayrı desteklenmesi gereken yeni protokollerin ortaya çıkması, uzaktan erişim veya herkese açık özel kullanıcılar.
8. Gerekli güvenlik duvarı işlevi:
   • giriş kontrolu;
   • yayınlanan mesajlar;
   • kimlik doğrulama;
   • konfigürasyon yönetimi;
   • geçen trafiğin içeriğinin kontrolü;
   • kayıt günlükleri;
   • saldırı tanıma;
   • ağ seçenekleri (arayüz sayısı, erişim yöntemi);
   • uzaktan yönetim;
   • sistem gereksinimleri (anahtar teslimi, diğer ürünlerle entegrasyon vb.)
9. Diğer durumlar:
   • güvenlik duvarının tahmini maliyeti (kurumun ne kadar harcayabileceği);
   • ürünün tahmini başlangıç ​​tarihi;
   • ürünün sertifika sahibi olması için gerekenler;
   • amaçlanan ürün yöneticisi ve destek ekibi için gereksinimler;
   • sözleşmenin özel şartları (varsa);
   • dahil olmayan diğer notlar bu form.

Şirketin, bu formu doldurup üreticiye göndererek, ikincisinin alıcı için en kaliteli teklifi oluşturmasına izin vereceği varsayılmaktadır. Ancak bu formun kimseye gönderilmeden doldurulması kuruluşun hangi çözüme ihtiyacı olduğunu daha iyi anlamasına olanak sağlayacaktır.