Güvenlik duvarları konusunda mesaj. Bilgi Güvenliği

14.9. Güvenlik duvarları

İnternete bağlı kişilerin güvenlik duvarlarına (güvenlik duvarı, güvenlik duvarı) olan ilgisi artıyor ve hatta yerel ağ için daha yüksek düzeyde güvenlik sağlayan uygulamalar ortaya çıktı. Bu bölümde, güvenlik duvarlarının ne olduğunu, nasıl kullanılacağını ve FreeBSD çekirdeği tarafından sağlanan özelliklerin bunları uygulamak için nasıl kullanılacağını açıklamayı umuyoruz.

14.9.1. Güvenlik duvarı nedir?

İki farklı tip var güvenlik duvarları yaygın olarak kullanılan modern internet. İlk tip daha doğru olarak adlandırılır paket filtreleme yönlendiricisi . Bu güvenlik duvarı türü, birden çok ağa bağlı bir makinede çalışır ve paketin iletilip iletilmeyeceğini belirlemek için her pakete bir dizi kural uygular. olarak bilinen ikinci tiptir. Proxy sunucu , kimlik doğrulama ve paket iletme gerçekleştiren arka plan programları olarak uygulanır, muhtemelen birden çok bilgisayar içeren bir makinede ağ bağlantılarıçekirdekte paket iletmenin devre dışı bırakıldığı yer.

Bazen bu iki tür güvenlik duvarı birlikte kullanılır, böylece yalnızca belirli bir makine (olarak bilinir) burç ev sahibi ) filtreleme yönlendiricisi aracılığıyla dahili ağa paket göndermesine izin verilir. Proxy hizmetleri, genellikle geleneksel kimlik doğrulama mekanizmalarından daha güvenli olan güvenli bir ana bilgisayarda çalışır.

FreeBSD, çekirdeğe yerleşik bir paket filtresiyle (IPFW olarak bilinir) gelir ve bu bölümün geri kalanında ele alınacaktır. Proxy sunucuları FreeBSD üzerine kurulabilir. yazılımüçüncü taraf geliştiriciler, ancak çok fazla var ve bunları bu bölümde açıklamak imkansız.

14.9.1.1. Paket filtreleme yönlendiricileri

Yönlendirici, paketleri iki veya daha fazla ağ arasında ileten bir makinedir. Bir paket filtreleme yönlendiricisi, iletilip iletilmeyeceğine karar vermeden önce her paketi bir kurallar listesiyle karşılaştıracak şekilde programlanmıştır. Modern yönlendirme yazılımlarının çoğu filtreleme özelliklerine sahiptir ve tüm paketler varsayılan olarak iletilir. Filtreleri etkinleştirmek için bir dizi kural tanımlamanız gerekir.

Bir paketin geçmesine izin verilip verilmeyeceğini belirlemek için güvenlik duvarı, paket başlıklarının içeriğiyle eşleşen bir kural için kümeye bakar. Bir eşleşme bulunduğunda, o kurala atanan eylem yürütülür. Eylem, paketi bırakmak, paketi iletmek ve hatta kaynak adrese bir ICMP mesajı göndermek olabilir. Kurallar belirli bir sırayla arandığından yalnızca ilk maç sayılır. Bu nedenle, kurallar listesi "kurallar zinciri" olarak adlandırılabilir. » .

Paket seçme kriterleri kullanılan yazılıma bağlıdır, ancak genellikle paketin kaynak IP adresine, hedef IP adresine, paketin kaynak bağlantı noktası numarasına, hedef bağlantı noktası numarasına (destekleyen protokoller için) dayalı kurallar tanımlayabilirsiniz. bağlantı noktaları), hatta paket türü (UDP , TCP, ICMP, vb.).

14.9.1.2. proxy sunucuları

Proxy sunucuları, normal sistem arka plan programlarının ( telnet, ftpd, vb.) özel sunucularla değiştirilmiştir. Bu sunuculara denir vekil sunucular , çünkü genellikle yalnızca gelen bağlantılarla çalışırlar. Bu, koşmanıza izin verir (örneğin) tel ağ güvenlik duvarında proxy sunucusu ve üzerinden oturum açmaya izin ver tel ağ güvenlik duvarında, kimlik doğrulama mekanizmasını geçmek ve dahili ağa erişim elde etmek (benzer şekilde, proxy sunucuları harici ağa erişmek için kullanılabilir).

Proxy sunucuları genellikle diğer sunuculardan daha güvenlidir ve genellikle "tek seferlik" parola sistemleri de dahil olmak üzere daha geniş bir kimlik doğrulama mekanizmaları yelpazesine sahiptir, böylece birisi hangi parolayı kullandığınızı bilse bile sisteme erişmek için onu kullanamaz çünkü çünkü parola ilk kullanımdan hemen sonra sona erer. Parola, proxy sunucusunun bulunduğu bilgisayara doğrudan erişim sağlamadığından, sisteme bir arka kapı yüklemek çok daha zor hale gelir.

Proxy sunucularının genellikle erişimi daha da kısıtlamak için bir yolu vardır, böylece yalnızca belirli ana bilgisayarlar sunuculara erişebilir. Çoğu, yöneticinin hangi kullanıcılara ve bilgisayarlara erişebileceklerini belirlemesine de izin verir. Bir kez daha mevcut fırsatlar esas olarak kullanılan yazılıma bağlıdır.

14.9.2. IPFW ne yapmanızı sağlar?

FreeBSD ile birlikte gelen IPFW yazılımı, çekirdekte bulunan ve özel bir yapılandırma yardımcı programıyla birlikte gelen bir paket filtreleme ve sayma sistemidir. ipfw(8). Birlikte, yönlendirme sırasında çekirdek tarafından kullanılan kuralları tanımlamanıza ve görüntülemenize izin verirler.

IPFW birbiriyle ilişkili iki bölümden oluşur. Güvenlik duvarı paket filtreleme gerçekleştirir. IP paket izleme bölümü, güvenlik duvarı bölümünde kullanılanlara benzer kurallara dayalı olarak yönlendirici kullanımını takip eder. Bu, yöneticinin, örneğin, yönlendiricinin belirli bir bilgisayardan aldığı trafik miktarını veya ilettiği WWW trafiği miktarını belirlemesine olanak tanır.

IPFW'nin uygulanma şekli nedeniyle, gelen ve giden bağlantıları filtrelemek için yönlendirici olmayan bilgisayarlarda da kullanabilirsiniz. Bu, IPFW'nin daha genel kullanımının özel bir durumudur ve bu durumda aynı komutlar ve teknik kullanılır.

14.9.3. FreeBSD'de IPFW'yi Etkinleştirme

IPFW sisteminin büyük bir kısmı çekirdekte bulunduğundan, ihtiyaç duyduğunuz özelliklere bağlı olarak çekirdek yapılandırma dosyasına bir veya daha fazla seçenek eklemeniz ve çekirdeği yeniden oluşturmanız gerekir. Bu prosedürün ayrıntılı açıklaması için çekirdeğin yeniden oluşturulması ile ilgili bölüme (Bölüm 8) bakın.

Dikkat: Varsayılan IPFW kuralı, herhangi birinden herhangi birine ipi reddet şeklindedir. Erişime izin vermek için önyükleme sırasında başka kurallar eklemezseniz, o zaman erişimi engelle yeniden başlatmanın ardından çekirdek etkin güvenlik duvarına sahip bir sunucuya. Güvenlik duvarını ilk eklerken /etc/rc.conf dosyasında firewall_type=open ayarını yapmanızı ve ardından çalıştığını test ettikten sonra /etc/rc.firewall dosyasındaki kuralları düzenlemenizi öneririz. Ek bir önlem, güvenlik duvarını başlangıçta yerel konsoldan oturum açmak yerine yerel konsoldan yapılandırmak olabilir. ssh. Çekirdeği IPFIREWALL ve IPFIREWALL_DEFAULT_TO_ACCEPT seçenekleriyle oluşturmak da mümkündür. Bu durumda, varsayılan IPFW kuralı, herhangi birinden herhangi bir ip'e izin verecek şekilde değiştirilecek ve bu da olası engellemeyi önleyecektir.

IPFW ile ilgili dört çekirdek yapılandırma seçeneği vardır:

seçeneklerIPGÜVENLİK DUVARI

Çekirdekteki paketleri filtrelemek için kod içerir.

SeçeneklerIPFIREWALL_VERBOSE

Şunun aracılığıyla paket günlüğünü etkinleştirir: sistem günlüğü(8). Bu parametre olmadan, filtreleme kurallarında paketleri günlüğe kaydetmeyi belirtseniz bile çalışmaz.

Seçenekler IPFIREWALL_VERBOSE_LIMIT=10

Her kural tarafından günlüğe kaydedilen paket sayısını sınırlar. sistem günlüğü(8). Güvenlik duvarı etkinliğini günlüğe kaydetmek istiyor ancak sistem günlüğünü taşarak bir DoS saldırısına izin vermek istemiyorsanız bu seçeneği kullanabilirsiniz.

Zincirdeki kurallardan biri parametre tarafından tanımlanan sınıra ulaştığında, o kural için günlük kaydı kapatılır. Günlüğe kaydetmeyi etkinleştirmek için yardımcı programı kullanarak ilgili sayacı sıfırlamanız gerekir. ipfw(8) :

# ipfw sıfır 4500

4500, günlüğe kaydetmeye devam etmek istediğiniz kural numarasıdır.

Seçenekler IPFIREWALL_DEFAULT_TO_ACCEPT

Varsayılan kuralı "reddet"ten "izin ver"e değiştirir. Bu, çekirdek IPFIREWALL desteği ile yüklenmişse ancak güvenlik duvarı henüz yapılandırılmamışsa olası engellemeyi önler. kullanıyorsanız bu seçenek de kullanışlıdır. ipfw(8) Ortaya çıkan belirli sorunlar için bir çare olarak. Ancak, güvenlik duvarını açıp davranışını değiştirdiği için bu ayarı dikkatli kullanın.

Yorum: FreeBSD'nin önceki sürümleri IPFIREWALL_ACCT seçeneğini içeriyordu. Kod, muhasebeyi otomatik olarak etkinleştirdiği için bu seçenek kullanımdan kaldırılmıştır.

14.9.4. IPFW ayarı

IPFW yazılımı, yardımcı program kullanılarak yapılandırılır ipfw(8). Bu komutun sözdizimi çok karmaşık görünüyor, ancak yapısını anladığınızda nispeten basit hale geliyor.

Şu anda, yardımcı program dört farklı komut kategorisi kullanır: ekleme / silme (ekleme / silme), görüntüleme (listeleme), sıfırlama (yıkama) ve temizleme (temizleme). Ekle/Kaldır, paketlerin nasıl alınacağını, bırakılacağını ve günlüğe kaydedileceğini belirleyen kurallar oluşturmak için kullanılır. Bir dizi kuralın (zincir olarak da adlandırılır) ve paket sayaçlarının (muhasebe) içeriğini belirlemek için bir arama kullanılır. Sıfırlama, tüm zincir kurallarını kaldırmak için kullanılır. Temizle, bir veya daha fazla sayacı sıfırlamak için kullanılır.

14.9.4.1. IPFW Kurallarını Değiştirme

ipfw [-N] komut [sayı] eylem adres protokol [seçenekler]

Komutun bu biçimini kullanırken, bir bayrak kullanılabilir:

Görüntülendiğinde adres ve hizmet adı çözünürlüğü.

Diye sordu takım daha kısa benzersiz bir forma kısaltılabilir. Mevcut komutlar :

Filtreleme/Hesaplama Listesine Kural Ekleme

Filtreleme/hesaplama listesinden bir kuralı kaldırma

IPFW'nin önceki sürümleri, paket filtreleme ve sayma için ayrı girişler kullanıyordu. Modern versiyonlar her kural için paketleri sayın.

değer belirtilirse sayı, kuralı zincirde belirli bir konuma yerleştirmek için kullanılır. Aksi takdirde kural, önceki kuraldan 100 daha büyük olan zincirin sonuna yerleştirilir (bu, varsayılan kural numarası 65535'i içermez).

Günlük seçeneğiyle, çekirdek IPFIREWALL_VERBOSE seçeneğiyle oluşturulmuşsa ilgili kurallar bilgileri sistem konsoluna yazdırır.

Mevcut hareketler :

Paketi bırakın ve ana bilgisayarın veya bağlantı noktasının erişilemez olduğunu belirten ICMP kaynak adresine bir paket gönderin.

Paketi her zamanki gibi atlayın. (eşanlamlılar: geçmek, izin vermek ve kabul etmek)

Paketi bırak. Kaynağa bir ICMP mesajı verilmez (sanki paket hedefe hiç ulaşmamış gibi).

Paket sayacını güncelleyin, ancak ona izin verme/reddetme kurallarını uygulamayın. Arama, zincirdeki bir sonraki kuralla devam edecektir.

Her biri aksiyon daha kısa bir benzersiz önek olarak yazılabilir.

Aşağıdakiler tanımlanabilir protokoller :

Tüm IP paketleriyle eşleşir

ICMP paketleri ile eşleşir

TCP paketleriyle eşleşir

UDP paketleri ile eşleşir

Alan adreslerşu şekilde oluşturulur:

kaynak adres/maske [liman] hedef adres/maske [liman]

belirtebilirsin liman sadece birlikte protokoller bağlantı noktalarını (UDP ve TCP) destekleyen.

via parametresi isteğe bağlıdır ve yerel IP arabiriminin IP adresini veya etki alanı adını veya arabirim adını (örneğin ed0) içerebilir, kuralı yalnızca bu arabirimden geçen paketlerle eşleşecek şekilde yapılandırır. Arayüz numaraları isteğe bağlı bir maske ile değiştirilebilir. Örneğin, ppp*, PPP çekirdek arayüzleriyle eşleşir.

belirtmek için kullanılan sözdizimi adresler/maskeler:

Bir IP adresi yerine mevcut bir ana bilgisayar adını belirtmek mümkündür. maske bitleri adres maskesinde ayarlanacak bit sayısını gösteren ondalık bir sayıdır. Örneğin, 192.216.222.1/24, tüm C Sınıfı alt ağ adresleriyle (içinde) eşleşen bir maske oluşturur. bu durum, 192.216.222). IP adresi yerine geçerli bir ana bilgisayar adı belirtilebilir. şablon maskesi bu, verilen adresle mantıksal olarak çarpılacak olan IP'dir. any anahtar sözcüğü "herhangi bir IP adresi" anlamında kullanılabilir.

Bağlantı noktası numaraları aşağıdaki biçimde belirtilir:

liman [,liman [,liman [.]]]

Tek bir bağlantı noktası veya bir bağlantı noktası listesi belirtmek için veya

liman-liman

Bir bağlantı noktası aralığı belirtmek için. Tek bir aralık belirtmeyi bir bağlantı noktası listesiyle de birleştirebilirsiniz, ancak aralık her zaman önce listelenmelidir.

Mevcut seçenekler :

Paket, datagramdaki ilk paket değilse tetiklenir.

Gelen paketleri eşleştirir.

Giden paketleri eşleştirir.

Poptionlar spesifikasyon

IP başlığı, içinde belirtilen seçeneklerin virgülle ayrılmış bir listesini içeriyorsa tetiklenir. spesifikasyon. Desteklenen IP seçenekleri şunlardır: ssrr (katı kaynak yolu), lsrr (gevşek kaynak yolu), rr (kayıt paketi yolu) ve ts (zaman damgası). Bireysel parametrelerin etkisi ! öneki belirtilerek değiştirilebilir.

Kurulmuş

Paket zaten kurulmuş bir TCP bağlantısının parçasıysa tetiklenir (örn. RST veya ACK bitleri ayarlanmışsa). İle bir kural yerleştirerek güvenlik duvarı performansını iyileştirebilirsiniz. kurulmuş zincirin başlangıcına yakın.

Paket, bir TCP bağlantısı kurma girişimiyse eşleşir (SYN biti ayarlanmış ve ACK biti ayarlanmamış).

Tcpflags bayraklar

TCP başlığı virgülle ayrılmış bir liste içeriyorsa tetiklenir bayraklar. Desteklenen bayraklar: fin, syn, rst, psh, ack ve urg. Bireysel bayraklar için kuralların eylemi, ! öneki belirtilerek değiştirilebilir.

icmp türleri türleri

ICMP paket türü listedeyse tetiklenir türleri. Liste, virgülle ayrılmış aralıkların ve/veya bireysel türlerin herhangi bir kombinasyonu olarak belirtilebilir. Yaygın olarak kullanılan ICMP türleri şunlardır: 0 yankı yanıtı (ping yanıtı), 3 hedefe ulaşılamaz, 5 yeniden yönlendirme, 8 yankı isteği (ping isteği) ve 11 zaman aşımı (TTL sona erme durumunu belirtmek için kullanılır; iz yolu (8)).

14.9.4.2. IPFW Kurallarını Görüntüleme

Komutun bu formunun sözdizimi şöyledir:

ipfw [-a] [-c] [-d] [-e] [-t] [-N] [-S] listesi

Bu komut formu için yedi işaret vardır:

Sayaç değerlerini göster. Bu parametre, sayaç değerlerini görüntülemenin tek yoludur.

Kuralları kompakt biçimde görüntüleyin.

Statik olanlara ek olarak dinamik kuralları göster.

-d seçeneği belirtilirse, süresi dolmuş dinamik kuralları da gösterir.

Zincirdeki her kural için son tetikleme zamanını görüntüleyin. Bu liste, kabul edilen sözdizimi ile uyumlu değil ipfw(8) .

Verilen adresleri ve hizmet adlarını çözümlemeye çalışın.

Her kuralın ait olduğu grubu görüntüleyin. Bu bayrak belirtilmezse, engellenen kurallar görüntülenmez.

14.9.4.3. IPFW Kurallarını Sıfırla

Kuralları sıfırlamak için sözdizimi:

Çekirdek tarafından ayarlanan varsayılan kural (sayı 65535) dışında zincirdeki tüm kurallar kaldırılacaktır. Kuralları sıfırlarken dikkatli olun; varsayılan olarak paketleri düşüren bir kural, zincire izin verme kuralları eklenene kadar sistemin ağ bağlantısını keser.

14.9.4.4. IPFW Paket Sayaçlarını Temizleme

Bir veya daha fazla paket sayacını temizleme sözdizimi şöyledir:

ipfw sıfır[ dizin]

Argüman olmadan kullanıldığında sayı tüm paket sayaçları silinecektir. Eğer dizin temizleme işlemi yalnızca belirtilen zincir kuralına uygulanır.

14.9.5. için komut örnekleri ipfw

Aşağıdaki komut, evil.crackers.org ana bilgisayarından nice.people.org ana bilgisayarının telnet bağlantı noktasına giden tüm paketleri reddedecektir:

# ipfw, evil.crackers.org'dan nice.people.org'a tcp'yi reddetme 23 ekle

Aşağıdaki örnek, crackers.org ağından (C sınıfı) nice.people.org bilgisayarına (herhangi bir bağlantı noktasından) giden tüm TCP trafiğini reddeder ve günlüğe kaydeder.

# ipfw, evil.crackers.org/24'ten nice.people.org'a tcp'yi reddetme günlüğü ekle

Ağınızda (C sınıfı bir ağın parçası) X oturumlarının barındırılmasını önlemek istiyorsanız, aşağıdaki komut gerekli filtrelemeyi yapacaktır:

# ipfw herhangi birinden my.org/28 6000 kurulumuna tcp'yi reddetme ekle

Muhasebe kayıtlarını görüntülemek için:

# ipfw -a liste veya kısaca # ipfw -a l

Kuralların en son ne zaman tetiklendiğini şu komutla da görüntüleyebilirsiniz:

14.9.6. Paket filtreleme ile bir güvenlik duvarı oluşturma

Güvenlik duvarını ilk kurduğunuzda, performans testinden ve sunucuyu üretime almadan önce, komutların günlüğe kaydedilen sürümlerini kullanmanız ve çekirdekte oturum açmayı etkinleştirmeniz önemle tavsiye edilir. Bu, sorunlu alanları hızlı bir şekilde belirlemenize ve fazla çaba harcamadan ayarı düzeltmenize olanak tanır. İlk kurulum tamamlandıktan sonra bile, olası saldırıları izlemenize ve güvenlik duvarı gereksinimleri değişirse güvenlik duvarı kurallarını değiştirmenize olanak sağladığından, "reddetme" için günlük kaydının kullanılması önerilir.

Yorum: Kabul komutunun günlüğe kaydedilmiş sürümünü kullanıyorsanız, oluşturabileceğinden dikkatli olun. büyük protokol verisi miktarı. Güvenlik duvarından geçen her paket günlüğe kaydedilecek, bu nedenle büyük hacimli FTP/http ve diğer trafik sistemi önemli ölçüde yavaşlatacaktır. Çekirdeğin paketi geçirmeden önce ekstra iş yapması gerektiğinden, bu tür paketlerin gecikmesini de artıracaktır. sistem günlüğü ayrıca tüm ekstra verileri diske göndereceğinden ve /var/log bölümü hızla dolabileceğinden çok daha fazla CPU zamanı kullanır.

/etc/rc.conf.local veya /etc/rc.conf içinde güvenlik duvarını etkinleştirmeniz gerekecek. İlgili kılavuz sayfası tam olarak ne yapılması gerektiğini açıklar ve hazır ayar örnekleri içerir. Hazır ayarı kullanmıyorsanız, ipfw list komutu geçerli kural kümesini sistem başlangıç ​​dosyalarına yerleştirilebileceği bir dosyaya koyabilir. Güvenlik duvarını etkinleştirmek için /etc/rc.conf.local veya /etc/rc.conf kullanmıyorsanız, arabirimleri yapılandırdıktan sonra etkinleştirildiğinden emin olmanız önemlidir.

Ardından, belirlemeniz gerekir Tam olarak ne güvenlik duvarınızı yapar! Çoğunlukla dışarıdan ağınıza ne kadar erişim istediğinize bağlıdır. Burda biraz var Genel kurallar:

Dışarıdan erişimi engelle TCP bağlantı noktaları 1024'ün altındaki sayılar ile. Finger, SMTP (mail) ve telnet gibi güvenlik açısından kritik hizmetlerin çoğu burada bulunur.

engellemek bütün gelen UDP trafiği. çok az var faydalı hizmetler UDP üzerinden çalışır, ancak bunlar genellikle bir güvenlik riski oluşturur (örn. Sun RPC ve NFS protokolleri). Bu yöntemin dezavantajları da vardır çünkü UDP bağlantıları desteklemez ve gelen paketlerin reddedilmesi giden UDP trafiğine verilen yanıtları da engeller. Bu, UDP ile çalışan harici sunucuları kullananlar için sorun olabilir. Bu hizmetlere erişimi açmak istiyorsanız, ilgili bağlantı noktalarından gelen paketlere izin vermeniz gerekecektir. Örneğin, için ntp 123 numaralı bağlantı noktasından gelen paketlere izin vermeniz gerekebilir.

6000 numaralı bağlantı noktasına giden tüm dış trafiği engelleyin. 6000 numaralı bağlantı noktası, X11 sunucularına erişmek için kullanılır ve bir güvenlik riski oluşturabilir (özellikle kullanıcıların iş istasyonlarında xhost + komutunu çalıştırma alışkanlığı varsa). X11, 6000'den başlayan bir dizi bağlantı noktası kullanabilir, üst sınır, makinede çalıştırılabilen X ekran sayısına göre belirlenir. RFC 1700 (Atanan Numaralar) tarafından tanımlanan üst sınır 6063'tür.

Dahili hizmetler tarafından kullanılan bağlantı noktalarını kontrol edin (örneğin, SQL sunucuları ve benzeri.). Genellikle yukarıdaki 1-1024 aralığına düşmedikleri için bu bağlantı noktalarını da engellemek iyi bir fikir olabilir.

Güvenlik duvarı ayarlarını kontrol etmek için başka bir kontrol listesi CERT'de http://www.cert.org/tech_tips/packet_filtering.html adresinde mevcuttur.

Yukarıda belirtildiği gibi, tüm bu kurallar sadece yönetmek . Güvenlik duvarında hangi filtreleme kurallarının kullanılacağına kendiniz karar verebilirsiniz. Yukarıdaki ipuçlarını izlemiş olsanız bile, ağınız saldırıya uğrarsa HİÇBİR sorumluluk kabul edemeyiz.

14.9.7. Genel gider ve IPFW optimizasyonu

Birçok kullanıcı, IPFW'nin sistemi ne kadar yüklediğini bilmek ister. Cevap çoğunlukla kural kümesine ve CPU hızına bağlıdır. Ethernet üzerinden çalışan çoğu uygulama için küçük bir dizi kural söz konusu olduğunda, yanıt "fazla değil"dir. Daha kesin bir cevaba ihtiyaç duyanlar için bu bölüm amaçlanmıştır.

Sonraki ölçümler 486-66'da 2.2.5-STABLE ile yapılmıştır. (IPFW, FreeBSD'nin sonraki sürümlerinde biraz değişmiş olsa da, hız kabaca aynı kalmıştır.) IPFW, her 1000'inci paketten sonra konsola yazdırılacak şekilde, ip_fw_chk tarafından geçen süreyi ölçmek için değiştirilmiştir.

İki set 1000 kural test edildi. İlki, kuralı tekrarlayarak kötü bir kurallar dizisini göstermek için yapılmıştır:

# ipfw, herhangi birinden herhangi bir 55555'e tcp'yi reddetme ekle

Bu kurallar dizisi kötüdür çünkü IPFW kurallarının çoğu kontrol edilen paketlerle eşleşmez (bağlantı noktası numarası nedeniyle). Bu kuralın 999. tekrarından sonra, allow ip from any to any rule gelir.

İkinci kural seti, her bir kuralı olabildiğince çabuk test etmek için tasarlandı:

# ipfw, 1.2.3.4'ten 1.2.3.4'e reddetme ipi ekle

Yukarıdaki kuraldaki eşleşmeyen bir kaynak IP adresi, bu kuralların çok hızlı bir şekilde doğrulanmasına neden olacaktır. Daha önce olduğu gibi, 1000. kural herhangi birinden herhangi birine ipe izin verir.

İlk durumda bir paketi kontrol etmenin maliyeti yaklaşık 2,703 ms/paket veya kural başına yaklaşık 2,7 mikrosaniyedir. Tarama hızının teorik sınırı saniyede yaklaşık 370 pakettir. 10 Mbps Ethernet bağlantısı ve yaklaşık 1500 baytlık bir paket boyutu varsayarsak, yalnızca %55,5 bant genişliği kullanımı elde ederiz.

İkinci durumda, her paket yaklaşık 1,172 ms veya kural başına yaklaşık 1,2 mikrosaniyede kontrol edildi. Tarama hızının teorik sınırı saniyede yaklaşık 853 pakettir, bu da tarama hızını mümkün kılar. tam kullanım bant genişliği 10 Mbps Ethernet.

Aşırı sayıda kontrol edilen kural ve bunların görünümü, olağan koşullara yakın bir resim oluşturmaya izin vermiyor - bu kurallar yalnızca kontrolün zamanı hakkında bilgi almak için kullanıldı. Etkili bir kurallar dizisi oluşturmak için akılda tutulması gereken birkaç yönerge aşağıda verilmiştir:

TCP trafiğinin çoğunu işlemek için oluşturulan kuralı olabildiğince erken yerleştirin. Bunun önüne allow tcp kuralları koymayın.

Sık kullanılan kuralları kümenin başına, seyrek kullanılanlardan daha yakına koyun (elbette, tüm setin hareketini değiştirmeden ). ipfw -a l komutu ile paket sayaçlarını kontrol ederek en sık kullanılan kuralları belirleyebilirsiniz.

Güvenlik duvarı, belirtilen parametrelere göre ağ trafiğini kontrol eden ve gerekirse filtreleyen bir donanım veya yazılım öğesidir. Güvenlik duvarı veya güvenlik duvarı olarak da adlandırılır.

Güvenlik duvarlarının amacı

Bireysel ağ segmentlerini veya ana bilgisayarları, bir PC'ye veya ağ protokollerine yüklenen yazılımlardaki güvenlik açıkları yoluyla olası yetkisiz girişlere karşı korumak için bir güvenlik duvarı kullanılır. Bir ağ geçidi musluğunun işi, içinden geçen trafiğin özelliklerini zaten bilinen kötü amaçlı kod kalıplarıyla karşılaştırmaktır.

Çoğu zaman, iç düğümleri koruduğu yerel ağ çevresinin kenarına bir güvenlik duvarı kurulur. Ancak saldırılar içeriden başlatılabilir, bu nedenle aynı ağdaki bir sunucuya saldırırsanız güvenlik duvarı bunu bir tehdit olarak algılamaz. Güvenlik duvarlarının yalnızca ağın kenarına değil, aynı zamanda ağ güvenliği derecesini önemli ölçüde artıran segmentleri arasına da kurulmaya başlamasının nedeni buydu.

yaratılış tarihi

Güvenlik duvarları, internetin henüz çoğu insan için günlük bir şey haline gelmediği geçen yüzyılın seksenlerinin sonundan itibaren tarihçesine başlar. İşlevleri, ağ katmanı protokolünden gelen verilere dayalı olarak trafiği analiz eden yönlendiriciler tarafından gerçekleştirildi. Daha sonra, geliştirme ile ağ teknolojileri, bu cihazlar halihazırda taşıma katmanında bulunan verileri kullanabiliyordu. Aslında yönlendirici, dünyadaki bir yazılım ve donanım güvenlik duvarının ilk uygulamasıdır.

Yazılım güvenlik duvarları çok sonra ortaya çıktı. Örneğin, Linux için bir güvenlik duvarı olan Netfilter/iptables yalnızca 1998'de oluşturuldu. Bunun nedeni, güvenlik duvarı işlevinin daha önce gerçekleştirilmesi ve çok başarılı bir şekilde gerçekleştirilmesidir. antivirüs programları, ancak 90'ların sonlarından beri virüsler daha karmaşık hale geldi ve bir güvenlik duvarının görünümü gerekli hale geldi.

Trafik filtreleme

Trafik, belirtilen kurallara - kural kümesine göre filtrelenir. Aslında bir güvenlik duvarı, trafiği bu yapılandırma paketine göre analiz eden ve işleyen bir dizi filtredir. Her filtrenin amacı vardır; ayrıca, kuralların sırası ekran performansını önemli ölçüde etkileyebilir. Örneğin, çoğu güvenlik duvarı, trafiği analiz ederken, onu sürekli olarak listedeki bilinen kalıplarla karşılaştırır - en popüler türlerin olabildiğince yükseğe yerleştirilmesi gerektiği açıktır.

Gelen trafiğin işlendiği iki ilke vardır. Birincisine göre, yasak olanlar dışında herhangi bir veri paketine izin verilir, bu nedenle yapılandırma listesinden herhangi bir kısıtlamaya girmiyorsa iletilir. İkinci ilkeye göre, yalnızca yasaklanmayan verilere izin verilir - bu yöntem en yüksek düzeyde güvenlik sağlar, ancak yöneticiye önemli ölçüde yük getirir.

Güvenlik duvarı iki işlevi yerine getirir: reddetme, veri yasağı - ve izin verme - paketin daha fazla iletilmesine izin verme. Bazı güvenlik duvarları, trafiği reddeden ancak gönderene hizmetin kullanılamadığını bildiren bir reddetme işlemi de gerçekleştirebilir; bu, reddetme işleminde geçerli değildir ve böylece ana bilgisayara daha fazla koruma sağlar.

Güvenlik duvarı türleri (Güvenlik duvarı)

Çoğu zaman, güvenlik duvarları OSI ağ modelinin desteklenen düzeyine göre sınıflandırılır. Ayırt etmek:

• Yönetilen anahtarlar;
• Paket filtreleri;
• Oturum düzeyi ağ geçitleri;
• Uygulama katmanı aracıları;
• Durum müfettişleri.

Yönetilen Anahtarlar

Genellikle güvenlik duvarları olarak sınıflandırılırlar, ancak işlevlerini veri bağlantı katmanında gerçekleştirirler, bu nedenle dış trafiği işleyemezler.

Bazı üreticiler (ZyXEL, Cisco), ürünlerine, çerçeve başlıklarında bulunan MAC adreslerine dayalı olarak verileri işleme yeteneği eklemiştir. Ancak, MAC adresi özel programlar kullanılarak kolayca değiştirilebildiğinden, bu yöntem bile her zaman beklenen sonucu getirmez. Bu bağlamda, günümüzde anahtarlar çoğunlukla diğer göstergelere, yani VLAN Kimliğine odaklanmaktadır.

VLAN'lar, verilerin harici ağ sunucularından tamamen izole edildiği ana bilgisayar gruplarını düzenlemenizi sağlar.

Kurumsal ağlarda, yönetilen anahtarlar çok etkili ve nispeten ucuz bir çözüm olabilir. Ana dezavantajları, daha yüksek seviyeli protokolleri işleyememeleridir.

paket filtreleri

Paket filtreleri, paket başlığındaki verilere dayalı olarak trafiği kontrol etmek için ağ katmanında kullanılır. Genellikle protokol başlıklarını ve daha yüksek bir taşıma düzeyini (UDP, TCP) işleyebilirler.Paket filtreleri ilk güvenlik duvarları oldu ve bugün en popüler olmaya devam ediyor. Gelen trafiğin alınması üzerine, alıcı ve gönderenin IP'si, protokol tipi, alıcı ve kaynağın portları, ağın servis başlıkları ve taşıma protokolleri gibi veriler analiz edilir.

Paket filtrelerinin güvenlik açığı, bölümlere ayrılırsa kötü amaçlı kodu atlayabilmelerinde yatmaktadır: paketler izin verilen diğer içeriğin parçasıymış gibi davranır. Bu sorunun çözümü, parçalanmış verileri engellemektir, bazı ekranlar da ana ağ düğümüne göndermeden önce kendi ağ geçitlerinde birleştirebilirler. Ancak bu durumda bile güvenlik duvarı bir DDos saldırısının kurbanı olabilir.

Paket filtreler, işletim sistemi bileşenleri, sınır yönlendiricileri veya kişisel güvenlik duvarları olarak uygulanır.

Paket filtreler, yüksek hızlı paket analizi ile karakterize edilirler, işlevlerini düşük güvenilir ağlarla sınırlarda mükemmel şekilde yerine getirirler. Ancak, yüksek düzeydeki protokolleri ayrıştıramazlar ve kolayca ağ adresi sahtekarlığı saldırılarına kurban gidebilirler.

Oturum düzeyi ağ geçitleri

Bir güvenlik duvarı kullanmak, harici sunucuların ana bilgisayarla doğrudan etkileşimini ortadan kaldırır - bu durumda, proxy adı verilen bir aracı rolünü oynar. O her kontrol eder gelen paket, daha önce kurulan bağlantıya ait olmayanları dışarıda bırakarak. Halihazırda tamamlanmış bir bağlantının paketleri gibi görünen paketler atılır.

Oturum katmanı ağ geçidi, dış ve iç ağlar arasındaki tek bağlantıdır. Böylece, oturum katmanı ağ geçidinin koruduğu ağ topolojisini belirlemek zorlaşır ve bu da DoS saldırılarına karşı güvenliğini önemli ölçüde artırır.

Bununla birlikte, bu çözümün bile önemli bir dezavantajı vardır: veri alanının içeriğini kontrol etme olanağının olmaması nedeniyle, bir bilgisayar korsanı Truva atlarını korumalı ağa görece kolay bir şekilde aktarabilir.

Uygulama Katmanı Aracıları

Oturum katmanı ağ geçitleri gibi, uygulama katmanı güvenlik duvarları da iki düğüm arasında aracılık yapar, ancak önemli bir avantaja sahiptir - iletilen verilerin bağlamını analiz etme yeteneği. Bu tür bir güvenlik duvarı, istenmeyen ve var olmayan komut dizilerini algılayabilir ve engelleyebilir (bu genellikle bir DOS saldırısı anlamına gelir) ve bazılarını tamamen yasaklayabilir.

Uygulama katmanı aracıları ayrıca iletilen bilgilerin türünü de belirler - çarpıcı bir örnek, posta hizmetleri, yürütülebilir dosyaların aktarımını yasaklar. Ek olarak, kullanıcı kimlik doğrulaması, belirli bir merkezden imzalı SSL sertifikalarının varlığını gerçekleştirebilirler.

Bu tür bir güvenlik duvarının ana dezavantajı, ciddi bir zaman yatırımı gerektiren uzun bir paket analizidir. Ayrıca, uygulama katmanı aracılarının yeni protokoller ve ağ uygulamaları için otomatik kablolama desteği yoktur.

Devlet Müfettişleri

Devlet müfettişlerinin yaratıcıları, yukarıdaki güvenlik duvarı türlerinin her birinin avantajlarını birleştirme hedefini belirlediler, böylece trafiği hem ağ hem de uygulama seviyelerinde işleyebilen bir güvenlik duvarı elde ettiler.

Durum müfettişleri kontrolü:

• tüm oturumlar - durum tablosuna göre,
• iletilen tüm veri paketleri - belirli bir kurallar tablosuna göre,
• gelişmiş aracılara dayalı tüm uygulamalar.

Status Inspector trafiği, oturum katmanı ağ geçitleriyle aynı şekilde filtrelenir, bu da onu uygulama katmanı aracılarından çok daha hızlı hale getirir. Durum denetçileri kullanışlı ve anlaşılır bir arayüze, kolay konfigürasyona ve geniş bir genişletilebilirliğe sahiptir.

Güvenlik Duvarı Uygulaması

Güvenlik duvarları (Güvenlik Duvarı), yazılım için yazılım ve donanım olabilir. İlki, bir yönlendirici veya anahtarda ayrı bir modül veya özel bir cihaz olarak yapılabilir.

Çoğu zaman, kullanıcılar yalnızca yazılım güvenlik duvarlarını seçer - çünkü bunları kullanmak için yalnızca yükleme yeterlidir. özel yazılım. Bununla birlikte, kuruluşlarda belirli bir amaç için ücretsiz bir bilgisayar bulmak genellikle zordur - dahası, genellikle oldukça yüksek olan tüm teknik gereksinimleri karşılar.

Bu nedenle büyük şirketler, "güvenlik aracı" adı verilen özel donanım ve yazılım sistemlerinin kurulumunu tercih etmektedir. Çoğu zaman Linux veya FreeBSD sistemleri temelinde çalışırlar ve belirli bir işlevi yerine getirmek için işlevsellikle sınırlıdırlar.

Bu çözüm aşağıdaki avantajlara sahiptir:

• Kolay ve basit yönetim: Yazılım ve donanım kompleksinin işleyişinin kontrolü, herhangi bir standart protokol (Telnet, SNMP) veya güvenli (SSL, SSH) ile gerçekleştirilir.
• Yüksek performans: işletim sisteminin çalışması tek bir işleve odaklanır, herhangi bir harici hizmet bunun dışında tutulur.
• Hata toleransı: yazılım ve donanım sistemleri görevlerini etkin bir şekilde yerine getirir, arıza olasılığı pratik olarak hariç tutulur.

Güvenlik duvarı kısıtlamaları

Güvenlik duvarı yorumlayamadığı verileri filtrelemez. Kullanıcı, bu tür trafiğin işlendiği yapılandırma dosyasında tanınmayan verilerle ne yapılacağını kendisi yapılandırır. Bu tür veri paketleri, içeriği gizlemek için kriptografi kullanan SRTP, IPsec, SSH, TLS protokollerinden, uygulama katmanı verilerini şifreleyen protokollerden (S/MIME ve OpenPGP) gelen trafiği içerir. Tünellemenin mekanizması güvenlik duvarı tarafından anlaşılmazsa, tünel trafiğini filtrelemek de mümkün değildir. Güvenlik duvarlarının eksikliklerinin önemli bir kısmı UTM sistemlerinde düzeltildi - Birleşik Tehdit Yönetimi, bazen NextGen Güvenlik Duvarı olarak da adlandırılırlar.

Aşağıdaki özelliklere bağlı olarak birkaç güvenlik duvarı türü vardır:

kalkanın bir düğüm ile ağ arasında veya iki veya daha fazla farklı ağ arasında bir bağlantı sağlayıp sağlamadığı;

akış kontrolünün ağ katmanında mı yoksa OSI modelinin daha yüksek katmanlarında mı gerçekleştiği;

Aktif bağlantıların durumlarının takip edilip edilmediği.

Kontrollü veri akışlarının kapsamına bağlı olarak, güvenlik duvarları aşağıdakilere ayrılır:

geleneksel ağ (veya güvenlik duvarı) ekranı - bir ağ geçidi (ağlar arasında trafiği ileten bir cihaz) üzerindeki bir program (veya işletim sisteminin ayrılmaz bir parçası) veya bağlı ağlar (dağıtılmış ağ nesneleri) arasında gelen ve giden veri akışlarını kontrol eden bir donanım çözümü );

kişisel güvenlik duvarı - kullanıcının bilgisayarına yüklenen ve yalnızca bu bilgisayarı yetkisiz erişime karşı korumak için tasarlanmış bir program.

Erişim kontrolünün gerçekleştiği OSI seviyesine bağlı olarak, güvenlik duvarları aşağıdakiler üzerinde çalışabilir:

ağ katmanı paketlerin göndericisinin ve alıcısının adreslerine, OSI modelinin taşıma katmanının bağlantı noktası numaralarına ve yönetici tarafından belirlenen statik kurallara göre filtreleme yapıldığında;

oturum seviyesi(Ayrıca şöyle bilinir durum bilgisi olan), uygulamalar arasındaki oturumlar izlendiğinde ve TCP/IP spesifikasyonlarını ihlal eden hiçbir paket iletilmediğinde, genellikle kötü amaçlı işlemlerde kullanılır - kaynak tarama, yanlış TCP/IP uygulamaları aracılığıyla bilgisayar korsanlığı, bağlantı kesintileri/yavaşlamalar, veri enjeksiyonu;

uygulama katmanı(veya uygulama katmanı), filtreleme analize dayalı olduğunda Uygulama Verileri paket içinde geçti. Bu tür ekranlar, politikalara ve ayarlara dayalı olarak istenmeyen ve potansiyel olarak zararlı bilgilerin iletimini engellemenizi sağlar.

Ağ katmanı filtreleme

Gelen ve giden paketlerin filtrelenmesi, TCP ve IP paket başlıklarının aşağıdaki alanlarında bulunan bilgilere dayanarak gerçekleştirilir: gönderenin IP adresi; alıcının IP adresi; gönderen bağlantı noktası; alıcı bağlantı noktası

Filtreleme, belirli bilgisayarlara veya bağlantı noktalarına olan bağlantıları engellemek için çeşitli şekillerde uygulanabilir. Örneğin, güvenilmeyen bilgisayar ve ağların belirli adreslerinden gelen bağlantıları engelleyebilirsiniz.

nispeten düşük maliyetli;

filtreleme kurallarının tanımlanmasında esneklik;

paketlerin geçişinde küçük bir gecikme.

Kusurlar:

parçalanmış paketleri toplamaz;

paketler arasındaki ilişkileri (bağlantıları) izlemenin bir yolu yoktur.?

Oturum düzeyinde filtreleme

Etkin bağlantıların izlenmesine bağlı olarak güvenlik duvarları şunlar olabilir:

vatansız mevcut bağlantıları (örneğin, TCP) izlemeyen, ancak veri akışını yalnızca statik kurallara göre filtreleyen (basit filtreleme);

durum bilgisi olan, durum bilgisi olan paket denetimi (SPI)(bağlama dayalı filtreleme), mevcut bağlantıların izlenmesi ve yalnızca karşılık gelen protokollerin ve uygulamaların mantığını ve algoritmalarını karşılayan paketleri atlayarak.

SPI'li güvenlik duvarları, bazı ağ protokollerindeki çeşitli DoS saldırıları ve güvenlik açıklarıyla daha etkili bir şekilde başa çıkmanıza olanak tanır. Buna ek olarak, statik kurallarla tanımlanması zor olan ve genellikle standart, durum bilgisi olmayan güvenlik duvarlarıyla uyumsuz olan, alıcılar arasında veri aktarımı için karmaşık şemalar kullanan H.323, SIP, FTP vb. protokollerin çalışmasını sağlarlar.

Bu filtrelemenin faydaları şunları içerir:

paket içerik analizi;

katman 7 protokollerinin işleyişi hakkında bilgi gerekmez.

Kusurlar:

uygulama düzeyindeki verileri analiz etmek zordur (muhtemelen ALG - Uygulama düzeyi ağ geçidi kullanılarak).

Uygulama seviyesi ağ geçidi, ALG (uygulama seviyesi ağ geçidi) - bir NAT yönlendiricisinin bir uygulama protokolünü anlayan bir bileşeni ve bu protokolün paketleri içinden geçtiğinde, onları NAT'ın arkasındaki kullanıcıların protokolü kullanabileceği şekilde değiştirir.

ALG hizmeti, Ağ Adresi Çevirisine izin verilmeyen uygulama katmanı protokolleri (SIP, H.323, FTP vb.) için destek sağlar. Bu servis iç ağın arayüzünden gelen paketlerdeki uygulama tipini belirler ve dış arayüz üzerinden bunlara uygun adres/port çevirisini gerçekleştirir.

SPI teknolojisi (Stateful Packet Inspection) veya durum bilgisi olan paket inceleme teknolojisi, günümüzde gelişmiş bir trafik kontrolü yöntemidir. Bu teknoloji, korunan her protokol veya ağ hizmeti için ayrı bir aracı veya proxy uygulaması gerektirmeden verileri uygulama düzeyine kadar kontrol etmenizi sağlar.

Tarihsel olarak, güvenlik duvarları genel amaçlı paket filtrelerden evrildi, ardından bireysel protokoller için aracı programlar ortaya çıkmaya başladı ve son olarak durum denetimli denetim teknolojisi geliştirildi. Önceki teknolojiler yalnızca birbirini tamamlıyordu, ancak bağlantılar üzerinde kapsamlı bir kontrol sağlamıyordu. Paket filtrelerin, nihai güvenlik kararını vermek için gereken bağlantı ve uygulama durumu bilgilerine erişimi yoktur. Komisyoncular, yalnızca, sistemi hacklemek için çeşitli fırsatlara yol açan uygulama düzeyindeki verileri işler. Durum bilgisi olan denetim mimarisi benzersizdir çünkü ağ geçidi makinesinden geçen tüm bilgileri değiştirmenize izin verir: paketten gelen veriler, bağlantı durumu verileri, uygulamanın ihtiyaç duyduğu veriler.

Mekanizmanın bir örneğidurum bilgiliDenetleme. Güvenlik duvarı, uygulama düzeyindeki verileri kontrol ederek FTP oturumunu izler. Bir istemci, sunucudan bir ters bağlantı (FTP PORT komutu) açmasını istediğinde, güvenlik duvarı, istekten bağlantı noktası numarasını alır. Liste, istemci ve sunucunun adreslerini, bağlantı noktası numaralarını saklar. Bir FTP veri bağlantısı kurma girişimi algıladığında, güvenlik duvarı listeyi gözden geçirir ve bağlantının gerçekten geçerli bir müşteri isteğine yanıt olarak olup olmadığını kontrol eder. Ağ listesi, yalnızca gerekli FTP bağlantı noktalarının açık olması için dinamik olarak korunur. Oturum kapatılır kapatılmaz bağlantı noktaları bloke edilerek yüksek düzeyde güvenlik sağlanır.

Pirinç. 2.12. Durum Denetimi mekanizmasının FTP protokolüyle nasıl çalıştığına dair bir örnek

Uygulama katmanı filtreleme

Paket filtrelemenin doğasında bulunan bir dizi güvenlik açığını korumak için, güvenlik duvarlarının Telnet, HTTP, FTP gibi hizmetlere bağlantıları filtrelemek için uygulamalar kullanması gerekir. Böyle bir uygulamaya proxy hizmeti denir ve proxy hizmetini çalıştıran ana bilgisayara uygulama katmanı ağ geçidi denir. Böyle bir ağ geçidi, yetkili bir istemci ile harici bir ana bilgisayar arasındaki doğrudan iletişimi ortadan kaldırır. Ağ geçidi, uygulama katmanında (uygulama katmanı - ağ modelinin en üst katmanı) gelen ve giden tüm paketleri filtreler ve bir HTTP mesajında ​​bulunan bir URL veya bir FTP mesajında ​​bulunan bir komut gibi verilerin içeriğini ayrıştırabilir. . Bazen, verilerin kendisinde bulunan bilgilere göre paketleri filtrelemek daha etkilidir. Paket filtreler ve bağlantı katmanı filtreleri, filtreleme kararları verilirken bilgi akışının içeriğini kullanmaz, ancak bu, uygulama katmanı filtreleme kullanılarak yapılabilir. Uygulama düzeyi filtreleri, veri içeriği ve kullanıcı bilgilerinin yanı sıra paket başlığındaki bilgileri kullanabilir. Yöneticiler, kullanıcının kimliğine ve/veya kullanıcının gerçekleştirmeye çalıştığı belirli göreve dayalı olarak erişimi kontrol etmek için uygulama katmanı filtrelemeyi kullanabilir. Uygulama düzeyinde filtrelerde, uygulama tarafından verilen komutlara dayalı kurallar belirleyebilirsiniz. Örneğin, bir yönetici belirli bir kullanıcının FTP kullanarak belirli bir bilgisayara dosya indirmesini engelleyebilir veya bir kullanıcının FTP yoluyla aynı bilgisayara dosya yüklemesine izin verebilir.

Bu filtrelemenin faydaları şunları içerir:

basit filtreleme kuralları;

çok sayıda kontrol düzenleme imkanı. Uygulama katmanı koruması, yazılımdaki "delikler" kullanılarak bilgisayar korsanlığı olasılığını azaltan çok sayıda ek denetime izin verir;

uygulama verilerini analiz etme yeteneği.

Kusurlar:

paket filtrelemeye kıyasla nispeten düşük performans;

proxy kendi protokolünü anlamalıdır (bilinmeyen protokollerle kullanılamaz)?;

kural olarak, karmaşık işletim sistemlerinin kontrolü altında çalışır.

Yönlendiricinin bir güvenlik duvarı rolü de oynayabileceği yönünde bir görüş var. Bununla birlikte, bu cihazlar arasında temel bir fark vardır: yönlendirici, trafiği engellemek için değil, hızlı bir şekilde yönlendirmek için tasarlanmıştır. güvenlik duvarı belirli trafiğin veri akışından çıkmasına izin veren bir güvenlik özelliğidir ve yönlendirici ağ cihazı, belirli trafiği engelleyecek şekilde yapılandırılabilir.

Ek olarak, güvenlik duvarlarının kural olarak çok sayıda ayarı vardır. Güvenlik duvarındaki trafik akışı, servisler, gönderici ve alıcının IP adresleri, servisi talep eden kullanıcıların tanımlayıcıları tarafından yapılandırılabilir. Güvenlik duvarları merkezileştirmeye izin verir güvenlik Yönetimi. Bir yönetici, bir yapılandırmada bir kuruluştaki tüm dahili sistemler için izin verilen gelen trafiği yapılandırabilir. Bu, sistemleri güncelleme ve ayarlama ihtiyacını ortadan kaldırmaz, ancak bir veya daha fazla sistemin yanlış yapılandırılma olasılığını azaltır, bu da bu sistemlerin hatalı yapılandırılmış bir hizmete karşı saldırıya uğramasına neden olabilir.

Güvenlik Duvarı Türlerini Belirleme

İki ana güvenlik duvarı türü vardır: uygulama katmanı güvenlik duvarları ve paket filtreleme. Farklı çalışma ilkelerine dayalıdırlar, ancak uygun şekilde yapılandırıldığında, her iki cihaz türü de yasaklanmış trafiği engelleme güvenlik işlevlerinin doğru performansını sağlar. Bu cihazların sağladığı koruma derecesinin, bunların nasıl uygulandığına ve yapılandırıldığına bağlı olduğunu, aşağıdaki bölümlerde yer alan malzemeden göreceksiniz.

Uygulama Katmanı Güvenlik Duvarları

Uygulama katmanı güvenlik duvarları veya proxy güvenlik duvarları, işletime dayalı yazılım paketleridir. genel amaçlı sistemler(Windows NT ve Unix gibi) veya güvenlik duvarı donanım platformunda. güvenlik duvarı bağlı olduğu ağların her biri için bir tane olmak üzere birkaç arabirime sahiptir. Bir dizi ilke kuralı, trafiğin bir ağdan diğerine nasıl gönderildiğini tanımlar. Kural, trafiğin geçmesine açıkça izin vermiyorsa, güvenlik duvarı paketleri reddeder veya atar.

Güvenlik politikası kuralları erişim modüllerinin kullanımıyla geliştirildi. Bir uygulama katmanı güvenlik duvarında, izin verilen her protokolün kendi erişim modülü olmalıdır. En iyi erişim modülleri, özellikle izin verilen protokol için oluşturulmuş olanlardır. Örneğin, FTP erişim modülü FTP protokolü için tasarlanmıştır ve geçen trafiğin bu protokole uyup uymadığını ve bu trafiğe güvenlik politikası kuralları tarafından izin verilip verilmediğini belirleyebilir.

Bir uygulama katmanı güvenlik duvarı kullanırken, tüm bağlantılar buradan geçer (bkz. Şekil 10.1). Şekilde gösterildiği gibi, bağlantı istemci sistemde başlar ve güvenlik duvarının dahili arayüzüne gider. güvenlik duvarı bir bağlantıyı kabul eder, paketin içeriğini ve kullanılan protokolü analiz eder ve eşleşip eşleşmediğini belirler. verilen trafik güvenlik politikası kuralları. Eğer öyleyse, o zaman güvenlik duvarı harici arayüzü ile sunucu sistemi arasında yeni bir bağlantı başlatır.

Uygulama katmanı güvenlik duvarları, gelenler için erişim modüllerini kullanır. bağlantılar. Modül erişim güvenlik duvarı gelen bir bağlantıyı kabul eder ve trafiği alıcıya göndermeden önce komutları işler. Böylece, güvenlik duvarı uygulamaları tarafından gerçekleştirilen saldırılara karşı sistemleri korur.

Pirinç. 10.1.

Not

Bu, güvenlik duvarındaki erişim modülünün saldırılara karşı bağışık olduğunu varsayar. Eğer yazılım yeterince dikkatli geliştirilmemişse yanlış bir ifade de olabilir.

Mimarinin ek bir avantajı bu türden diğer hizmetlerin içindeki trafiği "gizlemeyi" imkansız değilse bile çok zorlaştırmasıdır. Örneğin, NetBus ve benzeri bazı sistem kontrol programları

16.09.1999

Güvenlik duvarı türleri ve bunlarda kullanılan teknolojiler. Si vis pacem, para bellum (Barış istiyorsanız savaşa hazırlanın). Konstantin Pyanzin Açık mimarisi sayesinde internet, en uygun iletişim araçlarından biri haline geldi.

Güvenlik duvarı türleri ve bunlarda kullanılan teknolojiler.

Si vis pacem, para bellum

(Barış istiyorsan savaş için hazırlan).

Konstantin Pyanzin

Açık mimarisi nedeniyle internet, en uygun iletişim araçlarından biri haline gelmiştir. Ancak internetin açık olması birçok güvenlik sorununa yol açmıştır. Burada özdeyiş tam olarak uyuyor: "Herkes kendisi içindir, yalnızca Tanrı herkes içindir." İnternete erişimi olan herhangi bir bilgisayar potansiyel bir saldırı hedefi olarak değerlendirilmelidir. İnternetteki çok sayıda bilgisayarın ve ağ cihazının çalışmasını kontrol etmeleri gerektiğinden, sorun özellikle kuruluşlar söz konusu olduğunda şiddetlidir.

İnternete bağlanırken güvenlik, aşağıdaki özel araçlar kullanılarak sağlanır:

• güvenlik duvarları;
• ağlardaki kusurları ve potansiyel olarak tehlikeli alanları bulmak için tasarlanmış ağ tarayıcıları;
• gelen ve giden trafiği izlemenizi sağlayan algılayıcılar veya protokol analizörleri;
• ağlardaki olayları günlüğe kaydetme araçları;
• sanal özel ağlar oluşturmak ve kapalı veri alışverişi kanallarını düzenlemek için araçlar.

Güvenlik duvarları (genellikle güvenlik duvarları veya İngilizce'de güvenlik duvarları olarak adlandırılır), İnternet'e güvenli bir bağlantı sağlama araçları listesinde önemli bir yer tutar. Rehber Dokümana göre. Güvenlik duvarları" Rusya Federasyonu Başkanı altındaki Devlet Teknik Komisyonu "bir güvenlik duvarı, otomatik bir sisteme giren ve / veya çıkan bilgiler üzerinde kontrol uygulayan ve korunmasını sağlayan yerel (tek bileşenli) veya işlevsel olarak dağıtılmış bir araçtır (karmaşık). bilgileri filtreleyerek, yani bir dizi kritere göre analiz ederek ve otomatik bir sistemdeki (sistemden) dağıtımına karar vererek otomatik bir sistem. Ne yazık ki, bu tanım çok genel ve çok geniş bir yorum içeriyor.

Günlük yaşamda, güvenlik duvarları (FW'ler), genel (İnternet gibi) ve dahili bir ağ arasında kurulan koruma araçlarıdır. Güvenlik duvarı ikili bir işlev gerçekleştirir. İlk olarak, dahili ağa erişimi kısıtlamak için tasarlanmıştır. genel ağ Saldırganların bilgilere yetkisiz erişim elde edememesi veya ihlal etmemesi için filtrelerin ve kimlik doğrulama araçlarının kullanılması yoluyla normal iş ağ altyapısı. İkinci olarak ME, bir güvenlik tehdidi oluşturduklarında veya çalışanları işten uzaklaştırdıklarında (pornografik, oyun, spor sunucuları) dahili ağ kullanıcılarının genel ağ kaynaklarına erişimini kontrol etmeye ve düzenlemeye hizmet eder.

Ancak şimdi, finansal bilgileri veya ticari sırlarla ilgili bilgileri içeren sunucular gibi kritik ağ kaynaklarına kullanıcı erişimini kısıtlamak için kurumsal ağların içine güvenlik duvarları da kuruluyor. Bireysel bilgisayarlara erişimi düzenlemek için tasarlanmış ve bu bilgisayarlara kurulan kişisel güvenlik duvarları da vardır.

Güvenlik duvarları anlaşılır bir şekilde TCP/IP ağları için kullanılır ve OSI Referans Modeli (OSI) katmanına göre sınıflandırılır. Bununla birlikte, bazı koşullar nedeniyle böyle bir sınıflandırma oldukça keyfidir. İlk olarak, TCP/IP ağlarının ağ modeli yalnızca 5 katman (fiziksel, arayüz, ağ, taşıma ve uygulama) sağlarken, OSI modeli 7 katmana (fiziksel, kanal, ağ, aktarım, oturum, sunum ve uygulama) sahiptir. Bu nedenle, bu modeller arasında bire bir uyum sağlamak her zaman mümkün olmaktan uzaktır. İkincisi, üretilen güvenlik duvarlarının çoğu, aynı anda OSI hiyerarşisinin çeşitli düzeylerinde çalışma sağlar. Üçüncüsü, bazı ekranlar kesin olarak tanımlanmış bazı hiyerarşi düzeyleriyle bağdaştırılması zor olan bir modda çalışır.

Bununla birlikte, OSI ağ modelinin desteklenen düzeyi, güvenlik duvarlarının sınıflandırılmasında temel özelliktir. Aşağıdaki güvenlik duvarı türleri vardır:

• yönetilen anahtarlar (bağlantı katmanı);
• ağ filtreleri ( ağ katmanı);
• oturum seviyesi ağ geçitleri (devre seviyesinde proxy);
• uygulama katmanı aracıları;
• gelişmiş yeteneklere sahip oturum düzeyinde güvenlik duvarları olan durum bilgisi olan denetimler.

Ayrıca "uzman düzeyinde güvenlik duvarı" kavramı da vardır. Bu tür ME'ler genellikle uygulama düzeyindeki aracılara veya durum denetçilerine dayalıdır, ancak mutlaka oturum düzeyindeki ağ geçitleri ve ağ filtreleriyle tamamlanır. Uzman sınıfı güvenlik duvarları, piyasadaki hemen hemen tüm ticari güvenlik duvarlarını içerir.

Güvenlik duvarları, gelen veri paketlerini işlemek için birbirini dışlayan iki ilkeden birine güvenebilir. İlk ilke, "Açıkça yasaklanmayan şeye izin verilir" der. Yani ME, kabul edilen kısıtlamalardan birinin kapsamına girmeyen veya işleme kuralları tarafından tanımlanmayan bir paket aldıysa, daha sonra iletilir. Karşıt ilke - "Açıkça izin verilmeyen yasaktır" - çok daha fazla güvenliği garanti eder, ancak yönetici üzerinde ek bir yüke dönüşür. Bu durumda, dahili ağa başlangıçta tamamen erişilemez ve yönetici, genel ağ ile iletişim kurarken izin verilen ağ adreslerini, protokolleri, hizmetleri ve işlemleri manuel olarak ayarlar.

Birçok uzman sınıfı güvenlik duvarındaki bilgi işleme kuralları, çok düzeyli bir hiyerarşik yapıya sahip olabilir. Örneğin, aşağıdaki şemayı ayarlamanıza izin verebilirler: "A sunucusuna ftp protokolü aracılığıyla ve sunucu B'ye telnet protokolü aracılığıyla erişim dışında, yerel ağdaki tüm bilgisayarlara dışarıdan erişilemez, ancak A sunucusuna erişim ftp hizmetinin PUT işlemi reddedildi."

Güvenlik duvarları, gelen veri paketleri üzerinde şu iki işlemden birini gerçekleştirebilir: paketi geçir (izin ver) veya paketi at (reddet). Bazı ME'lerin başka bir işlemi vardır - paketin atıldığı reddetme, ancak göndericiye ICMP protokolü aracılığıyla hizmetin alıcı bilgisayarda bulunmadığı konusunda bilgi verilir. Buna karşılık, reddetme işlemi, gönderene hizmetin kullanılamadığı konusunda bilgi vermez, bu daha güvenlidir.

Aşağıda, her güvenlik duvarı türünün avantaj ve dezavantajlarına daha ayrıntılı olarak bakıyoruz.

ANAHTARLAR

Cisco, Bay Networks (Nortel), 3Com ve diğer üreticilerin orta sınıf ve üst düzey anahtarları, bilgisayar ağ kartlarının MAC adreslerini belirli anahtar bağlantı noktalarına bağlamanıza olanak tanır. Ayrıca, birçok anahtar, sanal ağlar (VLAN'lar) oluştururken gönderenin veya alıcının ağ kartının adresine göre bilgileri filtreleme olanağı sağlar. Diğer anahtarlar, VLAN'ları anahtarın kendisinin bağlantı noktası düzeyinde düzenlemenize olanak tanır. Böylece, anahtar bir güvenlik duvarı görevi görebilir. bağlantı katmanı.

Çoğu BT güvenlik uzmanının, anahtarlardan nadiren güvenlik duvarı olarak bahsettiği unutulmamalıdır. Bu tutumun ana nedeni, anahtarın filtreleme kapsamının en yakın yönlendiriciye kadar uzanması ve bu nedenle İnternet'ten erişimi kısıtlamak için uygun olmamasıdır.

Ayrıca, bir NIC adresini yanıltmak genellikle kolaydır (birçok Ethernet kartı, bağlantı katmanı adreslerini programlı olarak değiştirmenize veya eklemenize izin verir) ve bu güvenlik yaklaşımı son derece güvenilmezdir. Doğru, sanal ağların anahtar bağlantı noktası düzeyinde düzenlenmesi daha güvenilirdir, ancak yine yerel ağla sınırlıdır.

Bununla birlikte, Devlet Teknik Komisyonunun "Kılavuz Belgesinin" gerçek yorumunu izlersek, VLAN oluşturma yeteneğine sahip anahtarlar güvenlik duvarlarıdır.

AĞ FİLTRELERİ

Ağ filtreleri, OSI hiyerarşisinin ağ düzeyinde çalışır (bkz. Şekil 1). Ağ filtresi, paket başlıklarında bulunan bilgilere göre paketleri işleyen bir yönlendiricidir. Ağ filtreleri, TCP / IP ve IPX / SPX ağları için mevcuttur, ancak ikincisi yerel ağlarda kullanılır, bu yüzden onları dikkate almayacağız.

Paketleri işlerken aşağıdaki bilgileri dikkate alırlar:

• Gönderenin IP adresi;
• alıcının IP adresi;
• protokol (TCP, UDP, ICMP);
• gönderenin program bağlantı noktası numarası;
• alıcının yazılım bağlantı noktası numarası.

Yönetici, bu bilgilere dayanarak, hangi paketlerin filtreden geçirileceğine veya filtre tarafından atılacağına göre kuralları belirler. Örneğin, bir ağ filtresi, bir şirket ağındaki bilgisayarlar ile İnternet arasında aşağıdaki veri alışverişi şemasını uygulamanıza olanak tanır:

1. kurumsal ağdaki tüm bilgisayarlar harici Web ve ftp sunucuları ile iletişim kurabilir, ancak telnet, NNTP vb. ile iletişim kuramaz;
2. HTTP protokolü aracılığıyla A sunucusuna ve ftp protokolü aracılığıyla B sunucusuna erişim dışında, şirket ağındaki tüm bilgisayarlara dışarıdan erişim reddedilir; ayrıca, harici bilgisayar Z'nin dahili sunucu C'ye ve herhangi bir TCP ve UDP hizmetine erişimine izin verilir, ancak ICMP'ye erişimi yoktur.

Ağ filtrelerinin uygulanması çok kolaydır, bu nedenle her yerde bulunurlar ve donanım ve yazılım uygulamalarıyla temsil edilirler. Özellikle, Cisco yönlendiricileri, Bay Networks (Nortel'in bir bölümü) ve diğer üreticiler, bu tür yönlendiricilere filtreleme adı verilen ağ filtreleme işlevleriyle donatılmıştır. Yazılım ağı filtrelerinin listesi daha da etkileyicidir ve çoğu ücretsiz yazılım veya paylaşılan yazılım yardımcı programlarıdır. UNIX, Windows NT, NetWare, VMS, MVS dahil olmak üzere birçok ağ platformu için uygulanmaktadır.

Ne yazık ki, uygulama kolaylığı ve ağ filtrelerinin düşük fiyatının diğer tarafı, yönetiminin karmaşıklığı ve saldırılara karşı zayıf korumasıdır.

Ağ filtreleri temel olarak, yöneticinin işlenmesi gereken her benzersiz paket türü için özel bir filtre oluşturması gereken statik filtrelemeyi kullanır. Bunu bir örnekle açıklayalım. Varsayılan olarak tüm bilgisayarların İnternet'e erişiminin reddedildiğini varsayalım. Ancak Z bilgisayarının (IP adresi 123.45.67.89) telnet hizmeti sağlayan harici bir A sunucusuna (IP adresi 211.111.111.111) erişmesi gerekir. Bu durumda, yönetici iki kural belirlemelidir:

1. iç ağın ağ arayüzünden dış ağın ağ arayüzüne iletilirse ve aşağıdaki parametrelere sahipse paketi atlayın: kaynak IP adresi 123.45.67.89, hedef IP adresi 211.111.111.111, taşıma katmanı protokolü TCP, yazılım bağlantı noktası gönderen 6000'den büyük, alıcının yazılım bağlantı noktası 23;
2. Dış ağın ağ arabiriminden iç ağın ağ arabirimine iletiliyorsa ve aşağıdaki parametrelere sahipse paketi atlayın: kaynak IP adresi 211.111.111.111, hedef IP adresi 123.45.67.89, taşıma katmanı protokolü TCP, kaynak yazılım port 23, hedef yazılım portu 6000'in üzerinde.

Bu nedenle, her veri alışverişi kanalı için iki kural (filtre) ayarlamak gerekir; çok kanallı bağlantılar söz konusu olduğunda (örneğin ftp hizmeti için), kural sayısı buna göre artar. Büyük bir ağ için, kural listesi çok etkileyici bir boyuta ulaşır ve yöneticinin kolayca kafasını karıştırabilir. Doğru, ağ filtreleri genellikle IP alt ağlarına dayalı bir bilgisayar alt kümesi için kuralları birleştirmenize izin verir.

Güvenlik duvarı her paketi aldığında kurallar tablosunu sırayla taradığından, her yeni kural yönlendiricinin genel performansını düşürür.

Bazı üreticiler (özellikle FILTCFG.NLM hizmetindeki Novell), IP paket parçalarının dinamik veya bağlamsal (durum bilgili) filtrelenmesini ve filtrelenmesini sağlar, ancak özellikler açısından oturum düzeyinde ağ geçitleri olarak sınıflandırılmaları daha olasıdır. ve bu nedenle daha sonra tartışılacaktır.

Özellikle ücretsiz ağ filtreleri için bir diğer sorun, hiyerarşik bir kurallar yapısı oluşturmanın imkansızlığıdır. Örneğin, “açıkça izin verilmeyen, yasaklanmıştır” ilkesi söz konusu olduğunda, filtre önce istisnalar listesine bakar ve paket birden fazla istisnaya uymuyorsa, ardından belirtilene göre Prensip olarak, paket filtrelenir. Paket en az bir istisna ile eşleşirse, iletilir. Bununla birlikte, aşağıdaki durumu hayal edin: ağ dış erişime kapalıdır, ancak bir sunucunun ftp protokolü aracılığıyla dış dünya tarafından erişilebilir olması gerekir. Tüm bunlar, küçük ama çok hoş olmayan bir ayrıntı dışında bir ağ filtresi yardımıyla mükemmel bir şekilde organize edilebilir - ftp aracılığıyla sunucuya erişime ek kısıtlamalar getirilemez. Örneğin, bu durumda, saldırgan tarafından kullanılan Z bilgisayarı tarafından ona erişimi yasaklamak imkansızdır. Ayrıca, bir bilgisayar korsanı, sunucuya, dahili ağdaki bir bilgisayarın adresiyle eşleşen bir kaynak adrese sahip paketler gönderebilir (en tehlikeli IP paketi sızdırma türü). Ve ağ filtresi böyle bir paketi geçirecektir. Bu tür sorunlardan kaçınmak için yöneticiler, hiyerarşik filtreleme kurallarını bu şekilde uygulamak için seri bağlı iki filtre kurmaya zorlanırlar.

Ağ filtrelerinin bir dizi temel dezavantajı vardır. Her şeyden önce, gönderenin kimlik doğrulaması (veya daha doğrusu kimliği) yalnızca IP adresi temelinde gerçekleştirilir. Bununla birlikte, IP adresi sahteciliği sayesinde, bir saldırgan fazla çaba harcamadan böyle bir engeli aşabilir. Ayrıca sunucu ile çalışma hakkı olmayan bir kişi de ilke olarak yetkili bir bilgisayarın başına oturabilir. Kullanıcı adı ve parolaya dayalı kimlik doğrulama çok daha güvenilirdir, ancak ağ filtrelerinde uygulanması mümkün değildir.

Bir ağ filtresi, ağ uygulamalarının çalışmasını izleyemez ve genel olarak taşıma, oturum ve uygulama katmanı paketlerinin içeriğini kontrol etmez. Bu nedenle, bir ağ filtresinin varlığı, şirket ağını SYN-flooding saldırılarından (kenar çubuğuna bakın), paket parçalama saldırılarından ve uygulama seviyesindeki hizmetler yoluyla izinsiz girişlerden korumaz.

Ağ filtrelerinin ana (fiyat ve uygulama kolaylığının yanı sıra) avantajı, yüksek performans oturum ve uygulama katmanı güvenlik duvarlarından çok daha yüksektir. Ciddi eksikliklere rağmen, bir güvenlik duvarı, herhangi bir uzman sınıfı güvenlik duvarının ayrılmaz bir parçasıdır. Ancak, onun sadece bir tanesidir. oluşturan parçalarçünkü OSI hiyerarşisinde daha yüksek seviyeli bir ağ geçidi ile birlikte çalışır. Böyle bir şemada, bir ağ filtresi iç ve dış ağ arasındaki doğrudan iletişimi engeller (önceden tanımlanmış bilgisayarlar hariç). Halihazırda daha yüksek OSI seviyelerinde bulunan tüm ana filtreleme, ilgili seviyenin ağ geçidi veya durum denetçisi tarafından düzenlenir.

OTURUM GEÇİTLERİ

Oturum düzeyi ağ geçitleri, adından da anlaşılacağı gibi, OSI hiyerarşisinin oturum düzeyinde çalışır. Ancak, TCP/IP ağ modelinde, OSI oturum katmanına benzersiz şekilde karşılık gelen bir katman yoktur. Bu nedenle, oturum katmanı ağ geçitleri, ağ, aktarım veya uygulama katmanı ile tanımlanamayan filtreler içerir.

Oturum düzeyi filtrelerin, işlevsel özelliklerine bağlı olarak birkaç çeşidi vardır, ancak bu tür bir sınıflandırma, yetenekleri birçok açıdan örtüştüğü için oldukça keyfidir. Güvenlik duvarlarının, tüm veya çoğu türde oturum düzeyinde ağ geçitleri içerdiği unutulmamalıdır.

İLETİŞİM KANALI DEVLET KONTROLÜ İÇİN FİLTRELER

Gelişmiş yeteneklere sahip ağ filtrelerine (ağ katmanı) genellikle bir iletişim kanalının durumunu izlemek için filtreler denir.

Ağ filtrelerinde dinamik filtreleme. Ağ filtrelerindeki standart statik filtrelemeden farklı olarak, dinamik (durum bilgili) filtreleme, her iletişim kanalı için birkaç filtreleme kuralı yerine yalnızca bir kural atamanıza olanak tanır. Aynı zamanda, dinamik filtrenin kendisi, IP adresleri, taşıma katmanı protokolü, gönderen ve alıcı bağlantı noktası numaraları ve bazen paket sıra numaraları dahil olmak üzere istemci ve sunucu arasındaki veri paketi alışverişinin sırasını izler. Bu tür bir filtrelemenin ek gerektirdiği açıktır. rasgele erişim belleği. Performans açısından, dinamik filtre statik filtreden biraz daha düşüktür.

Parçalanmış Paket Filtresi. Farklı MTU'lara sahip ağlar üzerinden taşınırken, IP paketleri ayrı parçalara bölünebilir, yalnızca ilk parça her zaman yumuşak bağlantı noktaları hakkında bilgiler de dahil olmak üzere paketin tam taşıma başlığını içerir. Sıradan ağ filtreleri, birincisi dışındaki parçaları kontrol edemez ve geçmelerine izin verir (IP adresleri ve kullanılan protokol için kriterlerin karşılanması şartıyla). Bu nedenle, saldırganlar kasıtlı olarak çok sayıda parça oluşturarak ve böylece paketleri alan bilgisayarın çalışmasını engelleyerek tehlikeli hizmet reddi saldırıları düzenleyebilir. Parçalanmış paket filtresi, ilki kayıtta başarısız olursa parçaların geçmesine izin vermez.

SYN ve ACK bit kontrolü. Bir dizi filtre, TCP paketlerindeki SYN ve ACK bitlerini izlemenizi sağlar. Hepsi SYN-flooding saldırılarıyla başa çıkmak için tasarlanmıştır (kenar çubuğuna bakın), ancak Farklı yaklaşımlar. En basit filtre, bir SYN biti olan ancak bir ACK biti olmayan TCP paketlerinin genel ağdan iç ağdaki bilgisayarlara iletilmesini, ikincisi açıkça dış ağ için (veya en azından belirli bir süre için) sunucu olarak bildirilmedikçe yasaklar. harici ağdaki bilgisayar grubu). Ne yazık ki, böyle bir filtre, harici ağ için sunucu olan ancak dahili ağda bulunan makinelere yönelik SYN-flooding saldırılarına karşı yardımcı olmuyor.

Bu amaçlar için, çok aşamalı bağlantı kurma sırasına sahip özel filtreler kullanılır. Örneğin, Check Point FireWall-1 güvenlik duvarından SYNDefender Gateway filtresi aşağıdaki gibi çalışır. Diyelimki harici bilgisayar Z, ME güvenlik duvarı aracılığıyla dahili sunucu A ile bağlantı kurmaya çalışır. Bağlantı kurma prosedürü Şekil 2'de gösterilmiştir. ME, Z bilgisayarından bir SYN paketi aldığında (aşama 1), bu paket A sunucusuna iletilir (aşama 2). Yanıt olarak, sunucu A, Z bilgisayarına bir SYN/ACK paketi gönderir, ancak güvenlik duvarı buna müdahale eder (adım 3). Daha sonra, ME alınan paketi Z bilgisayarına iletir, ek olarak ME, Z bilgisayarı adına A sunucusuna bir ACK paketi gönderir (adım 4). A sunucusuna verilen hızlı yanıt nedeniyle, sunucunun yeni bağlantılar kurmak için ayrılan belleği hiçbir zaman dolmayacak ve SYN-flooding saldırısı çalışmayacaktır.

Bundan sonra ne olacağı, Z bilgisayarının gerçekten A sunucusuna bir bağlantı başlatıp başlatmadığına bağlıdır. Eğer öyleyse, Z bilgisayarı, ME'den geçen A sunucusuna bir ACK paketi gönderir (adım 5a). Sunucu A, ikinci ACK paketini yok sayacaktır. Daha sonra güvenlik duvarı paketleri A ve Z bilgisayarları arasında serbestçe iletir. Güvenlik duvarı bir ACK paketi almazsa veya bağlantı kurma zaman aşımı sona ererse, A sunucusuna bağlantıyı iptal eden bir RST paketi gönderir (adım 5b).

Aynı Check Point FireWall-1'deki SYNDefender Relay filtresi biraz farklı çalışır. A sunucusuna bir SYN paketi göndermeden önce, güvenlik duvarı önce Z bilgisayarı ile bir bağlantı kurar. Bu durum için bağlantı kurma prosedürü Şekil 3'te gösterilmiştir. Güvenlik duvarı, yalnızca Z bilgisayarından bir ACK paketi aldıktan sonra, A sunucusuyla bir bağlantı başlatır. (Aşama 3). Açıkçası, bağlantılar kurulduktan sonra, güvenlik duvarı dinamik mod A ve Z bilgisayarları arasında iletilen tüm TCP paketlerinde Sıra numarası (sıra numarası) ve Acknowledgement numarası (onay numarası) alanlarının değerlerini değiştirerek performansı düşürür.

ADRESLERİ VEYA AĞ PROTOKOLLERİNİ AKTARAN AĞ GEÇİTLERİ

Belki de en ünlü oturum düzeyi ağ geçidi, IP adresi çevirisi (Ağ Adresi Çevirisi, NAT) içeren bir ağ geçidi olarak kabul edilebilir. Bir NAT ağ geçidi kullanırken, dahili ağda genel ağda görünmeyen (hatta kayıtlı olmayan) adresler bulunur. Dahili bir bilgisayar dışarıya eriştiğinde, ağ geçidi isteği yakalar ve harici (kayıtlı) IP adresini kullanarak müşteri adına hareket eder. Ağ geçidi, alınan yanıtı dahili bilgisayara (bilgisayarın dahili adresini değiştirdikten sonra) bir aktarım bağlantısı görevi görerek gönderir. Bu, bir taşla iki kuş vurmanıza olanak tanır: kayıtlı IP adreslerinin sayısını büyük ölçüde azaltın ve bilgi akışını kontrol edin, yani bireysel bilgisayarlara İnternet erişimi atayın veya reddedin.

NAT ağ geçitleri dört moddan birinde çalışabilir: dinamik, statik, dinamik IP adresi örneklemeli statik ve birleşik.

Bazen Bağlantı Noktası Adres Çevirisi (PAT) olarak adlandırılan dinamik modda, ağ geçidinin tek bir harici IP adresi vardır. Dahili ağın istemcilerinden genel ağa (İnternet) yapılan tüm çağrılar bu harici adres kullanılarak yapılırken, ağ geçidi yalnızca harici arayüzün bağlantı noktalarında çalışır, yani bir müşteri iletişim kurduğunda, ağ geçidi benzersiz bir program bağlantı noktası tahsis eder. o taşıma protokolü(UDP, TCP) harici IP adresi için. Bir NAT ağ geçidi, 64.000 adede kadar TCP bağlantı noktası, 64.000 UDP bağlantı noktası ve 6.4000 ICMP bağlantı noktasından oluşan havuzlara sahip olabilir (ICMP, bağlantı noktası terimini kullanmaz, ancak ağ geçidi geliştiricileri bunu paket çevirisi ilkesini vurgulamak için kullanır), ancak bazı uygulamalarda havuzların kapasitesi bu değerlerden çok daha az olabilir, örneğin Novell BorderManager'da her havuz 5000 bağlantı noktası içerir.

Dinamik mod, bilgisayarları yalnızca İnternet kaynaklarının istemcileri olarak işlev gören ağlar için tasarlanmıştır.

Statik modda, ağ geçidinin harici arabirimine, dahili ağdaki bilgisayar sayısı kadar kayıtlı IP adresi atanır. Dahili ağdaki her bilgisayara benzersiz bir harici ağ geçidi IP adresi atanır. Dahili ve genel ağlar arasında iletişim kurarken, ağ geçidi dahili IP adreslerini harici IP adreslerine çevirir ve bunun tersi de geçerlidir. Dahili ağdaki bilgisayarlar İnternet sunucuları gibi davranıyorsa, statik mod gereklidir.

Dinamik IP adresi seçimine sahip statik mod, statik moda benzer, ancak dahili bilgisayarlara önceden tanımlanmış (statik olarak) harici IP adresleri atanmaz, bunlar dinamik olarak harici IP adresleri havuzundan ayrılır.

Kombine mod, yukarıdaki modlardan birkaçının aynı anda kullanılması anlamına gelir ve hem istemcilerin hem de İnternet sunucularının bulunduğu ağlar için tasarlanmıştır.

Oturum katmanı ağ geçitlerinin (aşağıya bakın) genel dezavantajlarına ek olarak, NAT ağ geçitlerinin kendine özgü kusurları vardır: ağ uygulamaları, uygulama katmanı paketleri IP adresleri içeren. Bunun tek istisnası, çoğu NAT ağ geçidinin uygulama katmanı paketleri içindeki IP adreslerini izleyebildiği (ve değiştirebildiği) ftp hizmetidir.

NAT ağ geçitlerinin ikinci dezavantajı, kullanıcı düzeyinde kimlik doğrulamayı desteklememeleri, yalnızca IP adresi düzeyinde kimlik doğrulamayı desteklemeleridir, bu da onları IP yanıltma saldırılarına karşı savunmasız hale getirir. Ek olarak, NAT ağ geçitleri, SYN taşması gibi hizmet reddi saldırılarını önleyemez, bu nedenle bunları yalnızca diğer tür oturum ve/veya uygulama katmanı ağ geçitleriyle birlikte kullanmak mantıklıdır. NAT ağ geçitlerine ek olarak, IPX / SPX ağlarında çalışan bilgisayarlar için İnternet erişimini düzenlemek üzere tasarlanmış IPX / IP ağ geçitleri iyi bilinmektedir. Bir iç ağ istemcisi bir İnternet sunucusu istediğinde, ağ geçidi isteği durdurur ve IPX paketi yerine uygun bir IP paketi üretir. Sunucudan bir yanıt alındığında, ağ geçidi ters dönüşümü yapar. Dahili ağ, TCP / IP'ye kıyasla temelde farklı bir yazılım ortamına sahip olduğundan, belki de bu en güvenilir ağ geçidi türüdür. Henüz böyle bir altyapının tek bir hack vakası olmamıştır. Ayrıca, NAT ağ geçitlerinin aksine, IPX/IP ağ geçitlerinin kimlik doğrulaması yalnızca düzeyde yapılmaz. ağ adresleri değil, aynı zamanda NDS veritabanı bilgilerini (NetWare 4.x ve 5.x için) veya BINDERY'yi (NetWare 3.x için) kullanan kullanıcı düzeyinde. Doğru, bu tür kimlik doğrulaması, harici istemci TCP/IP tabanlı NetWare kullanmıyorsa, yalnızca dahili ağdan İnternet'e erişirken mümkündür.

OTURUM KATMANINDA ARACILAR

Oturum düzeyi aracılar, iç ve dış ağdaki bilgisayarlar arasında bir TCP bağlantısının kurulmasına izin vermeden önce, istemciyi minimum düzeyde kaydeder. Bu müşterinin hangi tarafta (dış veya iç) olduğu önemli değildir. Kayıt sonucu pozitifse, harici ve dahili bilgisayarlar arasında ağlar arasında paketlerin iletildiği sanal bir kanal düzenlenir. O zamandan beri, aracı veri alışverişi sürecine müdahale etmez ve bilgileri filtrelemez. Ancak böyle bir şema genelleştirilmiştir, uygulama düzeyinde ağ geçitlerinin belirli uygulamalarının kendi özellikleri olabilir. En bilinen ve popüler oturum katmanı aracısı, SOCKS 5 sunucusu gibi davranan, aynı zamanda kullanıcı adı ve parolaya dayalı tam kimlik doğrulaması yapan SOCKS 5 aracısıdır. Kimlik doğrulama, parolanın şifrelenmiş biçimde iletilmesi için düzenlenebilir. Kimlik doğrulama sonucu pozitifse, SOCKS proxy istemcinin sunucuyla bağlantı kurmasına izin verir ve artık bilgi alışverişine müdahale etmez. Ancak SOCKS 5 hizmeti, istemci ile aracı arasında SSL protokolünü kullanarak şifreli biçimde veri aktarımı kurmanıza olanak tanır. Yukarıdaki özellikler dikkate alındığında, bir SOCKS 5 aracısının kullanımının, özellikle sunucunun dahili ağda ve istemcinin genel ağda olduğu bir durumla ilgili olduğu açıktır. Ancak, SOCKS 5 aracısı erişimi kullanıcı adları ve parolalar düzeyinde kontrol etmenize izin verdiğinden, dahili istemcilerin İnternet kaynaklarına eriştiği durum göz ardı edilmemelidir. SOCKS aracılarının dezavantajı, her müşteri sitesine özel yazılım - SOCKS'nin istemci kısmı - yükleme ihtiyacıdır.

OTURUM GEÇİTLERİNİN ORTAK DEZAVANTAJLARI

Oturum düzeyinde ağ geçitlerinin ana dezavantajı, uygulama düzeyinde bilgi aktarımını düzenlemenin ve sonuç olarak yanlış veya potansiyel olarak tehlikeli kullanıcı eylemlerini izlemenin imkansızlığıdır. Örneğin, ftp hizmetinin PUT komutunun yürütülmesini kontrol etmenize veya ActiveX uygulamalarını yandan filtrelemenize izin vermezler. harici makineler böyle bir işlem dahili istemciler için geçerliyse.

Oturum düzeyindeki ağ geçitlerini kullanmak, iç ağdaki bir dizi tehlikeli saldırıyı önleyebilirken, hizmet reddi saldırıları gibi bazı saldırı türleri bu ağ geçitlerini atlayarak gerçekleştirilebilir. IPX/IP ağ geçidi ve SOCKS 5 proxy dışında, diğer tüm filtreler, kaynak/hedef IP adreslerine dayalı son derece güvenilmez bir tanımlama ve kimlik doğrulama sistemine sahiptir. Buna karşılık, IPX / IP ve SOCKS 5 ağ geçitlerinin kullanımı, istemci makinelere özel yazılımların yüklenmesini gerektirdiğinden kendi sorunlarını da beraberinde getirir.

IPX/IP ve SOCKS 5 ağ geçitleri dışında, diğer oturum katmanı ağ geçitleri genellikle ticari olarak mevcut değildir. Ancak, uygulama katmanı proxy'leri veya durum denetçileri OSI hiyerarşisinin alt düzeylerinde veri iletimini izleyemediğinden, tüm uzman sınıfı güvenlik duvarlarının çok çeşitli oturum düzeyinde ağ geçitleriyle (ağ filtrelerinin yanı sıra) donatılması gerekir. .

BAŞVURU ARACILARI

Genellikle proxy sunucuları olarak anılan uygulama düzeyindeki proxy'ler, OSI hiyerarşisinin uygulama düzeyindeki kontrol ve filtre bilgileri (bkz. Şekil 4). Aracılar, desteklenen uygulama katmanı protokolleri ile ayırt edilir: ne kadar çok varsa, ürün o kadar pahalıdır. En sık desteklenen hizmetler Web (HTTP), ftp, SMTP, POP3/IMAP, NNTP, Gopher, telnet, DNS, RealAudio/RealVideo'dur. Bir iç ağ istemcisi, örneğin bir Web sunucusuna eriştiğinde, isteği Web proxy'sine gider (veya onun tarafından yakalanır). İkincisi, müşteri adına sunucuyla bir bağlantı kurar ve alınan bilgileri müşteriye aktarır. Harici bir sunucu için proxy, bir istemci görevi görür ve dahili bir istemci için bir Web sunucusu görevi görür. Benzer şekilde, bir aracı, harici bir istemci ve dahili bir sunucu durumunda çalışabilir.

Uygulama katmanı aracıları şeffaf (şeffaf) ve opak olarak ikiye ayrılır. Şeffaf aracılar, istemciler ve sunucular tarafından görünmez: istemci sunucuya en yaygın şekilde erişir ve aracı, isteği yakalar ve müşteri adına hareket eder. Web hizmeti için şeffaf aracılar özellikle popülerdir, üretkenliği artırmak ve üzerindeki yükü azaltmak için genellikle İnternet sağlayıcıları tarafından kurulurlar. küresel kanallar bilgileri önbelleğe alma yoluyla iletişim.

Opak aracılar söz konusu olduğunda, istemci sistemi açıkça aracıyla çalışacak şekilde yapılandırılmalıdır (örneğin, opak bir Web aracısı kullanılırken, tarayıcı yapılandırma seçenekleri aracının IP adresini ve ona atanan TCP bağlantı noktasını belirtmelidir) . Opak aracılar, özellikle parola şifrelemeyi desteklemeyen hizmetler için bir dahili ağa girerken veya çıkarken güçlü kimlik doğrulamanın gerekli olduğu durumlarda iyidir. Tipik olarak bunlar, Tek Kullanımlık Parola (OTP) sistemini kullanan telnet ve ftp hizmetleridir (OTP sistemleri hakkında daha fazla bilgi için, LAN No. 5, 1999'daki "Ağ İşletim Sisteminin Uzaktan Yönetimi" makalesine bakın).

Şekil 5, telnet kullanımının tipik bir örneğini göstermektedir. Burada, OTP sistemini kullanan istemci, fw.anywhere.com opak proxy'sinin arkasındaki tn.anywhere.com sunucusuyla bir bağlantı kurar. Kullanıcı, çağrının kendisine aktarıldığı yanıt olarak (673 jar564) önce adını girerek aracıya kaydolmalıdır. Kullanıcı, OTP hesaplayıcıyı kullanarak Parola alanına girdiği parolayı hesaplar. Ardından, bağlantı kuracağı sunucunun adresini bildirir. tn.anywhere.com sunucusuna kayıt olmanın güvenlik duvarı ve verilen sunucu kullanıcı hesaplarının ortak bir veritabanını paylaşın.

Opak aracıların yaygın bir dezavantajı, istemci yazılımı ve kullanıcıları için "opaklıkları"dır. Tüm istemci programları, örneğin şeffaf olmayan aracılar SMTP, POP3, IMAP4, DNS, ftp için yapılandırılamaz.

Oturum düzeyindeki ağ geçitlerinden farklı olarak, uygulama düzeyindeki aracılar yalnızca hizmetlerini destekledikleri uygulama düzeyindeki veri paketlerini işler ve bilinmeyen (aracıya) veya yapılandırılmamış protokol paketleri dolaşımdan kaldırılır. Örneğin, proxy yalnızca ftp hizmeti sunacak şekilde yapılandırılmışsa, telnet veya HTTP paketlerinin geçmesine izin vermez.

Uygulama katmanı aracısı, her veri paketinin içeriğini kontrol eder. Ayrıca aracı, paketleri belirli ağ hizmeti işlemleri düzeyinde filtreler. Örneğin, AXENT Technologies'in Raptor Güvenlik Duvarı, PUT komutunu içeren ftp paketlerini filtrelemenizi sağlar.

Uygulama katmanı aracılarının, işletim sistemi veya dizin hizmetleri (etki alanları) NDS, Windows NT, NIS/NIS+ veya RADIUS, TACACS, vb. sistemlerinden biriyle güçlü kimlik doğrulamayı desteklemesi gerekir.

Uygulama düzeyindeki aracıların bu yeteneklerinin dezavantajı, düşük performanslarıdır (bilgi önbelleğe almanın sağlanmadığı ağ hizmetleri için). Ek olarak, her TCP bağlantısı için aracı, biri sunucuyla, diğeri istemciyle olmak üzere iki iletişim kanalı oluşturmaya zorlanır. Ancak, İnternet bağlantılarının darboğazının esas olarak yavaş küresel bağlantılar olduğu unutulmamalıdır, bu nedenle uygulama düzeyindeki aracıların düşük performansı çok şartlı olarak söylenebilir.

Web aracıları, uygulama düzeyindeki aracılar arasında özel bir yere sahiptir çünkü trafik kontrolüyle birlikte bilgileri önbelleğe alırlar. İşlevsellikleri nedeniyle, Web aracıları bağımsız bir yazılım geliştirme dalı haline geldi, bu nedenle bu hizmet üzerinde aşağıda daha ayrıntılı olarak duracağız.

ARACI WEB

Web hizmeti, küresel olarak ana hizmettir. İnternet ağları. Ancak, yavaş iletişim kanalları, Web sayfalarında aktif grafik ve multimedya kullanımı, İnternet'teki kullanıcı verimliliğinin düşmesine neden olmaktadır. Bu arada, kullanıcılar çok sık olarak aynı İnternet kaynaklarına erişirler. Bu nedenle, erişim hızını artırmak için tüm popüler tarayıcılarönbellek bilgileri. Bununla birlikte, kurumsal bir ortamda, özellikle aynı kuruluşta çalışıyorlarsa, aynı kaynaklara genellikle tamamen farklı kullanıcılar eriştiğinden, makine başına önbelleğe alma tüm sorunları çözmez. açık ki mümkün olan en iyi şekilde Küresel bağlantıların zayıf performansıyla mücadele etmek, dahili ağın ucuna önbelleğe alan bir Web aracısı kurmaktır. Ek olarak, bu yaklaşım, İnternet iletişim kanallarındaki yükü azaltmanıza ve böylece paradan tasarruf etmenize veya ek ağ hizmetleri çalıştırmanıza olanak tanır.

Web önbelleğe alma aracıları, kullanıcı kimlik doğrulaması veya bilgi filtrelemenin gerekli olmadığı durumlarda bile kurulur, ancak yalnızca performans amaçları içindir.

Web aracılarında dört tür bilgi önbelleğe alma vardır:

• pasif;
• aktif;
• olumsuz;
• hiyerarşik.

En güçlü modern Web aracıları, dört tür önbelleğe almayı destekleyebilir. Pasif önbelleğe almada (temel veya isteğe bağlı önbellek olarak da adlandırılır), istemci proxy'ye bir Web tarayıcısı aracılığıyla erişir ve proxy, varsa önbelleğinden istenen bilgileri döndürür. Aksi takdirde, Web proxy'si Web sunucusuyla bağlantı kurar.

Aktif önbelleğe alma, aracının biraz zekaya sahip olmasını gerektirir. Önbelleğe alma, istemciden açık bir istek alınmadan önce önceden gerçekleştirilir (ileri okuma). Örneğin, tarayıcı istekleri web sayfası A içeren resimler veya diğer öğeler. Aracı, müşterinin bu bileşenleri takas etmesi için açık isteklerini beklemeyecek ve tabiri caizse önceden kendi başına almaya çalışacaktır. Aktif önbelleğe alma gerçekleşir arka plan, bu da üretkenliği artırır.

Negatif önbelleğe alma, geri dönen önbelleğe alma anlamına gelir. Tarayıcı, aracının alamayacağı bir sayfa talep ettiyse (bağlantı yok veya sayfa sunucuda olmadığı için), başarısızlık önbelleğe alınır. Tekrar iletişime geçtiğinizde, müşteri hemen olumsuz bir cevap alacaktır. Ancak aracı, istenen sayfayı arka planda almaya çalışmaya devam edecektir. Web aracılarında negatif önbelleğe alma, Harvest/Squid teknolojisine uygun olarak geliştirilen ikinci nesil aracılar ile yenidir. Eski CERN teknolojisi altında oluşturulan aracılar, hataları önbelleğe almaz ve her seferinde Web sunucusuyla bağlantı kurmaya çalışır.

Hiyerarşik önbelleğe alma, Harvest/Squid teknolojisinin bir başka başarısıdır. Buna göre aracılar, eşit veya ikincil bağlantılarla karmaşık hiyerarşik yapılar oluşturabilirler. Örneğin, bir kuruluşun internette eşit performans gösteren iki kanalı vardır. Her kanal için bir aracı kurulur ve aralarında eşit ilişkiler tanımlanır. Bu durumda önbellekte istenen bilgilerin olmaması durumunda aracı İnternet sunucusuna değil, ikinci aracıya dönecektir. Önbellekteki ikinci aracı varsa gerekli bilgi, daha sonra ilk aracıya ve ardından müşteriye aktarılacaktır. Aksi takdirde, ilk aracı Web sunucusunun kendisine başvurmak zorunda kalacaktır. Bir ebeveyn-alt ilişkisinde, alt vekil Web sunucusunun kendisi ile asla iletişim kurmaz, yalnızca ebeveyn aracılığıyla iletişim kurar. Bu tür şemalar, küresel iletişim hatlarındaki yükü önemli ölçüde azaltır ve bağlantının hata toleransını artırır. Hiyerarşik önbelleğe alma, iki standart önbelleğe alma protokolünden birine göre düzenlenir: ICP (Internet Caching Protocol) veya CARP (Cache Array Routing Protocol). CARP protokolü, ICP'den sonra geliştirilmiş olmasına rağmen, aracılar arasında gereksiz bilgi önbelleğini ortadan kaldırdığı için daha yaygın hale geldi.

Şekil 6. Doğrudan Web önbelleğe alma.

Önbelleğe alma türlerine (pasif, aktif, negatif ve hiyerarşik) ek olarak, aracılar önbelleğe alma modlarında da farklılık gösterir: doğrudan (ileri) ve geri (geri). Doğrudan önbelleğe alma, hepimizin alışkın olduğu şeydir. Yani, iç ağın girişine bir aracı kurulur ve iç ağdaki istemciler için İnternet sunucularından gelen bilgileri önbelleğe alır (bkz. Şekil 6). Şeffaf bir aracı kullanırken, istemciler bir aracının varlığından haberdar bile olmayabilirken, opak bir aracı olması durumunda, tarayıcı seçeneklerinde onun koordinatlarını belirtmeniz gerekir.

Şekil 7. Web ters önbelleğe alma.

Ters önbelleğe alma, kuruluşun dahili ağında bulunan sunuculardan bilgi talep eden harici istemcilere hizmet verilmesini içerir. Diğer bir deyişle, ters önbelleğe alma proxy'sine bilgileri indirdiği bir veya daha fazla Web sunucusu atanır. Bu proxy, sağlayıcı ile iletişim kanalı üzerindeki yükü azaltmak ve Web sunucusuna erişen harici istemcilerin performansını artırmak için en iyi şekilde ISP'ye kurulur (bkz. Şekil 7). Ters önbelleğe alma aracısı, dış kullanıcılara şeffaf olmalıdır. Ancak, bu yalnızca bir sunucunun ters önbelleğe alınmasıyla mümkündür (aracıda HTTP hizmetinden sorumlu olan TCP bağlantı noktası 80'e yalnızca bir sunucu bağlanabilir - diğer sunuculara başka bağlantı noktaları atanmalıdır). Bununla birlikte, çok karmaşık olmayan manipülasyonların yardımıyla, bir aracının birkaç sunucuyu aynı anda önbelleğe alma işi, müşteriler için neredeyse şeffaf hale getirilebilir.

Bazı aracılar, bilgileri çevrimdışı olarak önbelleğe almanıza, yani çevrimdışı bir tarayıcının işlevlerini etkin bir şekilde gerçekleştirmenize izin verir.

Bilgi önbelleğe alma, elbette Web proxy'lerinin çok çekici bir özelliğidir, ancak uygulama proxy'lerine özgü başka özellikler de vardır. Web aracıları, güçlü kullanıcı kimlik doğrulaması, filtreleme ve Java uygulamaları ve ActiveX, virüs taraması yapın, belirli URL'lere kullanıcı erişimini düzenleyin. Ayrıca, Web aracıları için, özel programlar, pornografik, ırkçı, oyun, eğlence sunucularının listelerini içeren. Bu tür programların yardımıyla yöneticinin bu tür sitelere erişimi düzenlemesi kolaydır.

DEVLET MÜFETTİŞLERİ

Durum denetimli güvenlik duvarları veya durum denetimli güvenlik duvarları, temelde gelişmiş oturum katmanı ağ geçitleridir. "Durum denetçisi" terimi, Check Point tarafından teknolojisi ve kullanılan diğer güvenlik duvarları arasındaki farkı vurgulamak için tanıtıldı. Durum denetçileri, oturum düzeyinde çalışır, ancak aynı zamanda uygulama düzeyindeki protokolleri "anlar" (bkz. Şekil 8). Yani, bir veri paketi alındığında, bu paketin içeriği, karşılık gelen uygulama katmanı protokolüne özgü belirli şablonlarla karşılaştırılır. Ve karşılaştırmanın sonucuna bağlı olarak, paket ya iletilir ya da atılır. Devlet müfettişi ne kadar güçlüyse, o kadar daha büyük listeşablonları var. Paket kalıplardan herhangi biriyle eşleşmezse, atılacaktır.

Her bağlantı için iki TCP sanal devresi (biri istemci için, diğeri sunucu için) açan bir uygulama katmanı aracısının aksine, durum denetçisi istemci ile sunucu arasında doğrudan bir bağlantıyı engellemez. Bu nedenle, durum denetçisinin performansı, uygulama katmanı aracılarının performansından çok daha yüksektir ve ağ filtrelerinin performansına yaklaşır. Doğru, uygulama katmanı aracı geliştiricileri, trafik doğrudan uygulama katmanında kontrol edildiğinden, ürünlerinde daha yüksek bir güvenlik düzeyine işaret ediyor. Ancak çoğu uzman, bu tür ifadelerin tartışmalı olduğunu veya her durumda açık olmadığını düşünüyor. Örneğin, güvenlik duvarı pazarının %40'ına sahip olduğu ve güvenlik de dahil olmak üzere en prestijli ödüllerin çoğunu kazandığı bir devlet müfettişi olan Check Point FireWall-1 güvenlik duvarını yetersiz güvenilir olarak adlandırmak için kim dilini çevirir?

Kendi paylarına, devlet müfettişlerinin geliştiricileri, sistemlerinin çok daha genişletilebilir olduğuna işaret ediyor. Yeni bir hizmet veya yeni bir uygulama katmanı protokolü göründüğünde, onu desteklemek için birkaç şablon eklemek yeterlidir. Aynı zamanda, uygulama katmanı aracısı geliştiricileri, her yeni protokol için sıfırdan bir modül yazmaya zorlanır. Bu doğrudur, ancak uygulama katmanı aracısına bir modül eklemek, durum denetçisine şablon eklemek kadar kolaydır. Ek olarak, devlet müfettişleri ve uygulama düzeyindeki aracıların üreticileri, ürünün yeni bir sürümünü yayınlayarak sorunu radikal bir şekilde çözmeye alışkındır.

Durum denetçilerinin (performans endişelerinin yanı sıra) uygulama katmanı proxy'lerine göre tek avantajı, durum denetçisinin istemciler için tamamen şeffaf olması ve istemci yazılımının ek yapılandırmasını gerektirmemesidir. Ancak buna karşılık, klasik durum denetçileri Web önbelleği için uygun değildir. Bu nedenle, güvenlik duvarı bir durum denetçisine dayalı olsa bile, Web önbelleğe alma için bir uygulama katmanı Web proxy'si içerir.

Aslında, hangisinin daha iyi olduğu tartışması - durum denetçisi mi yoksa uygulama katmanı aracısı mı - temelsiz görünüyor. Çoğu görev için yaklaşık olarak eşdeğerdirler. İnternete yavaş bağlantılar üzerinden bağlanma söz konusu olduğunda, durum denetçilerinin performans avantajı gerçekten önemli değildir.

Uzman sınıfı güvenlik duvarları, ya durum denetçilerinin teknolojisine ya da uygulama düzeyindeki aracıların teknolojisine dayanır, ancak mutlaka ağ filtreleri ve oturum düzeyindeki ağ geçitleriyle desteklenir. Üretimdeki güvenlik duvarlarının büyük çoğunluğu, uygulama katmanı proxy'leridir, ancak daha önce belirtildiği gibi, durum denetçileri (veya daha doğrusu, bir denetçi, Check Point'in Güvenlik Duvarı-1'i) pazara hakimdir.

DİĞER GÜVENLİK DUVARI ÖZELLİKLERİ

Temel işlevlerini yerine getirmenin yanı sıra, uzman sınıfı güvenlik duvarları, olayları günlüğe kaydetmek ve yöneticileri bilgilendirmek için iyi düşünülmüş bir sisteme sahiptir. ME, belirli bir kaynağa kimin, ne zaman, hangi makineden eriştiği veya reddedildiği dahil tüm kullanıcı isteklerini ekrandan geçen kaynaklara kaydetmenizi sağlar. Günlüğe kaydetme, dahili ağdaki saldırı durumlarını belirlemenize, bir bilgisayar korsanının yerini tespit etmenize ve ondan gelen trafiği önceden engellemenize olanak tanır.

Çoğu ticari uzman düzeyinde güvenlik duvarının ayrılmaz bir parçası, genel bir ağ üzerinden iletildiğinde bilgileri şifrelemenize izin veren sanal özel ağ araçlarıdır. Ayrıca, donanım yönlendiricilerine dayalı bazı ağ filtrelerinde bile bu tür araçlar bulunur.

Güvenlik duvarlarının büyük bir kısmı destek araçlarıyla birlikte sağlanır. uzak kullanıcılar, bu tür kullanıcıların kimliğini doğrulamanın güçlü yolları dahil.

ÇÖZÜM

Güvenlik duvarları, kötü niyetli saldırılarla başa çıkmak için her derde deva değildir. Yerel bir ağ içindeki saldırıları önleyemezler, ancak diğer güvenlik önlemleriyle birlikte ağları dışarıdan izinsiz girişlere karşı korumada çok önemli bir rol oynarlar. Güvenlik duvarlarının teknolojisini anlamak, yalnızca bir koruma sistemi satın alırken doğru seçimi yapmanıza değil, aynı zamanda güvenlik duvarını doğru şekilde yapılandırmanıza da olanak tanır. Düşman geçmemeli!

Konstantin Pyanzin bir LAN köşe yazarıdır. Kendisiyle şu adresten iletişime geçilebilir: [e-posta korumalı]

1990'ların ortalarında, SYN sel saldırısı en yaygın olanlardan biriydi. TCP protokol motorunun eksikliklerinden yararlanır. SYN-flooding saldırısı, bilgisayarın kilitlenmesine neden olan yani bilgisayarın çalışmaya devam etmesine ancak ağ üzerinden erişilemez hale gelmesine neden olan Hizmet Reddi (DoS) saldırıları kategorisine girer.

İstemci bilgisayar bir sunucuyla TCP bağlantısı kurduğunda, SYN biti ayarlanmış bir TCP paketi gönderir. Yanıt olarak, sunucu SYN/ACK bitleriyle bir TCP paketi gönderir. Buna karşılık, istemci bir ACK biti ile bir TCP paketi gönderir. Bundan sonra, istemci ile sunucu arasındaki bağlantı kurulmuş kabul edilir. Bu bağlantı şemasına üç aşamalı denir, çünkü üç paketin değiş tokuşunu içerir.

Sunucu bir SYN paketi aldığında, ek bellek yeni bir bağlantı için. En işletim sistemleri her ağ hizmetinin yeni oluşturulan TCP bağlantılarının sayısında bir sınırı (genellikle on) vardır (bazı sistemlerde bu sınır yoktur, ancak bu çok daha iyi değildir, çünkü yokluğunda Boş hafıza yalnızca belirli bir hizmet değil, tüm bilgisayar kilitleniyor). Sunucu bir SYN/ACK paketi veya bir RST paketi (aşağıya bakın) alana veya yeni oluşturulan bağlantı zaman aşımına uğrayana (genellikle 75 saniye) kadar, bağlantı belleği ayırmaya devam eder.

SYN-flooding saldırısı, var olmayan veya boştaki ana bilgisayarlar adına (IP adresi sahtekarlığı kullanarak) sunucuya SYN biti ayarlanmış birden çok TCP paketi göndermeyi içerir. Son gereksinim önemlidir, çünkü çalışan bir ana bilgisayardan bir bağlantı isteği gelirse, sunucu adresine bir SYN / ACK paketi gönderdiğinde, ana bilgisayar bağlantı sıfırlamayı başlatan bir RST (sıfırlama) paketi ile yanıt verir. Ve bağlantı, sunucunun belleğinden kaldırılacaktır.

Bir SYN sel saldırısı sırasında, yeni bağlantılar kurmak için ayrılan sunucu belleği hızla tükenir ve ağ hizmeti kapanır.

SYN-flooding saldırılarına karşı koymak için, kurulan bağlantılar için bellek boyutunu artırmanın ve güvenlik duvarlarında zaman aşımını azaltmanın yanı sıra, çeşitli ustaca mücadele yöntemleri kullanılır. Oturum ve uygulama katmanı güvenlik duvarlarının veya durum denetçilerinin kurulması, SYN-flooding saldırıları sorununu temelden çözer, çünkü bunlar tüm saldırıları yansıtır, dahili ağdaki bilgisayarlar ise bunlardan haberdar bile değildir.