Для решения проблем с утечками информации, несанкционированным доступом к данным, нарушениями в функционировании локальных сетей применяется технология межсетевых экранов (МСЭ), также известная как Firewall.
Технологии фаерволов: описание, преимущества и недостатки
Технически Firewall представляет собой программное обеспечение или аппаратно-программный комплекс, с помощью которого блокируется нежелательный трафик. При этом пропуск или блокировка трафика через межсетевой экран осуществляется по параметрам, установленным администратором.
К числу таких параметров относятся:
- IP-адреса, с которых можно запретить или разрешить получение пакетов. Также ставятся запреты и разрешения на списки IP-адресов;
- доменные имена веб-сайтов, которые могут быть внесены в список запрещенных на пропуск трафика;
- порты, блокировка или разрешение которых регулируют доступ к тем или иным сервисам и приложениям;
- протоколы, которые настраиваются для МСЭ специально для запрета или разрешения на пропуск трафика с конкретных протоколов.
При этом параметры могут задаваться как обособленно, так в тех или иных комбинациях.
Использование Firewall позволяет решить ряд задач по защите компьютеров и сетей, связанных с:
- ограничением и контролем доступа к слабо защищенным службам узлов сетей;
- регламентацией порядка доступа к службам;
- регистрацией и учетом «внешних» и «внутренних» попыток доступа к устройствам;
- установкой препятствий к получению информации о сетях и устройствах;
- трансляцией дезинформации о защищаемых сетях.
Однако у МСЭ имеется и недостаток - при его внедрении может потребоваться перестройка сетевой инфраструктуры. Чтобы этого не произошло, правильно проектировать топологию сети нужно на самых первых стадиях создания информационной системы.
Главная цель использования Firewall — защита информации и фильтрация трафика.
Типы межсетевых экранов
Как уже было сказано выше, Firewall встречаются либо в программном, либо в программно-аппаратном исполнении.
Программные МСЭ представляют собой специальный софт, предназначенный для установки на компьютеры и для защиты сетей от внешних угроз. Как правило, такие фаерволы используются в небольших офисах или на корпоративных компьютерах за пределами офисов.
Программные межсетевые экраны имеют ряд преимуществ, таких, как: хороший уровень защиты сети не только от внешних, но и от внутренних угроз; возможность разграничивать сегменты локальной сети без их разбивки на подсети; большой функционал (наличие балансировок нагрузки, IDS/IPS и других полезных инструментов). Кроме того, программный Firewall можно развернуть на уже существующем сервере.
Программно-аппаратные комплексы МСЭ (security appliance) используются в формате специальных устройств, работающих на базе ОС FreeBSD или Linux, или в виде модулей (коммутаторов компании JUNIPER и маршрутизаторов), относящихся к штатному сетевому оборудованию. Узкая специализация функционала таких устройств экономически оправдывает их применение.
Программно-аппаратные комплексы обладают следующими преимуществами:
- повышенной производительностью, обеспеченной направленностью ОС на осуществление конкретной функции;
- простотой в управлении и возможностью контроля security appliance как через стандартные (SNMP, Telnet), так и через защищенные (SSH, SSL) протоколы;
- высокой отказоустойчивостью и, как результат, повышенным уровнем защиты.
Также существует классификация Firewall на МСЭ пакетной фильтрации и МСЭ фильтрации на уровне приложений. Пакетные фаерволы (Packet-Filtering Firewall) фильтруют информацию, находящуюся в заголовках пакетов (данные о типе протокола, IP адресах отправителя и получателя, номерах портов отправителя и получателя), и по итогам проверки блокируют или пропускают трафик. Проверка выполняется по правилам, указанным в списке контроля доступа (ACL).
Фаерволы прикладного уровня (Application Firewall) работают по другой схеме: они блокируют вредоносные запросы при помощи информации о специфике приложений. Благодаря этому исключается прямое взаимодействие двух узлов. С помощью Application Firewall проводится аутентификация на пользовательском уровне, протоколируются трафик и сетевые события, а также скрываются IP-адреса хостов локальной сети. Прикладные и пакетные файрволы могут применяться и самостоятельно, и в комбинации.
Виды межсетевых экранов
В зависимости от того, какая технология фильтрации трафика применяется в межсетевых экранах, они делятся на несколько видов:
- прокси-серверы (Proxy Firewall), выполняющие функции шлюзов, через которые косвенные запросы клиентов направляются к другим сетевым службам. Основная задача прокси-сервера - обеспечение анонимности клиента и защита от сетевой угрозы. Кроме того, прокси может изменять ответы клиентов для тех или иных целей. Также с помощью proxy можно создать МСЭ на уровне приложения с полной информацией о самом приложении и частичной - о текущем соединении. Однако такая технология имеет свои минусы - запрет для шлюза ALG на обеспечение proxy для протокола UDP; ограниченное количество доступных серверов и возможностей масштабирования из-за необходимости применения прокси на каждом отдельном сервисе, низкая производительность и отказоустойчивость МСЭ;
- межсетевые экраны с контролем состояния сеансов, работающие с проведением анализа состояния порта и протокола. По результатам этого анализа файрвол пропускает либо блокирует трафик, причем пользуется не только правилами, созданными администратором, но и контекстными сведениями, собранными во время предыдущих соединений;;
- межсетевые экраны UTM (Unified threat management), которые сочетают функционал контент-фильтра, защиты от сетевых атак (IPS) и антивирусной защиты. МСЭ UTM существуют и как программные, и как программно-аппаратные комплексы. Во втором варианте в них, помимо центрального процессора, используются дополнительные процессоры, предназначенные для обработки контента (подозрительных пакетов и архивированных файлов), высокопроизводительных сетевых потоков и TCP-сегментов, для шифрования и трансляции сетевых адресов, для повышения производительности служб IPS, антивирусов и защиты от потерь данных. Программные компоненты таких систем отвечают за создание многоуровневых МСЭ, поддержку фильтрации URL и антиспама;
- межсетевые экраны нового поколения (Next-Generation Firewall, NGFW) - эти фаерволы предназначены для: защиты сетей от атакующих систем; зараженных опасным ПО; распознавания типов приложений на основе IPS; инспекции различного трафика, включая приложения; настройки точного контроля трафика на уровне приложений; инспекции трафика, шифруемого через SSL; поддержки постоянно обновляемых баз описаний приложений и угроз.
Кроме того, существуют МСЭ NGFW с активной защитой от угроз, которые, наряду с выполнением основных задач NGFW, учитывают контекст, ссылающийся на ресурсы с повышенными рисками, самостоятельно задают политики и порядок управления работой системы (что позволяет оперативно отражать сетевые атаки), коррелируют события на ПК и в сети, что делает более эффективным обнаружение подозрительной и отвлекающей вредоносной активности
Функциональность современных Firewall
Глубокий анализ сетевого трафика и сессий пользователей обеспечивается применением в современных фаерволах политики распознавания угроз, то есть правил для определения характера и механизма влияния этих угроз. При этом Firewall рассматриваются различные параметры трафика, включая уровень приложений (L7). В частности, изучаются адрес отправления трафика, объем передаваемых файлов, повторяющиеся в пакетах типы команд и паттерны.
Дополнительный метод защиты, применяемый современными Firewall - это проверка зашифрованного HTTPS и SSL-трафика. В таких случаях порядок проверки включает расшифровку трафика, его проверку на наличие указанных в политике угроз, шифровку и отправку получателю.
Кроме того, в МСЭ нового поколения используются системы предотвращения вторжений (IPS), проверяющие трафик на основе базы сигнатур, отслеживающие подозрительную активность и нейтрализующие атаки, и песочницы - изолированные среды для проверки потенциально опасного трафика, не прошедшего проверку по сигнатурам. Песочницы представляют собой виртуальные машины с типовым ОС, на которых воспроизводится взаимодействие файлов с системой.
Эти методы защиты позволяют устранять такие угрозы, как: присутствие потенциально опасных программ в пакетах трафика, в частности, в файлах с активным содержимым (документах PDF, Word, Excel, PowerPoint); эксплуатации уязвимостей, критерии которых также описаны в сигнатурах; фишинговые письма, для которых имеются отдельные базы данных уязвимостей, с перечислением критериев опасности контента.
Рекомендации по настройке межсетевых экранов
На практике для настройки фаервола используется утилита командной строки:
iptables
в стандартном интерфейсе управления. Чтобы понять, как работает эта утилита, нужно знать, как устроена ее архитектура:первый уровень iptables включает правила (которые состоят из условий, действий и счетчиков, отвечающих за проверку пакетов трафика), правила (которые бывают базовыми или задаются пользователем) объединяются в цепочки, а цепочки, обобщенные одной функцией, формируют таблицы.
Пользователю, которому необходимо настроить Firewall, понадобится работать с одной из таблиц iptables - Filter, которая отвечает за пропуск или блокировку пакета трафика - чтобы задать правила для трех цепочек: input (трафика, поступающего к роутеру или другому модулю), output (исходящего трафика) и forward (пропускаемого через роутер).
В процессе настройки МСЭ есть один нюанс. Чтобы упростить настроечные работы, нужно воспользоваться кнопкой Safe Mode, с помощью которой в таблицу фильтрации трафика вносятся все необходимые изменения. Внесенные изменения применяются после повторного нажатия этой кнопки. Важно помнить, что отключать интерфейс и фильтровать свои же пакеты нельзя - связь между интерфейсом и роутером прервется, и все придется начинать сначала.
К самой настройке есть два подхода - «разрешено все, что не запрещено» и «запрещено все, что не разрешено». Наиболее подходящий для фильтрации вариант лучше выбирать по ситуации.
Чтобы фаервол работал корректно, пользователю следует:
- дать разрешение на пропуск или блокировку трафика для сервисов Management (WinBox, SSH, в некоторых случаях WebFig), протоколов DHCP и DNS для внешних и внутренних интерфейсов, туннелей, OSPF, ICMP, NTP, Neighbor Discovery и SNMP. Из этого списка нужно выбрать все необходимое, а остальное закрыть;
- применить к трафику условия src/dst address, protocol, src/dst port, in/out interface, connection-state и действия accept (разрешено), drop (запрещено и уничтожено), reject (запрещено по причине reject with).
Для упрощения работы фаервола можно объединить несколько идентичных адресов или интерфейсов в списки, управляемые определенными правилами.