Для решения проблем с утечками информации, несанкционированным доступом к данным, нарушениями в функционировании локальных сетей применяется технология межсетевых экранов (МСЭ), также известная как Firewall.

Технологии фаерволов: описание, преимущества и недостатки

Технически Firewall представляет собой программное обеспечение или аппаратно-программный комплекс, с помощью которого блокируется нежелательный трафик. При этом пропуск или блокировка трафика через межсетевой экран осуществляется по параметрам, установленным администратором.

К числу таких параметров относятся:

  • IP-адреса, с которых можно запретить или разрешить получение пакетов. Также ставятся запреты и разрешения на списки IP-адресов;
  • доменные имена веб-сайтов, которые могут быть внесены в список запрещенных на пропуск трафика;
  • порты, блокировка или разрешение которых регулируют доступ к тем или иным сервисам и приложениям;
  • протоколы, которые настраиваются для МСЭ специально для запрета или разрешения на пропуск трафика с конкретных протоколов.

При этом параметры могут задаваться как обособленно, так в тех или иных комбинациях.

Использование Firewall позволяет решить ряд задач по защите компьютеров и сетей, связанных с:

  • ограничением и контролем доступа к слабо защищенным службам узлов сетей;
  • регламентацией порядка доступа к службам;
  • регистрацией и учетом «внешних» и «внутренних» попыток доступа к устройствам;
  • установкой препятствий к получению информации о сетях и устройствах;
  • трансляцией дезинформации о защищаемых сетях.

Однако у МСЭ имеется и недостаток - при его внедрении может потребоваться перестройка сетевой инфраструктуры. Чтобы этого не произошло, правильно проектировать топологию сети нужно на самых первых стадиях создания информационной системы.

Технология межсетевых экранов Firewall

Главная цель использования Firewall — защита информации и фильтрация трафика.

Типы межсетевых экранов

Как уже было сказано выше, Firewall встречаются либо в программном, либо в программно-аппаратном исполнении.

Программные МСЭ представляют собой специальный софт, предназначенный для установки на компьютеры и для защиты сетей от внешних угроз. Как правило, такие фаерволы используются в небольших офисах или на корпоративных компьютерах за пределами офисов.

Программные межсетевые экраны имеют ряд преимуществ, таких, как: хороший уровень защиты сети не только от внешних, но и от внутренних угроз; возможность разграничивать сегменты локальной сети без их разбивки на подсети; большой функционал (наличие балансировок нагрузки, IDS/IPS и других полезных инструментов). Кроме того, программный Firewall можно развернуть на уже существующем сервере.

Программно-аппаратные комплексы МСЭ (security appliance) используются в формате специальных устройств, работающих на базе ОС FreeBSD или Linux, или в виде модулей (коммутаторов компании JUNIPER и маршрутизаторов), относящихся к штатному сетевому оборудованию. Узкая специализация функционала таких устройств экономически оправдывает их применение.

Программно-аппаратные комплексы обладают следующими преимуществами:

  • повышенной производительностью, обеспеченной направленностью ОС на осуществление конкретной функции;
  • простотой в управлении и возможностью контроля security appliance как через стандартные (SNMP, Telnet), так и через защищенные (SSH, SSL) протоколы;
  • высокой отказоустойчивостью и, как результат, повышенным уровнем защиты.

Также существует классификация Firewall на МСЭ пакетной фильтрации и МСЭ фильтрации на уровне приложений. Пакетные фаерволы (Packet-Filtering Firewall) фильтруют информацию, находящуюся в заголовках пакетов (данные о типе протокола, IP адресах отправителя и получателя, номерах портов отправителя и получателя), и по итогам проверки блокируют или пропускают трафик. Проверка выполняется по правилам, указанным в списке контроля доступа (ACL).

Фаерволы прикладного уровня (Application Firewall) работают по другой схеме: они блокируют вредоносные запросы при помощи информации о специфике приложений. Благодаря этому исключается прямое взаимодействие двух узлов. С помощью Application Firewall проводится аутентификация на пользовательском уровне, протоколируются трафик и сетевые события, а также скрываются IP-адреса хостов локальной сети. Прикладные и пакетные файрволы могут применяться и самостоятельно, и в комбинации.

Виды межсетевых экранов

В зависимости от того, какая технология фильтрации трафика применяется в межсетевых экранах, они делятся на несколько видов:

  • прокси-серверы (Proxy Firewall), выполняющие функции шлюзов, через которые косвенные запросы клиентов направляются к другим сетевым службам. Основная задача прокси-сервера - обеспечение анонимности клиента и защита от сетевой угрозы. Кроме того, прокси может изменять ответы клиентов для тех или иных целей. Также с помощью proxy можно создать МСЭ на уровне приложения с полной информацией о самом приложении и частичной - о текущем соединении. Однако такая технология имеет свои минусы - запрет для шлюза ALG на обеспечение proxy для протокола UDP; ограниченное количество доступных серверов и возможностей масштабирования из-за необходимости применения прокси на каждом отдельном сервисе, низкая производительность и отказоустойчивость МСЭ;
  • межсетевые экраны с контролем состояния сеансов, работающие с проведением анализа состояния порта и протокола. По результатам этого анализа файрвол пропускает либо блокирует трафик, причем пользуется не только правилами, созданными администратором, но и контекстными сведениями, собранными во время предыдущих соединений;;
  • межсетевые экраны UTM (Unified threat management), которые сочетают функционал контент-фильтра, защиты от сетевых атак (IPS) и антивирусной защиты. МСЭ UTM существуют и как программные, и как программно-аппаратные комплексы. Во втором варианте в них, помимо центрального процессора, используются дополнительные процессоры, предназначенные для обработки контента (подозрительных пакетов и архивированных файлов), высокопроизводительных сетевых потоков и TCP-сегментов, для шифрования и трансляции сетевых адресов, для повышения производительности служб IPS, антивирусов и защиты от потерь данных. Программные компоненты таких систем отвечают за создание многоуровневых МСЭ, поддержку фильтрации URL и антиспама;
  • межсетевые экраны нового поколения (Next-Generation Firewall, NGFW) - эти фаерволы предназначены для: защиты сетей от атакующих систем; зараженных опасным ПО; распознавания типов приложений на основе IPS; инспекции различного трафика, включая приложения; настройки точного контроля трафика на уровне приложений; инспекции трафика, шифруемого через SSL; поддержки постоянно обновляемых баз описаний приложений и угроз.

Кроме того, существуют МСЭ NGFW с активной защитой от угроз, которые, наряду с выполнением основных задач NGFW, учитывают контекст, ссылающийся на ресурсы с повышенными рисками, самостоятельно задают политики и порядок управления работой системы (что позволяет оперативно отражать сетевые атаки), коррелируют события на ПК и в сети, что делает более эффективным обнаружение подозрительной и отвлекающей вредоносной активности

Функциональность современных Firewall

Глубокий анализ сетевого трафика и сессий пользователей обеспечивается применением в современных фаерволах политики распознавания угроз, то есть правил для определения характера и механизма влияния этих угроз. При этом Firewall рассматриваются различные параметры трафика, включая уровень приложений (L7). В частности, изучаются адрес отправления трафика, объем передаваемых файлов, повторяющиеся в пакетах типы команд и паттерны.

Дополнительный метод защиты, применяемый современными Firewall - это проверка зашифрованного HTTPS и SSL-трафика. В таких случаях порядок проверки включает расшифровку трафика, его проверку на наличие указанных в политике угроз, шифровку и отправку получателю.

Кроме того, в МСЭ нового поколения используются системы предотвращения вторжений (IPS), проверяющие трафик на основе базы сигнатур, отслеживающие подозрительную активность и нейтрализующие атаки, и песочницы - изолированные среды для проверки потенциально опасного трафика, не прошедшего проверку по сигнатурам. Песочницы представляют собой виртуальные машины с типовым ОС, на которых воспроизводится взаимодействие файлов с системой.

Эти методы защиты позволяют устранять такие угрозы, как: присутствие потенциально опасных программ в пакетах трафика, в частности, в файлах с активным содержимым (документах PDF, Word, Excel, PowerPoint); эксплуатации уязвимостей, критерии которых также описаны в сигнатурах; фишинговые письма, для которых имеются отдельные базы данных уязвимостей, с перечислением критериев опасности контента.

Рекомендации по настройке межсетевых экранов

На практике для настройки фаервола используется утилита командной строки:

iptables

в стандартном интерфейсе управления. Чтобы понять, как работает эта утилита, нужно знать, как устроена ее архитектура:первый уровень iptables включает правила (которые состоят из условий, действий и счетчиков, отвечающих за проверку пакетов трафика), правила (которые бывают базовыми или задаются пользователем) объединяются в цепочки, а цепочки, обобщенные одной функцией, формируют таблицы.

Пользователю, которому необходимо настроить Firewall, понадобится работать с одной из таблиц iptables - Filter, которая отвечает за пропуск или блокировку пакета трафика - чтобы задать правила для трех цепочек: input (трафика, поступающего к роутеру или другому модулю), output (исходящего трафика) и forward (пропускаемого через роутер).

В процессе настройки МСЭ есть один нюанс. Чтобы упростить настроечные работы, нужно воспользоваться кнопкой Safe Mode, с помощью которой в таблицу фильтрации трафика вносятся все необходимые изменения. Внесенные изменения применяются после повторного нажатия этой кнопки. Важно помнить, что отключать интерфейс и фильтровать свои же пакеты нельзя - связь между интерфейсом и роутером прервется, и все придется начинать сначала.

К самой настройке есть два подхода - «разрешено все, что не запрещено» и «запрещено все, что не разрешено». Наиболее подходящий для фильтрации вариант лучше выбирать по ситуации.

Чтобы фаервол работал корректно, пользователю следует:

  • дать разрешение на пропуск или блокировку трафика для сервисов Management (WinBox, SSH, в некоторых случаях WebFig), протоколов DHCP и DNS для внешних и внутренних интерфейсов, туннелей, OSPF, ICMP, NTP, Neighbor Discovery и SNMP. Из этого списка нужно выбрать все необходимое, а остальное закрыть;
  • применить к трафику условия src/dst address, protocol, src/dst port, in/out interface, connection-state и действия accept (разрешено), drop (запрещено и уничтожено), reject (запрещено по причине reject with).

Для упрощения работы фаервола можно объединить несколько идентичных адресов или интерфейсов в списки, управляемые определенными правилами.