Tűzfal

Tűzfal , tűzfal  - a számítógépes hálózat szoftver vagy hardver-szoftver eleme , amely meghatározott szabályok szerint szabályozza és szűri a rajta áthaladó hálózati forgalmat [1] .

Egyéb címek [2] :

• Brandmauer ( németül:  Brandmauer  - tűzfal ) - a német nyelvből kölcsönzött kifejezés;
• Firewall ( eng.  Firewall  - fire wall) - az angolból kölcsönzött kifejezés.

Időpont

A tűzfalak által megoldott feladatok közül a fő a hálózati szegmensek vagy az egyes gazdagépek védelme az illetéktelen hozzáféréstől az OSI hálózati modell protokolljaiban vagy a hálózati számítógépekre telepített szoftverekben található biztonsági rések segítségével. A tűzfalak engedélyezik vagy tiltják a forgalmat azáltal, hogy összehasonlítják annak jellemzőit adott mintákkal [3] .

A tűzfalak telepítésének legáltalánosabb helye a helyi hálózat peremén van, hogy megvédje a belső gazdagépeket a külső támadásoktól. A támadások azonban belső gazdagépről is indulhatnak – ebben az esetben, ha a támadott gazdagép ugyanazon a hálózaton található, a forgalom nem lépi át a hálózat peremét, és a tűzfal sem aktiválódik. Ezért jelenleg nem csak a határon, hanem a különböző hálózati szegmensek között is vannak tűzfalak, ami további biztonsági szintet nyújt [4] .

Történelem

Az első olyan eszközök, amelyek a hálózati forgalmat szűrték, az 1980-as évek végén jelentek meg, amikor az internet még új volt, és nem használtak globális szinten. Ezek az eszközök olyan útválasztók voltak, amelyek a hálózati réteg protokollfejléceiben található információk alapján vizsgálták a forgalmat . Ezt követően a hálózati technológiák fejlődésével ezek az eszközök képesek voltak forgalomszűrésre egy magasabb, szállítási rétegből származó protokolladatok felhasználásával . A routerek tekinthetők a tűzfal első hardveres és szoftveres megvalósításának [5] .

A szoftveres tűzfalak sokkal később jelentek meg, és sokkal fiatalabbak voltak, mint a víruskereső programok . Például a Netfilter/iptables projektet (az egyik első szoftveres tűzfal, amelyet a Linux kernelbe építettek a 2.4-es verzió óta) 1998-ban alapították. Az ilyen késői megjelenés teljesen érthető, mivel a víruskereső hosszú ideig megoldotta a személyi számítógépek rosszindulatú programokkal szembeni védelmének problémáját. Az 1990-es évek végén azonban a vírusok elkezdték aktívan használni a tűzfalak hiányát a számítógépeken, ami a felhasználók érdeklődésének növekedéséhez vezetett az eszközök ezen osztálya iránt [6] .

Forgalomszűrés

A forgalomszűrés előre konfigurált szabályokon alapul, amelyeket szabálykészletnek neveznek . Kényelmes úgy tekinteni a tűzfalra, mint az információáramlást feldolgozó szűrők sorozatára. Mindegyik szűrő egy külön szabály értelmezésére szolgál. A készletben lévő szabályok sorrendje jelentősen befolyásolja a tűzfal teljesítményét. Például sok tűzfal következetesen összehasonlítja a forgalmat a szabályokkal, amíg egyezést nem talál. Az ilyen tűzfalaknál a legnagyobb forgalomnak megfelelő szabályokat a lehető legmagasabbra kell helyezni a listában, ezzel növelve a teljesítményt [7] [8] .

A bejövő forgalom feldolgozásának két alapelve van. Az első elv azt mondja: "Ami nincs kifejezetten tilos, az megengedett." Ebben az esetben, ha a tűzfal olyan csomagot kapott, amely nem esik semmilyen szabály alá, akkor azt továbbítja. Az ellenkező alapelv - "Amit kifejezetten nem szabad, az tilos" - sokkal nagyobb biztonságot garantál, mivel tilt minden olyan forgalmat, amelyet a szabályok kifejezetten nem engedélyeznek. Ez az elv azonban további terhet jelent az adminisztrátor számára [7] [8] .

Végső soron a tűzfalak két művelet egyikét hajtják végre a bejövő forgalommal: továbbadják a csomagot ( engedélyezi ) vagy eldobják a csomagot ( deny ). Egyes tűzfalaknak van egy másik művelete is – elutasítás , amelyben a csomag eldobásra kerül, de a küldő értesítést kap arról, hogy az általa elérni kívánt szolgáltatás nem elérhető. Ezzel szemben a deny művelet nem tájékoztatja a küldőt arról, hogy a szolgáltatás nem elérhető, ami biztonságosabb [7] [8] .

A tűzfalak osztályozása

A tűzfalaknak mindeddig nem volt egységes és általánosan elismert osztályozása [9] . A legtöbb esetben azonban az OSI hálózati modell támogatott szintje a fő jellemző az osztályozásukban. E modell alapján a következő típusú tűzfalakat különböztetjük meg [10] [11] :

1. kezelt kapcsolók.
2. csomagszűrők.
3. Munkamenet szintű átjárók.
4. Alkalmazási réteg közvetítők.
5. Állapotfelügyelők.

Felügyelt kapcsolók

A felügyelt kapcsolókat néha tűzfalak közé sorolják, mert szűrik a forgalmat a hálózatok vagy hálózati csomópontok között. Azonban a kapcsolati rétegben működnek, és elválasztják a helyi hálózaton belüli forgalmat, ami azt jelenti, hogy nem használhatók külső hálózatokból (például az internetről ) érkező forgalom feldolgozására [11] .

Számos hálózati eszközgyártó, például a Cisco , a Nortel , a 3Com , a ZyXEL kapcsolóiban lehetőséget biztosít a forgalom szűrésére a keretfejlécekben található MAC - címek alapján . Például a Cisco Catalyst család kapcsolóiban ezt a funkciót a Port Security mechanizmussal valósítják meg . [12] . Ez a szűrési mód azonban nem hatékony, mivel a hálózati kártya hardverében beállított MAC-cím szoftveresen könnyen megváltoztatható, mivel a meghajtón keresztül megadott érték magasabb prioritású, mint a kártyába bekötött érték [13] . Ezért sok modern kapcsoló lehetővé teszi más paraméterek használatát a szűrés jeleként - például VLAN - azonosítót. A virtuális helyi hálózatok technológiája ( eng. Virtual Local Area Network ) lehetővé teszi hosztcsoportok létrehozását, amelyek forgalma teljesen el van szigetelve a többi hálózati csomóponttól [14] .  

A felügyelt kapcsolókon alapuló biztonsági politika vállalati hálózaton belüli megvalósításakor hatékony és meglehetősen olcsó megoldás lehet. Ezek a tűzfalak csak a link-layer protokollokkal kommunikálnak, és nagyon nagy sebességgel szűrik a forgalmat. Ennek a megoldásnak a fő hátránya a magasabb szintű protokollok elemzésének lehetetlensége [15] .

Csomagszűrők

A csomagszűrők hálózati szinten működnek, és a csomagfejlécben található információk alapján szabályozzák a forgalom áthaladását . Sok ilyen típusú tűzfal működhet protokoll fejlécekkel és magasabb szállítási szinttel (például TCP vagy UDP ). A csomagszűrők az elsők között jelentek meg a tűzfalpiacon, és a mai napig a leggyakoribb típusuk. Ezt a technológiát az útválasztók túlnyomó többségében, sőt egyes kapcsolókban is megvalósítják [16] .

Egy hálózati csomag fejlécének elemzésekor a következő paraméterek használhatók [10] :

• forrás és cél IP címek ;
• szállítási protokoll típusa;
• a hálózati és szállítási szintek protokolljainak szolgáltatásfejléceinek mezői;
• forrás és cél port .

Gyakran szükséges a töredezett csomagok szűrése, ami megnehezíti egyes támadások azonosítását . Sok hálózati támadás kihasználja a tűzfal sérülékenységét azáltal, hogy a tiltott adatokat tartalmazó csomagokat egy másik, megbízható csomag töredékeiként jeleníti meg. Az ilyen típusú támadások kezelésének egyik módja a tűzfal beállítása a töredezett csomagok blokkolására [17] . Egyes tűzfalak töredezettségmentesíthetik a csomagokat, mielőtt továbbítanák azokat a belső hálózatra, de ez további erőforrásokat igényel magától a tűzfaltól, különösen a memóriától. A töredezettségmentesítést nagyon ésszerűen kell alkalmazni, különben egy ilyen tűzfal könnyen maga is DoS támadás áldozatává válhat [18] .

A csomagszűrők a következő hálózati infrastruktúra komponensekben valósíthatók meg [18] :

• határútválasztók;
• Operációs rendszer;
• személyes tűzfalak .

Mivel a csomagszűrők általában csak a hálózati és a szállítási réteg fejlécében lévő adatokat ellenőrzik, ezt meglehetősen gyorsan megtehetik. Ezért a határútválasztókba épített csomagszűrők ideálisak az alacsony megbízhatóságú hálózat szélére történő elhelyezéshez. A csomagszűrők azonban nem képesek az OSI hálózati modell magasabb rétegeinek protokolljait elemezni. Ezenkívül a csomagszűrők általában ki vannak téve a hálózati címhamisítást használó támadásoknak . Az ilyen támadásokat általában a tűzfal által megvalósított hozzáférés-szabályozás megkerülésére hajtják végre [19] [20] .

Munkamenet szintű átjárók

A munkamenet-szintű tűzfal kizárja a külső gazdagépek és a helyi hálózaton található gazdagép közvetlen interakcióját, amely közvetítőként ( angol  proxy ) működik, amely minden bejövő csomagra válaszol, és a kapcsolat aktuális fázisa alapján ellenőrzi azok érvényességét. A munkameneti réteg átjárója garantálja, hogy egyetlen hálózati csomag sem fog kimaradni, ha az nem tartozik egy korábban létrehozott kapcsolathoz. Amint megérkezik a kapcsolódási kérelem, a megfelelő információk egy speciális táblába kerülnek (küldő és célcímek, használt hálózati és szállítási réteg protokollok, kapcsolat állapota stb.). Ha a kapcsolat létrejön, az ezen a munkameneten belül továbbított csomagok további szűrés nélkül egyszerűen átmásolódnak a helyi hálózatra. Amikor egy kommunikációs munkamenet véget ér, az azzal kapcsolatos információk törlődnek ebből a táblázatból. Ezért minden további csomag, amely egy már befejezett kapcsolat csomagjainak „adja magát”, eldobásra kerül [21] .

Mivel ez a típusú tűzfal kizárja a közvetlen kommunikációt két gazdagép között, a munkamenet szintű átjáró az egyetlen összekötő elem a külső hálózat és a belső erőforrások között. Ez azt a látszatot kelti, hogy a külső hálózat minden kérésére az átjáró válaszol, és szinte lehetetlenné teszi a védett hálózat topológiájának meghatározását. Ezenkívül, mivel a csomópontok közötti kapcsolat csak akkor jön létre, ha ez engedélyezett, a munkamenet-szintű átjáró megakadályozza a csomagszűrőkben rejlő DoS támadás lehetőségét [22] .

Ennek a technológiának a hatékonysága ellenére van egy komoly hátránya: a fenti tűzfalosztályokhoz hasonlóan a munkamenet-szintű átjárók sem tudják ellenőrizni az adatmező tartalmát, ami lehetővé teszi a támadó számára, hogy " trójai falókat " vigyen át a védett hálózat [23] .

Alkalmazási réteg brókerek

Az alkalmazási réteg tűzfalai , amelyek különösen magukban foglalják a webalkalmazások tűzfalát , valamint a munkamenetréteg-átjárókat, kizárják két csomópont közvetlen interakcióját. Az alkalmazási rétegben működve azonban képesek „megérteni” a továbbított forgalom kontextusát. Az ezt a technológiát megvalósító tűzfalak több közvetítő alkalmazást tartalmaznak ( angol  alkalmazásproxy ), amelyek mindegyike saját alkalmazási protokollt szolgál ki. Egy ilyen tűzfal képes észlelni a továbbított üzenetekben és blokkolni a nem létező vagy nem kívánt parancssorokat, ami gyakran DoS támadást jelent, vagy megtiltja bizonyos parancsok használatát (például FTP PUT, amely lehetővé teszi a felhasználó számára, hogy információkat írjon a FTP szerver).

Az alkalmazási réteg proxy meghatározhatja az átvinni kívánt információ típusát. Ez lehetővé teszi például, hogy blokkoljon egy végrehajtható fájlt tartalmazó e-mail üzenetet. Az ilyen típusú tűzfal másik jellemzője a bemeneti argumentumok érvényesítése. Például egy 100 karakter hosszú vagy bináris adatokat tartalmazó felhasználónév argumentum legalábbis gyanús.

Az alkalmazási réteg közvetítői képesek felhasználói hitelesítést végrehajtani, valamint ellenőrizni, hogy az SSL -tanúsítványokat egy adott hatóság írja-e alá . Az alkalmazási réteg tűzfalai számos protokollhoz elérhetők, beleértve a HTTP , FTP, levelezési ( SMTP , POP , IMAP ), Telnet és más protokollokat [24] [25] .

Az ilyen típusú tűzfalak hátránya az egyes csomagok elemzésére fordított sok idő és erőforrás. Emiatt általában nem alkalmasak valós idejű alkalmazásokra. Egy másik hátrány az új hálózati alkalmazások és protokollok támogatásának automatikus csatlakoztatásának lehetetlensége, mivel mindegyikhez saját ügynökre van szükség [26] .

Állapotfelügyelők

A fenti tűzfaltípusok mindegyike a vállalati hálózatok védelmére szolgál, és számos előnnyel jár. Sokkal hatékonyabb lenne azonban ezeket az előnyöket egyetlen eszközben összegyűjteni, és egy tűzfalat kapni, amely a hálózatról az alkalmazási rétegre szűri a forgalmat. Ezt az ötletet az állami ellenőrökben valósították meg, amelyek egyesítik a nagy teljesítményt és a biztonságot. A tűzfalak ezen osztálya lehetővé teszi a [27] :

• minden továbbított csomag egy szabálytáblázaton alapul;
• minden munkamenet - az állapottáblázat alapján;
• minden alkalmazás  fejlett közvetítőkön alapul.

A forgalom munkamenet-szintű átjáró elvén történő szűrésével a tűzfalak ezen osztálya nem zavarja a csomópontok közötti kapcsolat létrehozásának folyamatát. Ezért az állapotfelügyelő teljesítménye észrevehetően magasabb, mint az alkalmazási réteg közvetítőjének és a munkameneti réteg átjárójának, és összevethető a csomagszűrők teljesítményével. Az állami ellenőrök másik előnye, hogy átláthatóak a felhasználó számára: nincs szükség további konfigurációra a kliens szoftverekhez. Ezek a tűzfalak nagymértékben bővíthetők. Amikor egy új szolgáltatás vagy új alkalmazási réteg protokoll jelenik meg, elegendő néhány sablon hozzáadása a támogatáshoz. Az állami ellenőrök azonban általában kevésbé biztonságosak, mint az alkalmazási szintű proxyk [28] .

A  Check Point Software által bevezetett állapotalapú ellenőrzés kifejezést annyira szeretik a hálózati berendezések gyártói, hogy ma már szinte minden tűzfalat ehhez a technológiához sorolnak, még ha nem is valósítja meg teljes mértékben.

Megvalósítás

A tűzfalnak két változata létezik - szoftveres és hardveres-szoftveres. A szoftver- és hardververziónak viszont két változata van - külön modul formájában egy kapcsolóban vagy útválasztóban, és egy speciális eszköz formájában.

Jelenleg gyakrabban használnak szoftveres megoldást, amely első pillantásra vonzóbbnak tűnik. Ennek az az oka, hogy használatához úgy tűnik, elég csak tűzfalszoftvert vásárolni, és telepíteni a szervezet bármely számítógépére. A gyakorlat azonban azt mutatja, hogy egy szervezetnek nem mindig van ingyenes számítógépe, sőt olyan, amely elég magas rendszererőforrás-követelményeknek felel meg. A számítógép megtalálása után (leggyakrabban megvásárolva) következik az operációs rendszer telepítése és konfigurálása, valamint közvetlenül a tűzfalszoftver. Könnyen belátható, hogy a hagyományos személyi számítógép használata nem olyan egyszerű, mint amilyennek látszik. Ezért terjedtek el jobban a rendszerint FreeBSD -n vagy Linuxon alapuló speciális hardver- és szoftverrendszerek, amelyeket biztonsági berendezésnek neveznek, és amelyeket csak a szükséges funkciók ellátására "levágtak" . E megoldások előnyei [29] :

• Könnyű implementáció: ezek az eszközök előre telepített és konfigurált operációs rendszerrel rendelkeznek, és minimális beállítást igényelnek a hálózaton történő megvalósítás után.
• Egyszerű kezelés: Ezek az eszközök bárhonnan felügyelhetők szabványos protokollokon, például SNMP vagy Telnet , vagy biztonságos protokollokon, például SSH vagy SSL segítségével .
• Teljesítmény: Ezek az eszközök hatékonyabban működnek, mivel az összes nem használt szolgáltatást kizárják az operációs rendszerükből.
• Hibatűrés és magas rendelkezésre állás: Ezeket az eszközöket speciális feladatok elvégzésére tervezték magas rendelkezésre állás mellett.

A tűzfalelemzés korlátai

A tűzfal csak az általa "megérthető" forgalom szűrését teszi lehetővé. Ellenkező esetben elveszti hatékonyságát, hiszen nem képes tudatosan eldönteni, hogy mit kezdjen az ismeretlen forgalommal. Vannak olyan protokollok, mint például a TLS , az SSH , az IPsec és az SRTP , amelyek titkosítást használnak a tartalom elrejtésére, így a forgalom nem értelmezhető. Ezenkívül egyes protokollok, például az OpenPGP és az S/MIME titkosítják az alkalmazásréteg adatait, ami lehetetlenné teszi a forgalom szűrését a hálózati rétegben található információk alapján. Egy másik példa a tűzfalelemzés korlátaira az alagút forgalom, mivel annak szűrése lehetetlen, ha a tűzfal „nem érti” az alkalmazott alagút-mechanizmust. Mindezekben az esetekben a tűzfalon konfigurált szabályoknak kifejezetten meg kell határozniuk, hogy mit kell tenni az általuk értelmezhetetlen forgalommal [30] .

Jegyzetek

1. ↑ Hattyú, 2002 , p. 22.
2. ↑ Shangin, 2011 , p. 193.
3. ↑ Hattyú, 2002 , p. 22-25.
4. ↑ Laponina, 2014 , p. 43.
5. ↑ Forrest , p. 2.
6. ↑ Faronov, 2016 , p. 62.
7. ↑ 1 2 3 Laponina, 2014 , p. 131.
8. ↑ 1 2 3 Shangin, 2011 , p. 195.
9. ↑ Shangin, 2011 , p. 194.
10. ↑ 1 2 Fox, 2003 , p. harminc.
11. ↑ 1 2 Lebed, 2002 , p. 48.
12. ↑ Cisco .
13. ↑ Cardenas, 2003 .
14. ↑ Hattyú, 2002 , p. ötven.
15. ↑ Hattyú, 2002 , p. 52.
16. ↑ Laponina, 2014 , p. 52.
17. ↑ Laponina, 2014 , p. 51-56.
18. ↑ 1 2 Laponina, 2014 , p. 53.
19. ↑ Fox, 2003 , p. 30-31.
20. ↑ Hattyú, 2002 , p. 54.
21. ↑ Fox, 2003 , p. 31.
22. ↑ Hattyú, 2002 , p. 58.
23. ↑ Laponina, 2014 , p. 63-64.
24. ↑ Hattyú, 2002 , p. 55-56.
25. ↑ Laponina, 2014 , p. 59.
26. ↑ Hattyú, 2002 , p. 56.
27. ↑ Hattyú, 2002 , p. 58-61.
28. ↑ Fox, 2003 , p. 32.
29. ↑ Shangin, 2011 , p. 207.
30. ↑ Laponina, 2014 , p. 73.

Irodalom

Könyvek

• Lebed SV tűzfal. A külső kerület védelmének elmélete és gyakorlata. - MSTU im. N. E. Bauman, 2002. - 306 p. — ISBN 5-7038-2059-6 .
• Chapman Jr. DV, Fox E. Cisco Secure PIX Firewalls = Cisco® Secure PIX® Firewalls. - Williams, 2003. - 341 p. — ISBN 5-8459-0463-3 .
• Maywald E. 10. előadás "Tűzfalak" // Hálózatbiztonság: Információ . - INTUIT, 2006. - ISBN 978-5-9570-0046-9 .
• Shangin VF Információvédelem számítógépes rendszerekben és hálózatokban. - INFRA-M, 2011. - 416 p. - ISBN 978-5-16-003132-3 .
• Faronov A.E. Az információbiztonság alapjai számítógépen végzett munka során. — INTUIT, 2016. — 155 p.
• Laponina VAGY Tűzfal. - Binom, 2014. - 343 p. — ISBN 5-94774-603-4 .

Cikkek

• K. Ingham, S. Forrest. A hálózati  tűzfalak története és felmérése .
• Cisco. A portbiztonság  konfigurálása .
• Edgar D Cardenas. MAC hamisítás – Bevezetés  . – 2003.