Як працює брандмауер

Брандмауер, він же брандмауер – це система або комбінація систем, що дозволяють розділити мережу на дві або більше частин і реалізувати набір правил, що визначають умови проходження пакетів з однієї частини в іншу. Як правило, зта межа проводиться між локальною мережею підприємства і ІНТЕРНЕТ, хоча її можна провести і усередині локальної мережі підприємства або домашньої мережі. Брандмауер таким чином пропускає через себе весь трафік. Для кожного проходить пакету брандмауер приймає рішення пропускати його або відкинути. Зазвичай під брандмауером передбачають комплекс програмних засобів, що встановлюються на комп’ютер, що виконує функції шлюзу в інтернет. Існують також спеціалізовані програмно-апаратні комплекси, зазвичай включають в себе функції шлюзу і маршрутизатора. Як правило, операційну систему, під управлінням якої працює брандмауер вносяться зміни, мета яких – підвищення захисту самого брандмауера. Ці зміни зачіпають як ядро ОС, так і відповідні файли конфігурації.

З метою забезпечення безпеки доступ до операційної системи повинен бути тільки у адміністратора. Деякі брандмауери працюють тільки в режимі одного користувача. Багато брандмауери мають систему перевірки цілісності програмних кодів. При цьому контрольні суми програмних кодів зберігаються в захищеному місці і порівнюються при старті програми, щоб уникнути підміни програмного забезпечення. Типи брандмауерів: пакетні фільтри (packet filter) сервери прикладного рівня (application gateways) сервера рівня з’єднання (circuit gateways) Всі типи можуть одночасно зустрітися в одному брандмауері.

Пакетні фільтри

Брандмауери з пакетними фільтрами приймають рішення про те, пропускати пакет або відкинути, переглядаючи IP-адреси, прапори або номери TCP портів в заголовку цього пакету. IP-адресу та номер порту – це інформація мережевого і транспортного рівнів відповідно, але пакетні фільтри використовують інформацію прикладного рівня, оскільки всі стандартні сервіси TCP/IP асоціюються з певним номером порту. Сервери прикладного рівня

Брандмауери з серверів прикладного рівня використовують сервера конкретних сервісів – TELNET, FTP і т. д. (proxy server), що запускаються на брандмауері і пропускають через себе весь трафік, що відноситься до даного сервісу. Таким чином, між клієнтом і сервером утворюються два з’єднання: від клієнта до брандмауера і брандмауера до місця призначення. Використання серверів прикладного рівня дозволяє вирішити важливе завдання – приховати від зовнішніх користувачів структуру локальної мережі, включаючи інформацію в заголовках поштових пакетів або служби доменних імен (DNS). Іншим позитивним якістю є можливість аутентифікації на рівні користувача (аутентифікація – це процес підтвердження ідентичності чого-небудь; в даному випадку це процес підтвердження, чи дійсно користувач є тим, за кого він себе видає).Сервера протоколів прикладного рівня дозволяють забезпечити найбільш високий рівень захисту – взаємодія із зовнішнім світів реалізується через невелику кількість прикладних програм, повністю контролюють весь вхідний і вихідний трафік.

Сервера рівня з’єднання

Сервер рівня з’єднання являє з себе транслятор TCP з’єднання. Користувач утворює з’єднання з певним портом на брандмауері, після чого останній не виконує з’єднання з місцем призначення по іншу сторону від брандмауера. Під час сеансу цей транслятор копіює байти в обох напрямках, діючи як дріт. Як правило, пункт призначення задається заздалегідь, у той час як джерел може бути багато (з’єднання типу один – багато). Використовуючи різні порти, можна створювати різні конфігурації. Такий тип сервера, дозволяє створювати транслятор для будь-якого визначеного користувачем сервісу, що базується на TCP, здійснювати контроль доступу до цього сервісу, збір статистики по його використанню. Порівняльні характеристики

Нижче наведені основні переваги та недоліки пакетних фільтрів і серверів прикладного рівня відносно один одного. До позитивних якостей пакетних фільтрів слід віднести наступні: відносно невисока вартість гнучкість у визначенні правил фільтрації невелика затримка при проходженні пакетів Недоліки даного типу брандмауерів наступні : локальна мережа видно ( маршрутизируется ) з ІНТЕРНЕТ правила фільтрації пакетів важкі в описі, потрібні дуже хороші знання технологій TCP і UDP при порушенні працездатності брандмауера всі комп’ютери за ним стають повністю незахищеними або недоступними аутентифікацію з використанням IP-адреси можна обдурити використанням IP-спуфінга (атакуюча система видає себе за іншу, використовуючи її IP-адреса) відсутній аутентифікація на рівні користувача До переваг серверів прикладного рівня слід віднести наступні: локальна мережа невидима з ІНТЕРНЕТ при порушенні працездатності брандмауера пакети перестають проходити через брандмауер, тим самим не виникає загрози для захищаються їм машин захист на рівні додатків дозволяє здійснювати велику кількість додаткових перевірок, знижуючи тим самим ймовірність злому з використанням дірок в програмному забезпеченні аутентифікація на рівні користувача може бути реалізована система негайного попередження про спробу злому. Недоліками цього типу є: більш висока, ніж для пакетних фільтрів вартість; неможливість використання протоколів RPC і UDP; продуктивність нижче, ніж для пакетних фільтрів.

Віртуальні мережі

Ряд брандмауерів дозволяє організовувати віртуальні корпоративні мережі ( Virtual Private Network), тобто об’єднати декілька локальних мереж, включених в ІНТЕРНЕТ в одну віртуальну мережу. VPN дозволяють організувати прозоре для користувачів з’єднання локальних мереж, зберігаючи конфіденційність і цілісність інформації, що передається за допомогою шифрування. При цьому при передачі по ІНТЕРНЕТ шифруються не тільки дані, але і мережева інформація про мережеві адреси, номери портів і т. д. Адміністрування

Легкість адміністрування є одним з ключових аспектів у створенні ефективної і надійної системи захисту. Помилки при визначенні правил доступу можуть утворити дірку, через яку може бути зламана система. Тому в більшості брандмауерів реалізовані сервісні утиліти, що полегшують введення, видалення, перегляд набору правил. Наявність цих утиліт дозволяє також проводити перевірки на синтаксичні або логічні помилки при введення або редагування правил. Як правило, ці утиліти дозволяють переглядати інформацію, згруповану по якимось критеріям, наприклад, все що відноситься до конкретного користувача або сервісу. Системи збору статистики і попередження про атаку Ще одним важливим компонентом брандмауера є система збору статистики і попередження про атаку. Інформація про всі події – відмови, вхідних, вихідних з’єднаннях, числі переданих байт, що використовувалися сервісах, часу з’єднання і т. д. – накопичується у файлах статистики. Багато брандмауери дозволяють гнучко визначати підлягають протоколювання події, описати дії брандмауера при атаках або спробах несанкціонованого доступу – це може бути повідомлення на консоль, поштове послання адміністратора системи і т. д. Негайний вивід повідомлення про спробу злому на екран консолі або адміністратора може допомогти, якщо спроба виявилася успішною і атакуючий вже проник в систему. До складу багатьох брандмауерів входять генератори звітів, службовці для обробки статистики. Вони дозволяють зібрати статистику по використанню ресурсів конкретними користувачами, щодо використання сервісів, відмов, джерелами, з яких проводилися спроби несанкціонованого доступу і т. д. Аутентифікація

Аутентифікація є одним з найважливіших компонентів брандмауерів. Перш ніж користувачеві буде надано право скористатися тим чи іншим сервісом, необхідно переконатися, що він дійсно той, за кого він себе видає (передбачається, що цей сервіс для даного користувача дозволено: процес визначення, які сервіси можна називається авторизацією. Авторизація зазвичай розглядається в контексті аутентифікації – як тільки користувач аутентифікований, для нього визначаються дозволені йому сервіси). При отриманні запиту на використання сервісу від імені будь-якого користувача, брандмауер перевіряє, який спосіб аутентифікації визначений для даного користувача і передає керування сервером аутентифікації. Після отримання позитивної відповіді від сервера аутентифікації брандмауер утворює запитувана користувачем з’єднання. Як правило, використовується принцип, що отримав назву \\”що він знає\\”” – тобто користувач знає деякий секретне слово