Файрвол и межсетевой экран разница
Термин «файрвол следующего поколения» (Next-Generation Firewall — NGFW) был придуман аналитиками Gartner Research и подразумевает использование в устройствах технологий сетевого брандмауэра третьего поколения. Эти решения основаны на брандмауэрах предыдущего поколения, функциональность которых была ограничена лишь простой проверкой и блокировкой при необходимости портов/протоколов. Но поскольку все большее число предприятий сейчас используют онлайн-приложения и службы SaaS, только лишь контроля портов и протоколов уже недостаточно для обеспечения эффективной сетевой безопасности. В отличие от них, в новых устройствах добавлена тесная интеграция дополнительных возможностей, таких как встроенная глубокая проверка пакетов (DPI), предотвращение вторжений (IPS) и проверка трафика на уровне приложений (Web Application Firewall). Некоторые NGFW также включают проверку зашифрованного трафика TLS/SSL, фильтрацию веб-сайтов, управление пропускной способностью и QoS, антивирусную проверку и интеграцию со сторонними системами управления идентификацией, такими как LDAP, RADIUS и Active Directory.
Файрволы следующего поколения в настоящее время относятся к категории зрелых решений. Однако продолжающийся массовый переход действующих ИТ-систем на общедоступные облачные платформы IaaS, такие как Amazon Web Services, Microsoft Azure и Google Cloud Platform, и, как следствие, рост сложности гибридных сетевых архитектур, является движущей силой для дальнейшего расширения возможностей межсетевых экранов нового поколения. В том числе, для обеспечения расширенного управления трафиком, оптимизации WAN, качества обслуживания и прозрачной интеграции облачной платформы.
Схема работы Next-Generation Firewall. Источник: Palo Alto Networks
Ниже приведено краткое описание наиболее популярных продуктов в сегменте NGFW. Более подробную информацию о продуктах можно получить в таблице сравнения NG Firewall на ROI4CIO, основанной на сравнении лидеров(по результатам исследования Gartner).
BARRACUDA
Barracuda CloudGen Firewall — это семейство физических, виртуальных и облачных устройств, которые нацелены на защиту инфраструктуры распределенной сети предприятия. Такие устройства обеспечивают повышенную безопасность, поскольку содержат полный набор технологий NGFW, включая профилирование приложений уровня 7, предотвращение вторжений, веб-фильтрацию, защиту от вредоносных программ и угроз, защиту от спама и контроль доступа к сети.
Кроме того, межсетевые экраны Barracuda CloudGen сочетают в себе продвинутую отказоустойчивую технологию VPN с интеллектуальным управлением трафика и возможностями оптимизации глобальной сети. Это позволяет снизить линейные затраты, повысить общую доступность сети, улучшить межсетевое соединение и обеспечить бесперебойный доступ к приложениям, размещенным в облаке. Масштабируемое централизованное управление помогает снизить административные издержки при определении и применении гранулированных политик во всей рассредоточенной сети.
Облачные брандмауэры Barracuda оптимально подходят для предприятий с множеством филиалов, поставщиков управляемых услуг и других организаций со сложной распределенной сетевой инфраструктурой.
Для мгновенной реакции на угрозы компания Barracuda предоставляет сервис Advanced Threat Protection — интегрированную облачную службу, которая анализирует трафик по всем основным векторам угроз.
Сервис Barracuda Advanced Threat Protection обеспечивает защиту инфраструктуры компании, а также возможность выявлять и блокировать новые сложные угрозы без ущерба для производительности и пропускной способности сети. Сервис Advanced Threat Protection доступен на всех моделях межсетевых экранов Barracuda CloudGen.
Среди основных преимуществ продуктов Barracuda CloudGen также можно назвать следующие:
- Балансировка интернет-трафика по нескольким восходящим каналам для минимизации времени простоя и повышения производительности.
- VPN-канал через несколько широкополосных соединений и замена MPLS (multiprotocol label switching).
- До 24 физических каналов связи для создания высокоизбыточных VPN-туннелей.
- Ускоренный доступ к облачным приложениям, таким как Office 365, благодаря динамической расстановке приоритетов над некритическим трафиком.
- Гарантированный доступ пользователей к критически важным приложениям благодаря гранулярному управлению политиками.
- Увеличенная пропускная способность канала за счет встроенной функции сжатия трафика и дедупликации данных.
Palo Alto Networks
Брандмауэры следующего поколения от компании Palo Alto Networks обнаруживают как известные, так и неизвестные угрозы (в том числе — в зашифрованном трафике) за счет использования данных, полученных со многих тысяч инсталлированных устройств. Благодаря такому подходу продукты Palo Alto Networks способны предотвращать широкий спектр атак. Например, эти файрволы позволяют пользователям получать доступ к данным и приложениям на основе бизнес-требований, а также предотвращают кражу учетных данных и возможность для злоумышленников применять похищенные учетные данные.
С помощью NGFW от Palo Alto Networks предприятия могут быстро создавать правила безопасности, которые соответствуют бизнес-политике, просты в обслуживании и адаптируются к динамической среде предприятия. Они сокращают время отклика благодаря автоматическим ответным действиям на основе политик, при этом ИТ-департамент получает возможность быстро автоматизировать рабочие процессы за счет интеграции с инструментами администрирования, такими как службы создания тикетов или с любой системой с RESTful API.
Файрволы следующего поколения Palo Alto Networks поставляются в виде виртуальных и аппаратных устройств. Например, серия VM защищает частные и общедоступные облачные среды, обеспечивая доступ к приложениям и предотвращая угрозы. Трафик классифицируется на основе приложений, а не портов, что дает детальное представление об угрозах.
Palo Alto Networks также поставляет широкий спектр аппаратных NGFW — от компактной модели PA-200 до супермощной системы корпоративного уровня PA-7000. Продукт PA-200 — это брандмауэр следующего поколения в небольшом форм-факторе, который защищает сети, блокируя широкий спектр киберугроз и одновременно обеспечивая безопасное включение приложений.
В то же время, устройства серии PA-7000 сочетают в себе сверхэффективное программное обеспечение с почти 700 специализированными высокопроизводительными процессорами для работы в сети, обеспечения безопасности, проверки содержимого и управления.
SonicWall
Компания SonicWall предлагает заказчикам защиту публичной, приватной или гибридной облачной среды с помощью виртуализированных версий межсетевых экранов нового поколения. Решения SonicWall позволяют упростить администрирование благодаря общей системе управления виртуальной и физической инфраструктурой.
Серия устройств SonicWall Network Security (NSA) предоставляет компаниям среднего и крупного размера набор функций для расширенного предотвращения угроз. За счет инновационных технологий глубокого обучения в облачной платформе SonicWall Capture, серия NSA обеспечивает автоматизированное детектирование и блокирование атак в режиме реального времени.
Устройства NGFW серии NSA отличаются двумя основными технологиями безопасности, обеспечивающими надежный заслон от кибератак. Усовершенствованная многопроцессорная служба расширенной защиты от угроз (ATP) — это фирменная технология глубокой проверки памяти в режиме реального времени (RTDMI) от SonicWall. Механизм RTDMI активно обнаруживает и блокирует массовые угрозы и угрозы нулевого дня, а также неизвестные вредоносные программы путем проверки непосредственно в памяти. Благодаря архитектуре реального времени технология SonicWall RTDMI сводит к минимуму ложные срабатывания, а также выявляет и смягчает изощренные атаки, когда атака вредоносного ПО осуществляется менее 100 наносекунд. Кроме того, запатентованный SonicWall механизм однопроходной глубокой проверки пакетов (RFDPI) проверяет каждый байт входящего и исходящего трафика. Применение в серии NSA облачной платформы SonicWall Capture, в дополнение к встроенным возможностям, включающим защиту от вторжений, вредоносных программ и фильтрацию веб/URL-адресов, позволяет блокировать даже самые опасные и коварные угрозы на шлюзе.
Кроме того, брандмауэры NGFW от SonicWall обеспечивают дополнительный уровень безопасности за счет выполнения полной расшифровки и проверки зашифрованных соединений TLS/SSL и SSH независимо от порта или протокола. Брандмауэр тщательно изучает каждый пакет (заголовок и данные) в поисках несоответствия протокола, угроз, нулевых дней, вторжений и даже определенных критериев. Механизм глубокой проверки пакетов обнаруживает и предотвращает скрытые атаки, которые используют криптографию, блокирует зашифрованные загрузки вредоносных программ, прекращает распространение инфекций и препятствует обмену данными между инфицированным компьютером и контрольным центром. Правила включения и исключения позволяют полностью контролировать, какой трафик подвергается дешифровке и проверке на основе определенных организационных требований и/или требований законодательства.
Когда предприятия активируют в своих брандмауэрах функции глубокой проверки пакетов, такие как IPS, антивирус, антишпионское ПО, расшифровка/проверка TLS/SSL и другие, производительность сети обычно снижается, иногда — кардинально. Однако межсетевые экраны серии NSA построены на многоядерной архитектуре, в которой применяются специализированные микропроцессоры. В сочетании с модулями RTDMI и RFDPI эта архитектура устраняет падение производительности сетевых систем.
Check Point
Бесшовная интеграция с ведущими поставщиками систем Identity and Access Management (IAM), такими как Microsoft Active Directory, гарантирует детальную идентификацию пользователя, которая может быть получена через:
- интеграцию с поставщиками IAM или веб-API;
- через портал;
- за счет установки единовременного тонкого агента на стороне клиента.
Для быстрой аналитики данных о событиях безопасности, разработчик включил в состав решения SmartLog — расширенный анализатор журналов, который предоставляет результаты поиска за доли секунды. Таким образом, отдел получает видимость угроз в режиме реального времени для многих миллионов записей в журнале.
Унифицированное управление безопасностью от Check Point упрощает монументальную задачу управления средой безопасности компании. Отдел ИБ будет видеть и контролировать угрозы, устройства и пользователей с помощью интуитивно понятного графического интерфейса, предоставляющего диаграммы и отчеты о состоянии системы безопасности.
NGFW от Check Point содержит программный блейд Check Point IPS, который защищает корпоративную сеть путем проверки пакетов, проходящих через шлюз. Это полнофункциональная IPS-система, обеспечивающая надежную защиту от вторжений и частые автоматические обновления базы определений угроз. Поскольку IPS является частью интегрированной архитектуры программных блейдов, заказчик получает все преимущества развертывания и управления унифицированным и расширяемым решением.
Cisco ASA NGFW
Файрволы следующего поколения от Cisco предлагают сразу целый ряд уникальных технологий. Прежде всего, следует отметить сервис Talos, обеспечиваемый командой из свыше 250 исследователей, ежедневно анализирующих миллионы угроз и создающих инструменты, которые Cisco NGFW применяет для защиты от следующей масштабной атаки. Помните эпидемии WannaCry, NotPetya, VPNFilter? Talos остановил эти мегаатаки (как и многие другие), прежде чем достигли цели, таким образом, клиенты NGFW Cisco получили автоматическую защиту.
Cisco NGFW используют встроенные расширенные функции безопасности, такие как IPS-системы следующего поколения, расширенная защита от вредоносных программ и «песочница», позволяющая видеть пользователей, хосты, сети и инфраструктуру. Они постоянно отслеживают подозрительную активность и, в случае нахождения, автоматически блокируют ее.
Следует отметить и еще один важный пункт: Cisco NGFW автоматизирует работу корпоративной сети и систем безопасности, что позволяет отделу ИБ экономить время и сосредоточиться на задачах с более высоким приоритетом. Оповещения об угрозах ранжированы по значимости, поэтому вы можете прекратить «стрелять наугад» и сосредоточиться на самых важных направлениях. Cisco NGFW работают вместе с остальными интегрированными инструментами безопасности Cisco, что позволяет своевременно предоставить информацию о всех направлениях атак. Когда эта система инструментов обнаруживает угрозу в одном месте, она автоматически блокирует ее везде.
Резюме: 5 советов по выбору продуктов класса NGFW
- Задача брандмауэра №1 — предотвращать атаки и обеспечивать безопасность компании заказчика. Но поскольку превентивные меры никогда не будут эффективными на 100%, файрвол класса NGFW также должен предлагать расширенные возможности для быстрого обнаружения продвинутых вредоносных программ. Потому выбирайте продукт со следующими возможностями:
- блокировка угроз, прежде чем они проникнут внутрь сети;
- качественная система IPS следующего поколения, интегрированная в файрвол с целью обнаружения скрытых угроз и быстрого их обезвреживания;
- фильтрация URL-адресов для соблюдения политик на сотнях миллионов URL-адресов;
- встроенная «песочница» и расширенная защита от вредоносных программ, которая непрерывно анализирует поведение файлов для быстрого детектирования и устранения угроз;
- собственный отдел антивирусных аналитиков, который занимается глобальным исследованием угроз и поставляет для NGFW-брандмауэров новейшие апдейты по предотвращению возникающих угроз.
- Полная видимость событий в сети. Вы не можете обеспечить защиту от того, что не видите. Ваш брандмауэр должен обеспечивать целостное представление об активности в сети, позволяющее оценить:
- активность угроз для пользователей, хостов, сетей и устройств;
- где и когда возникла угроза, где еще она была в вашей расширенной сети и какова ситуация сейчас;
- активные приложения и веб-сайты;
- связь между виртуальными машинами, передача файлов и многое другое.
- Гибкие возможности управления и развертывания
Независимо от того, какой размер бизнеса у заказчика — малое, среднее или крупное предприятие — межсетевой экран должен отвечать специфическим требованиям этого предприятия.
- Управление по запросу — выбирайте вариант встроенного в NGFW-файрвол «менеджера» или систему централизованного управления всеми устройствами.
- Вариант развертывания локально или в облаке с помощью виртуального брандмауэра.
- Настройка функций в соответствии с потребностями компании — для получения расширенных возможностей нужно просто подключить новые подписки.
- Быстрое время обнаружения
В настоящее время стандартное время обнаружения угроз составляет от 100 до 200 дней; это слишком долго. Межсетевой экран следующего поколения должен уметь:
- детектировать угрозы в считанные секунды;
- определять наличие успешного взлома в течение нескольких часов или минут;
- устанавливать приоритеты для уведомлений об атаках, благодаря чему отдел ИБ сможет быстро и точно предпринимать действия по устранению угроз.
- Интегрированная архитектура безопасности обеспечивает автоматизацию и снижает сложность администрирования
Брандмауэр следующего поколения не должен быть изолированным инструментом: он должен обмениваться информацией и работать вместе с остальными компонентами архитектуры безопасности. Поэтому выбирайте продукт, который удовлетворяет следующим требованиям:
- легко интегрируется с другими инструментами этого же поставщика;
- автоматически обменивается данными об угрозах, событиях, политиках и контекстной информации с инструментами безопасности электронной почты, конечных точек и сетевых компонентов;
- автоматизирует задачи безопасности, такие как оценка воздействия, настройка политик и идентификация пользователей.
В обзоре приведено краткое описание только 5 продуктов NGFW. Больше продуктов NGFW и детальную информацию по ним можно найти всравнительной таблице NGFW на ROI4CIO
--
Автор: Олег Пилипенко, для ROI4CIO
Межсетевым экраном называется программно-аппаратный или программный элемент, контролирующий на основе заданных параметров сетевой трафик, а в случае необходимости и фильтрующий его. Также может называться фаейрволом (Firewall) или брандмауэром.
Реализация межсетевых экранов
Межсетевые экраны (Firewall) могут быть либо программно-аппаратными, ибо программными. Первые могут быть выполнены как в виде отдельного модуля в маршрутизаторе или коммутаторе, так и специального устройства.
Чаще всего пользователи выбирают исключительно программные межсетевые экраны – по той причине, что для их использования достаточно лишь установки специального софта. Тем не менее, в организациях нередко найти свободный компьютер под заданную цель, бывает затруднительно – к тому же, отвечающий всем техническим требованиям, зачастую довольно высоким.
Именно поэтому крупные компании предпочитают установку специализированных программно-аппаратных комплексов, получивших название «security appliance». Работают они чаще всего на основе систем Linux или же FreeBSD, ограниченных функционалом для выполнения заданной функции.
Такое решение имеет следующие преимущества:
- Лёгкое и просто управление: контроль работы программно-аппаратного комплекса осуществляется с любого стандартного протокола (Telnet, SNMP) – или защищённого (SSL, SSH).
- Высокая производительность: работа операционной системы направлена на одну единственную функцию, из неё исключены любые посторонние сервисы.
- Отказоустойчивость: программно-аппаратные комплексы эффективно выполняют свою задачу, вероятность сбоя практически исключена.
Content Filtering
Говоря про контентную фильтрацию, в данном случае мы будем иметь в виду ZYXEL Content Filtering 2.0, который служит для управления и контроля доступа пользователей к сети.
Механизм наблюдения Zyxel Content Filtering 2.0 изучает особенности поведения пользователей в Интернет. Это позволяет оперативно сканировать принимаемую информацию из глобальной сети.
Проще говоря, данная система повышает уровень безопасности, блокируя доступ к опасным и подозрительным веб-сайтам и предотвращает загрузку с них вредоносного кода. В целях стандартизации и унификации настроек можно применять политики, например, для точно настраиваемой блокировки и фильтрации.
Если говорить об изменениях (собственно, почему «2.0»), то в новой версии Content Filtering были внесены несколько существенных изменений, в частности:
Переход на Content Filtering 2.0 происходит через загрузку соответствующего микрокода.
Отдельно стоит сказать о пополнении информационной базы. За счет обработки более 17 миллиардов транзакций каждый день, выполняемых 600 миллионами пользователей из 200 стран, пополняется глобальная база данных, и с каждым новым «знанием» повышается степень защиты системы. Стоит также отметить, что >99% контролируемого контента уже содержится в локальном кэше, что позволяет быстрее обрабатывать поступающие запросы.
Таблица 1. Security Service Content Filtering 2.0 — Схема применения.
Назначение межсетевых экранов
Сетевой экран используется для защиты отдельных сегментов сети или хостов от возможного несанкционированного проникновения через уязвимости программного обеспечения, установленного на ПК, или протоколов сети. Работа межсетевого крана заключается в сравнении характеристик проходящего сквозь него трафика с шаблонами уже известного вредоносного кода.
Наиболее часто сетевой экран инсталлируется на границе периметра локальной сети, где он выполняет защиту внутренних узлов. Тем не менее, атаки могут инициироваться изнутри, поэтому при атаке на сервер той же сети, межсетевой экран не воспримет это как угрозу. Это стало причиной, по которой брандмауэры стали устанавливать не только на границе сети, но и между её сегментами, что значительно повышает степень безопасности сети.
Пакетные фильтры
Пакетные фильтры используются на сетевом уровне, осуществляя контроль трафика на основе данных из заголовка пакетов. Нередко способны обрабатывать также заголовки протоколов и более высокого уровня – транспортного (UDP, TCP), Пакетные фильтры стали самыми первыми межсетевыми экранами, остаются самыми популярными и на сегодняшний день. При получении входящего трафика анализируются такие данные, как: IP получателя и отправителя, тип протокола, порты получателя и источника, служебные заголовки сетевого и транспортного протоколов.
Уязвимость пакетных фильтров заключается в том, что они могут пропустить вредоносный код, если он разделен на сегменты: пакеты выдают себя за часть другого, разрешённого контента. Решение этой проблемы заключается в блокировании фрагментированных данных, некоторые экраны способны также дефрагментировать их на собственном шлюзе – до отправки в основной узел сети. Тем не менее, даже в этом случае межсетевой экран может стать жертвой DDos-атаки.
Пакетные фильтры реализуются в качестве компонентов ОС, пограничных маршрутизаторов или персональных сетевых экранов.
Пакетные фильтры отличаются высокой скоростью анализа пакетов, отлично выполняют свои функции на границах с сетями низкой степени доверия. Тем не менее, они неспособны анализировать высокие уровни протоколов и легко могут жертвами атак, при которых подделывается сетевой адрес.
E-mail security
Данная служба включает в себя антиспам и проверку на фишинговые вложения.
В качестве инструментов в настройках "Anti-Spam" доступно:
- «белый список» — "White List", чтобы определять и пропускать полезную почту от доваренных отправителей.
- «черный список» — "Black List" для выявления и обработки спама;
- также возможна проверка электронной почты на наличие в «черных списках» DNS (DNSBL),
Примечание. DNSBL — это базы данных, где указываются домены и IP адреса подозрительных серверов. Существует большое число серверов DNSBL которые отслеживают IP адреса почтовых серверов, имеющих репутацию источников спама и заносят их в свои базы данных.
Шлюзы сеансового уровня
Использование сетевого экрана позволяет исключить прямое взаимодействие внешних серверов с узлом – в данном случае он играет роль посредника, называемого прокси. Он проверяет каждый входящий пакет, не пропуская те, что не принадлежат установленному ранее соединению. Те пакеты, которые выдают себя за пакеты уже завершённого соединения, отбрасываются.
Шлюз сеансового уровня – единственное связующее звено между внешней и внутренней сетями. Таким образом, определить топологию сети, которую защищает шлюз сеансового уровня, становится затруднительно, что значительно повышает её защищённость от DoS-атак.
Тем не менее, даже у этого решения есть значительный минус: ввиду отсутствия возможности проверки содержания поля данных хакер относительно легко может передать в защищаемую сеть трояны.
SSL Inspection
Позволяет проверять трафик, зашифрованный по протоколу SSL для того, чтобы остальные профили МСЭ могли раскрывать пакеты и работать с SSL трафиком как с незашифрованным. Когда информационный поток защищен от внешнего доступа при помощи шифрования, то и проверить его не представляется возможным — для этого тоже нужен доступ к его содержанию. Поэтому на этапе проверки трафик расшифровывается, прочитывается системой контроля и повторно шифруется, после чего передается в пункт назначения.
С одной стороны, внешне это напоминает атаку man-in-middle, что выглядит как нарушение системы защиты. С другой стороны, SSL шифрование защищает не только полезную информацию, но и всевозможные нарушения корпоративной безопасности. Поэтому применение SSL Inspection на этапе санкционированной проверки выглядит весьма оправданным.
Firewall
Данный сервис перешел «по наследству» от маршрутизаторов. При помощи файрвола отслеживаются и блокируются нежелательные адреса, закрываются порты, анализируются другие признаки пакетов, по которым можно «вычислить» нежелательный трафик. На этом этапе происходит отражения большого числа угроз, таких как попытки соединиться с общедоступными TCP портами, бомбардировка пакетами с целью выведения системы из строя и так далее.
Маршрутизатор
В самом названии маршрутизатор заключена расшифровка его предназначения.
В классическом (академическом) представлении маршрутизатор нужен для трансляции пакетов между раздельными IP сетями. Это решает вопрос объединения разрозненных LAN и предотвращения роста широковещательного трафика в одной большой локальной сети разделением её на сегменты. Разумеется, для правильного перенаправления трафика необходимо знать, куда его отправлять, то есть выстраивать маршрут (автор благодарит «Капитана Очевидность» за точную формулировку).
Современные модели маршрутизаторов работают выше 3-го уровня модели OSI. Помимо трансляции IP пакетов из одной сети в другую, эти устройства часто имеют функции управления трафиком, например, возможность закрывать/открывать TCP или UPD порты, выполнять функции Port Address Translation, PAT (иногда называется Destination NAT, DNAT) и так далее. Также для работы некоторых протоколов необходимо, чтобы маршрутизатор умел работать как Application-level gateway, ALG, для обеспечения работы таких протоколов как: PPTP, IPsec, RTSP, SIP, H.323, SMTP, DNS, TFTP.
Маршрутизатором может быть и старый компьютер с настроенной таблицей маршрутов, и специализированное сетевое устройство, которое только и делает, что анализирует простейшие условия вроде списков ACL и перебрасывает пакеты из одной сети в другую.
В частности, маршрутизаторы в виде отдельных устройств применяются, если требуется не только логическое (VLAN) но и физическое разделение на подсети. Например, нужно отделить сеть кампуса, где живут студенты, от университетской сети, где идут исследования.
В современных локальных сетях вместо маршрутизаторов в виде отдельных устройств часто используются коммутаторы L3, позволяющие управлять VLAN, и соответственно, отдельными подсетями.
Пример из практики. Сеть небольшого предприятия, где в качестве ядра сети использовался Cisco Catalyst 3750. Согласно требованиям безопасности, коммутаторы уровня доступа были настроены по принципу: один коммутатор — одна подсеть — один VLAN. Для удешевления проекта выбрали свичи от 3Com. Проще говоря, каждый 3Com был подключен строго в одном VLAN и в одной подсети, а пакеты между подсетями ходили через Catalyst.
С задачей маршрутизацией между VLAN вполне справится L3 коммутатор Zyxel XGS4600-32. Помимо перенаправления пакетов он обладает ещё множеством полезных функций.
Рисунок 1. Коммутатор Zyxel XGS4600-32 L3 с функциями маршрутизатора.
Application Patrol
Данная служба работает на 7 уровне OSI и проверяет популярные сетевые приложения, включая социальные сети, игры, бизнес-приложения совместно с моделью их поведения.
В Zyxel Application Patrol применяется модуль Deep Packet Inspection (DPI) для контроля использование сети. Данный модуль распознает 19 категорий приложений, что позволяет адаптировать протоколы управления с учетом конкретных приложений и их поведения.
Среди механизмов защиты можно отметить: назначение приоритетов для приложений, контроль полосы пропускания для каждого приложения, блокировка нежелательных приложений. Данные меры не только повышают уровень безопасности, но и улучшают работу сети в целом, например, через запрет нецелевого использования полосы пропускания.
Основой для идентификации приложений служат специальные сигнатуры, полученные благодаря анализу данных, модели поведения и так далее. Собранная информация хранится в база данных Zyxel и содержит данные о большом количестве различных приложений, включая особенности их поведения, генерируемый трафик и так далее. База данных постоянно обновляется.
Инспекторы состояния
Создатели инспекторов состояния поставили перед собой цель собрать воедино преимущества каждого их выше перечисленных типов сетевых экранов, получив таким образом брандмауэр, способный обрабатывать трафик как на сетевом, так и на прикладном уровнях.
Инспекторы состояния осуществляют контроль:
- всех сессий – основываясь на таблице состояний,
- всех передаваемых пакетов данных – на основе заданной таблицы правил,
- всех приложений, на основе разработанных посредников.
Фильтрация трафика инспектора состояния происходит тем же образом, что и при использовании шлюзов сеансового уровня, благодаря чему его производительность гораздо выше, чем у посредников прикладного уровня. Инспекторы состояния отличаются удобным и понятным интерфейсом, лёгкой настройкой, обладают широкими возможностями расширения.
Ограничения межсетевого экрана (Firewall-а)
Сетевой экран не проводит фильтрацию тех данных, которые не может интерпретировать. Пользователь сам настраивает, что делать с нераспознанными данными – в файле конфигураций, согласно которым и осуществляется обработка такого трафика. К таким пакетам данным относятся трафик из протоколов SRTP, IPsec, SSH, TLS, которые используют криптографию для скрытия содержимого, протоколы, шифрующие данные прикладного уровня (S/MIME и OpenPGP). Также невозможна фильтрация туннелирования трафика, если механизм того туннелирования непонятен сетевому экрану. Значительная часть недостатков межсетевых экранов исправлена в UTM-системах - Unified Threat Management, иногда их так же называют NextGen Firewall.
Создание защищенной системы — задача комплексная. Одна из мер обеспечения безопасности — использование межсетевых экранов (они же брандмауэры и файрволы). Как все мы знаем, брандмауэры бывают программными и аппаратными. Возможности и первых, и вторых — не безграничны. В этой статье мы попробуем разобраться, что могут брандмауэры обоих типов, а что им не под силу.
Программные и аппаратные файрволы
Первым делом нужно поговорить, что является программным, а что — аппаратным решением. Все мы привыкли, что если покупается какая-то «железка», то это решение называется аппаратным, а если коробочка с ПО, то это признак программного решения. На наш взгляд, разница между аппаратным и программным решением довольно условна. Что представляет собой железная коробочка? По сути, это тот же компьютер, пусть с другой архитектурой, пусть с немного ограниченными возможностями (к нему нельзя подключить клавиатуру и монитор, он «заточен» под выполнение одной функции), на который установлено ПО. ПО — это какой-то вариант UNIX-системы с «веб-мордой». Функции аппаратного брандмауэра зависят от используемого фильтра пакетов (опять-таки — это ПО) и самой «веб-морды». Все аппаратные брандмауэры можно «перепрошить», то есть по сути, просто заменить ПО. Да и с настоящей прошивкой (которая в старые-добрые времена выполнялась с помощью программатора) процесс обновления «прошивки» на современных устройствах имеет мало что общего. Просто на «флешку» внутри «железки» записывается новое ПО. Программный брандмауэр — это ПО, которое устанавливается на уже имеющийся самый обычный компьютер, но в случае с аппаратным брандмауэром — без ПО никак, а в случае с программным — без «железа» никак. Именно поэтому грань между данными типами межсетевых экранов весьма условная.
Наибольшая разница между программным и аппаратным брандмауэром даже отнюдь не функциональность. Никто не мешает выбрать аппаратный брандмауэр с нужными функциями. Разница в способе использования. Как правило, программный брандмауэр устанавливается на каждый ПК сети (на каждый сервер и на каждую рабочую станцию), а аппаратный брандмауэр обеспечивает защиту не отдельного ПК, а всей сети сразу. Конечно, никто не помешает вам установить аппаратный брандмауэр для каждого ПК, но все упирается в деньги. Учитывая стоимость «железок», вряд ли вам захочется защищать каждый ПК аппаратный брандмауэром.
Преимущества аппаратных брандмауэров
- Относительная простота развертывания и использования. Подключил, включил, задал параметры через веб-интерфейс и забыл о его существовании. Впрочем, современные программные межсетевые экраны поддерживают развертывание через ActiveDirectory, на которое тоже не уйдет много времени. Но, во-первых, не все брандмауэры поддерживают ActiveDirectory, и, во-вторых, не всегда на предприятии используется Windows.
- Размеры и энергопотребление. Как правило, аппаратные брандмауэры имеют более скромные размеры и меньшее энергопотребление. Не всегда, правда, энергопотребление играет роль, а вот размеры важны. Одно дело небольшая компактная коробочка, другое — огромный «системник».
- Производительность. Обычно производительность у аппаратного решения выше. Хотя бы потому, что аппаратный межсетевой экран занимается только своей непосредственной функцией — фильтрацией пакетов. На нем не запущены какие-либо сторонние процессы и службы, как это часто бывает в случае с программными брандмауэрами. Вот представьте, что вы организовали программный шлюз (с функциями межсетевого экрана и NAT) на базе сервера с Windows Server. Вряд ли вы будете выделять целый сервер только под брандмауэр и NAT. Это нерационально. Скорее всего, на нем будут запущены и другие службы — тот же AD, DNS и т.д. Уже молчу про СУБД и почтовые службы.
- Надежность. Считается, что аппаратные решения более надежны (именно по причине того, что на них редко когда выполняются сторонние службы). Но никто вам не мешает выделить отдельный системник (пусть даже не самый современный), установить на него ту же FreeBSD (одна из самых надежных в мире операционных систем) и настроить правила брандмауэра. Думаю, надежность такого решения будет не ниже, чем в случае с аппаратным файрволом. Но такая задача требует повышенной квалификации администратора, именно поэтому ранее было отмечено, что аппаратные решения более просты в использовании.
Преимущества программных межсетевых экранов
- Стоимость. Цена программного межсетевого экрана обычно ниже «железки». За цену среднего аппаратного решения можно защитить всю сеть программным брандмауэром.
- Возможность защиты сети изнутри. Не всегда угрозы исходят извне. Внутри локальной сети есть множество угроз. Атаки могут исходить с внутренних компьютеров. Инициировать атаку может любой пользователь LAN, например, недовольный компанией. Как уже отмечалось, можно, конечно, использовать отдельный аппаратный маршрутизатор для защиты каждого отдельного узла, но на практике нам таких решений не встречались. Уж больно они нерациональны.
- Возможность разграничения сегментов локальной сети без выделения подсетей. В большинстве случаев к локальной сети подключаются компьютеры разных отделов, например, бухгалтерии, финансового отдела, IT-отдела и т.д. Не всегда эти компьютеры должны взаимодействовать между собой. Как выполнить разграничение ИСПДн? Первое решение заключается в создании нескольких подсетей (например, 192.168.1.0, 192.168.2.0 и т.д.) и настройке надлежащим образом маршрутизации между этими подсетями. Нельзя сказать, что решение очень сложное, но все же сложнее, чем использование программного файрвола. Да и не всегда можно выделить подсети по тем или иным причинам. Второе решение заключается в использовании межсетевого экрана, предназначенного именно для защиты ИСПДн (не во всех программных межсетевых экранах легко разграничить ИСПДн). В этом случае даже в самой большой сети вы выполните разграничение ИСПДн за считанные минуты, и вам не придется возиться с настройкой маршрутизации.
- Возможность развертывания на существующих серверах. Нет смысла покупать еще одну «железку», если есть достаточный компьютерный парк. Достаточно на одном из серверов развернуть межсетевой экран и настроить NAT и машрутизацию. Обычно обе эти операции выполняются посредством графического интерфейса межсетевого экрана и реализуются посредством нескольких щелчков мышью в нужных местах.
- Расширенный функционал. Как правило, функционал программных межсетевых экранов шире, чем у их аппаратных собратьев. Так, некоторые межсетевые экраны предоставляют функции балансировки нагрузки, IDS/IPS и тому подобные полезные вещи, позволяющие повысить общую безопасность системы обработки данных. Да, такие функции есть не у всех программных брандмауэров, но ничто и никто не мешает вам выбрать межсетевой экран, соответствующий вашим нуждам. Конечно, такие функции есть и у некоторых аппаратных комплексов. Например, StoneGate IPS — предоставляет функционал системы предотвращения вторжений, но стоимость таких решений не всегда понравится руководству предприятия. Также есть и аппаратные балансировщики нагрузки, но они стоят еще дороже, чем аппаратные IPS.
Битва брандмауэров
- Jumper — позволяет обойти брандмауэр, используя методы «DLL injection» и «thread injection».
- DNS Tester — использует рекурсивный DNS-запрос, чтобы обойти брандмауэр.
- CPIL Suite — набор тестов (3 теста) от компании Comodo.
Все эти утилиты будут запускаться изнутри, то есть непосредственно с тестируемых компьютеров. А вот снаружи мы будем сканировать старым-добрым nmap.
Итак, у нас есть два компьютера. Оба подключены к Интернету. Один подключается через аппаратный межсетевой экран (работающий на базе маршрутизатора TP-Link) и на нем не установлены ни программный брандмауэр, ни антивирус. Второй компьютер подключен к Интернету непосредственно и защищен программным межсетевым экраном КиберСейф. На первом компьютере установлена Windows 7, на втором — Windows Server 2008 R2.
Тест 1: Jumper
Jumper, запущенный с правами администратора (чего греха таить, с такими правами работают множество пользователей), успешно выполнил свою задачу в Windows 7 (рис. 1). Ничто не могло ему помешать — ведь на нашей системе не было установлено ни одно средство защиты, ни антивирус, ни брандмауэр, ни IDS/IPS, а аппаратному брандмауэру все равно, что происходит на клиентских компьютерах. Он никак не может повлиять на происходящее.
Рис. 1. Jumper в Windows 7
Ради справедливости нужно отметить, что если бы пользователь работал не справами администратора, то у Jumper ничего бы не вышло.
В Windows Server 2008 Jumper даже не запустился, но это не заслуга межсетевого экрана, а самой операционной системы. Поэтому здесь между межсетевыми экранами — паритет, поскольку защита от данной уязвимости может быть обеспечена средствами самой операционной системы.
Тест 2. DNStester
Рис. 2. Тест не пройден
Если настройки брандмауэра оставить по умолчанию, то с данным тестом не справились, ни программный, ни аппаратный брандмауэр. Понятно, что аппаратному брандмауэру все равно, что происходит на рабочей станции, поэтому рассчитывать, что он защитит систему от этой уязвимости, не приходится. Во всяком случае, с дефолтными настройками (а они практически не изменялись).
Но это не говорит о том, что Киберсейф Межсетевой экран — плохой брандмауэр. При повышении уровня безопасности до третьего, тест был полностью пройден (см. рис. 3). Программа сообщила об ошибке в DNS-запросе. Чтобы убедиться, что это не заслуга Windows Server 2008 тест был повторен на машине с Windows 7.
Рис. 3. Тест пройден (DNStest)
Рис. 4. Антивирус Comodo заблокировал нежелательное приложение
Тест 3. Набор тестов от Comodo (CPIL)
- Нужно ввести передаваемые данные. Нами вводились значения 1, 2, 3 для тестов 1, 2 и 3 соответственно.
- Затем нажать одну из кнопок вызова теста (рис. 5)
Рис. 5. CPIL Test Suite
Рис. 6. Результат теста (аппаратный брандмауэр)
А вот при использовании программного брандмауэра тесты CPIL даже не запустились. При нажатии кнопок 1 — 3 ничего не произошло (рис. 7). Неужели это заслуга Windows Server 2008, а не брандмауэра? Мы решили это проверить. Поэтому на компьютер с Windows 7, защищенный аппаратным брандмауэром, был установлен Киберсейф Межсетевой экран. А вот в Windows 7 утилите удалось-таки прорвать оборону файрвола. Первый и третий тест были пройдены, а вот при нажатии кнопки Test 2 нам пришлось созерцать окно браузера Chrome, подобное изображенному на рис. 6.
Рис. 7. При нажатии на кнопку ничего не происходит (видно, что антивирус отключен)
Рис. 8. Тесты 1 и 3 пройдены
Тест 4. Сканирование извне
До этого мы пытались прорваться через брандмауэр изнутри. Сейчас же попробуем просканировать защищаемые брандмауэром системы. Сканировать будем сканером nmap. В результатах аппаратного брандмауэра никто не сомневался — все закрыто и невозможно даже определить тип тестируемой системы (рис. 9 и 10). На всех последующих иллюстрациях IP-адреса скрыты, поскольку являются постоянными — дабы ни у кого не было желания повторить тест на наших адресах.
Рис. 9. Сканирование аппаратного брандмауэра
Рис. 10. Сканирование аппаратного брандмауэра (детали хоста)
Теперь попробуем просканировать систему, защищенную программным межсетевым экраном. Понятное дело, по умолчанию программный межсетевой экран будет пропускать все и вся (рис. 11).
Рис. 11. Открытые порты (программный межсетевой экран, настройки по умолчанию)
Рис. 12. Определен тип системы (программный межсетевой экран, настройки по умолчанию)
Когда же настраиваются правила, то все встает на свои места (рис. 13). Как видите, программный брандмауэр обеспечивает безопасность защищаемой системы ничем не хуже, чем его «железный» коллега.
Рис. 13. Открытых портов нет
Атаки по локальной сети
Почему так важно обеспечить защиту внутри локальной сети? Многие администраторы ошибочно не уделяют внимание защите изнутри, а зря. Ведь внутри локальной сети можно реализовать множество атак. Рассмотрим некоторые из них.
ARP-атака
DoS-атаки, в том числе различные флуд-атаки
DoS-атаки (атаки на отказ) возможны не только в Интернете, но и в локальных сетях. Отличаются лишь методы таких атак. Природа DoS-атак может быть любой, однако, бороться с ними без брандмауэра, который был бы установлен на каждой машине локальной сети, невозможно.
Один из видов DoS-атаки, который может с успехом применяться в локальной сети — это ICMP-флуд. Брандмауэр КиберСейф Межсетевой экран содержит выделенные средства для борьбы с этим видом атак (рис. 14). Также он содержит средства балансировки нагрузки на сервер, что также может помочь в борьбе с DoS-атаками.
Рис. 14. ICMP безопасность (КиберСейф Межсетевой экран)
Подробнее о DOS-атаках вы можете прочитать в статье «Как защитить себя от DoS/DDoS-атак».
Смена MAC-адреса
В локальной сети компьютеры идентифицируются не только по IP-адресу, но и по MAC-адресу. Некоторые администраторы разрешают доступ к определенным ресурсам по MAC-адресу, поскольку IP-адреса, как правило, динамические и выдаются DHCP. Такое решение не очень себя оправдывает, поскольку MAC-адрес очень легко сменить. К сожалению, защититься от смены MAC-адреса с помощью брандмауэра не всегда возможно. Не каждый брандмауэр отслеживает изменение MAC-адреса, поскольку обычно привязан к IP-адресам. Здесь самое эффективное решение — использование коммутатора, позволяющего сделать привязку MAC-адреса к конкретному физическому порту коммутатора. Обмануть такую защиту практически невозможно, но и стоит она немало. Правда, есть и программные способы борьбы со сменой MAC-адреса, но они менее эффективны. Если вам интересен брандмауэр, который умеет распознавать подмену MAC-адреса, то обратите внимание на Kaspersky Internet Security 8.0. Правда, последний умеет распознавать подмену MAC-адреса только шлюза. Но зато он полноценно распознает подмену IP-адреса компьютера и IP-флуд.
Подмена IP-адреса
В сетях, где доступ к ресурсам ограничивается по IP-адресам, злоумышленник может сменить IP-адрес и получить доступ к защищаемому ресурсу. При использовании брандмауэра Киберсейф Межсетевой экран такой сценарий невозможен, поскольку нет привязки к IP-адресам даже у самого брандмауэра. Даже если изменить IP-адрес компьютера, то он все равно не войдет в состав ИСПДн, в которую стремиться проникнуть злоумышленник.
Routing-атаки
Данный вид атак основан на отправке жертве «фальшивых» ICMP-пакетов. Суть этой атаки в подмене адреса шлюза — жертве отправляется ICMP-пакет, сообщающий более короткий маршрут. Но на самом деле пакеты будут проходить не через новый маршрутизатор, а через компьютер злоумышленника. Как уже было отмечено ранее, Киберсейф Межсетевой экран обеспечивает безопасность ICMP. Аналогично, можно использовать и другие межсетевые экраны.
Существует и множество других атак в локальных сетях — и снифферы, и различные атаки с использованием DNS. Как бы там ни было, а использование программных брандмауэров, установленных на каждой рабочей станции, позволяет существенно повысить безопасность.
Выводы
Защита информационной системы должна быть комплексной — это и программные, и аппаратные брандмауэры, и антивирусы, и правильная настройка самой системы. Что же касается нашего противостояния между программными и аппаратными брандмауэрами, то первые эффективно использовать для защиты каждого узла сети, а последние — для защиты всей сети в целом. Аппаратный брандмауэр не может обеспечить защиту каждой отдельной рабочей станции, бессилен при атаках внутри сети, а также не может выполнить разграничение ИСПДн, которое необходимо выполнять в контексте защиты персональных данных.
Роутер (router) в переводе с английского дословно означает маршрутизатор. Но, как всегда, дословный перевод не всегда отражает реальность. Модели «роутеров для доступа в Интернет», предлагаемые большинством вендоров, по факту представляют собой межсетевой экран, сочетающий и простые функции вроде фильтрации по MAC, и «продвинутые» анализаторы, например, контроль приложений (Application Patrol).
Так что же такое маршрутизатор, межсетевой экран, и где их можно встретить?
Типы межсетевых экранов (Firewall)
Чаще всего межсетевые экраны классифицируют по поддерживаемому уровню сетевой модели OSI. Различают:
- Управляемые коммутаторы;
- Пакетные фильтры;
- Шлюзы сеансового уровня;
- Посредники прикладного уровня;
- Инспекторы состояния.
Управляемые коммутаторы
Нередко причисляются к классу межсетевых экранов, но осуществляют свою функцию на канальном уровне, поэтому не способны обработать внешний трафик.
Некоторые производители (ZyXEL, Cisco) добавили в свой продукт возможность обработки данных на основе MAC-адресов, которые содержатся в заголовках фреймов. Тем не менее, даже этот метод не всегда приносит ожидаемый результат, так как мак-адрес можно легко изменить с помощью специальных программ. В связи с этим в наши дни коммутаторы чаще всего ориентируются на другие показатели, а именно на VLAN ID.
Виртуальные локальные сети позволяют организовывать группы хостов, в которые данные стопроцентно изолированы от внешних серверов сети.
В рамках корпоративных сетей управляемые коммутаторы могут стать весьма эффективным и сравнительно недорогим решением. Главным их минусом является неспособность обрабатывать протоколы более высоких уровней.
Intrusion Detection/Prevention Service
Системы обнаружения вторжений Intrusion Detection System, IDS, давно нашли применение в межсетевых экранах. Данная функция предназначена для сетевого мониторинга, анализа и оповещения в случае обнаружения сетевой атаки. Механизм IDS основывается на определённом шаблоне и оповещает при обнаружении подозрительного трафика. К сожалению, IDS сами по себе не в состоянии остановить атаку, они лишь оповещают о ней.
А вот система предотвращения вторжений — Intrusion Prevention Service, IPS, является определенным шагом вперед и, помимо обнаружения нежелательного трафика, способна сама блокировать или отбрасывать нежелательные пакеты. Тем самым предотвращая попытки взлома или просто нежелательные события.
Для обеспечения работы IPS — используются специальные сигнатуры, благодаря которым можно распознавать нежелательный трафик и защищать сеть как от широко известных, так и от неизвестных атак. Помимо предотвращения вторжения и распространение вредоносного кода, IPS позволяет снизить нагрузку на сеть, блокируя опасный или попросту бесполезный трафик. База данных IPS включает информацию о глобальных атаках и вторжениях, собранную на публичных или специализированных закрытых сайтах, что позволяет обнаружить сетевые атаки при минимальном количестве ошибочных срабатываний.
Межсетевой экран
Обычный набор встроенных функций МСЭ (межсетевой экран): антивирус, IDP, патруль приложений — позволяет проверять трафик вплоть до 7 уровня OSI. Помимо этого, есть и другие возможности контроля, отсутствующие в обычных маршрутизаторах.
Разумеется, многие межсетевые экраны обладают стандартным «джентльменским набором» типичного маршрутизатора. Но «сила» МСЭ определяется наличием функций по фильтрации и управлению трафиком, а также усиленном аппаратным обеспечением для реализации этих задач.
Стоит отметить, что набор возможностей фильтрации того или иного устройства МСЭ вовсе не означает: «Чем больше функций смогли «накрутить», тем «лучше» межсетевой экран». Основной ошибкой было бы при покупке делать акцент на длине перечня всевозможных «фишек», без учета конкретного предназначения, конструктивных особенностей, параметров быстродействия и других факторов. Все должно быть строго дозировано и сбалансировано без перекосов в сторону «сверхбезопасности» или «суперэкономии».
И тут администратор сети сталкивается с первой проблемой. Если для SOHO сегмента не так уж сложно сформулировать типичный набор требований, то для корпоративного сегмента это требует дополнительной подготовки. Для лучшего удовлетворения нужд бизнеса существуют различные устройства — каждое под свою нишу. Например, для VPN Gateway набор функций по обеспечению безопасности, разумеется, играет большую роль, но основной задачей является все же создание и поддержание работоспособности VPN каналов. В качестве примера такого устройства можно привести ZyWALL VPN1000
Рисунок 2. Межсетевой экран VPN — ZyWALL VPN1000
А вот для Secure Gateway всевозможные фильтры, «Песочница» и другие виды проверок стоят на первом месте. В качестве примера такого специализированного устройства для повышения уровня защиты можно привести ZyWALL ATP800.
Рисунок 3. Межсетевой экран для обеспечения безопасности — ZyWALL ATP800.
Как видно из рисунков, внешний вид подобных устройств может быть весьма схож, а всё отличие заключается внутри — программном и аппаратном обеспечении. Более подробно об можно прочитать в статье «Для тех, кто выбирает межсетевой экран».
Механизмы защиты межсетевых экранов
Теперь, когда мы обсудили отличия между маршрутизаторами и сетевыми экранами, а также между различными типами межсетевых экранов — самое время поговорить о методах поддержания требуемого уровня безопасности. Какие этапы защиты, через которые проходит трафик, помогают поддерживать сеть в безопасности?
История создания
Свою историю сетевые экраны начинают с конца восьмидесятых прошлого века, когда Интернет ещё не стал повседневной вещью для большинства людей. Их функцию выполняли маршрутизаторы, осуществлявшие анализ трафика на основе данных из протокола сетевого уровня. Затем, с развитием сетевых технологий, эти устройства смогли использовать данные уже транспортного уровня. По сути, маршрутизатор являет собой самую первую в мире реализацию программно-аппаратного брандмауэра.
Программные сетевые экраны возникли много позже. Так, Netfilter/iptables, межсетевой экран для Linux, был создан только в 1998 году. Связано это с тем, что ранее функцию фаейрвола выполняли, и весьма успешно, антивирусные программы, но с конца 90-х вирусы усложнились, и появление межсетевого экрана стало необходимым.
Посредники прикладного уровня
Как и шлюзы сеансового уровня, фаейрволы прикладного уровня осуществляют посредничество между двумя узлами, но отличаются существенным преимуществом – способностью анализировать контекст передаваемых данных. Сетевой экран подобного типа может определять и блокировать нежелательные и несуществующие последовательности команд (подобное часто означает ДОС-атаку), а также запрещать некоторые из них вообще.
Посредники прикладного уровня определяют и тип передаваемой информации – ярким примером являются почтовые службы, запрещающие передачу исполняемых файлов. Кроме этого они могут осуществлять аутентификацию пользователя, наличие у SSL-сертификатов подписи от конкретного центра.
Главным минусом такого типа сетевого экрана является долгий анализ пакетов, требующий серьёзных временных затрат. Помимо этого, у посредников прикладного уровня нет автоподключения поддержки новых протоколов и сетевых приложений.
Фильтрация трафика
Трафик фильтруется на основе заданных правил – ruleset. По сути, межсетевой экран представляет собой последовательность анализирующих и обрабатываемых трафик фильтров согласно данному пакету конфигураций. У каждого фильтра своё назначение; причём, последовательность правил может значительно влиять на производительность экрана. К примеру, большинство файрволов при анализе трафика последовательно сравнивают его с известными шаблонами из списка – очевидно, что наиболее популярные виды должны располагаться как можно выше.
Принципов, по которому осуществляется обработка входящего трафика, бывает два. Согласно первому разрешаются любые пакеты данных, кроме запрещённых, поэтому если он не попал ни под какое ограничение из списка конфигураций, он передается далее. Согласно второму принципу, разрешаются только те данные, которые не запрещены – такой метод обеспечивает самую высокую степень защищенности, однако существенно нагружает администратора.
Межсетевой экран выполняет две функции: deny, запрет данных – и allow – разрешение на дальнейшую передачу пакет. Некоторые брандмауэры способны выполнять также операцию reject – запретить трафик, но сообщить отправителю о недоступности сервиса, чего не происходит при выполнении операции deny, обеспечивающей таким образом большую защиту хоста.
Antimalware
Исторически под этим названием понимают классический антивирус, но в последнее время область применения данного механизма защиты значительно расширена и включает в себя не только защиту от вирусов, но и от другого вредоносного кода, включая фишинговые приложения, небезопасные скрипты и так далее.
В качестве «движка» (engine) в межсетевых шлюзах Zyxel используются локальные сигнатуры от BitDefender и облачные от McAfee.
В итоге
Мы только поверхностно пробежали по небольшой части функций, которые отличают маршрутизатор от межсетевого экрана. Тем не менее, очевидно, что эти устройства имеют разное предназначение, функции, схемы использования. Эти особенности находят свое отражение как при проектировании новых сетей, так и при эксплуатации уже существующих.
Sandbox
Традиционно из самых больших проблем сетевой безопасности является постоянное распространение новых вирусов.
Выше уже описывались другие средства защиты: IPS и антивирус (antimalware) для защиты сетей. Однако эти две функции не всегда эффективны против новых модификаций вредоносного кода. Зачастую приходится сталкиваться с мнением о том, что антивирус «на потоке» способен определить только очень простые и широко известные угрозы, в первую очередь полагаясь на записи в антивирусных базах. Для более серьезных случаев требуется поведенческий анализ. Грубо говоря, нужно создать для предполагаемого вредоносного кода комфортные условия и попробовать его запустить.
Как раз «Песочница» (Sandbox) — это и есть виртуализированная, изолированная и безопасная среда, в которой запускаются неизвестные файлы для анализа их поведения.
«Песочница» работает следующим образом:
Когда файл проходит через вирусную программу, она сначала проверяет базу данных защиты от вредоносных программ.
Если файл неизвестен, его копия перенаправляется в Sandbox.
Эта служба проверяет файл и определяет, является ли он нормальным, подозрительным или опасным.
По результатам проверки «Песочница», размещенная в облаке, получит новую информацию об этом новом элементе и сохранить её в своей базе данных для аналогичных случаев. Таким образом, облачная архитектура не только делает его общедоступным, но и позволяет постоянно обновлять в режиме реального времени.
В свою очередь, база данных защиты от вредоносных программ регулярно синхронизируется с «Песочницей», чтобы поддерживать ее в актуальном состоянии и блокировать новые вредоносные вирусы в режиме реального времени.
IP Reputation
Это облачное расширение функций обычного файрвола и безусловный шаг вперед. Дело в том, что в обычной ситуации система ничего не знает об источнике или приемнике (в зависимости от типа трафика). Если это явно не прописано в правилах файрвола, например, «Запретить», то трафик будет проходить, пусть даже от самых вредоносных сайтов. Функция IP Reputation позволяет проверить, является ли IP-адрес подозрительным или «засветился» в той или иной базе данных по проверке репутации. Если со стороны базы данных поступили сведения о плохой репутации IP адреса, то появляется возможность для маневра: оставить прохождение трафика без изменений, запретить полностью или разрешить при определенном условии.
Проверка происходит быстро, потому что отправляется только сам IP адрес и короткий запрос, ответ также приходит в крайне лаконичной форме, что не оказывает сильного влияние на объем трафика.
Читайте также: