Что такое Брандмауэр?
Брандмауэр - это программное обеспечение или прошивка, предотвращающая несанкционированный доступ к сети. Он проверяет входящий и исходящий трафик, используя набор правил для выявления и блокировки угроз.
Брандмауэры используются как в личных, так и в корпоративных настройках, и многие устройства поставляются с одним встроенным, включая компьютеры Mac, Windows и Linux. Они широко считаются важным компонентом сетевой безопасности.
Почему важны брандмауэры?
Брандмауэры важны, потому что они оказали огромное влияние на современные методы безопасности и до сих пор широко используются. Впервые они появились на заре Интернета, когда сетям потребовались новые методы безопасности, которые могли бы справиться с возрастающей сложностью. С тех пор межсетевые экраны стали основой сетевой безопасности в модели клиент-сервер - центральной архитектуре современных вычислений. Большинство устройств используют брандмауэры или тесно связанные инструменты для проверки трафика и устранения угроз.
Использует
Брандмауэры используются как в корпоративных, так и в пользовательских настройках. Современные организации включают их в стратегию управления информацией и событиями безопасности (SIEM) вместе с другими устройствами кибербезопасности. Они могут быть установлены на периметре сети организации для защиты от внешних угроз или внутри сети для создания сегментации и защиты от внутренних угроз. В дополнение к немедленной защите от угроз брандмауэры выполняют важные функции регистрации и аудита. Они ведут учет событий, которые могут использоваться администраторами для выявления закономерностей и улучшения наборов правил. Правила следует регулярно обновлять, чтобы не отставать от постоянно развивающихся угроз кибербезопасности. Поставщики обнаруживают новые угрозы и как можно скорее разрабатывают исправления для их устранения. В одной домашней сети брандмауэр может фильтровать трафик и предупреждать пользователя о вторжениях. Они особенно полезны для постоянно активных подключений, таких как цифровая абонентская линия (DSL) или кабельный модем, поскольку в этих типах подключения используются статические IP-адреса. Их часто используют вместе с антивирусными приложениями. Персональные межсетевые экраны, в отличие от корпоративных, обычно представляют собой единый продукт, а не набор различных продуктов. Это может быть программное обеспечение или устройство со встроенным микропрограммным обеспечением брандмауэра. Аппаратные / встроенные брандмауэры часто используются для установки ограничений между домашними устройствами.
Как работает межсетевой экран?
Брандмауэр устанавливает границу между внешней сетью и сетью, которую он охраняет. Он вставляется в сетевое соединение и проверяет все пакеты, входящие и исходящие из защищенной сети. При проверке он использует набор предварительно настроенных правил, чтобы различать доброкачественные и вредоносные пакеты. Термин «пакеты» относится к фрагментам данных, которые отформатированы для передачи через Интернет. Пакеты содержат сами данные, а также информацию о данных, например, откуда они пришли. Межсетевые экраны могут использовать эту информацию о пакете, чтобы определить, соответствует ли данный пакет установленному правилу. В противном случае пакет будет заблокирован от входа в охраняемую сеть. Наборы правил могут быть основаны на нескольких вещах, обозначенных пакетными данными, в том числе:Их источник.
Их пункт назначения.
Их содержание.
Эти характеристики могут быть представлены по-разному на разных уровнях сети. Когда пакет перемещается по сети, он несколько раз переформатируется, чтобы сообщить протоколу, куда его отправить. Существуют различные типы межсетевых экранов для чтения пакетов на разных уровнях сети.
Межсетевые экраны с фильтрацией пакетов
Когда пакет проходит через межсетевой экран с фильтрацией пакетов , проверяются его адрес источника и назначения, протокол и номер порта назначения . Пакет отбрасывается - то есть не пересылается по назначению - если он не соответствует набору правил брандмауэра. Например, если брандмауэр настроен с правилом для блокировки доступа по Telnet , то брандмауэр будет отбрасывать пакеты, предназначенные для порта протокола управления передачей ( TCP ) номер 23, порта, на котором приложение сервера Telnet будет прослушивать. Межсетевой экран с фильтрацией пакетов работает в основном на сетевом уровне эталонной модели OSI, хотя транспортный уровень используется для получения номеров портов источника и назначения. Он проверяет каждый пакет независимо и не знает, является ли какой-либо конкретный пакет частью существующего потока трафика. Брандмауэр с фильтрацией пакетов эффективен, но поскольку он обрабатывает каждый пакет изолированно, он может быть уязвим для атак с подменой IP-адреса и в значительной степени заменен брандмауэрами с отслеживанием состояния.
Межсетевые экраны с отслеживанием состояния
Межсетевые экраны с отслеживанием состояния, также известные как межсетевые экраны с динамической фильтрацией пакетов, отслеживают коммуникационные пакеты с течением времени и проверяют как входящие, так и исходящие пакеты.Этот тип поддерживает таблицу, в которой отслеживаются все открытые соединения. Когда приходят новые пакеты, он сравнивает информацию в заголовке пакета с таблицей состояний - своим списком допустимых соединений - и определяет, является ли пакет частью установленного соединения. Если это так, пакет пропускается без дальнейшего анализа. Если пакет не соответствует существующему соединению, он оценивается в соответствии с набором правил для новых соединений. Хотя межсетевые экраны с проверкой состояния достаточно эффективны, они могут быть уязвимы для атак типа «отказ в обслуживании» (DoS) . DoS-атаки работают за счет использования установленных соединений, которые этот тип обычно считает безопасными.
Брандмауэры прикладного уровня и прокси
Этот тип также может называться брандмауэром на основе прокси или обратным прокси . Они обеспечивают фильтрацию на уровне приложений и могут проверять полезную нагрузку пакета, чтобы отличить действительные запросы от вредоносного кода, замаскированного под действительный запрос данных. По мере того, как атаки на веб-серверы становились все более распространенными, стало очевидно, что существует потребность в межсетевых экранах для защиты сетей от атак на уровне приложений. Межсетевые экраны с фильтрацией пакетов и отслеживанием состояния не могут этого сделать на уровне приложений. Поскольку этот тип исследует содержимое полезной нагрузки, он дает инженерам по безопасности более детальный контроль над сетевым трафиком. Например, он может разрешить или запретить конкретную входящую команду Telnet от определенного пользователя, тогда как другие типы могут управлять только общими входящими запросами от определенного хоста. Когда этот тип находится на прокси-сервере, что делает его брандмауэром прокси, злоумышленнику становится сложнее обнаружить, где на самом деле находится сеть, и создается еще один уровень безопасности. И клиент, и сервер вынуждены проводить сеанс через посредника - прокси-сервер, на котором размещен брандмауэр прикладного уровня. Каждый раз, когда внешний клиент запрашивает соединение с внутренним сервером или наоборот, клиент вместо этого открывает соединение с прокси. Если запрос на соединение соответствует критериям в базе правил брандмауэра, брандмауэр прокси откроет соединение с запрошенным сервером. Ключевым преимуществом фильтрации на уровне приложений является возможность блокировать определенный контент, такой как известные вредоносные программы или определенные веб-сайты, и распознавать, когда определенные приложения и протоколы, такие как протокол передачи гипертекста ( HTTP ), протокол передачи файлов (FTP) и система доменных имен ( DNS ), используются не по назначению. Правила брандмауэра прикладного уровня также могут использоваться для управления выполнением файлов или обработкой данных конкретными приложениями.
Межсетевые экраны нового поколения (NGFW)
Этот тип представляет собой комбинацию других типов с дополнительным программным обеспечением безопасности и встроенными устройствами. У каждого типа есть свои сильные и слабые стороны, некоторые защищают сети на разных уровнях модели OSI. Преимущество NGFW заключается в том, что он сочетает в себе сильные стороны каждого типа и недостатки каждого типа. NGFW часто представляет собой набор технологий под одним именем, а не один компонент. Современные сетевые периметры имеют так много точек входа и разных типов пользователей, что требуются более строгий контроль доступа и безопасность на хосте. Эта потребность в многоуровневом подходе привела к появлению NGFW.NGFW объединяет три ключевых актива: традиционные возможности межсетевого экрана, осведомленность о приложениях и IPS. Подобно введению проверки с отслеживанием состояния в межсетевые экраны первого поколения, NGFW привносят дополнительный контекст в процесс принятия решений межсетевым экраном.NGFW сочетают в себе возможности традиционных корпоративных межсетевых экранов, в том числе трансляцию сетевых адресов ( NAT ), блокировку унифицированного указателя ресурсов (URL) и виртуальные частные сети ( VPN ), с функциональностью качества обслуживания ( QoS ) и функциями, которые традиционно не встречаются в первых версиях. продукция поколения. NGFW поддерживают сеть на основе намерений, включая проверку Secure Sockets Layer ( SSL ) и Secure Shell ( SSH ), а также обнаружение вредоносных программ на основе репутации. NGFW также используют глубокую проверку пакетов ( DPI ) для проверки содержимого пакетов и предотвращения вредоносных программ. Когда NGFW или любой межсетевой экран используется вместе с другими устройствами, это называется единым управлением угрозами (UTM).
Уязвимости
Менее продвинутые брандмауэры - например, фильтрация пакетов - уязвимы для атак более высокого уровня, поскольку они не используют DPI для полной проверки пакетов. NGFW были введены для устранения этой уязвимости. Тем не менее, NGFW по-прежнему сталкиваются с проблемами и уязвимы для развивающихся угроз. По этой причине организациям следует объединить их с другими компонентами безопасности, такими как системы обнаружения вторжений и системы предотвращения вторжений. Вот некоторые примеры современных угроз, которым может быть уязвим межсетевой экран: Внутренние атаки: организации могут использовать внутренние брандмауэры поверх брандмауэра по периметру для сегментации сети и обеспечения внутренней защиты. Если есть подозрение на атаку, организации могут провести аудит конфиденциальной информации с помощью функций NGFW. Все аудиты должны соответствовать базовой документации в организации, в которой излагаются передовые методы использования сети организации. Вот некоторые примеры поведения, которое может указывать на инсайдерскую угрозу:
передача конфиденциальных данных в виде обычного текста.
доступ к ресурсам в нерабочее время.
сбой доступа к конфиденциальным ресурсам со стороны пользователя.
доступ к сетевым ресурсам сторонних пользователей.
Распределенные атаки типа «отказ в обслуживании» (DDos): DDoS-атака - это злонамеренная попытка нарушить нормальный трафик целевой сети, завалив цель или окружающую ее инфраструктуру потоком трафика. Он использует несколько скомпрометированных компьютерных систем в качестве источников атакующего трафика. Используемые машины могут включать компьютеры и другие сетевые ресурсы, такие как устройства Интернета вещей (IoT). DDoS-атака похожа на пробку, не позволяющую обычному трафику достигать желаемого пункта назначения. Ключевой проблемой при предотвращении DDoS-атаки является различие между атакой и обычным трафиком. Часто трафик этого типа атаки может исходить из кажущихся законными источников и требует перекрестной проверки и аудита со стороны нескольких компонентов безопасности.
Вредоносное ПО. Угрозы вредоносного ПО разнообразны, сложны и постоянно развиваются вместе с технологиями безопасности и сетями, которые они защищают. По мере того, как сети становятся более сложными и динамичными с развитием Интернета вещей, межсетевым экранам становится все труднее защищать их.
Исправление / конфигурация: плохо настроенный брандмауэр или пропущенное обновление от поставщика могут нанести ущерб сетевой безопасности. ИТ-администраторы должны активно поддерживать свои компоненты безопасности.
Поставщики межсетевых экранов
Предприятия, желающие приобрести межсетевой экран, должны знать свои потребности и понимать архитектуру своей сети. Существует множество различных типов, функций и поставщиков, которые специализируются на этих различных типах. Вот несколько уважаемых поставщиков NGFW:Пало-Альто: обширное покрытие, но не дешево.
SonicWall: хорошее соотношение цены и качества, имеет ряд предприятий, для которых он может работать. SonicWall предлагает решения для малых, средних и крупных сетей. Единственный недостаток - отсутствие облачных функций.
Cisco: самый широкий набор функций для NGFW, но и не дешевый.
Sophos: удобен для предприятий среднего размера и прост в использовании.
Barracuda: достойная цена, отличное управление, поддержка и облачные функции.
Fortinet: обширный охват, отличная ценность и некоторые облачные функции.
Будущее сетевой безопасности
На заре Интернета, когда Стивен М. Белловин из AT&T впервые использовал метафору межсетевого экрана, сетевой трафик в основном шел с севера на юг. Это просто означает, что большая часть трафика в центре обработки данных перетекает от клиента к серверу и с сервера к клиенту. Однако в последние несколько лет виртуализация и такие тенденции, как конвергентная инфраструктура, привели к увеличению трафика с востока на запад, а это означает, что иногда самый большой объем трафика в центре обработки данных перемещается с сервера на сервер. Чтобы справиться с этим изменением, некоторые корпоративные организации перешли от традиционных трехуровневых архитектур ЦОД к различным формам листовых архитектур. Это изменение в архитектуре заставило некоторых экспертов по безопасности предупредить, что, хотя брандмауэры по-прежнему играют важную роль в обеспечении безопасности сети,они рискуют стать менее эффективными. Некоторые эксперты даже прогнозируют полный отход от модели клиент-сервер.Одно из возможных решений - использование программно определяемых периметров (SDP). SDP больше подходит для виртуальных и облачных архитектур, поскольку он имеет меньшую задержку, чем межсетевой экран. Он также лучше работает в моделях безопасности, которые все больше ориентируются на идентификацию. Это связано с тем, что он ориентирован на защиту доступа пользователей, а не на доступ на основе IP-адреса. SDP основан на структуре нулевого доверия.
