Огнен ѕид

(Пренасочено од Firewall)

Огнен ѕид или огноѕид (англиски: firewall) — дел од компјутерскиот систем или компјутерската мрежа кој е наменет за да блокира неовластен пристап, а да ги одобрува овластените комуникации. Тоа е уред или група на уреди, конфигуриран да одобрува или негира мрежни преноси врз основа на збир од правила и други критериуми.

Огнен ѕид - графичка претстава

Огнените ѕидови може да се имплементираат и во хардвер и во софтвер, или комбинација од двете. Огнените ѕидови многу често се користат за да се спречи неавторизиран пристап на интернет корисниците до приватните мрежи поврзани на Интернет, особено во интранети. Сите пораки кои влегуваат или излегуваат од Интранет минуваат низ огнениот ѕид, кој ги проверува и ги блокира оние кои не исполнуваат одредени безбедносни критериуми.

Постојат неколку типови техники на огнен ѕид:

  1. Филтрирање на пакет: Филтрирањето на пакети го проверува секој пакет што поминува низ мрежата и го прифаќа или отфрла врз основа на правилата дефинирани од корисникот. Иако оваа техника е тешка да се конфигурира, прилично е делотворна и најтранспарентна за своите корисници. Подложна е на IP измама.
  2. Апликациски филтер: Применува безбедносни механизми за специфични апликации, како на пример FTP (Протокол за пренос на податотеки) и Telnet опслужувачи. Оваа техника е многу ефикасна, но може да предизвика деградирање.
  3. На ниво на врска: Применува безбедносни механизми, кога TCP или UDP врска е воспоставена. Откако врската е воспоставена, пакетите можат да се движат помеѓу домаќините без понатамошни проверки.
  4. Прокси опслужувач: Ги пресретнува сите пораки кои влегуваат и излегуваат од мрежата. Прокси опслужувачот ефикасно ги прикрива вистинските мрежни адреси.

Историја

уреди

Првичното значење на терминот firewall/fireblock е ѕид за да се ограничи пожар или потенцијален пожар во една зграда. Подоцна се користи за слични структури, како што е лим за одвојување на одделот за моторот на возило или одвојување на пилотската кабина од купето.

- Morris Worm се шири низ повеќе пропусти во машините. Иако немаше цел да наштети, Morris Worm (црвот Морис) беше првиот голем напад на Интернет сигурноста; онлајн заедницата ниту очекуваше, ниту беше подготвена да се справи со напад.

Прва генерација: филтрирање на пакет

уреди

Првиот документ, објавен за технологијата на огнениот ѕид бил во 1988 година, кога инженерите од Digital Equipment Corporation (DEC) развиле филтер системи познати како огнени ѕидови со пакет филтрирање. Овој прилично елементарен систем бил првата генерација на она што стана високо развиена и техничка одлика на интернет безбедноста. Во лабораториите на АТ&Т Bell, Бил Чесвик и Стив Биловин продолжиле со нивните истражувања за филтрирањето на пакети и развиле функционален модел за нивната сопствена компанија, врз основа на нивната архитектура од првата оригинална генерација.

Овој тип на филтрирање на пакети не обрнува внимание на тоа дали еден пакет е дел од постоечки проток на сообраќај (т.е. не складира информации за состојбата на врската). Наместо тоа, секој пакет го филтрира само на информациите содржани во самиот пакет (најчесто со користење на комбинација од изворот на пакетот и одредишната адреса, неговиот протокол, и бројот на портот на TCP и UDP сообраќајот).

Протоколите TCP и UDP го образуваат поголемиот дел од комуникацијата преку интернет, и затоа што TCP и UDP сообраќајот по договор користи добро познати портови за одредени видови на сообраќај, филтрирањето на пакети без информации за состојбата може да ги разликува, а со тоа и да ги контролира овие видови на сообраќај (како што се прелистување, далечинско печатење, праќање на електронско писмо, пренос на податотеки), само ако машините на двете страни од филтрирањето на пакетот ги користат истите нестандардни портови.

Втора генерација: апликациски слој

уреди

Клучната придобивка од филтрирањето на апликацискиот слој е што може да се „разберат“ одредени апликации и протоколи (како протокол за пренос на податотеки, DNS, или прелистувач), и може да открие ако несакан протокол е прикриен во нестандарден порт или ако се злоупотребува на било кој начин.

Огнениот ѕид на апликациско ниво е многу посигурен и подоверлив во споредба со огнените ѕидови со филтрирање на пакет затоа што работи на сите седум слоеви на OSI моделот, од апликацискиот до физичкиот слој. Ова е слично на огнениот ѕид со филтрирање на пакети, но тука исто така може да се филтрираат информациите врз основа на содржината. Најдобар пример за апликациски огнен ѕид е ISA (Internet Security and Acceleration) опслужувачот. Апликацискиот огнен ѕид може да филтрира повисок слој протоколи како што се FTP, Telnet, DNS, DHCP, HTTP, TCP, UDP и TFTP (GSS). На пример, ако некоја организација сака да го блокира сите информации поврзани со "foo" тогаш филтрирањето на содржини може да биде овозможено во огнениот ѕид за да го блокира тој збор. Софтверски заснованите огнени ѕидови се многу побавни од хардверски заснованите огнени ѕидови кои содржат информации за состојбата, но специјално наменетите уреди (McAfee & Palo Alto) овозможуваат многу повисоки нивоа на изведба за апликациска проверка.

Во 2009/2010, фокусот на продавачите на безбедност на огнен ѕид се сврте кон проширување на списокот на апликации, таквите огнени ѕидови сега опфаќаат стотици, а во некои случаи илјадници апликации кои може автоматски да се идентификуваат. Многу од овие апликации, не само што може да бидат блокирани или дозволени, туку можат да бидат манипулирани од страна на понапредни производи за заштита, за да се дозволи одредено спроведување на функционално овозможување на мрежна безбедност, за да им даде на корисниците функционалност без овозможување на непотребни пропусти. Како последица,оваа напредна верзија на „втората генерација“. огнените ѕидови се нарекуваат „следна генерација“, а ги надминуваат огнените ѕидови од „третата генерација“. Поради природата на малициозни комуникации, се очекува дека овој тренд ќе мора да продолжи да им овозможува на организациите да бидат навистина безбедни.

Трета генерација: филтри со податоци за состојбата на врската

уреди

Од 1989-1990 година тројца колеги од лабораторијата АТ&Т Бел, Дејв Пресето, Џанардан Шарма и Кшитиј Нигам ја развија третата генерација на огнени ѕидови.

Третата генерација огнени ѕидови, како дополнување на она што им беше потребно на оние од прва и втора генерација, ја зема предвид положбата на секој поединечен пакет во рамките на серијата пакети. Оваа технологија е позната како проверка на состојбата на пакетите, која што води евиденција за сите врски што минуваат низ огнениот ѕид, и е во состојба да утврди дали еден пакет е почеток на нова врска, дел од веќе постоечка врска или е невалиден пакет. Иако сè уште постои серија од статички правила во таков огнен ѕид, состојбата на самата врска може да биде еден од критериумите за дефинирање на одредени правила.

Овој вид на огнен ѕид, може да биде искористен од одредени DDoS напади кои можат да ја пополнат табелата со нелегитимни врски.

Понатамошни развивања

уреди

Во 1992 година, Боб Бреден и Анет Дешон на Универзитетот во Јужна Калифорнија (USC) го подобриле концептот на огнениот ѕид. Производот познат како " Visas " бил првиот систем кој имал визуелен интегриран интерфејс со бои и икони, кој можел лесно да се имплементира и пристапи на компјутерски оперативен систем како што е Microsoft's Windows или MacOS на Apple. Во 1994 година Израелска компанија наречена Check Point Software Technologies го вградила во веднаш достапниот софтвер познат како Firewall-1.

Постојната длабока функционалност на проверка на пакетите на модерните огнени ѕидови може да биде поделен од Intrusion-prevention systems (IPS).

Во моментов, Middlebox Communication Working Group на Internet Engineering Task Force (IETF) работи на стандардизирање на протоколите за управување со огнените ѕидови.

Уште една оска на развојот е интегрирањето на идентитетот на корисниците во правилата на огнениот ѕид. Многу огнени ѕидови обезбедуваат такви одлики со врзување кориснички идентитети за IP или MAC адреси, што е многу несигурно и лесно може да се промени. Огнениот ѕид NuFW обезбедува заштита заснована на вистинскиот идентитет, со барање на кориснички потпис за секоја врска. authpf на BSD системите ги вчитува правилата на огнениот ѕид динамично за секој корисник, по проверката преку SSH.

Типови

уреди

Постојат неколку класификации на огнените ѕидови во зависност од тоа каде е врската, каде врската е прекината и состојбата која се следи.

Огнени ѕидови на мрежен слој и со филтрирање на пакети

уреди

Огнените ѕидови на мрежниот слој, исто така наречени филтрирање на пакети, работат на релативно ниско ниво на TCP/IP протокoлниот стек, не дозволувајќи пакетите да поминат низ огнениот ѕид, освен ако не ги исполнуваат утврдените правила. Администраторот на огнениот ѕид може да ги дефинира правилата; или да ги примени стандардните правила. Терминот „филтрирање на пакет“ потекнува од контекстот на оперативниот систем BSD.

Огнените ѕидови на мрежен слој генерално се делат на две поткатегории, со и без податоци за состојбата на врската. Огнените ѕидови со податоци за состојбата на врската, одржуваат контекст за активните сесии, и ја користат таа „информација за состојбата“ за да ја забрзаат обработката на пакетот. Секоја постоечка мрежна врска може да се опише со неколку особини, меѓу кои IP-адресата на изворот и одредиштето, UDP или TCP портовите и моменталната фаза на врската(вклучувајќи отпочнување на сесија, ракување, пренос на податоци, или завршување на врската). Ако еден пакет не се поклопува со веќе постоечка врска, ќе се оценува според правилата за нови врски. Ако еден пакет оствари постоечка врска врз основа на споредбата со табелата за состојбата на огнениот ѕид, ќе му биде дозволено да помине без понатамошна обработка.

Огнените ѕидови без податоци за состојбата на врската бараат помалку меморија, и може да бидат побрзи за едноставни филтри за кои е потребно помалку време за филтрирање, и за кои не е потребна целосна сесија. Тие, исто така може да бидат потребни за филтрирање на мрежни протоколи без податоци за состојбата, кои немаат концепт за сесијата. Сепак, тие не можат да донесат посложени одлуки врз основа на фазата која ја достигнала врската помеѓу домаќините.

Современите огнени ѕидови можат да филтрираат сообраќај врз основа на многу атрибути на пакетот, како IP-адреса на изворот, порт на изворот, одредиштето на IP-адреса или порт, сервиси како WWW или FTP. Тие можат да филтрираат врз основа на протоколи, TTL вредности, блок од адреси на изворот, на изворот и многу други атрибути.

Најчесто употребуваните пакет филтри за различни верзии на Unix се ИПС (различни), ipfw (FreeBSD / Mac OS X), pf (OpenBSD, и сите други BSDs), iptables/ipchains (Linux).

Апликациски слој

уреди

Огнените ѕидови на апликациски слој работат на апликациско ниво од TCP/IP стек (т.е. сообраќајот на прелистувачот, или сите телнет или FTP сообраќаи), и може да ги пресретнува сите пакети кои патуваат до или од некоја апликација. Тие блокираат други пакети (обично ги намалува без потврда на испраќачот). Во принцип, апликациските огнени ѕидови на можат да ги спречат заштитените машини од надворешни напади.

Проверувајќи ги сите пакети за несоодветна содржина, огнените ѕидови може да го ограничат или спречат ширењето на мрежните компјутерски црви и тројанци. Дополнителниот критериум за проверка може да додаде дополнителна латентност на проследувањето на пакетите до нивното одредиште.

Проксија

уреди

Прокси уредот (кој работи или на специјализиран хардвер или како софтвер на машина за општа намена) може да делува како огнен ѕид преку дејствување на влезните пакети (на пример, барања за врска) како апликација, додека ги блокира другите пакети.

Проксијата го прави потешко упаѓањето со внатрешен систем од надворешната мрежа и злоупотребата на еден внатрешен систем нема да предизвика експлоатирачко нарушување на безбедноста надвор од огнениот ѕид (сè додека апликацискиот прокси останува недопрен и правилно конфигуриран). Спротивно на тоа, натрапниците може да го користат како прокси за сопствени цели системот достапен за јавноста; проксито тогаш се однесува како тој систем во други внатрешни машини. Иако употребата на внатрешна адреса ја подобрува безбедноста, кракерите сè уште можат да користат методи како што се IP измама, за да се обидат да преминат пакети до саканата мрежа.

Превод на мрежната адреса

уреди

Огнените ѕидови често имаат функционалност на превод на мрежна адреса (NAT), а домаќините заштитени зад огнен ѕид најчесто имаат адреси во "приватниот адресен опсег", како што е дефинирано во RFC 1918. Огнените ѕидови често имаат таква функционалност, за да се скрие вистинската адреса на заштитените домаќини. Првично, функцијата NAT била развиена за да одговори на ограничен број на IPv4 насочувачки адреси кои може да се користат или доделат на фирми или поединци, кои го намалуваат износот и цената на добивање доволно јавни адреси за секој компјутер во организација. Криењето на адресите на заштитените уреди стана многу значајна одбрана против мрежното извидување.

Слични статии

уреди

Наводи

уреди
  1. RFC 1135 The Helminthiasis of the Internet
  2. William R. Cheswick, Steven M. Bellovin, Aviel D. Rubin (2003). "Google Books Link". Firewalls and Internet security: repelling the wily hacker