Персональный компьютеро-хранитель! / Принцип работы firewall`а
Принцип работы Firewall`а
Если ты до сих пор думаешь, что вопросы сетевой безопасности являются скорее проявлением "высоких технологий,нежели
развитием вопросов безопасности в целом, то сильно ошибаешься.И вот почему.С самого появления человечества имела место борьба средств защиты и нападения. Можно привести много примеров реализации средств защиты в любую эпоху, но вряд ли тебя заинтересует тема типа "как выкопать ров вокруг своего жилища". Если раньше человек защищал жилище, домашний скот, другое имущество, то в наше время все больше средств принято тратить на защиту информации. Да и как иначе, ведь здесь идет особенно жестокая борьба между средствами защиты и нападения.
Будем рассматривать вопросы, связанные с защитой информации в интернете, поскольку локальные машины вопрос безопасности беспокоит меньше. Итак, давай посмотрим, от чего нужно защищаться при работе в Сети. И для чего может быть нужен firewall.
Сегодня интернет превращается из источника информации в "виртуальное сообщество" и, как любое сообщество, страдает от людей, которые хотят получить чужую ценную информацию незаконным путем для собственной выгоды. В основном это довольно грамотные люди, которые отлично разбираются в сетевой безопасности, в протоколах связи и психологии человека (что позволяет им обманывать людей, иногда даже не прибегая к техническим изыскам). Поскольку даже деньги понемногу превращаются из бумажек в "информацию о бумажках" (вспомни хотя бы WebMoney или Яндекс.Деньги), то масштаб бедствия действительно огромный. Существует также другая сторона проблемы. Во всемирной Сети, как и в реальной жизни, есть куча идиотов (правда, далеко не таких тупых, как их "реальные" собратья), которые не могут найти себе занятие и "получают удовольствие от электронной разновидности похабной писанины на стенах, поджигания почтовых ящиков или гудения автомобильными сигналами во дворах". Эти люди в некотором роде даже опаснее грамотных "воров информации". Дело в том, что если ты не обладаешь информацией, которая представляет
большую ценность, то, по логике вещей, тебе не нужно опасаться, что ее украдут. Однако здесь "на помощь" приходят
те самые "идиоты", которые готовы привести твой компьютер в нерабочее состояние "просто так".Ну вот, мы понемногу приходим к пониманию задач, выполняемых файрволами. В общем, многие пытаются использовать интернет для каких-то полезных целей, другие имеют дело с конфиденциальной информацией и так далее. Во многих случаях firewall нужен для защиты от тех самых "идиотов", которые мешают работать. Файрвол выступает в качестве посредника в обмене данными между тобой и какой-либо сетью (компьютером). Разобравшись с задачами, имеет смысл разобраться, наконец, в
принципах работы firewall`ов.
Способы заиметь чужую информацию
Любая информация (в том числе и"не для посторонних") может либо находиться на носителе информации,либо передаваться по Сети в виде пакетов. В обоих состояниях информация может быть уязвима со стороны как внутренних, так и внешних
пользователей. Существует несколько способов получить доступ к информации, когда она "в пути":- sniffing (снифинг)
"прослушивание" сегмента сети. Этот метод воровства данных в сети использует сетевую карту, работающую в режиме, при
котором все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки. Ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (telnet, FTP, SMTP, POP3 и т.д.), с помощью снифера можно узнать полезную, а иногда и конфиденциальную информацию.- IP spoofing (спуфинг - "подделка" IP-адреса)
Это процесс, при котором атакующий хост выдает себя за хост санкционированного пользователя. Как это можно реализовать? Во-первых, хакер может воспользоваться IP-адресом,который находится в пределах диапазона "проходящих" IP-адресов (или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам). Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Для двусторонней связи хакер должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Однако этого не нужно делать, если главная задача состоит в получении от системы важного файла (так как в этом случае ответ приложения не имеет значения).- взлом пароля
Взлом пароля встречается чаще других методов.
Атакующий просто из кожи вон лезет, чтобы получить-таки пароль или привилегии root на чужой машине (по-видимому, популярность метода обусловлена содержанием фильмов, повествующих о"нехороших парнях в области высоких технологий").
перенаправление пакетов вовне
Попытка направить наружу информацию, доступ к которой ограничен или запрещен.
Использование схемы "человек посередине" (man-in-the-middle attacks) — явное использование доступа к информации твоей сети. Такая ситуация возможна, если пользователь, имеющий доступ (законный) к информации, пытается переслать ее во внешнюю сеть (на другой компьютер).
Спасение утопающих - дело рук... firewall
Выше перечислены способы получения информации с твоего компьютера (локальной сети). Понятное дело, что от такого беспредела нужно как-то защищаться (не будем учитывать здесь, что нападение - лучшая защита, хотя для приверженцев такого подхода тема, затронутая здесь, тоже довольно важна). Естественно, что необходимость защиты сетей явилась причиной создания и развития отдельного направления в компьютерной индустрии. Немаловажную роль в этом направлении играет развитие "идеи firewall".
Firewall - это точка разделения твоего компьютера (сети) и сети (компьютера),
к которой ты подсоединен. Система, стоящая между сетевым адаптером и
операционной системой, снабженная правилами защиты. Любой IP-пакет, прежде
чем попасть на обработку операционной системой, проходит через строгий
контроль. Любой исходящий пакет также наталкивается на эту стену. В самом
общем случае, firewall является фильтром входящих и исходящих пакетов по
определенным признакам.
Поколения файрволов
Первое поколение, которое появилось в 1985 году, представляло собой маршрутизаторы, включающие фильтрацию пакетов. В 1990-х годах появились так называемые firewall`ы цепного уровня. Далее по сложности и новизне - "защитники" программного уровня. Позже в основу файрволов легла динамическая фильтрация пакетов. А самая новая на
сегодня архитектура программ типа firewall - kernel proxy (эта архитектура имеет как программные, так и аппаратные реализации). В основном, каждое новое поколение основывается на принципе работы предыдущего. То есть то, что справедливо для первого поколения, может быть применимо для второго поколения, правда с некоторыми поправками и дополнениями.
Первое поколение
Каждый IP-пакет проверяется на совпадение с допустимыми правилами, записанными в firewall. Проверка пакета производится по списку правил, которые задаются пользователем. Каждому правилу присваивается номер, и правила проверяются строго в порядке возрастания номеров. Параметры, которые проверяли файрволы этого типа: интерфейс движения пакета, адрес источника пакета, адрес получателя, тип пакета (TCP, UDP, ICMP и т.д.), порт получателя.
Содержание пакетов не рассматривается.
Создается 2 списка: отрицание (deny) и разрешение (permit, allow, accept).
"Вердикт" выносится следующим образом:
- не найдено правило - пакет удаляется; если правило в списке "пропустить" -
пропустить; если в списке отрицаний - пакет удаляется.
Несмотря на всю простоту работы этого поколения файрволов, у них есть несколько
преимуществ, таких как:
- быстрая работа;
- легкость реализации;
- не требуется специальная конфигурация компьютера.
Недостатки вытекают из достоинств:
- не проверяется содержимое пакетов;
- слишком поверхностная проверка.
Circuit level firewalls (цепного уровня)
Принцип работы основан на том, что большой фрагмент информации состоит из пакетов (которые передаются "по цепи"). Программы этого поколения анализируют целостность всего фрагмента. Помимо целостности, обращается внимание на направление всех пакетов. Первый пакет цепи содержит информацию, которая применяется для проверки допустимости передачи.
Преимущества:
- неплохая скорость работы;
- возможность сокрытия топологии сети.
Недостатки:
- трудности реализации для не TCP протоколов.
Firewall программного уровня и kernel proxy
Проверяет данные, передаваемые в пакетах. Таким образом, проверяется целостность данных, а также отслеживается передача конфиденциальной информации (такой как пароли). Используется также proxy-сервис, который кэширует, а также дает возможность фильтрации URL.
Основная идея kernel proxy - поместить firewall программного уровня в ядро операционной системы. Понятно, что этот шаг, кроме повышения производительности, позволяет более тщательно проверять поступающую информацию.
Следует также сказать, что не существует общепринятого стандарта реализации всех описанных выше функций, и каждая фирма делает это по-своему.
Где Firewall бессилен?
Какой бы замечательной ни была идея того или иного инструмента (а firewall - это инструмент защиты) - эта идея не может быть всеобъемлющей. Скажем, глупо молотком мешать чай в кружке (хотя и возможно), и вообще нереально забить гвоздь столовым прибором. К чему эта демагогия? Да к тому, что firewall, какой бы он ни был хороший, не может быть использовандля некоторых функций защиты информации.Некоторые firewall`ы пропускают только сообщения электронной почты, то есть защищают сеть от любых атак, кроме атак по почте. Другие только блокируют службы, потенциально угрожающие безопасности.
Но это только вопрос выбора. То есть можно установить несколько похожих программ. Есть, кроме этого, некоторые напасти, от которых ни один firewall не может защитить в принципе.
Например, файрвол бессилен, если атака выполняется не через него. Многие подключенные к инету корпорации очень опасаются утечки конфиденциальных данных через этот канал. Ошибкой многих пользователей (в том числе и крупных организаций) является установка дорогих firewall`ов, но полный ignor многих других дыр, от которых невозможно защититься с помощью одной программы. В идеале, файрвол должен быть частью системы безопасности, а не единственным спасением. Задаваемые в нем правила должны соответствовать общей защите компьютера. Если есть совершенно
секретная или очень дорогая информация, самый лучший способ оградить ее от чужих глаз - не подключаться к интернету (все-таки firewall - защита больше от идиотов, чем от грамотных взломщиков). Очень популярная ошибка - считать, что firewall может защитить от вирусов. ТОВАРИЩИ, пользуйтесь АНТИВИРУСАМИ для этих целей :-).
Дело в том, что есть много способов кодирования двоичных файлов для передачи по сетям, а также слишком много различных вирусов, чтобы можно было пытаться выявить их все. В общем случае, firewall не спасает от атаки на базе данных, когда программа в виде данных посылается на внутренний хост, где затем выполняется. Тем не менее, многие производители ПО предлагают файрволы, "выявляющие вирусы". Они будут полезны только наивным пользователям, обменивающимся выполняемыми программами или документами с потенциально разрушительными макросами.
Что в итоге?
FireWall - довольно мощная штука, позволяющая сильно уменьшить вероятность проникновения на твой компьютер. НО. Эта вероятность станет близкой к нулю, если соблюсти простые правила:
- нормально настроить программу соответственно общей политике безопасности и
необходимости;
- использовать комплекс мер по безопасности, а не только firewall;
- и т.д.
В интернете полно людей, которые хотят получить чужую инфу ради собственной выгоды...С помощью снифера можно узнать весьма интересную/конфиденциальную информацию.Firewall – это фильтр входящих/исходящих пакетов по определенным признакам.Каждая фирма делает свой файрвол по-своему.Firewall лучше не использовать для защиты особо важной инфы… |
