С течение на времето тази технология става все по-сложнаПървоначално поставени

...
С течение на времето тази технология става все по-сложнаПървоначално поставени
Коментари Харесай

Какво е Firewall? Как работи и какво ни носи защитната стена?

С течение на времето тази технология става все по-сложна

Първоначално сложени на границата сред мрежите, на които потребителят има доверие и тези, на които няма, през днешния ден firewall-и се употребяват, с цел да пазят и вътрешни сегменти от дадена мрежа или мрежи, като да вземем за пример центрове за данни

Firewall “ (букв. „ Огнена стена “, само че се превежда като „ Защитна стена “) назоваваме мрежово устройство или програмен продукт за наблюдаване на пакетите, които влизат и излизат през дадена мрежа, и надлежно ги блокира или им разрешава да преминат, според от настройките, заложени за това какъв трафик е мечтан и какъв не е.

Има няколко вида firewall-и, които са създадени през годините, като след това са станали по-сложни и към този момент вземат повече параметри, с цел да извършат обещано решение във връзка с оторизации и неразрешения трафик. Най-новите firewall-и са познати под общото наименование „ next-generation firewalls “ (firewall-и от последващо поколение) или NGFW за по-кратко. Новото при тях е, че с изключение на усложнената конструкция и развой на взимане на решение, те си сътрудничат с голям брой други технологии и не се лимитират единствено до пречистване на пакети.

Първоначално сложени на границата сред мрежите, на които потребителят има доверие и тези, на които няма, през днешния ден firewall-и се употребяват, с цел да пазят и вътрешни сегменти от дадена мрежа или мрежи, като да вземем за пример центрове за данни, които би трябвало да са отделени от останалата част на мрежата на дадената организация.

Специалисти от Софтуерния университет показват някои от главните видове защитни стени:

Прокси-базирани защитни стени

Този вид отбрана работи като медиатор сред крайния консуматор, който изисква избрани данни, от една страна, и източника на тези данни, от друга. Устройството-домакин се свърза с прокси, което от своя страна прави обособена връзка с източника на търсените от потребителя данни. В отговор устройството-източник прави връзка с проксито, което на собствен ред прави противоположна връзка с устройството-домакин.

Преди да препрати пакетите към получателя, проксито може да ги филтрира, прилагайки избрани правила по отношение на тях, както и да скрие местоположението на устройството на получателя, като по този метод освен защищава потребителя от зловредни пакети, само че и подсигурява дискретност. Друго преимущество на този вид връзка е, че машини, които се намират отвън дадена мрежа, могат да черпят лимитирана информация за мрежата, тъй като те в никакъв случай не са свързани непосредствено към нея.

Разбира се, има и дефекти при този вид свързване, като да вземем за пример закъснението, което може да възникне до момента в който поръчката мине през медиатора и до момента в който той я ревизира и филтрира, а това от своя страна може да попречи на естествената работа на редица приложения.

Stateful защитни стени

Този вид защитни стени наблюдават положението на мрежовите връзки (като TCP потоци или UDP комуникации) и може да резервира значимите атрибути на всяка мрежова връзка в паметта. Въпросните атрибути са познати като „ положение на връзката “ (state of connection) и включват елементи като IP адреси и портове, които вземат присъединяване във връзката, както и идентификационните номера на пакетите, преминаващи през осъществената връзка.

Stateful защитните стени следят входящите и изходящи пакети с течение на времето, както и положението на самата връзка. Събраните данни се съхраняват в динамични таблици, от които защитната стена черпи информация, на база на която да построи решението си дали да спре даден пакет или не, т.е. за разлика от прокси стените, тук филтрирането не се лимитира единствено до заложените от админ настройки.

Подобен метод (на събирането на данни и потреблението на информацията при вземането на решения от страна на защитната стена) води до отпадане на нуждата от инспекция на всеки един обособен пакет, като по този метод се икономисва време и се редуцира забавянето.

Следващо потомство защитни стени

Пакетите могат да се филтрират, употребявайки и други неща с изключение на положението на връзките, източника и адресите. Защитните стени от последващо потомство (NGFW) включват в себе си доста по-индивидуален метод към всяко едно приложение или консуматор, какво и по какъв начин да го вършат. Подобно на stateful защитните стени, те също събират данни от всичко, до което влизат в контакт, с цел да създадат по-информиран избор какъв трафик да пуснат и какъв – да спрат.

Например, някои от NGFW правят URL пречистване, могат да терминират SSL връзки и поддържат SD-WAN (софтуерно-дефинирани WAN), с цел да подобрят успеваемостта във връзка с това по какъв начин динамичните SD-WAN решения се ползват. Други свойства, които по принцип са се правили от обособени устройства/приложения, към този момент са включени в голям брой разнообразни NGFW. Такива са да вземем за пример:

Intrusion Prevention Systems (IPS)

Докато базовите firewall технологии разпознават и блокират избрани видове мрежов трафик, IPS употребяват и други похвати като „ signature tracing “ и засичане на аномалии, с цел да предотвратят навлизането на разнообразни закани от или в дадена мрежа. В наши дни IPS е все по-често срещана алтернатива допълнително защитни стени.

Deep-packet inspection (DPI)

DPI е вид пакетно пречистване, което инспектира доста повече в сравнение с единствено от кое място идва даден пакет. DPI инспектира неговото наличие, изследва с какви приложения е инструктирано да се свърже или какви типове данни ще предава. Резултатите, които събира от направените изследвания, разрешават да се направи по-интелигентен избор на ръководство на трафика. DPI може да блокира и разрешава трафик, само че също така и да лимитира количеството честотна лента (bandwitdth), който е разрешен за избрани приложения. Освен това може да се употребява като инструмент за отбрана на интелектуална благосъстоятелност или чувствителни данни от овакантяване на избрана мрежа.

SSL termination

SSL-криптираният трафик (SSL – Secure Socket Layer – криптографски протокол за връзка клиент-сървър) е ваксиниран против deep-packet inspection, защото наличието му не може да бъде прочетено. Някои NGFW могат да терминират SSL трафика, да го инспектират, след което да основат втора SSL връзка към първичния адрес, към който отива трафика. Този метод може да се употребява да вземем за пример с цел да се предотврати зловредно действие на чиновник, който желае да изнесе вътрешна информация, като в това време разрешава на законен трафик да минава през него. Въпреки, че е положително решение от позиция на отбраната на данни, използването на DPI при SSL криптиране може да породи въпроси по отношение на поверителността на данните и правото на достъп до тях.

Sandboxing

Различни атачмънти или връзки, идващи от външни източници, могат да съдържат злотворен код. Чрез потребление на така наречен „ Sandboxing ”, някои NGFW могат да изолират тези атачмънти и какъвто и да е код, който те съдържат, да го задействат в следена среда и да ревизират дали е злотворен. Недостатъкът на този метод е, че може да употребява много изчислителна мощност на централния процесор и да забави целия трафик, преминаващ през съответната защитна стена.

Автор: Георги Кацаров
Източник: technews.bg

СПОДЕЛИ СТАТИЯТА



Промоции

КОМЕНТАРИ
НАПИШИ КОМЕНТАР