Брандмауэр приложений

— Брандмауэр приложения это форма брандмауэра , которая контролирует ввод/вывод или системные вызовы приложения или службы. Он работает путем мониторинга и блокировки соединений на основе настроенной политики, как правило, с предопределенными наборами правил на выбор. Двумя основными категориями межсетевых экранов приложений являются сетевые и хостовые .

История

Джин Спаффорд из Университета Пердью , Билл Чесвик из AT&T Laboratories и Маркус Ранум описали межсетевой экран третьего поколения, известный как межсетевой экран прикладного уровня. Работа Маркуса Ранума, основанная на брандмауэре, созданном Полом Викси , Брайаном Ридом и Джеффом Могулом, возглавила создание первого коммерческого продукта. Продукт был выпущен DEC и назван Джеффом Маллиганом DEC SEAL — Secure external Access Link. Первая крупная продажа DEC состоялась 13 июня 1991 года компании Dupont.

В рамках более широкого контракта DARPA с TIS Маркус Ранум, Вэй Сюй и Питер Черчард разработали набор инструментов для межсетевого экрана (FWTK) и в октябре 1993 года предоставили его бесплатно по лицензии. ^{[ 1 ]} Целью выпуска свободно доступного, а не для коммерческого использования, FWTK было: продемонстрировать с помощью программного обеспечения, документации и используемых методов, как компания с (на тот момент) 11-летним опытом использования формальных методов обеспечения безопасности и отдельные лица с брандмауэром опыт работы, разработанное программное обеспечение межсетевого экрана; создать общую базу очень хорошего программного обеспечения межсетевых экранов, на которую смогут опираться другие (чтобы людям не приходилось продолжать «развертывать свои собственные» с нуля); чтобы «поднять планку» используемого программного обеспечения брандмауэра. Однако FWTK был базовым прокси-сервером приложения, требующим взаимодействия с пользователем.

В 1994 году Вэй Сюй расширил FWTK усовершенствованием ядра, включающим фильтр с отслеживанием состояния IP и прозрачность сокетов. Это был первый прозрачный брандмауэр, известный как начало брандмауэра третьего поколения , выходящий за рамки традиционного прокси-сервера приложений ( брандмауэр второго поколения ), выпущенный как коммерческий продукт, известный как брандмауэр Gauntlet. Брандмауэр Gauntlet считался одним из лучших межсетевых экранов для приложений с 1995 по 1998 год, когда он был приобретен компанией Network Associates Inc (NAI). Network Associates продолжала утверждать, что Gauntlet был «самым безопасным брандмауэром в мире», но в мае 2000 года исследователь безопасности Джим Стикли обнаружил большую уязвимость в брандмауэре, позволяющую удаленный доступ к операционной системе и обходя средства контроля безопасности. ^{[ 2 ]} Стикли обнаружил вторую уязвимость, фактически положив конец доминированию брандмауэров Gauntlet в безопасности. Год спустя ^{[ 3 ]}

Описание

Фильтрация прикладного уровня работает на более высоком уровне, чем традиционные устройства безопасности. Это позволяет принимать решения о пакетах на основе не только IP-адреса или портов источника/назначения, а также может использовать информацию, охватывающую несколько соединений для любого данного хоста.

Сетевые межсетевые экраны приложений

Сетевые межсетевые экраны приложений работают на уровне приложений стека TCP/IP. ^{[ 4 ]} и может понимать определенные приложения и протоколы, такие как протокол передачи файлов (FTP), систему доменных имен (DNS) или протокол передачи гипертекста (HTTP). Это позволяет ему идентифицировать нежелательные приложения или службы, использующие нестандартный порт, или обнаружить злоупотребление разрешенным протоколом. ^{[ 5 ]}

Современные версии межсетевых экранов сетевых приложений могут включать в себя следующие технологии:

Брандмауэры веб-приложений (WAF) — это специализированная версия сетевого устройства, которое действует как обратный прокси-сервер , проверяя трафик перед его пересылкой на связанный сервер.

Межсетевые экраны приложений на базе хоста

Межсетевой экран приложений на базе хоста отслеживает системные вызовы приложений или другие общие системные коммуникации. Это дает больше детализации и контроля, но ограничивается защитой только хоста, на котором он работает. Управление осуществляется путем фильтрации по каждому процессу. Обычно подсказки используются для определения правил для процессов, которые еще не получили соединение. Дальнейшую фильтрацию можно выполнить, проверив идентификатор процесса владельца пакетов данных. Многие межсетевые экраны приложений на базе хоста комбинируются или используются вместе с фильтром пакетов. ^{[ 6 ]}

Из-за технологических ограничений современные решения, такие как песочница, используются в качестве замены межсетевых экранов приложений на хосте для защиты системных процессов. ^{[ 7 ]}

Реализации

Доступны различные брандмауэры приложений, включая как бесплатное программное обеспечение, так и программное обеспечение с открытым исходным кодом, а также коммерческие продукты.

Мак ОС Х

Начиная с Mac OS X Leopard, была включена реализация инфраструктуры MAC TrustedBSD (взятой из FreeBSD). ^{[ 8 ]} Структура MAC TrustedBSD используется для изолированных служб и обеспечивает уровень брандмауэра, учитывая конфигурацию служб общего доступа в Mac OS X Leopard и Snow Leopard. Сторонние приложения могут предоставлять расширенные функциональные возможности, включая фильтрацию исходящих подключений по приложениям.

Линукс

Это список пакетов программного обеспечения безопасности для Linux, позволяющих фильтровать взаимодействие приложений с ОС, возможно, по каждому пользователю:

AppArmor
Kerio Control — коммерческий продукт
ModSecurity — также работает под Windows, Mac OS X, Solaris и другими версиями Unix . ModSecurity предназначен для работы с веб-серверами IIS, Apache2 и NGINX.
Portmaster от Safing — приложение для мониторинга активности. Он также доступен в Windows . ^{[ 9 ]}
Систраце
Зорп

Окна

Портмастер

Брандмауэр защитника Майкрософт

WinGate

Сетевые устройства

Эти устройства могут продаваться как аппаратное обеспечение, программное обеспечение или виртуализированные сетевые устройства.

Межсетевые экраны следующего поколения:

Защита от угроз огневой мощи Cisco
Контрольно-пропускной пункт
Серия Fortinet FortiGate
Серия Juniper Networks SRX
Пало-Альто Нетворкс
Серия SonicWALL TZ/АНБ/SuperMassive

Брандмауэры веб-приложений/балансировщики нагрузки:

A10 Networks Брандмауэр веб-приложения
Брандмауэр веб-приложений Barracuda Networks /контроллер балансировки нагрузки ADC
Citrix NetScaler
F5 Networks BIG-IP Менеджер безопасности приложений
Серия Fortinet FortiWeb
КЭМП Технологии
Имперва

Другие:

См. также

Ссылки

^ «Выпуск инструментария брандмауэра V1.0» . Проверено 28 декабря 2018 г.
^ Кевин Пулсен (22 мая 2000 г.). «В брандмауэре NAI обнаружена дыра в безопасности» . www.securityfocus.com . Проверено 14 августа 2018 г.
^ Кевин Пулсен (5 сентября 2001 г.). «Зияющая дыра в брандмауэре NAI Gauntlet» . theregister.co.uk . Проверено 14 августа 2018 г.
^ Луис Ф. Медина (2003). Серия «Самое слабое звено безопасности» (1-е изд.). Вселенная. п. 54. ИСБН 978-0-595-26494-0 .
^ «Что такое уровень 7? Как работает уровень 7 Интернета» . Облачная вспышка . Проверено 29 августа 2020 г.
^ «Программные межсетевые экраны: сделаны из соломы? Часть 1 из 2» . Symantec.com . Сообщество Symantec Connect. 29 июня 2010 г. Проверено 5 сентября 2013 г.
^ «Что такое песочница (тестирование и безопасность программного обеспечения)? — Определение с сайта WhatIs.com» . Поисковая безопасность . Проверено 15 ноября 2020 г.
^ «Структура обязательного контроля доступа (MAC)» . ДовереннаяBSD . Проверено 5 сентября 2013 г.
^ «Спасение портмастера» . safing.io . Проверено 4 ноября 2021 г.

Внешние ссылки

Брандмауэр веб-приложений , открытый проект безопасности веб-приложений
Критерии оценки брандмауэра веб-приложений , предоставленные Консорциумом безопасности веб-приложений.
Безопасность в облаке: «испарение» брандмауэра веб-приложений для защиты облачных вычислений

[1] «Выпуск инструментария брандмауэра V1.0» . Проверено 28 декабря 2018 г.

[2] Кевин Пулсен (22 мая 2000 г.). «В брандмауэре NAI обнаружена дыра в безопасности» . www.securityfocus.com . Проверено 14 августа 2018 г.

[3] Кевин Пулсен (5 сентября 2001 г.). «Зияющая дыра в брандмауэре NAI Gauntlet» . theregister.co.uk . Проверено 14 августа 2018 г.

[4] Луис Ф. Медина (2003). Серия «Самое слабое звено безопасности» (1-е изд.). Вселенная. п. 54. ИСБН 978-0-595-26494-0 .

[5] «Что такое уровень 7? Как работает уровень 7 Интернета» . Облачная вспышка . Проверено 29 августа 2020 г.

[Symantec-6] «Программные межсетевые экраны: сделаны из соломы? Часть 1 из 2» . Symantec.com . Сообщество Symantec Connect. 29 июня 2010 г. Проверено 5 сентября 2013 г.

[7] «Что такое песочница (тестирование и безопасность программного обеспечения)? — Определение с сайта WhatIs.com» . Поисковая безопасность . Проверено 15 ноября 2020 г.

[8] «Структура обязательного контроля доступа (MAC)» . ДовереннаяBSD . Проверено 5 сентября 2013 г.

[9] «Спасение портмастера» . safing.io . Проверено 4 ноября 2021 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

v т и Информационная безопасность
Related security categories	Computer security Automotive security Cybercrime Cybersex trafficking Computer fraud Cybergeddon Cyberterrorism Cyberwarfare Electromagnetic warfare Information warfare Internet security Mobile security Network security Copy protection Digital rights management	vectorial version
Threats	Adware Advanced persistent threat Arbitrary code execution Backdoors Bombs Fork Logic Time Zip Hardware backdoors Code injection Crimeware Cross-site scripting Cross-site leaks DOM clobbering History sniffing Cryptojacking Botnets Data breach Drive-by download Browser Helper Objects Viruses Data scraping Denial-of-service attack Eavesdropping Email fraud Email spoofing Exploits Fraudulent dialers Hacktivism Infostealer Insecure direct object reference Keystroke loggers Malware Payload Phishing Voice Polymorphic engine Privilege escalation Ransomware Rootkits Scareware Shellcode Spamming Social engineering Spyware Software bugs Trojan horses Hardware Trojans Remote access trojans Vulnerability Web shells Wiper Worms SQL injection Rogue security software Zombie
Defenses	Application security Secure coding Secure by default Secure by design Misuse case Computer access control Authentication Multi-factor authentication Authorization Computer security software Antivirus software Security-focused operating system Data-centric security Obfuscation (software) Data masking Encryption Firewall Intrusion detection system Host-based intrusion detection system (HIDS) Anomaly detection Information security management Information risk management Security information and event management (SIEM) Runtime application self-protection Site isolation