Jump to content

Распределенный межсетевой экран

    Add links

    Распределенный межсетевой экран это приложение безопасности на главном компьютере сети, которое защищает серверы и пользовательские компьютеры сетей предприятия от нежелательного вторжения. Брандмауэр это система или группа систем ( маршрутизатор , прокси-сервер или шлюз ), которые реализуют набор правил безопасности для обеспечения контроля доступа между двумя сетями для защиты «внутренней» сети от «внешней» сети. Они фильтруют весь трафик независимо от его происхождения — Интернет или внутренняя сеть. Обычно размещаемые за традиционным брандмауэром, они обеспечивают второй уровень защиты. Преимущества распределенного межсетевого экрана позволяют правила безопасности ( политики определять и распространять ) на уровне всего предприятия, что необходимо для более крупных предприятий.

    Базовая работа

    [ редактировать ]

    Распределенные межсетевые экраны часто представляют собой приложения режима ядра , которые находятся в нижней части стека OSI операционной системы. Они фильтруют весь трафик независимо от его происхождения — Интернет или внутренняя сеть. Они относятся как к Интернету, так и к внутренней сети как к «недружественным». Они защищают отдельную машину так же, как брандмауэр по периметру защищает всю сеть. Функция распределенного межсетевого экрана опирается на три понятия:

    • Язык политики, определяющий, какие соединения разрешены или запрещены.
    • Любой из множества инструментов управления системой, таких как Microsoft SMS или ASD, и
    • IPSEC, механизм шифрования сетевого уровня для интернет-протокола (TCP, UDP и т. д.).

    Основная идея проста. Компилятор переводит язык политики в некоторый внутренний формат. Программное обеспечение управления системой распространяет этот файл политики на все хосты, защищенные брандмауэром. А входящие пакеты принимаются или отклоняются каждым «внутренним» хостом в соответствии как с политикой, так и с криптографически проверенной личностью каждого отправителя.

    Функции

    [ редактировать ]
    • Центральная система управления для разработки политики,
    • Система передачи для передачи этих политик, и
    • Реализация разработанных политик на стороне клиента.

    Центральная система управления

    [ редактировать ]

    Политика безопасности распределенных межсетевых экранов определяется централизованно, и применение политики происходит на каждой конечной точке (хостах, маршрутизаторах и т. д.). Централизованное управление — это возможность заполнять серверы и машины конечных пользователей, настраивать и «выталкивать» последовательная политика безопасности, которая помогает максимально эффективно использовать ограниченные ресурсы. Возможность централизованно собирать отчеты и поддерживать обновления делает распределенную безопасность практичной. Эта особенность распределенных межсетевых экранов помогает двумя способами. Во-первых, можно защитить удаленные машины конечных пользователей. Во-вторых, они защищают критически важные серверы в сети, предотвращая вторжение вредоносного кода и «запирая» другой такой код, не позволяя использовать защищенный сервер в качестве стартовой площадки для расширенных атак.

    Система передачи политики

    [ редактировать ]

    Распределение политики или правил безопасности может быть разным и зависит от реализации. Его можно либо напрямую передать в конечные системы, либо извлечь при необходимости.

    Техника тяги

    [ редактировать ]

    При методе извлечения хосты во время загрузки уведомляют центральный сервер управления о необходимости проверить, включен ли центральный сервер управления и активен ли он. Он регистрируется на центральном сервере управления и запрашивает политики, которые он должен реализовать. Затем центральный сервер управления предоставляет хосту свои политики безопасности.

    Техника толкания

    [ редактировать ]

    Метод push используется, когда политики обновляются на стороне централизованного управления сетевым администратором, и хосты должны быть обновлены немедленно. Эта технология push гарантирует, что хосты всегда будут иметь обновленные политики в любое время. Язык политики определяет, какие входящие и исходящие соединения на любом компоненте сетевого домена политики разрешены, и может влиять на решения политики на любом уровне сети, независимо от того, отклоняют ли они или передают определенные пакеты или применяют политики на прикладном уровне OSI. куча.

    Реализация на хост-конце

    [ редактировать ]

    Обычные брандмауэры полагаются на контроль точек входа в работе или, точнее, на предположении, что каждому на одной стороне точки входа (брандмауэра) следует доверять, и что любой на другой стороне является, по крайней мере потенциально, враг. Распределенные межсетевые экраны работают, пропуская только необходимый трафик на машину, которую они защищают, запрещая другие типы трафика для предотвращения нежелательных вторжений. Политики безопасности, передаваемые с центрального сервера управления, также должны быть реализованы хостом. Хост-конечная часть распределенного брандмауэра не предоставляет администратору сети никакого административного контроля над реализацией политик. Хост разрешает трафик на основе реализованных им правил безопасности.

    Сквозное шифрование

    [ редактировать ]

    Сквозное шифрование представляет собой угрозу для обычных межсетевых экранов, поскольку межсетевой экран обычно не имеет необходимых ключей для просмотрашифрование. Распределенные межсетевые экраны используют технологию сквозной реализации IPSEC . [1] IPSEC — это набор протоколов , недавно стандартизированный IETF , который обеспечивает услуги безопасности сетевого уровня, такие как конфиденциальность пакетов, аутентификация, целостность данных, защита от повторного воспроизведения и автоматическое управление ключами. Это артефакт развертывания брандмауэра: внутренний трафик, который не видит брандмауэр, не может быть отфильтрован; в результате внутренние пользователи могут совершать атаки на других пользователей и сети без возможности вмешательства брандмауэра. Крупные сети сегодня, как правило, имеют большое количество точек входа. Кроме того, многие сайты используют внутренние брандмауэры, чтобы обеспечить некоторую форму разделения. Это особенно затрудняет администрирование как с практической точки зрения, так и с точки зрения последовательности политики, поскольку не существует единого и всеобъемлющего механизма управления. В сквозном IPSEC каждый входящий пакет связан с сертификатом ; доступ, предоставленный этому пакету, определяется правами, предоставленными этому сертификату. [1] Если имя сертификата отличается или отсутствует защита IPSEC, пакет будет отброшен как неавторизованный. Учитывая, что права доступа в надежном распределенном межсетевом экране привязаны к сертификатам, доступправа можно ограничить, изменив набор принимаемых сертификатов. В этом случае «внутри» считаются только хосты с более новыми сертификатами; если изменение не установлено, у машины будет меньше привилегий. [1]

    Топология сети

    [ редактировать ]

    Распределенные брандмауэры могут защитить хосты, находящиеся за пределами топологической границы. Пакеты управления системой используются для администрирования отдельных компьютеров, поэтому администраторы безопасности определяют политику безопасности с помощью идентификаторов хостов, и политика может применяться каждым отдельным хостом. Обычный брандмауэр может применять политику только к проходящему через него трафику, поэтому трафик, которым обмениваются узлы в защищенной сети, не может контролироваться, что дает злоумышленнику, который уже является инсайдером, или может каким-то образом обойти брандмауэр и создать новую, несанкционированную точку входа, сети без ведома и согласия администратора. Обычным брандмауэрам такие протоколы, как RealAudio сложно обрабатывать , поскольку обычным межсетевым экранам не хватает определенных знаний, которые легко доступны на конечных точках . [1] Из-за растущих скоростей линий и более ресурсоемких протоколов, которые должен поддерживать межсетевой экран, традиционные межсетевые экраны имеют тенденцию становиться точками перегрузки. Этот разрыв между скоростью обработки и скоростью сети, вероятно, увеличится, поскольку по мере того, как компьютеры (и, следовательно, брандмауэры) становятся быстрее, сочетание более сложных протоколов и огромного увеличения объема данных, которые должны быть пропущены через брандмауэр, стало и, вероятно, будет продолжать опережать закон Мура .

    Эффективность

    [ редактировать ]

    Выявление услуг и сканирование портов

    [ редактировать ]

    Распределенные межсетевые экраны превосходно отклоняют запросы на подключение неподходящих сервисов. Обычно они отбрасывают такие запросы на хост, но в качестве альтернативы они могут вместо этого отправить обратно ответ с запросом на аутентификацию соединения, что, в свою очередь, уведомляет о существовании хоста. В отличие от обычных межсетевых экранов, построенных на чисто пакетных фильтрах, которые не могут эффективно отклонять некоторые «скрытые сканирования» , распределенные межсетевые экраны собирают пакеты со сканера портов, а затем отклоняют их.

    Подмена IP-адреса

    [ редактировать ]

    С этими атаками на хосте можно справиться с помощью распределенных межсетевых экранов с соответствующими правилами отклонения пакетов внутри домена сетевой политики. Распределенные межсетевые экраны могут использовать криптографические механизмы для предотвращения атак, основанных на поддельных адресах источника , при условии, что доверенный репозиторий, содержащий все необходимые учетные данные, сам по себе не подвергается компрометации.

    Вредоносное программное обеспечение

    [ редактировать ]

    Структура и язык политики распределенного брандмауэра, которые позволяют принимать политические решения на уровне приложений, могут обойти широкий спектр угроз, находящихся в приложениях и промежуточном уровне коммуникационного трафика. В сложных, ресурсоемких ситуациях, когда решения должны приниматься на коде, таком как Java , распределенные межсетевые экраны могут успокаивать угрозы при условии, что содержимое таких коммуникационных пакетов может семантически интерпретироваться механизмами проверки политики. Проверка пакетов с сохранением состояния оказывается легко адаптируемой к этим требованиям и обеспечивает более высокую степень детализации при принятии решений. Применение политики распределенных межсетевых экранов также не подвергается риску, когда содержимое вредоносного кода полностью замаскировано с использованием виртуальных частных сетей и зашифрованного трафика связи с блоком досмотра на периметре сети, в отличие от обычных межсетевых экранов.

    Обнаружение вторжений

    [ редактировать ]

    Распределенные межсетевые экраны могут обнаруживать попытки вторжений, но могут иметь трудности со сбором проб. Каждый отдельный хост в сети должен замечать зонды и пересылать их в какое-то центральное место для обработки и корреляции. Первая проблема не сложна; многие хосты уже регистрируют такие попытки. Сбор более проблематичен, особенно в периоды плохой связи с центральным сайтом. Существует также риск скоординированных атак, приводящих к атаке типа «отказ в обслуживании» на центральную машину.

    Инсайдерские атаки

    [ редактировать ]

    Независимость распределенного межсетевого экрана от топологических ограничений поддерживает соблюдение политик независимо от того, являются ли хосты членами или аутсайдерами общего домена политики. Они основывают свои решения на механизмах аутентификации, которые не являются неотъемлемыми характеристиками структуры сети. Более того, компрометация конечной точки законным пользователем или злоумышленником не приведет к ослаблению всей сети таким образом, чтобы непосредственно привести к компрометации других машин, учитывая тот факт, что развертывание виртуальных частных сетей предотвращает перехват коммуникационного трафика, в котором атакуемый машина не участвует. Но в конечном итоге предположение о том, что машина захвачена противником, должно привести к выводу, что сами механизмы реализации политики могут быть сломаны. Установка бэкдоров на эту машину может быть выполнена довольно легко, если механизмы безопасности несовершенны, а из-за отсутствия брандмауэра по периметру нет доверенного объекта, который мог бы предотвратить вход или выход произвольного трафика на скомпрометированный хост. Кроме того, можно использовать инструменты, которые позволяют туннелировать связь другого приложения, и это нельзя предотвратить без надлежащего знания учетных данных для расшифровки; более того, учитывая тот факт, что атака была проведена успешно, проверяющим механизмам самой машины больше нельзя доверять.

    Сотрудничество пользователей

    [ редактировать ]

    На первый взгляд, самой большой слабостью распределенных межсетевых экранов является их большая чувствительность к нежеланию пользователей сотрудничать. Распределенные межсетевые экраны могут снизить угрозу реальных атак со стороны инсайдеров, просто упрощая создание небольших групп пользователей. Таким образом, можно ограничить доступ к файловому серверу только тем пользователям, которым он нужен, вместо того, чтобы предоставлять доступ кому-либо внутри компании. Также стоит приложить некоторые усилия для предотвращения случайного подрыва политики. Политики могут быть подписаны цифровой подписью и проверены часто меняющимся ключом в месте, которое неудобно заменять. Для более строгой защиты применение политики может быть встроено в защищенную от несанкционированного доступа сетевую карту.

    Ссылки

    [ редактировать ]
    1. ^ Перейти обратно: а б с д Белловин, М. Стивен «Распределенные межсетевые экраны», вход в систему, ноябрь 1999 г., стр. 39–47 https://www.cs.columbia.edu/~smb/papers/distfw.pdf

    Книги

    [ редактировать ]
    1. Зонненрайх, Уэс и Том Йейтс, Создание межсетевых экранов Linux и OpenBSD , Сингапур: Эддисон Уайли
    2. Цвикки, Д. Элизабет, Саймон Купер, Брент Д. Чепмен, Создание интернет-брандмауэров O'Reilly Publications
    3. Стребе, Firewalls 24 Seven , BPB Publishers

    Официальные документы и отчеты

    [ редактировать ]
    1. Доктор Хэнкок, Билл «Резидентные межсетевые экраны: защита серверов и настольных компьютеров Windows NT/2000 от сетевых атак»
    2. Белловин, С.М. и В.Р. Чесвик, «Брандмауэры и интернет-безопасность: отпор хитрому хакеру», Аддисон-Уэсли, 1994.
    3. Иоаннидис С. и Керомитис А.Д., Белловин С.М. и Дж.М. Смит, «Реализация распределенного межсетевого экрана», Труды по компьютерной и коммуникационной безопасности (CCS), стр. 190–199, ноябрь 2000 г., Афины, Греция.
    Retrieved from "https://en.wikipedia.org/w/index.php?title=Distributed_firewall&oldid=1209047162"
    Arc.Ask3.Ru: конец переведенного документа.
    Arc.Ask3.Ru
    Номер скриншота №: f8381385ff6565f71bcf966c7e41d0e1__1708383360
    URL1:https://arc.ask3.ru/arc/aa/f8/e1/f8381385ff6565f71bcf966c7e41d0e1.html
    Заголовок, (Title) документа по адресу, URL1:
    Distributed firewall - Wikipedia
    Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)