Брандмауэр. Определение и описание
Брандмауэр (файрвол, межсетевой экран) – это система защиты компьютерной сети, которая ограничивает прохождение входящего, исходящего и внутрисетевого трафика.
Это программное обеспечение или программно-аппаратный модуль, который принимает решение – пропустить или заблокировать проходящий пакет данных. Его основная функция – блокировать вредоносную активность и предотвращать несанкционированные действия пользователей как в частной сети, так и за ее пределами.
Что такое межсетевой экран?
Межсетевой экран – это управляемый барьер, который контролирует разрешенную и запрещенную веб-активность в частной сети. Английский термин "firewall" (fire – пожар, wall – стена) и его немецкий аналог "брандмауэр" (brand – пожар, mauer – стена) пришли из области пожарной безопасности: физические стены служат барьерами, которые позволяют сдержать распространение пожара до прибытия аварийно-спасательной службы. В информационной безопасности сетевые экраны используются для управления веб-трафиком, позволяя сдержать распространение веб-угроз.
Сетевые экраны – это своеобразные «пункты контроля» веб-трафика, которые фильтруют его по заданным параметрам и принимают соответствующее решение. Некоторые межсетевые экраны также регистрируют трафик и подключения в журналах аудита, чтобы сопоставить эти данные со списком разрешенных и запрещенных действий.
Брандмауэр обычно контролирует границу частной сети или хоста. Это лишь один защитный инструмент из целого спектра средств контроля пользовательского доступа. Сетевые экраны обычно устанавливают на отдельных компьютерах, подключенных к сети, или устройствах пользователей и других конечных точках (хостах).
Как работает брандмауэр
При прохождении трафика брандмауэр должен решить, не опасен ли этот трафик и можно ли его пропустить. То есть он делит трафик на плохой и хороший, доверенный и недоверенный. Но прежде чем мы углубимся в подробности, давайте рассмотрим структуру интернет-сети.
Сетевые экраны предназначены для защиты частных сетей и подключенных к ним конечных устройств – хостов сети. Хосты – это устройства, которые «общаются» с другими устройствами, подключенными к этой сети. Они принимают и направляют сигналы, идущие от одной внутренней сети к другой, а также входящие и исходящие сигналы, которыми обмениваются внешние сети.
Компьютеры и другие конечные устройства, объединенные в сеть, могут подключаться друг к другу и к интернету. Однако интернет в целях обеспечения безопасности и приватности разделен на подсети. Основные подсети:
- Внешние публичные сети – общедоступный/глобальный интернет, а также экстрасети.
- Внутренние частные сети – домашняя сеть, корпоративные интрасети и другие «закрытые» сети.
- Сети периметра – пограничные сети, которые состоят из так называемых узлов-бастионов, то есть надежно защищенных компьютеров, способных выдержать внешнюю атаку. Они создают дополнительный уровень защиты между внутренней и внешней сетями и могут использоваться для развертывания внутренних служб, которые подключаются к внешним сетям (например, почтовых, веб-, FTP-, VoIP-серверов и т. д.). Они защищены лучше, чем внешние сети, но не так надежно, как внутренние.В домашних сетях они, как правило, не используются, однако нашли широкое применение в корпоративных и национальных внутренних сетях.
Экранирующие маршрутизаторы – специализированные шлюзовые компьютеры, использующиеся для сегментирования сети. Они выполняют роль месетевых экранов на уровне сети. Наиболее распространены две модели сегментации: с экранированным хостом и с экранированной подсетью.
- Межсетевой экран с экранированным хостом. В рамках этой модели один экранирующий маршрутизатор устанавливается между внешней и внутренней сетями, которые представляют собой две подсети.
- Межсетевой экран с экранированной подсетью. В этой модели используются два экранирующих маршрутизатора: маршрутизатор доступа между внешней сетью и сетью периметра и дроссельный маршрутизатор между сетью периметра и внутренней сетью. То есть в этой модели используются три подсети.
Файрвол может устанавливаться как в сети периметра, так и на хостах. Его размещают между отдельным компьютером и точкой подключения этого компьютера к частной сети.
- Для защиты на уровне сети используется один или несколько сетевых экранов, которые устанавливаются между внешними и внутренними частными сетями. Они контролируют входящий и исходящий сетевой трафик и формируют барьер между внешними публичными сетями, например глобальным интернетом, и внутренними сетями, например домашними сетями Wi-Fi, корпоративными или национальными интрасетями. Такие сетевые экраны могут поставляться в форме отдельного аппаратного модуля, программного обеспечения или виртуального устройства.
- Для защиты на уровне хоста используются программные брандмауэры, которые устанавливаются на пользовательских устройствах и других конечных точках частной сети и служат барьером между устройствами внутри сети. В этом случае используются индивидуальные настройки для контроля трафика, который передают и получают отдельные приложения, установленные на этих устройствах – хостах. Обычно это службы операционной системы или решения для защиты рабочих мест, запущенные на локальном устройстве. Они могут выполнять расширенную фильтрацию веб-трафика на основе протокола HTTP или других сетевых протоколов. Это позволяет не только получить сведения об источнике трафика, но и управлять им.
Конфигурация брандмауэров, используемых на уровне сети, должна обеспечивать эффективную фильтрацию широкого спектра подключений, а настраивая защиту хоста, достаточно учитывать особенности того или иного компьютера. Однако настройка сетевых экранов на уровне хоста – процесс трудоемкий, а защита на уровне сети охватывает все подключенные устройства. Сочетание обоих методов позволяет обеспечить эффективную многоуровневую защиту.
Фильтрация трафика с помощью брандмаура осуществляется на основе заранее определенных или динамических правил контроля подключений. Следуя этим правилам, он пропускает или блокирует веб-трафик, проходящий через вашу частную сеть и подключенные к ней устройства. Для фильтрации трафика все сетевые экраны, независимо от их типа, используют ту или иную комбинацию следующих атрибутов.
- Адрес источника:устройство, пытающееся подключиться к вашей сети.
- Адрес назначения:устройство вашей сети, к которому пытается подключиться внешнее устройство.
- Тип сообщения:то, что пытается передать подключающееся устройство.
- Пакетные протоколы:«язык» подключения, который используется для передачи сообщения. Протоколы TCP/IP используются хостами для «общения» друг с другом через интернет, а также внутри сети или подсети чаще других.
- Протоколы прикладного уровня:распространенные протоколы, включая HTTP, Telnet, FTP, DNS и SSH.
Данные отправителя и получателя можно отследить по IP-адресам и номерам портов. IP-адреса – это уникальные имена устройств на каждом хосте.Порты – это подуровни хостов отправителя и получателя, подобно офисным помещениям в крупном здании. Порты обычно служат конкретным целям, поэтому подключение к нетипичным или отключенным портам через некоторые протоколы и с определенных IP-адресов может быть поводом для беспокойства.
На основании этих идентификаторов сетевой экран либо пропускает, либо отклоняет пакет передаваемых данных. Во втором случае отправитель может получить уведомление об ошибке.
Типы межсетевых экранов
Межсетевые экраны делятся на несколько типов в зависимости от метода фильтрации. Каждый новый тип превосходит более ранние поколения сетевых экранов, однако все они задействуют одни и те же основные технологии.
Выделяют несколько типов файрволов в зависимости от подхода к:
- отслеживанию подключений;
- созданию правил фильтрации;
- ведению журналов аудита.
Каждый из этих типов используется на разных уровнях стандартизированной модели коммуникаций – OSI (модели взаимодействия открытых систем). Эта модель дает более полное представление о том, как каждый сетевой экран работает с подключениями.
Брандмауэр со статической пакетной фильтрацией
Брандмауэры со статической пакетной фильтрацией, или инспекторы, не хранящие данных о состоянии, работают на сетевом уровне модели OSI (уровень 3). Они выполняют базовую фильтрацию, проверяя все передаваемые по сети пакеты данных по сведениям об отправителе и получателе. При этом ранее разрешенные подключения не отслеживаются. То есть каждое подключение проверяется каждый раз, когда пакет данных передается по сети.
Фильтрация выполняется по IP-адресам, номерам портов и пакетным протоколам. На самом базовом уровне такие файрволы предотвращают неразрешенные прямые подключения между устройствами из разных сетей.
Правила фильтрации формулируются на основе списка управления доступом, созданного вручную. Такие списки не отличаются гибкостью и не могут обеспечить эффективной фильтрации нежелательного трафика без снижения удобства использования сети. Для эффективного использования статической фильтрации необходимо регулярно пересматривать списки в ручном режиме. Подобный метод подходит для небольших сетей, однако он может вызвать определенные сложности при администрировании крупных.
При невозможности считывать протоколы прикладного уровня сообщения, доставленные с пакетом данных, не могут быть прочитаны. А если сообщения нельзя прочитать, то сетевые экраны с пакетной фильтрацией не сумеют обеспечить достаточной защиты.
Шлюзы сеансового уровня
Такие шлюзы функционируют на сеансовом уровне (уровень 5 OSI). Эти брандмауэры проверяют, не содержат ли передаваемые данные функциональных пакетов, и разрешают постоянное соединение между двумя сетями, если все в порядке. После этого сетевой экран перестает следить за разрешенными подключениями.
Шлюзы сеансового уровня отличаются от шлюзов уровня приложений только подходом к обработке подключений.
Оставлять подключения без контроля опасно: с помощью легитимных инструментов можно открыть соединение, через которое злоумышленник впоследствии без труда проникнет в сеть.
Инспекторы состояния
Эти файрволы также называются сетевыми экранами с динамической пакетной фильтрацией. Они отличаются от статических фильтров способностью непрерывно отслеживать подключения и запоминать проверенные. Поначалу они использовались на транспортном уровне (уровень 4 OSI), но сейчас они могут контролировать трафик на разных уровнях, в том числе на уровне приложений (уровень 7 OSI).
Инспекторы состояния, как и их аналоги со статической фильтрацией, пропускают трафик или блокируют его на основании технических параметров, таких как пакетные протоколы, IP-адреса или номера портов. Однако эти сетевые экраны могут отслеживать и фильтровать трафик на основе данных о состоянии подключения, которые хранятся в таблице состояния.
Правила фильтрации обновляются на основе таблицы состояния, в которую экранирующий маршрутизатор записывает данные о предыдущих подключениях.
Чаще всего фильтрация осуществляется на основе правил, установленных администратором во время настройки компьютера и сетевого экрана. Однако таблица состояния позволяет файрволам с динамической фильтрацией самостоятельно принимать решения, используя данные о предыдущих подключениях для обучения. Например, типы трафика, которые провоцировали сбои в работе, будут отсеиваться. Благодаря своей гибкости инспекторы состояния стали одной из самых распространенных категорий щитов.
Шлюз уровня приложений
Шлюзы уровня приложений, или межсетевые экраны прикладного уровня (уровень 7 OSI), фильтруют трафик по протоколам прикладного уровня. Они выполняют не только проверку приложений, или глубокую проверку пакетов (DPI), но и проверку состояния.
По уровню защиты шлюзы уровня приложений максимально приближаются к физическим барьерам. Уникальность этих типов сетевых экранов заключается в том, что они выполняют роль двух дополнительных хостов (прокси-серверов), один из которых взаимодействует с внешними сетями, а другой – с внутренними хостами.
Шлюзы уровня приложений фильтруют трафик по данным прикладного уровня. В этом состоит их отличие от аналогов, которые выполняют пакетную фильтрацию по IP-адресам, номерам портов и базовым пакетным протоколам (UDP, ICMP). Сетевые экраны, работающие с FTP, HTTP, DNS и другими протоколами, выполняют более глубокую проверку и перекрестную фильтрацию по различным свойствам данных.
Как стражи, стоящие у дверей, они проверяют и оценивают все поступающие данные. Если с пакетом данных все в порядке, они пропускают его к пользователю.
Однако у такой тщательной проверки есть один недостаток – иногда обработка безопасных входящих данных замедляет работу приложения.
Межсетевые экраны нового поколения (NGFW)
В цифровом мире появляется много новых угроз, для борьбы с которыми требуются все более эффективные решения. Межсетевые экраны нового поколения сочетают возможности традиционных сетевых экранов и систем предотвращения сетевых вторжений, помогая противостоять современным угрозам.
Сетевые экраны нового поколения, созданные для борьбы с конкретными угрозами, например со сложным вредоносным ПО, выполняют углубленную проверку и идентификацию таких угроз. Это комплексное решение для блокирования угроз, которое чаще всего используется в корпоративных и сложных сетях.
Гибридный брандмауэр
Как следует из названия, такие межсетевые экраны объединяют несколько типов брандмауэров в одной частной сети.
Кто изобрел сетевой экран
На самом деле работа над сетевыми экранами еще не закончилась. В разработке и совершенствовании межсетевых экранов участвовало множество инженеров.
С конца 1980-х до середины 1990-х годов каждый из них работал над отдельными компонентами и версиями сетевых экранов, которые в дальнейшем легли в основу современных решений.
Брайан Райд, Пол Викси и Джефф Могул
В конце 1980-х годов Могул, Райд и Викси работали в компании Digital Equipment Corp (DEC) над технологией пакетной фильтрации, которая нашла применение в сетевых экранах будущих поколений. Они разработали концепцию, предусматривающую проверку внешних подключений до того, как передаваемый трафик достигнет компьютера, подключенного к корпоративной сети. Некоторые специалисты считают, что такие пакетные фильтры и были первыми межсетевыми экранами, однако это скорее компонентная технология, на основе которой были разработаны настоящие сетевые экраны.
Давид Пресотто, Джанардан Шарма, Кшитижи Нигам, Уильям Чесвик и Стивен Белловин
С конца 1980-х до начала 1990-х несколько сотрудников компании AT&T Bell Labs занимались исследованием и разработкой начальной концепции шлюзов сеансового уровня. Это были первые сетевые экраны, которые контролировали и поддерживали постоянное подключение, – в отличие от пакетных фильтров, которые требовали повторной авторизации после проверки каждого пакета. Пресотто, Шарма и Нигам занимались разработкой шлюзов сеансового уровня в 1989–1990 гг., а в 1991 г. Чесвик и Белловин продолжили их работу над технологиями сетевых экранов.
Маркус Ранум
С 1991 по 1992 гг. Ранум работал в компании DEC над шлюзами уровня приложений, которые стали ключевым компонентом первого сетевого экрана, обеспечивающего защиту на прикладном уровне, – Secure External Access Link (SEAL), который появился в 1991 году. Это была усовершенствованная версия сетевого экрана, созданного Райдом, Викси и Могулом в DEC, и именно она стала первым межсетевым экраном, появившимся на рынке.
Гиль Швед и Нир Зук
С 1993 по 1994 гг. Гиль Швед, основатель компании Check Point, и Нир Зук, талантливый программист, работавший под его началом, занимались разработкой первого сетевого экрана, который оказался удобным и получил широкое распространение, – Firewall-1. Гиль Швед изобрел сетевой экран – инспектор состояния и запатентовал его в 1993 году. В 1994 году к проекту присоединился Нир Зук, разработавший удобный графический интерфейс, благодаря которому организации и обычные пользователи начали активнее осваивать новые защитные технологии в последующие годы.
Эти разработки сыграли существенную роль в создании прообраза современного сетевого экрана, и каждая из них в той или иной форме используется во многих защитных решениях.
Важная роль брандмауэров
Какую роль играет брандмауэр в безопасности частной сети? Для незащищенных сетей угрозу может представлять любой трафик, который пытается получить к ним доступ. Любое подключение, как опасное, так и безопасное, нужно проверять.
Возможность подключения к другим IT-системам или интернету открывает ряд преимуществ: мы можем работать с коллегами над одним проектом, пользоваться общими ресурсами и реализовывать свой творческий потенциал. Однако для этого придется позаботиться о надежной защите сети и подключенных к ней устройств. Взлом, кража цифровой личности, вредоносное ПО и онлайн-мошенничество в сети – самые распространенные угрозы, с которыми могут столкнуться пользователи локальной или глобальной сети.
Злоумышленники могут быстро обнаружить вашу незащищенную сеть и устройства, мгновенно проникнуть в инфраструктуру и проводить многочисленные атаки. Риски повышаются, если устройства подключены к интернету круглосуточно (поскольку доступ к корпоративной сети открыт постоянно).
Проактивная защита играет ключевую роль в безопасности любых сетей. Сетевой экран поможет защитить сеть от самых опасных атак.
Что файрвол делает хорошо?
Как работает файрвол и от каких угроз он защищает хорошо? Основная задача сетевого экрана – максимально сократить поверхность сетевой атаки, оставив лишь одну точку соприкосновения. Весь глобальный трафик, поступающий в частную сеть, проходит через файрвол, прежде чем попадет на подключенные к ней устройства. Этот принцип работает и в обратном направлении, то есть он может блокировать не только входящий, но и исходящий нежелательный трафик. Сетевые экраны регистрируют попытки подключения в журнале аудита, предоставляя ИБ-специалистам дополнительные данные о безопасности.
Поскольку владельцы частной сети могут самостоятельно настраивать правила фильтрации трафика, появилось несколько пользовательских сценариев применения файрволов. Вот самые распространенные из них.
- Защита от проникновения злоумышленников.Нежелательные подключения от источника, демонстрирующего странное поведение, блокируются. Это позволяет предотвратить перехват данных и APT-атаки.
- Родительский контроль. Родители могут заблокировать доступ к нежелательному контенту на устройствах ребенка.
- Ограничение доступа к сайтам с рабочих компьютеров. Работодатели могут запретить доступ сотрудников к некоторым сервисам и сайтам, например к социальным сетям, через корпоративную сеть.
- Внутренние сети, контролируемые на национальном уровне. Органы власти могут блокировать доступ граждан к веб-контенту и сервисам, которые дискредитируют руководство страны и угрожают национальным ценностям.
А вот в следующих сценариях межсетевые экраны оказались менее эффективными.
- Обнаружение эксплойтов в легитимных сетевых процессах. Межсетевые экраны не способны распознавать вмешательство человека и, следовательно, идентифицировать использование легитимных подключений в преступных целях. Например, они не проверяют IP-адреса источника и назначения, что открывает возможность для мошенничества с подменой IP-адресов (IP-спуфинг).
- Разрыв соединений, идущих в обход межсетевого экрана. Сетевые экраны, функционирующие на уровне сети, не смогут остановить внутреннюю вредоносную активность без дополнительных инструментов защиты. Для того чтобы сегментировать сеть и замедлить распространение внутреннего «пожара», необходимо разворачивать сетевые экраны не только по периметру, но и на уровне хоста.
- Полноценная защита от вредоносного ПО. Файрволы блокируют некоторые подключения, останавливая проникновение вредоносного кода в сеть, однако не все разрешенные подключения действительно безопасны. Если межсетевой экран пропускает угрозу в результате неправильной настройки или эксплуатации уязвимости, на следующем этапе защиты в дело должна вступить антивирусная программа, которая нейтрализует проникшее в сеть вредоносное ПО.
Примеры межсетевых экранов
Брандмауэры заслужили как много положительных отзывов, так и немало критики. Межсетевые экраны успешно защищают пользователей от нежелательного трафика на протяжении многих лет, но при неправильной настройке они могут оказаться уязвимыми. Кроме того, некоторые сценарии использования сетевых экранов вызывают вопросы этического характера.
Великий китайский файрвол, цензура в интернете
Примерно с 2000 года Китай озаботился созданием собственного интранета, который бы находился под пристальным контролем государства, и ограничил доступ к нему сетевыми экранами. Сетевые экраны позволяют создать национальную версию глобального интернета в границах страны. Для этого с их помощью блокируют некоторые сервисы, а также доступ к определенной информации для пользователей национальной интрасети.
Национальная система контроля и цензуры позволяет ограничивать свободу слова, поддерживая авторитет власти. Кроме того, китайский файрвол позволяет власти ограничивать использование интернет-сервисов местными компаниями. Это существенно упрощает контроль над поисковыми системами и почтовыми службами и помогает правительству достигнуть своих целей.
Население Китая активно протестует против такого режима. Многие недовольные цензурой подключаются к интернету через виртуальную частную сеть (VPN) или прокси-сервер, которые позволяют обойти государственные ограничения.
Нарушение кибербезопасности в одном из федеральных агентств США из-за уязвимостей в инструментах удаленной работы во время пандемии Covid-19
В 2020 году неправильная настройка сетевого экрана стала лишь одной из многочисленных уязвимостей, через которые неизвестная группировка атаковала одно из федеральных агентств США.
Специалисты считают, что атаку организовала кибергруппа, действующая в интересах другого государства, которая использовала ряд уязвимостей в защите агентства. Помимо прочих недоработок в системе безопасности, многие из открытых исходящих портов были настроены неправильно. К плохому обслуживанию внутренней сети федерального агентства добавились проблемы, связанные с переходом сотрудников на удаленную работу. Взломав сеть, злоумышленник явно пытался найти лазейки для проникновения в инфраструктуру других агентств. Такие угрозы подвергают опасности не только атакованное агентство, но и многие другие.
Эксплуатация неисправленных уязвимостей сетевого экрана в электросетевой организации США
В 2019 году злоумышленники воспользовались уязвимостью в системе безопасности одной из электросетевых компаний США и провели атаку типа «отказ в обслуживании». Межсетевые экраны, расположенные по периметру сети, непрерывно перезагружались в течение десяти часов.
Позже выяснилось, что атака была связана с эксплуатацией неисправленной уязвимости межсетевых экранов, о которой специалистам было известно. На тот момент в организации не применялась стандартная процедура проверки обновлений, что приводило к их несвоевременной установке и проблемам безопасности. К счастью, в этом случае злоумышленникам не удалось проникнуть вглубь инфраструктуры.
Эти инциденты еще раз напоминают о необходимости своевременно устанавливать обновления. Иначе сетевые экраны становятся еще одним уязвимым звеном системы сетевой безопасности.
Правила работы с брандмауэром
Правильная настройка и обслуживание брандмауэра играет ключевую роль в защите сети и подключенных к ней устройств. Вот несколько советов.
- Старайтесь оперативно устанавливать обновления. Своевременное обновление встроенного и другого ПО защитит вас от эксплуатации недавно обнаруженных уязвимостей. Обновления для персональных и домашних брандмауэров можно установить сразу же после их выпуска. Крупным организациям может потребоваться проверить конфигурацию и совместимость с сетевыми устройствами перед установкой обновлений. Но в любой сети должны быть предусмотрены процессы оперативного обновления межсетевых экранов.
- Используйте антивирусные программы. Брандмауэр не может самостоятельно справиться с вирусами и другим вредоносным ПО. Эти угрозы способны проникнуть через файрвол, поэтому вам нужно дополнительное решение, которое сможет противостоять им. Kaspersky Premium поможет вам защитить персональные устройства, а наши решения для бизнеса обеспечат безопасность хостов корпоративной сети.
- Используйте список разрешенных портов и хостов. Отклоняйте по умолчанию весь входящий трафик. Ограничьте входящие и исходящие соединения списком доверенных IP-адресов. Предоставляйте пользователям только те права доступа, которые им действительно необходимы. Лучше открыть доступ тогда, когда он потребуется, чем ограничивать его после инцидента безопасности и кусать себе локти.
- Сегментируйте сеть.Перемещение злоумышленника по инфраструктуре может представлять серьезную опасность, однако его можно сдержать, ограничив внутренние сетевые взаимодействия.
- Используйте резервирование, чтобы сократить время простоя. Резервное копирование данных на хостах сети и в других важных системах позволит предотвратить потерю данных и снижение производительности во время инцидента безопасности.
В 2021 году лаборатория AV-TEST присвоила корпоративному решению для защиты рабочих мест Kaspersky Endpoint Security три награды в категориях «Лучшая производительность», «Лучшая защита» и «Максимальное удобство использования». Во всех тестах оно продемонстрировало высокую производительность, эффективную защиту и удобство использования.
Рекомендуемые продукты:
Полезные ссылки: