Серверное оборудование, корпоративные сети нередко подвергаются хакерским атакам. Злоумышленники могут получить доступ к ним, похитить или стереть ценную информацию, запустить вредоносный софт или банально «уложить» систему. Чтобы подобного не произошло, необходимо предусмотреть особый инструмент, способный обеспечить комплексную защиту ваших сервисов и сервера от внешнего доступа сторонних лиц. Фильтрация сетевого трафика может выполняться при помощи межсетевого экрана. О чем идет речь, как работает этот продукт, каких типов может быть? Остановимся более подробно на этих вопросах.
Межсетевой экран – это программный или программно-аппаратный продукт, предназначенный для отслеживания сетевых пакетов, предоставления разрешения на их пропускание или блокировку. Таким образом и обеспечивается защита сервера, корпоративных сервисов от несанкционированного доступа. Еще этот инструмент называют МЭ, сетевым экраном, файрволом (Firewall), брандмауэр. Если вы встретите любое из этих названий, должны понимать, что речь идет именно о межсетевом экране.
Устанавливаться он может в разных местах. Так, если его разместить в месте выхода корпоративной сети в интернет, то это обеспечит защиту всей внутренней системы вашей компании. Также при помощи МЭ можно предотвратить несанкционированный доступ к одному из элементов программного обеспечения, как пример – серверу, на котором хранится наиболее важная документация.
Реализован файрвол может на отдельной программе или же быть частью какого-то программного комплекса. Как пример, сегодня брандмауэр –обязательный компонент большей части антивирусного ПО. На практике встречаются брандмауэры и в виде программно-аппаратного комплекса, то есть представляют собой физическое устройство с соответствующим софтом, которое дополнительно подключается к сети.
В обязанности, которые берет на себя сетевой экран Firewall входит:
Приостановление подмены потока данных. На примере это выглядит так. Внутри компании осуществляются непрерывные обмены информацией между разными подразделениями с идентифицированными и реальными IP-адресами. Нередко такой трафик используют злоумышленники. Они маскируют свой вредоносный поток данных под рабочий, вот только идти он будет с другого IP, не идентифицированного межсетевым экраном. МЭ мгновенно заметит такую подмену и запретит доступ этим данным. Вредоносная информация не попадает в вашу сеть.
Предотвратить трафик на неизвестный IP-адрес. Ситуация обратная предыдущей: МЭ блокирует пакеты данных не на вход, а на выход. Предположим, что один из недобросовестных сотрудников случайно или намеренно уже загрузил вредоносный файл на свой ПК. В результате таких действий произошла утечка данных. И как только вирусное ПО перейдет к передаче скачанных сведений на неизвестный IP, МЭ заблокирует этот трафик. Будет предотвращена утечка данных за пределы компании.
Обеспечить защиту сети от DDoS-атак. DDoS-атаки – один из наиболее распространенных на сегодня способов взлома как частных ПК, так и корпоративных сетей. Злоумышленник отправляет множественные запросы с аппаратного обеспечения, которое уже заражено вирусом. У корпоративных систем, сталкивающихся уже с подобными атаками, есть функция их распознавания. Она выявит закономерность DDoS и перенаправит ее на Firewall для фильтрации потока данных.
Работа межсетевого протокола основана на ряде правил. На их основании и осуществляется прохождение сетевого трафика через файрвол, определяется возможность его пропуска или же выполняется блокировка. Правила состоят всего из двух компонентов:
Условие. Имеется ввиду порт и IP-адрес. Задаются данные, на которые МЭ будет ориентироваться, разрешая или же блокируя доступ.
Действие. Речь идет о пропускании трафика или его блокировка исходя из указанных в ПО условий. Действие выполняется тремя командами: разрешить, отклонить, отбросить. Разрешить (accept) – это значит пропустить поток данных. Отклонить (reject) – это заблокировать прохождение трафика и отправить пользователю информационное сообщение об ошибке в формате «недоступно». Отбросить (drop) – действие, запрещающее прохождение потока данных без направления отправителю сообщения об ошибке.
Одна из главных задач системного администратора при внедрении брандмауэра в архитектуру корпоративной сети – правильно указать условия для правил. Как пример возможного варианта:
разрешить передачу данных между всеми IP-адресами из отдела продаж, направить их на 60-й порт;
разрешить передачу данных между всеми IP-адресами, завязанными на сисадмине;
отклонить/отбросить доступ со всех других IP.
При таком задании условий, все попытки стороннего персонала (отдел рекламы, технической поддержки, бухгалтерии и пр.) подсоединяться к сети будут отклонены с сообщением «недоступно» или же без него. И даже если в сеть через SSH попробует зайти представитель отдела продаж, но не через 60-й, а, к примеру, 40-й порт, от также получит отказ в доступе.
Принцип работы межсетевого экрана достаточно простой и логически понятный. Чтобы обеспечить защиту сервера, корпоративных сервисов от стороннего доступа, файрвол постоянно контролирует входящие и исходящие потоки данных. Классические варианты МЭ (пакетные фильтры) идентифицируют трафик исходя из сетевого уровня. На его основании они и делают указание пропускать либо же отклонить тот или иной поток информации. Основные критерии:
Порт и IP источника трафика, то есть того, кто направляет поток данных.
Порт и IP получателя информации, то есть того, для кого предназначается это пакет данных.
На каких протоколах транспортного уровня осуществляется взаимодействие: UDP, TCP и пр.
Период времени, в ходе которого осуществляется передача информации.
Более современные межсетевые экраны дополнительно уже способны анализировать и содержание трафика. В качестве примера: брандмауэр может отклонить передачу сведений, поступающих из стороннего источника к корпоративной сети или серверу. Но вот если такая информация предоставляется в ответ на запрос, отправленный из корпоративной сети, то ее пропустят.
Наряду с пакетными фильтрами (идентифицируют передачу данных на сетевом уровне, то есть на основании параметров IP-пакетов), к файрволу также относятся и сопутствующие компоненты:
посредники прикладного уровня, включая Firewall интернет-приложений, способные воспринимать и понимать смысл перенаправляемой информации, исходя из специфики работы программного обеспечения;
шлюзы сеансового уровня, предназначенные для фильтрации потока данных на основании Правил сетевого соединения, предусмотренных в OSI-модели.
Сегодня межсетевые экраны в своем самом простом исполнении (как самостоятельный механизм защиты сетевых соединений) уже не применяется ввиду невысокой эффективности. Наибольшую результативность работы он дает при совместном применении со сканированием передачи данных, защитой от DDoS-атак, антивирусными приложениями потокового сканирования и пр. Но фильтрация сетевого трафика по его параметрам – была, есть и будет основой любой сетевой защиты. Именно она будет открывать или запрещать доступ к корпоративным сетям.
На сегодня существуют следующие виды межсетевых экранов:
Аппаратные. Имеется ввиду специализированное оборудование, разработанное исключительно с целью обработки потоков данных. Оно будет включать в себя процессоры, платы и прочие компоненты. Работает все это на своем индивидуальном программном обеспечении, позволяющем увеличить производительность «железа». FortiGate, Cisco ASA, UserGate, Cisco FirePower – все это примеры аппаратного файрвола.
Программные. Здесь нет аппаратной составляющей – исключительно программное обеспечение. Его можно установить как на реальные, так и на виртуальные машины. Через ПО будут проходить все потоки данных, поступающие внутрь системы. Такие межсетевые фильтры встроены в ОС Windows, Linux (iptables). Устанавливаться межсетевые экраны данного типа могут как на границе корпоративной сети и интернета, так и на отдельно взятых персональных компьютерах.
По мощностным показателям аппаратный firewall значительно превосходит программные аналоги. Но и по цене такие решения будут значительно дороже. В свою очередь программный тип МЭ более сложные в настройках, да и пропускная способность у них ниже. И здесь уже надо исходить и из собственных материальных возможностей, и из условий предстоящего использования файрвола, а именно от требуемого уровня защиты.
В качестве межсетевого экрана сегодня могут использоваться и прокси-сервера. Они способны контролировать перемещение потоков данных на последнем уровне стека TCP\IP. В качестве фильтров здесь применяются:
блоки заголовков;
содержимое блока полезной нагрузки;
параметры поля и прочие моменты.
Прокси-сервер может фильтровать как один, так и несколько протоколов. Они станут оптимальным вариантом для обеспечения высокого уровня безопасности, повысят производительность системы и скорость доступа к определенным интернет-сервисам. Но вот построены они на более сложных протоколах, чем обычные межсетевые экраны. Не таким простым будет и управление ими. Но зато прокси-сервер может идентифицировать взаимосвязь между сервером и клиентом, что обеспечит возможность выполнять проверку и фильтровать запросы уже на прикладном уровне.
Зачастую прокси сервер – это дополнительный инструмент к МЭ. Более того, брандмауэры последнего поколения уже имеют встроенные функции прокси.
Подводя итоги всему вышесказанному, отметим ряд основных моментов:
Основная обязанность файрвола (он же firewall, межсетевой экран, МЭ, брандмауэр) – обеспечить безопасность корпоративной сети, сайта, аппаратного устройства, защитив его от несанкционированного стороннего подключения.
С целью обеспечения защиты МЭ проверяет как входящие, так и исходящие потоки данных, анализируя их параметры в соответствии в указанными правилами.
Брандмауэр минимизирует вероятность утечки информации, предотвратит DDoS-атаки и прочие варианты проникновения вирусов внутрь корпоративной сети или аппаратного устройства.
Межсетевые экраны могут быть как чисто программными (непосредственно приложение), так и аппаратными («железо» с соответствующим программным обеспечением). Первые разновидности устанавливаются на сервер или на ПК, а вторые – подключаются дополнительно.
МЭ последнего поколения имеют встроенные функции прокси-серверов. Это позволяет им на прикладном уровне пропускать запросы или отбрасывать их, запрещать доступ.
Если вы хотите обеспечить своей корпоративной сети или отдельно взятому устройству высокий уровень безопасности, воспользуйтесь возможностями, которые предоставляют межсетевые экраны. В компании «Xelent» вы сможете взять в аренду подобные решения на выгодных условиях и с профессиональным обслуживанием. Чтобы более подробно узнать условия сотрудничества и особенности продукта, обращайтесь за консультациями к нашим специалистам.