Um olhar sob a capa de produtos de Firewalling

Share

|

No sentido esoteric, os componentes de um guarda-fogo existem na mente da pessoa que constrói os. Um guarda-fogo, em seu inception, é um conceito melhor que um produto; é a idéia que cerca o mecanismo do controle de acesso que permite o tráfego a e de sua rede.

No sentido mais geral, um guarda-fogo consiste no software e na ferragem. O software pode ser proprietário, shareware, ou freeware. A ferragem pode ser toda a ferragem que suportar o software.

As tecnologias do guarda-fogo podem geralmente ser classificadas em uma de três categorias:

· o Pacote-filtro–baseou (geralmente routers, IOS do Cisco, e assim por diante)

· O pacote-filtro de Stateful–baseou (ponto de verificação FW-1, PIX, e assim por diante)

· Proxy-baseado (gauntlet do NAI, Axent Raptor, e assim por diante)

Deixe-nos momentaneamente examinar cada um.

O Pacote-Filtro–Baseou Guarda-fogos

Os guarda-fogos filtrando do pacote são tipicamente routers com potencialidades pacote-filtrando. Usando um router pacote-filtrando básico, você pode conceder ou negar o acesso a seu local baseado em diversas variáveis, incluindo

· Endereço da fonte

· Endereço de destino

· Protocolo

· Número portuário

os guarda-fogos Router-baseados são populares porque são executados fàcilmente. (você plug simplesmente um dentro, fornece um Access Control List, e você é feito.) Além disso, os routers oferecem uma solução integrada. Se sua rede fosse conectada permanentemente ao Internet, youneed um router de qualquer maneira. Assim, por que não matar dois pássaros com uma pedra?

Na outra mão, os guarda-fogos router-baseados têm diversas deficiências. Primeiramente, não são preparados geralmente para segurar determinado tipo de negação de ataques do serviço. Muitas da negação das táticas do serviço usadas no Internet são baseadas hoje em mangling do pacote, em flooding de SYN, ou forçando outras anomalias de TCP/IP-based. Os routers básicos não são projetados segurando estes tipos de ataques. Em segundo, a maioria de routers não podem manter-se a par de dados do estado da sessão. Os administradores são forçados então a manter todos os portos acima de 1024 abertos a fim segurar corretamente sessões do TCP e negociações da sessão. Embora este não seja arguably um interesse enorme da segurança (porque não deve haver nenhum escutar presta serviços de manutenção ao corredor naqueles portos de qualquer maneira), não é geralmente uma prática boa deixar portos não utilizados abertos à parte externa.

Finalmente, usando ACLs (o controle de acesso alista) nos routers high-end que estão suportando as redes extremamente ocupadas podem contribuir à degradação do desempenho e a uma carga mais elevada do processador central. Entretanto, para a maioria de conexões low-speed (tais como os circuitos T1) em routers da baixo-extremidade (tais como o Cisco routers de 2500 séries), filtrar normal do pacote não tax o router a qualquer grau significativo.

Nota

Por muito tempo, acreditou-se que pôr as listas do controle de acesso (ACLs) sobre routers degradaria extremamente seu desempenho. Embora furando 100 uma régua ACL em um Cisco 7000 as conexões suportando de uns dúzia ATM não possam ser as mais melhores das idéias, colocar ACLs básico nos routers que suportam (10Mbps ou para abaixar) conexões low-speed não degrada geralmente seu desempenho visivelmente. Dois membros do subterrâneo, rfp e NightAxis, publicaram alguns findings básicos neste assunto que pode ser encontrado em http://www.wiretrip.net/rfp/. Desde então, outros estudos foram executados também (sua milhagem pode variar). Recorde, mesmo o Cisco que da baixo-extremidade os routers de 2500 séries foram baseados em jogos da microplaqueta de Motorola 68030 e 68040, e mais novos estão usando microplaquetas RISC-baseadas mesmo mais avançadas. Os routers são mais poderosos então muitos povos dão-lhes o crédito para. Teste-o você mesmo—vêem o que você encontra.

Ponta

Muitos administradores da rede usarão ACLs em seus routers do perímetro conjuntamente com um guarda-fogo mais avançado criar uma aproximação mais multitier ao controle de acesso da rede.

O Pacote-Filtro De Stateful–Baseou Guarda-fogos

Configurações filtrando do pacote de Stateful no conceito e nas tomadas filtrando do pacote ele algumas etapas mais mais. Os guarda-fogos construídos neste modelo mantêm-se a par de sessões e de conexões em tabelas internas do estado, e podem-se conseqüentemente reagir conformemente. Por causa deste, os produtos baseados–pacote-filtrando stateful são mais flexíveis do que suas contrapartes pacote-filtrando puras. Além, os produtos baseados pacote-filtrando–os mais stateful são projetados proteger de encontro a determinados tipos de ataques do DoS, e adicionar a proteção para o correio Smtp-baseado e uma variedade de outras características segurança-específicas.

O ponto de verificação abriu caminho a técnica chamada "a inspeção stateful" (SI), que faz exame do pacote stateful que filtra acima de um entalhe. O SI permite administradores de construir réguas do guarda-fogo para examinar o payload real dos dados, rather então apenas os endereços e os portos.

Nota

Porque os guarda-fogos baseados–pacote-filtrando stateful seguem estados da sessão, podem manter os portos acima de 1024 fechados pelo defeito e somente abrir os portos elevados em uma base como-as-needed. Tão simples como este pôde soar, isto é porque a maioria de administradores consideram o pacote stateful que filtra para ser a tecnologia que mínima executarão para suas soluções do guarda-fogo.

Guarda-fogos Proxy-Baseados

Um outro tipo de guarda-fogo é o guarda-fogo proxy-baseado (consultado às vezes como a uma passagem ou a um aplicação-application-proxy da aplicação). Quando um usuário remoto contatar uma rede que funciona um guarda-fogo proxy-baseado, os proxies do guarda-fogo a conexão. Com este IP da técnica os pacotes não são enviados diretamente à rede interna. Instead, um tipo de tradução ocorre, com o guarda-fogo que age como a canalização e o intérprete.

Como isto difere do pacote stateful que filtra e pacote genérico que filtra, você pede? Pergunta boa—e uma que muitos povos fazem. os filtros do pacote e os processos filtrando stateful examinam pacotes entrantes e que parte nos níveis da rede e da sessão. Examinam a fonte do IP e os endereços de destino junto com portos e bandeiras do status, comparam-nos a seus jogos da régua e informação da tabela, e decidem-se então se o pacote deve ser enviado. os guarda-fogos Proxy-baseados, na outra mão, inspecionam o tráfego no nível da aplicação além a uns níveis mais baixos. Um pacote vem no guarda-fogo e é entregado fora a um proxy application-specific, que inspecione a validez do pedido próprio do pacote e do aplicação-nível. Para o exemplo, se um pedido da correia fotorreceptora (HTTP) vier em um guarda-fogo proxy-baseado, o payload dos dados que contem o pedido do HTTP será entregado a um processo do HTTP-HTTP-proxy. Um pedido do ftp seria entregado a um processo do Ftp-fTP-proxy, telnet a um processo do proxy do telnet, e assim por diante.

Este conceito de uma aproximação do protocolo-por-protocolo é então um pacote stateful e genérico mais seguro que filtra porque o guarda-fogo compreende os protocolos de aplicação eles mesmos (HTTP, ftp, smtp, PNF, e assim por diante). É mais difícil para intruders sneak após algo que está prestando atenção mais do que apenas aos portos e a endereços do IP. Entretanto, observe que eu usei a palavra "conceito" na referência a ela que é mais segura. A verdade da matéria está aquela em aplicações real-world, esta aproximação teve sua parte justa dos problemas.

os guarda-fogos Proxy-baseados foram sempre então baseados pacote-filtrando–stateful os mais lentos. Agora, para a maioria de redes (10Mbps ou mais lento), esta diferença é moot. Entretanto, porque as redes pesadamente carregadas (T3s em 45Mbps, T3s múltiplo que aproxima 100Mbps, e assim por diante), este torna-se uma edição muito maior. Porque a tecnologia melhora, a abertura pôde fechar-se, mas para agora o uso da tecnologia proxy-baseada pura é ainda um interesse para redes high-volume.

Além ao problema de desempenho, a solução proxy-baseada tem também algumas edições do adaptability. Suponha, para o exemplo, que um protocolo novo está inventado para controlar seus coffeemakers no repouso. Para a causa do exemplo, nós chamaremos este protocolo o sistema de controle do percolation, ou PCES para o short. Agora, deixe-nos supõem também que os PCES usam o TCP e funcionam o porto excedente 666. Os administradores de guarda-fogos baseados–pacote-filtrando stateful terão que simplesmente construir uma régua nova em seu guarda-fogo permitindo o tráfego sobre o TCP no porto 666, e é um negócio feito. Os administradores de guarda-fogos proxy-baseados, entretanto, têm um problema novo: Não têm um proxy (contudo) para PCES. É um protocolo brandnew. Embora alguns guarda-fogos proxy-baseados (tais como o gauntlet do NAI) tenham um proxy genérico para tais problemas, agora nós somos para trás ao pacote básico que filtra, que derrota a finalidade de ter um proxy a começar com.

Entretanto, fazendo exame este exemplo de uma etapa mais mais, deixe-nos dizer o vendedor proxy-baseado do guarda-fogo escreve eventualmente um PCS-proxy, e tudo está bem em Coffeeville. Logo após, alguns contratantes mischievous do helpdesk resurrect suas cópias velhas do DOOM da rede, que funciona também o porto excedente 666, e tenta começar abusar um addiction velho. Baixo-e-low-and-behold, o DOOM da rede não o fará através do guarda-fogo proxy-baseado, mas com baseado–pacote-filtrando stateful.