Vysvetľuje účel brány firewall. Koncept firewallov. Firewall - filtrujúci smerovač

Internet, ako každá komunita, trpí hlupákmi, ktorí sa tešia z elektronických foriem obscénneho písania na stenách, podpaľovania poštových schránok či trúbenia áut na dvoroch. Mnohí sa snažia robiť s Internetové siete niečo užitočné, iní majú dôležité alebo citlivé údaje, ktoré je potrebné chrániť. Úlohou brány firewall je zvyčajne udržať idiotov mimo siete bez toho, aby zabránili používateľom vykonávať ich prácu.

Mnohé tradičné spoločnosti a dátové centrá vyvinuli pravidlá a zásady počítačovej bezpečnosti, ktoré treba dodržiavať. Ak prevádzkové pravidlá spoločnosti určujú, ako by mali byť údaje chránené, firewall sa stáva obzvlášť dôležitým a stáva sa súčasťou podnikový systém bezpečnosť. Pri pripájaní veľkej spoločnosti na internet často nie je najťažšie zdôvodniť, že je to ziskové alebo užitočné, ale vysvetliť manažmentu, že je to celkom bezpečné. Firewall poskytuje nielen skutočnú ochranu, ale často hrá zásadnú úlohu ako garant bezpečnosti pre správu.

Firewall môže napokon slúžiť ako firemný „posol“ („tvár“) na internete. Mnoho spoločností používa systémy firewall na poskytovanie informácií širokej verejnosti o produktoch a službách spoločnosti, ako úložisko na sťahovanie, zdroj pre opravené verzie softvéru atď. Niektoré z týchto systémov sa stali dôležitou súčasťou spektra internetových služieb (napríklad UUnet.uu.net, whitehouse.gov, gatekeeper.dec.com), čo má pozitívny vplyv na imidž ich organizátorov.

Niektoré brány firewall prepúšťajú iba správy Email, čím chráni sieť pred akýmikoľvek útokmi okrem útokov na poštovú službu. Ostatné firewally poskytujú menej prísnu ochranu a blokujú len služby, ktoré jednoznačne predstavujú bezpečnostné riziko.

Firewally sú zvyčajne nakonfigurované tak, aby chránili pred neoprávneným interaktívnym prihlásením z „vonkajšieho“ sveta. Toto, viac než čokoľvek iné, pomáha zabrániť vandalom vlámať sa do strojov vo vašej sieti. Pokročilejšie brány firewall blokujú prenos informácií zvonku do chránenej siete a zároveň umožňujú interným používateľom voľne komunikovať s vonkajším svetom. O správne nastavenie firewall môže chrániť pred akýmkoľvek typom sieťového útoku.



Firewally sú dôležité aj preto, že vám umožňujú vytvoriť jeden „choke point“, kde môže prebiehať ochrana a audit. Na rozdiel od situácie, keď je počítačový systém zvonku napadnutý modemovým dial-upom, firewall môže byť účinným prostriedkom na „počúvanie“ a zaznamenávanie pripojení. Brány firewall poskytujú dôležité funkcie protokolovania a auditovania; často umožňujú správcom získať správy o typoch a objemoch informácií prenášaných prostredníctvom nich, počte pokusov o hackovanie atď.

Dôležité je, že vytvorenie takéhoto „zraniteľného bodu“ môže v sieti slúžiť rovnakému účelu ako brána s ochranou pri budove firmy. Pri zmene „zón“ alebo úrovní zabezpečenia má teda zmysel vytvoriť takúto „bránu“. Málokedy je v budove firmy len závora pre výjazd vozidiel a nie je tam služba ani ochranka, ktorá kontroluje priechody prichádzajúcich. Ak má kancelária rôzne úrovne prístupu, bolo by logické vytvoriť v sieti kancelárií niekoľko úrovní ochrany.

Firewall nemôže chrániť pred útokmi, ktoré nie sú vykonávané prostredníctvom neho. Mnoho spoločností pripojených na internet sa veľmi obáva úniku dôverných údajov cez tento kanál. Nanešťastie pre nich je použitie magnetickej pásky na prenos údajov rovnako jednoduché. Vedenie mnohých organizácií, vystrašených pripojením na internet, úplne nerozumie tomu, ako chrániť prístup k vytáčaným modemom. Je smiešne inštalovať dvojmetrové oceľové dvere do dreveného domu, ale mnohé organizácie kupujú drahé firewally a ignorujú mnohé ďalšie medzery v firemná sieť. Aby firewall mohol vykonávať svoje funkcie, musí byť súčasťou dohodnutého spoločný systém ochranu v organizácii. Pravidlá brány firewall by mali byť realistické a mali by odrážať úroveň ochrany celej siete ako celku. Napríklad systémy s prísne tajnými alebo citlivými údajmi vôbec nepotrebujú firewall – len nemusia byť pripojené na internet alebo systémy so skutočne citlivými údajmi musia byť izolované od zvyšku podnikovej siete.

Firewall vás len ťažko ochráni pred sabotérmi alebo idiotmi vo vnútri siete. Hoci agent priemyselnej špionáže môže prenášať informácie cez váš firewall, môže ich prenášať aj telefónom, faxom alebo disketou. Diskety majú oveľa väčšiu pravdepodobnosť úniku informácií z firmy ako firewall! Firewally tiež nedokážu ochrániť pred hlúposťou. Používatelia, ktorí poskytujú dôležitá informácia cez telefón je dobrým cieľom na spracovanie psychologicky pripraveného útočníka. Môže sa nabúrať do siete úplným obídením brány firewall, ak nájde „užitočnú“ osobu v organizácii, ktorú môže oklamať, aby mu umožnila prístup k fondu modemov. Predtým, ako sa rozhodnete, že tento problém vo vašej organizácii neexistuje, položte si otázku, aké ťažké je pre člena partnerskej organizácie získať prístup k sieti, alebo či bude pre používateľa, ktorý zabudol svoje heslo, ťažké ho obnoviť. Ak zamestnanci pomocna lavica verte, že prijímajú iba hovory z vašej kancelárie, určite máte problém.

Nakoniec, firewally nemôžu chrániť pred prenosom príkazov cez väčšinu aplikačných protokolov do nečestných („Trójskych“) alebo zle napísaných klientskych programov. Firewall nie je všeliekom a jeho existencia nenahrádza potrebu kontrolovať softvér v lokálnych sieťach alebo chrániť hostiteľov a servery. Posielanie „zlých“ vecí cez HTTP, SMTP a iné je veľmi jednoduché a dá sa ľahko demonštrovať. Ochrana nie je niečo, čo sa dá „nastaviť a zabudnúť“.

Brány firewall nemôžu poskytnúť dobrú ochranu pred vírusmi a podobnými programami. Existuje príliš veľa spôsobov kódovania binárnych súborov na prenos cez siete, ako aj príliš veľa rôznych hardvérových architektúr a vírusov na to, aby sme sa pokúsili ich všetky identifikovať. Inými slovami, firewall nemôže nahradiť bezpečnostné princípy vašich používateľov. Vo všeobecnosti firewall nemôže chrániť pred útokom na databázu, keď je program odoslaný ako dáta alebo skopírovaný do interného hostiteľa, kde je potom spustený. K takýmto útokom došlo v minulosti rôzne verzie sendmail, ghostscript a poštoví agenti, ako napríklad OutLook, ktorí podporujú skriptovacie jazyky.

Organizácie, ktoré sa vážne obávajú vírusov, by mali zaviesť špeciálne opatrenia na kontrolu šírenia vírusov v rámci organizácie. Namiesto toho, aby ste sa pokúšali chrániť sieť pred vírusmi pomocou brány firewall, skontrolujte, či je každá zraniteľná pracovisko je vybavená antivírusovými programami, ktoré sa spustia po reštartovaní zariadenia. Vybavenie siete antivírusovými programami ju ochráni pred vírusmi prijatými z diskiet, cez modemy a cez internet. Pokus o blokovanie vírusov firewallom ochráni iba pred vírusmi z internetu a drvivá väčšina vírusov sa prenáša na disketách.

Čoraz viac predajcov firewallov však ponúka firewally „detekujúce vírusy“. Budú užitočné iba pre naivných používateľov zdieľajúcich spustiteľné súbory alebo dokumenty platformy Windows-Intel s potenciálne deštruktívnymi makrami. Existuje mnoho riešení založených na firewalle pre problémy, ako je červ „ILOVEYOU“ a iné podobné útoky, ale používajú príliš zjednodušené prístupy v snahe obmedziť škody spôsobené tak hlúpymi činmi, že by sa vôbec nemali robiť. Nespoliehajte sa na to, že vás tieto nástroje akýmkoľvek spôsobom ochránia pred útočníkmi.

Výkonný firewall nenahrádza citlivý softvér ktorý pozná povahu spracúvaných údajov – nespoľahlivé a z nedôveryhodného zdroja – a podľa toho ich spracuje. Nemyslite si, že ste v bezpečí, pretože „každý“ nejaké používa poštový program vyrába obrovská nadnárodná spoločnosť.

MINISTERSTVO ŠKOLSTVA A VEDY RUSKEJ FEDERÁCIE

FEDERÁLNA AGENTÚRA PRE VZDELÁVANIE

ŠTÁTNA VZDELÁVACIA INŠTITÚCIA VYSOKÉHO ODBORNÉHO VZDELÁVANIA

vo výške MISZKI

na tému: "Firewally"

Dokončené:

Skupina A-46 študent

Safonov D.V.

Skontrolované: Peskova O.Yu.

Taganrog 2009


2 Typy brán firewall

3 Prevádzka brány firewall

4 Vstavaná brána firewall systému Windows

Windows XP SP2

8 Osobné brány firewall

Bibliografia


1 Koncept brány firewall (firewall)

V angličtine má „firewall“ pôvodný význam „fire wall“, ktorý mal chrániť budovu pred šírením ohňa. Nemecké slovo „brandmauer“ má presne rovnaký význam. V ruštine sa jednoslovný analóg tohto výrazu neobjavil, najzakorenenejším analógom „firewall“ v ruštine je „firewall“ (možnosť - firewall). firewall zo sveta výpočtovej techniky by mal blokovať odlišné typy cez nežiaduce prieniky do vášho počítača počítačová sieť. Firewall je teraz nevyhnutným prvkom zabezpečenia siete, vrátane zabezpečenia používateľa pripojeného na internet. Aby bolo možné filtrovať a kontrolovať sieťová prevádzka, existujú rôzne prostriedky – hardvérové ​​aj softvérové. Tento dokument sa však zameriava presne na to, čo by malo chrániť bežný používateľ pripojený na internet a takýmto nástrojom je väčšinou osobný firewall – bežný počítačový program, ktorý sa inštaluje na samostatný počítač a chráni ho bez pomoci akéhokoľvek dodatočného vybavenia.

K dnešnému dňu dokonca správne nakonfigurované antivírusový program s najnovšími vírusovými databázami nie je schopný plne ochrániť váš počítač pred vonkajšími hrozbami. Čiastočne kvôli tomu, že počas voj globálnej siete Požiadavkám na bezpečnosť internetu sa nevenovala dostatočná pozornosť a hlavný dôraz sa kládol na pohodlie pri výmene informácií. Nezabezpečený je aj zásobník protokolov TCP/IP (Transmission Control Protocol/Internet Protocol), ktorý svojou povahou nespĺňa moderné bezpečnostné požiadavky. Profesionálni a domáci hackeri si samozrejme nenechajú ujsť príležitosť zneužiť takéto zraniteľnosti. Firewally sú navrhnuté na ochranu pred deštruktívnymi akciami a na zabránenie krádeži informácií z počítačov.

Väčšina funkcií brány firewall duplikuje funkcie brány firewall, avšak osobný firewall môže poskytovať aj ďalšie funkcie:

Ovládanie aplikácií pomocou portov. Na rozdiel od bežných firewallov dokáže personálny firewall určiť nielen použitý protokol a adresy, ale aj presný názov aplikácia žiadajúca o pripojenie (alebo pokúšajúca sa načúvať na niektorom porte), najmä je možné kontrolovať nemennosť aplikácie (ak je aplikácia modifikovaná vírusmi alebo trójskymi koňmi nainštalovanými ako plug-iny, sieťová aktivita aplikácie je zablokovaný).

Priraďte samostatné pravidlá rôznym používateľom bez dodatočnej autorizácie siete.

Režim učenia, keď program prvýkrát zavolá sieťové zdroje Používateľ je vyzvaný (zvyčajne vo forme „vždy zamietnuť, raz zakázať, vždy povoliť, povoliť raz, vytvoriť pravidlo“).

Režim zmiešaného filtrovania (v ktorom sa kontrolujú rôzne parametre na rôznych úrovniach sieťových protokolov – od druhej (kontrola falšovania MAC adries) po 4 (filtrovanie portov) a ešte vyšších úrovní (filtrovanie obsahu webových stránok, kontrola pošty, skríning spamu).

2 Typy brán firewall

Firewally sú dvoch typov – hardvérové ​​a softvérové.

Hardvérový firewall je zariadenie, ktoré sa pripája medzi počítačom (alebo lokálnou sieťou) a prístupovým bodom k internetu. Jeho výhoda spočíva v tom, že ako samostatné zariadenie nespotrebúva zdroje PC, možnosť pracovať bezpečne bez zmeny nastavení na akomkoľvek počítači, zabudovaná hardvérová ochrana proti vírusom, prevencia a ochrana pred útokmi (IDP) a filtrovanie spamu , . Nevýhodou je spravidla relatívne vysoká cena pre domácich používateľov a v dôsledku toho hlavnou oblasťou použitia firewallov sú lokálne siete rôznych spoločností.

V tomto príspevku sa zameriame hlavne na osobné softvérové ​​firewally, no takmer všetko z toho, čo sa uvádza, platí rovnako aj pre hardvérové. Softvérový firewall je softvér, ktorý kontroluje prístup počítača do lokálnej siete, ako aj pokusy o pripojenie zvonku a na základe vopred definovaného súboru pravidiel povoľuje alebo zakazuje určité akcie. Firewall je v podstate stena, ktorá oddeľuje sieťový adaptér a operačný systém. Akékoľvek dáta, prichádzajúce aj odchádzajúce, do nich „narazia“ a prejdú dôkladnou kontrolou.

Prvé firewally sa objavili už v 80-tych rokoch minulého storočia a boli to obyčajné smerovače, ktoré obsahovali filtrovanie paketov (preposlané údaje boli kontrolované podľa daného súboru pravidiel a neboli odovzdané ďalej v prípade nezhody). V deväťdesiatych rokoch sa objavili takzvané firewally na úrovni reťazca. Ďalší v zložitosti a novinke - "obrancovia" programovej úrovni. Neskôr boli firewally založené na dynamickom filtrovaní paketov. A najnovšou architektúrou programov typu firewall je dnes kernel proxy (táto architektúra má softvérové ​​aj hardvérové ​​implementácie). V podstate každá nová generácia je založená na princípe tej predchádzajúcej. To znamená, že to, čo platí pre prvú generáciu, môže platiť aj pre druhú generáciu, aj keď s určitými úpravami a doplnkami.



Obsah. Prenosy typu MBONE sú potenciálnou hrozbou, ak pakety obsahujú príkazy, ktoré menia parametre ochrán a umožňujú útočníkom získať prístup. Vírusy – Firewally nechránia pred tým, ako si používatelia sťahujú vírusmi infikované PC programy z internetových archívov alebo odosielajú takéto programy ako prílohy k listu. Takže...

Tiež kontroluje zdrojovú a cieľovú adresu každej spracovávanej správy. To poskytuje bezpečnosť tým, že pomáha predchádzať nechceným prienikom do siete alebo počítača. Softvérová brána firewall vykonáva rovnaké funkcie pomocou programu nainštalovaného v počítači a nie pomocou externého zariadenia. Na tom istom počítači je možné používať hardvér aj softvér ...



Generický server sa často označuje ako aplikačný server. Servery v sieti sú často špecializované. Špecializované servery sa používajú na odstránenie väčšiny úzkych miest v sieti: vytváranie a správa databáz a dátových archívov, podpora multicastových faxov a e-mailov, správa viacužívateľských terminálov (tlačiarne, plotre) atď. Súborový server (File ...

Je preukázané, že bola spôsobená, teda skutky, ktoré spôsobujú škodu, možno kvalifikovať z hľadiska právnych úkonov ako trestný čin. Preto pri určovaní ohrozenia informačnej bezpečnosti v tomto prípade je vhodné brať do úvahy požiadavky platného trestného práva (Trestný zákon Ruskej federácie, 1996), ktoré určuje skladbu trestného činu. V tomto prípade môžu byť takéto trestné činy ...

Windows Firewall je softvérový balík, cez ktorý prechádza všetka sieťová prevádzka. Hlavným účelom brány Windows Firewall však nie je byť vodičom premávky. Hlavným účelom brány Windows Firewall je kontrolovať práve tento prenos. A v závislosti od výsledkov kontroly je návštevnosť povolená alebo odmietnutá. V zásade je brána Windows Firewall nakonfigurovaná tak, aby zbavila škodlivého prenosu a nechala prejsť „čistým“ prenosom. Okrem toho brána firewall štandardne zatvára niektoré zraniteľné miesta, napríklad niektoré porty. Ale všetky tieto pravidlá, na základe ktorých Firewall funguje, sú prispôsobiteľné. Samotný používateľ si môže slobodne vybrať, ktorý prenos prejde a ktorý nie, ktorý port otvorí a ktorý zatvorí. Ale to všetko bude popísané neskôr, ale teraz musíte vedieť, že brána Windows Firewall chráni váš počítač pred prienikom a rôznymi škodlivými programami.

Čo je nové v bráne firewall v systéme Windows 7?

Na rozdiel od Firewallu v predchádzajúcom operačné systémy, Windows 7 Firewall má niekoľko pridané vlastnosti, medzi ktorými tri hrajú špeciálne miesto, ktoré sú uvedené nižšie:

  1. Zakázať vytváranie odtlačkov prstov operačného systému. Čo je to odtlačok prsta operačného systému? Fingerprinting OS je technika, pomocou ktorej môžete zistiť verziu operačného systému vzdialeného počítača. Pre hackera bude oveľa jednoduchšie preniknúť do počítača, ak bude vedieť, s akým operačným systémom má do činenia. To je dôvod, prečo brána Windows 7 Firewall používa funkciu úplného utajenia, ktorá znemožňuje externým hostiteľom vytvoriť odtlačok operačného systému.
  2. Funkcia filtrovania počas sťahovania poskytuje ochranu počítača od momentu aktivácie sieťových rozhraní. Ale v systéme Windows XP sa brána Firewall zapla len nejaký čas po aktivácii internetová karta, čo spôsobilo, že počítač zostal nejaký čas nechránený.
  3. Brána firewall systému Windows 7 blokuje väčšinu odchádzajúcej prevádzky. Z tohto dôvodu škodlivá prevádzka neopustí infikovaný počítač (teoreticky). V predchádzajúcich verziách fungoval Firewall iba s prichádzajúcou prevádzkou bez toho, aby akýmkoľvek spôsobom chránil počítače okolo.

Tu sú tri z najvýznamnejších a najpozoruhodnejších zmien, ktoré stavajú bránu firewall v operačnom systéme Windows 7 nad jej vlastnú. predchádzajúce verzie. Znamená to tiež, že prevádzkové systém Windows 7 sa stal oveľa bezpečnejším ako jeho predchodcovia. Už som o tom písal v jednom článku.

|

Firewall alebo firewall je systém, ktorý poskytuje bezpečnosť siete filtrovaním prichádzajúcej a odchádzajúcej prevádzky podľa pravidiel definovaných používateľom. Hlavnou úlohou brány firewall je eliminovať alebo obmedziť nechcenú sieťovú komunikáciu. Vo väčšine serverových infraštruktúr poskytujú brány firewall základnú vrstvu zabezpečenia, ktorá v kombinácii s inými ochranami pomáha predchádzať škodlivým útokom.

Tento článok vysvetľuje, ako fungujú brány firewall, najmä stavové softvérové ​​​​brány firewall (napríklad IPTables a FirewallD), ktoré súvisia s cloud servery. Článok sa zaoberá paketmi TCP, rôznymi typmi brán firewall a mnohými ďalšími témami týkajúcimi sa stavových brán firewall. Okrem toho na konci návodu nájdete mnohé užitočné odkazy pre návody, ktoré vám pomôžu nastaviť firewall na vašom serveri.

Sieťové pakety TCP

Pred diskusiou o rôznych typoch brán firewall sa pozrite na prenos protokolu TCP (Transport Control Protocol).

Sieťový prenos TCP prechádza sieťou vo forme kontajnerových paketov obsahujúcich hlavičky, ktoré obsahujú riadiace informácie (zdrojové a cieľové adresy, postupnosť informačných paketov) a dáta (ktoré sa nazývajú užitočné zaťaženie). Riadiace informácie v každom pakete zaisťujú, že jeho dáta sú doručené správne a že jeho prvky podporujú aj firewally.

Je dôležité poznamenať, že na úspešné prijatie prichádzajúceho TCP paketu musí príjemca poslať potvrdzovacie pakety ako odpoveď odosielateľovi. Kombinácia riadiacich informácií v prichádzajúcich a odchádzajúcich paketoch môže byť použitá na určenie stavu spojenia.

Typy brány firewall

Existujú tri základné typy firewallov:

  • sieťové (alebo bezstavové) paketové filtre,
  • stavový (alebo stavový),
  • a aplikačná úroveň.

Paketové filtre sieťovej vrstvy fungujú tak, že analyzujú jednotlivé pakety. Nie sú si vedomí stavu pripojenia a môžu povoliť alebo zamietnuť pakety iba na základe ich jednotlivých hlavičiek.

Stavové brány firewall dokážu zistiť stav pripojenia paketu, vďaka čomu sú flexibilnejšie. Zhromažďujú pakety, kým nezistia stav pripojenia pred tým, ako sa na prevádzku použijú pravidlá brány firewall.

Firewally na aplikačnej vrstve analyzujú prenášané dáta, čo umožňuje sieťovej prevádzke prechádzať cez pravidlá brány firewall, ktoré sú individuálne pre jednotlivé služby a aplikácie. Sú tiež známe ako proxy firewally.

Okrem softvéru brány firewall, ktorý je dostupný vo všetkých moderných operačných systémoch, môžu funkcie brány firewall poskytovať aj hardvérové ​​zariadenia (ako sú smerovače alebo hardvérové ​​brány firewall).

Pravidlá brány firewall

Ako je uvedené vyššie, sieťová prevádzka, ktorá prechádza bránou firewall, sa kontroluje pomocou sady pravidiel, aby sa určilo, či je prevádzka povolená alebo nie. Najjednoduchší spôsob, ako vysvetliť pravidlá brány firewall, sú príklady.

Predpokladajme, že máte server so zoznamom pravidiel pre prichádzajúcu komunikáciu:

  1. Prijmite novú a predtým zavedenú prevádzku na sieťovom rozhraní na porte 80 a 443 (webovú prevádzku HTTP a HTTPS).
  2. Znížte prichádzajúci prenos z IP adries netechnických zamestnancov kancelárie na porte 22 (SSH).
  3. Prijmite novú a existujúcu prichádzajúcu návštevnosť kancelárskeho rozsahu IP na rozhraní súkromnej siete na porte 22 (SSH).

Všimnite si slová „prijať“ a „vypustiť“ v týchto príkladoch. S ich pomocou sa nastaví akcia, ktorú má firewall vykonať, ak sa prevádzka zhoduje s pravidlom.

  • Prijať prostriedky na umožnenie premávky;
  • Odmietnuť - zablokovať prevádzku a vrátiť chybu „nedosiahnuteľná“;
  • Drop - blokovať premávku a nič nevrátiť.

Sieťová prevádzka prechádza zoznamom pravidiel brány firewall v sekvencii nazývanej reťazec pravidiel. Keď brána firewall zistí pravidlo, na ktoré prevádzka reaguje, vykoná pre túto komunikáciu príslušnú akciu. AT tento príklad podľa pravidiel brány firewall bude zamestnanec kancelárie pokúšajúci sa nadviazať spojenie SSH so serverom zablokovaný podľa pravidla 2 a pravidlo 3 nebude povolené. Systémový administrátor firewall prejde, pretože spĺňa pravidlo 3.

Predvolená politika brány firewall

Reťazce pravidiel brány firewall zvyčajne nepokrývajú všetky možné podmienky explicitne. Preto by reťazce mali mať vždy predvolenú politiku, ktorá pozostáva iba z akcií (prijať, odmietnuť alebo zrušiť).

Napríklad predvolená politika pre jeden z vyššie uvedených reťazcov je drop. Ak sa ktorýkoľvek počítač mimo kancelárie pokúsi nadviazať spojenie SSH so serverom, prenos sa preruší, pretože nezodpovedá žiadnemu z pravidiel.

Ak je predvolená politika nastavená na možnosť Prijať, každý používateľ (okrem netechnických zamestnancov kancelárie) bude môcť vytvoriť pripojenie k akejkoľvek otvorenej službe na tomto serveri. Samozrejme, toto je príklad veľmi zle nastaveného firewallu, pretože ten chráni služby len pred netechnickými zamestnancami.

Prichádzajúca a odchádzajúca prevádzka

Sieťová prevádzka môže byť z pohľadu servera buď prichádzajúca alebo odchádzajúca; firewall udržiava samostatnú sadu pravidiel pre každý typ prevádzky.

Prevádzka, ktorá pochádza z ľubovoľného miesta v sieti, sa nazýva prichádzajúca prevádzka. Je vnímaná inak ako odchádzajúca prevádzka, ktorú posiela server. Server zvyčajne umožňuje odchádzajúce prenosy, pretože sa považuje za dôveryhodný. Sada pravidiel pre výstupy však môže byť použitá na zabránenie nechcenej komunikácii, ak je server napadnutý útočníkom alebo škodlivým spustiteľným súborom.

Ak chcete naplno využiť zabezpečenie brány firewall, musíte identifikovať všetky spôsoby, akými môžu ostatné systémy komunikovať s vaším serverom, vytvoriť pravidlá, ktoré takúto komunikáciu výslovne povoľujú, a potom zrušiť všetku zostávajúcu komunikáciu. Majte na pamäti, že musíte vytvoriť aj vhodné pravidlá pre odchádzajúce pripojenie, aby server mohol odosielať potvrdenia pre povolené prichádzajúce pripojenia. Majte tiež na pamäti, že server zvyčajne potrebuje iniciovať svoju vlastnú odchádzajúcu komunikáciu (napríklad na stiahnutie aktualizácií alebo pripojenie k databáze), preto je dôležité tieto prípady zvážiť a vytvoriť pre ne súbor pravidiel.

Vytvorte odchádzajúce pravidlá

Predpokladajme, že brána firewall predvolene zastaví odchádzajúce prenosy (politika poklesu). Preto pravidlá prijatia pre prichádzajúce budú zbytočné bez dodatočných pravidiel pre výstup.

Ak chcete doplniť vyššie uvedené pravidlá pre prichádzajúce hovory (1 a 3) a zabezpečiť, aby tieto adresy a porty správne komunikovali, môžete použiť nasledujúce pravidlá brány firewall pre výstupy:

  • Akceptujte existujúcu odchádzajúcu prevádzku na spoločnom sieťovom rozhraní na portoch 80 a 443 (HTTP a HTTPS);
  • Prijmite existujúcu odchádzajúcu prevádzku v súkromnej sieti cez port 22 (SSH).

Všimnite si, že nemusíte explicitne nastaviť pravidlo pre vynechanú prichádzajúcu komunikáciu (pravidlo 2), pretože server toto spojenie nevytvorí ani nepotvrdí.

Programy a nástroje

Takže teraz viete, ako firewall funguje, a je čas zoznámiť sa s hlavnými balíkmi, ktoré vám umožňujú nakonfigurovať firewall. Nižšie si môžete prečítať o najbežnejších balíkoch na konfiguráciu brány firewall.

IPTtables

IPTables je štandardný firewall, ktorý je štandardne súčasťou väčšiny distribúcií Linuxu.

Poznámka: Modernejšia verzia sa nazýva nftables a čoskoro nahradí tento balík.

V skutočnosti je IPTables frontendom pre háčiky sieťového filtra na úrovni jadra, ktoré možno použiť na manipuláciu so sieťovým zásobníkom Linuxu. Funguje tak, že každý paket, ktorý prechádza sieťovým rozhraním, porovnáva so súborom pravidiel.

Pokyny na konfiguráciu brány firewall IPTables nájdete v nasledujúcich článkoch.

Činnosť brány firewall systému Windows je určená parametrami: Povoliť; Povoliť, ale nepovoliť výnimky a Zakázať.

· Zapnúť. V predvolenom nastavení je brána firewall povolená a ak neexistuje žiadna iná brána firewall, je lepšie ju nechať v tomto stave. V tomto stave firewall systému Windows zablokuje všetky nevyžiadané požiadavky na pripojenie k vášmu počítaču, s výnimkou tých, ktoré sú určené pre programy alebo služby vybrané na karte Výnimky.

Obrázok 4 - Windows Firewall GUI (kópia obrazovky)

· Povoliť, ale nepovoliť výnimky. Keď začiarknete políčko Nepovoliť výnimky, brána Windows Firewall zablokuje všetky nevyžiadané požiadavky na pripojenie k počítaču vrátane tých, ktoré sú určené pre programy a služby vybraté na karte Výnimky. Toto nastavenie je pre maximálnu ochranu počítač, napríklad pri pripojení k verejnej sieti v hoteli alebo na letisku, alebo najmä počas obdobia distribúcie internetu nebezpečné vírusy alebo červami. Začiarkavacie políčko Nepovoliť výnimky nie je potrebné používať stále, pretože to môže spôsobiť, že niektoré programy nebudú správne fungovať a tiež to zablokuje neočakávané požiadavky na nasledujúce služby:

o Služba prístupu k súborom a tlačiarňam;

o "Vzdialená pomoc" a " Diaľkové ovládanie desktop";

o Objavovanie sieťových zariadení;

o Vopred nakonfigurované programy a služby v zozname vylúčení;

o Ďalšie objekty pridané do zoznamu vylúčení.

Ak začiarknete políčko Nepovoliť výnimky, stále môžete odosielať a prijímať e-maily, používať okamžité správy alebo prezerať väčšinu webových stránok.

· Vypnúť. Tento parameter deaktivuje bránu Windows Firewall a ponecháva váš počítač zraniteľný voči útokom používateľov so zlými úmyslami alebo vírusom. Toto nastavenie by mali používať iba pokročilí používatelia dočasne na účely správy počítača alebo ak sú chránené iným firewallom. Nastavenia pre pripojenie počítača k doméne sú uložené oddelene od nastavení pre počítač, ktorý nie je v doméne. Tieto jednotlivé skupiny nastavení sa nazývajú profily.

Ak chcete zapnúť alebo vypnúť bránu Windows Firewall, musíte to urobiť

1. Prihláste sa pomocou účtu správcu;

2. V ponuke Štart vyberte príkazy Nastavenia a Ovládací panel;

3. Dvakrát kliknite na ikonu Windows Firewall;

4. Na karte Všeobecné vyberte jednu z nasledujúcich možností:

Brána Windows Firewall pomáha chrániť váš počítač a blokuje nevyžiadané požiadavky na pripojenie k vášmu počítaču. Keďže brána firewall obmedzuje komunikáciu medzi počítačom a internetom, možno budete musieť upraviť nastavenia niektorých programov, ktoré vyžadujú neobmedzené internetové pripojenie. Pre tieto programy môžete urobiť výnimku, aby mohli komunikovať cez bránu firewall.

Uvedomte si však, že každá výnimka, ktorá umožňuje programu komunikovať cez bránu Windows Firewall, robí počítač zraniteľným. Vytvorenie výnimky sa rovná prerazeniu diery vo firewalle.

Ak je takýchto medzier priveľa, firewall už nebude pevnou bariérou. Zvyčajne používajú hackeri špeciálne programy na vyhľadávanie počítačov s nezabezpečeným pripojením na internete. Ak vytvoríte veľa výnimiek a otvoríte veľa portov, váš počítač sa môže stať obeťou takýchto crackerov.

Ak chcete znížiť potenciálne riziko pri vytváraní výnimiek:

Vyhoďte výnimku len vtedy, keď je to skutočne nevyhnutné;

Nikdy nevytvárajte výnimky pre neznámy program;

Odstráňte výnimky, keď už nie sú potrebné.

Niekedy chcete niekomu dovoliť komunikovať s vaším počítačom napriek riziku – napríklad keď očakávate, že dostanete súbor odoslaný cez instant messenger, alebo keď sa chcete zúčastniť sieťová hra cez internet.

Ak dôjde k výmene okamžitých správ s partnerom, ktorý sa chystá odoslať súbor (napríklad fotografiu), brána Windows Firewall požiada o potvrdenie, aby sa odstránilo blokovanie spojenia a umožnil sa prenos fotografie do počítača.

Ak chcete povoliť nechcené pripojenia k programu v počítači, brána Windows Firewall používa kartu Výnimky.

Ak program alebo služba, pre ktorú chcete vytvoriť výnimku, nie je uvedená na karte Výnimky, môžete ju pridať pomocou tlačidla Pridať program. Ak sa program nenachádza v zozname programov, ktoré môžete pridať, kliknite na tlačidlo Prehľadávať a nájdite ho, potom otvorte rozhranie brány Windows Firewall a na karte Výnimky v skupine Programy a služby začiarknite políčko programu alebo služby, ktorú chcete povoliť, a potom kliknite na tlačidlo OK.

Ak sa program alebo služba, ktorú chcete povoliť, nenachádza v zozname, postupujte podľa týchto krokov: Kliknite na tlačidlo Pridať program. V dialógovom okne Pridať program vyberte potrebný program a kliknite na tlačidlo OK. Tento program sa objaví (so začiarknutým políčkom) na karte Výnimky v skupine Programy a služby. Kliknite na tlačidlo OK.

Ak program alebo služba, ktorú chcete povoliť, nie je uvedená v dialógovom okne Pridať program, postupujte nasledovne: V dialógovom okne Pridať program kliknite na tlačidlo Prehľadávať, vyhľadajte program, ktorý chcete pridať, a dvakrát naň kliknite. Program sa zobrazí v skupine Programy v dialógovom okne Pridať program. Kliknite na tlačidlo OK. Tento program sa objaví (so začiarknutým políčkom) na karte Výnimky v skupine Programy a služby. Kliknite na tlačidlo OK.

Pre niektoré programy nie sú čísla portov preddefinované. Tieto programy otvárajú porty automaticky v prípade potreby. Aby sa takéto programy mohli pripojiť k vášmu počítaču, brána Windows Firewall musí umožniť spustenie programu požadovaný port. Aby tieto programy správne fungovali, musia byť uvedené na karte Výnimky brány firewall.

Obrázok 5 - Pripojenie neúmyselných programov a služieb (kópia obrazovky)

Ak chcete zachovať bezpečnosť počítača, musíte ponechať bránu Windows Firewall (alebo inú bránu firewall podľa vášho výberu) povolenú, aby blokovala všetky nevyžiadané požiadavky na pripojenie k vášmu počítaču. Ak chcete povoliť tento typ pripojenia, musíte povoliť výnimku alebo otvoriť port pre konkrétny program alebo službu. Port je priechod do vášho počítača, cez ktorý možno prenášať informácie. Ak ste v konverzácii prostredníctvom okamžitých správ s niekým, kto sa chystá odoslať súbor, brána Windows Firewall vás požiada, aby ste potvrdili, že pripojenie je odomknuté, a povolili odoslanie súboru do počítača. Ak sa chcete zúčastniť sieťovej hry cez internet s priateľmi, môžete túto hru pridať ako výnimku, aby brána firewall umožnila prenos informácií o hre do vášho počítača.

Každý otvorený port ktorý umožňuje programu komunikovať cez bránu Windows Firewall, robí váš počítač zraniteľným. Otvorenie portu sa tiež rovná prerazeniu diery vo firewalle. Ak otvoríte veľa portov, váš počítač sa môže stať obeťou hackerov. Ak chcete znížiť potenciálne riziko pri otváraní portov:

otvorte port iba vtedy, keď je to skutočne potrebné;

Nikdy neotvárajte port pre program, ktorý dobre nepoznáte;

Zatvorte port, keď už nie je potrebný.

Obrázok 6 – Povolenie programov pracovať cez port (kópia obrazovky)

Každý port má číslo, ktoré funguje ako adresa. Mnoho programov a služieb má trvalé adresy“, t.j. čísla portov sú pre ne preddefinované. Čísla portov vyžadované programom alebo službou možno nájsť v dokumentácii výrobcu alebo na webovej lokalite.

Ak sa program nedá nájsť, môžete port otvoriť. Ak chcete určiť, ktorý port sa má otvoriť, na karte Výnimky kliknite na tlačidlo Pridať port.

Keď pridáte alebo zmeníte nastavenia pre službu alebo

program, napríklad pre hru, by ste mali vybrať podmienku otvorenia portu: pre akýkoľvek počítač alebo len pre počítače v lokálnej sieti.

Ak je vybratá možnosť Akýkoľvek počítač, potom sa k počítaču bude môcť pripojiť ktorýkoľvek počítač z internetu alebo z lokálnej siete. Ak je vybratá možnosť Len LAN, tento počítač počítače sa môžu pripojiť iba z lokálnej siete.

Ochrana e-mailov

Aby ste ochránili svoj e-mail, majte na pamäti, že ste to vy a nikto iný, kto predstavuje najväčšie nebezpečenstvo pre vašu korešpondenciu. Ste to vy, kto posiela poštou čokoľvek, v otvorený formulár; ste to vy, kto klikne na akékoľvek prílohy a odpovie na tie najdôvernejšie otázky, vrátane tých vašich účtu, ako odpoveď na správy vo vašich poštových schránkach; ste to vy, kto rozdávate svoje identifikačné údaje vpravo a vľavo; Nakoniec ste to vy, kto nechce dbať na radu - preniesť svoju korešpondenciu na webové stránky, ktoré poskytujú poštové služby.

Upozorňujeme, že ak používate poštového klienta, nikdy ho nenastavujte na automatické otváranie e-mailových príloh. Každá správa od ktorejkoľvek osoby môže obsahovať prílohu najnebezpečnejšej povahy, pretože ju môže odoslať ktokoľvek, vrátane vírusu, ktorý infikoval počítač odosielateľa. Mali by ste si nainštalovať antivírusový program a nastaviť ho tak, aby nepretržite kontroloval prichádzajúcu poštu, aby boli vaše antivírusové nástroje aktuálne. Ak potrebujete zobraziť podozrivú prílohu, umiestnite odoslaný súbor na samostatný disk (disketu) a skontrolujte, či neobsahuje vírus.

Na ochranu elektronických správ pred falšovaním v modernej informačnej komunite sa používa metóda elektronický podpis. V Ruskej federácii bol rovnako ako v mnohých iných krajinách prijatý zákon o elektronickom digitálnom podpise. Legalizácia vášho elektronického podpisu nie je zadarmo, ale ak používate e-mail na obchodnú korešpondenciu, potom by bolo vrcholom nedbanlivosti posielať listy bez elektronického podpisu a dokonca aj v čistom texte.

Ak nemáte skutočný, právne platný digitálny podpis, použite aspoň program PGP a vymeňte si podpísané kľúče PGP so svojimi obchodnými partnermi.

Odcudzenie hesiel účtov poštového servera je vážny problém. Existovať poštové protokoly, ako sú APPOR (ide o POP protokol doplnený o autentifikáciu klienta) a SASL (Simple Authentication and Security Layer - úroveň jednoduchej autentifikácie a ochrany), ktoré chránia komunikáciu klienta s poštovým serverom pred zachytením hesiel. Ich použitie však vyžaduje podporu protokolov APP a SASL zo strany klienta aj servera poštovej služby. Pokúste sa zistiť, či je to pravda alebo nie, u vášho ISP.

Všetky tieto problémy sú zbavené poštových služieb poskytovaných cez web. Namiesto nastavenia e-mailového klienta, ktoré nie je také jednoduché, ako to vyzerá, nahráte registračnú stránku webovej lokality, kde zadáte svoje prihlasovacie meno a heslo a niektoré ďalšie informácie. Pamätajte, že v odpovedi na žiadosť o vašu domácu adresu, telefónne číslo, meno a priezvisko atď. by ste nemali poskytovať skutočné údaje. Ďalej kliknete na tlačidlo - a a poštová schránka na zámorskom serveri, ktorý vlastní renomovaná spoločnosť, ktorá vás nebude predávať emailové adresy všetkých spamerov.

Ako môžete odlíšiť solídnu spoločnosť od všetkých ostatných? Ak pracujete s webovou stránkou, ktorá ponúka poštovú službu, potom tieto lokality vykonávajú všetky prenosy dôverných informácií v zabezpečenom režime pomocou soketov SSL (Secure Sockets Layer). Pri práci so serverom, ktorý podporuje zásuvky SSL, sa na internetovej adrese stránky namiesto položky http:// zobrazí položka https:// (HyperText Transmission Protocol Secure) a v stavovom riadku sa zobrazí visiaci zámok. prehliadača IE. Kliknutím na zámok sa otvorí dialógové okno s certifikátom webovej stránky, kde ihneď vidíte, či vlastníkom tejto webovej stránky je známa spoločnosť Microsoft alebo podozrivá spoločnosť. Bez takejto kontroly sa sotva oplatí kontaktovať poštový server - jednoducho nebudete vedieť, kam posielate listy a čo tam s nimi urobia. Vaše heslá a mená zadané pri registrácii budú navyše dlho putovať po drôtoch, kde ich milovník tajomstiev iných ľudí ľahko vytiahne zo všeobecného toku informácií a použije ich podľa vlastného uváženia.

1. Zaregistrujte sa na dôveryhodnej, certifikovanej webovej stránke, ktorá poskytuje e-mailové služby, ako napríklad http://www.gmail.com, ktorá tiež vykonáva antivírusovú kontrolu prichádzajúcej pošty.

2. Zašifrujte Vašu správu pomocou verejného PGP kľúča príjemcu, ktorý ste od neho osobne obdržali a podpísali ho svojim digitálnym podpisom, t.j. overiť kľúč. Urobte to isté s prílohami e-mailov a je to dokonca časovo efektívne, pretože šifrovanie PGP komprimuje údaje. Teraz to bude mať každý narušiteľ ťažké, keďže len dostatočne výkonná organizácia dokáže prelomiť PGP kľúč s dĺžkou 2 KB (2048 bitov). Treba si však uvedomiť, že ak na vašom počítači „beží“ keylogger, všetko vaše úsilie o bezpečnosť e-mailov pôjde dole vodou.

V tomto prípade bude útočník, ktorý do vášho počítača nainštaloval „chybu“, poznať všetky vaše heslá, vzhľady a adresy rovnako ako vy. Preto nezabudnite pred nastavením zabezpečenia poštovej služby najprv skontrolovať, či sa v počítači nenachádzajú trójske kone a keyloggery. A majte na pamäti, že títo špióni sa dajú ľahko nainštalovať, keď sa prechádzate, bez toho, aby ste museli spustiť šetrič hesiel alebo vypnúť počítač.


Podobné informácie.