5.2. Основні методи захисту

 

Згідно зі статистикою втрат, які несуть організації від різних комп’ютерних злочинів, левову частку займають втрати від злочинів, що здійснюються власними неохайними співробітниками. Однак останнім часом спостерігається явна тенденція до збільшення втрат від зовнішніх зловмисників. У будь-якому випадку необхідно забезпечити захист як від нелояльного персоналу, так і від здатних проникнути в локальну мережу хакерів. Тільки комплексний підхід до захисту інформації може вселити впевненість в її безпеці.

Міжмережевий екран – пристрій або набір пристроїв, сконфігурованих, щоб дозволяти, забороняти, шифрувати, пропускати через проксі весь комп’ютерний трафік між областями різного рівня безпеки згідно з набором правил та інших критеріїв.

 

Функції фаєрвола

 

Фаєрвол може бути у вигляді окремого приладу (так званий маршрутизатор або роутер), або програмного забезпечення, що встановлюється на персональний комп’ютер чи проксі-сервер. Простий та дешевий фаєрвол може не мати такої гнучкої системи налаштувань правил фільтрації пакетів та трансляції адрес вхідного та вихідного трафіку.

У залежності від активних з’єднань, що відслідковуються, фаєрволи поділяються на:

1)        stateless (проста фільтрація), які не відслідковують поточні з’єднання (наприклад TCP), а фільтрують потік даних виключно на основі статичних правил;

2)        stateful (фільтрація з урахуванням контексту), з відслідковуванням поточних з’єднань та пропуском тільки таких пакетів, що задовольняють логіці й алгоритмам роботи відповідних протоколів та програм. Такі типи фаєрволів дозволяють ефективніше боротися з різноманітними DoS-атаками та вразливістю деяких протоколів мереж. Розглянемо типи фаєрволів.

 

Для того щоб задовольнити вимогам широкого кола користувачів, існує три типи фаєрволів: мережного рівня, прикладного рівня і рівня з’єднання. Кожен з цих трьох типів використовує свій, відмінний від інших підхід до захисту мережі.

Фаєрвол мережного рівня представлений екрануючим маршрутизатором. Він контролює лише дані мережевого і транспортного рівнів службової інформації пакетів. Мінусом таких маршрутизаторів є те, що ще п’ять рівнів залишаються неконтрольованими. Нарешті, адміністратори, які працюють з екрануючими маршрутизаторами, повинні пам’ятати, що у більшості приладів, що здійснюють фільтрацію пакетів, відсутні механізми аудиту та подачі сигналу тривоги. Іншими словами, маршрутизатори можуть піддаватися атакам і відбивати велику їх кількість, а адміністратори навіть не будуть проінформовані.

Фаєрвол прикладного рівня також відомий як проксі-сервер (сервер-посередник). Фаєрволи прикладного рівня встановлюють певний фізичний поділ між локальною мережею і Internet, тому вони відповідають найвищим вимогам безпеки. Проте, оскільки програма повинна аналізувати пакети і приймати рішення щодо контролю доступу до них, фаєрволи прикладного рівня неминуче зменшують продуктивність мережі, тому в якості сервера- посередника використовуються більш швидкі комп’ютери.

Фаєрвол рівня з’єднання схожий на фаєрвол прикладного рівня тим, що обидва вони є серверами-посередниками. Відмінність полягає в тому, що фаєрволи прикладного рівня вимагають спеціального програмного забезпечення для кожної мережевої служби на зразок FTP або HTTP. Натомість, фаєрволи рівня з’єднання обслуговують велику кількість протоколів.

У FreeBSD вбудовано три програмних міжмережевих екрани. Це IPFILTER (відомий як IPF), IPFIREWALL (відомий як IPFW) та OpenBSD PacketFilter (PF). Окрім цього, FreeBSD містить два пакети обмеження трафіку (шейпери): altq і dummynet. Dummynet традиційно пов’язаний з IPFW, а ALTQ з IPF і PF. IPF, IPFW та PF для контролю вхідних і вихідних пакетів різними способами та з різним синтаксисом правил використовують набори правил.

Причина включення у FreeBSD більше ніж одного міжмережевого екрана полягає у тому, що різні мережі висувають різні потреби. Packet Filter (PF) – фаєрвол, що розробляється в рамках проекту OpenBSD. Володіє високою швидкістю роботи, зручністю в конфігуруванні і великими можливостями, включаючи підтримку IPv6. На даний момент використовується, крім OpenBSD, в NetBSD і FreeBSD, а також заснованих на цих трьох MirOS BSD, DesktopBSD, pfSense та інших.

В ОС Linux найвідомішим та найпоширенішим фаєрволом є iptables. Даний фаєрвол працює на канальному, мережевому, транспортному, прикладному (у випадку використання додаткових модулів та перекомпіляції самого фаєрвола для їх підтримки). Також на даний момент триває розробка фаєрвола nftables, який буде заміною вище описаному.