Динамическая фильтрация пакетов dr web

Обновлено: 21.11.2024

Фильтрация на уровне приложений помогает контролировать доступ различных приложений и процессов к сетевым ресурсам, а также разрешать или запрещать приложениям запускать другие процессы. Вы можете создавать правила как для системных, так и для пользовательских приложений.

Чтобы установить режим работы

Выберите один из следующих режимов работы:

· Разрешить неизвестные подключения — режим свободного доступа, когда всем неизвестным приложениям разрешен доступ к сети.

· Блокировать неизвестные соединения — режим ограниченного доступа, когда блокируются все неизвестные соединения. Для известных подключений брандмауэр применяет соответствующие правила.

· Интерактивный режим обучения — режим обучения, когда пользователю предоставляется полный контроль над реакцией Сетевого экрана.

· Разрешить подключения для доверенных приложений — режим доступа, при котором всем доверенным приложениям разрешен доступ к сетевым ресурсам, для всех остальных приложений отображается предупреждение.

Вы можете установить правило приложения с помощью такого предупреждения (установлено по умолчанию).

Разрешить неизвестные подключения

В этом режиме Брандмауэр разрешает всем неизвестным приложениям, для которых не заданы правила фильтрации, доступ к сетевым ресурсам, включая Интернет. Брандмауэр не отображает уведомления о попытке доступа.

Блокировать неизвестные соединения

В этом режиме Брандмауэр автоматически блокирует все неизвестные подключения к сетевым ресурсам, включая Интернет.

Когда приложение пользователя или операционная система пытается подключиться к сети, брандмауэр проверяет, созданы ли для приложения правила фильтрации. Если правила фильтрации отсутствуют, Сетевой экран блокирует сетевой доступ для приложения, не отображая никаких уведомлений пользователю. Если для приложения заданы правила фильтрации, Сетевой экран обрабатывает соединение в соответствии с заданными действиями.

Интерактивный режим обучения

В этом режиме у вас есть полный контроль над реакцией брандмауэра на обнаружение неизвестных подключений. Таким образом программа обучается пока вы работаете на своем компьютере.

Когда приложение пользователя или операционная система пытается подключиться к сети, брандмауэр проверяет, созданы ли для приложения правила фильтрации. Если правила фильтрации не заданы, вам будет предложено выбрать временное решение или создать правило, которое будет применяться каждый раз при обнаружении этого типа подключения.

Разрешить подключения для доверенных приложений

Этот режим установлен по умолчанию.

В этом режиме всем доверенным приложениям разрешен доступ к сетевым ресурсам, включая Интернет. К числу доверенных приложений относятся системные приложения, приложения с сертификатом Microsoft и приложения из списка доверенных приложений Dr.Web. Правила для таких приложений не отображаются в списке правил. Для других приложений Сетевой экран предлагает разрешить или заблокировать неизвестное подключение вручную, а также создать для него новое правило.

Когда приложение пользователя или операционная система пытается подключиться к сети, брандмауэр проверяет, созданы ли для приложения правила фильтрации. Если правила фильтрации не заданы, вам будет предложено выбрать временное решение или создать правило, которое будет применяться каждый раз при обнаружении этого типа подключения.

Параметр «Разрешить локальные подключения» позволяет всем приложениям на вашем компьютере взаимодействовать друг с другом (т. е. разрешать неограниченное количество подключений между приложениями, установленными на вашем компьютере). Для этого типа соединения никакие правила не применяются. Отключите эту опцию, чтобы применять правила фильтрации к соединениям, осуществляемым как по сети, так и внутри вашего компьютера.

3.2.7.2. Пакетный фильтр

По умолчанию фильтр пакетов на сервере отключен. Когда станция подключается к Серверу, на станции устанавливаются параметры фильтрации пакетов, указанные на Сервере. Таким образом, фильтр пакетов будет отключен, даже если он был включен и настроен на станции.

По умолчанию фильтр пакетов отключен в Агенте Dr.Web, входящем в состав Enterprise Security Suite 11.0.2. При этом, если Агент уже был установлен предыдущей версии, то при обновлении пакетный фильтр будет отключен. В противном случае Агент устанавливается с отключенным фильтром пакетов по по умолчанию.

Фильтрация пакетов позволяет контролировать доступ к сети независимо от того, какая программа инициирует подключение. Эти правила применяются ко всем сетевым пакетам, передаваемым через сетевой интерфейс вашего компьютера.

Чтобы настроить параметры фильтрации пакетов, выберите следующие параметры:

Включить фильтрацию пакетов Установите этот флажок, чтобы включить и настроить фильтрацию пакетов для известных сетевых интерфейсов. Если флаг снят, вам будет разрешено настраивать доступ к сетевым ресурсам только для определенных приложений.

Включить динамическую фильтрацию пакетов Установите этот флажок, чтобы фильтровать пакеты в соответствии с состоянием существующих TCP-соединений. Брандмауэр блокирует пакеты, которые не соответствуют спецификации протокола TCP. Этот параметр помогает защитить ваш компьютер от DoS-атак (отказ в обслуживании), сканирования ресурсов, внедрения данных и других вредоносных операций.

Также рекомендуется устанавливать этот флажок при использовании протоколов со сложными алгоритмами передачи данных (FTP, SIP и т. д.)< /маленький>

Снимите флажок, чтобы фильтровать пакеты независимо от сеанса TCP состояние.

Обрабатывать фрагментированные IP-пакеты Установите этот флажок, чтобы обеспечить правильную обработку больших объемов данных. Максимальная единица передачи (MTU) может различаться для разных сетей, поэтому большие IP-пакеты могут быть фрагментированы. Когда эта опция включена, правило, выбранное для первого фрагмента большого IP-пакета , применяется ко всем остальным фрагментам.

Снимите этот флажок, чтобы обрабатывать фрагментированные пакеты независимо.

Правила фильтрации пакетов

Брандмауэр Dr.Web использует следующие предопределенные наборы правил:

· Правило по умолчанию — правила, определяющие общие конфигурации сети и распространенные атаки (этот набор правил используется по умолчанию для новых сетевых интерфейсов).

· Разрешить все — пропускаются все пакеты.

· Блокировать все — блокируются все пакеты. При этом соединение Агент — Сервер блокируется.

Для быстрого переключения между режимами фильтрации вы можете создавать собственные наборы правил фильтрации.

· Чтобы установить существующий набор правил по умолчанию, выберите его в списке и нажмите ;

· Чтобы изменить существующий набор правил, выберите его в списке и нажмите ;

· Чтобы скопировать существующий набор правил, выберите его в списке и нажмите .

· Чтобы удалить существующий набор правил, выберите его в списке и нажмите .

Чтобы создать новый набор правил

<р>1. В окне Наборы правил нажмите . 2. Введите имя нового набора правил.

<р>3. Щелкните Сохранить. Появится форма Создание нового правила.

<р>4. Настройте необходимые параметры правила.

Если параметры правила не сохраняются, новый набор правил не создается.

Чтобы настроить новое правило

<р>1. В окне Наборы правил выберите набор правил, который вы хотите добавить.

<р>2. В окне «Правила» нажмите, чтобы создать новое правило. Откроется окно создания правила для фильтров пакетов.

<р>3. Настройте следующие параметры:

Имя правила Имя созданного/редактируемого правила.

Действие Действие брандмауэра при перехвате пакета:

· Разрешить пакеты — пропускает пакеты.

Направление Направление соединения:

· Inbound — правило применяется, когда пакет получен из сети.

· Исходящие — правило применяется, когда пакет отправляется в сеть с вашего компьютера.

· Любой — правило применяется независимо от направления передачи пакетов.

Ведение журнала Режим ведения журнала для правила. Этот параметр определяет, какая информация должна храниться в журнале:

· Только заголовки — протоколировать только заголовок пакета.

Критерий Критерий фильтрации. Например, транспортный или сетевой протокол. Чтобы добавить критерий фильтрации, выберите нужный критерий из списка Критерии и с помощью стрелки перенесите его в левое поле. Вы можете добавить любое количество критериев фильтрации. Для определенных критериев доступны дополнительные параметры. Чтобы удалить критерий, выберите его в списке и нажмите .

Если вы не добавите какой-либо критерий, правило будет разрешать или блокировать все пакеты в зависимости от настройки, указанной в поле Action.

Некоторые критерии фильтрации несовместимы с другими. Когда вы добавляете/удаляете критерий, в списке критериев отображаются только те критерии, которые совместимы с существующими.

<р>4. Когда редактирование закончено, нажмите Сохранить, чтобы сохранить изменения.

Пакет должен соответствовать всем критериям правила, чтобы к нему можно было применить действие правила .

Чтобы изменить правило

<р>1. В окне Наборы правил выберите набор правил, который вы хотите изменить.

<р>2.В окне Правила выберите правило из списка.

<р>3. Щелкните . Откроется окно изменения правила.

<р>4. Настройте параметры правила.

<р>5. Когда редактирование закончено, нажмите Сохранить, чтобы сохранить изменения.

<р>6. Чтобы удалить правило, выберите его из списка и нажмите .

Сетевые интерфейсы

Эта настройка доступна только после выбора станции.

В разделе Сетевые интерфейсы вы можете выбрать набор правил, который будет использоваться для фильтрации пакетов, передаваемых через определенный сетевой интерфейс.

Чтобы установить наборы правил для сетевых интерфейсов, выберите соответствующий набор правил для требуемого интерфейса.

Если соответствующий набор правил не существует, вы можете создать новый набор правил фильтрации пакетов.

3.2.7.3. Журнал

Включите параметр «Подробное ведение журнала», чтобы регистрировать данные о сетевых пакетах (журналы pcap).

По умолчанию размер файла журнала ограничен 10 МБ. Если размер файла журнала превышает ограничение, содержимое уменьшается до:

· Указанный размер, если текущая информация о сеансе не превышает ограничения.

· Размер текущего сеанса, если информация о сеансе превышает лимит.

Если включена опция Подробное протоколирование, то работа соответствующего компонента логируется в режиме отладки с максимальной детализацией. В этом режиме отключены ограничения на размер файла . Это приводит к значительному увеличению размера лог-файла. Также обратите внимание, что ротация лог-файла не выполняется (во всех режимах логирования).

Режим ведения журнала отладки снижает производительность антивируса и операционной системы станции. Рекомендуется использовать этот режим только при возникновении проблем в работе компонентаили по запросу службы технической поддержки. Не рекомендуется включать режим отладки журналирования на длительный период времени.

В Центре управления параметры ведения журнала указываются отдельно для каждого компонента в разделах Журнал. На станциях параметры ведения журнала указываются в разделе Advanced common .

В окне Сеть вы можете создать набор правил для фильтрации пакетов, передаваемых через определенный интерфейс.

Чтобы открыть окно сети

<р>1. Откройте меню Dr.Web и выберите Центр безопасности.

<р>2. В открывшемся окне выберите раздел «Файлы и сеть».

<р>3. Убедитесь, что Dr.Web работает в режиме администратора (открыт замок внизу окна программы). В противном случае нажмите на замок .

<р>4. Щелкните плитку Брандмауэр. Откроется окно параметров компонента.

<р>5. Разверните группу дополнительных настроек.

<р>6. В разделе Правила приложения нажмите Изменить . Откроется окно со списком сетевых интерфейсов. Для этих сетевых интерфейсов установлены правила.

Рисунок 50. Наборы правил для сетевых интерфейсов

<р>7. Для требуемого интерфейса выберите соответствующий набор правил. Если соответствующий набор правил не существует, его можно создать .

Брандмауэр использует следующие предопределенные наборы правил:

• Правило по умолчанию — этот набор правил используется по умолчанию для новых сетевых интерфейсов.

• Разрешить все — этот набор правил настраивает компонент на пропуск всех пакетов.

• Блокировать все — этот набор правил настраивает компонент на блокировку всех пакетов.

Для быстрого переключения между режимами фильтрации можно создавать собственные наборы правил фильтрации.

Чтобы вывести список всех доступных интерфейсов или добавить новый интерфейс, нажмите . Откроется окно, в котором вы можете выбрать интерфейсы, которые должны постоянно отображаться в таблице. Активные интерфейсы перечислены в таблице автоматически.

Вы можете удалить неактивные интерфейсы, нажав .

Чтобы получить доступ к параметрам интерфейса, щелкните имя интерфейса.

Настройки фильтра пакетов

Чтобы настроить существующие наборы правил и добавить новые, перейдите в окно настроек фильтра пакетов, нажав кнопку Наборы правил.

Рисунок 51. Настройки фильтра пакетов

На этой странице вы можете:

• Настройте наборы правил фильтрации, добавив новые правила, изменив существующие или удалив их.

Настройка наборов правил

Выполните одно из следующих действий:

• Чтобы добавить новый набор правил для сетевого интерфейса, нажмите .

• Чтобы изменить существующий набор правил, выберите набор правил в списке и нажмите .

• Чтобы добавить копию существующего набора правил, выберите набор правил и нажмите . Копия добавляется после выбранного набора правил.

• Чтобы удалить выбранный набор правил, нажмите .

В окне настроек фильтра пакетов вы можете выбрать следующие параметры:

Использовать фильтрацию пакетов TCP с отслеживанием состояния

Установите этот флажок, чтобы фильтровать пакеты в соответствии с состоянием существующих соединений TCP. Брандмауэр блокирует пакеты, не соответствующие спецификации протокола TCP. Этот параметр помогает защитить компьютер от DoS-атак (отказ в обслуживании), сканирования ресурсов, внедрения данных и других вредоносных операций.

Также рекомендуется включать фильтрацию пакетов с отслеживанием состояния при использовании сложных протоколов передачи данных (FTP, SIP и т. д.).

Снимите этот флажок, чтобы фильтровать пакеты независимо от состояния сеанса TCP.

Управление фрагментированными IP-пакетами

Установите этот флажок, чтобы обеспечить правильную обработку больших объемов данных. Максимальная единица передачи (MTU) может различаться для разных сетей, поэтому большие IP-пакеты могут быть фрагментированы. Когда этот параметр включен, правило, выбранное для первого фрагмента большого IP-пакета, применяется ко всем остальным фрагментам.

Снимите этот флажок, чтобы обрабатывать фрагментированные пакеты независимо.

Нажмите "ОК", чтобы сохранить изменения, или "Отмена", чтобы закрыть окно без сохранения изменений.

По умолчанию фильтр пакетов на Сервере Dr.Web отключен. При подключении станции к Серверу Dr.Web на станции устанавливаются параметры фильтрации пакетов, указанные на Сервере Dr.Web. Таким образом, пакетный фильтр будет отключен, даже если он был включен и настроен на станции.

По умолчанию фильтрация пакетов отключена в Агенте Dr.Web, входящем в состав Enterprise Security Suite 13.0. При этом, если Агент уже был установлен предыдущей версии, то при обновлении пакетный фильтр будет отключен. В противном случае Агент устанавливается с отключенным пакетным фильтром по умолчанию.

Фильтрация пакетов позволяет контролировать доступ к сети независимо от того, какая программа инициирует подключение. Эти правила применяются ко всем сетевым пакетам, передаваемым через сетевой интерфейс вашего компьютера.

Чтобы настроить параметры фильтрации пакетов, выберите следующие параметры:

Включить фильтр пакетов

Используйте этот параметр, чтобы включить и настроить фильтрацию пакетов для известных сетевых интерфейсов. Если флажок снят, вам будет разрешено настраивать доступ к сетевым ресурсам только для определенных приложений.

Включить динамическую фильтрацию пакетов

Используйте этот параметр для фильтрации пакетов в соответствии с состоянием существующих TCP-соединений. Брандмауэр блокирует пакеты, не соответствующие спецификации протокола TCP. Этот параметр помогает защитить компьютер от DoS-атак (отказ в обслуживании), сканирования ресурсов, внедрения данных и других вредоносных операций.

Также рекомендуется устанавливать этот флажок при использовании протоколов со сложными алгоритмами передачи данных (FTP, SIP и т.д.)

Отключите этот параметр, чтобы фильтровать пакеты независимо от состояния сеанса TCP.

Обработка фрагментированных IP-пакетов

Используйте этот параметр, чтобы обеспечить правильную обработку больших объемов данных. Максимальная единица передачи (MTU) может различаться для разных сетей, поэтому большие IP-пакеты могут быть фрагментированы. Когда этот параметр включен, правило, выбранное для первого фрагмента большого IP-пакета, применяется ко всем остальным фрагментам.

Отключите этот параметр для независимой обработки фрагментированных пакетов.

Правила фильтрации пакетов

Брандмауэр Dr.Web использует следующие предопределенные наборы правил:

• Правило по умолчанию — правила, определяющие общие конфигурации сети и распространенные атаки (этот набор правил используется по умолчанию для новых сетевых интерфейсов).

• Разрешить все — пропускаются все пакеты.

• Блокировать все — блокируются все пакеты. При этом соединение Агент — Сервер Dr.Web блокируется.

Для быстрого переключения между режимами фильтрации вы можете создавать собственные наборы правил фильтрации.

• Чтобы установить существующий набор правил по умолчанию, выберите его в списке и нажмите ;

• Чтобы изменить существующий набор правил, выберите его в списке и нажмите ;

• Чтобы скопировать существующий набор правил, выберите его в списке и нажмите .

• Чтобы удалить существующий набор правил, выберите его в списке и нажмите .

Чтобы создать новый набор правил

<р>1. В окне Наборы правил нажмите .

<р>2. Введите имя нового набора правил.

<р>3. Нажмите Сохранить . Появится форма Создание нового правила.

<р>4. Настройте необходимые параметры правила.

Если параметры правила не сохранены, новый набор правил не создается.

Чтобы настроить новое правило

<р>1. В окне Наборы правил выберите набор правил, который вы хотите добавить.

<р>2. В окне «Правила» нажмите, чтобы создать новое правило. Откроется окно создания правила для фильтров пакетов.

<р>3. Настройте следующие параметры:

Название созданного/измененного правила.

Описание правила.

Действие брандмауэра при перехвате пакета:

• Разрешить пакеты — пропускает пакет.

• Блокировать пакеты — блокирует пакет.

Направление соединения:

• Входящие — правило применяется при получении пакета из сети.

• Исходящий — правило применяется, когда пакет отправляется в сеть с вашего компьютера.

• Любой — правило применяется независимо от направления передачи пакетов.

Режим ведения журнала для правила. Этот параметр определяет, какая информация должна храниться в журнале:

• Отключено — информация не регистрируется.

• Только заголовки – регистрируются только заголовки пакетов.

• Весь пакет — регистрируется весь пакет.

Критерий фильтрации. Например, транспортный или сетевой протокол. Чтобы добавить критерий фильтрации, выберите нужный критерий из списка Критерии и перенесите его в левое поле с помощью стрелки. Вы можете добавить любое количество критериев фильтрации. Для определенных критериев доступны дополнительные параметры. Чтобы удалить критерий, выберите его в списке и нажмите .

Если вы не добавите какой-либо критерий, правило будет разрешать или блокировать все пакеты в зависимости от настройки, указанной в поле «Действие».

Некоторые критерии фильтрации несовместимы с другими. Когда вы добавляете/удаляете критерий, в списке Критерии отображаются только те критерии, которые совместимы с существующими.

<р>4. Когда редактирование будет завершено, нажмите Сохранить, чтобы сохранить изменения.

Пакет должен соответствовать всем критериям правила, чтобы к нему можно было применить действие правила.

<р>1. В окне Наборы правил выберите набор правил, который вы хотите изменить.

<р>2. В окне Правила выберите правило из списка.

<р>3. Щелкните . Откроется окно изменения правила.

<р>4. Настройте параметры правила .

<р>5. Когда редактирование будет завершено, нажмите Сохранить, чтобы сохранить изменения.

<р>6. Чтобы удалить правило, выберите его из списка и нажмите .

Эта настройка доступна только после выбора станции.

В разделе Сетевые интерфейсы вы можете выбрать набор правил, который будет использоваться для фильтрации пакетов, передаваемых через определенный сетевой интерфейс.

Чтобы установить наборы правил для сетевых интерфейсов, выберите соответствующий набор правил для требуемого интерфейса. Если соответствующий набор правил не существует, вы можете создать новый набор правил фильтрации пакетов.

Эволюция брандмауэра: от Proxy 1.0 до ISA 2004

Доктор. Томас В. Шиндер , Дебра Литтлджон Шиндер , в книге доктора Тома Шиндера «Настройка ISA Server 2004», 2005 г.

Фильтрация каналов

Межсетевой экран с фильтрацией каналов (также называемый шлюзом уровня каналов) работает на транспортном и сеансовом уровнях модели OSI. Он может проверять информацию о рукопожатии TCP, которая отправляется между компьютерами, чтобы убедиться, что запрос сеанса является законным.

Сетевые фильтры работают на более высоком уровне модели OSI, транспортном уровне (уровень Host-to-Host в модели DOD). Фильтры каналов ограничивают доступ на основе хост-компьютеров (а не пользователей), обрабатывая информацию, содержащуюся в заголовках пакетов TCP и UDP. Это позволяет администраторам создавать фильтры, которые, например, запрещают любому, кто использует компьютер A, использовать FTP для доступа к компьютеру B.

При использовании фильтров каналов управление доступом основано на потоках данных TCP или дейтаграммах UDP. Фильтры каналов могут действовать на основе флагов состояния TCP и UDP и информации о последовательности, а также адресов источника и получателя и номеров портов. Фильтрация на уровне каналов позволяет администраторам проверять сеансы, а не пакеты. Сеанс иногда рассматривается как соединение, но на самом деле сеанс может состоять из более чем одного соединения. Сеансы устанавливаются только в ответ на запрос пользователя, что повышает безопасность.

Фильтры каналов не ограничивают доступ на основе информации о пользователе; они также не могут интерпретировать значения пакетов. То есть они не могут отличить команду GET от команды PUT, отправленной прикладной программой. Для этого необходимо использовать фильтрацию приложений.

MCSE 70-293: Планирование, внедрение и поддержание безопасности интернет-протокола

Мартин Грасдал, . Д-р Томас В. Шиндер, технический редактор, учебное пособие MCSE (экзамен 70–293), 2003 г.

Аспекты безопасности IPSec

Существует два алгоритма шифрования, поддерживаемые IPSec для шифрования данных: DES и 3DES. Алгоритм 3DES является самым сильным из них.

Конкретные порты и протоколы, которые можно использовать для фильтрации брандмауэра, включают: IP-адрес и порт 50, IP-адрес и порт 51 и UDP-порт 500.

Группы Диффи-Хеллмана используются для определения длины базовых простых чисел, используемых в процессе обмена ключами.

Предварительно общий ключ представляет собой строку символов Unicode. Предварительно общие ключи хранятся в виде открытого текста. Это означает, что ключ может быть скомпрометирован, если хакер сможет получить доступ к файлу на компьютере. Таким образом, предварительный общий ключ является самым слабым из трех методов аутентификации IPSec.

Проблемы и меры противодействия

Адитья К. Суд, Ричард Энбоди, Targeted Cyber ​​Attacks, 2014 г.

8.2.4 Безопасность на уровне сети

Сетевая инфраструктура и каналы связи должны быть защищены для развертывания дополнительных уровней безопасности, как описано ниже:

Организация должна развернуть надежные средства защиты сетевого периметра, такие как IPS и IDS, решения для фильтрации электронной почты и брандмауэры, чтобы ограничить проникновение вредоносного кода во внутреннюю сеть. Организации должны установить надежные воронки системы доменных имен (DNS), чтобы предотвратить разрешение незаконных доменов для ограничения вредоносного трафика. Sinkholing в основном основан на протоколе DNS, а серверы настроены на предоставление фальсифицированной информации (немаршрутизируемые адреса) на скомпрометированные машины, на которых запущено вредоносное ПО. В результате вредоносная программа не может связаться с управляющим сервером и, следовательно, эксфильтрация данных останавливается. Эта стратегия должна быть выбрана для реализации агрессивного механизма обнаружения и предотвращения, чтобы подорвать связь с вредоносными серверами в Интернете. Воронки бесшумно ограничивают возникновение инфекций. Ничто не является пуленепробиваемым, но защита по периметру, например воронки, значительно повышает уровень безопасности организации.

Внедрение Honeynet также является эффективной стратегией для понимания природы вредоносных программ. Honeynet представляет собой сеть взаимосвязанных систем, называемых Honeypots, которые работают с уязвимой конфигурацией, и вредоносному ПО разрешено успешно устанавливаться в одной из систем Honeynet. Это помогает понять структуру и поведение вредоносных программ. Полученные знания используются для построения безопасной сетевой защиты.

На периферии сетей должны быть развернуты мощные решения для мониторинга трафика, чтобы фильтровать исходящий и входящий трафик, проходящий через сетевую инфраструктуру. Цель состоит в том, чтобы определить и отследить поток вредоносного трафика в сети. В то же время активный мониторинг помогает понять привычки пользователей в серфинге и домены, к которым они подключаются. Кроме того, решения по управлению информацией о безопасности и событиями (SIEM) помогают администраторам обнаруживать аномальные события, происходящие в сети. Основной мотив создания платформы SIEM заключается в том, что она использует выходные данные различных ресурсов в сети, то есть события, происходящие в сети, связанные с ними угрозы и сопутствующие риски для создания надежной аналитической информации. Это помогает аналитикам уменьшить влияние на бизнес и усилить безопасность. SIEM – это централизованная система, которая выполняет корреляцию и агрегирование данных по сетевому трафику для создания предупреждений.

Администраторы должны регулярно анализировать журналы серверов, чтобы находить следы атак или вредоносного трафика. Администраторы ищут шаблоны атак, связанные с несколькими уязвимостями, такими как атаки с внедрением, атаки с загрузкой файлов и атаки методом грубой силы. Журнал предоставляет множество информации, такой как исходный IP-адрес, временные метки, доступ к порту и количество конкретных запросов, обработанных сервером. Администраторы могут анализировать вредоносный трафик, чтобы понять характер атаки. Регулярный анализ журнала должен быть частью процесса обеспечения безопасности и выполняться на регулярной основе.

Корпоративные сети должны быть должным образом разделены с использованием хорошо сконструированных виртуальных локальных сетей, которые сегментируют основную сеть на более мелкие сети, чтобы можно было настроить строгие права доступа. По сути, разделение сети на небольшие сегменты может помочь администраторам развернуть систему безопасности на детальном уровне.

Администраторы должны следовать передовым методам безопасной настройки устройств, таким как настройка надежных и сложных паролей для сетевых устройств, таких как маршрутизаторы, принтеры и коммутаторы, с использованием строк протокола SNMP, которые невозможно угадать, избегая использования четких паролей. текстовые протоколы, отключение ненужных служб, развертывание принципов наименьших привилегий для ограничения доступа к ресурсам, настройка политики установки программного обеспечения и управления сменой устройств, а также функции внешнего управления.

Брандмауэры с фильтрацией пакетов работают на сетевом уровне (уровень 3) модели OSI. Брандмауэры с фильтрацией пакетов принимают решения об обработке на основе сетевых адресов, портов или протоколов.

Брандмауэры с фильтрацией пакетов работают очень быстро, потому что в принимаемых ими решениях не так уж много логики. Никакой внутренней проверки трафика они не проводят. Они также не хранят никакой информации о состоянии. Вы должны вручную открыть порты для всего трафика, который будет проходить через брандмауэр.

Брандмауэры с фильтрацией пакетов считаются не очень безопасными. Это связано с тем, что они будут перенаправлять любой трафик, проходящий через утвержденный порт. Таким образом, может быть отправлен вредоносный трафик, но пока он находится на приемлемом порту, он не будет заблокирован.

Диспетчерский контроль и сбор данных

Статический фильтр пакетов

Брандмауэры с фильтрацией пакетов относятся к старейшим архитектурам брандмауэров. Брандмауэр со статической фильтрацией пакетов работает только на сетевом уровне (уровень 3) модели OSI и не различает протоколы приложений. Брандмауэр этого типа решает, принимать или отклонять отдельные пакеты, основываясь на проверке полей в заголовках IP-адреса и протокола пакета. Статический пакетный фильтр не влияет на производительность в сколько-нибудь заметной степени, а его низкие требования к обработке сделали этот вариант привлекательным на раннем этапе по сравнению с другими брандмауэрами, которые снижали скорость отклика. Однако современные межсетевые экраны более высокого уровня также обеспечивают превосходную производительность. Кроме того, более быстрые сети лучше справляются с более высокими требованиями к обработке брандмауэра, работающего на более высоком уровне стека OSI.

Брандмауэр с фильтрацией пакетов фильтрует IP-пакеты на основе IP-адреса источника и получателя, а также порта источника и получателя. В пакетном фильтре могут отсутствовать средства ведения журнала, что делает его непрактичным для организации, имеющей требования соответствия и отчетности, которых они должны придерживаться. Кроме того, поскольку он проверяет только заголовки пакетов, злоумышленники могут обойти статический фильтр пакетов с помощью простых методов спуфинга, поскольку фильтр не может отличить настоящий адрес от поддельного. Другое ограничение заключается в том, что для более крупных установок статический фильтр пакетов становится громоздким, поскольку правила фильтрации пакетов проверяются в последовательном порядке, и при вводе правил в базу правил необходимо соблюдать осторожность. Другое неотъемлемое ограничение заключается в том, что статический фильтр пакетов не проверяет весь пакет, что позволяет злоумышленнику скрыть вредоносные команды внутри непроверенных заголовков или внутри самой полезной нагрузки. Наконец, статический фильтр пакетов не учитывает состояние, поэтому администратору необходимо настроить правила для обеих сторон диалога. Сегодня этот тип брандмауэра считается очень простым и ограниченным и даже может быть включен в операционные системы в качестве «дополнительного».

Защита внутренней сети от внешней сети и Интернета

Тим Спид, Хуанита Эллис, Internet Security, 2003 г.

5.1.2 Оценка правильного типа брандмауэра(ов) для вашего предприятия

Основной функцией брандмауэра является защита внутренних конфиденциальных данных от внешнего мира. Существует три основных типа брандмауэров, используемых для защиты внутренней сети предприятия, но любое устройство, которое из соображений безопасности контролирует трафик, проходящий через сеть, может считаться брандмауэром. Три основных типа брандмауэров используют разные методы для выполнения одной и той же задачи — защиты внутренней сети. Самый простой тип брандмауэра — это устройство фильтрации пакетов, также известное как экранирующий маршрутизатор. Брандмауэры с фильтрацией пакетов — это маршрутизаторы, работающие на нижних уровнях стека сетевых протоколов. На более высоком уровне находятся шлюзы прокси-серверов, которые выполняют прокси-сервисы для внутренних клиентов, регулируя входящий внешний сетевой трафик, а также отслеживая и обеспечивая контроль трафика исходящих внутренних пакетов. Третий тип брандмауэра, известный как шлюз на уровне канала, основан на методах проверки с отслеживанием состояния. «Проверка состояния» — это метод фильтрации, который требует компромисса между производительностью и безопасностью. Давайте рассмотрим три основных типа брандмауэров.

Брандмауэры с фильтрацией пакетов

Брандмауэры с фильтрацией пакетов позволяют фильтровать IP-адреса одним из двух основных способов:

Разрешение доступа к известным IP-адресам

Запрет доступа к IP-адресам и портам

Например, разрешив доступ к известным IP-адресам, вы можете разрешить доступ только к признанным, установленным IP-адресам или запретить доступ ко всем неизвестным или непризнанным IP-адресам.

Согласно отчету CERT, наиболее выгодно использовать методы фильтрации пакетов, чтобы разрешить только утвержденный и известный сетевой трафик в максимально возможной степени. Использование фильтрации пакетов может быть очень экономичным средством добавления контроля трафика к уже существующей инфраструктуре маршрутизатора.

Фильтрация IP-пакетов тем или иным образом выполняется всеми брандмауэрами. Обычно это делается через маршрутизатор с фильтрацией пакетов. Маршрутизатор будет фильтровать или проверять пакеты, проходящие через интерфейсы маршрутизатора, работающие в рамках политики брандмауэра, установленной предприятием. Пакет — это часть информации, которая передается по сети. Маршрутизатор фильтрации пакетов проверяет путь, по которому идет пакет, и тип информации, содержащейся в пакете. Если пакет проходит тесты политики брандмауэра, ему разрешается продолжить свой путь. Информация, которую ищет маршрутизатор фильтрации пакетов, включает (1) IP-адрес источника пакета и исходный порт TCP/UDP и (2) IP-адрес назначения и порт TCP/UDP назначения пакета.

Некоторые брандмауэры с фильтрацией пакетов могут фильтровать только IP-адреса, а не порт TCP/UDP источника, но наличие фильтрации TCP или UDP в качестве функции может обеспечить гораздо большую маневренность, поскольку трафик может быть ограничен для всех входящих подключений, кроме выбранные предприятием.

Брандмауэры с фильтрацией пакетов обычно работают либо на компьютерах общего назначения, которые действуют как маршрутизаторы, либо на маршрутизаторах специального назначения. Оба имеют свои преимущества и недостатки. Основное преимущество компьютера общего назначения состоит в том, что он предлагает неограниченную функциональную расширяемость, а недостатками являются средняя производительность, ограниченное количество интерфейсов и недостатки операционной системы. Преимуществами специализированного маршрутизатора являются большее количество интерфейсов и повышенная производительность, а недостатками — ограниченная функциональная расширяемость и более высокие требования к памяти.

Несмотря на то, что брандмауэры с фильтрацией пакетов менее дороги, чем другие типы, и поставщики улучшают свои предложения, они считаются менее желательными с точки зрения удобства обслуживания и настройки. Они полезны для контроля и ограничения полосы пропускания, но им не хватает других функций, таких как возможности ведения журнала. Если политика брандмауэра не ограничивает определенные типы пакетов, пакеты могут остаться незамеченными до тех пор, пока не произойдет инцидент. Предприятиям, использующим брандмауэры с фильтрацией пакетов, следует искать устройства, обеспечивающие подробное ведение журнала, упрощенную настройку и проверку политик брандмауэра.

Прокси-сервер или шлюз приложений

Прокси-серверы, также называемые прокси-серверами приложений или шлюзами приложений, используют тот же метод, что и фильтр пакетов, поскольку они проверяют, куда направляется пакет, и тип информации, содержащейся в пакете. Однако прокси-сервер приложения не просто пропускает пакет к месту назначения; он доставляет пакет для вас.

Скрытие адресов всех внутренних компьютеров снижает риск получения хакерами информации о внутренних данных предприятия. В прошлом использование прокси-серверов приводило к снижению производительности и прозрачности доступа к другим сетям. Однако в новых моделях некоторые из этих проблем решены.

Шлюзы приложений устранили некоторые недостатки, связанные с устройствами фильтрации пакетов в отношении приложений, которые перенаправляют и фильтруют соединения для таких служб, как Telnet и FTP. Однако шлюзы приложений и устройства фильтрации пакетов не обязательно использовать независимо друг от друга. Совместное использование брандмауэров шлюза приложений и устройств фильтрации пакетов может обеспечить более высокий уровень безопасности и гибкости, чем использование любого из них по отдельности. Примером этого может служить веб-сайт, который использует брандмауэр с фильтрацией пакетов, чтобы блокировать все входящие соединения Telnet и FTP и направлять их к шлюзу приложений. С помощью шлюза приложений исходный IP-адрес входящих пакетов Telnet и FTP может быть аутентифицирован и зарегистрирован, и если информация, содержащаяся в пакетах, соответствует критериям приемлемости шлюза приложений, создается прокси-сервер и разрешается соединение между шлюз и выбранный внутренний хост. Шлюз приложений будет разрешать только те соединения, для которых создан прокси. Эта форма системы брандмауэра позволяет только тем службам, которые считаются заслуживающими доверия, проходить во внутренние системы предприятия и предотвращает прохождение ненадежных служб без мониторинга и контроля со стороны системных администраторов брандмауэра.

Преимущества шлюзов приложений многочисленны. Сокрытие исходного IP-адреса клиента от внешних систем обеспечивает дополнительную защиту от посторонних глаз хакеров, стремящихся извлечь информацию из ваших внутренних систем. Использование функций ведения журнала и аутентификации служит для идентификации и авторизации внешних служб, пытающихся войти в вашу внутреннюю сеть. Нежелательных и непрошенных гостей можно распознать и не допустить. Это также очень экономичный подход, поскольку любые сторонние устройства для аутентификации и ведения журнала должны располагаться только на шлюзе приложений. Шлюзы приложений также позволяют использовать более простые правила фильтрации. Вместо того, чтобы направлять трафик приложений в несколько разных систем, его нужно направлять только к шлюзу приложений; весь остальной трафик может быть отклонен.

Многие типы шлюзов приложений также поддерживают электронную почту и другие службы в дополнение к Telnet и FTP. Поскольку шлюзы приложений направляют множество форм трафика приложений, они позволяют применять политики безопасности, основанные не только на исходных и целевых IP-адресах и службах, но и на реальных данных, содержащихся в пакетах приложений.

В случае шлюза приложений, который собирает и маршрутизирует электронную почту между интрасетью, экстранетом и Интернетом, все внутренние пользователи будут отображаться в форме, основанной на имени шлюза приложений электронной почты, например, [ электронная почта защищена] Шлюз приложений электронной почты будет направлять почту из Экстранета или Интернета по внутренней сети. Внутренние пользователи могут отправлять почту извне либо непосредственно со своих хостов, либо через шлюз приложения электронной почты, который направляет почту на хост назначения. Шлюзы приложений также могут отслеживать и отсеивать пакеты электронной почты, содержащие вирусы и другие нежелательные формы коммерческой электронной почты, от проникновения во внутренние области вашего бизнеса.

Как и в случае брандмауэров с фильтрацией пакетов, шлюзы приложений обычно работают либо на компьютерах общего назначения, которые действуют как маршрутизаторы, либо на специальных прокси-серверах.

Устройства фильтрации пакетов в целом работают быстрее, чем шлюзы приложений, но, как правило, им не хватает безопасности, предлагаемой большинством прокси-сервисов.

Учитывая дополнительную сложность шлюзов приложений по сравнению с брандмауэрами с фильтрацией пакетов, при оценке потребностей вашего предприятия в брандмауэрах следует учитывать дополнительные вычислительные ресурсы и стоимость поддержки такой системы. Например, в зависимости от ваших требований хост может поддерживать от сотен до тысяч прокси-процессов для всех одновременных сеансов, используемых в вашей сети. Как и в случае с большинством бизнес-решений, чем выше требуемая производительность, тем выше затраты, которые будут понесены для достижения этой дополнительной производительности.

Шлюзы уровня цепи

Шлюз уровня канала аналогичен шлюзу приложений, за исключением того, что ему не нужно понимать тип передаваемой информации. Например, серверы SOCKS могут выступать в качестве шлюзов на уровне каналов. «SOCKS» — это протокол, который сервер использует для приема запросов от клиента во внутренней сети, чтобы он мог отправлять их через Интернет. SOCKS использует сокеты для мониторинга отдельных подключений.

Шлюзы на уровне канала выполняют проверку с отслеживанием состояния или динамическую фильтрацию пакетов для принятия решений о фильтрации. Хотя шлюзы цепного уровня иногда группируются со шлюзами приложений, они принадлежат к отдельной категории, поскольку они не выполняют никакой дополнительной оценки данных в пакете, кроме установления разрешенных соединений между внешним миром и внутренней сетью.

Проверка с отслеживанием состояния — это функция шлюза на уровне канала, которая обеспечивает более надежную проверку, чем предлагаемая устройствами фильтрации пакетов, поскольку для принятия решений по фильтрации используются как содержимое пакета, так и предыдущая история пакетов. Эта проверка является «дополнительной» функцией, поэтому устройство шлюза на уровне канала также служит маршрутизатором.

Эта дополнительная функция обеспечивает повышенную производительность по сравнению с прокси-серверами приложений за счет компромисса между критериями производительности и безопасности.

Шлюзы на уровне каналов предлагают расширенные возможности мониторинга безопасности по сравнению с брандмауэрами с фильтрацией пакетов, но по-прежнему полагаются на хорошо продуманную базовую структуру маршрутизации и, как и прокси-серверы приложений, могут быть настроены для определения расширенного решения о доступе. изготовление.

Читайте также: