Неправда, что брандмауэр, основанный на фильтрации пакетов, имеет характеристику
Обновлено: 21.11.2024
Брандмауэр — это устройство сетевой безопасности, которое отслеживает входящий и исходящий сетевой трафик и разрешает или блокирует пакеты данных на основе набора правил безопасности. Его цель — установить барьер между вашей внутренней сетью и входящим трафиком из внешних источников (например, из Интернета), чтобы заблокировать вредоносный трафик, такой как вирусы и хакеры.
Как работает брандмауэр?
Брандмауэры тщательно анализируют входящий трафик на основе заранее установленных правил и фильтруют трафик, поступающий из незащищенных или подозрительных источников, для предотвращения атак. Брандмауэры защищают трафик в точке входа компьютера, называемой портами, где происходит обмен информацией с внешними устройствами. Например, "Адрес источника 172.18.1.1 может достигать пункта назначения 172.18.2.1 через порт 22".
Представьте, что IP-адреса — это дома, а номера портов — это комнаты в доме. Только доверенные люди (исходные адреса) могут вообще входить в дом (адрес назначения) — затем он дополнительно фильтруется, чтобы людям в доме разрешался доступ только к определенным комнатам (порты назначения), в зависимости от того, являются ли они владельцем. , ребенок или гость. Владелец допущен в любую комнату (любой порт), а дети и гости допускаются в определенный набор комнат (конкретные порты).
Типы брандмауэров
Брандмауэры могут быть программными или аппаратными, хотя лучше иметь и то, и другое. Программный брандмауэр — это программа, устанавливаемая на каждый компьютер и регулирующая трафик с помощью номеров портов и приложений, а физический брандмауэр — это часть оборудования, установленного между вашей сетью и шлюзом.
Брандмауэры с фильтрацией пакетов, наиболее распространенный тип брандмауэров, проверяют пакеты и запрещают их прохождение, если они не соответствуют установленному набору правил безопасности. Брандмауэр этого типа проверяет исходный и конечный IP-адреса пакета. Если пакеты соответствуют «разрешенным» правилам брандмауэра, то им можно доверять вход в сеть.
Брандмауэры с фильтрацией пакетов делятся на две категории: с сохранением состояния и без сохранения состояния. Брандмауэры без сохранения состояния проверяют пакеты независимо друг от друга и не имеют контекста, что делает их легкой мишенью для хакеров. Напротив, брандмауэры с отслеживанием состояния запоминают информацию о ранее переданных пакетах и считаются гораздо более безопасными.
Несмотря на то, что брандмауэры с фильтрацией пакетов могут быть эффективными, в конечном итоге они обеспечивают очень простую защиту и могут быть очень ограниченными — например, они не могут определить, не повлияет ли содержимое отправляемого запроса на приложение, к которому он обращается. Если вредоносный запрос, разрешенный с адреса доверенного источника, приведет, скажем, к удалению базы данных, брандмауэр не сможет об этом узнать. Брандмауэры следующего поколения и прокси-брандмауэры лучше приспособлены для обнаружения таких угроз.
Брандмауэры нового поколения (NGFW) сочетают в себе традиционные технологии брандмауэров с дополнительными функциями, такими как проверка зашифрованного трафика, системы предотвращения вторжений, антивирус и многое другое. В частности, он включает глубокую проверку пакетов (DPI). В то время как базовые брандмауэры просматривают только заголовки пакетов, глубокая проверка пакетов проверяет данные внутри самого пакета, позволяя пользователям более эффективно идентифицировать, классифицировать или останавливать пакеты с вредоносными данными. Узнайте больше о Forcepoint NGFW здесь.
Брандмауэры с преобразованием сетевых адресов (NAT) позволяют нескольким устройствам с независимыми сетевыми адресами подключаться к Интернету с использованием одного IP-адреса, скрывая отдельные IP-адреса. В результате злоумышленники, сканирующие сеть на наличие IP-адресов, не могут получить конкретные сведения, что обеспечивает большую защиту от атак. Брандмауэры NAT аналогичны прокси-брандмауэрам в том смысле, что они действуют как посредники между группой компьютеров и внешним трафиком.
Многоуровневая проверка с отслеживанием состояния (SMLI) фильтрует пакеты на сетевом, транспортном и прикладном уровнях, сравнивая их с известными доверенными пакетами. Подобно брандмауэрам NGFW, SMLI также проверяет весь пакет и разрешает ему пройти только в том случае, если он проходит каждый уровень отдельно. Эти брандмауэры проверяют пакеты, чтобы определить состояние связи (отсюда и название), чтобы гарантировать, что все инициированные связи происходят только с надежными источниками.
Брандмауэры с фильтрацией пакетов работают на сетевом уровне (уровень 3) модели OSI. Брандмауэры с фильтрацией пакетов принимают решения об обработке на основе сетевых адресов, портов или протоколов.
Брандмауэры с фильтрацией пакетов работают очень быстро, потому что в принимаемых ими решениях не так уж много логики. Никакой внутренней проверки трафика они не проводят. Они также не хранят никакой информации о состоянии. Вы должны вручную открыть порты для всего трафика, который будет проходить через брандмауэр.
Брандмауэры с фильтрацией пакетов считаются не очень безопасными.Это связано с тем, что они будут перенаправлять любой трафик, проходящий через утвержденный порт. Таким образом, может быть отправлен вредоносный трафик, но пока он находится на приемлемом порту, он не будет заблокирован.
Диспетчерский контроль и сбор данных
Статический фильтр пакетов
Брандмауэры с фильтрацией пакетов относятся к старейшим архитектурам брандмауэров. Брандмауэр со статической фильтрацией пакетов работает только на сетевом уровне (уровень 3) модели OSI и не различает протоколы приложений. Брандмауэр этого типа решает, принимать или отклонять отдельные пакеты, основываясь на проверке полей в заголовках IP-адреса и протокола пакета. Статический пакетный фильтр не влияет на производительность в сколько-нибудь заметной степени, а его низкие требования к обработке сделали этот вариант привлекательным на раннем этапе по сравнению с другими брандмауэрами, которые снижали скорость отклика. Однако современные межсетевые экраны более высокого уровня также обеспечивают превосходную производительность. Кроме того, более быстрые сети лучше справляются с более высокими требованиями к обработке брандмауэра, работающего на более высоком уровне стека OSI.
Брандмауэр с фильтрацией пакетов фильтрует IP-пакеты на основе IP-адреса источника и получателя, а также порта источника и получателя. В пакетном фильтре могут отсутствовать средства ведения журнала, что делает его непрактичным для организации, имеющей требования соответствия и отчетности, которых они должны придерживаться. Кроме того, поскольку он проверяет только заголовки пакетов, злоумышленники могут обойти статический фильтр пакетов с помощью простых методов спуфинга, поскольку фильтр не может отличить настоящий адрес от поддельного. Другое ограничение заключается в том, что для более крупных установок статический фильтр пакетов становится громоздким, поскольку правила фильтрации пакетов проверяются в последовательном порядке, и при вводе правил в базу правил необходимо соблюдать осторожность. Другое неотъемлемое ограничение заключается в том, что статический фильтр пакетов не проверяет весь пакет, что позволяет злоумышленнику скрыть вредоносные команды внутри непроверенных заголовков или внутри самой полезной нагрузки. Наконец, статический фильтр пакетов не учитывает состояние, поэтому администратору необходимо настроить правила для обеих сторон диалога. Сегодня этот тип брандмауэра считается очень простым и ограниченным и даже может быть включен в операционные системы в качестве «дополнительного».
Защита внутренней сети от внешней сети и Интернета
Тим Спид, Хуанита Эллис, Internet Security, 2003 г.
5.1.2 Оценка правильного типа брандмауэра(ов) для вашего предприятия
Основной функцией брандмауэра является защита внутренних конфиденциальных данных от внешнего мира. Существует три основных типа брандмауэров, используемых для защиты внутренней сети предприятия, но любое устройство, которое из соображений безопасности контролирует трафик, проходящий через сеть, может считаться брандмауэром. Три основных типа брандмауэров используют разные методы для выполнения одной и той же задачи — защиты внутренней сети. Самый простой тип брандмауэра — это устройство фильтрации пакетов, также известное как экранирующий маршрутизатор. Брандмауэры с фильтрацией пакетов — это маршрутизаторы, работающие на нижних уровнях стека сетевых протоколов. На более высоком уровне находятся шлюзы прокси-серверов, которые выполняют прокси-сервисы для внутренних клиентов, регулируя входящий внешний сетевой трафик, а также отслеживая и обеспечивая контроль трафика исходящих внутренних пакетов. Третий тип брандмауэра, известный как шлюз на уровне канала, основан на методах проверки с отслеживанием состояния. «Проверка состояния» — это метод фильтрации, который требует компромисса между производительностью и безопасностью. Давайте рассмотрим три основных типа брандмауэров.
Брандмауэры с фильтрацией пакетов
Брандмауэры с фильтрацией пакетов позволяют фильтровать IP-адреса одним из двух основных способов:
Разрешение доступа к известным IP-адресам
Запрет доступа к IP-адресам и портам
Например, разрешив доступ к известным IP-адресам, вы можете разрешить доступ только к признанным, установленным IP-адресам или запретить доступ ко всем неизвестным или непризнанным IP-адресам.
Согласно отчету CERT, наиболее выгодно использовать методы фильтрации пакетов, чтобы разрешить только одобренный и известный сетевой трафик в максимально возможной степени. Использование фильтрации пакетов может быть очень экономичным средством добавления контроля трафика к уже существующей инфраструктуре маршрутизатора.
Фильтрация IP-пакетов тем или иным образом выполняется всеми брандмауэрами. Обычно это делается через маршрутизатор с фильтрацией пакетов. Маршрутизатор будет фильтровать или проверять пакеты, проходящие через интерфейсы маршрутизатора, работающие в рамках политики брандмауэра, установленной предприятием. Пакет — это часть информации, которая передается по сети. Маршрутизатор фильтрации пакетов проверяет путь, по которому проходит пакет, и тип информации, содержащейся в пакете.Если пакет проходит тесты политики брандмауэра, ему разрешается продолжить свой путь. Информация, которую ищет маршрутизатор фильтрации пакетов, включает (1) IP-адрес источника пакета и исходный порт TCP/UDP и (2) IP-адрес назначения и порт TCP/UDP назначения пакета.
Некоторые брандмауэры с фильтрацией пакетов могут фильтровать только IP-адреса, а не порт TCP/UDP источника, но наличие фильтрации TCP или UDP в качестве функции может обеспечить гораздо большую маневренность, поскольку трафик может быть ограничен для всех входящих подключений, кроме выбранные предприятием.
Брандмауэры с фильтрацией пакетов обычно работают либо на компьютерах общего назначения, которые действуют как маршрутизаторы, либо на маршрутизаторах специального назначения. Оба имеют свои преимущества и недостатки. Основное преимущество компьютера общего назначения состоит в том, что он предлагает неограниченную функциональную расширяемость, тогда как недостатками являются средняя производительность, ограниченное количество интерфейсов и недостатки операционной системы. Преимуществами специализированного маршрутизатора являются большее количество интерфейсов и повышенная производительность, а недостатками — ограниченная функциональная расширяемость и более высокие требования к памяти.
Несмотря на то, что брандмауэры с фильтрацией пакетов менее дороги, чем другие типы, и поставщики улучшают свои предложения, они считаются менее желательными с точки зрения удобства обслуживания и настройки. Они полезны для контроля и ограничения полосы пропускания, но им не хватает других функций, таких как возможности ведения журнала. Если политика брандмауэра не ограничивает определенные типы пакетов, пакеты могут остаться незамеченными до тех пор, пока не произойдет инцидент. Предприятиям, использующим брандмауэры с фильтрацией пакетов, следует искать устройства, обеспечивающие подробное ведение журнала, упрощенную настройку и проверку политик брандмауэра.
Прокси-сервер или шлюз приложений
Прокси-серверы, также известные как прокси-сервер приложений или шлюз приложений, используют тот же метод, что и фильтр пакетов, поскольку они проверяют, куда направляется пакет, и тип информации, содержащейся в пакете. Однако прокси-сервер приложения не просто пропускает пакет к месту назначения; он доставляет пакет для вас.
Скрытие адресов всех внутренних компьютеров снижает риск получения хакерами информации о внутренних данных предприятия. В прошлом использование прокси-серверов приводило к снижению производительности и прозрачности доступа к другим сетям. Однако в новых моделях некоторые из этих проблем решены.
Шлюзы приложений устранили некоторые недостатки, связанные с устройствами фильтрации пакетов в отношении приложений, которые перенаправляют и фильтруют соединения для таких служб, как Telnet и FTP. Однако шлюзы приложений и устройства фильтрации пакетов не обязательно использовать независимо друг от друга. Совместное использование брандмауэров шлюза приложений и устройств фильтрации пакетов может обеспечить более высокий уровень безопасности и гибкости, чем использование любого из них по отдельности. Примером этого может служить веб-сайт, который использует брандмауэр с фильтрацией пакетов, чтобы блокировать все входящие соединения Telnet и FTP и направлять их к шлюзу приложений. С помощью шлюза приложений исходный IP-адрес входящих пакетов Telnet и FTP может быть аутентифицирован и зарегистрирован, и если информация, содержащаяся в пакетах, соответствует критериям приемлемости шлюза приложений, создается прокси-сервер и разрешается соединение между шлюз и выбранный внутренний хост. Шлюз приложений будет разрешать только те соединения, для которых создан прокси. Эта форма системы брандмауэра позволяет только тем службам, которые считаются заслуживающими доверия, проходить во внутренние системы предприятия и предотвращает прохождение ненадежных служб без мониторинга и контроля со стороны системных администраторов брандмауэра.
Преимущества шлюзов приложений многочисленны. Сокрытие исходного IP-адреса клиента от внешних систем обеспечивает дополнительную защиту от посторонних глаз хакеров, стремящихся извлечь информацию из ваших внутренних систем. Использование функций ведения журнала и аутентификации служит для идентификации и авторизации внешних служб, пытающихся войти в вашу внутреннюю сеть. Нежелательных и непрошенных гостей можно распознать и не допустить. Это также очень экономичный подход, поскольку любые сторонние устройства для аутентификации и ведения журнала должны располагаться только на шлюзе приложений. Шлюзы приложений также позволяют использовать более простые правила фильтрации. Вместо того, чтобы направлять трафик приложений в несколько разных систем, его нужно направлять только к шлюзу приложений; весь остальной трафик может быть отклонен.
Многие типы шлюзов приложений также поддерживают электронную почту и другие службы в дополнение к Telnet и FTP.Поскольку шлюзы приложений направляют множество форм трафика приложений, они позволяют применять политики безопасности, основанные не только на исходных и целевых IP-адресах и службах, но и на реальных данных, содержащихся в пакетах приложений.
В случае шлюза приложений, который собирает и маршрутизирует электронную почту между интрасетью, экстранетом и Интернетом, все внутренние пользователи будут отображаться в форме, основанной на имени шлюза приложений электронной почты, например, [ электронная почта защищена] Шлюз приложений электронной почты будет направлять почту из Экстранета или Интернета по внутренней сети. Внутренние пользователи могут отправлять почту извне либо непосредственно со своих хостов, либо через шлюз приложения электронной почты, который направляет почту на хост назначения. Шлюзы приложений также могут отслеживать и отсеивать пакеты электронной почты, содержащие вирусы и другие нежелательные формы коммерческой электронной почты, от проникновения во внутренние области вашего бизнеса.
Как и в случае брандмауэров с фильтрацией пакетов, шлюзы приложений обычно работают либо на компьютерах общего назначения, которые действуют как маршрутизаторы, либо на специальных прокси-серверах.
Устройства фильтрации пакетов в целом работают быстрее, чем шлюзы приложений, но, как правило, им не хватает безопасности, предлагаемой большинством прокси-сервисов.
Учитывая дополнительную сложность шлюзов приложений по сравнению с брандмауэрами с фильтрацией пакетов, при оценке потребностей вашего предприятия в брандмауэрах следует учитывать дополнительные вычислительные ресурсы и стоимость поддержки такой системы. Например, в зависимости от ваших требований хост может поддерживать от сотен до тысяч прокси-процессов для всех одновременных сеансов, используемых в вашей сети. Как и в случае с большинством бизнес-решений, чем выше требуемая производительность, тем выше затраты, которые будут понесены для достижения этой дополнительной производительности.
Шлюзы уровня цепи
Шлюз уровня канала аналогичен шлюзу приложений, за исключением того, что ему не нужно понимать тип передаваемой информации. Например, серверы SOCKS могут выступать в качестве шлюзов на уровне каналов. «SOCKS» — это протокол, который сервер использует для приема запросов от клиента во внутренней сети, чтобы он мог отправлять их через Интернет. SOCKS использует сокеты для мониторинга отдельных подключений.
Шлюзы на уровне канала выполняют проверку с отслеживанием состояния или динамическую фильтрацию пакетов для принятия решений о фильтрации. Хотя шлюзы цепного уровня иногда группируются со шлюзами приложений, они принадлежат к отдельной категории, поскольку они не выполняют никакой дополнительной оценки данных в пакете, кроме установления разрешенных соединений между внешним миром и внутренней сетью.
Проверка с отслеживанием состояния — это функция шлюза на уровне канала, которая обеспечивает более надежную проверку, чем предлагаемая устройствами фильтрации пакетов, поскольку для принятия решений по фильтрации используются как содержимое пакета, так и предыдущая история пакетов. Эта проверка является «дополнительной» функцией, поэтому устройство шлюза на уровне канала также служит маршрутизатором.
Эта дополнительная функция обеспечивает повышенную производительность по сравнению с прокси-серверами приложений за счет компромисса между критериями производительности и безопасности.
Шлюзы на уровне каналов предлагают расширенные возможности мониторинга безопасности по сравнению с брандмауэрами с фильтрацией пакетов, но по-прежнему полагаются на хорошо продуманную базовую структуру маршрутизации и, как и прокси-серверы приложений, могут быть настроены для определения расширенного решения о доступе. изготовление.
Маршрутизаторы фильтрации пакетов работают на сетевом и транспортном уровнях и помимо выполнения основной функции маршрутизации используют правила фильтрации для фильтрации пакетов. Эти правила используют IP-адреса, параметры IP, порты TCP/UDP и типы сообщений ICMP при принятии решений о фильтрации. Маршрутизаторы с фильтрацией пакетов не открывают полезные данные TCP/UDP для фильтрации на основе содержимого сообщений прикладного уровня. Таким образом, маршрутизаторы с фильтрацией пакетов имеют более высокую производительность с точки зрения пропускной способности по сравнению с прокси-шлюзами, работающими на узлах-бастионах, поскольку маршрутизаторы с фильтрацией пакетов избегают дополнительной обработки. Обратной стороной этого является то, что маршрутизаторы с фильтрацией пакетов не имеют возможности поддерживать аутентификацию на уровне пользователя и фильтрацию на основе сообщений уровня приложения. Таким образом, многие атаки могут проникнуть через маршрутизатор с фильтрацией пакетов через сообщения прикладного уровня. Правила фильтрации, используемые в маршрутизаторах с фильтрацией пакетов, могут быть сложными, а с небольшими возможностями поддержки ведения журнала или без них маршрутизаторы с фильтрацией пакетов могут быть не в состоянии отфильтровать все атаки. Прокси-шлюзы для конкретных приложений из-за того, что они используют сообщения прикладного уровня для принятия решений о фильтрации, как правило, выполняют больше обработки, чем маршрутизаторы с фильтрацией пакетов. Таким образом, производительность прокси-шлюза с точки зрения пропускной способности обычно ниже, чем у маршрутизаторов с фильтрацией пакетов.Прокси-шлюз может обеспечить более детальный контроль, применяя аутентификацию на уровне пользователя и средства контроля для конкретных служб. Он имеет возможность фильтровать недопустимые сообщения для данного протокола. Прокси-шлюзы также могут регистрировать более полезную и «готовую к использованию» информацию, чем маршрутизаторы с фильтрацией пакетов. Поскольку логика прокси-шлюза часто специфична для данного протокола или службы прикладного уровня, часто многие новые приложения или «единственные в своем роде» приложения не имеют соответствующих продуктов прокси-шлюза для конкретных приложений, доступных на рынке. Таким образом, прокси-серверы для конкретных приложений часто создаются на заказ.
Общие сведения о предотвращении киберпреступлений
Литтлджон Шиндер, Майкл Кросс, сцена киберпреступления (второе издание), 2008 г.
Фильтрация пакетов
Фильтрация пакетов выполняет большую часть своей работы на сетевом уровне сетевой модели Open Systems Interconnection (OSI) (эквивалентной межсетевому уровню модели Министерства обороны [DoD]), имея дело с IP-пакеты. Пакетные фильтры проверяют информацию, содержащуюся в заголовке IP-пакета сообщения, и либо разрешают данным проходить через брандмауэр, либо отклоняют пакет на основе этой информации. Если включена фильтрация IP-пакетов, брандмауэр будет перехватывать и оценивать пакеты перед передачей их на более высокий уровень брандмауэра или фильтру приложений.
Информация, используемая пакетным фильтром для принятия решения, включает IP-адрес исходного и/или целевого компьютера (компьютеров) и номер порта протокола управления передачей (TCP) или протокола пользовательских дейтаграмм (UDP). (Да, номера портов находятся в заголовке транспортного уровня, поэтому технически, хотя фильтрация пакетов обычно работает на сетевом уровне, она также обрабатывает некоторую информацию более высокого уровня.) Фильтрация пакетов позволяет данным передаваться на транспортный уровень, только если правила фильтрации пакетов позволяют это делать.
Фильтрация пакетов позволяет администраторам блокировать пакеты, поступающие с определенного интернет-узла или предназначенные для определенной службы в сети (например, веб-сервера или сервера SMTP). Динамическая фильтрация пакетов обеспечивает более высокий уровень безопасности, поскольку открывает необходимые порты только тогда, когда это необходимо для связи, а затем закрывает порты сразу после завершения связи. Статические фильтры пакетов настроены так, чтобы разрешить входящий и исходящий доступ к предопределенным IP-адресам (или группам IP-адресов) и номеру порта (или группам портов).
Важно отметить, что фильтры пакетов не могут выполнять фильтрацию, основанную на чем-либо, содержащемся в поле данных пакета, а также не могут использовать состояние канала связи для помощи в принятии решения о принятии или отклонении пакета. . Если решения о фильтрации необходимо принимать на основе любого из этих критериев, брандмауэр должен быть настроен на использование фильтрации, работающей на другом уровне (фильтрация каналов или приложений).
Безопасность сети
Брандмауэры
Брандмауэр — это механизм, обеспечивающий контроль над трафиком, входящим и исходящим из наших сетей. Концепция и первые реализации технологий брандмауэров восходят к концу 1980-х и началу 1990-х годов. Одна из первых статей, в которой обсуждалась идея использования брандмауэра, называлась «Простые и гибкие средства управления доступом к дейтаграммам», написанная в 1989 году Джеффри Могулом [2], тогда работавшим в Digital Equipment Corporation (DEC). Мы также можем увидеть первый коммерческий брандмауэр от DEC, DEC SEAL, выпущенный в 1992 году [3].
Брандмауэр обычно размещается в сети, где мы видим изменение уровня доверия. Мы можем увидеть брандмауэр на границе между нашей внутренней сетью и Интернетом, как показано на рис. 10.1. Мы также можем увидеть брандмауэр, установленный в нашей внутренней сети, чтобы предотвратить доступ к сетевому трафику конфиденциального характера тем, у кого нет для этого причин.
Рисунок 10.1. Брандмауэр.
Многие из используемых сегодня брандмауэров основаны на концепции проверки пакетов, поступающих по сети. Это обследование определяет, что следует впускать или вывозить. Разрешение или блокировка трафика зависит от множества факторов и во многом зависит от сложности брандмауэра. Например, мы можем разрешать или запрещать трафик в зависимости от используемого протокола, разрешая прохождение веб-трафика и трафика электронной почты, но блокируя все остальное.
Фильтрация пакетов
Фильтрация пакетов — одна из старейших и простейших технологий брандмауэра.Фильтрация пакетов анализирует содержимое каждого пакета в трафике по отдельности и на основе исходного и целевого IP-адресов, номера порта и используемого протокола определяет, будет ли пропущен трафик. Поскольку каждый пакет проверяется индивидуально, а не вместе с остальными пакетами, составляющими содержимое трафика, можно пропустить атаки через этот тип брандмауэра.
Проверка пакетов с отслеживанием состояния
Брандмауэры с отслеживанием пакетов (обычно называемые брандмауэрами с отслеживанием состояния) работают по тому же общему принципу, что и брандмауэры с фильтрацией пакетов, но они могут отслеживать трафик на детальном уровне. В то время как брандмауэр с фильтрацией пакетов проверяет только отдельный пакет вне контекста, брандмауэр с отслеживанием состояния может отслеживать трафик по заданному соединению, обычно определяемому IP-адресами источника и получателя, используемыми портами и уже существующим сетевым трафиком. Брандмауэр с отслеживанием состояния использует так называемую таблицу состояний для отслеживания состояния соединения и пропускает только трафик, который является частью нового или уже установленного соединения. Большинство брандмауэров с отслеживанием состояния также могут функционировать как брандмауэры с фильтрацией пакетов, часто сочетая две формы фильтрации. Например, этот тип брандмауэра может идентифицировать и отслеживать трафик, связанный с конкретным инициированным пользователем подключением к веб-сайту, и знает, когда соединение было закрыто и дальнейший трафик не должен присутствовать на законных основаниях.
Глубокая проверка пакетов
Брандмауэры с глубокой проверкой пакетов добавляют еще один уровень интеллекта к нашим возможностям брандмауэра. Брандмауэры с глубокой проверкой пакетов способны анализировать фактическое содержимое трафика, проходящего через них. Хотя брандмауэры с фильтрацией пакетов и брандмауэры с отслеживанием состояния могут только просматривать структуру самого сетевого трафика, чтобы отфильтровывать атаки и нежелательный контент, брандмауэры с глубокой проверкой пакетов могут фактически повторно собирать содержимое трафика, чтобы посмотреть, что будет доставлено приложению. для которых он в конечном счете предназначен.
Используя аналогию, если мы отправляем посылку через одного из распространенных перевозчиков посылок, перевозчик будет смотреть на размер и форму посылки, ее вес, способ упаковки, а также адреса отправки и назначения. . Как правило, это то, что могут делать брандмауэры с фильтрацией пакетов и брандмауэры с отслеживанием состояния. Теперь, если курьер должен был сделать все это, а также открыть пакет и осмотреть его содержимое, а затем сделать вывод о том, может ли пакет быть отправлен на основе его содержимого, это было бы гораздо больше в соответствии с глубоким пакетом. осмотр.
Хотя эта технология имеет большие перспективы для блокировки большого количества атак, мы видим, что сегодня она работает медленнее и вызывает некоторую задержку. Кроме того, поднимается вопрос о конфиденциальности. Теоретически кто-то, владеющий устройством для глубокой проверки пакетов, может прочитать каждое наше сообщение электронной почты, увидеть каждую веб-страницу точно так, как мы ее видели, и легко прослушивать наши разговоры в мгновенных сообщениях.
Прокси-серверы
Прокси-серверы в конечном счете представляют собой специализированный вариант брандмауэра. Эти серверы обеспечивают функции безопасности и производительности, как правило, для конкретного приложения, такого как почта или просмотр веб-страниц. Прокси-серверы могут служить узким звеном (обсуждалось ранее в этой главе), чтобы мы могли фильтровать трафик на предмет атак или нежелательного контента, такого как вредоносное ПО или трафик на веб-сайты, на которых размещается контент для взрослых. Они также позволяют нам регистрировать проходящий через них трафик для последующей проверки и служат для обеспечения уровня безопасности устройств за ними, выступая в качестве единого источника запросов.
Прокси-серверы почти повсеместно используются в деловом мире, в основном благодаря возможностям фильтрации, которые они обеспечивают. Многие компании полагаются на них, чтобы предотвратить попадание больших объемов спама, рассылаемого по электронной почте, к своим пользователям и снизить производительность. Мы также видим, что они используются для фильтрации веб-трафика в таких средах, чтобы удержать сотрудников от посещения веб-сайтов, которые могут содержать нежелательные материалы, и для фильтрации трафика, который может указывать на наличие вредоносного ПО. Опять же, основной проблемой с ними является задержка, связанная с дополнительным этапом проверки.
ДМЗ или демилитаризованная зона — это, как правило, сочетание конструктивной особенности сети и защитного устройства, например брандмауэра. Как мы обсуждали ранее в разделе «Безопасность при проектировании сети», мы часто можем повысить уровень безопасности в наших сетях, правильно сегментировав их. Когда мы рассматриваем системы, которые должны быть открыты для внешних сетей, таких как Интернет, для функционирования, таких как почтовые серверы, прокси-серверы, программное обеспечение как сервисное приложение и веб-серверы, нам необходимо обеспечить их безопасность и безопасность устройства в сети позади них.Часто мы можем сделать это, установив уровень защиты между устройством, таким как наш почтовый сервер, и Интернетом, а также между остальной частью нашей сети и устройством, как показано на рис. 10.2.
Рисунок 10.2. ДМЗ.
Это позволяет только тому трафику, который должен достичь почтового сервера — например, протоколу доступа к сообщениям в Интернете (IMAP) и простому протоколу передачи сообщений (SMTP) на портах 143 и 25 соответственно — для достижения нашего почтового сервера, а одни и те же порты для прохождения в нашей сети. Предполагая, что никакие другие службы не работают в той же системе, мы могли бы ограничить трафик, входящий и исходящий из демилитаризованной зоны, где находится наш почтовый сервер, этими конкретными портами.
Безопасность локальной сети
17 Фильтрация пакетов: маршрутизаторы с IP-фильтрацией
Хакер попытается отправить поддельные IP-пакеты, используя необработанные сокеты (подробнее об использовании необработанных сокетов мы поговорим в следующих главах)
Зарегистрировать попытку сканирования сети на наличие открытых портов TCP и UDP — NIDS проведет эту работу по обнаружению более подробно
SYN-атаки с использованием TCP connect() и полуоткрытого TCP
Фильтрация и классификация IP-пакетов
Дип Медхи, Картик Рамасами, в Network Routing (Second Edition), 2018 г.
При фильтрации и классификации пакетов необходимо учитывать эффективность алгоритмов. Однако размер проблемы, которую необходимо учитывать, зависит от доступности адресного пространства и размера/диапазона маршрутизаторов; таким образом, разные алгоритмы подходят для разных сценариев. В этой главе обсуждаются алгоритмы различной сложности, указываются их плюсы и минусы и объясняется, почему одни алгоритмы могут быть более подходящими для одной ситуации по сравнению с другой. Эффективность алгоритма зависит от компромисса между временем, пространством и иногда структурами данных, рассматриваемыми для реализации. Таким образом, некоторые предварительные знания о вычислительной сложности и структуре данных полезны для понимания некоторых деталей. Материал начинается с обсуждения наивных подходов, а по ходу главы представляются все более сложные подходы.
В поисках конкурентов: преимущества ISA 2004
Доктор. Томас В. Шиндер , Дебра Литтлджон Шиндер , в книге доктора Тома Шиндера «Настройка ISA Server 2004», 2005 г.
Blue Coat: возможности фильтрации на прикладном уровне
Устройства Blue Coat предоставляют правила фильтрации пакетов, которые определяются с помощью языка политики содержимого (CPL) и списков управления доступом (ACL). Устройства SG поддерживают аутентификацию NTLM, LDAP и RADIUS.
Устройства Blue Coat SG поддерживают фильтрацию контента с помощью основных поставщиков фильтрации (WebSense, SurfControl, SmartFilter). Политики могут быть определены для обеспечения фильтрации MIME-типа. Поддерживается фильтрация заголовков контента. Для фильтрации вредоносного кода, загружаемого из Интернета, требуется стороннее антивирусное программное обеспечение. Устройства SG интегрируются с Symantec и TrendMicro через ICAP для антивирусного сканирования веб-контента в режиме реального времени.
Активный контент можно блокировать, веб-контент можно удалять и заменять, а информацию в заголовках контента можно ограничивать, удалять или заменять. Вы можете блокировать или регистрировать одноранговый и мгновенный трафик, а также контролировать действия клиентов (например, запрещать им скачивать файлы). Блокировка всплывающей рекламы также включена.
Blue Coat использует «механизм обработки политик», который использует триггеры безопасности, которые могут быть основаны на множестве факторов, включая пользователей/группы, протоколы, время суток, местоположение или тип контента.
Устройства Blue Coat поддерживают управление полосой пропускания.
Как ISA Server сравнивается? ISA Server обеспечивает фильтрацию пакетов, фильтрацию каналов и фильтрацию прикладного уровня, а также проверку/фильтрацию с отслеживанием состояния. ISA Server включает глубокую фильтрацию на уровне приложений без дополнительной платы.
ISA Server 2004 выполняет интеллектуальную проверку состояния с использованием «умных» фильтров приложений. Вы можете не только определить достоверность данных, проходящих через брандмауэр в заголовках запросов и ответов, вы также можете фильтровать по «подписи» (текстовой строке) для фильтрации по ключевым словам или фильтрации для определенных типов файлов.
Фильтрация RPC ISA Server защищает от эксплойтов и вредоносного кода, направленного на службы RPC, и гарантирует, что к серверу Exchange проходят только допустимые соединения.
Фильтрация DNS предотвращает атаки прикладного уровня, направленные на опубликованные DNS-серверы, а фильтры POP3 защищают от атак опубликованные почтовые серверы POP3.
Брандмауэры
9 программных и аппаратных реализаций брандмауэра
Как описано в предыдущих разделах, брандмауэр применяет политику к прибывающим пакетам, чтобы определить подходящее совпадение. Политика представляет собой упорядоченный список правил, и обычно выполняется первое правило, соответствующее пакету.Эта операция может быть выполнена в первую очередь либо в программном, либо в аппаратном обеспечении. Производительность — основная причина выбора одной реализации.
Программные брандмауэры – это прикладное программное обеспечение, которое может выполняться на коммерческом оборудовании. В большинстве операционных систем для защиты хост-компьютера предусмотрен брандмауэр (часто называемый брандмауэром хоста). Например, iptables — это приложение брандмауэра, входящее в состав операционной системы Linux. Несколько крупных производителей брандмауэров предлагают программную версию своего сетевого брандмауэра. Можно купить готовое оборудование (например, сервер) и запустить программное обеспечение брандмауэра. Преимуществом программных брандмауэров является их возможность обновления без замены аппаратного обеспечения. Кроме того, проще добавлять новые функции — например, iptables может легко выполнять фильтрацию с отслеживанием состояния, NAT и операции качества обслуживания (QoS). Это так же просто, как обновить и настроить программное обеспечение брандмауэра.
Аппаратные брандмауэры используют аппаратное обеспечение для фильтрации пакетов. Политика и операция сопоставления выполняются на специальном оборудовании, например, с помощью программируемой пользователем вентильной матрицы. Основными преимуществами аппаратного брандмауэра являются увеличенная пропускная способность и уменьшенная задержка. Обратите внимание, что пропускная способность — это количество пакетов, которые брандмауэр может обработать в единицу времени, а задержка — это время, необходимое для обработки пакета. Это не одно и то же, и IETF RFC 3511 содержит подробное описание процесса тестирования производительности брандмауэра. 7
Аппаратные брандмауэры могут работать с более высокой пропускной способностью, что означает большее количество пакетов в секунду (легко достигается 10 Гбит/с). Кроме того, аппаратные брандмауэры могут работать быстрее, поскольку обработка выполняется на выделенном оборудовании. Межсетевой экран работает почти на скорости проводной сети; поэтому к принятым пакетам добавляется очень небольшая задержка. Это важно, поскольку для работы большего количества приложений, таких как мультимедиа, требуется QoS. Недостатком является то, что обновление брандмауэра может потребовать замены оборудования, что может обойтись дороже.
Сертификаты могут помочь специалистам по безопасности подтвердить свои базовые знания в области информационной безопасности. Рассмотрите возможность добавления этих лучших облачных средств безопасности .
Изучите три основные проблемы безопасности при работе с несколькими арендаторами и способы их устранения, в том числе недостаточную видимость и превышение привилегий.
Если ваша компания использует поставщика облачных баз данных, очень важно обеспечить максимальную безопасность. Ознакомьтесь с функциями безопасности .
Новейшее аппаратное обеспечение Cisco и привязка Intersight к общедоступному облаку Kubernetes расширяют возможности гибридных облачных продуктов для клиентов. Но .
Чтобы преодолеть разрыв между командами NetOps и SecOps, сетевые специалисты должны знать основы безопасности, включая различные типы .
Какова реальность новых сетевых технологий? Здесь эксперты определяют риски — реальные или предполагаемые — и преимущества, которые они несут .
Подробнее об основных функциях, отличительных чертах, сильных и слабых сторонах платформ блокчейна, которые получают максимальную отдачу .
Эксперты высоко оценивают недавно предложенное Комиссией по ценным бумагам и биржам США правило раскрытия информации о климатических рисках, которое требует от компаний выявлять климатические риски .
Недавнее мероприятие Accenture Technology Vision подчеркнуло трансформационные возможности виртуальных миров, а также указало на .
ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .
Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .
Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.
Nvidia запустила облачную версию своей платформы Omniverse для 3D-моделирования. Компания также представила Omniverse .
Преодолейте сбои AWS, научившись создавать многорегиональную архитектуру, обеспечивающую отказоустойчивость в случае аварии.
Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.
ЕС и США согласовывают структуру конфиденциальности данных, разрешающую трансатлантическую передачу данных после того, как США предложат уступки в отношении слежки и новых данных.
Европейская комиссия предложила новые правила кибербезопасности и информационной безопасности для создания минимального набора стандартов.
Семь человек арестованы лондонской полицией в связи с кибератаками, совершенными группой Lapsus$, которая несет ответственность за ряд .
Брандмауэр с фильтрацией пакетов – это технология сетевой безопасности, которая используется для управления потоком данных в сеть и из сети. Это механизм безопасности, который позволяет перемещать пакеты по сети и контролирует их поток на основе набора правил, протоколов, IP-адресов и портов.
Что такое брандмауэр с фильтрацией пакетов?
Фильтрация пакетов защищает локальную сеть от нежелательного вторжения в зависимости от предопределенных правил.Информация проходит через сеть в виде небольших фрагментов, называемых пакетами, которые независимо перемещаются по IP-сетям. Эти небольшие пакеты проходят через узел только в том случае, если они соответствуют предопределенным правилам фильтрации, в противном случае они отбрасываются. Следовательно, правила фильтрации, определенные брандмауэрами сетевого уровня в брандмауэре с фильтрацией пакетов, оказываются очень эффективными в обеспечении механизмов безопасности.
В этой статье мы обсудим:
- Схема брандмауэра с фильтрацией пакетов.
- Преимущества и недостатки брандмауэра с фильтрацией пакетов.
- Пример брандмауэра с фильтрацией пакетов.
1. Схема брандмауэра с фильтрацией пакетов
Фильтрация пакетов контролирует (разрешает или блокирует) передачу пакетов или данных на основе следующих стандартов:
- Адрес, с которого пришел пакет.
- Адрес, на который отправляется пакет.
- Протоколы или правила приложения, установленные для передачи данных.
Брандмауэр фильтрации пакетов показывает, как фильтрация выполняется в брандмауэре. Брандмауэр с фильтрацией пакетов проверяет списки управления доступом (ACL) для разделения пакетов в зависимости от идентификатора протокола верхнего уровня, номеров исходного и целевого портов, исходного и целевого IP-адресов и маршрута передачи пакетов.
- Брандмауэр с фильтрацией пакетов анализирует IP-адреса источника и получателя, номера портов источника и получателя, а также идентификаторы протоколов IP-пакетов в соответствии со списком ACL. Брандмауэр проверяет информацию, содержащуюся в заголовке IP, TCP или UDP, а затем решает принять или отклонить пакет в зависимости от ACL.
- Брандмауэр может разрешать пакеты типа фрагмента после сравнения информации с ACL.
- Кроме того, у него есть метод по умолчанию, установленный пользователями, который позволяет пакетам проходить, даже если они не соответствуют ACL.
Как показано на рисунке 1, прохождение пакетов полностью зависит от решения брандмауэра маршрутизатора, фильтрующего пакеты. Он фильтрует пакеты в соответствии с протоколами безопасности, запрограммированными в маршрутизаторе, используя правила брандмауэра. Эти правила брандмауэра для фильтрации пакетов настраиваются пользователями для создания защиты от передачи пакетов и пропуска только пакетов, соответствующих определенным IP-адресам или портам. Пользователи могут указать правила, которые будут разрешать только те пакеты, которые предназначены для их сервера, и отклонять все остальные пакеты. Например, могут быть установлены правила для полного отклонения пакетов, направляемых на порты, используемые NetBIOS, что, в свою очередь, предотвращает нежелательное вторжение хакеров из Интернета в ресурсы сервера NetBIOS.
Брандмауэры с фильтрацией пакетов можно разделить на следующие типы на основе использования правил:
- Статический брандмауэр с фильтрацией пакетов. В этом типе брандмауэра правила устанавливаются вручную, а соединение между внутренней и внешней сетями всегда остается открытым или закрытым, пока не будет изменено вручную.
- Брандмауэр с динамической фильтрацией пакетов. Этот тип брандмауэра представляет собой более интеллектуальный способ фильтрации, поскольку правила могут динамически изменяться в зависимости от условий, а порты открыты только в течение определенного времени, в противном случае они остаются закрытыми.
- Брандмауэр с фильтрацией пакетов с отслеживанием состояния. Он использует предустановленную таблицу для поддержания безопасного соединения, а пакеты проходят в последовательности, утвержденной правилами фильтрации.
2. Преимущества и недостатки брандмауэра с фильтрацией пакетов
Брандмауэры с фильтрацией пакетов обычно работают либо на компьютерах/маршрутизаторах общего назначения, либо на маршрутизаторе специального назначения и имеют свои преимущества и недостатки брандмауэра с фильтрацией пакетов.
Фильтрация пакетов — это эффективная система защиты от вторжений с компьютеров или сетей за пределами локальной сети (LAN). Кроме того, это стандартное и экономичное средство защиты, поскольку большинство устройств маршрутизации сами по себе обладают встроенными возможностями фильтрации, поэтому нет необходимости устанавливать новое устройство брандмауэра. Ниже приведены некоторые из выдающихся преимуществ брандмауэра с фильтрацией пакетов, которые делают его очень популярным во всем мире:
- Нужен только один маршрутизатор. Ключевое преимущество использования фильтрации пакетов заключается в том, что для защиты всей сети требуется использовать только один экранирующий маршрутизатор.
- Высокоэффективный и быстрый: маршрутизатор с фильтрацией пакетов работает очень быстро и эффективно, быстро принимает и отклоняет пакеты в зависимости от порта и адреса получателя и отправителя. Однако другие методы брандмауэра требуют больше времени для работы.
- Прозрачен для пользователей: фильтрация пакетов работает независимо, без каких-либо знаний или сотрудничества со стороны пользователя. Пользователи не узнают о передаче пакетов, пока что-то не будет отклонено. Напротив, для других брандмауэров требуется специальное программное обеспечение, конфигурация клиентских компьютеров или специальное обучение или процедуры для пользователей.
- Встроенная фильтрация пакетов в маршрутизаторах. Возможности фильтрации пакетов встроены в широко используемые аппаратные и программные продукты для маршрутизации. Кроме того, теперь большинство веб-сайтов имеют методы фильтрации пакетов, доступные в самих их маршрутизаторах, что также делает этот метод самым недорогим.
- Фильтрация на основе IP-адреса или информации о порте. Самым большим недостатком фильтрации пакетов является то, что она работает с аутентификацией по IP-адресу и номеру порта, а не на основе такой информации, как контекст или приложение.
- Фильтрация пакетов не имеет состояния. Еще одним большим недостатком фильтрации пакетов является то, что она не запоминает какие-либо прошлые вторжения или отфильтрованные пакеты. Он проверяет каждый пакет изолированно и не имеет сведений о состоянии, что позволяет хакерам легко взломать брандмауэр.
- Отсутствие защиты от спуфинга адресов. Фильтрация пакетов не защищает от спуфинга IP-адресов, когда хакеры могут вставлять в пакеты поддельные IP-адреса для вторжения в сеть.
- Не идеальный вариант для всех сетей. Внедрение брандмауэров с фильтрацией пакетов в очень востребованных фильтрах становится сложным или требует много времени. Иногда возникают трудности с управлением и настройкой списков управления доступом.
3. Пример брандмауэра с фильтрацией пакетов
Фильтры пакетов воздействуют на исходный и конечный IP-адреса и адреса портов, присутствующие в каждом пакете TCP/IP. Вы можете установить правила, разрешающие доступ только к знакомым и установленным IP-адресам и запрещающие доступ ко всем неизвестным или непризнанным IP-адресам.
Несмотря на свои недостатки, межсетевые экраны с фильтрацией пакетов широко используются из-за своей эффективности и низкой стоимости. Он контролирует перемещение информации/пакетов в соответствии с набором правил, определенных пользователем, и защищает сеть от нежелательных вторжений или атак. Таким образом, он действует как мощный инструмент безопасности и обеспечивает хороший уровень безопасности сети.
Также читать
объяснить брандмауэр с фильтрацией пакетов брандмауэр с фильтрацией пакетов преимущества и недостатки брандмауэра с фильтрацией пакетов пример брандмауэра с фильтрацией пакетов что такое брандмауэр с фильтрацией пакетов
Подпишитесь на нашу рассылку
Каждый месяц обновляйте свой почтовый ящик нашими тщательно подобранными информационными бюллетенями. Мы ценим вашу поддержку и позаботимся о том, чтобы ваша подписка была полезной.
109
9980
7120
1145
Статьи по теме
Крипто-мошенничество: насколько на самом деле безопасны блокчейны?
Криптовалюты меняют правила игры. NFT революционны. Блокчейн супергерметичен. Согласованный. Однако среди всех новостей о том, как люди становятся миллионерами благодаря NFT и переписыванию соглашений о криптовалютах, есть и весьма тревожные новости — крипто-мошенничество. Да, поскольку мир постепенно адаптирует приложения и концепции блокчейна, а несколько стран пересматривают свою политику в отношении криптовалют, это происходит в неподходящее время. Fortune также недавно опубликовала статью, в которой рассказывается о различных типах крипто-мошенничества, которые сотрясают Интернет, ориентируясь на людей, которые искренне увлечены новой волной. От мошенничества с инвестициями до манипулирования смарт-контрактами хакеры и злоумышленники придумывают новые способы использования уязвимостей технологий и людей для выманивания денег. Социальные сети действуют как их игровая площадка, особенно Facebook и Instagram. Это требует только большей технической грамотности и осведомленности с помощью жестких мер кибербезопасности. Чем больше люди знают о технологии, тем больше они знают о лазейках и уязвимостях. Итак, настало время для любой организации пересмотреть свою стратегию и поставить кибербезопасность в приоритет над чем-либо еще в этом году. Вы можете прочитать всю статью здесь.
Что такое сертификат TLS? Всесторонний обзор (2021 г.)
ВВЕДЕНИЕ В связи с недавними делами о киберпреступлениях становится необходимым обеспечить наилучшие средства для передачи данных, чтобы избежать любого рода подделки или утечки информации. Это необходимо для уединения и исполнительской импровизации. TLS является наиболее надежным протоколом безопасности и широко используется многими компаниями для безопасной передачи данных. Для веб-соединения TLS требуется сертификат TLS. Что такое TLS?Что такое сертификат TLS?Как работает сертификат TLS?Слабые стороны сертификата TLSДоверие к центрам сертификацииОсобые меры предосторожности от ProtonMail 1.Что такое TLS? TLS означает безопасность транспортного уровня.Он принят в качестве протокола безопасности для передачи данных в Интернете для облегчения сквозной связи и онлайн-транзакций. Он обеспечивает шифрование данных для связи между веб-приложениями и серверами. Его также можно использовать для шифрования обмена мгновенными сообщениями, VOIP, электронной почты. Протокол TLS помогает предотвратить подделку, взлом, подслушивание, фальсификацию сообщений, паролей, учетных данных кредитных карт, данных, личной переписки, передаваемых по сетям. В случае TLS и SSL, TLS был предложен Инженерной группой Интернета (IETF) в 1999 году, а SSL — компанией Netscape. Многие организации используют TLS для обеспечения безопасной передачи конфиденциальных данных, поскольку они могут мультиплексировать и демультиплексировать сервисы с гарантированной полосой пропускания. 2.Что такое сертификат TLS? Сертификат TLS — это разновидность цифрового сертификата (или сертификата открытого ключа/сертификата удостоверения), выданного центром сертификации. Удостоверяющий центр аутентифицирует сертификат, подписывая его, удостоверяя, что он принадлежит конкретному доменному имени, являющемуся предметом сертификата. Подробная информация о сертификате включает доменное имя субъекта, организацию, владельца сертификата, открытый ключ сервера, который необходим для проверки подлинности сервера, орган, выдавший сертификат, дату выпуска и истечения срока действия и многое другое. подробности. 3.Как работает сертификат TLS? Сертификат TLS состоит из открытого ключа и закрытого ключа, которые взаимодействуют за кулисами во время транзакций. Они обеспечивают безопасное шифрование, когда кто-то посещает веб-сайт. После получения инструкций по переходу на защищенный веб-сайт сертификат TLS и открытый ключ передаются клиенту для безопасного подключения и уникального сеансового ключа. Затем браузер подтверждает подлинность удостоверяющего центра и статус сертификата. Браузер отправляет симметричный ключ, а сервер расшифровывает его приватным ключом. Затем это подтверждается сервером, зашифрованным с помощью сеансового ключа, для запуска зашифрованного сеанса. Таким образом, эта передача данных с сеансовым ключом помогает обеспечить конфиденциальность и целостность сообщения. Рукопожатия TLS инициируются, когда пользователь переходит к приложению или веб-сайту, использующему TLS, и представляет собой многоэтапный процесс. Это помогает в аутентификации сервера, создании сеансов для TLS-шифрования сообщений и устанавливает набор шифров для сеанса связи. Протоколы, использующие рукопожатия с асимметричным шифром, устанавливают лучшую связь с использованием симметричного шифра. При этом детали шифрования или сеансовые ключи будут использоваться с помощью криптографии с открытым ключом. После аутентификации и шифрования данных и подписи с кодом аутентификации сообщения получатель может пройти аутентификацию для обеспечения целостности данных. Если какие-либо шаги завершатся неудачно, рукопожатие не приведет к созданию соединения. 4. Слабые стороны сертификата TLS. Самая большая лазейка, существующая в цифровую эпоху, — это хакеры, злоумышленники и кибермошенники. Они также влияют на сертификат TLS. Некоторые из них упомянуты ниже: Отравление сертификата TLS Если компьютер подвергается атаке вредоносного программного обеспечения, безопасность сертификата TLS находится под угрозой. Это приведет к вставке корневого сертификата, что может привести к мошенническому ответу на запрос пользователя, выдаче себя за веб-сайт и получению доступа ко всем данным. Прямые атаки на центр сертификации Прямая атака на центр сертификации может привести к несанкционированному использованию ключей авторизации. Сертификаты, выданные по ошибке. Пользователи позволяют центру сертификации аутентифицировать сервер для установления соединения. Однако уязвимость возникает, когда хакеры используют сертификат. Это может привести к неправильному использованию сертификата и нарушению соединения на сервере. 5. Доверие к центрам сертификации. Установка ЦС состоит из инфраструктуры открытых ключей, состоящей из многих компонентов, таких как инфраструктура безопасности, системы аудита, практические инструкции, рамки политик, все из которых необходимы для обеспечения безопасности и надежности сертификата. Модель PKI работает на двух системах — корневых сертификатах и сертификатах сервера. Если корневой сертификат установлен в сертификате вашего устройства, браузер будет легко доверять ему. Точно так же каждое устройство имеет локальную коллекцию корневых сертификатов от доверенных ЦС. 6. Особые меры предосторожности от ProtonMail: Повышение безопасности и конфиденциальности было основной целью ProtonMail. Вот несколько дополнительных мер: Авторизация Центра сертификации DNS (CAA) Когда поступили экземпляры ошибочно выданных сертификатов, возникла потребность в DNS CAA для блокировки выдачи неверных сертификатов. Это помогает защититься от неправильного использования непредусмотренного сертификата. Прозрачность сертификатов Центры сертификации публикуют сертификаты на общедоступных серверах журналов для проверки достоверности и предотвращения неправильного использования.Закрепление сертификата TLS Это процесс связывания служб с их конкретным открытым ключом. Для проверки хотя бы один элемент из службы совпадает с элементами в наборе пинов. ЗАКЛЮЧЕНИЕ Благодаря усовершенствованию безопасности TLS сертификат постоянно обновляется новыми версиями, производительностью, подключением TLS и функциональностью. Было предпринято несколько попыток пересмотреть вопросы для решения проблем безопасности для защиты позиции от потенциальных слабых мест. Это помогает получить несколько преимуществ, таких как простота использования, развертывания, гибкость алгоритма, совместимость и многое другое. Итак, вы решили сделать карьеру в области кибербезопасности? Посетите наш мастер-сертификат по кибербезопасности (Red Team) для получения дополнительной помощи. Это первая программа по наступательным технологиям в Индии, которая позволяет учащимся практиковаться в смоделированной экосистеме в реальном времени, что даст им преимущество в этом конкурентном мире. ТАКЖЕ ЧИТАЙТЕ Что такое цифровая подпись? Руководство для начинающих в 5 простых пунктах
Читайте также: