Брандмауэр приложений
Брандмауэр приложений — это форма брандмауэра , которая контролирует ввод/вывод или системные вызовы приложения или службы. Он работает путем мониторинга и блокировки коммуникаций на основе настроенной политики, как правило, с предопределенными наборами правил на выбор. Две основные категории брандмауэров приложений — сетевые и хостовые .
История
Джин Спаффорд из Университета Пердью , Билл Чесвик из AT&T Laboratories и Маркус Ранум описали брандмауэр третьего поколения, известный как брандмауэр прикладного уровня. Работа Маркуса Ранума, основанная на брандмауэре, созданном Полом Викси , Брайаном Ридом и Джеффом Могулом, возглавила создание первого коммерческого продукта. Продукт был выпущен компанией DEC и назван Джеффом Маллиганом DEC SEAL — Secure External Access Link. Первая крупная продажа DEC состоялась 13 июня 1991 года компании Dupont.
В рамках более широкого контракта DARPA в TIS Маркус Ранум, Вэй Сюй и Питер Черчярд разработали Firewall Toolkit (FWTK) и сделали его свободно доступным по лицензии в октябре 1993 года. [1] Целями выпуска свободно доступного, не для коммерческого использования, FWTK были: продемонстрировать с помощью программного обеспечения, документации и используемых методов, как компания с (на тот момент) 11-летним опытом в формальных методах безопасности и отдельные лица с опытом в области межсетевых экранов разрабатывали программное обеспечение межсетевых экранов; создать общую базу очень хорошего программного обеспечения межсетевых экранов для других, чтобы они могли его дорабатывать (чтобы людям не приходилось продолжать «разворачивать свое собственное» с нуля); «поднять планку» используемого программного обеспечения межсетевых экранов. Однако FWTK был базовым прокси-приложением, требующим взаимодействия с пользователем.
В 1994 году Вэй Сюй расширил FWTK с помощью улучшения ядра IP stateful filter и socket transparent. Это был первый прозрачный брандмауэр, известный как начало брандмауэра третьего поколения , помимо традиционного прокси-сервера приложений ( брандмауэр второго поколения ), выпущенный как коммерческий продукт, известный как брандмауэр Gauntlet. Брандмауэр Gauntlet был оценен как один из лучших брандмауэров приложений с 1995 по 1998 год, год, когда он был приобретен Network Associates Inc, (NAI). Network Associates продолжала утверждать, что Gauntlet был «самым безопасным брандмауэром в мире», но в мае 2000 года исследователь безопасности Джим Стикли обнаружил большую уязвимость в брандмауэре, позволяя удаленный доступ к операционной системе и обход контроля безопасности. [2] Стикли обнаружил вторую уязвимость годом позже, фактически положив конец доминированию брандмауэров Gauntlet в области безопасности. [3]
Описание
Фильтрация на уровне приложений работает на более высоком уровне, чем традиционные устройства безопасности. Это позволяет принимать решения о пакетах на основе не только IP-адреса источника/назначения или портов, но и может использовать информацию, охватывающую несколько соединений для любого заданного хоста.
Сетевые межсетевые экраны приложений
Сетевые межсетевые экраны приложений работают на прикладном уровне стека TCP/IP [4] и могут понимать определенные приложения и протоколы, такие как протокол передачи файлов (FTP), система доменных имен (DNS) или протокол передачи гипертекста (HTTP). Это позволяет им идентифицировать нежелательные приложения или службы, использующие нестандартный порт, или обнаруживать, злоупотребляют ли разрешенным протоколом. [5]
Современные версии сетевых брандмауэров приложений могут включать в себя следующие технологии:
Брандмауэры веб-приложений (WAF) представляют собой специализированную версию сетевого устройства, которое действует как обратный прокси-сервер , проверяя трафик перед его пересылкой на связанный сервер.
Хостовые межсетевые экраны приложений
Хост-ориентированный брандмауэр приложений отслеживает системные вызовы приложений или другие общие системные коммуникации. Это обеспечивает большую детализацию и контроль, но ограничивается только защитой хоста, на котором он запущен. Контроль применяется путем фильтрации на основе процесса. Обычно запросы используются для определения правил для процессов, которые еще не получили соединение. Дальнейшая фильтрация может быть выполнена путем проверки идентификатора процесса владельца пакетов данных. Многие хост-ориентированные брандмауэры приложений объединены или используются вместе с пакетным фильтром. [6]
Из-за технологических ограничений современные решения, такие как «песочница», используются в качестве замены хостовых брандмауэров приложений для защиты системных процессов. [7]
Реализации
Существуют различные прикладные брандмауэры, включая как бесплатное программное обеспечение с открытым исходным кодом, так и коммерческие продукты.
Mac OS X
Начиная с Mac OS X Leopard, была включена реализация инфраструктуры TrustedBSD MAC (взятой из FreeBSD). [8] Инфраструктура TrustedBSD MAC используется для изоляции служб и обеспечивает уровень брандмауэра, учитывая конфигурацию служб общего доступа в Mac OS X Leopard и Snow Leopard. Сторонние приложения могут предоставлять расширенную функциональность, включая фильтрацию исходящих соединений по приложению.
линукс
Это список пакетов программного обеспечения безопасности для Linux, позволяющих фильтровать взаимодействие приложений с ОС, возможно, на уровне отдельных пользователей:
- AppArmor
- Kerio Control — коммерческий продукт
- ModSecurity - также работает под Windows, Mac OS X, Solaris и другими версиями Unix . ModSecurity предназначен для работы с веб-серверами IIS, Apache2 и NGINX.
- Portmaster by Safeng — приложение для мониторинга активности. Оно также доступно на Windows . [9]
- Systrace
- Зорп
Окна
- Начальник порта
Сетевые устройства
Эти устройства могут продаваться как аппаратное обеспечение, программное обеспечение или виртуализированные сетевые устройства.
Межсетевые экраны следующего поколения:
- Защита от угроз Cisco Firepower
- Контрольно-пропускной пункт
- Серия Fortinet FortiGate
- Серия Juniper Networks SRX
- Сети Пало-Альто
- Серия SonicWALL TZ/NSA/SuperMassive
Брандмауэры/балансировщики нагрузки веб-приложений:
- Межсетевой экран веб-приложений A10 Networks
- Межсетевой экран/балансировщик нагрузки веб-приложений Barracuda Networks ADC
- Citrix NetScaler
- Менеджер безопасности приложений BIG-IP от F5 Networks
- Серия Fortinet FortiWeb
- Технологии КЕМП
- Имперва
Другие:
- CloudFlare
- Мераки
- Гладкая стена
- Snapt Inc
Смотрите также
Ссылки
- ^ "Firewall toolkit V1.0 release" . Получено 28.12.2018 .
- ^ Кевин Пульсен (22 мая 2000 г.). «В брандмауэре NAI обнаружена дыра в безопасности». securityfocus.com . Получено 14 августа 2018 г.
- ↑ Кевин Пульсен (5 сентября 2001 г.). «Зияющая дыра в брандмауэре Gauntlet от NAI». theregister.co.uk . Получено 14 августа 2018 г.
- ^ Луис Ф. Медина (2003). Серия «Слабое звено безопасности» (1-е изд.). IUniverse. стр. 54. ISBN 978-0-595-26494-0.
- ^ "Что такое уровень 7? Как работает уровень 7 Интернета". Cloudflare . Получено 29 августа 2020 г.
- ^ "Программные брандмауэры: сделаны из соломы? Часть 1 из 2". Symantec.com . Сообщество Symantec Connect. 2010-06-29 . Получено 2013-09-05 .
- ^ "Что такое песочница (тестирование и безопасность программного обеспечения)? - Определение с WhatIs.com". SearchSecurity . Получено 2020-11-15 .
- ^ "Обязательный контроль доступа (MAC) Framework". TrustedBSD . Получено 2013-09-05 .
- ^ "Safing Portmaster". safing.io . Получено 2021-11-04 .
Внешние ссылки
- Брандмауэр веб-приложений, Открытый проект безопасности веб-приложений
- Критерии оценки брандмауэра веб-приложений от Консорциума безопасности веб-приложений
- Безопасность в облаке(ях): «Испарение» брандмауэра веб-приложений для обеспечения безопасности облачных вычислений
