Распределенный брандмауэр

Распределенный брандмауэр — это приложение безопасности на хост -машине сети, которое защищает серверы и пользовательские машины сетей своего предприятия от нежелательного вторжения. Брандмауэр — это система или группа систем ( маршрутизатор , прокси-сервер или шлюз ), которые реализуют набор правил безопасности для обеспечения контроля доступа между двумя сетями с целью защиты «внутренней» сети от «внешней» сети. Они фильтруют весь трафик независимо от его происхождения — Интернет или внутренняя сеть. Обычно развертываемые за традиционным брандмауэром, они обеспечивают второй уровень защиты. Преимущества распределенного брандмауэра позволяют определять правила безопасности ( политики ) и распространять их на уровне всего предприятия, что необходимо для крупных предприятий.

Распределенные брандмауэры часто являются приложениями режима ядра , которые находятся в нижней части стека OSI в операционной системе. Они фильтруют весь трафик независимо от его происхождения — Интернет или внутренняя сеть. Они рассматривают как Интернет, так и внутреннюю сеть как «недружественные». Они защищают отдельную машину так же, как брандмауэр периметра защищает всю сеть. Функция распределенного брандмауэра основана на трех понятиях:

• Язык политики, который определяет, какие типы подключений разрешены или запрещены,
• Любой из ряда инструментов управления системой, таких как SMS или ASD от Microsoft, а также
• IPSEC — механизм шифрования на сетевом уровне для интернет-протокола (TCP, UDP и т. д.)

Основная идея проста. Компилятор переводит язык политики в некий внутренний формат. Программное обеспечение управления системой распространяет этот файл политики на все хосты, защищенные брандмауэром. И входящие пакеты принимаются или отклоняются каждым «внутренним» хостом в соответствии как с политикой, так и с криптографически проверенной личностью каждого отправителя.

• Центральная система управления для разработки политик,
• Система передачи для передачи этих политик, и
• Реализация разработанных политик на стороне клиента.

Политика безопасности распределенных брандмауэров определяется централизованно, а реализация политики происходит на каждой конечной точке (хосты, маршрутизаторы и т. д.). Централизованное управление — это возможность заполнять серверы и машины конечных пользователей, настраивать и «выталкивать» согласованные политики безопасности, что помогает максимально эффективно использовать ограниченные ресурсы. Возможность собирать отчеты и поддерживать обновления централизованно делает распределенную безопасность практичной. Эта функция распределенных брандмауэров помогает двумя способами. Во-первых, можно защитить удаленные машины конечных пользователей. Во-вторых, они защищают критически важные серверы в сети, предотвращая вторжение вредоносного кода и «заключая в тюрьму» другой подобный код, не позволяя использовать защищенный сервер в качестве стартовой площадки для расширенных атак.

Распределение политики или правил безопасности может быть разным и зависит от реализации. Оно может быть либо напрямую передано конечным системам, либо извлечено при необходимости.

В технике pull хосты при загрузке уведомляют центральный сервер управления о необходимости проверить, запущен ли и активен ли центральный сервер управления. Он регистрируется на центральном сервере управления и запрашивает политики, которые он должен реализовать. Затем центральный сервер управления предоставляет хосту свои политики безопасности.

Метод push используется, когда политики обновляются на стороне центрального управления администратором сети, и хосты должны быть обновлены немедленно. Эта технология push гарантирует, что хосты всегда имеют обновленные политики в любое время. Язык политики определяет, какие входящие и исходящие соединения на любом компоненте домена сетевой политики разрешены, и может влиять на решения политики на любом уровне сети, отклоняют ли они или пропускают определенные пакеты или применяют политики на прикладном уровне стека OSI.

Обычные брандмауэры полагаются на контроль точек входа для функционирования или, точнее, полагаются на предположение, что все на одной стороне точки входа — брандмауэра — должны быть доверенными, и что любой на другой стороне, по крайней мере потенциально, является врагом. Распределенные брандмауэры работают, разрешая только необходимый трафик в машину, которую они защищают, запрещая другие типы трафика для предотвращения нежелательных вторжений. Политики безопасности, передаваемые с центрального сервера управления, также должны быть реализованы хостом. Часть распределенного брандмауэра на конце хоста не предоставляет никакого административного контроля для администратора сети, чтобы контролировать реализацию политик. Хост разрешает трафик на основе правил безопасности, которые он реализовал.

Сквозное шифрование представляет угрозу для обычных брандмауэров, поскольку брандмауэр обычно не имеет необходимых ключей для взлома шифрования. Распределенные брандмауэры используют метод реализации сквозного IPSEC . ^[1] IPSEC — это набор протоколов , недавно стандартизированный IETF , который предоставляет службы безопасности на сетевом уровне, такие как конфиденциальность пакетов, аутентификация, целостность данных, защита от повторного воспроизведения и автоматизированное управление ключами. Это артефакт развертывания брандмауэра: внутренний трафик, который не виден брандмауэру, не может быть отфильтрован; в результате внутренние пользователи могут организовывать атаки на других пользователей и сети без возможности вмешательства брандмауэра. Сегодня крупные сети, как правило, имеют большое количество точек входа. Кроме того, многие сайты используют внутренние брандмауэры для обеспечения некоторой формы разделения. Это делает администрирование особенно сложным как с практической точки зрения, так и с точки зрения согласованности политики, поскольку не существует единого и всеобъемлющего механизма управления. В сквозном IPSEC каждый входящий пакет связан с сертификатом ; доступ, предоставленный этому пакету, определяется правами, предоставленными этому сертификату. ^[1] Если имя сертификата отличается или если нет защиты IPSEC, пакет будет отброшен как неавторизованный. Учитывая, что права доступа в сильном распределенном брандмауэре привязаны к сертификатам, права доступа можно ограничить, изменив набор принятых сертификатов. Только хосты с более новыми сертификатами затем считаются «внутренними»; если изменение не установлено, у машины будет меньше привилегий. ^[1]

Распределенные брандмауэры могут защищать хосты, которые не находятся в пределах топологической границы. Пакеты управления системой используются для администрирования отдельных машин, поэтому администраторы безопасности определяют политику безопасности с точки зрения идентификаторов хостов, и политика может быть применена каждым отдельным хостом. Обычный брандмауэр может применять политику только к трафику, который проходит через него, поэтому трафик, которым обмениваются узлы в защищенной сети, не может контролироваться, что дает злоумышленнику, который уже является внутренним или может каким-то образом обойти брандмауэр и создать новую, несанкционированную точку входа в сеть без ведома и согласия администратора. Для обычных брандмауэров протоколы, такие как RealAudio, трудно обрабатывать, поскольку обычным брандмауэрам не хватает определенных знаний, которые легко доступны на конечных точках . ^[1] Из-за растущих скоростей линии и более интенсивных вычислений протоколов, которые должен поддерживать брандмауэр, традиционные брандмауэры, как правило, становятся точками перегрузки. Этот разрыв между скоростью обработки и работы сети, вероятно, увеличится, поскольку по мере того, как компьютеры (и, следовательно, брандмауэры) становятся быстрее, сочетание более сложных протоколов и колоссального увеличения объема данных, которые необходимо передать через брандмауэр, опережает и, вероятно, будет продолжать опережать закон Мура .

Распределенные брандмауэры отлично справляются с отклонением запросов на подключение для ненадлежащих служб. Обычно они отбрасывают такие запросы на хосте, но в качестве альтернативы они могут вместо этого отправить ответ с просьбой аутентифицировать соединение, что, в свою очередь, уведомляет о существовании хоста. В отличие от обычных брандмауэров, построенных на чистых пакетных фильтрах, которые не могут достаточно хорошо отклонять некоторые «скрытые сканирования» , распределенные брандмауэры будут повторно собирать пакеты от сканера портов, а затем отклонять их.

С этими атаками на хосте можно справиться с помощью распределенных брандмауэров с соответствующими правилами для отбрасывания пакетов изнутри домена сетевой политики. Распределенные брандмауэры могут использовать криптографические механизмы для предотвращения атак, основанных на поддельных исходных адресах , при условии, что доверенный репозиторий, содержащий все необходимые учетные данные, сам по себе не был скомпрометирован.

Структура и язык политики распределенного брандмауэра, которые позволяют принимать решения о политике на уровне приложений, могут обойти широкий спектр угроз, находящихся на уровне приложений и промежуточном уровне трафика связи. В сложных, ресурсоемких ситуациях, когда решения должны приниматься на основе кода, например Java , распределенные брандмауэры могут смягчать угрозы при условии, что содержимое таких пакетов связи может быть семантически интерпретировано механизмами проверки политики. Проверка пакетов с отслеживанием состояния легко адаптируется к этим требованиям и обеспечивает более тонкую детализацию при принятии решений. Реализация политики распределенных брандмауэров также не скомпрометирована, когда содержимое вредоносного кода полностью замаскировано с использованием виртуальных частных сетей и зашифрованного трафика связи к блоку скрининга на периметре сети, в отличие от обычных брандмауэров.

Распределенные брандмауэры могут обнаруживать попытки вторжения, но могут испытывать трудности со сбором зондов. Каждый отдельный хост в сети должен замечать зонды и пересылать их в некое центральное местоположение для обработки и корреляции. Первая проблема несложная; многие хосты уже регистрируют такие попытки. Сбор более проблематичен, особенно в периоды плохого подключения к центральному сайту. Существует также риск скоординированных атак, вызывающих атаку типа «отказ в обслуживании» на центральную машину.

Независимость распределенного брандмауэра от топологических ограничений поддерживает принудительное применение политик, независимо от того, являются ли хосты членами или аутсайдерами общего домена политики. Они основывают свои решения на механизмах аутентификации, которые не являются неотъемлемыми характеристиками сетевой структуры. Более того, компрометация конечной точки как законным пользователем, так и злоумышленником не ослабит общую сеть таким образом, чтобы это привело к непосредственному компрометированию других машин, учитывая тот факт, что развертывание виртуальных частных сетей предотвращает прослушивание трафика связи, в котором атакованная машина не участвует. Но что касается самой конечной точки, предположение о том, что машина была захвачена противником, должно привести к выводу, что сами механизмы принудительного применения политики могут быть сломаны. Установка бэкдоров на этой машине может быть выполнена довольно легко, если механизмы безопасности несовершенны, а при отсутствии периметрального брандмауэра нет доверенного субъекта, который мог бы предотвратить произвольный входящий или исходящий трафик скомпрометированного хоста. Кроме того, можно использовать инструменты, которые позволяют туннелировать связь другого приложения, и это невозможно предотвратить без надлежащего знания учетных данных для расшифровки; Более того, учитывая тот факт, что атака была проведена успешно, проверочные механизмы самой машины больше не могут быть надежными.

На первый взгляд, самая большая слабость распределенных брандмауэров заключается в их большей восприимчивости к отсутствию сотрудничества со стороны пользователей. Распределенные брандмауэры могут снизить угрозу реальных атак со стороны внутренних лиц, просто упрощая настройку небольших групп пользователей. Таким образом, можно ограничить доступ к файловому серверу только тем пользователям, которым он нужен, вместо того, чтобы предоставлять доступ кому-либо внутри компании. Также стоит приложить некоторые усилия для предотвращения случайного нарушения политик. Политики могут быть подписаны цифровой подписью и проверены часто меняющимся ключом в неудобном для замены месте. Для более строгой защиты принудительное применение политики может быть включено в защищенную от несанкционированного доступа сетевую карту.

1. Зонненрайх, Уэс и Том Йейтс, Создание межсетевых экранов Linux и OpenBSD, Сингапур: Addison Wiley
2. Цвикки, Д. Элизабет, Саймон Купер, Брент Д. Чепмен, Создание межсетевых экранов Интернета O'Reilly Publications
3. Strebe, Firewalls 24 Seven, BPB Publishers

1. Доктор Хэнкок, Билл «Хост-резидентные брандмауэры: защита серверов и настольных компьютеров Windows NT/2000 от сетевых атак»
2. Белловин, С.М. и У.Р. Чесвик, «Межсетевые экраны и безопасность Интернета: отпор коварным хакерам», Addison-Wesley, 1994.
3. Иоаннидис, С. и Керомитис, А.Д., Белловин, С.М. и Дж.М. Смит, «Внедрение распределенного межсетевого экрана», Труды по компьютерной и коммуникационной безопасности (CCS), стр. 190–199, ноябрь 2000 г., Афины, Греция.