НОУ ІНТУІТ, Лекція, Використання фаєрволів

Мета лекції:надати читачеві знання про фаєрволли.

Якщо розглядати фаєрвол як частина антивірусного захисту (захисного комплексу в цілому) то можна сказати, що це програмний або апаратний комплекс для розмежування доступу до локальної або глобальної мережі. Необхідність у фаєрволах виникла тоді, коли стало зрозуміло, що використання лише антивірусних програм не може здійснити повний захист від усіх шкідливих програм. Необхідний ще один програмний засіб, який допомагатиме антивірусу у зупинці шкідливих програм. Цей програмний засіб отримав назву фаєрвол, або міжмережевий екран, або брандмауер.

Історія фаєрволів

Механізм роботи фаєрволу

Виходячи з визначення фаєрволла, зрозуміло лише в загальних рисах, які саме функції у фаєрволла і який у нього принцип роботи. Функції фаєрволла можна зрозуміти за допомогою кількох прикладів. Наприклад, вірус проникає в комп'ютер користувача, але щоб зробити процес крадіжки персональних даних, вірусу необхідно передати їх на комп'ютер зловмисника. У цьому випадку фаєрвол заблокує сам процес передачі інформації на комп'ютер зловмисника. Схематично це можна зобразити так:

фаєрволів

З малюнка видно, що саме в цьому випадку робить фаєрвол. Вірус хоче передати дані на комп'ютер зловмисника, а фаєрвол блокує передачу даних. При цьому він лише не дає вірусу відправити дані, ніяких дій із самим вірусом файерволл не робить. Іншим прикладом роботи фаєрвола може бути приклад, коли вірус з комп'ютера зловмисника намагається потрапити на комп'ютер користувача, намагаючись "розчинитися" в Інтернет-трафіку. У цьому випадку фаєрвол буде виступати захистомвід проникнення вірусу на комп'ютер користувача Схематично це можна зобразити так:

З малюнка видно, що вірус намагається проникнути в операційну систему користувача через потік Інтернет-трафіку. При цьому фаєрвол заважає вірусу і блокує його проникнення. Проактивний захист антивірусу на малюнку показано для наочності, щоб читачеві було ясно, що спочатку фаєрвол перешкоджає проникненню вірусу, а тільки потім, якщо фаєрвол з якихось причин пропустить вірус, то за роботу візьметься проактивний захист комп'ютера.

Ще одним прикладом роботи фаєрвола може бути приклад, коли вірус намагається обмінятися даними по мережі з іншим вірусом по локальній мережі (наприклад, для координації подальших дій). У цьому випадку фаєрвол не дасть вірусу обмінятися даними з іншим вірусом. Схематично це можна зобразити так:

фаєрволів

З малюнка видно, що вірус намагається обмінятись даними з іншим вірусом на іншому комп'ютері за допомогою використання локальної мережі, а фаєрвол перешкоджає цьому і не дає обмінятися даними між вірусами. У розширеній версії цієї схеми фаєрвол може повідомити про подібну передачу даних адміністратору локальної мережі. Усі попередні приклади були прикладами роботи персональних фаєрволів (Персональний фаєрволл – це програма, яка встановлюється безпосередньо на комп'ютер звичайного користувача.). Крім персональних фаєрволів, існують корпоративні фаєрволли (Корпоративний фаєрволл встановлюються на шлюз між локальною мережею та Інтернетом (або на шлюз між двома підмережами)). Схематично корпоративний фаєрвол можна відобразити наступним чином:

інтуіт

На малюнку представлений корпоративний фаєрвол, який розділяє дві локальні мережі.(Одна мережа складається з комп'ютерів №1, №2, №3, а друга з комп'ютерів №4, №5, №6). При цьому фаєрволл регулює передачу мережних пакетів саме між цими двома мережами. Такий фаєрвол може бути апаратним фаєрволом, або центральним фаєрволом, який встановлений на комп'ютері мережного адміністратора . Усередині мережі корпоративний фаєрвол не регулює передачу мережевих пакетів (тобто передача між комп'ютером №1 і комп'ютером №2 не регулюється корпоративним фаєрволом). Інший приклад корпоративного фаєрволу представлений на малюнку нижче:

фаєрволів

На малюнку представлений ще один приклад корпоративного фаєрволу, який поділяє собою локальну мережу підприємства між глобальною мережею Інтернет. У цьому випадку, так само як і в минулому, корпоративний фаєрвол не регулює передачу мережевих пакетів усередині корпоративної мережі. Такий фаєрвол також може бути апаратним фаєрволом, або центральним фаєрволом, який встановлений на комп'ютері мережного адміністратора .

З недавнього часу виробники фаєрволів у свої продукти стали вбудовувати додатковий захист, який є якоюсь варіацією резидентного щита у антивірусу. Цей додатковий щит фаєрвола служить однієї мети – забезпечити додатковий захист комп'ютера від шкідливих програм. Схематично сукупність всіх основних захистів операційної системи можна навести на малюнку нижче:

З малюнка можна побачити, що вірусу, щоб проникнути в операційну систему, необхідно подолати основний захист фаєрволу, резидентний захист фаєрволу, а потім ще й резидентний захист антивірусу. Резидентний захист фаєрволла тут відіграє серйозні функції та допомагає додати ще одну стадію фільтрації від небажаних програм. Причому, у подібних захистів з недавньогочасу з'являється цікава функція - запуск програми в "пісочниці" (Sandbox). Така "пісочниця" надає своєрідне ізольоване місце (на кшталт карантину), в якому можна запускати програму, не побоюючись, що вона внесе будь-які зміни до операційної системи. Пісочниця є безпечним місцем, де можна запускати програми. Схематично роботу пісочниці можна зобразити так:

інтуіт

Крім цього, фаєрвол також стежить за діяльністю відкритих портів комп'ютера і в разі потреби може заблокувати їх. Така потреба може бути викликана незапланованим доступом ззовні до комп'ютера користувача. Часто буває і так, що шкідлива програма може спробувати передати свої файли через якийсь порт, який рідко використовується комп'ютером. У цьому випадку порт також буде заблоковано, а причину, через яку пройшло блокування, буде ретельно розглянуто. Також за допомогою керування портами комп'ютера фаєрвол може задати глобальні правила, які будуть впливати на видимість комп'ютера в мережі. Це досить ефективна практика захисту від зловмисників, оскільки якщо зловмисник не бачитиме всі відкриті порти комп'ютера, то йому буде важче проводити свою атаку на комп'ютер користувача. Втім, зловмисники всіляко намагаються оминути подібні хитрощі з боку творців фаєрволів, а також намагатися писати свої шкідливі програми так, щоб вони могли знищити сам фаєрволл. На захист від цього у фаєрволли стали вбудовувати "протектори", схожі з тими "протекторами", які є у антивірусів. Такий захист намагається забезпечити фаєрволлу недоторканність із боку зовнішнього втручання. Так само як і в антивірусів, ці "протектори" не завжди бувають досить гарними, щобвідбивати атаки різних вірусів. Так як програмний фаєрвол є, здебільшого, вразливий до таких же програмних засобів (віруси є програмним засобом атаки комп'ютера), то стали розроблятися спеціальні апаратні фаєрволли. Апаратний фаєрвол є аналогом програмного фаєрвол, але на відміну від програмного фаєрвол, апаратний фаєрвол "вшитий" в прошивку будь-якого апаратного мережевого пристрою, наприклад, маршрутизатора. Схематично робота такого фаєрволла представлена ​​на малюнку нижче (хоча більшою мірою нижче представлений пристрій є програмно-апаратним фаєрволом):

інтуіт

З цієї схеми можна побачити, як саме працює апаратний фаєрвол, який встановлений в прошивку маршрутизатора. У цьому випадку дані мережі Інтернет проходять через маршрутизатор, зокрема через прошивку. Далі відбувається обмін даними між прошивкою маршрутизатора і фаєрволом (маршрутизатор відправляє всі дані мережі Інтернет фаєрволу). Файерволл аналізує трафік, і якщо Інтернет-трафік "чистий", він надходить користувачеві в операційну систему. Якщо ж Інтернет-трафік виявляється шкідливим, то він блокується фаєрволом і, отже, не потрапляє в операційну систему користувача. Апаратні фаєрволли забезпечують більшу надійність самому фаєрволлу, оскільки очевидно, що не кожна шкідлива програма зможе атакувати прошивку модему і відповідно фаєрвол, який там знаходиться. Мінуси в такому апаратному фаєрволлі пов'язані в основному з оновленням самого фаєрволу, оскільки він оновлюється разом з прошивкою, а виробники не можуть забезпечувати новими прошивками користувача дуже часто. До того ж збої в такому фаєрволлі досить важко виправні, тому що при цьому виникаєнеобхідність повністю змінювати прошивку маршрутизатора. Також існують апаратні фаєрволли, які в буквальному значенні поставляються окремою фізичною деталлю (на відміну від попереднього прикладу, це вже чистокровний апаратний фаєрвол). Такі фаєрволли поставляються у вигляді окремого технічного засобу, через який безпосередньо проходить весь трафік мережі Інтернет. Апаратні фаєрволли класично вважаються більш надійним засобом, ніж його програмні аналоги, але при цьому вони коштують набагато більше грошей, а налаштування та оновлення такого фаєрволу набагато складніше. Тому апаратні фаєрволли встановлюються в основному в підприємствах для захисту корпоративних мереж від зловмисників. У цьому випадку апаратним фаєрволом займається спеціальна людина - адміністратор мережі.

Існує два основних способи створення наборів правил фаєрвола: ''включає'' і ''виключає''. "Виключаючий" фаєрволл дозволяє проходження всього трафіку, за винятком трафіку, що відповідає набору правил. "Включає" фаєрволл діє прямо протилежним чином. Він пропускає лише трафік, що відповідає правилам, та блокує все інше. "Файрволли, що включають", зазвичай більш безпечні, ніж "виключають", оскільки вони істотно зменшують ризик пропуску міжмережевим екраном небажаного трафіку. Безпека може бути додатково підвищена з використанням "файєрволла зі збереженням стану". Такий фаєрвол зберігає інформацію про відкриті з'єднання і дозволяє лише трафік через відкриті з'єднання або відкриття нових з'єднань. Недолік "файєрволла зі збереженням стану" в тому, що він може бути вразливим для атак DoS (Denial of Service, відмова в обслуговуванні), якщо безліч нових з'єднань відкривається дуже швидко. Більшістьміжмережевих екранів дозволяють комбінувати поведінку із збереженням стану та без збереження стану, що оптимально для реальних застосувань.