Лекція № 9

Тема лекції:
УПРАВЛІННЯ ПОТОКАМИ ІНФОРМАЦІЇ
План лекції
1. ЗАГАЛЬНІ РИСИ БРАНДМАУЕРІВ
2. ТИПИ МЕРЕЖЕВОГО БРАНДМАУЕРА
3. ПРИКЛАДИ РЕАЛІЗАЦІЇ БРАНДМАУЕРІВ
Література
1. CSX Cybersecurity Fundamentals Study Guide, 2nd Edition**eBook**
(повна назва джерела із зазначенням розділів та сторінок))
2. ________________________________________________________
__________________________________________________________
3. ________________________________________________________
__________________________________________________________

Зміст лекції

1.

Наочні посібники

(Інфокус, полілюкс, слайди, схеми, макети тощо).

Завдання на самостійну роботу

1_________________________________________________________
_________________________________________________________
2. ________________________________________________________
__________________________________________________________
Посада, науковий ступінь, вчене звання,
підпис
__________________
(ініціали, прізвище)
 ТЕМА 4 УПРАВЛІННЯ ПОТОКАМИ ІНФОРМАЦІЇ
Відкритість Інтернету робить кожну корпоративну мережу, підключеній до неї,
уразливою для атаки. Хакери в Інтернеті можуть потрапити у корпоративну мережу і завдати
шкоди рядом способів – шляхом викрадення або пошкодження важливих даних,
пошкодження окремих комп'ютерів або всієї мережі, за рахунок використання ресурсів
корпоративного комп'ютера або використання корпоративної мережі та ресурсів для
вдавання себе за корпоративного співробітника. Міжмережеві екрани створені в якості
одного з засобів захисту периметра мереж.
Брандмауер визначається як система або комбінація систем, що забезпечує дотримання
кордону між двома або більше мережами, як правило, утворюючи бар'єр між безпечним і
відкритим середовищами, такий як Інтернет. Він застосовує правила, що регулюють тип
мережевого трафіку, який входить і виходить. Більшість комерційних брандмауерів
побудовані для обробки часто використовуваних інтернет - протоколів.
Ефективні брандмауери повинні дозволяти особам корпоративної мережі отримувати
доступ до Інтернету та одночасно запобігати доступу інших користувачів Інтернету до
корпоративної мережі для заподіяння шкоди. Більшість організацій слідувати філософії
«заперечувати все», що означає, що доступ до даного ресурсу буде відсутній, якщо
користувач не може надати конкретну бізнес-причину або необхідність доступу до
інформаційного ресурсу. Зворотна сторона цієї філософії доступу – яка не є широко
прийнятої - це філософія все доступності, згідно якої кожен має дозвіл на доступ, якщо хтось
не може надати арументи для заборони доступу.

ЗАГАЛЬНІ РИСИ БРАНДМАУЕРІВ

Брандмауэри відокремлюють мережі один від одної і фільтрують трафік між мини. Див.
Малюнок 3.7.

Поряд з іншими видами безпеки (наприклад, системами виявлення вторгнень

[IDS]/системами захисту від вторгнення [IPS]) міжмережеві екрани контролюють найбільш
уразливі точки між корпоративною мережею та Інтернетом, і вони можуть бути настільки ж
простими або складними, як вимоги політики безпеки корпоративної інформації.
Існує багато різних типів міжмережевих екранів, але більшість з них дозволяють
організаціям:
• Блокувати доступ до певних сайтів в Інтернеті.
• Обмежувати трафік у сегменті публічних послуг організації до відповідних адрес та
портів.
• Заборона певним користувачам доступу до певних серверів або служб.
• Моніторинг та запис комунікацій між внутрішньою та зовнішньою мережами для
вивчення проникнення до мережі або виявлення внутрішньої диверсії.
• Шифрувати пакети, які передаються між різними фізичними місцями розташування
всередині організації шляхом створення VPN через Інтернет (наприклад, [IPSec], захищені
тунелі VPN).
 Можливості деяких брандмауерів можуть бути розширені таким чином, вони можуть
також забезпечувати захист від вірусів і атак, спрямованих на використання відомих
вразливостей операційної системи.

ТИПИ МЕРЕЖЕВОГО БРАНДМАУЕРА

Як правило, типи мережевих брандмауерів, доступних сьогодні, поділяються на такі
категорії:
• Пакетна фільтрація
• Брандмауер додатків
• Перевірка стану функціонування
• Брандмауер наступного покоління (NGFW)
Кожен тип брандмауера обговорюється в наступних розділах. Короткий виклад
забезпечується на малюнку 3.8.

Брандмауери фільтрації пакетів

Брандмауери першого покоління - брандмауери, що базуються на фільтрації пакетів,
розгорнуті між приватною мережею та Інтернетом. У фільтрі пакетів серійний
маршрутизатор аналізує заголовок кожного пакета даних, що переміщуються між Інтернетом
та корпоративною мережею. Пакетні заголовки містять інформацію, включаючи IP-адресу
відправника та одержувача, поряд з номерами портів (додатком або послугою),
уповноваженими використовувати передану інформацію. Грунтуючись на цій інформації,
маршрутизатор знає, які Інтернет служби (наприклад, протокол веб-служби або File Transfer
[FTP]) використовуються для передачі даних, а також ідентифікаційні дані відправника та
одержувача даних. Потім, маршрутизатор може запобігти відправки деяких пакетів між
Інтернетом і корпоративною мережею. Наприклад, маршрутизатор може блокувати будь-
який трафік до та з підозрілих напрямків. Див. Малюнок 3.9.
 Так як прямий обмін пакетів визначається між зовнішніми системами і всередині
систем, потенціал для атаки оцінюється загальним числом хостів і послуг, до яких
маршрутизатор з фільтрацією пакетів дозволяє трафік. Таким чином, брандмауери для
фільтрування пакетів найкраще підходять для невеликих мереж. Організації з багатьма
маршрутизаторами можуть зіткнутися з труднощами при проектуванні, кодуванні та
підтримці бази правил.
Оскільки правила фільтрування виконуються на мережевому рівні, фільтри для пакетів
часто стабільні та прості у використанні. Ця простота має як переваги, так і недоліки, як
показано на малюнку 3.10.

У світлі цих переваг і недоліків, фільтрація пакетів є найбільш ефективною, коли

здійснюється разом із базовою безпекою і моніторингом.
Деякі з найбільш поширених нападів на Брандмауери фільтрації пакетів:
• IP - спуфинг - У цьому типі атаки, зловмисник фальсифікує IP - адресу або
внутрішній хост мережі або довірений хост мережі. Це дозволяє пакету що надсилається
перетнути базу правил брандмауера і проникнути до периметра системи. Якщо спуфинг
використовує внутрішню IP - адресу, брандмауер може бути налаштований, щоб відкинути
цей пакет на основі аналізу пакетів напрямку потоку. Тим не менше, зловмисники, які мають
доступ до безпечної або довірливої зовнішньої IP-адреси, можуть сфабрикувати цю адресу,
залишаючи архітектуру брандмауера беззахисною.
• Специфікації джерела маршрутизації - Цей тип атаки зосереджений навколо
маршрутизації, що пакет IP повинен прийняти, коли він проходить через Інтернет від
вихідного вузла до вузла призначення. У цьому процесі можна визначити маршрут таким
чином, щоб він обходив брандмауер. Проте злочинцю необхідно знати IP-адресу, маску
підмережі та параметри шлюзу за замовчуванням, щоб виконати атаку. Чіткий захист від цієї
атаки - це вивчити кожен пакет та фільтрувати пакети, у яких включена специфікація
джерела маршрутизації.
• Атака мініатюрна фрагментація - З допомогою цього методу, зловмисник розбиває
пакет IP на більш дрібні і проводить його через брандмауер. Це робиться в надії на те, що
буде розглядатися тільки перша послідовність фрагментованих пакетів, дозволяючи іншим
пройти без розгляду. Це можливо лише в тому випадку, якщо за промовчанням встановлено
пропуск залишкових пакетів. Атака мініатюрна фрагментація можна запобігти шляхом
налаштування брандмауера, на видалення всіх пакетів, де включена функція фрагментації IP.

БРАНДМАУЕР ДОДАТКІВ
Маршрутизатори пакетної фільтрації дозволяють здійснювати прямий потік пакетів
між внутрішніми та зовнішніми системами. Первинний ризик надання можливості пакетного
обміну між внутрішніми та зовнішніми системами полягає в тому, що хост-додатки, що
знаходяться в системах захищеної мережі, повинні бути захищені від будь-якої загрози, яку
створюють дозволені пакети.
На відміну від маршрутизаторів фільтрування пакетів, шлюзи на рівні програми та
шлюзів дозволяють передавати інформацію між системами, але не дозволяють здійснювати
прямий обмін пакетами. Тому брандмауер системи додатків забезпечує більші можливості
захисту, ніж маршрутизатори фільтрування пакетів.
Два типи систем брандмауера жорстко приєднані до (тобто щільно захищені)
операційних систем, таких як Windows® та UNIX®. Вони працюють на рівні додатків моделі
OSI.
 Два типи систем брандмауера додатків:
• Шлюзи прикладного рівня. Шлюзи прикладного рівня - це системи, які аналізують
пакети через набір проксі-серверів - по одному для кожної послуги (наприклад, проксі-
сервер для протоколу передачі гіпертексту [HTTP] для веб-трафіку, проксі-сервер FTP).
Реалізація декількох проксі - серверів, проте, впливає на продуктивність мережі. Коли
проблема роботи мережі є проблемою, Шлюзи сеансового рівня можуть бути кращим
вибором.
• Шлюзи сеансового рівня - Комерційно, шлюзи сеансового рівня досить рідкісні.
Оскільки вони використовують один проксі - сервер для всіх служб, вони є більш
ефективними. Там сеанси TCP та UDP перевіряються, як правило, через єдиний проксі-
сервер загального користування, перш ніж відкривати з'єднання. Такий підхід відрізняється
від Шлюзів прикладного рівня, для яких потрібен спеціальний проксі-сервер для кожної
служби на рівні додатків.
Обидві системи брандмауера додатків використовує концепцію бастіону хостингу в
тому, що вони обробляють всі вхідні запити з Інтернету до корпоративної мережі, такі як
FTP або веб-запити. Бастіон-хости сильно укріплені від нападу. Коли тільки один хост
обробляє вхідні запити, простіше підтримувати безпеку та відслідковувати атаки. У разі
вторгнення, буде скомпрометовано тільки брандмауер, а не всю мережу.
Таким чином, жоден з комп'ютерів в корпоративній мережі не можна з’єднати
безпосередньо для запитів з Інтернету, забезпечуючи ефективний рівень безпеки.
Окрім того, брандмауер додатків налаштовується як проксі-сервер для роботи від імені
когось у приватній мережі організації. Замість того, щоб покладатися на загальний
інструмент фільтрації пакетів для управління потоком Інтернет - послуг через міжмережевий
екран, код спеціального призначення називається проксі - сервер включений в систему
брандмауера. Наприклад, коли хтось - то всередині корпоративної мережі хоче отримати
доступ до сервера в Інтернеті, запит від комп'ютера передається на проксі - сервер. Проксі-
сервер звертається до Інтернет-сервера, а проксі-сервер потім надсилає інформацію з
Інтернет-сервера на комп'ютер усередині корпоративної мережі. Діючи як проміжний,
проксі-сервери можуть підтримувати безпеку, вивчаючи програмний код даної послуги
(наприклад, FTP, Telnet). Потім він змінює і забезпечує його усунути відомі уразливості.
Проксі-сервер також може записувати весь трафік між Інтернетом та мережею.
Однією з функцій, доступних для обох типів систем брандмауера, є можливість
передачі мережевої адреси (NAT). Ця можливість бере приватні внутрішні мережеві адреси,
які непридатні в Інтернеті, і відображає їх в таблицю публічних IP - адрес, призначених для
організації, які можуть бути використані в мережі Інтернет.
Брандмауери додатків мають переваги та недоліки, як показано на малюнку 3.11.

Брандмауери з перевіркою стану

Брандмауери з перевіркою стану, званий також брандмауер динамічної фільтрації
пакетів, відстежує IP - адреса призначення кожного пакету, який залишає внутрішню мережу
організації. Щоразу, коли отримується відповідь на пакет, його запис посилається на
перевірку того, чи вхідне повідомлення було зроблено у відповідь на запит, який
відправляється організацією. Це робиться шляхом картографування вихідної IP-адреси
вхідного пакета із списком IP-адрес призначення, які підтримуються та оновлюються. Цей
підхід забороняє будь-яку атаку, ініційовану та започатковану ззовні.
 На відміну від брандмауерів додатків, Брандмауери з перевіркою стану забезпечують
контроль над потоком трафіку IP. Вони роблять це шляхом узгодження інформації, що
міститься в заголовках IP-пакетів, що підключаються або не пов'язані, на транспортному
рівні, до певних правил, дозволених організацією. Отже, у них є переваги та недоліки, як
показано на малюнку 3.12.

Брандмауери з перевіркою стану та без перевірки стану

Брандмауери без перевірки стану не зберігає стан сеансів зв'язку дійсних TCP з’єднань.
Іншими словами, він не має ніякої пам'яті про номер джерела порту обраного клієнтом сесії.
Брандмауери з перевіркою стану відстежують TCP з'єднання. Брандмауер зберігає запис у
кеші для кожного відкритого TCP-з'єднання. Брандмауери без перевірки стану працюють
швидше, ніж Брандмауери з перевіркою стану, але вони не такі витонченні.
Так як трафік UDP є особою без громадянства, додатки, які вимагають UDP для роботи
з Інтернет в корпоративній мережі слід використовувати з обережністю і/або альтернативні
засоби управління реалізовані (наприклад, мережеве поділ або використання додатків
файерволов, NGFWs і додатків-Aware IDS/IPS) .
ПРИКЛАДИ РЕАЛІЗАЦІЇ БРАНДМАУЕРІВ
Впровадження брандмауера може використовувати функціональність, доступну в
різних проектах брандмауера, для забезпечення надійного багаторівневого підходу до
захисту інформаційних ресурсів організації. Зазвичай використовуються реалізації, доступні
сьогодні, включають:
• Брандмауер Screened-host - Використовуючи маршрутизатор фільтрування пакетів та
хост бастіону, цей підхід реалізує базову безпеку мережевого рівня (фільтрування пакетів) та
безпеку серверів додатків (проксі-сервіси). Зловмисник в цій конфігурації повинні проникати
дві окремі системи, перш ніж безпека приватної мережі може бути поставлена під загрозу.
Ця система настройка брандмауера з бастіоном хостом, підключений до приватної мережі з
пакетною фільтрацією маршрутизатором між Інтернетом і бастіоном хостом. Правила
фільтрації маршрутизатора дозволяють вхідному трафіку отримати доступ лише до базового
хоста, який блокує доступ до внутрішніх систем. Оскільки внутрішні хости знаходяться на
одній і тій же мережі, що й бастіон хост, політика безпеки організації визначає, знаходиться
чи всередині системи дозволяється прямий доступ до Інтернету, або вони зобов'язані
використовувати проксі - сервіси на бастіон хості.
• Подвійний міжмережевий екран підключенням - Це система брандмауера, який має
два або більше мережевих інтерфейсів, кожен з яких підключений до іншої мережі.
Двійчастий брандмауер зазвичай діє на блокування або фільтрування деяких або всіх
трафіку, який намагається пройти між мережами. Система подвійного підключення
брандмауера є більш обмежувальної формою брандмауер скринінгу-господаря, в якому
подвійне підключенні хост - бастіону налаштований з одним інтерфейсом, встановленими
для інформаційних серверів, а інші для комп'ютерів хоста приватної мережі.
• Демілітаризована зона (DMZ) або брандмауер скринінгу-підмережа - Як показаний на
малюнку 3.13, це невелика, ізольована мережу для публічних серверів організації,
інформаційних серверів вузлів- бастіонів і модемних пулів. DMZ з'єднує ненадійну мережу з
надійною мережею, але вона існує у власному просторі, щоб обмежити доступ та
доступність ресурсів. В результаті, зовнішні системи можуть отримати доступ лише до
бастіонного хоста і, можливо, інформаційних серверів в DMZ. Внутрішній маршрутизатор
керує доступом до приватної мережі, приймаючи лише трафік, що надходить від хоста
бастіону. Правила фільтрації зовнішнього маршрутизатора вимагають використання проксі-
сервісів, приймаючи лише вихідний трафік на хост бастіону. Основні переваги цієї системи є
те, що порушник повинен проникнути три окремі пристрої, приватні мережеві адреси не
розкриваються в Інтернет і внутрішні системи не мають прямого доступу до мережі Інтернет.

питання брандмауера
Проблеми, з якими стикаються організації, які реалізували брандмауери, включають
наступне:
• Помилка конфігурації - Невірно сконфігуровані брандмауери можуть дозволити
невідомі і небезпечні послуги, щоб пройти через вільно.
• вимоги моніторингу - Необхідно застосовувати і параметри журналу огляду
належним чином, але діяльність по моніторингу не завжди може відбуватися на регулярній
основі.
• Політика обслуговування - Firewall політика не може регулярно підтримуватися.
• Вразливість до APPLICATION- і введення-атак - Більшість брандмауерів
працюють на мережному рівні; отже, вони не припиняють будь-які атаки на основі додатків
або на основі вхідних даних, наприклад, атаки SQL injection та buffer-overflow. Брандмауери
нового покоління здатні перевіряти трафік на рівні додатків та припинити деякі з цих атак.
платформи брандмауера
Брандмауэри можуть бути реалізовані за допомогою апаратного, програмного чи
віртуального платформ. Впровадження устаткування забезпечить продуктивність з
мінімальними накладними витратами системи. Хоча апаратні брандмауерні платформи
швидше, вони не настільки гнучкі та масштабовані, як програмні межсетеві екрани.
Брандмауерами на базі програмного забезпечення, як правило, повільніше, при значних
системних накладних витратах. Однак вони гнучкі з додатковими послугами; наприклад,
вони можуть включати в себе зміст і вірусну перевірку, перш ніж трафікпередається
користувачам.
Як правило, для брандмауера краще використовувати прилади, а не звичайні сервери.
Пристрій являє собою пристрій з усіма програмами і конфігураціями попередньою
установкою на фізичному сервері, який підключений між двома мережами. Техніка, як
правило, встановлюються з загартованими операційними системами. Коли
використовуються серверні брандмауери, операційні системи на серверах часто вразливі до
атак. Коли атаки на операційних системах успіху, брандмауер може бути поставлена під
загрозу. Загалом, брандмауери типу пристрою значно швидше настроюються та
відновлюються.
брандмауери наступного покоління
NGFW - це брандмауери, націлені на вирішення двох основних обмежень попередніх
варіантів: 1) неможливість перевірки корисної інформації про пакет і 2) неможливість
відрізнити типи веб-трафіку.NGFW - це адаптована мережева система безпеки, здатна
виявляти та блокувати складні атаки. NGFWs зазвичай виконує традиційні функції, такі як
фільтрація пакетів, перевірка з урахуванням стану і трансляція мережевих адрес (NAT), але
ввести розуміння додатків, включає в себе технологію глибокої інспекції пакетів (DPI) і
пропонують різні ступені інтегрованої захисту від загроз, таких як запобігання втрати даних
(DLP), система запобігання вторгненню (IPS), перевірка рівня безпечного сокетів
(SSL)/захищена оболонка (SSH) та веб-фільтрація.
Розуміння застосування є «здатність системи підтримувати інформацію про
підключених додатках для оптимізації їх роботи, і що ні підсистем, якими вони управляють
або управління.» 41 Це важливо, оскільки відмінності між законним і зловмисним трафіком
стає все важче в умовах підйому веб-послуги. Можливість NGFW диференціювати типи веб-
трафіку, наприклад, авторизовану ділову веб-програму та веб-сайт потокового мультимедіа,
допомагає забезпечувати корпоративну політику незалежно від порту чи протоколу, а також
аналізу діяльності та поведінки користувачів.
ДПІ дозволяє проводити допиту під навантаженням від підписів для відомих
експлойтів, шкідливих програм тощо. ДПІ надає велику інформацію про ваш трафік, що
допомагає визначити нормальне трафікне виявлення аномалій більш ефективно, особливо в
більш складних мережах.
В залежності від вашої організації, ви можете попросити переглянути, рекомендувати
або вказати рішення постачальника. Майте на увазі, що в той час як багато рішень
наступного покоління рекламувати подібні функції, як вони роблять це часто вирішується
шляхом їх інтерпретації понять і впровадження власної технології. Як витончені, як NGFWs
може бути сьогодні, це не повинно бути вашим єдиним лінією захисту.
брандмауерів веб - додатків
Брандмауер веб - додатків (WAF) являє собою сервер плагін, пристрій або додатковий
фільтр, який може бути використаний для застосування правил до окремих веб - додатки ( як
правило, в якості HTTP - розмови). Він працює на більш високих рівнях моделі OSI, в цілому
7 рівня, в той час як мережеві брандмауери працюють на рівні 3 і/або рівень 4. Він може бути
налаштований, щоб ідентифікувати і блокувати багато типів атак, такі як міжсайтовий
сценарії (XSS) та ін'єкція SQL (Structured Query Language). Налаштування правил ВАФ
вимагає великої роботи та зусиль. При внесенні змін до додатка зроблені, правила WAF
повинні бути змінені, а також.