часть 2 Варианты обхода брандмауэров
часть 3 IDS Системы обнаружения вторжений
часть 4 Варианты обхода IDS
часть 5 Honeypot, типы и обнаружение
Брандмауэры, вероятно, являются одной из самых распространенных вещей, о которых люди думают, когда речь идет о безопасности. Мы собираемся рассмотреть множество различных способов, которыми брандмауэры защищают системы, рассмотреть различные архитектуры брандмауэров и рассмотреть различные способы, которыми они защищают эти системы от определенных классов атак. Брандмауэры — очень фундаментальный элемент управления безопасностью, и это одна из вещей, о которых мы чаще всего думаем, когда слышим о безопасности информационных систем. Брандмауэры стали настолько распространены, что в наши дни даже дома вы часто найдете несколько брандмауэров. В Windows есть встроенный брандмауэр, в большинство домашних маршрутизаторов встроен брандмауэр, и как только мы перейдем к корпоративным сетям, у нас обычно будет несколько брандмауэров, часто это очень высококлассное оборудование, защищающее различные системы в сети. Брандмауэры являются основой контроля безопасности. Существует множество различных архитектур брандмауэров, и вскоре мы рассмотрим некоторые из них. Очень часто межсетевые экраны располагаются между разными сегментами сети. Вы можете найти брандмауэр, правильно настроенный для пропуска веб- трафика, но это не остановит злоумышленника, доставляющего полезную нагрузку через HTTP с использованием порта 80.
Брандмауэры, как правило, контролируют двунаправленный поток трафика, поэтому представьте себе брандмауэр перед организацией, отделяющий ее от общедоступного Интернета. Он должен иметь возможность блокировать входящий трафик, чтобы попытаться удержать злоумышленников, но он также должен иметь возможность разрешать исходящий трафик, потому что людям нужно просматривать веб-страницы, отправлять электронные письма и иметь связь, которая выходит за пределы сети.
Реализации брандмауэра
Мы часто используем термин брандмауэр, но он может означать очень разные реализации концепции, и, вероятно, одним из самых основных приложений брандмауэра является брандмауэр Windows, встроенный в современные версии операционных систем. Это довольно простой брандмауэр. Он определит разрешенные классы входящего трафика и классы исходящего трафика. Это хост-брандмауэр, работающий на компьютерах. Представьте, что ваш компьютер находится в вашей собственной доверенной сети, но у вас все еще есть брандмауэр между вашей машиной и любой другой машиной в ней. Часто у вас будет несколько разных классов брандмауэров для разных точек в сетевой среде. Я говорю только о небольшой домашней сети, но то же самое верно и для организационных сетей. Одна вещь, которая сильно отличается между личным решением и корпоративной средой, заключается в следующем. На предприятии вы увидите такое оборудование, как межсетевой экран Cisco. Это физическое устройство, устанавливаемое в стойку, и этот класс машин предназначен для сегментации сети, о которой мы говорили ранее. Он предназначен для размещения между сегментами общедоступной сети и сегментами частной сети. Мы также видим аппаратные брандмауэры, встроенные в такие устройства, как домашние маршрутизаторы, за исключением того, что они предназначены для совершенно другого класса использования, но предпосылка наличия брандмауэра, который является просто программным продуктом, по сравнению с брандмауэром, который является выделенной частью инфраструктуры, одна и та же. Действительно, многие вещи, которые делают эти два различных класса межсетевых экранов, также очень похожи. Например, большинство из них выполняют простую фильтрацию пакетов.
Архитектура брандмауэра
Мы рассмотрим три различные архитектуры брандмауэров, но я хочу начать с определения, и это важно, и оно относится не только к брандмауэрам, но и к любому хосту, который полностью подвержен атаке. Концепция бастионного брандмауэра заключается в том, что это будет брандмауэр, обращенный к общедоступной сети. Перед ним нет защиты. Он должен нести все последствия атаки, направленной на сеть. Хост-бастион является критически важной частью инфраструктуры просто потому, что это первая линия обороны. Это термин, который используется не только для брандмауэров, но и для любого актива, который полностью подвержен атаке. Он находится между Интернетом и внутренней сетью, выступая в качестве первой линии защиты, и полностью незащищен. Хост-бастион все еще может иметь пару разных реализаций, так, например, это может быть односетевой брандмауэр, чтобы у него был один сетевой интерфейс, и весь трафик входил и выходил через этот интерфейс, а затем программное обеспечение сделало бы фильтрацию. Он может быть двухсетевым, чтобы иметь два сетевых интерфейса, и действительно, это более типичная реализация, особенно в продуктах коммерческого уровня. Мы говорим о внешнем трафике, поступающем в один порт, и внутреннем трафике через другой. У нас по-прежнему есть программное обеспечение для фильтрации и определения того, какой трафик проходит, а какой отбрасывается, но у нас есть большая сегментация сетей благодаря двум сетевым адаптерам, также известным как карты сетевого интерфейса. Это брандмауэр узла-бастиона, поэтому давайте перейдем к следующему, называемому брандмауэром экранированной подсети. Экранированный брандмауэр подсети также называется тройным брандмауэром, который будет иметь три сетевых интерфейса и разделяет трафик на три логических сетевых сегмента. Есть общедоступный интернет, внутренняя сеть, так что это будет то же самое, что и типичный бастион с двойным подключением.
Немного о DMZ
Идея DMZ заключается в том, что мы говорим о сети демилитаризованных зон. Проще говоря, DMZ — это не что иное, как отдельная подсеть в сети. Он содержит активы, которые вы хотите выставить на всеобщее обозрение, поэтому он должен быть доступен через Интернет. Одна и та же подсеть также будет доступна для внутренней сети, хотя для каждой из них могут быть доступны разные службы. Это распространенная структура для организации, где у них есть активы, которые они хотели бы выставить на всеобщее обозрение, и у них есть другие активы, а именно их внутренняя сеть, которую они хотят отделить. Брандмауэр экранированной подсети должен быть в состоянии обеспечить наличие этих средств контроля доступа. С обоими типами брандмауэров мы по-прежнему хотим, чтобы трафик шел во всех направлениях. Например, мы хотим, чтобы внутренняя сеть могла отправлять HTTP- запросы в Интернет, поэтому брандмауэр должен пропускать этот трафик, а затем нам нужны ответы, поэтому он должен разрешить HTTP через порт 80 и неизбежно порт 443 для HTTPS, он должен позволить этому трафику вернуться во внутреннюю сеть. Это снова двунаправленный поток трафика. В таком случае также необходимо разрешить HTTP-запросам из Интернета проходить в демилитаризованную зону, а затем возвращать эти ответы. Однако в такой модели мы можем не захотеть, чтобы Интернет создавал FTP-соединения с демилитаризованной зоной. Ничего страшного, если внутренняя сеть FTP подключена к DMZ, потому что именно они контролируют активы на этих внешних веб-сайтах, но это должно быть отделено от самого Интернета в целом. Экранированный брандмауэр подсети должен жонглировать целой кучей различных правил с точки зрения того, откуда и куда может поступать трафик, а также портов и протоколов.
Брандмауэры с фильтрацией пакетов
Брандмауэр с фильтрацией пакетов — одна из наиболее распространенных сегодня реализаций средств контроля безопасности. Обычно вы увидите, что он реализован как модель узла-бастиона, обращенная к атакующим без какой- либо другой линии защиты перед ним. Брандмауэр с фильтрацией пакетов во многих отношениях довольно прост. У нас есть исходный входящий трафик, набор элементов управления на уровне пакетов, а затем допустимый проходящий трафик. Давайте внимательно посмотрим на эти элементы управления. Например, брандмауэр с фильтрацией пакетов может определять допустимые IP-адреса источника и получателя. В одном месте вы можете увидеть, что если есть вредоносный трафик, исходящий с определенного IP-адреса, брандмауэр с фильтрацией пакетов может занести его в черный список и заблокировать любые запросы, поступающие с этого конкретного IP-адреса. Структура самого заголовка TCP также является тем, на что может смотреть брандмауэр с фильтрацией пакетов. Например, что такое исходный и конечный порты? Должен ли брандмауэр разрешать порт 80 для HTTP и порт 443 для HTTPS? Что-то еще не разрешено? протоколы; HTTP это хорошо. Может быть, SMTP тоже хорош, но все остальное, например FTP или ICMP, будет заблокирован? Это довольно рудиментарно, хотя вы можете захотеть заблокировать такие вещи, как FTP, потому что вы беспокоитесь, что он может быть использован для эксфильтрации данных, также могут быть атаки, которые приходят через HTTP, и брандмауэр с фильтром пакетов пропустит эту атаку, потому что он не просматривает сами данные, а также не просматривает любую другую информацию в этих заголовках запросов. Это очень рудиментарный элемент управления, но это первая линия защиты. Далее рассмотрим другие брандмауэры, которые затем могут располагаться за сетью, но помните, что они должны учитывать трафик, идущий с другой стороны.
А как насчет трафика, поступающего с внутреннего сервера и возвращающегося обратно к клиенту? Это важно, потому что, что, если злоумышленник скомпрометировал сам сервер, и теперь он пытается эксфильтровать данные. Брандмауэр с фильтрацией пакетов может ограничить возможность злоумышленника отправлять эти данные обратно из сети. Брандмауэр с фильтрацией пакетов либо пропустит запрос, либо отбросит его, так что он вообще не пройдет. Это очень упрощенная реализация, которая не особенно интеллектуальна, но одна из причин, по которой брандмауэры с фильтрацией пакетов остаются распространенными, заключается в том, что они также недорогие.
Брандмауэр шлюза
С точки зрения модели OSI, также известной как модель взаимодействия компьютерных сетей с открытыми системами, контрольной точкой, на которой выполняются различные атаки и средства контроля, является транспортный уровень. Транспортный уровень также известен как четвертый уровень, и именно здесь, например, TCP-запросы передаются вперед и назад. Когда мы говорим о брандмауэре шлюза на уровне канала, мы собираемся немного подняться по стеку. Мы говорим о сеансовом уровне, также известном как уровень 5, и он находится там как прокладка между прикладным и транспортным уровнями, так что это более высокоуровневая, более абстрактная концепция, чем то, что мы просто рассматриваем в TCP. Много раз, когда вы просматриваете Интернет, вы общаетесь через брандмауэр шлюза на уровне канала. Очень вероятно, что помимо брандмауэра с фильтрацией пакетов, брандмауэр также может выполнять несколько ролей. Роль брандмауэра шлюза на уровне канала заключается в передаче запросов между двумя отдельными хостами, например, клиентом и сервером. Мы можем увидеть, как TCP-запрос поступает на брандмауэр, а затем передается на сервер. В этом примере представьте, что брандмауэр действует как шлюз, а затем ответ вернется через этот брандмауэр и, в конечном итоге, вернется к клиенту. Здесь важно то, что эти две конечные точки, клиент и сервер, никогда не устанавливают прямое соединение. Все проходит через межсетевой экран шлюза на уровне канала. Поэтому этот брандмауэр создает два соединения: одно к клиенту и одно к серверу. Он сидит там и отслеживает такие вещи, как трехстороннее рукопожатие TCP, и, таким образом, он может установить, является ли этот запрос правомерным или нет.
Например, кто-то пытается извлечь данные из сети и как в случае с брандмауэром с фильтрацией пакетов, брандмауэр шлюза на уровне канала по-прежнему будет пропускать большое количество данных, которые потенциально могут быть использованы для злоумышленных целей. Например, если шлюз предназначен для обеспечения HTTP-связи, а клиент активно использует риск SQL-инъекций на самом сервере, то брандмауэр разрешит запросы и ответы через законный HTTP-трафик, по крайней мере, с точки зрения соответствия. к ожидаемой структуре брандмауэра. Например, если это HTTP на порту 80, он пропустит его, но не обеспечит никакой защиты на уровне пакетов. Это просто подтверждает, что эти связи являются законными. Еще одна модель брандмауэра, которую вы обычно видите в таких вещах, как домашние кабельные модемы и маршрутизаторы, и вы часто увидите, как она реализует NAT, также известную как преобразование сетевых адресов, поэтому вы можете иметь несколько клиентов, сидящих за этим брандмауэром, и все они используют один выход в Интернет. Как и брандмауэр с фильтрацией пакетов, это важная часть инфраструктуры, но очень примитивная. Ситуация становится более сложной, когда мы переходим к межсетевому экрану шлюза уровня приложений.
Брандмауэры приложений
Этот брандмауэр находится намного выше в этой модели OSI. Он находится на седьмом
уровне, прямо на вершине стека OSI. Часто вы можете увидеть, что это называется прокси, особенно внутри корпоративных сетей, и они также включают аутентификацию для определения того, кто является клиентом. В некотором смысле он похож на брандмауэр шлюза на уровне канала в том смысле, что он будет ретранслировать эти запросы взад и вперед между двумя разными хостами, но отличается тем, что находится в стеке. Например, мы можем видеть, как он перехватывает HTTP-трафик, но это не просто HTTP, он может сидеть там и просматривать FTP, SMTP или другие протоколы, зависящие от приложения. Важной особенностью брандмауэра шлюза уровня приложений является возможность проверять содержимое трафика. В зависимости от направления трафика этот класс межсетевых экранов может выполнять самые разные задачи. Когда он действует как шлюз, когда клиент находится внутри корпоративной сети и отправляет внешние запросы, он может делать такие вещи, как блокировка определенных сайтов. С другой стороны, когда он сидит перед активом, таким как сервер, он может проверять содержимое трафика, может начать искать типичные схемы атак. Это то, что, например, Cloudflare делает со своим брандмауэром в качестве сервисного продукта. Он задает такие вопросы, как: потенциально ли этот запрос является атакой с внедрением SQL? Шлюзовый брандмауэр прикладного уровня, находящийся на седьмом уровне и способный интерпретировать и понимать содержимое этих запросов, может быть гораздо более эффективным, чем простые реализации, такие как брандмауэр с фильтрацией пакетов. Он будет передавать данные вперед и назад, как и другие брандмауэры. Он должен иметь возможность принимать запросы, а затем отвечать соответствующим образом, но он может сделать это с более высоким уровнем сложности.
Другой пример: если трафик SMTP ходит вперед и назад через этот брандмауэр, он может разрешить приветственный комментарий, который клиент использует для идентификации себя на сервере, но затем он может заблокировать команду проверки, которая часто используется, чтобы установить, имеет ли сервер определенный адрес или нет. Тот же порт, тот же протокол, но гораздо более детальный контроль с точки зрения того, какой трафик идет через брандмауэр. Таким образом, это более высокое состояние осознания того, что делает трафик, а затем то, какой считается хорошим, а какой плохим. Есть еще одна модель брандмауэра, которой я хочу поделиться с вами, — брандмауэр с многоуровневой проверкой состояния.
Брандмауэры с отслеживанием состояния
Межсетевой экран многоуровневой проверки с отслеживанием состояния — это еще одна эволюция предыдущих моделей, о которых мы говорили. Как правило, он сочетает в себе аспекты трех последних рассмотренных нами моделей брандмауэров: фильтрацию пакетов, шлюз на уровне каналов и шлюз на уровне приложений. Мы будем говорить об инспекции, происходящей на нескольких уровнях коммуникации. Мы будем говорить о модели TCP/IP в отличие от модели OSI, но логически обе они охватывают одни и те же аспекты сети. Важно то, что когда мы говорим о многоуровневой проверке с отслеживанием состояния, мы говорим обо всем стеке, то есть о возможности пройти весь путь от этого низкого уровня пакетов TCP до протоколов связи приложений. Это означает, что эта модель брандмауэра может делать все то, о чем мы говорили до сих пор. Например, проверять содержимое HTTP-запросов, но, поскольку он сохраняет состояние, он также может работать с пакетами и запросами и выполнять такие действия, как разрешение пакетов только от известных активных соединений. Он должен смотреть на более широкое понятие, которое представляет собой связь. Это дает ему возможность делать такие вещи, как проверка пакетов с отслеживанием состояния, также известная как SPI, поэтому вместо того, чтобы обрабатывать каждый отдельный сетевой пакет по отдельности, например, брандмауэр без учета состояния, он может использовать подход с отслеживанием состояния и рассматривать пакеты более целостно. Ранее мы рассмотрели такую модель, как брандмауэр с фильтрацией пакетов, который не имеет состояния и не знает, является ли пакет частью существующего соединения или нет. Следовательно, модель с отслеживанием состояния поддерживает соединение. Все это означает, что межсетевой экран многоуровневой проверки с отслеживанием состояния может начать принимать решения о фильтрации на основе совокупных данных, то есть не только информации, которая проходит через него прямо сейчас, и не только отдельных пакетов.
Это привело нас к четырем уровням сложности брандмауэра. Фильтрация пакетов, шлюз на уровне каналов, шлюз на уровне приложений и многоуровневый межсетевой экран с отслеживанием состояния. Все эти классы брандмауэров производятся многими разными производителями, причем множество различных продуктов предназначено для самых разных аудиторий. Существует огромное количество продуктов для брандмауэров. Одна из вещей, которую противник хочет сделать очень рано, — это выяснить, какой брандмауэр стоит между ним и его целью.
Брандмауэры нового поколения
Межсетевые экраны нового поколения, появились на рынке относительно недавно. Такие компании, как Cisco или Palo Alto, уже используют многие концепции брандмауэров нового поколения. Межсетевые экраны нового поколения всегда будут включать межсетевой экран с отслеживанием состояния. Они будут охватывать брандмауэр, так что это будет его ядром, но это также добавит идею осведомленности о приложениях. Осведомленность о приложениях означает, что наш брандмауэр может отличить HTTP- сообщение, отправляемое на веб-сайт, от того, что кто-то помещает вредоносный код в HTTP-сообщение, чтобы попытаться провести атаку. Кроме того, он поставляется с пользовательским контролем, который не предназначен для контроля пользователей, а скорее для определения того, к чему у наших пользователей есть доступ. Когда мы используем эти брандмауэры нового поколения на границе нашего Интернета, мы получаем много возможностей контролировать, к каким конкретным ресурсам в Интернете могут получить доступ наши пользователи. Мы надеемся, что это поможет нам контролировать и предотвращать переход пользователей на заведомо вредоносные интернет-ресурсы. Для этого у нас также есть системы обнаружения вторжений, встроенные в брандмауэр нового поколения. Например, фильтры URL-адресов, чтобы предотвратить переход пользователей на вредоносные веб-сайты, или, если мы хотим, мы можем контролировать, на какие сайты пользователь может перейти.
