Een kijkje onder de motorkap van Firewalling Producten

In de esoterische zin, onderdelen van een firewall bestaan in de geest van de persoon die ze bouwen. Een firewall, bij haar oprichting, is een concept in plaats van een product, het is het idee rond de toegang controlemechanisme dat verkeer van en naar uw netwerk mogelijk maakt.

In de meer algemene zin, een firewall bestaat uit software en hardware. De software kan worden eigen, shareware of freeware. De hardware kan alle hardware die de software ondersteunt.

Firewall-technologieën kunnen over het algemeen worden ingedeeld in een van de drie categorieën:

· Packet-filter-gebaseerde (meestal routers, Cisco IOS, enzovoort)

· Stateful packet-filter-based (Checkpoint FW-1, PIX, enzovoort)

· Proxy-based (INR Gauntlet, Axent Raptor, enzovoort)

Laten we kort onderzoekt elk.

Packet-Filter-gebaseerde firewalls

Packet filtering firewalls zijn typisch routers met packet-filtering mogelijkheden. Met behulp van een basis-packet-filtering router, kunt u verlenen of toegang tot uw site te ontzeggen op basis van verschillende variabelen, waaronder

· Bronadres

· Bestemmingsadres

· Protocol

· Poortnummer

Router-gebaseerde firewalls zijn populair omdat ze gemakkelijk uitgevoerd. (U kunt gewoon een plug in, zorgen voor een Access Control List, en je bent klaar.) Bovendien, routers bieden een geïntegreerde oplossing. Als uw netwerk permanent is aangesloten op het internet, youneed een router toch. Dus, waarom niet doden twee vliegen in een klap?

Aan de andere kant, router-gebaseerde firewalls hebben een aantal tekortkomingen. Ten eerste, zijn ze meestal niet bereid zijn om omgaan met bepaalde type van denial of service aanvallen. Veel van de denial of service tactieken gebruikt op het internet vandaag zijn gebaseerd op packet mangelen, SYN overstromingen, of dwingen andere TCP / IP-gebaseerde afwijkingen. Basic routers zijn niet ontworpen voor de behandeling van dit soort aanvallen. Ten tweede kunnen de meeste routers niet bijhouden van de gegevens zitting staat. Beheerders worden dan gedwongen om al-poorten boven 1024 open om TCP-sessies en sessie onderhandelingen handvat goed. Hoewel dit is waarschijnlijk niet een enorme zekerheid zorg (omdat er niet mag worden elke luisteren diensten draaien op deze havens toch), het is niet in het algemeen een goede gewoonte om niet gebruikte poorten te openen naar de buitenwereld te verlaten.

Ten slotte, met behulp van ACL's (access control lists) op high-end routers die steunen extreem drukke netwerken kunnen bijdragen tot aantasting van de prestaties en de hogere CPU belasting. Echter, voor de meeste low-speed verbindingen (zoals T1 circuits) op lagere-end routers (zoals Cisco 2500 Series routers), normale packet filtering zal niet de router belasting in belangrijke mate.

Opmerking

Voor een lange tijd werd aangenomen dat de invoering van Access Control Lists (ACL's) op routers sterk zou hun prestaties te degraderen. Hoewel een 100 steken regel ACL op een Cisco 7000 ter ondersteuning van een dozijn ATM-verbindingen is misschien niet het beste van ideeën, het basis-ACL's op routers ondersteunen van low-speed (10Mbps of lager) verbindingen meestal niet degraderen hun prestaties merkbaar. Twee leden van de ondergrondse, RFP en NightAxis, verschenen enkele algemene bevindingen over dit onderwerp, dat is te vinden op http://www.wiretrip.net/rfp/. Sindsdien hebben andere studies ook uitgevoerd (je kilometers kan verschillen). Vergeet niet, zelfs de low-end Cisco 2500 Series routers waren gebaseerd op de Motorola 68030 en 68040 chip sets, en de nieuwere gebruikt nog meer geavanceerde RISC-gebaseerde chips. Routers zijn krachtiger dan veel mensen geven krediet voor. Test het zelf-zie wat je tegenkomt.

Tip

Veel netwerkbeheerders zullen ACL's gebruiken op hun territorium routers in combinatie met een meer geavanceerde firewall om een multi-tier aanpak van de toegang tot het netwerk te controleren.

Stateful Packet Filter-gebaseerde firewalls

Stateful packet filtering is gebaseerd op de packet filtering concept en duurt het een paar stappen verder. Firewalls gebouwd op dit model houden van de sessies en verbindingen in interne toestand tabellen, en kan derhalve dienovereenkomstig reageren. Vanwege dit, stateful packet-filtering-gebaseerde producten zijn flexibeler dan hun zuivere packet-filtering tegenhangers. Daarnaast hebben de meeste stateful packet-filtering-gebaseerde producten zijn ontworpen om te beschermen tegen bepaalde vormen van DoS-aanvallen, en om toe te voegen bescherming voor SMTP-gebaseerde mail en een assortiment van andere security-specifieke kenmerken.

Checkpoint pionier de techniek genaamd "stateful inspectie" (SI), die stateful packet filtering tot een inkeping neemt. SI kunnen beheerders om firewall regels te bouwen om de feitelijke gegevens lading te onderzoeken, in plaats van alleen de adressen en poorten.

Opmerking

Omdat stateful packet-filtering-gebaseerde firewalls track zitting verklaart, kunnen zij houden de poorten boven 1024 gesloten standaard en alleen de hoge poorten open op een als dit nodig is. Zo eenvoudig als dit klinkt, dit is waarom de meeste beheerders van mening stateful packet filtering worden de minimale technologie die ze zullen uitvoeren voor hun firewall oplossingen.

Proxy-Based Firewalls

Een ander type firewall is de proxy-based firewall (soms aangeduid als een applicatie-gateway of applicatie-proxy). Wanneer een gebruiker op afstand contact met een netwerk draaien van een proxy-based firewall, de firewall proxy de verbinding. Met deze techniek IP-pakketten niet rechtstreeks doorgestuurd naar het interne netwerk. In plaats daarvan, een type van de vertaling plaatsvindt, met de firewall die optreedt als doorgeefluik en tolk.

Hoe werkt deze verschillen van stateful packet filtering en generieke packet filtering, vraagt u? Goede vraag-en een dat veel mensen vragen. Beide filters en stateful packet filtering processen onderzoeken inkomende en uitgaande pakketten op het netwerk en de sessie niveaus. Ze bestuderen de IP-adressen bron en de bestemming samen met de havens en de status vlaggen, vergelijken ze hun sets en regel tabel informatie, en vervolgens beslissen of het pakket moet worden doorgestuurd. Proxy-based firewalls, aan de andere kant, inspecteren verkeer op de aanvraag niveau in aanvulling op lagere niveaus. Een pakket komt in de firewall en is overgedragen aan een specifieke applicatie-proxy, die de geldigheid van het pakket en applicatie-niveau verzoek zelf inspecteert. Bijvoorbeeld, als een Web-verzoek (HTTP) komt in een proxy-based firewall, de gegevens lading met de HTTP-verzoek zal worden overhandigd aan een HTTP-proxy-proces. Een FTP verzoek zou worden overhandigd aan een FTP-proxy proces, Telnet Telnet naar een proxy-proces, en zo verder.

Dit concept van een protocol-by-protocol aanpak is beter beveiligd dan stateful packet filtering en generieke omdat de firewall van de toepassing zelf begrijpt protocollen (HTTP, FTP, SMTP, POP, enzovoort). Het is moeilijker voor indringers in het verleden iets wat meer kijken dan alleen de poorten en IP-adressen sneak. Echter, als aankondiging dat ik gebruikte het woord "concept" in verwijzing naar het beter beveiligen. De waarheid van de zaak is dat in real-world-toepassingen, heeft deze aanpak had zijn eerlijk deel van de problemen.

Proxy-based firewalls hebben altijd trager dan stateful packet-filtering op basis Ones. Nu, voor de meeste netwerken (10Mbps of langzamer), is dit verschil betwistbaar. Echter, voor zwaar belaste netwerken (T3 bij 45Mbps, meerdere T3 naderen 100Mbps, enzovoort), dit wordt een veel groter probleem. Aangezien de technologie verbetert, kan de kloof te dichten, maar voor nu het gebruik van zuivere proxy-gebaseerde technologie is nog steeds een punt van zorg voor hoog-volume-netwerken.

In aanvulling op de prestaties probleem, de proxy-gebaseerde oplossing heeft ook een aantal aanpassingsvermogen kwesties. Stel bijvoorbeeld dat een nieuw protocol is uitgevonden om je coffeemakers beheren thuis. Omwille van voorbeeld zullen we noemen dit protocol de Percoleren Control System, of kortweg PCS. Nu, laten we ook aannemen dat PCS gebruikt TCP en loopt via poort 666. Beheerders van stateful packet-filtering-gebaseerde firewalls zal gewoon een nieuwe regel in te bouwen in hun firewall waardoor het verkeer over TCP op poort 666, en het is een deal gedaan. Beheerders van proxy-gebaseerde firewalls, hebben echter een nieuw probleem: ze hebben geen proxy (nog) niet voor PCS. Het is een merk nieuw protocol. Hoewel sommige proxy-gebaseerde firewalls (zoals NAi Gauntlet) hebben een generieke proxy voor dergelijke problemen, nu zijn we terug naar de basis-pakket filteren, waarin het doel van het hebben van een volmacht om te beginnen met nederlagen.

Echter, met dit voorbeeld een stap verder, laten we zeggen de proxy-based firewall leverancier uiteindelijk schrijft een PCS-proxy, en alles is goed in Coffeeville. Kort na enkele ondeugende helpdesk aannemers herleven hun oude exemplaren van het netwerk DOOM, die ook loopt via poort 666, en ze proberen op te starten misbruik maakt van een oude verslaving. Laag-en-zie, zal het netwerk DOOM niet maken via de proxy-based firewall, maar het zal door de stateful packet-filtering gebaseerd.

een artikel afkomstig van Craig Nelson