1. ¿Qué puede hacer un cortafuegos?
1. Filtrado de paquetes
¿Está equipado un firewall con filtrado de paquetes? ¡Sí, es cierto! Según la definición de firewall, cualquier método que pueda prevenir eficazmente conexiones de red ilegales se considera firewall.
Los primeros firewalls generalmente usaban condiciones establecidas para monitorear las características de los paquetes que pasaban y decidir si liberarlos o bloquearlos. El filtrado de paquetes es una característica muy importante.
Aunque la tecnología de firewall se ha desarrollado hasta el presente y se han propuesto muchos conceptos nuevos, el filtrado de paquetes sigue siendo una parte muy importante. Por ejemplo, un conmutador de capa 4 debe tener primero un conmutador con reenvío rápido de paquetes. Las funciones básicas son las mismas.
A través del filtrado de paquetes, los firewalls pueden bloquear ataques, prohibir el acceso externo/interno a determinados sitios y limitar el tráfico y el número de conexiones por IP.
2. Reenvío transparente de paquetes
De hecho, los cortafuegos generalmente se instalan delante de los servidores que proporcionan determinados servicios.
Si se representa mediante un diagrama esquemático, es Servidor-FireWall-Invitado.
Tanto la solicitud de acceso del usuario al servidor como la información que el servidor envía al usuario deben ser reenviadas por el firewall. Por lo tanto, muchos firewalls tienen capacidades de puerta de enlace.
3. Bloquear ataques externos
Si la información enviada por el usuario no está permitida por la configuración del firewall, el firewall la bloqueará inmediatamente para evitar que ingrese al servidor detrás del firewall. .
4. Registrar ataques
Si es necesario, el firewall puede registrar todos los comportamientos de ataque. Sin embargo, debido a consideraciones de eficiencia, los ataques generalmente se registran en la actualidad. Todo lo realiza IDS. que mencionaremos más adelante.
Las anteriores son las características básicas que tienen todos los firewalls. Aunque son muy simples, la tecnología de firewall se ha desarrollado gradualmente sobre esta base.
2. ¿Cuáles son las carencias y deficiencias de los cortafuegos?
1. Los cortafuegos pueden bloquear los ataques, pero no pueden eliminar su origen.
"Cada uno barre la nieve delante de su propia puerta e ignora la escarcha de las baldosas de los demás." Este es el estado actual de la seguridad en la red.
En Internet existe un sinfín de ataques provocados por virus, troyanos, pruebas maliciosas, etc.
Un firewall correctamente configurado puede bloquearlos, pero no puede eliminar el origen del ataque.
Incluso si el firewall está bien configurado para que los ataques no puedan penetrarlo, varios ataques seguirán intentando atacar el firewall.
Por ejemplo, para un sitio conectado al ancho de banda de 10M de la red troncal, un promedio de aproximadamente 512K de su tráfico diario es comportamiento de ataque.
Entonces, incluso después de configurar exitosamente el firewall, el tráfico de ataque de 512K no se reducirá en absoluto.
2. Los firewalls no pueden resistir las últimas vulnerabilidades de ataque sin establecer políticas
Al igual que el software antivirus y los virus, los virus siempre aparecen primero y el software antivirus agrega firmas después de analizarlos. Sólo se puede comprobar en la base de datos de virus.
También se establecen varias estrategias de firewall después de que los expertos analizan las características del método de ataque.
Si un cracker que descubre recientemente una vulnerabilidad de host en el mundo selecciona su red como primer objetivo de ataque, entonces el firewall no podrá ayudarlo.
3. El límite en el número de conexiones simultáneas del firewall puede provocar fácilmente congestión o desbordamiento.
Dado que cada paquete que fluye a través del firewall debe ser juzgado y procesado, el firewall debe usarse en ciertas situaciones con mucho tráfico y solicitudes concurrentes. En muchos casos, puede provocar fácilmente congestión y convertirse en un cuello de botella para toda la red, lo que afecta el rendimiento.
Y cuando el firewall se desborda, toda la línea de defensa es como si fuera en vano, y las conexiones originalmente prohibidas pueden pasar fácilmente.
4. Los firewalls en su mayoría no pueden prevenir ataques a puertos legalmente abiertos en el servidor.
En algunos casos, los atacantes utilizan los servicios proporcionados por el servidor para llevar a cabo ataques de fallas.
Por ejemplo, usar el puerto abierto 3389 para obtener superpermisos de win2k que no ha sido parcheado por SP, usar programas asp para realizar ataques de script, etc.
Dado que su comportamiento se considera "razonable" y "legal" a nivel de firewall, simplemente está permitido.
5. Los cortafuegos generalmente no pueden evitar ataques internos que inician conexiones activamente.
"Estrecho por fuera y flojo por dentro" es una característica de las redes de área local generales.
Es posible que la red dentro de un firewall fuertemente protegido esté sumida en el caos.
A través de la ingeniería social, se envían correos electrónicos con troyanos y URL con troyanos, y luego la máquina que contiene los troyanos se conecta activamente con el atacante, destruyendo instantáneamente el firewall.
Además, el firewall sólo puede ignorar los ataques entre hosts dentro del firewall como un espectador y no puede hacer nada para ayudar.
6. El firewall en sí también puede tener problemas y ser atacado
Un firewall también es un sistema operativo y tiene su propio sistema de hardware y software, por lo que todavía tiene lagunas y errores.
Por lo tanto, también puede ser vulnerable a ataques y fallos de software/hardware.
7. El firewall no maneja virus
Ya sea el virus funlove o CIH.
Cuando los usuarios de la red interna descargan archivos que contienen virus de la red externa, el firewall permanece intacto (el firewall aquí no se refiere a la función de monitoreo en tiempo real en un antivirus independiente/de nivel empresarial software, aunque no lo hacen. Algunas personas lo llaman "firewall de virus").
Al ver esto, tal vez yo haya derribado el firewall de tu mente.
Sí, los firewalls son una parte importante de la seguridad de la red, pero eso no significa que la instalación de un firewall garantice la seguridad de la red.
"¡La verdadera seguridad es conciencia, no tecnología!". Tenga en cuenta esta frase.
De todos modos, los cortafuegos todavía tienen sus lados positivos.
Al construir las defensas de cualquier red, además del aislamiento físico y el concepto de gatekeeper recientemente propuesto, la primera opción es definitivamente un firewall.
Entonces, ¿cómo elegir el firewall que necesitas?
Clasificación de los cortafuegos
Primero, hablemos brevemente de la clasificación de los cortafuegos.
En términos de la composición y estructura de los firewalls (todos los firewalls en este artículo se refieren a firewalls de red para fines comerciales, no para uso personal), se pueden dividir en los siguientes tres tipos:
Sección 1: Software firewall
El software firewall se ejecuta en una computadora específica. Requiere el soporte del sistema operativo preinstalado por el cliente. En términos generales, esta computadora es la puerta de entrada de. toda la red.
Los cortafuegos de software, al igual que otros productos de software, deben instalarse y configurarse en el ordenador antes de poder utilizarse.
De entre los fabricantes de cortafuegos, el más famoso por fabricar cortafuegos software en versión de red es Checkpoint.
El uso de este tipo de firewall requiere que el administrador de la red esté familiarizado con la plataforma del sistema operativo en la que está trabajando.
El segundo tipo: firewall de hardware
El firewall de hardware mencionado aquí se refiere al llamado firewall de hardware.
La razón por la que se agrega la palabra "llamado" es para firewalls a nivel de chip.
La mayor diferencia entre ellos es si se basan en plataformas de hardware dedicadas.
La mayoría de los cortafuegos actualmente disponibles en el mercado son los llamados cortafuegos de hardware. Todos se basan en la arquitectura de un PC, lo que significa que no se diferencian mucho de los PC domésticos normales.
En estos ordenadores basados en PC se ejecutan algunos sistemas operativos personalizados y simplificados. Los más utilizados son versiones antiguas de sistemas Unix, Linux y FreeBSD.
Vale la pena señalar que, dado que este tipo de firewall todavía usa el kernel de otra persona, aún se verá afectado por la seguridad del propio sistema operativo.
Muchos productos de firewall nacionales entran en esta categoría debido a que utilizan plataformas con núcleos reducidos y componentes personalizados, algunos vendedores de firewalls nacionales a menudo se jactan de que sus productos son "sistemas operativos dedicados", etc. concepto engañoso. El tercer tipo de firewall que mencionamos a continuación es verdaderamente específico del sistema operativo.
El tercer tipo: firewalls a nivel de chip
Se basan en plataformas de hardware especializadas y no tienen sistema operativo.
Los chips ASIC patentados los hacen más rápidos, tienen más potencia de procesamiento y funcionan mejor que otros tipos de firewalls.
El fabricante más famoso de este tipo de firewall es Screen. Otras marcas incluyen Forti, que es una estrella en ascenso.
Dado que este tipo de firewall es un sistema operativo dedicado, el firewall en sí tiene menos lagunas. Sin embargo, el precio es relativamente alto, por lo que generalmente solo se considera cuando es "realmente necesario".
Aquí nos gustaría corregir varios conceptos incorrectos:
1. En términos de rendimiento, firewall a nivel de chip > firewall de hardware > firewall de software.
En términos de precio, este es efectivamente el caso.
Pero no necesariamente en términos de rendimiento.
La "bondad" de un firewall depende del número de concurrencias que admite, el tráfico máximo, etc., más que del software y el hardware.
De hecho, a excepción de los cortafuegos a nivel de chip, los cortafuegos de software y los cortafuegos de hardware son básicamente idénticos en hardware.
En la actualidad, la mayoría de los fabricantes de firewalls nacionales utilizan firewalls de hardware en lugar de firewalls de software. La primera razón es considerar la calidad de los administradores de red de los usuarios y otras razones, y también se basa en el hecho de que la mayoría de la gente en nuestro país. no tienen en cuenta los "firewalls visibles". Atiende la idea errónea de que el hardware es valioso pero el software invisible no lo es.
Muchos fabricantes de firewalls de hardware denigran el rendimiento de los firewalls de software, solo para que su PC común con un shell + un kernel modificado + un conjunto de software de firewall pueda venderse a buen precio.
¿Y por qué no construir un firewall a nivel de chip? Francamente, ninguna empresa nacional tiene la solidez técnica.
Y en el mercado chino, la calidad del hardware de algunos de los llamados firewalls de hardware nacionales ni siquiera es comparable a la de las máquinas compatibles con el bricolaje.
Eche un vistazo a los discos duros y las tarjetas de red deficientes de los firewalls de hardware domésticos XX. Cualquiera que los haya usado puede adivinar cuáles son, así que no los nombraré.
Para analizar realmente un firewall, debes observar su estabilidad y rendimiento, en lugar de distinguir entre blando y duro.
Al menos, si lo compro yo mismo, elegiré CheckPoint en lugar del llamado firewall de hardware.
2. En términos de efecto, el cortafuegos del chip es mejor que los otros dos cortafuegos.
Este también es un punto de vista injusto.
De hecho, debido al hardware independiente del firewall del chip, hay menos oportunidades de vulnerabilidades en el propio sistema operativo. Sin embargo, debido a su solidificación, no puede responder a tiempo ante algún ataque emergente. métodos y además Para ambos tipos de firewalls, simplemente puede actualizar el kernel del sistema operativo para obtener nuevas características del sistema y establecer políticas de manera flexible para cumplir con los requisitos cambiantes. Sin embargo, la probabilidad de que se produzcan vulnerabilidades en sus sistemas operativos es relativamente alta.
3. Sólo en indicadores técnicos
Por favor realice la compra basándose en la primera premisa de que "el firewall se compra para su uso".
La calidad del firewall en sí es una cosa y otra si está acostumbrado a usarlo.
Si no está familiarizado con la interfaz de un producto y no comprende el método de configuración de políticas, ni siquiera utilizar el firewall más importante del mundo será de mucha utilidad.
Al igual que obtuve la "Espada Yitian" y la "Espada asesina de dragones" que todos en el mundo de las artes marciales anhelan en la novela, definitivamente no serían rival para el Shaolin con las manos desnudas de Qiao Feng. Changquan.
Desde el desarrollo de la tecnología de firewall, el mercado se ha vuelto muy maduro. La existencia de varios productos, naturalmente, tiene sus razones para existir en el mercado.
Cómo hacer un buen uso de un producto es mucho mejor que comparar ciegamente varios productos.
IDS
¿Qué es el IDS? El IDS inicial era sólo un sistema de seguimiento. Aquí se puede entender el seguimiento como una escucha clandestina.
Basado en el método de trabajo actual de la red de la oficina, IDS puede registrar todos los accesos y operaciones de los usuarios al servidor ubicado en el mismo conmutador/HuB que IDS para su análisis y uso, similar a los eventos de nuestros eventos comunes. sistema operativo Widnows usado El visor es similar.
Más tarde, debido a que había demasiados registros en IDS, la nueva generación de IDS proporcionó la capacidad de analizar los datos registrados y solo enumerar algunos de los registros peligrosos. Esto es similar a la estrategia utilizada actualmente por Windows. La auditoría es muy similar: la nueva generación actual de IDS ha agregado la función de analizar datos de la capa de aplicación, lo que aumenta en gran medida sus capacidades y la nueva generación de IDS tiene el sabor de "desenvainar una espada para ayudar cuando el camino es difícil". Cooperación El firewall colabora para analizar las direcciones hostiles identificadas por el IDS e impedir su acceso.
Al igual que la diferencia entre teoría y práctica, aunque IDS tiene muchas de las características mencionadas anteriormente, en el uso real, la mayoría de los métodos de acceso actuales para la detección de intrusiones adoptan el método de paso para escuchar el flujo de datos. en la red, por lo que esto limita la función de bloqueo del propio IDS. El IDS solo puede bloquear el comportamiento actual enviando paquetes de datos de bloqueo, y el rango de bloqueo del IDS también es muy pequeño y solo puede bloquear el establecimiento de Algunos comportamientos basados en TCP. como Tel, FTP, HTTP, etc., son impotentes para algunos comportamientos basados en UDP.
Debido a que las políticas de firewall se establecen de antemano y no se pueden configurar dinámicamente, carecen de la flexibilidad necesaria para hacer frente a los ataques y no pueden proteger mejor la seguridad de la red. Por lo tanto, el propósito de vincular IDS con firewalls es proteger mejor la red. Seguridad de la red Bloquear eficazmente los ataques que se produzcan, reduciendo así los riesgos de la red al mínimo.
A continuación, presentaré brevemente el principio de funcionamiento de la vinculación del IDS y el firewall.
Después de capturar un evento de ataque, el sistema de detección de intrusiones verificará de acuerdo con la política. incluido en la política, si el firewall bloquea el evento, el sistema de detección de intrusiones enviará una política de bloqueo dinámico correspondiente al firewall. El firewall bloqueará en consecuencia de acuerdo con la configuración de la política dinámica, incluido el tiempo de bloqueo, el tiempo de bloqueo. El intervalo y el puerto de origen, el puerto de destino, la IP de origen, la IP de destino y otra información se ejecutan completamente de acuerdo con la política dinámica emitida por el sistema de detección de intrusos.
En términos generales, en muchos casos, los firewalls e IDS de muchos usuarios no son productos de la misma empresa, por lo que la mayoría de los protocolos de enlace cumplen con los protocolos opsec o topsec para la comunicación. también tienen sus propias Desarrollar las especificaciones de comunicación correspondientes.
En términos generales, la vinculación tiene cierto efecto, pero la estabilidad no es la ideal, especialmente cuando los atacantes utilizan información de paquetes falsificada para hacer que el IDS juzgue mal y luego ordena erróneamente al firewall que bloquee direcciones legítimas.
Debido a muchas deficiencias, en la actualidad, IDS desempeña principalmente la función de seguimiento y registro.
Utiliza una metáfora para describirlo: la red es como la oscuridad, llena de peligros, y solo hay una salida; el IDS es como una linterna, aunque la linterna puede no ser capaz de iluminar la salida correcta, pero al menos algo es mejor que nada.
Un administrador de red competente puede obtener cierta información sobre la fuente y los métodos de acceso de los usuarios de la red del IDS y luego emitir juicios subjetivos basados en su propia experiencia (tenga en cuenta que, de hecho, se trata de un juicio subjetivo.
p>Por ejemplo, si un usuario hace ping al servidor continuamente durante media hora, ¿es un ataque intencional o un comportamiento no intencional? Esto depende del juicio subjetivo del administrador de la red y de los requisitos de seguridad de la red.
) La elección de IDS es similar a la elección del firewall mencionado anteriormente. De acuerdo con sus requisitos reales y hábitos de uso, elija uno que sea suficiente para usted y uno que pueda usar.
Finalmente, lo que quiero decir sigue siendo la frase "Ninguna tecnología en el mundo puede realmente garantizar una seguridad absoluta".
"Los problemas de seguridad van desde los equipos hasta las personas, desde los servidores hasta Desde cada programa de servicio hasta las cuestiones integrales de productos de seguridad como firewalls e IDS, trabajar en cualquier enlace es solo un paso hacia la seguridad;