1. Tecnología de red virtual
La tecnología de red virtual se basa principalmente en la tecnología de conmutación LAN (conmutación ATM y Ethernet) desarrollada en los últimos años. La tecnología de conmutación convierte la tecnología LAN tradicional basada en transmisión en tecnología orientada a la conexión. Por lo tanto, el sistema de gestión de red tiene la capacidad de limitar el alcance de las comunicaciones LAN sin pasar por costosos enrutadores.
Los beneficios de la seguridad de la red que aporta el mecanismo operativo anterior son obvios: la información sólo llega al lugar donde se supone que debe ir. Por tanto, se evitan la mayoría de los métodos de intrusión basados en la monitorización de la red. A través del control de acceso establecido por la red virtual, los nodos de la red fuera de la red virtual no pueden acceder directamente a los nodos dentro de la red virtual. Sin embargo, la tecnología de redes virtuales también trae consigo nuevos problemas de seguridad:
Los dispositivos que realizan la conmutación de redes virtuales son cada vez más complejos, convirtiéndose así en blanco de ataques.
La tecnología de monitoreo de intrusiones basada en el principio de transmisión de red requiere configuraciones especiales en redes de conmutación de alta velocidad.
La VLAN basada en MAC no puede prevenir ataques de suplantación de MAC.
Ethernet se basa esencialmente en el mecanismo de transmisión, pero después de aplicar la tecnología de conmutación y VLAN, en realidad se transforma en comunicación punto a punto, a menos que se configure un puerto de escucha, no habrá monitoreo ni inserción. en el intercambio de información.
Sin embargo, el uso de la división VLAN basada en MAC enfrentará ataques de direcciones MAC falsas. Por lo tanto, la división de VLAN se basa mejor en los puertos del switch. Pero esto requiere que todo el escritorio de la red utilice un puerto de conmutador o que las máquinas del segmento de red donde se encuentra cada puerto de conmutador pertenezcan a la misma VLAN.
Las comunicaciones de la capa de red pueden cruzar enrutadores, por lo que se pueden lanzar ataques desde ubicaciones remotas. La implementación del conjunto de protocolos IP por parte de varios fabricantes es imperfecta, por lo tanto, se descubren relativamente más vulnerabilidades de seguridad en la capa de red, como ataques de barrido de IP, lágrima, inundación de sincronización, suplantación de IP, etc.
2. Tecnología de firewall
La tecnología de firewall de red es una tecnología que se utiliza para fortalecer el control de acceso entre redes y evitar que los usuarios de la red externa ingresen a la red interna a través de medios ilegales y accedan a la red interna. Los recursos de red son dispositivos especiales de interconexión de red que protegen el entorno operativo de la red interna. Verifica los paquetes de datos transmitidos entre dos o más redes, como los métodos de enlace, de acuerdo con ciertas políticas de seguridad para determinar si la comunicación entre redes está permitida y monitorea el estado operativo de la red. .
Los productos de firewall incluyen principalmente hosts bastión, enrutadores de filtrado de paquetes, gateways de capa de aplicación (servidores proxy) y gateways de capa de circuito, firewalls de host blindados, hosts duales y otros tipos.
Aunque Los firewalls son un medio eficaz para proteger las redes contra ataques de piratas informáticos, pero también tienen desventajas obvias: no pueden prevenir ataques a través de otros medios que no sean los firewalls, y no pueden prevenir amenazas de traidores internos y usuarios desprevenidos, ni pueden prevenir por completo la transmisión de. software o archivos infectados por virus y no pueden prevenir ataques basados en datos.
Desde que American Digital Company instaló el primer sistema de firewall comercial del mundo en Internet en 1986, se propuso que Después de que se desarrolló el concepto de firewall Inventada, la tecnología de firewall se ha desarrollado rápidamente. Docenas de empresas en el país y en el extranjero han lanzado series de productos de firewall con diferentes funciones.
Los firewalls se encuentran en la parte inferior del sistema de seguridad de red de cinco capas, pertenece a la categoría. de la tecnología de seguridad de la capa de red, la pregunta que hacen las empresas sobre el sistema de seguridad es: ¿Pueden todas las IP acceder al sistema de red interno de la empresa? Si la respuesta es "sí", significa que la red interna de la empresa aún no lo ha hecho. medidas preventivas correspondientes en la capa de red.
Como primera barrera entre la red interna y la red pública externa, el firewall es uno de los primeros productos de seguridad de red en recibir la atención de las personas. Aunque en teoría tiene firewalls. están en la base de la seguridad de la red y son responsables de la autenticación de seguridad y la transmisión entre redes. Sin embargo, con el desarrollo general de la tecnología de seguridad de la red y los cambios continuos en las aplicaciones de la red, la tecnología de firewall moderna ha avanzado gradualmente hacia otras funciones de seguridad más allá de la capa de la red. Nivel, no solo para completar las tareas de filtrado de los firewalls tradicionales, sino también para proporcionar los servicios de seguridad correspondientes para diversas aplicaciones de red. Además, se están desarrollando una variedad de productos de firewall en la dirección de la seguridad de los datos y la autenticación de usuarios, evitando virus y piratas informáticos. intrusiones, etc.
1. Beneficios de usar Firewall
Protección de servicios vulnerables
Al filtrar servicios inseguros, Firewall puede mejorar en gran medida la seguridad de la red y reducir el riesgo de Riesgo del huésped.
Por ejemplo, el Firewall puede prohibir el paso de los servicios NIS y NFS, y también puede rechazar el enrutamiento de origen y los paquetes de redirección ICMP.
Controlar el acceso al sistema
El firewall puede proporcionar control de acceso al sistema. Por ejemplo, se permite el acceso externo a determinados hosts, mientras que el acceso a otros hosts está prohibido. Por ejemplo, Firewall permite el acceso externo a servidores de correo y servidores web específicos.
Gestión de seguridad centralizada
Firewall implementa una gestión de seguridad centralizada para la intranet de la empresa. Las reglas de seguridad definidas en Firewall se pueden aplicar a todo el sistema de red interno sin necesidad de configurar cada servidor. la intranet. Configure políticas de seguridad en las máquinas respectivamente. Por ejemplo, se pueden definir diferentes métodos de autenticación en Firewall sin necesidad de instalar un software de autenticación específico en cada máquina. Los usuarios externos sólo necesitan autenticarse una vez para acceder a la intranet.
Confidencialidad mejorada
El uso de Firewall puede evitar que los atacantes obtengan información útil para atacar sistemas de red, como Finger y DNS.
Registrar y contar datos de utilización de la red y datos de uso ilegal
El Firewall puede registrar y contar las comunicaciones de red a través del Firewall, proporcionar datos estadísticos sobre el uso de la red y el Firewall puede proporcionar datos estadísticos para determinar posibles ataques y detecciones.
Ejecución de políticas
El firewall proporciona los medios para formular y ejecutar políticas de seguridad de red. Cuando el Firewall no está configurado, la seguridad de la red depende de los usuarios de cada host.
2. Elementos de configuración del Firewall
Políticas de red
Las políticas de red que afectan al diseño, instalación y uso de los sistemas Firewall se pueden dividir en dos niveles. , políticas de red avanzadas Defina los servicios permitidos y prohibidos y cómo utilizarlos. Las políticas de red de bajo nivel describen cómo el Firewall limita y filtra los servicios definidos en las políticas de alto nivel.
Política de acceso al servicio
La política de acceso al servicio se centra en los servicios de acceso a Internet y el acceso a la red externa (como la política de acceso telefónico, conexión SLIP/PPP, etc.).
Las políticas de acceso a los servicios deben ser factibles y razonables. Una estrategia viable debe equilibrar la prevención de riesgos cibernéticos conocidos con la prestación de servicios al usuario. Las políticas típicas de acceso a servicios son: permitir a los usuarios que han pasado la autenticación mejorada acceder a ciertos hosts y servicios internos desde Internet si es necesario; permitir a los usuarios internos acceder a hosts y servicios de Internet designados.
Estrategia de diseño del firewall
La estrategia de diseño del firewall se basa en un firewall específico y define las reglas para completar la política de acceso al servicio. Generalmente existen dos estrategias de diseño básicas:
Permitir cualquier servicio a menos que esté explícitamente prohibido;
No permitir cualquier servicio a menos que esté explícitamente permitido.
Se suele utilizar el segundo tipo de estrategia de diseño.
3. Clasificación básica del Firewall
Tipo de filtrado de paquetes
El producto de filtrado de paquetes es el producto principal del firewall y su base técnica es la transmisión de paquetes en la red. Tecnología. Los datos en la red se transmiten en unidades de "paquetes". Los datos se dividen en paquetes de un cierto tamaño. Cada paquete contendrá información específica, como la dirección de origen de los datos, la dirección de destino, TCP/UDP. puerto de origen y puerto de destino, etc. El firewall determina si estos "paquetes" provienen de un sitio confiable y seguro leyendo la información de la dirección en el paquete de datos. Una vez que se encuentra un paquete de datos de un sitio peligroso, el firewall rechazará los datos. Además, el administrador del sistema también puede formular reglas de juicio de manera flexible de acuerdo con la situación real.
Las ventajas de la tecnología de filtrado de paquetes son que es simple y práctica, y tiene un bajo costo de implementación cuando el entorno de la aplicación es. relativamente simple, se puede usar con un costo menor que garantiza la seguridad del sistema hasta cierto punto.
Pero las fallas de la tecnología de filtrado de paquetes también son obvias. La tecnología de filtrado de paquetes es una tecnología de seguridad completamente basada. en la capa de red solo puede determinar el origen y el destino del paquete de datos en función de la información de la red, como puertos y puertos, no se pueden identificar intrusiones maliciosas basadas en la capa de aplicación, como subprogramas de Java maliciosos y virus adjuntos. Los piratas informáticos experimentados pueden falsificar fácilmente direcciones IP y engañar a los cortafuegos de filtrado de paquetes.
La traducción de direcciones de red (NAT)
es un estándar para convertir direcciones IP en direcciones IP registradas, externas y temporales. Permite el acceso a redes internas con direcciones IP privadas de Internet. También significa que los usuarios no pueden obtener una dirección IP registrada para cada máquina en su red.
Cuando la red interna accede a la red externa a través de la. tarjeta de red segura, se generará un registro de mapeo El sistema se apagará. La dirección de origen y el puerto de origen se asignan a una dirección y un puerto disfrazados, y la dirección y el puerto disfrazados se conectan a la red externa a través de una tarjeta de red no segura. , de modo que la dirección real de la red interna queda oculta desde el exterior. Se accede desde la red externa a través de la tarjeta de red no segura. Al acceder a la red interna, no conoce el estado de conexión de la red interna, solo solicita acceso a través de un. Abra la dirección IP y el puerto. El firewall OLM determina si el acceso es seguro según las reglas de mapeo predefinidas. Cuando se cumplen las reglas, el firewall puede aceptar la solicitud de acceso o mapear la solicitud de conexión. a diferentes computadoras internas cuando no se cumplen las reglas, el firewall considera que el acceso no es seguro y no puede ser aceptado, y el firewall bloqueará las solicitudes de conexión externa. El proceso de traducción de direcciones de red es transparente para los usuarios y no requiere usuarios. para configurarlo, los usuarios solo necesitan realizar operaciones regulares.
Tipo de proxy
También se pueden utilizar cortafuegos de tipo proxy, su seguridad es mayor que la del filtrado de paquetes. productos, y ha comenzado a desarrollarse hacia la capa de aplicación. El servidor proxy está ubicado entre el cliente y el servidor, bloqueando completamente el intercambio de datos entre los dos. Desde la perspectiva del cliente, el servidor proxy es equivalente a un servidor real; Desde la perspectiva del servidor, el servidor proxy es un cliente real. Cuando el cliente necesita usar datos en el servidor, primero envía la solicitud de datos al servidor proxy, y el servidor proxy luego obtiene los datos del servidor. En esta solicitud, y luego el servidor proxy transmite los datos al cliente. Dado que no existe un canal de datos directo entre el sistema externo y el servidor interno, es difícil que las intrusiones maliciosas externas dañen el sistema de red interno de la empresa.
La ventaja del firewall proxy es que tiene alta seguridad, puede detectar y escanear la capa de aplicación y es muy efectivo para lidiar con intrusiones y virus basados en la capa de aplicación. Un impacto negativo en el rendimiento general del sistema. Un gran impacto, y el servidor proxy debe configurarse uno por uno para todos los tipos de aplicaciones que pueda generar el cliente, lo que aumenta en gran medida la complejidad de la administración del sistema.
Tipo de monitoreo Tipo de monitoreo
El firewall es un producto de nueva generación. Esta tecnología en realidad ha superado la definición original de firewall de tipo monitoreo que puede monitorear datos de manera proactiva en cada capa. Monitoreo, basado en el análisis de estos datos, el firewall de monitoreo puede determinar efectivamente intrusiones ilegales en cada capa. Al mismo tiempo, este producto de firewall de detección generalmente también tiene detectores distribuidos, que se colocan entre varios servidores de aplicaciones y otros nodos de red. No solo puede detectar ataques desde fuera de la red, sino que también tiene un fuerte efecto preventivo sobre daños maliciosos desde dentro. Según estadísticas de organizaciones autorizadas, entre los ataques contra sistemas de red, hay una proporción considerable de ataques que provienen de dentro de la red. Por lo tanto, el firewall de monitoreo no solo supera la definición de firewall tradicional, sino que también supera las dos generaciones anteriores de productos en términos de seguridad.
Aunque la seguridad de los firewalls de monitoreo ha superado el filtrado de paquetes y los firewalls de servidores proxy, pero Debido a que la tecnología de firewall de monitoreo es más costosa de implementar y difícil de administrar, los productos de firewall en la práctica todavía están dominados por productos proxy de segunda generación, pero en algunos aspectos también han comenzado a usar firewalls de monitoreo basándose en consideraciones integrales sobre los costos y la seguridad del sistema. costos de tecnología, los usuarios pueden utilizar selectivamente ciertas tecnologías de monitoreo, lo que no solo puede garantizar los requisitos de seguridad del sistema de red, sino también controlar eficazmente el costo total de propiedad.
De hecho, como la corriente principal. Como tendencia de los productos de firewall actuales, la mayoría de los servidores proxy (también llamados puertas de enlace de aplicaciones) también integran tecnología de filtrado de paquetes. La aplicación combinada de estas dos tecnologías es obviamente mejor que usarlas solas. Dado que este producto se basa en aplicaciones, la aplicación. La puerta de enlace puede proporcionar filtrado de protocolos. Por ejemplo, puede filtrar el comando PUT en la conexión FTP y, a través de la aplicación proxy, la puerta de enlace de la aplicación puede evitar eficazmente la fuga de información de la red interna. gateway que las contradicciones en el proceso de solicitud se centran principalmente en el soporte efectivo de múltiples protocolos de aplicación de red y el impacto en el rendimiento general de la red.
4. Principios para construir un Firewall
Análisis de los requisitos de seguridad y servicio
Las siguientes preguntas ayudarán a analizar los requisitos de seguridad y servicio:
√ Qué servicios de Internet planea utilizar (como servicios (red local, acceso telefónico, oficina remota)).
√ Necesidades adicionales, como soporte de cifrado o acceso telefónico.
√ Proporcionar los riesgos de acceso y servicios anteriores
√ Proporcionar control de seguridad de la red a expensas de los servicios de aplicaciones del sistema
En general, las estrategias de seguridad de la red deben mantenerse. cierto grado de flexibilidad, principalmente por las siguientes razones:
√ Internet en sí se está desarrollando muy rápidamente y es posible que las organizaciones necesiten seguir utilizando los nuevos servicios proporcionados por Internet para realizar negocios. La proliferación de nuevos. Los problemas y servicios de seguridad han generado nuevos problemas de seguridad, y las políticas de seguridad deben poder reflejar y abordar estos problemas.
√ Los riesgos que enfrentan las organizaciones no son estáticos. la configuración puede cambiar los riesgos.
Política de autenticación de usuarios remotos
√ Los usuarios remotos no pueden acceder al sistema a través de un módem no autenticado colocado detrás del firewall.
√ PPP/SLIP. Se requiere conexión. Pasar la autenticación de Firewall.
√ Capacitar a los usuarios remotos sobre los métodos de autenticación.
Política de acceso telefónico de entrada/salida
√ Acceso telefónico de entrada/marcado. Las capacidades de salida deben estar en el diseño. Considere e integre con el Firewall
√ Los usuarios de acceso telefónico externo deben pasar la autenticación del Firewall
Política del servidor de información
√. Servidor de información pública ***. La seguridad debe integrarse en el Firewall.
√ Se debe implementar un control de seguridad estricto en los servidores de información pública, de lo contrario se convertirá en una brecha en la seguridad del sistema.
√ Definir una política de seguridad de compromiso del Servidor de Información para permitir la prestación de servicios públicos.
√ Diferenciar políticas de seguridad entre servicios de información pública e información comercial (como el correo electrónico).
Funciones básicas del sistema Firewall
√ El firewall debe ser compatible. Política de diseño "Ningún servicio a menos que esté explícitamente permitido".
√ El Firewall debe admitir políticas de seguridad reales en lugar de cambiar las políticas de seguridad para adaptarse al Firewall.
√ El firewall debe ser flexible para adaptarse a los cambios en las políticas de seguridad provocados por nuevos servicios y cambios en la inteligencia organizacional.
√ El firewall debe admitir un mecanismo de autenticación mejorado.
√ El firewall debe utilizar tecnología de filtrado para permitir o denegar el acceso a hosts específicos.
√ El lenguaje de descripción del filtrado de IP debe ser flexible, fácil de usar y admitir IP de origen e IP de destino, tipo de protocolo, puertos TCP/UDP de origen y destino e interfaces de llegada y salida.
√ El firewall debe proporcionar servicios de proxy para FTP y TELNET para proporcionar un mecanismo de gestión de autenticación mejorado y centralizado. Si se proporcionan otros servicios (como NNTP, rlogin, etc.), pero debido a que el proceso de autenticación no está cifrado, la contraseña se monitorea y descifra fácilmente.
Autenticación mediante algoritmo de resumen
Radius (protocolo de autenticación por acceso telefónico), protocolo de enrutamiento (OSPF), protocolo de seguridad SNMP, etc., todos utilizan la clave de seguridad compartida y el algoritmo de resumen (MD5) para la autenticación, ya que el algoritmo de resumen es un proceso irreversible, por lo tanto, durante. autenticación Durante el proceso, la clave de seguridad compartida no se puede calcular a partir de la información de resumen y la información confidencial no se transmite en la red. Los principales algoritmos de resumen utilizados en el mercado son MD5 y SHA-1. Autenticación basada en <. /p>
Al utilizar un sistema de clave pública para la autenticación y el cifrado, este método es altamente seguro y utiliza de manera integral tecnologías como algoritmo de resumen, cifrado asimétrico, cifrado simétrico y firmas digitales para combinar seguridad con alta seguridad. Combinado con eficiencia, los principios básicos de la autenticación PKI se describen más adelante. Este método de autenticación se utiliza actualmente en el correo electrónico, el acceso al servidor de aplicaciones, la autenticación del cliente, la autenticación del firewall y otros campos. Alto, pero implica tareas de gestión de certificados relativamente pesadas