Un regard sous le capot des produits de Firewalling

Share

|

Dans le sens ésotérique, les composants d'un mur à l'épreuve du feu existent dans l'esprit de la personne les construisant. Un mur à l'épreuve du feu, à son commencement, est un concept plutôt qu'un produit ; c'est l'idée entourant le mécanisme de contrôle d'accès qui permet le trafic à et de votre réseau.

Dans le sens plus général, un mur à l'épreuve du feu se compose du logiciel et du matériel. Le logiciel peut être de propriété industrielle, shareware, ou freeware. Le matériel peut être n'importe quel matériel qui soutient le logiciel.

Des technologies de mur à l'épreuve du feu peuvent généralement être classifiées dans une de trois catégories :

· le Paquet-filtre–a basé (habituellement couteaux, IOS de Cisco, et ainsi de suite)

· Le paquet-filtre de Stateful–a basé (point de contrôle FW-1, PIX, et ainsi de suite)

· Procuration-basé (gantelet de NaI, Axent Raptor, et ainsi de suite)

Brièvement examinons chacun.

Le Paquet-Filtre–A basé Des Murs à l'épreuve du feu

Les murs à l'épreuve du feu de filtrage de paquet sont typiquement des couteaux avec des possibilités defiltrage. Utilisant un couteau defiltrage de base, vous pouvez accorder ou nier l'accès à votre emplacement basé sur plusieurs variables, incluant

· Adresse de source

· Adresse de destination

· Protocole

· Nombre gauche

les murs à l'épreuve du feu Couteau-basés sont populaires parce qu'ils sont facilement mis en application. (vous branchez simplement un, fournissez un Access Control List, et vous êtes fait.) D'ailleurs, les couteaux offrent une solution intégrée. Si votre réseau est de manière permanente relié à l'Internet, youneed un couteau de toute façon. Ainsi, pourquoi ne pas tuer deux oiseaux avec une pierre ?

D'autre part, les murs à l'épreuve du feu couteau-basés ont plusieurs insuffisances. D'abord, ils habituellement ne sont pas préparés pour manipuler certain type de démenti des attaques de service. Beaucoup du démenti de la tactique de service utilisée sur l'Internet aujourd'hui sont basés sur mutiler de paquet, inondation de SYN, ou forçant d'autres anomalies de TCP/IP-based. Des couteaux de base ne sont pas conçus pour manipuler ces types d'attaques. En second lieu, la plupart des couteaux ne peuvent pas maintenir des données d'état de session. Des administrateurs sont forcés alors de maintenir tous les ports au-dessus de 1024 ouverts afin de manipuler des sessions de TCP et des négociations de session correctement. Bien que ce ne soit discutablement pas un souci énorme de sécurité (parce qu'il ne devrait pas y avoir aucune écoute entretient le fonctionnement sur ces ports de toute façon), il n'est pas dans généralement de bons habitudes de laisser les ports inutilisés ouverts d'extérieur.

En conclusion, en utilisant ACLs (le contrôle d'accès énumère) sur les couteaux à extrémité élevé qui soutiennent les réseaux extrêmement occupés peuvent contribuer à la dégradation d'exécution et à la charge plus élevée d'unité centrale de traitement. Cependant, pour la plupart des raccordements à vitesse réduite (tels que circuits T1) sur des couteaux d'bas-extrémité (tels que le Cisco des couteaux de 2500 séries), le filtrage normal de paquet n'imposera pas le couteau d'une manière sensible.

Note

Pendant longtemps, on l'a cru que la mise des listes de contrôle d'accès (ACLs) sur des couteaux dégraderait considérablement leur exécution. Bien que collant 100 une règle ACL sur un Cisco 7000 des douzaine les raccordements de support atmosphères ne pourraient pas être les meilleurs des idées, le placement d'ACLs de base sur des couteaux soutenant (10Mbps ou s'abaisser) les raccordements à vitesse réduite ne dégrade pas habituellement leur exécution sensiblement. Deux membres du souterrain, rfp et NightAxis, ont édité quelques résultats de base à ce sujet qui peut être trouvé à http://www.wiretrip.net/rfp/. Depuis lors, d'autres études ont été également réalisées (votre kilomètrage peut changer). Rappelez-vous, même le Cisco d'bas-extrémité des couteaux que de 2500 séries ont été basés sur des ensembles de morceau de Motorola 68030 et 68040, et les plus nouveaux emploient bien plus de morceaux RISC-BASÉS avançés. Les couteaux sont plus puissants alors beaucoup de gens leur donnent le degré de solvabilité pour. Examinez-le vous-même—voient ce que vous trouvez.

Bout

Beaucoup d'administrateurs de réseau emploieront ACLs sur leurs couteaux de périmètre en même temps qu'un mur à l'épreuve du feu plus avançé pour créer une approche multitier au contrôle d'accès de réseau.

Le Paquet-Filtre De Stateful–A basé Des Murs à l'épreuve du feu

Constructions de filtrage de paquet de Stateful sur le concept et les prises de filtrage de paquet il quelques étapes plus loin. Les murs à l'épreuve du feu construits sur ce modèle maintiennent des sessions et des raccordements dans les tables internes d'état, et peuvent donc réagir en conséquence. Pour cette raison, les produits basés–defiltrage stateful sont plus flexibles que leurs contre-parties defiltrage pures. En outre, les produits basés defiltrage–stateful sont conçus pour se protéger contre certains types d'attaques de DOS, et pour ajouter la protection pour le courrier Smtp-basé et un assortiment d'autres dispositifs sécurité-spécifiques.

Le point de contrôle a frayé un chemin la technique appelée "l'inspection stateful" (SI), qui prend le paquet stateful filtrant vers le haut d'une entaille. Le SI permet à des administrateurs d'établir des règles de mur à l'épreuve du feu pour examiner la charge utile réelle de données, plutôt puis juste les adresses et les ports.

Note

Puisque les murs à l'épreuve du feu basés–defiltrage stateful dépistent des états de session, ils peuvent garder les ports au-dessus de 1024 clôturés par défaut et seulement ouvrir les hauts ports sur une base comme-nécessaire. Aussi simple que ceci pourrait retentir, c'est pourquoi la plupart des administrateurs considèrent le paquet stateful filtrant pour être la technologie minimum qu'ils mettront en application pour leurs solutions de mur à l'épreuve du feu.

Murs à l'épreuve du feu Procuration-Basés

Un autre type de mur à l'épreuve du feu est le mur à l'épreuve du feu procuration-basé (parfois désigné sous le nom d'un passage ou d'une application-procuration d'application). Quand un utilisateur à distance entre en contact avec un réseau courant un mur à l'épreuve du feu procuration-basé, les procurations de mur à l'épreuve du feu le raccordement. Avec cet IP de technique des paquets ne sont pas expédiés directement au réseau interne. Au lieu de cela, un type de traduction se produit, avec le mur à l'épreuve du feu agissant en tant que conduit et interprète.

Comment est-ce que ceci diffère du paquet stateful filtrant et paquet générique filtrant, demandez-vous ? Bonne question—et une que beaucoup de gens posent. Les filtres de paquet et les procédés de filtration stateful examinent les paquets entrants et sortants aux niveaux de réseau et de session. Ils examinent la source d'IP et les adresses de destination avec des ports et des drapeaux de statut, les comparent à leurs ensembles de règle et information de table, et puis décident si le paquet devrait être expédié. les murs à l'épreuve du feu Procuration-basés, d'autre part, inspectent le trafic au niveau d'application en plus des niveaux plus bas. Un paquet hérite le mur à l'épreuve du feu et est remis au loin à une procuration spécifique à l'application, qui inspecte la validité de la demande de paquet et d'application-niveau elle-même. Par exemple, si une demande de Web (HTTP) hérite un mur à l'épreuve du feu procuration-basé, la charge utile de données contenant la demande de HTTP sera remise à un processus de HTTP-PROCURATION. Une demande de ftp serait remise à un processus de Ftp-procuration, telnet à un processus de procuration de telnet, et ainsi de suite.

Ce concept d'une approche de protocole-par-protocole est puis un paquet stateful et générique plus bloqué filtrant parce que le mur à l'épreuve du feu comprend les protocoles d'application eux-mêmes (HTTP, ftp, smtp, BRUIT, et ainsi de suite). Il est plus difficile que les intrus partent furtivement après quelque chose qui observe plus que juste les ports et des adresses d'IP. Cependant, notez que j'ai employé le mot "concept" dans la référence à elle étant plus bloquée. La vérité de la matière est celle dans des applications réelles, cette approche a eu son partie équitable des problèmes.

les murs à l'épreuve du feu Procuration-basés ont toujours été puis basés defiltrage–stateful les plus lents. Maintenant, pour la plupart des réseaux (10Mbps ou plus lent), cette différence est discutable. Cependant, parce que les réseaux fortement chargés (T3s à 45Mbps, T3s multiple approchant 100Mbps, et ainsi de suite), ceci devient une issue beaucoup plus grande. Car la technologie s'améliore, l'espace pourrait se fermer, mais pour maintenant l'usage de la technologie procuration-basée pure est toujours un souci pour les réseaux à fort débit.

En plus du problème d'exécution, la solution procuration-basée a également quelques issues d'adaptabilité. Supposez, par exemple, qu'un nouveau protocole est inventé pour contrôler vos cafetières à la maison. Pour l'exemple, nous appellerons ce protocole le système de commande de percolation, ou PCS pour le short. Maintenant, laissez-nous supposent également que les PCS emploie le TCP et court le port fini 666. Les administrateurs des murs à l'épreuve du feu basés–defiltrage stateful devront simplement établir une nouvelle règle dans leur mur à l'épreuve du feu permettant le trafic au-dessus du TCP sur le port 666, et c'est une affaire faite. Les administrateurs des murs à l'épreuve du feu procuration-basés, cependant, ont un nouveau problème : Ils n'ont pas une procuration (pourtant) pour des PCS. C'est un protocole nouveau. Bien que quelques murs à l'épreuve du feu procuration-basés (tels que le gantelet du NaI) aient une procuration générique pour de tels problèmes, maintenant nous sommes de nouveau au paquet de base filtrant, avec lequel défait le but d'avoir une procuration à commencer.

Cependant, en prenant à cet exemple une mesure plus loin, disons le fournisseur procuration-basé de mur à l'épreuve du feu écrit par la suite un PCS-proxy, et tout est bien dans Coffeeville. Peu après, quelques entrepreneurs malfaisants de helpdesk ressuscitent leurs vieilles copies du SORT MALHEUREUX de réseau, qui court également le port fini 666, et ils essayent de commencer à maltraiter un vieux penchant. Bas-et-voyez, le SORT MALHEUREUX de réseau ne le fera pas par le mur à l'épreuve du feu procuration-basé, mais il par basé–defiltrage le stateful.