Uno sguardo sotto il cappuccio dei prodotti di Firewalling

Share

|

Nel senso esoterico, i componenti di una parete refrattaria esistono nella mente della persona che li costruisce. Una parete refrattaria, al relativo inizio, è un concetto piuttosto che un prodotto; è l'idea che circonda il meccanismo di controllo di accesso che permette il traffico a e da la vostra rete.

Nel senso più generale, una parete refrattaria consiste del software e dei fissaggi. Il software può essere riservato, shareware, o freeware. I fissaggi possono essere tutti i fissaggi che sostengono il software.

Le tecnologie della parete refrattaria possono essere classificate generalmente in una di tre categorie:

· il Pacchetto-filtro–ha basato (solitamente routers, IOS del Cisco ed e così via)

· Il pacchetto-filtro di Stateful–ha basato (punto di controllo FW-1, PIX ed e così via)

· Procura-basato (guantone di protezione del NaI, Axent Raptor ed e così via)

Brevemente esaminiamo ciascuno.

Il Pacchetto-Filtro–Ha basato Le Pareti refrattarie

Le pareti refrattarie di filtrazione del pacchetto sono tipicamente routers con le possibilità difiltrazione. Per mezzo di un router difiltrazione di base, potete assegnare o negare l'accesso al vostro luogo basato su parecchie variabili, includenti

· Indirizzo di fonte

· Indirizzo di destinazione

· Protocollo

· Numero port

le pareti refrattarie Router-basate sono popolari perché sono effettuate facilmente. (inserite semplicemente uno, fornite un Access Control List e siete fatti.) Inoltre, i routers offrono una soluzione integrata. Se la vostra rete permanente sarà collegata al Internet, youneed un router comunque. Così, perchè non uccidere due uccelli con una pietra?

D'altra parte, le pareti refrattarie router-basate hanno parecchie mancanze. In primo luogo, non sono preparate solitamente per maneggiare determinato tipo di smentita degli attacchi di servizio. Molte della smentita delle tattiche di servizio usate sul Internet oggi sono basate mangling del pacchetto, sul flooding di SYN, o forzante altre anomalie di TCP/IP-based. I routers di base non sono progettati per il maneggiamento dei questi tipi di attacchi. In secondo luogo, la maggior parte dei routers non possono tenersi al corrente della sessione dichiarano i dati. I coordinatori allora sono costretti a mantenere tutti gli orificii superiore a 1024 aperti per maneggiare correttamente le sessioni di TCP e le trattative di sessione. Anche se questa non è discutibilmente una preoccupazione enorme di sicurezza (perché ci non dovrebbe essere alcun ascoltare assiste il funzionamento su quegli orificii comunque), non è generalmente una buona pratica lasciare gli orificii inutilizzati aperti alla parte esterna.

Per concludere, usando ACLs (il controllo di accesso elenca) sui routers high-end che stanno sostenendo le reti estremamente occupate possono contribuire a degradazione di prestazioni ed all'più alto carico del CPU. Tuttavia, per la maggior parte dei collegamenti a bassa velocità (quali i circuiti T1) sui routers dell'basso-estremità (quale il Cisco i routers di 2500 serie), la filtrazione normale del pacchetto non tasserà il router in una maniera sensibile.

Nota

A lungo, si è creduto che mettere le liste di controllo di accesso (ACLs) sui routers notevolmente degradasse le loro prestazioni. Anche se attaccando 100 una regola ACL su un Cisco 7000 i collegamenti di sostegno delle dozzina atmosfere non potrebbero essere il la cosa migliore delle idee, disporre ACLs di base sui routers che sostengono (10Mbps o abbassarsi) i collegamenti a bassa velocità non degrada solitamente le loro prestazioni notevolmente. Due membri del underground, rfp e NightAxis, hanno pubblicato alcuni risultati di base a questo proposito che può essere trovato a http://www.wiretrip.net/rfp/. Da allora, altri studi inoltre sono stati svolti (la vostra distanza in miglia può variare). Ricordisi di, persino il Cisco che dell'basso-estremità i routers di 2500 serie sono stati basati sugli insiemi del circuito integrato di Motorola 68030 e 68040 e quei più nuovi stanno usando ancor più circuiti integrati RISC-basati avanzati. I routers sono più potenti allora molta gente danno loro l'accreditamento per. Esaminilo voi stessi—vedono che cosa trovate.

Punta

Molti coordinatori della rete useranno ACLs sui loro routers di perimetro insieme con una parete refrattaria più avanzata per generare un metodo più multitier a controllo di accesso della rete.

Il Pacchetto-Filtro Di Stateful–Ha basato Le Pareti refrattarie

Configurazioni di filtrazione del pacchetto di Stateful sul concetto e sugli introiti di filtrazione del pacchetto esso alcuni punti ulteriormente. Le pareti refrattarie costruite su questo modello si tengono al corrente delle sessioni ed i collegamenti in interno dichiarano le tabelle e possono quindi reagire di conseguenza. A causa di questo, i prodotti basati–difiltrazione stateful sono più flessibili delle loro controparti difiltrazione pure. In più, i prodotti basati difiltrazione–più stateful sono destinati per proteggere da determinati tipi di attacchi del DOS e per aggiungere la protezione per posta Smtp-basata e un assortimento di altre caratteristiche di security-specifico.

Il punto di controllo ha aperto la strada alla tecnica chiamata "controllo stateful" (SI), che prende il pacchetto stateful che filtra su una tacca. Il SI permette ai coordinatori di sviluppare le regole della parete refrattaria per esaminare il carico utile reale di dati, piuttosto allora appena gli indirizzi e gli orificii.

Nota

Poiché la sessione basata–difiltrazione stateful della pista delle pareti refrattarie dichiara, possono mantenere gli orificii superiore a 1024 chiusi per difetto ed aprire soltanto gli alti orificii su una base come-necessaria. Semplice come questo potrebbe suonare, ecco perchè la maggior parte dei coordinatori considerano il pacchetto stateful che filtra per essere la tecnologia che minima effettueranno per le loro soluzioni della parete refrattaria.

Pareti refrattarie Procura-Basate

Un altro tipo di parete refrattaria è la parete refrattaria procura-basata (a volte citata come un Gateway o applicazione-procura di applicazione). Quando un utente a distanza si mette in contatto con una rete che fa funzionare una parete refrattaria procura-basata, le procure della parete refrattaria il collegamento. Con questo IP di tecnica i pacchetti non sono spediti direttamente alla rete interna. Invece, un tipo di traduzione si presenta, con la parete refrattaria che funge da condotto ed interpretatore.

Come questo differisce da dal pacchetto stateful che filtra e pacchetto generico che filtra, chiedete? Buona domanda—ed una che molta gente fa. Sia i filtri del pacchetto che i processi di filtrazione stateful esaminano i pacchetti ricevuti ed uscenti ai livelli di sessione e della rete. Esaminano la fonte del IP e gli indirizzi di destinazione con gli orificii e le bandierine di condizione, li confrontano ai loro insiemi di regola ed informazioni della tabella ed allora decidono se il pacchetto dovrebbe essere spedito. le pareti refrattarie Procura-basate, d'altra parte, controllano il traffico al livello di applicazione oltre che i più bassi livelli. Un pacchetto entra nella parete refrattaria ed è passato fuori ad una procura di application-specifico, che controlla la validità della richiesta in se del applicazione-livello e del pacchetto. Per esempio, se una richiesta di fotoricettore (HTTP) entra in una parete refrattaria procura-basata, il carico utile di dati che contiene la richiesta del HTTP sarà passato ad un processo di HTTP-PROCURA. Una richiesta del ftp sarebbe passata ad un processo di Ftp-procura, telnet ad un processo di procura del telnet e così via.

Questo concetto di un metodo di protocollo-da-protocollo è allora pacchetto stateful e generico più sicuro che filtra perché la parete refrattaria capisce i protocolli di applicazione essi stessi (HTTP, ftp, smtp, SCHIOCCO ed e così via). È più difficile affinchè gli intrusi sneak oltre qualcosa che stia guardando più appena gli orificii e gli indirizzi del IP. Tuttavia, noti che ho usato la parola "concetto" nel riferimento ad esso che è più sicuro. La verità della materia è quella nelle applicazioni nell'ambiente, questo metodo ha avuta relativa parte equa dei problemi.

le pareti refrattarie Procura-basate sono state sempre allora quelle basate difiltrazione–stateful più lente. Ora, per la maggior parte delle reti (10Mbps o più lento), questa differenza è discutibile. Tuttavia, dato che reti pesante caricate (T3s a 45Mbps, T3s multiplo che si avvicina a 100Mbps ed e così via), questo diventa un'edizione molto più grande. Poichè la tecnologia migliora, lo spacco potrebbe chiudersi, ma per ora l'uso di tecnologia procura-basata pura è ancora una preoccupazione per le reti in grande quantità.

Oltre che il problema di rendimento, la soluzione procura-basata inoltre ha alcune edizioni di adattabilità. Supponga, per esempio, che un nuovo protocollo è inventato per controllare le vostre caffettiere nel paese. Per l'esempio, denomineremo questo protocollo il sistema di controllo di percolazione, o i pc in breve. Ora, lascili inoltre suppongono che i pc usa il TCP e fa funzionare l'orificio eccessivo 666. I coordinatori delle pareti refrattarie basate–difiltrazione stateful dovranno semplicemente sviluppare una nuova regola nella loro parete refrattaria permettendo il traffico sopra il TCP su orificio 666 ed è un affare fatto. I coordinatori delle pareti refrattarie procura-basate, tuttavia, hanno un nuovo problema: Non hanno una procura (tuttavia) per i pc. È un protocollo brandnew. Anche se alcune pareti refrattarie procura-basate (quale il guantone di protezione del NaI) hanno una procura generica per tali problemi, ora siamo di nuovo al pacchetto di base che filtra, cui sconfigge lo scopo di avere una procura da cominciare con.

Tuttavia, prendendo a questo esempio una misura più ulteriormente, diciamo il fornitore procura-basato della parete refrattaria finalmente scrive un PCS-proxy e tutto è bene in Coffeeville. Presto dopo, alcuni appaltatori maligni del helpdesk resurrect le loro vecchie copie della SORTE AVVERSA della rete, che inoltre fa funzionare l'orificio eccessivo 666 e tentano di cominciare abusare una vecchia aggiunta. Basso-e-low-and-behold, la SORTE AVVERSA della rete non la farà attraverso la parete refrattaria procura-basata, ma con quella basata–difiltrazione stateful.