Межсетевой экран: что это такое и для чего он нужен, классификация

Определение типов межсетевых экранов

Существуют два основных типа межсетевых экранов: межсетевые экраны прикладного уровня и межсетевые экраны с пакетной фильтрацией. В их основе лежат различные принципы работы, но при правильной настройке оба типа устройств обеспечивают правильное выполнение функций безопасности, заключающихся в блокировке запрещенного трафика. Из материала следующих разделов вы увидите, что степень обеспечиваемой этими устройствами защиты зависит от того, каким образом они применены и настроены.

Межсетевые экраны прикладного уровня

Межсетевые экраны прикладного уровня, или прокси-экраны, представляют собой программные пакеты, базирующиеся на операционных системах общего назначения (таких как Windows NT и Unix) или на аппаратной платформе межсетевых экранов. Межсетевой экран обладает несколькими интерфейсами, по одному на каждую из сетей, к которым он подключен. Набор правил политики определяет, каким образом трафик передается из одной сети в другую. Если в правиле отсутствует явное разрешение на пропуск трафика, межсетевой экран отклоняет или аннулирует пакеты.

Правила политики безопасности усиливаются посредством использования модулей доступа. В межсетевом экране прикладного уровня каждому разрешаемому протоколу должен соответствовать свой собственный модуль доступа. Лучшими модулями доступа считаются те, которые построены специально для разрешаемого протокола. Например, модуль доступа FTP предназначен для протокола FTP и может определять, соответствует ли проходящий трафик этому протоколу и разрешен ли этот трафик правилами политики безопасности.

При использовании межсетевого экрана прикладного уровня все соединения проходят через него (см. рис. 10.1). Как показано на рисунке, соединение начинается на системе-клиенте и поступает на внутренний интерфейс межсетевого экрана. Межсетевой экран принимает соединение, анализирует содержимое пакета и используемый протокол и определяет, соответствует ли данный трафик правилам политики безопасности. Если это так, то межсетевой экран инициирует новое соединение между своим внешним интерфейсом и системой-сервером.

Межсетевые экраны прикладного уровня используют модули доступа для входящих подключений. Модуль доступа в межсетевом экране принимает входящее подключение и обрабатывает команды перед отправкой трафика получателю. Таким образом, межсетевой экран защищает системы от атак, выполняемых посредством приложений.

Рис. 10.1. Соединения модуля доступа межсетевого экрана прикладного уровня

Примечание

Здесь подразумевается, что модуль доступа на межсетевом экране сам по себе неуязвим для атаки. Если же программное обеспечение разработано недостаточно тщательно, это может быть и ложным утверждением.

Дополнительным преимуществом архитектуры данного типа является то, что при ее использовании очень сложно, если не невозможно, «скрыть» трафик внутри других служб. Например, некоторые программы контроля над системой, такие как NetBus и Back Orifice, могут быть настроены на использование любого предпочитаемого пользователем порта. Следовательно, их можно настроить на использование порта 80 (HTTP). При использовании правильно настроенного межсетевого экрана прикладного уровня модуль доступа не сможет распознавать команды, поступающие через соединение, и соединение, скорее всего, не будет установлено.

Межсетевые экраны прикладного уровня содержат модули доступа для наиболее часто используемых протоколов, таких как HTTP, SMTP, FTP и telnet. Некоторые модули доступа могут отсутствовать. Если модуль доступа отсутствует, то конкретный протокол не может использоваться для соединения через межсетевой экран.

Межсетевой экран также скрывает адреса систем, расположенных по другую сторону от него. Так как все соединения инициируются и завершаются на интерфейсах межсетевого экрана, внутренние системы сети не видны напрямую извне, что позволяет скрыть схему внутренней адресации сети.

Примечание

Большая часть протоколов прикладного уровня обеспечивает механизмы маршрутизации к конкретным системам для трафика, направленного через определенные порты. Например, если весь трафик, поступающий через порт 80, должен направляться на веб-сервер, это достигается соответствующей настройкой межсетевого экрана.

Определение

Межсетевой экран (МСЭ) – это обеспечивающее безопасность сети программа, которая просматривает весь входящий и исходящий трафик сети. Делает это основываясь на регламентированный набор правил безопасности, и исходя из них решает, останавливать или допускать проходящий тип трафика.

Такого рода защита используется уже свыше двадцати пяти лет на передовой сети и постоянно совершенствуется. Межсетевые экраны устанавливают так называемую «стену» между защищенными сетями (например, домашняя локалка) и ненадежной внешней сетью (например, интернет).

Межсетевой экран бывает не только программным. Различают аппаратный, программный и смешанный.

История создания

Свою историю сетевые экраны начинают с конца восьмидесятых прошлого века, когда Интернет ещё не стал повседневной вещью для большинства людей. Их функцию выполняли маршрутизаторы, осуществлявшие анализ трафика на основе данных из протокола сетевого уровня. Затем, с развитием сетевых технологий, эти устройства смогли использовать данные уже транспортного уровня. По сути, маршрутизатор являет собой самую первую в мире реализацию программно-аппаратного брандмауэра.

Программные сетевые экраны возникли много позже. Так, Netfilter/iptables, межсетевой экран для Linux, был создан только в 1998 году. Связано это с тем, что ранее функцию фаейрвола выполняли, и весьма успешно, антивирусные программы, но с конца 90-х вирусы усложнились, и появление межсетевого экрана стало необходимым.

Другие названия

Брандма́уэр (нем. Brandmauer) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «firewall».

Файрво́лл, файрво́л, файерво́л, фаерво́л — образовано транслитерацией английского термина firewall, эквивалентного термину межсетевой экран, в настоящее время не является официальным заимствованным словом в русском языке.

Разновидности сетевых экранов

Сетевые экраны подразделяют на типы в зависимости от характеристик

• обеспечение соединения между одним узлом и сетью или между двумя и более сетями
• на уровне каких сетевых протоколов идет контроль данных
• отслеживается ли состояние активных соединений.

В зависимости от охвата контролируемых потоков данных межсетевые экраны можно разделить на традиционный сетевой экран и персональный экран. Традиционный является программой на шлюзе или аппаратным решением, которое контролирует исходящие и входящие потоки данных между подключенными сетями. Персональный экран – это ПО, которое установлено на компьютере пользователя и служит для защиты от несанкционированного доступа только пользовательского компьютера.

Шлюзы сеансового уровня

Решение исключает взаимодействие между узлом и сетями с внешней стороны. Такие сетевые экраны становятся своеобразными посредниками, которые получили название «прокси». Проверку проводят для каждого входящего пакета. Если что-то не соответствует пакету, установленному ранее, информация блокируется. Отбрасываются и пакеты, которые выдают себя за соединения, ранее завершенные.

Но и у таких решений есть минус — содержание поля данных практически не подвергается проверкам, поэтому хакеры легко могут передавать вирусы.

Посредники прикладного уровня

Это посредники между двумя узлами. Их преимущество, отличающее от предыдущего варианта — анализ контекста передаваемых данных. Функции таких межсетевых экранов расширены по сравнению со стандартными технологиями:

• определение и блокирование нежелательных, несуществующих последовательностей команд;
• полный запрет на передачу некоторых видов данных;
• определение типа передаваемой информации. Тогда она не сможет войти с большой вероятностью.

Долгий анализ пакетов, связанный с временными затратами — главный минус решения. Новые протоколы и сетевые подключения не поддерживаются системой автоматически. Вход для вирусов из-за этого облегчён.

Функции сетевых экранов

Современная корпоративная сеть – не замкнутое информационное пространство. Зачастую это распределенная сеть, связанная с внешним ЦОДом, использующая облака и периферию, состоящая из множества сегментов. Современный корпоративный межсетевой экран должен обладать соответствующими функциями для ее защиты. Что именно нужно компаниям от файрвола, рассказывает инфографика.

Фильтрация трафика

Ruleset — заданный набор правил, на основе которого фильтруется вся информация, проходящая через межсетевой экран. Эту технологию можно описать как последовательность фильтров, которые анализируют и обрабатывают трафик. Они всегда следуют пакету конфигураций, заданному конкретным пользователем. Без этого блокировка происходит с нарушениями.

Существует два основных принципа, по которому обрабатывается большая часть трафика. Узнать, какой используется, достаточно просто.

• Первый, когда разрешаются любые пакеты данных. Исключение — те, на которые изначально накладывают запрет. Если информация при первом рассмотрении не попадает ни под одно из ограничений, значит осуществляется дальнейшая передача. Например, входящий трафик на Hamachi может быть заблокирован по разным причинам.
• Второй принцип предполагает, что разрешается всё, что не попадает под запрет.

Всего у межсетевого экрана две основные функции:

• Deny — запрет на данные;
• Allow — разрешение на то, чтобы пакеты передавались дальше. Позволять допуск можно разным сведениям.

Фильтрация трафика

Трафик фильтруется на основе заданных правил – ruleset. По сути, межсетевой экран представляет собой последовательность анализирующих и обрабатываемых трафик фильтров согласно данному пакету конфигураций. У каждого фильтра своё назначение; причём, последовательность правил может значительно влиять на производительность экрана. К примеру, большинство файрволов при анализе трафика последовательно сравнивают его с известными шаблонами из списка – очевидно, что наиболее популярные виды должны располагаться как можно выше.

Принципов, по которому осуществляется обработка входящего трафика, бывает два. Согласно первому разрешаются любые пакеты данных, кроме запрещённых, поэтому если он не попал ни под какое ограничение из списка конфигураций, он передается далее. Согласно второму принципу, разрешаются только те данные, которые не запрещены – такой метод обеспечивает самую высокую степень защищенности, однако существенно нагружает администратора.

Межсетевой экран выполняет две функции: deny, запрет данных – и allow – разрешение на дальнейшую передачу пакет. Некоторые брандмауэры способны выполнять также операцию reject – запретить трафик, но сообщить отправителю о недоступности сервиса, чего не происходит при выполнении операции deny, обеспечивающей таким образом большую защиту хоста.

Ограничения межсетевого экрана (Firewall-а)

Сетевой экран не проводит фильтрацию тех данных, которые не может интерпретировать. Пользователь сам настраивает, что делать с нераспознанными данными – в файле конфигураций, согласно которым и осуществляется обработка такого трафика. К таким пакетам данным относятся трафик из протоколов SRTP, IPsec, SSH, TLS, которые используют криптографию для скрытия содержимого, протоколы, шифрующие данные прикладного уровня (S/MIME и OpenPGP). Также невозможна фильтрация туннелирования трафика, если механизм того туннелирования непонятен сетевому экрану. Значительная часть недостатков межсетевых экранов исправлена в UTM-системах — Unified Threat Management, иногда их так же называют NextGen Firewall.

Реализация межсетевых экранов

Межсетевые экраны бывают программными либо программно-аппаратными. Программные выполняются в двух основных вариантах:

• специальное устройство;
• отдельный модуль в маршрутизаторе или коммутаторе.

Программным межсетевым экранам предпочтение отдают чаще всего. Для их эксплуатации достаточно установить специальное программное обеспечение, что редко вызывает трудности у тех, кому интересен телекоммуникационный обмен данными.

Программно-аппаратные комплексы специального назначения — выбор крупных предприятий. Они получили название и обозначение Security Appliance.

У подобных систем имеются следующие преимущества:

• отказоустойчивость. Вероятность сбоя практически исключается, система продолжает работать эффективно, что является важным критерием для многих в бизнесе;
• высокие показатели производительности. Операционная система во время работы выполняет одну-единственную функцию. Любые посторонние сервисы исключаются. Сертифицировать подобные решения удалось уже давно;
• простое управление. Настроить без труда можно любой параметр. Для контроля разрешается использовать любой протокол, соответствующий действующим стандартам. Допускаются и защищённые варианты. Маршрутизатор такого разнообразия не предполагает.

Требования к межсетевым экранам ФСТЭК

Основных требований со стороны ФСТЭК по отношению к межсетевым экранам не так уж и много.

Их список выглядит следующим образом:

• выдача предупреждающих сообщений пользователям, благодаря чему облегчается блокировка доступа к нежелательному контенту. Роутер при этом не имеет значения;
• переход в режим аварийной поддержки;
• ведение таблиц состояний каждого соединения с указанием статуса. Называться они могут по-разному;
• создание, назначение различных профилей с разными настройками;
• дополнительная поддержка для администраторов. Идентификация, аутентификация тоже относятся к необходимым действиям. Таким образом, разблокировать доступ легко;
• регистрация, учёт по выполнению различных проверок. Обязательна функция по чтению таких записей. То же касается поиска, фильтрации информации по записям;
• разрешение либо запрет на информационные потоки по результатам проверок;
• проверка каждого пакета по таблице состояний. Настраивать работу должен тот, кому оборудование принадлежит;
• фильтрация пакетов с использованием различных показателей;
• фильтрация любого сетевого трафика. Проверять нужно по заранее заданным параметрам.

Требований не так много, но и они нуждаются в доработке.

Межсетевые экраны созданы для дополнительной защиты от злоумышленников. Главное — серьёзно отнестись к настройкам программного обеспечения. Любая ошибка при указании параметров может привести к серьёзному ущербу. Из-за этого сеть теряет работоспособность, передача трафика останавливается, особенно когда он нужен.

Типичные возможности сетевого экрана

• Фильтрация доступа к незащищенным службам
• Блокирование попыток получения закрытой информации из защищенной подсети и внедрения ложных данных
• Контроль доступа к узлам сети
• Возможность вести лог всех попыток доступа извне
• Уведомление о подозрительной активности, атаках на сеть или сам сетевой экран.

Защитные ограничения экрана могут блокировать некоторые нужные пользователю службы или приложения, поэтому настройка брандмауэра обычно требует участия специалиста. Без соответствующих навыков, вред от неверного конфигурирования превысит пользу.

Использование брандмауэра так же может увеличить время отклика и снизить пропускную способность, так как фильтрация происходит не мгновенно.

Типы

Поскольку типы межсетевых экранов разнятся, следует вкратце познакомится с каждым из них.

Управляемые коммутаторы

Нередко причисляются к классу межсетевых экранов, но осуществляют свою функцию на канальном уровне, поэтому не способны обработать внешний трафик.

Некоторые производители (ZyXEL, Cisco) добавили в свой продукт возможность обработки данных на основе MAC-адресов, которые содержатся в заголовках фреймов. Тем не менее, даже этот метод не всегда приносит ожидаемый результат, так как мак-адрес можно легко изменить с помощью специальных программ. В связи с этим в наши дни коммутаторы чаще всего ориентируются на другие показатели, а именно на VLAN ID.

Виртуальные локальные сети позволяют организовывать группы хостов, в которые данные стопроцентно изолированы от внешних серверов сети.

В рамках корпоративных сетей управляемые коммутаторы могут стать весьма эффективным и сравнительно недорогим решением. Главным их минусом является неспособность обрабатывать протоколы более высоких уровней.

UTM

Это полноценное устройство, выполняющее несколько основных функций одновременно:

• Контролирует состояния текущих и прошедших сеансов;
• Блокирует сетевые вторжения (DDOS-атаки);
• Проводит антивирусный мониторинг;
• Управляет выделяемым облачным пространством.

По своей структуре гаджет напоминает обычный роутер. Однако начинка данного объекта несколько отличимая от привычных маршрутизаторов. Явным примером такого типа МСЭ является «Meraki Security Appliance» от компании CISCO.

Proxy Server

Первым видом МСЭ стал прокси-сервер. Его роль – некий шлюз между сетями для конкретного программного обеспечения. Дополнительными опциями прокси являются:

• Кэширование.
• Защита контента.
• Запрет на прямое подключение.

Пакетные фильтры

Пакетные фильтры используются на сетевом уровне, осуществляя контроль трафика на основе данных из заголовка пакетов. Нередко способны обрабатывать также заголовки протоколов и более высокого уровня – транспортного (UDP, TCP), Пакетные фильтры стали самыми первыми межсетевыми экранами, остаются самыми популярными и на сегодняшний день. При получении входящего трафика анализируются такие данные, как: IP получателя и отправителя, тип протокола, порты получателя и источника, служебные заголовки сетевого и транспортного протоколов.

Уязвимость пакетных фильтров заключается в том, что они могут пропустить вредоносный код, если он разделен на сегменты: пакеты выдают себя за часть другого, разрешённого контента. Решение этой проблемы заключается в блокировании фрагментированных данных, некоторые экраны способны также дефрагментировать их на собственном шлюзе – до отправки в основной узел сети. Тем не менее, даже в этом случае межсетевой экран может стать жертвой DDos-атаки.

Пакетные фильтры реализуются в качестве компонентов ОС, пограничных маршрутизаторов или персональных сетевых экранов.

Пакетные фильтры отличаются высокой скоростью анализа пакетов, отлично выполняют свои функции на границах с сетями низкой степени доверия. Тем не менее, они неспособны анализировать высокие уровни протоколов и легко могут жертвами атак, при которых подделывается сетевой адрес.

Next Gen

Поскольку современные угрозы постоянно развиваются и совершенствуются, необходимо использовать Next Gen МСЭ для противостояния сложным «зловредам» и их атакам на уровне приложений (по модели OSI). Такие Next Gen МСЭ имеют:

1. Контроль состояния всех мониторящих сеансов.
2. Опцию учета, контроля, позволяющую детектировать и моментально блокировать программное обеспечение и его код, если тот предоставляет потенциальную угрозу.
3. Систему, не дающую произойти сетевому вторжению внезапно.
4. Схемы апдейтов, разрешающие вносить учеты за будущими каналами данных.
5. Различные технологии, способные привнести дополнительную защиту от переменных и сложных угроз кибернетической безопасности.

Некоторые Next Gen МСЭ умеют наподобие антивирусов не только контролировать трафик, но и устранять сложные угрозы. Такого типа МСЭ используют по всему миру множества различных компаний.

С контролем сеансов

Благодаря выполняемой опции такие межсетевые экраны считаются традиционными. В опционал входит пропуск или блок любого вида трафика, в котором учитывается:

• Состояние.
• Порт.
• Протокол.

Такого вида МСЭ мониторит сетевую активность от момента открытия канала до его полного завершения. Фильтрация применяется или не применяется, основываясь на своде правил, исключений, настраиваемых пользователем заранее. Также, МСЭ может анализировать ранее прошедшие через него пакеты, и принимать решения в случае, если в активном соединении были замечены эти же пакеты вновь.

В операционной системе Windows роль программного межсетевого экрана выполняет Брандмауэр, а точнее одна из его главных опций – Монитор брандмауэра защитника Windows.

Хотя, обычным МСЭ с контролем сеансов Защитник Виндовс не назовешь, поскольку он более за время существования преобразился в «Next Gen» МСЭ.

Преимущества

Идея сетевого экрана заимствована из концепции пожаротушения: файрвол (firewall -противопожарная стена) представляет собой барьер, созданный для предотвращения распространения огня.

Целью сетевого экрана тоже является блокировка всего, что может «сжечь» компьютер пользователя.

Без сетевых экранов не обходятся ни разработчики ПО, ни поставщики услуг по обеспечению безопасности.

Операционные системы Windows поставляются со встроенным сетевым экраном, и его, как правило, рекомендуется оставлять включенным.

Но в домашней сети для фильтрации сетевого трафика рекомендуется использовать аппаратное решение, такое как маршрутизатор.

Компании-разработчики защитного ПО обычно включают сетевые экраны в свои антивирусные решения.

Во многих случаях это сетевые экраны более высокой сложности, чем те, которые входят в состав базовой операционной системы.

В список стандартных функции сетевых экранов входят регистрация и создание отчетов об атаках (успешные или нет), а также уведомлениями в случае несанкционированного вторжения.

Сетевой экран

Многие неопытные пользователи считают, что антивирусная программа способна защитить их от всех напастей. Однако это не так. Для полной защиты ПК необходим еще и сетевой экран. Что это такое и как он работает?

Обнаружить сетевой экран и его настройки можно в центре защиты. Для обеспечения максимальной защищенности ПК эта программа руководствуется определенными правилами. Имеются в виду действия, которые будет производить межсетевой экран при обнаружении попытки соединения с другим источником. Эти правила могут быть как разрешающего характера, так и запрещающего. Также важно понимать, что эта программа оберегает ПК на двух уровнях. Первый — сетевой, а второй — прикладной. То есть если отвечать на вопросы о том, сетевой экран, что это такое и как он работает, то можно сформулировать такой ответ. Это встроенное программное обеспечение, которое призвано защищать персональный компьютер от попыток соединения извне.

Сетевой экран и Zona

В интернете существует множество программ для быстрого скачивания контента. Одна из них называется Zona. Это ПО дает возможность скачивать множество фильмов, игр или программ с высокой скоростью, однако некоторые пользователи жаловались на то, что при включении сетевого экрана программа переставала работать, ссылаясь на существующую ошибку доступа к серверу. Этот сбой — результат функционирования охранной системы.

Для того чтобы не отключать экран, но и заставить работать трекер, необходимо кое-что изменить. Сразу после включения защиты она посчитает, что вредоносная программа — это зона. Настройка сетевого экрана обладает расширением, которое называется «Исключения». Для того чтобы наладить работу трекера и избавиться от ошибки, необходимо внести его в эти самые исключения. Расположение настроек может меняться в зависимости от версии экрана и того факта, является ли он встроенным ПО или посторонним.

Функции экрана

Межсетевой экран устанавливается для того, чтобы решать несколько очень важных задач. Какую функцию выполняют сетевые экраны после своей установки?

• Первой такой задачей является защита внутренней малой сети, допустим, компании от любых внешних проникновений. Стоит отметить, что обеспечение не делает разницы между внешними пользователями или внутренними. Проверять он будет одинаково как сотрудников компании, ее партнеров, так и хакеров, пытающихся проникнуть в Сеть.
• Вторая функция — это регулирование доступа внутренних пользователей к внешним ресурсам. Другими словами, можно настроить межсетевой экран так, чтобы он блокировал доступ из подконтрольных ему ПК к ресурсам, которые не требуются для выполнения работы.

Стоит также отметить, что в настоящее время отсутствует общая классификация таких программ и устройств.

Недостатки

Среди потенциальных недостатков – замедление сетевого трафика, особенно если пакеты полностью анализируются на локальном компьютере пользователя.

Кроме того, некоторые сетевые экраны могут случайно заблокировать легитимные сайты, но это можно исправить, если добавить их в список сайтов-исключений на панели управления сервиса.

2020: 53% ИБ-экспертов считают межсетевые экраны бесполезными

29 октября 2020 года стало известно, что специалисты по информационной безопасности (ИБ) стали отказываться от использования межсетевых экранов. Большинство мотивируют это тем, что в современном мире они больше не могут обеспечить требуемый уровень защиты, сообщили CNews 29 октября 2020 года.

Потерю ИБ-специалистами доверия к брандмауэрам подтвердило исследование компании Ponemon Institute, с 2002 г. работающей в сфере информационной безопасности, проведенное совместно с компанией Guardicore из той же отрасли. Ее сотрудники опросили 603 ИБ-специалиста в американских компаниях и выяснили, что подавляющее большинство респондентов негативно отзываются о межсетевых экранах, в настоящее время используемых в их компаниях. 53% из них активно ищут другие варианты защиты сетей и устройств в них, попутно частично или полностью отказываясь от фаерволлов из-за их неэффективности, высокой стоимости и высокой сложности.

Согласно результатам опроса, 60% его участников считают, что устаревших межсетевых экранов нет необходимых возможностей для предотвращения атак на критически важные бизнес-приложения. Столько же респондентов посчитали, что устаревшие межсетевые экраны демонстрируют свою неэффективность для создания сетей с нулевым доверием (zero trust).

76% специалистов, участвовавших в опросе Ponemon Institure, пожаловались на то, что при использовании устаревших фаерволлов им требуется слишком много времени для защиты новых приложений или изменения конфигурации в существующих программах.

62% опрошенных специалистов считают, что политики контроля доступа в межсетевых экранах недостаточно детализированы, что ограничивает их способность защищать наиболее ценную информацию. 48% респондентов подчеркнули также, что внедрение межсетевых экранов занимает слишком много времени, что увеличивает их итоговую стоимость и время окупаемости.

Согласно отчету, в то время как 49% респондентов в какой-то степени внедрили модель безопасности Zero Trust, 63% считают, что устаревшие межсетевые экраны их организаций не могут обеспечить нулевое доверие в корпоративной сети. 61% респондентов отметили, что межсетевые экраны их организаций не могут предотвратить взлом дата-серверов компании, в то время как 64% считают, что устаревшие межсетевые экраны неэффективны против многих современных видов атак, включая атаки при помощи программ-вымогателей. Большинство опрошенных специалистов заявили, что фаерволлы бесполезны, когда вопрос касается и облачной безопасности. 61% уверены в их неэффективности при защите данных в облаке, а 63% считают, что нет смысла пытаться использовать их для обеспечения безопасности критически важных облачных приложений.

Результаты опроса показывают, что пользователей брандмауэров беспокоят номер один: смогут ли они на самом деле заставить технологии защиты нового поколения работать в своих средах. Устаревшие межсетевые экраны не обладают масштабируемостью, гибкостью или надежностью для обеспечения безопасности, – сказал Ларри Понемон (Larry Ponemon), основатель Ponemon Institute

Итоги исследования отражают то, что уже известно многим ИТ-директорам ИБ-специалистам – цифровая трансформация сделала межсетевые экраны устаревшими. По мере того, как организации внедряют облако, интернет вещей и DevOps, чтобы стать более гибкими, устаревшие решения сетевой безопасности не только неэффективны для предотвращения атак на их сети – они даже препятствуют желаемой гибкости и скорости работы, которых компании надеются достичь, – отметил Павел Гурвич (Pavel Gurvich), соучредитель и генеральный директор Guardicore

2012: Предзнаменование скорейшей кончины файрволов — растущая популярность облачных технологий

Эволюция IT-инфраструктуры и появление еще более хитроумных угроз послужили толчком для непрекращающегося беспокойства о том, что файрволы устаревают и не справляются со своими задачами. Впервые такие мнения прозвучали в конце 90-х, когда в корпоративных средах стали все чаще использоваться ноутбуки и удаленный доступ, а среди пользователей начались разговоры о растущей уязвимости сетей. Прогнозы повторились спустя несколько лет, когда стала расти популярность SSL VPN и наступил бум использования смартфонов и персональных устройств для доступа к сети. Последнее предзнаменование скорейшей кончины файрволов — растущая популярность облачных технологий^[4].

Функциональность файрволов в наши дни значительно расширилась, и теперь это не просто средства мониторинга определенных портов, IP-адресов или пакетной активности между адресами и принятия решений по разрешению и отказу. Первоначально в эти системы входили функции инспекции пакетов с учетом состояния протокола, мониторинга потоков данных, сопоставления с шаблоном и анализа. Теперь файрволы детально проверяют определенную активность приложений и пользователей. Файрволы, способные идентифицировать используемые приложения, часто называют файрволами нового поколения, однако это название не совсем правильное, так как эта функциональность используется уже более десяти лет.

В любом случае, самая злободневная проблема для файрволов сегодня — изучение проходящего через них интернет-трафика и выявление используемых корпоративных и веб-приложений, а также их пользователей. Точно определять тип трафика и тех, кто его запрашивает, — жизненно важная необходимость для организаций, поскольку это позволяет им оптимизировать использование субприложений (таких как Facebook, YouTube, Google Apps и другие приложения Web 2.0) и управлять ими. Обладая такими знаниями, IT-отделы получают возможность адаптировать использование приложений в сети в соответствии с потребностями каждого пользователя и нуждами организации.

Современные файрволы не только развиваются в отношении проверки и управления трафиком, но и предоставляют дополнительные возможности обеспечения безопасности, которые организации могут активировать для обслуживания своих потребностей. Среди этих функций — URL-фильтрация, антивирус, защита от спама и ботов, предотвращение утечек данных, контроль доступа с мобильных устройств, а также многие другие, делающие файрвол мультисервисным шлюзом безопасности. С помощью модульного подхода, управляемого программным способом, можно добавлять и развертывать эти функции, усиливая защиту сети и решая новые проблемы по мере их возникновения.

Итак, сегодня файрволы не только защищают периметр сети, как они всегда это делали, но и позволяют добавлять такие возможности обеспечения безопасности, о которых нельзя было и мечтать 20 лет назад. Несмотря на регулярные предсказания неизбежной потери популярности, сейчас файрволы находятся в самом расцвете своего развития.

План подключения оборудования по портам

Разумеется, сейчас есть коммутаторы с кучей портов 1Gb Ethernet, есть коммутаторы с 10G, на продвинутых операторских железках, стоящих немалые тысячи долларов есть 40Gb, в разработке находится 100Gb (а по слухам уже даже есть такие платы, вышедшие в промышленное производство). Соответственно, вы можете выбирать в реальном мире коммутаторы и маршрутизаторы согласно вашим потребностям, не забывая про бюджет. В частности гигабитный свич сейчас можно купить незадорого (20-30 тысяч) и это с запасом на будущее (если вы не провайдер, конечно). Маршрутизатор с гигабитными портами стоит уже ощутимо дороже, чем со 100Mbps портами, однако оно того стоит, потому что FE-модели (100Mbps FastEthernet), устарели и их пропускная способность очень невысока.
Но в программах эмуляторах/симуляторах, которые мы будем использовать, к сожалению, есть только простенькие модели оборудования, поэтому при моделировании сети будем отталкиваться от того, что имеем: маршрутизатор cisco2811, коммутаторы cisco2960 и 2950.

Схемы сети

На основании этих данных можно составить все три схемы сети на этом этапе. Для этого можно воспользоваться Microsoft Visio, каким-либо бесплатным приложением, но с привязкой к своему формату, или редакторами графики (можно и от руки, но это будет сложно держать в актуальном состоянии :)).
Не пропаганды опен сорса для, а разнообразия средств ради, воспользуемся Dia. Я считаю его одним из лучших приложений для работы со схемами под Linux. Есть версия для Виндоус, но, к сожалению, совместимости в визио никакой.

L1

То есть на схеме L1 мы отражаем физические устройства сети с номерами портов: что куда подключено.

L2

На схеме L2 мы указываем наши VLAN’ы

Способы подключения

В Packet Tracer’e управлять оборудованием можно следующими способами:

• GUI
• CLI в окне управления
• Терминальное подключение с рабочей станции через консольный кабель
• telnet

Интерфейс последних трёх идентичный – отличается лишь способ подключения. Разумеется, GUI – не наш метод.
В реальной же жизни доступны:

• Telnet/ssh
• Терминальное подключение с рабочей станции через консольный кабель
• Web-интерфейс (Cisco SDM).

Последний вариант даже не упоминайте в приличном обществе. Даже если вы адепт мыши и браузера, очень не советую.
На своём примере при работе с другим оборудованием я сталкивался с тем, что настроенное через веб не работает. Хоть ты тресни, но не работает. А у того же длинка вообще был баг в одной версии прошивки для свичей: если изменить настройки VLAN в веб-интерфейсе из под линукс, то свич становится недоступным для управления. Это официально признанная проблема).Телнет – стандартная, всем известная утилита, как и ssh. Для доступа к cisco по этим протоколам нужно настроить пароли доступа, об этом позже. Возможность использования ssh зависит от лицензии IOS.

Управление по консоли

Ну вот принесли вы маршрутизатор, распечатали, питание на него дали. Он томно зашумел кулерами, подмигивает вам светодиодами своих портов. А чего дальше-то делать?
Воспользуемся один из древнейших и нестареющих способов управления практически любым умным устройством: консоль. Для этого вам нужен компьютер, само устройство и подходящий кабель.
Тут каждый вендор на что горазд. Какие только разъёмы они не используют: RJ-45, DB-9 папа, DB-9 мама, DB-9 с нестандартной распиновкой, DB-25.
У циски используется разъём RJ-45 на стороне устройства и DB-9 мама (для подключения к COM-порту) на стороне ПК.
Консольный порт выглядит так:

Всегда выделен голубым цветом. С недавних пор стало возможным управление по USB.
А это консольный кабель cisco:

Раньше он поставлялся в каждой коробке, теперь зачастую стоит отдельных денег. В принципе подходит аналогичный кабель от HP.
Проблема в том, что современные ПК зачастую не имеют COM-порта. На выручку приходят частоиспользуемые конвертеры USB-to-COM:

Либо редкоиспользуемые для этих целей конвертеры RS232-Ethernet

После того, как вы воткнули кабель, определили номер COM-порта, для подключения можно использовать Hyperterminal или Putty в Виндоус и Minicom в Линукс.
Управление через консоль доступно сразу, а вот для телнета нужно установить пароль. Как это сделать?
Обратимся к PT.
Начнём с создания маршрутизатора: выбираем его на панели внизу и переносим на рабочее пространство. Даём какое-нибудь название

Что бы вы делали, если бы это был самый взаправдашний железный маршрутизатор? Взяли бы консольный кабель и подключились им в него и в компьютер. То же самое сделаем и тут:

Кликом по компьютеру вызываем окно настройки, в котором нас интересует вкладка Desktop. Далее выбираем Terminal, где нам даётся выбор параметров

Впрочем, все параметры по умолчанию нас устраивают, и менять их особо смысла нет.
Если в энергонезависимой памяти устройства отсутствует конфигурационный файл (startup-config), а так оно и будет при первом включении нового железа, нас встретит Initial Configuration Dialog prompt:

Вкратце, это такой визард, позволяющий шаг за шагом настроить основные параметры устройства (hostname, пароли, интерфейсы). Но это неинтересно, поэтому отвечаем no и видим приглашение

Router>

Это стандартное совершенно для любой линейки cisco приглашение, которое характеризует пользовательский режим, в котором можно просматривать некоторую статистику и проводить самые простые операции вроде пинга. Ввод знака вопроса покажет список доступных команд:

Грубо говоря, это режим для сетевого оператора, инженера первой линии техподдержки, чтобы он ничего там не повредил, не напортачил и лишнего не узнал.
Гораздо большие возможности предоставляет режим с говорящим названием привилегированный. Попасть в него можно, введя команду >enable. Теперь приглашение выглядит так:

Router#

Здесь список операций гораздо обширнее, например, можно выполнить одну из наиболее часто используемых команд, демонстрирующую текущие настройки устройства ака “конфиг” #show running-config. В привилегированном режиме вы можете просмотреть всю информацию об устройстве.
Прежде, чем приступать к настройке, упомянем несколько полезностей при работе с cisco CLI, которые могут сильно упростить жизнь:
— Все команды в консоли можно сокращать. Главное, чтобы сокращение однозначно указывало на команду. Например, show running-config сокращается до sh run. Почему не до s r? Потому, что s (в пользовательском режиме) может означать как команду show, так и команду ssh, и мы получим сообщение об ошибке % Ambiguous command: «s r» (неоднозначная команда).
— Используйте клавишу Tab и знак вопроса. По нажатию Tab сокращенная команда дописывается до полной, а знак вопроса, следующий за командой, выводит список дальнейших возможностей и небольшую справку по ним (попробуйте сами в PT).
— Используйте горячие клавиши в консоли:
Ctrl+A — Передвинуть курсор на начало строки
Ctrl+E — Передвинуть курсор на конец строки
Курсорные Up, Down — Перемещение по истории команд
Ctrl+W — Стереть предыдущее слово
Ctrl+U — Стереть всю линию
Ctrl+C — Выход из режима конфигурирования
Ctrl+Z — Применить текущую команду и выйти из режима конфигурирования
Ctrl+Shift+6 — Остановка длительных процессов (так называемый escape sequence)
— Используйте фильтрацию вывода команды. Бывает, что команда выводит много информации, в которой нужно долго копаться, чтобы найти определённое слово, например.
Облегчаем работу с помощью фильтрации: после команды ставим |, пишем вид фильтрации и, собственно, искомое слово(или его часть). Виды фильтрации (ака модификаторы вывода):
begin — вывод всех строк, начиная с той, где нашлось слово,
section — вывод секций конфигурационного файла, в которых встречается слово,
include — вывод строк, где встречается слово,
exclude — вывод строк, где НЕ встречается слово.
Но вернемся к режимам. Третий главный режим, наряду с пользовательским и привилегированным: режим глобальной конфигурации. Как понятно из названия, он позволяет нам вносить изменения в настройки устройства. Активируется командой #configure terminal из привилегированного режима и демонстрирует такое приглашение:

Router(config)#

В режиме глобальной конфигурации не выполняются довольно нужные порой команды других режимов (тот же show running-config, ping, etc.). Но есть такая полезная штука, как do. Благодаря ей мы можем, не выходя из режима конфигурирования, выполнять эти самые команды, просто добавляя перед ними do. Примерно так:

Router(config)#do show running-config

Настройка доступа по Telnet

Из этого-то режима мы и настроим интерфейс для подключения компьютера через telnet:
Команда для перехода в режим конфигурации интерфейса FastEthernet 0/0:

# Router(config)# interface fa0/0

По умолчанию все интерфейсы отключены (состояние administratively down). Включаем интерфейс:

Router(config-if)#no shutdown

Настроим IP-адрес:

Router(config-if)#ip address 192.168.1.1 255.255.255.0

shutdown — означает “выключить интерфейс”. Соответственно, если вы хотите отменить действие команды, то используйте слово no перед ней. Это правило общее для CLI и применимо к большинству команд.
Подключаемся. Для этого надо использовать кроссоверный кабель. (Хотя в реальной жизни это зачастую уже необязательно – все карточки умеют понимать приём/передачу, однако встречаются ещё маршрутизаторы, порты которых не поднимаются при использовании неправильного типа кабеля — так что будьте внимательны)

Настраиваем IP-адрес компьютера через Desktop.

И пробуем подключиться, выбрав Command Prompt в панели Desktop:

Как и ожидалось, циска не пускает без пароля. В реальной жизни обычно выдаёт фразу “Password required, but none set”