Firewall atau firewall. Apa itu Firewall? Untuk apa ia diperlukan? Contoh menetapkan parameter Keselamatan

14.9. Tembok api

Minat terhadap tembok api (firewall) daripada orang yang disambungkan ke Internet semakin meningkat, malah aplikasi untuk rangkaian tempatan telah muncul yang memberikan tahap keselamatan yang lebih tinggi. Dalam bahagian ini kami berharap dapat menggariskan apakah tembok api, cara menggunakannya dan cara memanfaatkan keupayaan yang disediakan oleh kernel FreeBSD untuk melaksanakannya.

14.9.1. Apakah tembok api?

Terdapat dua jenis tembok api yang jelas berbeza digunakan setiap hari di Internet moden. Jenis pertama lebih tepat dipanggil penghala penapisan paket . Firewall jenis ini berjalan pada mesin yang disambungkan ke berbilang rangkaian dan menggunakan set peraturan pada setiap paket yang menentukan sama ada paket itu dimajukan atau disekat. Jenis kedua, dikenali sebagai pelayan proksi , dilaksanakan sebagai daemon yang melakukan pengesahan dan pemajuan paket, mungkin pada mesin dengan berbilang sambungan rangkaian di mana pemajuan paket dinyahdayakan dalam kernel.

Kadangkala kedua-dua jenis tembok api ini digunakan bersama, supaya hanya mesin tertentu (dikenali sebagai tuan rumah benteng ) dibenarkan menghantar paket melalui penghala penapisan ke rangkaian dalaman. Perkhidmatan proksi dijalankan pada hos selamat, yang biasanya lebih selamat daripada mekanisme pengesahan biasa.

FreeBSD datang dengan pakej penapis (dikenali sebagai IPFW) terbina dalam kernel, yang akan menjadi tumpuan bahagian ini yang lain. Pelayan proksi boleh dibina pada FreeBSD daripada perisian pihak ketiga, tetapi terdapat terlalu banyak daripada mereka untuk dilindungi dalam bahagian ini.

14.9.1.1. Penghala dengan penapisan paket

Penghala ialah mesin yang memajukan paket antara dua atau lebih rangkaian. Penghala penapisan paket diprogramkan untuk membandingkan setiap paket dengan senarai peraturan sebelum memutuskan sama ada untuk memajukannya atau tidak. Kebanyakan perisian penghalaan moden mempunyai keupayaan penapisan dan secara lalai semua paket dimajukan. Untuk mendayakan penapis, anda perlu menentukan satu set peraturan.

Untuk menentukan sama ada paket harus dibenarkan melalui, tembok api mencari satu set peraturan yang sepadan dengan kandungan pengepala paket. Setelah padanan ditemui, tindakan yang diberikan kepada peraturan itu dilaksanakan. Tindakannya mungkin untuk menggugurkan paket, memajukan paket, atau menghantar mesej ICMP ke alamat sumber. Hanya perlawanan pertama dikira kerana peraturan dilihat dalam susunan tertentu. Oleh itu, senarai peraturan boleh dipanggil "rantai peraturan" » .

Kriteria pemilihan paket bergantung pada perisian yang anda gunakan, tetapi biasanya anda boleh menentukan peraturan berdasarkan alamat IP sumber paket, alamat IP destinasi, nombor port sumber paket, nombor port destinasi (untuk protokol yang menyokong port), atau pun jenis paket (UDP , TCP, ICMP, dll.).

14.9.1.2. Pelayan proksi

Pelayan proksi ialah komputer di mana daemon sistem biasa ( telnetd, ftpd, dsb.) digantikan oleh pelayan khas. Pelayan ini dipanggil pelayan proksi , kerana ia biasanya hanya berfungsi dengan sambungan masuk. Ini membolehkan anda menjalankan (contohnya) telnet pelayan proksi pada tembok api, dan memungkinkan untuk log masuk menggunakan telnet kepada tembok api, lulus mekanisme pengesahan, dan mendapat akses kepada rangkaian dalaman (begitu juga, pelayan proksi boleh digunakan untuk mengakses rangkaian luaran).

Pelayan proksi biasanya dilindungi dengan lebih baik daripada pelayan lain dan selalunya mempunyai rangkaian mekanisme pengesahan yang lebih luas, termasuk sistem kata laluan sekali, supaya walaupun seseorang mengetahui kata laluan yang anda gunakan, mereka tidak akan dapat menggunakannya untuk mendapatkan akses kepada system , kerana kata laluan tamat tempoh serta-merta selepas penggunaan pertamanya. Memandangkan kata laluan tidak secara langsung memberikan akses kepada komputer di mana pelayan proksi berada, ia menjadi lebih sukar untuk membuka pintu belakang sistem.

Pelayan proksi biasanya mempunyai cara untuk menyekat akses lagi supaya hanya hos tertentu boleh mengakses pelayan. Kebanyakan juga membenarkan pentadbir untuk menentukan pengguna dan komputer yang boleh mereka akses. Sekali lagi, pilihan yang tersedia bergantung pada perisian yang digunakan.

14.9.2. Apakah yang IPFW benarkan anda lakukan?

Perisian IPFW yang dihantar dengan FreeBSD ialah sistem penapisan dan perakaunan paket yang terletak di dalam kernel dan dilengkapi dengan utiliti konfigurasi pengguna, ipfw (8). Bersama-sama mereka membenarkan anda untuk menentukan dan melihat peraturan yang digunakan oleh kernel untuk penghalaan.

IPFW terdiri daripada dua bahagian yang berkaitan. Firewall menapis paket. Bahagian perakaunan paket IP menjejaki penggunaan penghala berdasarkan peraturan yang serupa dengan yang digunakan dalam bahagian tembok api. Ini membolehkan pentadbir menentukan, sebagai contoh, jumlah trafik yang diterima oleh penghala daripada komputer tertentu atau jumlah trafik WWW yang dihantar ke hadapan.

Oleh kerana cara IPFW dilaksanakan, anda boleh menggunakannya pada komputer bukan penghala untuk menapis sambungan masuk dan keluar. Ini adalah kes khas penggunaan IPFW yang lebih umum, dan arahan serta teknik yang sama digunakan dalam situasi ini.

14.9.3. Mendayakan IPFW pada FreeBSD

Memandangkan sebahagian besar sistem IPFW berada dalam kernel, anda perlu menambah satu atau lebih parameter pada fail konfigurasi kernel, bergantung pada keupayaan yang diperlukan, dan membina semula kernel. Rujuk bab membina semula kernel (Bab 8) untuk penerangan terperinci tentang prosedur ini.

Perhatian: Peraturan IPFW lalai ialah menafikan ip daripada mana-mana kepada mana-mana. Jika anda tidak menambah sebarang peraturan lain pada masa but untuk membenarkan akses, maka menyekat akses ke pelayan dengan tembok api didayakan dalam kernel selepas but semula. Kami mencadangkan untuk menentukan firewall_type=open dalam fail /etc/rc.conf apabila mula-mula menambah firewall, dan kemudian selepas menguji kefungsiannya, edit peraturan dalam fail /etc/rc.firewall. Langkah berjaga-jaga tambahan mungkin dengan mengkonfigurasi tembok api dari konsol tempatan pada mulanya, bukannya log masuk melalui ssh. Di samping itu, adalah mungkin untuk membina kernel dengan parameter IPFIREWALL dan IPFIREWALL_DEFAULT_TO_ACCEPT. Dalam kes ini, peraturan IPFW lalai akan ditukar untuk membenarkan ip daripada mana-mana kepada mana-mana, yang akan menghalang kemungkinan penyekatan.

Terdapat empat pilihan konfigurasi kernel yang berkaitan dengan IPFW:

pilihan IPFIREWALL

Termasuk kod penapisan paket dalam kernel.

Pilihan IPFIREWALL_VERBOSE

Membolehkan pengelogan paket melalui syslogd (8). Tanpa parameter ini, walaupun anda tentukan dalam peraturan penapisan untuk log paket, ia tidak akan berfungsi.

Pilihan IPFIREWALL_VERBOSE_LIMIT=10

Mengehadkan bilangan paket yang dilog oleh setiap peraturan syslogd (8). Anda boleh menggunakan pilihan ini jika anda ingin melog operasi tembok api, tetapi tidak mahu mendedahkan syslog kepada serangan DoS.

Apabila salah satu peraturan dalam rantai mencapai had yang ditentukan oleh parameter, pengelogan untuk peraturan itu dimatikan. Untuk mendayakan pengelogan, anda perlu menetapkan semula kaunter yang sepadan menggunakan utiliti ipfw (8) :

# ipfw sifar 4500

di mana 4500 ialah nombor peraturan yang anda ingin menyambung semula pembalakan.

Pilihan IPFIREWALL_DEFAULT_TO_ACCEPT

Menukar peraturan lalai daripada "menolak" kepada "membenarkan". Ini menghalang kemungkinan sekatan jika kernel dimuatkan dengan sokongan IPFIREWALL tetapi firewall belum dikonfigurasikan. Pilihan ini juga berguna jika anda menggunakan ipfw (8) sebagai penawar bagi masalah tertentu yang timbul. Walau bagaimanapun, gunakan tetapan dengan berhati-hati kerana ia membuka tembok api dan mengubah tingkah lakunya.

Ulasan: Versi FreeBSD sebelumnya termasuk pilihan IPFIREWALL_ACCT. Pilihan ini telah ditamatkan kerana kod tersebut membolehkan perakaunan secara automatik.

14.9.4. Menyediakan IPFW

Perisian IPFW dikonfigurasikan menggunakan utiliti ipfw (8). Sintaks untuk arahan ini kelihatan sangat kompleks, tetapi ia menjadi agak mudah apabila anda memahami strukturnya.

Utiliti pada masa ini menggunakan empat kategori arahan yang berbeza: penambahan/pemadaman, penyenaraian, pembilasan dan pembersihan. Tambah/Lepaskan digunakan untuk mencipta peraturan yang menentukan cara paket diterima, digugurkan dan dilog. Carian digunakan untuk menentukan kandungan set peraturan (juga dipanggil rantai) dan pembilang paket (perakaunan). Set semula digunakan untuk memadam semua peraturan dalam rantaian. Clear digunakan untuk menetapkan semula satu atau lebih pembilang kepada sifar.

14.9.4.1. Menukar Peraturan IPFW

ipfw [-N] arahan [nombor] protokol alamat tindakan [parameter]

Terdapat satu bendera yang tersedia apabila menggunakan bentuk arahan ini:

Menyelesaikan alamat dan nama perkhidmatan apabila dipaparkan.

Boleh ditentukan pasukan boleh dipendekkan kepada bentuk unik yang lebih pendek. sedia ada pasukan :

Menambah peraturan pada senarai penapisan/perakaunan

Mengalih keluar peraturan daripada senarai penapisan/perakaunan

Versi sebelumnya IPFW menggunakan entri berasingan untuk penapisan paket dan perakaunan. Versi moden mengambil kira paket untuk setiap peraturan.

Jika nilai ditentukan nombor, ia digunakan untuk meletakkan peraturan pada kedudukan tertentu dalam rantai. Jika tidak, peraturan diletakkan di hujung rantai dengan nombor 100 lebih tinggi daripada peraturan sebelumnya (ini tidak termasuk nombor peraturan lalai 65535).

Dengan parameter log, peraturan yang sepadan mengeluarkan maklumat ke konsol sistem jika kernel dibina dengan pilihan IPFIREWALL_VERBOSE.

sedia ada tindakan :

Lepaskan paket dan hantar paket ICMP ke alamat sumber yang menunjukkan bahawa hos atau port tidak dapat dicapai.

Langkau pakej seperti biasa. (sinonim: lulus, membenarkan, dan menerima)

Buang bungkusan itu. Tiada mesej ICMP dikeluarkan kepada sumber (seolah-olah paket tidak pernah mencapai sasaran).

Kemas kini kaunter paket, tetapi jangan gunakan peraturan membenarkan/menafikannya. Carian akan diteruskan dengan peraturan seterusnya dalam rantaian.

setiap satu tindakan boleh ditulis sebagai awalan unik yang lebih pendek.

Perkara berikut boleh ditakrifkan protokol :

Padan dengan semua paket IP

Padan dengan paket ICMP

Padan dengan paket TCP

Padan dengan paket UDP

Padang alamat dibentuk seperti ini:

sumber alamat/topeng [pelabuhan] sasaran alamat/topeng [pelabuhan]

Anda boleh menentukan pelabuhan hanya bersama-sama dengan protokol port sokongan (UDP dan TCP).

Parameter melalui adalah pilihan dan boleh mengandungi alamat IP atau nama domain antara muka IP tempatan, atau nama antara muka (contohnya ed0), ia mengkonfigurasi peraturan untuk memadankan hanya paket yang melalui antara muka itu. Nombor antara muka boleh digantikan dengan topeng pilihan. Contohnya, ppp* akan sepadan dengan antara muka PPP kernel.

Sintaks yang digunakan untuk menunjukkan alamat/topeng:

alamat atau alamat/topeng-bit atau alamat:topeng templat

Daripada alamat IP, anda boleh menentukan nama hos sedia ada. topeng-bit ini ialah nombor perpuluhan yang menunjukkan bilangan bit yang mesti ditetapkan dalam topeng alamat. Contohnya, 192.216.222.1/24 akan mencipta topeng yang sepadan dengan semua alamat subnet kelas C (dalam kes ini, 192.216.222). Nama hos yang sah mungkin ditetapkan sebagai ganti alamat IP. topeng templat ini adalah IP yang akan didarab secara logik dengan alamat yang diberikan. Mana-mana kata kunci boleh digunakan untuk bermaksud "mana-mana alamat IP".

Nombor port dinyatakan dalam format berikut:

pelabuhan [,pelabuhan [,pelabuhan [.]]]

Untuk menentukan port tunggal atau senarai port, atau

pelabuhan-pelabuhan

Untuk menentukan julat port. Anda juga boleh menggabungkan julat tunggal dengan senarai port, tetapi julat mesti sentiasa disenaraikan dahulu.

Tersedia pilihan :

Membakar jika paket itu bukan paket pertama datagram.

Padan dengan paket masuk.

Padan dengan paket keluar.

Ipoptions spek

Menyala jika pengepala IP mengandungi senarai parameter yang dipisahkan koma yang dinyatakan dalam spek. Parameter IP yang disokong: ssrr (laluan sumber yang ketat), lsrr (laluan sumber longgar), rr (laluan paket rekod) dan ts (cap masa). Kesan parameter individu boleh diubah dengan menentukan awalan!.

Ditubuhkan

Menyala jika paket adalah sebahagian daripada sambungan TCP yang telah ditetapkan (iaitu, jika bit RST atau ACK ditetapkan). Anda boleh meningkatkan prestasi tembok api dengan meletakkan peraturan dengan ditubuhkan dekat dengan permulaan rantai.

Padan jika paket adalah percubaan untuk mewujudkan sambungan TCP (bit SYN ditetapkan dan bit ACK tidak ditetapkan).

Tcpflags bendera

Dihidupkan jika pengepala TCP mengandungi senarai yang dipisahkan koma bendera. Bendera yang disokong ialah sirip, syn, pertama, psh, ack dan urg. Kesan peraturan untuk bendera individu boleh diubah dengan menentukan awalan!.

Icmptypes jenis

Dihidupkan jika jenis paket ICMP ada dalam senarai jenis. Senarai boleh ditentukan sebagai sebarang gabungan julat dan/atau jenis individu, dipisahkan dengan koma. Jenis ICMP yang biasa digunakan ialah 0 echo reply (ping reply), 3 destinasi tidak dapat dicapai, 5 redirect, 8 echo request (ping request), dan 11 kali melebihi (digunakan untuk menunjukkan tamat tempoh TTL, seperti traceroute (8)).

14.9.4.2. Lihat peraturan IPFW

Sintaks untuk bentuk arahan ini ialah:

ipfw [-a] [-c] [-d] [-e] [-t] [-N] [-S] senarai

Terdapat tujuh bendera untuk bentuk arahan ini:

Tunjukkan nilai pembilang. Parameter ini ialah satu-satunya cara untuk melihat nilai pembilang.

Lihat peraturan dalam bentuk yang padat.

Tunjukkan peraturan dinamik sebagai tambahan kepada peraturan statik.

Jika pilihan -d ditentukan, tunjukkan juga peraturan dinamik yang telah tamat tempoh.

Paparkan masa penembakan terakhir untuk setiap peraturan dalam rantai. Senarai ini tidak serasi dengan sintaks yang diterima ipfw (8) .

Cuba selesaikan alamat dan nama perkhidmatan yang diberikan.

Paparkan set yang mempunyai setiap peraturan. Jika bendera ini tidak dinyatakan, peraturan yang disekat tidak akan dipaparkan.

14.9.4.3. Menetapkan semula peraturan IPFW

Sintaks untuk menetapkan semula peraturan:

Semua peraturan dalam rantai akan dialih keluar kecuali peraturan lalai yang ditetapkan oleh kernel (nombor 65535). Berhati-hati apabila menetapkan semula peraturan; peraturan yang menjatuhkan paket secara lalai akan memutuskan sambungan sistem daripada rangkaian sehingga membenarkan peraturan ditambahkan pada rantaian.

14.9.4.4. Membersihkan kaunter paket IPFW

Sintaks untuk mengosongkan satu atau lebih pembilang paket ialah:

ipfw sifar [ indeks]

Apabila digunakan tanpa hujah nombor Semua kaunter paket akan dikosongkan. Jika indeks ditentukan, operasi pembersihan hanya digunakan pada peraturan rantaian yang ditentukan.

14.9.5. Contoh arahan untuk ipfw

Perintah berikut akan menafikan semua paket dari hos evil.crackers.org ke port telnet hos nice.people.org:

# ipfw tambah menafikan tcp daripada evil.crackers.org kepada nice.people.org 23

Contoh berikut menafikan dan mencatat semua trafik TCP daripada rangkaian crackers.org (kelas C) ke komputer nice.people.org (pada mana-mana port).

# ipfw tambahkan deny log tcp daripada evil.crackers.org/24 kepada nice.people.org

Jika anda ingin menghalang sesi X daripada dihantar ke rangkaian anda (sebahagian daripada rangkaian kelas C), arahan berikut akan melakukan penapisan yang diperlukan:

# ipfw tambah menafikan tcp dari mana-mana ke persediaan my.org/28 6000

Untuk melihat rekod perakaunan:

# ipfw -senarai atau dalam bentuk ringkas # ipfw -a l

Anda juga boleh melihat kali terakhir peraturan dicetuskan menggunakan arahan:

14.9.6. Mencipta Firewall dengan Penapisan Paket

Apabila pada mulanya mengkonfigurasi tembok api, sebelum ujian prestasi dan meletakkan pelayan beroperasi, adalah amat disyorkan untuk menggunakan versi pengelogan arahan dan membolehkan pengelogan dalam kernel. Ini akan membolehkan anda mengenal pasti kawasan masalah dengan cepat dan membetulkan persediaan anda tanpa banyak usaha. Walaupun selepas persediaan awal selesai, adalah disyorkan untuk menggunakan pengelogan untuk "menafikan" kerana ia membolehkan anda memantau kemungkinan serangan dan menukar peraturan tembok api jika keperluan tembok api anda berubah.

Ulasan: Jika anda menggunakan versi pengelogan bagi arahan terima, berhati-hati kerana ia mungkin mencipta besar volum data protokol. Setiap paket yang melalui tembok api akan direkodkan, jadi jumlah besar FTP/http dan trafik lain akan memperlahankan sistem dengan ketara. Ini juga akan meningkatkan kependaman paket tersebut kerana kernel perlu melakukan kerja tambahan sebelum membiarkan paket masuk. syslogd juga akan menggunakan lebih banyak masa CPU kerana ia akan menghantar semua data tambahan ke cakera dan partition /var/log boleh diisi dengan cepat.

Anda perlu mendayakan tembok api dalam /etc/rc.conf.local atau /etc/rc.conf. Halaman rujukan yang sepadan menerangkan perkara yang perlu dilakukan dan mengandungi contoh tetapan sedia dibuat. Jika anda tidak menggunakan pratetap, perintah senarai ipfw boleh meletakkan set peraturan semasa dalam fail, dari mana ia boleh diletakkan dalam fail permulaan sistem. Jika anda tidak menggunakan /etc/rc.conf.local atau /etc/rc.conf untuk mendayakan tembok api, adalah penting untuk memastikan ia didayakan selepas mengkonfigurasi antara muka.

Seterusnya, anda perlu menentukan Apa sebenarnya menjadikan tembok api anda! Ini bergantung terutamanya pada berapa banyak akses yang anda ingin miliki dari luar ke rangkaian anda. Berikut adalah beberapa peraturan am:

Sekat akses luar ke nombor port TCP di bawah 1024. Kebanyakan perkhidmatan kritikal keselamatan seperti jari, SMTP (mel) dan telnet terletak di sini.

Sekat semua trafik UDP masuk. Terdapat sangat sedikit perkhidmatan berguna yang dijalankan melalui UDP, tetapi ia biasanya menimbulkan risiko keselamatan (cth protokol Sun RPC dan NFS). Kaedah ini juga mempunyai kelemahan, kerana protokol UDP tidak mengetahui sambungan, dan menyekat paket masuk juga akan menyekat respons kepada trafik UDP keluar. Ini boleh menjadi masalah bagi mereka yang menggunakan pelayan luaran yang berfungsi dengan UDP. Jika anda ingin membenarkan akses kepada perkhidmatan ini, anda perlu membenarkan paket masuk dari port yang sesuai. Sebagai contoh, untuk ntp anda mungkin perlu membenarkan paket yang datang dari port 123.

Sekat semua trafik dari luar ke port 6000. Port 6000 digunakan untuk mengakses pelayan X11, dan boleh menjadi risiko keselamatan (terutamanya jika pengguna mempunyai tabiat menjalankan perintah xhost + pada stesen kerja mereka). X11 boleh menggunakan julat port bermula pada 6000, had atas ditentukan oleh bilangan paparan X yang boleh dijalankan pada mesin. Had atas yang ditakrifkan oleh RFC 1700 (Nombor Diberikan) ialah 6063.

Semak port yang digunakan oleh perkhidmatan dalaman (contohnya, pelayan SQL, dsb.). Mungkin idea yang baik untuk menyekat port ini juga, kerana ia biasanya tidak termasuk dalam julat 1-1024 yang disenaraikan di atas.

Senarai lain untuk menyemak tetapan firewall tersedia di CERT di http://www.cert.org/tech_tips/packet_filtering.html

Seperti yang dinyatakan di atas, semua peraturan ini adalah adil pengurusan . Anda boleh memutuskan sendiri peraturan penapisan yang akan digunakan dalam tembok api. Kami tidak boleh mengambil SEBARANG tanggungjawab jika rangkaian anda digodam, walaupun anda telah mengikut nasihat yang diberikan di atas.

14.9.7. Pengoptimuman overhed dan IPFW

Ramai pengguna ingin tahu berapa banyak IPFW memuatkan sistem. Jawapannya bergantung terutamanya pada set peraturan dan kelajuan pemproses. Memandangkan satu set peraturan yang kecil, untuk kebanyakan aplikasi yang berjalan pada Ethernet, jawapannya ialah "tidak banyak." Bahagian ini ditujukan untuk mereka yang memerlukan jawapan yang lebih tepat.

Pengukuran seterusnya dilakukan dengan 2.2.5-STABLE pada 486-66. (Walaupun IPFW telah berubah sedikit dalam keluaran FreeBSD berikutnya, kelajuannya kekal lebih kurang sama.) IPFW telah diubah suai untuk mengukur masa yang dibelanjakan oleh ip_fw_chk, mencetak hasilnya ke konsol selepas setiap paket ke-1000.

Dua set 1000 peraturan telah diuji. Yang pertama direka bentuk untuk menunjukkan set peraturan yang buruk dengan mengulangi peraturan:

# ipfw tambah menafikan tcp daripada mana-mana kepada mana-mana 55555

Set peraturan ini adalah buruk kerana kebanyakan peraturan IPFW tidak sepadan dengan paket yang sedang diperiksa (disebabkan oleh nombor port). Selepas lelaran ke-999 peraturan ini, izin ip daripada mana-mana kepada mana-mana peraturan berikut.

Set peraturan kedua telah direka untuk menguji setiap peraturan secepat mungkin:

# ipfw tambah menafikan ip daripada 1.2.3.4 kepada 1.2.3.4

Alamat IP sumber yang tidak sepadan dalam peraturan di atas akan menyebabkan peraturan ini disemak dengan cepat. Seperti sebelum ini, peraturan ke-1000 membenarkan ip dari mana-mana kepada mana-mana.

Kos menyemak paket dalam kes pertama ialah kira-kira 2.703 ms/paket, atau kira-kira 2.7 mikrosaat setiap peraturan. Had kelajuan pengimbasan teori ialah kira-kira 370 paket sesaat. Dengan mengandaikan sambungan Ethernet 10 Mbps dan saiz paket lebih kurang 1500 bait, ini hanya menghasilkan penggunaan lebar jalur sebanyak 55.5%.

Dalam kes kedua, setiap paket telah diimbas dalam kira-kira 1.172 ms, atau kira-kira 1.2 mikrosaat setiap peraturan. Had kelajuan pemeriksaan teori ialah kira-kira 853 paket sesaat, yang membolehkan penggunaan penuh lebar jalur Ethernet 10 Mbps.

Bilangan peraturan yang berlebihan sedang disemak dan jenisnya tidak membenarkan kami mencipta gambar yang hampir dengan keadaan biasa - peraturan ini digunakan hanya untuk mendapatkan maklumat tentang masa pengesahan. Berikut ialah beberapa garis panduan untuk dipertimbangkan untuk mencipta satu set peraturan yang berkesan:

Letakkan peraturan yang ditetapkan seawal mungkin untuk mengendalikan sebahagian besar trafik TCP. Jangan letakkan peraturan allow tcp di hadapannya.

Letakkan peraturan yang kerap digunakan lebih dekat dengan permulaan set daripada peraturan yang jarang digunakan (sudah tentu tanpa mengubah kesan keseluruhan set ). Anda boleh menentukan peraturan yang paling biasa digunakan dengan menyemak pembilang paket dengan arahan ipfw -a l.

Terdapat beberapa jenis firewall bergantung pada ciri-ciri berikut:

sama ada perisai menyediakan sambungan antara satu nod dan rangkaian atau antara dua atau lebih rangkaian yang berbeza;

sama ada kawalan aliran data berlaku pada lapisan rangkaian atau tahap yang lebih tinggi bagi model OSI;

sama ada keadaan sambungan aktif dipantau atau tidak.

Bergantung pada liputan aliran data terkawal, firewall dibahagikan kepada:

rangkaian tradisional (atau tembok api) - program (atau bahagian penting sistem pengendalian) pada get laluan (peranti yang menghantar trafik antara rangkaian) atau penyelesaian perkakasan yang mengawal aliran data masuk dan keluar antara rangkaian yang disambungkan (objek rangkaian teragih) ;

tembok api peribadi ialah program yang dipasang pada komputer pengguna dan direka bentuk untuk melindungi komputer ini sahaja daripada capaian yang tidak dibenarkan.

Bergantung pada tahap OSI di mana kawalan akses berlaku, firewall boleh beroperasi pada:

tahap rangkaian, apabila penapisan berlaku berdasarkan alamat pengirim dan penerima paket, nombor port lapisan pengangkutan model OSI dan peraturan statik yang ditentukan oleh pentadbir;

peringkat sesi(juga dikenali sebagai bernegara), apabila sesi antara aplikasi dipantau dan paket yang melanggar spesifikasi TCP/IP tidak diluluskan, selalunya digunakan dalam operasi berniat jahat - pengimbasan sumber, penggodaman melalui pelaksanaan TCP/IP yang salah, sambungan terputus/lambat, suntikan data;

peringkat permohonan(atau tahap aplikasi), apabila penapisan dilakukan berdasarkan analisis data aplikasi yang dihantar dalam paket. Jenis skrin ini membolehkan anda menyekat penghantaran maklumat yang tidak diingini dan berkemungkinan berbahaya berdasarkan dasar dan tetapan.

Penapisan di peringkat rangkaian

Penapisan paket masuk dan keluar dijalankan berdasarkan maklumat yang terkandung dalam medan berikut pengepala TCP dan IP paket: alamat IP penghantar; Alamat IP penerima; pelabuhan penghantar; pelabuhan penerima.

Penapisan boleh dilaksanakan dalam pelbagai cara untuk menyekat sambungan ke komputer atau port tertentu. Sebagai contoh, anda boleh menyekat sambungan yang datang daripada alamat khusus komputer dan rangkaian tersebut yang dianggap tidak boleh dipercayai.

kos yang agak rendah;

fleksibiliti dalam menentukan peraturan penapisan;

kelewatan sedikit dalam laluan paket.

Kelemahan:

tidak mengumpul paket berpecah-belah;

tidak ada cara untuk menjejaki hubungan (sambungan) antara pakej.?

Penapisan peringkat sesi

Bergantung pada pemantauan sambungan aktif, firewall boleh:

tidak bernegara(penapisan mudah), yang tidak memantau sambungan semasa (contohnya, TCP), tetapi menapis aliran data semata-mata berdasarkan peraturan statik;

stateful, stateful packet inspection (SPI)(penapisan sedar konteks), memantau sambungan semasa dan menghantar hanya paket yang memenuhi logik dan algoritma protokol dan aplikasi yang sepadan.

Firewall dengan SPI memungkinkan untuk memerangi pelbagai jenis serangan DoS dan kelemahan beberapa protokol rangkaian dengan lebih berkesan. Di samping itu, mereka memastikan fungsi protokol seperti H.323, SIP, FTP, dsb., yang menggunakan skema pemindahan data yang kompleks antara penerima, sukar untuk diterangkan mengikut peraturan statik, dan selalunya tidak serasi dengan tembok api standard tanpa negara.

Kelebihan penapisan tersebut termasuk:

analisis kandungan paket;

tiada maklumat tentang operasi protokol lapisan 7 diperlukan.

Kelemahan:

adalah sukar untuk menganalisis data peringkat aplikasi (mungkin menggunakan ALG - Gerbang peringkat aplikasi).

Gerbang peringkat aplikasi, ALG (gerbang peringkat aplikasi) ialah komponen penghala NAT yang memahami protokol aplikasi, dan apabila paket protokol ini melaluinya, ia mengubah suainya dengan cara yang pengguna di belakang NAT boleh menggunakan protokol tersebut.

Perkhidmatan ALG menyediakan sokongan untuk protokol peringkat aplikasi (seperti SIP, H.323, FTP, dll.) yang Terjemahan Alamat Rangkaian tidak dibenarkan. Perkhidmatan ini menentukan jenis aplikasi dalam paket yang datang daripada antara muka rangkaian dalaman dan dengan itu melaksanakan terjemahan alamat/port untuknya melalui antara muka luaran.

Teknologi SPI (Stateful Packet Inspection) atau teknologi pemeriksaan paket dengan mengambil kira keadaan protokol hari ini merupakan kaedah kawalan trafik yang termaju. Teknologi ini membolehkan anda mengawal data ke peringkat aplikasi tanpa memerlukan orang tengah atau aplikasi proksi yang berasingan untuk setiap protokol atau perkhidmatan rangkaian yang dilindungi.

Dari segi sejarah, tembok api telah berkembang daripada penapis paket tujuan umum kepada perisian tengah khusus protokol kepada pemeriksaan stateful. Teknologi terdahulu hanya saling melengkapi, tetapi tidak memberikan kawalan menyeluruh ke atas sambungan. Penapis paket tidak mempunyai akses kepada sambungan dan maklumat keadaan aplikasi yang diperlukan untuk sistem keselamatan membuat keputusan muktamad. Program perisian tengah hanya memproses data peringkat aplikasi, yang sering mencipta pelbagai peluang untuk menggodam sistem. Seni bina pemeriksaan stateful adalah unik kerana ia membolehkan anda mengendalikan semua maklumat yang mungkin melalui mesin get laluan: data daripada paket, data tentang keadaan sambungan, data yang diperlukan oleh aplikasi.

Contoh mekanismeStatefulPemeriksaan. Firewall memantau sesi FTP dengan memeriksa data pada peringkat aplikasi. Apabila pelanggan meminta pelayan untuk membuka sambungan terbalik (arahan FTP PORT), tembok api mengeluarkan nombor port daripada permintaan itu. Senarai ini menyimpan alamat klien dan pelayan serta nombor port. Apabila percubaan untuk mewujudkan sambungan data FTP dikesan, tembok api mengimbas senarai dan menyemak sama ada sambungan itu sememangnya tindak balas kepada permintaan pelanggan yang sah. Senarai sambungan dikekalkan secara dinamik supaya hanya port FTP yang diperlukan dibuka. Sebaik sahaja sesi ditutup, pelabuhan disekat, memberikan tahap keselamatan yang tinggi.

nasi. 2.12. Contoh mekanisme Pemeriksaan Stateful yang berfungsi dengan protokol FTP

Penapisan peringkat aplikasi

Untuk melindungi beberapa kelemahan yang wujud dalam penapisan paket, tembok api mesti menggunakan program aplikasi untuk menapis sambungan kepada perkhidmatan seperti Telnet, HTTP, FTP. Aplikasi sedemikian dipanggil perkhidmatan proksi, dan hos di mana perkhidmatan proksi dijalankan dipanggil gerbang peringkat aplikasi. Gerbang sedemikian menghapuskan interaksi langsung antara pelanggan yang dibenarkan dan hos luaran. Gerbang menapis semua paket masuk dan keluar pada lapisan aplikasi (lapisan aplikasi - lapisan atas model rangkaian) dan boleh menganalisis kandungan data, seperti URL yang terkandung dalam mesej HTTP atau arahan yang terkandung dalam mesej FTP. Kadangkala lebih berkesan untuk menapis paket berdasarkan maklumat yang terkandung dalam data itu sendiri. Penapis paket dan penapis peringkat pautan tidak menggunakan kandungan aliran maklumat semasa membuat keputusan penapisan, tetapi penapisan peringkat aplikasi boleh berbuat demikian. Penapis peringkat aplikasi boleh menggunakan maklumat daripada pengepala paket, serta data kandungan dan maklumat pengguna. Pentadbir boleh menggunakan penapisan peringkat aplikasi untuk mengawal akses berdasarkan identiti pengguna dan/atau berdasarkan tugas khusus yang cuba dilakukan oleh pengguna. Dalam penapis peringkat aplikasi, anda boleh menetapkan peraturan berdasarkan arahan yang dikeluarkan oleh aplikasi. Sebagai contoh, pentadbir boleh menghalang pengguna tertentu daripada memuat turun fail ke komputer tertentu menggunakan FTP, atau membenarkan pengguna mengehos fail melalui FTP pada komputer yang sama.

Kelebihan penapisan tersebut termasuk:

peraturan penapisan mudah;

kemungkinan menganjurkan sejumlah besar pemeriksaan. Perlindungan peringkat aplikasi membolehkan sejumlah besar pemeriksaan tambahan, yang mengurangkan kemungkinan penggodaman menggunakan lubang dalam perisian;

keupayaan untuk menganalisis data aplikasi.

Kelemahan:

prestasi yang agak rendah berbanding dengan penapisan paket;

proksi mesti memahami protokolnya (kemustahilan penggunaan dengan protokol yang tidak diketahui)?;

Sebagai peraturan, ia berjalan di bawah sistem pengendalian yang kompleks.

Firewall

Firewall (Firewall atau Firewall) ialah satu cara untuk menapis trafik paket yang datang daripada rangkaian luaran berhubung dengan rangkaian tempatan atau komputer tertentu. Mari kita pertimbangkan sebab penampilan dan tugasan yang dilakukan oleh Firewall. Rangkaian data moden terdiri daripada banyak peranti berprestasi tinggi jauh yang berinteraksi antara satu sama lain dalam jarak yang agak jauh. Salah satu rangkaian penghantaran data berskala besar ialah rangkaian komputer seperti Internet. Ia pada masa yang sama menggunakan berjuta-juta sumber maklumat dan pengguna di seluruh dunia. Perkembangan meluas rangkaian ini membolehkan ia digunakan bukan sahaja oleh individu, tetapi juga oleh syarikat besar untuk menyatukan peranti mereka yang berbeza di seluruh dunia menjadi satu rangkaian. Pada masa yang sama, akses berkongsi kepada sumber fizikal biasa membuka peluang kepada penipu, virus dan pesaing untuk menyebabkan kemudaratan kepada pengguna akhir: mencuri, memutarbelit, menanam atau memusnahkan maklumat yang disimpan, melanggar integriti perisian dan juga mengalih keluar perkakasan stesen penghujung. Untuk mengelakkan kesan yang tidak diingini ini, adalah perlu untuk menghalang akses yang tidak dibenarkan, yang mana Firewall sering digunakan. Nama Firewall (dinding - dari dinding Inggeris) menyembunyikan tujuannya, i.e. ia berfungsi sebagai dinding antara rangkaian tempatan yang dilindungi dan Internet atau mana-mana rangkaian luaran lain dan menghalang sebarang ancaman. Sebagai tambahan kepada perkara di atas, tembok api juga boleh melaksanakan fungsi lain yang berkaitan dengan menapis trafik dari/ke mana-mana sumber Internet.

Prinsip operasi Firewall adalah berdasarkan mengawal trafik yang datang dari luar. Kaedah berikut untuk memantau trafik antara rangkaian tempatan dan luaran boleh dipilih:

1. Penapisan paket– berdasarkan penyediaan satu set penapis. Bergantung pada sama ada paket masuk memenuhi syarat yang dinyatakan dalam penapis, ia dihantar ke rangkaian atau dibuang.

2. Pelayan proksi– peranti pelayan proksi tambahan dipasang di antara rangkaian tempatan dan luaran, yang berfungsi sebagai “pintu” di mana semua trafik masuk dan keluar mesti dilalui.

3. Pemeriksaan secara stateful– pemeriksaan trafik masuk adalah salah satu cara paling maju untuk melaksanakan Firewall. Pemeriksaan tidak bermakna menganalisis keseluruhan pakej, tetapi hanya bahagian utama khasnya dan membandingkannya dengan nilai yang diketahui sebelum ini daripada pangkalan data sumber yang dibenarkan. Kaedah ini memberikan prestasi Firewall tertinggi dan kelewatan yang paling rendah.

Firewall boleh dilaksanakan dalam perkakasan atau perisian. Pelaksanaan khusus bergantung pada saiz rangkaian, jumlah trafik dan tugasan yang diperlukan. Jenis Firewall yang paling biasa ialah perisian. Dalam kes ini, ia dilaksanakan sebagai program yang berjalan pada PC akhir atau peranti rangkaian tepi, sebagai contoh. Dalam kes pelaksanaan perkakasan, Firewall ialah elemen rangkaian yang berasingan, yang biasanya mempunyai keupayaan prestasi yang lebih besar, tetapi melaksanakan tugas yang serupa.

Firewall membolehkan anda mengkonfigurasi penapis yang bertanggungjawab untuk menghantar trafik mengikut kriteria berikut:

1. alamat IP. Seperti yang anda ketahui, mana-mana peranti akhir yang beroperasi mengikut protokol mesti mempunyai alamat unik. Dengan menetapkan alamat tertentu atau julat tertentu, anda boleh melarang menerima paket daripadanya, atau, sebaliknya, membenarkan akses hanya dari alamat IP ini.

2. Nama domain. Seperti yang anda ketahui, tapak web di Internet, atau lebih tepatnya alamat IPnya, boleh diberikan nama alfanumerik, yang lebih mudah diingati daripada satu set nombor. Oleh itu, penapis boleh dikonfigurasikan untuk membenarkan trafik hanya ke/daripada salah satu sumber, atau untuk menafikan akses kepadanya.

3. Pelabuhan. Kita bercakap tentang port perisian, i.e. titik capaian aplikasi kepada perkhidmatan rangkaian. Jadi, sebagai contoh, ftp menggunakan port 21, dan aplikasi untuk melihat halaman web menggunakan port 80. Ini membolehkan anda menafikan akses daripada perkhidmatan yang tidak diingini dan aplikasi rangkaian, atau, sebaliknya, membenarkan akses hanya kepada mereka.

4. Protokol. Firewall boleh dikonfigurasikan untuk membenarkan data daripada hanya satu protokol untuk melalui, atau untuk menafikan akses menggunakannya. Biasanya, jenis protokol boleh menunjukkan tugas yang dilakukannya, aplikasi yang digunakannya dan set parameter keselamatan. Dengan cara ini, akses boleh dikonfigurasikan untuk menjalankan hanya satu aplikasi tertentu dan menghalang akses yang berpotensi berbahaya menggunakan semua protokol lain.

Yang disenaraikan di atas hanyalah parameter utama yang boleh dikonfigurasikan. Tetapan penapis khusus rangkaian lain juga boleh digunakan, bergantung pada tugas yang dilakukan pada rangkaian tersebut.

Oleh itu, Firewall menyediakan satu set tugas yang komprehensif untuk menghalang capaian yang tidak dibenarkan, kerosakan atau kecurian data, atau kesan negatif lain yang mungkin menjejaskan prestasi rangkaian. Biasanya, tembok api digunakan bersama dengan alat keselamatan lain, seperti perisian antivirus.

1. Penyulitan simetri

Sistem kriptografi simetri(Juga penyulitan simetri, sifir simetri) (Bahasa Inggeris) simetri- kunci algoritma) - kaedah penyulitan di mana kunci kriptografi yang sama digunakan untuk penyulitan dan penyahsulitan. Sebelum penciptaan skema penyulitan asimetri, satu-satunya kaedah yang wujud ialah penyulitan simetri. Kunci algoritma mesti dirahsiakan oleh kedua-dua pihak. Algoritma penyulitan dipilih oleh pihak sebelum pertukaran mesej bermula.

Dalam sistem kripto simetri, kunci yang sama digunakan untuk penyulitan dan penyahsulitan. Oleh itu nama - simetri. Algoritma dan kunci dipilih terlebih dahulu dan diketahui oleh kedua-dua pihak. Menyimpan rahsia utama adalah tugas penting untuk mewujudkan dan mengekalkan saluran komunikasi yang selamat. Dalam hal ini, masalah pemindahan kunci awal (penyegerakan kunci) timbul. Di samping itu, terdapat kaedah serangan kripto yang membenarkan satu cara atau yang lain untuk menyahsulit maklumat tanpa mempunyai kunci atau dengan memintasnya pada peringkat kelulusan. Secara umum, titik ini adalah masalah kekuatan kriptografi algoritma penyulitan tertentu dan merupakan hujah apabila memilih algoritma tertentu.

Simetri, atau lebih khusus, algoritma penyulitan abjad adalah antara algoritma pertama . Kemudian, penyulitan asimetri telah dicipta, di mana lawan bicara mempunyai kunci yang berbeza .

Maklumat asas[sunting | edit kod]

Algoritma penyulitan data digunakan secara meluas dalam teknologi komputer dalam sistem untuk menyembunyikan maklumat sulit dan komersial daripada penggunaan berniat jahat oleh pihak ketiga. Prinsip utama dalam mereka adalah syarat bahawa pemancar dan penerima mengetahui algoritma penyulitan terlebih dahulu, serta kunci kepada mesej, tanpa maklumat itu hanyalah satu set simbol yang tidak mempunyai makna.

Contoh klasik algoritma tersebut ialah algoritma kriptografi simetri disenaraikan di bawah:

Penyusunan semula yang mudah

Pilih atur tunggal mengikut kekunci

Pilih atur berganda

Permutasi "Petak Ajaib"

Penyusunan semula yang mudah[sunting | edit kod]

Pilih atur tanpa kunci mudah ialah salah satu kaedah penyulitan yang paling mudah. Mesej ditulis ke dalam jadual dalam lajur. Selepas teks biasa ditulis dalam lajur, ia dibaca baris demi baris untuk membentuk teks sifir. Untuk menggunakan sifir ini, pengirim dan penerima perlu bersetuju dengan kunci yang dikongsi dalam bentuk saiz jadual. Menggabungkan huruf ke dalam kumpulan tidak termasuk dalam kekunci sifir dan digunakan hanya untuk kemudahan menulis teks karut.

Pilih atur tunggal mengikut kekunci[sunting | edit kod]

Kaedah penyulitan yang lebih praktikal dipanggil pilih atur kekunci tunggal sangat serupa dengan yang sebelumnya. Ia berbeza hanya kerana lajur jadual disusun semula mengikut kata kunci, frasa atau set nombor sepanjang garis jadual.

Pilih atur berganda[sunting | edit kod]

Untuk keselamatan tambahan, anda boleh menyulitkan semula mesej yang telah disulitkan. Kaedah ini dikenali sebagai pilih atur berganda. Untuk melakukan ini, saiz jadual kedua dipilih supaya panjang baris dan lajurnya berbeza daripada panjang dalam jadual pertama. Adalah lebih baik jika mereka agak prima. Di samping itu, lajur dalam jadual pertama boleh disusun semula, dan baris dalam jadual kedua. Akhir sekali, anda boleh mengisi jadual secara zigzag, ular, lingkaran atau cara lain. Kaedah mengisi jadual sedemikian, jika mereka tidak meningkatkan kekuatan sifir, maka menjadikan proses penyulitan lebih menghiburkan.

Permutasi "Petak Ajaib"[sunting | edit kod]

Petak ajaib ialah jadual segi empat sama dengan nombor semula jadi berturut-turut daripada 1 tertulis dalam selnya, yang menjumlahkan sehingga nombor yang sama untuk setiap lajur, setiap baris dan setiap pepenjuru. Petak sedemikian digunakan secara meluas untuk memasukkan teks yang disulitkan mengikut penomboran yang diberikan di dalamnya. Jika anda kemudian menulis kandungan jadual baris demi baris, anda mendapat penyulitan dengan menyusun semula huruf. Pada pandangan pertama, nampaknya terdapat sangat sedikit petak ajaib. Walau bagaimanapun, bilangan mereka meningkat dengan cepat apabila saiz segi empat sama bertambah. Oleh itu, hanya terdapat satu petak ajaib berukuran 3 x 3, jika anda tidak mengambil kira putarannya. Sudah terdapat 880 petak ajaib 4 x 4, dan bilangan petak ajaib bersaiz 5 x 5 adalah kira-kira 250,000. Oleh itu, petak ajaib yang besar boleh menjadi asas yang baik untuk sistem penyulitan yang boleh dipercayai pada masa itu, kerana mencuba semua pilihan utama untuk sifir ini tidak dapat difikirkan.

Nombor dari 1 hingga 16 sesuai dengan petak berukuran 4 kali 4. Keajaibannya ialah jumlah nombor dalam baris, lajur dan pepenjuru penuh adalah sama dengan nombor yang sama - 34. Petak ini mula-mula muncul di China, di mana ia ditetapkan beberapa "kuasa ajaib".

Penyulitan persegi ajaib telah dijalankan seperti berikut. Sebagai contoh, anda perlu menyulitkan frasa: "Saya akan tiba hari ini." Huruf frasa ini ditulis secara berurutan ke dalam segi empat sama mengikut nombor yang ditulis di dalamnya: kedudukan huruf dalam ayat sepadan dengan nombor ordinal. Satu titik diletakkan dalam sel kosong.

Selepas ini, teks sifir ditulis ke dalam baris (bacaan dilakukan dari kiri ke kanan, baris demi baris): .irdzegyuSzhaoyanP

Apabila dinyahsulit, teks itu dimuatkan ke dalam segi empat sama, dan teks biasa dibaca dalam urutan nombor "petak ajaib". Program ini harus menghasilkan "petak ajaib" dan pilih yang diperlukan berdasarkan kekunci. Petak itu lebih besar daripada 3x3.

Skim umum[sunting | edit kod]

Pada masa ini, sifir simetri ialah:

sifir blok. Mereka memproses maklumat dalam blok dengan panjang tertentu (biasanya 64, 128 bit), menggunakan kunci pada blok dalam susunan yang ditetapkan, biasanya melalui beberapa kitaran shuffling dan penggantian, dipanggil pusingan. Hasil daripada pusingan berulang ialah kesan longsoran - kehilangan korespondensi bit yang semakin meningkat antara blok data terbuka dan yang disulitkan.

sifir strim, di mana penyulitan dijalankan ke atas setiap bit atau bait teks asal (biasa) menggunakan gamma. Sifir strim boleh dibuat dengan mudah berdasarkan sifir blok (contohnya, GOST 28147-89 dalam mod gamma), dilancarkan dalam mod khas.

Kebanyakan sifir simetri menggunakan gabungan kompleks sejumlah besar penggantian dan pilih atur. Banyak sifir sedemikian dilaksanakan dalam beberapa pas (kadang-kadang sehingga 80), menggunakan "kunci pas" pada setiap pas. Set "kunci pas" untuk semua pas dipanggil "jadual kunci". Sebagai peraturan, ia dicipta daripada kunci dengan melakukan operasi tertentu padanya, termasuk pilih atur dan penggantian.

Cara biasa untuk membina algoritma penyulitan simetri ialah rangkaian Feistel. Algoritma membina skema penyulitan berdasarkan fungsi F(D, K), di mana D ialah sekeping data separuh saiz blok penyulitan, dan K ialah "kunci laluan" untuk pas yang diberikan. Fungsi ini tidak perlu boleh terbalik - fungsi songsangnya mungkin tidak diketahui. Kelebihan rangkaian Feistel adalah kebetulan hampir lengkap penyahsulitan dengan penyulitan (satu-satunya perbezaan ialah susunan terbalik "kunci pas" dalam jadual), yang sangat memudahkan pelaksanaan perkakasan.

Operasi pilih atur mencampurkan bit mesej mengikut undang-undang tertentu. Dalam pelaksanaan perkakasan, ia dilaksanakan secara remeh sebagai pembalikan wayar. Operasi pilih aturlah yang memungkinkan untuk mencapai "kesan longsoran". Operasi pilihatur adalah linear - f(a) xor f(b) == f(a xor b)

Operasi penggantian dilakukan sebagai menggantikan nilai bahagian tertentu mesej (selalunya 4, 6 atau 8 bit) dengan nombor standard, berwayar keras dalam algoritma dengan mengakses tatasusunan malar. Operasi penggantian memperkenalkan ketaklinearan ke dalam algoritma.

Selalunya kekuatan algoritma, terutamanya terhadap kriptanalisis pembezaan, bergantung pada pilihan nilai dalam jadual carian (kotak-S). Sekurang-kurangnya, dianggap tidak diingini untuk mempunyai elemen tetap S(x) = x, serta ketiadaan pengaruh sedikit bait input pada sedikit hasil - iaitu, kes apabila bit hasil ialah sama untuk semua pasangan kata input yang berbeza hanya dalam bit ini.

Parameter algoritma[sunting | edit kod]

Terdapat banyak (sekurang-kurangnya dua dozen) algoritma sifir simetri, parameter pentingnya ialah:

ketahanan

panjang kunci

bilangan pusingan

panjang blok yang diproses

kerumitan pelaksanaan perkakasan/perisian

kerumitan penukaran

Jenis-jenis sifir simetri[sunting | edit kod]

sifir blok

AES (Bahasa Inggeris) Maju Penyulitan Standard) - Standard penyulitan Amerika

GOST 28147-89 - Piawaian penyulitan Soviet dan Rusia, juga piawaian CIS

DES (Bahasa Inggeris) Data Penyulitan Standard) - standard penyulitan data di Amerika Syarikat

3DES (Triple-DES, triple DES)

RC2 (Rivest Cipher atau Ron's Cipher)

IDEA (Algoritma Penyulitan Data Antarabangsa, algoritma penyulitan data antarabangsa)

CAST (selepas huruf awal pembangun Carlisle Adams dan Stafford Tavares)

sifir aliran

RC4 (algoritma penyulitan kunci boleh ubah)

SEAL (Algoritma Cekap Perisian, algoritma cekap perisian)

WAKE (Algoritma Penyulitan Kunci Auto Dunia, algoritma penyulitan kunci automatik seluruh dunia)

Perbandingan dengan sistem kripto asimetrik[sunting | edit kod]

Kelebihan[sunting | edit kod]

kelajuan

kemudahan pelaksanaan (disebabkan oleh operasi yang lebih mudah)

panjang kunci yang diperlukan lebih pendek untuk ketahanan yang setanding

pengetahuan (kerana usia yang lebih tinggi)

Kecacatan[sunting | edit kod]

kerumitan pengurusan utama dalam rangkaian yang besar

kerumitan pertukaran kunci. Untuk menggunakannya, adalah perlu untuk menyelesaikan masalah pemindahan kunci yang boleh dipercayai kepada setiap pelanggan, kerana saluran rahsia diperlukan untuk memindahkan setiap kunci kepada kedua-dua pihak

Untuk mengimbangi kekurangan penyulitan simetri, skema kriptografi gabungan (hibrid) kini digunakan secara meluas, di mana kunci sesi yang digunakan oleh pihak-pihak untuk menukar data menggunakan penyulitan simetri dihantar menggunakan penyulitan asimetri.

Kelemahan penting sifir simetri ialah kemustahilan penggunaannya dalam mekanisme untuk menjana tandatangan dan sijil digital elektronik, kerana kuncinya diketahui oleh setiap pihak.

2. Firewall. Firewall. Brandmauer

Firewall, tembok api - program atau elemen perisian dan perkakasan rangkaian komputer, yang mengawal dan menapis perkara yang melaluinya trafik rangkaian mengikut peraturan yang diberikan .

Nama lain :

Firewall (Jerman Brandmauer - dinding api) - istilah yang dipinjam daripada bahasa Jerman;

Firewall (Inggeris Firewall- fire wall) ialah istilah yang dipinjam daripada bahasa Inggeris.

Firewall

Prinsip operasi Firewall adalah berdasarkan mengawal trafik yang datang dari luar. Kaedah berikut untuk memantau trafik antara rangkaian tempatan dan luaran boleh dipilih:

1. Penapisan paket– berdasarkan penyediaan satu set penapis. Bergantung pada sama ada paket masuk memenuhi syarat yang dinyatakan dalam penapis, ia dihantar ke rangkaian atau dibuang.

2. Pelayan proksi– peranti pelayan proksi tambahan dipasang di antara rangkaian tempatan dan luaran, yang berfungsi sebagai “pintu” di mana semua trafik masuk dan keluar mesti dilalui.

Prinsip operasi firewall

Firewall boleh dilaksanakan dalam perkakasan atau perisian. Pelaksanaan khusus bergantung pada saiz rangkaian, jumlah trafik dan tugasan yang diperlukan. Jenis Firewall yang paling biasa ialah perisian. Dalam kes ini, ia dilaksanakan sebagai program yang dijalankan pada PC akhir atau peranti rangkaian tepi, seperti penghala. Dalam kes pelaksanaan perkakasan, Firewall ialah elemen rangkaian yang berasingan, yang biasanya mempunyai keupayaan prestasi yang lebih besar, tetapi melaksanakan tugas yang serupa.

Firewall membolehkan anda mengkonfigurasi penapis yang bertanggungjawab untuk menghantar trafik mengikut kriteria berikut:

1. alamat IP. Seperti yang anda ketahui, mana-mana peranti akhir yang beroperasi melalui protokol IP mesti mempunyai alamat unik. Dengan menetapkan alamat tertentu atau julat tertentu, anda boleh melarang menerima paket daripadanya, atau, sebaliknya, membenarkan akses hanya dari alamat IP ini.

\\ 06.04.2012 17:16

Firewall ialah satu set tugas untuk menghalang capaian yang tidak dibenarkan, kerosakan atau kecurian data, atau kesan negatif lain yang mungkin menjejaskan prestasi rangkaian.

Firewall, juga dipanggil tembok api(dari English Firewall) atau firewall pada get laluan membolehkan anda menyediakan akses pengguna yang selamat ke Internet, sambil melindungi sambungan jauh ke sumber dalaman. Firewall melihat melalui semua lalu lintas yang melalui antara segmen rangkaian, dan untuk setiap paket membuat keputusan - untuk lulus atau tidak untuk lulus. Sistem peraturan firewall yang fleksibel membolehkan anda menafikan atau membenarkan sambungan berdasarkan banyak parameter: alamat, rangkaian, protokol dan port.

Kaedah untuk memantau trafik antara rangkaian tempatan dan luaran

Penapisan paket. Bergantung pada sama ada paket masuk memenuhi syarat yang dinyatakan dalam penapis, ia dihantar ke rangkaian atau dibuang.

Pemeriksaan secara stateful. Dalam kes ini, trafik masuk diperiksa - salah satu kaedah termaju untuk melaksanakan Firewall. Pemeriksaan tidak bermakna menganalisis keseluruhan pakej, tetapi hanya bahagian utama khasnya dan membandingkannya dengan nilai yang diketahui sebelum ini daripada pangkalan data sumber yang dibenarkan. Kaedah ini memberikan prestasi Firewall tertinggi dan kelewatan yang paling rendah.

Pelayan proksi. Dalam kes ini, peranti pelayan proksi tambahan dipasang antara rangkaian tempatan dan luaran, yang berfungsi sebagai "pintu" di mana semua trafik masuk dan keluar mesti dilalui.

Firewall membolehkan anda mengkonfigurasi penapis yang bertanggungjawab untuk menghantar trafik dengan:

Alamat IP. Dengan menetapkan alamat tertentu atau julat tertentu, anda boleh melarang menerima paket daripadanya, atau, sebaliknya, membenarkan akses hanya dari alamat IP ini.

- Pelabuhan. Firewall boleh mengkonfigurasi titik capaian aplikasi kepada perkhidmatan rangkaian. Sebagai contoh, ftp menggunakan port 21, dan aplikasi penyemakan imbas web menggunakan port 80.

Protokol. Firewall boleh dikonfigurasikan untuk membenarkan data daripada hanya satu protokol untuk melalui, atau untuk menafikan akses menggunakannya. Selalunya, jenis protokol boleh menunjukkan tugas yang dilakukan, aplikasi yang digunakan dan set parameter keselamatan. Dalam hal ini, akses boleh dikonfigurasikan hanya untuk mengendalikan satu aplikasi tertentu dan menghalang akses yang berpotensi berbahaya menggunakan semua protokol lain.

Nama domain. Dalam kes ini, penapis menafikan atau membenarkan sambungan ke sumber tertentu. Ini membolehkan anda menafikan akses daripada perkhidmatan yang tidak diingini dan aplikasi rangkaian, atau, sebaliknya, membenarkan akses hanya kepada mereka.

Parameter lain untuk penapis khusus untuk rangkaian tertentu ini boleh digunakan untuk konfigurasi, bergantung pada tugas yang dilakukan di dalamnya.

Selalunya, tembok api digunakan bersama dengan alat keselamatan lain, contohnya, perisian antivirus.

Cara tembok api berfungsi

Firewall Boleh dilakukan:

Perkakasan. Dalam kes ini, penghala, yang terletak di antara komputer dan Internet, bertindak sebagai tembok api perkakasan. Beberapa PC boleh disambungkan ke firewall, dan kesemuanya akan dilindungi oleh firewall, yang merupakan sebahagian daripada penghala.

Secara pemrograman. Jenis tembok api yang paling biasa, iaitu perisian khusus yang dipasang pengguna pada PCnya.

Walaupun penghala dengan tembok api terbina dalam disambungkan, tembok api perisian tambahan boleh dipasang pada setiap komputer secara individu. Dalam kes ini, ia akan menjadi lebih sukar bagi penyerang untuk menembusi sistem.

Dokumen rasmi

Pada tahun 1997, Dokumen Panduan Suruhanjaya Teknikal Negeri di bawah Presiden Persekutuan Rusia "Teknologi komputer. Firewall. Perlindungan daripada akses tanpa kebenaran kepada maklumat. Penunjuk keselamatan daripada akses tanpa kebenaran kepada maklumat" telah diterima pakai. Dokumen ini menetapkan lima kelas keselamatan firewall, setiap satunya dicirikan oleh set minimum keperluan tertentu untuk perlindungan maklumat.

Pada tahun 1998, satu lagi dokumen telah dibangunkan: "Keperluan sementara untuk peranti jenis firewall." Menurut dokumen ini, 5 kelas keselamatan firewall ditubuhkan, yang digunakan untuk melindungi maklumat dalam sistem automatik yang mengandungi alat kriptografi.

Dan sejak 2011, keperluan perundangan untuk pensijilan firewall mula berkuat kuasa. Oleh itu, jika data peribadi diproses pada rangkaian perusahaan, maka perlu memasang tembok api yang diperakui oleh Perkhidmatan Persekutuan untuk Kawalan Eksport (FSTEC).

Baru-baru ini, terdapat kecenderungan untuk mengehadkan privasi di Internet. Ini disebabkan oleh sekatan yang dikenakan oleh peraturan kerajaan Internet terhadap pengguna. Peraturan Internet kerajaan wujud di banyak negara (China, Rusia, Belarus).

"Penipuan Pendaftaran Nama Domain Asia" dalam RuNet! Anda mendaftar atau membeli domain dan membuat tapak web di atasnya. Seiring berjalannya waktu, laman web ini berkembang dan menjadi popular. Sekarang pendapatan daripadanya telah "menitis". Anda menerima pendapatan anda, membayar domain, hosting dan perbelanjaan lain...