Firewalls of firewalls. Wat is een firewall? Waar is het voor? Voorbeelden van het instellen van beveiligingsparameters

14.9. Firewalls

De belangstelling voor firewalls (firewall) van mensen die met internet zijn verbonden, groeit en er zijn zelfs toepassingen voor het lokale netwerk verschenen die een hoger beveiligingsniveau bieden. In deze sectie hopen we te schetsen wat firewalls zijn, hoe ze te gebruiken en hoe je voordeel kunt halen uit de mogelijkheden die de FreeBSD-kernel biedt om ze te implementeren.

14.9.1. Wat is een firewall?

Er worden dagelijks twee duidelijk verschillende soorten firewalls gebruikt op het moderne internet. Het eerste type wordt correcter genoemd pakketfilterende router . Dit type firewall draait op een machine die met meerdere netwerken is verbonden en past op elk pakket een reeks regels toe die bepalen of het pakket wordt doorgestuurd of geblokkeerd. Het tweede type, bekend als proxy-server , is geïmplementeerd als daemons die authenticatie en het doorsturen van pakketten uitvoeren, mogelijk op een machine met meerdere netwerkverbindingen waar het doorsturen van pakketten in de kernel is uitgeschakeld.

Soms worden deze twee soorten firewalls samen gebruikt, zodat alleen een specifieke machine (bekend als bastion gastheer ) mag pakketten via de filterrouter naar het interne netwerk verzenden. Proxydiensten draaien op een beveiligde host, die doorgaans veiliger is dan reguliere authenticatiemechanismen.

FreeBSD wordt geleverd met een filterpakket (bekend als IPFW) ingebouwd in de kernel, waar de rest van deze sectie op zal focussen. Proxyservers kunnen op FreeBSD worden gebouwd met software van derden, maar het zijn er te veel om in deze sectie te bespreken.

14.9.1.1. Routers met pakketfiltering

Een router is een machine die pakketten tussen twee of meer netwerken doorstuurt. Een pakketfilterrouter is geprogrammeerd om elk pakket te vergelijken met een lijst regels voordat wordt besloten of het al dan niet moet worden doorgestuurd. De meeste moderne routeringssoftware heeft filtermogelijkheden en standaard worden alle pakketten doorgestuurd. Om filters in te schakelen, moet u een reeks regels definiëren.

Om te bepalen of een pakket moet worden doorgelaten, doorzoekt de firewall een reeks regels die overeenkomen met de inhoud van de pakketheaders. Zodra er een match is gevonden, wordt de actie die aan die regel is toegewezen, uitgevoerd. De actie kan bestaan uit het laten vallen van het pakket, het doorsturen van het pakket of zelfs het verzenden van een ICMP-bericht naar het bronadres. Alleen de eerste wedstrijd telt mee, omdat er in een specifieke volgorde naar de regels wordt gekeken. Daarom kan een lijst met regels een ‘keten van regels’ worden genoemd. » .

De pakketselectiecriteria zijn afhankelijk van de software die u gebruikt, maar doorgaans kunt u regels definiëren op basis van het bron-IP-adres van het pakket, het bestemmings-IP-adres, het bronpoortnummer van het pakket, het bestemmingspoortnummer (voor protocollen die ondersteuning bieden voor poorten), of zelfs het type pakket (UDP, TCP, ICMP, enz.).

14.9.1.2. Proxy-servers

Proxyservers zijn computers waarop reguliere systeemdaemons ( telnet, ftpd, enz.) worden vervangen door speciale servers. Deze servers worden gebeld proxy-servers , omdat ze meestal alleen werken met inkomende verbindingen. Hiermee kunt u bijvoorbeeld rennen telnet proxyserver op de firewall, en maak het mogelijk om in te loggen met behulp van telnet naar de firewall, het authenticatiemechanisme passeren en toegang krijgen tot het interne netwerk (op dezelfde manier kunnen proxyservers worden gebruikt om toegang te krijgen tot het externe netwerk).

Proxyservers zijn doorgaans beter beschermd dan andere servers en beschikken vaak over een breder scala aan authenticatiemechanismen, waaronder systemen voor eenmalige wachtwoorden, zodat zelfs als iemand weet welk wachtwoord u hebt gebruikt, hij of zij dit niet kan gebruiken om toegang te krijgen tot de system , omdat het wachtwoord onmiddellijk na het eerste gebruik vervalt. Omdat het wachtwoord niet rechtstreeks toegang geeft tot de computer waarop de proxyserver zich bevindt, wordt het veel moeilijker om het systeem te backdooren.

Proxyservers hebben meestal een manier om de toegang verder te beperken, zodat alleen bepaalde hosts toegang hebben tot de servers. Bij de meeste kan de beheerder ook opgeven tot welke gebruikers en computers hij toegang heeft. Ook hier zijn de beschikbare opties vooral afhankelijk van de gebruikte software.

14.9.2. Wat kunt u doen met IPFW?

De IPFW-software die bij FreeBSD wordt geleverd, is een pakketfilter- en boekhoudsysteem dat zich in de kernel bevindt en is uitgerust met eenmma, ipfw (8). Samen stellen ze je in staat de regels te definiëren en te bekijken die door de kernel voor routering worden gebruikt.

IPFW bestaat uit twee samenhangende delen. De firewall filtert pakketten. Het IP-pakketaccountinggedeelte houdt het routergebruik bij op basis van regels die vergelijkbaar zijn met de regels die worden gebruikt in het firewallgedeelte. Hierdoor kan de beheerder bijvoorbeeld bepalen hoeveel verkeer een router ontvangt van een bepaalde computer of hoeveel WWW-verkeer hij doorstuurt.

Vanwege de manier waarop IPFW is geïmplementeerd, kunt u het op niet-routercomputers gebruiken om inkomende en uitgaande verbindingen te filteren. Dit is een speciaal geval van het meer algemene gebruik van IPFW, en in deze situatie worden dezelfde commando's en technieken gebruikt.

14.9.3. IPFW inschakelen op FreeBSD

Omdat het grootste deel van het IPFW-systeem zich in de kernel bevindt, zult u één of meer parameters aan het kernelconfiguratiebestand moeten toevoegen, afhankelijk van de vereiste mogelijkheden, en de kernel opnieuw moeten opbouwen. Raadpleeg het hoofdstuk over het opnieuw opbouwen van de kernel (hoofdstuk 8) voor een gedetailleerde beschrijving van deze procedure.

Aandacht: De standaard IPFW-regel is deny ip from any to any. Als u tijdens het opstarten geen andere regels toevoegt om toegang toe te staan, dan toegang blokkeren naar een server met een firewall ingeschakeld in de kernel na een herstart. We raden u aan firewall_type=open op te geven in het bestand /etc/rc.conf wanneer u de firewall voor het eerst toevoegt, en vervolgens, na het testen van de functionaliteit ervan, de regels in het bestand /etc/rc.firewall te bewerken. Een extra voorzorgsmaatregel kan zijn om de firewall in eerste instantie te configureren vanaf de lokale console, in plaats van in te loggen via ssh. Bovendien is het mogelijk om de kernel te bouwen met de parameters IPFIREWALL en IPFIREWALL_DEFAULT_TO_ACCEPT. In dit geval wordt de standaard IPFW-regel gewijzigd om ip van any naar any toe te staan, waardoor mogelijke blokkering wordt voorkomen.

Er zijn vier kernelconfiguratieopties gerelateerd aan IPFW:

opties IPFIREWALL

Bevat pakketfiltercode in de kernel.

Opties IPFIREWALL_VERBOSE

Maakt pakketregistratie mogelijk via syslogd (8). Zonder deze parameter zal het niet werken, zelfs als u in de filterregels opgeeft om pakketten te loggen.

Opties IPFIREWALL_VERBOSE_LIMIT=10

Beperkt het aantal pakketten dat door elke regel wordt geregistreerd syslogd (8). U kunt deze optie gebruiken als u de werking van de firewall wilt registreren, maar de syslog niet wilt blootstellen aan een DoS-aanval.

Wanneer een van de regels in de keten de limiet bereikt die door de parameter is opgegeven, wordt het loggen voor die regel uitgeschakeld. Om logboekregistratie mogelijk te maken, moet u de bijbehorende teller resetten met behulp van het hulpprogramma ipfw (8) :

#ipfw nul 4500

waarbij 4500 het nummer is van de regel waarvoor u het loggen wilt hervatten.

Opties IPFIREWALL_DEFAULT_TO_ACCEPT

Verandert de standaardregel van "weigeren" naar "toestaan". Dit voorkomt mogelijke blokkering als de kernel is geladen met IPFIREWALL-ondersteuning, maar de firewall nog niet is geconfigureerd. Deze optie is ook handig als u gebruik maakt van ipfw (8) als oplossing voor bepaalde problemen wanneer deze zich voordoen. Wees echter voorzichtig met deze instelling, omdat deze de firewall opent en het gedrag ervan verandert.

Opmerking: Eerdere versies van FreeBSD bevatten de optie IPFIREWALL_ACCT. Deze optie is verouderd omdat de code boekhouding automatisch inschakelt.

14.9.4. IPFW instellen

IPFW-software wordt geconfigureerd met behulp van het hulpprogramma ipfw (8). De syntaxis voor dit commando ziet er erg ingewikkeld uit, maar wordt relatief eenvoudig als je de structuur ervan begrijpt.

Het hulpprogramma gebruikt momenteel vier verschillende categorieën opdrachten: toevoegen/verwijderen, opsommen, leegmaken en wissen. Add/Drop wordt gebruikt om regels te maken die bepalen hoe pakketten worden geaccepteerd, verwijderd en geregistreerd. De zoekopdracht wordt gebruikt om de inhoud van een reeks regels (ook wel een keten genoemd) en pakkettellers (boekhouding) te bepalen. Reset wordt gebruikt om alle regels in een keten te verwijderen. Wissen wordt gebruikt om één of meer tellers op nul te zetten.

14.9.4.1. IPFW-regels wijzigen

ipfw [-N] commando [nummer] actie adres protocol [parameters]

Er is één vlag beschikbaar bij gebruik van deze vorm van de opdracht:

Adressen en namen van services oplossen bij weergave.

Definieerbaar team kan worden ingekort tot een kortere unieke vorm. Bestaand ploegen :

Een regel toevoegen aan de filter-/boekhoudlijst

Een regel verwijderen uit de filter-/boekhoudlijst

Eerdere versies van IPFW gebruikten afzonderlijke vermeldingen voor pakketfiltering en boekhouding. Moderne versies houden voor elke regel rekening met pakketten.

Als er een waarde is opgegeven nummer, wordt het gebruikt om een regel op een specifieke positie in de keten te plaatsen. Anders wordt de regel aan het einde van de keten geplaatst met een nummer dat 100 hoger is dan de vorige regel (dit omvat niet het standaardregelnummer 65535).

Met de log-parameter voeren de overeenkomstige regels informatie uit naar de systeemconsole als de kernel is gebouwd met de IPFIREWALL_VERBOSE-optie.

Bestaand acties :

Verwijder het pakket en stuur een ICMP-pakket naar het bronadres, wat aangeeft dat de host of poort onbereikbaar is.

Sla het pakket over zoals gewoonlijk. (synoniemen: passeren, toestaan en accepteren)

Gooi het pakket weg. Er wordt geen ICMP-bericht verzonden naar de bron (alsof het pakket het doel nooit heeft bereikt).

Werk de pakketteller bij, maar pas er geen regels voor toestaan/weigeren op toe. Het zoeken gaat verder met de volgende regel in de keten.

Elk actie kan worden geschreven als een korter uniek voorvoegsel.

Het volgende kan worden gedefinieerd protocollen :

Komt overeen met alle IP-pakketten

Komt overeen met ICMP-pakketten

Komt overeen met TCP-pakketten

Komt overeen met UDP-pakketten

Veld adressen wordt als volgt gevormd:

bron adres/masker [haven] doel adres/masker [haven]

U kunt opgeven haven alleen samen met protocollen ondersteunende poorten (UDP en TCP).

De parameter via is optioneel en kan het IP-adres of de domeinnaam van de lokale IP-interface bevatten, of de naam van de interface (bijvoorbeeld ed0). Het configureert de regel zodat deze alleen overeenkomt met de pakketten die door die interface gaan. Interfacenummers kunnen worden vervangen door een optioneel masker. ppp* komt bijvoorbeeld overeen met kernel-PPP-interfaces.

Syntaxis die wordt gebruikt om aan te geven adressen/maskers:

adres of adres/masker-bits of adres:sjabloon masker

In plaats van een IP-adres kunt u een bestaande hostnaam opgeven. masker-bits dit is een decimaal getal dat het aantal bits aangeeft dat in het adresmasker moet worden ingesteld. 192.216.222.1/24 maakt bijvoorbeeld een masker dat overeenkomt met alle klasse C-subnetadressen (in dit geval 192.216.222). Er kan een geldige hostnaam worden opgegeven in plaats van het IP-adres. sjabloon masker dit is het IP-adres dat logischerwijs wordt vermenigvuldigd met het opgegeven adres. Het trefwoord 'any' kan worden gebruikt in de betekenis van 'elk IP-adres'.

Poortnummers worden gespecificeerd in het volgende formaat:

haven [,haven [,haven [.]]]

Om één enkele poort of een lijst met poorten op te geven, of

haven-haven

Om een bereik van poorten op te geven. U kunt de specificatie van één bereik ook combineren met een lijst met poorten, maar het bereik moet altijd eerst worden opgegeven.

Beschikbaar parameters :

Wordt geactiveerd als het pakket niet het eerste pakket in het datagram is.

Matcht binnenkomende pakketten.

Komt overeen met uitgaande pakketten.

Ipoptions spec

Wordt geactiveerd als de IP-header een door komma's gescheiden lijst met parameters bevat die zijn opgegeven in spec. Ondersteunde IP-parameters: ssrr (strikte bronroute), lsrr (losse bronroute), rr (recordpakketroute) en ts (tijdstempel). Het effect van individuele parameters kan worden gewijzigd door het voorvoegsel! op te geven.

Gevestigd

Wordt geactiveerd als het pakket deel uitmaakt van een reeds tot stand gebrachte TCP-verbinding (dat wil zeggen als de RST- of ACK-bits zijn ingesteld). U kunt de prestaties van de firewall verbeteren door een regel te plaatsen bij gevestigd dicht bij het begin van de keten.

Komt overeen als het pakket een poging is om een TCP-verbinding tot stand te brengen (de SYN-bit is ingesteld en de ACK-bit is niet ingesteld).

TCPflags vlaggen

Wordt geactiveerd als de TCP-header een door komma's gescheiden lijst bevat van vlaggen. Ondersteunde vlaggen zijn fin, syn, rst, psh, ack en urg. Het effect van regels voor individuele vlaggen kan worden gewijzigd door het voorvoegsel! op te geven.

Icmptypes typen

Wordt geactiveerd als het ICMP-pakkettype in de lijst staat typen. De lijst kan worden gespecificeerd als elke combinatie van bereiken en/of individuele typen, gescheiden door komma's. Veelgebruikte ICMP-typen zijn 0 echo-antwoord (ping-antwoord), 3 bestemming onbereikbaar, 5 omleiding, 8 echo-verzoek (ping-verzoek) en 11 tijd overschreden (gebruikt om het verlopen van TTL aan te geven, zoals bij traceroute (8)).

14.9.4.2. Bekijk IPFW-regels

De syntaxis voor deze commandovorm is:

ipfw [-a] [-c] [-d] [-e] [-t] [-N] [-S] lijst

Er zijn zeven vlaggen voor deze vorm van commando:

Toon tellerwaarden. Deze parameter is de enige manier om tellerwaarden te bekijken.

Bekijk regels in een compacte vorm.

Toon naast de statische ook dynamische regels.

Als de optie -d is opgegeven, worden ook verlopen dynamische regels weergegeven.

Geef de laatste schiettijd weer voor elke regel in de keten. Deze lijst is niet compatibel met de geaccepteerde syntaxis ipfw (8) .

Probeer de opgegeven adressen en servicenamen op te lossen.

Geef de set weer waartoe elke regel behoort. Als deze vlag niet is opgegeven, worden geblokkeerde regels niet weergegeven.

14.9.4.3. IPFW-regels opnieuw instellen

Syntaxis voor het opnieuw instellen van regels:

Alle regels in de keten worden verwijderd, behalve de standaardregel die door de kernel is ingesteld (nummer 65535). Wees voorzichtig bij het opnieuw instellen van regels; een regel die standaard pakketten laat vallen, zal het systeem loskoppelen van het netwerk totdat regels worden toegevoegd aan de keten.

14.9.4.4. IPFW-pakkettellers wissen

De syntaxis voor het wissen van een of meer pakkettellers is:

ipfw nul [ index]

Bij gebruik zonder argument nummer Alle pakkettellers worden gewist. Als index opgegeven, is de opschoonbewerking alleen van toepassing op de opgegeven ketenregel.

14.9.5. Voorbeeldopdrachten voor ipfw

Het volgende commando zal alle pakketten van de host evil.crackers.org naar de telnet-poort van de host nice.people.org weigeren:

# ipfw voeg deny tcp toe van evil.crackers.org aan nice.people.org 23

Het volgende voorbeeld weigert en registreert al het TCP-verkeer van het crackers.org-netwerk (klasse C) naar de nice.people.org-computer (op elke poort).

# ipfw voeg deny log tcp toe van evil.crackers.org/24 naar nice.people.org

Als u wilt voorkomen dat X-sessies naar uw netwerk (onderdeel van een klasse C-netwerk) worden verzonden, voert de volgende opdracht de noodzakelijke filtering uit:

# ipfw voeg tcp weigeren toe aan my.org/28 6000 setup

Om boekhoudgegevens te bekijken:

# ipfw -a lijst of in korte vorm # ipfw -a l

U kunt ook de laatste keer bekijken dat de regels zijn geactiveerd met behulp van de opdracht:

14.9.6. Een firewall maken met pakketfiltering

Wanneer u voor het eerst een firewall configureert, voordat u prestatietests uitvoert en de server in gebruik neemt, wordt het sterk aanbevolen om logversies van de opdrachten te gebruiken en loggen in de kernel in te schakelen. Hierdoor kunt u probleemgebieden snel identificeren en uw configuratie zonder veel moeite corrigeren. Zelfs nadat de eerste installatie is voltooid, wordt het aanbevolen om loggen te gebruiken om te weigeren, omdat u hiermee kunt controleren op mogelijke aanvallen en de firewallregels kunt wijzigen als uw firewallvereisten veranderen.

Opmerking: Als u de logversie van de accept-opdracht gebruikt, wees dan voorzichtig, want deze kan leiden tot fouten groot hoeveelheid protocolgegevens. Elk pakket dat door de firewall gaat, wordt geregistreerd, dus grote volumes FTP/http en ander verkeer zullen het systeem aanzienlijk vertragen. Dit zal ook de latentie van dergelijke pakketten vergroten, omdat de kernel extra werk moet doen voordat het pakket wordt doorgelaten. syslogd zal ook veel meer CPU-tijd gebruiken omdat het alle extra gegevens naar schijf zal sturen en de /var/log partitie snel vol kan raken.

U moet de firewall inschakelen in /etc/rc.conf.local of /etc/rc.conf. Op de bijbehorende handleidingpagina wordt uitgelegd wat er precies moet gebeuren en staan voorbeelden van kant-en-klare instellingen. Als u geen voorinstelling gebruikt, kan het commando ipfw list de huidige regelset in een bestand plaatsen, van waaruit deze in de opstartbestanden van het systeem kan worden geplaatst. Als u /etc/rc.conf.local of /etc/rc.conf niet gebruikt om de firewall in te schakelen, is het belangrijk om ervoor te zorgen dat deze wordt ingeschakeld na het configureren van de interfaces.

Vervolgens moet je bepalen Wat precies maakt uw firewall! Dit hangt vooral af van hoeveel toegang u van buitenaf tot uw netwerk wilt hebben. Hier zijn enkele algemene regels:

Blokkeer externe toegang tot TCP-poortnummers onder 1024. De meeste beveiligingskritische services zoals Finger, SMTP (mail) en telnet bevinden zich hier.

Blok alle inkomend UDP-verkeer. Er zijn maar heel weinig nuttige services die via UDP draaien, maar deze vormen meestal een veiligheidsrisico (bijvoorbeeld Sun RPC- en NFS-protocollen). Deze methode heeft ook nadelen, aangezien het UDP-protocol geen verbindingsbewust is, en het blokkeren van inkomende pakketten ook de reacties op uitgaand UDP-verkeer zal blokkeren. Dit kan een probleem zijn voor degenen die externe servers gebruiken die met UDP werken. Als u toegang tot deze services wilt toestaan, moet u inkomende pakketten van de juiste poorten toestaan. Bijvoorbeeld voor ntp Mogelijk moet u pakketten toestaan die afkomstig zijn van poort 123.

Blokkeer al het verkeer van buitenaf naar poort 6000. Poort 6000 wordt gebruikt om toegang te krijgen tot X11-servers en kan een veiligheidsrisico vormen (vooral als gebruikers de gewoonte hebben om de opdracht xhost + op hun werkstations uit te voeren). X11 kan een reeks poorten gebruiken vanaf 6000, waarbij de bovengrens wordt bepaald door het aantal X-beeldschermen dat op de machine kan worden uitgevoerd. De bovengrens gedefinieerd door RFC 1700 (Assigned Numbers) is 6063.

Controleer de poorten die worden gebruikt door interne services (bijvoorbeeld SQL-servers, enz.). Het kan een goed idee zijn om deze poorten ook te blokkeren, omdat ze doorgaans niet binnen het hierboven genoemde bereik van 1-1024 vallen.

Een andere lijst voor het controleren van firewall-instellingen is beschikbaar op CERT op http://www.cert.org/tech_tips/packet_filtering.html

Zoals hierboven vermeld, zijn al deze regels rechtvaardig beheer . U kunt zelf bepalen welke filterregels er in de firewall worden gebruikt. Wij kunnen GEEN ENKELE verantwoordelijkheid nemen als uw netwerk wordt gehackt, zelfs als u het bovenstaande advies heeft opgevolgd.

14.9.7. Overhead- en IPFW-optimalisatie

Veel gebruikers willen weten hoeveel IPFW het systeem laadt. Het antwoord hangt vooral af van de regelset en de snelheid van de processor. Gegeven een klein aantal regels is het antwoord voor de meeste toepassingen die op Ethernet draaien ‘niet veel’. Dit gedeelte is bedoeld voor degenen die een nauwkeuriger antwoord nodig hebben.

Daaropvolgende metingen werden uitgevoerd met 2.2.5-STABLE op 486-66. (Hoewel IPFW in daaropvolgende FreeBSD-uitgaven enigszins is veranderd, is de snelheid ongeveer hetzelfde gebleven.) IPFW is aangepast om de tijd te meten die door ip_fw_chk wordt besteed, waarbij het resultaat na elk duizendste pakket naar de console wordt afgedrukt.

Er werden twee sets van 1000 regels getest. De eerste was bedoeld om een slechte reeks regels aan te tonen door de regel te herhalen:

# ipfw voeg deny tcp toe van elk naar elk 55555

Deze set regels is slecht omdat de meeste IPFW-regels niet overeenkomen met de pakketten die worden geïnspecteerd (vanwege het poortnummer). Na de 999e iteratie van deze regel volgt de allow ip van any to any-regel.

Er is een tweede reeks regels ontworpen om elke regel zo snel mogelijk te testen:

# ipfw voeg weigeren ip toe van 1.2.3.4 naar 1.2.3.4

Een niet-overeenkomend bron-IP-adres in de bovenstaande regel zorgt ervoor dat deze regels zeer snel worden gecontroleerd. Net als voorheen staat de 1000e regel ip toe van iedereen naar iedereen.

De kosten voor het controleren van een pakket bedragen in het eerste geval ongeveer 2,703 ms/pakket, of ongeveer 2,7 microseconden per regel. De theoretische limiet voor de scansnelheid bedraagt ongeveer 370 pakketten per seconde. Uitgaande van een Ethernet-verbinding van 10 Mbps en een pakketgrootte van ongeveer 1500 bytes, resulteert dit in een bandbreedtegebruik van slechts 55,5%.

In het tweede geval werd elk pakket gescand in ongeveer 1,172 ms, of ongeveer 1,2 microseconden per regel. De theoretische inspectiesnelheidslimiet bedraagt ongeveer 853 pakketten per seconde, waardoor volledig gebruik van de 10 Mbps Ethernet-bandbreedte mogelijk is.

Door het buitensporige aantal regels dat wordt gecontroleerd en het type ervan, kunnen we geen beeld creëren dat in de buurt komt van normale omstandigheden. Deze regels werden alleen gebruikt om informatie te verkrijgen over de verificatietijd. Hier zijn enkele richtlijnen waarmee u rekening moet houden om een effectieve reeks regels te creëren:

Plaats de vastgestelde regel zo vroeg mogelijk om het merendeel van het TCP-verkeer af te handelen. Zet er geen allow tcp-regels voor.

Plaats veelgebruikte regels dichter bij het begin van de set dan zelden gebruikte regels (uiteraard zonder het effect van de hele set te veranderen ). U kunt de meest gebruikte regels bepalen door de pakkettellers te controleren met het commando ipfw -al l.

Er zijn verschillende soorten firewalls, afhankelijk van de volgende kenmerken:

of het schild een verbinding biedt tussen één knooppunt en een netwerk of tussen twee of meer verschillende netwerken;

of de controle van de gegevensstroom plaatsvindt op de netwerklaag of op hogere niveaus van het OSI-model;

of de status van actieve verbindingen wordt gecontroleerd of niet.

Afhankelijk van de dekking van gecontroleerde gegevensstromen worden firewalls onderverdeeld in:

traditioneel netwerk (of firewall) - een programma (of een integraal onderdeel van het besturingssysteem) op een gateway (een apparaat dat verkeer tussen netwerken verzendt) of een hardwareoplossing die inkomende en uitgaande gegevensstromen tussen verbonden netwerken (gedistribueerde netwerkobjecten) controleert ;

persoonlijke firewall is een programma dat op de computer van een gebruiker is geïnstalleerd en is ontworpen om alleen deze computer te beschermen tegen ongeoorloofde toegang.

Afhankelijk van het OSI-niveau waarop toegangscontrole plaatsvindt, kunnen firewalls werken op:

netwerk niveau, wanneer filtering plaatsvindt op basis van de adressen van de afzender en ontvanger van pakketten, poortnummers van de transportlaag van het OSI-model en statische regels gespecificeerd door de beheerder;

sessie niveau(ook bekend als statelijk), wanneer sessies tussen applicaties worden gemonitord en pakketten die de TCP/IP-specificaties schenden, niet worden doorgegeven, vaak gebruikt bij kwaadaardige operaties - het scannen van bronnen, hacken via onjuiste TCP/IP-implementaties, verbroken/trage verbindingen, data-injectie;

toepassingsniveau(of applicatieniveau), wanneer filtering wordt uitgevoerd op basis van analyse van applicatiegegevens die binnen het pakket worden verzonden. Met dit soort schermen kunt u de overdracht van ongewenste en mogelijk schadelijke informatie blokkeren op basis van beleid en instellingen.

Filteren op netwerkniveau

Het filteren van inkomende en uitgaande pakketten wordt uitgevoerd op basis van de informatie in de volgende velden van de TCP- en IP-headers van de pakketten: IP-adres van de afzender; IP-adres van de ontvanger; afzenderpoort; ontvangende poort.

Filteren kan op verschillende manieren worden geïmplementeerd om verbindingen met specifieke computers of poorten te blokkeren. U kunt bijvoorbeeld verbindingen blokkeren die afkomstig zijn van specifieke adressen van computers en netwerken die als onbetrouwbaar worden beschouwd.

relatief lage kosten;

flexibiliteit bij het definiëren van filterregels;

een kleine vertraging in de doorgang van pakketten.

Gebreken:

verzamelt geen gefragmenteerde pakketten;

er is geen manier om relaties (verbindingen) tussen pakketten bij te houden.?

Filtering op sessieniveau

Afhankelijk van de monitoring van actieve verbindingen kunnen firewalls:

staatloos(eenvoudige filtering), die de huidige verbindingen (bijvoorbeeld TCP) niet controleren, maar de datastroom uitsluitend filteren op basis van statische regels;

stateful, stateful pakketinspectie (SPI)(contextbewuste filtering), het monitoren van huidige verbindingen en het doorgeven van alleen die pakketten die voldoen aan de logica en algoritmen van de overeenkomstige protocollen en applicaties.

Firewalls met SPI maken het mogelijk om verschillende soorten DoS-aanvallen en kwetsbaarheden van sommige netwerkprotocollen effectiever te bestrijden. Bovendien zorgen ze voor de werking van protocollen zoals H.323, SIP, FTP, enz., die gebruik maken van complexe gegevensoverdrachtschema's tussen ontvangers, moeilijk te beschrijven door statische regels, en vaak incompatibel met standaard, staatloze firewalls.

De voordelen van een dergelijke filtratie zijn onder meer:

analyse van pakketinhoud;

er is geen informatie over de werking van laag 7-protocollen vereist.

Gebreken:

het is moeilijk om gegevens op applicatieniveau te analyseren (mogelijk met behulp van ALG - Application Level Gateway).

Application level gateway, ALG (application level gateway) is een onderdeel van een NAT-router die een applicatieprotocol begrijpt, en wanneer pakketten van dit protocol er doorheen gaan, wordt deze zodanig aangepast dat gebruikers achter de NAT het protocol kunnen gebruiken.

De ALG-service biedt ondersteuning voor protocollen op applicatieniveau (zoals SIP, H.323, FTP, enz.) waarvoor Network Address Translation niet is toegestaan. Deze dienst bepaalt het toepassingstype in pakketten die afkomstig zijn van de interne netwerkinterface en voert dienovereenkomstig adres-/poortvertaling voor hen uit via de externe interface.

SPI-technologie (Stateful Packet Inspection), oftewel pakketinspectietechnologie, waarbij rekening wordt gehouden met de status van het protocol, is tegenwoordig een geavanceerde methode voor verkeerscontrole. Deze technologie maakt datacontrole tot op applicatieniveau mogelijk, zonder dat voor elk beschermd protocol of elke netwerkdienst een aparte tussenpersoon of proxy-applicatie nodig is.

Historisch gezien zijn firewalls geëvolueerd van algemene pakketfilters naar protocolspecifieke middlewares en stateful inspection. Eerdere technologieën vulden elkaar alleen maar aan, maar boden geen uitgebreide controle over verbindingen. Pakketfilters hebben geen toegang tot de verbindings- en applicatiestatusinformatie die nodig is voor het beveiligingssysteem om een definitieve beslissing te nemen. Middleware-programma's verwerken alleen gegevens op applicatieniveau, wat vaak verschillende mogelijkheden biedt om het systeem te hacken. De stateful inspectiearchitectuur is uniek omdat u hiermee alle mogelijke informatie kunt verwerken die door de gatewaymachine gaat: pakketgegevens, gegevens over de verbindingsstatus, gegevens die nodig zijn voor de toepassing.

Een voorbeeld van het mechanismeStatelijkInspectie. De firewall bewaakt de FTP-sessie door gegevens op applicatieniveau te onderzoeken. Wanneer een client de server vraagt een omgekeerde verbinding te openen (FTP PORT-opdracht), haalt de firewall het poortnummer uit dat verzoek. In de lijst worden client- en serveradressen en poortnummers opgeslagen. Wanneer er een poging wordt gedetecteerd om een FTP-dataverbinding tot stand te brengen, scant de firewall de lijst en controleert of de verbinding inderdaad een reactie is op een geldig clientverzoek. De verbindingslijst wordt dynamisch onderhouden, zodat alleen de noodzakelijke FTP-poorten open zijn. Zodra de sessie wordt gesloten, worden de poorten geblokkeerd, wat een hoog beveiligingsniveau oplevert.

Rijst. 2.12. Een voorbeeld van het Stateful Inspection-mechanisme dat werkt met het FTP-protocol

Filteren op applicatieniveau

Om een aantal kwetsbaarheden te beschermen die inherent zijn aan pakketfiltering, moeten firewalls toepassingsprogramma's gebruiken om verbindingen met diensten zoals Telnet, HTTP en FTP te filteren. Zo'n applicatie wordt een proxyservice genoemd, en de host waarop de proxyservice draait wordt een gateway op applicatieniveau genoemd. Zo'n gateway elimineert directe interactie tussen een geautoriseerde klant en een externe host. De gateway filtert alle inkomende en uitgaande pakketten op de applicatielaag (applicatielaag - de bovenste laag van het netwerkmodel) en kan gegevensinhoud analyseren, zoals een URL in een HTTP-bericht of een opdracht in een FTP-bericht. Soms is het effectiever om pakketten te filteren op basis van informatie in de gegevens zelf. Pakketfilters en filters op linkniveau maken geen gebruik van de inhoud van de informatiestroom bij het nemen van filterbeslissingen, maar filteren op applicatieniveau kan dit wel doen. Filters op applicatieniveau kunnen informatie uit de pakketheader gebruiken, evenals gegevensinhoud en gebruikersinformatie. Beheerders kunnen filteren op applicatieniveau gebruiken om de toegang te controleren op basis van de identiteit van de gebruiker en/of op basis van de specifieke taak die de gebruiker probeert uit te voeren. In filters op applicatieniveau kunt u regels instellen op basis van de opdrachten die door de applicatie worden gegeven. Een beheerder kan bijvoorbeeld voorkomen dat een specifieke gebruiker via FTP bestanden naar een specifieke computer downloadt, of kan een gebruiker toestaan bestanden via FTP op dezelfde computer te hosten.

De voordelen van een dergelijke filtratie zijn onder meer:

eenvoudige filterregels;

mogelijkheid om een groot aantal inspecties te organiseren. Beveiliging op applicatieniveau maakt een groot aantal extra controles mogelijk, waardoor de kans op hacking via gaten in de software kleiner wordt;

mogelijkheid om applicatiegegevens te analyseren.

Gebreken:

relatief lage prestaties vergeleken met pakketfiltering;

proxy moet zijn protocol begrijpen (onmogelijkheid van gebruik met onbekende protocollen)?;

In de regel draait het onder complexe besturingssystemen.

Firewall

Een firewall (Firewall of Firewall) is een manier om pakketverkeer te filteren dat afkomstig is van een extern netwerk in relatie tot een bepaald lokaal netwerk of een bepaalde computer. Laten we eens kijken naar de redenen voor het uiterlijk en de taken die door Firewall worden uitgevoerd. Een modern datanetwerk bestaat uit veel hoogwaardige apparaten op afstand die over een aanzienlijke afstand met elkaar communiceren. Een van de meest grootschalige datatransmissienetwerken zijn computernetwerken zoals internet. Er zijn tegelijkertijd miljoenen informatiebronnen en consumenten over de hele wereld werkzaam. Door de wijdverbreide ontwikkeling van dit netwerk kan het niet alleen door individuen worden gebruikt, maar ook door grote bedrijven om hun uiteenlopende apparaten over de hele wereld in één netwerk te verenigen. Tegelijkertijd biedt gedeelde toegang tot gemeenschappelijke fysieke bronnen de mogelijkheid voor oplichters, virussen en concurrenten om eindgebruikers schade toe te brengen: opgeslagen informatie stelen, vervormen, planten of vernietigen, de integriteit van software schenden en zelfs de hardware van de computer verwijderen. eindstation. Om deze ongewenste effecten te voorkomen, is het noodzakelijk om ongeautoriseerde toegang te voorkomen, waarvoor vaak een Firewall wordt gebruikt. De naam Firewall (muur - van de Engelse muur) verbergt het doel ervan, d.w.z. het dient als een muur tussen het beschermde lokale netwerk en het internet of een ander extern netwerk en voorkomt eventuele bedreigingen. Naast het bovenstaande kan een firewall ook andere functies uitvoeren die verband houden met het filteren van verkeer van/naar elke internetbron.

Het werkingsprincipe van Firewall is gebaseerd op het controleren van verkeer dat van buitenaf komt. Er kunnen de volgende methoden voor het monitoren van het verkeer tussen het lokale en externe netwerken worden geselecteerd:

1. Pakketfiltering– gebaseerd op het instellen van een set filters. Afhankelijk van of het binnenkomende pakket voldoet aan de voorwaarden die in de filters zijn gespecificeerd, wordt het doorgestuurd naar het netwerk of weggegooid.

2. Proxyserver– er wordt een extra proxyserverapparaat geïnstalleerd tussen de lokale en externe netwerken, dat dient als een “poort” waar al het inkomende en uitgaande verkeer doorheen moet.

3. Staatskeuring– inspectie van inkomend verkeer is een van de meest geavanceerde manieren om een firewall te implementeren. Inspectie betekent niet het analyseren van het hele pakket, maar alleen het speciale sleutelonderdeel ervan en het vergelijken met eerder bekende waarden uit de database met toegestane bronnen. Deze methode biedt de hoogste Firewall-prestaties en de laagste vertragingen.

Een firewall kan in hardware of software worden geïmplementeerd. De specifieke implementatie is afhankelijk van de omvang van het netwerk, de verkeersvolume en de benodigde taken. Het meest voorkomende type firewall is software. In dit geval wordt het geïmplementeerd als een programma dat bijvoorbeeld op de eind-pc of op een edge-netwerkapparaat draait. In het geval van hardware-implementatie is de Firewall een afzonderlijk netwerkelement, dat doorgaans grotere prestatiemogelijkheden heeft, maar vergelijkbare taken uitvoert.

Met Firewall kunt u filters configureren die verantwoordelijk zijn voor het doorgeven van verkeer op basis van de volgende criteria:

1. IP-adres. Zoals u weet moet elk eindapparaat dat volgens het protocol werkt een uniek adres hebben. Door een bepaald adres of een bepaald bereik in te stellen, kunt u het ontvangen van pakketten van hen verbieden, of, omgekeerd, alleen toegang toestaan vanaf deze IP-adressen.

2. Domeinnaam. Zoals u weet, kan aan een website op internet, of beter gezegd het IP-adres, een alfanumerieke naam worden toegewezen, die veel gemakkelijker te onthouden is dan een reeks cijfers. Het filter kan dus worden geconfigureerd om alleen verkeer van/naar een van de bronnen toe te staan, of om de toegang daartoe te weigeren.

3. Haven. We hebben het over softwarepoorten, d.w.z. toegangspunten voor toepassingen tot netwerkdiensten. FTP gebruikt bijvoorbeeld poort 21 en toepassingen voor het bekijken van webpagina's gebruiken poort 80. Hiermee kunt u de toegang van ongewenste diensten en netwerktoepassingen weigeren, of, omgekeerd, alleen toegang daartoe toestaan.

4. Protocol. De firewall kan worden geconfigureerd om gegevens van slechts één protocol door te laten, of om de toegang te weigeren. Doorgaans kan het type protocol de taken aangeven die het uitvoert, de toepassing die het gebruikt en de reeks beveiligingsparameters. Op deze manier kan de toegang worden geconfigureerd om slechts één specifieke applicatie uit te voeren en potentieel gevaarlijke toegang te voorkomen met behulp van alle andere protocollen.

Hierboven worden alleen de belangrijkste parameters weergegeven die kunnen worden geconfigureerd. Er kunnen ook andere netwerkspecifieke filterinstellingen van toepassing zijn, afhankelijk van de taken die op dat netwerk worden uitgevoerd.

Firewall biedt dus een uitgebreide reeks taken om ongeoorloofde toegang, schade of diefstal van gegevens of andere negatieve gevolgen die de prestaties van het netwerk kunnen beïnvloeden, te voorkomen. Meestal wordt een firewall gebruikt in combinatie met andere beveiligingshulpmiddelen, zoals antivirussoftware.

1. Symmetrische codering

Symmetrische cryptosystemen(Ook symmetrische encryptie, symmetrische cijfers) (Engels) symmetrisch- sleutel algoritme) - een versleutelingsmethode waarbij dezelfde cryptografische sleutel wordt gebruikt voor versleuteling en decodering. Vóór de uitvinding van het asymmetrische encryptieschema was symmetrische encryptie de enige bestaande methode. De algoritmesleutel moet door beide partijen geheim worden gehouden. Het versleutelingsalgoritme wordt door de partijen geselecteerd voordat de berichtenuitwisseling begint.

Bij symmetrische cryptosystemen wordt voor het versleutelen en ontsleutelen dezelfde sleutel gebruikt. Vandaar de naam - symmetrisch. Het algoritme en de sleutel worden vooraf geselecteerd en zijn bij beide partijen bekend. Het geheim houden van de sleutel is een belangrijke taak bij het opzetten en onderhouden van een veilig communicatiekanaal. In dit opzicht doet zich het probleem van de initiële sleuteloverdracht (sleutelsynchronisatie) voor. Bovendien zijn er methoden voor crypto-aanvallen die het op de een of andere manier mogelijk maken om informatie te ontsleutelen zonder over een sleutel te beschikken of door deze in de goedkeuringsfase te onderscheppen. Over het algemeen zijn deze punten een probleem van de cryptografische sterkte van een bepaald versleutelingsalgoritme en een argument bij het kiezen van een bepaald algoritme.

Symmetrische, of specifieker, alfabetische versleutelingsalgoritmen behoorden tot de eerste algoritmen . Later werd asymmetrische encryptie uitgevonden, waarbij de gesprekspartners verschillende sleutels hebben .

Basisinformatie code bewerken]

Algoritmen voor gegevensversleuteling worden in de computertechnologie veel gebruikt in systemen om vertrouwelijke en commerciële informatie te verbergen voor kwaadwillig gebruik door derden. Het belangrijkste principe daarin is de voorwaarde dat de zender en ontvanger kennen het versleutelingsalgoritme vooraf, evenals de sleutel tot de boodschap, zonder welke de informatie slechts een reeks symbolen is die geen betekenis hebben.

Klassieke voorbeelden van dergelijke algoritmen zijn symmetrische cryptografische algoritmen hieronder vermeld:

Eenvoudige herschikking

Enkele permutatie per sleutel

Dubbele permutatie

Permutatie "Magisch Vierkant"

Eenvoudige herschikking[bewerken | code bewerken]

Eenvoudige sleutelloze permutatie is een van de eenvoudigste versleutelingsmethoden. Het bericht wordt in kolommen in een tabel geschreven. Nadat de leesbare tekst in kolommen is geschreven, wordt deze regel voor regel gelezen om de cijfertekst te vormen. Om dit cijfer te gebruiken, moeten de afzender en de ontvanger het eens worden over een gedeelde sleutel in de vorm van een tabelgrootte. Het combineren van letters in groepen is niet opgenomen in de cijfersleutel en wordt alleen gebruikt voor het gemak van het schrijven van onzintekst.

Enkele permutatie per sleutel[bewerken | code bewerken]

Een meer praktische versleutelingsmethode, genaamd permutatie met één sleutel, lijkt sterk op de vorige. Het verschil is alleen dat de tabelkolommen opnieuw worden gerangschikt op basis van een trefwoord, woordgroep of reeks getallen ter lengte van een tabelregel.

Dubbele permutatie[bewerken | code bewerken]

Voor extra veiligheid kunt u een bericht dat al is gecodeerd opnieuw coderen. Deze methode staat bekend als dubbele permutatie. Om dit te doen, wordt de grootte van de tweede tabel zo geselecteerd dat de lengtes van de rijen en kolommen verschillen van de lengtes in de eerste tabel. Het is het beste als ze relatief primair zijn. Bovendien kunnen de kolommen in de eerste tabel opnieuw worden gerangschikt, en de rijen in de tweede tabel. Ten slotte kun je de tabel zigzaggend, slangvormig, spiraalvormig of op een andere manier invullen. Dergelijke methoden voor het invullen van de tabel maken het coderingsproces veel leuker als ze de sterkte van het cijfer niet vergroten.

Permutatie "Magisch Vierkant"[bewerken | code bewerken]

Magische vierkanten zijn vierkante tabellen met opeenvolgende natuurlijke getallen vanaf 1 ingeschreven in hun cellen, die opgeteld hetzelfde getal vormen voor elke kolom, elke rij en elke diagonaal. Dergelijke vierkanten werden op grote schaal gebruikt om gecodeerde tekst in te voeren volgens de daarin gegeven nummering. Als je vervolgens de inhoud van de tabel regel voor regel uitschrijft, krijg je encryptie door de letters opnieuw te rangschikken. Op het eerste gezicht lijkt het alsof er maar heel weinig magische vierkanten zijn. Hun aantal neemt echter zeer snel toe naarmate het vierkant groter wordt. Er is dus maar één magisch vierkant van 3 x 3, als je geen rekening houdt met de rotaties ervan. Er zijn al 880 magische vierkanten van 4 x 4, en het aantal magische vierkanten van 5 x 5 bedraagt ongeveer 250.000. Daarom zouden grote magische vierkanten een goede basis kunnen zijn voor een betrouwbaar encryptiesysteem van die tijd, omdat ze allemaal handmatig worden geprobeerd De belangrijkste opties voor dit cijfer waren ondenkbaar.

Getallen van 1 tot en met 16 passen in een vierkant van 4 bij 4. De magie ervan was dat de som van de getallen in rijen, kolommen en volledige diagonalen gelijk was aan hetzelfde getal: 34. Deze vierkanten verschenen voor het eerst in China, waar ze werden toegewezen een soort ‘magische kracht’.

Magic Square-codering werd als volgt uitgevoerd. U moet bijvoorbeeld de zin: "Ik kom vandaag aan." De letters van deze zin worden opeenvolgend in het vierkant geschreven volgens de cijfers die erin zijn geschreven: de positie van de letter in de zin komt overeen met het rangtelwoord. In lege cellen wordt een punt geplaatst.

Hierna wordt de cijfertekst in een regel geschreven (lezen gebeurt van links naar rechts, regel voor regel): .irdzegyuSzhaoyanP

Wanneer de tekst wordt gedecodeerd, wordt deze in een vierkant geplaatst en wordt de leesbare tekst gelezen in de reeks getallen van het “magische vierkant”. Het programma moet “magische vierkanten” genereren en de gewenste vierkanten selecteren op basis van de sleutel. Het vierkant is groter dan 3x3.

Algemeen schema code bewerken]

Momenteel zijn symmetrische cijfers:

cijfers blokkeren.

Ze verwerken informatie in blokken van een bepaalde lengte (meestal 64, 128 bits), waarbij ze een sleutel in een voorgeschreven volgorde op het blok toepassen, meestal via verschillende cycli van schudden en vervangen, ook wel rondes genoemd.

Het resultaat van herhaalde rondes is een lawine-effect: een toenemend verlies aan bitcorrespondentie tussen blokken open en gecodeerde gegevens.

Een typische manier om symmetrische encryptie-algoritmen te construeren is het Feistel-netwerk. Het algoritme bouwt een versleutelingsschema op basis van de functie F(D, K), waarbij D een stuk gegevens is dat half zo groot is als het versleutelingsblok, en K de ‘wachtsleutel’ is voor een bepaalde pas. De functie hoeft niet omkeerbaar te zijn; de inverse functie ervan is mogelijk onbekend. De voordelen van het Feistel-netwerk zijn het bijna volledige samenvallen van decodering met codering (het enige verschil is de omgekeerde volgorde van de "passleutels" in het schema), wat de hardware-implementatie enorm vergemakkelijkt.

De permutatiebewerking mengt de berichtbits volgens een bepaalde wet. In hardware-implementaties wordt het triviaal geïmplementeerd als draadomkering. Het zijn de permutatieoperaties die het mogelijk maken om het ‘lawine-effect’ te bereiken. De permutatiebewerking is lineair - f(a) xor f(b) == f(a xor b)

Vervangingsbewerkingen worden uitgevoerd door het vervangen van de waarde van een bepaald deel van het bericht (vaak 4, 6 of 8 bits) door een standaard, vast nummer in het algoritme door toegang te krijgen tot een constante array. De substitutiebewerking introduceert niet-lineariteit in het algoritme.

Vaak hangt de kracht van een algoritme, vooral tegen differentiële cryptanalyse, af van de keuze van waarden in de opzoektabellen (S-boxen). Op zijn minst wordt het onwenselijk geacht om vaste elementen S(x) = x te hebben, evenals de afwezigheid van invloed van een bit van de invoerbyte op een bit van het resultaat - dat wil zeggen gevallen waarin de resultaatbit de hetzelfde voor alle paren invoerwoorden die alleen in dit bit verschillen.

Algoritmeparameters code bewerken]

Er zijn veel (minstens twintig) symmetrische coderingsalgoritmen, waarvan de essentiële parameters zijn:

duurzaamheid

sleutel lengte

aantal rondes

verwerkte bloklengte

complexiteit van hardware-/software-implementatie

conversie complexiteit

Soorten symmetrische cijfers code bewerken]

cijfers blokkeren

AES (Engels) Geavanceerd Encryptie Standaard) - Amerikaanse coderingsstandaard

GOST 28147-89 - Sovjet- en Russische coderingsstandaard, ook een CIS-standaard

DES (Engels) Gegevens Encryptie Standaard) - standaard voor gegevenscodering in de VS

3DES (drievoudige DES, drievoudige DES)

RC2 (Rivest Cipher of Ron's Cipher)

IDEA (International Data Encryption Algorithm, internationaal algoritme voor gegevenscodering)

CAST (naar de initialen van de ontwikkelaars Carlisle Adams en Stafford Tavares)

stroom cijfers

RC4 (versleutelingsalgoritme met variabele sleutel)

SEAL (Software Efficient Algorithm, software-efficiënt algoritme)

WAKE (World Auto Key Encryption-algoritme, wereldwijd automatisch sleutelcoderingsalgoritme)

Vergelijking met asymmetrische cryptosystemen code bewerken]

Voordelen[bewerken | code bewerken]

snelheid

implementatiegemak (door eenvoudigere handelingen)

kortere vereiste sleutellengte voor vergelijkbare duurzaamheid

kennis (vanwege hogere leeftijd)

Gebreken[bewerken | code bewerken]

complexiteit van sleutelbeheer in een groot netwerk

complexiteit van sleuteluitwisseling. Om het te gebruiken, is het noodzakelijk om het probleem van de betrouwbare overdracht van sleutels aan elke abonnee op te lossen, aangezien een geheim kanaal nodig is om elke sleutel aan beide partijen over te dragen

Om de tekortkomingen van symmetrische encryptie te compenseren, wordt momenteel veel gebruik gemaakt van een gecombineerd (hybride) cryptografisch schema, waarbij de sessiesleutel die door de partijen wordt gebruikt om gegevens uit te wisselen met behulp van symmetrische encryptie, wordt verzonden met behulp van asymmetrische encryptie.

Een belangrijk nadeel van symmetrische cijfers is onmogelijkheid het gebruik ervan in mechanismen voor het genereren van elektronische digitale handtekeningen en certificaten, aangezien de sleutel bij elke partij bekend is.

2. Firewall. Firewall. Brandmauer

Firewall, firewall - programma of software- en hardware-element computernetwerk, dat controleert en filtert wat er doorheen gaat netwerk verkeer volgens gegeven regels .

Andere namen :

Firewall (Duits Brandmauer - brand muur) - een term ontleend aan het Duits;

Firewall (Engels Firewall- Fire Wall) is een term ontleend aan het Engels.

Firewall

Werkingsprincipe van de firewall

Een firewall kan in hardware of software worden geïmplementeerd. De specifieke implementatie is afhankelijk van de omvang van het netwerk, de verkeersvolume en de benodigde taken. Het meest voorkomende type firewall is software. In dit geval wordt het geïmplementeerd als een programma dat op de eind-pc of op een edge-netwerkapparaat, zoals een router, draait. In het geval van hardware-implementatie is de Firewall een afzonderlijk netwerkelement, dat doorgaans grotere prestatiemogelijkheden heeft, maar vergelijkbare taken uitvoert.

Met Firewall kunt u filters configureren die verantwoordelijk zijn voor het doorgeven van verkeer op basis van de volgende criteria:

1. IP-adres. Zoals u weet moet elk eindapparaat dat via het IP-protocol werkt een uniek adres hebben. Door een bepaald adres of een bepaald bereik in te stellen, kunt u het ontvangen van pakketten van hen verbieden, of, omgekeerd, alleen toegang toestaan vanaf deze IP-adressen.

\\ 06.04.2012 17:16

Een firewall is een reeks taken om ongeoorloofde toegang, schade of diefstal van gegevens of andere negatieve gevolgen die de prestaties van het netwerk kunnen beïnvloeden, te voorkomen.

Firewall, ook wel genoemd firewall(van de Engelse Firewall) of firewall op de gateway kunt u veilige gebruikerstoegang tot internet bieden, terwijl externe verbindingen met interne bronnen worden beschermd. Firewall doorzoekt al het verkeer dat tussen netwerksegmenten passeert, en neemt voor elk pakket een beslissing: wel of niet passeren. Dankzij een flexibel systeem van firewallregels kunt u verbindingen weigeren of toestaan op basis van talrijke parameters: adressen, netwerken, protocollen en poorten.

Methoden voor het monitoren van verkeer tussen lokale en externe netwerken

Pakketfiltering. Afhankelijk van of het binnenkomende pakket voldoet aan de voorwaarden die in de filters zijn gespecificeerd, wordt het doorgestuurd naar het netwerk of weggegooid.

Staatskeuring. In dit geval wordt inkomend verkeer geïnspecteerd - een van de meest geavanceerde methoden voor het implementeren van een firewall. Inspectie betekent niet het analyseren van het hele pakket, maar alleen het speciale sleutelonderdeel ervan en het vergelijken met eerder bekende waarden uit de database met toegestane bronnen. Deze methode biedt de hoogste Firewall-prestaties en de laagste vertragingen.

Proxyserver In dit geval wordt er een extra proxyserverapparaat geïnstalleerd tussen de lokale en externe netwerken, dat dient als een “poort” waar al het inkomende en uitgaande verkeer doorheen moet.

Firewall Hiermee kunt u filters configureren die verantwoordelijk zijn voor het doorgeven van verkeer door:

IP-adres. Door een bepaald adres of een bepaald bereik in te stellen, kunt u het ontvangen van pakketten van hen verbieden, of, omgekeerd, alleen toegang toestaan vanaf deze IP-adressen.

- Haven. De firewall kan applicatietoegangspunten tot netwerkservices configureren. FTP gebruikt bijvoorbeeld poort 21 en webbrowsertoepassingen gebruiken poort 80.

Protocol. De firewall kan worden geconfigureerd om gegevens van slechts één protocol door te laten, of om de toegang te weigeren. Meestal kan het type protocol de uitgevoerde taken, de toepassing die het gebruikt en de reeks beveiligingsparameters aangeven. In dit opzicht kan de toegang alleen worden geconfigureerd om één specifieke applicatie te bedienen en potentieel gevaarlijke toegang te voorkomen met behulp van alle andere protocollen.

Domeinnaam. In dit geval weigert of staat het filter verbindingen met specifieke bronnen toe. Hiermee kunt u de toegang van ongewenste services en netwerktoepassingen weigeren, of omgekeerd alleen toegang daartoe toestaan.

Voor de configuratie kunnen andere parameters voor filters die specifiek zijn voor dit specifieke netwerk worden gebruikt, afhankelijk van de taken die erin worden uitgevoerd.

Meestal wordt een firewall gebruikt in combinatie met andere beveiligingshulpmiddelen, bijvoorbeeld antivirussoftware.

Hoe een firewall werkt

Firewall kan gedaan worden:

Hardware. In dit geval fungeert de router, die zich tussen de computer en internet bevindt, als een hardwarefirewall. Er kunnen meerdere pc's op de firewall worden aangesloten en deze worden allemaal beschermd door de firewall, die deel uitmaakt van de router.

Programmatisch. Het meest voorkomende type firewall, dit is gespecialiseerde software die de gebruiker op zijn pc installeert.

Zelfs als er een router met ingebouwde firewall is aangesloten, kan op elke computer afzonderlijk een extra softwarefirewall worden geïnstalleerd. In dit geval zal het voor een aanvaller moeilijker zijn om het systeem binnen te dringen.

Officiële documenten

In 1997 werd het leidende document van de Technische Staatscommissie onder de president van de Russische Federatie "Computertechnologie. Firewalls. Bescherming tegen ongeoorloofde toegang tot informatie. Indicatoren van beveiliging tegen ongeoorloofde toegang tot informatie" aangenomen. Dit document stelt vijf firewall-beveiligingsklassen vast, die elk worden gekenmerkt door een bepaalde minimale reeks vereisten voor informatiebescherming.

In 1998 werd een ander document ontwikkeld: “Tijdelijke vereisten voor apparaten van het firewall-type.” Volgens dit document worden 5 firewall-beveiligingsklassen vastgesteld, die worden gebruikt om informatie te beschermen in geautomatiseerde systemen die cryptografische hulpmiddelen bevatten.

En sinds 2011 zijn wettelijke vereisten voor firewallcertificering van kracht geworden. Als persoonlijke gegevens op een bedrijfsnetwerk worden verwerkt, is het dus noodzakelijk om een firewall te installeren die is gecertificeerd door de Federale Dienst voor Exportcontrole (FSTEC).

De laatste tijd is er een tendens om de privacy op internet te beperken. Dit komt door de beperkingen die overheidsregulering van het internet aan de gebruiker oplegt. In veel landen (China, Rusland, Wit-Rusland) bestaat overheidsregulering van het internet.

"Asia Domain Name Registration-zwendel" in RuNet! U heeft een domein geregistreerd of gekocht en er een website op gemaakt. Naarmate de jaren verstrijken, ontwikkelt de site zich en wordt hij populair. Nu zijn de inkomsten ervan al ‘gedruppeld’. U ontvangt uw inkomsten, betaalt voor het domein, hosting en andere kosten...