Firewalls au firewalls. Firewall ni nini? Inahitajika kwa nini? Mifano ya kuweka vigezo vya Usalama

14.9. Firewalls

Kuvutiwa na ngome (firewall) kutoka kwa watu waliounganishwa kwenye Mtandao inakua, na hata maombi ya mtandao wa ndani yameonekana ambayo hutoa kiwango cha usalama kilichoongezeka. Katika sehemu hii tunatumai kuelezea ngome ni nini, jinsi ya kuzitumia, na jinsi ya kuchukua fursa ya uwezo uliotolewa na FreeBSD kernel ili kuzitekeleza.

14.9.1. Firewall ni nini?

Kuna aina mbili tofauti za ngome zinazotumika kila siku kwenye Mtandao wa kisasa. Aina ya kwanza inaitwa kwa usahihi zaidi kipanga njia cha kuchuja pakiti . Aina hii ya ngome hutumika kwenye mashine iliyounganishwa kwa mitandao mingi na hutumia seti ya sheria kwa kila pakiti ambayo huamua ikiwa pakiti imetumwa au kuzuiwa. Aina ya pili, inayojulikana kama seva ya wakala , hutekelezwa kama damoni zinazotekeleza uthibitishaji na usambazaji wa pakiti, ikiwezekana kwenye mashine iliyo na miunganisho mingi ya mtandao ambapo usambazaji wa pakiti umezimwa kwenye kernel.

Wakati mwingine aina hizi mbili za ukuta wa moto hutumiwa pamoja, ili tu mashine maalum (inayojulikana kama mwenyeji wa bastion ) inaruhusiwa kutuma pakiti kupitia router ya kuchuja kwenye mtandao wa ndani. Huduma za seva mbadala huendeshwa kwa seva pangishi iliyo salama, ambayo kwa kawaida ni salama zaidi kuliko njia za kawaida za uthibitishaji.

FreeBSD inakuja na kifurushi cha kichujio (kinachojulikana kama IPFW) kilichojengwa ndani ya kernel, ambayo itakuwa lengo la sehemu hii yote. Seva za seva mbadala zinaweza kujengwa kwenye FreeBSD kutoka kwa programu za watu wengine, lakini kuna nyingi sana za kushughulikia katika sehemu hii.

14.9.1.1. Ruta zilizo na vichungi vya pakiti

Kipanga njia ni mashine inayosambaza pakiti kati ya mitandao miwili au zaidi. Kipanga njia cha kuchuja pakiti kimepangwa ili kulinganisha kila pakiti dhidi ya orodha ya sheria kabla ya kuamua kuisambaza au la. Programu nyingi za kisasa za uelekezaji zina uwezo wa kuchuja na kwa chaguo-msingi pakiti zote hutumwa mbele. Ili kuwezesha vichungi, utahitaji kufafanua seti ya sheria.

Kuamua ikiwa pakiti inapaswa kuruhusiwa kupitia, ngome hutafuta seti ya sheria zinazolingana na yaliyomo kwenye vichwa vya pakiti. Mara tu mechi inapopatikana, hatua iliyopewa sheria hiyo inatekelezwa. Kitendo kinaweza kuwa kudondosha pakiti, kusambaza pakiti, au hata kutuma ujumbe wa ICMP kwa anwani ya chanzo. Mechi ya kwanza pekee ndiyo inayohesabiwa kwa sababu sheria huangaliwa kwa mpangilio maalum. Kwa hivyo, orodha ya sheria inaweza kuitwa "mlolongo wa sheria" » .

Vigezo vya uteuzi wa pakiti hutegemea programu unayotumia, lakini kwa kawaida unaweza kufafanua sheria kulingana na anwani ya IP ya chanzo cha pakiti, anwani ya IP lengwa, nambari ya kituo cha chanzo cha pakiti, nambari ya bandari lengwa (kwa itifaki zinazotumika. bandari), au hata aina ya pakiti (UDP , TCP, ICMP, nk).

14.9.1.2. Seva za wakala

Seva za wakala ni kompyuta ambapo daemoni za mfumo wa kawaida ( telnetd, ftpd, nk) hubadilishwa na seva maalum. Seva hizi zinaitwa seva za wakala , kwani kawaida hufanya kazi tu na viunganisho vinavyoingia. Hii hukuruhusu kukimbia (kwa mfano) telnet seva ya wakala kwenye ngome, na kuwezesha kuingia kwa kutumia telnet kwa firewall, kupitisha utaratibu wa uthibitishaji, na kupata upatikanaji wa mtandao wa ndani (vivyo hivyo, seva za wakala zinaweza kutumika kufikia mtandao wa nje).

Seva za seva mbadala kwa kawaida zinalindwa vyema zaidi kuliko seva zingine na mara nyingi huwa na anuwai ya mifumo ya uthibitishaji, ikijumuisha mifumo ya nenosiri ya wakati mmoja, ili hata kama mtu anajua ni nenosiri gani ulilotumia, hataweza kulitumia kupata ufikiaji wa kwa sababu muda wa nenosiri huisha mara tu baada ya matumizi yake ya kwanza. Kwa kuwa nenosiri haitoi ufikiaji wa moja kwa moja kwa kompyuta ambayo seva ya wakala iko, inakuwa ngumu zaidi kurudisha nyuma mfumo.

Seva za seva mbadala kwa kawaida huwa na njia ya kuzuia ufikiaji zaidi ili wapangishi fulani pekee waweze kufikia seva. Wengi pia huruhusu msimamizi kubainisha ni watumiaji gani na kompyuta wanazoweza kufikia. Tena, chaguzi zinazopatikana hutegemea programu inayotumiwa.

14.9.2. IPFW inakuruhusu kufanya nini?

Programu ya IPFW iliyosafirishwa na FreeBSD ni mfumo wa kuchuja pakiti na uhasibu ulio kwenye kernel na umewekwa na matumizi ya usanidi wa mtumiaji, ipf (8). Kwa pamoja zinakuruhusu kufafanua na kutazama sheria zinazotumiwa na kernel kwa uelekezaji.

IPFW ina sehemu mbili zinazohusiana. Vifurushi vya vichungi vya firewall. Sehemu ya uhasibu ya pakiti ya IP hufuatilia matumizi ya kipanga njia kulingana na sheria zinazofanana na zile zinazotumika kwenye sehemu ya ngome. Hii inaruhusu msimamizi kuamua, kwa mfano, kiasi cha trafiki router inapokea kutoka kwa kompyuta fulani au kiasi cha trafiki ya WWW inayopeleka mbele.

Kwa sababu ya jinsi IPFW inavyotekelezwa, unaweza kuitumia kwenye kompyuta zisizo za kisambaza data ili kuchuja miunganisho inayoingia na inayotoka. Hii ni kesi maalum ya matumizi ya jumla zaidi ya IPFW, na amri sawa na mbinu hutumiwa katika hali hii.

14.9.3. Inawezesha IPFW kwenye FreeBSD

Kwa kuwa wingi wa mfumo wa IPFW hukaa kwenye kernel, utahitaji kuongeza kigezo kimoja au zaidi kwenye faili ya usanidi wa kernel, kulingana na uwezo unaohitajika, na ujenge upya kernel. Rejelea sura ya kujenga upya kernel (Sura ya 8) kwa maelezo ya kina ya utaratibu huu.

Tahadhari: Kanuni ya msingi ya IPFW ni kukataa ip kutoka kwa yoyote hadi yoyote. Ikiwa hautaongeza sheria zingine zozote wakati wa kuwasha ili kuruhusu ufikiaji, basi kuzuia ufikiaji kwa seva iliyo na ngome iliyowezeshwa kwenye kernel baada ya kuwasha upya. Tunashauri kubainisha firewall_type=open katika /etc/rc.conf faili wakati awali kuongeza firewall, na kisha baada ya kupima utendaji wake, kuhariri sheria katika /etc/rc.firewall faili. Tahadhari ya ziada inaweza kuwa kusanidi awali ngome kutoka kwa kiweko cha ndani, badala ya kuingia kupitia ssh. Kwa kuongeza, inawezekana kujenga kernel na vigezo vya IPFIREWALL na IPFIREWALL_DEFAULT_TO_ACCEPT. Katika kesi hii, sheria ya IPFW ya default itabadilishwa ili kuruhusu ip kutoka kwa yoyote hadi yoyote, ambayo itazuia kuzuia iwezekanavyo.

Kuna chaguzi nne za usanidi wa kernel zinazohusiana na IPFW:

chaguzi IPFIREWALL

Inajumuisha msimbo wa kuchuja pakiti kwenye kernel.

Chaguo IPFIREWALL_VERBOSE

Huwasha kumbukumbu za pakiti kupitia syslogd (8). Bila parameter hii, hata ukitaja katika sheria za kuchuja kwa pakiti za logi, haitafanya kazi.

Chaguo IPFIREWALL_VERBOSE_LIMIT=10

Hupunguza idadi ya pakiti zilizoingia na kila sheria kupitia syslogd (8). Unaweza kutumia chaguo hili ikiwa unataka kuweka kumbukumbu ya uendeshaji wa ngome, lakini hutaki kufichua syslog kwa shambulio la DoS.

Wakati moja ya sheria katika mlolongo hufikia kikomo kilichotajwa na parameter, ukataji wa sheria hiyo umezimwa. Ili kuwezesha kuingia, utahitaji kuweka upya kihesabu sambamba kwa kutumia matumizi ipf (8) :

# ipfw sifuri 4500

ambapo 4500 ni nambari ya sheria ambayo unataka kuanza tena ukataji miti.

Chaguo IPFIREWALL_DEFAULT_TO_ACCEPT

Hubadilisha kanuni chaguo-msingi kutoka "kataa" hadi "kuruhusu". Hii inazuia uwezekano wa kuzuia ikiwa kernel imepakiwa na usaidizi wa IPFIREWALL lakini ngome bado haijasanidiwa. Chaguo hili pia ni muhimu ikiwa unatumia ipf (8) kama suluhisho la matatizo fulani yanapotokea. Walakini, tumia mpangilio kwa tahadhari kwa sababu inafungua ngome na kubadilisha tabia yake.

Maoni: Matoleo ya awali ya FreeBSD yalijumuisha chaguo la IPFIREWALL_ACCT. Chaguo hili limeacha kutumika kwa sababu msimbo huwasha uhasibu kiotomatiki.

14.9.4. Kuanzisha IPFW

Programu ya IPFW imeundwa kwa kutumia matumizi ipf (8). Syntax ya amri hii inaonekana ngumu sana, lakini inakuwa rahisi mara tu unapoelewa muundo wake.

Huduma kwa sasa hutumia kategoria nne tofauti za amri: kuongeza/kufuta, kuorodhesha, kusafisha, na kusafisha. Kuongeza/Kudondosha hutumiwa kuunda sheria zinazobainisha jinsi pakiti zinavyokubaliwa, kudondoshwa na kuingia. Utafutaji hutumiwa kuamua yaliyomo katika seti ya sheria (pia inaitwa mnyororo) na vihesabio vya pakiti (uhasibu). Kuweka upya hutumiwa kufuta sheria zote katika mlolongo. Futa hutumika kuweka upya kihesabu kimoja au zaidi hadi sifuri.

14.9.4.1. Kubadilisha Sheria za IPF

ipfw [-N] amri [nambari] itifaki ya anwani ya kitendo [vigezo]

Kuna bendera moja inayopatikana wakati wa kutumia fomu hii ya amri:

Kutatua anwani na majina ya huduma wakati wa kuonyesha.

Yanafafanuliwa timu inaweza kufupishwa kwa fomu fupi ya kipekee. Zilizopo timu :

Kuongeza sheria kwenye orodha ya uchujaji/uhasibu

Kuondoa sheria kutoka kwa orodha ya uchujaji/uhasibu

Matoleo ya awali ya IPFW yalitumia maingizo tofauti kwa uchujaji wa pakiti na uhasibu. Matoleo ya kisasa yanazingatia pakiti kwa kila sheria.

Ikiwa thamani imebainishwa nambari, hutumiwa kuweka kanuni katika nafasi maalum katika mlolongo. Vinginevyo, utawala umewekwa mwishoni mwa mlolongo na nambari ya 100 ya juu kuliko kanuni ya awali (hii haijumuishi nambari ya kanuni ya default 65535).

Kwa kigezo cha kumbukumbu, sheria zinazolingana hutoa taarifa kwa kiweko cha mfumo ikiwa kernel imejengwa kwa chaguo la IPFIREWALL_VERBOSE.

Zilizopo Vitendo :

Dondosha pakiti na utume pakiti ya ICMP kwa anwani ya chanzo ikionyesha kwamba seva pangishi au mlango haupatikani.

Ruka pakiti kama kawaida. (sawe: kupita, kuruhusu, na kukubali)

Tupa kifurushi. Hakuna ujumbe wa ICMP unaotolewa kwa chanzo (kana kwamba pakiti haijawahi kufikia lengo).

Sasisha kaunta ya pakiti, lakini usitumie kanuni za kuruhusu/katalia kwake. Utafutaji utaendelea na sheria inayofuata kwenye mlolongo.

Kila moja kitendo inaweza kuandikwa kama kiambishi awali kifupi cha kipekee.

Ifuatayo inaweza kufafanuliwa itifaki :

Inalingana na pakiti zote za IP

Inalingana na pakiti za ICMP

Inalingana na pakiti za TCP

Inalingana na pakiti za UDP

Shamba anwani imeundwa kama hii:

chanzo anwani/kinyago [bandari] lengo anwani/kinyago [bandari]

Unaweza kubainisha bandari pamoja tu itifaki bandari zinazounga mkono (UDP na TCP).

Kigezo cha kupitia ni cha hiari na kinaweza kuwa na anwani ya IP au jina la kikoa la kiolesura cha karibu cha IP, au jina la kiolesura (kwa mfano ed0), inasanidi sheria ili kufanana na pakiti hizo pekee zinazopitia kiolesura hicho. Nambari za kiolesura zinaweza kubadilishwa na kinyago cha hiari. Kwa mfano, ppp* italingana na violesura vya kernel PPP.

Sintaksia inayotumika kuashiria anwani/vinyago:

anwani au anwani/mask-bits au anwani:template mask

Badala ya anwani ya IP, unaweza kutaja jina la mwenyeji lililopo. mask-bits hii ni nambari ya desimali inayoonyesha idadi ya biti ambazo lazima ziwekwe kwenye mask ya anwani. Kwa mfano, 192.216.222.1/24 itaunda mask inayofanana na anwani zote za darasa C za subnet (katika kesi hii, 192.216.222). Jina halali la mpangishaji linaweza kubainishwa badala ya anwani ya IP. template mask hii ndio IP ambayo itazidishwa kimantiki na anwani uliyopewa. Neno kuu lolote linaweza kutumika kumaanisha "anwani yoyote ya IP".

Nambari za bandari zimeainishwa katika muundo ufuatao:

bandari [,bandari [,bandari [.]]]

Ili kutaja bandari moja au orodha ya bandari, au

bandari-bandari

Ili kutaja anuwai ya bandari. Unaweza pia kuchanganya safu moja na orodha ya milango, lakini safu lazima ziorodheshwe kwanza.

Inapatikana chaguzi :

Inawaka ikiwa pakiti sio pakiti ya kwanza kwenye datagramu.

Inalingana na pakiti zinazoingia.

Inalingana na pakiti zinazotoka.

Ipoptions spec

Huwasha ikiwa kichwa cha IP kina orodha iliyotenganishwa kwa koma ya vigezo vilivyobainishwa ndani spec. Vigezo vya IP vinavyotumika: ssrr (njia ya chanzo kali), lsrr (njia ya chanzo huru), rr (njia ya pakiti ya rekodi), na ts (muhuri wa saa). Athari ya vigezo vya mtu binafsi inaweza kubadilishwa kwa kubainisha kiambishi awali!.

Imeanzishwa

Moto ikiwa pakiti ni sehemu ya muunganisho tayari wa TCP (yaani, ikiwa vipande vya RST au ACK vimewekwa). Unaweza kuboresha utendaji wa ngome kwa kuweka sheria na imara karibu na mwanzo wa mnyororo.

Inalingana ikiwa pakiti ni jaribio la kuanzisha muunganisho wa TCP (kidogo cha SYN kimewekwa na biti ya ACK haijawekwa).

Tcpflags bendera

Moto ikiwa kichwa cha TCP kina orodha iliyotenganishwa kwa koma ya bendera. Bendera zinazotumika ni fin, syn, rst, psh, ack, na urg. Athari ya sheria kwa bendera binafsi inaweza kubadilishwa kwa kubainisha kiambishi awali!.

Icmptypes aina

Huwaka ikiwa aina ya pakiti ya ICMP iko kwenye orodha aina. Orodha inaweza kubainishwa kama mseto wowote wa masafa na/au aina ya mtu binafsi, ikitenganishwa na koma. Aina zinazotumiwa sana za ICMP ni 0 reply (ping reply), 3 lengwa lisiloweza kufikiwa, 5 kuelekezwa kwingine, 8 ombi la mwangwi (ombi la ping), na muda ulizidi 11 (hutumika kuashiria kuisha kwa TTL, kama ilivyokuwa). njia ya tracero (8)).

14.9.4.2. Tazama sheria za IPFW

Syntax ya aina hii ya amri ni:

ipfw [-a] [-c] [-d] [-e] [-t] [-N] [-S] orodha

Kuna bendera saba za aina hii ya amri:

Onyesha thamani za kaunta. Kigezo hiki ndiyo njia pekee ya kuona thamani za kaunta.

Tazama sheria katika fomu ya kompakt.

Onyesha sheria zinazobadilika pamoja na zile tuli.

Ikiwa chaguo la -d limebainishwa, pia onyesha sheria tendaji zilizoisha muda wake.

Onyesha wakati wa mwisho wa kurusha kwa kila sheria kwenye mnyororo. Orodha hii haioani na sintaksia inayokubaliwa ipf (8) .

Jaribu kutatua anwani uliyopewa na majina ya huduma.

Onyesha seti ambayo kila sheria inamiliki. Ikiwa alama hii haijabainishwa, sheria zilizozuiwa hazitaonyeshwa.

14.9.4.3. Kuweka upya sheria za IPFW

Syntax ya kuweka upya sheria:

Sheria zote katika mnyororo zitaondolewa isipokuwa kwa kanuni ya msingi iliyowekwa na kernel (nambari 65535). Kuwa mwangalifu wakati wa kuweka upya sheria; sheria ambayo inaangusha pakiti kwa chaguo-msingi itaondoa mfumo kutoka kwa mtandao hadi sheria za kuruhusu ziongezwe kwenye mnyororo.

14.9.4.4. Kusafisha kaunta za pakiti za IPFW

Sintaksia ya kufuta kaunta za pakiti moja au zaidi ni:

ipfw sifuri [ index]

Inapotumika bila hoja nambari Kaunta zote za pakiti zitafutwa. Kama index maalum, operesheni ya kusafisha inatumika tu kwa kanuni maalum ya minyororo.

14.9.5. Amri za mfano kwa ipfw

Amri ifuatayo itakataa pakiti zote kutoka kwa seva pangishi evil.crackers.org hadi mlango wa telnet wa seva pangishi nice.people.org:

# ipfw ongeza kukataa tcp kutoka kwa evil.crackers.org hadi nice.people.org 23

Mfano ufuatao unakanusha na kuweka trafiki yote ya TCP kutoka mtandao wa crackers.org (darasa C) hadi kompyuta ya nice.people.org (kwenye bandari yoyote).

# ipfw ongeza kukataa logi tcp kutoka kwa evil.crackers.org/24 hadi nice.people.org

Ikiwa unataka kuzuia vipindi vya X kutumwa kwa mtandao wako (sehemu ya mtandao wa darasa C), amri ifuatayo itafanya uchujaji unaohitajika:

# ipfw ongeza kukataa tcp kutoka kwa yoyote hadi usanidi wa my.org/28 6000

Ili kuona rekodi za uhasibu:

# ipfw -a orodha au kwa ufupi # ipfw -a l

Unaweza pia kutazama mara ya mwisho sheria zilichochewa kwa kutumia amri:

14.9.6. Kuunda Firewall kwa Kuchuja Pakiti

Wakati wa kusanidi firewall awali, kabla ya kupima utendakazi na kuweka seva katika operesheni, inashauriwa sana kutumia matoleo ya kumbukumbu ya amri na kuwezesha kuingia kwenye kernel. Hii itawawezesha kutambua haraka maeneo ya tatizo na kurekebisha usanidi wako bila jitihada nyingi. Hata baada ya usanidi wa awali kukamilika, inashauriwa kutumia ukataji miti ili "kukataa" kwa sababu inakuwezesha kufuatilia mashambulizi iwezekanavyo na kubadilisha sheria za firewall ikiwa mahitaji yako ya firewall yanabadilika.

Maoni: Ikiwa unatumia toleo la ukataji miti la amri ya kukubali, kuwa mwangalifu kwa sababu inaweza kuunda kubwa kiasi cha data ya itifaki. Kila pakiti inayopita kwenye ngome itawekwa kumbukumbu, kwa hivyo idadi kubwa ya FTP/http na trafiki nyingine itapunguza kasi ya mfumo kwa kiasi kikubwa. Hii pia itaongeza utulivu wa pakiti kama hizo kwa sababu kernel inahitaji kufanya kazi ya ziada kabla ya kuruhusu pakiti kupitia. syslogd pia itatumia wakati mwingi zaidi wa CPU kwani itatuma data yote ya ziada kwenye diski na kizigeu cha /var/log kinaweza kujaza haraka.

Utahitaji kuwezesha ngome katika /etc/rc.conf.local au /etc/rc.conf. Ukurasa wa kumbukumbu unaofanana unaelezea nini hasa kinachohitajika kufanywa na ina mifano ya mipangilio iliyopangwa tayari. Ikiwa hutumii mipangilio ya awali, amri ya orodha ya ipfw inaweza kuweka kanuni ya sasa katika faili, kutoka ambapo inaweza kuwekwa kwenye faili za kuanzisha mfumo. Ikiwa hutumii /etc/rc.conf.local au /etc/rc.conf kuwezesha ngome, ni muhimu kuhakikisha kuwa imewezeshwa baada ya kusanidi miingiliano.

Ifuatayo, unahitaji kuamua Nini hasa hufanya firewall yako! Hii inategemea ni kiasi gani cha ufikiaji unachotaka kuwa nacho kutoka nje hadi mtandao wako. Hapa kuna sheria za jumla:

Zuia ufikiaji wa nje wa nambari za mlango wa TCP chini ya 1024. Huduma nyingi muhimu zaidi za usalama kama vile kidole, SMTP (barua), na telnet ziko hapa.

Zuia zote trafiki ya UDP inayoingia. Kuna huduma chache muhimu zinazoendesha UDP, lakini kwa kawaida huwa hatari ya usalama (km Sun RPC na itifaki za NFS). Njia hii pia ina hasara, kwa kuwa itifaki ya UDP haifahamu uunganisho, na kuzuia pakiti zinazoingia pia kutazuia majibu kwa trafiki ya UDP inayotoka. Hili linaweza kuwa tatizo kwa wale wanaotumia seva za nje zinazofanya kazi na UDP. Ikiwa ungependa kuruhusu ufikiaji wa huduma hizi, utahitaji kuruhusu pakiti zinazoingia kutoka kwa bandari zinazofaa. Kwa mfano, kwa ntp unaweza kuhitaji kuruhusu pakiti zinazotoka bandari 123.

Zuia trafiki yote kutoka nje hadi lango 6000. Port 6000 hutumiwa kufikia seva za X11, na inaweza kuwa hatari ya usalama (hasa ikiwa watumiaji wana mazoea ya kuendesha amri ya xhost + kwenye vituo vyao vya kazi). X11 inaweza kutumia bandari mbalimbali kuanzia 6000, kikomo cha juu kikibainishwa na idadi ya maonyesho ya X ambayo yanaweza kuendeshwa kwenye mashine. Kiwango cha juu kinachofafanuliwa na RFC 1700 (Nambari Zilizokabidhiwa) ni 6063.

Angalia bandari zinazotumiwa na huduma za ndani (kwa mfano, seva za SQL, nk). Huenda ikawa ni wazo nzuri kuzuia bandari hizi pia, kwa kuwa kwa kawaida hazianguki ndani ya safu ya 1-1024 iliyoorodheshwa hapo juu.

Orodha nyingine ya kuangalia mipangilio ya ngome inapatikana kwenye CERT katika http://www.cert.org/tech_tips/packet_filtering.html

Kama ilivyoelezwa hapo juu, sheria hizi zote ni sawa usimamizi . Unaweza kuamua mwenyewe ni sheria gani za kuchuja zitatumika kwenye firewall. Hatuwezi kuchukua jukumu LOLOTE ikiwa mtandao wako umedukuliwa, hata kama umefuata ushauri uliotolewa hapo juu.

14.9.7. Uboreshaji wa juu na IPFW

Watumiaji wengi wanataka kujua ni kiasi gani IPFW inapakia mfumo. Jibu hasa inategemea kanuni na kasi ya processor. Kwa kuzingatia seti ndogo ya sheria, kwa programu nyingi zinazoendesha kwenye Ethernet, jibu sio "sio nyingi." Sehemu hii imekusudiwa wale wanaohitaji jibu sahihi zaidi.

Vipimo vilivyofuata vilifanywa na 2.2.5-STABLE kwenye 486-66. (Ingawa IPFW imebadilika kidogo katika matoleo yaliyofuata ya FreeBSD, kasi imesalia takriban sawa.) IPFW imerekebishwa ili kupima muda uliotumiwa na ip_fw_chk, ikichapisha matokeo kwenye kiweko baada ya kila pakiti ya 1000.

Seti mbili za sheria 1000 zilijaribiwa. Ya kwanza iliundwa ili kuonyesha seti mbaya ya sheria kwa kurudia sheria:

# ipfw ongeza kukataa tcp kutoka kwa yoyote hadi 55555 yoyote

Seti hii ya sheria ni mbaya kwa sababu sheria nyingi za IPFW hazilingani na pakiti zinazokaguliwa (kutokana na nambari ya bandari). Baada ya marudio ya 999 ya sheria hii, ip ya kuruhusu kutoka kwa yoyote hadi sheria yoyote inafuata.

Seti ya pili ya sheria iliundwa ili kujaribu kila sheria haraka iwezekanavyo:

# ipfw ongeza kukataa ip kutoka 1.2.3.4 hadi 1.2.3.4

Anwani ya IP ya chanzo isiyolingana katika sheria iliyo hapo juu itasababisha sheria hizi kuangaliwa haraka sana. Kama hapo awali, sheria ya 1000 inaruhusu ip kutoka kwa yoyote hadi yoyote.

Gharama ya kuangalia pakiti katika kesi ya kwanza ni takriban 2.703 ms/packet, au takriban 2.7 microseconds kwa kila sheria. Kikomo cha kasi ya skanning ya kinadharia ni takriban pakiti 370 kwa sekunde. Kwa kuchukulia muunganisho wa Ethaneti wa Mbps 10 na saizi ya pakiti ya takriban baiti 1500, hii inasababisha utumiaji wa kipimo data cha 55.5%.

Katika kesi ya pili, kila pakiti ilichanganuliwa kwa takriban 1.172 ms, au takriban 1.2 microseconds kwa kila sheria. Kikomo cha kasi ya ukaguzi wa kinadharia ni kuhusu pakiti 853 kwa pili, ambayo inafanya matumizi kamili ya 10 Mbps Ethernet bandwidth iwezekanavyo.

Idadi kubwa ya sheria zinazokaguliwa na aina yao haituruhusu kuunda picha karibu na hali ya kawaida - sheria hizi zilitumiwa tu kupata habari kuhusu wakati wa uthibitishaji. Hapa kuna miongozo ya kuzingatia ili kuunda seti ya sheria inayofaa:

Weka sheria iliyowekwa mapema iwezekanavyo ili kushughulikia idadi kubwa ya trafiki ya TCP. Usiweke kuruhusu sheria za tcp mbele yake.

Weka sheria zinazotumiwa mara kwa mara karibu na mwanzo wa seti kuliko sheria zinazotumiwa mara chache (bila shaka bila kubadilisha athari ya seti nzima ) Unaweza kuamua sheria zinazotumiwa sana kwa kuangalia vihesabio vya pakiti na ipfw -a l amri.

Kuna aina kadhaa za firewall kulingana na sifa zifuatazo:

ikiwa ngao hutoa uhusiano kati ya nodi moja na mtandao au kati ya mitandao miwili au zaidi tofauti;

ikiwa udhibiti wa mtiririko wa data hutokea kwenye safu ya mtandao au viwango vya juu vya mfano wa OSI;

ikiwa hali za miunganisho amilifu zinafuatiliwa au la.

Kulingana na chanjo ya mtiririko wa data unaodhibitiwa, ukuta wa moto umegawanywa katika:

mtandao wa jadi (au firewall) - mpango (au sehemu muhimu ya mfumo wa uendeshaji) kwenye lango (kifaa kinachopitisha trafiki kati ya mitandao) au suluhisho la maunzi linalodhibiti mtiririko wa data zinazoingia na zinazotoka kati ya mitandao iliyounganishwa (vitu vya mtandao vilivyosambazwa) ;

firewall ya kibinafsi ni programu iliyowekwa kwenye kompyuta ya mtumiaji na iliyoundwa kulinda kompyuta hii tu kutoka kwa ufikiaji usioidhinishwa.

Kulingana na kiwango cha OSI ambacho udhibiti wa ufikiaji hutokea, ngome zinaweza kufanya kazi kwa:

kiwango cha mtandao, wakati kuchuja hutokea kulingana na anwani za mtumaji na mpokeaji wa pakiti, namba za bandari za safu ya usafiri ya mfano wa OSI na sheria za tuli zilizotajwa na msimamizi;

ngazi ya kikao(pia inajulikana kama ya serikali), wakati vikao kati ya programu vinafuatiliwa na pakiti zinazokiuka vipimo vya TCP/IP hazijapitishwa, mara nyingi hutumiwa katika shughuli mbaya - skanning ya rasilimali, udukuzi kupitia utekelezaji usio sahihi wa TCP/IP, miunganisho iliyoshuka/polepole, sindano ya data;

kiwango cha maombi(au kiwango cha maombi), wakati uchujaji unafanywa kulingana na uchambuzi wa data ya maombi iliyopitishwa ndani ya pakiti. Aina hizi za skrini hukuruhusu kuzuia utumaji wa maelezo yasiyotakikana na yanayoweza kudhuru kulingana na sera na mipangilio.

Kuchuja kwenye kiwango cha mtandao

Kuchuja kwa pakiti zinazoingia na zinazotoka hufanyika kwa kuzingatia taarifa zilizomo katika nyanja zifuatazo za vichwa vya TCP na IP vya pakiti: anwani ya IP ya mtumaji; Anwani ya IP ya mpokeaji; bandari ya mtumaji; bandari ya mpokeaji.

Kuchuja kunaweza kutekelezwa kwa njia mbalimbali za kuzuia miunganisho kwenye kompyuta au bandari maalum. Kwa mfano, unaweza kuzuia miunganisho inayotoka kwa anwani maalum za kompyuta na mitandao hiyo ambayo inachukuliwa kuwa isiyoaminika.

gharama ya chini;

kubadilika katika kufafanua sheria za kuchuja;

kuchelewa kidogo katika kifungu cha pakiti.

Mapungufu:

haina kukusanya pakiti zilizogawanyika;

hakuna njia ya kufuatilia uhusiano (miunganisho) kati ya vifurushi.?

Uchujaji wa kiwango cha kipindi

Kulingana na ufuatiliaji wa miunganisho inayotumika, ukuta wa moto unaweza kuwa:

wasio na utaifa(kuchuja rahisi), ambayo haifuatilii miunganisho ya sasa (kwa mfano, TCP), lakini huchuja mkondo wa data kwa kuzingatia sheria tuli;

ukaguzi wa pakiti wa serikali, wa serikali (SPI)(kuchuja kwa kufahamu muktadha), kufuatilia miunganisho ya sasa na kupitisha vifurushi tu ambavyo vinakidhi mantiki na algoriti za itifaki na programu zinazolingana.

Firewalls zilizo na SPI huwezesha kupambana kwa ufanisi zaidi aina mbalimbali za mashambulizi ya DoS na udhaifu wa baadhi ya itifaki za mtandao. Kwa kuongezea, zinahakikisha utendakazi wa itifaki kama vile H.323, SIP, FTP, n.k., ambazo hutumia mifumo changamano ya kuhamisha data kati ya wapokeaji, ambayo ni ngumu kuelezea kwa sheria tuli, na mara nyingi haioani na ngome za kawaida zisizo na uraia.

Faida za uchujaji kama huo ni pamoja na:

uchambuzi wa maudhui ya pakiti;

hakuna taarifa kuhusu uendeshaji wa itifaki ya safu ya 7 inahitajika.

Mapungufu:

ni ngumu kuchambua data ya kiwango cha programu (ikiwezekana kutumia ALG - lango la kiwango cha Maombi).

Lango la kiwango cha maombi, ALG (lango la kiwango cha maombi) ni sehemu ya kipanga njia cha NAT kinachoelewa itifaki ya programu, na pakiti za itifaki hii zinapopitia, inazirekebisha kwa njia ambayo watumiaji nyuma ya NAT wanaweza kutumia itifaki.

Huduma ya ALG hutoa usaidizi kwa itifaki za kiwango cha programu (kama vile SIP, H.323, FTP, n.k.) ambayo Tafsiri ya Anwani ya Mtandao hairuhusiwi. Huduma hii huamua aina ya programu katika pakiti zinazotoka kwenye kiolesura cha ndani cha mtandao na ipasavyo kuzifanyia tafsiri ya anwani/mlango kupitia kiolesura cha nje.

Teknolojia ya SPI (Stateful Packet Inspection) au teknolojia ya ukaguzi wa pakiti kwa kuzingatia hali ya itifaki leo ni njia ya juu ya udhibiti wa trafiki. Teknolojia hii hukuruhusu kudhibiti data hadi kiwango cha programu bila kuhitaji mtu wa kati au programu mbadala ya proksi kwa kila itifaki iliyolindwa au huduma ya mtandao.

Kihistoria, ngome zimebadilika kutoka kwa vichujio vya pakiti za madhumuni ya jumla hadi vifaa vya kati mahususi vya itifaki hadi ukaguzi wa hali ya juu. Teknolojia za awali zilisaidiana tu, lakini hazikutoa udhibiti kamili wa miunganisho. Vichungi vya pakiti havina ufikiaji wa muunganisho na maelezo ya hali ya programu ambayo ni muhimu kwa mfumo wa usalama kufanya uamuzi wa mwisho. Programu za vifaa vya kati huchakata tu data ya kiwango cha maombi, ambayo mara nyingi hutengeneza fursa mbalimbali za kudukua mfumo. Usanifu wa hali ya ukaguzi ni wa kipekee kwa sababu hukuruhusu kushughulikia habari zote zinazowezekana kupitia mashine ya lango: data kutoka kwa pakiti, data kuhusu hali ya unganisho, data inayohitajika na programu.

Mfano wa utaratibuYa serikaliUkaguzi. Firewall hufuatilia kipindi cha FTP kwa kuchunguza data katika kiwango cha programu. Wakati mteja anaomba seva kufungua muunganisho wa nyuma (amri ya FTP PORT), ngome hutoa nambari ya mlango kutoka kwa ombi hilo. Orodha huhifadhi anwani za mteja na seva na nambari za mlango. Jaribio la kuanzisha muunganisho wa data wa FTP linapogunduliwa, ngome hukagua orodha na kuangalia kama muunganisho huo ni jibu la ombi halali la mteja. Orodha ya uunganisho inadumishwa kwa nguvu ili tu bandari muhimu za FTP zifunguliwe. Mara tu kikao kinapofungwa, bandari zimezuiwa, na kutoa kiwango cha juu cha usalama.

Mchele. 2.12. Mfano wa utaratibu wa Ukaguzi wa Serikali unaofanya kazi na itifaki ya FTP

Uchujaji wa kiwango cha programu

Ili kulinda udhaifu kadhaa uliopo katika uchujaji wa pakiti, ngome ni lazima zitumie programu za programu kuchuja miunganisho ya huduma kama vile Telnet, HTTP, FTP. Programu kama hiyo inaitwa huduma ya wakala, na seva pangishi ambayo huduma ya wakala inaendeshwa inaitwa lango la kiwango cha programu. Lango kama hilo huondoa mwingiliano wa moja kwa moja kati ya mteja aliyeidhinishwa na mwenyeji wa nje. Lango huchuja pakiti zote zinazoingia na zinazotoka kwenye safu ya programu (safu ya programu - safu ya juu ya muundo wa mtandao) na inaweza kuchanganua maudhui ya data, kama vile URL iliyo katika ujumbe wa HTTP au amri iliyo katika ujumbe wa FTP. Wakati mwingine ni bora zaidi kuchuja pakiti kulingana na taarifa zilizomo kwenye data yenyewe. Vichujio vya pakiti na vichujio vya kiwango cha kiungo havitumii yaliyomo kwenye mkondo wa habari wakati wa kufanya maamuzi ya kuchuja, lakini uchujaji wa kiwango cha programu unaweza kufanya hivyo. Vichujio vya kiwango cha programu vinaweza kutumia maelezo kutoka kwa kichwa cha pakiti, pamoja na data ya maudhui na maelezo ya mtumiaji. Wasimamizi wanaweza kutumia uchujaji wa kiwango cha programu ili kudhibiti ufikiaji kulingana na utambulisho wa mtumiaji na/au kulingana na kazi mahususi ambayo mtumiaji anajaribu kutekeleza. Katika vichujio vya kiwango cha programu, unaweza kuweka sheria kulingana na amri zilizotolewa na programu. Kwa mfano, msimamizi anaweza kuzuia mtumiaji mahususi kupakua faili kwenye kompyuta mahususi kwa kutumia FTP, au kuruhusu mtumiaji kupangisha faili kupitia FTP kwenye kompyuta hiyo hiyo.

Faida za uchujaji kama huo ni pamoja na:

sheria rahisi za kuchuja;

uwezekano wa kuandaa idadi kubwa ya ukaguzi. Ulinzi wa kiwango cha maombi huruhusu idadi kubwa ya ukaguzi wa ziada, ambayo inapunguza uwezekano wa utapeli kwa kutumia mashimo kwenye programu;

uwezo wa kuchambua data ya programu.

Mapungufu:

utendaji wa chini ikilinganishwa na uchujaji wa pakiti;

wakala lazima aelewe itifaki yake (kutowezekana kwa matumizi na itifaki zisizojulikana);

Kama sheria, inaendesha chini ya mifumo ngumu ya uendeshaji.

Firewall

Firewall (Firewall au Firewall) ni njia ya kuchuja trafiki ya pakiti kutoka kwa mtandao wa nje kuhusiana na mtandao wa ndani au kompyuta. Hebu fikiria sababu za kuonekana na kazi zilizofanywa na Firewall. Mtandao wa kisasa wa data una vifaa vingi vya mbali vya utendaji wa juu vinavyoingiliana kwa umbali mkubwa. Mojawapo ya mitandao mikubwa ya usambazaji wa data ni mitandao ya kompyuta kama vile Mtandao. Wakati huo huo huajiri mamilioni ya vyanzo vya habari na watumiaji kote ulimwenguni. Uendelezaji ulioenea wa mtandao huu unaruhusu kutumiwa sio tu na watu binafsi, bali pia na makampuni makubwa kuunganisha vifaa vyao tofauti duniani kote kwenye mtandao mmoja. Wakati huo huo, ufikiaji wa pamoja wa rasilimali za kawaida hufungua fursa kwa walaghai, virusi na washindani kusababisha madhara kwa watumiaji wa mwisho: kuiba, kupotosha, kupanda au kuharibu habari iliyohifadhiwa, kukiuka uadilifu wa programu na hata kuondoa vifaa vya kompyuta. kituo cha mwisho. Ili kuzuia athari hizi zisizohitajika, ni muhimu kuzuia ufikiaji usioidhinishwa, ambao Firewall hutumiwa mara nyingi. Jina sana Firewall (ukuta - kutoka kwa ukuta wa Kiingereza) huficha kusudi lake, i.e. hutumika kama ukuta kati ya mtandao wa ndani uliolindwa na Mtandao au mtandao mwingine wowote wa nje na huzuia vitisho vyovyote. Kando na hayo hapo juu, ngome inaweza pia kufanya kazi nyingine zinazohusiana na kuchuja trafiki kutoka/kwenda kwa rasilimali yoyote ya Mtandao.

Kanuni ya uendeshaji wa Firewall inategemea kudhibiti trafiki kutoka nje. Mbinu zifuatazo za ufuatiliaji wa trafiki kati ya mitandao ya ndani na nje zinaweza kuchaguliwa:

1. Kuchuja pakiti- kulingana na kusanidi seti ya vichungi. Kulingana na ikiwa pakiti inayoingia inakidhi masharti yaliyotajwa kwenye vichungi, inapitishwa kwenye mtandao au kutupwa.

2. Seva ya wakala- kifaa cha ziada cha seva ya wakala kimewekwa kati ya mitandao ya ndani na nje, ambayo hutumika kama "lango" ambalo trafiki zote zinazoingia na zinazotoka lazima zipitie.

3. Ukaguzi wa hali- ukaguzi wa trafiki zinazoingia ni mojawapo ya njia za juu zaidi za kutekeleza Firewall. Ukaguzi haimaanishi kuchambua kifurushi kizima, lakini ni sehemu yake muhimu tu na kuilinganisha na maadili yaliyojulikana hapo awali kutoka kwa hifadhidata ya rasilimali zinazoruhusiwa. Njia hii hutoa utendaji wa juu zaidi wa Firewall na ucheleweshaji mdogo zaidi.

Firewall inaweza kutekelezwa katika vifaa au programu. Utekelezaji maalum unategemea ukubwa wa mtandao, kiasi cha trafiki na kazi zinazohitajika. Aina ya kawaida ya Firewall ni programu. Katika kesi hii, inatekelezwa kama programu inayoendesha kwenye PC ya mwisho au kifaa cha mtandao cha makali, kwa mfano. Katika kesi ya utekelezaji wa vifaa, Firewall ni kipengele tofauti cha mtandao, ambacho kwa kawaida kina uwezo mkubwa wa utendaji, lakini hufanya kazi sawa.

Firewall hukuruhusu kusanidi vichungi ambavyo vinawajibika kupitisha trafiki kulingana na vigezo vifuatavyo:

1. Anwani ya IP. Kama unavyojua, kifaa chochote cha mwisho kinachofanya kazi kulingana na itifaki lazima kiwe na anwani ya kipekee. Kwa kuweka anwani fulani au safu fulani, unaweza kuzuia kupokea pakiti kutoka kwao, au, kinyume chake, kuruhusu ufikiaji kutoka kwa anwani hizi za IP pekee.

2. Jina la kikoa. Kama unavyojua, tovuti kwenye mtandao, au tuseme anwani yake ya IP, inaweza kupewa jina la alphanumeric, ambalo ni rahisi kukumbuka kuliko seti ya nambari. Kwa hivyo, kichujio kinaweza kusanidiwa ili kuruhusu trafiki kwenda/kutoka kwa mojawapo ya rasilimali pekee, au kukataa kuifikia.

3. Bandari. Tunazungumzia kuhusu bandari za programu, i.e. maeneo ya ufikiaji wa programu kwa huduma za mtandao. Kwa hiyo, kwa mfano, ftp hutumia bandari 21, na maombi ya kutazama kurasa za wavuti hutumia bandari 80. Hii inakuwezesha kukataa upatikanaji kutoka kwa huduma zisizohitajika na programu za mtandao, au, kinyume chake, kuruhusu ufikiaji wao tu.

4. Itifaki. Ngome inaweza kusanidiwa ili kuruhusu data kutoka kwa itifaki moja tu kupita, au kukataa ufikiaji wa kuitumia. Kwa kawaida, aina ya itifaki inaweza kuonyesha kazi inayofanya, matumizi ambayo hutumia, na seti ya vigezo vya usalama. Kwa njia hii, ufikiaji unaweza kusanidiwa kutekeleza programu moja mahususi tu na kuzuia ufikiaji hatari kwa kutumia itifaki zingine zote.

Imeorodheshwa hapo juu ni vigezo kuu tu vinavyoweza kusanidiwa. Mipangilio mingine ya kichujio mahususi ya mtandao pia inaweza kutumika, kulingana na kazi zinazofanywa kwenye mtandao huo.

Kwa hivyo, Firewall hutoa seti ya kina ya kazi ili kuzuia ufikiaji usioidhinishwa, uharibifu au wizi wa data, au athari zingine mbaya ambazo zinaweza kuathiri utendakazi wa mtandao. Kwa kawaida, ngome hutumiwa kwa kushirikiana na zana zingine za usalama, kama vile programu ya kuzuia virusi.

1. Usimbaji fiche linganifu

Mifumo ya ulinganifu ya crypto(Pia usimbaji fiche linganifu, sifa linganifu) (Kiingereza) ulinganifu- ufunguo algorithm) - njia ya usimbuaji ambayo ufunguo sawa wa kriptografia hutumiwa kwa usimbaji fiche na usimbuaji. Kabla ya uvumbuzi wa mpango wa usimbaji fiche usiolinganishwa, njia pekee iliyokuwepo ilikuwa usimbaji fiche linganifu. Ufunguo wa algoriti lazima uwe siri na pande zote mbili. Algorithm ya usimbaji huchaguliwa na wahusika kabla ya ubadilishanaji wa ujumbe kuanza.

Katika mifumo ya siri ya ulinganifu, ufunguo sawa hutumiwa kwa usimbaji fiche na usimbuaji. Kwa hivyo jina - ulinganifu. Algorithm na ufunguo huchaguliwa mapema na zinajulikana kwa pande zote mbili. Kuweka siri muhimu ni kazi muhimu ya kuanzisha na kudumisha njia salama ya mawasiliano. Katika suala hili, tatizo la uhamisho wa ufunguo wa awali (maingiliano muhimu) hutokea. Kwa kuongeza, kuna mbinu za mashambulizi ya crypto ambayo inaruhusu njia moja au nyingine kufuta habari bila kuwa na ufunguo au kwa kuikata katika hatua ya idhini. Kwa ujumla, pointi hizi ni tatizo la nguvu ya kriptografia ya algorithm fulani ya usimbuaji na ni hoja wakati wa kuchagua algorithm fulani.

Ulinganifu, au haswa zaidi, algoriti za usimbaji fiche za alfabeti zilikuwa kati ya algoriti za kwanza . Baadaye, usimbuaji wa asymmetric ulizuliwa, ambapo waingiliaji wana funguo tofauti .

Taarifa za msingi[hariri | hariri nambari]

Algoriti za usimbaji data hutumika sana katika teknolojia ya kompyuta katika mifumo ya kuficha taarifa za siri na za kibiashara kutokana na matumizi mabaya ya wahusika wengine. Kanuni kuu ndani yao ni hali ambayo transmita na mpokeaji wanajua algoriti ya usimbaji fiche mapema, pamoja na ufunguo wa ujumbe, bila ambayo habari ni seti tu ya alama ambazo hazina maana.

Mifano ya classic ya algorithms vile ni algoriti za kriptografia linganifu iliyoorodheshwa hapa chini:

Rahisi kupanga upya

Ruhusa moja kwa ufunguo

Ruhusa mara mbili

Ruhusa "Mraba wa Uchawi"

Rahisi kupanga upya[hariri | hariri nambari]

Ruhusa rahisi isiyo na ufunguo ni mojawapo ya mbinu rahisi zaidi za usimbaji fiche. Ujumbe umeandikwa kwenye jedwali katika safu wima. Baada ya maandishi wazi kuandikwa katika safu wima, husomwa mstari kwa mstari ili kuunda maandishi ya siri. Ili kutumia misimbo hii, mtumaji na mpokeaji wanahitaji kukubaliana juu ya ufunguo ulioshirikiwa katika muundo wa saizi ya jedwali. Kuchanganya herufi katika vikundi haijajumuishwa kwenye ufunguo wa msimbo na hutumiwa tu kwa urahisi wa kuandika maandishi yasiyo na maana.

Ruhusa moja kwa ufunguo[hariri | hariri nambari]

Njia ya vitendo zaidi ya usimbaji fiche inayoitwa permutation ya ufunguo mmoja ni sawa na ile ya awali. Inatofautiana tu kwa kuwa nguzo za jedwali zimepangwa upya kulingana na neno kuu, kifungu au seti ya nambari za urefu wa mstari wa jedwali.

Ruhusa mara mbili[hariri | hariri nambari]

Kwa usalama zaidi, unaweza kusimba tena ujumbe ambao tayari umesimbwa kwa njia fiche. Njia hii inajulikana kama permutation mara mbili. Kwa kufanya hivyo, ukubwa wa meza ya pili huchaguliwa ili urefu wa safu na nguzo zake tofauti na urefu katika meza ya kwanza. Ni bora ikiwa wao ni wa hali ya juu. Kwa kuongeza, safu katika jedwali la kwanza zinaweza kupangwa upya, na safu katika jedwali la pili. Hatimaye, unaweza kujaza meza katika zigzag, nyoka, ond, au njia nyingine. Njia kama hizo za kujaza meza, ikiwa haziongeza nguvu ya cipher, basi fanya mchakato wa usimbuaji kuwa wa kufurahisha zaidi.

Ruhusa "Mraba wa Uchawi"[hariri | hariri nambari]

Miraba ya kichawi ni jedwali za mraba zenye nambari asilia zinazofuatana kutoka 1 iliyoandikwa kwenye seli zao, ambazo huongeza hadi nambari sawa kwa kila safu, kila safu na kila mlalo. Miraba kama hiyo ilitumiwa sana kuingiza maandishi yaliyosimbwa kulingana na nambari zilizotolewa ndani yake. Ikiwa utaandika yaliyomo kwenye jedwali kwa mstari, unapata usimbaji fiche kwa kupanga upya herufi. Kwa mtazamo wa kwanza, inaonekana kana kwamba kuna viwanja vichache sana vya uchawi. Walakini, idadi yao huongezeka haraka sana kadiri ukubwa wa mraba unavyoongezeka. Kwa hivyo, kuna mraba mmoja tu wa uchawi unaopima 3 x 3, ikiwa hutazingatia mizunguko yake. Tayari kuna mraba 880 wa uchawi wa 4 x 4, na idadi ya mraba ya uchawi ya ukubwa wa 5 x 5 ni karibu 250,000. Kwa hiyo, mraba mkubwa wa uchawi unaweza kuwa msingi mzuri wa mfumo wa kuaminika wa usimbuaji wa wakati huo, kwa sababu kwa mikono kujaribu kila kitu. chaguzi kuu za msimbo huu hazikufikirika.

Nambari kutoka 1 hadi 16 zinafaa katika mraba kupima 4 kwa 4. Uchawi wake ulikuwa kwamba jumla ya nambari katika safu, safu na diagonals kamili ilikuwa sawa na idadi sawa - 34. Viwanja hivi vilionekana kwanza nchini China, ambako walipewa. baadhi ya "nguvu za uchawi".

Usimbaji fiche wa mraba wa kichawi ulifanyika kama ifuatavyo. Kwa mfano, unahitaji kusimba kifungu hiki: "Ninawasili leo." Herufi za kifungu hiki zimeandikwa kwa mpangilio katika mraba kulingana na nambari zilizoandikwa ndani yao: nafasi ya herufi katika sentensi inalingana na nambari ya ordinal. Kitone huwekwa kwenye seli tupu.

Baada ya hayo, maandishi ya maandishi yanaandikwa kwenye mstari (kusoma kunafanywa kutoka kushoto kwenda kulia, mstari kwa mstari): .irdzegyuSzhaoyanP

Inapochambuliwa, maandishi yanafaa katika mraba, na maandishi wazi yanasomwa katika mlolongo wa nambari za "mraba wa uchawi". Mpango huo unapaswa kuzalisha "miraba ya uchawi" na uchague moja inayohitajika kulingana na ufunguo. Mraba ni kubwa kuliko 3x3.

Mpango wa jumla[hariri | hariri nambari]

Hivi sasa, misimbo linganifu ni:

block ciphers. Wanachakata habari katika vizuizi vya urefu fulani (kawaida 64, 128 bits), wakitumia ufunguo wa kizuizi kwa mpangilio uliowekwa, kwa kawaida kupitia mizunguko kadhaa ya kuchanganya na kubadilisha, inayoitwa mizunguko. Matokeo ya kurudia raundi ni athari ya anguko - upotezaji unaoongezeka wa mawasiliano kati ya vizuizi vya data wazi na iliyosimbwa.

mtiririko wa ciphers, ambapo usimbaji fiche unafanywa kwa kila biti au baiti ya maandishi asilia (wazi) kwa kutumia gamma. Cipher ya mkondo inaweza kuundwa kwa urahisi kulingana na block cipher (kwa mfano, GOST 28147-89 katika hali ya gamma), iliyozinduliwa kwa hali maalum.

Sifa nyingi za ulinganifu hutumia mchanganyiko changamano wa idadi kubwa ya vibadala na vibali. Sifa nyingi kama hizo zinatekelezwa kwa kupita kadhaa (wakati mwingine hadi 80), kwa kutumia "kifunguo cha kupitisha" kwenye kila kupita. Seti ya "funguo za kupitisha" kwa kupita zote inaitwa "ratiba muhimu". Kama sheria, imeundwa kutoka kwa ufunguo kwa kufanya shughuli fulani juu yake, ikiwa ni pamoja na vibali na uingizwaji.

Njia ya kawaida ya kuunda algoriti za usimbaji linganifu ni mtandao wa Feistel. Algorithm huunda mpango wa usimbuaji kulingana na kazi F (D, K), ambapo D ni kipande cha data nusu ya ukubwa wa kizuizi cha usimbuaji, na K ni "ufunguo wa kupitisha" kwa kupitisha fulani. Chaguo la kukokotoa halihitajiki kugeuzwa - utendakazi wake kinyume unaweza kuwa haujulikani. Faida za mtandao wa Feistel ni bahati mbaya karibu kabisa ya usimbuaji na usimbuaji (tofauti pekee ni mpangilio wa nyuma wa "funguo za kupita" kwenye ratiba), ambayo inawezesha sana utekelezaji wa vifaa.

Uendeshaji wa vibali huchanganya biti za ujumbe kulingana na sheria fulani. Katika utekelezaji wa vifaa, inatekelezwa kidogo kama ubadilishaji wa waya. Ni shughuli za vibali zinazowezesha kufikia "athari ya maporomoko ya theluji." Operesheni ya vibali ni ya mstari - f(a) xor f(b) == f(a xor b)

Shughuli za uingizwaji hufanywa kwa kubadilisha thamani ya sehemu fulani ya ujumbe (mara nyingi biti 4, 6 au 8) na nambari ya kawaida, yenye waya ngumu katika algoriti kwa kupata safu isiyobadilika. Operesheni ya kubadilisha inatanguliza kutokuwa na mstari katika algoriti.

Mara nyingi nguvu ya algorithm, haswa dhidi ya cryptanalysis tofauti, inategemea uchaguzi wa maadili kwenye jedwali la kuangalia (S-boxes). Kwa kiwango cha chini, inachukuliwa kuwa haifai kuwa na vitu vilivyowekwa S(x) = x, na pia kutokuwepo kwa ushawishi wa baiti fulani ya pembejeo kwenye matokeo - ambayo ni, kesi wakati matokeo kidogo ni sawa kwa jozi zote za maneno ya ingizo ambayo yanatofautiana katika sehemu hii tu ya .

Vigezo vya algorithm[hariri | hariri nambari]

Kuna algorithms nyingi (angalau dazeni mbili) za ulinganifu wa cipher, vigezo muhimu ambavyo ni:

kudumu

urefu wa ufunguo

idadi ya raundi

urefu wa kizuizi kilichochakatwa

utata wa utekelezaji wa maunzi/programu

utata wa ubadilishaji

Aina za misimbo linganifu[hariri | hariri nambari]

block ciphers

AES (Kiingereza) Advanced Usimbaji fiche Kawaida) - Kiwango cha usimbaji fiche cha Marekani

GOST 28147-89 - kiwango cha usimbuaji wa Soviet na Kirusi, pia kiwango cha CIS

DES (Kiingereza) Data Usimbaji fiche Kawaida) - kiwango cha usimbaji data nchini Marekani

3DES (Triple-DES, DES tatu)

RC2 (Rivest Cipher au Ron's Cipher)

IDEA (Algorithm ya Kimataifa ya Usimbaji Data, algoriti ya kimataifa ya usimbaji fiche)

CAST (baada ya herufi za kwanza za watengenezaji Carlisle Adams na Stafford Tavares)

misimbo ya mkondo

RC4 (algorithm ya usimbaji wa ufunguo unaobadilika)

SEAL (Algorithm ya Ufanisi wa Programu, algoriti yenye ufanisi wa programu)

WAKE (algorithm ya Usimbaji wa Ufunguo Kiotomatiki wa Dunia, algoriti ya usimbaji ya ufunguo otomatiki duniani kote)

Ulinganisho na mifumo ya siri ya asymmetric[hariri | hariri nambari]

Faida[hariri | hariri nambari]

kasi

urahisi wa utekelezaji (kwa sababu ya shughuli rahisi)

urefu mfupi unaohitajika wa ufunguo kwa uimara unaolinganishwa

maarifa (kutokana na umri mkubwa)

Mapungufu[hariri | hariri nambari]

utata wa usimamizi muhimu katika mtandao mkubwa

utata wa kubadilishana muhimu. Ili kuitumia, ni muhimu kutatua tatizo la uhamisho wa kuaminika wa funguo kwa kila msajili, kwani chaneli ya siri inahitajika kuhamisha kila ufunguo kwa pande zote mbili.

Ili kufidia mapungufu ya usimbaji linganifu, mpango wa kriptografia wa pamoja (mseto) unatumiwa sana kwa sasa, ambapo ufunguo wa kikao unaotumiwa na wahusika kubadilishana data kwa kutumia usimbaji linganifu hupitishwa kwa kutumia usimbaji fiche usiolinganishwa.

Hasara muhimu ya ciphers symmetric ni kutowezekana matumizi yao katika mifumo ya kutengeneza saini na vyeti vya kielektroniki vya dijiti, kwani ufunguo unajulikana kwa kila mhusika.

2. Firewall. Firewall. Brandmauer

Firewall, firewall - programu au kipengele cha programu na maunzi mtandao wa kompyuta, ambayo hudhibiti na kuchuja kile kinachopita ndani yake trafiki ya mtandao kwa mujibu wa kanuni zilizotolewa .

Majina mengine :

Firewall (Kijerumani Brandmauer - ukuta wa moto) - neno lililokopwa kutoka kwa Kijerumani;

Firewall (Kiingereza Firewall- ukuta wa moto) ni neno lililokopwa kutoka kwa Kiingereza.

Firewall

Kanuni ya uendeshaji wa Firewall inategemea kudhibiti trafiki kutoka nje. Mbinu zifuatazo za ufuatiliaji wa trafiki kati ya mitandao ya ndani na nje zinaweza kuchaguliwa:

1. Kuchuja pakiti- kulingana na kusanidi seti ya vichungi. Kulingana na ikiwa pakiti inayoingia inakidhi masharti yaliyotajwa kwenye vichungi, inapitishwa kwenye mtandao au kutupwa.

2. Seva ya wakala- kifaa cha ziada cha seva ya wakala kimewekwa kati ya mitandao ya ndani na nje, ambayo hutumika kama "lango" ambalo trafiki zote zinazoingia na zinazotoka lazima zipitie.

Kanuni ya uendeshaji wa firewall

Firewall inaweza kutekelezwa katika vifaa au programu. Utekelezaji maalum unategemea ukubwa wa mtandao, kiasi cha trafiki na kazi zinazohitajika. Aina ya kawaida ya Firewall ni programu. Katika kesi hii, inatekelezwa kama programu inayoendesha kwenye Kompyuta ya mwisho au kifaa cha mtandao cha makali, kama vile kipanga njia. Katika kesi ya utekelezaji wa vifaa, Firewall ni kipengele tofauti cha mtandao, ambacho kwa kawaida kina uwezo mkubwa wa utendaji, lakini hufanya kazi sawa.

Firewall hukuruhusu kusanidi vichungi ambavyo vinawajibika kupitisha trafiki kulingana na vigezo vifuatavyo:

1. Anwani ya IP. Kama unavyojua, kifaa chochote cha mwisho kinachofanya kazi kupitia itifaki ya IP lazima kiwe na anwani ya kipekee. Kwa kuweka anwani fulani au safu fulani, unaweza kuzuia kupokea pakiti kutoka kwao, au, kinyume chake, kuruhusu ufikiaji kutoka kwa anwani hizi za IP pekee.

Imeorodheshwa hapo juu ni vigezo kuu tu vinavyoweza kusanidiwa. Mipangilio mingine ya kichujio mahususi ya mtandao pia inaweza kutumika, kulingana na kazi zinazofanywa kwenye mtandao huo.

\\ 06.04.2012 17:16

Ngome ni seti ya kazi za kuzuia ufikiaji usioidhinishwa, uharibifu au wizi wa data, au athari zingine mbaya ambazo zinaweza kuathiri utendakazi wa mtandao.

Firewall, pia inaitwa firewall(kutoka kwa Kiingereza Firewall) au ngome kwenye lango hukuruhusu kutoa ufikiaji salama wa watumiaji kwenye Mtandao, huku ukilinda miunganisho ya mbali kwa rasilimali za ndani. Firewall inaonekana kupitia trafiki yote inayopita kati ya sehemu za mtandao, na kwa kila pakiti hufanya uamuzi - kupitisha au kutopita. Mfumo rahisi wa sheria za firewall hukuruhusu kukataa au kuruhusu miunganisho kulingana na vigezo vingi: anwani, mitandao, itifaki na bandari.

Mbinu za ufuatiliaji wa trafiki kati ya mitandao ya ndani na nje

Kuchuja pakiti. Kulingana na ikiwa pakiti inayoingia inakidhi masharti yaliyotajwa kwenye vichungi, inapitishwa kwenye mtandao au kutupwa.

Ukaguzi wa hali. Katika kesi hii, trafiki inayoingia inakaguliwa - mojawapo ya mbinu za juu zaidi za kutekeleza Firewall. Ukaguzi haimaanishi kuchambua kifurushi kizima, lakini ni sehemu yake muhimu tu na kuilinganisha na maadili yaliyojulikana hapo awali kutoka kwa hifadhidata ya rasilimali zinazoruhusiwa. Njia hii hutoa utendaji wa juu zaidi wa Firewall na ucheleweshaji mdogo zaidi.

Seva ya proksi. Katika hali hii, kifaa cha ziada cha seva mbadala kinasakinishwa kati ya mitandao ya ndani na nje, ambayo hutumika kama "lango" ambalo trafiki yote inayoingia na kutoka lazima ipite.

Firewall hukuruhusu kusanidi vichungi ambavyo vinawajibika kupitisha trafiki kwa:

Anwani ya IP. Kwa kuweka anwani fulani au safu fulani, unaweza kuzuia kupokea pakiti kutoka kwao, au, kinyume chake, kuruhusu ufikiaji kutoka kwa anwani hizi za IP pekee.

- Bandari. Ngome inaweza kusanidi sehemu za ufikiaji za programu kwa huduma za mtandao. Kwa mfano, ftp hutumia port 21, na programu za kuvinjari wavuti hutumia port 80.

Itifaki. Ngome inaweza kusanidiwa ili kuruhusu data kutoka kwa itifaki moja tu kupita, au kukataa ufikiaji wa kuitumia. Mara nyingi, aina ya itifaki inaweza kuonyesha kazi zilizofanywa, matumizi ambayo hutumia, na seti ya vigezo vya usalama. Katika suala hili, ufikiaji unaweza kusanidiwa tu ili kuendesha programu moja maalum na kuzuia ufikiaji hatari kwa kutumia itifaki zingine zote.

Jina la kikoa. Katika kesi hii, chujio kinakataa au kuruhusu uunganisho kwenye rasilimali maalum. Hii inakuwezesha kukataa upatikanaji kutoka kwa huduma zisizohitajika na programu za mtandao, au, kinyume chake, kuruhusu ufikiaji wao tu.

Vigezo vingine vya vichungi maalum kwa mtandao huu vinaweza kutumika kwa usanidi, kulingana na kazi zinazofanywa ndani yake.

Mara nyingi, firewall hutumiwa kwa kushirikiana na zana zingine za usalama, kwa mfano, programu ya antivirus.

Jinsi firewall inavyofanya kazi

Firewall inaweza kufanyika:

Vifaa. Katika kesi hii, router, ambayo iko kati ya kompyuta na mtandao, hufanya kama firewall ya vifaa. Kompyuta kadhaa zinaweza kushikamana na firewall, na zote zitalindwa na firewall, ambayo ni sehemu ya router.

Kitaratibu. Aina ya kawaida ya firewall, ambayo ni programu maalum ambayo mtumiaji husakinisha kwenye PC yake.

Hata kama kipanga njia kilicho na ngome iliyojengwa ndani kimeunganishwa, ngome ya ziada ya programu inaweza kusakinishwa kwenye kila kompyuta kibinafsi. Katika kesi hii, itakuwa vigumu zaidi kwa mshambuliaji kupenya mfumo.

Nyaraka rasmi

Mnamo mwaka wa 1997, Hati ya Mwongozo wa Tume ya Ufundi ya Serikali chini ya Rais wa Shirikisho la Urusi "Teknolojia ya Kompyuta. Firewalls. Ulinzi kutoka kwa upatikanaji usioidhinishwa wa habari. Viashiria vya usalama kutoka kwa upatikanaji usioidhinishwa wa habari" ilipitishwa. Hati hii inaanzisha madarasa tano ya usalama wa firewall, ambayo kila moja ina sifa ya seti fulani ya chini ya mahitaji ya ulinzi wa habari.

Mnamo 1998, hati nyingine ilitengenezwa: "Mahitaji ya muda ya vifaa vya aina ya firewall." Kulingana na hati hii, madarasa 5 ya usalama wa firewall yanaanzishwa, ambayo hutumiwa kulinda habari katika mifumo ya automatiska iliyo na zana za cryptographic.

Na tangu 2011, mahitaji ya kisheria ya udhibitisho wa ngome yalianza kutumika. Kwa hivyo, ikiwa data ya kibinafsi inasindika kwenye mtandao wa biashara, basi ni muhimu kufunga firewall iliyoidhinishwa na Huduma ya Shirikisho ya Udhibiti wa Nje (FSTEC).

Hivi majuzi, kumekuwa na tabia ya kupunguza faragha kwenye Mtandao. Hii ni kutokana na vikwazo ambavyo udhibiti wa serikali wa mtandao unaweka kwa mtumiaji. Udhibiti wa serikali wa mtandao upo katika nchi nyingi (Uchina, Urusi, Belarusi).

"Kashfa ya Usajili wa Jina la Kikoa cha Asia" katika RuNet! Ulisajili au kununua kikoa na kuunda tovuti juu yake. Kadiri miaka inavyosonga, tovuti inakua na kuwa maarufu. Sasa mapato kutoka kwake tayari "yameshuka." Unapokea mapato yako, unalipia kikoa, upangishaji na gharama zingine...