Fire Wall — защита сетей

Первоначально эта страница содержала всего одну ссылку, и я не думал, что она (страница) кому-нибудь пригодится. Но, как ни странно, сюда заглядывают несколько человек в день в поисках FireWall (см. http://www.eserv.ru/ru/FireWall/referrers ), а мне и предложить-то на эту тему нечего Прочтите для начала, например, этот межсетевых экранов и обзор персональных FireWall или этот обзор персональных брандмауэров. А пока они открываются в новом окне, дочитайте наши соображения, если есть время.

10.11.2003 Если у вас Windows 2000 или более поздняя версия, то вы можете найти полезным простой бесплатный FireWall plugin, входящий в комплект Eserv/3 и Eproxy/3 (EservFireWall). См. также инструкции Microsoft по включению FireWall на вашем сетевом соединении. И вообще, не забывайте, что во всех последних версиях Windows, даже в Windows XP Home, есть встроенный FireWall, который, как и положенно собственным разработкам производителей ОС, наименее конфликтный из всех, и при этом обладает всеми необходимыми функциями (см. о встроенном FireWall ниже).
14.03.2004 Полезным дополнением к EservFireWall является EservIDS, автоматически выявляющий атакующие IP, блокирующий их на заданное время и опционально заносящий их в FireWall. Включен в Eserv/3, начиная с версии EservEproxyRC9.

Оглавление документа

• Для чего нужен FireWall
• Как "взламывают" чужие компьютеры
• Что может FireWall
• Пакетный фильтр, Firewall, IPSEC встроены во все версии Windows 2000, XP, 2003
• На практике (мнение независимого сисадмина)
• Ссылки

Для чего нужен FireWall

Автор: Андрей Черезов

Словари (Dictionary:FireWall, JargonFile:FireWall) говорят, что "огненная стена" служит для предотвращения доступа посторонних к вашей сети. Чтобы понять, нужен ли вашему компьютеру или вашей сети FireWall, нужно сначала разобраться, КАК злоумышленник может проникнуть в вашу сеть и как это можно исключить.

Как "взламывают" чужие компьютеры

Те, кто пришел сюда за FireWall, наверное думают, что без этой чудо-программы они беззащитны перед злыми силами интернета, и что если не поставить сначала FireWall, то лучше интернет стороной обходить, а то хакеры, вирусы... Однако по умолчанию ваша граница на замке! Хакеру особо нечего делать на вашем компьютере, пока вы намеренно не дадите ему лазейку в виде установленных, но неверно настроенных сетевых сервисов. Если же вы просто с "пустого" компьютера ходите по интернету браузером, то внешние злоумышленики (и доброумышленники тоже могут сделать всего две вещи:

• "попинговать" ваш IP-адрес и узнать, включен ли еще этот компьютер
• попробовать подключиться к TCP-портам на вашем компьютере ("просканировать порты") и убедиться, что на нем не запущены никакие серверы

Больше ничего с компьютером без установленных серверных программ делать внешнему хакеру нечего — просто "не за что зацепиться". Разве что за ошибки в вашем браузере (всякие переполнения буферов и прочие уязвимости) — но от этого никакой FireWall не спасет. Слава Богу, большинство проблем в современных браузерах устранено еще до того, как я написал эту страницу Есть еще особый случай, когда пользователь самостоятельно качает и устанавливает себе программы с вирусами и BackDoor'ами (не догадываясь и не задумываясь об этом) — в этом случае тоже FireWall не поможет, поможет лечение, этот случай мы рассматривать не будем.

Ситуация с уязвимостью изначально неуязвимого компьютера меняется, если на компьютер устанавливаются программы, "слушающие" те или иные TCP-порты, и выполняющие поступающие на них извне запросы. Это, например, web-серверы, ftp-серверы, почтовые-серверы, прокси-серверы... А также многие обычные программы, которые для своих нужд создают, также как и серверы, слушающие сокеты. Особенно это любят делать разнообразные instant messaging программы (ICQ, MsMessenger и т.п.) — им собственные серверы нужны для передачи файлов, иногда для приема извещений, и т.д. Во всех этих случаях к "слушающему" серверному сокету на этом компьютере могут подключаться программы с других компьютеров в internet и выдавать ему указания в соответствии с его протоколом. В случае ошибок в реализации протокола или в случае неверной настройки сервера подключившийся клиент может сделать нечто, что не входило в планы хозяина сервера — например, прочитать не только файлы, которые специально выложены на FTP-сервере, но и файлы в других каталогах; или использовать почтовый или прокси-сервер для передачи своего трафика (OpenRelay, OpenProxy); или просто "завесить" программу или систему на сервере; или даже запустить на сервере любую свою программу. Всё это фактически является разновидностями "взлома" (JargonFile:Crack) или использования (Dictionary:Exploit) уязвимостей (Dictionary:Vulnerability, Dictionary:Weakness). Поможет ли FireWall избежать этого — читайте следующий раздел.

Что может FireWall

FireWall преобразует ситуацию с TCP/IP-протоколом из положения "работает все, кроме того, что запрещено" в положение "запрещено все, кроме того что разрешено". Т.е. изначально после установки FireWall компьютер и в самом деле словно стеной загораживается — он практически не виден извне — все установленные на компьютере интернет-сервисы становятся недоступными извне. Спрашивается, зачем тогда было эти сервисы устанавливать, если FireWall не даст им работать? Поэтому сразу после установки стены сразу начинается процесс просверливания в этой стене дырок, окон (чтобы вы могли наружу выглянуть) и дверей (чтобы ваши серверы могли отвечать на запросы извне). Часто это интерактивный процесс — FireWall говорит "к такой-то программе на такой-то порт подключается клиент оттуда-то — разрешить ему войти, или сделать вид, что никого нет дома?", и хозяин решает, пускать или нет, и что делать с такими подключениями впредь — чтобы FireWall дальше сам решал, а не задавал вопросы 1000 раз в день. В итоге этого процесса стены остаются только там, где раньше было просто пусто — никаких серверов не было, порты и так были закрыты...

[Продолжение следует...]

Пакетный фильтр, Firewall, IPSEC встроены во все версии Windows 2000, XP, 2003

Если, прочитав вышеизложенное, вы все равно решили с FireWall "круче" и спокойнее, то перед скачиванием модных продуктов (Outpost Firewall, Kaspersky Anti-Hacker) сначала оцените возможности встроенных в Windows средств и выясните, что конкретно вам не хватает. Запустите "Консоль управления" (Microsoft Management Console — mmc.exe), там добавьте оснастки "Политики безопасности IP" (IPSEC) и "Монитор IP-безопасности"...





Эти средства позволяют задавать фильтры по IP-адресам и портам источника и назначения, по протоколам — блокировать, пропускать соответствующий трафик в зависимости от многочисленных дополнительных условий.

На практике (мнение независимого сисадмина)

Автор: Владимир Филиппов

1. Почему пришлось именно сейчас. Финансовые / Банковские программы сплошь и рядом переходят на новые технологии отказываясь от своих закрытых сетей типа Х25 в пользу публичных. В соответствие с рекомендациями SWIFT на граничные машины с ними рекомендуется ставить firewall (железки подконтрольны провайдерам, системы шифрации закрыты, т.е ставить на сервер SWIFTa). SWIFT остается закрытой программой и не подстраивается под пользователей, а наоборот — диктует свои условия, впрочем он не одинок: взять, например, western union. Усугубляет положение самописные и полу-самописные программы, например, для карточных задач, всевозможные банк-клиенты. Не имея гибкой системы организации взаимодействия через публичные сети программы вынуждают работать применяя технологию NAT.
2. Почему именно firewall. Впервые я столкнулся с проблемой безопасности реализую доступ сети через модем: как и чем закрывать Dial-Up_ное соединение, как видеть что происходит на портах? Вот тут мне почти подошел тогда еще winroute-4. В отличие от ver.5 в нем плохо настраивались правила фильтрации для динамического IP, но я вышел из положения поставив две машины одну за друг другой. На второй и были нужные мне статические IP. В связи с последними событиями очень "интересно" наблюдать попытки соединения на 135 порту (LoveSun). Еще один момент: firewall позволяет регистрировать все попытки выхода наружу. Таким образом можно вовремя остановить распространение определенного вида программ у себя в сети и предупредив админов в смежных сетях. Ох и много интересного я обнаружил тогда.
3. Почему именно winroute. Выбор firewall_a был долог и довольно давно — три-четыре года назад.

часть 1. (одна сеть, выход через модем, для постоянного ip использую каскад из двух машин):

1. CheckPoint — сумасшедшая вещь масштаба предприятия, стоимость соответственно. У меня сеть была гораздо меньше.
2. Wingate — для работы через него необходимо было устанавливать клиента, этот подход мне не понравился, т.к. win версии ОС менялись часто и ловить не состыковки не входило в мои планы.
3. Guardian — устраивало все кроме невозможности работать через модем. Держать две разные версии firewall_ов не хотелось.
4. Winroute — мне понравился и возможностями и ценой. Минус был в невозможности писать сложные правила. На нем и остановился.

часть 2. (несколько сетей, появление выделенки, DMZ, критические службы — информационные потоки)

1. Guardian. Аналогичный продут все тот же CheckPoint. Купить я его не успел, а сейчас бы и купил, но проект загнулся. Позволяет много чего. Вернее позволял В моем представлении почти идеальный продукт класса firewall. Расскажу немного о нем:
• Он не содержит DNS, Proxy и т.п., т.е. чистый firewall.
• Ставится на NT и подменяет "сетевые адаптеры" в настройках системы.
• Работает на разных уровнях. Имеет агента и менеджера.
• Сильный менеджер позволяет иметь большое количество объектов(хосты, сети, пользователи и т.д.), очень вольно группировать их. Создавать сложные правила и использовать их в наряду с отдельными правилами в стратегиях. Есть импорт/экспорт.
• И что самое главное — позволяет контролировать загрузку канала: отдельно in/out, по источникам/сервисам/получателям/пользователям. В стратегиях реализовано дерево правил с наследованием правил на объекты. Короче говоря настраивать как хочешь.
• Минусов было два: 1. Административный порт был или открыт на все интерфейсы или закрыт полностью (доступ к контролю по двойному паролю). 2. Не совсем корректно работал с числом сетевых адаптеров больше двух.

часть 3. (все тоже что и часть 2, плюс расширение канала и новая машина под FW).

Увы, проект Guardian умер, а работать под w2k guardian не умел, новое железо просилось под w2k . Было впечатление о подтормаживании в работе guardian на старом железе. Просмотрев что изменилось с тех пор на рынке firewaal_ов и поняв что контроль загрузки канала (не только http proxy) — вещь достаточно своеобразная для разработчиков в силу сложности, как я понимаю; решил остановится на winroute firewall ver.5. Пока нравится. Обработкой логов еще не занимался, позже. Пока утряс только правила и объекты, немного настроил прокси. Купил без встроенного антивируса, т.к. надеюсь вернуться на Eproxy с квотированием и КАВ. В нем нет почтового сервера, но тут Eserv/3 — равных по крайне мере в win среде нет (про другие не знаю).

Ссылки

См. также Статьи, PacketCapture, Snort, IntrusionDetectionSystem, NAT, Packetyzer, NetMeter

• http://www.dshield.org/ — мониторинг сетевых атак
• http://www.robertgraham.com/pubs/network-intrusion-detection.html — отличный FAQ по FireWall & IDS. Если бы он попался мне раньше, я бы не сочинял эту статью (выше), а просто перевел бы здесь FAQ !
• 09.2005 http://www.ranum.com/security/computer_security/editorials/deepinspect/index.html — отличная статья Marcus'а, показывающая эволюцию Firewall'ов в сторону старых добрых прокси! Новый писк моды "Deep Inspection Firewall" — всего лишь слабое подобие штатных возможностей прикладных прокси (см. Eproxy
• AndreyCherezov /02.06.2008 01:47/ При любых конфликтах сетевых программ с firewall'ами я всегда рекомендую не просто выключить firewall, а деинсталлировать его, т.к. при обычном отключении firewall оставляет свой хук в системе, и просто не обрабатывает свои правила, но "глючить" может успешно продолжать. Любопытно, что сегодня я нашел подобный совет в документации к WinPCap: "Note: uninstalling, and not disabling, because some firewalls (like ZoneAlarm) keep having strange behaviors even when they are disabled."