Application Gateway Firewalls et ProxyTypes de pare-feuIl existe deux principaux types de pare-feu: application proxy et Gateway. Les passerelles sont divisés en filtres de paquets et firewalls.These stateful inspection diffèrent en fonction et au design et ont des usages différents dans l'architecture réseau. Ne jamais essayer d'avoir un type de pare-feu ne le devoir d'un autre type. Il est préférable d'avoir une entreprise bien gérée et pare-feu correctement configuré fait son travail prévu, que d'avoir quelque chose de faire un travail pour lequel il n'a pas été designed.This est une invitation au désastre. Regardons ces pare-feu et comment ils devraient être utilisés. Application Proxy
Un pare-feu proxy d'application prend part chaque paquet qui arrive, l'examine pour voir si elle répond aux critères fixés, le recompose, et l'envoie sur son proxy demaines fin à la connexion de la source à l'extérieur et démarre une nouvelle connexion à partir du proxy à la destination.This offre une grande protection pour les serveurs, parce qu'il n'y a pas d'interaction directe entre la source et la destination. En outre, la procuration est considérablement durcie contre les attaques et a une très petite surface d'attaque. Il est très difficile pour un pirate de prendre le contrôle d'un firewall proxy d'application. Ces pare-feux sont très spécifiques et une procuration doit être écrite pour chaque avantage appuyé application.The à ceci est que vous aurez exactement les besoins de votre application particulière pris en compte; Toutefois, vous êtes à la merci du vendeur devrait-il y avoir une mise à jour à votre demande, que le pare-feu ne prend pas en charge. Retards mai se produire dans la mise à niveau de votre application jusqu'à ce que le fournisseur de pare-feu rattrape. Proxy d'application sont généralement "invisibles" sur le réseau. Souvent, ils n'ont pas l'adresse IP eux-mêmes, ou, s'ils le font, ils ont parfois passer pour le server.Thus destination, proxy d'application mai pas faire de la traduction d'adresse. Gateway De loin, le pare-feu les plus couramment déployés est le pare-feu gateway.This examine les adresses source et destination et les ports, et détermine si le paquet est conforme aux règles désigné pour passer à travers le pare-feu à la servers.There ya différents niveaux de passerelles. Certaines sont extrêmement simples et filtrer les paquets seulement par le port, d'autres peuvent filtrer par adresse IP et le port, et d'autres encore effectuer différents contrôles sur la légitimité de certaines ou toutes les adresses IP. Passerelles sont de deux types: les filtres de paquets et les passerelles d'inspection avec état. Examinons tour à tour. Ce sont des filtres de paquets pare-feu de base avec très peu de flexibilité ou de fonctionnalité. Souvent, ces systèmes d'exploitation sont intégrés, tels que Mac OS X, pour assurer une protection rudimentaires pour la workstation.Windows individuelles et Linux ont des pare-feu plus avancé construit po pare-feu Windows a quelques fonctionnalités de stateful inspection, tandis que Linux a ipchains, qui peut être utilisé comme un pare-feu de plein exercice (exploré dans le prochain article.) Les filtres de paquets ont aussi leur place dans l'architecture réseau. Routeurs réseau fonctionnera comme les filtres de paquets. Description technique Dans sa forme la plus basique, un Packet Filter prend des décisions sur l'opportunité de transmettre un paquet basé seulement sur des informations disponibles à l'adresse IP ou TCP / UDP couches (couches transport et réseau, respectivement, dans l'interconnexion de systèmes ouverts (OSI) modèle. En effet, un filtre de paquets est un routeur avec une certaine intelligence. Toutefois, un filtre de paquets ne traite que les sachets individuels, il ne garde aucune trace des sessions TCP. Ainsi, il est mal équipé pour détecter les paquets falsifiés qui viennent au Québec avec un interface.These extérieur conçu spécifiquement paquets vont faire semblant de faire partie d'une existants session en définissant l'indicateur ACK dans l'entête TCP. filtres de paquets sont configurés pour autoriser ou bloquer le trafic selon les adresses IP source et destination, ports source et destination, et le type de protocole (TCP, UDP, (Internet Control Message Protocol [ICMP ], et ainsi de suite). Bien que rudimentaire, des filtres de paquets peuvent constituer une barrière efficace qui réduit votre attaque de surface. Une surface d'attaque, dans le réseau de parler, se réfère au nombre de ports dont vous disposez pour quelqu'un de tenter d'exploiter. Un serveur Web, qui sert uniquement les pages non cryptées, ne nécessite que port ouvert à l'Internet 80. L'utilisation d'un filtre de paquets, vous pouvez bloquer tout le trafic entrant, sauf que destiné au port 80. Vous venez de réduire votre surface d'attaque de 65535 ports à 1. Alors que tout hacker digne de ce nom se trouve votre port ouvert unique, vous avez considérablement réduit leur ensemble d'outils pour s'introduire dans votre machine. En outre, s'il existe des vulnérabilités, même une vulnérabilité zero-jour, sur l'un des autres ports, il sera impossible de parvenir à de l'extérieur. Un autre exemple d'utilisation de filtre de paquets implique de limiter les adresses IP autorisées à communiquer avec un serveur. Supposons que vous avez une entreprise qui a un sous-réseau spécifique, 192.168.50.x.Your serveur d'applications financières ne devraient fournir des services à ce sous-réseau. Simplement bloquer tout autre trafic. Maintenant, la seule façon quelqu'un peut accéder à votre serveur d'application est d'être sur votre sous-réseau spécifique. Les filtres de paquets ont généralement leur propre adresse et la traduction d'adresse. Certaines des techniques spécifiques traitées dans les articles suivants peuvent être appliqués à des filtres de paquets, simplement être conscients de leurs limites et leurs vulnérabilités potentielles. L'exemple ultime d'un port-filtre de paquets simpliste que c'est l'ancien Microsoft Windows TCP / IP filtre avancé disponible en properties.This réseau est si simpliste, il ne vaut la peine d'utiliser dans quelques cas. Dans ce cas, le routeur bloque sélectivement certains protocoles qui sont déterminés à être dangereux, et tout autre trafic est autorisé. Dans ce cas, les protocoles bloqués sont précaires car ils transmettent les noms d'utilisateurs et mots de passe en texte clair, ou, ils peuvent être utilisés par les pirates pour prendre le contrôle de machines. Simple Network Management Protocol (SNMP) permet de transférer des différentes commandes pour devices.These commandes vont de la collecte d'informations au contrôle effectif des dispositifs. IRC est un protocole couramment utilisé par les pirates pour communiquer avec les zombies. Le blocage de ce à la frontière, à la fois entrantes et sortantes, enlève un canal de contrôle pour les pirates devraient être au coeur d'une machine compromise. Telnet et FTP sont des protocoles qui transmettent les données et les informations d'authentification dans text.Telnet clair, c'est une commande à distance en ligne et le protocole FTP est utilisé pour transférer des fichiers vers et à partir des serveurs. Les meilleurs choix sont Secure Shell (SSH) et Secure File Transfer Protocol (SFTP) qui tous deux crypter les données et l'authentification. Simple Message Block (SMB) de partage de fichiers, tout en n'étant pas en situation d'insécurité et d'elle-même, a été constaté que de nombreuses vulnérabilités dans le mise en oeuvre dans Windows et plus system.These vulnérabilités Linux peut être utilisée pour compromettre les machines, et devrait donc être bloqués au niveau du routeur de bordure. Notez également le Peer-to-Peer (P2P) de partage de fichiers, qui n'est pas rare dans les milieux universitaire et doivent être pris en considération lors de la conception de la sécurité réseau. Pros filtres de paquets sont extrêmement utiles dans certaines situations. Principalement, ils devraient être déployés dans le périmètre de votre organisation où grossiers filtrage n'est pas la meilleure option. Vitesse Les filtres de paquets sont extrêmement rapides. Car elles portent uniquement le port de destination et / ou la source / l'adresse IP de destination, ils ont très peu de travail à faire. Filtres de paquets simples sont un excellent choix si vous avez une ressource extrêmement élevée du trafic qui doivent traiter des paquets avant et arrière très quickly.A Web à fort trafic du site est une application idéale pour un filter.You paquet peut également jeter un filtre de paquets à votre entreprise frontière. Peut-être que vous n'avez besoin que des ports comme SSH (22) ou Remote Desktop Protocol (RDP) (3365) ouvert à l'administration à distance et VPN pour l'accès à distance par les utilisateurs. Parfait. Aucune des inconvénients ci-dessous s'applique à ces protocoles et vous n'avez besoin de rien envie de faire le travail. Rapid Implementation Déploiement rapide est également un atout majeur pour les filtres de paquets. Tant que vous connaissez les ports nécessaires et / ou sous-réseaux, vous pouvez avoir un filtre de paquets mis en place à quelques minutes. Il n'ya pas de jeux de règles complexes et aucun des protocoles supplémentaires à traiter. Quels sont les ports ne vous suffit d'ouvrir et où peut provenir du trafic? Répondre à ces deux questions et vous êtes sur votre chemin. Bien que les filtres de paquets ont les avantages de rapidité et de simplicité, ils souffrent de problèmes de sécurité et d'autres limitations que plusieurs pare-feu ne sont pas compliquées. Moins sûrs Parce que les filtres de paquets sont élémentaires et ne inspection des paquets simples, ils sont moins sûrs que d'une demande proxy.They passer à travers n'importe quoi en provenance d'un sous-réseau permet à un port autorisé, sans poser de questions. Port Limitations Les filtres de paquets ne suivent pas d'où un paquet entrant est venu, ou à assurer que le paquet va revenir au même endroit (voir «Stateful Inspection»). Cela signifie aussi que la conversation ne peut être déplacé à partir des ports bas statiques pour les ports plus dynamiques. Rappelez-vous les ports dynamiques élevées, nous avons discuté plus tôt? De nombreuses applications utilisent ces après avoir fait la première poignée de main et les deux machines à décider comment mettre en communicate.The demande sera demander un déménagement vers les ports supérieurs à libérer les ports du Lower statique pour handshakes.With initiale autres un filtre de paquets, cela nécessite d'ouvrir la plupart, si pas la totalité, des ports dynamiques, qui, bien entendu, fait le pare-feu inutile. l'application de messagerie Windows, Outlook et le serveur correspondant, Exchange, le démontrent très bien. Les communications initiales soient lancées sur le port TCP 135. Une fois la connexion est établie et authentifiée, exigé par la Bourse que la communication soit ému jusqu'aux ports d'environ 5000. Par défaut, il pourrait s'agir de n'importe quel nombre de ports possibles qui exigerait trop de lacunes dans le filtre de paquets. FTP, un "standard" Protocole, peuvent se comporter étrangement avec un filtre de paquets. Étant donné que la communication se fait sur le port 21 mais le transfert de données est basculée vers le port 20, de nombreux filtres de paquets ne parviennent pas à passer correctement les paquets FTP, par conséquent, le transfert de fichier est interrompu. Stateful Inspection La passerelle Stateful Inspection est le type le type de pare-feu déployée pour protéger les serveurs et les resources.There autre réseau existe de nombreuses entreprises qui fournissent ce type de pare-feu avec plus ou moins de fonctionnalités (explorées dans l'article 4). Pour l'instant, regardons comment fonctionnent ces pare-feux en général. Description technique Stateful inspection est importante à la sécurité car elle offre un niveau plus profond de filtrage de listes de contrôle d'accès (ACL) ont trouvé dans les routeurs, qui mai ne filtre basé sur des informations en-tête. Pare-feu stateful inspection qui effectuent analyser les différents paquets de données comme ils traversent le pare-feu. En plus de l'en-tête de paquet, stateful inspection évalue également la charge utile du paquet et regarde le protocole d'application. Il peut filtrer fondée sur la source, la destination et le service demandé par le terme packet.The «stateful inspection» renvoie à la capacité du pare-feu à Rappelez-vous le statut de connexion et ainsi construire un cadre pour chaque flux de données dans son memory.With cette information disponible, le pare-feu est en mesure de prendre des décisions plus éclairées. stateful inspection est plusieurs étapes ci-dessous un proxy d'application et beaucoup mieux qu'un paquet filtre. Dans ce cas, le pare-feu assure le suivi de la TCP SYN / ACK qui initient et poursuivre la conversation entre deux machines dans un connexion table. Protocoles UDP sont suivis dans un mode similaire, mais le tableau est beaucoup moins complet, car il n'y a pas d'informations détaillées. Pare-feu Stateful Inspection également gérer des protocoles tels que Generic Route Encapsulation (GRE) et le protocole 47 utilisés dans les communications VPN, et ICMP. Tous ces types de pare-feu sont le concept de «l'intérieur» et «extérieur». Bien qu'il mai être entrailles plusieurs ont divers niveaux de sécurité (privée, les utilisateurs, DMZ, etc), il n'y a qu'un seul à l'extérieur et il est complètement non sécurisé. Par défaut, rien n'est autorisé à traverser le pare-feu de l'extérieur. Inversement, les appareils sur une interface de sécurité plus élevé, comme les utilisateurs, sont autorisés à accéder à une interface de sécurité inférieur, comme DMZ ou à l'extérieur. Tous ces paramètres sont configurables, mais avant que nous commencerons à discuter de la configuration, nous allons avoir une meilleure compréhension de la façon dont un pare-feu décide ce qui peut et ne peut pas passer à travers. un article présenté par Maria T. Disclaimer:Notre site n'est pas responsable du contenu de cet article. Webarticles est une ressource d'information gratuite. Important: Cet article «formule de procuration et de la passerelle pare-feu" a été traduit par un logiciel automatique. Nous nous sentons désolés pour les fautes d'orthographe que mai ont eu lieu. Nous vous remercions de votre compréhension.
|
|||||
| Online: 327 users browsing the articles directory |
|
|