Application Gateway Proxy e Firewalls

Tipos de Firewall

Existem dois tipos básicos de firewalls: Application Proxy e Gateway. Gateways são divididos em filtros de pacotes e firewalls.These inspeção de diferem em função e design e têm diferentes usos em arquitetura de rede. Nunca tente ter um tipo de firewall fazer o dever de outro tipo. É melhor ter um bem administrada de forma segura e firewall configurado fazer o seu trabalho se destina, do que ter algo a fazer um trabalho para o qual não foi designed.This é um convite para o desastre. Vamos olhar estes firewalls e como eles devem ser usados.

Application Proxy

Um firewall de proxy de aplicação desmonta cada pacote que chega, examina-lo para ver se ele atende aos critérios estabelecidos, reescreve-lo, e envia-lo em seu proxy dum modo termina a ligação da fonte externa e inicia uma nova ligação a partir do proxy ao destination.This oferece grande proteção aos servidores, porque não há interação direta entre a origem eo destino. Além disso, o proxy é fortemente protegidos contra ataques e tem uma superfície de ataque muito pequeno. É muito difícil para um hacker tomar o controle de um firewall proxy de aplicação. Esses firewalls são muito específicos e um proxy deve ser escrito para cada partido aplicação.Não suporte a isso é que você vai ter as necessidades exatas de sua aplicação específica em questão; No entanto, você está à mercê do fornecedor deve haver uma atualização para seu aplicativo que o firewall não suporta. Atrasos podem ocorrer em atualizar o seu pedido até o fornecedor do firewall alcança proxies. Aplicações são normalmente "invisíveis" na rede. Muitas vezes, eles não têm o endereço IP, directamente ou, se o fazem, às vezes mascarada como a server.Thus destino, proxies de aplicação não pode fazer a tradução de endereços.

Gateway

Descrição Técnica

Na sua forma mais básica, um filtro de pacotes toma decisões sobre a possibilidade de transmitir um pacote baseado apenas em informações encontradas no IP ou TCP / UDP layers (camadas de transporte e de rede, respectivamente, no Open Systems Interconnection (OSI). Com efeito, um filtro de pacotes é um roteador com algumas inteligência. entanto, um filtro de pacotes só lida com pacotes individuais, que não mantém um registro de sessões TCP. Assim, é mal equipada para detectar pacotes falsificados que entram no meio um interface.These fora especificamente criados pacotes que fingem ser parte de um tráfego existente sessão, definindo o sinalizador ACK no cabeçalho TCP. Filtros de pacotes são configurados para permitir ou bloquear acordo com a origem e destino endereços IP, portas de origem e de destino e tipo de protocolo (TCP, UDP (Internet Control Message Protocol [ICMP ], e assim por diante). Embora rudimentar, filtros de pacotes podem proporcionar uma barreira eficaz que reduz a sua superfície de ataque. Uma superfície de ataque, na rede de falar, refere-se ao número de portas que você tem disponível para alguém tentar explorar. Um servidor Web, que só está servindo páginas não criptografadas, exige apenas a porta 80 aberta para a Internet. Usando um filtro de pacotes, você pode bloquear todo o tráfego de entrada, exceto a destinada a porta 80.

Você acabou reduzida a superfície de ataque de 65535 portas para 1. Embora qualquer hacker vale seu sal vai encontrar a sua única porta aberta, que reduziram fortemente as suas ferramentas para quebrar a sua máquina. Além disso, se há vulnerabilidade, até mesmo uma vulnerabilidade zero-dia, em uma das outras portas, será impossível chegar a a partir do exterior. Outro exemplo de uso de filtro de pacotes envolve limitar os endereços IP autorizados a contatar um servidor. Vamos supor que você tem uma empresa que tem uma sub-rede específica, servidor de aplicações financeiras 192.168.50.x.Your só deve prestar serviços a este sub-rede. Simplesmente bloquear todo o tráfego de outros. Agora, a única forma que alguém possa chegar ao seu servidor de aplicação deve ser na sua sub-rede específica. Os filtros de pacotes normalmente têm seu próprio endereço e tradução de endereços. Algumas das técnicas específicas dirigidas nos seguintes artigos podem ser aplicados a filtros de pacotes, basta estar ciente das suas limitações e vulnerabilidades potenciais. O último exemplo de um simples porta-filtro de pacotes é só o velho Microsoft Windows TCP / IP disponível em filtros avançados properties.This rede é tão simplista, só é válida para usar em alguns casos. Nesse caso, o roteador bloqueia selectivamente certos protocolos que estão determinados a ser perigosa, e qualquer outro tráfego é permitido. Neste caso, os protocolos bloqueados são inseguros porque transmitem nomes de usuários e senhas em texto claro, ou, eles podem ser usados por hackers para ganhar controle sobre as máquinas. Simple Network Management Protocol (SNMP) pode transferir vários comandos ao alcance devices.These comandos de coleta de informações para o controle real dos dispositivos. O IRC é um protocolo comum usado por hackers para se comunicar com zumbis. O bloqueio deste na fronteira, tanto de entrada e saída, remove um canal de controle para os hackers devem tornar-se dentro de uma máquina comprometida.

Telnet e FTP são protocolos que transmitem os dados e as credenciais de autenticação em text.Telnet claro é um comando remoto, protocolo de linha e FTP é usado para transferir arquivos de e para servidores. Melhores escolhas são Secure Shell (SSH) e Secure File Transfer Protocol (SFTP), ambos de criptografar os dados e autenticação. Simple Message Block (SMB) de compartilhamento de arquivos, embora não seja inseguro em si, foi encontrada para ter inúmeras vulnerabilidades no aplicação no Windows, e vulnerabilidades antigas system.These Linux pode ser usado para comprometer máquinas e, portanto, deve ser bloqueado no roteador de fronteira. Filtros Observe também o Peer-to-Peer (P2P compartilhamento de arquivos), que não é incomum em ambientes acadêmicos e devem ser levados em consideração para a segurança da rede. Pros pacotes são extremamente úteis em determinadas situações. Primeiramente, devem ser implantados no perímetro da sua organização, onde grosseiros filtragem é a melhor opção.

Velocidade

Filtros de pacotes são extremamente rápidos. Uma vez que eles só tomem o porto de destino e / ou a origem / destino de endereço IP, eles têm muito pouco trabalho para fazer. Filtros de pacotes simples são uma excelente escolha se você tem um recurso de tráfego extremamente elevado, que deve processar os pacotes de entrada e saída quickly.A muito alto o tráfego do site da Web é uma aplicação ideal para um filter.You pacote também pode lançar um filtro de pacotes em seu corporativo fronteira. Talvez você só precisa de portos como o SSH (22) ou Remote Desktop Protocol (RDP) (3365) aberto para administração remota e VPN para acesso remoto pelos usuários. Perfeito. Nenhum dos contras aplica-se a estes protocolos e você não precisa de nada extravagante para começar o trabalho feito.

Rápida Implementação

Implantação rápida é também a mais importante para os filtros de pacotes. Contanto que você sabe que as portas necessárias e / ou sub-redes, você pode ter um filtro de pacotes criado literalmente em minutos. Não há conjuntos de regras complicadas e não protocolos adicionais para lidar com eles. Que portas você precisa abrir e onde o tráfego vem? Responder a essas duas perguntas e você está no seu caminho. Embora os filtros de pacotes têm as vantagens de velocidade e simplicidade, sofrem de problemas de segurança e outras limitações que firewalls mais complicado não.

Menos seguro

Como os filtros de pacotes são básicos e fazer inspeção de pacotes simples, eles são menos seguros do que uma aplicação proxy.They passar nada de chegar de uma sub-rede autorizada para um porto permitido, sem perguntas.

Port Limitações

Filtros de pacotes não seguem um pacote de entrada onde vieram, ou garantir que o pacote vai voltar para o mesmo local (ver "Stateful Inspection"). Isto também significa que a conversa não podem ser movidos de portas estáticas inferiores ao ensino portas dinâmicas. Lembre-se as portas de alta dinâmica que discutimos anteriormente? Muitas aplicações utilizam estes depois de fazer o aperto de mão inicial e as duas máquinas de acordo como communicate.The aplicativo irá solicitar uma passagem para os portos mais para liberar as portas mais estático para handshakes.With inicial de um outro filtro de pacotes, isso exige mais abertura, se não todas, as portas dinâmicas, o que, naturalmente, faz com que o firewall inútil. A aplicação de Windows, Outlook, e seu correspondente do servidor, Exchange, demonstram isso muito bem. As comunicações iniciais são iniciados na porta TCP 135. Uma vez que a conexão é estabelecida e autenticada, pedidos de troca que a comunicação ser movidas até as portas em torno de 5000. Por padrão, isso pode incluir qualquer número de portas possível que exigiria buracos demais no filtro de pacotes. FTP, um "padrão" de protocolo, pode comportar-se estranhamente com um filtro de pacotes. Dado que a comunicação acontece na porta 21, mas a transferência de dados é ligado à porta 20, filtros de pacotes muitos não conseguem transmitir corretamente os pacotes FTP, portanto, a transferência de arquivos é interrompido. Stateful Inspection O Stateful Inspection gateway é o tipo padrão do firewall implantado para proteger os servidores e resources.There outra rede muitas empresas que fornecem este tipo de firewall com diferentes graus de recursos (exploradas no artigo 4). Por agora, vamos ver como funcionam esses firewalls em geral.

Descrição Técnica

Stateful inspecção para a segurança é importante porque proporciona um nível mais profundo de filtragem de Access Control Lists (ACL's) encontrados em roteadores, que pode filtrar apenas com base em informações do cabeçalho. Firewalls que realizam inspeção de analisar os pacotes de dados individuais como atravessar a firewall. Além do cabeçalho do pacote de inspeção, monitoração de estado também avalia carga útil do pacote e olha para o protocolo de aplicação. É possível filtrar com base na origem, destino e serviço solicitado pelo termo pacote.O "inspeção inteligente" é a capacidade do firewall para lembre-se do status de uma conexão e, assim, construir um contexto para cada fluxo de dados na sua memory.With esta informação disponível, o firewall é capaz de tomar decisões políticas mais informadas. inspeção Stateful está vários passos abaixo um proxy de aplicação e muito melhor do que um pacote filtro. Neste caso, o firewall controla o SYN pacotes TCP / ACK que iniciar e continuar a conversa entre duas máquinas em um conexão mesa. UDP são monitorados de forma semelhante, mas a tabela é muito menos completa, porque não há informações mais detalhadas. Stateful inspecção firewalls também manipular protocolos como Generic Route Encapsulation (GRE) e Protocolo n º 47 utilizado nas comunicações VPN e ICMP. Todos estes tipos de firewalls têm o conceito de "dentro" versus "de fora". Embora possa haver várias interiores que ter vários níveis de segurança (privada, os usuários, DMZ, e assim por diante), há apenas um fora e é totalmente confiável. Por padrão, nada é permitido atravessar o firewall do exterior. Por outro lado, os dispositivos em uma interface mais elevados de segurança, tais como usuários, seja permitido o acesso a uma interface de segurança mais baixas, como DMZ ou fora. Todos estes parâmetros são configuráveis, no entanto, antes de começar a discutir a configuração, vamos obter uma melhor compreensão de como um firewall decide o que pode eo que não pode passar.

---

Isenção de responsabilidade:O nosso site não se responsabiliza pelo conteúdo deste artigo. Webarticles é uma fonte de informação livre.
Importante: Este artigo "Application Gateway Proxy e Firewalls" foi traduzida por um software automático. Nós sentimos muito por quaisquer erros de ortografia que pode ter ocorrido. Obrigado pela sua compreensão.

---