Фильтрация прикладного уровня (ALF): что это такое и как она вписывается в ваш план обеспечения безопасности?

Опубликовано: 14 Апреля, 2023

В этой статье мы предоставим обзор технологии ALF, рассмотрим некоторые способы ее реализации в современных продуктах безопасности и поможем вам понять преимущества и ограничения этого компонента полнофункциональной многоуровневой системы безопасности. фильтрующий раствор.

Какие слои вы фильтруете?

В своей простейшей форме брандмауэр предназначен для предотвращения прохождения определенных типов трафика из внешней сети (обычно из Интернета) во внутреннюю сеть. Это позволяет администраторам контролировать, что входит в локальную сеть, и не допускать нежелательных данных. В дополнение к фильтрации этого входящего трафика брандмауэр также может препятствовать прохождению определенных типов трафика из внутренней сети во внешнюю (исходящий трафик), тем самым предотвращая отправку внутренними пользователями различных типов данных или отправку данных в определенные пункты назначения.

Традиционный брандмауэр использует фильтрацию пакетов, которая работает на сетевом уровне сетевой модели OSI. Современные брандмауэры используют улучшенную версию, называемую фильтрацией пакетов с отслеживанием состояния. Эта технология работает на сетевом и транспортном уровнях. Таким образом, такие фильтры пакетов позволяют вам разрешать или запрещать трафик на основе IP-адреса источника или получателя и другой информации заголовка, такой как номера портов TCP и UDP источника и получателя, а также состояние соединения. Динамическая фильтрация пакетов позволяет открывать и закрывать порты на брандмауэре по мере необходимости, в отличие от статической фильтрации пакетов, при которой порты необходимо открывать и закрывать вручную.

Фильтрация пакетов позволяет вам установить несколько различных критериев, по которым пакет данных может быть разрешен или отклонен:

  • Вы можете заблокировать или разрешить трафик, отправленный с определенного исходного IP-адреса.
  • Вы можете заблокировать или разрешить трафик, отправляемый на определенный IP-адрес назначения.
  • Вы можете заблокировать трафик, использующий определенный порт TCP или UDP.

Поскольку различные приложения используют для связи «хорошо известные» порты, вы можете использовать фильтрацию пакетов, чтобы заблокировать, например, FTP-связь (путем блокировки порта 20), Telnet (путем блокировки порта 23) или SMTP (путем блокировки порта 25).

Другой уровень фильтрации осуществляется шлюзами уровня канала. Фильтрация каналов проверяет информацию, которой обмениваются во время рукопожатия TCP, чтобы оценить ее легитимность.

Чего вы не можете сделать с фильтрацией пакетов или фильтрацией каналов, так это изучить фактическое содержимое данных и заблокировать сообщения на основе этого содержимого. Для этого вам нужно фильтровать на прикладном уровне. Другими словами, вам нужен ALF.

Чем занимается Альф

Фильтрация на прикладном уровне выходит за рамки фильтрации пакетов и позволяет гораздо более точно контролировать, что входит в сеть или выходит из нее. Хотя фильтрацию пакетов можно использовать для полного запрета определенного типа трафика (например, FTP), она не может «выбирать и выбирать» между различными FTP-сообщениями и определять легитимность конкретного FTP-сообщения.

ALF, более «интеллектуальная» технология, может сделать именно это. Его можно использовать для поиска ненормальной информации в заголовках сообщения и даже в самих данных, и его можно настроить для поиска определенных строк символов (слов или фраз) в теле сообщения и блокировки сообщений на основе этой информации. Таким образом, вы можете использовать ALF для предотвращения сетевых атак или даже для предотвращения отправки внутренними пользователями конкретной конфиденциальной информации за пределы сети.

Преимущества АЛЬФ

Давайте посмотрим, как это работает на практике. В качестве примера мы будем использовать защиту от спама. Ваш брандмауэр может быть первой линией защиты от спама (в сочетании с хорошей серверной программой фильтрации спама и/или утилитами защиты от спама на стороне клиента). При использовании традиционного брандмауэра с фильтрацией пакетов вам необходимо знать исходные адреса всех спамеров или блокировать все сообщения, используя протокол электронной почты, который используют спамеры. Ни одно из этих решений не является очень практичным.

С помощью ALF вы можете фактически блокировать сообщения на уровне брандмауэра в соответствии с ключевыми словами (строками символов), что делает ваш брандмауэр гораздо более мощным компонентом вашей стратегии борьбы со спамом. Выполняя предварительную фильтрацию на уровне брандмауэра, вы можете снять часть вычислительной нагрузки с сервера, на котором установлено ваше основное программное обеспечение для фильтрации спама (почтовый сервер или отдельный сервер).

ПРИМЕЧАНИЕ. Когда вы используете ALF для блокировки ключевых слов, будьте очень благоразумны, чтобы избежать ложных срабатываний (сообщения, заблокированные как спам, которые на самом деле не являются спамом). Возможно, вы захотите выполнить большую часть фильтрации по ключевым словам на уровне сервера или клиента, где сложное программное обеспечение для защиты от спама позволит вам настроить белые списки отправителей, чьи сообщения всегда должны быть пропущены, даже если они содержат ключевые слова «спам». Фильтрация ключевых слов на брандмауэре должна быть ограничена теми словами/строками, которые никогда не появляются в законных сообщениях.

Что еще можно сделать с ALF? Самое главное, анализируя содержимое данных, фильтрующий брандмауэр прикладного уровня может предотвратить атаки, основанные на протоколах прикладного уровня, в том числе:

  • Переполнение буфера SMTP, POP3 и DNS
  • Атаки веб-сервера на основе информации в заголовках и запросах HTTP
  • Код атаки скрыт в туннелях SSL

ALF может проверять определенные команды в протоколах прикладного уровня. Например, команда HTTP:GET может быть заблокирована, а команда HTTP:POST разрешена.

Фильтрация прикладного уровня, используемая в сочетании с фильтрацией на нижних уровнях, обеспечивает максимально возможный уровень безопасности.

Недостатки АЛЬФ

Основным недостатком фильтрации на прикладном уровне является ее влияние на производительность. Изучение содержимого пакетов требует времени и поэтому замедляет обработку. ALF требует более мощных аппаратных ресурсов, чем традиционный брандмауэр с фильтрацией пакетов.

Другим неоспоримым недостатком являются административные накладные расходы. Поскольку ALF усложняет работу, неправильная конфигурация может привести к проблемам с доступом. Как и в случае с любым решением для обеспечения безопасности, при неправильной реализации ALF может заблокировать связь, которую вы никогда не собирались блокировать.

Где взять Альфа?

Все больше и больше поставщиков межсетевых экранов и продуктов VPN включают ALF в свои продукты. Эти интегрированные продукты часто называют межсетевыми экранами многоуровневой проверки с отслеживанием состояния. Они включают в себя основные межсетевые экраны, такие как CheckPoint, Cisco и Microsoft Internet Security and Acceleration (ISA) Server. В частности, ISA Server предлагает недорогое полнофункциональное решение ALF для современного бизнеса. Подробное описание того, как ALF работает в ISA Server 2000, см. в пакете Application Layer Filtering Kit ISA Server 2000 по адресу http://www.isaserver.org/articles/spamalfkit.html.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023