Разница между брандмауэрами прикладного уровня и брандмауэрами сеансового уровня

Опубликовано: 10 Апреля, 2023

В современных взаимосвязанных средах, ориентированных на приложения, требуются межсетевые экраны следующего поколения (брандмауэры прикладного уровня), чтобы уменьшить площадь поверхности атаки.


История до сих пор, когда-то давно человек впервые использовал деревья и бревна для защиты своего скота в своей деревне, многие потенциальные угрозы, такие как львы и другие внешние соплеменники, были сдерживаемы, но не остановлены. По мере совершенствования технологий кочевники стали фермерами, и были разработаны каменные заборы. Эти заборы не только превосходили деревянные бревна, но и их было труднее обойти. Со временем целые деревни оказались в центре крепости, высокие крепостные стены смогли обеспечить безопасность скота и населения.


В начале


То же самое верно и для брандмауэров; вначале были доступны только маршрутизаторы со списками доступа, потому что это все, что требовалось. Управление сетью с использованием только списков контроля доступа и некоторой базовой фильтрации было более чем достаточной защитой для сдерживания неавторизованных пользователей. Это было так, потому что маршрутизаторы были сердцем каждой сети, и, в частности, эти устройства использовались для маршрутизации трафика в и из соединений глобальной сети, таких как филиалы и Интернет.


Дело в том, что очень мало что изменилось в отношении маршрутизаторов, за исключением некоторых незначительных модификаций способа фильтрации трафика, и организации, производящие эти устройства, сосредоточились на повышении безопасности до уровня, на котором эти устройства способны работать. Что я говорю? Забор, построенный из бревен, всегда будет забором из дерева, а не из камня.


Брандмауэры сеансового уровня также известны как брандмауэры уровня цепи или шлюзы цепи. Эти брандмауэры сеансового уровня имеют следующие функции; они работают на уровне TCP модели OSI. Обычно эти брандмауэры используют NAT (преобразование сетевых адресов) для защиты внутренней сети, и эти шлюзы практически не связаны с прикладным уровнем, поэтому не могут фильтровать более сложные соединения. Эти брандмауэры могут защищать трафик только на основе базовых правил, таких как исходный порт назначения.


Следующее поколение


По мере развития технологий возникла необходимость в управлении доступом к исходящим сетям. Пользователи могли просматривать Интернет и использовать слабость бревенчатого забора, потому что они могли обойти забор, просто притворившись овцами, хотя на самом деле они были волками в овечьей шкуре.


Это означало, что пользователь мог легко обойти защиту устройства уровня 5, подключившись по телнету к порту, который был открыт для исходящего трафика, но не был портом телнет (с порта 23 телнет на порт 80). Маршрутизатор со списками доступа позволял пользователю подключаться к порту, хотя этот порт не был портом telnet, а был портом для другой службы. Это означало, что маршрутизатор не проверял пакет (овец), когда он проходил через забор. Маршрутизатор делал только простую проверку, если он похож на овцу и выходит из сарая, чтобы выйти в поле, то я его пропущу. Так что волки могли легко бродить среди овец. Эта технология была реализована в обоих направлениях и в 90-х годах была штатом большинства межсетевых экранов.


В конце 90-х годов на сцене появились основные прокси-серверы, которые включали в себя базовую технологию брандмауэра. Эти «прокси-брандмауэры» могли перехватывать трафик между источником и получателем, субъектом и объектом, и, поскольку «прокси-брандмауэр» находится посередине, он имеет возможность проверять пакеты на соответствие заранее определенным наборам правил, которые имеют более ограничительные компоненты.


Подробнее о технологии


Брандмауэры сеансового уровня работают на уровне 5 модели OSI. Раньше этого было достаточно для защиты сети в 90-х годах, но по мере того, как атаки переросли в атаки на уровне приложений, а также по мере развития Интернета и усложнения размещенного кода, брандмауэры сеансового уровня перестали быть адекватными. В результате брандмауэр без механизма защиты прикладного уровня приведет к тому, что любая неправильная конфигурация и уязвимость операционной системы будут напрямую открыты для Интернета в силу того факта, что все, что может предоставить брандмауэр сеансового уровня, — это таблица маршрутизации и список контроля доступа. как базовый уровень защиты.


Небольшие улучшения в брандмауэрах сеансового уровня позволяют брандмауэру проверять трафик на более глубоком уровне для общих протоколов, но эти меры легко обойти с помощью таких инструментов, как metasploit и backtrack. В сегодняшней онлайн-среде единственным вариантом является установка брандмауэра прикладного уровня, который делает больше, чем ACL и исходный порт назначения. Более глубокая проверка пакетов, управление соединениями с отслеживанием состояния и фильтрация на уровне приложений являются жизненно важными компонентами, которые необходимы при взаимодействии с современными приложениями. По этой причине организации, которые серьезно относятся к безопасности, не будут рассматривать брандмауэры сеансового уровня (маршрутизаторы со списками доступа) вместо брандмауэров прикладного уровня.


Брандмауэры третьего поколения известны как брандмауэр прикладного уровня или прокси-брандмауэр. Этот брандмауэр имеет возможность проксировать в обоих направлениях, тем самым защищая как субъект, так и объект от прямого контакта друг с другом. Прокси опосредует соединение и, таким образом, может фильтровать и управлять доступом и контентом к объекту или субъекту и от них. Это может быть включено различными способами с интеграцией в уже существующие каталоги, например, LDAP для доступа пользователей и групп пользователей.


Брандмауэр прикладного уровня также может эмулировать сервер, который он предоставляет в Интернет, чтобы посещающий пользователь имел более быстрое и защищенное соединение. Дело в том, что когда пользователь посещает опубликованный сервер, пользователь фактически посещает опубликованный порт брандмауэра уровня 7, и запрос проверяется, а затем анализируется с помощью базы правил для обработки. Как только это проходит базу правил и соответствует соответствующему правилу, оно затем передается на сервер, но разница в том, что это соединение может обслуживаться из улучшенного кеша, что повышает производительность и безопасность соединения.



На приведенной выше диаграмме показана модель OSI, уровень 5 — это уровень сеанса, а уровень 7 — уровень приложений. Уровень выше уровня приложений называется уровнем 8, и обычно это уровень, на котором размещаются пользователи и политики.


Сводка OSI


Проще говоря, модель OSI представляет собой многоуровневую модель сетевой архитектуры. Эта модель определяет, как взаимодействуют две взаимосвязанные системы.


Верхний уровень (уровень приложений) обычно представляет собой уровень, на котором работают «брандмауэры на основе прокси». Брандмауэры прикладного уровня — это брандмауэры третьего поколения, эти брандмауэры сканируют нижележащие уровни. По сравнению с брандмауэром уровня сеанса или уровня канала, брандмауэр прикладного уровня включает в себя функции брандмауэра уровня сеанса и другие улучшенные функции, такие как обратный прокси-сервер для безопасной публикации веб-сайтов.


Для более подробной информации нажмите здесь


В будущем


Сегодня атаки уже настолько совершенны, что большинство межсетевых экранов сеансового уровня не останавливают даже самые простые атаки на приложения. По этой причине старые брандмауэры на уровне 5 необходимо дополнить или заменить более безопасными «брандмауэрами прикладного уровня». По этой причине PCI DSS разрешает использовать эти типы брандмауэров только для защиты информации о кредитных картах.


Резюме


Независимо от того, насколько мы цепляемся за наши старые привычки и старые технологии, новые улучшенные методы межсетевого экрана уже существуют. Интернет пытается свернуть на порты 80 и 443, и специалистам по безопасности приходится решать задачи управления пользователями, которые учатся шифровать свой трафик, чтобы избежать управления. Решение состоит в том, чтобы внедрить брандмауэры прикладного уровня, способные сканировать зашифрованные потоки. Снаружи ежедневно создаются более структурированные атаки на уровне приложений, и единственный способ справиться с такими угрозами — использовать новые, более сложные брандмауэры на уровне приложений.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023