Типы межсетевого экрана и возможные атаки

Опубликовано: 3 Декабря, 2021

Никто не может отрицать тот факт, что динамичный рост Интернета сделал мир ближе. Но в то же время он оставил нам разного рода угрозы безопасности. Чтобы гарантировать конфиденциальность и целостность ценной информации корпоративной сети от внешних атак, у нас должен быть какой-то надежный механизм. Здесь на сцену выходит брандмауэр.

Это можно сравнить с охранником, стоящим у входа в дом министра. Он следит за всеми и физически проверяет каждого, кто хочет войти в дом. Он не позволит человеку войти, если он / она несет вредный предмет, такой как нож, пистолет и т. Д. Точно так же, даже если у человека нет запрещенного предмета, но он выглядит подозрительным, охранник все равно может предотвратить вход этого человека. .

Брандмауэр действует как охранник. Он защищает корпоративную сеть, действуя как щит между внутренней сетью и внешним миром. Весь трафик в любом направлении должен проходить через межсетевой экран. Затем он решает, разрешен поток трафика или нет. Брандмауэр может быть реализован как аппаратный и программный, или как комбинация того и другого.

Типы межсетевых экранов:

  1. Пакетные фильтры -
    Он работает на сетевом уровне модели OSI. Он применяет набор правил (на основе содержимого полей IP и транспортного заголовка) к каждому пакету и в зависимости от результата решает либо переслать, либо отбросить пакет.

    Например, в правиле можно указать блокировку всего входящего трафика с определенного IP-адреса или запретить весь трафик, использующий протокол UDP. Если нет совпадений с какими-либо предопределенными правилами, будет выполнено действие по умолчанию. Действие по умолчанию может заключаться в «отбросить все пакеты» или «принять все пакеты».

    Угрозы безопасности для фильтров пакетов:

    1. Подмена IP-адреса:
      В этом типе атаки злоумышленник извне пытается отправить пакет во внутреннюю корпоративную сеть с исходным IP-адресом, равным одному из IP-адресов внутренних пользователей.
      Профилактика:
      Брандмауэр может победить эту атаку, если он отбрасывает все пакеты, поступающие на входящую сторону брандмауэра, с исходным IP-адресом, равным одному из внутренних IP-адресов.

    2. Атаки маршрутизации источника:
      В этом типе атаки злоумышленник указывает маршрут, который должен пройти пакет, в надежде обмануть брандмауэр.
      Профилактика:
      Брандмауэр может отразить эту атаку, если он отбрасывает все пакеты, которые используют опцию маршрутизации от источника, или адресацию пути.

    3. Атаки крошечными фрагментами:
      Часто размер IP-пакета превышает максимальный размер, разрешенный базовой сетью, такой как Ethernet, Token Ring и т. Д. В таких случаях пакет необходимо фрагментировать, чтобы его можно было передавать дальше. Злоумышленник использует эту характеристику протокола TCP / IP. В этом виде атаки злоумышленник намеренно создает фрагменты исходного пакета и отправляет их, чтобы обмануть брандмауэр.
      Профилактика:
      Брандмауэр может победить эту атаку, если он отбрасывает все пакеты, использующие протокол TCP и фрагментированные. Динамические фильтры пакетов разрешают входящие TCP-пакеты, только если они являются ответами на исходящие TCP-пакеты.

  2. Шлюзы приложений -
    Он также известен как прокси-сервер . Это работает следующим образом:
    1. Шаг 1. Пользователь связывается со шлюзом приложений с помощью приложения TCP / IP, например HTTP.

    2. Шаг 2: Шлюз приложений спрашивает об удаленном хосте, с которым пользователь хочет установить соединение. Он также запрашивает идентификатор пользователя и пароль, необходимые для доступа к службам шлюза приложений.

    3. Шаг 3. После проверки подлинности пользователя шлюз приложений обращается к удаленному узлу от имени пользователя для доставки пакетов.

  3. Межсетевые экраны Stateful Inspection -
    Он также известен как «Динамические фильтры пакетов». Он отслеживает состояние активных соединений и использует эту информацию, чтобы решить, какие пакеты пропускать через него, т. Е. Он адаптируется к текущему обмену информацией, в отличие от обычных фильтров пакетов / фильтров пакетов без сохранения состояния, которые имеют жестко запрограммированные правила маршрутизации.

  4. Шлюзы на уровне схемы -
    Он работает на уровне сеанса модели OSI. Это расширенный вариант шлюза приложений . Он действует как виртуальное соединение между удаленным хостом и внутренними пользователями, создавая новое соединение между собой и удаленным хостом. Он также изменяет исходный IP-адрес в пакете и помещает свой собственный адрес вместо исходного IP-адреса пакета от конечных пользователей. Таким образом, IP-адреса внутренних пользователей скрыты и защищены от внешнего мира.
Technical Scripter Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023