Cisco Network Security - Zabezpieczenie sieci przy użyciu Firewall

1. Wszystkie zapory sieciowe mają kilka wspólnych cech:
  • Zapory sieciowe są odporne na ataki sieciowe.
  • Zapory sieciowe są jedynym punktem tranzytowym między wewnętrznymi sieciami korporacyjnymi a sieciami zewnętrznymi, ponieważ cały ruch przechodzi przez zaporę.
  • Zapory sieciowe egzekwują politykę kontroli dostępu.

2. Korzyści z korzystania z zapory sieciowej w sieci:

  • Zapobiegają one narażeniu wrażliwych hostów, zasobów i aplikacji na niezaufanych użytkowników.
  • Sanitizują przepływ protokołów, co zapobiega wykorzystaniu błędów protokołu.
  • Blokują szkodliwe dane z serwerów i klientów.
  • Zmniejszają złożoność zarządzania bezpieczeństwem, przenosząc większość kontroli dostępu do sieci na kilka zapór sieciowych w sieci.

3. Zapory sieciowe mają również pewne ograniczenia:

  • Niewłaściwie skonfigurowana zapora sieciowa może mieć poważne konsekwencje dla sieci, takie jak stanie się pojedynczym punktem awarii.
  • Dane z wielu aplikacji nie mogą być bezpiecznie przesyłane przez zapory sieciowe.
  • Użytkownicy mogą aktywnie szukać sposobów na obejście zapory sieciowej, aby otrzymać zablokowany materiał, co naraża sieć na potencjalny atak.
  • Wydajność sieci może spowolnić.
  • Nieautoryzowany ruch może być tunelowany lub ukrywany jako legalny ruch przez zaporę sieciową.
4. Rodzaje Firewall:
  • Zapory sieciowe filtrujące pakiety są zazwyczaj częścią zapory sieciowej routera, która zezwala lub odrzuca ruch na podstawie informacji z warstwy 3 i 4. Są to zapory sieciowe bezstanowe, które korzystają z prostego wyszukiwania w tabeli polityk, które filtruje ruch na podstawie określonych kryteriów.
  • Zapory sieciowe stanowe są najbardziej wszechstronnymi i najczęściej stosowanymi technologiami zapór sieciowych. Zapory sieciowe stanowe zapewniają stanowe filtrowanie pakietów za pomocą informacji o połączeniu przechowywanych w tabeli stanów. Filtrowanie stanowe to architektura zapory sieciowej, która jest klasyfikowana na poziomie sieci. Analizuje również ruch na warstwie 4 i 5 modelu OSI.
  • Zapora sieciowa bramy aplikacji (zapora sieciowa proxy), filtruje informacje na warstwach 3, 4, 5 i 7 modelu referencyjnego OSI. Większość kontroli zapory sieciowej i filtrowania odbywa się w oprogramowaniu. Kiedy klient potrzebuje uzyskać dostęp do zdalnego serwera, łączy się z serwerem proxy. Serwer proxy łączy się z serwerem zdalnym w imieniu klienta. Dlatego serwer widzi tylko połączenie z serwerem proxy.
  • Zapory sieciowe nowej generacji (NGFW) wykraczają poza zapory sieciowe stanowe, dostarczając: zintegrowaną prewencję przed intruzjami Świadomość aplikacji i kontrolę, aby zobaczyć i zablokować ryzykowne aplikacje Ścieżki aktualizacji, aby uwzględnić przyszłe kanały informacyjne Techniki do radzenia sobie z ewoluującymi zagrożeniami dla bezpieczeństwa
  • Zapora sieciowa oparta na hostach (serwer i osobisty) - Komputer lub serwer z uruchomionym na nim oprogramowaniem zapory sieciowej.
  • Przezroczysta zapora sieciowa - Filtruje ruch IP między parą interfejsów mostkowanych.
  • Zapora sieciowa hybrydowa - Kombinacja różnych typów zapór sieciowych. Na przykład, zapora sieciowa inspekcji aplikacji łączy zaporę sieciową stanową z zaporą sieciową bramy aplikacji.
5. Zapory sieciowe filtrujące pakiety są zazwyczaj częścią zapory sieciowej routera, która zezwala lub odrzuca ruch na podstawie informacji z warstwy 3 i 4. Są to zapory sieciowe bezstanowe, które korzystają z prostego wyszukiwania w tabeli polityk, które filtruje ruch na podstawie określonych kryteriów, jak pokazano na rysunku.

Zalety korzystania z zapory sieciowej filtrującej pakiety:
  • Filtry pakietów implementują proste zestawy reguł zezwalających lub odrzucających.
  • Filtry pakietów mają niewielki wpływ na wydajność sieci.
  • Filtry pakietów są łatwe do implementacji i są obsługiwane przez większość routerów.
  • Filtry pakietów zapewniają początkowy stopień bezpieczeństwa na poziomie sieci.
  • Filtry pakietów wykonują prawie wszystkie zadania wysokiej klasy zapory sieciowej za znacznie niższy koszt.
  • Filtry pakietów nie stanowią kompletnego rozwiązania zapory sieciowej, ale są ważnym elementem polityki bezpieczeństwa zapory sieciowej. Istnieje kilka wad korzystania z zapory sieciowej filtrującej pakiety:
  • Filtry pakietów są podatne na spoofing IP. Aktorzy zagrożeń mogą wysyłać dowolne pakiety, które spełniają kryteria ACL i przechodzą przez filtr.
  • Filtry pakietów nie filtrują niezawodnie pakietów fragmentowanych. Ponieważ fragmentowane pakiety IP przenoszą nagłówek TCP w pierwszym fragmencie, a filtry pakietów filtrują informacje nagłówka TCP, wszystkie fragmenty po pierwszym fragmencie są przekazywane bezwarunkowo. Decyzje o użyciu filtrów pakietów zakładają, że filtr pierwszego fragmentu dokładnie egzekwuje politykę.
  • Filtry pakietów używają skomplikowanych list kontrolnych dostępu (ACL), które mogą być trudne do implementacji i utrzymania.
  • Filtry pakietów nie mogą dynamicznie filtrować pewnych usług. Na przykład, sesje, które korzystają z dynamicznych negocjacji portów, są trudne do filtrowania bez otwarcia dostępu do całego zakresu portów.
  • Filtry pakietów są bezstanowe. Badają każdy pakiet indywidualnie, a nie w kontekście stanu połączenia.
6. Korzyści z korzystania z zapory sieciowej stanowej w sieci:
  • Zapory sieciowe stanowe są często używane jako główne środki obrony poprzez filtrowanie niechcianego, niepotrzebnego lub niepożądanego ruchu.
  • Zapory sieciowe stanowe wzmacniają filtrowanie pakietów, zapewniając bardziej rygorystyczną kontrolę nad bezpieczeństwem.
  • Zapory sieciowe stanowe poprawiają wydajność w porównaniu do filtrów pakietów lub serwerów proxy.
  • Zapory sieciowe stanowe bronią przed atakami spoofingowymi i DoS, określając, czy pakiety należą do istniejącego połączenia, czy pochodzą z nieautoryzowanego źródła.
  • Zapory sieciowe stanowe dostarczają więcej informacji do logów niż zapora sieciowa filtrująca pakiety.

7. Ograniczenia zapory sieciowej stanowej:

  • Zapory sieciowe stanowe nie mogą zapobiegać atakom na warstwę aplikacji, ponieważ nie analizują rzeczywistej zawartości połączenia HTTP.
  • Nie wszystkie protokoły są stanowe. Na przykład, UDP i ICMP nie generują informacji o połączeniu dla tabeli stanów, a zatem nie uzyskują tak dużego wsparcia dla filtrowania.
  • Trudno jest śledzić połączenia, które korzystają z dynamicznej negocjacji portów. Niektóre aplikacje otwierają wiele połączeń. Wymaga to otwarcia całkowicie nowego zakresu portów, aby umożliwić to drugie połączenie.
  • Zapory sieciowe stanowe nie obsługują uwierzytelniania użytkowników.
8. Projektowanie zapory sieciowej polega przede wszystkim na interfejsach urządzeń, które zezwalają lub odrzucają ruch na podstawie źródła, miejsca docelowego i rodzaju ruchu. Niektóre projekty są tak proste, jak wyznaczenie sieci zewnętrznej i wewnętrznej, które są określane przez dwa interfejsy zapory sieciowej.

Sieć publiczna (lub sieć zewnętrzna) jest niezaufana, a sieć prywatna (lub sieć wewnętrzna) jest zaufana.

Zazwyczaj zapora sieciowa z dwoma interfejsami jest konfigurowana w następujący sposób:

  • Ruch pochodzący z sieci prywatnej jest dozwolony i kontrolowany, gdy przemieszcza się w kierunku sieci publicznej. Kontrolowany ruch wracający z sieci publicznej i związany z ruchem, który pochodził z sieci prywatnej, jest dozwolony.
  • Ruch pochodzący z sieci publicznej i kierujący się do sieci prywatnej jest zazwyczaj blokowany.

Strefa zdemilitaryzowana (DMZ) to projekt zapory sieciowej, gdzie zazwyczaj jest jeden interfejs wewnętrzny podłączony do sieci prywatnej, jeden interfejs zewnętrzny podłączony do sieci publicznej i jeden interfejs DMZ.

  • Ruch pochodzący z sieci prywatnej jest kontrolowany, gdy przemieszcza się w kierunku sieci publicznej lub DMZ. Ten ruch jest dozwolony z niewielkimi lub bez ograniczeń. Kontrolowany ruch wracający z sieci DMZ lub publicznej do sieci prywatnej jest dozwolony.
  • Ruch pochodzący z sieci DMZ i kierujący się do sieci prywatnej jest zazwyczaj blokowany.
  • Ruch pochodzący z sieci DMZ i kierujący się do sieci publicznej jest selektywnie dozwolony na podstawie wymagań usług.
  • Ruch pochodzący z sieci publicznej i kierujący się w stronę DMZ jest selektywnie dozwolony i kontrolowany. Ten typ ruchu to zazwyczaj ruch e-mail, DNS, HTTP lub HTTPS. Ruch powrotny z DMZ do sieci publicznej jest dynamicznie dozwolony.
  • Ruch pochodzący z sieci publicznej i kierujący się do sieci prywatnej jest blokowany.

Zapory sieciowe oparte na polityce strefowej (ZPF) korzystają z koncepcji stref, aby zapewnić dodatkową elastyczność. Strefa to grupa jednego lub więcej interfejsów, które mają podobne funkcje lub cechy. Strefy pomagają określić, gdzie powinna być stosowana reguła lub polityka zapory sieciowej Cisco IOS. Na przykład, polityki bezpieczeństwa dla LAN 1 i LAN 2 są podobne i mogą być grupowane w strefę dla konfiguracji zapory sieciowej. Domyślnie ruch między interfejsami w tej samej strefie nie podlega żadnej polityce i przechodzi swobodnie. Jednak cały ruch między strefami jest blokowany. Aby zezwolić na ruch między strefami, musi być skonfigurowana polityka zezwalająca lub kontrolująca ruch.

Jedynym wyjątkiem od tej domyślnej polityki odrzucania wszystkiego jest self-zone routera. Self-zone  routera to sam router i obejmuje wszystkie adresy IP interfejsów routera. Konfiguracje polityk, które obejmują self-zone, dotyczą ruchu kierowanego do i pochodzącego z routera. Domyślnie nie ma polityki dla tego typu ruchu. Ruch, który powinien być brany pod uwagę podczas projektowania polityki dla self-zone, obejmuje ruch zarządzania i kontrolny, takie jak SSH, SNMP i protokoły routingu.

9. Obrona wielowarstwowa wykorzystuje różnorodne typy zapór sieciowych, które są składane w warstwy, aby pogłębić bezpieczeństwo organizacji. Polityki mogą być egzekwowane pomiędzy warstwami oraz w ich obrębie. Punkty egzekwowania tych polityk decydują, czy ruch jest przekazywany dalej, czy odrzucany. Na przykład, ruch przychodzący z niezaufanej sieci najpierw napotyka filtr pakietów na routerze brzegowym. Jeżeli polityka na to pozwala, ruch kierowany jest do zapory sieciowej lub systemu bastion host, który nakłada na ruch dodatkowe reguły i odrzuca podejrzane pakiety. Bastion host to utwardzony komputer, który zazwyczaj znajduje się w DMZ. Następnie ruch kierowany jest do wewnętrznego routera przesiewającego. Ruch dociera do wewnętrznego hosta docelowego tylko po pomyślnym przejściu przez wszystkie punkty egzekwowania polityki pomiędzy zewnętrznym routerem a wewnętrzną siecią. Ten typ konfiguracji DMZ nazywa się konfiguracją podsieci przesiewającej.

Podejście obronne na wielu poziomach to nie wszystko, co jest potrzebne do zapewnienia bezpiecznej wewnętrznej sieci. Administrator sieci musi rozważyć wiele czynników podczas budowania pełnej obrony w głąb:
  • Zapory sieciowe zazwyczaj nie zatrzymują intruzji, które pochodzą od hostów w sieci lub strefie.
  • Zapory sieciowe nie chronią przed instalacjami punktów dostępu typu rogue.
  • Zapory sieciowe nie zastępują mechanizmów kopii zapasowych i odzyskiwania po awarii wynikających z ataku lub awarii sprzętu.
  • Zapory sieciowe nie zastępują poinformowanych administratorów i użytkowników.