Основи інтернет-безпеки брандмауер

Основи інтернет-безпеки брандмауер

Що таке Брандмауер?

Файрвол, фаєрвол, брандмауер або міжмережевий екран - всі ці слова означають одне і те ж: своєрідний бар'єр, який захищає всю мережу або окремі її частини від передачі шкідливих пакетів і вторгнення хакерів. Міжмережевий екран встановлюється на стику двох мереж, як правило, між всесвітньою павутиною і корпоративною мережею. Також існують так звані клієнтські файрволи, які встановлюються на комп'ютер кінцевого користувача і захищають тільки його.

Міжмережеві екрани можуть використовуватися як у вигляді апаратних рішень, так і у вигляді програмного забезпечення. Файрвол перевіряє весь вхідний і вихідний трафік за певними, раніше сконфігурованим критеріям. Якщо дані, що передаються відповідають цим критеріям, фаєрвол їх пропускає. Якщо не відповідають - блокує. Передані дані фільтруються на основі наступних критеріїв:

Проте, міжмережевий екран не надає автоматичний захист мережі. Ефективність його застосування безпосередньо залежить від того як файрвол налаштований.

Конфігурація межсетвого екрану

Немає єдиної відповіді на питання про те, як правильно налаштувати брандмауер. Установки залежать від безлічі факторів і можуть вимагати змін, наприклад, коли додаються нові додатки, пристрої або користувачі, коли змінюються права доступу в зв'язку з поставленими завданнями і ролями в бізнесі, коли починають застосовуватися хмарні технології і мобільні пристрої. Міжмережеві екрани необхідні не тільки для захисту стаціонарних інформаційних технологій. Вони також важливі для контролю додатків в мережі, в хмарах або на мобільних пристроях. Регулярні перевірки і коригування налаштувань брандмауера необхідні не тільки тому що ландшафт ІТ постійно змінюється, але і в зв'язку з постійними зміною і ускладненням кіберзагроз. Колись встановлені правила фільтрації можуть значно відрізнятися від фактичних потреби в захисті без своєчасної перевірки і коригування налаштувань, що дозволяє шахраям отримати доступ до конфіденційної інформації. Наскільки часто необхідно перевіряти настройки фаєрвола, залежить від рівня ризику та змін до існуючої інфраструктури ІТ.

Також слід пам'ятати про те, що важливо не тільки актуалізувати конфігурацію, але і захищати протоколювання брандмауера. Це означає, що протоколи слід шифрувати і перевіряти за принципом подвійного контролю, а також по можливості дбайливо зберігати дані протоколювання.

Методи використання брандмауера

Якщо ж підключити систему брандмауера між двома маршрутизаторами фільтрації пакетів, цей метод буде називатися «вузол-бастіон». Зовнішній маршрутизатор відповідає за фільтрацію IP трафіку між бастіонним вузлом і Інтернетом, в той час як внутрішній маршрутизатор допускає тільки IP-трафік між внутрішньою мережею і вузлом-бастіоном. Такий метод захисту дуже ефективний, але і досить витратний, так як на додаток до двох маршрутизаторів, необхідна і система брандмауера. До того ж настройка такої системи може виявитися досить складною.

Добре кероване і ефективне рішення багато компаній знаходять у використанні сервера брандмауера, так як він включає наступні функції:

  • внутрішній і зовнішній міжмережевий екран,
  • вузол-бастіон,
  • сервер інтернет-додатків.

Сервер брандмауера - це комплексне рішення, яке включає в себе все необхідне для відповідних Інтернет-послуг. Чим більше методів фільтрації і контролю доступу ви використовуєте, тим більш високого рівня безпеки ви зможете досягти.

Хакерські атаки на брандмауер

Злом - найбільш поширений сценарій атак: хакер потрапляє в чужий комп'ютер і таким чином може відстежувати і змінювати дані користувачів, ідентифікатори і файли. Найчастіше зломи залишаються непоміченими. Зловмисникам вдається пролізти в чужий комп'ютер, не залишаючи слідів.

Другий частий сценарій - виведення з ладу окремих служб з тією метою, щоб інші користувачі не могли використовувати певний комп'ютер або порт. Ця форма електронного саботажу може привести до пошкодження даних, а також до проблем із виробом. Більшість нападів такого роду виробляються шляхом перевантаження. шахрай перевантажує систему або мережу, наприклад, потоком мережевих запитів, повідомлень або інших процесів, в результаті чого користувач не може ефективно працювати. Зловмисник також може відключити, замінити або перенаправити деякі служби.

На жаль, досить часто імена користувачів, паролі і ідентифікатори передаються в незашифрованому вигляді у вигляді звичайного тексту, тому їх легко прослухати в мережі. Це також використовують шахраї для крадіжки інформації. Мережеві технології, такі як Ethernet або Token Ring, дозволяють перехопити весь мережевий трафік в локальній мережі. Як і в випадку злому, тут також шахраї практично ніколи не залишають слідів, так що крадіжку даних рідко можна виявити.

Перевірка брандмауера

Хоча у кожної компанії потрібно працювати над своїми ризиками, все ж є деякі загальні інструкції по конфігурації і загальним використання брандмауерів. Так, в першу чергу необхідно налаштувати формальний процес тестування налаштувань і завдання конфігурації брандмауера. У цьому процесі обов'язково слід враховувати вищезгадані зміни в ландшафті ІТ. Як правило, для конфігурації брандмауера слід призначати мінімальні права доступу і дозволу на з'єднання. Чим менше коло осіб, що мають доступ, тим нижче потенційні ризики безпеки.

Розглянемо крім міжмережевих екранів також брандмауери для додатків, хмарних технологій і мобільних пристроїв. При перевірці слід дивитися не тільки на те, активні відповідні фаєрволи, але і на те, чи правильно вони сконфігуровані - в цьому також допоможе настройка формального процесу. Якщо в конфігурацію брандмауера вносяться зміни, їх потрібно перевірити і не в останню чергу задокументувати. Перевірки необхідно проводити регулярно і в ідеалі оцінювати протоколи за принципом подвійного контролю.

Якщо ви використовуєте інструменти аудиту брандмауера, перевірте, чи може інструмент оптимізувати конфігурацію брандмауера. Крім того слід перевірити, чи дійсно цей інструмент підтримує всі брандмауери, з якими працює ваша компанія. Конфігурацію таких інструментів слід перевіряти в ідеалі в тестовому середовищі, даючи відповіді на наступні питання:

  • Чи будуть надходити повідомлення про неправильні настройках?
  • Чи підходить інструмент для апаратних і програмних брандмауерів, які ви використовуєте?
  • Чи можна на підставі звітів інструменту зробити значимі висновки?
  • Чи надійно захищені ці звіти від несанкціонованого доступу?

Правила для фаервола: як навести порядок?

Як ви вже встигли зрозуміти, список правил фільтрації - один з найважливіших аспектів в роботі брандмауера. Тому важливо цей перелік регулярно очищати від зайвого і приводити у відповідність до вимог до безпеки на даний момент часу. Звичайно, багато що залежить від ваших особистих обставин, але є і деякі загальні правила, які підійдуть усім. З плином часу накопичується безліч правил і, особливо коли з одним і тим же брандмауером працює кілька адміністраторів, у вас можуть виникнути проблеми з його продуктивністю, ускладниться техобслуговування і зростуть загрози безпеки. Тому важливо дотримуватись стандартів PCI-DS, які передбачають видалення непотрібних правил і об'єктів. До таких належить наступне:

  • Очищення невикористовуваних, що минули і суперечливих правил
  • Невикористані з'єднання: якщо в правилах вказані невикористовувані маршрутизатори, і слід видалити
  • Правила найменування: Запишіть призначення правил і дотримуйтеся їх, щоб вони були зрозумілі всім. Вибирайте для найменувань логічно зрозумілі формати, наприклад, «Ім'я комп'ютера» _IP для вузлів.
  • Дублікати: також слід видалити дублікати об'єктів і правил, наприклад, сервіси або вузли, неодноразово з'являються під різними назвами.
  • Довгі набори правил: постарайтеся розбивати довгі набори правил на зручно Новомосковскемие частини. Наприклад, додавайте максимум 20 правил в набір. Уникайте накладання правил друг на друга, щоб спростити їх.
  • Документація: слід документувати і зберігати в безпечному місці правила, зміни, найменування та об'єкти.
  • Політика відповідності: після визначення політики, перевірте її за допомогою звіту про аудит.
  • Пріоритетність правил: часто використовувані правила повинні відображатися у верхній частині списку. Багато брандмауерів обробляють пакети на основі оптимізованих алгоритмів, для яких порядок вказівки правил не має значення. Якщо ваш маршрутизатор до них не відноситься, вам слід впорядкувати правила по пріоритетності, щоб не втратити видимості.
  • Поділ брандмауера і VPN: розділіть брандмауери і мережі VPN, щоб VPN не впливала на продуктивність вашого брандмауера.
  • Оновлення програмного забезпечення: оновлення програм часто мають переваги в безпеці, продуктивності і функціонал. Щоб зловмисники не змогли використати старі діри в безпеці, зверніть увагу на своєчасне оновлення брандмауера.
  • Інтерфейс: Інтерфейс брандмауера повинні бути узгоджені з інтерфейсами комутатора і маршрутизатора, тобто якщо ваш маршрутизатор працює в напівдуплексному режимі, брандмауер також слід налаштувати на напівдуплексний режим. В ідеалі, брандмауер і комутатор повинні мати однаковий режим дуплексу і однакову швидкість.

Міжмережевий екран вийшов з ладу: що робити?

Навіть найкращим чином налаштовані правила не допоможуть, якщо брандмауер вийшов з ладу. Таке відключення може тривати від декількох хвилин до декількох годин. До таких ситуацій необхідно підготуватися заздалегідь: потрібно не тільки мати заміняє пристрій, але і переконатися в тому, що заміна включається автоматично в разі збою. Таким чином, ви можете мати один міжмережевий екран в налаштованому і активному вигляді, в той час як другий буде знаходитися в режимі очікування. Буде досить з'єднати обидва пристрої за допомогою кабелю для аварійного перемикання і налаштувати їх таким чином, щоб обидва брандмауера відправляли повідомлення із заданим інтервалом, наприклад, кожні кілька секунд. Пропишіть подальші спроби зв'язку на той випадок, якщо запит зв'язку залишається непідтвердженим. Якщо пристрій не відповідає на подальші спроби зв'язку, системі може виходити з того, що брандмауер відмовив і активувати резервне пристрій.

Також бажано поєднати брандмауер з модулем поточного контролю. Так ви зможете переконатися, що пакети, які брандмауер повинен блокувати, дійсно блокуються. Також слід інтегрувати механізм оповіщення про неполадки і помилках.

висновок

Міжмережеві екрани мають важливе значення для захисту вашого інтернет-магазину від маніпуляцій, несанкціонованого доступу і шпигунства. Завдяки можливості розподіляти права доступу, міжмережевий екран захищає від несанкціонованого доступу як зсередини мережі, так і ззовні. Небажаний трафік блокується, так що брандмауер також захищає вашу систему від шкідливих програм. На закінчення можна сказати, що в ідеалі міжмережевий екран виконує наступні функції:

  • контролює доступ до Інтернету та мережі,
  • захищає трафік для вхідних і вихідних з'єднань,
  • активно відстежує роботу додатків,
  • забезпечує конфіденційність,
  • повідомляє про події, які відхиляються від норми і тому можуть бути підозрілими.

Без сумніву, брандмауер належить до основних інструментів захисту, але одне його наявність не може гарантувати повну безпеку. Налаштування брандмауера слід адаптувати під ваші потреби, враховуючи ваші загрози, ризики та інфраструктуру ІТ. Також слід постійно перевіряти роботу брандмауера і документувати всі дії, щоб брандмауер максимально ефективно захищав ваш інтернет-магазин.

Купити SSL сертифікат

Забезпечте захист переданих даних за допомогою SSL сертифікату