VKontakte Facebook Twitter Umpan RSS

Apa yang disebut firewall? Apa itu firewall? Metode dasar untuk menerapkan firewall di jaringan perusahaan

tembok api

Ilustrasi yang menunjukkan lokasi Firewall pada jaringan.

tembok api atau firewall- perangkat keras yang kompleks atau perangkat lunak, yang memantau dan memfilter paket jaringan yang melewatinya sesuai dengan aturan yang ditentukan.

Tugas utama firewall adalah melindungi jaringan komputer atau node individu dari akses yang tidak sah. Selain itu, firewall sering disebut filter, karena tugas utamanya adalah tidak membiarkan (menyaring) paket yang tidak memenuhi kriteria yang ditentukan dalam konfigurasi.

Beberapa firewall juga mengizinkan terjemahan alamat - penggantian dinamis alamat atau port intranet (abu-abu) dengan alamat atau port eksternal yang digunakan di luar LAN.

Nama lain

tembok api, firewall, firewall, firewall- dibentuk dengan transliterasi istilah bahasa inggris firewall.

Jenis firewall

Firewall dibagi menjadi beberapa jenis tergantung pada karakteristik berikut:

  • apakah perisai menyediakan koneksi antara satu node dan jaringan atau antara dua atau lebih jaringan berbeda;
  • pada tingkat protokol jaringan mana aliran data dikendalikan;
  • apakah status koneksi aktif dipantau atau tidak.

Tergantung pada cakupan aliran data yang dikendalikan, firewall dibagi menjadi:

  • jaringan tradisional(atau internetwork) layar- sebuah program (atau bagian integral dari sistem operasi) pada gateway (server yang mentransmisikan lalu lintas antar jaringan) atau solusi perangkat keras yang mengontrol aliran data masuk dan keluar antara jaringan yang terhubung.
  • firewall pribadi- program yang diinstal pada komputer pengguna dan dirancang untuk melindungi komputer ini saja dari akses tidak sah.

Kasus yang memburuk adalah penggunaan firewall tradisional oleh server untuk membatasi akses ke sumber dayanya sendiri.

Tergantung pada tingkat di mana kontrol akses terjadi, ada pembagian menjadi firewall yang beroperasi pada:

  • tingkat jaringan, ketika pemfilteran terjadi berdasarkan alamat pengirim dan penerima paket, nomor port lapisan transport model OSI dan aturan statis yang ditentukan oleh administrator;
  • tingkat sesi(juga dikenal sebagai stateful) - sesi pelacakan antar aplikasi yang tidak mengizinkan paket yang melanggar spesifikasi TCP/IP melewatinya, sering digunakan dalam operasi jahat - pemindaian sumber daya, peretasan melalui implementasi TCP/IP yang salah, koneksi terputus/lambat, injeksi data .
  • tingkat aplikasi, memfilter berdasarkan analisis data aplikasi yang dikirimkan dalam paket. Jenis layar ini memungkinkan Anda memblokir transmisi informasi yang tidak diinginkan dan berpotensi membahayakan berdasarkan kebijakan dan pengaturan.

Beberapa solusi firewall tingkat aplikasi adalah server proksi dengan beberapa kemampuan firewall, yang mengimplementasikan proksi transparan dengan spesialisasi protokol. Kemampuan server proxy dan spesialisasi multi-protokol membuat pemfilteran jauh lebih fleksibel dibandingkan firewall klasik, namun aplikasi semacam itu memiliki semua kelemahan server proxy (misalnya, anonimisasi lalu lintas).

Serangan DoS dan kerentanan beberapa protokol jaringan. Selain itu, mereka memastikan berfungsinya protokol seperti H.323, SIP, FTP, dll., yang menggunakan skema transfer data kompleks antar penerima yang sulit dijelaskan oleh aturan statis, dan seringkali tidak kompatibel dengan firewall standar tanpa kewarganegaraan.

  • Fitur Khas
  • memfilter akses ke layanan yang jelas-jelas tidak dilindungi;
  • mencegah penerimaan informasi sensitif dari subnet yang dilindungi, serta memasukkan data palsu ke dalam subnet yang dilindungi menggunakan layanan yang rentan;
  • kontrol akses ke node jaringan;
  • dapat mendaftarkan semua upaya akses baik dari luar maupun dari jaringan internal, yang memungkinkan Anda melacak penggunaan akses Internet oleh masing-masing node jaringan;
  • pengaturan akses jaringan;

Karena batasan keamanan, beberapa layanan yang diperlukan oleh pengguna mungkin diblokir, seperti Telnet, FTP, SMB, NFS, dan sebagainya. Oleh karena itu, menyiapkan firewall memerlukan partisipasi spesialis keamanan jaringan. Jika tidak, kerugian akibat konfigurasi yang salah mungkin lebih besar daripada manfaatnya.

Perlu juga dicatat bahwa penggunaan firewall meningkatkan waktu respons dan mengurangi throughput karena pemfilteran tidak dilakukan secara instan.

Masalah yang tidak dapat diselesaikan oleh firewall

Firewall sendiri bukanlah obat mujarab untuk semua ancaman jaringan. Secara khusus, dia:

  • tidak melindungi node jaringan dari penetrasi melalui "perangkap" (eng. pintu belakang) atau kerentanan perangkat lunak;
  • tidak memberikan perlindungan terhadap banyak ancaman internal, terutama kebocoran data;
  • tidak melindungi dari pengguna yang mengunduh program jahat, termasuk virus;

Untuk mengatasi dua masalah terakhir, alat tambahan yang sesuai digunakan, khususnya antivirus. Biasanya, mereka terhubung ke firewall dan melewati bagian lalu lintas jaringan yang sesuai, bekerja sebagai proxy yang transparan ke node jaringan lain, atau mereka menerima salinan semua data yang dikirimkan dari firewall. Namun analisis tersebut memerlukan sumber daya perangkat keras yang besar, sehingga biasanya dilakukan secara independen pada setiap node jaringan.

Literatur

  • David W. Chapman, Jr., Andy Fox Firewall Cisco Secure PIX = Firewall Cisco® Secure PIX®. - M.: "Williams", 2003. - Hal. 384. - ISBN 1-58705-035-8

Catatan

Lihat juga

Tautan

Menyiapkan firewall di Linux di Wikibook
Firewall
Tersedia
Bebas
Hak milik
Perangkat keras
Perangkat lunak berbahaya
Malware yang menular Virus komputer (daftar) · Worm jaringan (daftar) · Trojan horse · Virus boot · Timeline
Menyembunyikan metode Pintu Belakang · Komputer zombie · Rootkit
perangkat lunak perusak
untuk keuntungan		 Adware · Perangkat lunak yang mengganggu privasi · Ransomware (Trojan.Winlock) · Spyware · Bot · Botnet · Ancaman web · Keylogger · Pengambil formulir · Scareware · Dealer porno
Berdasarkan sistem operasi Malware Linux · Virus Palm OS · Virus Makro · Virus Seluler
Perlindungan Komputasi defensif · Program antivirus · tembok api· Sistem deteksi intrusi · Pencegahan kebocoran informasi · Kronologi antivirus
Penanggulangan Koalisi Anti-Spyware · Pengawasan komputer · Honeypot · Operasi: Bot Roast

Yayasan Wikimedia.

  • 2010.
  • kota

Lihat apa itu "Firewall" di kamus lain:

    DINDING KEBAKARAN- (firewall) Sebuah node pada jaringan yang berfungsi sebagai penghalang untuk mencegah transmisi lalu lintas dari satu segmen ke segmen lainnya. Ini digunakan untuk mengurangi lalu lintas dan meningkatkan keamanan jaringan. Firewall dapat bertindak sebagai penghalang... ... Kamus istilah bisnis

Salah satu mekanisme efektif untuk menjamin keamanan informasi jaringan komputer terdistribusi adalah perisai, yang menjalankan fungsi membatasi arus informasi di perbatasan jaringan yang dilindungi.

Firewall meningkatkan keamanan objek jaringan internal dengan mengabaikan permintaan tidak sah dari lingkungan eksternal, sehingga menjamin semua komponen keamanan informasi. Selain fungsi kontrol akses, pelindung memastikan pendaftaran pertukaran informasi.

Fungsi pelindung dilakukan oleh firewall atau firewall, yang dipahami sebagai sistem perangkat lunak atau perangkat keras-perangkat lunak yang mengontrol arus informasi yang masuk dan/atau keluar dari suatu sistem informasi dan menjamin perlindungan sistem informasi dengan menyaring informasi. Penyaringan informasi terdiri dari analisis informasi berdasarkan serangkaian kriteria dan pengambilan keputusan mengenai penerimaan dan/atau transmisinya.

Firewall diklasifikasikan menurut kriteria berikut:

· berdasarkan lokasi dalam jaringan – eksternal dan internal, memberikan perlindungan masing-masing dari jaringan eksternal atau perlindungan antar segmen jaringan;

· sesuai dengan tingkat pemfilteran yang sesuai dengan model referensi OSI/ISO.

Firewall eksternal biasanya hanya bekerja dengan protokol TCP/IP dari Internet global. Firewall internal dapat mendukung banyak protokol, misalnya saat menggunakan sistem operasi jaringan Novell Netware, protokol SPX/IPX harus diperhitungkan.

Karakteristik firewall

Pengoperasian semua firewall didasarkan pada penggunaan informasi dari berbagai lapisan model OSI. Secara umum, semakin tinggi tingkat model OSI di mana firewall memfilter paket, semakin tinggi pula tingkat perlindungan yang diberikannya.

Firewall dibagi menjadi empat jenis:

· gateway tingkat sesi;

gateway tingkat aplikasi;

Tabel 4.5.1. Jenis firewall dan level model ISO OSI

Firewall Penyaringan Paket adalah router atau program yang berjalan di server yang dikonfigurasi untuk memfilter paket masuk dan keluar. Oleh karena itu, layar seperti itu terkadang disebut filter paket. Pemfilteran dilakukan dengan menganalisis alamat IP sumber dan tujuan, serta port paket TCP dan UDP yang masuk dan membandingkannya dengan tabel aturan yang dikonfigurasi. Firewall ini mudah digunakan, murah, dan memiliki dampak minimal terhadap kinerja sistem komputer. Kerugian utamanya adalah kerentanannya terhadap spoofing alamat IP. Selain itu, konfigurasinya rumit: pemasangannya memerlukan pengetahuan tentang protokol jaringan, transportasi, dan aplikasi.

Gerbang Sesi mengontrol diterimanya sesi komunikasi. Mereka memantau jabat tangan antara klien resmi dan host eksternal (dan sebaliknya), menentukan apakah sesi komunikasi yang diminta valid. Saat memfilter paket, gateway lapisan sesi bergantung pada informasi yang terkandung dalam header paket lapisan sesi TCP, yaitu, ia beroperasi dua lapisan lebih tinggi dari firewall pemfilteran paket. Selain itu, sistem ini biasanya memiliki fungsi terjemahan alamat jaringan yang menyembunyikan alamat IP internal, sehingga mencegah spoofing alamat IP. Namun, firewall tersebut tidak memiliki kendali atas isi paket yang dihasilkan oleh berbagai layanan. Untuk menghilangkan kelemahan ini, gateway tingkat aplikasi digunakan.

Gerbang Aplikasi memeriksa isi setiap paket yang melewati gateway dan dapat memfilter spesies individu perintah atau informasi dalam protokol lapisan aplikasi yang ditugaskan untuk mereka layani. Ini adalah jenis firewall yang lebih canggih dan andal yang menggunakan proxy atau agen lapisan aplikasi. Agen dikompilasi untuk layanan Internet tertentu (HTTP, FTP, Telnet, dll.) dan digunakan untuk memeriksa paket jaringan untuk mengetahui keberadaan data yang dapat diandalkan.

Gateway tingkat aplikasi mengurangi tingkat kinerja sistem karena pemrosesan ulang dalam program proksi. Hal ini tidak terlihat saat bekerja di Internet saat bekerja melalui saluran berkecepatan rendah, namun signifikan saat bekerja di jaringan internal.

Firewall tingkat ahli menggabungkan elemen dari ketiga kategori yang dijelaskan di atas. Seperti firewall pemfilteran paket, mereka beroperasi pada lapisan jaringan model OSI, menyaring paket masuk dan keluar berdasarkan pemeriksaan alamat IP dan nomor port. Firewall tingkat ahli juga bertindak sebagai gateway tingkat sesi, yang menentukan apakah paket termasuk dalam sesi yang sesuai. Terakhir, firewall ahli berperan sebagai gateway aplikasi, mengevaluasi konten setiap paket sesuai dengan kebijakan keamanan organisasi.

Daripada menggunakan program man-in-the-middle khusus aplikasi, firewall ahli menggunakan algoritma khusus untuk mengenali dan memproses data pada tingkat aplikasi. Algoritme ini membandingkan paket dengan pola data yang diketahui, yang secara teoritis memberikan pemfilteran paket yang lebih efisien.

Kesimpulan tentang topik tersebut

1. Firewall meningkatkan keamanan objek jaringan internal dengan mengabaikan permintaan tidak sah dari lingkungan eksternal, sehingga menjamin semua komponen keamanan informasi. Selain fungsi kontrol akses, perisai menyediakan pendaftaran pertukaran informasi.

2. Fungsi pelindung dilakukan oleh firewall atau firewall, yang dimaksud dengan sistem perangkat lunak atau perangkat keras-perangkat lunak yang mengendalikan arus informasi yang masuk dan/atau keluar dari sistem informasi dan menjamin perlindungan sistem informasi dengan menyaring informasi.

3. Firewall diklasifikasikan berdasarkan kriteria berikut: berdasarkan lokasi di jaringan dan tingkat pemfilteran yang sesuai dengan model referensi OSI/ISO.

4. Firewall eksternal biasanya hanya bekerja dengan protokol TCP/IP dari Internet global. Firewall internal dapat mendukung banyak protokol.

5. Firewall dibagi menjadi empat jenis:

· firewall dengan pemfilteran paket;

· gateway tingkat sesi;

gateway tingkat aplikasi;

· firewall tingkat ahli.

6. Solusi paling komprehensif untuk masalah perlindungan adalah firewall tingkat ahli, yang menggabungkan elemen dari semua jenis firewall.

Pertanyaan untuk pengendalian diri

1. Apa mekanisme firewallnya?

2. Tentukan firewall.

3. Prinsip pengoperasian firewall dengan packet filtering.

4. Pada level protokol apa gateway level sesi beroperasi?

5. Apa yang spesial dari firewall tingkat ahli?

YouTube ensiklopedis

    1 / 5

    ✪ 1. Administrator Cisco ASA. Apa itu firewall?

    ✪ ZoneAlarm Free Firewall - Firewall gratis untuk komputer Anda

    ✪ 2. Administrator Cisco ASA. Firewall Cisco

    ✪ Firewall

    Subtitle

Tujuan

Di antara tugas-tugas yang diselesaikan firewall, yang utama adalah melindungi segmen jaringan atau host individu dari akses tidak sah menggunakan kerentanan dalam protokol model jaringan OSI atau dalam perangkat lunak yang diinstal pada komputer jaringan. Firewall mengizinkan atau menolak lalu lintas dengan membandingkan karakteristiknya dengan pola tertentu.

Tempat paling umum untuk memasang firewall adalah di perimeter jaringan lokal untuk melindungi host internal dari serangan luar. Namun, serangan juga dapat dimulai dari host internal - dalam hal ini, jika host yang diserang berada di jaringan yang sama, lalu lintas tidak akan melewati perimeter jaringan, dan firewall tidak akan diaktifkan. Oleh karena itu, firewall kini ditempatkan tidak hanya di edge, tetapi juga di antara segmen jaringan yang berbeda, sehingga memberikan tingkat keamanan tambahan.

Cerita

Perangkat pertama yang memfilter lalu lintas jaringan muncul pada akhir tahun 1980-an, ketika Internet masih baru dan belum digunakan dalam skala global. Perangkat ini adalah router yang memeriksa lalu lintas berdasarkan data yang terdapat dalam header protokol lapisan jaringan. Selanjutnya seiring dengan perkembangan teknologi jaringan, perangkat ini kini dapat memfilter lalu lintas menggunakan data dari protokol tingkat transport yang lebih tinggi. Router dapat dianggap sebagai implementasi perangkat keras dan perangkat lunak pertama dari firewall.

Firewall perangkat lunak muncul jauh lebih lambat dan jauh lebih muda dibandingkan program antivirus. Misalnya, proyek Netfilter/iptables (salah satu firewall perangkat lunak pertama yang dibangun ke dalam kernel Linux sejak versi 2.4) didirikan pada tahun 1998. Kemunculan yang terlambat ini dapat dimengerti, karena antivirus telah lama memecahkan masalah perlindungan komputer pribadi dari malware. Namun, pada akhir tahun 1990-an, virus mulai secara aktif mengeksploitasi kurangnya firewall di komputer, yang menyebabkan meningkatnya minat pengguna terhadap perangkat kelas ini.

Penyaringan lalu lintas

Pemfilteran lalu lintas dilakukan berdasarkan seperangkat aturan yang telah dikonfigurasi sebelumnya yang disebut peraturan. Lebih mudah untuk menganggap firewall sebagai rangkaian filter yang memproses aliran informasi. Masing-masing filter dirancang untuk menafsirkan aturan terpisah. Urutan aturan dalam suatu kumpulan memiliki dampak yang signifikan terhadap kinerja firewall. Misalnya, banyak firewall secara berurutan membandingkan lalu lintas dengan aturan hingga ditemukan kecocokan. Untuk firewall seperti itu, aturannya harus dipatuhi jumlah terbesar lalu lintas harus ditempatkan setinggi mungkin dalam daftar, sehingga meningkatkan kinerja.

Ada dua prinsip untuk memproses lalu lintas masuk. Prinsip pertama menyatakan: “Apa yang tidak dilarang secara tegas, diperbolehkan.” Dalam hal ini, jika firewall menerima paket yang tidak termasuk dalam aturan apa pun, paket tersebut akan dikirimkan lebih lanjut. Prinsip sebaliknya - "Apa yang tidak secara eksplisit diperbolehkan adalah dilarang" - menjamin keamanan yang jauh lebih besar, karena prinsip tersebut menolak semua lalu lintas yang tidak secara eksplisit diperbolehkan oleh peraturan. Namun prinsip ini menimbulkan beban tambahan bagi pengelola.

Pada akhirnya, firewall melakukan salah satu dari dua operasi pada lalu lintas masuk: meneruskan paket ( mengizinkan) atau buang paketnya ( membantah). Beberapa firewall memiliki satu operasi lagi - menolak, di mana paket dibuang, namun pengirim diberi tahu bahwa layanan yang coba diaksesnya tidak tersedia. Sebaliknya saat operasi membantah pengirim tidak diberitahu tentang tidak tersedianya layanan, yang lebih aman.

Klasifikasi firewall

Masih belum ada klasifikasi firewall yang seragam dan diterima secara umum. Namun, dalam banyak kasus, lapisan model jaringan OSI yang didukung adalah karakteristik utama dalam klasifikasinya. Mempertimbangkan model ini, membedakan jenis berikut firewall:

  1. Sakelar terkelola.
  2. Filter kumpulan.
  3. Gerbang tingkat sesi.
  4. Perantara Lapisan Aplikasi.
  5. Pemeriksa kondisi.

Sakelar Terkelola

Banyak produsen peralatan jaringan, seperti Cisco, Nortel, 3Com, ZyXEL, menyediakan kemampuan pada switch mereka untuk memfilter lalu lintas berdasarkan alamat MAC yang terdapat dalam frame header. Misalnya, pada switch keluarga Cisco Catalyst, fitur ini diimplementasikan menggunakan mekanisme Port Security. . Namun, metode penyaringan ini tidak efektif, karena alamat MAC yang dipasang di perangkat keras pada kartu jaringan mudah diubah oleh perangkat lunak, karena nilai yang ditentukan melalui driver memiliki prioritas lebih tinggi daripada nilai yang tertanam dalam kartu. Oleh karena itu, banyak sakelar modern memungkinkan Anda menggunakan parameter lain sebagai fitur pemfilteran - misalnya, ID VLAN. Teknologi Jaringan Area Lokal Virtual memungkinkan Anda membuat grup host yang lalu lintasnya sepenuhnya terisolasi dari node jaringan lain.

Filter kumpulan

Filter paket beroperasi pada lapisan jaringan dan mengontrol lalu lintas berdasarkan informasi yang terkandung dalam header paket. Banyak firewall jenis ini dapat beroperasi dengan header protokol pada tingkat transport yang lebih tinggi (misalnya TCP atau UDP). Filter paket adalah salah satu yang pertama kali muncul di pasar firewall dan hingga hari ini tetap menjadi jenis yang paling umum. Teknologi ini diterapkan di sebagian besar router dan bahkan di beberapa switch.

Saat menganalisis header paket jaringan, parameter berikut dapat digunakan:

  • Alamat IP sumber dan tujuan;
  • jenis protokol transport;
  • bidang header layanan protokol lapisan jaringan dan transport;
  • pelabuhan sumber dan tujuan.

Seringkali Anda harus memfilter paket yang terfragmentasi, sehingga sulit untuk mendeteksi beberapa serangan. Banyak serangan jaringan mengeksploitasi kerentanan ini di firewall dengan meneruskan paket berisi data terlarang sebagai bagian dari paket lain yang tepercaya. Salah satu cara untuk melawan serangan jenis ini adalah dengan mengkonfigurasi firewall untuk memblokir paket yang terfragmentasi. Beberapa firewall dapat mendefrag paket sebelum meneruskannya ke jaringan internal, namun hal ini memerlukan sumber daya tambahan dari firewall itu sendiri, terutama memori. Defragmentasi harus digunakan dengan sangat bijaksana, jika tidak, firewall tersebut dapat dengan mudah menjadi korban serangan DoS.

Filter paket dapat diimplementasikan pada komponen infrastruktur jaringan berikut:

  • router perbatasan;
  • sistem operasi;

Karena filter paket biasanya hanya memeriksa data di header lapisan jaringan dan transport, filter ini dapat melakukannya dengan cukup cepat. Oleh karena itu, filter paket yang dibangun pada router tepi ideal untuk ditempatkan di tepi jaringan dengan kepercayaan rendah. Namun, filter paket tidak memiliki kemampuan untuk menganalisis protokol pada level yang lebih tinggi pada model jaringan OSI. Selain itu, filter paket biasanya rentan terhadap serangan yang menggunakan spoofing alamat jaringan. Serangan semacam ini biasanya dilakukan untuk melewati kontrol akses yang diterapkan oleh firewall.

Gerbang Sesi

Karena firewall jenis ini menghilangkan komunikasi langsung antara dua host, gateway lapisan sesi adalah satu-satunya elemen penghubung antara jaringan eksternal dan sumber daya internal. Hal ini menciptakan kesan bahwa semua permintaan dari jaringan eksternal dijawab oleh gateway, dan membuatnya hampir tidak mungkin untuk menentukan topologi jaringan yang dilindungi. Selain itu, karena kontak antar node dibuat hanya jika valid, gateway lapisan sesi mencegah kemungkinan serangan DoS yang melekat pada filter paket.

Terlepas dari efektivitas teknologi ini, teknologi ini memiliki kelemahan serius: seperti semua kelas firewall di atas, gateway tingkat sesi tidak memiliki kemampuan untuk memverifikasi konten bidang data, yang memungkinkan penyerang mengirimkan “kuda Troya” ke dalam jaringan yang dilindungi.

Broker Lapisan Aplikasi

Kerugian dari firewall jenis ini adalah banyaknya waktu dan sumber daya yang dihabiskan untuk menganalisis setiap paket. Oleh karena itu, umumnya tidak cocok untuk aplikasi real-time. Kerugian lainnya adalah ketidakmampuan koneksi otomatis dukungan untuk aplikasi dan protokol jaringan baru, karena masing-masing memerlukan agennya sendiri.

Inspektur Negara

Masing-masing jenis firewall di atas digunakan untuk melindungi jaringan perusahaan dan memiliki sejumlah keunggulan. Namun, akan jauh lebih efektif jika mengumpulkan semua keunggulan ini dalam satu perangkat dan mendapatkan firewall yang memfilter lalu lintas dari jaringan ke tingkat aplikasi. Ide ini diterapkan di inspektur negara, dengan menggabungkan kinerja tinggi dan keamanan. Kelas firewall ini memungkinkan Anda untuk mengontrol:

  • setiap paket yang dikirimkan didasarkan pada tabel aturan;
  • setiap sesi - berdasarkan tabel negara bagian;
  • Setiap aplikasi didasarkan pada perantara yang dikembangkan.

Dengan memfilter lalu lintas berdasarkan prinsip gateway tingkat sesi, kelas firewall ini tidak mengganggu proses pembuatan koneksi antar node. Oleh karena itu, kinerja inspektur negara secara signifikan lebih tinggi dibandingkan dengan broker lapisan aplikasi dan gateway lapisan sesi, dan sebanding dengan kinerja filter paket. Keuntungan lain dari inspektur negara adalah transparansi bagi pengguna: untuk klien perangkat lunak tidak diperlukan konfigurasi tambahan. Firewall ini memiliki kemampuan ekspansi yang besar. Ketika layanan baru atau protokol lapisan aplikasi baru muncul, Anda hanya perlu menambahkan beberapa template untuk mendukungnya. Namun, pengawas negara pada dasarnya kurang aman dibandingkan perantara tingkat aplikasi.

Istilah inspeksi stateful, yang diperkenalkan oleh Check Point Software, telah menjadi sangat populer di kalangan produsen peralatan jaringan sehingga sekarang hampir setiap firewall diklasifikasikan ke dalam teknologi ini, meskipun mereka tidak sepenuhnya menerapkannya.

Pelaksanaan

Ada dua versi firewall - perangkat lunak dan perangkat keras-perangkat lunak. Pada gilirannya, opsi perangkat keras dan perangkat lunak memiliki dua jenis - dalam bentuk modul terpisah di sakelar atau router dan dalam bentuk perangkat khusus.

Saat ini, solusi perangkat lunak lebih sering digunakan, yang sekilas terlihat lebih menarik. Hal ini disebabkan oleh fakta bahwa untuk menggunakannya, tampaknya cukup dengan membeli perangkat lunak firewall dan menginstalnya di komputer mana pun dalam organisasi. Namun, seperti yang ditunjukkan oleh praktik, sebuah organisasi tidak selalu memiliki komputer yang gratis, dan bahkan komputer yang cukup memuaskan. persyaratan tinggi oleh sumber daya sistem. Setelah komputer ditemukan (paling sering dibeli), proses instalasi dan konfigurasi sistem operasi, serta perangkat lunak firewall itu sendiri, menyusul. Sangat mudah untuk melihat bahwa menggunakan komputer pribadi biasa tidaklah sesederhana kelihatannya. Itulah sebabnya sistem perangkat keras dan perangkat lunak khusus disebut alat keamanan, berdasarkan, sebagai suatu peraturan,

tembok api atau firewall(dalam bahasa Jerman) merekmauer, dalam bahasa Inggris , dalam bahasa Rusia perbatasan api) adalah sistem atau kombinasi sistem yang memungkinkan Anda membagi jaringan menjadi dua bagian atau lebih dan menerapkan seperangkat aturan yang menentukan kondisi perjalanan paket dari satu bagian ke bagian lain (lihat Gambar 1). Paling sering batas ini ditarik antara jaringan lokal perusahaan dan INTERNET, meskipun dapat juga dilakukan dalam jaringan lokal suatu perusahaan. Firewall dengan demikian memungkinkan semua lalu lintas melewatinya. Untuk setiap paket yang lewat, firewall memutuskan apakah akan mengizinkannya atau membuangnya. Agar firewall dapat mengambil keputusan ini, ia perlu menetapkan seperangkat aturan. Bagaimana aturan-aturan ini dijelaskan dan parameter apa yang digunakan untuk menggambarkannya akan dibahas nanti.
Gambar.1

Biasanya, firewall beroperasi pada beberapa platform UNIX - paling sering BSDI, SunOS, AIX, IRIX, dll., lebih jarang - DOS, VMS, WNT, Windows NT. Platform perangkat keras mencakup INTEL, Sun SPARC, RS6000, Alpha, HP PA-RISC, dan rangkaian prosesor RISC R4400-R5000. Selain Ethernet, banyak firewall yang mendukung FDDI, Token Ring, 100Base-T, 100VG-AnyLan, dan berbagai perangkat serial. Persyaratan RAM dan ruang perangkat keras tergantung pada jumlah mesin di segmen jaringan yang dilindungi.

Biasanya, perubahan dilakukan pada sistem operasi yang menjalankan firewall untuk membuat firewall itu sendiri lebih aman. Perubahan ini mempengaruhi kernel OS dan file konfigurasi terkait. Di firewall itu sendiri, Anda tidak diperbolehkan memiliki akun pengguna (dan karena itu potensi lubang), hanya akun administrator. Beberapa firewall hanya berfungsi dalam mode pengguna tunggal. Banyak firewall memiliki sistem untuk memeriksa integritas kode program. Dalam hal ini, checksum kode program disimpan di tempat yang aman dan dibandingkan pada awal program untuk menghindari substitusi perangkat lunak.

Semua firewall dapat dibagi menjadi tiga jenis:

Semua jenis dapat terjadi secara bersamaan di firewall yang sama.

Filter kumpulan

Firewall filter paket memutuskan apakah akan mengizinkan atau membuang paket dengan melihat alamat IP, flag, atau nomor port TCP di header paket. Alamat IP dan nomor port masing-masing merupakan informasi lapisan jaringan dan transport, tetapi filter paket juga menggunakan informasi lapisan aplikasi, karena Semua layanan standar dalam TCP/IP dikaitkan dengan nomor port tertentu.

Untuk menggambarkan aturan untuk meneruskan paket, tabel seperti:

Bidang "tindakan" dapat dilewati atau dibuang.
Jenis paket - TCP, UDP atau ICMP.
Bendera - bendera dari header paket IP.
Bidang "port sumber" dan "port tujuan" hanya berguna untuk paket TCP dan UDP.

Server tingkat aplikasi

Firewall dengan server lapisan aplikasi menggunakan server tertentu layanan(server proxy) - TELNET, FTP, dll., diluncurkan di firewall dan melewati semua lalu lintas yang terkait dengan layanan ini. Hal ini menciptakan dua koneksi antara klien dan server: dari klien ke firewall dan dari firewall ke tujuan.

Kumpulan lengkap server yang didukung berbeda-beda untuk setiap firewall tertentu, namun server yang paling umum untuk layanan berikut adalah:

  • terminal (Telnet, Rlogin);
  • transfer file (Ftp);
  • email (SMTP, POP3);
  • WWW (HTTP);
  • Menggali;
  • pinggang;
  • Sistem X Jendela (X11);
  • pencetakan jaringan (LP);
  • eksekusi tugas jarak jauh (Rsh);
  • Jari;
  • Berita Usenet (NNTP);
  • Siapa yang;
  • Audio Nyata.

Menggunakan server tingkat aplikasi memungkinkan Anda menyelesaikannya tugas penting- menyembunyikan struktur jaringan lokal dari pengguna eksternal, termasuk informasi di header paket email atau layanan nama domain (DNS). Kepada orang lain kualitas positif adalah kemampuan untuk mengautentikasi di tingkat pengguna (ingat bahwa autentikasi adalah proses mengonfirmasi identitas sesuatu; dalam hal ini adalah proses mengonfirmasi apakah pengguna tersebut benar-benar seperti yang dia klaim).

    Saat menjelaskan aturan akses, parameter seperti
  • nama layanan,
  • nama belakang,
  • rentang waktu yang dapat diterima untuk menggunakan layanan,
  • komputer tempat Anda dapat menggunakan layanan ini,
  • skema otentikasi.

Server tingkat aplikasi memungkinkan Anda memberikan tingkat perlindungan tertinggi, karena interaksi dengan dunia luar dilaksanakan melalui sejumlah kecil program aplikasi yang sepenuhnya mengontrol semua lalu lintas masuk dan keluar.

Server tingkat koneksi

Server tingkat koneksi adalah penerjemah koneksi TCP. Pengguna membuat sambungan ke port tertentu di firewall, yang kemudian membuat sambungan ke tujuan di sisi lain firewall. Selama sesi, penerjemah ini menyalin byte di kedua arah, bertindak seperti kabel.

Biasanya, tujuannya ditentukan terlebih dahulu, sedangkan sumbernya bisa banyak (koneksi satu-ke-banyak). Menggunakan port yang berbeda, konfigurasi berbeda dapat dibuat.

Jenis server ini memungkinkan Anda membuat penerjemah untuk layanan berbasis TCP apa pun yang ditentukan pengguna, mengontrol akses ke layanan ini, dan mengumpulkan statistik penggunaannya.

Karakteristik komparatif dari filter paket dan server tingkat aplikasi

Di bawah ini adalah kelebihan dan kekurangan utama filter paket dan server tingkat aplikasi satu sama lain.

    Keuntungan dari filter paket:
  • biaya yang relatif rendah;
  • fleksibilitas dalam menentukan aturan penyaringan;
  • sedikit keterlambatan dalam perjalanan paket.
    Kekurangan filter paket:
  • jaringan lokal terlihat (dapat dirutekan) dari INTERNET;
  • aturan pemfilteran paket sulit untuk dijelaskan dan memerlukan pengetahuan yang sangat baik tentang teknologi TCP dan UDP;
  • jika firewall tidak berfungsi, semua komputer di belakangnya menjadi tidak terlindungi atau tidak dapat diakses sama sekali;
  • Otentikasi IP dapat ditipu dengan menggunakan spoofing IP (sistem penyerang meniru identitas orang lain menggunakan alamat IP-nya);
  • tidak ada otentikasi di tingkat pengguna.
    Keuntungan server tingkat aplikasi:
  • jaringan lokal tidak terlihat dari INTERNET;
  • jika firewall tidak berfungsi, paket berhenti melewati firewall, sehingga tidak menimbulkan ancaman terhadap mesin yang dilindunginya;
  • Perlindungan tingkat aplikasi memungkinkan jumlah besar pemeriksaan tambahan, sehingga mengurangi kemungkinan peretasan menggunakan lubang pada perangkat lunak;
  • otentikasi di tingkat pengguna, sistem peringatan langsung tentang upaya peretasan dapat diterapkan.
    Kerugian dari server tingkat aplikasi:
  • biaya lebih tinggi daripada filter paket;
  • ketidakmampuan untuk menggunakan protokol RPC dan UDP;
  • kinerjanya lebih rendah dibandingkan filter paket.

Jaringan maya

Sejumlah firewall juga memungkinkan Anda mengatur jaringan perusahaan virtual ( Pribadi Maya Jaringan), yaitu menggabungkan beberapa jaringan lokal yang termasuk dalam INTERNET menjadi satu jaringan virtual. VPN memungkinkan Anda mengatur koneksi jaringan lokal yang transparan bagi pengguna, dengan tetap menjaga kerahasiaan dan integritas informasi yang dikirimkan menggunakan enkripsi. Selain itu, ketika ditransmisikan melalui INTERNET, tidak hanya data pengguna yang dienkripsi, tetapi juga informasi jaringan - alamat jaringan, nomor port, dll.

Diagram koneksi firewall

Berbagai skema digunakan untuk menghubungkan firewall. Firewall dapat digunakan sebagai router eksternal, menggunakan jenis perangkat yang didukung untuk terhubung ke jaringan eksternal (lihat Gambar 1). Kadang-kadang skema yang ditunjukkan pada Gambar 2 digunakan, tetapi ini harus digunakan hanya sebagai pilihan terakhir, karena konfigurasi router yang sangat hati-hati diperlukan dan kesalahan kecil dapat membuat lubang perlindungan yang serius.

Gambar.2

Paling sering, koneksi dilakukan melalui router eksternal yang mendukung dua antarmuka Ethernet (yang disebut firewall ganda) (dua kartu jaringan dalam satu komputer) (lihat Gambar 3).

Gambar.3

Dalam hal ini, antara router eksternal dan firewall hanya ada satu jalur yang dilalui semua lalu lintas. Biasanya router dikonfigurasi sedemikian rupa sehingga firewall adalah satu-satunya mesin yang terlihat dari luar. Skema ini adalah yang paling disukai dalam hal keamanan dan keandalan perlindungan.

Diagram lain ditunjukkan pada Gambar 4.

Gambar.4

Dalam hal ini, firewall hanya melindungi satu subnet dari beberapa subnet yang keluar dari router. Server yang perlu terlihat dari luar (WWW, FTP, dll.) sering kali berlokasi di area yang tidak dilindungi oleh firewall. Kebanyakan firewall mengizinkan Anda untuk meng-host server ini di firewall itu sendiri - sebuah solusi yang jauh dari yang terbaik dalam hal beban mesin dan keamanan firewall itu sendiri.

Ada solusi (lihat Gambar 5) yang memungkinkan Anda mengatur jaringan ketiga untuk server yang harus terlihat dari luar; Hal ini memungkinkan Anda untuk mengontrol akses ke sana sambil mempertahankan tingkat perlindungan yang diperlukan untuk mesin di jaringan inti.

Gambar.5

Pada saat yang sama, cukup banyak perhatian diberikan untuk memastikan bahwa pengguna jaringan internal tidak dapat secara tidak sengaja atau sengaja membuka lubang ke jaringan lokal melalui server ini. Untuk meningkatkan tingkat keamanan, dimungkinkan untuk menggunakan beberapa firewall yang saling membelakangi dalam satu jaringan.

Administrasi

Kemudahan administrasi merupakan salah satu aspek kunci dalam menciptakan sistem keamanan yang efektif dan andal. Kesalahan dalam menentukan aturan akses dapat menciptakan lubang yang memungkinkan sistem diretas. Oleh karena itu, sebagian besar firewall menerapkan utilitas layanan yang memudahkan untuk memasukkan, menghapus, dan melihat serangkaian aturan. Kehadiran utilitas ini juga memungkinkan Anda memeriksa kesalahan sintaksis atau logika saat memasukkan atau mengedit aturan. Biasanya, utilitas ini memungkinkan Anda melihat informasi yang dikelompokkan berdasarkan kriteria tertentu, misalnya, segala sesuatu yang berhubungan dengan pengguna atau layanan tertentu.

Pengumpulan statistik dan sistem peringatan serangan

Komponen penting lainnya dari firewall adalah sistem untuk mengumpulkan statistik dan peringatan tentang suatu serangan. Informasi tentang semua kejadian - kegagalan, koneksi masuk dan keluar, jumlah byte yang ditransfer, layanan yang digunakan, waktu koneksi, dll. - terakumulasi dalam file statistik. Banyak firewall memungkinkan Anda secara fleksibel menentukan peristiwa yang akan dicatat, menjelaskan tindakan firewall selama serangan atau upaya akses tidak sah - ini bisa berupa pesan ke konsol, email ke administrator sistem, dll. Segera menampilkan pesan tentang upaya peretasan di layar konsol atau administrator dapat membantu jika upaya tersebut berhasil dan penyerang telah menembus sistem. Banyak firewall menyertakan pembuat laporan yang digunakan untuk memproses statistik. Mereka memungkinkan Anda mengumpulkan statistik tentang penggunaan sumber daya oleh pengguna tertentu, penggunaan layanan, kegagalan, sumber dari mana upaya akses tidak sah dilakukan, dll.

Otentikasi

Otentikasi adalah salah satu komponen terpenting dari firewall. Sebelum pengguna diberikan hak untuk menggunakan layanan tertentu, perlu dipastikan bahwa dia benar-benar seperti yang dia klaim.

Sebagai aturan, prinsip yang disebut "apa yang dia ketahui" digunakan - yaitu. pengguna mengetahui beberapa kata rahasia, yang dia kirimkan ke server otentikasi sebagai tanggapan atas permintaannya.

Salah satu skema otentikasi adalah dengan menggunakan kata sandi UNIX standar. Skema ini adalah yang paling rentan dari sudut pandang keamanan - kata sandi dapat disadap dan digunakan oleh orang lain.

Kelas keamanan firewall

Sehubungan dengan pemrosesan informasi rahasia sistem otomatis(AS) dibagi menjadi tiga kelompok:

  1. Sistem multi-pengguna yang memproses informasi dari berbagai tingkat kerahasiaan.
  2. Sistem multi-pengguna di mana semua pengguna memiliki akses yang sama terhadap semua informasi yang diproses yang terletak pada media dengan tingkat kerahasiaan berbeda.
  3. Sistem pengguna tunggal di mana pengguna memiliki akses penuh ke semua informasi yang diproses yang terletak pada media dengan tingkat kerahasiaan berbeda.

Pada kelompok pertama terdapat 5 kelas pengamanan : 1A, 1B, 1B, 1G, 1D, pada kelompok kedua dan ketiga terdapat 2 kelas pengamanan : masing-masing 2A, 2B dan 3A, 3B. Kelas A sesuai dengan maksimum, kelas D dengan keamanan minimum pembicara.

Firewall memungkinkan Anda menjaga keamanan objek di area internal dengan mengabaikan permintaan tidak sah dari area eksternal, mis. melaksanakan perisai. Akibatnya, kerentanan objek internal berkurang, karena pada awalnya penyerang pihak ketiga harus mengatasi firewall, dimana mekanisme pertahanan dikonfigurasikan dengan sangat hati-hati dan kaku. Selain itu, sistem pelindung, tidak seperti sistem universal, dirancang dengan cara yang lebih sederhana dan karenanya lebih aman. Ini hanya berisi komponen-komponen yang diperlukan untuk menjalankan fungsi pelindung. Perlindungan juga memungkinkan untuk mengontrol arus informasi yang diarahkan ke area eksternal, yang membantu menjaga kerahasiaan di area internal. Selain fungsi kontrol akses, firewall mencatat arus informasi.

Menurut tingkat keamanannya, firewall dibagi menjadi 5 kelas. Kelas keamanan terendah adalah yang kelima. Ini digunakan untuk interaksi yang aman antara speaker kelas 1D dengan lingkungan eksternal, yang keempat - untuk 1G, yang ketiga - untuk 1B, yang kedua - untuk 1B, yang tertinggi - yang pertama - untuk 1A.

Untuk speaker kelas 2B dan 3B, digunakan firewall minimal kelas lima.

Untuk speaker kelas 2A, 3A, tergantung pada pentingnya informasi yang diproses, firewall dari kelas berikut digunakan:

  • saat memproses informasi yang diklasifikasikan sebagai "rahasia" - tidak lebih rendah dari kelas tiga;
  • saat memproses informasi yang diklasifikasikan sebagai "sangat rahasia" - tidak lebih rendah dari kelas dua;
  • saat memproses informasi yang diklasifikasikan sebagai "sangat penting" - hanya kelas satu.

Indikator keamanan dirangkum dalam Tabel 1.

Sebutan:

Tabel 1
Indikator keamananKelas keamanan
5 4 3 2 1
Kontrol akses (penyaringan data dan terjemahan alamat)+ + + + =
Identifikasi dan Otentikasi- - + = +
Pendaftaran- + + + =
Administrasi: Identifikasi dan Otentikasi+ = + + +
Administrasi: pendaftaran+ + + = =
Administrasi: kemudahan penggunaan- - + = +
Integritas+ = + + +
Pemulihan+ = = + =
Pengujian+ + + + +
Panduan Administrator Keamanan+ = = = =
Dokumentasi pengujian+ + + + +
Dokumentasi desain (proyek).+ = + = +

Panduan Pembeli Firewall

Badan penelitian TruSecure, Laboratorium ICSA, telah mengembangkan Panduan Pembeli Firewall. Di salah satu bagian dokumen ini diberikan bentuk selanjutnya Peringkat Pembeli:

  1. Informasi kontak - alamat dan orang yang bertanggung jawab.
  2. Lingkungan kerja bisnis:
    • jumlah dan lokasi masing-masing lembaga (gedung) perusahaan;
    • indikasi unit dan informasi yang bersifat terbatas dan informasi yang penting bagi ketersediaan data untuk interaksi unit, lokasinya;
    • Indikasi mitra eksternal yang perlu mengatur interaksi;
    • deskripsi layanan yang tersedia untuk umum;
    • persyaratan untuk mengatur akses jarak jauh ke ruang informasi internal perusahaan;
    • layanan elektronik menggunakan saluran komunikasi publik (misalnya, e-commerce).
  3. Perubahan yang direncanakan dalam lingkungan bisnis sesuai dengan parameter yang tercantum.
  4. Lingkungan informasi:
    • jumlah stasiun kerja pengguna yang menunjukkan perangkat keras, sistem dan perangkat lunak aplikasi;
    • struktur jaringan yang menunjukkan topologi, media transmisi data, perangkat dan protokol yang digunakan;
    • struktur akses jarak jauh yang menunjukkan perangkat yang digunakan, serta metode otentikasi;
    • jumlah server yang menunjukkan perangkat keras, sistem dan perangkat lunak aplikasi;
    • sistem pendukung yang ada sistem Informasi dari pemasok dengan indikasi dan batasan ruang lingkup kegiatannya;
    • sistem anti-virus dan sistem kontrol perangkat lunak lainnya;
    • teknologi manajemen jaringan dan sistem informasi;
    • teknologi otentikasi - daftar dan deskripsi.
  5. Perubahan yang direncanakan dalam lingkungan informasi sesuai dengan parameter yang tercantum.
  6. Koneksi internet:
    • Jenis koneksi internet;
    • firewall yang ada (jika ada);
    • Sarana komunikasi dengan lingkungan eksternal yang digunakan oleh sistem internal;
    • sistem dan layanan internal yang dapat diakses dari luar;
    • server untuk e-commerce dan sistem transaksi lainnya;
    • indikasi adanya kebijakan keamanan yang disetujui untuk akses dan penggunaan Internet.
  7. Acara yang direncanakan (yang firewallnya dibeli):
    • perubahan metode akses Internet dan kebijakan keamanan perusahaan;
    • munculnya protokol-protokol baru yang perlu didukung secara terpisah untuk pengguna internal, pengguna dengan akses jarak jauh atau pengguna khusus tersedia untuk umum.
  8. Fungsionalitas firewall yang diperlukan:
    • tentang kontrol akses;
    • pesan yang dikeluarkan;
    • otentikasi;
    • manajemen konfigurasi;
    • mengendalikan isi lalu lintas yang lewat;
    • buku catatan;
    • pengenalan serangan;
    • opsi jaringan (jumlah antarmuka, metode akses);
    • administrasi jarak jauh;
    • persyaratan sistem (turnkey, integrasi dengan produk lain, dll.).
  9. Kondisi lainnya:
    • perkiraan biaya firewall (berapa banyak yang dapat dibelanjakan perusahaan);
    • perkiraan tanggal mulai produk;
    • persyaratan produk memiliki sertifikat;
    • persyaratan untuk administrator produk yang diusulkan dan layanan dukungan;
    • ketentuan kontrak khusus (jika ada);
    • komentar lain yang tidak disertakan dalam formulir ini.

Diasumsikan bahwa perusahaan, dengan mengisi formulir ini dan mengirimkannya ke produsen, akan memungkinkan produsen untuk membuat penawaran dengan kualitas terbaik bagi pembeli. Namun, mengisi formulir ini, tanpa mengirimkannya kepada siapa pun, akan memungkinkan organisasi untuk lebih memahami solusi apa yang dibutuhkannya.

14.9. Firewall

Minat terhadap firewall (firewall) di antara orang-orang yang terhubung ke Internet semakin meningkat, dan bahkan bermunculan aplikasi untuk jaringan lokal yang memberikan peningkatan tingkat keamanan. Pada bagian ini kami berharap dapat menguraikan apa itu firewall, cara menggunakannya, dan cara memanfaatkan kemampuan yang disediakan oleh kernel FreeBSD untuk mengimplementasikannya.

14.9.1. Apa itu firewall?

Ada dua jenis firewall berbeda yang digunakan setiap hari internet modern. Tipe pertama lebih tepat disebut router pemfilteran paket . Firewall jenis ini berjalan pada mesin yang terhubung ke beberapa jaringan dan menerapkan serangkaian aturan pada setiap paket yang menentukan apakah paket tersebut diteruskan atau diblokir. Tipe kedua, dikenal sebagai server proksi , diimplementasikan sebagai daemon yang melakukan otentikasi dan penerusan paket, mungkin pada mesin dengan beberapa koneksi jaringan di mana penerusan paket dinonaktifkan di kernel.

Terkadang kedua jenis firewall ini digunakan bersama-sama, sehingga hanya mesin tertentu (dikenal sebagai tuan rumah benteng ) diperbolehkan mengirim paket melalui router penyaringan ke jaringan internal. Layanan proxy berjalan pada host yang aman, yang biasanya lebih aman dibandingkan mekanisme autentikasi biasa.

FreeBSD hadir dengan paket filter (dikenal sebagai IPFW) yang terpasang di dalam kernel, yang akan menjadi fokus dari sisa bagian ini. Server proxy dapat dibangun di FreeBSD dari perangkat lunak pihak ketiga, namun terlalu banyak yang akan dibahas di bagian ini.

14.9.1.1. Router dengan pemfilteran paket

Router adalah mesin yang meneruskan paket antara dua jaringan atau lebih. Router pemfilteran paket diprogram untuk membandingkan setiap paket dengan daftar aturan sebelum memutuskan apakah akan meneruskannya atau tidak. Sebagian besar perangkat lunak perutean modern memiliki kemampuan penyaringan dan secara default semua paket diteruskan. Untuk mengaktifkan filter, Anda perlu menentukan serangkaian aturan.

Untuk menentukan apakah suatu paket harus diizinkan masuk, firewall mencari seperangkat aturan yang cocok dengan isi header paket. Setelah kecocokan ditemukan, tindakan yang ditetapkan pada aturan tersebut akan dijalankan. Tindakannya mungkin berupa menjatuhkan paket, meneruskan paket, atau bahkan mengirim pesan ICMP ke alamat sumber. Hanya pertandingan pertama yang dihitung karena peraturan dilihat dalam urutan tertentu. Oleh karena itu, daftar aturan dapat disebut sebagai “rantai aturan” » .

Kriteria pemilihan paket bergantung pada perangkat lunak yang Anda gunakan, namun biasanya Anda dapat menentukan aturan berdasarkan alamat IP sumber paket, alamat IP tujuan, nomor port sumber paket, nomor port tujuan (untuk protokol yang mendukung port), atau bahkan jenis paket (UDP, TCP, ICMP, dll.).

14.9.1.2. Server proksi

Server proxy adalah komputer tempat daemon sistem biasa ( telnetd, ftpd, dll.) digantikan oleh server khusus. Server-server ini disebut server proksi , karena biasanya hanya berfungsi dengan koneksi masuk. Ini memungkinkan Anda untuk menjalankan (misalnya) telnet server proxy di firewall, dan memungkinkan untuk login menggunakan telnet ke firewall, melewati mekanisme otentikasi, dan mendapatkan akses ke jaringan internal (demikian pula, server proxy dapat digunakan untuk mengakses jaringan eksternal).

Server proxy biasanya lebih terlindungi dibandingkan server lain dan sering kali memiliki mekanisme autentikasi yang lebih luas, termasuk sistem kata sandi satu kali, sehingga meskipun seseorang mengetahui kata sandi yang Anda gunakan, mereka tidak akan dapat menggunakannya untuk mendapatkan akses ke server proxy. sistem , karena kata sandi segera kedaluwarsa setelah digunakan pertama kali. Karena kata sandi tidak secara langsung memberikan akses ke komputer tempat server proxy berada, maka akan jauh lebih sulit untuk memasang pintu belakang pada sistem.

Server proxy biasanya memiliki cara untuk lebih membatasi akses sehingga hanya host tertentu yang dapat mengakses server tersebut. Sebagian besar juga mengizinkan administrator untuk menentukan pengguna dan komputer mana yang dapat mereka akses. Sekali lagi, opsi yang tersedia terutama bergantung pada perangkat lunak yang digunakan.

14.9.2. IPFW mengizinkan Anda melakukan apa?

Perangkat lunak IPFW yang dikirimkan bersama FreeBSD adalah sistem pemfilteran dan akuntansi paket yang terletak di kernel dan dilengkapi dengan utilitas konfigurasi pengguna, ipfw (8). Bersama-sama mereka memungkinkan Anda untuk menentukan dan melihat aturan yang digunakan oleh kernel untuk perutean.

IPFW terdiri dari dua bagian yang terkait. Firewall memfilter paket. Bagian penghitungan paket IP melacak penggunaan router berdasarkan aturan yang serupa dengan yang digunakan di bagian firewall. Hal ini memungkinkan administrator untuk menentukan, misalnya, jumlah lalu lintas yang diterima router komputer tertentu, atau volume lalu lintas WWW yang dikirim.

Karena cara penerapan IPFW, Anda juga dapat menggunakannya pada komputer non-router untuk memfilter koneksi masuk dan keluar. Ini adalah kasus yang lebih khusus penggunaan umum IPFW, dan perintah serta teknik yang sama digunakan dalam situasi ini.

14.9.3. Mengaktifkan IPFW di FreeBSD

Karena sebagian besar sistem IPFW berada di kernel, Anda perlu menambahkan satu atau lebih parameter ke file konfigurasi kernel, tergantung pada kemampuan yang diperlukan, dan membangun kembali kernel. Lihat bab tentang membangun kembali kernel (Bab 8) untuk mengetahui deskripsi rinci prosedur ini.

Perhatian: Aturan IPFW default adalah menolak ip dari mana pun ke mana pun. Jika Anda tidak menambahkan aturan lain saat boot untuk mengizinkan akses, maka memblokir akses ke server dengan firewall diaktifkan di kernel setelah reboot. Kami menyarankan untuk menentukan firewall_type=open di file /etc/rc.conf saat pertama kali menambahkan firewall, dan kemudian setelah menguji fungsinya, mengedit aturan di file /etc/rc.firewall. Tindakan pencegahan tambahan mungkin adalah dengan mengonfigurasi firewall terlebih dahulu dari konsol lokal, alih-alih masuk ssh. Selain itu, dimungkinkan untuk membangun kernel dengan parameter IPFIREWALL dan IPFIREWALL_DEFAULT_TO_ACCEPT. Dalam hal ini, aturan IPFW default akan diubah untuk mengizinkan ip dari mana saja ke mana saja, yang akan mencegah kemungkinan pemblokiran.

Ada empat opsi konfigurasi kernel yang terkait dengan IPFW:

pilihan IPFIREWALL

Termasuk kode pemfilteran paket di kernel.

Opsi IPFIREWALL_VERBOSE

Mengaktifkan pencatatan paket melalui syslogd (8). Tanpa parameter ini, meskipun Anda menentukan aturan pemfilteran untuk mencatat paket, ini tidak akan berfungsi.

Pilihan IPFIREWALL_VERBOSE_LIMIT=10

Membatasi jumlah paket yang dicatat oleh setiap aturan yang dilalui syslogd (8). Anda dapat menggunakan opsi ini jika Anda ingin mencatat operasi firewall, namun tidak ingin syslog terkena serangan DoS.

Ketika salah satu aturan dalam rantai mencapai batas yang ditentukan oleh parameter, logging untuk aturan tersebut akan dinonaktifkan. Untuk mengaktifkan logging, Anda perlu mengatur ulang penghitung yang sesuai menggunakan utilitas ipfw (8) :

#ipfw nol 4500

di mana 4500 adalah nomor aturan yang ingin Anda lanjutkan pencatatannya.

Opsi IPFIREWALL_DEFAULT_TO_ACCEPT

Mengubah aturan default dari "tolak" menjadi "izinkan". Hal ini mencegah kemungkinan pemblokiran jika kernel dimuat dengan dukungan IPFIREWALL tetapi firewall belum dikonfigurasi. Opsi ini juga berguna jika Anda menggunakannya ipfw (8) sebagai obat untuk masalah tertentu saat mereka muncul. Namun, gunakan pengaturan ini dengan hati-hati karena ini membuka firewall dan mengubah perilakunya.

Komentar: Versi FreeBSD sebelumnya menyertakan opsi IPFIREWALL_ACCT. Opsi ini sudah tidak digunakan lagi karena kode secara otomatis mengaktifkan akuntansi.

14.9.4. Menyiapkan IPFW

Perangkat lunak IPFW dikonfigurasi menggunakan utilitas ipfw (8). Sintaks untuk perintah ini terlihat sangat rumit, namun menjadi relatif sederhana setelah Anda memahami strukturnya.

Utilitas saat ini menggunakan empat kategori perintah yang berbeda: penambahan/penghapusan, daftar, pembilasan, dan pembersihan. Add/Drop digunakan untuk membuat aturan yang menentukan bagaimana paket diterima, dihapus, dan dicatat. Pencarian digunakan untuk menentukan isi seperangkat aturan (juga disebut rantai) dan penghitung paket (akuntansi). Reset digunakan untuk menghapus semua aturan dalam suatu rantai. Clear digunakan untuk mereset satu atau lebih counter ke nol.

14.9.4.1. Mengubah Aturan IPFW

ipfw [-N] perintah [angka] protokol alamat tindakan [parameter]

Ada satu tanda yang tersedia saat menggunakan bentuk perintah ini:

Menyelesaikan alamat dan nama layanan saat ditampilkan.

Dapat ditentukan tim dapat disingkat menjadi bentuk unik yang lebih pendek. Yang ada tim :

Menambahkan aturan ke daftar pemfilteran/akuntansi

Menghapus aturan dari daftar pemfilteran/akuntansi

Versi IPFW sebelumnya menggunakan entri terpisah untuk pemfilteran dan akuntansi paket. Versi modern memperhitungkan paket akun untuk setiap aturan.

Jika suatu nilai ditentukan nomor, digunakan untuk menempatkan aturan pada posisi tertentu dalam rantai. Jika tidak, aturan tersebut ditempatkan di akhir rantai dengan angka 100 lebih tinggi dari aturan sebelumnya (ini tidak termasuk aturan default nomor 65535).

Dengan parameter log, aturan terkait mengeluarkan informasi ke konsol sistem jika kernel dibuat dengan opsi IPFIREWALL_VERBOSE.

Yang ada tindakan :

Jatuhkan paket dan kirim paket ICMP ke alamat sumber yang menunjukkan bahwa host atau port tidak dapat dijangkau.

Lewati paket seperti biasa. (sinonim: lulus, mengizinkan, dan menerima)

Buang paketnya. Tidak ada pesan ICMP yang dikeluarkan ke sumbernya (seolah-olah paket tersebut tidak pernah mencapai target).

Perbarui penghitung paket, tetapi jangan terapkan aturan izinkan/tolak padanya. Pencarian akan dilanjutkan dengan aturan selanjutnya dalam sebuah rantai.

Setiap tindakan dapat ditulis sebagai awalan unik yang lebih pendek.

Berikut ini dapat didefinisikan protokol :

Cocok dengan semua paket IP

Cocok dengan paket ICMP

Cocok dengan paket TCP

Cocok dengan paket UDP

Bidang alamat dibentuk seperti ini:

sumber alamat/masker [pelabuhan] sasaran alamat/masker [pelabuhan]

Anda dapat menentukan pelabuhan hanya bersama dengan protokol port pendukung (UDP dan TCP).

Parameter via bersifat opsional dan dapat berisi alamat IP atau nama domain antarmuka IP lokal, atau nama antarmuka (misalnya ed0), parameter ini mengonfigurasi aturan agar hanya mencocokkan paket-paket yang melewati antarmuka tersebut. Nomor antarmuka dapat diganti dengan topeng opsional. Misalnya, ppp* akan sesuai dengan antarmuka kernel PPP.

Sintaks yang digunakan untuk menunjukkan alamat/masker:

alamat atau alamat/potongan topeng atau alamat:topeng templat

Alih-alih alamat IP, Anda dapat menentukan nama host yang ada. potongan topeng ini adalah angka desimal yang menunjukkan jumlah bit yang harus diatur dalam topeng alamat. Misalnya, 192.216.222.1/24 akan membuat mask yang cocok dengan semua alamat subnet Kelas C (dalam hal ini, 192.216.222). Nama host yang valid dapat ditentukan sebagai pengganti alamat IP. topeng templat ini adalah IP yang secara logis akan dikalikan dengan alamat yang diberikan. Kata kunci any dapat digunakan untuk mengartikan "alamat IP apa pun".

Nomor port ditentukan dalam format berikut:

pelabuhan [,pelabuhan [,pelabuhan [.]]]

Untuk menentukan satu port atau daftar port, atau

pelabuhan-pelabuhan

Untuk menentukan rentang port. Anda juga dapat menggabungkan satu rentang dengan daftar port, namun rentang tersebut harus selalu dicantumkan terlebih dahulu.

Tersedia parameter :

Diaktifkan jika paket tersebut bukan paket pertama dari datagram.

Cocok dengan paket masuk.

Cocok dengan paket keluar.

pilihan spesifikasi

Diaktifkan jika header IP berisi daftar parameter yang ditentukan dalam dipisahkan koma spesifikasi. Parameter IP yang didukung: ssrr (rute sumber ketat), lsrr (rute sumber longgar), rr (rekam rute paket), dan ts (cap waktu). Efek dari parameter individual dapat diubah dengan menentukan awalan!.

Didirikan

Diaktifkan jika paket tersebut merupakan bagian dari koneksi TCP yang sudah dibuat (yaitu, jika bit RST atau ACK disetel). Anda dapat meningkatkan kinerja firewall dengan menempatkan aturan didirikan dekat dengan awal rantai.

Cocok jika paket tersebut merupakan upaya untuk membuat koneksi TCP (bit SYN disetel dan bit ACK tidak disetel).

Bendera TCP bendera

Diaktifkan jika header TCP berisi daftar yang dipisahkan koma bendera. Bendera yang didukung adalah fin, syn, rst, psh, ack, dan urg. Efek aturan untuk masing-masing bendera dapat diubah dengan menentukan awalan!.

Tipe Icmp jenis

Diaktifkan jika jenis paket ICMP ada dalam daftar jenis. Daftar ini dapat ditentukan sebagai kombinasi rentang dan/atau tipe individual apa pun, dipisahkan dengan koma. Jenis ICMP yang umum digunakan adalah 0 echo reply (ping reply), 3 tujuan tidak dapat dijangkau, 5 redirect, 8 echo request (permintaan ping), dan 11 kali terlampaui (digunakan untuk menunjukkan masa berlaku TTL, seperti pada rute penelusuran (8)).

14.9.4.2. Lihat aturan IPFW

Sintaks untuk bentuk perintah ini adalah:

ipfw [-a] [-c] [-d] [-e] [-t] [-N] [-S] daftar

Ada tujuh tanda untuk bentuk perintah ini:

Tampilkan nilai penghitung. Parameter ini adalah satu-satunya cara untuk melihat nilai penghitung.

Lihat aturan dalam bentuk yang ringkas.

Tampilkan aturan dinamis selain aturan statis.

Jika opsi -d ditentukan, tampilkan juga aturan dinamis yang kedaluwarsa.

Menampilkan akhir-akhir ini menembak untuk setiap aturan dalam rantai. Daftar ini tidak kompatibel dengan sintaksis yang diterima ipfw (8) .

Cobalah untuk menyelesaikan alamat dan nama layanan yang diberikan.

Menampilkan himpunan yang dimiliki setiap aturan. Jika tanda ini tidak ditentukan, aturan yang diblokir tidak akan ditampilkan.

14.9.4.3. Menyetel ulang aturan IPFW

Sintaks untuk menyetel ulang aturan:

Semua aturan dalam rantai akan dihapus kecuali aturan default yang ditetapkan oleh kernel (nomor 65535). Berhati-hatilah saat mengatur ulang aturan; aturan yang menghapus paket secara default akan memutuskan sistem dari jaringan hingga aturan yang mengizinkan ditambahkan ke rantai.

14.9.4.4. Menghapus penghitung paket IPFW

Sintaks untuk menghapus satu atau lebih penghitung paket adalah:

ipfw nol [ indeks]

Bila digunakan tanpa argumen nomor Semua penghitung paket akan dihapus. Jika indeks ditentukan, operasi pembersihan hanya berlaku untuk aturan rangkaian yang ditentukan.

14.9.5. Contoh perintah untuk ipfw

Perintah berikut akan menolak semua paket dari host evil.crackers.org ke port telnet dari host nice.people.org:

# ipfw tambahkan tolak tcp dari evil.crackers.org ke nice.people.org 23

Contoh berikut menolak dan mencatat semua lalu lintas TCP dari jaringan crackers.org (kelas C) ke komputer Nice.people.org (di port mana pun).

# ipfw tambahkan log penolakan tcp dari evil.crackers.org/24 ke nice.people.org

Jika Anda ingin mencegah sesi X dikirim ke jaringan Anda (bagian dari jaringan kelas C), perintah berikut akan melakukan pemfilteran yang diperlukan:

# ipfw tambahkan tolak tcp dari mana pun ke pengaturan my.org/28 6000

Untuk melihat catatan akuntansi:

# ipfw -daftar atau masuk bentuk pendek# ipfw -a l

Anda juga dapat melihat kapan terakhir kali aturan dipicu menggunakan perintah:

14.9.6. Membuat Firewall dengan Packet Filtering

Saat pertama kali mengonfigurasi firewall, sebelum menguji kinerja dan mengoperasikan server, sangat disarankan untuk menggunakan versi logging dari perintah dan mengaktifkan logging di kernel. Ini akan memungkinkan Anda dengan cepat mengidentifikasi area masalah dan memperbaiki pengaturan Anda tanpa banyak usaha. Bahkan setelah pengaturan awal selesai, disarankan untuk menggunakan logging untuk "menolak" karena ini memungkinkan Anda memantau kemungkinan serangan dan mengubah aturan firewall jika persyaratan firewall Anda berubah.

Komentar: Jika Anda menggunakan versi logging dari Accept, berhati-hatilah karena dapat menimbulkan masalah besar volume data protokol. Setiap paket yang melewati firewall akan dicatat, sehingga sejumlah besar FTP/http dan lalu lintas lainnya akan memperlambat sistem secara signifikan. Hal ini juga akan meningkatkan latensi paket-paket tersebut karena kernel perlu melakukan pekerjaan ekstra sebelum membiarkan paket tersebut lewat. syslogd juga akan menggunakan lebih banyak waktu CPU karena akan mengirimkan semua data tambahan ke disk dan partisi /var/log dapat terisi dengan cepat.

Anda harus mengaktifkan firewall di /etc/rc.conf.local atau /etc/rc.conf. Halaman manual terkait menjelaskan apa sebenarnya yang perlu dilakukan dan berisi contoh pengaturan yang sudah jadi. Jika Anda tidak menggunakan preset, perintah ipfw list dapat menempatkan aturan saat ini dalam sebuah file, yang kemudian dapat ditempatkan di file startup sistem. Jika Anda tidak menggunakan /etc/rc.conf.local atau /etc/rc.conf untuk mengaktifkan firewall, penting untuk memastikan bahwa firewall diaktifkan setelah mengkonfigurasi antarmuka.

Selanjutnya, Anda perlu menentukan Apa sebenarnya membuat firewall Anda! Hal ini terutama bergantung pada seberapa banyak akses yang Anda inginkan dari luar ke jaringan Anda. Berikut beberapa di antaranya aturan umum:

    Blokir akses luar ke nomor port TCP di bawah 1024. Di sinilah paling layanan keamanan penting seperti finger, SMTP (mail) dan telnet.

    Memblokir semua lalu lintas UDP masuk. Ada sangat sedikit layanan berguna yang dijalankan melalui UDP, namun biasanya layanan tersebut menimbulkan risiko keamanan (misalnya protokol Sun RPC dan NFS). Metode ini juga memiliki kelemahan, karena protokol UDP tidak peka terhadap koneksi, dan memblokir paket masuk juga akan memblokir respons terhadap lalu lintas UDP keluar. Ini bisa menjadi masalah bagi mereka yang menggunakan server eksternal yang bekerja dengan UDP. Jika Anda ingin mengizinkan akses ke layanan ini, Anda harus mengizinkan paket masuk dari port yang sesuai. Misalnya untuk tidak Anda mungkin perlu mengizinkan paket yang datang dari port 123.

    Blokir semua lalu lintas dari luar ke port 6000. Port 6000 digunakan untuk mengakses server X11, dan dapat menimbulkan risiko keamanan (terutama jika pengguna memiliki kebiasaan menjalankan perintah xhost + di workstation mereka). X11 dapat menggunakan rentang port mulai dari 6000, batas atas ditentukan oleh jumlah tampilan X yang dapat dijalankan pada mesin. Batas atas, ditentukan oleh RFC 1700 (Assigned Numbers), adalah 6063.

    Periksa port yang digunakan oleh layanan internal (misalnya, server SQL, dll.). Mungkin ada baiknya untuk memblokir port-port ini juga, karena port-port tersebut biasanya tidak termasuk dalam kisaran 1-1024 yang tercantum di atas.

Daftar periksa lain untuk memeriksa pengaturan firewall tersedia di CERT di http://www.cert.org/tech_tips/packet_filtering.html

Sebagaimana dinyatakan di atas, semua aturan ini adil pengelolaan . Anda dapat memutuskan sendiri aturan pemfilteran mana yang akan digunakan di firewall. Kami tidak bertanggung jawab APAPUN jika jaringan Anda diretas, meskipun Anda telah mengikuti saran yang diberikan di atas.

14.9.7. Optimasi overhead dan IPFW

Banyak pengguna ingin mengetahui berapa banyak IPFW memuat sistem. Jawabannya terutama bergantung pada aturan dan kecepatan prosesor. Mengingat sejumlah kecil aturan, untuk sebagian besar aplikasi yang berjalan di Ethernet, jawabannya adalah “tidak banyak.” Bagian ini ditujukan bagi mereka yang membutuhkan jawaban yang lebih tepat.

Pengukuran selanjutnya dilakukan dengan 2.2.5-STABLE pada 486-66. (Meskipun IPFW telah sedikit berubah pada rilis FreeBSD berikutnya, kecepatannya tetap sama.) IPFW telah dimodifikasi untuk mengukur waktu yang dihabiskan oleh ip_fw_chk, mencetak hasilnya ke konsol setelah setiap paket ke-1000.

Dua set 1000 aturan diuji. Yang pertama dirancang untuk menunjukkan seperangkat aturan yang buruk dengan mengulangi aturan tersebut:

# ipfw tambahkan tolak tcp dari mana pun ke mana pun 55555

Kumpulan aturan ini buruk karena sebagian besar aturan IPFW tidak cocok dengan paket yang diperiksa (karena nomor port). Setelah iterasi ke-999 dari aturan ini, izinkan ip dari aturan apa pun ke aturan apa pun mengikuti.

Rangkaian aturan kedua dirancang untuk menguji setiap aturan secepat mungkin:

# ipfw tambahkan penolakan ip dari 1.2.3.4 ke 1.2.3.4

Alamat IP sumber yang tidak cocok dengan aturan di atas akan menyebabkan aturan ini diperiksa dengan sangat cepat. Seperti sebelumnya, aturan ke-1000 mengizinkan ip dari mana saja ke mana saja.

Biaya pemeriksaan paket pada kasus pertama adalah sekitar 2,703 ms/paket, atau sekitar 2,7 mikrodetik per aturan. Batas kecepatan pemindaian teoritis adalah sekitar 370 paket per detik. Dengan asumsi koneksi Ethernet 10 Mbps dan ukuran paket sekitar 1500 byte, kami hanya mendapatkan pemanfaatan 55,5% lebar pita.

Dalam kasus kedua, setiap paket diperiksa dalam waktu sekitar 1,172 ms, atau sekitar 1,2 mikrodetik per aturan. Batas kecepatan inspeksi teoritis adalah sekitar 853 paket per detik, yang memungkinkan penggunaan bandwidth Ethernet 10 Mbps secara penuh.

Banyaknya aturan yang diperiksa dan tipenya tidak memungkinkan kami membuat gambaran mendekati kondisi normal - aturan ini hanya digunakan untuk memperoleh informasi tentang waktu verifikasi. Berikut beberapa pedoman yang perlu dipertimbangkan untuk membuat seperangkat aturan yang efektif:

    Tempatkan aturan yang ditetapkan sedini mungkin untuk menangani sebagian besar lalu lintas TCP. Jangan letakkan izinkan aturan tcp di depannya.

    Tempatkan aturan yang sering digunakan lebih dekat ke awal kumpulan daripada aturan yang jarang digunakan (tentu saja tanpa mengubah efek keseluruhan rangkaian ). Anda dapat menentukan aturan yang paling umum digunakan dengan memeriksa penghitung paket dengan perintah ipfw -al.



2024 Tentang kenyamanan dalam rumah. meteran gas. Sistem pemanas. Persediaan air. Sistem ventilasi