Устройства защиты такие как Cisco ASA и Cisco PIX Firewall - одни из многих фаерволов на сегодняшнем рынке. Различные производители воплощают различные технологии в своих устройствах. В данной статье мы рассмотрим эти технологии. Это статья, касающаяся ступени профессиональной сертификации Cisco в области защиты сетей - Securing Networks with PIX and ASA (SNPA)

Прежде всего, определимся с терминологией. Фаерволы анализируют поток данных (трафик) в сети. Можно выделить несколько видов трафика:

• Packets – пакеты
• Connections – соединения или сессии
• State – состояние сеанса связи

Для того, чтобы разобраться в различных технологиях фаерволов, необходимо хорошее понимание эталонной сетевой модели OSI. Семиуровневая модель OSI является стандартом для сетевых коммуникаций и основой, на которой построена любая технология фильтрации.

Фаервол ( firewall ) – это преимущественно основной компонент необходимый для организации защиты периметра сети. Фаервол - это система либо группа систем, контролирующая доступ между двумя и более сетями. Функция фаервола заключается в том, чтобы разрешить либо запретить трафик, проходящий через него, основываясь на определенных правилах. Все фаерволы выполняют функцию анализа сетевого трафика и направляют его на основе набора правил, однако, методы, которые используют для этого фаерволы, могут различаться.

Существует три фундаментальные технологии, на основе которых фаерволы выполняют свою работу:

• Статическая пакетная фильтрация ( packet filtering ) – пакеты фильтруются на основе статической информации в заголовке сетевых пакетов
• Прокси-фаервол (proxy firewall) – устройство находится между клиентом и внешней сетью и все запросы и соединения клиента с внешними хостами осуществляются от имени прокси сервера
• Пакетная фильтрация с запоминанием состояния ( stateful packet filtering ) – сочетает в себе лучшее первых двух. Далее, для удобства, будем называть ее просто - динамической фильтрацией, чтобы противопоставить обычной статической пакетной фильтрации.

Статическая пакетная фильтрация (packet filtering)

Это наиболее древняя и широко применяемая технология. Статическая пакетная фильтрация используется для фильтрации пакетов, входящих в сеть, а также пакетов, проходящих между разными сегментами сети. Пакетный фаервол инспектирует входящий трафик, анализируя информацию сетевого и транспортного уровней модели OSI. Рисунок ниже отображает, каким образом трафик проходит через пакетный фаервол от источника к назначению применительно к модели OSI

Фаервол анализирует IP пакет и сравнивает его с заданным набором правил, аксес листом (ACL – Access Control List). ACLs задаются администратором вручную. Анализируются только следующие элементы:

• Адрес источника
• Порт источника
• Адрес назначения
• Порт назначения
• Протокол
• Некоторые фаерволы также могут анализировать информацию из заголовка пакета, проверяя, является ли пакет частью нового либо установленного соединения.

Если пакет, не удовлетворяет правилам заданным в ACL , по которым он может быть пропущен в защищенную сеть, пакет отбрасывается. Преимущество статической пакетной фильтрации в ее быстродействии.

У статической пакетной фильтрации есть следующие недостатки:

• Произвольный пакет будет пропущен в сеть, если он удовлетворяет правилам ACL (например, спуфинг)
• Пакеты, которые должны быть отфильтрованы, могут попасть в сеть, если они фрагментированы
• В процессе задания правил ACL могут формироваться очень большие списки, которыми сложно управлять
• Ряд сервисов не может контролироваться пакетной фильтрацией. Это, например, приложения мультимедии, где соединения динамически устанавливаются на произвольных портах, номера которых будут известны только после установки соединения

Статическая пакетная фильтрация часто используется на маршрутизаторах. Устройства защиты Cisco также могут использовать такую фильтрацию.

Прокси-фаервол (proxy-firewall)

Прокси-фаервол, называемый также прокси-сервером – это обычно прикладная программа, устанавливаемая на сервер, имеющий доступ в защищенную и внешнюю сеть.

Все соединения хостов защищенной сети с хостами внешней сети осуществляются от имени прокси-фаервола, как если бы прокси-фаервол сам устанавливал эти соединения. Хосты защищенной сети никогда сами не устанавливают соединений с внешним миром. Для установки связи, хосты внутренней сети посылают запросы прокси-фаерволу, запросы сравниваются с базой правил. Если запрос соответствует правилу в базе и разрешен, прокси-фаервол посылает запрос внешнему хосту и затем форвардит ответ внутреннему хосту.

Прокси-фаерволы работают на верхних уровнях модели OSI. Соединения устанавливаются между сетевым и транспортным уровнем, однако прокси-фаервол анализирует запрос вплоть до седьмого уровня на предмет соответствия набору правил, если все ок, он устанавливает соединение.

Анализ пакетов до седьмого уровня является большим преимуществом прокси-фаерволов. Но имеются и следующие недостатки:

Если прокси-фаервол будет взломан, доступ ко всей внутренней сети будет открыт
• Прокси-сервер – это программа работающая под управлением определенной операционной системы, поэтому прокси-сервер будет настолько безопасным, насколько безопасна сама эта система
• Значительная процессорная нагрузка для осуществления прокси сервисов, что сказывается на производительности, при увеличении числа запросов на соединение. Это самая медленная технология

Динамическая пакетная фильтрация (stateful packet filtering)

Данная технология обеспечивает лучшую комбинацию безопасности и производительности. Используется не только ACL, но также анализируется состояние сессии, записываемое в базу, которую называют таблицей состояния (state table). Эту технологию Cisco преимущественно использует в своих устройствах защиты.

После того как соединение установлено, все данные сессии сравниваются с таблицей состояния. Если данные сессии не соответствуют информации в таблице состояния для этой сессии, соединение сбрасывается.

В этой технологии сохраняется состояние каждой открытой сессии. Каждый раз, когда устанавливается разрешенное внешнее либо внутреннее TCP или UDP соединение, информация об этом соединении запоминается в таблице состояния сессий. В таблицу заносится адрес источника и назначения, номера портов, порядковые номера TCP сессии (sequence numbers), также дополнительные флаги.

Зачем это необходимо? Для анализа возвращаемых пакетов в каждой конкретной сессии на предмет их легитимности (те же порты, правильные порядковые номера сессии, флаги и тд). То есть теперь все входящие и исходящие пакеты сравниваются с информацией в таблице состояния.

То есть в общем смысл работы динамической фильтрации заключается в следующем - если соединение, запрашиваемое хостом, разрешено Cisco фаерволом, то он запоминает это и помещает информацию о соединении в таблицу состояний (state table) и при возвращении трафика, то есть при ответе другого хоста на запрос, пакеты разрешаются, если они соответствуют тому, что ожидает устройство защиты, то есть соответствуют информации, хранящейся в state table.