2024/02/15 23:07:19

Межсетевой экран (Firewall)

Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.

Каталог систем обнаружения атак и межсетевых экранов доступен на TAdviser

Содержание

Фаервол, или брандмауэр, — термин для обозначения технических и программных средств, которые обрабатывают входящий и исходящий сетевой трафик. Проходящие данные проверяются на соответствие набору заданных правил и могут быть заблокированы от дальнейшей передачи[1].

Оба названия были заимствованы из иностранных языков и означают одно и то же: «противопожарный щит/стена» — в переводе с английского («firewall») и немецкого («brandmauer»), соответственно.

Как и проистекает из изначальной формулировки, фаервол предназначен для защиты внутренней информационной среды или ее отдельных частей от некоторых внешних потоков, и наоборот, предохраняет от прохождения отдельных пакетов вовне — например, в интернет. Фаерволы позволяют отфильтровывать подозрительный и вредоносный трафик, в том числе пресекать попытки взлома и компрометации данных.

При правильной настройке сетевой щит позволяет пользователям сети иметь доступ ко всем нужным ресурсам и отбрасывает нежелательные соединения от хакеров, вирусов и других вредоносных программ, которые пытаются пробиться в защищенную среду.


Межсетевой экран нового поколения был определен аналитиками Gartner как технология сетевой безопасности для крупных предприятий, включающая полный набор средств для проверки и предотвращения проникновений, проверки на уровне приложений и точного управления на основе политик.Интервью TAdviser: Вячеслав Касимов, ИБ-директор МКБ — о применении DevSecOps при разработке веб-приложений 8.1 т

Если организация изучает возможность использования межсетевого экрана нового поколения, то самое главное — определить, обеспечит ли такой экран возможность безопасного внедрения приложений во благо организации. На первом этапе вам потребуется получить ответы на следующие вопросы:

  • Позволит ли межсетевой экран нового поколения повысить прозрачность и понимание трафика приложений в сети?
  • Можно ли сделать политику управления трафиком более гибкой, добавив дополнительные варианты действий, кроме разрешения и запрета?
  • Будет ли ваша сеть защищена от угроз и кибератак, как известных, так и неизвестных?
  • Сможете ли вы систематически идентифицировать неизвестный трафик и управлять им?
  • Можете ли вы внедрять необходимые политики безопасности без ущерба производительности?
  • Будут ли сокращены трудозатраты вашей команды по управлению межсетевым экраном?
  • Позволит ли это упросить управление рисками и сделать данный процесс более эффективным?
  • Позволят ли внедряемые политики повысить рентабельность работы предприятия?

В случае положительного ответа на вышеприведенные вопросы можно сделать следующий шаг и обосновать переход со старых межсетевых экранов на межсетевые экраны нового поколения. После выбора поставщика или узкого круга поставщиков, выполненного с помощью заявки, последует этап оценки физических функций межсетевого экрана, выполняемой с применением трафика различных типов и комбинаций, а также объектов и политик, которые точно передают особенности бизнес-процессов организации.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Защита корпоративных сетей базируется на межсетевых экранах, которые теперь должны не только фильтровать потоки информации по портам, но и контролировать данные, передаваемые по наиболее популярным из них. По оценкам экспертов SophosLabs компании Sophos, до 80% нападений совершаются с использованием веб-браузера по протоколам HTTP или HTTPS, однако простым фильтрованием этих протоколов проблему не решить. Таким образом, к новому поколению межсетевых экранов, совмещенных с системами обнаружения вторжений, появляются новые требования.

Межсетевые экраны нового поколения рекомендуется внедрять для решения следующих задач:

  • контроля отдельных веб-приложений;
  • обнаружения вторжений по наиболее популярным протоколам, таким как HTTP, SMTP и POP3;
  • создания VPN-соединений для удаленного подключения мобильных пользователей;
  • оптимизации сетевого взаимодействия.

Следует отметить, что наличие систем обнаружения вторжений требуется также при обработке персональных данных, защите банковских и платежных систем, а также и других сложных информационных инфраструктур. Совмещение же их с межсетевыми экранами очень удобно и выгодно для пользователей.

Другие названия

Брандма́уэр (нем. Brandmauer) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «firewall».

Файрво́лл, файрво́л, файерво́л, фаерво́л — образовано транслитерацией английского термина firewall, эквивалентного термину межсетевой экран, в настоящее время не является официальным заимствованным словом в русском языке[источник не указан 169 дней].

История межсетевых экранов

Фаерволом может быть как программное средство, так и комплекс ПО и оборудования. И поначалу они были чисто железными, как и давшие им название противопожарные сооружения.

В контексте компьютерных технологий термин стал применяться в 1980-х годах. Интернет тогда был в самом начале своего применения в глобальных масштабах.

Есть мнение, что, прежде чем название фаервола пришло в реальную жизнь, оно прозвучало в фильме «Военные игры» 1983 г., где главный герой — хакер, проникший в сеть Пентагона. Возможно, это повлияло на заимствование и использование именно такого именования оборудования.

Первыми фаерволами можно назвать маршрутизаторы, которые защищали сети в конце 1980-х. Все передаваемые данные проходили сквозь них, поэтому логично было добавить им возможность фильтрации пакетов.

Функции сетевых экранов

Современная корпоративная сеть – не замкнутое информационное пространство. Зачастую это распределенная сеть, связанная с внешним ЦОДом, использующая облака и периферию, состоящая из множества сегментов. Современный корпоративный межсетевой экран должен обладать соответствующими функциями для ее защиты. Что именно нужно компаниям от файрвола, рассказывает инфографика[2].

Разновидности сетевых экранов

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

  • обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
  • происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;
  • отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

  • традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
  • персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:

  • сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
  • сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
  • уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации, на основании политик и настроек.

Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).

В зависимости от отслеживания активных соединений сетевые экраны бывают:

  • stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
  • stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

Хронология событий

2023: Российский рынок межсетевых экранов веб-приложений вырос до 4,6 млрд рублей

Российский рынок межсетевых экранов веб-приложений (WAF) в 2023 году вырос до 4,6 млрд рублей. Об этом свидетельствуют данные МТС RED, опубликованные в середине февраля 2024 года.

Основными драйверами развития рынка WAF аналитики МТС RED называют постоянный рост количества разрабатываемых веб-приложений (примерно на 11% в год) и увеличение числа, интенсивности и сложности реализуемых через них атак. Так, согласно данным исследователей, в 2023 году на атаки через веб-ресурсы пришлось более 46% от общего объема атак на компании, что на 14% превышает показатели 2022 года. Наиболее частыми мишенями для таких атак становятся финансовая сфера и ритейл.

Еще в 2022 году на российском рынке доминировали иностранные производители решений WAF, но затем отечественные вендоры начали демонстрировать стремительный подъем. Так, в 2023 году совокупная выручка российских поставщиков решений этого класса выросла на 147%. Конкуренция побудила отечественных разработчиков межсетевых экранов для веб-приложений к улучшению своих продуктов, также на рынке стали появляться новые российские игроки и сильные решения, отмечают специалисты.

«
Мониторинг и реагирование на киберинциденты, защита от DDoS-атак и от атак на веб-приложения являются наиболее востребованными сервисами – на них приходится более половины всего спроса на сервисы информационной безопасности. По сути это минимальный набор «гигиенических» мер киберзащиты компаний, - отметил руководитель направления бизнес-аналитики МТС RED Савва Ливчин.
»

По прогнозам аналитиков, объем российского рынка ПО класса WAF будет расти в среднем на 22% в год и достигнет 7,2 млрд рублей к 2026 году. При этом объем всего рынка ИБ-решений будет расти на 24,6% ежегодно, ожидают в МТС RED.

2020: 53% ИБ-экспертов считают межсетевые экраны бесполезными

29 октября 2020 года стало известно, что специалисты по информационной безопасности (ИБ) стали отказываться от использования межсетевых экранов. Большинство мотивируют это тем, что в современном мире они больше не могут обеспечить требуемый уровень защиты, сообщили CNews 29 октября 2020 года.

Потерю ИБ-специалистами доверия к брандмауэрам подтвердило исследование компании Ponemon Institute, с 2002 г. работающей в сфере информационной безопасности, проведенное совместно с компанией Guardicore из той же отрасли. Ее сотрудники опросили 603 ИБ-специалиста в американских компаниях и выяснили, что подавляющее большинство респондентов негативно отзываются о межсетевых экранах, в настоящее время используемых в их компаниях. 53% из них активно ищут другие варианты защиты сетей и устройств в них, попутно частично или полностью отказываясь от фаерволлов из-за их неэффективности, высокой стоимости и высокой сложности.

Согласно результатам опроса, 60% его участников считают, что устаревших межсетевых экранов нет необходимых возможностей для предотвращения атак на критически важные бизнес-приложения. Столько же респондентов посчитали, что устаревшие межсетевые экраны демонстрируют свою неэффективность для создания сетей с нулевым доверием (zero trust).

76% специалистов, участвовавших в опросе Ponemon Institure, пожаловались на то, что при использовании устаревших фаерволлов им требуется слишком много времени для защиты новых приложений или изменения конфигурации в существующих программах.

62% опрошенных специалистов считают, что политики контроля доступа в межсетевых экранах недостаточно детализированы, что ограничивает их способность защищать наиболее ценную информацию. 48% респондентов подчеркнули также, что внедрение межсетевых экранов занимает слишком много времени, что увеличивает их итоговую стоимость и время окупаемости.

Согласно отчету, в то время как 49% респондентов в какой-то степени внедрили модель безопасности Zero Trust, 63% считают, что устаревшие межсетевые экраны их организаций не могут обеспечить нулевое доверие в корпоративной сети. 61% респондентов отметили, что межсетевые экраны их организаций не могут предотвратить взлом дата-серверов компании, в то время как 64% считают, что устаревшие межсетевые экраны неэффективны против многих современных видов атак, включая атаки при помощи программ-вымогателей. Большинство опрошенных специалистов заявили, что фаерволлы бесполезны, когда вопрос касается и облачной безопасности. 61% уверены в их неэффективности при защите данных в облаке, а 63% считают, что нет смысла пытаться использовать их для обеспечения безопасности критически важных облачных приложений.

«
Результаты опроса показывают, что пользователей брандмауэров беспокоят номер один: смогут ли они на самом деле заставить технологии защиты нового поколения работать в своих средах. Устаревшие межсетевые экраны не обладают масштабируемостью, гибкостью или надежностью для обеспечения безопасности,

– сказал Ларри Понемон (Larry Ponemon), основатель Ponemon Institute
»

«
Итоги исследования отражают то, что уже известно многим ИТ-директорам ИБ-специалистам – цифровая трансформация сделала межсетевые экраны устаревшими. По мере того, как организации внедряют облако, интернет вещей и DevOps, чтобы стать более гибкими, устаревшие решения сетевой безопасности не только неэффективны для предотвращения атак на их сети – они даже препятствуют желаемой гибкости и скорости работы, которых компании надеются достичь,

– отметил Павел Гурвич (Pavel Gurvich), соучредитель и генеральный директор Guardicore
»

[3]

2012: Предзнаменование скорейшей кончины файрволов — растущая популярность облачных технологий

Эволюция IT-инфраструктуры и появление еще более хитроумных угроз послужили толчком для непрекращающегося беспокойства о том, что файрволы устаревают и не справляются со своими задачами. Впервые такие мнения прозвучали в конце 90-х, когда в корпоративных средах стали все чаще использоваться ноутбуки и удаленный доступ, а среди пользователей начались разговоры о растущей уязвимости сетей. Прогнозы повторились спустя несколько лет, когда стала расти популярность SSL VPN и наступил бум использования смартфонов и персональных устройств для доступа к сети. Последнее предзнаменование скорейшей кончины файрволов — растущая популярность облачных технологий[4].

Функциональность файрволов в наши дни значительно расширилась, и теперь это не просто средства мониторинга определенных портов, IP-адресов или пакетной активности между адресами и принятия решений по разрешению и отказу. Первоначально в эти системы входили функции инспекции пакетов с учетом состояния протокола, мониторинга потоков данных, сопоставления с шаблоном и анализа. Теперь файрволы детально проверяют определенную активность приложений и пользователей. Файрволы, способные идентифицировать используемые приложения, часто называют файрволами нового поколения, однако это название не совсем правильное, так как эта функциональность используется уже более десяти лет.

В любом случае, самая злободневная проблема для файрволов сегодня — изучение проходящего через них интернет-трафика и выявление используемых корпоративных и веб-приложений, а также их пользователей. Точно определять тип трафика и тех, кто его запрашивает, — жизненно важная необходимость для организаций, поскольку это позволяет им оптимизировать использование субприложений (таких как Facebook, YouTube, Google Apps и другие приложения Web 2.0) и управлять ими. Обладая такими знаниями, IT-отделы получают возможность адаптировать использование приложений в сети в соответствии с потребностями каждого пользователя и нуждами организации.

Современные файрволы не только развиваются в отношении проверки и управления трафиком, но и предоставляют дополнительные возможности обеспечения безопасности, которые организации могут активировать для обслуживания своих потребностей. Среди этих функций — URL-фильтрация, антивирус, защита от спама и ботов, предотвращение утечек данных, контроль доступа с мобильных устройств, а также многие другие, делающие файрвол мультисервисным шлюзом безопасности. С помощью модульного подхода, управляемого программным способом, можно добавлять и развертывать эти функции, усиливая защиту сети и решая новые проблемы по мере их возникновения.

Итак, сегодня файрволы не только защищают периметр сети, как они всегда это делали, но и позволяют добавлять такие возможности обеспечения безопасности, о которых нельзя было и мечтать 20 лет назад. Несмотря на регулярные предсказания неизбежной потери популярности, сейчас файрволы находятся в самом расцвете своего развития.

Примечания