Una mirada debajo de la capilla de los productos de Firewalling
En el sentido esotérico, los componentes de un cortafuego existen en la mente de la persona que los construye. Un cortafuego, en su inicio, es un concepto más bien que un producto; es la idea que rodea el mecanismo del control de acceso que permite tráfico a y desde su red. En el sentido más general, un cortafuego consiste en software y el hardware. El software puede ser propietario, shareware, o freeware. El hardware puede ser cualquier hardware que apoye el software. Las tecnologías del cortafuego se pueden clasificar generalmente en una de tres categorías: · Paquete-filtro–basado (generalmente rebajadoras, IOS del Cisco, etcétera) · Paquete-filtro de Stateful–basado (punto de comprobación FW-1, PIX, etcétera) · Poder-basado (guantelete del NAI, Axent Raptor, etcétera) Brevemente examinemos cada uno. El Paquete-Filtro–Basó CortafuegosLos cortafuegos de filtración del paquete son típicamente rebajadoras con capacidades de paquete-filtracio'n. Usando una rebajadora de paquete-filtracio'n básica, usted puede conceder o negar el acceso a su sitio basado en varias variables, incluyendo · Dirección de la fuente · Dirección de destinación · Protocolo · Número de acceso los cortafuegos Rebajadora-basados son populares porque se ponen en ejecucio'n fácilmente. (usted enchufa simplemente uno, proporciona un Access Control List, y le hacen.) Por otra parte, las rebajadoras ofrecen una solución integrada. Si su red está conectada permanentemente con el Internet, youneed una rebajadora de todos modos. ¿Así pues, por qué no matar a dos pájaros con una piedra? Por otra parte, los cortafuegos rebajadora-basados tienen varias deficiencias. Primero, no están preparados generalmente para manejar cierto tipo de negación de los ataques del servicio. Muchas de la negación de las táctica del servicio usadas en el Internet se basan hoy en mangling del paquete, flooding de SYN, o forzando otras anomalías de TCP/IP-based. Las rebajadoras básicas no se diseñan para manejar estos tipos de ataques. En segundo lugar, la mayoría de las rebajadoras no pueden no perder de vista datos del estado de la sesión. Entonces fuerzan a los administradores mantener todos los puertos sobre 1024 abiertos para manejar sesiones del TCP y negociaciones de la sesión correctamente. Aunque esto no es discutible una preocupación enorme de la seguridad (porque no debe haber el ningún escuchar mantiene el funcionamiento en esos puertos de todos modos), no es generalmente una buena práctica dejar puertos inusitados abiertos al exterior. Finalmente, usando ACLs (el control de acceso enumera) en las rebajadoras high-end que están apoyando las redes extremadamente ocupadas pueden contribuir a la degradación del funcionamiento y a una carga más alta de la CPU. Sin embargo, para la mayoría de las conexiones de poca velocidad (tales como circuitos T1) en las rebajadoras del bajo-extremo (tales como Cisco las rebajadoras de 2500 series), la filtración normal del paquete no gravará la rebajadora a cualquier grado significativo. Nota Durante mucho tiempo, fue creído que poner las listas del control de acceso (ACLs) en las rebajadoras degradaría grandemente su funcionamiento. Aunque pegaron 100 una regla ACL en un Cisco 7000 las conexiones de soporte de las docena atmósferas no pudieron ser las mejores de ideas, la colocación de ACLs básico en las rebajadoras que apoyan (10Mbps o bajar) conexiones de poca velocidad no degrada generalmente su funcionamiento perceptiblemente. Dos miembros del subterráneo, rfp y NightAxis, publicaron algunos resultados básicos en este tema que se puede encontrar en http://www.wiretrip.net/rfp/. Desde entonces, otros estudios también se han realizado (su kilometraje puede variar). Recuerde, incluso el Cisco del bajo-extremo que las rebajadoras de 2500 series fueron basadas en sistemas de la viruta de Motorola 68030 y 68040, y los más nuevos están utilizando aún más virutas RISC-basadas avanzadas. Las rebajadoras son más de gran alcance entonces mucha gente les dan el crédito para. Pruébelo usted mismo—ven lo que usted encuentra. Extremidad Muchos administradores de la red utilizarán ACLs en sus rebajadoras del perímetro conjuntamente con un cortafuego más avanzado para crear un acercamiento ma's multitier al control de acceso de red. El Paquete-Filtro De Stateful–Basó CortafuegosEstructuras de filtración del paquete de Stateful en el concepto y las tomas de filtración del paquete él algunos pasos más lejos. Los cortafuegos construidos en este modelo no pierden de vista sesiones y conexiones en tablas internas del estado, y pueden por lo tanto reaccionar por consiguiente. Debido a esto, los productos basados–de paquete-filtracio'n stateful son más flexibles que sus contrapartes de paquete-filtracio'n puras. Además, los productos basados de paquete-filtracio'n–ma's stateful se diseñan para proteger contra ciertos tipos de ataques del DOS, y para agregar la protección para el correo Smtp-basado y un surtido de otras características seguridad-especi'ficas. El punto de comprobación inició la técnica llamada la "inspección stateful" (SI), que toma el paquete stateful que se filtra encima de una muesca. El SI permite a administradores construir reglas del cortafuego para examinar la carga útil real de los datos, algo entonces apenas las direcciones y los puertos. Nota Porque los cortafuegos basados–de paquete-filtracio'n stateful siguen estados de la sesión, pueden guardar los puertos sobre 1024 cerrados por el defecto y abrir solamente los puertos altos sobre una base como-necesaria. Tan simple como esto pudo sonar, esta es la razón por la cual la mayoría de los administradores consideran el paquete stateful que se filtra para ser la tecnología mínima que pondrán en ejecucio'n para sus soluciones del cortafuego. Cortafuegos Poder-BasadosOtro tipo de cortafuego es el cortafuego poder-basado (designado a veces una entrada o un uso-poder del uso). Cuando un usuario alejado entra en contacto con una red que funciona un cortafuego poder-basado, los poderes del cortafuego la conexión. Con este IP de la técnica los paquetes no se remiten directamente a la red interna. En lugar, un tipo de traducción ocurre, con el cortafuego actuando como el conducto y el intérprete. ¿Cómo esto diferencia del paquete stateful que se filtra y paquete genérico que se filtra, usted pide? Buena pregunta—y una que mucha gente hace. Los filtros del paquete y los procedimientos de filtrado stateful examinan los paquetes entrantes y salientes en los niveles de la red y de la sesión. Examinan fuente del IP y direcciones de destinación junto con puertos y banderas del estado, las comparan a sus sistemas de la regla e información de la tabla, y después deciden si el paquete debe ser remitido. los cortafuegos Poder-basados, por otra parte, examinan tráfico en el nivel del uso además de niveles más bajos. Un paquete viene en el cortafuego y se da apagado a un poder application-specific, que examina la validez de la petición sí mismo del paquete y del uso-nivel. Por ejemplo, si una petición del Web (HTTP) viene en un cortafuego poder-basado, la carga útil de los datos que contiene la petición del HTTP será dada a un proceso del HTTP-PODER. Una petición del ftp sería dada a un proceso del Ftp-poder, telnet a un proceso del poder del telnet, etcétera. Este concepto de un acercamiento del protocolo-por-protocolo es entonces un paquete stateful y genérico más seguro que se filtra porque el cortafuego entiende los protocolos de uso ellos mismos (HTTP, ftp, smtp, ESTALLIDO, etcétera). Es más difícil que los intrusos hagan furtivamente más allá algo que está mirando más que apenas los puertos y las direcciones del IP. Sin embargo, note que utilicé la palabra "concepto" en referencia a ella que era más segura. La verdad de la materia está ésa en usos del mundo real, este acercamiento ha tenido su parte justa de problemas. los cortafuegos Poder-basados han sido siempre entonces basados de paquete-filtraciones–stateful los más lentos. Ahora, para la mayoría de las redes (10Mbps o más lento), esta diferencia es discutible. Sin embargo, porque las redes pesadamente cargadas (T3s en 45Mbps, T3s múltiple que acerca a 100Mbps, etcétera), éste se convierte una edición mucho más grande. Pues la tecnología mejora, el boquete pudo cerrarse, pero para ahora el uso de la tecnología poder-basada pura todavía está una preocupación por redes en grandes cantidades. Además del problema de funcionamiento, la solución poder-basada también tiene algunas ediciones de la adaptabilidad. Suponga, por ejemplo, que un nuevo protocolo está inventado para manejar sus cafeteras en el país. Para el motivo del ejemplo, llamaremos este protocolo el sistema de control de la filtración, o las PC para el cortocircuito. Ahora, déjenos también asumen que las PC utilizan el TCP y funcionan el puerto excesivo 666. Los administradores de cortafuegos basados–de paquete-filtracio'n stateful tendrán que simplemente construir una nueva regla en su cortafuego permitiendo tráfico sobre el TCP en el puerto 666, y es un reparto hecho. Los administradores de cortafuegos poder-basados, sin embargo, tienen un nuevo problema: No tienen un poder (con todo) para las PC. Es un protocolo brandnew. Aunque algunos cortafuegos poder-basados (tales como guantelete del NAI) tienen un poder genérico para tales problemas, ahora estamos de nuevo al paquete básico que se filtra, con el cual derrota el propósito del tener un poder a comenzar. Sin embargo, tomando a este ejemplo una medida más lejos, digamos al vendedor poder-basado del cortafuego escribe eventual un PCS-proxy, y todo está bien en Coffeeville. Pronto después de, algunos contratistas dañosos del helpdesk resucitan sus viejas copias de la CONDENACIÓN de la red, que también funciona el puerto excesivo 666, y ella procura comenzar a abusar de un viejo apego. Bajo-y-low-and-behold, la CONDENACIÓN de la red no la hará a través del cortafuego poder-basado, sino que con basado–de paquete-filtracio'n el stateful. esto es un artículo agregado por Craig Nelson
|
|||||
|