חומות אש

A firewall היא מערכת השולטת בתעבורת רשת בין שני אזורים בהתבסס על מערכת כללים. התעבורה מותרת, נדחתה או משתנה; האזורים הם בדרך כלל "בפנים" (רשת מהימנה) ו"בחוץ" (האינטרנט הציבורי), אם כי למיקרו-פילוח מודרני יש אזורים רבים.

דורות של חומות אש

יכולת חומת אש התפתחה במהלך דורות ניתנים לזיהוי, שכל אחד מהם הוסיף למסננים האחרונים:

XPLZ8ZXXPLs (שנות ה-80). כללים חסרי מדינה לגבי כתובות IP, מספרי יציאות ופרוטוקולים. אפשר TCP/443 ל-198.51.100.0/24, שלל את כל השאר. זול ומהיר; לא יכול לדעת תעבורה חוזרת מחיבורים חדשים.

Stateful inspection (1990s). עוקב אחר מצב חיבורי TCP. "אפשר תעבורה חוזרת לחיבורים שנוצרו" הופך לאפשרי, ומשפר באופן דרמטי את הדיוק והאבטחה של הכללים. ה-Check Point FireWall-1 היה חלוץ בתחום זה בשנת 1993.

חומת אש של שכבת יישומים (2000). בדוק את המטען, לא רק את הכותרות. חומות אש מודעות ל-HTTP (חומת אש של יישומי אינטרנט) מבינות כתובות URL, שיטות, קובצי Cookie ויכולות לאכוף מדיניות כמו "רק POST מותר ל-/api/login."

Next-Generation Firewalls (2010). אינטליגנציה מוזנת לתוך מכשיר יחיד. Palo Alto, Fortinet, Check Point, Cisco מוכרות כולן גרסאות.

Zero Trust / Identity Aware (2020s). הרשאה היא לפי בקשה, מבוססת על זהות המשתמש, תנוחת המכשיר ומדיניות דינמית - לא על אזור הרשת. פונקציית חומת האש מטשטשת לתוך פרוקסי גישה רחבים יותר (Cloudflare Access, Zscaler, BeyondCorp).

מבנה הכלל הבסיסי

לכל כלל חומת אש יש בערך אותם שדות:

• XLZ או טווח IP3937XXLZ, לפעמים מקור IP ממשק
• Destination — IP או טווח
• Protocol — TCP, UDP, ICMP, ESP וכו'. port — השירות שניגשים אליו
• Action — אפשר, דחה, התחבר, דחיית כללים מוערכים מלמעלה למטה. המשחק הראשון מנצח, אז הסדר חשוב. הדפוס המסורתי: אפשר חריגים ספציפיים, ואז default-deny.

  Stateful לעומת stateless: מדוע ההבחנה חשובה

  A מסנן חסר מצבים צריך לאפשר את שני הכיוונים של חיבור TCP בנפרד. אפשר TCP/443 יוצאת; אפשר תגובות נכנסות של TCP/443 עם ערכת סיביות ACK. הכלל הנכנס מאפשר כל חבילה עם ACK - כולל מנות בדיקה לא רצויות שנוצרו עם סיביות זו. תוקפים אמיתיים השתמשו בזה במשך שנים. חומת אש מדינתית

  A עוקבת אחר כל חיבור לפי 5-טופל שלו (מקור IP, יציאת מקור, IP יעד, יציאת יעד, פרוטוקול) וזוכרת באיזה כיוון התחיל אותו. תעבורת חזרה מותאמת לטבלת החיבורים; למנות לא רצויות שמתחזות לתשובות אין כניסה והן נשמטות. למעשה כל חומות האש המודרניות הן מצביות.

  Host Firewalls לעומת Firewalls Network

  A host firewall פועל על נקודת הקצה עצמה - חומת האש של Windows, pf ב-macOS, nftables/iptables בלינוקס. מסנן את התעבורה בערימת רשת מערכת ההפעלה לפני שיישומים רואים אותה. קל לעקוף אם נקודת הקצה נפגעת, אך מפסיק סריקת רשת אופורטוניסטית.

  A network firewall פועל על מכשיר ייעודי או נתב וירטואלי בין אזורי רשת. רואה את כל התנועה חוצה את הגבול. לא ניתן לעקוף מבלי לפגוע בחומת האש עצמה. השניים משלימים; הגנה-in-deepth משתמש בשני.

  טעויות נפוצות של חומת אש

  • Implicit allow. רשימת כללים שמסתיימת ללא הכחשה מפורשת יורשת את מדיניות ברירת המחדל, שבמוצרים מסוימים היא "אפשר". Catastrophic.
  • אפשר הכל מ"פנימי." ברגע שתוקף נמצא בתוך ההיקף, לחומת האש אין מה לעשות. אפס אמון מניח שההיקף כבר נפרץ.
  • סטים חוקים. כללים שהצטברו במשך שנים, המתייחסים לכתובות IP שהשתנו ולפרויקטים שהסתיימו. כל כלל הוא משטח התקפה; בדוק אותם.
  • יציאות מקור מהימנות. יציאות מקור הן ארעיות ונבחרות על ידי הלקוח. כללים המאפשרים יציאת מקור ספציפית יכולים להיות מופעלים על ידי כל מי שבוחר ביציאה זו.
  • ICMP blanket-block. משחרר את ההודעות שבהן תלוי נתיב MTU Discovery, ושבירת מנות גדולות בחלק מהנתיבים. אפשר ICMP סוגים 3 (לא ניתן להגיע ליעד) ו-11 (זמן חריגה) לכל הפחות.

  היכן שחומות אש נופלות היום

  עומסי עבודה בענן משנים כתובות IP תכופות, תעבורה מוצפנת מתנגדת ל-DPI, אפליקציות משתמשות בפורט 443 מבית קפה, ומשתמשים מתחברים למשרדים ובתי מלון לכל דבר. חומת האש ההיקפית הקלאסית כבר לא רואה את רוב התעבורה שחשובה. התגובה היא מרובדת: פרוקסי מודעים לזהות למשתמשים, רשת שירות לשירות לשירות, מיקרו-פילוח ברמת המארח בכל מקום. חומת האש לא נעלמה; הוא התרבה ​​והתקרב לכל עומס עבודה.