Je li vatrozid rutera dovoljan za kućnu upotrebu?

Za običnu kućnu upotrebu, da — usmjerivač s praćenjem stanja i zadanim postavkama blokira neželjeni ulazni promet, koji je glavna vanjska prijetnja. Uparite ga s razumnim OS vatrozidom na svakom uređaju i pokrili ste osnove. Vatrozidi razine poduzeća dodaju značajke (IPS, kontrola aplikacija, VPN koncentrator) koje kućna uporaba obično ne treba.

Zaobilazi li VPN vatrozid?

Iznutra, da — odlazni promet prema VPN krajnjoj točki jedan je dopušteni tok; sve ostalo se vozi unutar tog tunela. Većina korporativnih vatrozida blokira uobičajene VPN priključke upravo zbog toga. Izvana, ne — vatrozid i dalje ispušta neželjeni ulazni promet na VPN uslugu osim ako to nije izričito dopušteno.

Koja je razlika između vatrozida i IPS-a?

Vatrozid dopušta ili blokira na temelju pravila za zaglavlja (i sve više korisnih opterećenja). IPS (Intrusion Prevention System) aktivno provjerava promet radi poznatih obrazaca napada ili anomalija i može blokirati nakon otkrivanja. Moderni vatrozidi povezuju IPS funkcionalnost; konceptualno, to su različite značajke.

Mogu li jednostavno isključiti vatrozid da riješim problem s vezom?

Nemojte, čak ni privremeno. Ako veza zahtijeva isključivanje vatrozida, postoji određeni priključak ili pravilo koje treba otvoriti — pronađite koje. Onemogućavanje vatrozida tijekom "otklanjanja pogrešaka" početak je mnogih stvarnih incidenata.

Što je vatrozid web aplikacije?

WAF je specijalizirani vatrozid koji razumije HTTP. Provjerava URL staze, zaglavlja, tijela zahtjeva i kolačiće te primjenjuje pravila protiv poznatih obrazaca napada (ubacivanje SQL-a, XSS, ubacivanje naredbi). Pokreće se ispred web aplikacija, često kao dio CDN-a poput Cloudflarea ili AWS WAF. On nadopunjuje, a ne zamjenjuje vatrozide mrežnog sloja.

Objašnjenje vatrozida: filtriranje paketa, inspekcija stanja i što moderna mrežna sigurnost zapravo radi

Vatrozid je najstariji dio mrežne sigurnosti koji je još uvijek u širokoj upotrebi, a pojam se proširio na sve, od kućnog usmjerivača od 30 USD do poslovnog uređaja vrijednog milijun dolara. Razumijevanje onoga što svaka generacija zapravo radi - a što ne radi - objašnjava zašto "imamo vatrozid" gotovo nikad nije dovoljan odgovor na sigurnosno pitanje.

Cjeloviti članak nalazi se u nastavku na engleskom jeziku.

A firewall je sustav koji kontrolira mrežni promet između dvije zone na temelju skupa pravila. Promet je dopušten, odbijen ili transformiran; zone su obično "unutar" (mreža od povjerenja) i "izvan" (javni internet), iako moderna mikrosegmentacija ima mnogo zona.

Generacije vatrozida

Mogućnost vatrozida evoluirala je kroz prepoznatljive generacije, a svaka je dodala posljednjoj:

Paketni filtri (1980-ih). Pravila bez statusa o IP adresama, brojevima priključaka i protokolima. Dopusti TCP/443 198.51.100.0/24, zabrani sve ostalo. Jeftino i brzo; ne može razlikovati povratni promet od novih veza.
Stateful inspekcija (1990-ih). Prati stanje TCP veza. "Dopusti povratni promet za uspostavljene veze" postaje moguće, dramatično poboljšavajući preciznost i sigurnost pravila. Check Point FireWall-1 uveo je ovo 1993. godine.
Vatrozidi aplikacijskog sloja (2000-e). Pregledajte sadržaj, a ne samo zaglavlja. HTTP-svjesni vatrozidi (vatrozidi za web aplikacije) razumiju URL-ove, metode, kolačiće i mogu provoditi pravila poput "samo je POST dopušten za /api/prijavu."
Vatrozidi sljedeće generacije (2010.). Kombinirajte inspekciju stanja, duboku inspekciju paketa, IDS/IPS, filtriranje svjesno aplikacije i obavještavanje o prijetnjama unosi u jedan uređaj. Palo Alto, Fortinet, Check Point, Cisco sve prodajne varijante.
Zero Trust / identity-aware (2020s). Autorizacija je po zahtjevu, na temelju identiteta korisnika, položaja uređaja i dinamičke politike — ne na mrežnoj zoni. Funkcija vatrozida zamagljuje se u proxyje šireg pristupa (Cloudflare Access, Zscaler, BeyondCorp).

Osnovna struktura pravila

Svako pravilo vatrozida ima otprilike ista polja:

Izvor — IP ili raspon, ponekad sučelje
Odredište — IP ili raspon
Protokol — TCP, UDP, ICMP, ESP, itd.
Izvorni port — obično bilo koji
Odredište port — usluga kojoj se pristupa
Akcija — DOZVOLI, ODBIJAJ, ZAPISI, REJECT

Pravila se ocjenjuju odozgo prema dolje. Prvi meč pobjeđuje, tako da je redoslijed bitan. Tradicionalni obrazac: dopusti određene iznimke, a zatim zabrani zadano.

Stateful vs stateless: zašto je razlika važna

A Stateless filtar mora zasebno dopustiti oba smjera TCP veze. Dopusti izlazni TCP/443; dopustiti ulazne TCP/443 odgovore s postavljenim ACK bitom. Ulazno pravilo dopušta bilo koji paket s ACK-om — uključujući neželjene probne pakete izrađene s tim bitom. Pravi napadači to koriste godinama.

A vatrozid s praćenjem stanja prati svaku vezu prema 5-torki (izvorni IP, izvorni priključak, odredišni IP, odredišni priključak, protokol) i pamti u kojem je smjeru pokrenuta. Povratni promet uspoređuje se s tablicom povezivanja; neželjeni paketi koji se pretvaraju da su odgovori nemaju ulaz i ispuštaju se. U stvari, svi moderni vatrozidi imaju status.

Host vatrozidi u odnosu na mrežne vatrozide

A host vatrozid radi na samoj krajnjoj točki — Windows vatrozid, pf na macOS-u, nftables/iptables na Linuxu. Filtrira promet na mrežnom stogu OS-a prije nego što ga aplikacije vide. Lako se zaobilazi ako je krajnja točka ugrožena, ali zaustavlja oportunističko skeniranje mreže.

A mrežni vatrozid radi na namjenskom uređaju ili virtualnom usmjerivaču između mrežnih zona. Vidi sav promet koji prelazi granicu. Ne može se zaobići bez ugrožavanja samog vatrozida. To dvoje je komplementarno; obrana u dubini koristi oboje.

Uobičajene pogreške vatrozida

Implicitno dopusti. Popis pravila koji završava bez eksplicitnog odbijanja nasljeđuje zadanu politiku, koja je na nekim proizvodima "dopusti". Katastrofalno.
Dopuštanje svega iz "internog." Jednom kada je napadač unutar perimetra, vatrozid nema što raditi. Nulto povjerenje pretpostavlja da je perimetar već probijen.
Zastarjela pravila. Pravila nakupljena godinama, upućujući na IP adrese koje su se promijenile i projekte koji su završili. Svako pravilo je površina za napad; revidirajte ih.
Pouzdanje izvornih portova. Izvorni portovi su prolazni i odabire ih klijent. Pravila koja dopuštaju određeni izvorni priključak može pokrenuti svatko tko odabere taj priključak.
ICMP blanket-block. Isključuje poruke Put MTU Discovery ovisi, razbijanje velikih paketa na nekim putovima. Najmanje dopustite ICMP tipove 3 (odredište nedostupno) i 11 (premašeno vrijeme).

Gdje danas vatrozidi ne rade

Radna opterećenja u oblaku često mijenjaju IP adrese, kriptirani promet otporan je na DPI, aplikacije koriste priključak 443 za sve, a korisnici se povezuju iz kafića i hotela umjesto iz korporativnih ureda. Klasični perimetarski vatrozid više ne vidi većinu važnog prometa. Odgovor je slojevit: proxy-ji svjesni identiteta za korisnike, mreža usluge za uslugu-uslugu, mikrosegmentacija na razini hosta posvuda. Vatrozid nije nestao; umnožio se i približio svakom radnom opterećenju.

Često postavljana pitanja

Je li vatrozid rutera dovoljan za kućnu upotrebu?: Za običnu kućnu upotrebu, da — usmjerivač s praćenjem stanja i zadanim postavkama blokira neželjeni ulazni promet, koji je glavna vanjska prijetnja. Uparite ga s razumnim OS vatrozidom na svakom uređaju i pokrili ste osnove. Vatrozidi razine poduzeća dodaju značajke (IPS, kontrola aplikacija, VPN koncentrator) koje kućna uporaba obično ne treba.
Zaobilazi li VPN vatrozid?: Iznutra, da — odlazni promet prema VPN krajnjoj točki jedan je dopušteni tok; sve ostalo se vozi unutar tog tunela. Većina korporativnih vatrozida blokira uobičajene VPN priključke upravo zbog toga. Izvana, ne — vatrozid i dalje ispušta neželjeni ulazni promet na VPN uslugu osim ako to nije izričito dopušteno.
Koja je razlika između vatrozida i IPS-a?: Vatrozid dopušta ili blokira na temelju pravila za zaglavlja (i sve više korisnih opterećenja). IPS (Intrusion Prevention System) aktivno provjerava promet radi poznatih obrazaca napada ili anomalija i može blokirati nakon otkrivanja. Moderni vatrozidi povezuju IPS funkcionalnost; konceptualno, to su različite značajke.
Mogu li jednostavno isključiti vatrozid da riješim problem s vezom?: Nemojte, čak ni privremeno. Ako veza zahtijeva isključivanje vatrozida, postoji određeni priključak ili pravilo koje treba otvoriti — pronađite koje. Onemogućavanje vatrozida tijekom "otklanjanja pogrešaka" početak je mnogih stvarnih incidenata.
Što je vatrozid web aplikacije?: WAF je specijalizirani vatrozid koji razumije HTTP. Provjerava URL staze, zaglavlja, tijela zahtjeva i kolačiće te primjenjuje pravila protiv poznatih obrazaca napada (ubacivanje SQL-a, XSS, ubacivanje naredbi). Pokreće se ispred web aplikacija, često kao dio CDN-a poput Cloudflarea ili AWS WAF. On nadopunjuje, a ne zamjenjuje vatrozide mrežnog sloja.