Este suficient firewall-ul unui router pentru uz casnic?

Pentru uz casnic obișnuit, da — un router cu state cu setări implicite blochează traficul de intrare nesolicitat, care este principala amenințare externă. Asociați-l cu un firewall de sistem rezonabil pe fiecare dispozitiv și ați acoperit bazele. Firewall-urile de nivel enterprise adaugă funcții (IPS, controlul aplicațiilor, concentrator VPN) de care utilizarea acasă nu are nevoie de obicei.

Un VPN ocolește un firewall?

Din interior, da — traficul de ieșire către punctul final VPN este un flux permis; orice altceva merge în interiorul acelui tunel. Majoritatea firewall-urilor corporative blochează porturile VPN comune în special din această cauză. Din afară, nu - firewall-ul încă cade traficul de intrare nesolicitat către serviciul VPN, dacă nu este permis în mod explicit.

Care este diferența dintre un firewall și un IPS?

Un firewall permite sau blochează pe baza regulilor peste anteturi (și din ce în ce mai mult încărcături utile). Un IPS (Intrusion Prevention System) inspectează în mod activ traficul pentru modele de atac cunoscute sau anomalii și poate bloca detectarea. Firewall-urile moderne includ funcționalitate IPS; conceptual sunt caracteristici distincte.

Pot dezactiva firewall-ul pentru a remedia o problemă de conexiune?

Nu, nici măcar temporar. Dacă o conexiune necesită dezactivarea paravanului de protecție, există un anumit port sau o regulă care trebuie deschisă - găsiți care. Dezactivarea firewall-ului în timpul „depanării” a fost începutul multor incidente reale.

Ce este un paravan de protecție pentru aplicații web?

Un WAF este un firewall specializat care înțelege HTTP. Acesta inspectează căile URL, anteturile, corpurile solicitărilor și modulele cookie și aplică reguli împotriva tiparelor de atac cunoscute (injecție SQL, XSS, injectare comandă). Se rulează în fața aplicațiilor web, adesea ca parte a unui CDN precum Cloudflare sau AWS WAF. Acesta completează mai degrabă decât înlocuiește firewall-urile de nivel de rețea.

Firewall-urile explicate: filtrarea pachetelor, inspecția de stat și ceea ce face de fapt securitatea modernă a rețelei

Un firewall este cea mai veche piesă de securitate a rețelei încă utilizată pe scară largă, iar termenul s-a extins pentru a acoperi orice, de la un router de acasă de 30 USD la un dispozitiv de întreprindere de un milion de dolari. Înțelegerea a ceea ce face de fapt fiecare generație – și ce nu – explică de ce „avem un firewall” nu este aproape niciodată un răspuns suficient la o întrebare de securitate.

Întregul articol al articolului este oferit în limba engleză mai jos.

A firewall este un sistem care controlează traficul de rețea între două zone pe baza unui set de reguli. Traficul este permis, refuzat sau transformat; zonele sunt de obicei „în interior” (o rețea de încredere) și „exterior” (Internetul public), deși microsegmentarea modernă are multe zone. (1980). Reguli apatride privind adresele IP, numerele de porturi și protocoale. Permiteți TCP/443 la 198.51.100.0/24, refuzați orice altceva. Ieftin și rapid; nu pot spune traficul de retur de la conexiuni noi.

Inspecție cu starea (anii 1990). Urmărește starea conexiunilor TCP. „Permite traficul de întoarcere pentru conexiunile stabilite” devine posibil, îmbunătățind dramatic precizia și securitatea regulilor. Check Point FireWall-1 a inițiat acest lucru în 1993.

Firewall-uri la nivel de aplicație (anii 2000). Inspectați sarcina utilă, nu doar anteturile. Firewall-urile conștient de HTTP (Web Application Firewalls) înțeleg adresele URL, metodele, cookie-urile și pot aplica politici precum „doar POST este permis să /api/login”.

Next-Generation Firewalls (2010). un singur aparat. Palo Alto, Fortinet, Check Point, Cisco toate vând variante.

Zero Trust/identity-aware (2020s). Autorizarea se face la cerere, pe baza identității utilizatorului, a poziției dispozitivului și a politicii dinamice – nu pe zona de rețea. Funcția de firewall se estompează în proxy-uri de acces mai largi (Cloudflare Access, Zscaler, BeyondCorp).

Structura de bază a regulilor

Efiecare regulă de firewall are aproximativ aceleași câmpuri:

PLZ35X
PLZ38XPLZ37SXXPLZ, uneori interval IP38Z37SXXPLZ interfață
Destination — IP sau range
Protocol — TCP, UDP, ICMP, ESP, etc.
Sursă portPLZ52 — De obicei, orice XPLZ3Destinație port — serviciul care este accesat
Action — ALLOW, DENY, LOG, REJECT
Regulile sunt evaluate de sus în jos. Primul meci câștigă, așa că ordinea contează. Modelul tradițional: permiteți anumite excepții, apoi respingerea implicită.

Stateful vs fără stat: de ce este importantă distincția Filtrul fără stat

A trebuie să permită ambele direcții ale unei conexiuni TCP separat. Permite ieșire TCP/443; permiteți răspunsuri TCP/443 de intrare cu bitul ACK setat. Regula de intrare permite orice pachet cu ACK - inclusiv pachete de probă nesolicitate create cu acel bit. Atacatorii adevărați au folosit acest lucru de ani de zile.

A firewall cu stare de funcționare urmărește fiecare conexiune după 5-tuplu (IP sursă, port sursă, IP de destinație, port de destinație, protocol) și își amintește în ce direcție a început-o. Traficul de retur este comparat cu tabelul de conexiuni; pachetele nesolicitate care pretind a fi răspunsuri nu au nicio intrare și sunt abandonate. Efectiv, toate firewall-urile moderne sunt cu stare. Filtrează traficul din stiva de rețea a sistemului de operare înainte ca aplicațiile să-l vadă. Ușor de ocolit dacă punctul final este compromis, dar oprește scanarea oportunistă a rețelei. Vede tot traficul care traversează granița. Nu poate fi ocolit fără a compromite firewall-ul în sine. Cele două sunt complementare; apărarea-în profunzime folosește ambele.

Greșeli obișnuite de firewall

Implicit allow. O listă de reguli care se termină fără o refuz explicit moștenește politica implicită, care pentru unele produse este „permite”. Catastrophic.
Permiterea tuturor de la „intern”. Odată ce un atacator se află în perimetru, firewall-ul nu are nimic de făcut. Zero-trust presupune că perimetrul este deja încălcat.
Reguli învechite. Reguli acumulate de-a lungul anilor, care fac referire la IP-uri care s-au schimbat și proiecte care s-au încheiat. Fiecare regulă este suprafață de atac; auditați-le.
Porturile sursă de încredere. Porturile sursă sunt efemere și alese de client. Regulile care permit un anumit port sursă pot fi declanșate de oricine alege acel port.
ICMP blanket-block. Elimina mesajele Calea MTU de care depinde descoperirea, rupând pachete mari pe unele căi. Permiteți ICMP tipurile 3 (destinație inaccesabilă) și 11 (timp depășit) la minimum.

Unde firewall-urile nu se potrivesc astăzi

Scărcăturile de lucru în cloud schimbă frecvent IP-urile, traficul criptat rezistă DPI, aplicațiile folosesc portul 443 în loc de cafenele, iar utilizatorii se conectează de la cafenele și companiile de birou. Firewall-ul clasic de perimetru nu mai vede cea mai mare parte a traficului care contează. Răspunsul este stratificat: proxy-uri conștient de identitate pentru utilizatori, rețea de servicii pentru serviciu-la-serviciu, micro-segmentare la nivel de gazdă peste tot. Firewall-ul nu a dispărut; s-a înmulțit și s-a apropiat de fiecare sarcină de lucru.

Întrebări frecvente

Este suficient firewall-ul unui router pentru uz casnic?: Pentru uz casnic obișnuit, da — un router cu state cu setări implicite blochează traficul de intrare nesolicitat, care este principala amenințare externă. Asociați-l cu un firewall de sistem rezonabil pe fiecare dispozitiv și ați acoperit bazele. Firewall-urile de nivel enterprise adaugă funcții (IPS, controlul aplicațiilor, concentrator VPN) de care utilizarea acasă nu are nevoie de obicei.
Un VPN ocolește un firewall?: Din interior, da — traficul de ieșire către punctul final VPN este un flux permis; orice altceva merge în interiorul acelui tunel. Majoritatea firewall-urilor corporative blochează porturile VPN comune în special din această cauză. Din afară, nu - firewall-ul încă cade traficul de intrare nesolicitat către serviciul VPN, dacă nu este permis în mod explicit.
Care este diferența dintre un firewall și un IPS?: Un firewall permite sau blochează pe baza regulilor peste anteturi (și din ce în ce mai mult încărcături utile). Un IPS (Intrusion Prevention System) inspectează în mod activ traficul pentru modele de atac cunoscute sau anomalii și poate bloca detectarea. Firewall-urile moderne includ funcționalitate IPS; conceptual sunt caracteristici distincte.
Pot dezactiva firewall-ul pentru a remedia o problemă de conexiune?: Nu, nici măcar temporar. Dacă o conexiune necesită dezactivarea paravanului de protecție, există un anumit port sau o regulă care trebuie deschisă - găsiți care. Dezactivarea firewall-ului în timpul „depanării” a fost începutul multor incidente reale.
Ce este un paravan de protecție pentru aplicații web?: Un WAF este un firewall specializat care înțelege HTTP. Acesta inspectează căile URL, anteturile, corpurile solicitărilor și modulele cookie și aplică reguli împotriva tiparelor de atac cunoscute (injecție SQL, XSS, injectare comandă). Se rulează în fața aplicațiilor web, adesea ca parte a unui CDN precum Cloudflare sau AWS WAF. Acesta completează mai degrabă decât înlocuiește firewall-urile de nivel de rețea.