Stačí firewall smerovača na domáce použitie?

Na bežné domáce použitie áno – stavový smerovač s predvolenými nastaveniami blokuje nevyžiadanú prichádzajúcu komunikáciu, ktorá je hlavnou vonkajšou hrozbou. Spárujte to s rozumným firewallom OS na každom zariadení a pokryli ste základy. Firewally podnikovej úrovne pridávajú funkcie (IPS, riadenie aplikácií, koncentrátor VPN), ktoré domáce použitie zvyčajne nepotrebuje.

Obchádza VPN firewall?

Zvnútra áno – odchádzajúci prenos do koncového bodu VPN je jeden povolený tok; všetko ostatné jazdí v tom tuneli. Väčšina firemných brán firewall blokuje bežné porty VPN práve z tohto dôvodu. Zvonku nie – firewall stále znižuje nevyžiadanú prichádzajúcu komunikáciu do služby VPN, pokiaľ to nie je výslovne povolené.

Aký je rozdiel medzi firewallom a IPS?

Firewall povoľuje alebo blokuje na základe pravidiel pre hlavičky (a čoraz častejšie užitočné zaťaženie). Systém IPS (Intrusion Prevention System) aktívne kontroluje prevádzku na známe vzory útokov alebo anomálie a pri detekcii môže blokovať. Moderné brány firewall spájajú funkcie IPS; koncepčne sú to odlišné črty.

Môžem vypnúť firewall, aby som vyriešil problém s pripojením?

Nie, ani dočasne. Ak pripojenie vyžaduje vypnutie brány firewall, je potrebné otvoriť konkrétny port alebo pravidlo – nájdite ktorý. Vypnutie brány firewall počas „ladenia“ bolo začiatkom mnohých skutočných incidentov.

Čo je brána firewall webovej aplikácie?

WAF je špecializovaný firewall, ktorý rozumie HTTP. Kontroluje cesty URL, hlavičky, telá požiadaviek a súbory cookie a aplikuje pravidlá proti známym vzorom útokov (vkladanie SQL, XSS, vkladanie príkazov). Beží pred webovými aplikáciami, často ako súčasť CDN ako Cloudflare alebo AWS WAF. Skôr dopĺňa než nahrádza firewally sieťovej vrstvy.

Firewally vysvetlené: Filtrovanie paketov, stavová kontrola a čo vlastne robí moderná sieťová bezpečnosť

Firewall je najstaršou súčasťou zabezpečenia siete, ktorá sa stále bežne používa, a termín sa rozšíril tak, aby pokrýval všetko od domáceho smerovača za 30 dolárov až po podnikové zariadenie za milión dolárov. Pochopenie toho, čo každá generácia skutočne robí – a čo nie – vysvetľuje, prečo „máme firewall“ takmer nikdy nie je dostatočnou odpoveďou na bezpečnostnú otázku.

Celé telo článku je uvedené v angličtine nižšie.

A firewall je systém, ktorý riadi sieťovú prevádzku medzi dvoma zónami na základe súboru pravidiel. Prevádzka je povolená, odmietnutá alebo transformovaná; zóny sú zvyčajne „vo vnútri“ (dôveryhodná sieť) a „mimo“ (verejný internet), hoci moderná mikrosegmentácia má veľa zón.

Generácie firewallov

Možnosti firewallu sa vyvinuli prostredníctvom identifikovateľných generácií, z ktorých každá sa pridáva k poslednej:

XPLPaZ80PLt filtre (80-te roky). Bezstavové pravidlá pre IP adresy, čísla portov a protokoly. Povoliť TCP/443 až 198.51.100.0/24, všetko ostatné zakázať. Lacné a rýchle; nedokáže rozoznať spätnú prevádzku od nových pripojení.

Štátna kontrola (90. roky). Sleduje stav pripojení TCP. Je možné „povoliť spätnú prevádzku pre vytvorené pripojenia“, čím sa dramaticky zlepší presnosť a bezpečnosť pravidiel. Check Point FireWall-1 to bol priekopníkom v roku 1993.

Firewally aplikačnej vrstvy (2000s). Skontrolujte užitočné zaťaženie, nielen hlavičky. Firewally s podporou HTTP (Web Application Firewalls) rozumejú URL, metódam, súborom cookie a dokážu vynútiť pravidlá ako „len POST má povolené /api/login.“

Firewally novej generácie (2010). Palo Alto, Fortinet, Check Point, Cisco všetky predávajú varianty.

Zero Trust / identity-aware (2020s). Funkcia brány firewall sa rozmazáva na širšie prístupové servery proxy (Cloudflare Access, Zscaler, BeyondCorp).

Štruktúra základného pravidla

Každé pravidlo brány firewall má približne rovnaké polia:

XPLZ38Z39ZdrojX, niekedy IP adresaX rozhranie
Cieľ — IP alebo rozsah
Protokol — TCP, UDP, ICMP, ESP atď. port — služba, ku ktorej sa pristupuje
Action — ALLOW, DENY, LOG, REJECT

Pravidlá sa vyhodnocujú zhora nadol. Prvý zápas vyhráva, takže na poradí záleží. Tradičný vzor: povoliť špecifické výnimky, potom default-deny.

Stateful verzus bezstavový: prečo na rozdiele záleží

Bezstavový filter musí povoliť oba smery pripojenia TCP oddelene. Povoliť odchádzajúce TCP/443; povoliť prichádzajúce odpovede TCP/443 s nastaveným bitom ACK. Prichádzajúce pravidlo povoľuje akýkoľvek paket s ACK – vrátane nevyžiadaných testovacích paketov vytvorených s týmto bitom. Skutoční útočníci to používajú už roky.

Stavový firewall sleduje každé spojenie podľa jeho 5-tich (zdrojová IP, zdrojový port, cieľová IP, cieľový port, protokol) a pamätá si, ktorým smerom sa začalo. Spätná prevádzka sa porovnáva s tabuľkou pripojení; nevyžiadané pakety, ktoré sa tvária ako odpovede, nemajú žiadny záznam a sú zahodené. V skutočnosti sú všetky moderné firewally stavové.

Hostiteľské firewally vs sieťové firewally

A hostiteľský firewall beží na samotnom koncovom bode — Windows Firewall, pf na macOS, nftables/iptables na Linuxe. Filtruje prenos v sieťovom zásobníku OS skôr, ako ho aplikácie uvidia. Jednoduché obídenie, ak je ohrozený koncový bod, ale zastaví príležitostné skenovanie siete.

A sieťový firewall beží na vyhradenom zariadení alebo virtuálnom smerovači medzi sieťovými zónami. Vidí všetku premávku prekračujúcu hranicu. Nedá sa obísť bez ohrozenia samotného firewallu. Tieto dva sa navzájom dopĺňajú; hĺbková obrana využíva oboje.

Bežné chyby brány firewall

Implicitné povolenie. Zoznam pravidiel, ktorý končí bez explicitného odmietnutia, zdedí predvolenú politiku, ktorá je pri niektorých produktoch „povoliť“. Katastrofické.
Povolenie všetkého z „interného“. Akonáhle sa útočník dostane do perimetra, firewall nemá čo robiť. Nulová dôvera predpokladá, že hranica je už narušená.
Zastarané pravidlá. Pravidlá nahromadené v priebehu rokov, odkazujúce na adresy IP, ktoré sa zmenili, a projekty, ktoré skončili. Každé pravidlo je útočná plocha; auditovať ich.
Dôveryhodné zdrojové porty. Zdrojové porty sú pominuteľné a vyberie si ich klient. Pravidlá, ktoré povoľujú konkrétny zdrojový port, môže spustiť ktokoľvek, kto si tento port vyberie.
ICMP deka-blok. Zahodí správy Cesta MTU Discovery závisí na niektorých cestách, čím sa prerušia veľké pakety. Minimálne povoľte ICMP typy 3 (cieľ je nedostupný) a 11 (prekročený čas).

Tam, kde dnes firewally zaostávajú,

Cloud často mení adresy IP, šifrovaná prevádzka odoláva DPI, aplikácie používajú na všetko port 443 a používatelia sa pripájajú z kaviarní a hotelov. Klasický obvodový firewall už nevidí väčšinu prevádzky, na ktorej záleží. Odozva je vrstvená: proxy servery pre používateľov uvedomujúce si identitu, sieť služieb pre službu medzi službami, mikrosegmentácia na úrovni hostiteľa všade. Firewall nezmizol; znásobil sa a posunul bližšie ku každej pracovnej záťaži.

Často kladené otázky

Stačí firewall smerovača na domáce použitie?: Na bežné domáce použitie áno – stavový smerovač s predvolenými nastaveniami blokuje nevyžiadanú prichádzajúcu komunikáciu, ktorá je hlavnou vonkajšou hrozbou. Spárujte to s rozumným firewallom OS na každom zariadení a pokryli ste základy. Firewally podnikovej úrovne pridávajú funkcie (IPS, riadenie aplikácií, koncentrátor VPN), ktoré domáce použitie zvyčajne nepotrebuje.
Obchádza VPN firewall?: Zvnútra áno – odchádzajúci prenos do koncového bodu VPN je jeden povolený tok; všetko ostatné jazdí v tom tuneli. Väčšina firemných brán firewall blokuje bežné porty VPN práve z tohto dôvodu. Zvonku nie – firewall stále znižuje nevyžiadanú prichádzajúcu komunikáciu do služby VPN, pokiaľ to nie je výslovne povolené.
Aký je rozdiel medzi firewallom a IPS?: Firewall povoľuje alebo blokuje na základe pravidiel pre hlavičky (a čoraz častejšie užitočné zaťaženie). Systém IPS (Intrusion Prevention System) aktívne kontroluje prevádzku na známe vzory útokov alebo anomálie a pri detekcii môže blokovať. Moderné brány firewall spájajú funkcie IPS; koncepčne sú to odlišné črty.
Môžem vypnúť firewall, aby som vyriešil problém s pripojením?: Nie, ani dočasne. Ak pripojenie vyžaduje vypnutie brány firewall, je potrebné otvoriť konkrétny port alebo pravidlo – nájdite ktorý. Vypnutie brány firewall počas „ladenia“ bolo začiatkom mnohých skutočných incidentov.
Čo je brána firewall webovej aplikácie?: WAF je špecializovaný firewall, ktorý rozumie HTTP. Kontroluje cesty URL, hlavičky, telá požiadaviek a súbory cookie a aplikuje pravidlá proti známym vzorom útokov (vkladanie SQL, XSS, vkladanie príkazov). Beží pred webovými aplikáciami, často ako súčasť CDN ako Cloudflare alebo AWS WAF. Skôr dopĺňa než nahrádza firewally sieťovej vrstvy.