Обзор техник атак и обхода брандмауэров

Этот вид архитектуры межсетевого экрана осуществляет политику безопасности, основанную на принципе «запрещено все, что не разрешено в явной форме». При этом пользователю ПК недоступны абсолютно все службы, кроме тех, для которых определены соответствующие полномочия. Такой подход гарантирует большой уровень безопасности, так как маршруты к защищенной подсети известны только межсетевому экрану, а от внешних систем они спрятаны.
Не очень большим минусом в этой конфигурации является то, что пользователь может случайным образом включить средства маршрутизации, создав тем самым дыру в системе защиты межсетевого экрана. Наибольшее число проектировщиков сетей предполагают, что межсетевой экран экранирующего хоста обеспечивает наибольшую безопасность, чем брандмауэр сдвоенного хоста. При проектировании брандмауэра экранирующего хоста в сеть добавляется экранирующий маршрутизатор, а хост помещается вне доступа из Интернет.
При всем этом, необходимо сконфигурировать экранирующий маршрутизатор таким способом, чтобы ему был «виден» только 1 ПК сети − хост. Пользователи сети, которые захотят зайти в Интернет, будут вынуждены пройти через сервер. Таким образом, внутренним пользователям сети будет казаться, что они имеют непосредственный выход в Internet, а сервер будет ограничивать доступ в сеть внешних пользователей.
Главный минус схемы межсетевого экрана с экранирующего хоста состоит в том, что если нападающий возмутитель сможет пробраться в хост, то перед ним окажутся незащищенные системы внутренней сети. Иной минус сопряжен с вероятной компрометацией маршрутизатора. В случае если маршрутизатор окажется скомпрометированным, внутренняя сеть будет доступна нападающему нарушителю.
Архитектура брандмауэра экранирующей подсети еще наиболее отделяет локальную сеть от Интернета. В его структуру входят 2 отдельных экранирующих маршрутизатора и сервер-посредник. При проектировании брандмауэра экранирующей подсети сервер-посредник располагается в сеть, которая состоит из 2 экранирующих маршрутизаторов. Один из них осуществляет передачу информации по локальной сети, а 2 − входящие и выходящие из Интернета сообщения.
Брандмауэр данного типа гарантирует более сильную охрану и защиту от сторонних вмешательств. В данном случае хост располагают в отдельную сеть, что ограничивает вероятность атак и сводит к минимальному вред, который может быть нанесен внутренней сети.  Область подсоединения к глобальной сети Интернет заключает в себе: пограничный маршрутизатор, внешний межсетевой экран, почтовый сервер и сервер WEB. Пограничный маршрутизатор представляет из себя 1-ю линию защиты и обеспечивает защитой внешний МЭ от трафика, который направлен на IP-адреса МЭ. Внешний МЭ обеспечивает защиту и охрану ЛВС от внешних атак и разрешает ограниченный набор трафика в соответствии с воспринятой политикой безопасности.
Для распределения зоны подсоединения к всемирной сети и области внутренних сетей применяются внутренние МЭ и коммутаторы. Внутренний МЭ предназначается с целью контроля информационных потоков меж внутренними сетями и обеспечивает: изоляцию зоны управления от основной сети; обеспечивает защиту внутренней сети путем запрета трафика из наименее защищенной зоны внешних подключений.
Межсетевые экраны
2.1 История возникновения межсетевых экранов
Межсетевое экранирование – это блокировка трафика от несанкционированных источников – является одной из самых старых сетевых технологий безопасности, но производители соответствующих сред и дальше разрабатывают новейшие подходы, которые помогают наиболее эффективно противостоять современным угрозам в меняющемся сетевом окружении и защищать корпоративные ИТ-ресурсы. Межсетевые экраны новейшего поколения дают возможность создавать политики, применяя наиболее обширный спектр контекстных данных, и обеспечивать их соблюдение.
История происхождения
Эволюция межсетевых экранов (FW — Firewall) развивалась и прошла очень долгий путь. Самые первые межсетевые экраны были разработаны в конце 80-х годов компанией DEC и работали в основном как правило на 1-х четырех уровнях модели OSI, они перехватывали трафик и анализировали пакеты на соответствие заданным правилам. Затем Check Point продемонстрировала межсетевые экраны со специальными микросхемами (ASIC) для наиболее глубокого анализа заголовков пакетов. Данные более усовершенствованные системы могли вести таблицу активных соединений и использовали ее в правилах (Stateful Packet Inspection, SPI). Технология SPI дает возможность проверять IP-адреса отправителя и получателя и контролировать порты.
Важным и большим шагом вперед считают создание FW, которые функционировали на уровне приложений. 1-ый подобный продукт был выпущен фирмой SEAL в 1991 году, а через 2 года появилось открытое решение Firewall Toolkit (FWTK) от Trusted Information Systems. Данные межсетевые экраны проверяли пакеты на всех 7 уровнях, что дает возможность применять в наборах правил расширенную информацию — не только о соединениях и их состоянии, но и об операциях с применением протокола определённого приложения. К середине 90-х годов межсетевые экраны стали способны выполнять мониторинг популярных и востребованных протоколов прикладного уровня: FTP, Gopher, SMTP и Telnet. Эти обновленные и усовершенствованные продукты (application-aware) были названы межсетевыми экранами нового поколения иными словами (Next-Generation Firewall, NGFW).
Потом TIS разработала и выпустила коммерческую версию FWTK — Gauntlet Firewall. И именно данный продукт, обладающий возможностями аутентификации пользователей, фильтрации URL, а также средствами защиты от вредоносных программ и функциями безопасности уровня пользователей приложений, вредоносных считается программ первым сеансового межсетевым межсетевым экраном «нового Экранированная поколения». или Таким относят образом, защиты формально межсетевым продуктам URL NGFW сетевым уже уровень более 15 обладающий лет, отождествить хотя сетевой сегодня в статическая этот программ термин находится вкладывают Поддерживаемый иной коммутаторы смысл.