Читаем Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности полностью

Традиционно большинство брандмауэров расположены как сетевые устройства между двумя или более сегментами сети. Изменилось только то, что количество управляемых сегментов увеличилось до такой степени, что некоторые брандмауэры могут управлять десятками сегментов одновременно. Современные новые программно-определяемые сети (SDN) содержат некоторые компоненты пересылки пакетов, которые могут напрямую отследить их происхождение до традиционных брандмауэров.

Многие люди считают, что даже защищенной брандмауэром сети нельзя доверять. Чесвик сказал, что внутри периметра сетевого брандмауэра находится «мягкий центр». Он также говорил, что мы должны убедиться, что все наши хосты (узлы) надежно настроены и защищены, чтобы уберечь себя от вещей, которые проходят через периметр сетевого брандмауэра.

Брандмауэры в узлах могут с этим помочь. Обычно они работают на уровне сети и пакетов, но часто имеют дополнительные возможности, поскольку интегрированы с хостом и его операционной системой. Например, брандмауэр Windows можно легко настроить как для отдельных служб, так и для пользователей и групп. Windows поставляется со встроенными почти ста правилами брандмауэра, которые включены операционной системой, даже если вы отключите управляемое пользователем программное приложение.

Многие специалисты по ИБ полагают, что каждый хост должен быть в состоянии только связаться с другими четко определенными хостами, следуя, по существу, очень безопасным, строгим правилам брандмауэра, которые определяют точно, какой трафик существует между хостами. Этот вид ультрагранулированного управления считается святым Граалем брандмауэров. К сожалению, сложность и управление такими межсетевыми экранами делает маловероятным их широкое масштабирование, выходящее за рамки некоторых небольших сверхбезопасных сценариев.

Расширенные брандмауэры существуют уже несколько десятилетий и обычно ссылаются на функции, которые традиционный брандмауэр для фильтрации пакетов не предлагает. Традиционный брандмауэр может блокировать по протоколу (по имени или номеру), но расширенный блокирует почти любой подробный индивидуальный компонент протокола (иногда называемый «глубокой проверкой пакетов»). Или может объединить несколько пакетов для идентификации определенных атак. Традиционный брандмауэр отбрасывает определенное количество пакетов, но только продвинутый вариант покажет, что вы находитесь под атакой отказа в обслуживании. Брандмауэры-приложения могут просматривать прикладные уровни сети и обнаруживать угрозу или предотвращать ее попадание на хост. Например, расширенный брандмауэр может удалить последовательность переполнения буфера из веб-сервера. Они настолько распространены, что большинство брандмауэров до некоторой степени расширены.

Брандмауэры предотвращают вредоносные атаки, происходящие из несанкционированного сетевого трафика. Традиционно удаленные атаки переполнения буфера на уязвимые серверы были угрозой номер один, с которой брандмауэры справлялись. Но со временем серверы стали более надежными (в основном благодаря тому, что их базовые операционные системы стали более безопасными по умолчанию), а брандмауэры усложнили злоумышленникам успешное использование этих типов атак. Соответственно, немногие современные атаки будут предотвращены брандмауэром из-за их реализации. Например, если конечного пользователя можно обманом заставить запустить троянскую программу, приходящую по электронной почте, брандмауэр мало что может сделать, чтобы предотвратить последующую злонамеренность. Тем не менее, поскольку брандмауэры легкодоступны (часто бесплатны и реализуются по умолчанию) и могут остановить определенные типы атак, большинство людей считают, что они должны быть активированы на каждой сети и вычислительном устройстве. Вы можете выбрать, активировать его или нет. В любом случае, этот выбор, по существу, указывает на большой успех брандмауэров.

В главе 18 представлен профиль одного из первых создателей брандмауэров, Уильяма Чесвика.

Как уже говорилось в предыдущей главе, Уильям Чесвик – один из создателей современного брандмауэра. Он взял на себя управление первым документированным брандмауэром, изобрел сетевой брандмауэр, и, если вы используете слово «прокси» в своей работе в сфере ИБ, вам следует его поблагодарить. У Чесвика более десятка патентов. Кроме того, в соавторстве со Стивеном Белловиным, в 1994 году он выпустил первую книгу о брандмауэрах Firewalls and Internet Security: Repelling the Wily Hacker (https://www.amazon.com/Firewalls-Internet-Security-RepellingHacker/dp/020163466X). Я работал с брандмауэрами и до прочтения этой книги, но она помогла мне узнать многое из того, что мне известно о брандмауэрах сейчас. Она стоит на моей книжной полке вот уже более двадцати лет.