Firewall что это в роутере
Что такое Firewall в роутере?
Содержание:
Firewall – это заимствованный из английского языка термин, который переводится как «противопожарная стена». Эта система активно используется в сетевом оборудовании и компьютерах для защиты подключения от различных вирусов и хакерских атак.
Что такое Firewall
Другое название Firewall – межсетевой экран. По сути, это специальный фильтр, который проверяет информацию, полученную из интернета, на предмет наличия вредоносных данных. Например, вирусов. Он сравнивает пакеты данных, приходящие на устройства, с определенной базой, чтобы выделить среди них потенциально опасные.
Но это лишь первая «линия баррикад», потому не стоит полностью на него полагаться. Система защиты поможет избежать самых распространенных проблем, однако не гарантирует 100%-ную безопасность устройства.
Для чего нужен Firewall в роутере
Этот межсетевой экран применяется в роутерах для того, чтобы обезопасить сетевые подключения. Он блокирует вредоносные данные еще на стадии попадания в сеть пользователя, тем самым потенциально спасая все устройства, которые в нее входят.
Практически все современные устройства поставляются со встроенным Firewall, что обеспечивает хотя бы минимальную степень безопасности. Выбирая роутер, рекомендуется отдельное внимание уделить наличию или отсутствию такого функционала. Вполне возможно, что бюджетный вариант не будет им оснащен и станет причиной огромного количества проблем из-за хакерских атак или различных вирусов. На безопасности в данном случае экономить не стоит.
Как настроить Firewall в роутере
Можно выделить 3 основных уровня защиты, которые может предоставлять среднестатистический роутер с Firewall:
Названия и отдельные детали этого параметра могут сильно различаться в зависимости от множества параметров. Важно помнить, что большинство провайдеров требуют, чтобы пользователи выставляли определенные настройки, оптимально подходящие для используемого подключения. Поэтому попытка самостоятельно что-то поменять может привести к отключению интернет-соединения.
Заключение
Firewall в роутере нужен в абсолютном большинстве случаев. Каждый год количество вредоносных программ и приложений, вирусов и хакерских атак возрастает на порядок. Никто не может дать 100%-ной гарантии, что устройства пользователя будут защищены абсолютно от всех угроз, однако такая система обороны ПК значительно повышает уровень безопасности сети.
Оставьте свою электронную почту и получайте самые свежие статьи из нашего блога. Подписывайтесь, чтобы ничего не пропустить
Маршрутизируем и защищаем сеть
Роутер (router) в переводе с английского дословно означает маршрутизатор. Но, как всегда, дословный перевод не всегда отражает реальность. Модели «роутеров для доступа в Интернет», предлагаемые большинством вендоров, по факту представляют собой межсетевой экран, сочетающий и простые функции вроде фильтрации по MAC, и «продвинутые» анализаторы, например, контроль приложений (Application Patrol).
Так что же такое маршрутизатор, межсетевой экран, и где их можно встретить?
Маршрутизатор
В самом названии маршрутизатор заключена расшифровка его предназначения.
В классическом (академическом) представлении маршрутизатор нужен для трансляции пакетов между раздельными IP сетями. Это решает вопрос объединения разрозненных LAN и предотвращения роста широковещательного трафика в одной большой локальной сети разделением её на сегменты. Разумеется, для правильного перенаправления трафика необходимо знать, куда его отправлять, то есть выстраивать маршрут (автор благодарит «Капитана Очевидность» за точную формулировку).
Современные модели маршрутизаторов работают выше 3-го уровня модели OSI. Помимо трансляции IP пакетов из одной сети в другую, эти устройства часто имеют функции управления трафиком, например, возможность закрывать/открывать TCP или UPD порты, выполнять функции Port Address Translation, PAT (иногда называется Destination NAT, DNAT) и так далее. Также для работы некоторых протоколов необходимо, чтобы маршрутизатор умел работать как Application-level gateway, ALG, для обеспечения работы таких протоколов как: PPTP, IPsec, RTSP, SIP, H.323, SMTP, DNS, TFTP.
Маршрутизатором может быть и старый компьютер с настроенной таблицей маршрутов, и специализированное сетевое устройство, которое только и делает, что анализирует простейшие условия вроде списков ACL и перебрасывает пакеты из одной сети в другую.
В частности, маршрутизаторы в виде отдельных устройств применяются, если требуется не только логическое (VLAN) но и физическое разделение на подсети. Например, нужно отделить сеть кампуса, где живут студенты, от университетской сети, где идут исследования.
В современных локальных сетях вместо маршрутизаторов в виде отдельных устройств часто используются коммутаторы L3, позволяющие управлять VLAN, и соответственно, отдельными подсетями.
Пример из практики. Сеть небольшого предприятия, где в качестве ядра сети использовался Cisco Catalyst 3750. Согласно требованиям безопасности, коммутаторы уровня доступа были настроены по принципу: один коммутатор — одна подсеть — один VLAN. Для удешевления проекта выбрали свичи от 3Com. Проще говоря, каждый 3Com был подключен строго в одном VLAN и в одной подсети, а пакеты между подсетями ходили через Catalyst.
С задачей маршрутизацией между VLAN вполне справится L3 коммутатор Zyxel XGS4600-32. Помимо перенаправления пакетов он обладает ещё множеством полезных функций.
Рисунок 1. Коммутатор Zyxel XGS4600-32 L3 с функциями маршрутизатора.
Межсетевой экран
Обычный набор встроенных функций МСЭ (межсетевой экран): антивирус, IDP, патруль приложений — позволяет проверять трафик вплоть до 7 уровня OSI. Помимо этого, есть и другие возможности контроля, отсутствующие в обычных маршрутизаторах.
Разумеется, многие межсетевые экраны обладают стандартным «джентльменским набором» типичного маршрутизатора. Но «сила» МСЭ определяется наличием функций по фильтрации и управлению трафиком, а также усиленном аппаратным обеспечением для реализации этих задач.
Стоит отметить, что набор возможностей фильтрации того или иного устройства МСЭ вовсе не означает: «Чем больше функций смогли «накрутить», тем «лучше» межсетевой экран». Основной ошибкой было бы при покупке делать акцент на длине перечня всевозможных «фишек», без учета конкретного предназначения, конструктивных особенностей, параметров быстродействия и других факторов. Все должно быть строго дозировано и сбалансировано без перекосов в сторону «сверхбезопасности» или «суперэкономии».
И тут администратор сети сталкивается с первой проблемой. Если для SOHO сегмента не так уж сложно сформулировать типичный набор требований, то для корпоративного сегмента это требует дополнительной подготовки. Для лучшего удовлетворения нужд бизнеса существуют различные устройства — каждое под свою нишу. Например, для VPN Gateway набор функций по обеспечению безопасности, разумеется, играет большую роль, но основной задачей является все же создание и поддержание работоспособности VPN каналов. В качестве примера такого устройства можно привести ZyWALL VPN1000
Рисунок 2. Межсетевой экран VPN — ZyWALL VPN1000
А вот для Secure Gateway всевозможные фильтры, «Песочница» и другие виды проверок стоят на первом месте. В качестве примера такого специализированного устройства для повышения уровня защиты можно привести ZyWALL ATP800.
Рисунок 3. Межсетевой экран для обеспечения безопасности — ZyWALL ATP800.
Как видно из рисунков, внешний вид подобных устройств может быть весьма схож, а всё отличие заключается внутри — программном и аппаратном обеспечении. Более подробно об можно прочитать в статье «Для тех, кто выбирает межсетевой экран».
Механизмы защиты межсетевых экранов
Теперь, когда мы обсудили отличия между маршрутизаторами и сетевыми экранами, а также между различными типами межсетевых экранов — самое время поговорить о методах поддержания требуемого уровня безопасности. Какие этапы защиты, через которые проходит трафик, помогают поддерживать сеть в безопасности?
Firewall
Данный сервис перешел «по наследству» от маршрутизаторов. При помощи файрвола отслеживаются и блокируются нежелательные адреса, закрываются порты, анализируются другие признаки пакетов, по которым можно «вычислить» нежелательный трафик. На этом этапе происходит отражения большого числа угроз, таких как попытки соединиться с общедоступными TCP портами, бомбардировка пакетами с целью выведения системы из строя и так далее.
IP Reputation
Это облачное расширение функций обычного файрвола и безусловный шаг вперед. Дело в том, что в обычной ситуации система ничего не знает об источнике или приемнике (в зависимости от типа трафика). Если это явно не прописано в правилах файрвола, например, «Запретить», то трафик будет проходить, пусть даже от самых вредоносных сайтов. Функция IP Reputation позволяет проверить, является ли IP-адрес подозрительным или «засветился» в той или иной базе данных по проверке репутации. Если со стороны базы данных поступили сведения о плохой репутации IP адреса, то появляется возможность для маневра: оставить прохождение трафика без изменений, запретить полностью или разрешить при определенном условии.
Проверка происходит быстро, потому что отправляется только сам IP адрес и короткий запрос, ответ также приходит в крайне лаконичной форме, что не оказывает сильного влияние на объем трафика.
SSL Inspection
Позволяет проверять трафик, зашифрованный по протоколу SSL для того, чтобы остальные профили МСЭ могли раскрывать пакеты и работать с SSL трафиком как с незашифрованным. Когда информационный поток защищен от внешнего доступа при помощи шифрования, то и проверить его не представляется возможным — для этого тоже нужен доступ к его содержанию. Поэтому на этапе проверки трафик расшифровывается, прочитывается системой контроля и повторно шифруется, после чего передается в пункт назначения.
С одной стороны, внешне это напоминает атаку man-in-middle, что выглядит как нарушение системы защиты. С другой стороны, SSL шифрование защищает не только полезную информацию, но и всевозможные нарушения корпоративной безопасности. Поэтому применение SSL Inspection на этапе санкционированной проверки выглядит весьма оправданным.
Intrusion Detection/Prevention Service
Системы обнаружения вторжений Intrusion Detection System, IDS, давно нашли применение в межсетевых экранах. Данная функция предназначена для сетевого мониторинга, анализа и оповещения в случае обнаружения сетевой атаки. Механизм IDS основывается на определённом шаблоне и оповещает при обнаружении подозрительного трафика. К сожалению, IDS сами по себе не в состоянии остановить атаку, они лишь оповещают о ней.
А вот система предотвращения вторжений — Intrusion Prevention Service, IPS, является определенным шагом вперед и, помимо обнаружения нежелательного трафика, способна сама блокировать или отбрасывать нежелательные пакеты. Тем самым предотвращая попытки взлома или просто нежелательные события.
Для обеспечения работы IPS — используются специальные сигнатуры, благодаря которым можно распознавать нежелательный трафик и защищать сеть как от широко известных, так и от неизвестных атак. Помимо предотвращения вторжения и распространение вредоносного кода, IPS позволяет снизить нагрузку на сеть, блокируя опасный или попросту бесполезный трафик. База данных IPS включает информацию о глобальных атаках и вторжениях, собранную на публичных или специализированных закрытых сайтах, что позволяет обнаружить сетевые атаки при минимальном количестве ошибочных срабатываний.
Antimalware
Исторически под этим названием понимают классический антивирус, но в последнее время область применения данного механизма защиты значительно расширена и включает в себя не только защиту от вирусов, но и от другого вредоносного кода, включая фишинговые приложения, небезопасные скрипты и так далее.
В качестве «движка» (engine) в межсетевых шлюзах Zyxel используются локальные сигнатуры от BitDefender и облачные от McAfee.
Sandbox
Традиционно из самых больших проблем сетевой безопасности является постоянное распространение новых вирусов.
Выше уже описывались другие средства защиты: IPS и антивирус (antimalware) для защиты сетей. Однако эти две функции не всегда эффективны против новых модификаций вредоносного кода. Зачастую приходится сталкиваться с мнением о том, что антивирус «на потоке» способен определить только очень простые и широко известные угрозы, в первую очередь полагаясь на записи в антивирусных базах. Для более серьезных случаев требуется поведенческий анализ. Грубо говоря, нужно создать для предполагаемого вредоносного кода комфортные условия и попробовать его запустить.
Как раз «Песочница» (Sandbox) — это и есть виртуализированная, изолированная и безопасная среда, в которой запускаются неизвестные файлы для анализа их поведения.
«Песочница» работает следующим образом:
Когда файл проходит через вирусную программу, она сначала проверяет базу данных защиты от вредоносных программ.
Если файл неизвестен, его копия перенаправляется в Sandbox.
Эта служба проверяет файл и определяет, является ли он нормальным, подозрительным или опасным.
По результатам проверки «Песочница», размещенная в облаке, получит новую информацию об этом новом элементе и сохранить её в своей базе данных для аналогичных случаев. Таким образом, облачная архитектура не только делает его общедоступным, но и позволяет постоянно обновлять в режиме реального времени.
В свою очередь, база данных защиты от вредоносных программ регулярно синхронизируется с «Песочницей», чтобы поддерживать ее в актуальном состоянии и блокировать новые вредоносные вирусы в режиме реального времени.
E-mail security
Данная служба включает в себя антиспам и проверку на фишинговые вложения.
В качестве инструментов в настройках «Anti-Spam» доступно:
Примечание. DNSBL — это базы данных, где указываются домены и IP адреса подозрительных серверов. Существует большое число серверов DNSBL которые отслеживают IP адреса почтовых серверов, имеющих репутацию источников спама и заносят их в свои базы данных.
Content Filtering
Говоря про контентную фильтрацию, в данном случае мы будем иметь в виду ZYXEL Content Filtering 2.0, который служит для управления и контроля доступа пользователей к сети.
Механизм наблюдения Zyxel Content Filtering 2.0 изучает особенности поведения пользователей в Интернет. Это позволяет оперативно сканировать принимаемую информацию из глобальной сети.
Проще говоря, данная система повышает уровень безопасности, блокируя доступ к опасным и подозрительным веб-сайтам и предотвращает загрузку с них вредоносного кода. В целях стандартизации и унификации настроек можно применять политики, например, для точно настраиваемой блокировки и фильтрации.
Если говорить об изменениях (собственно, почему «2.0»), то в новой версии Content Filtering были внесены несколько существенных изменений, в частности:
Переход на Content Filtering 2.0 происходит через загрузку соответствующего микрокода.
Отдельно стоит сказать о пополнении информационной базы. За счет обработки более 17 миллиардов транзакций каждый день, выполняемых 600 миллионами пользователей из 200 стран, пополняется глобальная база данных, и с каждым новым «знанием» повышается степень защиты системы. Стоит также отметить, что >99% контролируемого контента уже содержится в локальном кэше, что позволяет быстрее обрабатывать поступающие запросы.
Таблица 1. Security Service Content Filtering 2.0 — Схема применения.
Application Patrol
Данная служба работает на 7 уровне OSI и проверяет популярные сетевые приложения, включая социальные сети, игры, бизнес-приложения совместно с моделью их поведения.
В Zyxel Application Patrol применяется модуль Deep Packet Inspection (DPI) для контроля использование сети. Данный модуль распознает 19 категорий приложений, что позволяет адаптировать протоколы управления с учетом конкретных приложений и их поведения.
Среди механизмов защиты можно отметить: назначение приоритетов для приложений, контроль полосы пропускания для каждого приложения, блокировка нежелательных приложений. Данные меры не только повышают уровень безопасности, но и улучшают работу сети в целом, например, через запрет нецелевого использования полосы пропускания.
Основой для идентификации приложений служат специальные сигнатуры, полученные благодаря анализу данных, модели поведения и так далее. Собранная информация хранится в база данных Zyxel и содержит данные о большом количестве различных приложений, включая особенности их поведения, генерируемый трафик и так далее. База данных постоянно обновляется.
В итоге
Мы только поверхностно пробежали по небольшой части функций, которые отличают маршрутизатор от межсетевого экрана. Тем не менее, очевидно, что эти устройства имеют разное предназначение, функции, схемы использования. Эти особенности находят свое отражение как при проектировании новых сетей, так и при эксплуатации уже существующих.
Firewall: что это такое и для чего он нужен?
Рубрики
Архив
Интернет и Технологии
Время прочтения: 5 мин
Именно firewall зачастую становится последней стеной, которая защищает домашнюю сеть или компьютер от вредоносного межсетевого трафика и манипуляций злоумышленников с приходящими пакетами. Беспроводные сети требуют установки специального программного обеспечения, ведь используемая среда передачи данных предоставляет массу возможностей для их перехвата.
Так как роутеры получили широкое распространение не только в корпоративных сетях, но и в домашних, даже несколько ноутбуков, смартфонов, планшетов, которыми вы пользуетесь каждый день, следует дополнительно защитить. Дополнительная проверка приходящих (отправляемых) пакетов дает возможность определить, принадлежат ли они выбранному соединению.
Организация передачи данных, виды защит
При установлении соединения между несколькими пользователями на конечном устройстве открывается определенный порт, который могут использовать злоумышленники для отправки вредоносного софта. Один из наиболее удобных моментов для этой процедуры – момент завершения сессии, после которого порт остается открытым еще несколько минут.
Технология инспекции пакетов с хранением состояния (SPI) дает возможность защититься от внезапных атак с помощью проверки входящего трафика. Если активирован такой режим фильтрации на маршрутизаторе, анализу подвергаются все поступающие из сети пакеты, при этом запоминается текущее состояние сети.
Проверка пакетов проводится на их соответствие таким требованиям:
Если при анализе пакет признается некорректным и не соответствующим параметрам сессии, он блокируется. Отчет о данном событии фиксируется в логе и может быть впоследствии просмотрен администратором сети или пользователем с соответствующими правами.
Если исходящий компьютер заражен вирусами или на нем установлено шпионское ПО, межсетевой экран надежно блокирует все поступающие с него пакеты.
В качестве брандмауэра может использоваться аппаратное обеспечение или программные продукты. На роутерах устанавливается первый тип защиты. Современные операционные системы включают в себя встроенные программные средства, позволяющие выявлять, вовремя блокировать некорректный трафик. Но ответственные пользователи могут еще установить стороннее программное обеспечение, выполняющее функции межсетевого экрана.
Работа роутера как аппаратного брандмауэра
Своевременная установка патчей от производителей операционных систем – один из способов своевременно выявлять уязвимости портов компьютера и мобильных устройств. Но может ли маршрутизатор полностью взять на себя функции защиты домашней или корпоративной сети?
Для совместного использования одного IP-адреса домашние роутеры преобразуют сетевые адреса транзитных пакетов. Это дает возможность одновременно выходить в Сеть нескольким ноутбукам, смартфонам и другой технике. Поэтому при поступлении входящего пакета домашний роутер не знает, на какое устройство его направить. Изменяя настройки маршрутизатора, можно установить требуемый уровень защиты, чтобы устройство отбрасывало некорректные пакеты, работая как надежный брандмауэр.
Один из способов борьбы с вредоносным и подозрительным трафиком – организация «демилитаризованной зоны». Этот инструмент защиты обрабатывает весь объем входящих пакетов, перенаправляя данные на конкретную машину.
Принципы защиты программных брандмауэров
Такой тип межсетевого экрана играет роль стражника на компьютере, фильтруя трафик и пропуская только корректные пакеты, не вызывающие подозрений при проверке встроенными алгоритмами.
Брандмауэр ОС Windows запускается при старте системы, может тонко настраиваться самим пользователем. Такой файрвол сразу определяет, какое приложение запрашивает доступ к интернету, чтобы проанализировать его работу, заблокировать либо разрешить отправку (прием) пакетов данных.
Использовать встроенный брандмауэр Windows или устанавливать ПО стороннего производителя – дело вкуса пользователя. Но, несмотря на то, что способы фильтрации трафика каждый год совершенствуются, не менее изобретательными становятся разработчики вредоносных программ.
Сравнение аппаратного и программного брандмауэра
Аппаратный тип защиты от опасного трафика установлен на широкополосных модемах и маршрутизаторах. Такие системы определяют, можно ли доверять приходящим пакетам, IP-адресам, с которых они поступают, используемым заголовкам. Любые ссылки, имеющие признаки вредоносного ПО, блокируются и просто не попадают в домашнюю сеть. Аппаратные брандмауэры не требуют настроек, их алгоритмы работы определены производителем, защищены от постороннего вмешательства.
Современная система предотвращения вторжений:
При решении о приобретении аппаратной защиты учитывается тип сети – корпоративная или домашняя, количество пользователей, ценовая политика производителей, наличие технической поддержки и автоматического обновления.
Программный брандмауэр может заблокировать не только входящие, но исходящие соединения. Поэтому если даже первая ступень защиты пройдена вредоносным софтом, в дело вступит следующий активный щит. Пользователь может настраивать правила поведения по отношению к установленным на компьютере программам и запуску новых приложений. А также определить строгие ограничения для сетевого трафика, активности браузерных приложений.
Преимущества аппаратного брандмауэра:
Достоинства программного брандмауэра:
Нужны ли оба способа защиты?
Для пользователя домашней или корпоративной сети важно использовать хотя бы один из способов фильтрации трафика – программный или аппаратный (как вариант, встраиваемый в маршрутизатор). А для полноценной защиты можно воспользоваться достоинствами каждой из предлагаемой технологии.
При наличии аппаратного брандмауэра на роутере будет полезно задействовать и встроенные в Windows средства фильтрации трафика. А если вы хотите максимально обезопасить свою домашнюю сеть от несанкционированного доступа, воспользуйтесь несложными правилами.
1. Измените пароль доступа к маршрутизатору по умолчанию
Чтобы изменить настройки роутера, нужно зайти в его сетевой интерфейс, используя логин и пароль. Как правило, установленные по умолчанию данные указывает производитель в документации к оборудованию. Злоумышленники хорошо осведомлены о дефолтных способах доступа, поэтому обязательно укажите новые пароль, логин, чтобы снять этот тип уязвимости.
2. Защитите паролем доступ к локальной сети
В некоторых случаях пользователи оставляют доступ к сети открытым, без какого-либо типа шифрования данных, или выбирают для защиты элементарные пароли. При необходимости взлома хакеры быстро подбирают комбинации типа «12345» или «qwerty», поэтому придумайте настоящий пароль для доступа к своей сети. Для этого в него нужно включить не только буквы и цифры, но и символы.
3. Отключите WPS
Чтобы быстро наладить защищенную связь между беспроводными маршрутизаторами, была разработана технология Wi-Fi Protected Setup. Этот способ хорош тем, что пользователю не нужно заходить в веб-интерфейс для изменения настроек, а можно воспользоваться кнопкой на роутере.
Но такая система безопасности может быть взломана подбором вариантов, т.к. не предусматривает ограничения по количеству попыток ввода комбинаций пароля. С помощью простых утилит хакеры смогут быстро подобрать нужный пароль для WPS, а затем вычислят и параметры сетевого доступа. Поэтому сразу зайдите в админ-панель и отключите связь по Wi-Fi Protected Setup.
4. Смените имя SSID
Организованной дома или на рабочем месте беспроводной сети присваивается уникальный идентификатор SSID. Это название по умолчанию выбирает производитель, и если вы оставите его неизменным, злоумышленникам будет намного проще взломать стандартные параметры защиты. А в качестве дополнительной меры предосторожности можно выбрать опцию «Скрывать трансляцию SSID», чтобы не знающие имени сети пользователи даже не видели ее со своих устройств.
5. Измените IP маршрутизатора
Присваиваемый роутеру по умолчанию внутренний IP-адрес можно изменить, чтобы затруднить попытки несанкционированного взлома оборудования.
6. Отключите опцию удаленного администрирования
Многие домашние роутеры поддерживают доступ к своим внутренним настройкам через сеть Интернет. Но если эту возможность заблокировать, такое решение уменьшит количество возможных способов взлома оборудования извне.
7. Обновите внутреннюю прошивку
Известные производители маршрутизаторов регулярно выпускают новые версии микропрограмм, в которых исправляются обнаруженные в предыдущих версиях уязвимости. Постоянно обновляя прошивку своего оборудования, вы поддерживаете уровень защиты на необходимом уровне.
8. Включите брандмауэр маршрутизатора
Предусмотренные производителем способы защиты сети в сочетании с программными средствами ОС значительно повышают уровень безопасности во время доступа к интернету.
9. Отключите фильтрацию по MAC-адресам
С помощью подмены одного из MAC-адресов, которые быстро сканируются хакерами, они получают еще одну лазейку в ваш компьютер.
10. Перейдите на другой DNS-сервер
Альтернативные DNS-сервера OpenDNS или Google могут автоматически блокировать опасный трафик, фишинговые запросы, атаки вирусов и попытки ботов проникнуть в сеть.
11. Установите альтернативную микропрограмму
Если заменить прошивку, установленную производителем, на написанную под заказ, вы не только сможете расширить функционал маршрутизатора, но заранее перекрыть все известные точки входа, используемые хакерами.