Die Vorteile der Analyse von Anwendungen der Stufe 7 in Firewalls. Teil 1. Grundlagen


    Die neue Generation von Firewalls ist dank der neuen Architektur der Engine und der neuen Ideologie der Verwaltung der Netzwerkflüsse komfortabler und sicherer.

    Warum ist dieser Artikel erschienen?

    Immer wieder kam ich zu Sicherheitskollegen, die die Firewall einer neuen Generation verwenden, und stellte fest, dass sie weiterhin Regeln für Portnummern schreiben. Auf meinen Vorschlag, nach dem Namen der Anwendung zu schreiben, hörte ich: "Was ist, wenn es nicht funktioniert?" Wenn Sie auch "Angst" haben oder nicht verstehen, warum Sie Regeln für Anwendungen schreiben, ist dieser Artikel für Sie.


    TEIL 1. Firewall-Grundlagen


    INHALT

    Einführung
    Definitionen
    Firewall
    L3 Firewall
    L4 Firewall
    L7 Firewall
    die UTM
    NGFW
    Beispiele
    Proxy
    Was USER-ID ist
    Falsche Vorstellungen über die Stateful Inspection: Zustand L4 vs L7
    Falsche Vorstellungen über die Stateful Inspection: Sitzungen Nummer L4 vs L7
    Falsche Vorstellungen über die Stateful Inspection: Cluster L4 vs L7
    Teil 2 Sicherheitseffekt der L7-Firewall

    Einleitung


    Skype, TOR, Ultrasurf, TCP-over-DNS und mehrere Hundert weitere Anwendungen und Tunnel durchlaufen leise die Statefull Inspection Firewall und HTTP-Proxys. Viele Abwehrmechanismen öffnen Verbindungen, überprüfen jedoch nicht, was in ihnen enthalten ist. Ich schlage vor zu verstehen, wie man die Verbindung von Anwendungen in einer neuen Generation von Firewall kontrolliert, wobei die Regeln nach Anwendungsnamen geschrieben werden, was der 7. Stufe des OSI-ISO-Modells entspricht. Diese Firewalls heißen Next Generation Firewall, eine neue Generation der Firewall oder einfach NGFW.
    Der Firewall-Administrator muss nicht nur die Verbindung zulassen, sondern auch sicherstellen, dass das, was Sie möchten, zu der erlaubten Verbindung gehört, einschließlich Überprüfungen der übertragenen Dateien. Dies wird als sichere Anwendungsauflösung bezeichnet .

    Es gibt einige wichtige Unterschiede in der Arbeit mit dem Datenverkehr, die Sie nur verstehen, wenn Sie zur tatsächlichen Verwendung der Regeln wechseln, wobei das Kriterium die Anwendung der 7. Ebene des ISO-OSI-Modells ist:

    • Ein IT-Administrator stellt fest, dass NGFW den Netzwerkverkehr visualisiert, d. H. Den Inhalt des Paketdatenfelds, die Benutzernamen und die verwendete Anwendung anzeigt und welche Dateien übertragen werden.
    • Die IT-Sicherheit sieht für NGFW eine sichere Anwendungsauflösung vor, da durch die tiefere Analyse der Daten im Paket Viren angezeigt, das Senden unbekannter Dateien an die Sandbox verbunden, der Dateityp und die Schlüsselwörter für DLP überprüft, die URL-Kategorie überprüft und die in SSL und SSH enthaltenen Informationen überprüft werden. Vergleichen Sie mit den weltbekannten Indikatoren für Kompromisse den DNS-Filter und andere moderne Techniken.

    Vergleichen Sie die Firewall-Protokolle L4 und L7, um die Gründe dafür zu verstehen.
    A) Vergleichen Sie den Protokolleintrag in der L4-Firewall , der nur den Header der vierten Transportschicht des OSI-ISO-Modells analysiert - in diesem Fall TCP:

    Ja, es gibt Informationen über die Quelle und den Empfänger. Sie können anhand der Portnummer 443 die interne mit einer hohen Wahrscheinlichkeit (wie die Briten sagen) SSL-Verbindung erraten. Ich persönlich kann keinen Vorfall in dieser Aufzeichnung sehen. Und Sie?
    B) Vergleichen Sie den L7-Firewall- Protokolleintrag für dieselbe TCP-Verbindung, bei der auch der im TCP / IP-Datenfeld übertragene Inhalt analysiert wird:

    Hier sehen Sie, dass Ivanov aus der Marketingabteilung eine Datei auf „Slideshare“ hochgeladen hat, die mit „nicht zur Verteilung“ gekennzeichnet ist. Dies ist ein Beispiel für einen echten Vorfall, bei dem ein Mitarbeiter vertrauliche Unternehmensentwicklungspläne für das Jahr im Internet veröffentlicht hat. Diese Informationen wurden in der L7-Firewall auf der Grundlage der Analyse derselben Verbindung wie oben in der L4-Firewall abgerufen. Die Informationen reichen sofort aus, um zu verstehen, dass ein Vorfall vorliegt. Dies ist ein völlig anderer Ansatz für die Verkehrsanalyse. Ich werde Sie jedoch sofort warnen, dass eine derart tiefe Analyse den Prozessor und den Arbeitsspeicher des Geräts stark belastet.

    Es wird manchmal angenommen, dass der Protokollierungsgrad der Details in NGFW dem Detaillierungsgrad von SIEM-Systemen ähnlich ist, die Informationen bitweise aus verschiedenen Quellen sammeln. Deshalb ist NGFW eine der besten Informationsquellen für SIEM.

    Definitionen


    Es ist notwendig, die Bedingungen hervorzuheben, mit denen wir fortfahren werden. Ich habe im Detail keinen Zweck, alle Definitionen anzugeben.



    Das siebenstufige OSI-ISO-Modell ist ein Modell für die Interaktion zwischen Netzwerkgeräten, das besagt, dass es 7 aufeinanderfolgende Abstraktionsstufen gibt: Die erste ist physisch, der nächste Kanal, das Netzwerk, der vierte ist Transport, dann Sitzung, Ansichten und die siebte Ebene sind Anwendungen (siehe Abbildung oben) ).

    Jedes Netzwerkgerät arbeitet auf einer eigenen Abstraktionsebene: Webserver und Browser - auf der Anwendungsebene (Ebene 7 oder kurz L7), Router - kommunizieren auf Link- (2) und Netzwerkebene (3) miteinander, wenn sie Frames und Pakete miteinander senden .

    Firewalls sind auch Netzwerkgeräte und können je nach Typ und Switches und Routern in Bezug auf die Netzwerktopologie sogar ein „virtuelles Kabel“ sein. Diese Netzwerkgeräte haben jedoch eine zusätzliche Belastung: Sie müssen den Inhalt der Pakete analysieren.

    Die Tiefe der Netzwerkpaketanalyse kann variieren. Ob sie Level 4 oder Level 7 analysieren, ist ein wichtiger Unterschied.

    Firewall


    Firewall (ITU) Network Firewall ist ein Netzwerkgerät, das ein Netzwerk in Segmente mit unterschiedlichen Sicherheitsrichtlinien aufteilt und diese Richtlinien steuert. Zum Beispiel das Internet-Segment - da kann man alles. Und ein Segment Ihres Rechenzentrums - dort können Sie nur mit einer speziellen Liste von Mitarbeitern für zulässige Anwendungen arbeiten. Innerhalb eines einzelnen VMware-Hosts können mehrere virtuelle Netzwerke mit virtuellen Maschinen und unterschiedlichen Zugriffsrichtlinien vorhanden sein.

    Die Sicherheitsrichtlinie der Firewall enthält die Regeln, die der Geräteprogrammcode auslöst, und analysiert jeden Frame und jedes Paket, die ankommen und von der Firewall ausgehen. Die Firewall-Regeln geben Testkriterien (Qualifier) ​​an, nach denen entschieden wird, Verkehr zu übergeben oder zu blockieren. Beispiele für Qualifizierer in den Regeln sind: Adresse, Port, Anwendung, Benutzer, Zone. Die Firewall sequenziell, Regel für Regel, oben und unten in der Liste betrachtet die Kriterien. Wenn der eingehende Datenverkehr alle Kriterien der Regel erfüllt (logische Operation "Und" zwischen den Kriterien), wird die angegebene Aktion ausgeführt: Blockieren oder Überspringen. Die Aktion wird sowohl für das erste Paket als auch für alle nachfolgenden Pakete einer TCP / IP-Verbindung ausgeführt.

    Es gibt verschiedene Arten und Implementierungen der Firewall. Wir betrachten die Klassifizierung nach der verwendeten Tiefe der Verkehrsanalyse: L3, L4 und L7.

    L3-Firewall


    Die L3-Firewall ist eine Firewall, die den Datenverkehr selbst durchlässt und nur IP-Protokoll-Header analysiert, d. H. Die Adresse, von wo aus und wohin der Datenverkehr geleitet wird. Diese Firewalls werden Paketfilter genannt . Die Regeln werden als "Zugriffsliste" oder Zugriffsliste (ACL) bezeichnet. Diese Funktion funktioniert heute in fast allen Routern und Betriebssystemen. Eine solche Analyse erfordert keine ernsthafte Belastung der Prozessoren und des Arbeitsspeichers der Firewall.

    L4-Firewall


    Bei der L4-Firewall handelt es sich um eine Firewall, die den Datenverkehr selbst durchlässt und die Protokollkopfzeilen 4 prüft: TCP, UDP, ICMP, dh die Hauptprüfkriterien für die Weitergabe des Datenverkehrs sind IP-Adressen und TCP / UDP-Ports oder ICMP-Dienste.

    Das Konzept der Stateful Inspection wird auch in der L4-Firewall angezeigt, wenn an jede Passing-Anforderung erinnert wird und der Status der Anfrage gespeichert wird, um die erforderlichen Antwortverbindungen zu ermöglichen. Das heißt, das Konzept eines Verbindungsinitiators erscheint, was in Netzwerken, die auf Client-Server-Technologie basieren, logisch ist. Eine solche Firewall benötigt Speicherplatz zum Speichern von Daten zu jeder Verbindung, dh, es gibt eine Begrenzung für die maximale Anzahl gleichzeitig gespeicherter Sitzungen im Speicher. In der L4-Firewall ist es nicht mehr erforderlich, eine Antwortregel für die umgekehrte Verbindung zu schreiben, wie dies in der L3-Firewall erforderlich ist, da die Firewall basierend auf dem Verbindungsstatus die umgekehrten Verbindungen automatisch zulässt. Das heißt, die L4-Firewall ist bequemer als ein Paketfilter.

    Moderne L4-Firewalls speichern nicht nur den TCP-, UDP- und ICMP-Status, sondern verfolgen auch die Interaktion einiger L7-Anwendungen. Zum Beispiel der Status von FTP, HTTP, SIP und anderen Anwendungen, der bereits von der spezifischen Implementierung der Firewall abhängt. Sie müssen dem Hersteller der L4-Firewall die Frage stellen: Welche speziellen Anwendungen werden von der Stateful-Inspection-Firewall-Engine unterstützt?



    L7-Firewall


    Die L7-Firewall ist eine Firewall, die den IP-Netzwerkverkehr durch sich selbst leitet und sowohl Layer 4 als auch das Datensegment jedes IP-Pakets prüft, d. H. L7 versteht den Datenverkehr auf Anwendungsebene, bis zu welcher Datei in welche Richtung übertragen wird. Wenn mehr Daten analysiert werden, gibt es weitere Kriterien für die Überprüfung der L7-Firewall-Regeln: Benutzername, Anwendung, URL-Kategorie und Softwarestatus auf dem Computer des Benutzers.

    Die Last der L7-Firewall ist viel höher, da der Prozessor die Megabytes des von der Anwendung übertragenen Datenfelds ständig analysieren muss, während die L4-Firewall nur wenige Bytes des IP-Paket-Headers mit Quell- und Zieladressen und Ports überprüft. Die Puffergröße zum Speichern des Status jeder L7-Anwendung ist viel mehr erforderlich, da mehr Daten an L7 übertragen werden als nur der TCP / IP-Header. Aufgrund der erhöhten Puffergröße bei der Anwendungsanalyse ist die Anzahl der gleichzeitigen In-Memory-Sitzungen der L7-Firewall geringer als bei der L4-Firewall mit der gleichen Speichermenge. Da die L7-Firewall anhand des Inhalts erkennt, dass die Anwendung über das Netzwerk läuft, hat die Portnummer keine besondere Bedeutung, und die Regeln können nach dem Namen der L7-Anwendung geschrieben werden. Darüber hinaus erzeugen moderne Anwendungen viele Verbindungen, und alle diese Verbindungen sind Teil derselben Anwendung. Diese Art von Firewall ermöglicht es Ihnen, die Kontrolle über moderne dynamische Anwendungen wiederzuerlangen, die auf einem beliebigen Port ausgeführt werden, z. B. Teamviewer, Bittorent, Tor, von dem die L4-Firewall nichts weiß. Das heißt, die L7-Firewall wird in modernen Umgebungen benötigt, wenn das Netzwerk Sicherheit benötigt.
    Wenn Sie nach dem Lesen dieses Artikels die L4-Firewall weiterhin verwenden, bedeutet dies, dass Sie sich nicht um die Sicherheit kümmern.



    UTM




    UTM ist ein Netzwerkgerät, in dem mehrere verschiedene Schutzkomponenten installiert sind, die den durch das Gerät gehenden Datenverkehr sequenziell analysieren. Der Kern von UTM ist die L4-Firewall, ein Angriffsverhütungssystem (IPS), Antivirus und die Analyse von URL-Kategorien in HTTP und HTTPS. UTMs implementieren häufig noch VPN-Gateway-Funktionen. Alle diese Komponenten werden normalerweise von mehreren verschiedenen Steuersystemen gesteuert. Der Datenverkehr innerhalb der UTM durchläuft die Filtermodule nacheinander, und die Ausgabe ist reiner Datenverkehr, der von den Sicherheitsrichtlinien jedes Moduls zugelassen wird. UTM kann als Plattform für andere Funktionen verwendet werden: Virenschutz, IPS, DDoS, QoS, DLP, DNS-Filter, Bedrohungsdatenbank für Bedrohungsdaten, Phishing-Schutz usw. (je nach Hersteller).

    Die Parabel über die Person, die sieben Hüte aus einem Skin bestellte, wurde geschrieben, auch für UTM-Käufer: Je mehr Funktionen Sie nach dem Kauf hinzufügen möchten, desto mehr Lasten trägt der UTM-Prozessor für die Analyse des gleichen Verkehrsaufkommens. Mehr Funktionen - weniger Gerätegeschwindigkeit.


    Die Idee von UTM, einen Prozessor mit so vielen Funktionen wie möglich zu laden, wurde zu einem evolutionären Stillstand, da die Anzahl der Funktionen wuchs und die Prozessoren diese Last nicht aushalten konnten. Trotz der genannten guten Funktionen verfügt heute niemand über die gesamte Funktionalität von UTM, um Verkehrsverzögerungen zu vermeiden.
    Ziel von UTM ist es, möglichst viele Funktionen auf einem Server zu implementieren, um das Gerät für den Benutzer günstiger zu machen.
    Jetzt haben UTM-Hersteller damit begonnen, Level 7-Anwendungsanalyse-Engines so zu definieren, dass sie NGFW sind, was den Verbraucher verwirrt. Dies ist jedoch bei der Betrachtung der Sicherheitsrichtlinie leicht zu erkennen: Die Regeln basieren immer noch auf den Kriterien für die Überprüfung der L4-Felder. Und zum Filtern von L7-Anwendungen wird ein separater Abschnitt für Einstellungen verwendet, dh, die L7-Anwendung ist kein Qualifier, wie es in der L7-Firewall sein sollte. Das Erkennen einer L7-Anwendung und die Verwendung einer L7-Anwendung als Sicherheitsrichtlinienkriterium sind "zwei große Unterschiede".

    Ngfw


    NGFW ist das Netzwerkgerät, in dem die L7-Firewall implementiert ist . Da das Hauptqualifikationsmerkmal der Name der L7-Anwendung wird, werden die Regeln nach neuen Kriterien geschrieben. Die dynamische Zuordnung von IP-Adressen zu Netzwerkbenutzern funktioniert immer in NGFW, daher wird der Benutzername auch zu einem Qualifikationsmerkmal (Kriterium). NGFW enthält SSL / TLS- und SSH-Entschlüsselungsfunktionen zum Erkennen von Anwendungen und Angriffen, IPS, Antivirus und URL-Filter.

    Der Begriff NGFW wurde zuerst durch die Vermarktung von Palo Alto Networks geprägt. Nach und nach setzte sich der Markt jedoch durch und alle UTM-Hersteller nennen sich jetzt auch NGFW. Tatsächlich führt NGFW auch mehrere Funktionen gleichzeitig aus. Warum ist NGFW dann nicht UTM? Der Unterschied ist wichtig zu wissen. In NGFW werden Anwendungssicherheitsfunktionen (IPS, Antivirus, URL-Filterung) hardwarebeschleunigt. Es gibt spezielle Hardware-Chips: IPS prüft auf Angriffe auf den Chip, die Antivirensignatur allein, die SSL-Entschlüsselung usw. und so weiter. Die Trennung der Funktionen für verschiedene Prozessoren ermöglicht es, Schutzfunktionen parallel auszuführen und nicht wie in UTM auf die Beendigung der vorherigen Funktion zu warten. In Hardware-Firewalls von Palo Alto Networks sind beispielsweise bis zu 60 installiert.
    Die speziellen Prozessoren von Cavium beschleunigen die Sicherheits-, Netzwerk- und Verwaltungsfunktionen. Es ist wichtig, dass NGFW eine einzige Softwareschnittstelle für die gleichzeitige Verwaltung aller Funktionen enthält.
    Die Idee von NGFW besteht im Gegensatz zu UTM darin, jede Funktion auf einem separaten Prozessor zu implementieren, der auf die erforderliche Funktionalität spezialisiert ist.
    In der gleichen Weise, als die Computerhersteller einmal gegangen waren, wurden die Funktionen von Mathematik und Grafik in getrennten mathematischen und grafischen Koprozessoren ausgeführt. Daher gibt es in NGFW separate Prozessoren zur Erkennung von L7-Anwendungen, zum Entschlüsseln von SSL / SSH, zum Überprüfen von Antivirensignaturen, zum Überprüfen von IPS-Signaturen usw. Auf diese Weise können Sie alle Funktionen gleichzeitig aktivieren, ohne den Verkehr im Gerät während des Scans zu beeinträchtigen und zu verzögern. Warum kauft niemand Computer ohne Grafikbeschleuniger und Firewalls ohne Beschleunigung? Da bei niedrigen Geschwindigkeiten keine Beschleunigung erforderlich ist, aber die Geschwindigkeit der Verkehrsanalyse über 1 bis 5 Gigabit hinausgeht, können nicht mehr alle Sicherheitsfunktionen ohne Beschleunigung implementiert werden.

    Das Ziel des NGFW-Geräts besteht darin, Unternehmen einen sicheren Betrieb zu ermöglichen, ohne den Verkehr zu verlangsamen. Auf diese Weise können Sie ständig überprüfen, ob Anwendungen den erforderlichen Inhalt an das Unternehmen liefern. Durch den parallelen Betrieb der Schutzmodule mit einem Verkehrsstrom wird die angegebene Leistung mit allen aktivierten Sicherheitsfunktionen und der minimalen Verkehrsverzögerung sichergestellt.

    Beispiele


    L7-Richtlinienbeispiel bei Palo Alto Networks NGFW

    Warum kann eine URL-Kategorie als Qualifikationsmerkmal erforderlich sein? So können Sie beispielsweise einigen Mitarbeitern immer noch erlauben, schädliche Websites mit einem Browser zu besuchen, das Herunterladen von Dateien jedoch blockieren.
    Beispiel für eine Richtlinie von Palo Alto Networks, bei der Host-Informationsprüfungen und Kategorien-URLs verwendet werden.

    Diese Richtlinie umfasst auch die Überprüfung auf das Vorhandensein eines TRAPS-Hostschutzes in der Spalte HIP-Profil. Dadurch wird verhindert, dass Sie mit bösartigem Code und Exploits auf die Website zugreifen, ohne dass ein Schutz auf Ihrem Computer installiert ist. TRAPS ist ein Agent zum Schutz vor schädlichem Code und Exploits.

    Das Blockieren des Herunterladens von Dateien wird in den Einstellungen der Profilspalte vorgenommen, in der das Profil zum Blockieren der Übertragung aller Dateien für eine beliebige Anwendung angewendet wird. Hier ist die Einstellung:



    Proxy-Server


    Ein Proxyserver ist ein Gerät, das den Datenverkehr einer Anwendung auf sich selbst beendet, den Datenverkehr mit verschiedenen Methoden prüft und diesen Datenverkehr weiterleitet . Wird am häufigsten in Proxy-Netzwerken für HTTP- und HTTPS-Protokolle verwendet. Da UTM und NGFW HTTP- und HTTPS-Streams transparent analysieren, ohne dass Proxy-Server-Einstellungen für Clients explizit angegeben werden müssen, werden HTTP-Proxys nach und nach aus den Unternehmen entfernt.



    Was ist eine USER-ID?


    In NGFW wurde ein Mechanismus zur Benutzeridentifizierung erfunden. Der Algorithmus arbeitet entweder intern oder läuft auf einem externen Agenten. Ich werde dies den USER-ID-Mechanismus nennen. Die USER-ID erstellt und verwaltet eine Nachschlagetabelle für den Namen des Benutzers und die aktuelle IP-Adresse. Es kommt auch vor, dass ein Wert und ein Port für einen bestimmten Benutzer in der Tabelle vorhanden sind, wenn die Benutzer VDI verwenden (dh die Benutzer gehen von derselben Adresse aus und können nur nach Ports unterschieden werden).
    Bild
    Liste der USER-ID- Mechanismen in Palo Alto Networks
    1. Serverüberwachung : Der Benutzer-ID-Agent liest Exchange Server-Ereignisse, Domänencontroller oder Novell eDirectory-Server
    2. Client-Prüfung : Benutzer-ID-Agent fragt Windows-Clients über WMI ab
    3. Terminaldiensteagent : Der TS-Agent verteilt verschiedene TCP / UDP-Portbereiche an verschiedene Benutzer, um mit Windows / Citrix-Terminalservern zu arbeiten
    4. Syslog- Nachrichtenanalyse : Der Benutzer-ID-Agent liest Syslog-Authentifizierungsnachrichten von verschiedenen Systemen, Wireless-Controllern, 802.1x-Geräten, Apple Open Directory-Servern, Proxy-Servern, VPN-Gateways und Cisco ISE
    5. Authentifizierung über den GlobalProtect- Client : Login und Kennwort für VPN + können Sie MFA hinzufügen
    6. Authentifizierung über Captive Portal : Der Webdatenverkehr wird durch NTLM oder AAA-Webformular authentifiziert (Captive Portal wird in der Moskauer Metro und in Cafés verwendet. Mit NTLM können Sie die Authentifizierung transparent machen.)
    7. XML-API : Ein- und Austrittsinformationen werden vom Benutzer-ID-Agenten durch spezielle Befehle über die REST-API-Firewall übertragen
    8. X-Forwarded-For : Proxyserver Füllen Sie dieses Feld in der HTTP-Anforderung aus, um deutlich zu machen, wer sich hinter dem Proxy versteckt

    Das Lesen von Protokollen von Active Directory-Controllern ist die am häufigsten verwendete Funktion in USER-IDs. Der USER-ID-Agent liest regelmäßig Nachrichten aus AD-Protokollen, in denen aufgezeichnet wurde, welcher Benutzer sich mit welcher IP-Adresse angemeldet hat. Die USER-ID weiß von ihnen, welche Adresse der Benutzer in NGFW speichert. Dies sind beispielsweise Meldungen für Windows 2008/2012:
    - 4768 - Authentifizierungsticket erteilt
    - 4769 - Dienstticket wird gewährt
    - 4770 - Ticket wird erneuert
    - 4264 - Anmeldeerfolg
    Um die Protokolle zu lesen, benötigt USER-ID Zugriff auf die Berechtigung "Nur Protokollleser".

    Irrtümer über Stateful Inspection


    Ich muss diesem Heiligen jedem Netzwerktechniker und Sicherheitstechniker ein eigenes Kapitel widmen. Es ist wichtig, wichtige Dinge hervorzuheben und zu ergänzen, die auf Firewalls-Kursen oft übersehen werden. Wenn Sie bereits die Grundlagen der zustandsorientierten Inspektion studiert haben, haben Sie höchstwahrscheinlich einige falsche Vorstellungen.

    Es gibt ein Missverständnis , das ich manchmal von Kollegen sehe. Achtung! Bei der zustandsorientierten Prüfung geht es nicht nur um den Verbindungsstatus von TCP, UDP oder ICMP! Es geht auch um den Status anderer komplexer Protokolle und Anwendungen: FTP, SIP, RPC, SMTP, SMB und so weiter!
    Ein beispiel

    FTP ist ein Protokoll auf Anwendungsebene. Und es hat einen PORT-Befehl, der eine neue TCP-Verbindung zuweisen kann. Jede Firewall, die sich als Stateful-Inspection-Firewall positioniert, muss die FTP-Befehle überwachen und den Befehl PORT sehen und die Verbindung zum Port und der dort angeforderten Adresse zulassen. Und das ist noch nicht alles: Die Firewall muss auch die Parameter des PORT-Befehls ersetzen und die korrekte Adresse eingeben, wenn der FTP-Server für NAT läuft.
    Das heißt, in jeder modernen L4-Firewall gibt es eine Komponente, die die L7-Ebene ausspioniert. Und es gibt kein solches Protokoll: Es gibt immer noch HTTP, RPC und andere ... Und solche Layer 7-Protokollanalysatoren werden als Application Layer Gateway (ALG) bezeichnet.
    Ein beispiel

    Der am meisten "beliebte" Netzwerker und Sicherheitsbeamte ist ALG for SIP, mit der viele, die SIP ALG auf der L4-Firewall eingerichtet haben, viele Probleme hatten und oft damit aufhören.
    Das heißt, bereits in der L4-Firewall gibt es die Anfänge der Analyse von Level-7-Protokollen. L4-Firewalls unterscheiden sich in der Anzahl der implementierten ALG. Wenn Sie gewöhnliche L4-Firewalls vergleichen, stellt sich eine klare Frage an den Systemtechniker des Herstellers: Wie viele Protokolle und Anwendungen unterstützt Ihre Stateful Inspection Engine? In der Regel antwortet niemand.
    Es stellt sich heraus, dass die L7-Firewall auch eine Stateful-Inspection-Firewall ist, die jedoch den Status ALLER Anwendungen analysiert und speichert, und nicht nur selektiv wie die L4-Firewall.


    Das zweite Missverständnis wird von den Firewall-Herstellern selbst gemacht. Nehmen Sie ein beliebiges Datenblatt, in dem der Hersteller einen solchen Parameter wie "Anzahl gleichzeitiger Sitzungen" schreibt. Die Frage an den Hersteller lautet: Welche speziellen Protokolle und Anwendungen wurden die Sitzungen gemessen und waren mindestens für TCP enthalten, geschweige denn für L7-Level?

    Wir wissen, dass jedes Protokoll oder jede Anwendung einen Status hat, an den sich die Firewall erinnert. Um diesen Status zu speichern, müssen Sie einen Puffer im Gerätespeicher reservieren. Tatsächlich bedeutet der Parameter "Anzahl gleichzeitiger Sitzungen", wie viele Puffer zum Speichern von Zuständen im Gerätespeicher gespeichert werden können. Sie müssen verstehen, dass dieser Parameter für die L4-Firewall am häufigsten für bloßes TCP oder sogar UDP gemessen wird. Für TCP wird also ein Puffer benötigt, in den nur die IP und der Port der Verbindung passen. Im Test für L7-Anwendungen, zum Beispiel HTTP, ist dieser Puffer jedoch viel größer, da zum Speichern von GET-Anforderungsparametern in HTTP mehr Speicher erforderlich ist. Und die Erinnerung ist kein Gummi. Wenn der Hersteller beispielsweise einen Parameter wie "Anzahl der gleichzeitigen Sitzungen" schreibt, sollte er Folgendes schreiben:
    • War es nur ein Switch / Router-Test, bei dem die Stateful-Inspection deaktiviert ist,
    • war es L4-Modus, wo er nur TCP / IP-Header erinnerte,
    • Wurde eine L7-Level-Anwendung für den Test verwendet?

    Messen Sie die L7-Firewall anhand der Anzahl gleichzeitiger HTTP-Sitzungen und Paketen unterschiedlicher Länge: 64 KB, 44 KB, 16 KB, 1,5 KB. Es ist klar, dass, wenn von einigen Herstellern alle Messungen an UDP 1518-Bytes vorgenommen wurden, dieses Gerät höchstwahrscheinlich nicht in Ihrem Netzwerk funktionieren wird, da es Ihre Benutzer nicht zwingt, nur 1518-Byte-UDP-Pakete zu senden, und umso mehr, dass sie antworten HTTP-Serverpakete. Einem solchen Hersteller muss gesagt werden, dass die Leistung der L7-Firewall mindestens im Verkehr mit dem HTTP-Protokoll gemessen werden muss. Von namhaften Unternehmen, die solche Tests in der Öffentlichkeit durchführen: NSS Labs.
    Firewall-Hersteller führen in ihren Laboren selbst angepasste Tests durch, die ihr Verkehrsprofil beispielsweise anordnen können: 30% des HTTPS-Verkehrs, 10% des SMB-Verkehrs, 10% des FTP-Verkehrs und so weiter.
    Ein beispiel

    Nachdem Sie das IXIA-Gerät auf einem Verkehrsgenerator eines UTM-Herstellers überprüft haben:
    • im L4-Firewall-Modus - 4.000.000 gleichzeitige Sitzungen
    • im L7-Firewall-Modus - 200.000 gleichzeitige Sitzungen.

    Dies ist ein Hinweis darauf, dass die Puffer für L7-Sitzungen im Gerätespeicher aufgrund ihrer Größe kleiner sind.

    Übrigens auch bei der Gesamtleistung des Geräts: Bei deaktivierten Anwendungsinhaltsprüfungen arbeitet die Firewall zehnmal schneller als bei eingeschalteten. Sie können nur die Header-Analyse der Ebene 4 verwenden, um das Gerät zu beschleunigen, es gibt jedoch keine Sicherheit mehr.

    Dritter wichtiger Punkt- in einem Cluster arbeiten. Alle Firewalls sollten in einem Cluster funktionieren. Wenn eine einzelne Firewall nicht mehr funktioniert, besteht die Aufgabe darin, den gesamten Verkehr zu "stillen" und zu blockieren. Dies ist die Theorie des Gebäudeschutzes, die auf Firewalls basiert. Solange eine "defekte" Firewall den Verkehr blockiert, sollte die nächste Firewall die Aufgabe übernehmen, legitimen Datenverkehr zu übergeben. Und was ist mit den Verbindungen, die die erste durchgemacht haben? Höchstwahrscheinlich übertrug die erste Firewall den Status aller Verbindungen an die zweite. Ob jedoch nur der Status der IP-Header oder der vollständige Status aller L7-Anwendungen an den Nachbarn übermittelt wurde: Es wurden einige SSL-Verbindungen entschlüsselt, und IPS und Antivirensoftware wurden aufgesammelt Pakete im Puffer, um den Inhalt zu überprüfen. Und hier stellt sich heraus, dass die Firewall von L4 und L7 auch anders ist: das Übergeben des Zustands L4 ist nicht das Gleiche wie das Übergeben des Zustands L7. Dies ist auch wichtig zu verstehen.

    Es gibt ein anderes Missverständnis, dass die L7-Firewall in Clustern mit mehr als zwei Geräten funktionieren kann - dies ist nicht korrekt, da die Menge der übertragenen L7-Daten mit jedem neuen Knoten im Cluster exponentiell zunimmt und sogar die Datenverarbeitung von zwei Nachbarn die Kosten für die Verarbeitung der Daten des eigenen Geräts übersteigt. Aus diesem Grund funktionieren Cluster mit mehr als zwei Geräten nur durch Austausch von L4-Headern. Beim Wechseln von Clustern werden alle Anwendungsanalyse- und Schutzfunktionen neu gestartet.

    Daher müssen Sie die L4- und L7-Firewall sowie den Vergleich zwischen einem Auto und einem Panzer im Krieg genau vergleichen. Eine L7-Firewall zur Erhöhung der Sicherheit Ihres Netzwerks führt zu komplexeren Aufgaben. Die Prozessoren arbeiten viel mehr, und es wird mehr Speicher benötigt, um den Status Ihrer Anwendungen zu speichern! All dies muss zur Sicherheit getan werden.

    Teil 2. Die Auswirkungen der L7-Firewall auf die Sicherheit

    Nur registrierte Benutzer können an der Umfrage teilnehmen. Bitte melden Sie sich an.

    Ist es praktisch für Sie, die VNC-Anwendung nach Namen zuzulassen, oder erinnern Sie sich an alle Ports, die sie benötigt und nach Ports zulässt?


    Jetzt auch beliebt: