Брандмауери з фільтрацією пакетів: як вони працюють і коли їх використовувати

Сьогодні більшість підприємств надають пріоритет мережевій безпеці, і серед усіх аспектів безпеки найважливішим є контроль доступу. Багато компаній використовують брандмауери для фільтрації трафіку, що, безперечно, є корисним.

Існують різні типи брандмауерів, і тут ми поділимося важливою інформацією щодо тих, що використовують фільтрацію пакетів. Якщо ви хочете дізнатися більше про цю конкретну технологію, ми допоможемо вам зрозуміти її принцип роботи та наведемо деякі порівняння з іншими варіантами забезпечення безпеки.

Розуміння механізмів фільтрації пакетів

Фільтрація пакетів — це технологія брандмауера, що захищає від зовнішніх вторгнень. Ця технологія працює шляхом моніторингу трафіку з застосуванням певних правил до пакетів даних та дозволу/відхилення певних обсягів трафіку.

Фільтри пакетів аналізують дані, розділені на пакети, на межі мережі. Ці контейнери даних є відносно невеликими, що сприяє ефективній передачі та відмовостійкості. Пакети мають 2 основні компоненти:

• Заголовки. Вони містять інформацію щодо пункту призначення, джерела та ідентифікації пакетів. Завдяки такій інформації можна передавати дані туди, де вони потрібні.
• Корисне навантаження. Це інформація, яку слід передати. Такі дані не можна аналізувати за допомогою фільтрів.
  За допомогою брандмауера на основі фільтрації пакетів можна аналізувати, чи повинні конкретні пакети потрапляти в мережу. Для цього заголовок пакета перевіряється за такими параметрами:
• Адреса призначення/джерела вихідних/вхідних пакетів.
• IP-адреси пакетів.
• Прапорці заголовка.
• Протокол передачі, який використовується (зазвичай це TCP, UDP або ICMP).
• Інтерфейс мережевої карти.

Уся ця інформація перевіряється брандмауером відповідно до списків контролю доступу та заздалегідь визначених правил. Якщо правила дотримано, передача продовжується; якщо ні — процес блокується.

Основні особливості брандмауерів із фільтрацією пакетів

• Діють на окремі пакети даних.
• Правила застосовуються до інформації, що надходить у мережі.
• Глибока перевірка не проводиться.
• Використовується зовнішня інформація про пакети.
• Фільтри не запам’ятовують попередню інформацію, тому кожен пакет оцінюється окремо.

Поширені сфери застосування фільтрації пакетів

Основне застосування фільтрації пакетів пов’язане з мережевою безпекою. Усі пристрої, додатки та інформація захищені від різноманітних зовнішніх загроз. Виявляючи незвичайну активність та блокуючи її проникнення, можна уникнути багатьох ризиків, зокрема витоків даних та шкідливих програм.

Пакетні фільтри працюють на значно поверхневішому рівні порівняно з новітніми типами брандмауерів. Однак у деяких випадках це може стати величезною перевагою. Наприклад, цей підхід є набагато швидшим, що може стати величезною перевагою в ситуаціях, коли безпека не є головним пріоритетом.

Завдяки цій технології можна використовувати списки дозволених IP-адрес (ACL) для моніторингу трафіку. Крім того, для спрощення процесу до ACL можна додати ще більше автентифікованих IP-адрес. Таким чином доступ до необхідної інформації матимуть лише авторизовані користувачі, а інші — ні.  

Категорії брандмауерів з фільтрацією пакетів

Щоб краще зрозуміти принцип фільтрації пакетів, розглянемо деякі категорії таких брандмауерів.

H3 — Брандмауери зі статичною фільтрацією пакетів

Статична фільтрація пакетів використовує один і той самий набір правил до внесення змін. Окрім правил, які може змінювати адміністратор, мережеві з’єднання також можуть регулюватися фахівцями.

Такі типи брандмауерів можна налаштовувати різними способами: керуючи портами, визначаючи конкретні правила та використовуючи списки контролю доступу.

Статичні фільтри є надзвичайно вигідними завдяки простоті використання та процесу встановлення. Головне обмеження пов’язане з конфігураціями та необхідністю оновлення налаштувань. Автоматизованих функцій майже немає, тому вони підійдуть невеликим організаціям, тоді як великим підприємствам зазвичай потрібні більш масштабовані налаштування.

Брандмауери з динамічною фільтрацією пакетів

Динамічні брандмауери можуть змінювати свою початкову конфігурацію відповідно до змін у середовищі безпеки. Наприклад, брандмауери можна налаштувати таким чином, щоб порти закривалися/відкривалися протягом певного періоду.

Щоб мінімізувати велике навантаження на адміністратора, цей тип брандмауера може допомогти з автоматизацією деяких налаштувань. Контроль безпеки в динамічному середовищі можна як послабити, так і посилити залежно від обставин.  

Брандмауери з фільтрацією пакетів без збереження стану

Брандмауери з фільтрацією пакетів без збереження стану аналізують кожен пакет окремо. Інформація про стан пакетів не зберігається, тому для забезпечення стандартів безпеки застосовуються заздалегідь визначені правила.

Брандмауери без відстеження стану працюють на основі списків контролю доступу (ACL). Це стосується інформації про порти призначення/джерела та IP-адреси.

Системи фільтрації пакетів із відстеженням стану

Це більш досконала система, яка оцінює стан пакетів перед тим, як дозволити або заборонити доступ. Така система фільтрації пакетів зберігає дані про кожен запит на доступ для більшості протоколів передачі даних, зокрема для UDP та TCP. З часом можна отримати детальні профілі користувачів, що полегшить виявлення підозрілої активності.

Загалом ці варіанти забезпечують вищий рівень безпеки завдяки відстеженню підозрілих IP-адрес. Однак водночас така система є більш вразливою до DDoS-атак через функції збору даних.

Недоліки брандмауерів на основі фільтрації пакетів

Технологія фільтрації пакетів з’явилася у 1980-х роках, і з того часу у цій сфері відбулося чимало інновацій. Багато експертів сходяться на думці, що такий підхід можна вважати застарілим, тому тут ми розглянемо кілька недоліків, притаманних цій технології.

1. Обмежені можливості безпеки

Проблеми з безпекою у цій технології виникають через те, що доступ надається на основі поверхневої інформації, такої як номер порту, IP-адреса та дані протоколу. Інформація про використання додатків або пристрій користувача не враховується.

Крім того, фільтрування здійснюється лише щодо зовнішньої частини пакета. Якщо у корисному навантаженні міститься підозрілий код, він не буде належним чином відфільтрований і потрапить у мережу.

Найбільш вразливим типом брандмауера вважається брандмауер без збереження стану (Stateless). Оскільки кожен доступ обробляється окремо, у хакерів з’являється більше можливостей для атак. Під час спроби здійснення атаки брандмауер не зберігає жодних даних щодо цього процесу.

2. Основні функції реєстрації даних

Ця технологія реєструє лише найбазовішу інформацію щодо мережевого трафіку, що може безпосередньо вплинути на питання дотримання нормативних вимог. Стандарти щодо регулювання даних стають дедалі суворішими, і іноді майже неможливо надати докази цілісності за допомогою фільтрації пакетів.

Відсутність реєстрації також впливає на стандартний рівень безпеки, оскільки немає інформації щодо запитів на доступ. ІТ-фахівці можуть мати проблеми з виявленням підозрілої активності, що може спричинити значні вразливості.    

3. Обмежена гнучкість

Фільтри пакетів мають певні обмеження щодо гнучкості надання доступу до мережі. Вони забезпечують фільтрацію за номерами портів або IP-адресами. Це вкрай обмежена функціональність у порівнянні з іншими варіантами управління доступом.

Сучасні брандмауери можуть автоматично адаптуватися до певних обставин і пропонують безліч функцій. Хоча брандмауери з фільтрацією пакетів надають доступ до ручного налаштування правил, вони не здійснюють перевірку пакетів, а управління загрозами не автоматизовано.

4. Непридатність для великих організацій

Коли цю технологію використовують невеликі компанії, вона є дуже простою та легкою у використанні. Натомість у великій корпорації ця система може стати дуже обтяжливою.

Багато завдань доводиться виконувати вручну, а процес оновлення правил не автоматизовано. Це може призвести до людських помилок та збільшення навантаження.

5. Надмірна залежність від довіри

Оскільки ця технологія не перевіряє корисні дані, хакери можуть отримати доступ до системи, маскуючись під надійних користувачів.

Ще одним ризиком є те, що ця технологія не веде журнал історичних даних. Не буде жодних записів про довірених та недовірених користувачів, оскільки такі брандмауери в основному покладаються на списки контролю доступу (ACL). Крім того, такий список може бути застарілим.

Порівняння брандмауерів з фільтрацією пакетів та проксі-серверів

Проксі-сервери та брандмауери з фільтрацією пакетів можна розглядати як альтернативи, оскільки вони захищають межу мережі, контролюючи трафік. Однак вони функціонують дещо по-різному.

Проксі-сервер відрізняється від брандмауера з фільтрацією пакетів тим, що він анонімізує трафік. Цей процес приховує IP-адреси, тому ззовні стає набагато складніше перевіряти трафік. Крім того, такий сервер зберігає дані в кеші. Це означає, що сайти, які раніше відвідувалися, будуть завантажуватися швидше.

Деякі проксі-сервери можуть використовуватися як шлюз і контролювати доступ до певних додатків. Певні обсяги трафіку можна виключити з послуг. Також можна контролювати вихідні мережеві дані.

Проте проксі-сервери не надають можливостей фільтрації чи перевірки пакетів. Саме тому максимального результату можна досягти, поєднавши брандмауер із проксі-серверами.

Фільтрація пакетів проти брандмауерів із відстеженням стану

Брандмауери з фільтрацією пакетів вважаються безстанові, оскільки інформація про стан пакета не враховується. Стан — це взаємодія між пакетами даних, серверами та протоколами. Інформація про стан відстежує процес передачі інформації до/з локальних мереж. Усі дані про пункт призначення та джерело даних збираються брандмауерами з відстеженням стану. Крім того, ці брандмауери також можуть збирати інформацію про корисне навантаження.

Також брандмауери з відстеженням стану збирають інформацію про всі минулі передачі даних. Таким чином створюється запис про кожен запит. Це означає, що система може приймати більш обґрунтовані рішення щодо дозволу та блокування доступу.

Оскільки брандмауери з відстеженням стану збирають набагато більше інформації, ніж брандмауери з фільтрацією пакетів, це впливає на витрати. Це означає, що фільтрація пакетів вимагає менше ресурсів і працює набагато швидше.

Підсумкові міркування: визнання сильних і слабких сторін брандмауерів з фільтрацією пакетів

Вибір правильного брандмауера може стати вирішальним рішенням, яке допоможе усунути чимало онлайн-ризиків. Фільтрація пакетів — це один із варіантів, який контролює дані пакетів і застосовує конкретні правила. Цей тип брандмауера має багато переваг, але й кілька обмежень.

Такі обмеження впливають на популярність фільтрації пакетів. Однак, незважаючи на деякі недоліки, це все ж таки хороший вибір, коли швидкість є основним критерієм.