Επεξήγηση 8 τύπων τείχη προστασίας

Όλοι κατανοούν τη βασική λειτουργία ενός τείχους προστασίας - να προστατεύει το δίκτυό σας από κακόβουλο λογισμικό και μη εξουσιοδοτημένη πρόσβαση. Αλλά οι ακριβείς λεπτομέρειες του πώς λειτουργούν τα τείχη προστασίας είναι λιγότερο γνωστές.

Τι ακριβώς είναι ένα τείχος προστασίας(firewall) ; Πώς λειτουργούν οι διαφορετικοί τύποι τείχη προστασίας; Και ίσως το πιο σημαντικό – ποιος τύπος τείχους προστασίας είναι καλύτερος;

Τείχος προστασίας 101

Με απλά(Simply) λόγια, ένα τείχος προστασίας είναι απλώς ένα άλλο τελικό σημείο δικτύου. Αυτό που το κάνει ξεχωριστό είναι η ικανότητά του να παρακολουθεί και να σαρώνει την εισερχόμενη κίνηση πριν εισέλθει στο εσωτερικό δίκτυο, εμποδίζοντας την πρόσβαση σε κακόβουλους παράγοντες.

Επαλήθευση του ελέγχου ταυτότητας κάθε σύνδεσης, απόκρυψη της IP προορισμού από τους χάκερ και ακόμη και σάρωση των περιεχομένων κάθε πακέτου δεδομένων - τα τείχη προστασίας τα κάνουν όλα. Ένα τείχος προστασίας χρησιμεύει ως ένα είδος σημείου ελέγχου, ελέγχοντας προσεκτικά τον τύπο της επικοινωνίας που επιτρέπεται να εισέλθει.

Τείχη προστασίας πακέτων-φιλτράρισμα

Τα τείχη προστασίας με φιλτράρισμα πακέτων είναι η απλούστερη και λιγότερο απαιτητική τεχνολογία τείχους προστασίας που υπάρχει. Αν και δεν είναι ευνοϊκό αυτές τις μέρες, ήταν το βασικό στοιχείο προστασίας δικτύου σε παλιούς υπολογιστές.

Ένα τείχος προστασίας φιλτραρίσματος πακέτων λειτουργεί σε επίπεδο πακέτων, σαρώνοντας κάθε εισερχόμενο πακέτο από το δρομολογητή δικτύου. Αλλά στην πραγματικότητα δεν σαρώνει τα περιεχόμενα των πακέτων δεδομένων – μόνο τις κεφαλίδες τους. Αυτό επιτρέπει στο τείχος προστασίας να επαληθεύει μεταδεδομένα όπως τις διευθύνσεις προέλευσης και προορισμού, αριθμούς θυρών κ.λπ.

Όπως ίσως υποψιάζεστε, αυτός ο τύπος τείχους προστασίας δεν είναι πολύ αποτελεσματικός. Το μόνο που μπορεί να κάνει ένα τείχος προστασίας φιλτραρίσματος πακέτων είναι να μειώσει την περιττή κίνηση δικτύου σύμφωνα με τη λίστα ελέγχου πρόσβασης. Δεδομένου ότι τα ίδια τα περιεχόμενα του πακέτου δεν ελέγχονται, το κακόβουλο λογισμικό εξακολουθεί να μπορεί να περάσει.

Πύλες επιπέδου κυκλώματος

Ένας άλλος αποδοτικός από πλευράς πόρων τρόπος επαλήθευσης της νομιμότητας των συνδέσεων δικτύου είναι μια πύλη σε επίπεδο κυκλώματος. Αντί να ελέγχει τις κεφαλίδες μεμονωμένων πακέτων δεδομένων, μια πύλη σε επίπεδο κυκλώματος επαληθεύει την ίδια τη συνεδρία.

Για άλλη μια φορά, ένα τείχος προστασίας όπως αυτό δεν περνά από τα περιεχόμενα της ίδιας της μετάδοσης, αφήνοντάς το ευάλωτο σε μια σειρά από κακόβουλες επιθέσεις. Τούτου λεχθέντος, η επαλήθευση των συνδέσεων του Πρωτοκόλλου Ελέγχου Μετάδοσης(Transmission Control Protocol) ( TCP ) από το επίπεδο συνεδριών του μοντέλου OSI(OSI) απαιτεί πολύ λίγους πόρους και μπορεί να τερματίσει αποτελεσματικά τις ανεπιθύμητες συνδέσεις δικτύου.

Αυτός είναι ο λόγος για τον οποίο οι πύλες σε επίπεδο κυκλώματος είναι συχνά ενσωματωμένες στις περισσότερες λύσεις ασφάλειας δικτύου, ειδικά στα τείχη προστασίας λογισμικού. Αυτές οι πύλες βοηθούν επίσης να συγκαλύψει τη διεύθυνση IP του χρήστη δημιουργώντας εικονικές συνδέσεις για κάθε συνεδρία.

Τείχη προστασίας κρατικής επιθεώρησης

Τόσο το τείχος προστασίας με φιλτράρισμα πακέτων(Packet-Filtering Firewall) όσο και το Circuit Level Gateway είναι υλοποιήσεις τείχους προστασίας χωρίς κατάσταση. Αυτό σημαίνει ότι λειτουργούν σε ένα στατικό σύνολο κανόνων, περιορίζοντας την αποτελεσματικότητά τους. Κάθε πακέτο (ή συνεδρία) αντιμετωπίζεται ξεχωριστά, γεγονός που επιτρέπει τη διενέργεια μόνο πολύ βασικών ελέγχων.

 Ένα Stateful Inspection Firewall , από την άλλη πλευρά, παρακολουθεί την κατάσταση της σύνδεσης, μαζί με τις λεπτομέρειες κάθε πακέτου που μεταδίδεται μέσω αυτού. Παρακολουθώντας τη χειραψία TCP καθ' όλη τη διάρκεια της σύνδεσης, ένα τείχος προστασίας κατάστασης επιθεώρησης είναι σε θέση να συντάξει έναν πίνακα που περιέχει τις διευθύνσεις IP και τους αριθμούς θυρών της πηγής και του προορισμού και να αντιστοιχίσει τα εισερχόμενα πακέτα με αυτό το δυναμικό σύνολο κανόνων.

Χάρη σε αυτό, είναι δύσκολο να εισέλθετε κρυφά σε κακόβουλα πακέτα δεδομένων πέρα ​​από ένα τείχος προστασίας κατάστασης επιθεώρησης. Από την άλλη πλευρά, αυτό το είδος τείχους προστασίας έχει βαρύτερο κόστος πόρων, επιβραδύνοντας την απόδοση και δημιουργώντας μια ευκαιρία στους χάκερ να χρησιμοποιήσουν επιθέσεις κατανεμημένης άρνησης υπηρεσίας(Denial-of-Service) ( DDoS ) εναντίον του συστήματος.

Τείχη προστασίας διακομιστή μεσολάβησης

Πιο(Better) γνωστά ως Application Level Gateways , τα Proxy Firewalls λειτουργούν στο μπροστινό επίπεδο του μοντέλου OSI(OSI) - το επίπεδο εφαρμογής. Ως το τελικό επίπεδο που χωρίζει τον χρήστη από το δίκτυο, αυτό το επίπεδο επιτρέπει τον πιο ενδελεχή και ακριβό έλεγχο των πακέτων δεδομένων, με κόστος απόδοσης.

Παρόμοια με τις πύλες σε επίπεδο κυκλώματος(Circuit-Level Gateways) , τα τείχη προστασίας μεσολάβησης(Proxy Firewalls) λειτουργούν μεσολαβώντας μεταξύ του κεντρικού υπολογιστή και του υπολογιστή-πελάτη, θολώνοντας τις εσωτερικές διευθύνσεις IP των θυρών προορισμού. Επιπλέον, οι πύλες σε επίπεδο εφαρμογής πραγματοποιούν μια βαθιά επιθεώρηση πακέτων για να διασφαλίσουν ότι δεν μπορεί να περάσει κακόβουλη κίνηση.

Και ενώ όλα αυτά τα μέτρα ενισχύουν σημαντικά την ασφάλεια του δικτύου, επιβραδύνουν επίσης την εισερχόμενη κίνηση. Η απόδοση του δικτύου(Network) πλήττεται λόγω των ελέγχων έντασης πόρων που πραγματοποιούνται από ένα τείχος προστασίας κατάστασης όπως αυτό, γεγονός που το καθιστά ανεπαρκές για εφαρμογές ευαίσθητες στην απόδοση. 

Τείχη προστασίας NAT

Σε πολλές ρυθμίσεις υπολογιστών, ο βασικός σύνδεσμος της ασφάλειας στον κυβερνοχώρο είναι η διασφάλιση ενός ιδιωτικού δικτύου, το οποίο αποκρύπτει τις μεμονωμένες διευθύνσεις IP των συσκευών πελατών τόσο από χάκερ όσο και από παρόχους υπηρεσιών. Όπως έχουμε ήδη δει, αυτό μπορεί να επιτευχθεί χρησιμοποιώντας ένα τείχος προστασίας Proxy ή μια πύλη σε επίπεδο κυκλώματος.

Μια πολύ απλούστερη μέθοδος απόκρυψης διευθύνσεων IP είναι η χρήση τείχους προστασίας (Firewall)μετάφρασης διευθύνσεων δικτύου(Network Address Translation) ( NAT ) . Τα τείχη προστασίας NAT(NAT) δεν απαιτούν πολλούς πόρους συστήματος για να λειτουργήσουν, γεγονός που τα καθιστά το σημείο πρόσβασης μεταξύ των διακομιστών και του εσωτερικού δικτύου.

Τείχη προστασίας εφαρμογών Ιστού

Μόνο τα τείχη προστασίας δικτύου(Network Firewalls) που λειτουργούν στο επίπεδο εφαρμογής μπορούν να εκτελούν βαθιά σάρωση πακέτων δεδομένων, όπως ένα Τείχος προστασίας διακομιστή μεσολάβησης(Proxy Firewall) ή ακόμα καλύτερα, ένα Τείχος προστασίας εφαρμογών Web(Web Application Firewall) ( WAF ).

Λειτουργώντας μέσα από το δίκτυο ή τον κεντρικό υπολογιστή, ένα WAF περνά μέσα από όλα τα δεδομένα που μεταδίδονται από διάφορες εφαρμογές Ιστού, διασφαλίζοντας ότι δεν περνάει κακόβουλος κώδικας. Αυτός ο τύπος αρχιτεκτονικής τείχους προστασίας ειδικεύεται στην επιθεώρηση πακέτων και παρέχει καλύτερη ασφάλεια από τα τείχη προστασίας σε επίπεδο επιφάνειας.

Cloud Firewalls

Τα παραδοσιακά τείχη προστασίας, τόσο τα τείχη προστασίας υλικού όσο και το λογισμικό, δεν κλιμακώνονται καλά. Πρέπει να εγκατασταθούν έχοντας κατά νου τις ανάγκες του συστήματος, είτε εστιάζοντας στην απόδοση υψηλής επισκεψιμότητας είτε σε χαμηλή ασφάλεια κυκλοφορίας δικτύου.

Αλλά τα τείχη προστασίας Cloud(Cloud Firewalls) είναι πολύ πιο ευέλικτα. Αυτός ο τύπος τείχους προστασίας, που αναπτύσσεται από το cloud ως διακομιστής μεσολάβησης, παρεμποδίζει την κυκλοφορία του δικτύου πριν εισέλθει στο εσωτερικό δίκτυο, εξουσιοδοτώντας κάθε περίοδο λειτουργίας και επαληθεύοντας κάθε πακέτο δεδομένων πριν το αφήσει να εισέλθει.

Το καλύτερο μέρος είναι ότι τέτοια τείχη προστασίας μπορούν να αυξηθούν και να μειωθούν σε χωρητικότητα ανάλογα με τις ανάγκες, προσαρμόζοντας σε διαφορετικά επίπεδα εισερχόμενης κίνησης. Προσφέρεται ως υπηρεσία που βασίζεται σε σύννεφο, δεν απαιτεί υλικό και συντηρείται από τον ίδιο τον πάροχο υπηρεσιών.

Τείχη προστασίας επόμενης γενιάς

Η επόμενη γενιά μπορεί να είναι ένας παραπλανητικός όρος. Όλες οι βιομηχανίες που βασίζονται στην τεχνολογία λατρεύουν να κάνουν τσιτάτα σαν αυτό, αλλά τι σημαίνει πραγματικά; Ποιος τύπος χαρακτηριστικών πληροί τις προϋποθέσεις για ένα τείχος προστασίας να θεωρείται επόμενης γενιάς;

Στην πραγματικότητα, δεν υπάρχει αυστηρός ορισμός. Γενικά, μπορείτε να θεωρήσετε λύσεις που συνδυάζουν διαφορετικούς τύπους τείχους προστασίας σε ένα ενιαίο αποτελεσματικό σύστημα ασφαλείας ως Τείχος προστασίας επόμενης γενιάς(Next-Generation Firewall) ( NGFW ). Ένα τέτοιο τείχος προστασίας είναι ικανό για βαθιά επιθεώρηση πακέτων, ενώ ταυτόχρονα αποτρέπει τις επιθέσεις DDoS , παρέχοντας μια πολυεπίπεδη άμυνα έναντι των χάκερ.

Τα περισσότερα τείχη προστασίας επόμενης γενιάς συχνά συνδυάζουν πολλαπλές λύσεις δικτύου, όπως VPN(VPNs) , συστήματα πρόληψης εισβολής(Intrusion Prevention Systems) ( IPS ) και ακόμη και ένα πρόγραμμα προστασίας από ιούς σε ένα ισχυρό πακέτο. Η ιδέα είναι να προσφέρουμε μια ολοκληρωμένη λύση που να αντιμετωπίζει όλους τους τύπους τρωτών σημείων δικτύου, παρέχοντας απόλυτη ασφάλεια δικτύου. Για το σκοπό αυτό, ορισμένα NGFW(NGFWs) μπορούν επίσης να αποκρυπτογραφήσουν τις επικοινωνίες Secure Socket Layer ( SSL ), επιτρέποντάς τους να παρατηρούν επίσης κρυπτογραφημένες επιθέσεις.

Ποιος τύπος (Type)τείχους προστασίας(Firewall) είναι ο καλύτερος για την προστασία του δικτύου σας(Your Network) ;

Το θέμα με τα τείχη προστασίας είναι ότι διαφορετικοί τύποι τείχη προστασίας χρησιμοποιούν διαφορετικές προσεγγίσεις για την προστασία ενός δικτύου(protect a network) .

Τα πιο απλά τείχη προστασίας απλώς ελέγχουν την ταυτότητα των συνεδριών και των πακέτων, χωρίς να κάνουν τίποτα με το περιεχόμενο. Τα τείχη προστασίας πυλών(Gateway) έχουν να κάνουν με τη δημιουργία εικονικών συνδέσεων και την αποτροπή πρόσβασης σε ιδιωτικές διευθύνσεις IP. Τα κρατικά(Stateful) τείχη προστασίας παρακολουθούν τις συνδέσεις μέσω των χειραψιών TCP τους , δημιουργώντας έναν πίνακα καταστάσεων με τις πληροφορίες.

Στη συνέχεια, υπάρχουν τα τείχη προστασίας επόμενης γενιάς(Next-Generation) , τα οποία συνδυάζουν όλες τις παραπάνω διαδικασίες με την επιθεώρηση σε βάθος πακέτων και μια σειρά από άλλες δυνατότητες προστασίας δικτύου. Είναι προφανές να πούμε ότι ένα NGFW θα παρείχε στο σύστημά σας την καλύτερη δυνατή ασφάλεια, αλλά αυτή δεν είναι πάντα η σωστή απάντηση.

Ανάλογα με την πολυπλοκότητα του δικτύου σας και τον τύπο των εφαρμογών που εκτελούνται, τα συστήματά σας μπορεί να είναι καλύτερα με μια απλούστερη λύση που προστατεύει από τις πιο συνηθισμένες επιθέσεις. Η καλύτερη ιδέα μπορεί να είναι να χρησιμοποιήσετε απλώς μια υπηρεσία τείχους προστασίας Cloud τρίτου κατασκευαστή(third-party Cloud firewall) , εκφορτώνοντας τη λεπτομερή ρύθμιση και τη συντήρηση του τείχους προστασίας στον πάροχο υπηρεσιών.



About the author

Είμαι επαγγελματίας τεχνικός ήχου και πληκτρολογίου με πάνω από 10 χρόνια εμπειρία. Έχω εργαστεί στον εταιρικό κόσμο, ως σύμβουλος και διευθυντής προϊόντων, και πιο πρόσφατα, ως μηχανικός λογισμικού. Οι δεξιότητες και η εμπειρία μου μου επιτρέπουν να εργάζομαι σε διάφορα είδη έργων από μικρές επιχειρήσεις έως μεγάλες εταιρείες. Είμαι επίσης ειδικός στα Windows 11 και εργάζομαι πάνω στο νέο λειτουργικό σύστημα για πάνω από δύο χρόνια τώρα.



Related posts