Фильтрация пакетов — это функция брандмауэра, которая разрешает или отбрасывает пакеты данных на основе простых, заранее определенных правил, касающихся IP-адресов, портов или протоколов. Фильтрация пакетов, которая когда-то была разновидностью межсетевого экрана, теперь обеспечивает фундаментальную функцию почти всех межсетевых экранов и некоторого сетевого оборудования (маршрутизаторов, интеллектуальных коммутаторов и т. д.). Эта функция включает в себя ключевые принципы, а также плюсы и минусы, и существует четыре типа фильтрации пакетов, о которых следует знать, которые определяют ее наилучшие варианты использования.
Как работает фильтрация пакетов
Каждый раз, когда двум ИТ-ресурсам (например, компьютерам, телефонам, маршрутизаторам, камерам видеонаблюдения) необходимо взаимодействовать, они отправляют друг другу пакеты данных. Каждый пакет данных состоит из трех компонентов: заголовка, предоставляющего информацию о пакете данных, полезных данных и трейлера, показывающего конец пакета.
Компьютер-отправитель создает исходную полезную нагрузку данных, добавляет информацию заголовка о локальном устройстве и отправляет пакет данных на маршрутизатор локальной сети. Маршрутизатор локальной сети и другие подключающиеся сетевые устройства (маршрутизатор, межсетевой экран и т. д.) добавляют в заголовок дополнительную информацию, чтобы принимающее устройство могло точно отправлять пакеты обратного сообщения.
Фильтрация пакетов анализирует информацию в каждом заголовке пакета данных и сравнивает ее с правилами, чтобы определить, разрешить или запретить пакет. Типичная информация заголовка, которая фильтрует пакеты, включает IP-адрес отправителя, IP-адрес получателя, протокол, порт источника, порт назначения и порядковые номера протокола управления передачей (TCP).
Фильтрация обычно отбрасывает запрещенные пакеты, иногда практически без информации о нарушенных пакетных правилах в файлах журналов. Процесс фильтрации доставляет разрешенные пакеты устройству назначения или передает пакет следующей функции проверки безопасности. Администраторы часто применяют специальные правила фильтрации пакетов, чтобы по-разному регулировать входящий и исходящий трафик.
Первые созданные межсетевые экраны осуществляли фильтрацию пакетов; недорогие сетевые брандмауэры и межсетевые экраны хостов , установленные на сетевых маршрутизаторах, по-прежнему могут сосредоточиться на фильтрации пакетов. Однако большинство поставщиков также включают фильтрацию пакетов в качестве одной из многих функций, включенных в другие типы межсетевых экранов, такие как межсетевые экраны следующего поколения (NGFW), межсетевые экраны хоста операционной системы, облачные межсетевые экраны и межсетевые экраны веб-приложений (WAF).
Принципы правил фильтрации пакетов
Правила фильтрации пакетов включают в себя подмножество общих правил брандмауэра , ориентированных на информацию заголовка в пакете данных. Большинство правил, установленных администраторами, предусматривают строгие логические значения, разрешая или запрещая инструкции, позволяющие принимать быстрые решения без нюансов и тонкостей.
Категории заголовков, используемые для создания правил, включают:
- Направление: информирует фильтр о необходимости применения входящих или исходящих правил фильтрации.
- Интерфейс брандмауэра: применяется к конкретной физической сетевой карте, получающей данные.
- IP-адрес: предоставляет адрес назначения или источника устройства (сервера, рабочей станции и т. д.).
- Флаги IP: содержат информацию о соединении по протоколу TCP, например запросы на соединение или порядковые номера пакетов данных.
- Сетевой протокол: определяет стандарт, используемый для передачи (TCP, UDP и т. д.).
- Номер порта: направляет данные назначения или источника на определенные порты, связанные с такими службами, как электронная почта, FTP или просмотр веб-страниц (трафик HTTP, HTTPS).
Администраторы устанавливают определенные правила для предотвращения конкретных атак или принятия определенных мер защиты. Правила обычно применяются в иерархии, но некоторые правила, такие как «разрешить весь трафик», могут вызывать конфликты или опасно аннулировать другие правила. Набор правил составляет общую политику, которую можно применять к нескольким устройствам, выполняющим фильтрацию пакетов во всей организации.
Например, следующая политика брандмауэра разрешает подключение к FTP-серверу, если заголовок данных соответствует всем следующим условиям: источник трафика исходит за пределами сети (входящий), источником трафика является доверенный IP-адрес, источник трафика не Если IP-адрес заблокирован, флаг IP запрашивает соединение, а порт назначения — порт 20.
Списки контроля доступа (ACL) определяют как доверенные, так и заблокированные (также известные как списки разрешенных и запрещенных или белый и черный списки) IP-адреса, устройства (MAC-адреса) и даже группы пользователей или пользователей. Правила могут обращаться к статическим спискам управления доступом, определенным администраторами, или динамически интегрироваться с инструментами Active Directory, управления идентификацией и доступом (IAM) или управления привилегированным доступом (PAM).
5 преимуществ фильтрации пакетов
Фильтрация пакетов предлагает пять ключевых преимуществ:
- Простая настройка: используются понятные параметры, которые сокращают время установки и могут быть реализованы без изменений на межсетевых экранах различных типов и марок.
- Быстрая защита: обеспечивает простые, эффективные и быстрые решения о разрешении и прекращении, что обеспечивает высокую пропускную способность данных для чувствительных ко времени приложений и процессов.
- Недорогое развертывание: часто уже включено в стоимость операционных систем и межсетевых экранов и является базовой функцией даже в самых дешевых вариантах межсетевых экранов.
- Легкие ресурсы: используются минимальные вычислительные ресурсы (память, обработка ЦП и т. д.), что высвобождает ресурсы для более ресурсоемких функций и возможностей.
- Проверяемая производительность: обеспечивает легко проверяемые условия для правил разрешения и удаления, которые проверяют минимальные возможности безопасности и базовое снижение рисков.
Эти преимущества в стоимости и производительности стимулируют использование фильтрации пакетов для широкого спектра решений — от сложных NGFW до простых маршрутизаторов, включающих межсетевой экран хоста.
5 недостатков фильтрации пакетов
Фильтрация пакетов имеет пять существенных недостатков безопасности:
- Неуклюжие списки правил: со временем они становятся громоздкими, поскольку разные администраторы добавляют новые правила, что может привести к непреднамеренным пробелам в безопасности или конфликтам между старыми и новыми правилами.
- Неполная безопасность: обеспечивает узкую защиту, которая будет уязвима для более сложных методов атаки, таких как размещение вредоносных полезных данных в законном трафике.
- Негибкие правила: не понимает контекста, связанного с пользователями или контекстом пакета, и не может адаптироваться к изменяющимся обстоятельствам или заметить ненормальное поведение.
- Неуместное доверие: рассматривает весь коммуникационный трафик, который может пройти базовые правила фильтрации пакетов, даже вредоносный контент, как безопасный трафик, которому следует доверять.
- Примитивная регистрация данных: используются простые правила, которые разрешают или отбрасывают пакеты без подробностей, необходимых для мониторинга безопасности, анализа журналов или судебно-медицинского расследования после взлома.
Лишь небольшое количество коммерческих межсетевых экранов по-прежнему ориентированы на фильтрацию пакетов. Большинство коммерческих межсетевых экранов сочетают фильтрацию пакетов с расширенными функциями для более динамичного и комплексного анализа пакетов для повышения безопасности. Кроме того, эти надежные брандмауэры предлагают более совершенные консоли ведения журналов и управления, которые помогают минимизировать эти недостатки.
4 типа фильтрации пакетов
Функции фильтрации пакетов классифицируются как статические, динамические, без отслеживания состояния или с отслеживанием состояния. Все четыре функции могут быть развернуты одновременно в одном брандмауэре, но к правилу одновременно применяются только две. Статические правила сочетаются только с фильтрацией пакетов без отслеживания состояния, а правила фильтрации пакетов с отслеживанием состояния требуют динамической фильтрации пакетов. Однако фильтрация без сохранения состояния может применяться как к статической, так и к динамической фильтрации, а динамическая фильтрация может сочетаться как со статическими, так и с динамическими правилами.
Статическая фильтрация пакетов
Статическая фильтрация пакетов использует фиксированные и неизменяемые правила. Эти простые правила, однажды установленные администратором, действуют без сбоев для всех пакетов, если только администратор не изменит их снова.
Примеры правил статической фильтрации включают всегда закрытые порты, доверенных пользователей в списках управления доступом (ACL) и всегда заблокированные устройства в списке запрещенных IP-адресов (также известном как черный список). Все межсетевые экраны в той или иной степени используют возможности статической фильтрации в установленных правилах межсетевого экрана для быстрого анализа и удаления явно вредоносных или нежелательных пакетов данных.
Динамическая фильтрация пакетов
Динамические фильтры пакетов корректируют правила в зависимости от меняющихся условий, гибких правил или динамических протоколов. Простые динамические правила включают открытие или закрытие портов в зависимости от времени суток или добавление неверных IP-адресов в список запретов после обнаружения распределенной атаки типа «отказ в обслуживании» (DDoS). При блокировке портов используются более сложные возможности динамической фильтрации для отбрасывания всех пакетов в порт, если им не предшествует заранее определенная последовательность пакетов.
Протокол FTP представляет собой более сложный пример и сохраняет порт управления, определенный протоколом как порт 21, открытым и прослушивающим попытки подключения. После установления сеанса FTP протокол FTP выполняет динамические правила для открытия порта 20 (назначенного порта передачи) или случайного переключения на любой порт между 60000 и 65535 для соединения для передачи данных.
Фильтрация пакетов без сохранения состояния
Фильтрация пакетов без сохранения состояния полностью полагается на заранее определенные правила фильтрации, позволяющие решить, разрешить или отбросить пакет. Эти простые правила выполняются быстро, чтобы минимизировать использование памяти и процессора брандмауэром, маршрутизатором или другим решением, выполняющим фильтрацию.
Фильтрация без отслеживания состояния применяется как к статическим, так и к динамическим правилам фильтрации и обрабатывает каждый пакет независимо от других пакетов. Решение по фильтрации не сохраняет никаких данных, даже информации о ранее отброшенных вредоносных пакетах, в качестве контекста для будущих решений по фильтрации. Этот тип правил экономит память и поддерживает высокую скорость передачи данных.
Фильтрация пакетов с отслеживанием состояния
Фильтрация пакетов с отслеживанием состояния рассматривает пакеты в контексте установленных соединений передачи во время процесса принятия решения о разрешении или прекращении передачи. Это усовершенствование использует требования к информации о последовательности и подтверждению синхронизации в протоколе управления передачей (TCP), но жертвует скоростью и потребляет больше памяти и процессорного времени для выполнения.
Функции с отслеживанием состояния распознают и отражают многие DDoS-атаки, которые пытаются использовать поврежденные процессы TCP, например отправку ответов на несуществующие соединения в память потребительского сервера. Эта функция отслеживает и автоматически блокирует или помещает в карантин IP-адреса и домены, ранее участвовавшие в атаках или подозрительном поведении.
Варианты использования фильтрации пакетов
Почти все межсетевые экраны и многие современные сетевые компоненты используют фильтрацию пакетов. Администраторы используют эту функцию для реализации конкретных вариантов использования, которые используют преимущества фильтрации пакетов. В частности, простые правила позволяют осуществлять высокоскоростную фильтрацию, обеспечивая первоначальную безопасность активов и сетей или предоставляя простые решения для сетевой сегрегации.
Высокоскоростная передача данных
Сложный анализ безопасности с использованием межсетевых экранов нового поколения (NGFW) может вызвать неприемлемые задержки для приложений, баз данных и чувствительных ко времени протоколов (видеоконференций и т. д.). Внедрите строгую, но простую фильтрацию пакетов, чтобы значительно сократить количество пакетов для анализа безопасности и сохранить скорость. Однако также разверните специальное решение безопасности, такое как брандмауэр веб-приложений (WAF) или брандмауэр базы данных, чтобы блокировать атаки, которые фильтрация пакетов будет игнорировать.
Укрепление активов
Большинству компьютерных активов (серверов, ноутбуков и т. д.), облачных ресурсов, межсетевых экранов и сетевых устройств с межсетевыми экранами хоста требуется определенная форма усиления защиты для предотвращения атак. Передача данных и протоколы требуют открытых портов, но устройства со специализированными ролями могут автоматически блокировать данные на большинстве портов для упрощения безопасности. Например, почтовому серверу не нужны открытые порты FTP, а FTP-серверу не нужны открытые порты электронной почты.
Начальная проверка пакетов
Скрининг пакетов обеспечивает быструю первую линию защиты, позволяющую отбросить явно вредоносный или ненужный трафик и сократить количество пакетов для более глубокой и ресурсоемкой проверки. Например, фильтрация пакетов быстро выявляет и отбрасывает внешние атаки с подменой IP-адреса, которые утверждают, что исходят из внутренних сетевых источников, при соблюдении правила, согласно которому никакой трафик за пределами сети не может претендовать на то, что он принадлежит устройству внутри сети.
Простое сетевое разделение
Добавьте в сеть недорогие малофункциональные межсетевые экраны с фильтрацией пакетов, чтобы обеспечить простое разделение подсетей или отделов. Эти брандмауэры предотвращают обмен данными на основе строгих и статических правил для IP-адресов, которым разрешено отправлять и получать данные. Однако изменения брандмауэра, как правило, требуют много времени, поэтому некоторые организации используют другие решения для этого варианта использования, такие как программно-определяемая глобальная сеть (SD-WAN) или доступ к сети с нулевым доверием (ZTNA).
Итог: фильтрация пакетов — это начало защиты межсетевого экрана
Фильтрация пакетов обеспечивает быструю фильтрацию пакетов данных для сетей и устройств и является первым критическим уровнем безопасности. Однако многие злоумышленники уклоняются от фильтрации пакетов, поэтому эта защита должна быть интегрирована в более глубокий стек функций или инструментов безопасности, чтобы обеспечить надежную защиту. Для большинства предприятий фильтрация пакетов представляет собой одну из многих функций более надежного межсетевого экрана, адаптированного к защищаемым активам и ресурсам.