PDA

View Full Version : Firewall Hardware



EdHunter
11-14-2010, 20:12
Имам сървар на WoW 1500+ винаги!,но от скоро имам много гадни атаки говорим не към СЪРВАРА а към ИНТЕРНЕТЪТ ми и се чудих с какво да го защитя говориха ми за Firewall Hardware,но немога да разбера нищо ..

minus273dot15
11-14-2010, 22:32
Съществуват софтуерни и хардуерни решения за firewall, които имат значителни разлики, въпреки всичките си прилики.

При хардуерният файъруол основното е, че се "разглежда" всеки пакет и на база зададени правила, се преценя дали да бъде пропуснат или не. Взема се под внимание от къде идва пакета и къде отива, с каква насоченост и други такива, като за целта най-често се използват атрибутите му за source/destination IP, source/destination MAC, source/destination TCP&UDP port и т.н. Така определени пакети(които идват не откъдето трябва, заминават не накъдето трябва) просто не биват пропускани през огнената стеничка. По същите критерии могат да бъдат спрени (D)DoS атаки, например(а и широк спектър други). За целта се използва Ло-Ги-Ка(ЛГК) (http://www.vbox7.com/play:8e074549&start=234).

EdHunter
11-15-2010, 17:03
Съществуват софтуерни и хардуерни решения за firewall, които имат значителни разлики, въпреки всичките си прилики.

При хардуерният файъруол основното е, че се "разглежда" всеки пакет и на база зададени правила, се преценя дали да бъде пропуснат или не. Взема се под внимание от къде идва пакета и къде отива, с каква насоченост и други такива, като за целта най-често се използват атрибутите му за source/destination IP, source/destination MAC, source/destination TCP&UDP port и т.н. Така определени пакети(които идват не откъдето трябва, заминават не накъдето трябва) просто не биват пропускани през огнената стеничка. По същите критерии могат да бъдат спрени (D)DoS атаки, например(а и широк спектър други). За целта се използва Ло-Ги-Ка(ЛГК) (http://www.vbox7.com/play:8e074549&start=234).

И от всичко пак не разбрах как да спра атаките.. :-o

minus273dot15
11-16-2010, 03:03
И от всичко пак не разбрах как да спра атаките.. :-o

Добре, ще се наложи да го разясня с думи прости.



Нека имаме някакъв сървър X. Към него летят връзки някакви, да кажем A, B и C. Да кажем че X има свързаност от 40Mbit/s up и 40Mbit/s down. Докато потребителите A, B и C сборно не надвишават свързаността на сървъра, то проблеми няма да имаме. Ако обаче го преминат, започва деградация на обслужването на връзките им, т.е. няма да получават достатъчният капацитет от връзката за нормална работа.

Потребителите A, B и C не са константа. Тяхната бройка се променя и е абсолютно възможно голяма маса хора изведнъж да решат да се възползват от сръвър Х, което да изразходи всичките му ресурси и да доведе до невъзможност за нормална работа на всички потребители на сървъра. Това е т.нар. неумишлен DoS(Denial of Service/Отказ за Обслужване). Slashdot е хубав пример.

Според теб обаче, някой стои зад цялата фантасмагория. Което ще рече, че имаме и потребител D, който е злонамерен. Неговата цел е да постигне DoS: да изразходи целият ресурс на сървъра, за да няма свободен за нормалните потребители A, B и C.

За целта, в нашият пример, потребителят D трябва да "запълни" 40Mbit/s връзка, което ще доведе до изхвърлянето или забавено обслужване на потребители A, B и C от системата. Начините за това са много.

Вероятно най-често споменаваният е Ping Flood. При този метод, се изпращат много съобщения(ping) по ICPM протокола, като по този начин се заеме цялата връзка. Сам по себе си един ping е незначително малък(около 80 байта стандартно), но при 80 000 ping-a в секунда крайната картинка е 48.82Mbit/s, което е достатъчно да заеме цялата връзка от примера ни.

Разбира се, има тънкости. Ако потребител D метне 80 000 ping-a в секунда към сървър X, то сървър X ще се опита да му метне 80 000 ping-a обратно. Твърде вероятно е потребител D да сгъне тетрадката. Нещо като да замахне с бухалка срещу някой, но да се нацели сам в тиквата. Но потребител D е сравнително интелигентен и използва спууфинг(spoofing) или форджинг(forging) за да се скрие.

Това ще рече, че той осъществява ping(например) но самият пакет данни се сглабя по начин, по който да изглежда че идва от друго място. Например от потребител A. Грубо, нали? :) В крайна сметка потребител D изсипва 80 000 ping-a на сървър Х, а сървър Х изсипва 80 000 ping-a на потребител A. В крайна сметка, потребител A все някога се съвзема и решава да изсипе на сървър Х 80 000 съобщения(или колкото може в секунда), че той никога не му е пращал ping и има грешка.

Всъщност такава е и идейната концепция на DoS. Да накараш сървъра и потребителя да се блъскат сами, а ти да стоиш отстрани и да гледаш сеир. Едва ли някога ще можеш да правиш по 80 000 ping-a в секунда с домашният си интернет, затова се използват съвсем отделни техники, използващи слабости в различни точки на мрежата - от умножаване на атакта чрез броудкаст(broadcast) до разни по-смешни неща като STP(Spanning Tree Protocol). Но така или иначе основната идея е една: да се бутне една плочка домино, която да събори останалите, да образува лавина и да доведе крайната цел до състояние на нефункционалност.

Ако все още си мислиш, че някой те "хаква", продължи да четеш :)

Модерните(да бе, тия от 1998-ма насам) рутери предлагат опцита за Firewall. Това е така да се каже "стандартният" начин за справяне със DoS или DDoS. Добре де, ама как точно действа?(абе, не прочете ли предният ми пост?)

Появява се потребителят D от примера ни, и решава да изплющи 80 000 ping-a. Обаче, рутерчето ни следва зададени правила. Да кажем сме поставили лимит: "maximum pings allowed for IP: 10 per minute". Рутера пропуска 10 от ping-овете, а останалите 79 990 ги разкарва(packet drop). Толкова. След една минута - пак ще може да се ping-ва от това IP.

Всъщност примерите са доста прости. Реално потребител D никога няма да ограничи всичко до спууфнати пингове, а вероятно ще прибегне до някои, да кажем, не чак толкова леймърски методи.

Хардуерният файъруол е набор от зададени правила. Ако нещо преминаващо през него ги нарушава, то няма да бъде пропуснато. Въпросът е да конфигурираш нещата по начин, по който не позволяват на потребител D да прави пакости, но да могат потребител A, B и C да работят нормално.

Не знам дали преценяш нещата правилно(то ако не ги преценяш, щото ще си признаеш :) ), но това, което следва да направиш е внимателно да анализираш какво точно се случва с ИНТЕРНЕТА ти, за да знаеш какво трябва да предприемеш. Или казано простичко - седни си прочети логовете и използвай Ло-Ги-Ка(ще ми се изприщи устата тези дни да я казвам иначе хубавата думичка).

ПП. А сега вече разбра ли нещо?

dimitar_ak
11-17-2010, 13:31
Всичко, което си обяснил може да се реши и софтуерно.

minus273dot15
11-19-2010, 12:28
Всичко, което си обяснил може да се реши и софтуерно.

Абе то може да се завиват болтове с лопата, ама по принцип избягваме* :)

Все си мислех, че не е добра идея да обяснявам детайлно хакерски атаки, но ако настояваш мога да се пробвам...

Няколко думи на бързо:

Бонус на хардуерният файъруол е, че не използва ресурси на системата, докато софтуерният товари. Това позволява на злонамерени потребителчета D, да накарат софтуерният файъруол да претовари системата до състояние на нефункционалност. Лошо. Много лошо.

Бонус на хардуерният файъруол е, че предпазва цялата мрежа след себе си. Това не позволява употребата на ралзични техники(или поне ги ограничава жестоко) като например teardrop.

Бонус на хардуерният файъруол е, че не може да бъде изключен от mаlware или вирус. Сигурно някои от вас са се сблъсквали с онези готините вируси, които ти трият антивирусната и ти махат firewall-a. Готини са, нали?

Бонус на хардуерният файъруол е, че го конфигурираш един път и повече не се занимаваш. Без значение дали преинсталираш или не преинсталираш, сменяш ли компютрите, променяш ли топологията им в мрежата.

И още, и още, и още... Разбира се, има си и минусчета. Неслучайно професионалните решения включват комбиниран хардуерен и софтуерен файъруол - използват се преимуществата и на двете. Първото е перфектно за контрол по Layer 3(Network Layer), а второто по Layer 7(Application Layer)**.

Докато си говорим за "някой ми хаква интернета", мисля да се придържаме към Layer 3. Ако си говорим за "някой ми хаква сървъра" може да се преместим на Layer 7 :)

* За предпочитане е с мотика. Има повече гърч.
** От седем слойният OSI Layer модел.