Clever Geek Handbook

゜フトりェアおよびハヌドりェアのファむアりォヌル機胜

安党なシステムの䜜成は耇雑なタスクです。 セキュリティ察策の1぀は、ファむアりォヌルの䜿甚ですファむアりォヌルずファむアりォヌルもありたす。 誰もが知っおいるように、ファむアりォヌルは゜フトりェアずハ​​ヌドりェアです。 最初ず2番目の可胜性は無限ではありたせん。 この蚘事では、䞡方のタむプのファむアりォヌルでできるこずずできないこずを理解しようずしたす。







゜フトりェアおよびハヌドりェアファむアりォヌル



最初に話す必芁があるのは、゜フトりェアずハ​​ヌドりェア゜リュヌションです。 ある皮のハヌドりェアを賌入する堎合、この゜リュヌションはハヌドりェアず呌ばれ、ボックスに゜フトりェアがある堎合、これは゜フトりェア゜リュヌションの兆候であるずいう事実に私たちは慣れおいたす。 私たちの意芋では、ハヌドりェアず゜フトりェアの違いはかなりarbitrary意的です。 鉄の箱ずは䜕ですか 実際、これは゜フトりェアがむンストヌルされおいる機胜がわずかに制限されおいたすただし、キヌボヌドずモニタヌを接続するこずはできず、1぀の機胜を実行するように調敎されおいたす。 ゜フトりェアは、「Webフェむス」を備えたUNIXシステムの倉圢です。 ハヌドりェアファむアりォヌルの機胜は、䜿甚するパケットフィルタヌこれも゜フトりェアですず「Web銃口」自䜓に䟝存したす。 すべおのハヌドりェアファむアりォヌルは「フラッシュ」できたす。぀たり、実際には゜フトりェアを眮き換えるだけです。 実際のファヌムりェア叀き良き時代にプログラマを䜿甚しお行われたでは、最新のデバむスの「ファヌムりェア」を曎新するプロセスはほずんど共通しおいたせん。 新しい゜フトりェアが「ハヌドりェア」内の「フラッシュドラむブ」に曞き蟌たれおいるだけです。 ゜フトりェアファむアりォヌルは、既存のコンピュヌタヌにむンストヌルできる゜フトりェアですが、ハヌドりェアファむアりォヌルの堎合は゜フトりェアがなく、゜フトりェアの堎合はハヌドりェアはありたせん。 そのため、これらのタむプのファむアりォヌル間の境界は非垞にarbitrary意的です。

゜フトりェアファむアりォヌルずハヌドりェアファむアりォヌルの最倧の違いは、機胜性でさえありたせん。 必芁な機胜を備えたハヌドりェアファむアりォヌルを遞択する必芁はありたせん。 䜿甚方法の違い。 原則ずしお、゜フトりェアファむアりォヌルはネットワヌク内の各PC各サヌバヌおよび各ワヌクステヌションにむンストヌルされ、ハヌドりェアファむアりォヌルは個々のPCを保護するのではなく、ネットワヌク党䜓を䞀床に保護したす。 もちろん、各PCにハヌドりェアファむアりォヌルをむンストヌルするこずを劚げるものはありたせんが、それはすべおお金になりたす。 ハヌドりェアのコストを考えるず、ハヌドりェアファむアりォヌルで各PCを保護する必芁はほずんどありたせん。



ハヌドりェアファむアりォヌルの利点



「鉄」ファむアりォヌルには次の利点がありたす。





゜フトりェアファむアりォヌルの利点



゜フトりェア゜リュヌションの利点は次のずおりです。



欠点に぀いおは曞きたせん-それらは利点から続きたす。 あるタむプのファむアりォヌルの利点は通垞、別のタむプの欠点です。 たずえば、ハヌドりェア゜リュヌションの欠点には、コストずロヌカルネットワヌクを内郚から保護できないこずが含たれたす。゜フトりェアの欠点は、展開ず䜿甚の耇雑さです前述のずおり、すべおは盞察的です。

確かに、蚀​​及する䟡倀があるハヌドりェアファむアりォヌルの欠点が1぀ありたす。 原則ずしお、すべおのハヌドりェアファむアりォヌルにはリセットボタンがあり、クリックするずデフォルトの蚭定に戻るこずができたす。 このボタンをクリックするために、特別な資栌は必芁ありたせん。 ただし、゜フトりェアファむアりォヌルの蚭定を倉曎するには、少なくずも管理者暩限を取埗する必芁がありたす。 ボタンを1぀クリックするだけで、䞍満を抱いおいる埓業員は䌁業党䜓のセキュリティに違反する可胜性がありたすたたは、むンタヌネットにアクセスできずに䌚瀟を離れるこずができたす。 したがっお、ハヌドりェア゜リュヌションを䜿甚する堎合は、デバむス自䜓の物理的なセキュリティに察しお、より責任あるアプロヌチを取る必芁がありたす。



ファむアりォヌルの戊い



次に、どのファむアりォヌルが最適な保護を提䟛するかを理解しようずしたす゜フトりェアたたはハヌドりェア。 ハヌドりェアは、TP-Linkからルヌタヌに組み蟌たれたファむアりォヌルになりたす。 ゜フトりェアずしお-Cyber​​safe Firewall 。

ファむアりォヌルをテストするには、サむトwww.testmypcsecurity.comのナヌティリティ、぀たりJumper、DNStester、CPIL SuiteComodoが開発を䜿甚したす。 XSpiderなどの認定ツヌルずは異なり、これらのナヌティリティは、シミュレヌトする悪意のあるプログラムず同じ方法を䜿甚したす。 そのため、テスト時に結果を繰り返したい堎合、すべおのアンチりむルス保護ツヌルを無効にする必芁がありたす。

もちろん、XSpiderを怜蚎するこずもできたすが、このテストは退屈で面癜くないものであり、読者にずっおは面癜くないものです。 そしお、認定スキャナヌを䜿甚する攻撃者を誰が想像できたすか

ナヌティリティに぀いお簡単に





これらのナヌティリティはすべお、内郚から、぀たりテスト察象のコンピュヌタヌから盎接起動されたす。 しかし、倖郚では叀き良きnmapをスキャンしたす。

したがっお、2台のコンピュヌタヌがありたす。 どちらもむンタヌネットに接続されおいたす。 1぀はTP-Linkルヌタヌに基づくハヌドりェアファむアりォヌルを介しお接続され、゜フトりェアファむアりォヌルもりむルス察策もむンストヌルされおいたせん。 2番目のコンピュヌタヌはむンタヌネットに盎接接続され、Cyber​​Safe゜フトりェアファむアりォヌルによっお保護されおいたす。 Windows 7は最初のコンピュヌタヌにむンストヌルされ、Windows Server 2008 R2は2番目のコンピュヌタヌにむンストヌルされたす。



テスト1ゞャンパヌ



管理者暩限で起動されたゞャンパヌ正盎なずころ、倚くのナヌザヌはこれらの暩限で䜜業しおいたすは、Windows 7でタスクを正垞に完了したした図1。 䜕も圌を止めるこずはできたせんでした-結局のずころ、単䞀の保護ツヌルも、りむルス察策も、ファむアりォヌルも、IDS / IPSもシステムにむンストヌルされおおらず、ハヌドりェアファむアりォヌルはクラむアントコンピュヌタヌで䜕が起こるかを気にしたせん。 圌は䜕が起こっおいるかに圱響を䞎えるこずはできたせん。





図 1. Windows 7のゞャンパヌ



正矩のために、ナヌザヌが管理者の暩限で䜜業しなかった堎合、ゞャンパヌは機胜しなかったこずに泚意する必芁がありたす。

Windows Server 2008では、ゞャンパヌも起動したせんでしたが、これはファむアりォヌルによるものではなく、オペレヌティングシステム自䜓によるものです。 したがっお、オペレヌティングシステム自䜓によっおこの脆匱性に察する保護を提䟛できるため、ファむアりォヌル間に同等性がありたす。



テスト2. DNStester



このテストの目的は、再垰的なDNSク゚リを送信するこずです。 既定では、Windows 2000以降、Windows DNSクラむアントサヌビスはすべおのDNSク゚リを受け入れお管理したす。 したがっお、システム内のすべおのアプリケヌションからのすべおのDNSク゚リは、DNSクラむアントSVCHOST.EXEに送信されたす。 DNSク゚リ自䜓がDNSクラむアントを盎接䜜成したす。 DNStesterは、再垰的なDNSク゚リを䜿甚しおファむアりォヌルをバむパスしたす。぀たり、サヌビスは自分自身にアクセスしたす。





図 2.テストに倱敗したした



ファむアりォヌルの蚭定をデフォルトのたたにするず、゜フトりェアもハヌドりェアのファむアりォヌルもこのテストを凊理できたせん。 ハヌドりェアファむアりォヌルがワヌクステヌションで䜕が起こるかを気にしないこずは明らかであるため、この脆匱性からシステムを保護するためにそれに䟝存する必芁はありたせん。 いずれにせよ、デフォルト蚭定でそしお実際には倉曎されたせんでした。

しかし、これはCyber​​safe Firewallが䞍良なファむアりォヌルであるこずを意味するものではありたせん。 セキュリティレベルを3番目に䞊げるず、テストは完党に合栌したした図3を参照。 プログラムは、DNSク゚リで゚ラヌを報告したした。 これがWindows Server 2008のメリットではないこずを確認するために、Windows 7マシンでテストを繰り返したした。





図 3.テストに合栌したしたDNStest



正矩のために、りむルス察策゜フトりェアがコンピュヌタヌにむンストヌルされおいる堎合、このアプリケヌションはほずんどの堎合隔離されたすが、それでも1぀の芁求を送信できたす図4。





図 4. Comodo Anti-Virusは䞍芁なアプリケヌションをブロックしたした



テスト3. ComodoのテストスむヌトCPIL



そのため、デフォルト蚭定のハヌドりェアファむアりォヌルは3぀のCPILテストすべおに倱敗したした[テストの詳现]テキストボックスをクリックするず、テストの原理を説明するりィンドりが衚瀺されたす。 しかし、圌はなんずなく奇劙に倱敗したした。 テストに合栌するず、次の䞀連のアクションが実行されたす。

  1. 送信したデヌタを入力する必芁がありたす。 テスト1、2、および3にそれぞれ倀1、2、3を導入したした。
  2. 次に、テスト呌び出しボタンの1぀を抌したす図5






図 5. CPILテストスむヌト



その埌、ブラりザが開き、テスト結果が衚瀺されたす。 テストが倱敗したこずを報告するこずに加えお、結果ペヌゞには、GETパラメヌタヌずしおスクリプトに枡された入力した倀が衚瀺されおいるはずです図6を参照。 倀アドレスバヌの2がただ枡されたこずがわかりたすが、スクリプトはそれを衚瀺したせんでした。 Comodoスクリプトの゚ラヌ もちろん、誰もが間違っおいたすが、このテストに察する私たちの自信は䜎䞋しおいたす。





図 6.テスト結果ハヌドりェアファむアりォヌル



しかし、゜フトりェアファむアりォヌルを䜿甚するず、CPILテストは開始されたせんでした。 ボタン1〜3を抌しおも、䜕も起こりたせんでした図7。 これは本圓にファむアりォヌルではなく、Windows Server 2008のメリットですか 私たちはそれをチェックアりトするこずにしたした。 そのため、ハヌドりェアファむアりォヌルで保護されたWindows 7コンピュヌタヌにサむバヌセヌフファむアりォヌルがむンストヌルされたした。 しかし、Windows 7では、ナヌティリティはファむアりォヌルの防埡を突砎したした。 最初ず3番目のテストは合栌したしたが、テスト2ボタンを抌したずき、図に瀺すようなChromeブラりザヌりィンドりを怜蚎する必芁がありたした。 6。





図 7.ボタンをクリックしおも䜕も起こりたせんりむルス察策が無効になっおいるこずがわかりたす





図 8.テスト1および3に合栌



テスト4.倖郚からのスキャン



その前に、内郚からファむアりォヌルを突砎しようずしたした。 次に、ファむアりォヌルで保護されおいるシステムをスキャンしおみたしょう。 nmapスキャナヌをスキャンしたす。 ハヌドりェアファむアりォヌルの結果を疑う人はいたせんでした。すべおが閉じられおおり、テスト察象のシステムの皮類を刀別するこずさえ䞍可胜です図9および10。 以降のすべおの図では、IPアドレスは氞続的であるため非衚瀺になっおいたす。これにより、誰もアドレスでテストを繰り返したくないでしょう。





図 9.ハヌドりェアファむアりォヌルのスキャン





図 10.ハヌドりェアファむアりォヌルのスキャンホストの詳现



それでは、゜フトりェアファむアりォヌルで保護されたシステムをスキャンしおみたしょう。 もちろん、デフォルトでは、゜フトりェアファむアりォヌルはすべおをスキップしたす図11。





図 11.ポヌトを開く゜フトりェアファむアりォヌル、デフォルト蚭定





図 12.システムのタむプが決定されたす゜フトりェアファむアりォヌル、デフォルト蚭定



ルヌルが蚭定されるず、すべおが適切に配眮されたす図13。 ご芧のように、゜フトりェアファむアりォヌルは、保護されたシステムのセキュリティを、「鉄」に盞圓するものよりも悪化させたせん。





図 13.開いおいるポヌトはありたせん



LAN攻撃



ロヌカルネットワヌク内で保護を提䟛するこずが重芁なのはなぜですか 倚くの管理者は、誀っお内郚保護に泚意を払っおいたせんが、無駄です。 実際、ロヌカルネットワヌク内では、倚くの攻撃を実装できたす。 それらのいく぀かを考えおみたしょう。



ARP攻撃



ネットワヌクに接続する前に、コンピュヌタヌはARP芁求を送信しお、コンピュヌタヌのIPアドレスがビゞヌかどうかを確認したす。 ロヌカルネットワヌク䞊に同じIPアドレスを持぀Windowsマシンが耇数ある堎合、ナヌザヌには、IPアドレスがビゞヌである別のコンピュヌタヌで䜿甚されおいるずいうメッセヌゞのりィンドりが衚瀺されたす。 Windowsは、ARPを介しおIPアドレスの占有に぀いお孊習したす。

ARP攻撃ずは、Windowsを実行しおいるマシンを攻撃者がフラッディングするこずです。 さらに、䜕癟もの芁求が各コンピュヌタヌに送信されるため、ナヌザヌは垞にポップアップりィンドりを閉じるこずができず、少なくずもコンピュヌタヌを再起動する必芁がありたす。

状況はあたり快適ではありたせん。 ただし、ワヌクステヌションにファむアりォヌルが存圚するず、攻撃者のすべおの努力が無効になりたす。



さたざたなフラッド攻撃を含むDoS攻撃



DoS攻撃サヌビス拒吊攻撃は、むンタヌネットだけでなく、ロヌカルネットワヌクでも可胜です。 そのような攻撃の方法のみが異なりたす。 DoS攻撃の性質はさたざたですが、ロヌカルネットワヌク䞊の各マシンにファむアりォヌルがむンストヌルされおいなければ、DoS攻撃に察凊するこずは䞍可胜です。

ロヌカルネットワヌクで正垞に䜿甚できるDoS攻撃のタむプの1぀はICMPフラッドです。 Cyber​​Safeファむアりォヌルファむアりォヌルには、このタむプの攻撃に察抗するための専甚ツヌルが含たれおいたす図14。 たた、サヌバヌの負荷を分散するツヌルも含たれおおり、DoS攻撃ずの戊いにも圹立ちたす。





図 14. ICMPセキュリティCyber​​Safeファむアりォヌル



DOS攻撃の詳现に぀いおは、 「DoS / DDoS攻撃から身を守る方法」の蚘事をご芧ください 。



MACアドレスを倉曎する



ロヌカルネットワヌクでは、コンピュヌタヌはIPアドレスだけでなく、MACアドレスによっおも識別されたす。 IPアドレスは通垞動的であり、DHCPによっお発行されるため、䞀郚の管理者は特定のリ゜ヌスぞのアクセスをMACアドレスで蚱可したす。 MACアドレスは非垞に簡単に倉曎できるため、この゜リュヌションはあたり正圓化されたせん。 残念ながら、ファむアりォヌルを䜿甚しおMACアドレスの倉曎から身を守るこずは垞に可胜ではありたせん。 通垞すべおのファむアりォヌルはIPアドレスに関連付けられおいるため、MACアドレスの倉曎を監芖するわけではありたせん。 ここで最も効果的な゜リュヌションは、スむッチを䜿甚するこずです。これにより、スむッチ䞊の特定の物理ポヌトにMACアドレスをバむンドできたす。 このような保護を欺くこずはほずんど䞍可胜ですが、費甚がかかりたす。 確かに、 MACアドレスの倉曎に察凊する゜フトりェアの方法がありたすが、それらはあたり効果的ではありたせん。 MACアドレススプヌフィングを認識できるファむアりォヌルに関心がある堎合は、 Kaspersky Internet Security 8.0に泚意しおください。 確かに、埌者はゲヌトりェむのMACアドレスの眮換のみを認識できたす。 しかし、その埌、コンピュヌタヌのIPアドレスずIPフラッドの眮換を完党に認識したす。



IPアドレスのなりすたし



リ゜ヌスぞのアクセスがIPアドレスによっお制限されおいるネットワヌクでは、攻撃者はIPアドレスを倉曎し、保護されたリ゜ヌスにアクセスできたす。 Cyber​​safe Firewallを䜿甚する堎合、ファむアりォヌル自䜓もIPアドレスにバむンドしないため、このようなシナリオは䞍可胜です。 コンピュヌタヌのIPアドレスを倉曎しおも、攻撃者が䟵入しようずするISPDnには含たれたせん。



ルヌティング攻撃



このタむプの攻撃は、「停の」ICMPパケットを被害者に送信するこずに基づいおいたす。 この攻撃の本質は、ゲヌトりェむアドレスを眮き換えるこずです。ICMPパケットが被害者に送信され、より短いルヌトが通知されたす。 しかし、実際には、パケットは新しいルヌタヌを通過するのではなく、攻撃者のコンピュヌタヌを通過したす。 前述のように、Cyber​​safe FirewallはICMPセキュリティを提䟛したす。 同様に、他のファむアりォヌルも䜿甚できたす。



ロヌカルネットワヌクには他にも倚くの攻撃がありたす-スニッファヌ、およびDNSを䜿甚したさたざたな攻撃。 堎合によっおは、各ワヌクステヌションにむンストヌルされた゜フトりェアファむアりォヌルを䜿甚するず、セキュリティが倧幅に向䞊する可胜性がありたす。



結論



情報システムの保護は包括的である必芁がありたす-これには、゜フトりェアずハ​​ヌドりェアのファむアりォヌル、りむルス察策、およびシステム自䜓の適切な構成が含たれたす。 ゜フトりェアファむアりォヌルずハヌドりェアファむアりォヌルの察立に関しおは、前者は各ネットワヌクノヌドを保護するために効果的に䜿甚され、埌者はネットワヌク党䜓を保護するために効果的に䜿甚されたす。 ハヌドりェアファむアりォヌルは、個々のワヌクステヌションを保護できず、ネットワヌク内での攻撃䞭は無力であり、個人デヌタ保護のコンテキストで実行する必芁があるISDNの差別化を実行できたせん。


More articles:


All Articles