Skeem krüptitud liikluse filtreerimiseks ilma krüpteerimisvõtmeid avaldamata.

Sageli kuuleme aruteludes, et püsival liikluse filtreerimisel põhinev hajutatud teenuse keelamise rünnakute leevendamise teenus on vähem tõhus ja kulukam kui tellitav filtreerimine.

Sellistes dialoogides kasutatavad argumendid ei muutu aja jooksul palju, kui arutelu algab: pideva filtreerimise kõrge hind versus ajaline viivitus, mis on vajalik spetsialisti või seadmete kaasamiseks tellitava rünnaku neutraliseerimise protsessi.

Qrator Labs soovib selgitada oma seisukohta, tuues avalikuks aruteluks mõned argumendid selle kohta, kuidas püsiv filtreerimine erineb nõudmisel filtreerimisest ja miks esimene võimalus on tegelikult ainus elujõuline valik.

Üks peamisi põhjusi on see, et kaasaegsed rünnakud arenevad väga kiiresti – arenevad ja muutuvad reaalajas keerukamaks. Teenus ise on samuti arenev – sait ja rakendus arenevad, mistõttu võib selguda, et kasutajate "tavaline" käitumine eelmise ründe ajal pole enam asjakohane.

Enamikul juhtudel ei vaja teenusepakkuja tehnilised spetsialistid teenuse keelamise rünnakute neutraliseerimiseks käsitsi filtreerimise korral mitte ainult aega, et mõista, mis toimub, et töötada välja õige käitumisstrateegia ja konkreetsete toimingute jada. Lisaks peab selline spetsialist teadma ka täpselt, millal ja kuidas ründevektor muutub, et seda kliendi soovil tõhusalt neutraliseerida.

Rünnaku all ühenduse loomine on omaette väljakutse, mis on tingitud peamiselt kõigi teenust püüdvate kasutajate kättesaadavuse halvenemisest. Kui rünnak õnnestus ja kasutajad ei saanud soovitud ressurssi, proovivad nad seda uuesti hankida, värskendades lihtsalt lehte või laadides rakenduse uuesti. See halvendab rünnaku stsenaariumi, kuna rämpsliiklust on raskem eristada seaduslikust liiklusest.

Rünnakute neutraliseerimise teenuse tegelik hostimine – pilves või füüsiliselt kliendi saidil, partneri andmekeskuses on sageli selle rakendamise põhinõue. Kuna mis tahes paigutusvõimalused võimaldavad pidevat automaatset või käsitsi filtreerimist ning vastavalt ka rünnakute tuvastamist ja neutraliseerimist. Kuid automaatse filtreerimise võimalus on põhinõue.

Kõige sagedamini filtreerivad pilvepõhised rünnakute neutraliseerimise teenused kogu sissetuleva liikluse – see muutub analüüsimiseks täielikult kättesaadavaks. Võrgu servale paigaldatud või kloonitud liiklust vastuvõtvad füüsilised seadmed pakuvad peaaegu samasuguseid reaalajas jälgimise ja leevendamise võimalusi.

Mõned müüjad soovitavad kasutada liikluse analüüsiks NetFlow mõõdikut või muid mõõdikuid, mis iseenesest on tulemuste osas juba kompromiss halvemuse poole, kuna kolmanda osapoole või tuletatud mõõdikud annavad ainult osa andmete kohta käivast teabest, kitsendades seega rünnaku avastamise ja neutraliseerimise võimalused. Ja vastupidi – pilveteenused ei pea 100% sissetulevast liiklusest analüüsima, kuid enamasti teevad nad seda, kuna selline lähenemine võimaldab teil parimal viisil mudeleid koostada ja algoritme koolitada.

NetFlow protokolli peamise analüüsivahendina kasutamise puuduseks on ka see, et see annab vaid mõned andmevoogude tunnused – nende kirjelduse, aga mitte vooge endid. Nii et loomulikult märkate rünnakut NetFlow peegeldatavate parameetrite põhjal, kuid keerulisemad rünnakutüübid, mida voo sisuanalüüs peaks tuvastama, ei jää nähtavaks. Seetõttu on rakenduskihi (L7) rünnakuid raske kajastada ainult NetFlow mõõdikuid kasutades, välja arvatud juhul, kui on sada protsenti tõendeid transpordisisese rünnaku kohta (kuna ülaltoodud L4 NetFlow on ausalt öeldes kasutu).

Filtreerimisvõrguga ühendamise üldine skeem.

1. Miks pakuvad pilve DDoS-i leevendamise pakkujad "püsivat filtreerimist" isegi siis, kui rünnakut parasjagu ei toimu?

Vastus on lihtne: püsiv filtreerimine on kõige tõhusam viis rünnakute leevendamiseks. Siinkohal tuleb ka lisada, et kliendi hostitud füüsiline varustus ei erine kuigi palju pilvefiltreerimisest, ainsa erandiga, et kasti lülitatakse sisse ja välja füüsiliselt kuskil andmekeskuses. Valik on aga igal juhul (töötada - see tähendab seade sisse lülitada, alati või ainult vajadusel) ja seda tuleb teha.

Väide, et pöördpuhverserver piirab filtreerimist ainult HTTP ja HTTPS-iga (SSL), on vaid pool tõde. HTTP-liiklus on keerukate filtreerimissüsteemide lahutamatu ja üks kriitilisi osi ning pöördpuhverserver on üks tõhusamaid viise selle kogumiseks ja analüüsimiseks.

2. Nagu me teame, võivad hajutatud teenuse keelamise rünnakud esineda mitmel kujul ja neid saab muuta HTTP-protokollist eemaldudes. Miks on pilv sel juhul parem kui eraldiseisvad seadmed kliendi poolel?

Filtreerimisvõrgu üksikute sõlmede ülekoormamine on võimalikult võimalik, kuna see on realistlik püstikusse paigutatud seadmetega. Pole olemas piisavalt võimsat raudkasti, et üksi rünnakutega toime tulla – selleks on vaja keerulist ja mitmekomponendilist süsteemi.

Kuid ka suurimad riistvaratootjad soovitavad kõige tõsisemate rünnakute korral pilvefiltreerimisele üle minna. Kuna nende pilved koosnevad samast riistvarast, mis on jaotatud klastriteks, millest igaüks on vaikimisi võimsam kui üks andmekeskuses hostitud lahendus. Lisaks töötab teie kast ainult teie jaoks, kuid suur filtreerimisvõrk teenindab kümneid ja sadu kliente – sellise võrgu kujundus oli algselt kavandatud töötlema suurusjärgus suuri andmemahtusid, et rünnak edukalt neutraliseerida.

Enne rünnakut on võimatu kindlalt öelda, kumb on lihtsam: iseseisvate seadmete (CPE) või filtreerimisvõrgu sõlme keelamine. Kuid mõelge sellele – punkti rike on alati teie müüja probleem, kuid seade, mis keeldub pärast ostmist reklaamitud töötamisest, on ainult teie probleem.

3. Puhverserverina toimiv võrgusõlm peab suutma ressursist sisu ja andmeid vastu võtta. Kas see tähendab, et igaüks saab pilvepõhisest leevenduslahendusest mööda minna?

Kui teie ja turvateenuse pakkuja vahel pole spetsiaalset füüsilist ühendust, siis jah.

On tõsi, et ilma spetsiaalse kanalita kliendilt teenusepakkuja poole, et leevendada teenuse keelamise rünnakuid, saavad ründajad rünnata teenuse algset IP-aadressi. Kõik selliste teenuste pakkujad ei paku põhimõtteliselt endalt kliendile püsiliiniteenust.

Üldiselt tähendab pilvefiltreerimisele üleminek vastavate teadaannete tegemist BGP-protokolli kasutades. Sel juhul on rünnatava teenuse üksikud IP-aadressid peidetud ja rünnamiseks kättesaamatud.

4. Mõnikord kasutatakse pilvefiltreerimise vastu argumendina teenuse maksumuse ja teenusepakkujapoolse maksumuse suhet. Kuidas see olukord kliendi poolele paigutatud seadmetega võrreldes välja näeb?

Võib kindlalt väita, et olenemata sellest, kui väike on teenuse keelamise rünnak, peab pilvepõhine teenusekeelu pakkuja neid kõiki käsitlema, kuigi selliste võrkude ehitamise sisekulud põhinevad alati väitel. et iga rünnak on intensiivne, suur, pikk ja tark. Teisest küljest ei tähenda see sugugi seda, et sellise teenuse pakkuja klientidele kõige vastu kaitset müües kaotab raha, vaid on tegelikult sunnitud toime tulema peamiselt väikeste ja keskmise suurusega rünnakutega. Jah, filtreerimisvõrk võib kasutada veidi rohkem ressursse kui "ideaalses olekus", kuid edukalt neutraliseeritud rünnaku korral ei esita keegi küsimusi. Nii klient kui ka pakkuja jäävad sellise koostööga rahule ja jätkavad seda suure tõenäosusega.

Kujutage ette sama olukorda paigal oleva varustusega – see maksab suurusjärgus rohkem ühekordselt, selle hooldamiseks on vaja vilunud käsi ja ... on ikkagi sunnitud väikseid ja haruldasi rünnakuid välja töötama. Kui plaanisite osta sellist varustust, mis pole kuskil odav, kas mõtlesite sellele?

Väide, et üks kast koos paigalduslepingu, tehnilise toe ja kõrgelt kvalifitseeritud inseneridega on lõppkokkuvõttes odavam kui sobiva pilveplaani ostmine, lihtsalt ei vasta tõele. Seadmete ja töötundide lõpphind on väga kõrge - ja see on peamine põhjus, miks hajutatud teenuse keelamise rünnakute kaitse ja leevendamine on muutunud omaette äriks ja kujundanud tööstust - vastasel juhul näeme rünnakut kaitsejaoskond igas IT-ettevõttes.

Lähtudes eeldusest, et rünnak on haruldane juhtum, tuleb leevenduslahendus välja töötada vastavalt ja suutma need haruldased rünnakud edukalt peatada. Kuid peale selle maksab see ka piisavalt raha, sest kõik saavad aru, et enamasti ei juhtu midagi kohutavat.

Pilveteenuse pakkujad kavandavad ja ehitavad oma võrke tõhusalt, et koondada enda riske ja toime tulla rünnakutega, jaotades liiklust filtripunktide vahel, mis on nii riist- kui ka tarkvara – kaks süsteemiosa, mis on loodud ühel eesmärgil.

Siin on juttu tõenäosusteooriast tuttavast "Suurte arvude seadusest". See on põhjus, miks Interneti-teenuse pakkujad müüvad rohkem ribalaiust, kui neil tegelikult on. Hüpoteetiliselt võivad kõik kindlustusseltsi kliendid korraga sattuda ebameeldivasse olukorda – kuid praktikas pole seda kunagi juhtunud. Ja kuigi üksikud kindlustusnõuded võivad olla tohutud, ei vii see kindlustusäri pankrotti iga kord, kui kellegagi õnnetus juhtub.

Professionaalsed teenusekeelu leevendajad teavad, et kõige odavamad ja seega ka levinumad rünnakud hõlmavad võimendeid ja neid ei saa kuidagi iseloomustada kui "väikest".

Samal ajal, nõustudes sellega, et ühekordne makse füüsilisele saidile paigaldatud seadmete eest jääb sinna igaveseks, arenevad ründemeetodid. Ei ole mingit garantiid, et eilne riistvara homse rünnakuga hakkama saab – see on vaid oletus. Seetõttu hakkab sellistesse seadmetesse tehtud suur investeering oma väärtust kaotama täpselt paigaldamise hetkest, rääkimata vajadusest selle pideva hoolduse ja uuendamise järele.

DDoS-i neutraliseerimise äris on oluline omada väga skaleeritavat ja suure ühenduvusega lahendust, mida on väga raske saavutada eraldi seadme ostmisega.

Tõsise rünnaku korral proovivad kõik eraldiseisvad seadmed anda pilvele märku, et see on alanud, ja jaotada liiklust filtripunktide vahel. Kuid keegi ei ütle, et kui kanal on prügiga ummistunud, pole garantiid, et see suudab selle sõnumi oma pilve edastada. Ja veelkord – andmevoo ümberlülitamine võtab aega.

Seetõttu on ainus tegelik kulu, mida klient saab peale raha maksta, et kaitsta oma infrastruktuuri teenuse keelamise rünnakute eest, latentsus ja mitte midagi muud. Kuid nagu me ütlesime, vähendavad hästi ehitatud pilved latentsust, parandades taotletud ressursi ülemaailmset kättesaadavust.

Pidage seda silmas, kui valite raudkasti ja pilve filtreerimise vahel.

Veebi filtreerimine, või Interneti filter on tarkvara või riistvara tööriist veebilehtede filtreerimiseks nende sisu järgi, mis võimaldab piirata kasutaja juurdepääsu teatud saitide või teenuste loendile Internetis.

Veebi filtreerimissüsteeme saab rakendada mitmesugustes variatsioonides:

• kommunaalkulud;
• rakendused;
• brauseri lisandmoodulid;
• Interneti-lüüside lisandmoodul;
• pilveteenused.

Veebi filtreerimistööriistad takistavad külastada ohtlikke saite, mida hostitakse või saitideks on klassifitseeritud. Kuid nende peamine ülesanne on kontrollida juurdepääsu teatud kategooria veebisaitidele. Nende abiga saate hõlpsalt piirata ettevõtete töötajate juurdepääsu teatud kategooriate veebisaitidele.

Kogu sissetulev liiklus analüüsitakse ja kategoriseeritakse. Sõltuvalt Interneti-filtreerimistööriista seadistustest võidakse juurdepääs teatud kategooria sisule blokeerida ja kasutajale kuvatakse hoiatus.

Algselt kontrollisid veebifiltreerimissüsteemid regulaaravaldiste abil URL-e, kuhu kasutaja läheb, oma andmebaasi ja mustade nimekirjade alusel. Leiti, et see meetod on erinevalt mustrituvastusest ja keeleanalüüsist ebaefektiivne. Seega ei kontrollita nüüd mitte ainult linke, vaid ka kogu veebilehele postitatud infot ning otsitakse märksõnu ja väljendeid. Saadud andmete põhjal arvutatakse teabe vastavuse protsent mis tahes etteantud kategooriale. Kui see protsent ületab lubatud taseme, blokeerib Interneti-filtreerimissüsteem juurdepääsu saidile. Filtreerimise lisafunktsiooniks on veebilehtede külastamise ja aruandluse statistika kogumine, mis võimaldab süsteemiadministraatoritel aru saada, millele organisatsiooni liiklus kulutatakse.

Lisaks HTTP-liikluse sisu filtreerimisele pakuvad veebifiltreerimissüsteemide arendajad oma kasutajatele võimalust kontrollida turvalist HTTP-liiklust, aga ka SSL-sertifikaatide usaldusväärsust. See on asjakohane, kui ründajad kasutavad krüptimist isikuandmete, pangakaardi numbrite ja PIN-koodide varastamiseks.

Ärge unustage, et lisaks ettevõttesiseselt petturlike saitide külastamise ohule tähendab konfidentsiaalse teabe lekkimine eelkõige andmete ilmumist ettevõtte väljuvas liikluses. Töötajad võivad ekslikult või tahtlikult saata kliendibaase või isikuandmeid kiirsõnumite või e-posti teel. Õigesti seadistatud Interneti-filtriga on võimalik vältida selliseid juhtumeid, mis diskrediteerivad ettevõtte mainet ja toovad kaasa tõsiseid kaotusi.

Veebi filtreerimise tööriista valimisel peaksite pöörama tähelepanu klassifikaatori täielikkusele, uute saitide klassifitseerimise kiirusele ja ka valepositiivsete tulemuste protsendile.

Liikluse filtreerimise tööriistad

Liikluse filtreerimise tööriistade ülesanneteks on kontrollida võrguliiklust (võrgupakettide sisu) ja blokeerida (filtreerida) liiklust, mis ei vasta määratud turvareeglitele. Liiklusfiltrid kontrollivad ja analüüsivad võrgupakettide sisu rakenduste tasemel, kuid erinevalt tulemüüridest ei vahenda nad kahte sõlme, et välistada nende otsene suhtlus (tulemüürid ja puhverserverid). Erinevalt IDS/IPS-tööriistadest ei tuvasta ega takista liiklusfiltrid võrku sissetungi ja ründeid.

Liikluse filtreerimise tööriistade hulka kuuluvad:

• võrguprotokolli filtrid;
• sisufiltrid, sh URL-filtrid;
• rämpsposti filtrid;
• veebiliikluse filtrid veebirakenduste kaitsmiseks (Web Security).

Need liikluse filtreerimise tööriistad on sisseehitatud ja neid kasutatakse eraldi kaitsetööriistades, nagu tulemüür, võrguviirusetõrje, puhverserver, IDS / IPS, UTM, WAF, e-posti turvalisus, HIPS, erinevate ülesannete lahendamiseks või rakendatakse eraldi tarkvara ja riistvara -tarkvara. Lisaks kasutatakse liikluse filtreerimise tööriistu arveldussüsteemides, liiklusarvestuses ja arveldamises; kontroll, statistika, kasutajate võrgutegevuse reaalajas jälgimine ja interneti kasutamine jne.

Filtrid võrguprotokollide järgi lubada liiklust teatud võrguprotokollidel ja blokeerida liiklust teistel protokollidel. Need tööriistad paigaldatakse võrgu serva, tagades, et ainult vajalik võrguliiklus liigub teatud protokollide kaudu võrgu sisemusse ja/või välisvõrku, s.t. jõustada võrgupoliitikat.

Sisu filtrid

Sisu filtrid(Content Monitoring and Filtering, CMF) blokeerib juurdepääsu soovimatule sisule Internetis. Need on veebiliikluse filtrid (http/https-protokollid).

Veebiliiklust filtreeritakse "musta nimekirja" saitide URL-ide (URL-filtrid), märksõna, allkirja või failitüübi, saidi sisu järgi, kasutades morfoloogilist analüüsi. Sisufiltrid paigaldatakse võrgulüüsidesse (tulemüürid, puhverserverid jne) või tööjaamadesse viirusetõrjetes (vanemliku kontrolli funktsioon andmepüügisaitide eest kaitsmiseks), isiklikes tulemüürides jne. Saab kasutada eraldiseisva tarkvarana.

Veebiliikluse filtrid (võrkturvalisus)

Veebiliikluse filtrid (võrkturvalisus) kasutatakse veebirakenduste kaitsmiseks veebiliikluse kaudu tulevate erinevat tüüpi ohtude, sealhulgas pahatahtliku koodi tungimise eest. Need on veebiliikluse filtrid (http/https-protokollid). Veebiliikluse filtreerimise funktsioone kasutatakse turvatööriistades, nagu WAF . Veebiliiklusest lähtuvate ohtude eest kaitsmiseks on soovitatav kasutada veebiturbe klassi spetsialiseeritud lahendusi.

Veebiturbe tööriistade põhifunktsioonid:

• veebiliikluse kaitse viiruste ja pahavara eest;
• juurdepääsu blokeerimine pahatahtlikele saitidele;
• kaitse andmepüügi rünnakute eest;
• kasutajate juurdepääsu kontroll erinevatele veebiressurssidele;
• URL-i filtreerimine ja saidi kategoriseerimine.

Teabevoogude filtreerimine seisneb nende valikulises edastamises läbi ekraani, võimaluse korral mõningate teisendustega ja saatja teavitamise, et tema andmetele juurdepääs keelati. Filtreerimine toimub ekraanile eellaaditud reeglite komplekti alusel, mis väljendavad vastuvõetud turbepoliitika võrguaspekte. Seetõttu on mugav mõelda tulemüürist kui filtrite jadast (joonis A.2), mis töötlevad teabevoogu. Kõik filtrid on mõeldud individuaalsete filtreerimisreeglite tõlgendamiseks, tehes järgmised sammud.

1. Teabe analüüs tõlgendatud reeglites sätestatud kriteeriumide järgi, näiteks saaja ja saatja aadresside või rakenduse tüübi järgi, mille jaoks see teave on mõeldud.

2. Tõlgendatud reeglite alusel ühe järgmistest otsustest:

Ärge jätke andmeid vahele;

Töödelda andmeid saaja nimel ja tagastada tulemus saatjale;

Analüüsi jätkamiseks edastage andmed järgmisele filtrile;

Jäta andmed vahele, ignoreerides järgmisi filtreid.

Riis. A.2. Tulemüüri struktuur

Filtreerimisreeglid võivad määrata ka lisatoiminguid, mis on seotud vahendusfunktsioonidega, näiteks andmete teisendamine, sündmuste registreerimine jne. Sellest lähtuvalt määratlevad filtreerimisreeglid tingimuste loendi, mille korral tehakse kindlaksmääratud analüüsikriteeriume kasutades järgmist:

andmete edasise edastamise luba või keelamine;

täiendavate kaitsefunktsioonide täitmine.

Infovoo analüüsimisel saab kasutada järgmisi parameetreid:

võrguaadresse, identifikaatoreid, liidese aadresse, pordinumbreid ja muid olulisi andmeid sisaldavate sõnumipakettide teenindusväljad;

sõnumipakettide otsene sisu, mida kontrollitakse näiteks arvutiviiruste esinemise suhtes;

teabevoo välised omadused, näiteks ajaline,

sageduskarakteristik, andmemaht jne.

Kasutatavad analüüsikriteeriumid sõltuvad OSI mudeli kihtidest, millel filtreerimine toimub. Üldiselt, mida kõrgem on OSI mudeli tase, millel tulemüür pakette filtreerib, seda kõrgemat kaitsetaset see pakub.

Vahendusfunktsioonide täitmine

Tulemüür täidab vahendusfunktsioone spetsiaalsete programmide abil, mida nimetatakse varjestusagentideks või lihtsalt vaheprogrammideks. Need programmid on püsivad ja keelavad sõnumipakettide otsese edastamise välis- ja sisevõrkude vahel.

Kui on vaja juurdepääsu sisevõrgust välisvõrku või vastupidi, tuleb esmalt luua loogiline ühendus ekraaniarvutis töötava vaheprogrammiga. Vahendusprogramm kontrollib küsitud internetiühenduse kehtivust ja kui see on lubatud, loob ise eraldi ühenduse vajaliku arvutiga. Lisaks toimub teabevahetus sise- ja välisvõrkude arvutite vahel tarkvaravahendaja kaudu, mis suudab filtreerida sõnumivoogu ja täita muid kaitsefunktsioone.

Tuleb mõista, et tulemüür suudab täita filtreerimisfunktsioone ilma vahendusprogramme kasutamata, pakkudes läbipaistvat suhtlust sise- ja välisvõrkude vahel. Tarkvaravahendajad ei pruugi aga sõnumivoogu filtreerida. Üldiselt võivad varjestusained, mis blokeerivad sõnumivoo läbipaistva edastamise, täita järgmisi funktsioone:

kasutajate tuvastamine ja autentimine;

edastatud andmete autentimine;

juurdepääsu eristamine sisevõrgu ressurssidele;

juurdepääsu eristamine välistele võrguressurssidele;

sõnumivoo filtreerimine ja teisendamine, näiteks dünaamiline viirusekontroll ja teabe läbipaistev krüpteerimine;

väljaminevate sõnumipakettide sisevõrgu aadresside tõlkimine;

sündmuste registreerimine, konkreetsetele sündmustele reageerimine, samuti registreeritud teabe analüüs ja aruannete koostamine;

välisvõrgust küsitud andmete vahemällu salvestamine.

Kõrge turvalisuse tagamiseks on vaja kasutajaid tuvastada ja autentida mitte ainult siis, kui nad sisenevad välisvõrgust sisemisse, vaid ka vastupidi. Salasõna ei tohi avalikus suhtluses edastada. See hoiab ära volitamata juurdepääsu võrgupakettide pealtkuulamise kaudu, mis on võimalik näiteks tavateenuste, nagu Telnet, puhul. Parim viis autentimiseks on kasutada ühekordseid paroole. Samuti on mugav ja turvaline kasutada usaldusväärsete asutuste, näiteks võtmete jaotuskeskuse, väljastatud digitaalseid sertifikaate. Enamik puhverserveri tarkvara on loodud nii, et kasutaja autentimine toimub ainult tulemüüri seansi alguses. Pärast seda ei pea ta administraatori määratud aja jooksul täiendavalt autentima. Vahendusprogrammid saavad autentida vastuvõetud ja edastatud andmeid. See ei puuduta mitte ainult elektrooniliste sõnumite autentimist, vaid ka migreeruvaid programme (Java, ActiveXControls), mille vastu saab võltsimist teostada. Sõnumite ja programmide autentimine seisneb nende digitaalallkirjade kontrollimises. Selleks saab kasutada ka digisertifikaate. Kasutajate tuvastamine ja autentimine tulemüürile juurdepääsul võimaldab teil eristada nende juurdepääsu sise- või välisvõrguressurssidele. Sisevõrgu ressurssidega eristamise meetodid ei erine operatsioonisüsteemi tasemel toetatavatest eristamismeetoditest. Juurdepääsu piiramisel juurde Välised võrguressursid kasutavad enamasti ühte järgmistest lähenemisviisidest.

juurdepääsu võimaldamine ainult määratud aadressidele välisvõrgus;

päringute filtreerimine kehtetute aadresside uuendatud loendite alusel ja teaberessursside otsimise blokeerimine soovimatute märksõnade järgi;

välisvõrgu volitatud teaberessursside kogumine ja värskendamine tulemüüri kettamällu administraatori poolt ning välisvõrgule juurdepääsu täielik keelamine.

Sõnumivoo filtreerimist ja teisendamist teostab vahendaja etteantud reeglistiku alusel. Siin tuleks eristada kahte tüüpi vahendusprogramme:

sõelumisagendid, mis on keskendunud teatud tüüpi teenuste (nt FTP, HTTP, Telnet) sõnumivoo analüüsile;

universaalsed sõelumisagendid, mis töötlevad kogu sõnumivoogu, näiteks agendid, mis on keskendunud arvutiviiruste leidmisele ja neutraliseerimisele või andmete läbipaistvale krüptimisele. Tarkvaravahendaja analüüsib talle saabuvaid andmepakette ja kui mõni objekt ei vasta määratud kriteeriumidele, siis vahendaja kas blokeerib selle edasise edenemise või teostab vastavaid teisendusi, näiteks neutraliseerib tuvastatud arvutiviirused. Pakettide sisu sõelumisel on oluline, et varjestusagent suudaks läbivad failiarhiivid automaatselt lahti pakkida.

Puhverserveri tulemüürid võimaldavad korraldada ka turvalisi virtuaalvõrke (VirtualPrivateNetwork-VPN), näiteks ühendada turvaliselt mitu Internetti ühendatud kohtvõrku üheks virtuaalseks võrguks. Interneti kaudu edastamisel on võimalik krüpteerida mitte ainult kasutajaandmeid, vaid ka teenuseinfot - võrgu lõpp-aadresse, pordinumbreid jne. Vahendusprogrammid võivad täita ka sellist olulist funktsiooni nagu sisevõrgu aadresside tõlkimine. Seda funktsiooni rakendatakse kõigi pakettide puhul, mis järgnevad sisevõrgust välisvõrku. Nende pakettide puhul tõlgib maakler automaatselt saatvate arvutite IP-aadressid üheks "usaldusväärseks" IP-aadressiks, mis on seotud tulemüüriga, kust kõik väljuvad paketid edastatakse. Selle tulemusena saadetakse kõik sisevõrgust väljuvad paketid tulemüüri poolt, mis välistab otsese kontakti volitatud sisevõrgu ja potentsiaalselt ohtliku välisvõrgu vahel Tulemüüri IP-aadress muutub ainsaks aktiivseks IP-aadressiks, mis välisvõrku siseneb.

Selle lähenemisviisi korral on sisevõrgu topoloogia väliste kasutajate eest peidetud, mis raskendab volitamata juurdepääsu ülesannet. Lisaks turvalisuse suurendamisele võimaldab aadressi tõlkimine omada võrgu sees oma aadressisüsteemi, mis ei ole kooskõlas adresseerimisega välisvõrgus, näiteks Internetis. See lahendab tõhusalt sisevõrgu aadressiruumi laienemise ja välise võrguaadresside nappuse probleemi. Vahendusprogrammide olulisteks funktsioonideks on sündmuste registreerimine, antud sündmustele reageerimine, samuti registreeritud info analüüs ja aruandlus. Kohustusliku reaktsioonina volitamata toimingute sooritamise katsete tuvastamisele tuleb määratleda administraatori teavitamine, s.o hoiatussignaalide väljastamine. Mis tahes tulemüür, mis ei ole võimeline rünnaku tuvastamisel hoiatusi saatma, ei ole tõhus tulemüür.

Paljud tulemüürid sisaldavad võimsat statistika registreerimise, kogumise ja analüüsimise süsteemi. Raamatupidamist saab pidada kliendi ja serveri aadresside, kasutajatunnuste, seansi aja, ühenduse aja, edastatud/vastuvõetud andmete hulga, administraatori ja kasutaja tegevuste järgi. Raamatupidamissüsteemid võimaldavad statistilist analüüsi ja pakuvad administraatoritele üksikasjalikke aruandeid. Spetsiaalsete protokollide abil saavad vahendajad teatud sündmustest reaalajas kaugteavitada. Spetsiaalsete vahendajate abil toetatakse ka välisvõrgust küsitud andmete vahemällu salvestamist. Kui sisevõrgu kasutajad pääsevad juurde välisvõrgu teaberessurssidele, koguneb kogu teave tulemüüri kõvakettaruumi, mida antud juhul nimetatakse puhverserveriks. Seega, kui järgmisel päringul ilmub puhverserverisse vajalik teave, edastab vahendaja selle ilma välisvõrku juurde pääsemata, mis kiirendab oluliselt juurdepääsu. Administraator peaks hoolitsema ainult puhverserveri sisu perioodilise värskendamise eest.

Vahemällu salvestamise funktsiooni saab edukalt kasutada välisvõrgu teaberessurssidele juurdepääsu piiramiseks. Sel juhul kogub ja uuendab administraator puhverserveris kõik välisvõrgu volitatud teaberessursid. Sisevõrgu kasutajatel on juurdepääs ainult puhverserveri inforessurssidele ning otsejuurdepääs välisvõrgu ressurssidele on keelatud. Varjestusained on palju töökindlamad kui tavalised filtrid ja pakuvad suuremat kaitset. Kuid need vähendavad sise- ja välisvõrkude vahelise suhtluse jõudlust ega taga rakenduste ja lõppkasutajate jaoks lihtsate filtrite jaoks tüüpilist läbipaistvust.

Tulemüüri omadused OSI mudeli erinevatel tasanditel

Tulemüürid toetavad Interneti-turvalisust OSI mudeli erinevatel tasanditel. Samas erinevad võrdlusmudeli erinevatel tasanditel teostatavad kaitsefunktsioonid üksteisest oluliselt. Seetõttu on mugav kujutada keerulist tulemüüri kui jagamatute tulemüüride kogumit, millest igaüks on keskendunud OSI mudeli eraldi kihile. Kõige sagedamini töötab ekraan võrdlusmudeli võrgu, seansi ja rakenduse tasemel. Sellest lähtuvalt on olemas sellised jagamatud tulemüürid (joonis A.3), nagu sõelumisruuter, sõelumistransport (seansitaseme lüüs) ja sõelumislüüs (rakenduse tasemel lüüs).

Arvestades, et võrkudes kasutatavad protokollid (TCP/IP, SPX/IPX) ei vasta üheselt OSI mudelile, võivad loetletud tüüpide ekraanid oma funktsioone täites katta ka võrdlusmudeli naabertasemeid. Näiteks saab rakenduse ekraan automaatselt krüpteerida sõnumeid, kui need edastatakse välisvõrku, samuti automaatselt dekrüpteerida krüptograafiliselt suletud vastuvõetud andmeid. Sel juhul ei toimi selline ekraan mitte ainult OSI mudeli rakenduskihil, vaid ka esitluskihil. Seansikihi lüüs katab oma töö ajal OSI mudeli transpordi- ja võrgukihte. Sõnumipakettide analüüsimisel kontrollib sõelumisruuter nende päiseid mitte ainult võrgu, vaid ka transpordi tasemel.

Igal tüüpi tulemüüridel on oma eelised ja puudused. Paljud kasutatavad tulemüürid on kas rakenduste lüüsid või varjestusruuterid ega paku täielikku koostoimimisturvalisust. Usaldusväärset kaitset pakuvad ainult keerukad tulemüürid, millest igaüks ühendab endas varjestusruuteri, seansitaseme lüüsi ja rakenduse lüüsi.

Riis. A.3. Tulemüüride tüübid, mis töötavad OSI mudeli üksikutel kihtidel