Брандмауэр приложений

Информационная безопасность
Часть серии по
Связанные категории безопасности
Автомобильная безопасность Киберпреступность Киберсекс трафик Компьютерное мошенничество Кибергедон Кибертерроризм · Кибервойна Электронная война Информационная война Интернет-безопасность Мобильная безопасность Сетевая безопасность Защита от копирования Управление цифровыми правами
Угрозы
Рекламное ПО Постоянная угроза повышенной сложности Выполнение произвольного кода Бэкдоры Аппаратные бэкдоры Внедрение кода Преступное ПО Межсайтовый скриптинг Вредоносное ПО для криптоджекинга Ботнеты Данные нарушения Попутная загрузка Вспомогательные объекты вредоносного браузера Компьютерное преступление Вирусы Парсинг данных Отказ в обслуживании Подслушивание Электронное мошенничество Подмена электронной почты Эксплойты Клавиатурные шпионы Логические бомбы Бомбы замедленного действия Вилочные бомбы Мошеннические дозвонщики Вредоносное ПО Полезная нагрузка Фишинг Полиморфный движок Повышение привилегий Программы-вымогатели Руткиты Буткиты Пугающее ПО Шеллкод Рассылка спама Социальная инженерия (безопасность) Соскабливание экрана Шпионское ПО Программные ошибки троянские кони Аппаратные трояны Трояны удаленного доступа Уязвимость Веб-оболочки щетка стеклоочистителя черви SQL-инъекция Незаконное программное обеспечение безопасности Зомби
Защиты
Обнаружение аномалий Контроль доступа к компьютеру Безопасность приложений Программа-антивирус Программное обеспечение компьютерной безопасности Безопасное кодирование Безопасность по умолчанию Безопасность благодаря дизайну Случай неправильного использования Операционная система, ориентированная на безопасность Аутентификация Многофакторная аутентификация Авторизация Безопасность, ориентированная на данные Обфускация кода Шифрование Брандмауэр Система обнаружения вторжений Система обнаружения вторжений на основе хоста (HIDS) Информация о безопасности и управление событиями Мобильный безопасный шлюз Самозащита рабочего приложения Безопасность веб-приложений
v т е

Эта статья требует дополнительных ссылок для проверки . Пожалуйста, помогите улучшить эту статью , добавив цитаты из надежных источников . Материал, не полученный от источника, может быть оспорен и удален.
Поиск источников: «Брандмауэр приложений» - новости · газеты · книги · ученый · JSTOR ( февраль 2010 г. ) ( Узнайте, как и когда удалить это сообщение-шаблон )

Межсетевой экран приложения является формой брандмауэра , что элементы управления вводом / вывода или системными вызовами из приложения или службы. Он работает, отслеживая и блокируя обмен данными на основе настроенной политики, обычно с предопределенными наборами правил на выбор. Брандмауэр приложения может управлять обмен до прикладного уровня в модели OSI , который является самым высоким рабочим слоем, и где он получил свое название. Две основные категории брандмауэров приложений - это сетевые и хост-системы .

История [ править ]

Джин Спаффорд из Университета Пердью , Билл Чесвик из AT&T Laboratories и Маркус Ранум описали межсетевой экран третьего поколения, известный как межсетевой экран прикладного уровня. Работа Маркуса Ранума, основанная на брандмауэре, созданном Полом Викси, Брайаном Ридом и Джеффом Могулом, возглавила создание первого коммерческого продукта. Продукт был выпущен DEC и назван Джеффом Маллиганом DEC SEAL - Secure External Access Link. Первая крупная продажа DEC состоялась 13 июня 1991 года компании Dupont.

В соответствии с более широким контрактом DARPA с TIS, Маркус Ранум, Вей Сю и Питер Черчьярд разработали Firewall Toolkit (FWTK) и сделали его свободно доступным по лицензии в октябре 1993 года. ^[1] Цели выпуска свободно доступного, а не коммерческого использования , FWTK были: продемонстрировать с помощью программного обеспечения, документации и используемых методов, как компания с (в то время) 11-летним опытом в формальных методах безопасности и люди с опытом работы с межсетевыми экранами разрабатывали программное обеспечение межсетевого экрана; для создания общей базы очень хороших программных брандмауэров, которые могли бы использовать другие (чтобы людям не приходилось продолжать «катить свое собственное» с нуля); чтобы «поднять планку» используемого программного обеспечения межсетевого экрана. Однако FWTK был основным прокси приложения, требующим взаимодействия с пользователем.

В 1994 году Вэй Сюй расширил FWTK, добавив в ядро усовершенствованный фильтр с отслеживанием состояния IP и прозрачный сокет. Это был первый прозрачный брандмауэр, известный как начало брандмауэра третьего поколения , помимо традиционного прокси для приложений ( брандмауэр второго поколения ), выпущенный как коммерческий продукт, известный как брандмауэр Gauntlet. Межсетевой экран Gauntlet был признан одним из лучших межсетевых экранов приложений с 1995 по 1998 год, когда он был приобретен Network Associates Inc (NAI). Network Associates продолжала утверждать, что Gauntlet был «самым безопасным межсетевым экраном в мире», но в мае 2000 года исследователь безопасности Джим Стикли обнаружил большую уязвимость в межсетевом экране, позволяющую удаленный доступ к операционной системе и обходя меры безопасности.^[2] Стикли обнаружил вторую уязвимость годом позже, положив конец доминирующему положению брандмауэров Gauntlet в области безопасности. ^[3]

Описание [ править ]

Фильтрация на уровне приложений работает на более высоком уровне, чем традиционные устройства безопасности. Это позволяет принимать решения о пакетах, основываясь не только на IP-адресе источника / получателя или портах, а также может использовать информацию, охватываемую несколькими соединениями для любого данного хоста.

Брандмауэры сетевых приложений [ править ]

Сетевые брандмауэры приложений работают на прикладном уровне стека TCP / IP ^[4] и могут понимать определенные приложения и протоколы, такие как протокол передачи файлов (FTP), система доменных имен (DNS) или протокол передачи гипертекста (HTTP). Это позволяет ему выявлять нежелательные приложения или службы, использующие нестандартный порт, или обнаруживать злоупотребление разрешенным протоколом. ^[5]

Современные версии межсетевых экранов сетевых приложений могут включать в себя следующие технологии:

Разгрузка шифрования
Система предотвращения вторжений
Предотвращение потери данных

Брандмауэры веб-приложений (WAF) - это специализированная версия сетевого устройства, которое действует как обратный прокси-сервер , проверяя трафик перед его перенаправлением на связанный сервер.

Брандмауэры приложений на основе хоста [ править ]

Брандмауэр приложений на основе хоста отслеживает системные вызовы приложений или другие общие системные сообщения. Это дает большую детализацию и контроль, но ограничивается только защитой хоста, на котором он работает. Контроль осуществляется путем фильтрации для каждого процесса. Как правило, приглашения используются для определения правил для процессов, которые еще не получили соединение. Дальнейшая фильтрация может быть выполнена путем изучения идентификатора процесса владельца пакетов данных. Многие межсетевые экраны приложений на основе хоста объединены или используются вместе с фильтром пакетов. ^[6]

Из-за технологических ограничений современные решения, такие как песочница , используются в качестве замены межсетевых экранов приложений на основе хоста для защиты системных процессов. ^[7]

Реализации [ править ]

Доступны различные брандмауэры приложений, включая бесплатное программное обеспечение и программное обеспечение с открытым исходным кодом, а также коммерческие продукты.

Mac OS X [ править ]

Начиная с Mac OS X Leopard, была включена реализация MAC-инфраструктуры TrustedBSD (взятой из FreeBSD). ^[8] Инфраструктура MAC TrustedBSD используется для песочницы служб и обеспечивает уровень межсетевого экрана с учетом конфигурации служб совместного использования в Mac OS X Leopard и Snow Leopard. Сторонние приложения могут предоставлять расширенные функции, включая фильтрацию исходящих подключений по приложениям.

Linux [ править ]

Это список пакетов программного обеспечения безопасности для Linux, позволяющих фильтровать взаимодействие приложений с ОС, возможно, для каждого пользователя:

Kerio Control - коммерческий продукт
AppArmor
ModSecurity - также работает под Windows, Mac OS X, Solaris и другими версиями Unix . ModSecurity предназначен для работы с веб-серверами IIS, Apache2 и NGINX.
Systrace
Зорп

Windows [ править ]

WinGate

Сетевые устройства [ править ]

Эти устройства могут продаваться как оборудование, программное обеспечение или виртуализированные сетевые устройства.

Межсетевые экраны следующего поколения:

Cisco Firepower Threat Defense
Пропускной пункт
Серия Fortinet FortiGate
Серия Juniper Networks SRX
Palo Alto Networks
SonicWALL TZ / NSA / Сверхмассивная серия

Брандмауэры веб-приложений / LoadBalancers:

Брандмауэр веб-приложений A10 Networks
Брандмауэр / балансировщик нагрузки ADC для веб-приложений Barracuda Networks
Citrix NetScaler
Менеджер безопасности приложений F5 Networks BIG-IP
Серия Fortinet FortiWeb
КЭМП Технологии
Imperva

Другие:

CloudFlare
Мераки
Гладкостенный
Snapt Inc

См. Также [ править ]

ModSecurity
Компьютерная безопасность
Программное обеспечение для управления контентом
Прокси сервер
Информационная безопасность
Безопасность приложений
Сетевая безопасность

Ссылки [ править ]

^ "Выпуск V1.0 инструментария межсетевого экрана" . Проверено 28 декабря 2018 .
^ Кевин Pulsen (22 мая 2000). «В брандмауэре NAI обнаружена дыра в безопасности» . securityfocus.com . Проверено 14 августа 2018 .
^ Кевин Pulsen (5 сентября 2001). «Зияющая дыра в брандмауэре NAI's Gauntlet» . theregister.co.uk . Проверено 14 августа 2018 .
↑ Луис Ф. Медина (2003). Серия самых слабых звеньев безопасности (1-е изд.). IUniverse. п. 54. ISBN 978-0-595-26494-0.
^ «Что такое уровень 7? Как работает уровень 7 Интернета» . Cloudflare . Проверено 29 августа 2020 года .
^ «Программные брандмауэры: Сделано из соломы? Часть 1 из 2» . Symantec.com . Сообщество Symantec Connect. 2010-06-29 . Проверено 5 сентября 2013 .
^ «Что такое песочница (тестирование программного обеспечения и безопасность)? - Определение с сайта WhatIs.com» . SearchSecurity . Проверено 15 ноября 2020 .
^ «Структура обязательного контроля доступа (MAC)» . TrustedBSD . Проверено 5 сентября 2013 .

Внешние ссылки [ править ]

Брандмауэр веб-приложений , Open Web Application Security Project
Критерии оценки брандмауэра веб-приложений , от Консорциума безопасности веб-приложений
Безопасность в облаке (ах): «испарение» брандмауэра веб-приложений для защиты облачных вычислений

[1] "Выпуск V1.0 инструментария межсетевого экрана" . Проверено 28 декабря 2018 .

[2] Кевин Pulsen (22 мая 2000). «В брандмауэре NAI обнаружена дыра в безопасности» . securityfocus.com . Проверено 14 августа 2018 .

[3] Кевин Pulsen (5 сентября 2001). «Зияющая дыра в брандмауэре NAI's Gauntlet» . theregister.co.uk . Проверено 14 августа 2018 .

[4] Луис Ф. Медина (2003). Серия самых слабых звеньев безопасности (1-е изд.). IUniverse. п. 54. ISBN 978-0-595-26494-0.

[5] «Что такое уровень 7? Как работает уровень 7 Интернета» . Cloudflare . Проверено 29 августа 2020 года .

[symantec.com-6] «Программные брандмауэры: Сделано из соломы? Часть 1 из 2» . Symantec.com . Сообщество Symantec Connect. 2010-06-29 . Проверено 5 сентября 2013 .

[7] «Что такое песочница (тестирование программного обеспечения и безопасность)? - Определение с сайта WhatIs.com» . SearchSecurity . Проверено 15 ноября 2020 .

[8] «Структура обязательного контроля доступа (MAC)» . TrustedBSD . Проверено 5 сентября 2013 .