ALF – это не сокращение имени Альфред, а аббревиатура Application Layer Filtering – новое слово в одной из сфер безопасности: технологии firewall. Продавцы систем безопасности стремятся снабдить свои продукты ALF и усовершенствовать ALF для большей конкурентоспособности. Но что же такое ALF, и является ли она обязательной для firewall или всего лишь красивый маркетинговый ход?
В данной статье мы познакомимся с технологией ALF, посмотрим, как она находит свое отражение в современных средствах безопасности, увидим преимущества и недостатки этого компонента.
Попросту говоря, firewall предназначен для отсечения определенного трафика, проходящего из внешней сети, чаще всего Интернета, во внутреннюю сеть. Это дает возможность администраторам контролировать поступающую в локальную сеть информацию и обезопасить ее от нежелательных данных. Кроме фильтрации входящего трафика firewall может ограничить выход определенных данных из локальной сети во внешнюю (контроль исходящего трафика), ограничивая возможность пользователей отправлять данные в определенные места.
Традиционная система защиты firewall использует пакетную фильтрацию, работающую на сетевом уровне сетевой модели OSI. Современные системы защиты firewall используют усовершенствованную версию, называемую адресной пакетной фильтрацией. Такой вид пакетной фильтрации позволяет разрешать или блокировать трафик на основе IP адреса источника или места назначения или TCP источника или места назначения и номеров портов UDP, а также состояния связи. Динамическая пакетная фильтрация позволяет открывать и закрывать порты firewall в случае необходимости, в то время как в статической пакетной фильтрации открытие и закрытие портов производится вручную.
С помощью пакетной фильтрации можно установить критерии, на основе которых определенные пакеты данных разрешаются или блокируются:
Так как различные приложения используют «известные» порты для связи, то можно использовать пакетную фильтрацию для блокировки связи FTP (блокировка порта 20) или Telnet (блокировка порта 23), или SMTP (блокировка порта 25).
Фильтрация другого уровня осуществляется с помощью шлюзов уровней каналов связи. Фильтрация каналов связи проверяет данные, проходящие во время подтверждения связи TCP для определения ее правомерности.
Единственное чего нельзя добиться с помощью пакетной фильтрации и фильтрации каналов связи — так это проверки и блокировки данных на основе их содержания. Для этого необходима фильтрация приложения. И здесь вступает в игру ALF.
Фильтрация ALF превосходит пакетную фильтрацию и предоставляет большую точность контроля данных входящих и исходящих из сети. ВВ то время как пакетная фильтрация может полностью разрешить или блокировать определенный вид трафика, например, FTP, фильтрация ALF может выбирать определенные сообщения FTP и определять правомерность данных сообщений.
ALF – это более продвинутая технология. Она предназначена для обнаружения определенной информации не только в заголовках сообщений, но и в самом теле. Она может быть настроена на поиск определенный слов и фраз в сообщениях и блокировать сообщения на этой основе. Таким, образом, с помощью ALF можно предотвращать сетевые атаки или ограничивать возможность пользователей отправлять определенную информацию корреспондентам вне сети.
Давайте посмотрим, как это выглядит на практике. Для примера возьмем блокировку спама. Система защиты firewall является первой преградой на пути проникновения спама вместе с хорошей программой фильтрации спама на сервере и/или антиспамовскими утилитами на стороне клиента. Традиционные системы защиты firewall, использующие пакетную фильтрацию, должны знать IP адреса источники всех спамеров или использовать блокировку почтовых протоколов, которыми пользуются спамеры. Это не очень практично.
С помощью ALF можно блокировать сообщения на уровне firewall на основе ключевых слов, что делает firewall мощным оружием в вашей стратегии борьбы со спамом. Выполняя первоначальную фильтрацию на уровне firewall? Можно снять часть нагрузки с сервера, на котором установлено основное программное обеспечение по фильтрации спама.
Примечание: Следует соблюдать осторожность при использовании ALF для блокировки спама на основе ключевых слов, так как можно заблокировать сообщения, которые спамом не являются. Вы можете провести основную фильтрацию на основе ключевых слов на уровне сервера или клиента, где антиспамовское программное обеспечение поможет создать «белый список» отправителей, чьи сообщения будут всегда разрешены вне зависимости, содержат ли они «спамовские» ключевые слова. Фильтрация на основе ключевых слов в firewall должна быть ограничена только теми словами, которые никогда не появляются в нормальных сообщениях.
Что еще можно сделать с помощью ALF? Самое важное заключается в том, что, проверяя содержание информации, ALF может предотвратить атаки, использующие протоколы уровня приложений, включая:
ALF может проверять определенные команды в протоколах уровня приложений. Например, команда HTTP:GET может быть блокирована, в то время как команда HTTP:POST – разрешена.
ALF вместе с фильтрацией более низких уровней предоставляет высочайший уровень защиты.
Основной недостаток заключается в том, что фильтрация ALF влияет на производительность. Проверка содержания пакетов требует времени и влияет таким образом на производительность. Для ALF необходимо более мощное оборудование, чем для традиционных систем защиты firewall.
Другим неоспоримым недостатком являются административные издержки. ALF усложняет систему: существует вероятность установки неправильных настроек, которые могут привести к проблемам с доступом. Неправильное использование ALF может вызвать блокировку того. Чего вы совершенно не хотели блокировать.
Все больше и больше производителей систем защиты firewall и VPN включают ALF в свои продукты. Их часто называют адресными многоуровневыми системами защиты firewall. Они включают в себя такие функции как CheckPoint, Cisco и сервер ISA. Сервер ISA, в частности, предлагает достаточно недорогую фильтрацию ALF. Для более подробного описания работы ALF на сервере ISA 2000 пройдите по ссылке http://www.isaserver.org/articles/spamalfkit.html.
Источник www.windowsecurity.com
Tags: dns, ftp, quote, redirect, spam, vpn