Mur à l\'épreuve du feu

Un mur à l'épreuve du feu est un appareil consacré , ou le logiciel fonctionnant sur un autre ordinateur, qui inspecte le trafic de réseau passant par lui, et nie ou permet le passage basé sur un ensemble de règles.

Fonction

La tâche de base d'un mur à l'épreuve du feu est de régler une partie de l'écoulement du trafic entre les réseaux informatiques de différents niveaux de confiance. Les exemples typiques sont l'Internet qui est une zone sans la confiance et un réseau interne qui est une zone d'une confiance plus élevée. Une zone avec un niveau de confiance intermédiaire, situé entre l'Internet et un réseau interne de confiance, désigné souvent sous le nom d'un " ; network" de périmètre ; ou zone démilitarisée (DMZ) de .

La fonction d'un mur à l'épreuve du feu dans un réseau est semblable aux murs à l'épreuve du feu avec la porte coupe-feu dans la construction de bâtiments. Dans l'ancien cas, elle est employée pour empêcher l'intrusion de réseau au réseau privé. Dans le dernier cas, on le prévoit pour contenir et retarder le feu structural de s'écarter aux structures adjacentes.

Sans configuration appropriée, un mur à l'épreuve du feu peut souvent devenir sans valeur. Les pratiques en matière standard de sécurité dictent un " ; transférer-deny" ; ruleset de mur à l'épreuve du feu, dans lequel les seules connexions réseau qui sont permises sont celles qui ont été explicitement permises. Malheureusement, une telle configuration exige l'arrangement détaillé des applications et des points finaux de réseau exigés pour l'opération de jour en jour de l'organisation. Beaucoup d'entreprises manquent d'un tel arrangement, et mettent en application donc un " ; transférer-allow" ; ruleset, dans lequel on permet tout le trafic à moins qu'il ait été spécifiquement bloqué. Cette configuration fait les connexions réseau et le système négligents compromettre beaucoup plus probablement.

Histoire

Le mur à l'épreuve du feu de limite a à l'origine signifié un mur pour confiner un feu ou le feu de potentiel dans un bâtiment, mur à l'épreuve du feu de du c. Les utilisations postérieures se rapportent aux structures semblables, telles que le feuillard séparant le compartiment réacteur d'un véhicule ou d'un avion de la cabine passagers.

La technologie de mur à l'épreuve du feu a émergé vers la fin des années 80 où l'Internet était une technologie assez nouvelle en termes de sa connectivité globale d'utiliser-et. L'idée originale a été formée en réponse à un certain nombre de violations de la sécurité importantes d'Internet, qui se sont produites vers la fin des années 80. En 1988 un employé au centre de recherches d'Ames de de la NASA en Californie a envoyé une note par l'email à ses collègues qui ont lu, Nous sommes actuellement dessous attaque à partir d'un VIRUS d'Internet de ! Il a frappé le Berkeley , le Uc San Diego , le Lawrence Livermore , le Stanford , et la NASA Ames . Le ver de Morris de s'est écarté par des vulnérabilités multiples dans les machines du temps. Bien qu'il n'ait pas été malveillant dans l'intention, le ver de Morris était la première attaque de large échelle sur la sécurité d'Internet ; la communauté en ligne ni ne s'attendait à une attaque ni préparé pour traiter une.

Première génération - filtres de paquet

Le premier document édité sur la technologie de mur à l'épreuve du feu avait lieu en 1988, quand les ingénieurs du Digital Equipment Corporation (DEC) ont développé des systèmes de filtre connus sous le nom de murs à l'épreuve du feu du filtre de paquet de . Ce système assez fondamental était la première génération de ce qui deviendrait un dispositif de sécurité fortement évolué et technique d'Internet. Aux laboratoires d'AT&T Bell de , Bill Cheswick et Steve Bellovin continuaient leur recherche dans le filtrage de paquet et ont développé un modèle de fonctionnement pour leur propre compagnie basée sur leur architecture originale de première génération.

Acte de filtres de paquet en inspectant le " ; packets" ; ce qui représentent l'unité de base du transfert de données entre les ordinateurs sur l'Internet. Si un paquet assortit l'ensemble du filtre de paquet de règles, le filtre de paquet laissera tomber (silencieusement écart) le paquet, ou le rejeter (écart il, et envoient le " ; responses" d'erreur ; à la source).

Ce type de filtrage de paquet ne prête aucune attention à si un paquet fait partie d'un jet existant du trafic (il ne stocke aucune information sur le " de raccordement ; state" ;). Au lieu de cela, il filtre chaque paquet basé seulement sur le paraissant parinformation dans le paquet lui-même (le plus généralement using une combinaison de la source du paquet et de l'adresse de destination, son protocole, et, pour TCP et trafic d'UDP , qui comporte la plupart de communication d'Internet, le numéro d'accès ).

Puisque le trafic de TCP et d'UDP par convention emploie les ports bien connus pour les types de trafic particuliers, un " ; stateless" ; le filtre de paquet peut distinguer entre, et commander ainsi, ces types de trafic (tels que lecture rapide de Web, impression à distance, transmission d'email, transfert de fichier), à moins que les machines de chaque côté du filtre de paquet soient toutes deux using les mêmes ports non standard.

Deuxième génération - " ; stateful" ; filtres

À partir de 1980-1990 trois collègues des laboratoires de Bell de d'AT&T , Dave Presetto, Janardan Sharma, et Kshitij Nigam ont développé la deuxième génération de murs à l'épreuve du feu, les appelle des murs à l'épreuve du feu de niveau du circuit .

Les murs à l'épreuve du feu de deuxième génération n'examinent pas simplement le contenu de chaque paquet sur une base individuelle sans souci de leur placement dans la série de paquet comme leurs prédécesseurs avaient fait, plutôt ils comparent quelques parties fondamentales des paquets de confiance de base de données. Cette technologie est généralement mentionnée pendant que « un mur à l'épreuve du feu stateful » pendant qu'elle maintient des disques de tous les raccordements passant par le mur à l'épreuve du feu et peut déterminer si un paquet est le début d'un nouveau raccordement ou partie d'un raccordement existant. Bien qu'il y ait toujours un ensemble de règles statiques dans un tel mur à l'épreuve du feu, l'état d'un raccordement peut en soi être l'un des critères qui déclenchent des règles spécifiques.

Ce type de mur à l'épreuve du feu peut aider à empêcher les attaques qui exploitent les raccordements existants, ou certain Démenti-de-service de attaque

Troisième génération - couche application

Les publications par le gène Spafford de l'université de Purdue , Bill Cheswick aux laboratoires d'AT&T, et Marcus Ranum ont décrit un mur à l'épreuve du feu de troisième génération connu sous le nom de mur à l'épreuve du feu de couche application de , également connu sous le nom de mur à l'épreuve du feu de procuration-basé par . Le travail de Marcus Ranum sur la technologie a mené la création du premier produit commercial. Le produit a été libéré par le DEC qui l'a appelé le produit de JOINT de . La vente du commandant du DEC premier était le 13 juin 1991 à une compagnie chimique basée sur la Côte Est des Etats-Unis.

L'avantage principal de la couche application de filtrant est qu'il peut " ; understand" ; les certains applications et protocoles (tels que File Transfer Protocol , DNS , ou Web de passant en revue ), et lui peuvent détecter si un protocole non désiré est parti furtivement à travers sur un port non standard ou si un protocole est maltraité d'une manière nocive connue.

Développements suivants

En 1992, Bob Braden et Annette DeSchon à l'Université de Californie du Sud (USC) de raffinaient le concept d'un mur à l'épreuve du feu. Le produit connu sous le nom de " ; Visas" ; était le premier système pour avoir une interface visuelle d'intégration avec les couleurs et les icônes, aux lesquelles pourrait être facilement mis en application et accédé sur un ordinateur du système d'exploitation comme le Windows de s de Microsoft le 'ou MaOS du d'Apple. En 1994 une compagnie d'Israélien appelée les technologies de logiciel de Check Point a construit ceci dans le logiciel facilement disponible connu sous le nom de FireWall-1 .

La fonctionnalité profonde de l'inspection de paquet de existant des murs à l'épreuve du feu modernes peut être partagée par les systèmes (IPS) d'Intrusion-empêchement de .

Actuellement, le groupe de travail de communication de Middlebox de l'Internet Engineering Task Force (IETF) de travaille à normaliser des protocoles pour les murs à l'épreuve du feu de gestion et tout autre Middleboxes

Types

Il y a plusieurs classifications des murs à l'épreuve du feu selon où la communication a lieu, où la communication est arrêtée et le déclarer qui est tracé.

Filtres de couche réseau et de paquet

Les murs à l'épreuve du feu de couche réseau, également appelés les filtres de paquet, fonctionnent relativement à un de bas niveau du protocol stack de TCP/IP , ne permettant pas à des paquets de passer par le mur à l'épreuve du feu à moins qu'ils assortissent le ruleset établi. L'administrateur de mur à l'épreuve du feu peut définir les règles ; ou les règles de défaut peuvent s'appliquer. Le filtre de paquet de limite a commencé dans le cadre des logiciels d'exploitation de du schéma .

Les murs à l'épreuve du feu de couche réseau tombent généralement dans deux sous-catégories, stateful et apatride. Les murs à l'épreuve du feu de Stateful maintiennent le contexte au sujet des sessions actives, et emploient ce " ; information" d'état ; pour accélérer le traitement de paquet. N'importe quelle connexion réseau existant peut être décrite par plusieurs propriétés, les ports y compris source et d'IP address, d'UDP ou de TCP de destination, et l'étape courante de la vie du raccordement (déclenchement y compris de session, poignée de main , transfert de données , ou raccordement d'accomplissement). Si un paquet n'assortit pas un raccordement existant, il sera évalué selon le ruleset pour de nouveaux raccordements. Si un paquet assortit un raccordement existant basé sur la comparaison avec la table de l'état du mur à l'épreuve du feu, on lui permettra de passer sans transformation plus ultérieure.

Les murs à l'épreuve du feu apatrides ont des possibilités de paquet-filtrage, mais ne peuvent pas prendre des décisions plus complexes sur quelles communications d'étape entre les centres serveurs ont atteint.

Les murs à l'épreuve du feu modernes peuvent filtrer le trafic basé sur beaucoup d'attributs de paquet comme l'IP address de source, le port de source, l'IP address ou le port de destination, le service de destination comme le WWW ou le ftp . Ils peuvent filtrer basé sur des protocoles, des valeurs du TTL , le Netblock du créateur, le Domain Name de la source, et beaucoup d'autre des attributs.

Les filtres utilisés généralement de paquet sur de diverses versions d'Unix sont l'ipf (divers), Ipfw ( FreeBSD /Mac de de de OS x ), le pf ( OpenBSD de , et tous autres schémas , iptables de / Ipchains (Linux de ).

Application-couche

voient également :

du mur à l'épreuve du feu de couche application de

le travail de murs à l'épreuve du feu d'Application-couche au niveau d'application de la pile de TCP/IP (c., tout le trafic de navigateur, ou tout le telnet ou trafic de ftp ), et peut arrêter tous les paquets voyageant à ou d'une application. Ils bloquent d'autres paquets (les laissant tomber habituellement sans reconnaissance à l'expéditeur). En principe, les murs à l'épreuve du feu d'application peuvent empêcher tout le trafic extérieur non désiré d'atteindre les machines protégées.

À l'inspection de tous les paquets pour assurer le contenu inexact, les murs à l'épreuve du feu peuvent limiter ou empêcher tout à fait la diffusion des vers gérés en réseau d'ordinateur de et des Trojan . Dans la pratique, cependant, ceci devient ainsi le complexe et si difficile à essayer (donné la variété d'applications et la diversité du contenu chacun peut permettre dans son trafic de paquet) que la conception complète de mur à l'épreuve du feu n'essaye pas généralement cette approche.

Le mur à l'épreuve du feu du XML exemplifie un genre plus récent de mur à l'épreuve du feu d'application-couche.

Procurations

voient également :

du proxy server

Un dispositif de procuration (courant sur le matériel consacré ou comme logiciel sur une machine d'usage universel) peut agir en tant que mur à l'épreuve du feu par la réponse aux paquets d'entrée (demandes de raccordement, par exemple) de la façon d'une application, tout en bloquant d'autres paquets.

Les procurations rendent trifouillant un système interne à partir du réseau externe plus difficile et l'abus d'un système interne ne causerait pas nécessairement une violation de la sécurité exploitable de l'extérieur du mur à l'épreuve du feu (tant que la procuration d'application demeure intact et correctement configuré). Réciproquement, les intrus peuvent le détournement un système public-accessible et l'employer comme procuration pour leurs propres buts ; le de procuration alors déguise en tant que ce système à d'autres machines internes. Tandis que l'utilisation des espaces d'adresse interne augmente la sécurité, les biscuits peuvent encore utiliser des méthodes telles que l'IP de charriant pour essayer de passer des paquets à un réseau de cible.

Traduction d'adresse réseau

voient également :

la traduction d'adresse réseau Les murs à l'épreuve du feu ont souvent la fonctionnalité de la traduction d'adresse réseau (NAT), et les centres serveurs protégés derrière un mur à l'épreuve du feu ont généralement des adresses dans le " ; range" d'adresse privée ; , comme défini dans RFC 1918. Les murs à l'épreuve du feu ont souvent une telle fonctionnalité pour cacher l'adresse vraie des centres serveurs protégés. À l'origine, la fonction de NAT a été développée pour adresser la quantité limitée d'adresses IPv4 routable qui pourraient être employées ou assigné aux compagnies ou aux individus aussi bien que réduire la quantité et donc le coût d'obtenir assez d'annonces publiques pour chaque ordinateur dans une organisation. La dissimulation des adresses des dispositifs protégés est devenue une défense de plus en plus importante contre la reconnaissance de réseau de .

Voir également

Access Control List
Bastion host
Comparaison de des murs à l'épreuve du feu
Degré de sécurité d'ordinateur
Connectivité bout à bout
Trou d'épingle de mur à l'épreuve du feu de
Traduction d'adresse réseau
Sécurité de réseau de
Reconnaissance
Mur à l'épreuve du feu personnel
Projet d'or de bouclier de
Gestion de menace unifiée par
mur à l'épreuve du feu d'Examiner-filet inférieur de

.

Random links:

J. Stuart Blackton | Chris Barbosa | Cathédrale de Bradford | Sprite zéro | L'invasion (docteur Who)

© 2007-2009 encyclopediefrancaise.com; le texte de cet article est distribué sous les termes de GFDL; en.wikipedia.org