Всем привет, я за порцией полюсов пришёл. Прошлый пост набрал пару плюсов, хочу ещё. В комментариях просили рассказать что такое NGFW, но чтоб расскзать об этом, сначала нужно рассказать что такое обычный Firewall — об этом в этом посте.
Что же такое простой фаерволл?
Это просто список правил. Разрешающих или запрещающих. Но, несомненно, как-то связанных с цифровым миром.
На заре когда интернет только начал развиваться, в 90е года. Когда интернетом начали пользоваться массово. Появились серверы, сайты, пользователи. Тогда, очевидно, появились и умники, которые умудрялись попасть на те сервера, куда им нельзя. Тогда и появилась необходимость создать список правил — а кому, собственно, можно? Стали использовать что попалось под руку — IP-адрес. Раз уж интернет построили на IP-протоколе, в интернет мире были IP-адреса, вот и стали блокировать по IP-адресам.
Служебная информация в IP-пакете строго определена, протоколы вложены друг в друга как матрёшка.
И мы знаем что после, например, 32-бит информации IP-адреса источника, всегда, строго, идёт IP-адрес назначения, и так далее, по всей служебной информации. Служебная информация это 20 байт, максимальная длина пакета, с данными — 65 535 байт.
То есть там, где записана информация, а какой протокол используется, там "зашифровано" как интерпритировать дальнейшие данные в этой матрёшке.
И любой пакет, который передаётся в IP-сети, имеет IP-адрес источника и IP-адрес назначения. И мы, на любом устройстве, которое работет на 3-ем уровне, то есть работет с IP, можем фильтровать пакеты.
И список этих правил и есть обычный фаерволл. Он может быть хоть где, любое устройство, которое работает с IP — будь-то камера, Wi-Fi Роутер, ПК, смартфон, сервер, и если там есть хоть одно правило, которое говорит, например — "отправлять пакет на IP-адрес 8.8.8.8 запрещёно" — можно написать на упаковке продукта, что там присутствует фаерволл. Он есть в Windows, macOS, iOS, Android, да почти везде, сегодня, может быть фаерволл, хоть в смарт-утюге.
Когда интернет начал развиваться, "умники" начали отправлять эти IP-пакеты с фейковыми данными, эксплуатируя сеть. Если, например отправить пакет не от своего адреса, а от адреса "босса", на почтовый адрес бухгалтера, с письмом отправить денежки Васе Пупкину, это уже реальная опасность финансовых потерь. Здесь мы ограничены только своим воображением, а как ещё можно подделать пакет, на каком уровне, с какими данными. Как выудить важные данные, которые можно использовать в фейковых запросах с различными командами, на разные сервера.
Тут-то и начинается битва умов. to be continue...