Firewall - podstawy

Gdy sieć wewnętrzna przedsiębiorstwa (LAN) jest połączona z Internetem, bezpieczeństwo staje się kwestia pierwszoplanową. Coraz więcej pracowników potrzebuje dostępu do usług internetowych, żeby wymienić choćby WWW, e-mail, FTP i połączenia zdalne (Telnet, SSH). Natomiast przedsiębiorstwa chcą zapewnić swobodny dostęp do swoich witryn internetowych i serwerów FTP.

Gdy sieć wewnętrzna przedsiębiorstwa (LAN) jest połączona z Internetem, bezpieczeństwo staje się kwestia pierwszoplanową. Coraz więcej pracowników potrzebuje dostępu do usług internetowych, żeby wymienić choćby WWW, e-mail, FTP i połączenia zdalne (Telnet, SSH). Natomiast przedsiębiorstwa chcą zapewnić swobodny dostęp do swoich witryn internetowych i serwerów FTP.

Trzeba więc zabezpieczyć prywatne sieci przed nieautoryzowanym dostępem z zewnątrz. Administrator musi oddzielić lokalną sieć od internetowego chaosu, żeby dane nie dostały się w niepowołane ręce lub nie zostały zmienione. Firmy, których funkcjonowanie uzależnione jest od dostępu do Internetu, narażone są na ogromne niebezpieczeństwo tzw. ataków DoS.

Firewall może zabezpieczyć sieć przed nieuprawnionym dostępem z zewnątrz. Zakres dostępnych rozwiązań sięga od dodatkowego oprogramowania do specjalnych urządzeń, które służą tylko do tego celu. Jeżeli chodzi o zasady działania, systemy niewiele różnią się między sobą.

Definicja firewalla

Firewall składa się z pewnej liczby komponentów sieciowych (sprzętowych i programowych) w punkcie styku dwóch sieci. Zapewnia zachowanie reguł bezpieczeństwa między siecią prywatną a niezabezpieczoną siecią publiczną, na przykład Internetem.

Właśnie ta zapora decyduje, które z usług w sieci prywatnej dostępne są z zewnątrz i z jakich usług niezabezpieczonej sieci publicznej można korzystać z poziomu sieci prywatnej. Aby firewall był skuteczny, cały ruch danych między siecią prywatną a Internetem musi przechodzić przez niego. Firewall bada wszystkie pakiety i przepuszcza tylko te, które nie są podejrzane.

Firewall sam musi być odporny na próby manipulacji. Jaka byłaby z niego korzyść, gdyby haker mógł dowolnie zmieniać jego ustawienia? Stąd wynika też słabość firewalli - nie dają żadnej ochrony, jeżeli napastnikowi uda się je pokonać. Dlatego też bezpieczeństwu firewalla należy poświęcić nie mniej uwagi, niż bezpieczeństwu samej sieci, która ma być chroniona za jego pomocą.

Firewall nie jest, jak router, bastion host czy inne urządzenie, częścią sieci. Jest jedynie komponentem logicznym, który oddziela sieć prywatną od publicznej. Bez firewalla każdy host w sieci prywatnej byłby całkowicie bezbronny wobec ataków z zewnątrz. Mówiąc inaczej - stopień bezpieczeństwa w sieci prywatnej byłby zależny od stopnia zabezpieczenia poszczególnych tworzących ją komputerów i byłby w dodatku tylko taki, jak stopień zabezpieczenia najsłabszego ogniwa w łańcuchu.

Centralny węzeł bezpieczeństwa

Zaletą centralnego firewalla jest ułatwione zarządzanie bezpieczeństwem. Poziom zabezpieczeń uzyskany za jego pomocą ma zastosowanie do całej sieci i nie trzeba definiować go dla każdego komputera z osobna. Możliwy jest również centralny nadzór z poziomu firewalla. Firewall może na przykład generować alarmy, gdyż każdy atak z zewnątrz musi przejść przez zdefiniowany punkt styku sieci. Rozpoznanie ataku jest pierwszym krokiem do odparcia napastnika.

Gdy w ostatnich latach zaczęło brakować adresów internetowych, problem ten dotknął również przedsiębiorstwa - zaczęło brakować adresów IP. W tej sytuacji firewall jest dobrym miejscem do zainstalowania translatora adresów sieciowych - Network Address Translator (NAT), który może złagodzić problem. W końcu firewall doskonale nadaje się do kontroli całego ruchu przychodzącego i wychodzącego do Internetu. Administrator może wykryć słabe punkty i wąskie gardła.

Wady i ograniczenia

Konfiguracja firewalla - w tym wypadku z filtrem pakietów i serwerem proxy.

Konfiguracja firewalla - w tym wypadku z filtrem pakietów i serwerem proxy.

Firewall może tylko wtedy skutecznie chronić sieć, gdy wszystkie pakiety muszą przez niego przejść. Jeżeli na przykład w obrębie chronionej sieci zostanie ustanowione dodatkowe połączenie przez modem lub ISDN, użytkownicy mogą się łączyć bezpośrednio z Internetem przez PPP. Ci, którzy z jakichś powodów chcą uniknąć dodatkowego uwierzytelniania na serwerze proxy, szybko skorzystają z tej możliwości. Obchodząc firewall, stwarzają ogromne ryzyko ataku typu backdoor.

Firewall jest również bezużyteczny w wypadku ataku od wewnątrz. Nie zapobiegnie skopiowaniu poufnych danych na dyskietkę i wyniesieniu jej z firmy. Tym bardziej nie uniemożliwi działania pracownikowi, który ma duże uprawnienia lub ukradł hasła.

Firewalle nie ochronią też przed wirusami komputerowymi i trojanami, ponieważ nie sprawdzą każdego pakietu w poszukiwaniu szkodników. Nie radzą sobie także z data-driven attacks, polegających na wprowadzeniu pozornie niewinnych danych z ukrytym kodem, który może na przykład zmienić ustawienia zabezpieczeń.

Od dobrego firewalla należy też w końcu oczekiwać, że będzie na tyle wydajny, żeby analiza danych nie spowalniała przepływu ich strumienia. Im szybsze łącze internetowe, tym więcej pakietów przepływa przez firewall. Jeżeli ma on również analizować strumienie danych - a więc nie tylko pakiety, ale także dane logiczne - potrzebny jest odpowiednio wydajny system.

Elementy składowe firewalla

W skład firewalla może wchodzić od jednego do trzech elementów:

  • router filtrujący pakiety.

  • serwer proxy (application level gateway - brama na poziomie aplikacji).

  • brama transmisyjna (circuit level gateway - brama na poziomie łącza).
Zasadniczo spotyka się dwie konkurencyjne koncepcje - technikę biernej filtracji pakietów i aktywne bramy na poziomie aplikacji. Wszystkie inne systemy są wariantami i rozwinięciami obu koncepcji albo ich połączeniem. Można tu wymienić kontekstowe filtrowanie pakietów / filtrowanie ze sprawdzaniem stanów (stateful packet filtering), bramy na poziomie łącza (circuit level gateway) lub tzw. firewalle hybrydowe. Ten ostatni, najnowszy wariant jest kombinacją filtru pakietów i bramy na poziomie aplikacji.

Filtr pakietów

Router filtrujący pakiety decyduje na podstawie określonych reguł filtrowania, czy ma przepuścić dany pakiet, czy też nie. Sprawdza takie informacje nagłówka, jak:

  • adres IP pochodzenia

  • adres IP docelowy

  • zastosowany protokół (TCP, UDP, ICMP lub IP tunnel)

  • port nadawcy TCP/UDP

  • port docelowy TCP/UDP

  • typ wiadomości ICMP

  • interfejs wejściowy (karta ethernetowa, modem itp.)

  • interfejs wyjściowy.


Zobacz również