Firewall - podstawy


Gdy pakiet pomyślnie przejdzie przez filtr, router nadzoruje również jego dalszą drogę, a gdy to jest niemożliwe, porzuca go. Jeżeli nie daje się zastosować żadnej z reguł, router filtrujący pakiety postępuje według ustawień domyślnych.

Wykorzystując reguły filtrowania, router może również filtrować usługi, przy czym i w tym wypadku administrator musi najpierw zdefiniować reguły. Procesy usług wykorzystują określone porty, tzw. dobrze znane porty (well known ports) - np. FTP wykorzystuje port 21, a SMTP - port 25. Aby zablokować na przykład usługę SMTP, router odfiltrowuje wszystkie pakiety, które w nagłówku podają port 25 jako docelowy, lub które jako docelowy adres IP podają inny adres, niż dozwolonego hosta. Typowe restrykcje narzucane przez filtrowanie pakietów to:

  • blokada wychodzących na zewnątrz połączeń telnetowych

  • połączenia telnetowe dozwolone są tylko do określonego hosta wewnętrznego

  • wychodzące na zewnątrz połączenia FTP są niedozwolone

  • pakiety z niektórych sieci zewnętrznych są niedozwolone.

Obrona przed atakami

Niektóre rodzaje ataku wymagają filtrowania niezależnego od usługi. W praktyce jest to trudne do zrealizowania, ponieważ niezbędne informacje z nagłówka są niezależne od usługi. Routery filtrujące pakiety można skonfigurować również do obrony przed tego rodzaju atakami. Reguły filtrowania wymagają jednak uzupełnienia o dodatkowe informacje. Typowymi przykładami takich ataków są: source IP address spoofing, source routing i tiny fragments.

Firewall - podstawy

W tej konfiguracji sieć zabezpieczona jest tylko jednym routerem filtrującym pakiety.

Spoofing, czyli podszywanie się pod inny komputer, polega na sfałszowaniu przez napastnika adresu IP nadawcy pakietu danych poprzez zastąpienie go adresem komputera w wewnętrznej sieci. Firewall może rozpoznać taki atak, stwierdzając, że pakiet przychodzący z zewnątrz wykorzystuje wewnętrzny adres sieci. Obrona przed atakiem polega na odfiltrowaniu takiego pakietu.

Source routing (routing na podstawie źródła) polega na podaniu przez napastnika konkretnej trasy, którą musi przebyć pakiet danych w celu obejścia zabezpieczeń. Procedura source routing jest wprawdzie przewidziana w standardzie TCP/IP, jednak prawie nie jest stosowana. Dlatego firewall może spokojnie porzucić tak oznakowane pakiety.

W wypadku ataku tiny fragments haker tworzy szczególnie małe pakiety danych, z których tylko pierwszy zawiera nagłówek TCP. To ma spowodować, że router sprawdzi tylko pierwszy fragment i przepuści resztę bez kontroli. W ten sposób haker może przemycić do sieci pożądane instrukcje. Metoda obrony polega na tym, że firewall odrzuca wszystkie pakiety, w których wartość pola fragment offset wynosi 1.

Zalety routerów filtrujących pakiety

Większość systemów firewalli stosuje tylko jeden router filtrujący pakiety. Oprócz czasu, który jest potrzebny na planowanie konfiguracji routera, nie pociąga to za sobą dalszych nakładów, ponieważ oprogramowanie do filtrowania jest częścią oprogramowania routera. Aby nie ograniczać zbytnio ruchu danych między siecią prywatną a publiczną, fabrycznie definiuje się niewiele i niezbyt restrykcyjnych filtrów. Filtrowanie pakietów jest generalnie niewidoczne dla użytkowników i aplikacji. Ponadto nie wymaga specjalnego szkolenia użytkowników ani dodatkowego oprogramowania instalowanego na poszczególnych komputerach.

Wady

Filtrowanie pakietów ma nie tylko zalety, ale i wady. Opracowanie skutecznych reguł filtrowania wymaga dokładnej znajomości protokołów. Rozbudowana lista reguł jest trudna w zarządzaniu. Testowanie skuteczności filtrowania jest trudne. Przepustowość routera spada, gdy zdefiniowano zbyt wiele filtrów.

Haker może pokonać router filtrujący posługując się metodą tunelowania pakietów, kapsułkując jeden pakiet w drugim. I na koniec - router nie rozpoznaje ataków typu data-driven.

Serwer proxy

Serwer proxy (ang. zastępca, pełnomocnik), nazywany również application level gateway (brama na poziomie aplikacji) umożliwia administratorowi instalację surowszych reguł bezpieczeństwa niż to możliwe w wypadku routera filtrującego pakiety. Serwer pełni funkcję bezpiecznej bramy między siecią prywatną a publiczną (niezabezpieczoną). Bramą nazywa się oprogramowanie, które tworzy połączenie między dwiema sieciami, lub komputer, na którym to oprogramowanie pracuje.

Serwer proxy służy ponadto do buforowania treści internetowych i może być stosowany jako rozszerzony firewall. Umożliwia to jednocześnie zabezpieczenie danych i szybszy dostęp do treści internetowych. Serwer proxy ma przy tym dwa oblicza - lokalny klient żądający dokumentu internetowego widzi go jako serwer WWW; dla odległego serwera internetowego jest z kolei klientem WWW.

Serwery proxy obsługują nie tylko HTTP, ale mogą również świadczyć usługi FTP, POP3 lub IRC - w zależności od konkretnego typu. Ponieważ są jedynym węzłem łączącym lokalną sieć z globalną, chronią lokalne komputery klienckie. Wynika to stąd, że tylko serwer proxy jest narażony na ataki z zewnątrz, a klienty znajdujące się za nim są z zewnątrz niewidoczne.

Zalety serwera proxy

Praktycznie nie ma znaczenia, jaki system operacyjny pracuje po stronie klienta. Tylko pewne funkcje specjalne, jak automatyczna konfiguracja klientów lub oddzielenie połączenia internetowego od klientów wymagają, żeby klienty pracowały pod kontrolą Windows. Oprócz tego, do każdej usługi, jak FTP czy HTTP, można ustanowić oddzielny serwer proxy. Odfiltrowuje on niepożądane usługi, ponadto nie odbywa się bezpośrednia wymiana pakietów między komputerami wewnątrz sieci a komputerami zewnętrznymi.

Bastion host

Jest to specjalnie zabezpieczony komputer, który ma pełnić funkcję twierdzy. Jego zadaniem jest ochrona komputerów w sieci prywatnej przed atakami z zewnątrz. Tak jak w twierdzy, jest tylko jedno wejście i jedno wyjście, które są cały czas chronione, a w razie potrzeby mogą być natychmiast zamknięte. Nadzorem nad wejściem i wyjściem zajmuje się zwykle router jako filtr pakietów.

Bastion host jest z racji swej roli najbardziej zagrożonym komputerem w firewallu. Nawet jeżeli są chronione za pomocą wszelkich dostępnych środków, są najczęstszym celem ataków, gdyż stanowią jedyny punkt styku sieci chronionej z otoczeniem zewnętrznym.

Komputery w sieci prywatnej nie są bezpośrednio osiągalne z Internetu, a więc są niewidoczne. Z drugiej strony, również dostęp do Internetu jest możliwy tylko przez bastion hosta. Z tego wynika logiczny wniosek - im prostsza jest budowa bastion hosta, tym łatwiej go chronić. Każda usługa dostępna za pośrednictwem bastion hosta może zawierać błędy w oprogramowaniu lub konfiguracji.

Bastion host powinien oferować przy minimalnych prawach dostępu tylko tyle usług, ile potrzebuje, żeby mógł pełnić funkcję firewalla. Może mieć różnorodną architekturę, może na przykład pracować jako dual-homed host, w połączeniu z routerem nadzorującym.