Firewall - podstawy


Zalety rozwiązania bastion host

Bastion host może być tak skonfigurowany, że usługi są dostępne tylko po uwierzytelnieniu. Dodatkowo administrator może w całości wyłączyć specyficzne elementy tych usług, np. polecenie PUT dla serwerów FTP.

Wzajemnie od siebie niezależne usługi proxy przebiegają z nieuprzywilejowanym rozpoznawaniem użytkowników w oddzielnych, zabezpieczonych katalogach i dlatego atak za pomocą tych usług jest bardzo trudny.

Wszystkie inne usługi, jak SMTP czy HTTP, są w tym komputerze całkowicie wyłączone, a więc nie stanowią potencjalnego źródła luk w zabezpieczeniach. W razie potrzeby administrator nadzoruje cały ruch danych, żeby rozpoznać atak.

Wady rozwiązania bastion host

W wypadku niektórych usług, jak telnet czy FTP, użytkownicy muszą logować się dwa razy: na proxy bastion hosta i na właściwym serwerze. Oprócz tego trzeba dostosować oprogramowanie klienckie do proxy.

Bramy na poziomie łącza

Firewall - podstawy

Brama na poziomie łącza musi ustalić na podstawie danych w nagłówku IP, które pakiety należą do danego strumienia danych.

Bramy na poziomie łącza (circuit level gateways) to serwery proxy wyposażone w funkcje dodatkowe. Podobnie jak bramy na poziomie aplikacji (application level gateways), nie ograniczają się one tylko do kontroli nagłówka IP i warstwy transportowej, lecz łączą datagramy warstwy transportowej z pakietów IP, które mogą być zdefragmentowane.

Podobnie jak w bramach na poziomie aplikacji, również w bramach na poziomie łącza nie ma bezpośredniego połączenia między światem wewnętrznym a zewnętrznym, lecz następuje automatyczna translacja adresów. W ten sposób można wymusić uwierzytelnianie użytkownika.

Z drugiej strony bramy na poziomie łącza nie rozumieją protokółu aplikacji, nie mogą więc prowadzić kontroli zawartości. Oba typy bram mają wprawdzie wiele podobieństw, jednak tylko bramy na poziomie aplikacji rozumieją protokół aplikacji.

Bramy na poziomie łącza ufają użytkownikom wewnętrznym. Dlatego w praktyce stosuje się serwery proxy do połączeń do sieci, natomiast bramy na poziomie łączy do połączeń wychodzących.

Firewalle hybrydowe

Firewalle hybrydowe składają się z filtra pakietów i bramy na poziomie aplikacji, przy czym brama może dynamicznie zmieniać reguły filtru pakietów. Filtr pakietów z pamięcią określa się jako stateful inspection. Pamięć przechowuje jednak tylko informacje z nagłówków pakietów.

Zaleta hybrydowego firewalla w porównaniu z autonomiczną bramą na poziomie aplikacji polega na wyższej wydajności. Niestety, oznacza to także pewną utratę bezpieczeństwa, gdyż w przypadku większości protokołów proxy po otwarciu filtrów pakietów nie ma żadnej kontroli nad połączeniem. Napastnik musi jedynie sprawić, aby proxy przez pewien czas uznał, że nie zagraża żadne niebezpieczeństwo, następnie uzyskuje swobodny dostęp przez otwarty dla niego filtr pakietów.

Stateful inspection engine analizuje pakiety danych podczas przesyłu na poziomie sieci. Jednocześnie tworzy dynamiczne tablice stanu, które umożliwiają śledzenie wielu pakietów. Korelacja między przynależnymi pakietami wchodzącymi i wychodzącymi pozwala na szczegółowe analizy.

Superbezpieczne firewalle

Superbezpieczny firewall może się składać z podsieci firewalla z dwoma routerami filtrującymi pakiety i z proxy (bastion hosta). Tego rodzaju system firewalla chroni poziom sieci i aplikacji poprzez definicję strefy zdemilitaryzowanej (demilitarized zone, DMZ). W tej konfiguracji bastion host, serwer informacyjny, modem pools i inne serwery znajdują się w sieci DMZ. Sieć DMZ funkcjonuje więc jako mała, izolowana sieć między siecią prywatną a Internetem.

Sieć DMZ jest przy tym tak skonfigurowana, że odwołania z sieci prywatnej i z Internetu możliwe są tylko do serwerów w DMZ. Bezpośredni ruch przez sieć DMZ nie jest możliwy - w żadnym kierunku. W przypadku przychodzących pakietów danych zewnętrzny router chroni przed standardowymi atakami przez spoofing czy routing i nadzoruje jednocześnie dostęp do sieci DMZ. W ten sposób komputery zewnętrzne mogą się odwoływać tylko do bastion hosta i ewentualnie do serwera informacyjnego.

Wewnętrzny router tworzy drugą linię obrony. Nadzoruje dostęp z sieci DMZ do sieci prywatnej w ten sposób, że akceptuje tylko pakiety przychodzące z bastion hosta. Dzięki temu dostęp do sieci wewnętrznej mają tylko ci użytkownicy, którzy wcześniej dokonali uwierzytelnienia na bastion hoście.

Podsumowanie

Kto łączy sieć przedsiębiorstwa z Internetem, podejmuje niemałe ryzyko. Ponieważ jednak prawie żadne przedsiębiorstwo nie może się obyć bez łącza internetowego, firewall staje się nieodzowny. Paranoja może rozwijać się w nieskończoność, ale w końcu trzeba po prostu zainwestować odpowiednią ilość czasu i pieniędzy.

Każdy firewall jest tylko tak dobry, jak jego konfiguracja i zabezpieczenia hostów, na których pracuje. Każdy, kto po prostu zainstaluje pakiet oprogramowania lub wstawi do sieci gotowy komputer i czuje się bezpiecznie, postępuje lekkomyślnie. Dlatego często lepiej powierzyć zabezpieczenie sieci wyspecjalizowanej firmie.