Kategorie: Bezpieczeństwo

Pojęcie i rodzaje zapór ogniowych

Opublikowany przez
Mark Dabrowski

Rozwój nowoczesnych technologii prowadzi do wzrostu zainteresowania sieciową wymianą danych. Dotyczy to zarówno osób prywatnych, jak i organizacji. Pojawia się zatem potrzeba ochrony poufnych informacji poprzez opracowanie skutecznych systemów do tego celu. Jednym z takich rozwiązań stosowanych w takich sytuacjach jest firewall.

647265bdc615e2158722e50891788332647265bdc615e2158722e50891788332

Przeznaczenie firewalli i ich różnice w stosunku do innych urządzeń sieciowych

Jedną z głównych funkcji zapór sieciowych jest ochrona przed nieuprawnionym dostępem osób nieuprawnionych. Jest ona organizowana dla poszczególnych segmentów lub hostów w sieci. Najczęstsze infiltracje przez osoby trzecie wynikają z luk w dwóch komponentach:

  • oprogramowanie zainstalowane na komputerze;
  • protokoły sieciowe, które ułatwiają rozpoznanie nadawcy.

Podczas pracy firewall porównuje cechy ruchu, który przechodzi przez dane urządzenie. W celu maksymalizacji wyników wykorzystywane są wzorce znanego już złośliwego kodu. Jeśli coś jest nie tak, pojawia się komunikat “Ruch przychodzący zablokowany, sprawdź ustawienia zapory”.

Zasadniczo firewall to system typu software lub software-hardware odpowiedzialny za kontrolę przepływu informacji. Ale wersja sprzętowa również cieszy się dużym zainteresowaniem.

Uwaga: Różnica w stosunku do konwencjonalnych urządzeń sieciowych polega na tym, że funkcje bezpieczeństwa zapór sieciowych są lepiej realizowane, jeśli spojrzeć na nie z technicznego punktu widzenia. Wiele funkcji jest domyślnie włączonych automatycznie, co w przypadku innych urządzeń wymaga ręcznej konfiguracji.

Ale są pewne funkcje początkowo dostępne tylko z tradycyjnymi routerami, które również organizują Firewall. Są one tańsze, więc nie są odpowiednie dla dużych organizacji, ale dla mniejszych firm i oddziałów. Ustawienia Firewall można łatwo zmienić w zależności od potrzeb właścicieli sprzętu.

Historia tworzenia

Koniec lat 80-tych to czas, w którym to rozwiązanie przeszło do historii. Wtedy jeszcze Internet nie był dostępny dla większości ludzi. Kiedyś tę samą funkcję przekazywano routerom.

Uwaga: Protokół warstwy sieciowej dostarczał wystarczających informacji do analizy. Urządzenia przeniosły się do warstwy transportowej wraz z dalszym rozwojem technologii.

Router był w zasadzie pierwszym, który wprowadził zasadę działania sprzętowej zapory ogniowej. Jest ona potrzebna do blokowania informacji, które mogłyby uszkodzić system.

Same firewalle pojawiły się znacznie później. Dopiero w 1998 roku programiści stworzyli Netfilter/Iptables, zaporę ogniową zaprojektowaną specjalnie dla systemu operacyjnego Linux. To późne przejście na nowe standardy wynikało z faktu, że przez długi czas funkcja firewalla była z powodzeniem przekazywana oprogramowaniu antywirusowemu. Jednak pod koniec lat 90. same wirusy były już bardziej złożone.

Uwaga: firewalle są więc koniecznością podyktowaną przez czasy.

Filtrowanie ruchu

Ruleset – Zdefiniowany zestaw reguł, na podstawie których wszystkie informacje przechodzące przez firewall są filtrowane. Można go opisać jako ciąg filtrów, które analizują i przetwarzają ruch. Zawsze postępują one zgodnie z pakietem konfiguracyjnym ustawionym przez konkretnego użytkownika. Bez tego blokowanie jest zakłócone.

Uwaga: Każdy filtr jest tworzony w określonym celu. Na wydajność może wpływać również kolejność, w jakiej dany pakiet jest zbierany. Na przykład, w większości przypadków ruch jest dopasowywany do wzorców, które są już znane systemowi. Najpopularniejsze wzorce zagrożeń w tym przypadku powinny być umieszczone jak najwyżej.

Istnieją dwie podstawowe zasady, według których obsługiwana jest większość ruchu. Znalezienie, która z nich jest używana jest dość proste.

  • Pierwszy, w którym dozwolone są wszelkie pakiety danych. Wyjątek stanowią te, które są początkowo ograniczone. Jeśli podczas pierwszego badania informacja nie podpada pod żadne z ograniczeń, to następuje dalsza transmisja. Na przykład ruch przychodzący na Hamachi może być z różnych powodów zablokowany.
  • Druga zasada sugeruje, że wszystko, co nie jest zabronione, jest dozwolone.

Uwaga: Przy tej metodzie bezpieczeństwo będzie najwyższe, ale wzrośnie obciążenie administratora. W takim przypadku należy bezwzględnie zwiększyć wydajność sprzętu.

Firewall pełni w sumie dwie główne funkcje:

  • Deny – Odmowa dostępu do danych;
  • Allow – pozwala na dalsze przesyłanie pakietów. Można zezwolić na różne informacje.

Ważne: Reject – odmawianie ruchu po poinformowaniu nadawcy, że usługa jest niedostępna – jest funkcją opcjonalną, która jest obsługiwana tylko w niektórych przypadkach. To również przyczynia się do zwiększenia ochrony hosta.

Rodzaje firewalli

Model sieci OSI obsługiwany przez system jest główną cechą, według której klasyfikuje się firewalle. Wyróżnia się takie odmiany:

  • inspektorzy państwowi;
  • mediatorów na poziomie aplikacji;
  • bramy na poziomie sesji;
  • filtry wsadowe;
  • Przełączniki zarządzane, które w każdej chwili można wyłączyć.

Przełączniki zarządzane

Działanie w warstwie łącza nie przeszkadza w klasyfikowaniu urządzeń jako firewalli. Urządzenia te nie mają możliwości obsługi ruchu zewnętrznego.

Uwaga: Niektórzy producenci są zainteresowani dodaniem możliwości obsługi informacji z adresami Mac w bazie. Zazwyczaj są one zapisywane w nagłówkach ramek. Jednak nawet ta metoda może nie działać w każdym przypadku. Do zmiany adresu MAC można użyć specjalnego oprogramowania. Z tego powodu często jako odniesienie stosuje się inne metryki, takie jak VLAN ID.

Istnieje większe prawdopodobieństwo, że dane zostaną odizolowane od zewnętrznych serwerów sieciowych, jeśli zorganizowane zostaną dedykowane grupy hostów. Nowoczesne sieci VLAN wspierają tę możliwość.

Wydajność i przystępna cena to główne zalety przełączników zarządzanych dla sieci przedsiębiorstw. Wadą jest brak funkcji obsługi protokołów wyższego poziomu.

Filtry wsadowe

Są one wykorzystywane na poziomie sieci. Główną funkcją jest kontrola ruchu, gdzie podstawą są dane z nazw pakietów. Nie ma problemu z obsługą nagłówków wyższego poziomu. Filtry pakietowe to pierwszy typ kompleksu o funkcjonalności firewalla. Do dziś jest to popularne rozwiązanie.

Gdy nadchodzi ruch przychodzący, analizowany jest więcej niż jeden rodzaj danych:

  • sieci, protokoły typu transportowego z nagłówkami;
  • odbiorca, porty źródłowe;
  • typ protokołu;
  • IP odbiorcy i nadawcy w systemach Windows i innych.

Uwaga: Prawdopodobieństwo braku informacji wzrasta, gdy złośliwy kod jest podzielony na wiele segmentów. W takim przypadku pakiety podszywają się pod część innego kodu, który jest dozwolony. Rozwiązaniem jest blokowanie pofragmentowanych odmian danych. Czasami defragmentacja jest wykonywana na własnej bramce ekranów, zanim nastąpi wysyłka do hosta. Ale nawet wtedy całkowite uniknięcie ataku DDoS jest niemożliwe.

Filtry pakietów często stają się składnikami systemu operacyjnego. Mogą stanowić uzupełnienie osobistych firewalli i routerów brzegowych.

Analiza pakietów odbywa się z dużą szybkością, co jest ich główną zaletą. Na skraju sieci, które charakteryzują się niskim zaufaniem, narzędzie to spisuje się doskonale. Jednak wysoki poziom protokołów często uniemożliwia sprawdzenie bezpieczeństwa. Możliwe jest ich włączenie, ale wymaga to czasu.

Bramki na poziomie sesji

Rozwiązanie to eliminuje interakcję pomiędzy węzłem a sieciami z zewnątrz. Takie firewalle stają się rodzajem pośrednika zwanego “proxy”. Dla każdego przychodzącego pakietu przeprowadzana jest kontrola. Jeśli coś nie pasuje do pakietu, który został wcześniej nawiązany, informacja jest blokowana. Odrzucane są również pakiety, które udają połączenia wcześniej zakończone.

Ważne: Bramki warstwy sesji są łącznikami między sieciami wewnętrznymi i zewnętrznymi. Utrudnia to określenie topologii sieci, dla której zorganizowano dodatkową ochronę. Zmniejsza się prawdopodobieństwo wystąpienia ataków DDos.

Ale te rozwiązania mają też wadę – zawartość pola danych jest praktycznie niekontrolowana, więc hakerzy mogą łatwo przesyłać wirusy.

Pośrednicy na poziomie aplikacji

Są to pośrednicy pomiędzy dwoma węzłami. Ich zaletą jest analizowanie kontekstu przesyłanych danych, co różni je od poprzedniej wersji. Funkcje tych firewalli są bardziej zaawansowane niż standardowe technologie:

  • identyfikowanie i blokowanie niepożądanych, nieistniejących sekwencji poleceń;
  • całkowity zakaz przekazywania niektórych rodzajów danych;
  • określając rodzaj przesyłanej informacji. Wtedy nie będzie mógł wejść z dużym prawdopodobieństwem.

Uwaga: Godnym uwagi przykładem takiej technologii są usługi poczty elektronicznej, które mogą nałożyć zakaz przesyłania plików w przypadku wykrycia zagrożenia. Można przeprowadzić uwierzytelnianie użytkowników. Dodatkową opcją jest sprawdzenie, czy certyfikaty SSL są podpisane przez określony ośrodek.

Czasochłonna analiza pakietów jest główną wadą rozwiązania. Nowe protokoły i połączenia sieciowe nie są automatycznie obsługiwane przez system. Ułatwia to przedostawanie się wirusów.

Inspektorzy państwowi

Głównym celem twórców tych systemów było połączenie zalet opisanych powyżej opcji. W ten sposób powstał firewall zdolny do obsługi ruchu zarówno w warstwie sieciowej, jak i aplikacyjnej.

Państwowi inspektorzy monitorują wiele czynników:

  • wszystkich aplikacji. Podstawą są opracowane wcześniej pośredniki;
  • wszystkie przesyłane pakiety danych, dla których opracowywana jest specjalna tabela z regułami;
  • wszystkie sesje. Tabela dotycząca ich stanów jest studiowana oddzielnie. Błędy w razie potrzeby można bez trudu poprawić.

Uwaga: Analiza odbywa się w taki sam sposób jak w przypadku bramek warstwy sesji. Wydajność jest zauważalnie lepsza w porównaniu z pośrednikami typu aplikacji. Zaletą jest przejrzysty i przyjazny dla użytkownika interfejs oraz łatwa konfiguracja. Funkcjonalność może być łatwo rozszerzona w zależności od potrzeb.

Wdrażanie zapór ogniowych

Zapory sieciowe mogą być zarówno zaporami programowymi, jak i programowo-sprzętowymi. Firewalle programowe występują w dwóch podstawowych wariantach:

  • specjalne urządzenie;
  • osobny moduł w routerze lub przełączniku.

Najczęściej preferowane są firewalle programowe. Do ich obsługi wystarczy zainstalowanie specjalnego oprogramowania, co rzadko sprawia trudności osobom zainteresowanym wymianą danych telekomunikacyjnych.

Zestawy sprzętu i oprogramowania specjalnego przeznaczenia są wybierane przez duże przedsiębiorstwa. Noszą one nazwę i są określane jako Security Appliance.

Uwaga: Większość prac opiera się na systemie FreeBSD lub Linux. Systemy te mają specyficzne zadania i wiążą się z nimi pewne ograniczenia.

Takie systemy mają następujące zalety:

  • fault tolerance. Prawdopodobieństwo wystąpienia awarii jest praktycznie wyeliminowane, a system nadal działa sprawnie, co dla wielu osób w biznesie jest ważnym kryterium;
  • wartości wysokiej wydajności. System operacyjny podczas pracy wykonuje jedną funkcję. Wszelkie usługi obce są wyłączone. Takie rozwiązania są certyfikowane od dłuższego czasu;
  • prosta obsługa. W prosty sposób można ustawić dowolny parametr. Do monitorowania można użyć dowolnego protokołu zgodnego z obowiązującymi standardami. Możliwe są również opcje bezpieczne. Router nie oferuje takiej różnorodności.

Ograniczenia zapory ogniowej

Jeśli firewall nie może zinterpretować danych, nie jest wykonywane filtrowanie. W takim przypadku użytkownik sam ustala działania dla danych, które pozostają niezidentyfikowane. Do tego celu wykorzystywane są pliki konfiguracyjne. Do takich pakietów należy ruch z następujących protokołów:

  • TLS to narzędzie do rozwiązywania wielu problemów;
  • SSH;
  • IPsEC;
  • SRTP. Mają one tylko tę samą zasadę działania, konkretne parametry są różne.

Do ukrywania treści najczęściej wykorzystywane są różne techniki kryptograficzne. Dane warstwy aplikacji są szyfrowane za pomocą specjalnych protokołów:

  • certyfikowany przez Open PGP;
  • S/MIME. Każde z rozwiązań ma swój cel.

Uwaga: Filtrowanie ruchu tunelowego również często staje się niemożliwe, zwłaszcza jeśli sam firewall nie rozgryzł kluczowych mechanizmów. Obecnie jednak powstają systemy UTM, które korygują istniejące niedociągnięcia.

Wymagania dotyczące zapór ogniowych

Nie ma wielu podstawowych wymagań dla zapór sieciowych.

Ich lista przedstawia się następująco:

  • Router nie ma znaczenia; router nie stanowi problemu; router może być również wykorzystany jako komunikat ostrzegawczy dla użytkowników, ułatwiający blokowanie dostępu do niepożądanych treści. Router jest nieistotny;
  • przełączyć na tryb wsparcia awaryjnego;
  • utrzymywanie tablic stanu dla każdego połączenia, wskazujących jego status. Mogą one mieć różne nazwy;
  • tworzenie, przypisywanie różnych profili z różnymi ustawieniami;
  • dodatkowe wsparcie dla administratorów. Identyfikacja, uwierzytelnianie również należą do niezbędnych działań. Dzięki temu odblokowanie dostępu jest łatwe;
  • rejestracja, zapisywanie różnych przeprowadzanych kontroli. Funkcja odczytywania takich zapisów jest obowiązkowa. To samo dotyczy wyszukiwania, filtrowania informacji o zapisach;
  • umożliwienie lub zakazanie przepływu informacji w wyniku kontroli;
  • sprawdzanie każdego pakietu z tabelą stanu. Osoba będąca właścicielem sprzętu musi skonfigurować działanie;
  • filtrowanie pakietów za pomocą różnych wskaźników;
  • filtrowanie dowolnego ruchu sieciowego. Powinien on być sprawdzany pod kątem wcześniej ustawionych parametrów.

Nie ma wielu wymagań, ale wymagają one dopracowania.

Uwaga: wiele rzeczy nie jest jeszcze ustawionych w taki sposób, aby administrator miał jak największy komfort.

Firewalle mają za zadanie zapewnić dodatkową ochronę przed intruzami. Najważniejsze jest, aby poważnie traktować ustawienia oprogramowania. Każdy błąd w ustawieniach może spowodować poważne szkody. Powoduje to, że sieć staje się bezużyteczna, a ruch przestaje być przesyłany, szczególnie wtedy, gdy jest potrzebny.

Opublikowany przez
Mark Dabrowski