Tytuł

Ewa Socha 2003r.

Firewall

Ściany ognia - jest to kombinacja hardware'u i software'u służąca do ochrony ruchu pomiędzy dwiema lub więcej sieciami. Umieszcza się je na granicy sieci, aby zcentralizować i kontrolować ruch pomiędzy siecią wewnęczną, a cala reszta. Mimo różnych architektur wykorzystywanych do budowy ścian tworzą one wąskie gardło. Ideą zapór jest zapewnienie bezpieczeństwa kosztem innych usług. Poza funkcjami ochronnymi może również(szczególnie w zakładach pracy) służyć do kontroli wykorzystywania sieci.

Mechanizmy działania(wykorzystywane technologie):

filtrowanie pakietów:
filtrują protokoły sieciowe i transportowe, porównując je z regułami z bazy, dalej przesyłają tylko te, które odpowiadają lub nie odpowiadają regułą (w zależności od konfiguracji lub wersji oprogramowania).

Filtry pakietów dzielimy na bezstanowe i z badanie m stanów.
- Bezstanowe:
  - bada informacje zawarte w każdym pakiecie indywidualnie
  - pierwsze ściany ograniczały się do tego mechanizmu
  - badają nagłówki pakietów
  - można je tak skonfigurować, aby przepuszczały pakiety na podstawi badania każdego elementu pakietu
  - najczęściej kontrolują: typ protokołu, adres IP(zazwyczaj odmowa połączenia wszystkim hostom z poza listy), porty TCP/UDP, wybór trasy(pierwotnie wykorzystywany do testów i wykrywania usterek, często wykorzystywany do włamań; nie istnieją protokoły wymagające wyboru trasy);
- Z Badaniem Stanów:
  - przechowuje informacje na temat ruchu pomiędzy rozgraniczanymi sieciami i wykorzystuje je do filtrowania pakietów
  - mechanizm działania:
    host wewnętrzny łączy się z portem zewnętrznym, przesyła pakiet SYN(umieszcza adres gniazda, na którym oczekuje odpowiedzi)->filtr zapisuje w tablicy stanów adres gniazda docelowego i zwrotnego -> przesyła pakiet dalej -> przychodzi odpowiedz -> filtr sprawdza gniazda źródłowe i docelowe -> jeżeli jest oczekiwana odpowiedzią przesyła pakiet wpp nie przepuszcza; zapisy z tablicy stanów są usuwane, po przesłaniu pakietów inicjujących zamkniecie sesji lub po upływie pewnego(określonego) czasu bez przepływu pakietów;
translacja adresów
- NAT - Network Address Translation
- zamienia adresy wewnętrznych hostów na unikatowe w skali Internetu
- zaprojektowany, aby udostępnić więcej adresów IP siecią prywatnym
- pozwala stosować dowolny zakres adresów w sieci wewnętrznej
- umożliwia ukrywanie wewnętrznych hostów - cała siec wewnętrzną jest z zewnątrz widziana jako jeden komputer o adresie zapory
- mechanizm działania:
  ściana przechowuje tablice z odpowiadającymi sobie gniazdami zewnętrznymi i wewnętrznymi - > host wewnętrzny nawiązuje połączenie z hostem z sieci zewnętrznej -> zmiana adresu z wewnętrznego na IP ściany -> zapisuje odpowiadające sobie gniazda -> wysyła na zewnątrz -> przychodzi odpowiedz - > zmiana IP na wewnętrzny -> wysłanie do hosta inicjującego -> zamykanie sesji -> usuniecie z tablicy
Proxy:
- nie wykonuje skomplikowanej analizy pakietu
- serwery proxy pierwotnie zostały opracowane do przechowywania w pamięci podręcznej stron WWW
- ukrywają wszystkich użytkowników pod jednym zewnętrznym adresem
- filtruje URL, odrzucają podejrzane lub nielegalne treści
- przejmuje żądania z sieci i ponownie generuje żądanie
- obsługuje tylko komunikaty HTTP, przez sieć jest widziany jako przeglądarka WWW
- wykorzystywany do zbierania informacji o ruchu w sieci... nie tylko w celach udoskonalenia ochrony
Szyfrowane tunele (encrypted tunnels)
- nazywane również wirtualnymi sieciami prywatnymi (VPN - virtual private network)
- pozwala ustawić bezpieczne połączenie pomiędzy dwoma sieciami rozdzielonymi fizycznie, za pomocą Internetu
Przykładowe architektury:
- Dual-Homed Host Firewall (router ekranujący) - umieszczenie routera ekranującego i filtra pakietowego na komputerze z dwoma kartami sieciowymi jest najprostszym rozwiązaniem, w którym jeden komputer oddziela sieć lokalną od potencjalnych zagrożeń.
- Screened Host Gateway Firewall (firewall z routerem ekranującym)- rozwiązanie to pozwala umieścić komputer główny z dala od sieci publicznej; komputer główny w tym przypadku to serwer firewall z usługami proxy i dodatkowym filtrowaniem pakietów; przerwanie bezpośredniego połączenia tego serwera z Internetem pozwala znacząco zwiększyć bezpieczeństwo.
- Screened Subnet Firewall (firewall z dwoma routerami ekranującymi) - oprócz routera WAN dodajemy router LAN, który kontroluje przepływ danych w sieci lokalnej; dzięki temu, że komputer główny z Proxy Server jest umieszczony w osobnej sieci, atak ogranicza się jedynie do uderzenia na niego; dodatkowo router LAN uniemożliwia nieautoryzowany dostęp do komputera głównego z wnętrza sieci.

Funkcje Firewall w Systemach Operacyjnych

Linux
- IPChains jest modułem linuxa pełniącym funkcje fierwall'a
- początkowo nazywał się IP Masquerade(maskowanie IP)
- ma możliwość filtrowania pakietów - pozwala zdefiniować łańcuchy reguł, które pakiety muszą spełnić
- stosuje NAT
- jest szybki, ponieważ jest zintegrowany, a nie wykonuje się w warstwie użytkownika jak wiele innych firewall'i
- nie jest serwerem proxy jeżeli jest nam taki potrzebny możemy skorzystać z TIS FWTK (Trusted Information Systems Firewall Toolkit)
Windows NT
- obsługuje protokół PPTP(Point-to Point Tunneling) - jest to mechanizm szyfrowanych tuneli
- nie ma funkcji NAT w przeciwieństwie do 2000
- obsługuje filtrowanie bezstanowe

Istnieje wiele zarówno komercyjnych jak bezpłatnych programów służących do ochrony na zasadach firewall'i. Nie każdy z nich wykorzystuje wszystkie mechanizmy opisane powyżej. Najpopularniejszym firewall'em jest Firewall-1 firmy Checkpoint.