Firewall

Technologie zapewniające bezpieczeństwo w systemach operacyjnych.

Firewall

Co to jest firewall

rola firewalla

Najbardziej skutecznym sposobem zniwelowania potencjalnych zagrożeń bezpieczeństwa, wynikających z podłączenia do sieci publicznej, jest fizyczne odseparowanie od niej komputerów. Oczywiście wadą takiego rozwiązania jest praktyczny brak dostępu do zasobów tejże sieci. Firewall może znacząco wpłynąć na poziom bezpieczeństwa stacji roboczych, jednocześnie umożliwiając dostęp do rozbudowanych serwisów internetowych.

idea

Firewalle (zapory ogniowe) stanowią jakby jedyną furtkę pomiędzy chronioną i publiczną siecią. Są instalowane własnie pomiędzy sieciami w celu wymuszenia kontroli dostępu między nimi. Generalnie rzecz ujmując, firewalle zabezpieczają przed nieautoryzowanym dostępem z zewnątrz do sieci lokalnej. Niektóre nawet mogą całkowicie blokować ruch pakietów z zewnątrz - dopuszczając ewentualnie pakiety poczty elektronicznej - zezwalając jednakże na swobodne komunikowanie się użytkowników sieci ze światem zewnętrznym. Inną pożyteczną cechą firewalli jest możliwość wykorzystania ich do rejestrowania i śledzenia wszelkich przychodzących pakietów (z ang. auditing). Stacje umieszczane w pierwszej linii obrony, są punktami przez które przechodzą wszystkie informacje do sieci lokalnej i na zewnątrz. Dzięki takiemu scentralizowaniu dróg dostępu do sieci w jednym komputerze można łatwo zarządzać systemem ochrony.

Co może być firewallem

Firewall to nie konkretny program czy urządzenie, a raczej jedno z podejść do tematu bezpieczeństwa sieci. Powszechnie terminem firewall określa sie wszystko co filtruje pakiety, czyli od dedykowanych komputerów do oprogramowania, które spełnia taką rolę. Często jest to wręcz implementacja w sensie konfiguracji całej sieci, jednego albo większej liczby systemów i ruterów oraz innych sposobów sprawdzania bezpieczeństwa.

Zakres działalności

Podstawowy zakres działalności firewalli to m.in.:

filtracja (selekcja) pakietów
aplikacja pośrednicząca (ang. application proxy) (identyfikacja, potwierdzenie tożsamości i kontrola uprawnień użytkowników, ...)
diagnostyka antywirusowa plików przesyłanych przez FTP
nadzorowanie serwisu FTP, WWW i SMTP, kontrola apletów JAVA
równoważenie obciążenia serwerów sieciowych (ang. load balancing)
ochrona przesyłanych informacji (tworzenie wirtualnych sieci prywatnych VPN)
monitorowanie działalności użytkowników i administratorów oraz rejestrowanie ważnych ze względów bezpieczeństwa zdarzeń

Własności

Systemy firewall chronią naszą sieć na kilku poziomach, a także umożliwiają wdrożenie zupełnie nowych własności:

użytkownicy wewnętrzni mogą mieć dostęp do wszystkich (lub wybranych) usług Internet, natomiast użytkownicy zewnętrzni nie będą mieli dostępu do jakiegokolwiek zasobu naszej sieci lokalnej.
usługi takie jak e-mail, ftp, WWW mogą być dozwolone dla ruchu zewnętrznego tylko w odniesieniu do specyficznego komputera. Daje to nam otwartość na świat jednocześnie chroniąc i ukrywając inne zasoby sieciowe.
zaawansowane systemy identyfikacji i kontroli tożsamości są skuteczną metodą zabezpieczenia określonych zasobów przed nieupoważnionym dostępem zarówno w odniesieniu do użytkownika jak i aplikacji.
wszystkie wydarzenia są szczegółowo monitorowane i rejestrowane, a niektóre z nich generują natychmiastowe alarmy.
pakiety mogą podlegać badaniu przed ich pojawieniem się w systemie operacyjnym. Jeżeli nie spełniają zasad polityki bezpieczeństwa są natychmiast odrzucane.

Dwie idee projektowania firewall'i

idea ,,czarnej skrzynki''

Są to firewalle projektowane głównie przez komercyjne firmy. To zwykle urządzenia, których sposób działania nie jest bliżej znany, posiadają interfejs użytkownika i inne ułatwienia w ich sterowaniu, jednak nigdy nie możemy być pewni że nie istnieją w nich jakieś luki i nieudokumentowane obejścia.

idea ,,kryształowej skrzynki''

Przy koncepcji ,,kryształowej skrzynki'' zasady filtrowania pakietów są ogólno dostępne, ponieważ udostępniony jest kod źródłowy wraz z kompletną dokumentacją. Pozwala to na dokładne sprawdzenie całego kodu i wprowadzenie ewentualnych poprawek. Ma to ogromne znaczenie w przypadku systemów, gdzie dospępny jest kod źródłowy całego systemu operacyjnego, a co za tym idzie możemy dostosować konfigurację firewalla do ewentualnych niedociągnięć w samym kodzie systemu.

Typy firewall'i

Ze względu na warstwową architekturę stosu protokołów TCP/IP wyróżnia się trzy główne typy firewall'i: aplikacyjne, połączeniowe i filtrujące.

firewalle aplikacyjne (application gateway)

Umożliwiają kontrolowany dostęp do określonych usług (takich jak ftp, telnet, www) wewnątrz chronionej podsieci poprzez odpowiedni demon pośredniczący (proxy serwer). Dla usług nie mających swojego demona ruch jest zazwyczaj całkowicie blokowany.

firewalle połączeniowe (circuit gateway)

Zestawiają połączenia TCP pomiędzy komputerami z sieci wewnętrznej a Internetem, korzystając z określonych zasad. (przyporządkowują pakiety do istniejących połączeń TCP i dzięki temu mogą kontrolować całą transmisję) Zaawansowane systemy potrafią także kojarzyć pakiety protokołu UDP, który w rzeczywistości kontroli połączeń nie posiada. W żadnym z powyższych przypadków firewalle połączeniowe nie kontrolują jednak samej zawartości pakietów.

firewalle filtrujące (packet filtering gateway)

Segreguje pakiety IP, TCP, ICMP, itp. przechodzące przez host według określonych regół. Przeważnie regóły te opierają się na testowaniu adresu źródłowego i docelowego oraz portu pojedynczego pakietu.

Filtry pakietowe są zwykle bardzo szybkie, jednak ich wadą jest to, że podane kryteria selekcji mogą okazać się niewystarczające dla niektórych usług internetowych.

Strategie ustalania regół

Istnieją dwie zasadnicze strategie definiowania sposobu działania firewall'a:

domyślne przepuszczanie

polega na takim zdefiniowaniu warunków, aby spowodować blokowanie danych. Jeśli przychodzący pakiet nie będzie spełniał tych warunków zostanie on przepuszczony. Zaletą takiego podejścia do konfiguracji jest łatwość jej utworzenia, wadą natomiast jest to, że sieć pozostaje otwarta na większość usług i hostów (na ruch sieciowy, którego nie zablokowano).

domyślne blokowanie

każdy przychodzący pakiet będzie blokowany, dopóki nie spełni warunków, które pozwolą mu przejść przez zaporę. Jest to o wiele trudniejszy sposób konfiguracji, ponieważ wymaga dokładnej wiedzy o sposobie działania protokołu TCP/IP.

Wady i niedogodności:

ograniczają dostęp do sieci z Internetu
wymagają częstych uaktualnień, gdyż nowe typy klientów sieciowych i serwerów przybywają prawie codziennie
uniemożliwiają bądź utrudniają zdalne zarządzanie siecią
mało wydajne serwery pośredniczące zmniejszają wydajność sieci

Wybrane dostępne programowe rozwiązania firewalli

Sinus Firewall (dla systemów UNIX'owych)
TIS Firewall Toolkit (dla platform BSD)
Gauntlet 5.5 for Windows NT