Alan Ghafour LABORATORIUM - SINUS Firewall 1. Firewall
Transkrypt
Alan Ghafour LABORATORIUM - SINUS Firewall 1. Firewall
Alan Ghafour LABORATORIUM - SINUS Firewall 1. Firewall. Najskuteczniejszą metodą ochrony sieci lokalnych przed skutkami działań kogoś z zewnątrz jest jej fizyczna izolacja. Sieć LAN bez podłączenia do sieci WAN i bez istniejących modemów dostępowych jest w miarę bezpieczna. Spełnienie tych warunków nie zapewni co prawda całkowitego bezpieczeństwa, ale zarówno środki pozostałe atakującemu do dyspozycji, jak i krąg potencjalnych osób mogących szkodzić sieci, zostaną silnie ograniczone. Jednak w obecnych czasach podłączenie do internetu (lub przynajmniej łączy WAN) jest wręcz niezbędne do działania wielu firm. Także pojawienie się „zdalnych" pracowników (ang. remote emploee) wymusza istnienie mechanizmów dostępu z zewnątrz. Z tego właśnie względu zostały skonstruowane urządzenia stanowiące przegrodę pomiędzy chronioną siecią, a światem wewnętrznym. Z jednej strony chronią one zasoby sieci LAN, z drugiej pozwalaj ą na swobodną lub ograniczoną pracę zdalną Polska nazwa tego urządzenia (lub oprogramowania realizującego takie funkcje) jeszcze się nie ustaliła. Firewall często jest nazywany „ścianą przeciwogniową" lub „ścianą ogniową". Pierwotnie, nazwa ta wywodzi się od zabezpieczeń przeciwpożarowych montowanych w budynkach użyteczności publicznej w postaci stalowej kurtyny. Taka właśnie „ściana", w przypadku pożaru, była w stanie skutecznie ochronić część budynku znajdującą się z drugiej strony niż pożar, a przynajmniej powstrzymać ogień aż do czasu nadejścia pomocy. Dlatego pierwsza nazwa („ściana przeciwogniową") wydaje się bardziej adekwatna do zadań firewall'a i w dalszej części pracy będę się nią posługiwał. 1.1 Firewall - opis ogólny. Firewall jest specjalizowanym urządzeniem (komputerem z zainstalowanym specjalizowanym oprogramowaniem) lub grupą urządzeń, mającym za zadanie odizolować sieć wewnętrzną od zewnętrznej. Powinny również zminimalizować skutki ewentualnego włamania poprzez izolację komputerów potencjalnie narażonych na większe niebezpieczeństwo (np. publicznie dostępne serwery FTP czy WWW). Do zrealizowania tych celów firewalPe mają do dyspozycji narzędzia pozwalające zarówno blokować jak i przepuszczać ruch pakietów. Istnieją dwie odrębne ideologie budowania ścian przeciwogniowych. Jedna zakłada przepuszczanie domyślnie całego ruchu, a blokowanie jedynie specyficznych połączeń (na konkretne port lub do konkretnych maszyn). Druga bazuje na domyślnym blokowaniu całego ruchu i zezwalaniu na konkretne połączenia (np. na F Alan Ghafour LABORATORIUM - SINUS Firewall port poczty - SMTP, czy też wychodzący ruch na port HTTP). Obydwie z opisanych metod mają swoje wady i zalety. Jednak w przypadku zezwalania jedynie na istnienie „bezpiecznych" połączeń, bronimy się dodatkowo przed pojawieniem się „dziur" w bezpieczeństwie, nieznanych obecnie (np. nowe protokoły niosące ze sobą nowe niebezpieczeństwa) Głównym zadaniem spoczywającym na firewallu jest ochrona przed nieautoryzowanymi połączeniami z zewnątrz. Jednocześnie połączenia inicjowane z wewnątrz sieci mogą zostać zrealizowane. Dobrze skonstruowane firewalle bazują na tzw. informacji kontekstowej, tzn. przepuszczają również pakiety będące odpowiedziami na zapytania z wewnątrz sieci. Pozwala to na działanie protokołów bazujących np. na UDP a więc z definicji bezpołączeniowych. Z UDP korzy stają m. in. takie usługi jak DNS oraz NIS. Jeżeli więc przy projektowaniu sieci zakładamy np. korzystanie z zewnętrznego nameservera musimy zastosować inteligentny firewall opierający się na informacji kontekstowej. 1.2 Typy firewalli. Ze względu na sposób działania firewaH'e możemy podzielić na: 1. tzw. filtry, dławiki (ang. chocke) - ich jedynym zadaniem jest filtrowanie pakietów. 2. bramy (ang. gate) - z reguły realizowany jako host-bastion. Mogą na nim być instalowane następujące oprogramowanie: • klienckie (programy typu telnet, ftp, itp.) - użytkownicy mogą logować się na bastion i dopiero stąd dokonywać dalszych odwołań; • proxy - żądania klientów odwołujące się na zewnątrz sieci, są maskowane przez proxy tak, jakby wychodziły z bastionu. Wymaga odpowiednio przystosowanego oprogramowania klienckiego, do korzystania z proxy. • serwer sieciowy - na bastionie są realizowane takie protokoły jak SMTP, czy inne publicznie dostępne usługi. Nie zaleca się jednak instalowania takich usług jak anonymous FTP, czy WWW na bastionie. Zawierają one zbyt wiele potencjalnych możliwości przełamania zabezpieczeń, żeby ryzykować załamanie bastionu. LABORATORIUM - SINUS Firewall Alan Ghafour Ze względu na topologie sieci możemy wyróżnić następujące typy firewalli: 1. Host z dwoma portami sieciowymi (ang. dual-ported host) - najprostsza implementacja firewalla polegająca na zastosowaniu routera z dwoma portami sieciowymi. Wymogiem jest BRAK jakiegokolwiek bezpośredniego ruchu pomiędzy tymi portami. Komunikacja ze światem zewnętrznym może być realizowana dwojako: • użytkownicy sieci mają prawo logowania się bastionie (nie zalecane ze względu na bezpieczeństwo bastionu) • na bastionie pracują serwery proxy tych usług, które mają być dostępne dla użytkowników. Przykładowa konfiguracja może wyglądać następująco: Terminal Terminal Terminal 2. filtr pakietów - tutaj również mamy do czynienia z komputerem (lub po prostu routerem) o co najmniej dwóch portach sieciowych. Jednak w przeciwieństwie do konfiguracji przedstawionej poprzednio, działanie takiej implementacji opiera się na istnieniu komunikacji pomiędzy obydwoma portami. Przesyłanie pakietów poddane jest pewnym Alan Ghafour LABORATORIUM - SINUS Firewall specyficznym regułom. Tutaj zostaną przedstawione jedynie te prawdziwe dla większości przypadków. Jednak każda instalacja powinna być zależna od lokalnych warunków. Najbardziej oczywiste zasady można opisać następująco: • ruch na wszystkie nie używane port powinien być zablokowany. • pakiety o ustalonej trasie (tzw. source-routed) powinny być odrzucane. Ma to związek z odkrytymi niedawno sposobami ataku poprzez wysyłanie takich właśnie pakietów. • przychodzący ruch powinien być możliwy jedynie do ściśle określonych komputerów (np. serwerów poczty elektronicznej, WWW, itp.) • wedle uznania administratora można zezwolić na generowanie ruchu przez użytkowników wewnętrznych. • wszystkie pakiety zawierające numery z sieci wewnętrznej, a wchodzące z zewnętrznego interfejsu również powinny zostać odrzucone. Firewall - filtr pakietów Terminal Terminal Terminal LABORATORIUM - SINUS Firewall Alan Ghafour Filtr pakietów jest najprostszą realizacją firewalla. Do zalet tego rozwiązania należy zaliczyć: • łatwość implementacji, • niskie (właściwie pomijalne) koszta, • łatwość wprowadzania zmian 3. architektura hosta ochronnego (ang. screened host architecture) - jest bardziej zaawansowaną realizacją firewalla. Powstaje ona poprzez połączenie dwóch poprzednich realizacji. Filtr pakietów stanowi właściwą blokadę, pozwalając na ścisłą kontrolę transmitowanych danych. Przepuszcza jedynie pakiety podążające do lub z proxy. Cały więc ruch wychodzący realizowany jest jedynie poprzez bramę (definiują to reguły na filtrze). Natomiast wszyscy klienci sieci wewnętrznej mają prawo komunikacji jedynie z bastionem. W poniższej konfiguracji na bramie możemy uruchomić usługi dla świata zewnętrznego, z wyłączeniem WWW i FTP (jako usługi anonimowe i powszechnie dostępne, nie powinny być uruchamiane na jakiejkolwiek części firewalla). Proxy Firewall - filtr pakietów F Terminal 4. Terminal Terminal architektura podsieci ochronnej (ang. screened subnet architecture) — powstaje jako modyfikację powyższej topologii. Poprzez dodanie jeszcze jednego filtru, uzyskujemy bezpieczniejszą konfigurację. Dodatkowy filtr postawiony pomiędzy siecią lokalną a bramą ma dwa zadania: LABORATORIUM - SINUS Firewall Alan Ghafour • przepuszcza tylko pakiety kierowane do bramy • w przypadku kompromitacji pierwszego filtru lub bramy stanowi dodatkowe zabezpieczenie, chroniące sieć lokalną. Przy dodaniu drugiego dławika powstał wydzielony segment sieci, na którym domyślnie instalowana jest brama. Jednak dzięki takiej topologii można rozdzielić serwery proxy, i np. postawić ich kilka (osobno dla każdej usługi) oraz host pocztowy. Podsumowując tą konfigurację mamy następujący układ: • wewnętrzny filtr - przepuszcza jedynie ruch pomiędzy bramą, a siecią wewnętrzną; • zewnętrzny filtr - przepuszcza ruch pomiędzy bramą, a siecią zewnętrzną; • brama - realizuje usługę pośrednika (proxy). Jest jedynym elementem mogącym komunikować się zarówno z chronioną siecią wewnętrzną jak i światem zewnętrznym. 1 mm m i r n. Terminal n. Terminal Terminal Proxy