Alan Ghafour LABORATORIUM - SINUS Firewall 1. Firewall

Alan Ghafour LABORATORIUM - SINUS Firewall 1. Firewall

Alan Ghafour
LABORATORIUM - SINUS Firewall
1. Firewall.
Najskuteczniejszą metodą ochrony sieci lokalnych przed skutkami działań kogoś z
zewnątrz jest jej fizyczna izolacja. Sieć LAN bez podłączenia do sieci WAN i bez
istniejących modemów dostępowych jest w miarę bezpieczna. Spełnienie tych warunków nie
zapewni co prawda całkowitego bezpieczeństwa, ale zarówno środki pozostałe atakującemu do
dyspozycji, jak i krąg potencjalnych osób mogących szkodzić sieci, zostaną silnie
ograniczone. Jednak w obecnych czasach podłączenie do internetu (lub przynajmniej łączy
WAN) jest wręcz niezbędne do działania wielu firm. Także pojawienie się „zdalnych"
pracowników (ang. remote emploee) wymusza istnienie mechanizmów dostępu z zewnątrz. Z
tego właśnie względu zostały skonstruowane urządzenia stanowiące przegrodę pomiędzy
chronioną siecią, a światem wewnętrznym. Z jednej strony chronią one zasoby sieci LAN, z
drugiej pozwalaj ą na swobodną lub ograniczoną pracę zdalną
Polska nazwa tego urządzenia (lub oprogramowania realizującego takie funkcje)
jeszcze się nie ustaliła. Firewall często jest nazywany „ścianą przeciwogniową" lub „ścianą
ogniową". Pierwotnie, nazwa ta wywodzi się od zabezpieczeń przeciwpożarowych
montowanych w budynkach użyteczności publicznej w postaci stalowej kurtyny. Taka
właśnie „ściana", w przypadku pożaru, była w stanie skutecznie ochronić część budynku
znajdującą się z drugiej strony niż pożar, a przynajmniej powstrzymać ogień aż do czasu
nadejścia pomocy. Dlatego pierwsza nazwa („ściana przeciwogniową") wydaje się bardziej
adekwatna do zadań firewall'a i w dalszej części pracy będę się nią posługiwał.
1.1
Firewall - opis ogólny.
Firewall jest specjalizowanym urządzeniem (komputerem z zainstalowanym
specjalizowanym oprogramowaniem) lub grupą urządzeń, mającym za zadanie odizolować sieć
wewnętrzną od zewnętrznej. Powinny również zminimalizować skutki ewentualnego
włamania
poprzez
izolację
komputerów
potencjalnie
narażonych
na
większe
niebezpieczeństwo (np. publicznie dostępne serwery FTP czy WWW). Do zrealizowania tych
celów firewalPe mają do dyspozycji narzędzia pozwalające zarówno blokować jak i
przepuszczać
ruch
pakietów.
Istnieją
dwie
odrębne
ideologie
budowania
ścian
przeciwogniowych. Jedna zakłada przepuszczanie domyślnie całego ruchu, a blokowanie
jedynie specyficznych połączeń (na konkretne port lub do konkretnych maszyn). Druga
bazuje na domyślnym blokowaniu całego ruchu i zezwalaniu na konkretne połączenia (np. na
F
Alan Ghafour
LABORATORIUM - SINUS Firewall
port poczty - SMTP, czy też wychodzący ruch na port HTTP). Obydwie z opisanych metod
mają swoje wady i zalety. Jednak w przypadku zezwalania jedynie na istnienie
„bezpiecznych" połączeń, bronimy się dodatkowo przed pojawieniem się „dziur" w
bezpieczeństwie, nieznanych obecnie (np. nowe protokoły niosące ze sobą nowe
niebezpieczeństwa)
Głównym
zadaniem
spoczywającym
na
firewallu
jest
ochrona
przed
nieautoryzowanymi połączeniami z zewnątrz. Jednocześnie połączenia inicjowane z wewnątrz
sieci mogą zostać zrealizowane. Dobrze skonstruowane firewalle bazują na tzw. informacji
kontekstowej, tzn. przepuszczają również pakiety będące odpowiedziami na zapytania z
wewnątrz sieci. Pozwala to na działanie protokołów bazujących np. na UDP a więc z definicji
bezpołączeniowych. Z UDP korzy stają m. in. takie usługi jak DNS oraz NIS. Jeżeli więc przy
projektowaniu sieci zakładamy np. korzystanie z zewnętrznego nameservera musimy zastosować
inteligentny firewall opierający się na informacji kontekstowej.
1.2
Typy firewalli.
Ze względu na sposób działania firewaH'e możemy podzielić na:
1. tzw. filtry, dławiki (ang. chocke) - ich jedynym zadaniem jest filtrowanie pakietów.
2. bramy (ang. gate) - z reguły realizowany jako host-bastion. Mogą na nim być instalowane
następujące oprogramowanie:
• klienckie (programy typu telnet, ftp, itp.) - użytkownicy mogą logować się na
bastion i dopiero stąd dokonywać dalszych odwołań;
• proxy - żądania klientów odwołujące się na zewnątrz sieci, są maskowane przez
proxy tak, jakby wychodziły z bastionu. Wymaga odpowiednio przystosowanego
oprogramowania klienckiego, do korzystania z proxy.
• serwer sieciowy - na bastionie są realizowane takie protokoły jak SMTP, czy inne
publicznie dostępne usługi. Nie zaleca się jednak instalowania takich usług jak
anonymous FTP, czy WWW na bastionie. Zawierają one zbyt wiele potencjalnych
możliwości przełamania zabezpieczeń, żeby ryzykować załamanie bastionu.
LABORATORIUM - SINUS Firewall
Alan Ghafour
Ze względu na topologie sieci możemy wyróżnić następujące typy firewalli: 1. Host z dwoma
portami sieciowymi (ang. dual-ported host) - najprostsza implementacja firewalla polegająca
na zastosowaniu routera z dwoma portami sieciowymi. Wymogiem jest BRAK jakiegokolwiek
bezpośredniego ruchu pomiędzy tymi portami. Komunikacja ze światem zewnętrznym może być
realizowana dwojako:
• użytkownicy sieci mają prawo logowania się bastionie (nie zalecane ze względu na
bezpieczeństwo bastionu)
• na bastionie pracują serwery proxy tych usług, które mają być dostępne dla
użytkowników.
Przykładowa konfiguracja może wyglądać następująco:
Terminal
Terminal
Terminal
2. filtr pakietów - tutaj również mamy do czynienia z komputerem (lub po prostu routerem) o
co najmniej dwóch portach sieciowych. Jednak w przeciwieństwie do konfiguracji
przedstawionej poprzednio, działanie takiej implementacji opiera się na istnieniu komunikacji
pomiędzy obydwoma portami. Przesyłanie pakietów poddane jest pewnym
Alan Ghafour
LABORATORIUM - SINUS Firewall
specyficznym regułom. Tutaj zostaną przedstawione jedynie te prawdziwe dla większości
przypadków. Jednak każda instalacja powinna być zależna od lokalnych warunków.
Najbardziej oczywiste zasady można opisać następująco:
• ruch na wszystkie nie używane port powinien być zablokowany.
• pakiety o ustalonej trasie (tzw. source-routed) powinny być odrzucane. Ma to związek z
odkrytymi niedawno sposobami ataku poprzez wysyłanie takich właśnie pakietów.
• przychodzący ruch powinien być możliwy jedynie do ściśle określonych komputerów
(np. serwerów poczty elektronicznej, WWW, itp.)
• wedle uznania administratora można zezwolić na generowanie ruchu przez
użytkowników wewnętrznych.
• wszystkie pakiety zawierające numery z sieci wewnętrznej, a wchodzące z
zewnętrznego interfejsu również powinny zostać odrzucone.
Firewall - filtr pakietów
Terminal
Terminal
Terminal
LABORATORIUM - SINUS Firewall
Alan Ghafour
Filtr pakietów jest najprostszą realizacją firewalla. Do zalet tego rozwiązania należy zaliczyć:
• łatwość implementacji,
• niskie (właściwie pomijalne) koszta,
• łatwość wprowadzania zmian
3. architektura hosta ochronnego (ang. screened host architecture) - jest bardziej
zaawansowaną realizacją firewalla. Powstaje ona poprzez połączenie dwóch poprzednich
realizacji. Filtr pakietów stanowi właściwą blokadę, pozwalając na ścisłą kontrolę
transmitowanych danych. Przepuszcza jedynie pakiety podążające do lub z proxy. Cały
więc ruch wychodzący realizowany jest jedynie poprzez bramę (definiują to reguły na
filtrze). Natomiast wszyscy klienci sieci wewnętrznej mają prawo komunikacji jedynie z
bastionem. W poniższej konfiguracji na bramie możemy uruchomić usługi dla świata
zewnętrznego, z wyłączeniem WWW i FTP (jako usługi anonimowe i powszechnie
dostępne, nie powinny być uruchamiane na jakiejkolwiek części firewalla).
Proxy
Firewall - filtr pakietów
F
Terminal
4.
Terminal
Terminal
architektura podsieci ochronnej (ang. screened subnet architecture) — powstaje jako
modyfikację powyższej topologii. Poprzez dodanie jeszcze jednego filtru, uzyskujemy
bezpieczniejszą konfigurację. Dodatkowy filtr postawiony pomiędzy siecią lokalną a
bramą ma dwa zadania:
LABORATORIUM - SINUS Firewall
Alan Ghafour
• przepuszcza tylko pakiety kierowane do bramy
•
w przypadku kompromitacji pierwszego filtru lub bramy stanowi dodatkowe
zabezpieczenie, chroniące sieć lokalną.
Przy dodaniu drugiego dławika powstał wydzielony segment sieci, na którym domyślnie
instalowana jest brama. Jednak dzięki takiej topologii można rozdzielić serwery proxy, i np.
postawić ich kilka (osobno dla każdej usługi) oraz host pocztowy.
Podsumowując tą konfigurację mamy następujący układ:
• wewnętrzny filtr - przepuszcza jedynie ruch pomiędzy bramą, a siecią wewnętrzną;
• zewnętrzny filtr - przepuszcza ruch pomiędzy bramą, a siecią zewnętrzną;
• brama - realizuje usługę pośrednika (proxy). Jest jedynym elementem mogącym
komunikować się zarówno z chronioną siecią wewnętrzną jak i światem zewnętrznym.
1
mm
m
i
r
n.
Terminal
n.
Terminal
Terminal
Proxy