Klasyfikacja zapór ogniowych

Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT
Klasyfikacja zapór ogniowych
Autor: piotr
31.07.2007.
Zmieniony 30.07.2010.
"Firewall, lub zapora ogniowa, jest urządzeniem zabezpieczającym pozwalającym na przepływ
odpowiedniego ruchu w sieci. W skład firewalla wchodzi zazwyczaj dobry router sprzętowy lub
programowy, mający odpowiednie możliwości filtrowania przychodzących oraz wychodzących pakietów ze
względu na ich rodzaj, port wyjściowy i docelowy, wielkość, adres nadawcy i odbiorcy. Drugą częścią
składową jest jeden lub więcej komputerów, zwanych bastion hosts. W zwykłym systemie
komputerowym stanowiącym sieć LAN, każdy komputer jest połączony bezpośrednio do Internetu, co
znaczy że jest osiągalny z każdego punktu tej sieci. Administrator musi zatem odpowiednio konfigurować
poszczególne komputery, aby chronić je przed włamaniami."
W przypadku szeroko stosowanych sieci lokalnych każdy komputer z osobna jest podłączony do
Internetu. W związku z tym wymusza to szereg działań, które winien podjąć administrator całego
systemu. Chodzi tu głównie indywidualne podejście do każdej stacji roboczej. Takie zachowanie jest
poniekąd gwarantem prawidłowo działających zapór.
Istnieje również możliwość instalacji firewalla dla całej sieci. Jest rozwiązanie, które zdecydowanie skraca
ewentualny czas wdrożenie zapory. W tym przypadku połączenie z siecią globalną z wnętrza sieci lokalnej
jest możliwe tylko za pomocą jednej drogi. Zasadnicza wadą powyższego rozwiązania jest sytuacja, w
które haker łamie zabezpieczenia zapory ogniowej. Od tego momentu można przyjąć, iż jest "wewnątrz"
konkretnej sieci lokalnej. Następstwem tego typu nadużyć, mogą być wszelkie konsekwencje z utartą
wszystkich danych włącznie. Co za tym idzie zalecane jest by lokalizację instalacji zapory ogniowej
dobierać z najwyższą rozwagą. Natomiast obszar objęty ochroną był adekwatny do możliwych strat oraz z
uwzględnieniem możliwych technik naruszeń reguł bezpieczeństwa.
Klasyfikacja zapór ogniowych
Każdy firewall ze względu na swoją budowę oraz przeznaczenie operuje na innych, charakterystycznych
dla siebie warstwach sieci modelu ISO/OSI. Tak, więc wyróżniamy trzy charakterystyczne grupy firewalli:
1 Filtrujące pakiety (działające na warstwach łącza danych, sieciowej oraz transportowej),
2 Analizująca stany połączeń (działające na warstwie transportowej),
3 Bramy na poziomie aplikacji(działające na warstwie usługowej);
Zapory filtrujące pakiety
Metoda filtrowania pakietów jest elementarnym sposobem kontroli bezpieczeństwa. Zasadnicza zasada
działania opiera się o kontrolę pakietów wysyłanych oraz pobieranych przez konkretną sieć lokalną. W
zależności od poziomu, na którym odbywa się filtrowanie pakietów możliwe do uzyskania są następujące
informacje:
1 "warstwa dostępu do sieci (źródłowe i docelowe adresy MAC),
2 warstwa internetowa (adresy IP nadawcy i odbiorcy, rodzaj przenoszonego protokołu),
3 warstwa transportowa (porty źródłowe i docelowe, znaczniki),
4 warstwa aplikacji (protokoły takie jak FTP, HTTP, Telnet).
Filtrowaniem może się zajmować dedykowane urządzenie lub też oprogramowanie uruchamiane na
komputerze ogólnego przeznaczenia. Naturalnym miejscem do filtrowania pakietów jest router. Zwykły
router ogląda docelowy adres IP pakietu i podejmuje decyzję o wyborze trasy tak, aby trafił on do
http://www.witczak.priv.pl
Kreator PDF
Utworzono 2 March, 2017, 00:28
Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT
miejsca swojego przeznaczenia. Router filtrujący rozważa dodatkowo pytanie czy powinien w ogóle
przekazywać dany pakiet. Może on też podjąć decyzję o modyfikacji pakietu, podniesieniu alarmu lub też
ewentualnej rejestracji zdarzenia. Odpowiedź na to pytanie znajduje w zdefiniowanych regułach
filtrowania, a te z kolei powstają na podstawie ustalonej polityki bezpieczeństwa."
Przy założeniu, iż wszelka konfiguracja została przeprowadzona z największą dokładnością możliwe jest
uzyskania pełnego dostępu do przepływających pakietów. Należy również zwrócić uwagę na fakt, iż
reguły filtrowania są często trudne do wdrożenia. Istnieją również pewne ograniczenia w konfiguracji
zapór wynikające bezpośrednio z przyjętej przez konkretną firmę/organizację pewnej polityki
prywatności. Dodatkowym utrudnieniem jest sytuacja, w które filtrowaniu zostaje poddana zbyt duża
ilość pakietów. Prowadzi to do znacznie przekroczonej zalecanej obciążalności routera.
Z reguły najprostsze metody filtrowania ograniczają się do kontroli:
1 przypuszczalnego adres źródłowego,
2 adresu docelowego,
3 numeru portu.
Bramy na poziomie aplikacji
"Te firewalle (nazywane również firewallami proxy) są pakietami oprogramowania zainstalowanymi na
systemach operacyjnych o ogólnym zastosowaniu (np.: Windows NT czy UNIX) lub urządzeniach typu
firewall. Taki firewall ma wiele interfejsów: osobny do każdej sieci, do której jest podłączony. Zestaw
reguł strategii określa sposób, w jaki ruch z jednej sieci przechodzi di drugiej. Jeśli reguła nie zezwala
jasno na przepływ danych informacji, to firewall odmówi lub odrzuci przekaz. Reguły strategii
egzekwowane są za pomocą programów pośredniczących (proxy). Najlepsze programy pośredniczące są
takie, które zostały stworzone dla konkretnych protokołów. Na przykład proxy dla FTP rozpoznaje
protokół FTP i może stwierdzić, czy ruch przepływający jest zgodny z protokołem i dozwolony przez
reguły strategii."
Firewalle na poziomie aplikacji skuteczność swojego działania opierają głównie na kontroli typu, a także
objętości danych, które są wysyłane lub pobierane przez konkretną sieć lokalną. Ponieważ fizycznie
rozgraniczają wewnętrzną sieć lokalną i sieć globalną efektywność działania tego typu zapór istotnie
zwiększa jakość bezpieczeństwa. Jednakże z uwagi na to, iż w tym przypadku to aplikacja jest
odpowiedzialna za kontrolę pakietów to generalnie te rozwiązanie jest stosunkowo wolniejsze aniżeli
zapora działająca na poziomie sieci.
Zapory analizujące stan połączenia
"Firewall analizujący stan połączeń (circuit level firewall) jest rozwiązaniem kompromisowym między
szybkością firewalli filtrujących pakiety, a bezpieczeństwem firewalli poziomu aplikacji. Firewalle te filtrują
poszczególne pakiety, jednak nie tylko na podstawie ich nagłówków, tak jak w zwykłym filtrowaniu
pakietów. Firewalle tego typu potrafią przyporządkowywać pakiety do istniejących połączeń TCP i dzięki
temu kontrolować całą transmisję (zaawansowane systemy potrafią także kojarzyć pakiety protokołu
UDP, który w rzeczywistości kontroli połączeń nie posiada). Technika ta zwana jest TCP tunnelingiem i
odbywa się bez kontroli zawartości pakietów. Firewalle te na bieżąco śledzą i analizują przechodzące
przez nie połączenia, co pozwala na znacznie skuteczniejsze kontrolowanie ich zgodnoś! ci z regułami."
W związku z powyższym ogólnie przyjęto nazewnictwo tego typu zapór mianem "dynamicznie filtrujących
pakiety". Firewall na bieżąco archiwizuje wszelkie informacje w swojej pamięci na temat wszystkich
aktualnych stanów połączeń, jednocześnie określa kolejne dozwolone z punktu widzenia polityki
bezpieczeństwa możliwości. Administrator jest jedynie odpowiedzialny za określenie kierunku i możliwych
do podjęcia działań względem konkretnego połączenia. Natomiast firewall w sposób zautomatyzowany
kontroluje wszystkie następujące po sobie etapy.
Należy również wspomnieć, iż zapory tego typu mają możliwość odrzucania charakterystycznych typów
pakietów. Jest to kluczowa cecha w odniesieniu do blokowania próby skanowania portów tudzież
"wpuszczania" zmodyfikowanych pakietów.
http://www.witczak.priv.pl
Kreator PDF
Utworzono 2 March, 2017, 00:28
Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT
za http://www.bezpieczenstwo-sieci.pl
http://www.witczak.priv.pl
Kreator PDF
Utworzono 2 March, 2017, 00:28