Klasyfikacja zapór ogniowych
Transkrypt
Klasyfikacja zapór ogniowych
Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT Klasyfikacja zapór ogniowych Autor: piotr 31.07.2007. Zmieniony 30.07.2010. "Firewall, lub zapora ogniowa, jest urządzeniem zabezpieczającym pozwalającym na przepływ odpowiedniego ruchu w sieci. W skład firewalla wchodzi zazwyczaj dobry router sprzętowy lub programowy, mający odpowiednie możliwości filtrowania przychodzących oraz wychodzących pakietów ze względu na ich rodzaj, port wyjściowy i docelowy, wielkość, adres nadawcy i odbiorcy. Drugą częścią składową jest jeden lub więcej komputerów, zwanych bastion hosts. W zwykłym systemie komputerowym stanowiącym sieć LAN, każdy komputer jest połączony bezpośrednio do Internetu, co znaczy że jest osiągalny z każdego punktu tej sieci. Administrator musi zatem odpowiednio konfigurować poszczególne komputery, aby chronić je przed włamaniami." W przypadku szeroko stosowanych sieci lokalnych każdy komputer z osobna jest podłączony do Internetu. W związku z tym wymusza to szereg działań, które winien podjąć administrator całego systemu. Chodzi tu głównie indywidualne podejście do każdej stacji roboczej. Takie zachowanie jest poniekąd gwarantem prawidłowo działających zapór. Istnieje również możliwość instalacji firewalla dla całej sieci. Jest rozwiązanie, które zdecydowanie skraca ewentualny czas wdrożenie zapory. W tym przypadku połączenie z siecią globalną z wnętrza sieci lokalnej jest możliwe tylko za pomocą jednej drogi. Zasadnicza wadą powyższego rozwiązania jest sytuacja, w które haker łamie zabezpieczenia zapory ogniowej. Od tego momentu można przyjąć, iż jest "wewnątrz" konkretnej sieci lokalnej. Następstwem tego typu nadużyć, mogą być wszelkie konsekwencje z utartą wszystkich danych włącznie. Co za tym idzie zalecane jest by lokalizację instalacji zapory ogniowej dobierać z najwyższą rozwagą. Natomiast obszar objęty ochroną był adekwatny do możliwych strat oraz z uwzględnieniem możliwych technik naruszeń reguł bezpieczeństwa. Klasyfikacja zapór ogniowych Każdy firewall ze względu na swoją budowę oraz przeznaczenie operuje na innych, charakterystycznych dla siebie warstwach sieci modelu ISO/OSI. Tak, więc wyróżniamy trzy charakterystyczne grupy firewalli: 1 Filtrujące pakiety (działające na warstwach łącza danych, sieciowej oraz transportowej), 2 Analizująca stany połączeń (działające na warstwie transportowej), 3 Bramy na poziomie aplikacji(działające na warstwie usługowej); Zapory filtrujące pakiety Metoda filtrowania pakietów jest elementarnym sposobem kontroli bezpieczeństwa. Zasadnicza zasada działania opiera się o kontrolę pakietów wysyłanych oraz pobieranych przez konkretną sieć lokalną. W zależności od poziomu, na którym odbywa się filtrowanie pakietów możliwe do uzyskania są następujące informacje: 1 "warstwa dostępu do sieci (źródłowe i docelowe adresy MAC), 2 warstwa internetowa (adresy IP nadawcy i odbiorcy, rodzaj przenoszonego protokołu), 3 warstwa transportowa (porty źródłowe i docelowe, znaczniki), 4 warstwa aplikacji (protokoły takie jak FTP, HTTP, Telnet). Filtrowaniem może się zajmować dedykowane urządzenie lub też oprogramowanie uruchamiane na komputerze ogólnego przeznaczenia. Naturalnym miejscem do filtrowania pakietów jest router. Zwykły router ogląda docelowy adres IP pakietu i podejmuje decyzję o wyborze trasy tak, aby trafił on do http://www.witczak.priv.pl Kreator PDF Utworzono 2 March, 2017, 00:28 Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT miejsca swojego przeznaczenia. Router filtrujący rozważa dodatkowo pytanie czy powinien w ogóle przekazywać dany pakiet. Może on też podjąć decyzję o modyfikacji pakietu, podniesieniu alarmu lub też ewentualnej rejestracji zdarzenia. Odpowiedź na to pytanie znajduje w zdefiniowanych regułach filtrowania, a te z kolei powstają na podstawie ustalonej polityki bezpieczeństwa." Przy założeniu, iż wszelka konfiguracja została przeprowadzona z największą dokładnością możliwe jest uzyskania pełnego dostępu do przepływających pakietów. Należy również zwrócić uwagę na fakt, iż reguły filtrowania są często trudne do wdrożenia. Istnieją również pewne ograniczenia w konfiguracji zapór wynikające bezpośrednio z przyjętej przez konkretną firmę/organizację pewnej polityki prywatności. Dodatkowym utrudnieniem jest sytuacja, w które filtrowaniu zostaje poddana zbyt duża ilość pakietów. Prowadzi to do znacznie przekroczonej zalecanej obciążalności routera. Z reguły najprostsze metody filtrowania ograniczają się do kontroli: 1 przypuszczalnego adres źródłowego, 2 adresu docelowego, 3 numeru portu. Bramy na poziomie aplikacji "Te firewalle (nazywane również firewallami proxy) są pakietami oprogramowania zainstalowanymi na systemach operacyjnych o ogólnym zastosowaniu (np.: Windows NT czy UNIX) lub urządzeniach typu firewall. Taki firewall ma wiele interfejsów: osobny do każdej sieci, do której jest podłączony. Zestaw reguł strategii określa sposób, w jaki ruch z jednej sieci przechodzi di drugiej. Jeśli reguła nie zezwala jasno na przepływ danych informacji, to firewall odmówi lub odrzuci przekaz. Reguły strategii egzekwowane są za pomocą programów pośredniczących (proxy). Najlepsze programy pośredniczące są takie, które zostały stworzone dla konkretnych protokołów. Na przykład proxy dla FTP rozpoznaje protokół FTP i może stwierdzić, czy ruch przepływający jest zgodny z protokołem i dozwolony przez reguły strategii." Firewalle na poziomie aplikacji skuteczność swojego działania opierają głównie na kontroli typu, a także objętości danych, które są wysyłane lub pobierane przez konkretną sieć lokalną. Ponieważ fizycznie rozgraniczają wewnętrzną sieć lokalną i sieć globalną efektywność działania tego typu zapór istotnie zwiększa jakość bezpieczeństwa. Jednakże z uwagi na to, iż w tym przypadku to aplikacja jest odpowiedzialna za kontrolę pakietów to generalnie te rozwiązanie jest stosunkowo wolniejsze aniżeli zapora działająca na poziomie sieci. Zapory analizujące stan połączenia "Firewall analizujący stan połączeń (circuit level firewall) jest rozwiązaniem kompromisowym między szybkością firewalli filtrujących pakiety, a bezpieczeństwem firewalli poziomu aplikacji. Firewalle te filtrują poszczególne pakiety, jednak nie tylko na podstawie ich nagłówków, tak jak w zwykłym filtrowaniu pakietów. Firewalle tego typu potrafią przyporządkowywać pakiety do istniejących połączeń TCP i dzięki temu kontrolować całą transmisję (zaawansowane systemy potrafią także kojarzyć pakiety protokołu UDP, który w rzeczywistości kontroli połączeń nie posiada). Technika ta zwana jest TCP tunnelingiem i odbywa się bez kontroli zawartości pakietów. Firewalle te na bieżąco śledzą i analizują przechodzące przez nie połączenia, co pozwala na znacznie skuteczniejsze kontrolowanie ich zgodnoś! ci z regułami." W związku z powyższym ogólnie przyjęto nazewnictwo tego typu zapór mianem "dynamicznie filtrujących pakiety". Firewall na bieżąco archiwizuje wszelkie informacje w swojej pamięci na temat wszystkich aktualnych stanów połączeń, jednocześnie określa kolejne dozwolone z punktu widzenia polityki bezpieczeństwa możliwości. Administrator jest jedynie odpowiedzialny za określenie kierunku i możliwych do podjęcia działań względem konkretnego połączenia. Natomiast firewall w sposób zautomatyzowany kontroluje wszystkie następujące po sobie etapy. Należy również wspomnieć, iż zapory tego typu mają możliwość odrzucania charakterystycznych typów pakietów. Jest to kluczowa cecha w odniesieniu do blokowania próby skanowania portów tudzież "wpuszczania" zmodyfikowanych pakietów. http://www.witczak.priv.pl Kreator PDF Utworzono 2 March, 2017, 00:28 Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT za http://www.bezpieczenstwo-sieci.pl http://www.witczak.priv.pl Kreator PDF Utworzono 2 March, 2017, 00:28