. Przykładem mogą być ataki na serwery firm internetowych. Jednymi z urządzeń zwiększających bezpieczeństwo sieci są firewalle. Czym są owe 'ściany ognia' i jak działają?
Czym jest firewall?
Firewall, w dużym uproszczeniu, jest zaporą kontrolującą przepływ informacji pomiędzy sieciami. W szczególności pomiędzy sieciami wewnętrznymi (intranet, sieci korporacyjne, providerów, operatorów) a zewnętrznymi (internet, sieci międzykorporacyjne, extranet).
Firewalle są zaporami mającymi chronić komputer przed zagrożeniami z internetu i z sieci wewnętrznej.
Firewall realizuje wiele poziomów praw dostępu do zasobów chronionego systemu. Zazwyczaj w rozwiązaniach sieci najbardziej dostępnymi usługami dla osób z zewnątrz są serwery WWW i FTP. Dopiero za nimi realizują firewalle swoje właściwe funkcje. I też dopiero za tymi dwoma podstawowymi typami serwerów są zlokalizowane wewnętrzne linie obrony systemu.
Usługa proxy
Pilnując bezpieczeństwa gromadzonych i przetwarzanych danych administratorzy i użytkownicy chronionego systemu potrzebują urządzenia pośredniczącego w kontaktach między światem zewnętrznym (obcymi pakietami danych) a własnymi urządzeniami i zasobami. Jest to strategia nie pozwalająca agresorowi zbliżyć się do atakowanego komputera czy sieci.
Taką strategię pozwala realizowac firewall świadczący usługi typu proxy.
Pojęcia serwer proxy, usługa proxy i firewall przeplatają się. Granice pomiędzy nimi są dość płynne, z czego mogą wyniknąć pewne nieścisłości pojęciowe.
Problemy z definicjami mechanizmów ochrony systemów informatycznych w przypadku firewalli wynikają z szerokiego zakresu tego pojęcia. Słowo firewall odnosi się bowiem często do wszelkich urządzeń i aplikacji kontrolujących ruch w sieci ze względu na bezpieczeństwo.
Firewall świadczy usługi proxy odgradzające obiekty chronione od źródeł ataku. Jego funkcjonowanie polega na realizowaniu dwóch strategii: filtracji pakietów (packets-filtering firewall) oraz ich weryfikacji i przesyłania. W fazie filtrowania pakiety są sprawdzane zaś w fazie weryfikacji są one przesyłane lub odrzucane w oparciu o wcześniej zdefiniowane kryteria. W bardziej zaawansowanych firewallach istnieje jeszcze trzecia strategia, będąca autonomiczną usługą proxy. Jest to tzw. kontrola stanu (stateful inspection) - jej mechanizm działania i weryfikacji jest prosty. W ramach firewalla zapamiętywane są cechy szczególne pakietów wychodzących z systemu. Gdy powracają one, nawet w zmienionej postaci, system próbuje je zdefiniować w oparciu o zapamiętaną cechę. Jeżeli to się uda, pakiet jest przepuszczany bez dalszej weryfikacji.
Czym wobec tego jest usługa proxy? Jest to pojęcie węższe zakresowo niż firewall czy serwer proxy. Usługa proxy jest działaniem oferowanym przez całą klasę urządzeń określanych firewallami w celu dokonywania filtrowania i weryfikacji pakietów danych na zasadach zbliżonych do militarnych systemów FORF (FORF - Friend or Foe, identyfikacja swój-obcy).
Klasyfikacja 'ścian ognia'
Wyróżnia się trzy klasy urządzeń służących ochronie danych. Różnią się one przede wszystkim mechanizmami obrony.
Klasa pierwsza to urządzenia zbudowane na podstawie routerów, pracujące w niższych warstwach protokołów sieciowych (warstwy fizyczna, warstwy łączy danych, warstwy sieci oraz warstwy transportowe). Zajmują się one filtracją pakietów, często są określane mianem screening routers.
Klasa druga czyli bramy serwerów proxy - proxy server gateways. Operują w górnych warstwach protokołów sieciowych (warstwy sesji, warstwy prezentacji oraz warstwy aplikacji). Pełnią one funkcje podobne do barier klasy pierwszej. Różnica tkwi w środowisku operowania, czyli w warstwach stosu protokołu.
Klasa trzecia to wyspecjalizowane bariery świadczące wspomnianą wcześniej trzecią usługę typu proxy czyli kontrolę stanu - stateful inspection.
Ten podział został rozmyty przez pojawienie się urządzeń działających w każdej warstwie protokołu i świadczących wszystkie usługi proxy.
Bariery klasy pierwszej (screening routers) zbierają informacje dotyczące adresu (fizycznego i IP) komputera docelowego a także warstwy transportowej. Dzięki tym danym firewall dokonuje filtracji pakietów.
Firewalle tego typu tworzy się na dwa sposoby. Pierwszy z nich, to firewall zbudowany jako komputer z zainstalowanymi dwiema kartami sieciowymi (jedna łączy się z siecią zewnętrzną, druga z wewnętrzną). Wedle drugiej koncepcji buduje się oddzielne, wyspecjalizowane urządzenia sieciowe spełniające analogiczne funkcje.
Obydwa typy urządzeń muszą zostać skonfigurowane, co należy oczywiście do administratora, który musi określić kryteria filtrowania pakietów. Zapewnić bezpieczeństwo jest coraz trudniej, tak więc i kryteria stają się coraz bardziej złożone. Tworzenie złożonych i skomplikowanych założeń filtracji skutkuje częstymi załamaniami całej polityki bezpieczeństwa. Dlatego też urządzeń klasy pierwszej nie używa się już lub też używa się ich w połączeniu z innymi, bardziej zaawansowanymi. Dotyczy to oczywiście najbardziej wymagających i najcenniejszych systemów.
Drugą klasę barier stanowią bramy, będące grupą urządzeń działających w warstwie aplikacji. Metoda ta daje większe możliwości kontrolowania ruchu w sieci. Firewalle - bramy działają jak typowy pośrednik przesyłając dane pomiędzy użytkownikami wewnętrznymi i zewnętrznymi a także używanymi przez nich usługami.
Jedną z ciekawszych możliwości jaką oferuje ta klasa barier jest maskowanie numeru IP. Dopiero po zamaskowaniu numerów IP komputerów użytkowników wewnętrznych, brama zaczyna filtrować pakiety oraz reprezentować tych użytkowników w internecie. Reprezentacja ta dokonuje się poprzez zmianę danego adresu IP komputera, na adres własny bramy.
Są dwie zasady działania mechanizmów ochronnych bram.
Pierwsza polega na obsłudze tylko odwołań użytkowników wewnętrznych do sieci zewnętrznych. Jednocześnie każda próba dostania się do sieci wewnętrznej jest blokowana. Ponieważ jednak takie działanie bramy uniemożliwia korzystanie z internetu w ogóle (żądanie dostępu do serwera w internecie zawsze wywołuje jego odpowiedź, bez jej przyjęcia nie ma efektywnego połączenia), to dopuszczane są wyjątki. Przepuszczane mianowicie do wewnątrz są tylko te pakiety, które stanowią odpowiedź na żądania własnych użytkowników (realizuje to usługa stateful inspection).
Druga zasada dopuszcza przepuszczanie pakietów bez względu na to czy są one bezpośrednią odpowiedzią na żądania użytkowników. Przyjęcie tej zasady wymaga zaostrzenia reguł filtrowania pakietów, gdyż naraża ona system na większe niebezpieczeństwo.
Niekóre bramy oprócz dbania o bezpieczeństwo oferują też opcje usprawniające obieg danych. Prowadzą one usługę cache dla użytkowników wewętrznych. Brama przechowuje dane z ośrodków najczęściej odwiedzanych w internecie co przyczynia się do zwiększnia przepustowości połączeń a jednocześnie zwiększa bezpieczeństwo.
Konieczność tworzenia coraz bezpieczniejszych systemów informatycznych wymusza postęp. Efektem najnowszych osiągnięć w dziedzinie bezpieczeństwa są zapory sieciowe wysokiego poziomu. Ich cechą charakterystyczną jest spójność stosowanych technik zabezpieczeń. Z uwagi na małe bezpieczeństwo gwarantowane przez routery skanujące oraz problemy wydajnościowe bram, zaczęto tworzyć zapory sieciowe wysokiego poziomu. Ich cechą jest łączenie ochrony uzyskiwanej za pomocą wszystkich usług proxy i wszystkich urządzeń typu firewall. Istnieje kilka tego typu rozbudowanych systemów - zapór wysokiego poziomu, a najpopularniejsze z nich to m.in.:
Dual - Homed System, system tego typu to komputer wyposażony w co najmniej dwie karty sieciowe i mozliwość włączania i wyłączania ruchu pomiędzy kartami według potrzeb; w przypadku zablokowania routingu cały proces przepływu danych może być obsługiwany przez oprogramowanie poziomu aplikacji,
Architektura hosta ekranujacego, w tym przypadku ekranujący router pozwala użytkownikom na kontakt tylko ze szczególnym systemem sieci wewnętrznej, który jest bramą poziomu aplikacji kontrolującą cały ruch pakietów; w tej konfiguracji router ekranujący ma za zadanie kierowac pakiety do szczególnego systemu wewnętrznego oraz zezwalać użytkownikom wewnętrznym na kontakty z internetem lub je blokować,
Architektura podsieci ekranowanej, to rozwiązanie jest rozwinięciem architektury hosta ekranującego, jedyną znaczącą różnicą jest dodanie poziomu ochrony w postaci sieci, oddzielającej Internet od systemu wewnętrznego.
Wiele praktycznych rozwiązań jest kombinacją opisanych wyżej architektur.
SOCKS
SOCKS jest standardem budowania mechanizmów proxy. Jednocześnie jest nazwą całej rodziny nowych serwerów będących rozwinięceim idei serwerów proxy i urządzeń typu firewall. Jest to mechanizm umieszczany między siecią wewnętrzną i zewnętrzną i działający jak jednokierunkowa zapora. Główną cechą serwerów SOCKS jest zdolność do oszukiwania komputerów sieci wewnętrznej i zewnętrznej sugerująca, że kontakt między nimi jest bezpośredni.
Cechy dobrego systemu firewall
Dobry system zabezpieczajacy sieć przed włamaniami pownien spełniać kilka podstawowych warunków:
-maskowanie adresów IP przed światem zewnętrznym, jest to warunek akceptowalnej jakośći systemu firewall,
-kontrola antywirusowa - systemy tego typu dobrze nadają się do obrony przed 'końmi trojańskimi' korzystającymi z portów protokołu TCP/IP,
-przeźroczystość - to cecha ważna z punktu widzenia komfortu pracy; firewall nie może utrudniać dostępu do internetu (brak dodatkowych opóźnień),
-raporty i logi zdarzeń, system alarmów i ostrzeżeń.
Nie wolno beztrosko podchodzić do problemu bezpieczeństwa danych w sieci. Użytkownicy korporacyjni mogą stać się celem groźnego ataku. Ataku dokonanego planowo, z premedytacją i w określonym celu. Inwazja taka kończy się często znacznymi stratami finansowymi i utratą prestiżu firmy. Skuteczny atak przekłada się wprost na zaufanie klientów - które to zafanie po takim ataku niełatwo odzyskać.