Bezpieczeństwo  zapory sieciowe
Zapory sieciowe
Główne zagadnienia wykładu
Zapora sieciowa jest umieszczana między siecią wewnętrzną organizacji i siecią zewnętrzną.
Dostarcza ona prostego mechanizmu kontroli ilości i rodzaju ruchu sieciowego między obydwoma
sieciami. Podstawowym jej zadaniem jest ograniczenie przepływu danych między tymi sieciami.
Przed postawieniem zapory trzeba określić, jakie rodzaje danych mają być przez nią przepuszczane,
a jakie nie. Czyli trzeba zdefiniować politykę zapory. Następnie należy skonstruować mechanizmy,
które umożliwią wprowadzenie tej polityki w życie.
Podstawowe strategie definiowania zapory:
" Domyślne przepuszczanie polega na określeniu zbioru warunków, których spełnienie będzie
powodowało blokowanie danych. Każdy host lub protokół nie objęty tą polityką będzie przepusz-
czany.
" Domyślne blokowanie polega na określeniu protokołów, które będą mogły przechodzić przez
zaporę oraz hostów, które będą mogły przesyłać przez nią dane i z którymi komputery w sieci
wewnętrznej będą się mogły komunikować. Wszystkie elementy nie objęte definicjami będą blo-
kowane.
Dodatkowe funkcje zapory:
" Blokowanie dostępu do całej sieci z określonych miejsc w sieci zewnętrznej.
" Blokowanie dostępu określonym użytkownikom do wybranych serwerów i usług.
" Monitorowanie komunikacji między sieciami. Przykładowo rejestracja końcowych punktów połą-
czeń i ilość przesyłanych danych.
" Podsłuchiwanie i rejestrowanie komunikacji między sieciami w celu badania przypadków penetra-
cji sieci, wykrywania intruzów i wewnętrznych sabotażystów.
" Automatyczne szyfrowanie i deszyfrowanie pakietów. Sieć zewnętrzna staje się własnym połą-
czeniem typu WAN (prywatna sieć wirtualna - Virtual Private Network)
Komponenty zapory sieciowej
Dławiki - Urządzenia komputerowe lub komunikacyjne służące do ograniczania przepływu pakietów
między sieciami. Często realizowane za pomocą routerów.
Bramy (hosty bastionowe) - Specjalnie skonstruowane programy, urządzenia lub komputery, które
odpowiadają na połączenia z zewnętrznych sieci i odpowiednio je obsługują.
Programy działające w bramach
" Sieciowe programy klienckie (telnet, ftp, mosaic ...)
" Serwery proxy.
" Sieciowe programy - serwery.
Podstawowe konfiguracje
" Host z dwoma portami
" Filtrowanie pakietów - zapora z jednym dławikiem
" Ekranowany host - zapora z jednym dlawikiem i jedną bramą
" Ekranowana podsieć - zapora z dwoma dławikami i bramą
Opracował: Zbigniew Suski 1
Bezpieczeństwo  zapory sieciowe
Filtrowanie pakietów
Filtry bezstanowe (stateless),
Teoretycznie w takich filtrach decyzja o akceptacji lub odrzuceniu pakietu mogłaby brać pod uwagę
każdy element składowy nagłówka określonego protokołu. Najczęściej jednak filtrowanie oparte jest
na takich polach jak:
" typ protokołu (UDP, TCP, ICMP) - ta informacja jest jednak na tyle ogólna, że zwykle dopusz-
cza się wszystkie protokoły,
" adres IP,
" port TCP/UDP,
" znacznik fragmentu,
" informacja o wyborze trasy (routing z
ródłowy).
Filtry z badaniem stanu (statefull inspection).
Przechowują informację o stanie całego ruchu przechodzącego przez filtr. Wykorzystują ją do
określania czy pojedynczy pakiet powinien być odrzucony. Filtry takie działają na poziomie warstwy
sieciowej oraz sesji. Informacja jest pobierana z pakietów przepływających podczas nawiązywania
sesji. Umożliwia to odróżnienie poprawnych pakietów zwrotnych od niepoprawnych prób połączeń
lub włamań. Adres gniazda (adres IP i numer portu zwrotnego są zapamiętywane). Zapisy w tablicy
stanów są usuwane gdy przesyłane są pakiety związane z zamknięciem sesji lub po upływie określo-
nego czasu. Jeżeli z zewnątrz przychodzi pakiet, który nie ma pozycji w tablicy stanów , to jest od-
rzucany.
Opracował: Zbigniew Suski 2
Bezpieczeństwo  zapory sieciowe
Bezpieczeństwo - Zapory sieciowe
Host z dwoma portami
Zapora sieciowa
Sieć zewnętrzna
Sieć wewnętrzna
FIR 02
Opracował: Zbigniew Suski 3
Bezpieczeństwo  zapory sieciowe
Bezpieczeństwo - Zapory sieciowe
Dławik
Sieć zewnętrzna
Dławik
Sieć wewnętrzna
Opracował: Zbigniew Suski 4
Bezpieczeństwo  zapory sieciowe
Bezpieczeństwo - Zapory sieciowe
Dławik i brama
Zapora sieciowa
Sieć zewnętrzna
Dławik
Sieć wewnętrzna
FIR 04
Opracował: Zbigniew Suski 5
Bezpieczeństwo  zapory sieciowe
Bezpieczeństwo - Zapory sieciowe
Dwa dławiki i jedna brama
Brama
Sieć zewnętrzna
Dławik zewnętrzny
Sieć obwodowa
Zapora sieciowa
Dławik wewnętrzny
Sieć wewnętrzna
FIR05
Opracował: Zbigniew Suski 6
Bezpieczeństwo  zapory sieciowe
Bezpieczeństwo - zapory sieciowe
Planowanie konfiguracji
Co chronić ?
Czy użyć własnej, czy gotowej zapory ?
Czy kupić usługę monitorowanej zapory ?
Ile pieniędzy wydać
Czy wystarczy proste filtrowanie pakietów ?
Jeśli filtrowanie nie wystarczy, czy potrzebny bę-
dzie dławik, brama, a może jedno i drugie ?
Czy zezwalać na przychodzące połączenia typu
telnet ?
" Jak weryfikować autentyczność ?
" Jak chronić się przed podsłuchem haseł ?
Jak nakłonić użytkownika do stosowania zasad
bezpieczeństwa wynikających ze stosowania za-
pory ?
FIR 07
Opracował: Zbigniew Suski 7
Bezpieczeństwo  zapory sieciowe
Serwery proxy
Serwery proxy pośredniczą w przekazywaniu żądań klientów sieci wewnętrznej do sieci ze-
wnętrznej. Pozwala to ukrywać klientów przed badaniem z zewnątrz. Wiele aktualnie dostępnych
pakietów tego typu realizuje również usługi filtrowania pakietów i NAT. Połączenie tych wszystkich
technologii pozwala wyeliminować pewne ataki, którym prawdopodobnie "czyste" proxy nie sprosta-
łoby. Serwery proxy najczęściej związane są z WWW (ze względów historycznych) ale podobnie
działają dla innych usług.
Proxy nasłuchuje zleceń usługi od klientów wewnętrznych i przesyła je w ich imieniu do sieci
zewnętrznej. Po otrzymaniu odpowiedzi z zewnątrz zwraca ją do rzeczywistego klienta.
Bezpieczeństwo - proxy
Usługa proxy
Serwer
publiczny
Interfejs Interfejs
wewnętrzny zewnętrzny
Proxy
Klienci
żądanie strony
sprawdzenie URL
żądanie strony
filtrowanie
przesłanie strony
strony
przesłanie strony
R - 01
Opracował: Zbigniew Suski 8
Bezpieczeństwo  zapory sieciowe
Bezpieczeństwo - proxy
Zalety proxy
Ukrywanie klienta przed światem zewnętrznym
Blokowanie niebezpiecznych URL
Filtrowanie niebezpiecznej zawartości
(wirusy, konie trojańskie)
Badanie spójności przesyłanej informacji
Eliminacja routingu między sieciami
Zapewnienie pojedynczego punktu dostępu
(nadzorowanie i rejestracja zdarzeń)
Wady proxy
pojedynczy punkt - wrażliwość na awarie
oprogramowanie klienckie musi współpracować z proxy
każda usługa musi mieć proxy
proxy nie chroni systemu operacyjnego
małe bezpieczeństwo konfiguracji domyślnych
zatory
R - 02
Opracował: Zbigniew Suski 9
Bezpieczeństwo  zapory sieciowe
Literatura:
1. S.Garfinkel, G.Spafford. Practical Unix and Internet Security. O Reilly & Associates 1996 (tłum.
RM 1997).
2. V.Ahuja. Network & Internet Security. Academic Press 1996 (tłum. MIKOM 1997).
3. D.Atkins. Internet Security: Professional Reference. New Riders Publishing 1997 (tłum. LT&P
1997)
4. L.Klander. Hacker Proof. Jamsa Press, 1997 (tłum. MIKOM 1998).
5. M. Strebe, Ch. Perkins, Firewalls. SYBEX, Inc. 2000, (tłum MIKOM 2000).
Opracował: Zbigniew Suski 10