Bezpieczeństwo – zapory sieciowe

Opracował: Zbigniew Suski

1

Zapory sieciowe

Główne zagadnienia wykładu

Zapora sieciowa jest umieszczana między siecią wewnętrzną organizacji i siecią zewnętrzną.

Dostarcza ona prostego mechanizmu kontroli ilości i rodzaju ruchu sieciowego między obydwoma
sieciami. Podstawowym jej zadaniem jest ograniczenie przepływu danych między tymi sieciami.
Przed postawieniem zapory trzeba określić, jakie rodzaje danych mają być przez nią przepuszczane,
a jakie nie. Czyli trzeba zdefiniować politykę zapory. Następnie należy skonstruować mechanizmy,
które umożliwią wprowadzenie tej polityki w życie.
Podstawowe strategie definiowania zapory:

•

Domyślne przepuszczanie polega na określeniu zbioru warunków, których spełnienie będzie

powodowało blokowanie danych. Każdy host lub protokół nie objęty tą polityką będzie przepusz-
czany.

•

Domyślne blokowanie polega na określeniu protokołów, które będą mogły przechodzić przez

zaporę oraz hostów, które będą mogły przesyłać przez nią dane i z którymi komputery w sieci
wewnętrznej będą się mogły komunikować. Wszystkie elementy nie objęte definicjami będą blo-
kowane.

Dodatkowe funkcje zapory:

•

Blokowanie

dostępu do całej sieci z określonych miejsc w sieci zewnętrznej.

•

Blokowanie

dostępu określonym użytkownikom do wybranych serwerów i usług.

•

Monitorowanie komunikacji między sieciami. Przykładowo rejestracja końcowych punktów połą-

czeń i ilość przesyłanych danych.

•

Podsłuchiwanie i rejestrowanie komunikacji między sieciami w celu badania przypadków penetra-

cji sieci, wykrywania intruzów i wewnętrznych sabotażystów.

•

Automatyczne szyfrowanie i deszyfrowanie pakietów. Sieć zewnętrzna staje się własnym połą-

czeniem typu WAN (prywatna sieć wirtualna - Virtual Private Network)

Komponenty zapory sieciowej
Dławiki - Urządzenia komputerowe lub komunikacyjne służące do ograniczania przepływu pakietów

między sieciami. Często realizowane za pomocą routerów.

Bramy (hosty bastionowe) - Specjalnie skonstruowane programy, urządzenia lub komputery, które

odpowiadają na połączenia z zewnętrznych sieci i odpowiednio je obsługują.

Programy działające w bramach

•

Sieciowe programy klienckie (telnet, ftp, mosaic ...)

•

Serwery

proxy.

•

Sieciowe programy - serwery.

Podstawowe konfiguracje

•

Host z dwoma portami

•

Filtrowanie pakietów - zapora z jednym dławikiem

•

Ekranowany host - zapora z jednym dlawikiem i jedną bramą

•

Ekranowana

podsieć - zapora z dwoma dławikami i bramą

Bezpieczeństwo – zapory sieciowe

Opracował: Zbigniew Suski

2

Filtrowanie pakietów

Filtry bezstanowe (stateless),
Teoretycznie w takich filtrach decyzja o akceptacji lub odrzuceniu pakietu mogłaby brać pod uwagę
każdy element składowy nagłówka określonego protokołu. Najczęściej jednak filtrowanie oparte jest
na takich polach jak:

•

typ

protokołu (UDP, TCP, ICMP) - ta informacja jest jednak na tyle ogólna, że zwykle dopusz-

cza się wszystkie protokoły,

•

adres

IP,

•

port

TCP/UDP,

•

znacznik

fragmentu,

•

informacja o wyborze trasy (routing źródłowy).

Filtry z badaniem stanu (statefull inspection).

Przechowują informację o stanie całego ruchu przechodzącego przez filtr. Wykorzystują ją do

określania czy pojedynczy pakiet powinien być odrzucony. Filtry takie działają na poziomie warstwy
sieciowej oraz sesji. Informacja jest pobierana z pakietów przepływających podczas nawiązywania
sesji. Umożliwia to odróżnienie poprawnych pakietów zwrotnych od niepoprawnych prób połączeń
lub włamań. Adres gniazda (adres IP i numer portu zwrotnego są zapamiętywane). Zapisy w tablicy
stanów są usuwane gdy przesyłane są pakiety związane z zamknięciem sesji lub po upływie określo-
nego czasu. Jeżeli z zewnątrz przychodzi pakiet, który nie ma pozycji w tablicy stanów , to jest od-
rzucany.

Bezpieczeństwo – zapory sieciowe

Opracował: Zbigniew Suski

3

Bezpieczeństwo - Zapory sieciowe

FIR 02

Sieć zewnętrzna

Zapora sieciowa

Sieć wewnętrzna

Host z dwoma portami

Bezpieczeństwo – zapory sieciowe

Opracował: Zbigniew Suski

4

Bezpieczeństwo - Zapory sieciowe

Dławik

Sieć wewnętrzna

Sieć zewnętrzna

Dławik

Bezpieczeństwo – zapory sieciowe

Opracował: Zbigniew Suski

5

Bezpieczeństwo - Zapory sieciowe

FIR 04

Sieć zewnętrzna

Zapora sieciowa

Sieć wewnętrzna

Dławik

Dławik i brama

Bezpieczeństwo – zapory sieciowe

Opracował: Zbigniew Suski

6

Bezpieczeństwo - Zapory sieciowe

FIR05

Sieć obwodowa

Dwa dławiki i jedna brama

Dławik zewnętrzny

Brama

Sieć zewnętrzna

Dławik wewnętrzny

Zapora sieciowa

Sieć wewnętrzna

Bezpieczeństwo – zapory sieciowe

Opracował: Zbigniew Suski

7

Bezpieczeństwo - zapory sieciowe

FIR 07

Planowanie konfiguracji

☞

Co chronić ?

☞

Czy użyć własnej, czy gotowej zapory ?

☞

Czy kupić usługę monitorowanej zapory ?

☞

Ile pieniędzy wydać

☞

Czy wystarczy proste filtrowanie pakietów ?

☞

Jeśli filtrowanie nie wystarczy, czy potrzebny bę-
dzie dławik, brama, a może jedno i drugie ?

☞

Czy zezwalać na przychodzące połączenia typu
telnet ?

•

Jak weryfikować autentyczność ?

•

Jak chronić się przed podsłuchem haseł ?

☞

Jak nakłonić użytkownika do stosowania zasad
bezpieczeństwa wynikających ze stosowania za-
pory ?

Bezpieczeństwo – zapory sieciowe

Opracował: Zbigniew Suski

8

Serwery proxy

Serwery proxy pośredniczą w przekazywaniu żądań klientów sieci wewnętrznej do sieci ze-

wnętrznej. Pozwala to ukrywać klientów przed badaniem z zewnątrz. Wiele aktualnie dostępnych
pakietów tego typu realizuje również usługi filtrowania pakietów i NAT. Połączenie tych wszystkich
technologii pozwala wyeliminować pewne ataki, którym prawdopodobnie "czyste" proxy nie sprosta-
łoby. Serwery proxy najczęściej związane są z WWW (ze względów historycznych) ale podobnie
działają dla innych usług.

Proxy nasłuchuje zleceń usługi od klientów wewnętrznych i przesyła je w ich imieniu do sieci

zewnętrznej. Po otrzymaniu odpowiedzi z zewnątrz zwraca ją do rzeczywistego klienta.

Bezpieczeństwo - proxy

R - 01

Usługa proxy

Klienci

Interfejs

wewnętrzny

Interfejs

zewnętrzny

Proxy

Serwer

publiczny

żądanie strony

sprawdzenie URL

żądanie strony

przesłanie strony

filtrowanie

strony

przesłanie strony

Bezpieczeństwo – zapory sieciowe

Opracował: Zbigniew Suski

9

Bezpieczeństwo - proxy

R - 02

Zalety proxy

Ukrywanie klienta przed światem zewnętrznym

Blokowanie niebezpiecznych URL

Filtrowanie niebezpiecznej zawartości

(wirusy, konie trojańskie)

Badanie spójności przesyłanej informacji

Eliminacja routingu między sieciami

Zapewnienie pojedynczego punktu dostępu

(nadzorowanie i rejestracja zdarzeń)

Wady proxy

pojedynczy punkt - wrażliwość na awarie

oprogramowanie klienckie musi współpracować z proxy

każda usługa musi mieć proxy

proxy nie chroni systemu operacyjnego

małe bezpieczeństwo konfiguracji domyślnych

zatory

Bezpieczeństwo – zapory sieciowe

Opracował: Zbigniew Suski

10

Literatura:
1. S.Garfinkel, G.Spafford. Practical Unix and Internet Security. O’Reilly & Associates 1996 (tłum.

RM 1997).

2. V.Ahuja. Network & Internet Security. Academic Press 1996 (tłum. MIKOM 1997).
3. D.Atkins. Internet Security: Professional Reference. New Riders Publishing 1997 (tłum. LT&P

1997)

4. L.Klander. Hacker Proof. Jamsa Press, 1997 (tłum. MIKOM 1998).
5. M. Strebe, Ch. Perkins, Firewalls. SYBEX, Inc. 2000, (tłum MIKOM 2000).