Firewall czyli sciana ognia . Lukasz Ziolkowski

Lukasz Ziolkowski
Firewall czyli sciana ognia .


Firewall to jeden z wielu sposobow zabezpieczajaca jedna siec przed
negatywnymi wplywami drugiej sieci . Zabezpieczenie takie mozemy
uzyskac stosujac wiele mechanizmow , lecz zawsze stosujemy dwa glowne :
- jeden do blokowania ruchu ,
- drugi dla przepuszczania ( zezwolenia ) ruchu ,
przychodzacego i generowanego przez nasza ( chroniona ) siec .
Niektorzy stawiaja nacisk na mechanizmy blokujace inni na zezwalajace .
Problem stal sie szczegolnie istotny kiedy wiele kompanii chce podlaczyc

swoje sieci do Internetu , bezpiecznie , bez ryzyka na utrate lub uszkodzenie
zasobow . Dla duzych przedsiebiorstw nie marginalne znaczenie ma bariera
finansowa przedsiewziecia - najwieksza bariera jest obawa o bezpieczenstwo.
Firewall w takim przypadku jest dobrym rozwiazaniem chroniacym siec
i umozliwiajacym jednoczesnie bezpieczniejsze nia zarzadzanie.



Przed zainstalowaniem firewall ęa musimy podjac szereg decyzji :
1) Jaki poziom kontroli nad ruchem chcemy uzyskac :
- jakie uslugi maja byc
*monitorowane
*dozwolone
*zabronione

2) Finansowe :
- np. kompletny firewall kosztuje 100,000 $ oraz czas pracy aby go
skonfigurowac .

- zaimplementowanie mechanizmu trwa wiele miesiecy i zwiazane jest na

z wydatkami pensje dla zatrudnionych pracownikow ,

- musimy wziac pod uwage , ze nie jest tu najwazniejszy koszt fw , ale

pozniejsze koszty dodatkowe, zwiazanie z koniecznoscia nowych programow

nadzorujacych dla nowych aplikacji .



3) Techniczne . Mamy do wyboru rozne mechanizmy ,programy , konfiguracje ,

rozwiazania :



- Packet-filter gateway , packet level filtering ( filtr pakietow ) :



W mechanizmie fw mamy do czynienia z rutingiem ruchu pomiedzy zewnetrzna

siecia a wewnetrzna ( chroniona ) . W tym przypadku odbywa sie on na

poziomie IP (sieciowym) poprzez ruter . Jest to ruter blokujacy lub

zezwalajacy na komunikacje z siecia chroniona stosujac screening

rules czyli filtr . Filtr taki zapisany jest w formie Access Control

List ( ACL ) . Jest to lista bedaca zbiorem warunkow

i odpowiadajacych im akcji wyszczegolnionych w okreslonym porzadku

prowadzacych do podjecia decyzji czy dany pakiet jest dozwolony czy

tez ma byc odrzucony . Niekiedy zasady filtrowania powiazane sa z

pozycjami w tablicy routingu co pozwala na zastosowanie pewnych
zasad dla wiekszej grupy adresow ( uzytkownikow ) a potem zasad

bardziej specyficznych ( w miare jak router szuka adresow na
poziomie podsieci itp.).
Ponizej przedstawiono przykladowa ACL dla routera Cisco pracujacego
jako screening router pomiedzy siecia chroniona klasy B o adresie IP
128.88.0.0 a Internetem , z ktorym jest ona polaczona poprzez jedna
ze swoich podsieci 128.88.254.0 .
Zakladamy, ze:
* pakiet jest testowany do momentu znalezienia pierwszej reguly , ktora
go wyklucza ,
*na koncu listy znajduje sie regula blokujaca wszelki ruch ( wedlug
filozofii - co nie jest jasno okreslone jako dozwolone jest zabronione),
*ruch pomiedzy zewnetrznym gateway'em a siecia chroniona jest dozwolony,
*dozwolone sa polaczenia inicjowane z sieci chronionej ,
*dozwolone jest wiele polaczen FTP do sieci chronionej .
Utworzona z ww. zalozeniami ACL wyglada nastepujaco :


3 interface Ethernet 0

4 ip address 128.88.1.1 255.255.255.0

5 ip access-group 10

Definiujemy interfejs routera dla sieci zewnetrznej.
Dostep do tego interfejsu definiuje przypisana do niego lista nr 10.
Reguly w niej zapisane beda stosowane do pakietow wchodzacych do sieci
chronionej .


6 !
7 interface Ethernet 1
8 ip address 128.88.254.3 255.255.255.0
9 ip access-group 11
10 !

Definiujemy interfejs routera dla sieci wewnetrznej . Dostep do tego
interfejsu definiuje przypisana do niego lista nr 11 . Reguly w niej
zapisane beda stosowane do pakietow wychodzacych z sieci chronionej

11 access-list 10 permit ip 128.88.254.2 0.0.0.0
128.88.0.0 0.0.255.255
Zezwolenie na ruch od gatewaya do sieci chronionej .
12 access-list 10 deny tcp 0.0.0.0 255.255.255.255
128.88.0.0 0.0.255.255 lt 1025
13 access-list 10 deny tcp 0.0.0.0 255.255.255.255
128.88.0.0 0.0.255.255 gt 4999
14 access-list 10 permit tcp 0.0.0.0 255.255.255.255
128.88.0.0 0.0.255.255
15 !
Zezwolenie na polaczenia pochodzace z sieci zewnetrznej przychodzacych na
porty od 1024 do 5000.Jest to zezwolenie dla pakietow FTP przychodzacych
do sieci chronionej w odpowiedzi na pakiety z niej wyslane .
16 access-list 11 permit ip 128.88.0.0 0.0.255.255
128.88.254.2 0.0.0.0
17 access-list 11 deny tcp 128.88.0.0 0.0.255.255

0.0.0.0 255.255.255.255 eq 25

18 access-list 11 permit tcp 128.88.0.0 0.0.255.255

0.0.0.0 255.255.255.255




Oprocz ww. mamy mozliwosc sprawdzenia i zadania warunkow na :

- adres IP nadawcy , adres IP odbiorcy ,

- typ pakietu ( TCP , UDP ) ,

- numer portu zrodlowego oraz numer portu przeznaczenia ,

wykorzystujac ponizej przedstawione informacje zawarte w segmencie TCP:





numer portu zrodlowego

NUMER PORTU DOCELOWEGO

numer kolejnego segmentu danych

numer nastepnego oktetu danych biegnacych w strone przeciwna

dlugosc naglowka

rozmiar okna

suma kontrolna

wskaznik konca pilnych danych

pole dla negocjacji warunkow polaczenia

dopelnienie do 32 bajtow

dane ......




,oraz w pseudo-header TCP :



ADRES IP NADAWCY
ADRES IP ODBIORCY

protokol

dlugosc pakietu TCP



- z jakiego interfejsu sieciowego routera dany pakiet ma byc wyslany

i na jaki interfejs w danym polaczeniu dany pakiet ma przyjsc .

Wiaze sie z to z faktem , ze router posiada roznego rodzaju interfejsy ,

rozrozniane czy to ze wzgledu na rodzaj protokolu obslugiwanego na

danym interfejsie czy tez na fakt , ze jest to interfejs ( polaczenie )

przeznaczony dla sieci wewnetrznej czy zewnetrznej . Dla kazdego

interfejsu mamy na routerze zestaw filtrow wejsciowych i wyjsciowych.

Filtr wejsciowy sluzy dla kontroli pakietow przychodzacych na dany

interfejs , wyjsciowy dla sprawdzenia wychodzacych . Zabezpiecza to

przed proba podmiany pakietow ( spoofing ) dla danego polaczenia ,

(np. pakiet posiadajacy adres zrodlowy wewnetrzny dla danej sieci

przychodzacy na zewnetrzny interfejs routera zostanie odrzucony ) .

Stosuje sie zasade , ze pakiet powinien podlegac filtracji jak

najwczesniej ( na interfejsie wejsciowym ) , bo rozwiazanie polegajace

na filtracji na wyjsciu routera jest nie efektywnie ze wzgledu na szybkosc

dzialania mechanizmu .

Jesli odrzucamy pakiet to mozemy nic nie robic lub uzywajac ICMP

( Internet Control Message Protocol ) - protokolu warstwy sieciowej -

przeslac do nadawcy wiadomosc o zniszczeniu jego pakietu .



Wady tego zastosowania :


- odkrycie wewnetrznej struktury adresacji IP co jest zwiazane z ujawnieniem

wewnetrznej fizycznej struktury sieci ,

- ograniczone mozliwosci nadzoru i raportowania , autoryzacji dostepu -

jednoznacznego rozpoznania uzytkownika ,

- mozliwa jest podmiana ( spoofing ) pakietow oraz zamiana ich trasy

( redirection ) ,

- komplikacja z fragmentacja wiadomosci . Np. zalozmy , ze router stoi

pomiedzy siecia Ethernet i ringiem FDDI . Pakiet FDDI jest duzo

wiekszy niz ramka Ethernetu . Zadaniem routera bedzie podzial przychodzacych

pakietow FDDI i wpasowywanie ich w ramke Ethernet'u , ktorej format

przedstawiono na ponizszym rysunku . Tylko pierwsza ramka w sieci wewnetrznej

Ethernet bedzie posiadala naglowki protokolu wyzszego rzedu ( TCP / UDP )

przydzielone oryginalnemu pakietowi.

W zwiazku z tym decyzja o routingu calej wiadomosci , ze wzgledu na

adresy IP , typ pakietu , numer portu i inne wazne informacje bedzie musiala

byc podjeta na podstawie pierwszego fragmentu informacji . Ramka Ethernet :





bity synchronizacji 64 bity

adres MAC nadawcy 48 bitow

adres MAC odbiorcy 48 bitow

rodzaj protokolu warstwy wyzszej 16 bitow

dane FRAGMENTY RAMKI TCP/IP 368-12000 bitow

suma kontrolna 32 bity




Jesli jest on dozwolony to reszta tez jest dozwolona , jesli zostanie

odrzucony odrzucony to odbiorca i tak nie poklada wiadomosci ( zostanie ona

zniszczona przez komputer docelowy ) . Innym sposobem jest zatrzymanie pierwszego

fragmentu a wiec i cale informacji w buforze (cache) i podejmowanie decyzji

indywidualnie na podstawie szerszej w tym przypadku informacji , co nazywamy

"filtrowaniem kontekstowym ".

Istnieje tutaj takze zagrozenie tajnosci danych w naszej sieci , ze

wzgledu na jej wewnetrznych uzytkownikow . Ktos moze sprobowac wykorzystac

wyzej opisana wade do wyplywu chronionej informacji poza siec przez wygenerowanie

falszywych fragmentow nieistniejacego pakietu i zlozenie ich w uzyteczna

informacje na zewnatrz .

- brak zabezpieczenia dla uslug bezpolaczeniowych


UDP sprawia najwiecej klopotow gdyz jedynym kryterium ( screening rule )

jest tutaj numer portu zrodla , na ktorego autentycznosc nie mamy wplywu .

Ponizej przedstawiono informacje zawarta w pakiecie UDP :



numer portu zrodlowego

numer portu docelowego

dlugosc wiadomosci

suma kontrolna

dane ....



Na podstawie wiadomosci w nim zawartych nie jestesmy w stanie stwierdzic,

czy przychodzacy do nas pakiet jest odpowiedzia na wyslany wczesniej

przez uzytkownika , czy tez jest pakietem niedozwolonym .


FTP jak wiemy uzywa portu numer 21 dla sluchania nadchodzacych

wywolan uslugi transferu plikow . Takie otwarcie jest bardzo niebezpieczne dla

naszej maszyny . Jednym z stosowanych tutaj rozwiazań jest blokada tzw .

nieuprzywilejowanych portow to znaczy portow o numerach ponizej 1024 . Jednak

skutkiem tego komputery naszej sieci zostana pozbawione mozliwosci bycia

serverami FTP ( nikt z zewnatrz nie bedzie w stanie transferowac z nich plikow)

i beda mogly pelnic wylacznie funkcje klientow FTP .


DNS to najniebezpieczniejsza usluga . Musi ona byc dostepna dla

wszystkich komputerow naszej sieci jesli chcemy dac im mozliwosc komunikacji

ze swiatem zewnetrznym . Nasz nameserver systemu DNS musi takze byc dostepny

dla komputerow z zewnatrz , jesli chcemy aby nasza siec byla "widziana"

przez Internet . DNS uzywa protokolu UDP dla transportu swoich wiadomosci .

Ponizej przedstawiono informacje zawarte w naglowku :





POLE DLA KOJARZENIA PYTAN I ODPOWIEDZI

TYP WIADOMOSCI , RODZAJ ZAPYTANIA ITP.

liczba pozycji w polu pytan

liczba pozycji w polu odpowiedzi

liczba pozycji w polu nazw serverow

liczba pozycji w polu informacji dodatk

pole pytan

pole odpowiedzi

pole z nazwami autoryzowanych nameserverow danej poddomeny

pole informacji dodatkowej




Do grupy innych uslug stanowiacych zagrozenie dla bezpieczenstwa sieci

chronionej i trudnych dla wspolpracy z mechanizmami firewall'ow naleza

takze X_Windows'y , oraz protokol okienkowy X11 .

- brak narzedzi do testowania i debbuging'u ,

- niemoznosc efektywnej wspolpracy z mechanizmami wykorzystujacymi

mechanizmy Remote Procedure Call np. Network File System .



- Application gateway :


Stosujemy tutaj jest ruting w warstwie aplikacji .Uzywamy tutaj tzw . proxy

gateways na ktorych ustawiamy tzw. proxy services czyli dedykowany dla

poszczegolnych aplikacji software , ktory spelnia role posrednika ,

agenta ( proxy ) pomiedzy oprogramowaniem pracujacym w sieci chronionej

i wymieniajacym informacje z oprogramowaniem na zewnatrz . Proxy server

( application gateway , forwarder ) analizuje kazda informacje .

Jesli spelnia ona zdane kryteria i jesli funkcjonuje aplikacja ,

dla ktorej informacja jest przeznaczona przekazuje ja do adresata

w sieci chronionej .


Zalety i zasada dzialania :


-application gateway posiada ( jako jedyny w calej sieci wewnetrznej )

adres IP , ktory jest dostepny na zewnatrz ( maskowanie struktury sieci ,

cala siec moze byc podlaczona do Internetu za pomoca jednego adresu IP )

- zapewnia mozliwosc dokladnej autoryzacji , dokladny monitoring .

- mozliwosc wszechstronnego analizowania informacji ( zaleznie od aplikacji ).



Stosowane kryteria dla podjecia decyzji o legalnosci informacji :


*wyszukiwanie fragmentow informacji powszechnie uznanych za niebezpieczne

przez porownywanie ze wzorcem ,

*mozliwosc stosowania metod heurystycznych dla analizy informacji ,

*restrykcje na format przesylanych danych ( dane tylko w plikach o konkretnej

strukturze moga byc przesylane przez proxy ) ,

*jesli procedury monitorujace zauwaza , ze klient lub server sa otwarte na

atak , poniewaz komunikuja sie w sposob "niebezpieczny " to ten sposob

wymiany iformacji zostaje zabroniony .

*restrykcje na obszar systemu plikowego . Oprogramowanie client / server

moze dzialac tylko w okreslonej przestrzeni systemu plikowego ,

*zabezpieczenie typu DTE ( Domain and Ttype Enforcment ) . Zapewnia maximum

elastycznosci i wysoki stopien bezpieczeństwa . Jest to rozproszony system

zabezpieczen, jednak jego podstawowa czescia jest eksperymentalna wersja

systemu UNIX . W systemie tym atrybuty typu byly by przypisane poszczegolnym

obiektom systemowym ( plikom , pakietom ) . System zezwalalby tylko na

takie procesy , w wyniku ktorych zachodzila by interakcja wylacznie

pomiedzy okreslonymi typami obiektow . Jest to dobry sposob na

zaimplementowanie systemow z rygorami bezpieczenstwa dopasowanymi

do poszczegolnych obiektow systemowych ( uzytkownikow ,aplikacji,serwerow ).

Projekt ten prowadzony jest przez firme Trusted Information Systems

( http: // www .tis.com ) . Informacja pochodzi z pliku Security and WWW

napisanego przez Mr. David I. Dalva ( dave@tis.com ) z ww. firmy

w czerwcu '94 roku .



Wady :


- niektore implementacje sa nieprzezroczyste dla uzytkownikow ( np. wymagaja

logowania sie na proxy serverze , uruchomienia na nim programu dla dalszej

komunikacji czasami instalowania na maszynie klienta specjalnego oprogramowania

do pracy z dana aplikacja ,

-drogie i trudne w implementacji ( z powodu dzialania w wysokiej warstwie

aplikacji )

- trudne w konfiguracji ( dla kazdego rodzaju kontrolowanej uslugi potrzebny

jest odrebny program ) ,

-ogranicza sie liczbe uslug , ktore moga byc swiadczone w systemie

chronionym tylko do tych dla ktorych mamy software posredniczacy ,

-powoduje spowolnienie przeplywu danych ( kazdy pakiet musi przejsc dwa

razy przez wszystkie warstwy protokolu ) ,

- powoduje spadek wydajnosci maszyny uzytkownika pracujacej jako gateway .

W niektorych prymitywnych implementacjach analiza zawartosci pakietow

odbywa sie w przestrzeni uzytkownika . Przez prymitywne implementacje rozumiem

taki software , ktory zostal napisany dla np .zabezpieczenia pojedynczego

stanowiska , aplikacji lub tez sytuacje kiedy system chroniony nie

posiada dedykowanych do zabezpieczenia go maszyn ( proxy serverow ) ,

- maszyny te musza znac protokol uzywany w sieci i musza miec specjalnie

zaimplementowane zabezpieczenia dla wszystkich aplikacji ( np. zezwalac

na strumien wyjsciowy FTP , blokowac przychodzacy ruch FTP ) .



Praktycznie stosowane konfiguracje architektury firewall :



Fw na ruterze - ruter filtrujacy - screening router :

Oprogramowanie postawione jest na routerze monitorujacym ( screening router )

lub jego substytucie , ktorego glownym zadaniem jest ochrona danych w chronionej

sieci . Jest on jedynym fizycznym polaczeniem pomiedzy siecia chroniona

a zewnetrzna .Pracuje on w warstwie sieci selekcjonujac ruch - filtrujac

pakiety - w zaleznosci od adresu IP ( warstwa sieci ) ,oraz adresu MAC

(warstwa lacza danych ) nadawcy lub odbiorcy . Zabezpieczenie to jest



przykladem zastosowania opisanego juz wczesniej mechanizmu packet filtering.

Wynikaja z tego wszystkie jego wady i zalety tej architektury , ktora jest

uwazana za dobre zabezpieczenie "na pierwsza linie obrony " . Mechanizm ten

nie jest natomiast uwazany za bezpieczny jesli jest stosowany bez

dodatkowych zabezpieczen .




Bastion host ( wezel ochronny ) :

To dosyc ogolne okreslenie opisuje wezel sieci , za pomoca ktorego

komunikuje sie ona ze swiatem zewnetrznym. Jest on wiec szczegolnie narazony

na ataki z zewnatrz . Dlatego powinien byc to silny punkt sieci szczegolowo

monitorowany przez administratora . Oprogramowanie i konfiguracja komputera-

twierdzy jest specjalnie nastawiona na podniesienie poziomu zabezpieczen

systemowych . Rozwiazanie stosuje sie dla ochrony serwerow sieci prywatnej

przed nieautoryzowanym dostepem .



Dual-Homed Gateway ( jedna z mozliwych realizacji konfiguracji bastion host ) :

Fw pracujacy na bastion-host z dwoma interfejsami sieciowymi . Jeden z nich

dla sieci chronionej drugi dla zewnetrznej . Ruch na w warstwie sieciowej jest

zablokowany co oznacza ,ze nie mozliwe jest bezposrednie przesylanie pakietow

miedzy interfejsami sieciowymi . Jedyny rodzaj przepuszczanego ruchu to



generowany przez wyszczegolnione aplikacje w warstwie aplikacji , po

wczesniejszym zalogowaniu sie na komputerze posredniczacym. Struktura sieci

wewnetrznej i jej adresacja jest maskowana przez gateway .

Jest to przyklad zastosowania czystego mechanizmu application gateway .



Screened Host Gateway :

Konfiguracja ta opiera sie na wspolpracy rutera filtrujacego pakiety

i komputera - twierdzy . Komputer pracuje w wewnetrznej , chronionej sieci ,

natomiast ruter tak reguluje dostep z zewnatrz , aby ten komputer byl

jedynym widzianym i dostepnym w sieci prywatnej od strony sieci publicznej .

Odbywa sie to dzieki filtracji pakietow docierajacych do rutera . Dla

uzytkownikow zewnetrznych jedynym znanym adresem IP jest adres komputera-

twierdzy dzieki czemu nie ujawniamy struktury adresacji w sieci wewnetrznej

- struktury tej sieci .



Jest to przyklad syntezy obu podstawowych mechanizmow zabezpieczenia ( packet

filtering, screening - wykonywane przez router i application gateway - ktorego

role spelnia host gateway ) .



Screened Subnet ( Podsiec realizujaca filtracje pakietow ) :

Architektura fw , w ktorej pomiedzy chronia siecia a siecia zew znajduje sie

martwa strefa , gdzie ruch pomiedzy sieciami jest czesciowo blokowany .



W sklad tej konfiguracji wchodzi Dual-homed gateway podlaczony do dwoch

ruterow , z ktorych jeden laczacy go z siecia chroniona a drugi z zewnetrzna.

Gateway separuje ruch przechodzacy przez oba rutery filtrujace pakiety .

Na gateway'u mozemy umiescic informacje o firmie , pliki , serwery

i urzadzenia , ktore chcemy udostepnic .



Application Level Gateway " proxy gateway" :

Rola gatewaya polega na softwearowym separowaniu sieci . Oprogramowanie

proxy gateway'a odbiera pakiety z zewnatrz i przekazuje do sieci chronionej .

Mechanizm ten jest szczegolnie czesto stosowany dla uslug, mogacych dzialac

na zasadzie "store'n'forward" . Mozemy postawic wiele proxy services na

roznych maszynach zawierajacych oprogramowanie dedykowane dla poszczegolnych

aplikacji ( np . e-mail ) . Mechanizm ten spowalnia komunikacje lecz

jest "przezroczysty" dla uzytkownika i nie wymaga logowania sie na proxy

w odroznieniu do dual homed gateway .




Przyklad - oprogramowanie FireWall-1 ( dystrybucja Sun Microsystems

wyprodukowane przez Check Point Sftware Technologies ) :


Ostatnia wersja Fw-1.2 pochodzi z Marca '95 .

Platforma sprzetowa : Intel x86 lub SunSPARC

System operacyjny : SunOS lub Solaris

Miejsce na dysku : 10 Mb

Pamiec : 16 Mb

Cena : do 50 maszyn w sieci 5000$ , powyzej 19000$


Struktura oprogramowania :

Stacja z oprogramowaniem fw-1 pracuje jako router miedzy siecia chroniona a

zewnetrzna ( reszta swiata np . Internet ) . Fw-1 sklada sie z dwoch

podstawowych elementow :


- modulow filtrujacych - znajdujacych sie najczesciej na glownym gatewayu -

oddzielajacym siec glowna od np. Internetu lub na wazniejszych serwerach

wymagajacych zaostrzonej kontroli dostepu . Moduly pracujace na poszczegolnych

maszynach pracuja niezaleznie od centrum zarzadzajacego ( zainstalowanego

w stacji administratora sieci ) sa natomiast wyposazane w zestaw reguly

filtrowania i monitorowanie .

Jest to odpowiednik rozproszonego mechanizmu packet filtering . W tym

przypadku moze nie wystapic dedykowany dla filtrowania router .

Kazda maszyna o wymagajaca zaostrzonego bezpieczenstwa dzieki modulowi

filtrujacemu sama dla siebie pelni role routera filtrujacego . Oczywiscie

jeden z modulow filtrujacych moze byc w szczegolnosci zainstalowany na

gateway'u laczacym siec chroniona z publiczna .

- modulu kontrolnego ( centrum zarzadzania ) ,



Mechanizm filtrowania :

Modul filtrujacy znajdujacy sie na maszynie pracujacej jako

gateway lub na chronionym serwerze ladowany jest do obszaru jadra systemu

operacyjnego . Mechanizm filtrowania dziala pomiedzy druga a trzecia

warstwa modelu OSI ( lacza danych , sieci ) Wchodzace i wychodzace

z chronionej maszyny pakiety czytane sa na poziomie warstwy lacza danych

( z interfejsu sieciowego tej warstwy ) . Nastepnie dokonywana jest ich

analiza i porownanie z ustalonymi regulami . Nielegalny pakiet zostaje

niszczony na poziomie warstwy lacza danych ( nie dociera wyzej co

zwieksza szybkosc i wydajnosc filtrowania ) . Zawartosc pakietu moze byc

analizowana na wszystkich poziomach modelu ISO stosujac opatentowana przez

CheckPoint technologie "multi layer packet inspection " .

Dotychczas stosowane sposoby filtrowania nie zapewnialy bezpieczenstwa

przy komunikacji bezpolaczeniowej (connectionless np. User Datagram

Protocol ) . Filtry nie odroznialy pakietow sesji od pakietow nielegalnych .

Po zainicjowaniu polaczenia UDP klient oczekujacy na odpowiedz serwera

(np. NFS , DNS , Archie ) byl otwarty na atak . Mozna bylo nic nie

przepuscic lub przepuscic wszystkie pakiety .

Fw-1 pamieta wszystkie pakiety wychodzace . Przychodzace sa akceptowane

tylko wtedy gdy sa odpowiedzia na wczesniej zadane pytanie ( tzn. pakiet

skierowany do i z odpowiedniego numeru portu ) .

Na przyklad dla FTP klient czekajacy na odpowiedz otwiera szereg

portow o wysokich numerach > 1023 , aby umozliwic serwerowi powrotne

polaczenie . Fw-1 analizuje pakiet na poziomie aplikacji FTP i pamieta

zapytanie klienta ( komende portu uslugi FTP ) . OdpowiedZ jest porownywana

z lista wyslanych pytań i odpowiedzi na konkretne zapytania skierowane na

konkretny port zostaja zaakceptowane ( dostepny jest tylko jeden port na

tylko czas polaczenia ) .

Bezpieczenstwo na poziomie protokolow transportowych implikuje bezpieczenstwo

dzialania aplikacji warstw wyzszych ( Nescape , Gopher ) .


Ponadto fw-1 :

- zapewnia elastyczne reguly dostepu ( nie na zasadzie wszystko albo nic

raczej co nie dozwolone jest zabronione ) ,

- mozliwosc latwej kontroli nad nowymi uslugami sieciowymi ( dzieki budowie

obiektowej - komputery , podsieci , uslugi sieciowe widziane sa jako obiekty

latwo redefiniowalne ) ,

- mozliwosc latwej zmiany regul dostepu ( konieczna np. przy zmianie topologii

sieci ) ,

- ma rozbudowane mozliwosci rejestrowania prob nawiazania lacznosci ( rutery

nie ) , co umozliwia identyfikowanie i sledzenie prob ataku ,

- logowanie ma wbudowany timeout tak aby powtarzajace sie proby ataku nie

mogly sparalizowac systemu ,

- ma dolaczony agent Simple Network Menagment System dla wspolpracy z pakietami

zarzadzajacymi siecia .

- niezauwazalnie spowalnia prace komputera i szybkosc sieci ( praca w jadrze

systemu , analiza informacji na niskim poziomie sieci ) .



Screening External Access Link ( SEAL ) firmy Digital :


Rozwiazanie to oferuje to kompleksowe zabezpieczenie naszej sieci . Obejmuje ono

zarowno zabezpieczenia software'owe jak i gotowa konfiguracje hardware'owa .


SEAL sklada sie z trzech systemow zabezpieczajacych:


-gatekeeper
router odpowiedzialny za zabezpieczenie takich funkcji sieci jak e-mail ,

uslug zwiazanych z transferem plikow , serwisem DNS , i innymi uslugami

dla , ktorych jest jedynym dostepnym z zewnatrz punktem . Zabezpiecza

w ten sposob przed niebezpieczenstwami pochodzacymi z zewnatrz sieci

chronionej . Dla zapewnienia maksimum bezpieczeństwa nie powinien sluzyc

do innych celow i byc calkowicie niedostepny dla uzytkownikow ( poza

administratorem )

Pelni zasadnicza role w calym systemie . Nazywany jest trusted application

gateway . Odpowiedzialny jest za spelnianie nastepujacych zadan :

*okreslenie Zrodla zewnetrznego zadania polaczenia ( uslugi )

i sprawdzenie czy jest ono dozwolone . Polega to na sprawdzeniu hosta skad

przychodzi polaczenie i zezwoleniu lub odrzuceniu go zaleznie od regul

zdefiniowanych przez administratora .

*sprawdzanie polecen przesylanych w czasie trwania pewnych polaczen .

Stosuje sie te zabezpieczenia np. dla FTP . Zabezpieczenie polega na

sprawdzaniu komend przesylanych w pakietach FTP . Jesli gateway stwierdzi ,

na podstawie znajomosci protokolu , ze stanowia one zagrozenie dla sieci

wewnetrznej pakiety zostaja odrzucone . Stanie sie tak na pewno , kiedy

uzytkownik sieci zewnetrznej bedzie probowal wykonac niedozwolone komendy

shell'a, lub gdy filter stwierdzi probe przekazania na zewnatrz sieci danych .

* dodatkowa autoryzacja uzytkownika , stosowana zwykle dla takich uslug jak

telnet . Mozemy tutaj regulowac zdalny dostep po miedzy poszczegolnymi hostami

sieci , jak i poszczegolnymi podsieciami skladowymi sieci chronionej .

*zbieranie informacji o logujacych sie uzytkownikach i zdarzeniach na

styku miedzy siecia chroniona a reszta swiata .System zachowuje informacje

o uzytkownikach , polaczeniach wszelkiego rodzaju , nieudanych probach

logowania sie , przesylanej poczcie , wykorzystaniu application gateway'ow.

SEAL uzywa specjalnego srodowiska syslogd zbierajacego obszerna informacje

o stanie i uzytkownikach systemu i przechowywujacego ja w dwoch kopiach

w dwoch roznych miejscach sieci chronionej , co praktycznie uniemozliwia

intruzowi usuniecie sladow swojej dzialalnosci . Informacja w plikach

log jest okresowo porownywana z zdefiniowanymi wzorcami opisujacymi

dzialania niebezpieczne dla sieci . Jesli w danym pliku typu log

system znajdzie fragmenty odpowiadajace schematom wiadomosc o tym przesylana

jest e-mailem do administratora .


-gate

to czesc mechanizmu stosujaca screening rules co do pakietow routowanych

poprzez nia pomiedzy siecia chroniona a Internetem .Poza gatekeeper'em jest

to jedyna czesc sieci widziana z zewnatrz . Jest to glowne zadanie tej czesci

lecz gate moze takze spelniac dodatkowe funkcje .

Mechanizm packet screening tworza :

- kernel-based packet screen

- screened process - odpowiedzialny za egzekwowanie regul filtrowania

zdefiniowanych przez administratora , ktore proces czyta z tabel

konfiguracyjnych , specyfikujacych polaczenia dozwolone i zabronione .

Mozliwe jest tutaj wyszczegolnienie rodzaju polaczenia (TCP , UDP ) ,

numeru portu , adres IP hosta , adresu sieci przeznaczenia i sieci

skad wiadomosc pochodzi.


-mailgate

sluzy jako skrzynka pocztowa dla e-mail adresowanego z sieci wewnetrznej

na zewnatrz , moze swiadczyc uslugi DNS , przechowywac dane o kontach

uzytkownikow sieci chronionej i byc wykorzystywanym takze do innych celow .



SEAL gwarantuje bezpieczenstwo poprzez mechanizmy separujace siec chroniona

od Internetu . Ich zastosowanie uniemozliwia jakiemukolwiek pakietowi

z Internetu przedostanie sie bezposrednio do hosta sieci chronionej .

Polaczenia zewnetrzne dozwolone sa tylko do gatekeeper'a , ktory uzywajac

oprogramowania rozpoznajacego formaty wielu protokolow kontroluje dostep

do sieci wewnetrznej . Polaczenia w odwrotnym kierunku przebiegaja na

podobnej zasadzie , z tym ze administrator dla polaczeń wychodzacych

nie stosuje tak rygorystycznych regul jak dla przychodzacych . Mozemy

takze wyszczegolnic hosty sieci chronionej , lub jej podsieci ( jesli

ma strukture zlozona ) , ktore maja prawo laczenia sie z gatekeeperem .

Dla wszystkich uslug poza FTP i telnetem , ktore wymagaja dodatkowego

logowania , SEAL jest calkowicie przezroczysty . Wnoszone opoznienie

wynosi ( wedlug dokumentacji firmowej ) kilka milisekund .







wszystkie prawa zastrzezone Lukasz Ziolkowski Holoy-Poloy Corpration