Firewall czyli sciana ognia . Lukasz Ziolkowski
Lukasz Ziolkowski
Firewall czyli sciana ognia .
Firewall to jeden z wielu sposobow zabezpieczajaca jedna siec przed
negatywnymi wplywami drugiej sieci . Zabezpieczenie takie mozemy
uzyskac stosujac wiele mechanizmow , lecz zawsze stosujemy dwa glowne :
- jeden do blokowania ruchu ,
- drugi dla przepuszczania ( zezwolenia ) ruchu ,
przychodzacego i generowanego przez nasza ( chroniona ) siec .
Niektorzy stawiaja nacisk na mechanizmy blokujace inni na zezwalajace .
Problem stal sie szczegolnie istotny kiedy wiele kompanii chce podlaczyc
swoje sieci do Internetu , bezpiecznie , bez ryzyka na utrate lub uszkodzenie
zasobow . Dla duzych przedsiebiorstw nie marginalne znaczenie ma bariera
finansowa przedsiewziecia - najwieksza bariera jest obawa o bezpieczenstwo.
Firewall w takim przypadku jest dobrym rozwiazaniem chroniacym siec
i umozliwiajacym jednoczesnie bezpieczniejsze nia zarzadzanie.
Przed zainstalowaniem firewall ęa musimy podjac szereg decyzji :
1) Jaki poziom kontroli nad ruchem chcemy uzyskac :
- jakie uslugi maja byc
*monitorowane
*dozwolone
*zabronione
2) Finansowe :
- np. kompletny firewall kosztuje 100,000 $ oraz czas pracy aby go
skonfigurowac .
- zaimplementowanie mechanizmu trwa wiele miesiecy i zwiazane jest na
z wydatkami pensje dla zatrudnionych pracownikow ,
- musimy wziac pod uwage , ze nie jest tu najwazniejszy koszt fw , ale
pozniejsze koszty dodatkowe, zwiazanie z koniecznoscia nowych programow
nadzorujacych dla nowych aplikacji .
3) Techniczne . Mamy do wyboru rozne mechanizmy ,programy , konfiguracje ,
rozwiazania :
- Packet-filter gateway , packet level filtering ( filtr pakietow ) :
W mechanizmie fw mamy do czynienia z rutingiem ruchu pomiedzy zewnetrzna
siecia a wewnetrzna ( chroniona ) . W tym przypadku odbywa sie on na
poziomie IP (sieciowym) poprzez ruter . Jest to ruter blokujacy lub
zezwalajacy na komunikacje z siecia chroniona stosujac screening
rules czyli filtr . Filtr taki zapisany jest w formie Access Control
List ( ACL ) . Jest to lista bedaca zbiorem warunkow
i odpowiadajacych im akcji wyszczegolnionych w okreslonym porzadku
prowadzacych do podjecia decyzji czy dany pakiet jest dozwolony czy
tez ma byc odrzucony . Niekiedy zasady filtrowania powiazane sa z
pozycjami w tablicy routingu co pozwala na zastosowanie pewnych
zasad dla wiekszej grupy adresow ( uzytkownikow ) a potem zasad
bardziej specyficznych ( w miare jak router szuka adresow na
poziomie podsieci itp.).
Ponizej przedstawiono przykladowa ACL dla routera Cisco pracujacego
jako screening router pomiedzy siecia chroniona klasy B o adresie IP
128.88.0.0 a Internetem , z ktorym jest ona polaczona poprzez jedna
ze swoich podsieci 128.88.254.0 .
Zakladamy, ze:
* pakiet jest testowany do momentu znalezienia pierwszej reguly , ktora
go wyklucza ,
*na koncu listy znajduje sie regula blokujaca wszelki ruch ( wedlug
filozofii - co nie jest jasno okreslone jako dozwolone jest zabronione),
*ruch pomiedzy zewnetrznym gateway'em a siecia chroniona jest dozwolony,
*dozwolone sa polaczenia inicjowane z sieci chronionej ,
*dozwolone jest wiele polaczen FTP do sieci chronionej .
Utworzona z ww. zalozeniami ACL wyglada nastepujaco :
3 interface Ethernet 0
4 ip address 128.88.1.1 255.255.255.0
5 ip access-group 10
Definiujemy interfejs routera dla sieci zewnetrznej.
Dostep do tego interfejsu definiuje przypisana do niego lista nr 10.
Reguly w niej zapisane beda stosowane do pakietow wchodzacych do sieci
chronionej .
6 !
7 interface Ethernet 1
8 ip address 128.88.254.3 255.255.255.0
9 ip access-group 11
10 !
Definiujemy interfejs routera dla sieci wewnetrznej . Dostep do tego
interfejsu definiuje przypisana do niego lista nr 11 . Reguly w niej
zapisane beda stosowane do pakietow wychodzacych z sieci chronionej
11 access-list 10 permit ip 128.88.254.2 0.0.0.0
128.88.0.0 0.0.255.255
Zezwolenie na ruch od gatewaya do sieci chronionej .
12 access-list 10 deny tcp 0.0.0.0 255.255.255.255
128.88.0.0 0.0.255.255 lt 1025
13 access-list 10 deny tcp 0.0.0.0 255.255.255.255
128.88.0.0 0.0.255.255 gt 4999
14 access-list 10 permit tcp 0.0.0.0 255.255.255.255
128.88.0.0 0.0.255.255
15 !
Zezwolenie na polaczenia pochodzace z sieci zewnetrznej przychodzacych na
porty od 1024 do 5000.Jest to zezwolenie dla pakietow FTP przychodzacych
do sieci chronionej w odpowiedzi na pakiety z niej wyslane .
16 access-list 11 permit ip 128.88.0.0 0.0.255.255
128.88.254.2 0.0.0.0
17 access-list 11 deny tcp 128.88.0.0 0.0.255.255
0.0.0.0 255.255.255.255 eq 25
18 access-list 11 permit tcp 128.88.0.0 0.0.255.255
0.0.0.0 255.255.255.255
Oprocz ww. mamy mozliwosc sprawdzenia i zadania warunkow na :
- adres IP nadawcy , adres IP odbiorcy ,
- typ pakietu ( TCP , UDP ) ,
- numer portu zrodlowego oraz numer portu przeznaczenia ,
wykorzystujac ponizej przedstawione informacje zawarte w segmencie TCP:
numer portu zrodlowego
NUMER PORTU DOCELOWEGO
numer kolejnego segmentu danych
numer nastepnego oktetu danych biegnacych w strone przeciwna
dlugosc naglowka
rozmiar okna
suma kontrolna
wskaznik konca pilnych danych
pole dla negocjacji warunkow polaczenia
dopelnienie do 32 bajtow
dane ......
,oraz w pseudo-header TCP :
ADRES IP NADAWCY
ADRES IP ODBIORCY
protokol
dlugosc pakietu TCP
- z jakiego interfejsu sieciowego routera dany pakiet ma byc wyslany
i na jaki interfejs w danym polaczeniu dany pakiet ma przyjsc .
Wiaze sie z to z faktem , ze router posiada roznego rodzaju interfejsy ,
rozrozniane czy to ze wzgledu na rodzaj protokolu obslugiwanego na
danym interfejsie czy tez na fakt , ze jest to interfejs ( polaczenie )
przeznaczony dla sieci wewnetrznej czy zewnetrznej . Dla kazdego
interfejsu mamy na routerze zestaw filtrow wejsciowych i wyjsciowych.
Filtr wejsciowy sluzy dla kontroli pakietow przychodzacych na dany
interfejs , wyjsciowy dla sprawdzenia wychodzacych . Zabezpiecza to
przed proba podmiany pakietow ( spoofing ) dla danego polaczenia ,
(np. pakiet posiadajacy adres zrodlowy wewnetrzny dla danej sieci
przychodzacy na zewnetrzny interfejs routera zostanie odrzucony ) .
Stosuje sie zasade , ze pakiet powinien podlegac filtracji jak
najwczesniej ( na interfejsie wejsciowym ) , bo rozwiazanie polegajace
na filtracji na wyjsciu routera jest nie efektywnie ze wzgledu na szybkosc
dzialania mechanizmu .
Jesli odrzucamy pakiet to mozemy nic nie robic lub uzywajac ICMP
( Internet Control Message Protocol ) - protokolu warstwy sieciowej -
przeslac do nadawcy wiadomosc o zniszczeniu jego pakietu .
Wady tego zastosowania :
- odkrycie wewnetrznej struktury adresacji IP co jest zwiazane z ujawnieniem
wewnetrznej fizycznej struktury sieci ,
- ograniczone mozliwosci nadzoru i raportowania , autoryzacji dostepu -
jednoznacznego rozpoznania uzytkownika ,
- mozliwa jest podmiana ( spoofing ) pakietow oraz zamiana ich trasy
( redirection ) ,
- komplikacja z fragmentacja wiadomosci . Np. zalozmy , ze router stoi
pomiedzy siecia Ethernet i ringiem FDDI . Pakiet FDDI jest duzo
wiekszy niz ramka Ethernetu . Zadaniem routera bedzie podzial przychodzacych
pakietow FDDI i wpasowywanie ich w ramke Ethernet'u , ktorej format
przedstawiono na ponizszym rysunku . Tylko pierwsza ramka w sieci wewnetrznej
Ethernet bedzie posiadala naglowki protokolu wyzszego rzedu ( TCP / UDP )
przydzielone oryginalnemu pakietowi.
W zwiazku z tym decyzja o routingu calej wiadomosci , ze wzgledu na
adresy IP , typ pakietu , numer portu i inne wazne informacje bedzie musiala
byc podjeta na podstawie pierwszego fragmentu informacji . Ramka Ethernet :
bity synchronizacji 64 bity
adres MAC nadawcy 48 bitow
adres MAC odbiorcy 48 bitow
rodzaj protokolu warstwy wyzszej 16 bitow
dane FRAGMENTY RAMKI TCP/IP 368-12000 bitow
suma kontrolna 32 bity
Jesli jest on dozwolony to reszta tez jest dozwolona , jesli zostanie
odrzucony odrzucony to odbiorca i tak nie poklada wiadomosci ( zostanie ona
zniszczona przez komputer docelowy ) . Innym sposobem jest zatrzymanie pierwszego
fragmentu a wiec i cale informacji w buforze (cache) i podejmowanie decyzji
indywidualnie na podstawie szerszej w tym przypadku informacji , co nazywamy
"filtrowaniem kontekstowym ".
Istnieje tutaj takze zagrozenie tajnosci danych w naszej sieci , ze
wzgledu na jej wewnetrznych uzytkownikow . Ktos moze sprobowac wykorzystac
wyzej opisana wade do wyplywu chronionej informacji poza siec przez wygenerowanie
falszywych fragmentow nieistniejacego pakietu i zlozenie ich w uzyteczna
informacje na zewnatrz .
- brak zabezpieczenia dla uslug bezpolaczeniowych
UDP sprawia najwiecej klopotow gdyz jedynym kryterium ( screening rule )
jest tutaj numer portu zrodla , na ktorego autentycznosc nie mamy wplywu .
Ponizej przedstawiono informacje zawarta w pakiecie UDP :
numer portu zrodlowego
numer portu docelowego
dlugosc wiadomosci
suma kontrolna
dane ....
Na podstawie wiadomosci w nim zawartych nie jestesmy w stanie stwierdzic,
czy przychodzacy do nas pakiet jest odpowiedzia na wyslany wczesniej
przez uzytkownika , czy tez jest pakietem niedozwolonym .
FTP jak wiemy uzywa portu numer 21 dla sluchania nadchodzacych
wywolan uslugi transferu plikow . Takie otwarcie jest bardzo niebezpieczne dla
naszej maszyny . Jednym z stosowanych tutaj rozwiazań jest blokada tzw .
nieuprzywilejowanych portow to znaczy portow o numerach ponizej 1024 . Jednak
skutkiem tego komputery naszej sieci zostana pozbawione mozliwosci bycia
serverami FTP ( nikt z zewnatrz nie bedzie w stanie transferowac z nich plikow)
i beda mogly pelnic wylacznie funkcje klientow FTP .
DNS to najniebezpieczniejsza usluga . Musi ona byc dostepna dla
wszystkich komputerow naszej sieci jesli chcemy dac im mozliwosc komunikacji
ze swiatem zewnetrznym . Nasz nameserver systemu DNS musi takze byc dostepny
dla komputerow z zewnatrz , jesli chcemy aby nasza siec byla "widziana"
przez Internet . DNS uzywa protokolu UDP dla transportu swoich wiadomosci .
Ponizej przedstawiono informacje zawarte w naglowku :
POLE DLA KOJARZENIA PYTAN I ODPOWIEDZI
TYP WIADOMOSCI , RODZAJ ZAPYTANIA ITP.
liczba pozycji w polu pytan
liczba pozycji w polu odpowiedzi
liczba pozycji w polu nazw serverow
liczba pozycji w polu informacji dodatk
pole pytan
pole odpowiedzi
pole z nazwami autoryzowanych nameserverow danej poddomeny
pole informacji dodatkowej
Do grupy innych uslug stanowiacych zagrozenie dla bezpieczenstwa sieci
chronionej i trudnych dla wspolpracy z mechanizmami firewall'ow naleza
takze X_Windows'y , oraz protokol okienkowy X11 .
- brak narzedzi do testowania i debbuging'u ,
- niemoznosc efektywnej wspolpracy z mechanizmami wykorzystujacymi
mechanizmy Remote Procedure Call np. Network File System .
- Application gateway :
Stosujemy tutaj jest ruting w warstwie aplikacji .Uzywamy tutaj tzw . proxy
gateways na ktorych ustawiamy tzw. proxy services czyli dedykowany dla
poszczegolnych aplikacji software , ktory spelnia role posrednika ,
agenta ( proxy ) pomiedzy oprogramowaniem pracujacym w sieci chronionej
i wymieniajacym informacje z oprogramowaniem na zewnatrz . Proxy server
( application gateway , forwarder ) analizuje kazda informacje .
Jesli spelnia ona zdane kryteria i jesli funkcjonuje aplikacja ,
dla ktorej informacja jest przeznaczona przekazuje ja do adresata
w sieci chronionej .
Zalety i zasada dzialania :
-application gateway posiada ( jako jedyny w calej sieci wewnetrznej )
adres IP , ktory jest dostepny na zewnatrz ( maskowanie struktury sieci ,
cala siec moze byc podlaczona do Internetu za pomoca jednego adresu IP )
- zapewnia mozliwosc dokladnej autoryzacji , dokladny monitoring .
- mozliwosc wszechstronnego analizowania informacji ( zaleznie od aplikacji ).
Stosowane kryteria dla podjecia decyzji o legalnosci informacji :
*wyszukiwanie fragmentow informacji powszechnie uznanych za niebezpieczne
przez porownywanie ze wzorcem ,
*mozliwosc stosowania metod heurystycznych dla analizy informacji ,
*restrykcje na format przesylanych danych ( dane tylko w plikach o konkretnej
strukturze moga byc przesylane przez proxy ) ,
*jesli procedury monitorujace zauwaza , ze klient lub server sa otwarte na
atak , poniewaz komunikuja sie w sposob "niebezpieczny " to ten sposob
wymiany iformacji zostaje zabroniony .
*restrykcje na obszar systemu plikowego . Oprogramowanie client / server
moze dzialac tylko w okreslonej przestrzeni systemu plikowego ,
*zabezpieczenie typu DTE ( Domain and Ttype Enforcment ) . Zapewnia maximum
elastycznosci i wysoki stopien bezpieczeństwa . Jest to rozproszony system
zabezpieczen, jednak jego podstawowa czescia jest eksperymentalna wersja
systemu UNIX . W systemie tym atrybuty typu byly by przypisane poszczegolnym
obiektom systemowym ( plikom , pakietom ) . System zezwalalby tylko na
takie procesy , w wyniku ktorych zachodzila by interakcja wylacznie
pomiedzy okreslonymi typami obiektow . Jest to dobry sposob na
zaimplementowanie systemow z rygorami bezpieczenstwa dopasowanymi
do poszczegolnych obiektow systemowych ( uzytkownikow ,aplikacji,serwerow ).
Projekt ten prowadzony jest przez firme Trusted Information Systems
( http: // www .tis.com ) . Informacja pochodzi z pliku Security and WWW
napisanego przez Mr. David I. Dalva ( dave@tis.com ) z ww. firmy
w czerwcu '94 roku .
Wady :
- niektore implementacje sa nieprzezroczyste dla uzytkownikow ( np. wymagaja
logowania sie na proxy serverze , uruchomienia na nim programu dla dalszej
komunikacji czasami instalowania na maszynie klienta specjalnego oprogramowania
do pracy z dana aplikacja ,
-drogie i trudne w implementacji ( z powodu dzialania w wysokiej warstwie
aplikacji )
- trudne w konfiguracji ( dla kazdego rodzaju kontrolowanej uslugi potrzebny
jest odrebny program ) ,
-ogranicza sie liczbe uslug , ktore moga byc swiadczone w systemie
chronionym tylko do tych dla ktorych mamy software posredniczacy ,
-powoduje spowolnienie przeplywu danych ( kazdy pakiet musi przejsc dwa
razy przez wszystkie warstwy protokolu ) ,
- powoduje spadek wydajnosci maszyny uzytkownika pracujacej jako gateway .
W niektorych prymitywnych implementacjach analiza zawartosci pakietow
odbywa sie w przestrzeni uzytkownika . Przez prymitywne implementacje rozumiem
taki software , ktory zostal napisany dla np .zabezpieczenia pojedynczego
stanowiska , aplikacji lub tez sytuacje kiedy system chroniony nie
posiada dedykowanych do zabezpieczenia go maszyn ( proxy serverow ) ,
- maszyny te musza znac protokol uzywany w sieci i musza miec specjalnie
zaimplementowane zabezpieczenia dla wszystkich aplikacji ( np. zezwalac
na strumien wyjsciowy FTP , blokowac przychodzacy ruch FTP ) .
Praktycznie stosowane konfiguracje architektury firewall :
Fw na ruterze - ruter filtrujacy - screening router :
Oprogramowanie postawione jest na routerze monitorujacym ( screening router )
lub jego substytucie , ktorego glownym zadaniem jest ochrona danych w chronionej
sieci . Jest on jedynym fizycznym polaczeniem pomiedzy siecia chroniona
a zewnetrzna .Pracuje on w warstwie sieci selekcjonujac ruch - filtrujac
pakiety - w zaleznosci od adresu IP ( warstwa sieci ) ,oraz adresu MAC
(warstwa lacza danych ) nadawcy lub odbiorcy . Zabezpieczenie to jest
przykladem zastosowania opisanego juz wczesniej mechanizmu packet filtering.
Wynikaja z tego wszystkie jego wady i zalety tej architektury , ktora jest
uwazana za dobre zabezpieczenie "na pierwsza linie obrony " . Mechanizm ten
nie jest natomiast uwazany za bezpieczny jesli jest stosowany bez
dodatkowych zabezpieczen .
Bastion host ( wezel ochronny ) :
To dosyc ogolne okreslenie opisuje wezel sieci , za pomoca ktorego
komunikuje sie ona ze swiatem zewnetrznym. Jest on wiec szczegolnie narazony
na ataki z zewnatrz . Dlatego powinien byc to silny punkt sieci szczegolowo
monitorowany przez administratora . Oprogramowanie i konfiguracja komputera-
twierdzy jest specjalnie nastawiona na podniesienie poziomu zabezpieczen
systemowych . Rozwiazanie stosuje sie dla ochrony serwerow sieci prywatnej
przed nieautoryzowanym dostepem .
Dual-Homed Gateway ( jedna z mozliwych realizacji konfiguracji bastion host ) :
Fw pracujacy na bastion-host z dwoma interfejsami sieciowymi . Jeden z nich
dla sieci chronionej drugi dla zewnetrznej . Ruch na w warstwie sieciowej jest
zablokowany co oznacza ,ze nie mozliwe jest bezposrednie przesylanie pakietow
miedzy interfejsami sieciowymi . Jedyny rodzaj przepuszczanego ruchu to
generowany przez wyszczegolnione aplikacje w warstwie aplikacji , po
wczesniejszym zalogowaniu sie na komputerze posredniczacym. Struktura sieci
wewnetrznej i jej adresacja jest maskowana przez gateway .
Jest to przyklad zastosowania czystego mechanizmu application gateway .
Screened Host Gateway :
Konfiguracja ta opiera sie na wspolpracy rutera filtrujacego pakiety
i komputera - twierdzy . Komputer pracuje w wewnetrznej , chronionej sieci ,
natomiast ruter tak reguluje dostep z zewnatrz , aby ten komputer byl
jedynym widzianym i dostepnym w sieci prywatnej od strony sieci publicznej .
Odbywa sie to dzieki filtracji pakietow docierajacych do rutera . Dla
uzytkownikow zewnetrznych jedynym znanym adresem IP jest adres komputera-
twierdzy dzieki czemu nie ujawniamy struktury adresacji w sieci wewnetrznej
- struktury tej sieci .
Jest to przyklad syntezy obu podstawowych mechanizmow zabezpieczenia ( packet
filtering, screening - wykonywane przez router i application gateway - ktorego
role spelnia host gateway ) .
Screened Subnet ( Podsiec realizujaca filtracje pakietow ) :
Architektura fw , w ktorej pomiedzy chronia siecia a siecia zew znajduje sie
martwa strefa , gdzie ruch pomiedzy sieciami jest czesciowo blokowany .
W sklad tej konfiguracji wchodzi Dual-homed gateway podlaczony do dwoch
ruterow , z ktorych jeden laczacy go z siecia chroniona a drugi z zewnetrzna.
Gateway separuje ruch przechodzacy przez oba rutery filtrujace pakiety .
Na gateway'u mozemy umiescic informacje o firmie , pliki , serwery
i urzadzenia , ktore chcemy udostepnic .
Application Level Gateway " proxy gateway" :
Rola gatewaya polega na softwearowym separowaniu sieci . Oprogramowanie
proxy gateway'a odbiera pakiety z zewnatrz i przekazuje do sieci chronionej .
Mechanizm ten jest szczegolnie czesto stosowany dla uslug, mogacych dzialac
na zasadzie "store'n'forward" . Mozemy postawic wiele proxy services na
roznych maszynach zawierajacych oprogramowanie dedykowane dla poszczegolnych
aplikacji ( np . e-mail ) . Mechanizm ten spowalnia komunikacje lecz
jest "przezroczysty" dla uzytkownika i nie wymaga logowania sie na proxy
w odroznieniu do dual homed gateway .
Przyklad - oprogramowanie FireWall-1 ( dystrybucja Sun Microsystems
wyprodukowane przez Check Point Sftware Technologies ) :
Ostatnia wersja Fw-1.2 pochodzi z Marca '95 .
Platforma sprzetowa : Intel x86 lub SunSPARC
System operacyjny : SunOS lub Solaris
Miejsce na dysku : 10 Mb
Pamiec : 16 Mb
Cena : do 50 maszyn w sieci 5000$ , powyzej 19000$
Struktura oprogramowania :
Stacja z oprogramowaniem fw-1 pracuje jako router miedzy siecia chroniona a
zewnetrzna ( reszta swiata np . Internet ) . Fw-1 sklada sie z dwoch
podstawowych elementow :
- modulow filtrujacych - znajdujacych sie najczesciej na glownym gatewayu -
oddzielajacym siec glowna od np. Internetu lub na wazniejszych serwerach
wymagajacych zaostrzonej kontroli dostepu . Moduly pracujace na poszczegolnych
maszynach pracuja niezaleznie od centrum zarzadzajacego ( zainstalowanego
w stacji administratora sieci ) sa natomiast wyposazane w zestaw reguly
filtrowania i monitorowanie .
Jest to odpowiednik rozproszonego mechanizmu packet filtering . W tym
przypadku moze nie wystapic dedykowany dla filtrowania router .
Kazda maszyna o wymagajaca zaostrzonego bezpieczenstwa dzieki modulowi
filtrujacemu sama dla siebie pelni role routera filtrujacego . Oczywiscie
jeden z modulow filtrujacych moze byc w szczegolnosci zainstalowany na
gateway'u laczacym siec chroniona z publiczna .
- modulu kontrolnego ( centrum zarzadzania ) ,
Mechanizm filtrowania :
Modul filtrujacy znajdujacy sie na maszynie pracujacej jako
gateway lub na chronionym serwerze ladowany jest do obszaru jadra systemu
operacyjnego . Mechanizm filtrowania dziala pomiedzy druga a trzecia
warstwa modelu OSI ( lacza danych , sieci ) Wchodzace i wychodzace
z chronionej maszyny pakiety czytane sa na poziomie warstwy lacza danych
( z interfejsu sieciowego tej warstwy ) . Nastepnie dokonywana jest ich
analiza i porownanie z ustalonymi regulami . Nielegalny pakiet zostaje
niszczony na poziomie warstwy lacza danych ( nie dociera wyzej co
zwieksza szybkosc i wydajnosc filtrowania ) . Zawartosc pakietu moze byc
analizowana na wszystkich poziomach modelu ISO stosujac opatentowana przez
CheckPoint technologie "multi layer packet inspection " .
Dotychczas stosowane sposoby filtrowania nie zapewnialy bezpieczenstwa
przy komunikacji bezpolaczeniowej (connectionless np. User Datagram
Protocol ) . Filtry nie odroznialy pakietow sesji od pakietow nielegalnych .
Po zainicjowaniu polaczenia UDP klient oczekujacy na odpowiedz serwera
(np. NFS , DNS , Archie ) byl otwarty na atak . Mozna bylo nic nie
przepuscic lub przepuscic wszystkie pakiety .
Fw-1 pamieta wszystkie pakiety wychodzace . Przychodzace sa akceptowane
tylko wtedy gdy sa odpowiedzia na wczesniej zadane pytanie ( tzn. pakiet
skierowany do i z odpowiedniego numeru portu ) .
Na przyklad dla FTP klient czekajacy na odpowiedz otwiera szereg
portow o wysokich numerach > 1023 , aby umozliwic serwerowi powrotne
polaczenie . Fw-1 analizuje pakiet na poziomie aplikacji FTP i pamieta
zapytanie klienta ( komende portu uslugi FTP ) . OdpowiedZ jest porownywana
z lista wyslanych pytań i odpowiedzi na konkretne zapytania skierowane na
konkretny port zostaja zaakceptowane ( dostepny jest tylko jeden port na
tylko czas polaczenia ) .
Bezpieczenstwo na poziomie protokolow transportowych implikuje bezpieczenstwo
dzialania aplikacji warstw wyzszych ( Nescape , Gopher ) .
Ponadto fw-1 :
- zapewnia elastyczne reguly dostepu ( nie na zasadzie wszystko albo nic
raczej co nie dozwolone jest zabronione ) ,
- mozliwosc latwej kontroli nad nowymi uslugami sieciowymi ( dzieki budowie
obiektowej - komputery , podsieci , uslugi sieciowe widziane sa jako obiekty
latwo redefiniowalne ) ,
- mozliwosc latwej zmiany regul dostepu ( konieczna np. przy zmianie topologii
sieci ) ,
- ma rozbudowane mozliwosci rejestrowania prob nawiazania lacznosci ( rutery
nie ) , co umozliwia identyfikowanie i sledzenie prob ataku ,
- logowanie ma wbudowany timeout tak aby powtarzajace sie proby ataku nie
mogly sparalizowac systemu ,
- ma dolaczony agent Simple Network Menagment System dla wspolpracy z pakietami
zarzadzajacymi siecia .
- niezauwazalnie spowalnia prace komputera i szybkosc sieci ( praca w jadrze
systemu , analiza informacji na niskim poziomie sieci ) .
Screening External Access Link ( SEAL ) firmy Digital :
Rozwiazanie to oferuje to kompleksowe zabezpieczenie naszej sieci . Obejmuje ono
zarowno zabezpieczenia software'owe jak i gotowa konfiguracje hardware'owa .
SEAL sklada sie z trzech systemow zabezpieczajacych:
-gatekeeper
router odpowiedzialny za zabezpieczenie takich funkcji sieci jak e-mail ,
uslug zwiazanych z transferem plikow , serwisem DNS , i innymi uslugami
dla , ktorych jest jedynym dostepnym z zewnatrz punktem . Zabezpiecza
w ten sposob przed niebezpieczenstwami pochodzacymi z zewnatrz sieci
chronionej . Dla zapewnienia maksimum bezpieczeństwa nie powinien sluzyc
do innych celow i byc calkowicie niedostepny dla uzytkownikow ( poza
administratorem )
Pelni zasadnicza role w calym systemie . Nazywany jest trusted application
gateway . Odpowiedzialny jest za spelnianie nastepujacych zadan :
*okreslenie Zrodla zewnetrznego zadania polaczenia ( uslugi )
i sprawdzenie czy jest ono dozwolone . Polega to na sprawdzeniu hosta skad
przychodzi polaczenie i zezwoleniu lub odrzuceniu go zaleznie od regul
zdefiniowanych przez administratora .
*sprawdzanie polecen przesylanych w czasie trwania pewnych polaczen .
Stosuje sie te zabezpieczenia np. dla FTP . Zabezpieczenie polega na
sprawdzaniu komend przesylanych w pakietach FTP . Jesli gateway stwierdzi ,
na podstawie znajomosci protokolu , ze stanowia one zagrozenie dla sieci
wewnetrznej pakiety zostaja odrzucone . Stanie sie tak na pewno , kiedy
uzytkownik sieci zewnetrznej bedzie probowal wykonac niedozwolone komendy
shell'a, lub gdy filter stwierdzi probe przekazania na zewnatrz sieci danych .
* dodatkowa autoryzacja uzytkownika , stosowana zwykle dla takich uslug jak
telnet . Mozemy tutaj regulowac zdalny dostep po miedzy poszczegolnymi hostami
sieci , jak i poszczegolnymi podsieciami skladowymi sieci chronionej .
*zbieranie informacji o logujacych sie uzytkownikach i zdarzeniach na
styku miedzy siecia chroniona a reszta swiata .System zachowuje informacje
o uzytkownikach , polaczeniach wszelkiego rodzaju , nieudanych probach
logowania sie , przesylanej poczcie , wykorzystaniu application gateway'ow.
SEAL uzywa specjalnego srodowiska syslogd zbierajacego obszerna informacje
o stanie i uzytkownikach systemu i przechowywujacego ja w dwoch kopiach
w dwoch roznych miejscach sieci chronionej , co praktycznie uniemozliwia
intruzowi usuniecie sladow swojej dzialalnosci . Informacja w plikach
log jest okresowo porownywana z zdefiniowanymi wzorcami opisujacymi
dzialania niebezpieczne dla sieci . Jesli w danym pliku typu log
system znajdzie fragmenty odpowiadajace schematom wiadomosc o tym przesylana
jest e-mailem do administratora .
-gate
to czesc mechanizmu stosujaca screening rules co do pakietow routowanych
poprzez nia pomiedzy siecia chroniona a Internetem .Poza gatekeeper'em jest
to jedyna czesc sieci widziana z zewnatrz . Jest to glowne zadanie tej czesci
lecz gate moze takze spelniac dodatkowe funkcje .
Mechanizm packet screening tworza :
- kernel-based packet screen
- screened process - odpowiedzialny za egzekwowanie regul filtrowania
zdefiniowanych przez administratora , ktore proces czyta z tabel
konfiguracyjnych , specyfikujacych polaczenia dozwolone i zabronione .
Mozliwe jest tutaj wyszczegolnienie rodzaju polaczenia (TCP , UDP ) ,
numeru portu , adres IP hosta , adresu sieci przeznaczenia i sieci
skad wiadomosc pochodzi.
-mailgate
sluzy jako skrzynka pocztowa dla e-mail adresowanego z sieci wewnetrznej
na zewnatrz , moze swiadczyc uslugi DNS , przechowywac dane o kontach
uzytkownikow sieci chronionej i byc wykorzystywanym takze do innych celow .
SEAL gwarantuje bezpieczenstwo poprzez mechanizmy separujace siec chroniona
od Internetu . Ich zastosowanie uniemozliwia jakiemukolwiek pakietowi
z Internetu przedostanie sie bezposrednio do hosta sieci chronionej .
Polaczenia zewnetrzne dozwolone sa tylko do gatekeeper'a , ktory uzywajac
oprogramowania rozpoznajacego formaty wielu protokolow kontroluje dostep
do sieci wewnetrznej . Polaczenia w odwrotnym kierunku przebiegaja na
podobnej zasadzie , z tym ze administrator dla polaczeń wychodzacych
nie stosuje tak rygorystycznych regul jak dla przychodzacych . Mozemy
takze wyszczegolnic hosty sieci chronionej , lub jej podsieci ( jesli
ma strukture zlozona ) , ktore maja prawo laczenia sie z gatekeeperem .
Dla wszystkich uslug poza FTP i telnetem , ktore wymagaja dodatkowego
logowania , SEAL jest calkowicie przezroczysty . Wnoszone opoznienie
wynosi ( wedlug dokumentacji firmowej ) kilka milisekund .
wszystkie prawa zastrzezone Lukasz Ziolkowski Holoy-Poloy Corpration
Wyszukiwarka
Podobne podstrony:
bridge firewall pl 3Firewallterm firewall 10 j7bgwrhmt6ztcofezaeouex6bqbp66oa4vl7toi j7bgwrhmt6ztcofezaeouex6bqbp66oa4vl7toiFirewall (metody filtracji)firewall piercing 6 t53e764icqgm3os2fvvwn7mwsrtuczxewvdpt4a t53e764icqgm3os2fvvwn7mwsrtuczxewvdpt4aDefiniowanie reguł postępowania dla serwera FireWall określających sposób dostępu do wybranych serwex 087 2 firewall filteringmethodsCisco PIX Firewalle cispixx 087 2 firewall filteringBridge Firewall BMLIRPHVO6TAYSAHXGBLX25LJMGT5Q5CGAUDL7Aterm firewall rqxp2mhacs2zz5yuuvmkxamchfhp2nhfhzbv3xq rqxp2mhacs2zz5yuuvmkxamchfhp2nhfhzbv3xqBridge Firewall pl (3)term firewall 14 gczhsncs4vbin32323amf5hin5ojok2s6v4scja gczhsncs4vbin32323amf5hin5ojok2s6v4scjafirewall piercing 1 n3cy3a33auoy2tmcqqwzqvsczslohfdigzwhl7y n3cy3a33auoy2tmcqqwzqvsczslohfdigzwhl7ybridge firewall 4 mtsaojjvb6byx7o2nmmymrg4lhmsgs76gvki57q mtsaojjvb6byx7o2nmmymrg4lhmsgs76gvki57qBridge Firewall plwięcej podobnych podstron