2. Zapory sieciowe, filtrowanie pakietów, brama aplikacyjna
1.Firewall
2.Tripwire
Każdy komputer podłączony do internetu jest stale narażony na ataki i próby zdobycia o nim informacji. Firewall czyli tzw. „zapora ogniowa” jest jednym z podejść do tematu bezpieczeństwa sieci. Pomaga zaimplementować szerszy zakres bezpieczeństwa, który definiuje dostęp do określonych serwisów i odpowiednich zgłoszeń. Jest to implementacja w sensie konfiguracji sieci, jednego albo większej liczby systemów i routerów oraz innych sposobów sprawdzania bezpieczeństwa tak jak zaawansowana weryfikacja w miejsce statycznych haseł. Głównym zadaniem systemu typu firewall jest kontrola dostępu z i do chronionej sieci ( lokalizacji ). Firewall implementuje dostęp do sieci poprzez sprawdzanie połączenia. Firewallem może być router, komputer osobisty, host czy zbiór hostów specjalnie skonfigurowanych, żeby ochraniać daną sieć czy podsieć od protokołów i serwisów sieciowych, które mogą być nadużywane przez użytkowników na zewnątrz sieci. Zwykle firewall jest umieszczony jako gateway wyższego poziomu tak jak połączenie danej lokalizacji do internetu. Z drugiej strony systemy typu firewall mogą być umieszczone jako gateway'e niższego poziomu aby zapewnić bezpieczeństwo mniejszemu zbiorowi hostów czy podsieci. Firewalle są instalowane między sieciami w celu wymuszenia kontroli dostępu między nimi. Firewalle zabezpieczają przed nieautoryzowanym dostępem z zewnątrz do sieci lokalnej. Niektóre nawet mogą całkowicie blokować ruch pakietów z zewnątrz - dopuszczając ewentualnie pakiety poczty elektronicznej - zezwalając jednakże na swobodne komunikowanie się użytkowników sieci ze światem zewnętrznym. Inną pożyteczną cechą firewalli jest możliwość wykorzystania ich do rejestrowania i śledzenia wszelkich przychodzących pakietów (auditing). Stacje umieszczane w pierwszej linii obrony, określane również jako bastion host, są punktami przez które przechodzą wszystkie informacje do sieci lokalnej i na zewnątrz. Dzięki takiemu scentralizowaniu dróg dostępu do sieci w jednym komputerze można łatwo zarządzać systemem ochrony
Zapora w swej istocie jest raczej koncepcją, a nie produktem. Celem istnienia zapór jest przyznanie, bądź odmowa przyznania połączenia danemu użytkownikowi do danej usługi sieciowej. W bardziej ogólnym sensie zapora sieciowa składa się z odpowiedniego oprogramowania i sprzętu. Oprogramowanie może być typu freeware, shareware lub komercyjne. Sprzęt może być jakimkolwiek urządzeniem, na którym pracuje dany program.
Zapory mogą przeprowadzać analizy nadchodzących pakietów różnych protokołów. W oparciu o taką analizę, zapora sieciowa może podjąć różne działania, zatem możemy zaprogramować firewall do przeprowadzania warunkowego przetwarzania pakietów. ("Jeśli zostanie napotkany pakiet spełniający warunek A, podejmij działanie B").
Takie warunkowe struktury nazywane są regułami. Na ogół, podczas "stawiania" zapory wyposażamy ją w zestaw reguł odzwierciedlający strukturę zależności służbowych w naszej organizacji.
Monitorowanie dostępu jest jednakże tylko częścią tego, do czego można wykorzystać nowoczesne zapory sieciowe - większość komercyjnych firewalli pozwala na kontrolę zawartości pakietów. Można to wykorzystać do odfiltrowywania niepożądanych skryptów JavaScript, VBScript i ActveX oraz plików cookies. Co więcej, mamy możliwość zdefiniowania reguł dyskryminujących poszczególne połączenia na podstawie tzw. sygnatur ataku.
Klasyczny system firewall składa się z zewnętrznego routera z filtrem pakietowym, tak zwanej sieci granicznej (DMZ - demilitarized zone) i wewnętrznego routera, także z filtrem pakietowym. W strefie DMZ umieszcza się Bastion Hosta przeznaczonego do odparcia najcięższych ataków, na którym uruchamia się proxy servers dla poszczególnych aplikacji. Transmisja wszelkich danych musi odbywać się poprzez właśnie Bastion Hosta, co gwarantuje odpowiednia konfiguracja obu routerów.
Nowoczesne firewalle działają według zasady all-in-one, czyli są to pojedyncze urządzenia łączące w sobie funkcje obu routerów i Bastion Hosta, czasami dysponując dodatkowymi serwisami w rodzaju DNS bądź mail. W przypadku takiego systemu serwery typu WWW najlepiej lokalizować w osobnej sieci bezpośrednio podłączonej do firewalla. W ten sposób firewall chroni serwer przed intruzami z zewnątrz, a w razie jego przełamania - sieć wewnętrzna pozostaje w dalszym ciągu dobrze zabezpieczona. Jednak do prawidłowej pracy takiego systemu niezbędna jest współpraca firewalla z minimum trzema kartami sieciowymi, co może w wielu przypadkach być warunkiem trudnym do spełnienia.
1.Zapory sieciowe na poziomie sieci
2.Zapory sieciowe na poziomie aplikacji
Zapory pracujące na poziomie sieci są zazwyczaj routerami z zawansowanymi możliwościami filtrowania pakietów. Administrator korzystający z takiej zapory ma możliwość przyznania, bądź odmowy dostępu do swego serwem w oparciu o kilka zmiennych. Zapory sieciowe w postaci routerów są popularne ze względu na łatwość ich zastosowania (po prostu podłącza się firewall do sieci i zaopatruje w odpowiednie reguły).
Co więcej większość współczesnych routerów ma możliwość translacji/konwersji protokołów (gdzie protokół IP z zewnątrz jest tłumaczony na inne protokoły stosowane w sieci lokalnej).
Dodatkową zaletą zastosowania firewalla zbudowanego w oparciu o router, jest fakt, że z racji swej specyfiki urządzenie takie jest elementem zewnętrznym z punktu widzenia naszej sieci lokalnej. Tak więc jego podłączenie do sieci nie wymaga konieczności konfiguracji dziesiątek maszyn czy usług. Jednak zapory sieciowe oparte na routerach maja kilka wad. Jedną z nich jest fakt, że wiele routerów jest podatnych na ataki, polegające na fałszowaniu adresu nadawcy pakietu - spoofing (aczkolwiek producenci pracują nad rozwiązaniem tego problemu).
Z praktycznego punktu widzenia, istotna jest również efektywność (moc obliczeniowa) routera - jeśli żądamy bardzo szczegółowe kryteria filtrowania, to w przypadku dużego natężenia ruchu przychodzącego możemy się spodziewać spadku jego wydajności.
Niektóre routery nie posiadają wystarczająco szczegółowych możliwości zapisu stanu pracy. Oznacza to, że możemy potrzebować zewnętrznego oprogramowania i sprzętu do celów monitorowania pracy routera.
Innym rodzajem zapory sieciowej jest firewall wykorzystujący aplikacje pośredniczące w standardowej komunikacji typu klient-serwer. Zapora taka zwana jest również bramą proxy, bądź bramą programową (application gateway).
Żądanie połączenia z daną usługą sieciową wysłane przez zdalnego użytkownika jest obsługiwane nie bezpośrednio przez odpowiedni serwer usług, lecz podawane do niego poprzez bramę proxy. Zatem, w odróżnieniu od firewalla - filtra pakietów, nadchodzące pakiety IP nie są po przetworzeniu przesyłane do sieci lokalnej, zamiast tego brama przeprowadza swego rodzaju translację pośrednicząc pomiędzy klientem a serwerem.
Zaletą stosowania bramkowania usług jest fakt zapobiegania dostaniu się pakietów IP do naszej sieci (tunelowania pakietów). Wadą jest konieczność konfiguracji odpowiedniej bramy dla każdej usługi sieciowej, w tym FTP, Telnet, HTTP, e-mail itd. Dodatkowo użytkownicy muszą wykorzystywać programy klienckie pozwalające na stosowanie bramkowania usług (w przeciwnym wypadku, użytkownicy będą musieli nauczyć się "ręcznie" obsługiwać bramę (co może być czasochłonne, uciążliwe, bądź w ogóle niemożliwe, zależnie od stopnia skomplikowania procedur).
Tripwire jest programem badającym integralność w plikach i katalogach na podstawie zbioru reguł określonych przez administratora.
Jego działanie polega na wyszukiwaniu w nich różnic dzięki generowanym sumom kontrolnym. Każda zauważona zmiana jest oznaczona i zapisywana, włączając w to pliki nowo utworzone jak i te skasowane. Dzięki temu możliwe jest wykrycie włamania do systemu oraz określenie skali wyrządzonych szkód. Tripwire jest narzędziem uniwersalnym, ponieważ można przy jego pomocy określić pliki uszkodzone podczas awarii sprzętu lub błędów oprogramowania.
Mechanizm działania programu opiera się na istnieniu wzorcowej bazy sygnatur oraz regułach zapisanych w pliku konfiguracyjnym. Dla każdego sprawdzanego obiektu generowana jest sygnatura i porównywana z wartością poprzednio zapisaną, w wyniku czego generowany jest raport, który może być wyświetlany na standardowym wyjściu lub zapisywany do pliku.
Program z pakietu Tripwire o nazwie Siggen potrafi generować sygnatury plików przy użyciu algorytmów takich jak:
MD5, SNEFRU,CRC-32,CRC-16,MD4,MD2,SHA/SHS,HAVAL,NULL.
Aby wygenerować sygnaturę wystarczy jako parametr programu podać nazwę katalogu lub pliku.
Może także korzystać z takich własności jak: tryby dostępu, numer i-węzła, liczba dowiązań, identyfikator właściciela pliku, identyfikator grupy, rozmiar pliku, czas dostępu.
Tripwire potrafi pracować w czterech trybach takich jak : tryb interaktywny, tryb sprawdzający integralność, generacja bazy danych, aktualizacja bazy danych.
Wady i zalety firewalli
Zalety:
• ochrona systemu,
• umożliwiają całej sieci korzystanie z jednego wspólnego adresu IP,
• dają możliwość na podłączenie do Internetu systemom z protokołami innymi niż TCP/IP,
• pozwalają monitorować połączenia WAN i ruch w sieci,
• przy intensywnej pracy z WWW Proxy Cache Server pozwala zoptymalizować obciążenie na łączu WAN, a co za tym idzie - przyspieszyć pracę wielu osób,
• zamiast wynajmować drogie międzymiastowe lub międzynarodowe linie dzierżawione możemy używać VPN i tańszych linii z dostępem do najbliższych węzłów sieci publicznej.
Wady:
• ograniczają dostęp do sieci z Internetu,
• wymagają częstych uaktualnień, gdyż nowe typy klientów sieciowych i serwerów przybywają prawie codziennie,
• uniemożliwiają bądź utrudniają zdalne zarządzanie siecią,
• mało wydajne serwery pośredniczące zmniejszają wydajność sieci.