Firewall - obrňte své počítače... | Kapitola 2
Seznam kapitol
V době, kdy počítačové pirátství a napadání PC je stále častější záležitostí, by bylo dobré objasnit si jednu se základních možností zabezpečení vašeho počítače. Je pravděpodobné, že se většina běžných uživatelů s pojmem firewall dříve setkala, čás z nich už jej dokonce používá, ale stále je mezi námi mnoho těch, kteří na bezpečnost příliš nedbají. V tomto článku si tedy problematiku firewallu trochu přiblížíme a ukážeme si základní postupy, jak si svůj počítač zabezpečit před šíťovými útoky.
Již jsme si řekli, že firewall vlastně kontroluje příchozí a odchozí komunikaci. Ta probíhá na základě přenosu síťových paketů, jež si lze představit jako malé elektronické balíčky. Každý takový balíček má na sobě informaci o tom, odkud přišel, kam jde a na jakou adresu (port) má přijít. Dále pak už obsahuje samotný obsah, jež je tvořen právě tou informací, která má být přenesena. Té základní informaci se říká IP datagram a obsahuje příchozí i odchozí IP adresy, porty a další informace.
Firewall pracuje ve dvou základních metodách, ale v každé z nich nějakým způsobem vyhodnocuje právě ty přenášené pakety. Buď vyhodnocuje IP datagram a to zda vyhovuje nastaveným podmínkám - pak se jedná o paketový filtr a říká se, že se jde o síťovou vrstvu a nebo se zabývá obsahem jednotlivých paketů - jde o tzv. aplikační bránu a tudíž se hovoří o aplikační vrstvě.
Avšak není výjimkou, že firewall pro svou spolehlivou funkci využívá obě dvě zmíněné možnosti zároveň. Rozeberu zde obě možnosti postupně.
Paketové filtry
Nejčastěji se paketové filtry vyskytují v systémech UNIX, jež je mají přímo zabudované v jádrech. V systémech Windows se vyskytují pouze ve verzích 2000 a XP, avšak nedosahují takových kvalit jako právě v systémech UNIX.
Názorné schéma kontroly paketů.
Pracují tak, že vyhodnocují jednotlivé pakety podle hlavičky IP datagramu, jež obsahuje IP adresu odesílatele i příjemce, zdrojový i cílový port a další informace. Paketový filtr má daná pravidla, podle kterých pak ze získaných informací z IP datagramu rozhoduje, zda paket projde a nebo bude zahozen. Pracují však pouze na úrovni uvedených vlastností paketů a nedokáží vyhodnotit jejich obsah. To znamená, že nedokáží například rozpoznat autorizovaného uživatele. Samotné paketové filtry jsou velice rychlé a nenáročné na systémové zdroje. Hlavní výhodou je, že nepotřebuje žádnou podpůrnou aplikaci a celý proces se odehrává přímo v jádře. V dnešní době se paketové filtry vyskytují už ve všech nových operačních systémech jako jsou UNIX, BSD, Windows XP, Mac OS a i Linux. Pokud někdo řekne, že používá firewall, tak v 80% se jedná právě o paketový filtr.
Aplikační brány
Někdy se můžete setkat s označením jako aplikační gateway, Proxy, gateway, aplikační Proxy. Je to vlastně software běžící na firewallu. Existují dva nepatrně odlišné způsoby fungování.
První z nich je podobný paketovému filtru jen s tím rozdílem, že rozhodování se odehrává s využitím informací jednotlivých aplikačních vrstev (kontroluje obsah paketu). Chová se vlastně navenek jako směrovač, neboť pracuje pouze v síťové vrstvě, avšak interně zasahuje až na aplikační vrstvu. Což znamená, že nevyhodnocuje jen odkud kam paket jde, ale sleduje i jeho obsah.
Častěji se však používá řešení druhé. Celý proces komunikace uživatele s internetem skrze proxy gateway probíhá poněkud složitěji. Pokud uživatel zadá do svého internetového prohlížeče (browseru) nějakou adresu, tak ta by měla dojít k příslušnému serveru, tam se zpracovat a zpět odeslat internetovou stránku. Avšak při použití proxy (je to vlastně server a klient v jednom společném provedení, který se stará o jednu příslušnou službu jako například FTP, WWW, e-mail...) nemůže uživatel vznést svůj požadavek přímo na server, ale musí jej odeslat skrze prostředníka jimž je právě proxy. Brána požadavek příjme, sama vygeneruje požadavek svým jménem a odešle jej příslušnému serveru. Když pak příjme zpět výsledek, tak jej pošle zájemci.
Hlavní výhodou firewallu používajícího proxy je ta, že již nemůže zůstat pro koncového uživatele transparentní. To znamená, že při kliknutí na odkaz se informace neodešle přímo na cílový server, ale na proxy bránu, která teprve zajistí vše, co je třeba. Jelikož tedy data procházejí skrze proxy gateway, je možné je zaznamenávat, monitorovat či různě blokovat.
Jednou z mnoha dalších funkcí, které může proxy brána plnit, je funkce cache. To znamená, že si uchovává již jednou navštívené WWW stránky, aby při dalším požadavku na jejich zobrazení je nebylo nutné stahovat z internetu a tím zatěžovat linku, ale stačilo je pouze poslat ze své vnitřní cache paměti.
Omezení či povolení
Ať už zvolíte firewall kterýkoli, vždy je hlavně potřeba nastavit firewall pro jeden z těchto dvou způsobů povolování či zakazování paketů. Buď můžete nastavit implicitní zákaz - jedná se o to, že zakážete všechny služby sítě a povolíte jen ty, které pro provoz potřebujete. Druhá možnost je přesně opačná - implicitní povolení. Při této volbě povolujete všechny služby a zakazujete jen ty, které považujete za rizikové. Ve výsledku má každá z těchto dvou možností své klady a zápory a jde především o to, pro jaký typ sítě se která hodí více. Avšak u obou je potřeba při zavádění důkladně dbát na to, aby nebyla žádná z možných služeb opomenuta, neboť právě ta jedna by mohla útočníkovi poskytnou volnou cestu.
Architektura firewall
V praxi se celková architektura firewallu dělí na dva základní prvky jimiž jsou demilitarizovaná zóna a dvounohé firewally. Jejich popis, výhody a nevýhody zde rozepíšu zvlášť.
Demilitarizovaná zóna
Při použití tohoto zapojení je veškerá komunikace přenášena skrze směrovače a samotný firewall. Není možné, aby PC odeslalo svůj požadavek přímo na server do Internetu (je zakázán IP-forwarding). Demilitarizovaná zóna je tedy oblast od jednoho směrovače po druhý.
Přenos packetů tedy probíhá následovně. Z PC je odeslán požadavek na Internetový server. Požadavek jde přes směrovače do proxy brány, kde se vyhodnotí a jménem brány odešle příslušnému serveru. Ten jej po obdržení zpracuje a zpět odešle požadovanou informaci. Ta dojde zpět na proxy bránu, zkontroluje se a buď se zahodí, nebo se pošle na PC, odkud požadavek vyšel.
Při tomto zapojení je stupeň bezpečnosti na nejvyšší úrovni, neboť potencionální útočník by musel projít přes dva síťové směrovače. Nevýhoda tohoto zapojení je ta, že je zapotřebí použít dva směrovače, jež musí umožňovat posílání packetů pouze v rámci demilitarizované zóny a packety, jež by měly tuto hranici přesahovat musí zahodit. Další nevýhodou je větší cena tohoto zapojení právě z důvodu použití dvou směrovačů.
Další z možností je zapojení pomocí jednoho směrovače, který ovšem musí mít minimálně tři síťové rozhraní. Samozřejmě tyto postupy nejsou jen ty jediné možné. Existuje celá řada různých funkčních zapojení, které se volí podle typu a požadavků.
Jedním z velice často používaných zapojení je pomocí samostatného firewallu jež plní jak funkci mostu a směrovače, tak i již zmíněnou funkci firewallu. Toto zapojení se používá hlavně v domácnostech a nebo v menších firmách, kde počet PC není příliš vysoký. Výhodou však je, že není třeba dokupovat směrovače.
Dvounohé firewally
Tento způsob zapojení je prakticky ukázán na předchozím obrázku. Jedná se vlastně o směrovač, jež má navíc za úkol pracovat jako firewall se všemi svými možnostmi. Je potřeba, aby dvounohý firewall měl alespoň dvě síťová rozhraní, neboť jedno slouží k připojení veřejné sítě (v tomto případě internetu) a k druhému se napojí místní síť LAN. Opět umožňuje pouze komunikaci skrze proxy a jakýkoliv ip-forwarding je zakázán. Může plnit funkci aplikační brány a zároveň paketového filtru.
Komentáře naleznete na konci poslední kapitoly.
