COMPUTERWORLD
Specializovaný týdeník o výpočetní technice

Seriál
o bezpečnosti
a informačním soukromí

Část 50 - CW 25/98

Firewally

David Rohleder, Radim Peša

Připojení lokální počítačové sítě do Internetu přináší kromě naprosto zřejmých výhod i některé nevýhody. Protože však potenciální výhody převyšují případné nevýhody, není odpojení od Internetu zrovna nejlepším řešením. Zbývá tedy pouze možnost minimalizovat případné nevýhody nebo hrozby, které takové připojení přináší. K tomuto účelu je nejjednodušší využít místo, ve kterém se lokální síť připojuje k Internetu a umístít zde firewall.

Firewall je kombinace hardwarových a softwarových prostředků poskytující kontrolu přístupu k síťovým službám, adresnou zodpovědnost, jednotný bod pro některé síťové služby a ukrytí části vnitřní sítě.

Firewall ale nezabrání útoku z vnitřní strany sítě a

také není schopen reagovat na neznámé hrozby.

Druhy firewallů

1. Paketové filtry

Paketové filtry jsou celkem levným a poměrně účinným způsobem zabezpečení vnitřní sítě. Na většině směrovačů, které se používají pro připojení k Internetu, jsou paketové filtry součástí programového vybavení.

Paketový filtr pracuje na principu kontroly některých polí v hlavičkách paketů. Tato pole porovnává s pravidly uloženými v paměti a provádí akce, které jsou v pravidle definovány.

Protože paketový filtr filtruje pouze podle těchto polí, má tedy omezené možnosti při kontrole bezpečnostních požadavků. Je schopen rozlišit jednotlivé počítače, používané služby, nebo volby v jednotlivých protokolech na úrovni TCP/IP. Není však již schopen rozlišit, identifikovat a popřípadě autentizovat jednotlivé uživatele, což je jistě žádaná činnost.

Některé směrovače navíc umožňují tzv. NAT (Network Address Translation, překlad adres). Překlad adres umožňuje skrýt celou vnitřní síť za jednu (nebo několik) síťových adres nebo rozkládat zátěž provozu, který přichází do vnitřní sítě (např. silně vytížený WWW server).

2. Aplikační brány

Aplikační bránou rozumíme program, ale také počítač, na kterém tato brána běží. Její postup je odlišný od filtrování paketů. Bývá umístěna mezi lokální a rozsáhlou sítí. Uživatelský klientský program místo toho, aby komunikoval se skutečným serverem poskytujícím dané služby, komunikuje s aplikační bránou. Aplikační brána musí rozumět protokolu, kterým klient se serverem komunikují. To jí umožňuje vyhodnocovat požadavky obou stran a zabraňovat tak nepovoleným operacím. Tak může například zabraňovat přenosu proveditelných souborů pomocí FTP. Aplikační brána je schopná autentizovat nejen uživatele, ale i jednotlivé operace. Je tedy podstatně flexibilnější než pouhý paketový filtr.

Aplikační brány mají však i své nevýhody:

- každá služba vyžaduje specializovanou aplikační bránu, protože používá jiný protokol,

- aplikační brány nejsou dostupné pro všechny druhy služeb,

- použití aplikační brány může vyžadovat modifikaci klientských programů nebo postupů při používání dané služby.

Některé služby poskytují možnost využití aplikační brány automaticky, stačí pouze vhodně nakonfigurovat klientský program. Typickým příkladem mohou být WWW prohlížeče, ve kterých je možné nastavit tzv. proxy. Tato proxy vyřizuje požadavky za klienta a má možnost kontrolovat přístup k jednotlivým WWW stránkám, včetně např. filtrování javových appletů.

Pokud není klientský program schopen používat aplikační bránu, je nutné zvolit jiný postup. Tím je buď úprava klientského programu, nebo použití nestandardního přístupu k dané službě. Protože jsou však zdrojové texty klientského programu málokdy dostupné, je použití nestandardního přístupu ke službě tím jednodušším řešením. Nestandardní přístup k FTP může vypadat následovně: Klient se přihlásí pomocí programu ftp na aplikační bránu (ftp ftp.gateway.org) a jako přihlašovací jméno zadá přihlašovací jméno a server oddělený "zavináčem" (anonymous@ftp.wustl.edu). Aplikační brána pak propojí klientský program s ftp serverem (komunikace s aplikační branou je na obr.2).

Protože se uživatelé snaží těmto opatřením vyhnout, je důležité zamezit obcházení aplikační brány (např. použitím paketového filtru).

Konstrukce firewallů

Z paketových filtrů a aplikačních bran je možné konstruovat složitější firewally -- máme 4 základní typy.

Jednoduchý filtrující směrovač

Všechny počítače v lokální síti udržují přímé spojení s rozsáhlou sítí. Tato architektura vyžaduje pečlivě zkonstruovaná filtrovací pravidla. Bohužel není možné dostatečně dobře kontrolovat aktivity jednotlivých uživatelů a je tedy obtížné zajistit dostatečnou bezpečnost spolu s co největší dostupností všech služeb.

Jednoduchá aplikační brána

Lokální síť je možné oddělit od rozsáhlé sítě počítačem se dvěma síťovými rozhraními. Tento počítač však není směrovač a dokonale obě sítě odděluje. Počítače z obou stran sítě mohou komunikovat pouze s tímto počítačem, což mu umožnuje jednoduchým způsobem všechna spojení kontrolovat. Nevýhodou tohoto přístupu jsou omezené možnosti používání služeb druhé strany sítě. Pro každou službu totiž musí na tomto počítači existovat aplikační brána.

Směrovač a aplikační brána

Aby bylo možné používat i služby, pro které neexistuje aplikační brána, lze jednoduše zkombinovat aplikační bránu s paketovým filtrem. Základní bezpečnostní opatření zde poskytuje paketový filtr. Pokud pro některou službu existuje aplikační brána, paketový filtr může zablokovat všechny přístupy, které tuto aplikační bránu obcházejí. Pro ostatní služby je možné použít pravidla, která tyto služby buď povolují, nebo zakazují. V některých případech je možné sloučit paketový filtr s aplikační bránou do jednoho celku.

Směrovač s demilitarizovanou zónou

Tento druh firewallu přidává mezi rozsáhlou síť a lokální síť ještě jednu malou síť, často nazývanou demilitarizovaná zóna. V demilitarizované zóně mohou být umístěny aplikační brány a služby, které lokální síť poskytuje rozsáhlé síti (WWW, FTP, DNS).

Vnitřní filtrující směrovač poskytuje ochranu vnitřní sítě jak proti vnější síti, tak i proti demilitarizované zóně v případě, že byla narušena. Vnitřní směrovač může blokovat spojení tak, aby bylo umožněno spojení pouze mezi demilitarizovanou zónou a vnitřní sítí.

Vnější směrovač odděluje demilitarizovanou zónu od vnější sítě. Většinou je na něm jen minimum filtrovacích pravidel, která zabraňují základním druhům útoků. Často bývá již ve vlastnictví poskytovatele připojení.

Tato architektura může být vícevrstevná a může oddělovat od sebe sítě s různými úrovněmi zabezpečení.

Firewall není všelék

Vnitřní sítě tedy je možné ubránit před nepovolaným přístupem. Kvalita ochrany však záleží většinou na finančních možnostech a hlavně na schopnostech správce sítě.


| COMPUTERWORLD - seriál o bezpečnosti | COMPUTERWORLD | IDG CZ homepage |