Firewally – úvod, architektura
Pozor, útok! (8. díl)
Předchozím dílem našeho seriálu o bezpečnosti jsme uzavřeli kapitolu bezpečnostních protokolů a standardů. Přiblížili jsme si nejpoužívanější řešení, jejichž bezpečnostní vlastnosti a služby jsou úspěšně využívány téměř po celém počítačovém světě, snad kromě oblastí, v nichž dosud platí jistá omezení vývozu tzv. silné kryptografie. 

V průběhu seriálu Pozor, útok! jste mohli získat základní informace o stávajících řešeních poskytujících bezpečnost, při jejich probírání jsme však nezabíhali příliš do hloubky, abychom neodradili ty čtenáře, kteří se v problematice zabezpečeného připojení teprve začínají orientovat. Další oblastí, která s otázkou zabezpečení souvisí, je šifrování. Pravidelní čtenáři však měli dostatek možností seznámit se s touto problematikou již v minulosti a i nyní vychází řada odborných článků na toto téma. Proto se oblastí šifrování nebudeme dále zabývat, zato se podíváme na možnost zabezpečení soukromých dat vyskytujících se v prostředí vnitřních počítačových sítí pomocí firewallu.

Úvod 
Co to vlastně firewall je? Na tuto otázku existuje řada odpovědí, přičemž asi nejvíce vystihující podstatu věci je následující definice: Internetový firewall je systém nebo skupina systémů – komponentů, které zajišťují požadovanou úroveň bezpečnosti mezi vnitřní (např. podnikovou) sítí a internetem, nebo mezi dalšími sítěmi. Firewall tedy určuje, které vnitřní služby mohou být zpřístupněny okolí, které jsou naopak zakázány pro přístup zvenčí a které vnější služby mohou být zpřístupněny vnitřním uživatelům sítě. Dále firewall monitoruje veškerou komunikaci mezi oběma sítěmi a na základě jasně definovaných pravidel může zamezit i přenosu určitých dat.
Základní myšlenka firewallu je poměrně jednoduchá: je nutné zajistit, aby všechen provoz mezi vnějším okolím a vnitřní chráněnou sítí procházel skrz jeden kontrolovaný bod – firewall, který musí garantovat pouze autorizovaný průchod a dále musí být imunní vůči snahám o proniknutí různých útočníků do vnitřní počítačové sítě – intranetu. Firewall proto nesmí být v žádném případě možné nějakým způsobem obejít a dostat se tak k vnitřní nechráněné síti. Bez firewallu by totiž každý hostitelský systém v soukromé síti byl vystaven možnému ataku ostatních uživatelů na internetu.
Většina čtenářů si na tomto místě pravděpodobně klade otázku: Jaké jsou hlavní výhody a naopak nevýhody, které přinese zavedení tohoto "dalšího" systému do naší bezpečnostní politiky?
Mezi výhody lze zařadit propracovanou metodu filtrace paketů, ochranu zranitelných služeb vnitřní počítačové sítě, kontrolovaný či úplně zamezený přístup k podnikovému know-how, centralizovaný dohled a vlastní správu bezpečnostního sytému, možnost monitoringu využívání sítě s následnými statistikami či generovanými alarmy poskytujícími zpětnou vazbu pro možnou úpravu sítě. 
Během posledních let se také stále více setkáváme s problémem rychlého nárůstu požadavků na registraci nových IP adres, jimž přestávají odpovídat dostupné zdroje. To vede k tomu, že podnik není například schopen získat registrace IP adres pro požadovaný počet vybraných uživatelů. A právě zde se firewall logicky stává vhodným místem pro Network Address Translator (NAT), který pomáhá zmírnit nároky na adresové místo a navíc při změně poskytovatele připojení k internetu – internet service provider (ISP) – eliminuje potřebu přečíslování. Internetový firewall může také shromažďovat informace o dostupných službách pro uživatele tohoto systému, může být místem pro World Wide Web a FTP servery.
Naopak nevýhody  lze najít v menším provozním komfortu sítě, neboť přístup k požadovaným informacím může být pro uživatele  tohoto systému poněkud komplikovanější (což je částečně odstraněno proxy servery), další nevýhodou je dodatečné vyčlenění určité sumy peněz pro krytí nákladů souvisejících s nákupem a provozem tohoto systému a například i s přijetím a školením dalšího správce systému. 
Pro jistotu zde uvedu i pro mnohé čtenáře pravděpodobně samozřejmou skutečnost, a to že firewall nás nemůže ochránit proti snahám vnitřních uživatelů vytvářet přímá SLIP (Serial Line Internet Protocol) nebo PPP (Point-to-Point Protocol)  spojení, nemůže také zabránit zaměstnancům nelegálně kopírovat a šířit podniková data a také nemůže ochraňovat proti šíření viry napadeného softwaru nebo souborů.  

Stavební kameny firewallu
Typický firewallový systém se skládá z jedné nebo z více následujících komponent:
Packet filtering router
– směrovač rozhodující o přijetí či zamítnutí každého paketu, který obdrží. Toto rozhodování probíhá podle pravidel pro filtraci paketů (packet filtering rules). Při tomto rozhodování probíhá kontrola hlavičky paketů a jsou získány informace o IP zdrojové adrese, IP cílové adrese, zapouzdřeném protokolu (ICMP, TCP, UDP, …), číslu zdrojového a cílového portu, typu ICMP zprávy a o vstupním a výstupním rozhraní daného paketu. Pokud neodporuje definovaným pravidlům, je daný paket předán dále podle informací obsažených ve směrovací tabulce (routing table).     
Application – level gateway
– nebo proxy server umožňuje administrátorům systému aplikovat bezpečnostní politiku striktněji než pouhý pakety filtrující směrovač. Tato vstupní brána aplikační úrovně se nespoléhá pouze na základní filtraci paketů k řízení toku internetových služeb procházejících skrz firewall, ale používá speciálně napsaný kód (proxy službu) pro požadované aplikace.
Circuit – level gateway
– je specializovaná funkce, která může být vykonávána na vstupní bráně aplikační úrovně. Tato komponenta firewallového systému jednoduše přenáší TCP spojení bez dodatečných požadavků na zpracování paketů nebo na jejich filtraci. Tuto bránu si lze představit jako vstupně-výstupní zařízení, které podle daného vstupu nalezne odpovídající cestu k výstupu. Brána bývá zpravidla vybudována pro často užívané odchozí spojení důvěryhodných vnitřních uživatelů.  

Architektury firewallů
Na tomto místě se seznámíme se čtyřmi základními konfiguracemi/architekturami firewallů. Pozn.: Samozřejmě existuje více variant, ty se ale od sebe již příliš neodlišují.
Prvním a také nejjednodušším případem je pakety filtrující směrovač  – Packet-Filtering Router, viz obrázek 1. V tomto případě firewallový systém obsahuje pouze jednu komponentu, kterou je směrovač filtrující pakety, umístěný mezi internet a vnitřní síť. Tento systém vykonává základní směrovací funkce k řízení komunikace mezi těmito sítěmi pomocí směrovacích pravidel. Výhodou tohoto řešení jsou nízké náklady a jeho jednoduchost pro uživatele. 
Druhou variantou je jednoduchá konfigurace firewallu – Single-Homed Bastion Host, viz obr. 2. V této variantě je použit směrovač spolu s bastion hostitelem, který musí být vysoce zabezpečeným počítačovým systémem. Tento firewallový systém logicky poskytuje vyšší úroveň bezpečnosti, neboť implementuje  jak síťovou úroveň (packet – filtering), tak i aplikační úroveň bezpečnosti (proxy). Bastion host je v tomto systému konfigurován v privátní síti spolu se směrovačem nacházejícím se mezi ním a internetem. Filtrovací pravidla na směrovači jsou definována tím způsobem, že veškerý provoz směřující ke všem interním systémům je blokován – zvenčí je povoleno přistupovat pouze k bastion hostiteli.
Variantou tohoto systému je zdvojená konfigurace firewallu – Dual-Homed Bastion Host (Screened Host Firewall System), viz obr. 3. Tato varianta se odlišuje od předchozí tím, že Bastion host obsahuje dvě síťová rozhraní. Fyzická topologie usměrňuje všechen provoz směřující k vnitřní síti skrz bastion hostitele, dále navíc poskytuje vyšší bezpečnost během vytváření přímého spojení mezi vnějším uživatelem a informačním serverem. 
Dalším firewallovým systémem je tzv. architektura oddělené podsítě – Screened-Subnet Firewall/"Demilatarized Zone" (DMZ), viz obr. 4. Tento systém opět o něco zvyšuje bezpečnost přidáním obvodové sítě, jež odděluje interní síť od vnější sítě. Návrhem této architektury se snažíme předejít skutečnosti, že prolomením bastion hostitele se útočníkům otevírá cesta k celému prakticky nechráněnému zbytku interní sítě (neboť ochrana interních počítačů na systémové úrovni je zpravidla nedostatečná). Tento firewallový systém tedy vytváří nejbezpečnější systém, obsahující podporu jak síťové, tak i aplikační úrovně bezpečnosti, definováním tzv. demilitarizované zóny. V této zóně bývají umístěny "problematické" komponenty, kterými mohou být informační server, bastion hostitel, modemy a ostatní veřejné servery. Hlavní výhodu tohoto systému lze spatřit v tom, že útočník musí prolomit tři oddělená zařízení (vnitřní a vnější směrovač, bastion host), aby získal přístup k vnitřní chráněné síti.     
 
Závěr
V dnešním povídání jsme si přiblížili základní informace o firewallových systémech a seznámili jsme se se čtyřmi základními architekturami těchto systémů. Příště budeme pokračovat po cestě postupného osvojování znalostí "jak efektivně zajistit bezpečnost privátních dat" povídáním o firewallech, zaměříme se především na problematiku filtrace paketů.

[  Milan Pinte    I    pinte@atlas.cz  ]
 
 6/00: 635-sec (Au.Milan Pinte - 5.58 n.str., 2232.44 Kč) Strana: 3

	Chyba! Neznámý argument přepínače./11