Siesta v sφti

Ochrßnφ nßs "ohnivΘ st∞ny" ?

V souΦasnΘ dob∞ se stßle vφce firem i jednotlivc∙ p°ipojuje k Internetu. D∙vody, kterΘ je k tomu vedou, jsou z°ejmΘ - od mo₧nosti pou₧itφ elektronickΘ poÜty, p°es snadn∞jÜφ p°φstup k informacφm z nejr∙zn∞jÜφch oblastφ, on-line slu₧by a₧ po publikaci Φi propagaci vlastnφch produkt∙ a slu₧eb prost°ednictvφm Webu. Internet se stal tΘm∞° nepostradateln²m pracovnφm nßstrojem. Po prvotnφ euforii z ÜirokΘho spektra mo₧nostφ, kterΘ se po p°ipojenφ k Internetu otev°e, se vÜak oprßvn∞n∞ dostavφ i otßzky o nebezpeΦφch, kterΘ z takovΘho p°ipojenφ vyplynou pro vaÜi poΦφtaΦovou sφ¥. U₧ sßm fakt, ₧e dnes majφ k Internetu p°φstup miliony prakticky anonymnφch u₧ivatel∙, je dostateΦn∞ siln²m d∙vodem k obavßm o bezpeΦnost vaÜich dat. V₧dy¥ jen ve Spojen²ch stßtech se odhaduje poΦet aktivnφch hacker∙ na desφtky tisφc a argument, ₧e naÜe "malß zemiΦka" unikne pozornosti "zl²ch chlapc∙" na celΘm sv∞t∞, u₧ dnes asi nikoho p°φliÜ neuklidnφ.

Rizik vypl²vajφcφch z p°ipojenφ k Internetu je hned n∞kolik. Za zmφnku rozhodn∞ stojφ mo₧nost prozrazenφ vaÜich d∙v∞rn²ch informacφ, kterΘ mohou b²t velmi zajφmavΘ pro konkurenci, nebo jejich poÜkozenφ, p°φpadn∞ ·plnΘ zniΦenφ. A¥ u₧ je d∙vodem promyÜlenß sabotß₧, nebo jen klukovsk² ₧ertφk proveden² ze sportu, ztrßta dat m∙₧e znamenat t∞₧k² ot°es pro provoz celΘ firmy dokonce i v p°φpad∞, ₧e data mßte odkud obnovit. DalÜφm objektem ne₧ßdoucφho zßjmu m∙₧e b²t takΘ n∞jakß vßmi poskytovanß slu₧ba, kterou ·toΦnφk zaΦne vyu₧φvat takov²m zp∙sobem, ₧e nikdo dalÜφ u₧ nemß Üanci. Slu₧ba je zablokovßna a nikdo se nap°φklad nedostane na vaÜe www strßnky, nebo je zahlcen a ochromen vßÜ poÜtovnφ systΘm.

Technik pou₧φvan²ch pro naruÜenφ cizφch systΘm∙ je mnoho a popsat je vÜechny p°esahuje mo₧nosti tohoto Φlßnku. Mezi oblφbenΘ metody pat°φ nap°φklad odposlech a nßslednß anal²za cizφch datov²ch paket∙ za ·Φelem zφskßnφ d∙le₧it²ch hesel, nebo vydßvßnφ se za n∞koho jinΘho prost°ednictvφm falÜovßnφ vlastnφ IP adresy (tzv. IP spoofing). ╚asto jsou k ·toku vyu₧φvßna slabß mφsta komunikaΦnφch protokol∙ b∞₧n²ch internetov²ch slu₧eb jako HTTP, NFS, Sendmail apod. Tyto slu₧by nebyly navrhovßny s ohledem na bezpeΦnost a jsou tedy pom∞rn∞ zranitelnΘ. Cφlem ·toku b²vß nejΦast∞ji hostitelsk² poΦφtaΦ, kter² tyto slu₧by poskytuje. Je mo₧nΘ vyu₧φt i slabin samotnΘho operaΦnφho systΘmu.

TΘm∞° ka₧d², komu jen trochu zßle₧φ na soukromφ a bezpeΦφ vlastnφch informacφ, si klade otßzku, jak chrßnit svß data p°ed vn∞jÜφm sv∞tem p°i maximßlnφm mo₧nΘm zachovßnφ efektivity provozu. NaneÜt∞stφ bezpeΦnosti nelze dosßhnout bez ob∞tovßnφ jistΘho stupn∞ svobod. ┌sp∞Ünß bezpeΦnostnφ politika v₧dy balancuje na rozhranφ mezi pracovnφmi a bezpeΦnostnφmi po₧adavky. M∞la by chrßnit vaÜi sφ¥ nejen proti p°φmΘmu vn∞jÜφmu napadenφ, ale i proti vlastnφm nezodpov∞dn²m u₧ivatel∙m.

Firewall b²vß souΦßstφ takovΘ bezpeΦnostnφ politiky. Je to obvykle poΦφtaΦ se dv∞ma nebo vφce sφ¥ov²mi rozhranφmi vybaven² p°φsluÜn²m softwarem. Tvo°φ jakousi brßnu mezi vaÜφ internφ sφtφ a venkovnφm sv∞tem. Jeho chovßnφ je °φzeno soustavou bezpeΦnostnφch pravidel, kterß urΦujφ odkud, kam a za jak²ch okolnostφ je Φi nenφ komunikace mo₧nß. Krom∞ toho monitoruje veÜker² prochßzejφcφ provoz, detekuje a zaznamenßvß podez°elΘ udßlosti.

Z hlediska principu, na jeho₧ zßklad∞ pracujφ, lze firewally rozd∞lit do n∞kolika skupin.

PaketovΘ filtry -- pracujφ na ·rovni sφ¥ovΘ vrstvy ISO/OSI modelu. P°edstavujφ asi nejjednoduÜÜφ metodu ochrany, kterß spoΦφvß v podrobenφ vÜech prochßzejφcφch paket∙ testovßnφ sadou filtraΦnφch pravidel. Pokud paket vyhovφ n∞kterΘmu z nich, je propuÜt∞n dßl, v opaΦnΘm p°φpad∞ je zahozen. Pakety jsou zkoumßny na zßklad∞ zdrojovΘ Φi cφlovΘ IP adresy, zdrojovΘho nebo cφlovΘho portu (slu₧by), podle sφ¥ovΘho rozhranφ, na kterΘ p°iÜly, a podle dalÜφch kritΘriφ. Funkci paketovΘho filtru mohou zastat i n∞kterΘ routery (Cisco, BayNetworks). H∙°e se vÜak spravujφ a v∞tÜinou neumo₧≥ujφ sledovat a zaznamenßvat prochßzejφcφ provoz. Co vφc, lze °φci, ₧e krom∞ filtrace paket∙ neumo₧≥ujφ v∙bec nic. Paketov² filtr m∙₧e b²t takΘ implementovßn softwarov∞. Oproti router∙m jsou n∞kterΘ firewally fungujφcφ na principu paketov²ch filtr∙ navφc vylepÜeny o schopnost skr²vßnφ a p°eklad IP adres, tj. vnit°nφ adresy nejsou pro vn∞jÜφ sφ¥ v∙bec viditelnΘ, a dßle o mo₧nost detekce faleÜn²ch IP adres (viz IP spoofing). Podobn∞ pracuje nap°. GNAT Box fy GTA (Φlßnek I4U Φ.8-9/97), kter² je typick²m p°φkladem takto vylepÜenΘho paketovΘho filtru.

Hlavnφmi v²hodami paketov²ch filtr∙ (krom∞ nφzk²ch po°izovacφch nßklad∙) jsou vysokß propustnost (Φas na aplikaci filtraΦnφch pravidel je zanedbateln²) a prakticky 100% transparentnost. ProblΘm je, ₧e paketov² filtr nezajφmß vlastnφ obsah paketu ani jeho smysl. Pokud se tedy rozhodnete, ₧e n∞jakou slu₧bu (nap°. FTP) zvenΦφ zakß₧ete, bude nep°φstupnß pro vÜechny stanice nachßzejφcφ se ve vaÜφ sφti. Pokud ji povolφte, bude dostupnß pro vÜechny. Nelze slu₧bu vyhradit jen pro urΦitΘ privilegovanΘ u₧ivatele.

Proxy neboli aplikaΦnφ brßny -- pracujφ na aplikaΦnφ vrstv∞ ISO/OSI modelu. V tomto p°φpad∞ je vnit°nφ sφ¥ skuteΦn∞ odd∞lena od vn∞jÜφ a vzßjemn∞ se "nevidφ". Äßdnß komunikace neprobφhß p°φmo. PoΦφtaΦ, kter² chce komunikovat s jin²m uzlem na druhΘ stran∞ firewallu, navß₧e spojenφ s proxy pro ₧ßdanou slu₧bu (proces b∞₧φcφ na firewallu), ta rozhodne, zda na to ₧adatel mß prßvo a pak sama navß₧e spojenφ s cφlov²m uzlem. Data, kterß od n∞j p°ijdou v odpov∞∩, zase proxy p°edßvß poΦφtaΦi, kter² si komunikaci p∙vodn∞ vy₧ßdal. Takto je docφleno mnohem p°φsn∞jÜφ kontroly nad probφhajφcφ komunikacφ. Anti-spoofing je samoz°ejmostφ. Navφc vzhledem k tomu, ₧e komunikaci zprost°edkovßvajφ specializovanΘ aplikaΦnφ brßny, je mo₧no prßva ke komunikaci posuzovat v globßln∞jÜφm pohledu, a nikoliv jen podle jednotliv²ch paket∙ vytr₧en²ch z kontextu, tak₧e je mo₧no nap°φklad vy₧adovat autentikaci pro p°φstup k urΦitΘ slu₧b∞ zvenΦφ. Cenou za to je trochu vyÜÜφ re₧ie vlastnφ proxy, tak₧e komunikace m∙₧e b²t pon∞kud zdr₧ena, obzvlßÜt∞ pokud b∞₧φ vφce proxy na pomalejÜφm poΦφtaΦi. Navφc pro ka₧dou slu₧bu (HTTP, FTP...) musφ na firewallu b∞₧et extra proxy, kterß ji zajiÜ¥uje. Firewally jsou b∞₧n∞ vybaveny proxy pro standardnφ slu₧by jako HTTP, FTP, Telnet, Rlogin, SMTP, POP3, NNTP, Gopher, Finger apod. Pokud pot°ebujete, aby firewall p°enßÜel i n∞jakou specißlnφ slu₧bu, je mo₧no obvykle nadefinovat jakousi obecnou tzv. plug-in proxy pro tuto slu₧bu. Plug-in proxy vÜak v∞tÜinou nejsou vybaveny takov²m stupn∞m zabezpeΦenφ jako standardnφ proxy a sami v²robci firewall∙ p°ed jejich pou₧itφm varujφ. N∞kdy vÜak nenφ zbytφ. Je pot°eba mφt na pam∞ti, ₧e s ka₧dou takto p°idanou proxy p°ib²vß proces na firewallu, a tφm i jeho zßt∞₧. DalÜφ nev²hoda vypl²vß z ji₧ zmφn∞nΘho faktu, ₧e proxy pracujφ na aplikaΦnφ ·rovni a nechrßnφ samotn² poΦφtaΦ, na kterΘm proxy b∞₧φ. Typick²mi p°edstaviteli proxy firewall∙ jsou nap°. Gauntlet firewall od firmy Trusted Information Systems (u nßs v zastoupenφ SkyNet, a. s., Brno) nebo Eagle Firewall spoleΦnosti Raptor Systems (distribuovan² v ╚R firmou Datrontech Westwood).

SOCKS proxy jsou Φasto pou₧φvßny jako tzv. Circuit level firewally. Takov²to firewall se z hlediska klienta chovß transparentn∞. Pokud stanice z vnit°nφ sφt∞ vy₧aduje spojenφ s n∞jak²m uzlem mimo sφ¥, zasφlß jakousi "zapouzd°enou" ₧ßdost na SOCKS port (obvykle port 1080) firewallu. Äßdost v sob∞ obsahuje popis spojenφ, kterΘ je po₧adovßno, tj. cφlovou adresu, port atd. Pokud firewall shledß ₧ßdost jako oprßvn∞nou, sßm navazuje a udr₧uje spojenφ s cφlov²m uzlem prost°ednictvφm proxy klienta. Odpov∞di vracφ klientovi, kter² o spojenφ po₧ßdal. Toto °eÜenφ vÜak vy₧aduje zßsah u klient∙ vnit°nφ sφt∞ (obvykle rekompilaci jejich softwaru, aby byly schopny komunikovat se SOCKS). ╚asto b²vß SOCK proxy implementovßna jako dopln∞k b∞₧nΘho proxy firewallu, nebo¥ umo₧≥uje vesm∞s bezpeΦn² p°enos nespojovan²ch slu₧eb.

Vedle t∞chto pom∞rn∞ rozÜφ°en²ch technologiφ se objevujφ r∙znΘ kombinovanΘ p°φstupy.

FireWall-1 izraelskΘ firmy CheckPoint Software (v ╚R dodßvß firma Pragodata) pou₧φvß technologii nazvanou Stateful Multilayer Inspection.

CheckPoint kontroluje pakety na nejni₧Üφ mo₧nΘ ·rovni, ale data t²kajφcφ se zabezpeΦenφ extrahuje a analyzuje na ·rovni aplikaΦnφ vrstvy. Tak je schopen kontrolovat i nespojovanΘ slu₧by jako UDP, RPC apod. Pro tyto protokoly si vytvß°φ virtußlnφ spojenφ a aktualizuje si je v zßvislosti na p°enßÜen²ch datech. Kombinuje dynamick² i statick² p°eklad adres a pou₧φvß anti-spoofing. Krom∞ toho je schopen pro vybranΘ slu₧by provßd∞t i urΦitou kontrolu obsahu (nap°. odfiltrovat Java skripty, AxtiveX, provßd∞t antivirovou kontrolu). Spojuje tak rychlost paketov²ch filtr∙ a zabezpeΦenφ na prakticky stejnΘ ·rovni jako proxy, ani₧ by musel mφt pro ka₧dou slu₧bu spuÜt∞nu odd∞lenou proxy aplikaci.

Jinak kombinovanΘho p°φstupu vyu₧φvß CyberGuard, vyvinut² firmou Harris Computer Systems. M∙₧e fungovat jako brßna aplikacφ nebo filtr paket∙. Lze takΘ pou₧φt kombinaci t∞chto dvou funkcφ, nap°. filtr paket∙ propouÜtφ provoz sm∞rem ven a proxy server °φdφ p°φstupy zvenku.

Krom∞ ochrany vni°nφ sφt∞ p°ed okolnφm sv∞tem (nebo okolnφho sv∞ta p°ed vaÜimi u₧ivateli :-)), n∞kterΘ firewally poskytujφ i dalÜφ slu₧by, nap°. vybudovßnφ bezpeΦnΘho mostu mezi dv∞ma (nebo vφce) poboΦkami p°es Internet. Mezi firewally, kterΘ chrßnφ jednotlivΘ poboΦky, se ustavφ kryptovanΘ spojenφ pomocφ PPTP (point to point tunneling protocol), po n∞m₧ lze bezpeΦn∞ p°enßÜet data mezi poboΦkami. Podobn∞ lze zajistit pro mobilnφ u₧ivatele bezpeΦn² p°φstup z vn∞jÜφ sφt∞ za pomoci autentikaΦnφch mechanism∙, v n∞kter²ch p°φpadech jeÜt∞ posφlen²ch Üifrovanou komunikacφ mezi firewallem a vzdßlen²m klientem.

P°esto₧e firewall sni₧uje riziko pr∙niku do vaÜφ sφt∞, nenφ vÜespasiteln². Äßdnß ochrannß ze∩ nenφ absolutn∞ neproniknutelnß. Proto instalacφ firewallu vaÜe prßce nekonΦφ, jeho provoz bude nutno stßle sledovat a pru₧n∞ reagovat na jeho chybovß hlßÜenφ. Proto₧e jsou stßle vyvφjeny novΘ metody pr∙niku do zabezpeΦen²ch sφtφ, ₧ßdn² komerΦnφ v²robek nebude nikdy stoprocentnφ zßrukou bezpeΦφ. Krom∞ toho je nutno na ka₧d² firewall pohlφ₧et jen jako na souΦßst bezpeΦnostnφ politiky. Ani sebelepÜφ firewall na sv∞t∞ vßs neochrßnφ p°ed slabou organizacφ, nedostateΦnou bezpeΦnostnφ politikou nebo nedbalou ·dr₧bou vnit°nφho systΘmu.

V²znam zkratek a pojm∙:

NFS -- Network file system, umo₧≥uje sdφlenφ soubor∙ na vzdßlenΘm poΦφtaΦi. Z u₧ivatelskΘho hlediska pak nenφ rozdφl mezi soubory lokßlnφmi a vzdßlen²mi.

Proxy -- aplikaΦnφ brßna odd∞lujφcφ klienta od serveru. Klient vÜechny svΘ po₧adavky sm∞°uje na proxy a komunikuje s nφ, jako by byla server. Proxy se druhΘ stran∞ tvß°φ vzhledem ke skuteΦnΘmu serveru jako by byla klient.

IP spoofing -- metoda pr∙niku do cizφ sφt∞, p°i nφ₧ vet°elec vydßvß sv∙j stroj za poΦφtaΦ, kter² se nachßzφ "uvnit°" napadanΘ sφt∞, tφm, ₧e falÜuje svou IP adresu.

Telnet -- protokol, kter² zprost°edkuje mo₧nost p°ihlßsit se na vzdßlen² poΦφtaΦ a interaktivn∞ s nφm pracovat. Tato slu₧ba je transparentnφ, u₧ivateli se jevφ stejn∞ jako by pracoval p°φmo na vzdßlenΘm poΦφtaΦi.

Rlogin -- Remote login, podobn∞ jako telnet umo₧≥uje p°ipojenφ na vzdßlen² poΦφtaΦ, ale komfortn∞ji, prost°edφ operaΦnφho systΘmu vzdßlenΘho poΦφtaΦe se nastavuje podle poΦφtaΦe, u kterΘho u₧ivatel pracuje.

SMTP -- Simple mail transfer protocol , protokol zajiÜ¥ujφcφ doruΦovßnφ elektronickΘ poÜty.

Sendmail -- poÜtovnφ agent, proces b∞₧φcφ obvykle na SMTP serveru, kter² zajiÜ¥uje doruΦenφ poÜty na server adresßta.

POP3 -- Post office protocol, slu₧ba umo₧≥ujφcφ vzdßlenΘ vybφrßnφ poÜtovnφch schrßnek.

NNTP -- Network News Transfer protocol , p°enos "news" zprßv.

Gopher -- standardnφ internetovß slu₧ba, systΘm zalo₧en² na menu, jeho₧ polo₧ky jsou odkazy na dokumenty nebo jinß menu, a¥ u₧ na stejnΘm nebo vzdßlenΘm poΦφtaΦi. P°edch∙dce www.

Finger -- slu₧ba, pomocφ nφ₧ lze zjiÜ¥ovat n∞kterΘ informace o prßv∞ pracujφcφch u₧ivatelφch vzdßlen²ch systΘm∙.

ISO/OSI model -- standardnφ referenΦnφ model, podle kterΘho komunikace probφhß v jak²chsi vrstvßch (fyzickΘ, linkovΘ, sφ¥ovΘ, transportnφ, relaΦnφ, prezentaΦnφ a aplikaΦnφ). Ka₧dß z t∞chto vrstev mß svou funkci v komunikaΦnφm procesu.

Petr Sorßd