╚ßst 50 - CW 25/98

Firewally

P°ipojenφ lokßlnφ poΦφtaΦovΘ sφt∞ do Internetu p°inßÜφ krom∞ naprosto z°ejm²ch v²hod i n∞kterΘ nev²hody. Proto₧e vÜak potencißlnφ v²hody p°evyÜujφ p°φpadnΘ nev²hody, nenφ odpojenφ od Internetu zrovna nejlepÜφm °eÜenφm. Zb²vß tedy pouze mo₧nost minimalizovat p°φpadnΘ nev²hody nebo hrozby, kterΘ takovΘ p°ipojenφ p°inßÜφ. K tomuto ·Φelu je nejjednoduÜÜφ vyu₧φt mφsto, ve kterΘm se lokßlnφ sφ¥ p°ipojuje k Internetu a umφstφt zde firewall.

Firewall je kombinace hardwarov²ch a softwarov²ch prost°edk∙ poskytujφcφ kontrolu p°φstupu k sφ¥ov²m slu₧bßm, adresnou zodpov∞dnost, jednotn² bod pro n∞kterΘ sφ¥ovΘ slu₧by a ukrytφ Φßsti vnit°nφ sφt∞.

Firewall ale nezabrßnφ ·toku z vnit°nφ strany sφt∞ a

takΘ nenφ schopen reagovat na neznßmΘ hrozby.

Druhy firewall∙

1. PaketovΘ filtry

PaketovΘ filtry jsou celkem levn²m a pom∞rn∞ ·Φinn²m zp∙sobem zabezpeΦenφ vnit°nφ sφt∞. Na v∞tÜin∞ sm∞rovaΦ∙, kterΘ se pou₧φvajφ pro p°ipojenφ k Internetu, jsou paketovΘ filtry souΦßstφ programovΘho vybavenφ.

Paketov² filtr pracuje na principu kontroly n∞kter²ch polφ v hlaviΦkßch paket∙. Tato pole porovnßvß s pravidly ulo₧en²mi v pam∞ti a provßdφ akce, kterΘ jsou v pravidle definovßny.

Proto₧e paketov² filtr filtruje pouze podle t∞chto polφ, mß tedy omezenΘ mo₧nosti p°i kontrole bezpeΦnostnφch po₧adavk∙. Je schopen rozliÜit jednotlivΘ poΦφtaΦe, pou₧φvanΘ slu₧by, nebo volby v jednotliv²ch protokolech na ·rovni TCP/IP. Nenφ vÜak ji₧ schopen rozliÜit, identifikovat a pop°φpad∞ autentizovat jednotlivΘ u₧ivatele, co₧ je jist∞ ₧ßdanß Φinnost.

N∞kterΘ sm∞rovaΦe navφc umo₧≥ujφ tzv. NAT (Network Address Translation, p°eklad adres). P°eklad adres umo₧≥uje skr²t celou vnit°nφ sφ¥ za jednu (nebo n∞kolik) sφ¥ov²ch adres nebo rozklßdat zßt∞₧ provozu, kter² p°ichßzφ do vnit°nφ sφt∞ (nap°. siln∞ vytφ₧en² WWW server).

2. AplikaΦnφ brßny

AplikaΦnφ brßnou rozumφme program, ale takΘ poΦφtaΦ, na kterΘm tato brßna b∞₧φ. Jejφ postup je odliÜn² od filtrovßnφ paket∙. B²vß umφst∞na mezi lokßlnφ a rozsßhlou sφtφ. U₧ivatelsk² klientsk² program mφsto toho, aby komunikoval se skuteΦn²m serverem poskytujφcφm danΘ slu₧by, komunikuje s aplikaΦnφ brßnou. AplikaΦnφ brßna musφ rozum∞t protokolu, kter²m klient se serverem komunikujφ. To jφ umo₧≥uje vyhodnocovat po₧adavky obou stran a zabra≥ovat tak nepovolen²m operacφm. Tak m∙₧e nap°φklad zabra≥ovat p°enosu provediteln²ch soubor∙ pomocφ FTP. AplikaΦnφ brßna je schopnß autentizovat nejen u₧ivatele, ale i jednotlivΘ operace. Je tedy podstatn∞ flexibiln∞jÜφ ne₧ pouh² paketov² filtr.

AplikaΦnφ brßny majφ vÜak i svΘ nev²hody:

- ka₧dß slu₧ba vy₧aduje specializovanou aplikaΦnφ brßnu, proto₧e pou₧φvß jin² protokol,

- aplikaΦnφ brßny nejsou dostupnΘ pro vÜechny druhy slu₧eb,

- pou₧itφ aplikaΦnφ brßny m∙₧e vy₧adovat modifikaci klientsk²ch program∙ nebo postup∙ p°i pou₧φvßnφ danΘ slu₧by.

N∞kterΘ slu₧by poskytujφ mo₧nost vyu₧itφ aplikaΦnφ brßny automaticky, staΦφ pouze vhodn∞ nakonfigurovat klientsk² program. Typick²m p°φkladem mohou b²t WWW prohlφ₧eΦe, ve kter²ch je mo₧nΘ nastavit tzv. proxy. Tato proxy vy°izuje po₧adavky za klienta a mß mo₧nost kontrolovat p°φstup k jednotliv²m WWW strßnkßm, vΦetn∞ nap°. filtrovßnφ javov²ch applet∙.

Pokud nenφ klientsk² program schopen pou₧φvat aplikaΦnφ brßnu, je nutnΘ zvolit jin² postup. Tφm je bu∩ ·prava klientskΘho programu, nebo pou₧itφ nestandardnφho p°φstupu k danΘ slu₧b∞. Proto₧e jsou vÜak zdrojovΘ texty klientskΘho programu mßlokdy dostupnΘ, je pou₧itφ nestandardnφho p°φstupu ke slu₧b∞ tφm jednoduÜÜφm °eÜenφm. Nestandardnφ p°φstup k FTP m∙₧e vypadat nßsledovn∞: Klient se p°ihlßsφ pomocφ programu ftp na aplikaΦnφ brßnu (ftp ftp.gateway.org) a jako p°ihlaÜovacφ jmΘno zadß p°ihlaÜovacφ jmΘno a server odd∞len² "zavinßΦem" (anonymous@ftp.wustl.edu). AplikaΦnφ brßna pak propojφ klientsk² program s ftp serverem (komunikace s aplikaΦnφ branou je na obr.2).

Proto₧e se u₧ivatelΘ sna₧φ t∞mto opat°enφm vyhnout, je d∙le₧itΘ zamezit obchßzenφ aplikaΦnφ brßny (nap°. pou₧itφm paketovΘho filtru).

Konstrukce firewall∙

Z paketov²ch filtr∙ a aplikaΦnφch bran je mo₧nΘ konstruovat slo₧it∞jÜφ firewally -- mßme 4 zßkladnφ typy.

Jednoduch² filtrujφcφ sm∞rovaΦ

VÜechny poΦφtaΦe v lokßlnφ sφti udr₧ujφ p°φmΘ spojenφ s rozsßhlou sφtφ. Tato architektura vy₧aduje peΦliv∞ zkonstruovanß filtrovacφ pravidla. Bohu₧el nenφ mo₧nΘ dostateΦn∞ dob°e kontrolovat aktivity jednotliv²ch u₧ivatel∙ a je tedy obtφ₧nΘ zajistit dostateΦnou bezpeΦnost spolu s co nejv∞tÜφ dostupnostφ vÜech slu₧eb.

Jednoduchß aplikaΦnφ brßna

Lokßlnφ sφ¥ je mo₧nΘ odd∞lit od rozsßhlΘ sφt∞ poΦφtaΦem se dv∞ma sφ¥ov²mi rozhranφmi. Tento poΦφtaΦ vÜak nenφ sm∞rovaΦ a dokonale ob∞ sφt∞ odd∞luje. PoΦφtaΦe z obou stran sφt∞ mohou komunikovat pouze s tφmto poΦφtaΦem, co₧ mu umo₧nuje jednoduch²m zp∙sobem vÜechna spojenφ kontrolovat. Nev²hodou tohoto p°φstupu jsou omezenΘ mo₧nosti pou₧φvßnφ slu₧eb druhΘ strany sφt∞. Pro ka₧dou slu₧bu toti₧ musφ na tomto poΦφtaΦi existovat aplikaΦnφ brßna.

Sm∞rovaΦ a aplikaΦnφ brßna

Aby bylo mo₧nΘ pou₧φvat i slu₧by, pro kterΘ neexistuje aplikaΦnφ brßna, lze jednoduÜe zkombinovat aplikaΦnφ brßnu s paketov²m filtrem. Zßkladnφ bezpeΦnostnφ opat°enφ zde poskytuje paketov² filtr. Pokud pro n∞kterou slu₧bu existuje aplikaΦnφ brßna, paketov² filtr m∙₧e zablokovat vÜechny p°φstupy, kterΘ tuto aplikaΦnφ brßnu obchßzejφ. Pro ostatnφ slu₧by je mo₧nΘ pou₧φt pravidla, kterß tyto slu₧by bu∩ povolujφ, nebo zakazujφ. V n∞kter²ch p°φpadech je mo₧nΘ slouΦit paketov² filtr s aplikaΦnφ brßnou do jednoho celku.

Sm∞rovaΦ s demilitarizovanou z≤nou

Tento druh firewallu p°idßvß mezi rozsßhlou sφ¥ a lokßlnφ sφ¥ jeÜt∞ jednu malou sφ¥, Φasto naz²vanou demilitarizovanß z≤na. V demilitarizovanΘ z≤n∞ mohou b²t umφst∞ny aplikaΦnφ brßny a slu₧by, kterΘ lokßlnφ sφ¥ poskytuje rozsßhlΘ sφti (WWW, FTP, DNS).

Vnit°nφ filtrujφcφ sm∞rovaΦ poskytuje ochranu vnit°nφ sφt∞ jak proti vn∞jÜφ sφti, tak i proti demilitarizovanΘ z≤n∞ v p°φpad∞, ₧e byla naruÜena. Vnit°nφ sm∞rovaΦ m∙₧e blokovat spojenφ tak, aby bylo umo₧n∞no spojenφ pouze mezi demilitarizovanou z≤nou a vnit°nφ sφtφ.

Vn∞jÜφ sm∞rovaΦ odd∞luje demilitarizovanou z≤nu od vn∞jÜφ sφt∞. V∞tÜinou je na n∞m jen minimum filtrovacφch pravidel, kterß zabra≥ujφ zßkladnφm druh∙m ·tok∙. ╚asto b²vß ji₧ ve vlastnictvφ poskytovatele p°ipojenφ.

Tato architektura m∙₧e b²t vφcevrstevnß a m∙₧e odd∞lovat od sebe sφt∞ s r∙zn²mi ·rovn∞mi zabezpeΦenφ.

Firewall nenφ vÜelΘk

Vnit°nφ sφt∞ tedy je mo₧nΘ ubrßnit p°ed nepovolan²m p°φstupem. Kvalita ochrany vÜak zßle₧φ v∞tÜinou na finanΦnφch mo₧nostech a hlavn∞ na schopnostech sprßvce sφt∞.