P°edchozφm dφlem naÜeho serißlu o bezpeΦnosti jsme uzav°eli kapitolu bezpeΦnostnφch protokol∙ a standard∙. P°iblφ₧ili jsme si nejpou₧φvan∞jÜφ °eÜenφ, jejich₧ bezpeΦnostnφ vlastnosti a slu₧by jsou ·sp∞Ün∞ vyu₧φvßny tΘm∞° po celΘm poΦφtaΦovΘm sv∞t∞, snad krom∞ oblastφ, v nich₧ dosud platφ jistß omezenφ v²vozu tzv. silnΘ kryptografie.
V pr∙b∞hu serißlu Pozor, ·tok! jste mohli zφskat zßkladnφ informace o stßvajφcφch °eÜenφch poskytujφcφch bezpeΦnost, p°i jejich probφrßnφ jsme vÜak nezabφhali p°φliÜ do hloubky, abychom neodradili ty Φtenß°e, kte°φ se v problematice zabezpeΦenΘho p°ipojenφ teprve zaΦφnajφ orientovat. DalÜφ oblastφ, kterß s otßzkou zabezpeΦenφ souvisφ, je Üifrovßnφ. Pravidelnφ Φtenß°i vÜak m∞li dostatek mo₧nostφ seznßmit se s touto problematikou ji₧ v minulosti a i nynφ vychßzφ °ada odborn²ch Φlßnk∙ na toto tΘma. Proto se oblastφ Üifrovßnφ nebudeme dßle zab²vat, zato se podφvßme na mo₧nost zabezpeΦenφ soukrom²ch dat vyskytujφcφch se v prost°edφ vnit°nφch poΦφtaΦov²ch sφtφ pomocφ firewallu.
┌vod
Co to vlastn∞ firewall je? Na tuto otßzku existuje °ada odpov∞dφ, p°iΦem₧ asi nejvφce vystihujφcφ podstatu v∞ci je nßsledujφcφ definice: Internetov² firewall je systΘm nebo skupina systΘm∙ û komponent∙, kterΘ zajiÜ¥ujφ po₧adovanou ·rove≥ bezpeΦnosti mezi vnit°nφ (nap°. podnikovou) sφtφ a internetem, nebo mezi dalÜφmi sφt∞mi. Firewall tedy urΦuje, kterΘ vnit°nφ slu₧by mohou b²t zp°φstupn∞ny okolφ, kterΘ jsou naopak zakßzßny pro p°φstup zvenΦφ a kterΘ vn∞jÜφ slu₧by mohou b²t zp°φstupn∞ny vnit°nφm u₧ivatel∙m sφt∞. Dßle firewall monitoruje veÜkerou komunikaci mezi ob∞ma sφt∞mi a na zßklad∞ jasn∞ definovan²ch pravidel m∙₧e zamezit i p°enosu urΦit²ch dat.
Zßkladnφ myÜlenka firewallu je pom∞rn∞ jednoduchß: je nutnΘ zajistit, aby vÜechen provoz mezi vn∞jÜφm okolφm a vnit°nφ chrßn∞nou sφtφ prochßzel skrz jeden kontrolovan² bod û firewall, kter² musφ garantovat pouze autorizovan² pr∙chod a dßle musφ b²t imunnφ v∙Φi snahßm o proniknutφ r∙zn²ch ·toΦnφk∙ do vnit°nφ poΦφtaΦovΘ sφt∞ û intranetu. Firewall proto nesmφ b²t v ₧ßdnΘm p°φpad∞ mo₧nΘ n∞jak²m zp∙sobem obejφt a dostat se tak k vnit°nφ nechrßn∞nΘ sφti. Bez firewallu by toti₧ ka₧d² hostitelsk² systΘm v soukromΘ sφti byl vystaven mo₧nΘmu ataku ostatnφch u₧ivatel∙ na internetu.
V∞tÜina Φtenß°∙ si na tomto mφst∞ pravd∞podobn∞ klade otßzku: JakΘ jsou hlavnφ v²hody a naopak nev²hody, kterΘ p°inese zavedenφ tohoto "dalÜφho" systΘmu do naÜφ bezpeΦnostnφ politiky?
Mezi v²hody lze za°adit propracovanou metodu filtrace paket∙, ochranu zraniteln²ch slu₧eb vnit°nφ poΦφtaΦovΘ sφt∞, kontrolovan² Φi ·pln∞ zamezen² p°φstup k podnikovΘmu know-how, centralizovan² dohled a vlastnφ sprßvu bezpeΦnostnφho sytΘmu, mo₧nost monitoringu vyu₧φvßnφ sφt∞ s nßsledn²mi statistikami Φi generovan²mi alarmy poskytujφcφmi zp∞tnou vazbu pro mo₧nou ·pravu sφt∞.
B∞hem poslednφch let se takΘ stßle vφce setkßvßme s problΘmem rychlΘho nßr∙stu po₧adavk∙ na registraci nov²ch IP adres, jim₧ p°estßvajφ odpovφdat dostupnΘ zdroje. To vede k tomu, ₧e podnik nenφ nap°φklad schopen zφskat registrace IP adres pro po₧adovan² poΦet vybran²ch u₧ivatel∙. A prßv∞ zde se firewall logicky stßvß vhodn²m mφstem pro Network Address Translator (NAT), kter² pomßhß zmφrnit nßroky na adresovΘ mφsto a navφc p°i zm∞n∞ poskytovatele p°ipojenφ k internetu û internet service provider (ISP) û eliminuje pot°ebu p°eΦφslovßnφ. Internetov² firewall m∙₧e takΘ shroma₧∩ovat informace o dostupn²ch slu₧bßch pro u₧ivatele tohoto systΘmu, m∙₧e b²t mφstem pro World Wide Web a FTP servery.
Naopak nev²hody lze najφt v menÜφm provoznφm komfortu sφt∞, nebo¥ p°φstup k po₧adovan²m informacφm m∙₧e b²t pro u₧ivatele tohoto systΘmu pon∞kud komplikovan∞jÜφ (co₧ je ΦßsteΦn∞ odstran∞no proxy servery), dalÜφ nev²hodou je dodateΦnΘ vyΦlen∞nφ urΦitΘ sumy pen∞z pro krytφ nßklad∙ souvisejφcφch s nßkupem a provozem tohoto systΘmu a nap°φklad i s p°ijetφm a Ükolenφm dalÜφho sprßvce systΘmu.
Pro jistotu zde uvedu i pro mnohΘ Φtenß°e pravd∞podobn∞ samoz°ejmou skuteΦnost, a to ₧e firewall nßs nem∙₧e ochrßnit proti snahßm vnit°nφch u₧ivatel∙ vytvß°et p°φmß SLIP (Serial Line Internet Protocol) nebo PPP (Point-to-Point Protocol) spojenφ, nem∙₧e takΘ zabrßnit zam∞stnanc∙m nelegßln∞ kopφrovat a Üφ°it podnikovß data a takΘ nem∙₧e ochra≥ovat proti Üφ°enφ viry napadenΘho softwaru nebo soubor∙.
Stavebnφ kameny firewallu
Typick² firewallov² systΘm se sklßdß z jednΘ nebo z vφce nßsledujφcφch komponent:
Packet filtering router
û sm∞rovaΦ rozhodujφcφ o p°ijetφ Φi zamφtnutφ ka₧dΘho paketu, kter² obdr₧φ. Toto rozhodovßnφ probφhß podle pravidel pro filtraci paket∙ (packet filtering rules). P°i tomto rozhodovßnφ probφhß kontrola hlaviΦky paket∙ a jsou zφskßny informace o IP zdrojovΘ adrese, IP cφlovΘ adrese, zapouzd°enΘm protokolu (ICMP, TCP, UDP, à), Φφslu zdrojovΘho a cφlovΘho portu, typu ICMP zprßvy a o vstupnφm a v²stupnφm rozhranφ danΘho paketu. Pokud neodporuje definovan²m pravidl∙m, je dan² paket p°edßn dßle podle informacφ obsa₧en²ch ve sm∞rovacφ tabulce (routing table).
Application û level gateway
û nebo proxy server umo₧≥uje administrßtor∙m systΘmu aplikovat bezpeΦnostnφ politiku striktn∞ji ne₧ pouh² pakety filtrujφcφ sm∞rovaΦ. Tato vstupnφ brßna aplikaΦnφ ·rovn∞ se nespolΘhß pouze na zßkladnφ filtraci paket∙ k °φzenφ toku internetov²ch slu₧eb prochßzejφcφch skrz firewall, ale pou₧φvß specißln∞ napsan² k≤d (proxy slu₧bu) pro po₧adovanΘ aplikace.
Circuit û level gateway
û je specializovanß funkce, kterß m∙₧e b²t vykonßvßna na vstupnφ brßn∞ aplikaΦnφ ·rovn∞. Tato komponenta firewallovΘho systΘmu jednoduÜe p°enßÜφ TCP spojenφ bez dodateΦn²ch po₧adavk∙ na zpracovßnφ paket∙ nebo na jejich filtraci. Tuto brßnu si lze p°edstavit jako vstupn∞-v²stupnφ za°φzenφ, kterΘ podle danΘho vstupu nalezne odpovφdajφcφ cestu k v²stupu. Brßna b²vß zpravidla vybudovßna pro Φasto u₧φvanΘ odchozφ spojenφ d∙v∞ryhodn²ch vnit°nφch u₧ivatel∙.
Architektury firewall∙
Na tomto mφst∞ se seznßmφme se Φty°mi zßkladnφmi konfiguracemi/architekturami firewall∙. Pozn.: Samoz°ejm∞ existuje vφce variant, ty se ale od sebe ji₧ p°φliÜ neodliÜujφ.
Prvnφm a takΘ nejjednoduÜÜφm p°φpadem je pakety filtrujφcφ sm∞rovaΦ û Packet-Filtering Router, viz obrßzek 1. V tomto p°φpad∞ firewallov² systΘm obsahuje pouze jednu komponentu, kterou je sm∞rovaΦ filtrujφcφ pakety, umφst∞n² mezi internet a vnit°nφ sφ¥. Tento systΘm vykonßvß zßkladnφ sm∞rovacφ funkce k °φzenφ komunikace mezi t∞mito sφt∞mi pomocφ sm∞rovacφch pravidel. V²hodou tohoto °eÜenφ jsou nφzkΘ nßklady a jeho jednoduchost pro u₧ivatele.
Druhou variantou je jednoduchß konfigurace firewallu û Single-Homed Bastion Host, viz obr. 2. V tΘto variant∞ je pou₧it sm∞rovaΦ spolu s bastion hostitelem, kter² musφ b²t vysoce zabezpeΦen²m poΦφtaΦov²m systΘmem. Tento firewallov² systΘm logicky poskytuje vyÜÜφ ·rove≥ bezpeΦnosti, nebo¥ implementuje jak sφ¥ovou ·rove≥ (packet û filtering), tak i aplikaΦnφ ·rove≥ bezpeΦnosti (proxy). Bastion host je v tomto systΘmu konfigurovßn v privßtnφ sφti spolu se sm∞rovaΦem nachßzejφcφm se mezi nφm a internetem. Filtrovacφ pravidla na sm∞rovaΦi jsou definovßna tφm zp∙sobem, ₧e veÜker² provoz sm∞°ujφcφ ke vÜem internφm systΘm∙m je blokovßn û zvenΦφ je povoleno p°istupovat pouze k bastion hostiteli.
Variantou tohoto systΘmu je zdvojenß konfigurace firewallu û Dual-Homed Bastion Host (Screened Host Firewall System), viz obr. 3. Tato varianta se odliÜuje od p°edchozφ tφm, ₧e Bastion host obsahuje dv∞ sφ¥ovß rozhranφ. Fyzickß topologie usm∞r≥uje vÜechen provoz sm∞°ujφcφ k vnit°nφ sφti skrz bastion hostitele, dßle navφc poskytuje vyÜÜφ bezpeΦnost b∞hem vytvß°enφ p°φmΘho spojenφ mezi vn∞jÜφm u₧ivatelem a informaΦnφm serverem.
DalÜφm firewallov²m systΘmem je tzv. architektura odd∞lenΘ podsφt∞ û Screened-Subnet Firewall/"Demilatarized Zone" (DMZ), viz obr. 4. Tento systΘm op∞t o n∞co zvyÜuje bezpeΦnost p°idßnφm obvodovΘ sφt∞, je₧ odd∞luje internφ sφ¥ od vn∞jÜφ sφt∞. Nßvrhem tΘto architektury se sna₧φme p°edejφt skuteΦnosti, ₧e prolomenφm bastion hostitele se ·toΦnφk∙m otevφrß cesta k celΘmu prakticky nechrßn∞nΘmu zbytku internφ sφt∞ (nebo¥ ochrana internφch poΦφtaΦ∙ na systΘmovΘ ·rovni je zpravidla nedostateΦnß). Tento firewallov² systΘm tedy vytvß°φ nejbezpeΦn∞jÜφ systΘm, obsahujφcφ podporu jak sφ¥ovΘ, tak i aplikaΦnφ ·rovn∞ bezpeΦnosti, definovßnφm tzv. demilitarizovanΘ z≤ny. V tΘto z≤n∞ b²vajφ umφst∞ny "problematickΘ" komponenty, kter²mi mohou b²t informaΦnφ server, bastion hostitel, modemy a ostatnφ ve°ejnΘ servery. Hlavnφ v²hodu tohoto systΘmu lze spat°it v tom, ₧e ·toΦnφk musφ prolomit t°i odd∞lenß za°φzenφ (vnit°nφ a vn∞jÜφ sm∞rovaΦ, bastion host), aby zφskal p°φstup k vnit°nφ chrßn∞nΘ sφti.
Zßv∞r
V dneÜnφm povφdßnφ jsme si p°iblφ₧ili zßkladnφ informace o firewallov²ch systΘmech a seznßmili jsme se se Φty°mi zßkladnφmi architekturami t∞chto systΘm∙. P°φÜt∞ budeme pokraΦovat po cest∞ postupnΘho osvojovßnφ znalostφ "jak efektivn∞ zajistit bezpeΦnost privßtnφch dat" povφdßnφm o firewallech, zam∞°φme se p°edevÜφm na problematiku filtrace paket∙.
