V minulΘm dφlu jsme zahßjili povφdßnφ o firewallech, p°inesli jsme vßm informace o mo₧nostech jejich vyu₧itφ, o "stavebnφch kamenech", ze kter²ch b²vajφ zpravidla budovßny, a p°iblφ₧ili jsme si Φty°i zßkladnφ konfigurace architektur firewall∙. V dneÜnφm, ji₧ devßtΘm pokraΦovßnφ serißlu o bezpeΦnosti si popφÜeme, na jak²ch principech pracuje filtrovßnφ paket∙, podφvßme se, kde je mo₧nΘ zφskat pot°ebnΘ informace pro tuto Φinnost, a co m∙₧eme od filtrovßnφ z hlediska bezpeΦnosti vlastn∞ oΦekßvat.
┌vod
Zßkladnφm bezpeΦnostnφm mechanismem pou₧φvan²m k ochran∞ privßtnφch sφtφ p°ipojen²ch k "sφti sφtφ" je tzv. filtrace paket∙ (packet-filtering). Tento mechanismus urΦuje na zßklad∞ nßmi p°edem definovan²ch pravidel pro filtraci paket∙ (packet-filtering rules), kterΘ pakety mohou prochßzet skrz filtrujφcφ sm∞rovaΦ (router) do vnit°nφ chrßn∞nΘ sφt∞ a kterΘ naopak mohou opustit tuto privßtnφ chrßn∞nou sφ¥ sm∞rem ven.
Ka₧dΘho Φtenß°e, kter² se v tΘto problematice zaΦφnß teprve orientovat, pravd∞podobn∞ napadne otßzka, zda jsou t∞mito pravidly vybaveny vÜechny sm∞rovaΦe na internetu . Odpov∞∩ je û ne! Efektivnφ nastavenφ pravidel filtrace paket∙ pro tyto sm∞rovaΦe by toti₧ bylo velmi problematickΘ, ba skoro nemo₧nΘ a funkce filtrace by zpomalovala tok prochßzejφcφch paket∙. A proto hlavnφ funkcφ t∞chto sm∞rovaΦ∙ je "pouze" p°edßvßnφ p°ijat²ch paket∙ k dalÜφmu sm∞rovaΦi postupn∞ a₧ ke stanovenΘmu cφli.
T∞mito za°φzenφmi û sm∞rovaΦi û m∙₧e b²t samostatn² hardware nebo software, kter² b∞₧φ nap°. na PC nebo unixovΘm systΘmu a pro komunikaci s dalÜφmi sm∞rovaΦi vyu₧φvß sm∞rovacφch protokol∙. Jako p°φklad si uve∩me OSPF (Open Shortest Path First) Φi RIP (Routing Information Protocol).
Pozn.: K odliÜenφ t∞chto dvou variant sm∞rovaΦ∙ se mluvφ bu∩ o "normßlnφm" sm∞rovaΦi, kter² se pouze starß o to, jak p°edat paket dßle podle informacφ obsa₧en²ch v tomto paketu a ve sm∞rovacφ tabulce, nebo o filtrujφcφm (n∞kdy se pou₧φvß i termφn ochrannΘm) sm∞rovaΦi, kter² podle nßmi stanovenΘ bezpeΦnostnφ politiky a definovan²ch pravidel rozhoduje, co s dan²m paketem provede, tj. zda obdr₧en² paket neodporuje dan²m pravidl∙m a je mo₧nΘ ho zaslat dßle, nebo zda je poruÜuje a zaslßnφ k cφli skrz tento filtrujφcφ sm∞rovaΦ neprob∞hne.
Jak se filtruje?
A jakΘmu p°enosu dat m∙₧eme zabrßnit pomocφ mechanismu filtrace paket∙? M∙₧eme zabrßnit urΦitΘmu p°enosu podle: 1) adresy, ze kterΘ data pochßzejφ, 2) podle adresy, na kterou sm∞°ujφ, a 3) podle relacφ, protokol∙ a aplikacφ pou₧it²ch p°i p°enosu t∞chto dat. V∞tÜina systΘm∙ pro filtraci paket∙ ovÜem neprovßdφ ₧ßdnΘ akce souvisejφcφ s vlastnφm obsahem dat (samoz°ejm∞ existujφ v²jimky), ale naÜt∞stφ si m∙₧eme nap°φklad stanovit pravidlo, na jeho₧ zßklad∞ budeme p°ijφmat poÜtu pouze prost°ednictvφm aplikaΦnφho protokolu SMTP.
K tomu, abychom dßle porozum∞li filtraci paket∙ a mo₧nostem, co vlastn∞ lze vykonßvat, je nutnΘ nejprve pochopit, jak funguje TCP/IP zßsobnφk. Jak jste se mohli dozv∞d∞t z informacφ obsa₧en²ch ji₧ v prvnφm dφle tohoto serißlu (Chip 11/99, str. 128, obr. 2), tento zßsobnφk se sklßdß ze Φty° vrstev:
z aplikaΦnφ vrstvy (FTP, Telnet, à), je₧ je tvo°ena aplikacemi a procesy vyu₧φvajφcφmi sφ¥,
z transportnφ vrstvy (TCP, UDP, ICMP), kterß poskytuje slu₧bu zvanou end to end doruΦovßnφ dat,
z internetovΘ vrstvy (IP), ve kterΘ je definovßn datagram a kterß obsluhuje sm∞rovanß data,
z vrstvy sφ¥ovΘho rozhranφ (nap°. Ethernet, FDDI, ATM), kterß je tvo°ena rutinami pro p°φstup k fyzickΘ sφti.
Tyto jednotlivΘ vrstvy si p°edßvajφ dan² paket mezi sebou tak, ₧e nφ₧e polo₧enß vrstva p°ipojφ k danΘmu paketu svoje vlastnφ zßhlavφ a cel² zbytek pova₧uje za data û tento proces se naz²vß zapouzd°enφ (encapsulation).
Pro lepÜφ pochopenφ tohoto (pro filtrovßnφ d∙le₧itΘho) procesu zjednoduÜen∞ popφÜeme postup, kter²m toto zapouzd°enφ probφhß. V aplikaΦnφ vrstv∞ je paket tvo°en pouze z dat (nap°φklad z fragmentu n∞jakΘho posφlanΘho souboru), v transportnφ vrstv∞ pak nap°φklad protokol TCP p°ipojφ k t∞mto dat∙m svΘ vlastnφ zßhlavφ. V internetovΘ vrstv∞ pak IP protokol pova₧uje cel² p°φchozφ paket za data a op∞t k n∞mu p°ipojφ svΘ IP zßhlavφ a tak dßle.
Pozn.: Na stran∞ p°φjemce tohoto paketu dochßzφ k opaΦnΘmu postupu, tj. ka₧dß vrstva odstranφ (zpracuje) svΘ zßhlavφ p°edtφm, ne₧ paket p°edß v²Üe polo₧enΘ vrstv∞. Chceme-li tedy filtrovßnφ paket∙ pochopit a efektivn∞ vyu₧φvat, je nutnΘ si uv∞domit, ₧e nejd∙le₧it∞jÜφ informace jsou obsa₧eny prßv∞ v zßhlavφch jednotliv²ch vrstev!
Co se filtruje?
Pro lepÜφ pochopenφ, co se filtruje a hlavn∞ podle Φeho, si uvedeme ilustrativnφ p°φklad TCP/IP paketu p°enßÜenΘho po Ethernetu.
V nejni₧Üφ ethernetovΘ vrstv∞, jak ji₧ vφme, je paket slo₧en z ethernetovΘho zßhlavφ a t∞la. P°edem chci upozornit na skuteΦnost, ₧e podle informacφ obsa₧en²ch v ethernetovΘm zßhlavφ nejsme obvykle schopni uskuteΦnit filtraci. Nejd∙le₧it∞jÜφmi informacemi, kterΘ jsme schopni z tohoto zßhlavφ zφskat, jsou informace o druhu paketu, o ethernetovΘ adrese poΦφtaΦe, kter² vlo₧il paket do danΘho segmentu, a o cφlovΘ ethernetovΘ adrese v danΘm sφ¥ovΘm segmentu.
Ve v²Üe polo₧enΘ IP vrstv∞ ji₧ m∙₧eme zφskat velmi cennΘ informace z IP zßhlavφ (viz obr. 1). Filtrovat m∙₧eme bu∩ podle Φty°bajtov²ch adres IP zdroje (nap°. 147.228.42.75) a cφle, nebo podle typu IP protokolu, Φi podle pole IP mo₧nostφ.
V TCP vrstv∞ (viz obr. 2) pak dßle m∙₧eme z TCP zßhlavφ zφskat nßsledujφcφ informace vhodnΘ pro stanovenφ filtrovacφch pravidel: dvoubajtovΘ Φφslo TCP zdrojovΘho a cφlovΘho portu a TCP p°φznakovΘ pole, kterΘ obsahuje jeden pro filtraci d∙le₧it² ACK bit (tφmto bitem je identifikovßno, zda dan² paket zahajuje TCP spojenφ).
Vyjmenovßnφm a popsßnφm informacφch vhodn²ch pro filtrovßnφ obsa₧en²ch v jednotliv²ch vrstvßch se dostßvßme k mo₧nΘmu seskupenφ t∞chto informacφ do v∞tÜφch celk∙, rozd∞lujφcφch filtrovßnφ na filtrovßnφ podle adres, filtrovßnφ podle slu₧eb a filtrovßnφ podle Φφsel port∙.
Shrnutφ
A o co bychom se m∞li zajφmat Φi usilovat p°i nßvrhu filtrovacφch pravidel? M∞li bychom vychßzet z postoje tzv. implicitnφho odmφtnutφ. Tento postoj je mnohem bezpeΦn∞jÜφ a efektivn∞jÜφ na rozdφl od implicitnφho povolenφ, ve kterΘm se implicitn∞ povoluje vÜe a zakazujφ se pouze problematickΘ v∞ci (zßporem takovΘhoto postoje je logicky skuteΦnost, ₧e pravd∞podobn∞ nikdo nebude nikdy v∞d∞t vÜe o mo₧n²ch problΘmech a nov²ch nßstrahßch).
╚tenß°i, kte°φ by cht∞li vyzkouÜet filtrovßnφ paket∙ hned po doΦtenφ tohoto Φlßnku, majφ na v²b∞r ze t°φ mo₧nostφ: prvnφ variantou je nßkup komerΦnφho °eÜenφ, druhou je sta₧enφ voln∞ Üi°itelnΘho softwaru (viz infotipy). T°etφ °eÜenφ je urΦeno dovedn∞jÜφm Φtenß°∙m, kte°φ disponujφ pot°ebn²mi zkuÜenostmi a znalostmi, a mohou si tedy filtrovßnφ paket∙ sami naprogramovat.
P°φÜt∞
V p°φÜtφm dφle dokonΦφme naÜe poznßvßnφ firewallov²ch systΘm∙ bli₧Üφm seznßmenφm s tzv. proxy systΘmy.
