pl Maskarada i firewall [Suski, Linux, e-books (wszystko o linuxach)
[ Pobierz całość w formacie PDF ]
BIULETYN INSTYTUTU AUTOMATYKI I ROBOTYKI WAT
NR 14, 2000
Ochrona sieci lokalnej za pomocą zapory sieciowej
Zbigniew SUSKI
1
, Piotr KOŁODZIEJCZYK
2
STRESZCZENIE: W dobie wzrastającego zagrożenia systemów sieciowych coraz większe
zainteresowanie budzą różne mechanizmy mające na celu zwiększenie stopnia bezpieczeństwa
systemów. Jednym z takich mechanizmów jest zapora sieciowa (ang. firewall). W artykule
omówiono ogólne zasady budowy zapory sieciowej i podstawowe schematy organizacyjne.
Przedstawiono mechanizmy dostępne w systemie operacyjnym Linux, które umożliwiają
zbudowanie zapory w oparciu o ten system. Zamieszczono przykłady konfiguracji zapory
wykorzystującej system Linux. W końcowej części opracowania przedstawiono opisy kilku
oferowanych na rynku rozwiązań komercyjnych.
1. Co to jest zapora sieciowa?
Zapora sieciowa (ang.
firewall
) to konstrukcja zapewniająca kontrolowane
połączenie pomiędzy siecią prywatną i Internetem (siecią publiczną). Dostarcza ona
mechanizmu kontroli ilości i rodzaju ruchu sieciowego między obydwoma sieciami. Zapory
sieciowe to narzędzia o dużych możliwościach, ale nie powinno się ich używać
zamiast
innych środków bezpieczeństwa, lecz
obok
nich.
Termin
firewall
zaczerpnięto z budownictwa (chociaż spotyka się też inne opinie).
Bloki mieszkaniowe i budynki biurowe są często wyposażane w specjalnie skonstruowane
ściany, które się opierają ogniowi. Jeśli budynek zacznie się palić, to właśnie specjalna
zapora zatrzyma ogień lub przynajmniej spowolni jego rozprzestrzenianie się do czasu
przybycia pomocy.
Podobna filozofia stosowana jest do ochrony sieci lokalnej przed napastnikami
z zewnątrz. Stosowanie odpowiednio skonfigurowanej zapory sieciowej może
minimalizować ilość strat powstałych w wyniku ataku z zewnątrz. Należy jednak pamiętać,
1
Zakład Teleinformatyki, Instytut Automatyki i Robotyki WAT, ul. Kaliskiego 2, 00-908 Warszawa.
Wydział Nauk Komputerowych, Prywatna Wyższa Szkoła Biznesu i Administracji, ul. Bobrowiecka 9,
00-728 Warszawa.
2
Wydział Cybernetyki WAT, ul. Kaliskiego 2, 00-908 Warszawa.
3
Z. Suski, P. Kołodziejczyk
że nigdy nie będziemy mieć 100% gwarancji bezpieczeństwa, a poziom tego
bezpieczeństwa jest zawsze skutkiem kompromisu pomiędzy potrzebnymi środkami,
a nakładami finansowymi przeznaczonymi na ten cel.
Podstawowe funkcje, które powinna spełniać zapora sieciowa to:
a) zapewnienie „bezpiecznego” dostępu do Internetu użytkownikom sieci prywatnej,
b) zapewnienie ochrony zasobów sieci prywatnej przed atakami z zewnątrz.
Oprócz tych dwóch podstawowych funkcji można jeszcze wyszczególnić kilka
dodatkowych, które z powodzeniem może realizować zapora sieciowa:
a) blokowanie dostępu do określonych miejsc w Internecie, blokowanie (całkowite lub
częściowe) dostępu do Internetu określonym użytkownikom,
b) monitorowanie komunikacji pomiędzy siecią prywatną a Internetem,
c) rejestrowanie całości lub określonej części ruchu międzysieciowego,
d) tworzenie
prywatnych sieci wirtualnych
(VPN) pomiędzy oddziałami organizacji.
2. Schemat organizacyjny zapory sieciowej
Na konstrukcję zapory sieciowej zwykle składają się filtry pakietów oraz serwery
proxy.
Podstawowym zadaniem zapory jest ograniczenie przepływu danych między
sieciami. Przed postawieniem zapory trzeba określić, jakie rodzaje danych mają być przez
nią przepuszczane, a jakie nie. Czyli trzeba zdefiniować
politykę zapory
. Następnie
należy skonstruować
mechanizmy
, które umożliwią wprowadzenie tej polityki w życie.
Filtry pakietów to urządzenia przechwytujące każdy transmitowany pakiet danych
i dopuszczające lub blokujące przesłanie tego pakietu do adresata. Decyzja o przesłaniu
jest podejmowana na podstawie atrybutów rozpatrywanego pakietu. Są to m.in. adres
źródłowy, adres docelowy, typ protokołu, port źródłowy, port docelowy, zawartość.
W praktyce funkcjonują dwie podstawowe strategie konfiguracji filtrów pakietów:
domyślne przepuszczanie oraz domyślne powstrzymywanie. Pierwsza polega na
blokowaniu tylko niektórych portów, protokołów czy adresów. Stosowana jest więc zasada:
wszystko, co nie jest zabronione jest dozwolone
. Druga strategia polega na odblokowaniu
tylko niektórych portów, protokołów czy adresów. Obowiązuje więc zasada:
wszystko, co
nie jest dozwolone jest zabronione.
Administrator systemu, dążący w konfiguracji zapory
4
Ochrona sieci lokalnej za pomocą zapory sieciowej
sieciowej do osiągnięcia maksymalnego bezpieczeństwa, powinien oczywiście wybrać
strategię domyślnego powstrzymywania.
Serwery
proxy
to pakiety programowe służące do pośredniczenia w ruchu
sieciowym pomiędzy siecią prywatną a Internetem. Użytkownik sieci prywatnej, który
chciałby skorzystać z usługi udostępnianej na serwerze w Internecie, rejestruje się
najpierw w aplikacji serwera
proxy
. Zadaniem tego serwera jest uwierzytelnienie
użytkownika i po stwierdzeniu, że ma on odpowiednie prawa, zezwolenie na skorzystanie
z usługi w Internecie. Przy połączeniach z sieci zewnętrznej postępowanie jest podobne.
Ponieważ serwer
proxy
działa na poziomie aplikacji, więc każdy typ aplikacji wymaga
oddzielnego serwera. Taki zastaw serwerów
proxy
nazywamy bramą aplikacyjną.
Przez połączenie filtrów pakietów i serwerów
proxy
, oraz ich odpowiednie
osadzenie na platformach sprzętowych, można uzyskać różne konfiguracje zapór
sieciowych. Najbardziej popularne są w tej chwili cztery konfiguracje:
a. host z dwoma portami,
b. filtr pakietów,
c. zapora z jednym filtrem pakietów i bramą aplikacyjną,
d. zapora z dwoma filtrami pakietów i bramą aplikacyjną.
2.1. Host z dwoma portami
Jest to jedno z najstarszych rozwiązań. Polega na osadzeniu zapory na komputerze
wyposażonym w dwa interfejsy sieciowe, pracującym zwykle pod kontrolą systemu
operacyjnego z rodziny UNIX. Komputer w zaporze działa jednocześnie jako dławik
i brama. Usługi są zwykle oferowane użytkownikom na dwa sposoby:
•
użytkownik loguje się do komputera z dwoma portami,
•
na hoście z dwoma portami mogą działać serwery
proxy
poszczególnych,
przepuszczanych przez zaporę usług.
W systemie operacyjnym, a dokładniej mówiąc w jego jądrze musi być włączona opcja
ip_forwarding
.
5
Z. Suski, P. Kołodziejczyk
Internet
Host z dwoma
portami
Sieć wewnętrzna
Rys.1. Firewall – host z dwoma portami
2.2. Filtr pakietów
Ten typ zapory buduje się na bazie jednego filtru pakietów. Może nim być np.
router
, w którym dostępna jest funkcja filtrowania pakietów. Jest to konfiguracja prosta
i dość popularna. Programowanie filtru polega na:
•
zablokowaniu pakietów wszystkich nieużywanych usług,
•
zablokowaniu pakietów z ustawioną opcją
routingu źródłowego
,
•
zezwoleniu na połączenia przychodzące tylko z określonych serwerów sieciowych
i blokowaniu pozostałych,
•
zezwoleniu komputerom z sieci wewnętrznej na połączenia z dowolnym
komputerem w sieci zewnętrznej.
Do zalet takiej konfiguracji należy zaliczyć prostotę, taniość i elastyczność
wyrażającą się łatwością blokowania dostępu z wybranej sieci zewnętrznej. Do wad
należą:
6
Sieć wewnętrzna
Ochrona sieci lokalnej za pomocą zapory sieciowej
•
brak lub słabo rozbudowany system rejestracji ruchu przechodzącego przez zaporę,
prób włamań, udzielania użytkownikom różnego rodzaju dostępu, zwłaszcza
w przypadku starszych urządzeń,
•
złożoność reguł filtrowania może być znaczna, co powoduje znaczną trudność ich
weryfikowania,
•
testowanie filtru polega na eksperymentowaniu, które może być czasami dość
problematyczne,
•
po złamaniu zabezpieczeń
routera
, komputery w sieci wewnętrznej będą
całkowicie podatne na ataki,
•
brak zabezpieczeń przed zawartością pewnych pakietów (np. SMTP czy FTP).
Internet
Router
Sieć wewnętrzna
Sieć wewnętrzna
Rys. 2. Firewall – filtr pakietów
7
[ Pobierz całość w formacie PDF ]