MASKARADA_I_FIREWALL__SU.PDF

BIULETYN INSTYTUTU AUTOMATYKI I ROBOTYKI WAT

NR 14, 2000

Ochrona sieci lokalnej za pomocą zapory sieciowej

Zbigniew SUSKI 1 , Piotr KOŁODZIEJCZYK 2

STRESZCZENIE: W dobie wzrastającego zagrożenia systemów sieciowych coraz większe

zainteresowanie budzą różne mechanizmy mające na celu zwiększenie stopnia bezpieczeństwa

systemów. Jednym z takich mechanizmów jest zapora sieciowa (ang. firewall). W artykule

omówiono ogólne zasady budowy zapory sieciowej i podstawowe schematy organizacyjne.

Przedstawiono mechanizmy dostępne w systemie operacyjnym Linux, które umożliwiają

zbudowanie zapory w oparciu o ten system. Zamieszczono przykłady konfiguracji zapory

wykorzystującej system Linux. W końcowej części opracowania przedstawiono opisy kilku

oferowanych na rynku rozwiązań komercyjnych.

1. Co to jest zapora sieciowa?

Zapora sieciowa (ang. firewall ) to konstrukcja zapewniająca kontrolowane

połączenie pomiędzy siecią prywatną i Internetem (siecią publiczną). Dostarcza ona

mechanizmu kontroli ilości i rodzaju ruchu sieciowego między obydwoma sieciami. Zapory

sieciowe to narzędzia o dużych możliwościach, ale nie powinno się ich używać zamiast

innych środków bezpieczeństwa, lecz obok nich.

Termin firewall zaczerpnięto z budownictwa (chociaż spotyka się też inne opinie).

Bloki mieszkaniowe i budynki biurowe są często wyposażane w specjalnie skonstruowane

ściany, które się opierają ogniowi. Jeśli budynek zacznie się palić, to właśnie specjalna

zapora zatrzyma ogień lub przynajmniej spowolni jego rozprzestrzenianie się do czasu

przybycia pomocy.

Podobna filozofia stosowana jest do ochrony sieci lokalnej przed napastnikami

z zewnątrz. Stosowanie odpowiednio skonfigurowanej zapory sieciowej może

minimalizować ilość strat powstałych w wyniku ataku z zewnątrz. Należy jednak pamiętać,

1 Zakład Teleinformatyki, Instytut Automatyki i Robotyki WAT, ul. Kaliskiego 2, 00-908 Warszawa.

Wydział Nauk Komputerowych, Prywatna Wyższa Szkoła Biznesu i Administracji, ul. Bobrowiecka 9,

00-728 Warszawa.

Wydział Cybernetyki WAT, ul. Kaliskiego 2, 00-908 Warszawa.

Z. Suski, P. Kołodziejczyk

że nigdy nie będziemy mieć 100% gwarancji bezpieczeństwa, a poziom tego

bezpieczeństwa jest zawsze skutkiem kompromisu pomiędzy potrzebnymi środkami,

a nakładami finansowymi przeznaczonymi na ten cel.

Podstawowe funkcje, które powinna spełniać zapora sieciowa to:

a) zapewnienie „bezpiecznego” dostępu do Internetu użytkownikom sieci prywatnej,

b) zapewnienie ochrony zasobów sieci prywatnej przed atakami z zewnątrz.

Oprócz tych dwóch podstawowych funkcji można jeszcze wyszczególnić kilka

dodatkowych, które z powodzeniem może realizować zapora sieciowa:

a) blokowanie dostępu do określonych miejsc w Internecie, blokowanie (całkowite lub

częściowe) dostępu do Internetu określonym użytkownikom,

b) monitorowanie komunikacji pomiędzy siecią prywatną a Internetem,

c) rejestrowanie całości lub określonej części ruchu międzysieciowego,

d) tworzenie prywatnych sieci wirtualnych (VPN) pomiędzy oddziałami organizacji.

2. Schemat organizacyjny zapory sieciowej

Na konstrukcję zapory sieciowej zwykle składają się filtry pakietów oraz serwery

proxy.

Podstawowym zadaniem zapory jest ograniczenie przepływu danych między

sieciami. Przed postawieniem zapory trzeba określić, jakie rodzaje danych mają być przez

nią przepuszczane, a jakie nie. Czyli trzeba zdefiniować politykę zapory . Następnie

należy skonstruować mechanizmy , które umożliwią wprowadzenie tej polityki w życie.

Filtry pakietów to urządzenia przechwytujące każdy transmitowany pakiet danych

i dopuszczające lub blokujące przesłanie tego pakietu do adresata. Decyzja o przesłaniu

jest podejmowana na podstawie atrybutów rozpatrywanego pakietu. Są to m.in. adres

źródłowy, adres docelowy, typ protokołu, port źródłowy, port docelowy, zawartość.

W praktyce funkcjonują dwie podstawowe strategie konfiguracji filtrów pakietów:

domyślne przepuszczanie oraz domyślne powstrzymywanie. Pierwsza polega na

blokowaniu tylko niektórych portów, protokołów czy adresów. Stosowana jest więc zasada:

wszystko, co nie jest zabronione jest dozwolone . Druga strategia polega na odblokowaniu

tylko niektórych portów, protokołów czy adresów. Obowiązuje więc zasada: wszystko, co

nie jest dozwolone jest zabronione. Administrator systemu, dążący w konfiguracji zapory

Ochrona sieci lokalnej za pomocą zapory sieciowej

sieciowej do osiągnięcia maksymalnego bezpieczeństwa, powinien oczywiście wybrać

strategię domyślnego powstrzymywania.

Serwery proxy to pakiety programowe służące do pośredniczenia w ruchu

sieciowym pomiędzy siecią prywatną a Internetem. Użytkownik sieci prywatnej, który

chciałby skorzystać z usługi udostępnianej na serwerze w Internecie, rejestruje się

najpierw w aplikacji serwera proxy . Zadaniem tego serwera jest uwierzytelnienie

użytkownika i po stwierdzeniu, że ma on odpowiednie prawa, zezwolenie na skorzystanie

z usługi w Internecie. Przy połączeniach z sieci zewnętrznej postępowanie jest podobne.

Ponieważ serwer proxy działa na poziomie aplikacji, więc każdy typ aplikacji wymaga

oddzielnego serwera. Taki zastaw serwerów proxy nazywamy bramą aplikacyjną.

Przez połączenie filtrów pakietów i serwerów proxy , oraz ich odpowiednie

osadzenie na platformach sprzętowych, można uzyskać różne konfiguracje zapór

sieciowych. Najbardziej popularne są w tej chwili cztery konfiguracje:

a. host z dwoma portami,

b. filtr pakietów,

c. zapora z jednym filtrem pakietów i bramą aplikacyjną,

d. zapora z dwoma filtrami pakietów i bramą aplikacyjną.

2.1. Host z dwoma portami

Jest to jedno z najstarszych rozwiązań. Polega na osadzeniu zapory na komputerze

wyposażonym w dwa interfejsy sieciowe, pracującym zwykle pod kontrolą systemu

operacyjnego z rodziny UNIX. Komputer w zaporze działa jednocześnie jako dławik

i brama. Usługi są zwykle oferowane użytkownikom na dwa sposoby:

•

użytkownik loguje się do komputera z dwoma portami,

•

na hoście z dwoma portami mogą działać serwery proxy poszczególnych,

przepuszczanych przez zaporę usług.

W systemie operacyjnym, a dokładniej mówiąc w jego jądrze musi być włączona opcja

ip_forwarding .

Z. Suski, P. Kołodziejczyk

Internet

Host z dwoma

portami

Sieć wewnętrzna

Rys.1. Firewall – host z dwoma portami

2.2. Filtr pakietów

Ten typ zapory buduje się na bazie jednego filtru pakietów. Może nim być np.

router , w którym dostępna jest funkcja filtrowania pakietów. Jest to konfiguracja prosta

i dość popularna. Programowanie filtru polega na:

•

zablokowaniu pakietów wszystkich nieużywanych usług,

•

zablokowaniu pakietów z ustawioną opcją routingu źródłowego ,

•

zezwoleniu na połączenia przychodzące tylko z określonych serwerów sieciowych

i blokowaniu pozostałych,

•

zezwoleniu komputerom z sieci wewnętrznej na połączenia z dowolnym

komputerem w sieci zewnętrznej.

Do zalet takiej konfiguracji należy zaliczyć prostotę, taniość i elastyczność

wyrażającą się łatwością blokowania dostępu z wybranej sieci zewnętrznej. Do wad

należą:

Sieć wewnętrzna

Ochrona sieci lokalnej za pomocą zapory sieciowej

•

brak lub słabo rozbudowany system rejestracji ruchu przechodzącego przez zaporę,

prób włamań, udzielania użytkownikom różnego rodzaju dostępu, zwłaszcza

w przypadku starszych urządzeń,

•

złożoność reguł filtrowania może być znaczna, co powoduje znaczną trudność ich

weryfikowania,

•

testowanie filtru polega na eksperymentowaniu, które może być czasami dość

problematyczne,

•

po złamaniu zabezpieczeń routera , komputery w sieci wewnętrznej będą

całkowicie podatne na ataki,

•

brak zabezpieczeń przed zawartością pewnych pakietów (np. SMTP czy FTP).

Internet

Router

Sieć wewnętrzna

Rys. 2. Firewall – filtr pakietów

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: