Zapora sieciowa

Zapora sieciowa między LAN i WAN

Zapora sieciowa (ang. firewall – ściana ogniowa) – jeden ze sposobów zabezpieczania sieci i systemów przed intruzami.

Termin ten może odnosić się zarówno do sprzętu komputerowego wraz ze specjalnym oprogramowaniem, jak i do samego oprogramowania blokującego niepowołany dostęp do komputera, na którego straży stoi. Pełni rolę połączenia ochrony sprzętowej i programowej sieci wewnętrznej LAN przed dostępem z zewnątrz, tzn. sieci publicznych, Internetu, chroni też przed nieuprawnionym wypływem danych z sieci lokalnej na zewnątrz. Często jest to komputer wyposażony w system operacyjny (np. Linux, BSD) z odpowiednim oprogramowaniem. Do jego podstawowych zadań należy filtrowanie połączeń wchodzących i wychodzących oraz tym samym odmawianie żądań dostępu uznanych za niebezpieczne.

Najczęściej używanymi technikami obrony są:

  • filtrowanie pakietów, czyli sprawdzanie pochodzenia pakietów i akceptowanie pożądanych (np. SPI),
  • stosowanie algorytmów identyfikacji użytkownika (hasła, cyfrowe certyfikaty),
  • zabezpieczanie programów obsługujących niektóre protokoły (np. FTP, TELNET).

Bardzo ważną funkcją zapory sieciowej jest monitorowanie ruchu sieciowego i zapisywanie najważniejszych zdarzeń do dziennika (logu). Umożliwia to administratorowi wczesne dokonywanie zmian konfiguracji. Poprawnie skonfigurowana zapora powinna odeprzeć wszelkie znane typy ataków. Na zaporze można zdefiniować strefę ograniczonego zaufania – podsieć, która izoluje od wewnętrznej sieci lokalne serwery udostępniające usługi na zewnątrz.

Historia

Termin „firewall” pierwotnie odnosił się do ściany przeznaczonej do zamknięcia ognia w budynku[1]. Dalsze zastosowania odnoszą się do podobnych struktur, takich jak metalowa blacha oddzielająca komorę silnika pojazdu lub samolotu od kabiny pasażerskiej. Termin ten został zastosowany pod koniec lat osiemdziesiątych do technologii sieciowej, która pojawiła się, gdy Internet był dość nowy pod względem globalnego wykorzystania i łączności[2]. Poprzednikami zapór sieciowych były routery używane w późnych latach osiemdziesiątych[3].

Pierwsza generacja: filtr pakietów

Pierwszym zgłoszonym typem zapory sieciowej jest filtr pakietów. Filtry pakietów sprawdzają adresy sieciowe i porty pakietów, aby ustalić, czy muszą być przyznane czy odrzucane[4]. Pierwszy artykuł na temat technologii firewall został opublikowany w 1988 roku, kiedy inżynierowie z Digital Equipment Corporation (DEC) opracowali systemy filtrowania znane jako firewall filtrów pakietów. Ten dość podstawowy system to pierwsza generacja, która później stała się ważną funkcją bezpieczeństwa w Internecie. W AT&T Bell Labs, Bill Cheswick i Steve Bellovin kontynuowali swoje badania w zakresie filtrowania pakietów i opracowali działający model dla własnej firmy oparty na oryginalnej architekturze pierwszej generacji[3].

Filtry pakietów działają, sprawdzając pakiety, które są przesyłane między komputerami w Internecie. Gdy pakiet nie pasuje do zestawu reguł filtrowania pakietu filtrów, filtr pakietów albo dyskretnie odrzuca pakiet, albo odrzuca pakiet i generuje powiadomienie protokołu kontroli Internetu dla nadawcy. I odwrotnie, kiedy pakiet pasuje do jednej lub więcej zaprogramowanych reguł filtrowania, może on przejść. Elementy, które można zdefiniować w regule filtra pakietów, obejmują adres źródłowy i docelowy pakietu, protokół oraz porty źródłowe i docelowe. Większość komunikacji internetowej w XX i na początku XXI wieku wykorzystywała protokół TCP (Transmission Control Protocol) i protokół UDP (User Datagram Protocol) w połączeniu ze znanym portem, umożliwiając zaporom sieciowym tej epoki rozróżnianie, a tym samym kontrolowanie określonych typów ruchów (takich jak przeglądanie stron internetowych, druk zdalny, wiadomości e-mail, przesyłanie plików), chyba że komputery po obu stronach filtra pakietów używają tych samych niestandardowych portów[5][6][7].

Druga generacja: warstwa transportowa

W latach 1989–1990 trzech pracowników AT&T Bell Laboratories (Dave Presotto, Janardan Sharma i Kshitij Nigam) opracowali drugą generację firewalli, nazywając je „bramkami na poziomie obwodu” (ang. circuit-level gateways)[8].

Zapory sieciowe drugiej generacji wykonują pracę poprzedników, ale działają do warstwy 4 (warstwa transportowa) modelu OSI. Osiąga się to poprzez zatrzymanie pakietów, dopóki nie będzie wystarczającej ilości informacji, aby ocenić ich stan[9]. Firewall rejestruje wszystkie połączenia przechodzące przez niego i określa, czy pakiet jest początkiem nowego połączenia, częścią istniejącego połączenia, czy nie jest częścią żadnego połączenia[10]. Chociaż reguły statyczne są nadal używane, mogą teraz zawierać stan połączenia jako jedno z kryteriów testowych.

Niektóre ataki typu „odmowa usługi” bombardują zaporę sieciową tysiącami fałszywych pakietów połączeń, próbując ją opanować poprzez wypełnienie pamięci stanu połączenia[11].

Trzecia generacja: warstwa aplikacji

Marcus Ranum, Wei Xu i Peter Churchyard opracowali trzecią generacje firewalla znaną jako Firewall Toolkit (FWTK). W czerwcu 1994 roku Wei Xu rozszerzył FWTK o ulepszenie jądra filtra IP i niewidoczne gniazda. Była ona znana jako pierwsza niewidoczna zapora aplikacji, udostępniona jako produkt komercyjny w zaufanych systemach informatycznych (Trusted Information Systems). Zapora sieciowa Gauntlet została oceniona jako jedna z najlepszych zapór sieciowych w latach 1995–1998.

Kluczową zaletą filtrowania warstw aplikacji jest to, że może ona „zrozumieć” określone aplikacje i protokoły (takie jak protokół FTP, system nazw domen (DNS) lub protokół HTTP (Hypertext Transfer Protocol)). Jest to użyteczne, ponieważ jest w stanie wykryć, czy niechciana aplikacja lub usługa próbuje ominąć zaporę sieciową za pomocą protokołu na dozwolonym porcie lub wykryć, czy protokół jest nadużywany w jakikolwiek szkodliwy sposób.

Począwszy od 2012 roku, tak zwana zapora następnej generacji (NGFW) to nic innego jak „szersza” lub „głębsza” inspekcja na stosie aplikacji. Na przykład istniejąca funkcja głębokiej inspekcji pakietów w nowoczesnych zaporach sieciowych może zostać rozszerzona o takie funkcje jak:

  • Systemy zapobiegania włamaniom (IPS)
  • Integracja zarządzania tożsamościami użytkowników (poprzez powiązanie identyfikatorów użytkowników z adresami IP lub MAC dla „reputacji”)
  • Zapora aplikacji WWW (WAF)[12].

Typy zapór sieciowych

  • Zapory filtrujące – monitorują przepływające przez nie pakiety sieciowe i przepuszczają tylko zgodne z regułami ustawionymi na danej zaporze (zapora pracująca dodatkowo jako router). Zwykle w niewielkich sieciach jest zapora sprzętowa bądź wydzielony komputer z systemem operacyjnym Linux. Obecnie najczęściej wykorzystywana metoda filtrowania w Linuksie to reguły oparte na iptables. Dostępne są także zamknięte komercyjne rozwiązania programowe, z których wiele posiada bardzo wymyślne własności i rozbudowany system konfiguracji oraz wiele możliwych do zintegrowania rozwiązań, pozwalających nie tylko na analizę (Snort, psad) i filtrowanie pakietów IP, ale także na sprawdzanie poprawności pakietów z punktu widzenia wyższych warstw modelu ISO/OSI, a nawet na prowadzenie ochrony antywirusowej.
  • Translacja adresów sieciowych (ang. network address translation, NAT) – polega na dokonywaniu zamiany adresu IP hosta wewnętrznego w celu ukrycia go przed zewnętrznym monitorowaniem. Mechanizm ten jest również nazywany maskowaniem adresu IP.
  • Zapory pośredniczące (proxy) – wykonujące połączenie z serwerem w imieniu użytkownika. Przykładowo, zamiast uruchomienia sesji http bezpośrednio do zdalnego serwera WWW, uruchamiana jest sesja z zaporą i dopiero stamtąd uruchamiane jest połączenie z systemem zdalnym. Cała komunikacja na serwer http przechodzi przez serwer pośredniczący (proxy), które może filtrować ruch. Proxy, jeśli ma taką funkcjonalność, potrafi rozpoznać komendy http, jak i analizować zawartość pobieranych stron WWW (działa w warstwie aplikacji modelu ISO/OSI). Zabezpieczające działanie zapory, z punktu widzenia klienta, polega w tym wypadku na tym, iż możliwe jest blokowanie wybranej treści (ang. content filtering), aby nie dotarła ona do klienta (np. strony ze słowami wulgarnymi, o treści pornograficznej itp.).

Współcześnie często pracująca zapora sieciowa jest rozwiązaniem hybrydowym analizującym pakiety od warstwy łącza danych do aplikacji modelu OSI. Umożliwia realizację złożonych polityk bezpieczeństwa oraz integrację z systemami IDS. Skuteczna ochrona zasobów IT oznacza całościowe działania, kierujące ku podstawom bezpieczeństwa. Najważniejsze jego elementy dotyczą infrastruktury, backupu, danych osobowych, zabezpieczenia przed problemami wynikającymi z utraty zasilania czy chociażby awarii chłodzenia[13].

Przypisy

  1. John E. Canavan, Fundamentals of network security, Boston: Artech House, 2001, ISBN 978-1-58053-176-4, OCLC 45172884.
  2. Tim Gallo, Building an intelligence-led security program, Amsterdam, ISBN 0-12-802370-8, OCLC 898326670.
  3. a b Kenneth Ingham, A History and Survey of Network Firewalls, 25 listopada 2011.
  4. Justin. Peltier, Complete guide to CISM certification, Boca Raton: Auerbach Publications, 2007, ISBN 978-1-4200-1325-2, OCLC 85767529.
  5. TCP vs. UDP By Erik Rodriguez.
  6. William R. Cheswick, Steven M. Bellovin, Aviel D. Rubin (2003). „Google Books Link”. Firewalls and Internet Security: repelling the wily hacker.
  7. Aug 29, 2003 Virus may elude computer defenses by Charles Duhigg, Washington Post.
  8. Proceedings of National Conference on Recent Developments in Computing and Its Applications, Sierpień 12–13, 2009. I.K. International Pvt. Ltd. 2009-01-01. dostęp: 2014-04-22.
  9. Cordingley, Julian, 1966-, Code hacking. A developer’s guide to network security, Hingham, Mass.: Charles River Media, 2004, ISBN 1-58450-314-9, OCLC 61356789.
  10. Jason Andress, The basics of information security. Understanding the fundamentals of InfoSec in theory and practice, wyd. Second edition, Waltham, MA, ISBN 978-0-12-800812-6, OCLC 880706587.
  11. Chang, Rocky. Defending Against Flooding-Based Distributed Denial-of-Service Attacks: A Tutorial. „IEEE Communications Magazine”. 40 (10), s. 42–43, październik 2002. DOI: 10.1109/mcom.2002.1039856. ISSN 0163-6804. 
  12. „WAFFle: Fingerprinting Filter Rules of Web Application Firewalls”. 2012.
  13. Chmura bezpieczna i elastyczna. MIT Sloan Management Review Polska, 2019-06-12. [dostęp 2019-10-15].

Media użyte na tej stronie

REF new (questionmark).svg
Autor: Sławobóg, Licencja: LGPL
Icon for missing references
Firewall.png
Autor: Bruno Pedrozo, Licencja: CC BY-SA 3.0
Simulação da participação de um Firewall entre uma LAN e uma WAN.