Zapora ogniowa

ITpedia

Koncepcja zapory ogniowej
Koncepcja zapory ogniowej
Pięć zastosowań zapór ogniowych
Pięć zastosowań zapór ogniowych

Zapory ogniowe (firewalls) są podstawowym środkiem ochrony sieci prywatnych przed infiltracją ze strony osób niepowołanych. W większości przypadków chroniony jest dostęp do mocy obliczeniowej sieci oraz kontrolowany dostęp do danych. Problem ten staje się szczególnie ważny w przypadku połączenia sieci prywatnej z Internetem. Konfigurowanie zapór ogniowych jest ściśle związane z założeniami polityki bezpieczeństwa sieci prywatnej. W tym aspekcie można wyróżnić dwa rodzaje polityki:

  • to, co nie jest wyraźnie dozwolone, jest zabronione,
  • to, co nie jest wyraźnie zabronione, jest dozwolone.

W pierwszym przypadku zapora ogniowa musi być tak skonfigurowana, aby blokowała dostęp wszystkim z zewnątrz, a usługi sieciowe mogą być dopuszczane na zasadzie indywidualnych decyzji. Taka zapora ogniowa staje się dla użytkowników dość kłopotliwą przeszkodą. W przypadku drugim główny ciężar ochrony spada na administratora sieci - musi on cały czas czuwać nad "obszarem rzeczy zakazanych", decydując, co do niego włączyć i kiedy.

Schemat sieci z zaporą ogniową i "strefą zdemilitaryzowaną"
Schemat sieci z zaporą ogniową i "strefą zdemilitaryzowaną"

Zapory ogniowe umieszcza się na styku dwóch sieci w celu zapobieżenia przenikania niepożądanych - z punktu widzenia chronionej sieci - zjawisk świata zewnętrznego, takich jak infekcje wirusowe lub włamania do systemu itp. Rezydują one na serwerach bądź na funkcjonalnie rozbudowanych routerach. Rola zapory sprowadza się do kontroli komunikacji pomiędzy dwiema sieciami w ramach strategii polityki ochronnej danej organizacji. W takim punkcie przejścia strumień pakietów jest filtrowany i weryfikowany zgodnie z zespołem różnych kryteriów, których stopień skomplikowania zależy od zastosowanej technologii: adres źródłowy i docelowy, numery portów, usługi, typy protokołów, prawa dostępu użytkowników wraz z ich identyfikacją itp. Jeśli część strumienia jest postrzegana jako zagrożenie, pakiety, które go tworzą, nie będą przepuszczane. W budowaniu zapór ogniowych są stosowane dwie podstawowe technologie:

  • filtrowanie pakietów, jeśli selekcja informacji dokonuje się w warstwach niższych, na poziomie protokołu sieciowego IP (Internetwork Protocol);
  • bramy warstwy aplikacyjnej, jeśli informacje przechodzą przez niezależną aplikację, zwaną proxy, albo też bramy połączeniowe, obsługujące jedynie niektóre aplikacje TCP i nic poza nimi.

Przejście przez zaporę ogniową

Każda zapora ogniowa stosuje trochę inny sposób blokady lub otwarcia dostępu. Generalnie, zewnętrzny dostęp do usług wewnętrznych jest po prostu wyłączany; zapora ogniowa działa jak zawór zwrotny, pozwalając użytkownikom wewnętrznym generować ruch na zewnątrz, lecz blokując odbiór ruchu z zewnątrz. Niektóre zapory ogniowe przewidują specjalne przejścia, pozwalające wybranym systemom z zewnątrz na łączenie się z niektórymi systemami wewnątrz.

Jeżeli oczekuje się tylko sprawnego "zaworu zwrotnego", to prawie wszystkie dostępne zapory ogniowe spełnią wymagania takiej polityki ochronnej. W przypadku bardziej złożonej polityki ochronnej trzeba stosować bardziej wnikliwe kryteria.

Zapory ogniowe można podzielić na dwie kategorie: działające z wykorzystaniem adresu IP oraz opierające się na procedurze sprawdzania tożsamości użytkownika. Zapory pierwszej kategorii kierują się tym, z jakim adresem IP powiązani są użytkownicy "wchodzący" z zewnątrz, i nie mają ścisłych wymagań odnośnie uwierzytelniania takich użytkowników. Zapory drugiej kategorii zakładają ścisły związek między użytkownikami a dostępem przez zaporę ogniową i generalnie są bardziej restrykcyjne dla użytkowników nieuprawnionych. Istnieją również bardzo interesujące produkty hybrydowe realizujące mieszane techniki.


Jeżeli polityka ochronna danej organizacji zakłada nieufność do wszystkich z zewnątrz i zaufanie do większości osób z wewnątrz, to filtracja opierająca się na IP może być wystarczająca. Dla ruchu pochodzącego z wewnątrz chronionej sieci ten rodzaj filtracji jest bardzo dobry. Dla użytkowników z zewnątrz filtracja opierająca się na IP jest praktycznie bezużyteczna. Ponieważ Internet jest pozbawiony ochrony, żaden adres IP nie może być zaufany, gdyż można je łatwo zmieniać lub preparować. Sprawdzanie tożsamości użytkownika nie zawsze usuwa problem, ponieważ zdolny "napastnik" może "uprowadzić" istniejącą sesję TCP, uzyskując w ten sposób prawidłowe warunki dostępu.

Gdy niezbędna jest szczelna kontrola ruchu, konieczne jest uwierzytelnianie każdego bez wyjątku dostępu TCP przez zaporę. Oznacza to, że każda komenda telnet lub FTP jest zatrzymywana na zaporze, dopóki nie zostanie wykonana procedura uwierzytelniania. Zapora może także operować w trybie transparentnym, nie wymagającym uwierzytelniania dla użytkowników wewnętrznych.

Model ten jest nie do przyjęcia w przypadku protokołu, takiego jak HTTP, który może otwierać setki sesji TCP w momentach, gdy użytkownik przechodzi kliknięciami ze strony na stronę. Legalizacja każdej takiej sesji byłaby niepraktyczna, tak więc alternatywnym rozwiązaniem jest albo nieskrępowane dopuszczenie takiego ruchu bez legalizacji, albo zablokowanie takich sesji.


Zewnętrzny dostęp do usług sieciowych, takich jak WWW, SMTP i serwery DNS, jest różnie traktowany. Zapory mogą blokować jakikolwiek bezpośredni dostęp, stosując zasadę nietransparentnego przejścia przez zaporę, przy założeniu, że usługi dostępne w Internecie będą poza zaporą. Większość stosujących technikę kontroli połączenia zapór niejawnie przewiduje ograniczone funkcje NAT.

Podstawowym wymaganiem stawianym zaporom ogniowym jest generowanie alarmów w momentach stosowania "nacisku" na zaporę. Jeżeli ktokolwiek sonduje sieć pod kątem jej słabych punktów, dobra zapora powinna rejestrować takie próby i przewidywać bezpośrednie alarmy w razie poważnych ataków. Często też oczekuje się od zapór dostarczania raportów ogólnych o ruchu TCP/IP, dla celów planowania i innych potrzeb administracyjnych. Niektóre z nich to proste dodatki, takie jak na przykład zasada pory dnia time-of -day. Inne są specjalne, jak na przykład szyfrowanie tunelu IP.

Jeżeli istnieją potrzeby ograniczenia dostępu do Internetu w określonych przedziałach czasowych, zapory mogą używać reguł time-of-day i day-of-week dopuszczających nieskrępowany dostęp do WWW w określonym czasie, na przykład po godzinach szczytu.


Zapory ogniowe stały się produktami coraz bardziej zautomatyzowanymi, a przy tym prostszymi. Niektóre z nich chronią nawet systemy eksploatacyjne, w których zostały zainstalowane. Powoli zaciera się różnica między skrzynką nazywaną routerem filtrującym a skrzynką o nazwie zapora ogniowa. Nowe routery filtrujące oferują coraz bardziej kompletne filtrowanie, a ponadto integrują funkcje tak samo zaawansowane, jak tradycyjne zapory ogniowe.

-
-