Firewally

Připojení lokální počítačové sítě do Internetu přináší kromě naprosto zřejmých výhod i některé nevýhody. ...


Připojení lokální počítačové sítě do Internetu přináší kromě naprosto zřejmých
výhod i některé nevýhody. Protože však potenciální výhody převyšují případné
nevýhody, není odpojení od Internetu zrovna nejlepším řešením. Zbývá tedy pouze
možnost minimalizovat případné nevýhody nebo hrozby, které takové připojení
přináší. K tomuto účelu je nejjednodušší využít místo, ve kterém se lokální síť
připojuje k Internetu a umístit zde firewall.
Firewall je kombinace hardwarových a softwarových prostředků poskytující
kontrolu přístupu k síťovým službám, adresnou zodpovědnost, jednotný bod pro
některé síťové služby a ukrytí části vnitřní sítě.
Firewall ale nezabrání útoku z vnitřní strany sítě a také není schopen reagovat
na neznámé hrozby.
Druhy firewallů
1. Paketové filtry
Paketové filtry jsou celkem levným a poměrně účinným způsobem zabezpečení
vnitřní sítě. Na většině směrovačů, které se používají pro připojení k
Internetu, jsou paketové filtry součástí programového vybavení.
Paketový filtr pracuje na principu kontroly některých polí v hlavičkách paketů.
Tato pole porovnává s pravidly uloženými v paměti a provádí akce, které jsou v
pravidle definovány.
Protože paketový filtr filtruje pouze podle těchto polí, má tedy omezené
možnosti při kontrole bezpečnostních požadavků. Je schopen rozlišit jednotlivé
počítače, používané služby, nebo volby v jednotlivých protokolech na úrovni
TCP/IP. Není však již schopen rozlišit, identifikovat a popřípadě autentizovat
jednotlivé uživatele, což je jistě žádaná činnost.
Některé směrovače navíc umožňují tzv. NAT (Network Address Translation, překlad
adres). Překlad adres umožňuje skrýt celou vnitřní síť za jednu (nebo několik)
síťových adres nebo rozkládat zátěž provozu, který přichází do vnitřní sítě
(např. silně vytížený WWW server).
2. Aplikační brány
Aplikační bránou rozumíme program, ale také počítač, na kterém tato brána běží.
Její postup je odlišný od filtrování paketů. Bývá umístěna mezi lokální a
rozsáhlou sítí. Uživatelský klientský program místo toho, aby komunikoval se
skutečným serverem poskytujícím dané služby, komunikuje s aplikační bránou.
Aplikační brána musí rozumět protokolu, kterým klient se serverem komunikují.
To jí umožňuje vyhodnocovat požadavky obou stran a zabraňovat tak nepovoleným
operacím. Tak může například zabraňovat přenosu proveditelných souborů pomocí
FTP. Aplikační brána je schopná autentizovat nejen uživatele, ale i jednotlivé
operace. Je tedy podstatně flexibilnější než pouhý paketový filtr.
Aplikační brány mají však i své nevýhody:
lkaždá služba vyžaduje specializovanou aplikační bránu, protože používá jiný
protokol,
laplikační brány nejsou dostupné pro všechny druhy služeb,
lpoužití aplikační brány může vyžadovat modifikaci klientských programů nebo
postupů při používání dané služby.
Některé služby poskytují možnost využití aplikační brány automaticky, stačí
pouze vhodně nakonfigurovat klientský program. Typickým příkladem mohou být WWW
prohlížeče, ve kterých je možné nastavit tzv. proxy. Tato proxy vyřizuje
požadavky za klienta a má možnost kontrolovat přístup k jednotlivým WWW
stránkám, včetně např. filtrování javových appletů.
Pokud není klientský program schopen používat aplikační bránu, je nutné zvolit
jiný postup. Tím je buď úprava klientského programu, nebo použití
nestandardního přístupu k dané službě. Protože jsou však zdrojové texty
klientského programu málokdy dostupné, je použití nestandardního přístupu ke
službě tím jednodušším řešením.
Konstrukce firewallů
Z paketových filtrů a aplikačních bran je možné konstruovat složitější
firewally máme 4 základní typy.
Jednoduchý filtrující směrovač
Všechny počítače v lokální síti udržují přímé spojení s rozsáhlou sítí. Tato
architektura vyžaduje pečlivě zkonstruovaná filtrovací pravidla. Bohužel není
možné dostatečně dobře kontrolovat aktivity jednotlivých uživatelů a je tedy
obtížné zajistit dostatečnou bezpečnost spolu s co největší dostupností všech
služeb.
Jednoduchá aplikační brána
Lokální síť je možné oddělit od rozsáhlé sítě počítačem se dvěma síťovými
rozhraními. Tento počítač však není směrovač a dokonale obě sítě odděluje.
Počítače z obou stran sítě mohou komunikovat pouze s tímto počítačem, což mu
umožňuje jednoduchým způsobem všechna spojení kontrolovat. Nevýhodou tohoto
přístupu jsou omezené možnosti používání služeb druhé strany sítě. Pro každou
službu totiž musí na tomto počítači existovat aplikační brána.
Směrovač a aplikační brána
Aby bylo možné používat i služby, pro které neexistuje aplikační brána, lze
jednoduše zkombinovat aplikační bránu s paketovým filtrem. Základní
bezpečnostní opatření zde poskytuje paketový filtr. Pokud pro některou službu
existuje aplikační brána, paketový filtr může zablokovat všechny přístupy,
které tuto aplikační bránu obcházejí. Pro ostatní služby je možné použít
pravidla, která tyto služby buď povolují, nebo zakazují. V některých případech
je možné sloučit paketový filtr s aplikační bránou do jednoho celku.
Směrovač s demilitarizovanou zónou
Tento druh firewallu přidává mezi rozsáhlou síť a lokální síť ještě jednu malou
síť, často nazývanou demilitarizovaná zóna. V demilitarizované zóně mohou být
umístěny aplikační brány a služby, které lokální síť poskytuje rozsáhlé síti
(WWW, FTP, DNS).
Vnitřní filtrující směrovač poskytuje ochranu vnitřní sítě jak proti vnější
síti, tak i proti demilitarizované zóně v případě, že
byla narušena. Vnitřní směrovač může blokovat spojení tak, aby bylo umožněno
spojení pouze
mezi demilitarizovanou zónou a vnitřní sítí.
Vnější směrovač odděluje demilitarizovanou zónu od vnější sítě. Většinou je na
něm jen minimum filtrovacích pravidel, která zabraňují základním druhům útoků.
Často bývá již ve vlastnictví poskytovatele připojení.
Tato architektura může být vícevrstevná a může oddělovat od sebe sítě s různými
úrovněmi zabezpečení.
Firewall není všelék
Vnitřní sítě tedy je možné ubránit před nepovolaným přístupem. Kvalita ochrany
však záleží většinou na finančních možnostech a hlavně na schopnostech správce
sítě.
8 1347 / ram









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.