FIREWALLOVÁ OCHRANA. Firewall protection. Ing. Bc. Marek Čandík, PhD.

Transkript

1 FIREWALLOVÁ OCHRANA Firewall protection Ing. Bc. Marek Čandík, PhD. Abstrakt: Nárůst bezpečnostních incidentů v elektronické komunikaci prostřednictvím počítačových sítí klade stále větší důraz na bezpečnost. Významným prvkem v této oblasti jsou firewally. Článek pojednává o základních funkcích a typech firewallů a interpretuje některé jejich vlastnosti. Klíčová slova: bezpečnost, počítačové sítě, firewall. Abstract Increase in security incidents in electronic communications over computer networks is placing ever greater emphasis on security. An important element in this area are firewalls. The article discusses the basic functions and types of firewalls and interprets some of their properties. Keywords: security, computer network, firewall. 1

2 Úvod Kybernetické útoky jsou stále četnější a sofistikovanější. Jsou vedeny zejména prostřednictvím Internetu [Rábek, 2015]. Útočí na data uživatelů, nebo na internetové služby. Ztráty způsobené kybernetickými útoky jsou nemalé v listopadu 2015 uváděné ztráty způsobené kybernetickými útoky (za období posledních 12 měsíců) odhadly celosvětově firmy na 315 miliard dolarů. Napadený byl přitom každý šestý podnik 1. Účinnou obranou před útoky je jejich prevence, která snižuje nebo odstraňuje možnost provést útok. Jedním ze základních obranných prvků je v současnosti firewall. Tento umí monitorovat provoz, v případě detekce útoku umí uplatnit mechanismy obrany, jako např. filtrování provozu, jeho omezování nebo jeho přesměrování. 1 Firewall Firewall představuje síťové zařízení nebo software, které slouží k řízení a zabezpečování síťového provozu mezi sítěmi (s různou úrovní důvěryhodnosti a zabezpečení) a jehož úkolem je oddělit sítě s různými přístupovými právy (typicky např.. Internet a Intranet) a kontrolovat tok dat mezi těmito sítěmi na základě definovaných pravidel pro komunikaci mezi sítěmi, které od sebe odděluje. Pomocí firewallů tak lze dosáhnout bezpečnější připojení k Internetu - firewally kontrolují a poté schvalují nebo zamítají jednotlivé pokusy o připojení mezi interní sítí a externími sítěmi jako je např. Internet. Termín firewall byl historicky používán v různých významech, zejména ve smyslu ochrany něčeho před něčím. Nejprve se používal ve významu pro zeď, která měla zabránit požáru uvnitř budovy. Poté byl termín používán také pro označení plechu, který odděluje motor vozidla, v letecké dopravě se tento termín vžil pro označení zdi oddělující v letadle prostor pro cestující. V souvislosti s elektronickou komunikací se technologie firewallu se objevila na konci 80.let 20. století (jeho předchůdci v zabezpečování sítě byly směrovače). 1 Kybernetické útoky stály firmy za poslední rok 315 miliard dolarů [online]. 2

3 Základní funkcí firewallů je kontrola údajů. Tato probíhá na základě uplatňování stanovených pravidel (analýza stanovených podmínek a určených akcí). Podmínky se stanovují pro údaje, které lze získat z datového toku (např. zdrojová, cílová adresa, zdrojový nebo cílový port, atd. Úkolem firewallu je vyhodnotit údaje získané z datového toku a pokud jsou splněny stanovené podmínky, provede se akce. Základními akcemi jsou povolení datového toku zamítnutí datového toku. Po vykonání jedné z těchto akcí firewall přestane paket zpracovávat. K efektivnějšímu využití firewallů se využívá analýza dalších atributů komunikace a slouží k rozšíření některých komunikačních a bezpečnostních služeb, např. pro logování hlaviček paketu, změnu hlaviček atd. Významnou vlastností firewallu je schopnost překladu adres (Network Address Translation - NAT). NAT umožňuje měnit zdrojové a cílové adresy v paketech, čím se nejčastěji umožňuje komunikace se sítěmi s privátními adresami. Tento překlad adres probíhá pomocí pravidel. Podle toho, na níž vrstvě firewall analyzuje síťový provoz, rozlišujeme v zásadě dva firewally: Aplikační proxy server paketový filtr. Jsou přímo připojeny k okruhům, které poskytují přístup k jiným sítím. Z tohoto důvodu se jim často říká zabezpečení hranic. Aby každý hostitelský počítač v rámci sítě nemusel provádět funkce firewallů sám, a zbytečně by nezatěžoval své prostředky a zdroje, lze použitím firewallu soustředit veškeré externí služby zabezpečení do optimálního zařízení, vyhrazeného přímo k tomuto účelu. Ze své podstaty vytvářejí firewally mezi interními a externími sítěmi úzká místa, protože veškerý provoz, který putuje mezi interní sítí a externím prostředím, musí projít jediným bodem. 3

4 2 Pravidla firewallu Základem každého filtrovacího pravidla je jedna nebo více podmínek, které umožňují vybrat paket. Pokud paket vyhoví podmínkám, provede se akce, která je součástí definice pravidla. Pokud je nesplní, pokračuje se ve vyhodnocování dalšího pravidla v řetězu pravidel. Pokud paket nesplňuje ani jednu podmínku, dostane se na konec řetězu pravidel a provede se akce, která je specifikována jako "standardní politika" (default policy)[kučera, 2014]. ACCEPT: paket bude akceptován DROP: paket bude zahoděn. Odesílatel paketu se o tom ani nedozví QUEUE: pošle paket na zpracování uživatelskému procesu RETURN: přestane vyhodnocovat pravidla v tomto řetězu a pokračuje ve vyhodnocování pravidel v řetězu, s níž se sem dostal. (návrat z funkce nebo procedury) jméno_řetězce: paket bude dále zpracovávat v řetězu pravidel "jméno_řetězce" jméno_rozšíření: paket se předá na zpracování nějakému rozšíření (modulu) firewallu. DNAT: umožní modifikovat cílovou adresu příchozího paketu REDIRECT: umožní přesměrovat paket na samotný firewall (používá se např.. Při transparentním proxy) Nastavení pravidel pro komunikaci přes firewall se běžně označuje termínem bezpečnostní politika firewalu. Tato bezpečnostní politika zahrnuje jak samotná pravidla komunikace mezi sítěmi, tak i různá globální nastavení, překlady adres (NAT Network Address Translation), pokyny pro vytváření šifrovaných spojení mezi šifrovacími branami (VPN Virtual Private Networks) nebo vyhledávání protokolových anomálií (IDS Intrusion Detection System)[Lukeš, 2010]. 3 Klasifikace firewallů Současné firewally můžeme rozdělit do několika kategorií[url, 2010]: 1. Osobní firewally (personální firewally)- firewally jsou logicky umístěné mezi operační systém a uživatelské aplikace. Dokážou proto omezovat komunikaci nejen na základě služeb, portů a IP adres, ale také odlišují konkrétní aplikace 4

5 (V současnosti se tento druh firewallů integruje také s antivirovými programy). Mívá obvykle podobu speciálního software, který bývá nainstalován na počítači, který je připojen k Internetu. 2. Vestavěné firewally (Jednodušší paketové filtry) - jsou často implementovány do směrovačů, přepínačů, nebo také WiFi přístupových bodů. Oproti pokročilejším řešením však vestavěné firewally poskytují pouze omezenou funkčnost, zejména kvůli omezeným výpočetním prostředkům. 3. Softwarové firewally jsou softwarové produkty určené pro serverové operační systémy. Využívají se v případech, kdy požadujeme, aby na daném serveru běžely mimo služeb firewallu také další služby. Nejedná se ovšem o tzv. osobní firewally, ale o specializovaný software s netriviálním nastavením a tedy není vhodný pro laického uživatele. 4. Hardwarové firewally - Tyto firewally můžou být založeny na vlastní architektuře s ASIC (tj. aplikačně specifickými integrovanými) obvody (využívány pro akceleraci náročných výpočtů, zejména kryptografických, a můžou proto zabezpečit hardwarovým firewallům vyšší propustnost), nebo také na standardní PC architektuře označují se převážně jako appliance, která poskytuje lepší optimalizaci softwaru na cílový hardware a také možnost garance propustnosti, Hardwarové firewally jsou obvykle založeny na standardním unixovém operačním systému, nebo využívají tyto systémy po vlastních úpravách. Bývá realizován jako samostatné zařízení, ale často je též součástí jiné hardwarové síťové komponenty, jako je například router nebo switch. Tento druh firewallu poskytuje zabezpečení proti napadení opravdu na vysoké úrovni. Jedním zařízením lze chránit více počítačů současně, což u velkých sítí usnadňuje nároky na jejich konfiguraci a jejich funkcionalita funguje nezávisle na operačním systému nainstalovaném na jednotlivých počítačích v síti. 5. firewally s hloubkovou inspekcí tzv. stavové firewally s rozšířením funkcionality o IDS/IPS 2 služby. Cílem hloubkové inspekce detekce útoků na 2 Intrusion Detection Systems (IDS) nebo Intrusion Prevention Systems (IPS). IDS jsou zařízení, která monitorují aktivitu sítě nebo systému za účelem odhalení nekalých praktik. IPS se pak snaží takovým aktivitám předejít, nebo je zastavit. 5

6 aplikační vrstvě pomocí porovnávání přenášených paketů s databází signatur podobně, jako to dělá antivirový, nebo antispamový program. Kromě funkce paketového filtru si udržuje tabulku aktuálně navázaných spojení. Jednotlivé položky se v tabulce tvoří při zahájení relace, která jde přes stavové zařízení. Příchozí pakety jsou pak porovnávány s tabulkou a v případe shody podle pravidla jsou propuštěné dál, nebo zahozeny. Informace ve stavové tabulce musí být jednoznačné a podrobné, aby případný útočník nemohl napodobit provoz, který by mohl projít. O každém spojení se uchovává určitá skupina informací, která by měla relaci jednoznačně identifikovat, tedy například zdrojová a cílová adresa, čísla portu, pořadové číslo, příznaky, protokol, typ ICMP1. Nejnáročnější kontrola je prováděna během navázání spojení, poté jsou již pakety zpracovávány rychleji. Datagram muže spadat do následujících kategorií: o NEW - zahájení nové komunikace o ESTABLISHED, RELATED - navázané spojení o INVALID - datagram je neidentifikovatelný, nenáleží do žádného existujícího spojení 6. Samostatnou skupinu firewallů tvoří speciální firewally zaměřené na konkrétní aplikaci. Jde zejména o firewally pro ochranu webových aplikací, databázových serverů, ových serverů, filtrování webového obsahu, nebo zamezení úniku informací přes úzkou množinu služeb. Omezená funkčnost je nahrazena možností pokročilé konfigurace pravidel pro kontrolu a filtrování přesně definovaných služeb, což je možné právě díky jejich úzkému zaměření. Aplikační firewally můžou nahrazovat a doplňovat ochranu vestavěnou přímo v aplikacích a zjednodušit tak vývoj a nasazení bezpečných aplikací. Běžnější řešení zabezpečení velkých sítí je založeno na hardwarových firewallech. Hardwarové a softwarové firewally se liší málo. U hardwarových firewallů je hardwarová akcelerace vztažena pouze na základní funkčnost, filtrování paketů. Antivir, antispam, antimalware, IDS/IPS a další rozšiřující funkcionalita je implementována v procesoru a samotný výkon závisí pouze na množině spuštěných ochran a počtu hledaných vzorů. Z toho důvodu ani nejvýkonnější hardwarové firewally s propustností desítek Gbit/s neposkytují tyto pokročilé bezpečnostní funkce. 6

7 Softwarové i hardwarové firewally se vyskytují ve verzích SOHO a Enterprise. Největším rozdílem je zejména propustnost, přičemž část výrobců toto omezení raději nahrazuje počtem současných spojení, nebo počtem uživatelů. 4 Základní funkce firewallů Firewally fungují primárně na základě tří metod [Krajča, 2009]: Filtrování paketů - Paketový filtr (bezstavový) je jednoduchý program, který povoluje nebo zamítá pakety na základě informací obsažených na sít ové vrstvě, například tedy dle IP adresy. Odmítá pakety TCP/IP od neautorizovaných uživatelů a odmítá pokusy o připojení k neautorizovaným službám. Filtrace paketů probíhá na základě informací v jejich hlavičce, zejména zdrojové a cílové adresy, zdrojového a cílového portu, atd. Pro svoji nenáročnost se používá tam, kde není potřeba důkladné filtrování a je zapotřebí velká propustnost, nevýhodou je absence porozumění návaznosti paketů a účinnost odvozená od správného nastavení pravidel. Speciální případ filtrování paketů představují aplikační brány - jsou to takové paketové filtry, které dokážou využít informace i z poslední, aplikační vrstvy sít ového modelu. Aplikační brána je tedy schopna například povolit pouze FTP spojení pod jistým uživatelským jménem, pouze některé FTP příkazy nebo třeba rozlišit HTTP požadavky na základě informací obsažených v HTTP hlavičce. Z povahy věci je takové filtrování nejnáročnější na výpočetní výkon, avšak existují i hardwarová řešení. Překládání síťových adres (NAT) - Překládá IP adresy interních hostitelských počítačů a skrývaje před monitorováním zvenčí. Funkci NAT se někdy také říká maskování adres IP. Služby proxy - Vytváří na základě požadavků interních hostitelských počítačů připojení na aplikační vrstvě. Tím úplně ruší propojení mezi interními a externími hostiteli na síťové vrstvě. V závislosti na definici firewallu pracuje proxy v součinnosti, nebo jako součást firewallu. Proxy funguje jako prostředník mezi odesílatelem a příjemcem, přičemž může do této komunikace vstupovat a například zakrýt adresu skutečného příjemce odesílateli nebo kontrolovat komunikační tok na přítomnost virů. Většina firewallu také provádí dvě další důležité služby zabezpečení [Krajča, 2009]: 7

8 Šifrovaná autentizace - Umožňuje uživatelům veřejných sítí prokazovat firewallu svou totožnost, a získávat tak přístup k privátní síti z externích lokalit. Propojování virtuálních privátních sítí - Ustavuje bezpečné propojení mezi dvěma privátními sítěmi přes veřejné prostředí, např. Internet. Fyzicky oddělené sítě tak mohou ke komunikaci místo pronajatých linek používat Internet. VPN se také říká zašifrované tunely. Některé firewally také nabízejí další dodatečné služby, které se nevztahují přímo k zabezpečení [Krajča, 2009]: Skenování virů - Prohledává příchozí datový toky a zjišťuje, zda neobsahuje signatury virů. Filtrování obsahu - Umožňuje blokovat interním uživatelům přístup k určitým typům obsahu podle kategorií, např. pornografie, propaganda rasistických organizací, a informace o hackerství. Filtrovací pravidla musí být validována a funkčně testována. 5 Sít ové architektury Z hlediska bezpečnosti je důležité také zkoumat vhodnost použití architektury pro danou situaci. Z hlediska použití firewaalů se rozlišují tyto síťové architektury (Teršel, 2012): Single-box architektury - funkcionalita firewallu je přítomna pouze na jednom zařízení, které se nachází mezi vnější a vnitřní sítí. Filtrovacím zařízením může být směrovač, který funguje jako stavový paketový filtr (screening router), nebo obecný počítač s alespoň dvěmi sít ovými rozhraními (dual-homed host), který je připojen alespoň ke dvěma sítím, a může tak bránit přímému spojení mezi těmito sítěmi; tedy funguje jako proxy zprostředkovatel komunikace mezi zařízeními. Z principu fungování této architektury je jasné, že tato konfigurace vytváří jediné místo selhání a také úzké místo, což jsou hlavní bezpečnostní nevýhody. Screened host architektury - Základem této architektury je směrovač, který odděluje vnější a vnitřní sít, a dále tzv. opevněný počítač (bastion host), který je připojen pouze k vnitřní síti. Filtrovací směrovač může dle nastavení propouštět, nebo zabraňovat některým tokům mezi vnitřní a vnější sítí, a jiné toky 8

9 přesměrovávat na opevněný počítač, který funguje jako proxy. Tato architektura poskytuje obecně větší úroveň bezpečnosti než single-box architektury. Screened subnet architektury - Použitím principu vrstvení, za účelem odstranění jediného místa selhání, vzniká architektura filtrované podsítě, která je umístěna mezi vnitřní a vnější sít a je oddělena vnitřním a vnějším filtrovacím směrovačem. Takové oddělující podsíti se také říká perimetr nebo demilitarizovaná zóna. Opevněné počítače, na kterých běží služby, které mají být přístupné z vnější sítě, se pak umísťují do této oddělující podsítě. Potenciální útočník musí překonat vnější filtrovací router, pro přístup například k webovému serveru umístěném v demilitarizované zóně, a další vnitřní filtrovací router pro vniknutí do vnitřní sítě. Multiple screened subnets architektury - Pro posílení bezpečnosti je možné filtrované podsítě, demilitarizované zóny, dále vrstvit a kombinovat s filtrujícími směrovači a proxy servery. Příkladem takové architektury budiž sít skládající se ze dvou demilitarizovaných zón, které jsou mezi sebou propojeny dvěma proxy servery, kde jsou obě zóny odděleny. Závěr Aktivním přístupem k prevenci a ochraně počítačů lze významně snížit četnost a následky kybernetických útoků. Firewally představují jedno ze základních řešení, které vede ke zvýšení bezpečnosti. Jejich typová a funkční variabilita usnadňuje přístupnost zabezpečení širokému okruhu uživatelů a umožňuje výběr jak softwarových, tak i hardwarových řešení na jedné straně, na druhé straně nabízí široké spektrum modulárních bezpečnostních mechanismů určených běžným uživatelům i odborníkům v oblasti síťové bezpečnosti. 9

10 Literatura: Potůček, Petr. Testováni firewallů pomocí hardwarového testovacího přístroje. Brno: FI MU, Teršel Jiří. Firewall pro prostředí s vysokou úrovní zabezpečení. Brno: FI MU, Rábek, Martin. Aktivní obrana sítě pro potlačení kybernetických útoků. Brno: FI MU, Krajča, Jaroslav. Způsoby ochrany počítačových sítí a samostatných počítačů pomocí technologie firewallů. Zlín: FAI UTB, Housírek, Libor. Bezpečnostní řešení IT společnosti. Zlín: FAI UTB, Kučera, Pavel. Řízení informační bezpečnosti a bezpečnosti dat ve firemní síti. Zlín: FAI UTB, Hraňo Jan. Bezpečnost dat v informatice, Zlín: FAI UTB, Hejtman Jan. Získávání dat z cizího počítače a možnosti aktivní obrany. Zlín: FAI UTB, Lukeš, Radim. Ochrana firemních dat. Zlín: FAI UTB, Kybernetické útoky stály firmy za poslední rok 315 miliard dolarů [online]. Klasifikace dnešních firewallů.[online] Kuchař, Martin. Firewall obrňte své počítače, 2005 [online] Softwarové firewally. [online] Zabarikádujte se Firewally bez tajemnství I. [online] 10