Zabezpečení lokální sítě proti neoprávněnému průniku v Jihostroj a.s.

Transkript

1 Bankovní institut vysoká škola Praha Katedra informačních technologií a elektronického obchodování Zabezpečení lokální sítě proti neoprávněnému průniku v Jihostroj a.s. Bakalářská práce Autor: Stanislav Fiala Informační technologie, Správce IS Vedoucí práce: Ing. Jaromír Lysý Praha červenec,

2 Prohlášení: Prohlašuji, že jsem bakalářskou práci zpracoval samostatně a s použitím uvedené literatury. V Besednici dne Stanislav Fiala 2

3 Poděkování: Úvodem této práce bych chtěl poděkovat a.s. Jihostroj Velešín za to, že mi umožnila vypracování bakalářské práce. Poděkování patří i všem pracovníkům společnosti za jejich profesionální přístup a za ochotnou pomoc při řešení problémů vzniklých při zpracování bakalářské práce. V Besednici dne Stanislav Fiala 3

4 Anotace práce: V této práci, ve které jsem se zaměřil na zabezpečení lokální sítě proti neoprávněnému průniku, popíši význam a důležitost firewallu, jaké existují hrozby pro lokální síť a jak se jim lze bránit. Hlavní náplní této práce je základní konfigurace námi vybraného firewallu, popis všech jeho funkcí, které nám nabízí, nastavení pravidel firewallu pro provoz jak uvnitř LAN, tak hlavně pro provoz mezi LAN a WAN. A v neposlední řadě také nastavení filtrování škodlivého obsahu veškerého provozu, který přes firewall projde. Annotation: In this work, in which I am target protection of local area network against unauthorized intrusion, will describe meaning and importance firewall, what exist threat to LAN and how it is possible to defend them. Main contens of this work is basic configuration of by us chosen firewall, description of all his functions that the firewall offers to us, settings firewall rules for traffic inside LAN and especially for traffic among LAN and WAN. At last but not at least also settings IPS (intrusion prevention system) contents all traffic that go trough over the firewall. 4

5 Obsah Úvod Analýza současného stavu Teoretická východiska řešení Úvod do bezpečnosti Základní pojmy Co je firewall? Hrozby a jejich původci Návrh řešení Realizace Přihlášení k firewallu Popis jednotlivých položek funkčního menu Natavení pravidel firewallu Ekonomické zhodnocení Závěry a doporučení Literatura.51 5

6 Úvod Cílem této práce je návrh a realizace hardwarových, softwarových a organizačních opatření pro zvýšení bezpečnosti a spolehlivosti LAN (lokální sítě) v Jihostroj a.s. V dnešní době, je dokonale zabezpečená lokální síť alfou a omegou každé společnosti. I pro velmi dobře prosperující společnost může mít útok hackera nedozírné následky. Může např. dojít ke ztrátě nebo zničení důležitých dat, jejich krádeži a následnému prodeji konkurenci na černém trhu. Ne vždy musí jít útočníkovy o data, i takové poškození (výpadek) informačního systému, aniž by firma přišla o nějaká data, může znamenat obrovskou finanční škodu, než dojde k obnovení běžného provozu. Díky dnešnímu rozmachu počítačové kriminality, ale také rychlému vývoji v oblasti výpočetní techniky, dochází k tomu, že nedávno dokonalé zabezpečení, rychle stárne a dnes již nesplňuje naše požadavky na bezpečnost. A to je také důvod pro výměnu firewallu v Jihostroj a.s. Dnešní firewally poskytují mnohem více funkcí, které jsou reakcí na současné hrozby, umožňují nám i jednoduchý softwarový update, který nás ochrání proti nejnovějším hrozbám objevujícím se každý den. Dokáže také rozeznávat nejen druh komunikace, ale filtrovat i obsah povolené komunikace. Náplní mé práce je spolupráce při výběru a konfigurace nového firewallu podle požadavků Jihostroj a.s. na bezpečnost. Mimo základní konfigurace, se budu zabývat vytvořením zabezpečené zóny, do které umístím ový a webový server a tím umožním uživatelům přístup k u a webu odkudkoli z WAN, aniž bych musel vytvářet nějaká bezpečnostní okénka do LAN, ale zároveň i tyto dva servery budou pod ochranou firewallu díky natavení pravidel komunikace procházející skrze firewall, které budou další náplní mé práce. V neposlední řadě, jde i o minimalizaci zneužívaní internetu lokálními uživateli k jiným než pracovním účelům. I zde nám pomůže nový firewall, který nám dokáže zobrazit velikost dat stažených jednotlivými IP adresami, a podle těch už vystopujeme neposlušné uživatele a přístup jim omezíme nebo úplně zamezíme. Pomocí těchto a jiných funkcí firewallu, bychom měli dosáhnout cíle, kterým je spolehlivá a plně zabezpečená lokální síť v Jihostroj a.s. 6

7 1. Analýza současného stavu V Jihostroji a.s. se v současné době používá firewall typu Dual-hommed hostitel se dvěma síťovými rozhraními. Požadované funkce firewallu zajišťuje systém netfilter pracující pod operačním systémem Linux. Další důležitou věcí pro bezpečnost, kterou firewall zajišťuje je NAT. NAT (Network Address Translation), česky překlad síťových adres, je skupina síťových funkcí. Je to proces, který mění síťové adresy v hlavičkách datagramů v době jejich přenosu. IP maškaráda je jedna z technologií NAT, která umožňuje všem počítačům v lokální síti přistupovat k Internetu prostřednictvím jediné IP adresy. IP maškaráda dovoluje, aby všechny počítače na síti používali privátní (rezervované) IP adresy a linuxový firewall bude provádět inteligentní překlad adres a portů v čase přenosu. Jestliže přijme (firewall) určitý datagram pocházející z lokální sítě, změní ho tak, aby to vypadalo, že ho poslal samotný firewall a zároveň si zapamatuje, že to udělal. Pak pošle datagram na Internet prostřednictvím své jediné platné IP adresy. Když konečný adresát datagram přijme, domnívá se, že datagram pochází od firewallu a pošle mu odpověď. Když firewall implementující maškarádu tento datagram přijme, podívá se do tabulek maškarádových spojení a zjistí, zda daný datagram patří nějakému počítači v lokální síti a pokud ano opět provede úpravu hlaviček datagramu na původní hodnoty a odešle datagram na lokální síť. Výhoda je v tom, že celá síť není z Internetu viditelná a proto nikdo nemůže napadnout naše počítače. Může se pokusit napadnout pouze firewall. Dále firewall zajišťuje: - přístup z lokální sítě do Internetu - umožnění přenosu souborů z Internetu do lokální sítě prostřednictvím ftp - obousměrnou elektronickou poštu prostřednictvím smtp - zabezpečené připojení uživatelů z Internetu do lokální sítě (ssh) - přístup ke jmenným službám - eliminace nežádoucích komunikací (např. fragmentovaných paketů icmp apod.) Současný firewall je už ale zastaralý a vzhledem k rychlému vývoji informačních technologií již nesplňuje veškeré naše požadavky na bezpečnost. 7

8 2. Teoretická východiska řešení Než se pustím do popisu možných řešení našeho problému (nový firewall), popsal bych některé základní pojmy týkající se bezpečnosti a co to firewall je. 2.1 Úvod do bezpečnosti V průběhu několika posledních desetiletí začaly hrát informační technologie (IT) a jejich konkrétní realizace informační systémy (IS), velmi důležitou roli téměř ve všech oblastech lidské společnosti. Dnešní doba je ve znaku obrovského rozvoje různých druhů informačních sítí především počítačových. Od prostého propojení počítačů, souvisejícího s potřebou rozložit mezi nimi výpočetní zátěž, nebo umožnit přístup k určitému počítači ze vzdáleného místa, se funkce počítačové sítě vyvíjela stále více směrem k plnohodnotnému komunikačnímu prostředku, schopnému uspokojovat řadu potřeb dosud pokrývaných individuálními sdělovacími prostředky, jako telefonem, telegrafem, faxem, ale i hromadnými sdělovacími prostředky, jako rádiem, televizí, apod. Lze prohlásit, že tento vývoj sleduje klasickou vývojovou spirálu, v níž každá inovace přiláká nové potenciální uživatele a každý nový uživatel přichází s požadavkem na další zdokonalení. Největším zdrojem informací je v dnešní době Internet. Díky této síti se dají informace nejen získat, ale je možno i přenášet informace mezi více subjekty, doplňovat a přenášet dále. V současné době nabízí řadu obecně využitelných služeb, mezi nimiž vede elektronická pošta a World Wide Web. Za svůj současný rozvoj a obecnou přístupnost vděčí Internet především svému komerčnímu využití. Právě tomuto komerčnímu využití však stojí často v cestě určité překážky. Součástí výpočetních sítí není pouze hardware, ale především software. Trestná činnost, která je páchána v oblasti informačních sítí, je poté zaměřena především na software. Důraz kladený na zabezpečení je stále větší. Právo osobnosti na soukromí, ochrana citlivých informací před zcizením, ztrátou nebo poškozením jsou jen některé důvody, proč je třeba data při zpracování a uchovávání chránit. 8

9 Základním prvkem bezpečnostního řešení je tzv. firewall hradba chránící lokální síť. 2.2 Základní pojmy Informační systém IS je soubor lidí, technických prostředků a metod zabezpečující sběr, přenos, zpracování a uchovávání dat za účelem tvorby a prezentace informací pro potřeby uživatelů. Informační systém integruje informační základnu (data), technické a programové vybavení, finanční prostředky, procedury a pracovníky. Informační technologie pod tímto pojmem si můžeme představit veškerou techniku, která se zabývá zpracováváním informací tj. zejména organizační, výpočetní, komunikační techniku, ale i její programové vybavení. Bezpečnost informačního systému je takový stav tohoto systému, ve kterém rizika, kterým je IS vystaven, jsou snížena na přijatelnou úroveň pomocí vhodných opatření. Vyjadřuje stupeň odolnosti informačního systému proti událostem, které mohou ohrozit důvěrnost, integritu nebo dostupnost zpracovaných informací. Bezpečnost IS tedy závisí na účelu IS, na způsobu jeho aplikace a na prostředí, ve kterém je využíván. Firewall - komponent nebo komplex komponentů, které omezují přístup mezi chráněnou počítačovou sítí a Internetem, nebo mezi dalšími sítěmi. Hostitel - počítačový systém připojený do počítačové sítě. Bastion hostitel - počítačový systém, který musí být vysoce zabezpečen, protože je bezbranný proti napadení. Většinou je připojen k Internetu a je hlavním zprostředkovatelským bodem pro uživatele interních počítačových sítí. Dual-homed hostitel - všeobecně myšlený počítačový systém, který má nejméně dvě síťová rozhraní. Paket - Elementární komunikační jednotka na Internetu. Filtrování paketů - zásah, který učiní zařízení, aby mohlo selektivně kontrolovat tok dat do sítě a ze sítě. Paketové filtry povolují nebo blokují pakety, obvykle během jejich směrování 9

10 z jedné sítě do druhé. Pro dosažení správné filtrace paketů je nutno nastavit soubor pravidel, která specifikují jaké typy paketů (např. vysílané z konkrétní IP adresy nebo určeny pro konkrétní IP adresu) budou povoleny a které budou blokovány. Filtrování paketů může být implementováno ve směrovači, mostu nebo na individuálním hostiteli. Protokol - jazyk (konvence) na dorozumívání se dvou stran. Perimeter Network obvodová síť - síť vložená mezi chráněnou síť a vnější síť za účelem zajištění dalšího stupně zabezpečení. Obvodová síť je někdy nazývána DMZ, což značí demilitarizovaná zóna. Proxy server - program (na serveru), který zastupuje interní klienty při komunikaci s externími servery. Proxy klienti komunikují s proxy servery přenášejícími schválené požadavky klientů reálným serverům a přenášejí odpovědi nazpět klientům. VPN (Virtual Private Network) - virtuální privátní síť je v informatice prostředek k propojení několika počítačů prostřednictvím (veřejné) nedůvěryhodné počítačové sítě. Lze tak snadno dosáhnout stavu, kdy spojené počítače budou mezi sebou moci komunikovat, jako kdyby byly propojeny v rámci jediné uzavřené privátní (a tedy důvěryhodné) sítě. Při navazování spojení je totožnost obou stran ověřována pomocí digitálních certifikátů, dojde k autentizaci, veškerá komunikace je šifrována, a proto můžeme takové propojení považovat za bezpečné. DMZ (demilitarizované zóny) je to označení pro tu část (nebo oblast) informačního systému, která je z určitých důvodů oddělena od ostatních zařízení. Většinou se jedná o samostatnou síť. V demilitarizovaných zónách se obvykle nachází zařízení, která zprostředkovávají určité služby jak pro prostředí vnitřní sítě (Intranet), tak pro prostředí sítě vnější (Internet). Zařízení umístěná v Demilitarizované zóně jsou sice dostupná jak z vnější, tak z vnitřní sítě, nicméně úroveň přístupu může být (a také bývá) pro obě tyto sítě různá. Obvykle je tomu tak, že uživatelé vnitřní sítě mají rozsáhlejší úroveň přístupu než je tomu u uživatelů sítě vnější. Dalším důvodem pro zřizování DMZ je požadavek, aby vnější síť "neviděla" síť vnitřní. Samozřejmě tím nebráníme přístupu uživatelů z vnitřní sítě na Internet. Jde o to, aby zařízení těchto uživatelů nebyla z Internetu dostupná, 10

11 případně dostupná s určitým omezením. Podobně je tomu se všemi ostatními zařízeními ve vnitřní síti. Stručně řečeno: Chcete-li nějaké zařízení (například server) zpřístupnit z Internetu, umístěte jej do DMZ. 2.3 Co je firewall? Firewally jsou velmi efektivní typ síťové bezpečnosti. Tato část stručně popisuje, co může internetový firewall zajistit pro naši průběžnou bezpečnost. Slouží k několika účelům: - ochrana sama sebe - ochrana toho co je za ním (LAN,WAN) Obrázek 1 (Obecné umístění firewallu) Zdroj: Firewally D. Brant Chapmant a Elizabeth D. Zwicky Firewall bývá velmi často instalován v místě, kde se vaše chráněné interní sítě připojují k Internetu. Teoreticky slouží internetový firewall k prostému účelu: zabraňuje rozšiřování nebezpečí z Internetu do vaší interní sítě. 11

12 Všechen provoz přicházející z Internetu nebo jdoucí ven z vaší interní sítě prochází skrze firewall. Protože je k tomu určen, má firewall příležitost ujistit se, že je tento provoz přijatelný. Co pro Firewall znamená přijatelný? Znamená, že cokoli se začne provádět - zasílání zpráv, přenos souborů, vzdálené přihlášení nebo nějaký druh vzájemné komunikace mezi specifickými systémy - přizpůsobuje se bezpečnostní politice místa. Bezpečnostní taktiky jsou pro každou sít rozdílné; některé jsou vysoce omezující a další doslova otevřené. Logicky je firewall oddělovačem, omezovačem, analyzátorem. Fyzická implementace firewallu se liší místo od místa. Nejčastěji je firewall sadou hardwarových komponent, směrovač, hostitelský počítač nebo nějaká kombinace směrovačů, počítačů a sítí s příslušným softwarem. Jsou různé způsoby jak nakonfigurovat toto zařízení; konfigurace bude především záviset na místních zvláštních bezpečnostních pravidlech, rozpočtu a na celkových úkonech. Firewall je velmi ojediněle prostým fyzickým objektem. Obvykle má firewall rozmanité části a některé z těchto částí mohou obstarat další úkoly kromě funkcí jako je část firewallu. Vaše internetové spojení je téměř vždy částí vašeho firewallu. Firewall není nezranitelný. Nemůže uchránit před vetřelci, kteří už jsou uvnitř; nejlépe pracuje, jestliže je ve dvojici s interní ochranou. Firewall také není bez nevýhod; jeho vytvoření vyžaduje značné výdaje, námahu a omezení, která klade na vnitřní straně, což může být velkým trápením. Proč by se měl někdo obtěžovat jejich instalací, když mají firewally i takové nedostatky a nevýhody? Protože firewall je nejefektivnějším způsobem jak připojit vnitřní sít do Internetu a pořád ještě tuto sít chránit. Internet představuje zázračné příležitosti. Miliony lidí si vyměňují informace. Výhody jsou zřejmé: publicita, zákaznické služby a získávání informací. Popularita informační superdálnice roste dle přání každého - něco z ní získat. Rizika by měla být také zřejmá: pokaždé, když dostanete miliony lidí dohromady, vytvoříte příležitost ke zločinu; to je pravda ve městě a je to pravda na Internetu. Jak můžete těžit z dobrých částí Internetu, aniž bychom byli zaplaveni zlem? Potřebujeme důkladnou kontrolu kontaktu, který má naše sít k Internetu. Firewall je nástrojem, který je schopen toto vykonat a ve většině situací je to dokonce jediný efektivní nástroj, který to vykonat může. 12

13 Jsou také další možnosti použití firewallů. Například mohou sloužit jako zabezpečení v budově, která rozděluje části sítě na celky, mající rozdílné bezpečnostní potřeby. Co může firewall zajistit? Firewally mohou pro bezpečnost vašeho stanoviště udělat mnoho. Některé výhody jejich použití značně rozšiřují hlediska zabezpečení, jak je popsáno níže. Firewall je ohniskem bezpečnostních rozhodnutí Přemýšlejme o firewallu jako o škrtícím místě. Všechen provoz dovnitř a ven musí projít tímto jedním úzkým kontrolním místem. Firewall nabízí enormní množství možností pro síťovou bezpečnost, protože umožňuje koncentrovat vaše bezpečnostní měřítka na toto kontrolní místo: místo, kde se vaše síť připojuje do Internetu. Zaměření vaší bezpečnosti tímto směrem je daleko účinnější než rozprostírání bezpečnostních rozhodnutí a technologií kolem, zkoušení pokrýt všechny aspekty stylem kousek po kousku". Ačkoliv může stát implementace firewallů spoustu peněz, většinou se zjistí, že koncentrace nejefektivnějšího bezpečnostního hardwaru a softwaru na firewall je méně nákladná a více efektivní než ostatní způsoby zajištění bezpečnosti - a rozhodně méně nákladná než mít neadekvátní zabezpečení. Firewall si může vynutit bezpečnostní taktiku Většina služeb, které lidé hledají na Internetu, jsou v podstatě nebezpečné. Firewall je dopravním policistou pro tyto služby. Vynucuje si místní bezpečnostní taktiky umožněním projít pouze schváleným" službám a pouze těm, které vyhovují určitým pravidlům. Například vedení určité instituce může rozhodnout, že jisté služby jsou prostě moc riskantní, než aby byly použity na druhé straně firewallu. Nezáleží na tom, jaký systém je zkouší spustit nebo který uživatel je chce. Firewall bude držet potenciálně nebezpečné služby striktně uvnitř za firewalem. Další instituce může rozhodnout, že pouze jeden interní systém může komunikovat s venkovním světem. Na nějakém dalším stanovišti se může rozhodnout, že se umožní přístup ze všech systémů určitého typu nebo náležících do určité skupiny; variace na místní bezpečnostní taktiky jsou nekonečné. 13

14 Firewall může být přivolán na pomoc k vytvoření komplikovanějších postupů. Například třeba pouze určitým systémům s firewallem je umožněno přenášet soubory do a z Internetu; použitím dalších mechanismů můžete kontrolovat přístup neautorizovaných osob. V závislosti na požadavcích zvolíte k implementaci takový firewall, který více či méně umožňuje aplikaci podobných postupů. Firewall může účinně zaznamenávat internetovou aktivitu Protože všechen provoz prochází skrze firewall, firewall poskytuje dobrou pozici pro shromažďování informací o používání systému a sítě - nebo jejich zneužívání. Jako jediný bod přístupu může firewall zaznamenávat co se stalo mezi chráněnou sítí a externí sítí. Firewall omezuje vaše vystavování Třebaže se toto nejvíce týká použití interních firewallů, má cenu se o nich zmínit i zde. Někdy bude firewall použit k udržení jedné sekce vaší místní sítě oddělené od druhé sekce. Když toto uděláte, izolujete si problémy týkající se jedné sekce od zbytku sítě. V některých případech to uděláte, protože jedna sekce vaší sítě může být více důvěryhodná než druhá; v dalších případech, protože jedna sekce je více citlivá než druhá. Ať je příčina jakákoliv, přítomnost firewallu limituje škodu, kterou může sítový bezpečnostní problém způsobit celé síti. Co firewall zajistit nemůže? Firewally nabízejí excelentní ochranu proti sítovým hrozbám, ale nejsou kompletním bezpečnostním řešením. Jisté hrozby jsou mimo kontrolu firewallu (fyzická bezpečnost, ukáznění uživatelé atd.). Firewall vás neuchrání proti zlomyslným interním uživatelům Firewall může zabránit systémovému uživateli v možnosti poslání vlastnických informací mimo organizaci pomocí sírového spojení; prostě tak, že nemá sítové spojení. Ale tentýž uživatel může zkopírovat data na disketu, pásku nebo papír a odnést je mimo budovu v jeho nebo její aktovce. Jestliže útočník už je na vnitřní straně firewallu, firewall pro vás 14

15 vlastně nemůže nic udělat. Vnitřní uživatelé mohou ukrást data, porušit hardware a software a modifikovat programy bez nutnosti přiblížit se k firewallu. Vnitřní hrozby vyžadují interní bezpečnostní měřítka. Firewall vás neuchrání před spojeními, která přes něj neprochází Firewall může efektivně kontrolovat provoz, který skrze něj prochází; bohužel zde není nic, co by mohl firewall udělat s provozem neprocházejícím skrze něj. Například, co když je v nějakém místě umožněn telefonní přístup do interních systémů za firewallem? Firewall nemá absolutně žádnou možnost zajistit, aby se vetřelec nedostal dovnitř třeba pomocí modemu. Někdy technicky vyspělí uživatelé nebo systémoví administrátoři nastaví sami pro sebe zpětná vrátka" do sítě (třeba telefonní modemové spojení), bud' permanentní nebo dočasné, protože narážejí na omezení, která na ně a na jejich systém firewall klade. Firewall v tomto případě nemůže udělat nic. Je to opravdu problém řízení lidí, ne technický problém. Firewall nemůže chránit proti zcela novým hrozbám Firewall je navržen k ochraně proti známým hrozbám. Dobře navržený firewall ale může chránit i proti novým hrozbám (například odepřením jakýchkoli, byť málo důvěrných, služeb může firewall předejít tomu, aby lidé používali nové a nebezpečné služby). Avšak žádný firewall nemůže automaticky chránit proti každé nové hrozbě, která vznikne. Lidé periodicky objevují nové způsoby útoku použitím dříve důvěryhodných služeb nebo použitím útoků, které se prostě ještě nikomu předtím nestaly. Nemůžeme jednou nakonfigurovat firewall a očekávat od něj ochranu navždy. Firewall nemůže chránit proti virům Firewally nemohou udržet počítačové viry mimo sít. Ačkoliv mnoho z nich prohlíží všechen příchozí provoz do interní sítě, kontroluje spíše zdrojové a cílové adresy a čísla portů, ne podrobnosti a data. Dokonce i s rafinovaným filtrováním paketů nebo proxy softwarem virová ochrana ve firewallech není zrovna praktická. Je zde prostě mnoho druhů virů a velmi mnoho způsobů jak virus v datech ukrýt. 15

16 Detekce viru v náhodném paketu dat procházejícím skrze firewall je velmi obtížná; potřebuje: rozpoznání, že paket je částí programu určení, jak by měl program vypadat určení, že změna je způsobena virem Dokonce už první z těchto bodů je výzvou. Většina firewallů chrání počítače různých typů s odlišnými spustitelnými formáty. Program může být zkompilovaný, spustitelný nebo to může být skript a mnoho počítačů podporuje různé zkompilované spustitelné typy. Kromě toho, většina programů je zabalených pro přenos a často jsou zkomprimované. Balíky programů přenášených pomocí elektronické pošty budou často zakódovány odlišnými způsoby do ASCII formátu. Kvůli všem těmto příčinám mohou uživatelé přenést viry přes firewall a vůbec nebude záležet na tom, jak je firewall bezpečný. Dokonce když vytvoříte perfektní ochranu proti virům na firewallu, bohužel, stále jste nevyřešili problém virů. Neuděláte nic proti daleko častějším zdrojům virů: software donesený na disketách z domu nebo odjinud a dokonce i software nakažený už od výrobce jsou častější než virem infikovaný software na Internetu. Všechno, co uděláme pro vyřešení těchto hrozeb, bude také pomáhat řešit problém softwaru přeneseného přes firewall. Nepraktičtější způsob ochrany proti virům je hostitelsky založený ochranný software a školení uživatelů ohledně nebezpečí virů a obezřetnosti, kterou je třeba k tomu zaujmout. 16

17 Architektury Firewallů Zde si popíšeme jak seskupit rozmanité prvky firewallů. Obrázek 2 (Architektura typu dual-homed hostitel) Zdroj: Firewally D. Brant Chapmant a Elizabeth D. Zwicky Tato architektura je postavena na bázi dual-homed hostitelského počítače. Takový hostitel může jednat jako směrovač mezi sítěmi, do kterých má připojena rozhraní. Je schopný směrovat IP pakety z jedné sítě do druhé. Nicméně, pro implementaci architektury dualhomed hostitel zakážete tuto směrovací schopnost. Tím zaručíte, že IP pakety z jedné sítě (např. Internet) nejsou přímo směrovány do druhé sítě (např. interní síť, chráněná síť). Systémy za firewallem i před ním (na Internetu) mohou komunikovat s dual-homed hostitelem, ale tyto systémy nemohou komunikovat přímo mezi sebou. IP provoz mezi nimi je zcela blokován. Síťová architektura pro firewall typu dual-homed hostitel je krásně jednoduchá: dualhomed hostitel je umístěn uprostřed a je spojen s Internetem a interní sítí. Dual-homed hostitel může poskytovat velmi vysoký stupeň kontroly. Pokud se nedovolí, aby pakety putovali mezi externími a interními sítěmi, pak je jisté, že každý paket ve vnitřní síti, který má původ v externím zdroji, je známkou nějakého problému s bezpečností. V některých případech dual-homed hostitel umožní odmítnout spojení, která tvrdí, že jsou pro konkrétní službu, ale která ve skutečnosti neobsahují správný typ dat (tyto problémy mívají i systémy 17

18 založené na filtrování paketů). Dual-homed hostitel může poskytovat služby pouze za pomoci proxy techniky nebo při přihlášení uživatele přímo na dual-homed hostitele. Navíc uživatelské účty mohou na dual-homed hostiteli neočekávaně povolit službu, která se považuje za nebezpečnou. Obrázek 3 (Architektura typu oddělovací hostitel) Zdroj: Firewally D. Brant Chapmant a Elizabeth D. Zwicky Zatímco architektura typu dual-homed hostitel poskytuje služby pomocí hostitele, který je zapojen do několika sítí (ale směrování je vypnuto), architektura typu oddělovací hostitel poskytuje služby pomocí hostitele, jenž je připojen pouze k interní síti a samotnému směrovači. V této architektuře je primární bezpečnost zajištěna filtrováním paketů. Bastion je umístěn v interní síti. Filtrování paketů na oddělovacím směrovači je nastaveno tak, aby bastion byl jediný systém v interní síti, se kterým může hostitel na Internetu vytvořit spojení (např. pro doručení příchozí elektronické pošty). Dokonce i tak jsou povoleny pouze určité typy spojení. Jakýkoliv externí systém, který se snaží o přístup k interním systémům nebo službám, se musí spojit s tímto hostitelem. Hostitel typu bastion proto musí podporovat vysoký stupeň bezpečnosti svého systému. Filtrování paketů také dovoluje hostiteli typu bastion otevřít pouze povolená (co je povoleno, je určeno konkrétní politikou sítě) spojení venkovnímu světu. Filtrování paketů na oddělovacím směrovači může být založeno na následujícím: 18

19 - povolit dalším interním hostitelům vytvoření spojení s hostiteli na Internetu pro určité druhy služeb - zakázat všechna spojení z interních hostitelů (vynucením, aby tito hostitelé používali proxy služby přes bastion) Tyto postupy se můžou kombinovat a přizpůsobit pro různé služby. Některé mohou být povoleny přímo s pomocí filtrování paketů, zatímco jiné mohou být povoleny nepřímo přes proxy. Vše závisí na konkrétní bezpečnostní politice sítě. Architektura typu oddělovací hostitel, je podle mnohých bezpečnější, než předchozí architektura typu dual-homed hostitel. Oproti jiným, které následují, má architektura oddělovací hostitel jisté nevýhody. Největší nevýhoda je v tom, že pokud se útočníkovi podaří probourat do hostitele bastion, potom už nic nestojí v cestě mezi bastionem a zbytkem interní sítě. Rovněž samotný směrovač představuje jednoduchý bod selhání. Obrázek 4 (Architektura oddělené podsítě) Zdroj: Firewally D. Brant Chapmant a Elizabeth D. Zwicky Tato architektura přidává další stupeň bezpečnosti k architektuře odděleného hostitele přidáním obvodové sítě, jež dále odděluje interní síť od Internetu. Dělá se to z důvodu 19

20 velmi častého napadání bastion hostitelů a přes ně dosáhnutí přístupu k celé interní síti, která už není tak chráněna. Izolováním bastionu na obvodové síti se sníží důsledky dopadu nabourání se do bastion hostitele. V nejjednodušší architektuře typu oddělené podsítě existují dva oddělovací směrovače. Každý z nich je připojen do obvodové sítě. Jeden je umístěn mezi obvodovou sítí a interní sítí, a druhý mezi obvodovou sítí a externí sítí (většinou Internetem). Probourat se do interní sítě v tomto typu architektury znamená pro útočníka dostat se přes oba směrovače. I když se útočník jakkoli nabourá do bastionu, stále se ještě musí dostat přes interní směrovač. Neexistuje jeden samostatný zranitelný bod, který by ohrozil interní síť svým selháním. Nyní si popíšeme komponenty této architektury Perimeter Network Obvodová síť Obvodová síť je dalším stupněm bezpečnosti, přídavná síť mezi externí sítí a chráněnou interní sítí. Když se útočník úspěšně nabourá do vnější části firewallu, obvodová síť poskytuje dodatečný stupeň ochrany mezi útočníkem a interním systémem. Pokud by se nějaký útočník dostal přes bastion hostitele a nebyla zde obvodová síť, může slídit na síti a vyčmuchat nějaká hesla s komunikace uživatelů. S pomocí obvodové sítě, i když se někdo nabourá do bastion hostitele na obvodové síti, bude potom schopen pouze sledovat provoz v této síti. Veškerý provoz na obvodové síti by měl procházet od bastionu či by měl být určen pro bastion, nebo by měl pocházet z Internetu, či by měl být určen pro Internet. Protože žádný interní provoz (tj. provoz, který je považován za citlivý nebo osobní) nepřechází přes obvodovou síť, je interní provoz před slídilem v bezpečí a to i za předpokladu že bude bastion kompromitován. Samozřejmě, že data pro bastion hostitele a od něj budou stále viditelná. Proto se firewally navrhují tak, aby bylo zajištěno, že tento provoz není důvěrný sám o sobě. Bastion hostitel V rámci architektury oddělené podsítě je připojen bastion hostitel k obvodové síti. Tento hostitel je hlavním zprostředkovacím bodem pro příchozí spojení z venkovního světa. 20

21 Například: - pro relaci příchozí elektronické pošty (SMTP) k doručení pošty do sítě - pro příchozí FTP spojení k anonymním serverům sítě - pro příchozí žádosti služeb doménových jmen (DNS) o síti atd. Odchozí služby (z interních klientů k serverům na Internetu) jsou řízeny některým z těchto způsobů: - Nastavení filtrování paketů na obou směrovačích, interním i externím, aby byl povolen přímý přístup interních uživatelů k externím serverům. - Nastavení proxy serverů tak, aby fungovali na bastion hostiteli (pokud firewall používá proxy software). Tím je interním klientům umožněn přístup k externím serverům nepřímo. Také je potřeba nastavit filtrování paketů tak, aby interní klienti mohli komunikovat s proxy servery na bastionu a obráceně. A zároveň tak, aby bylo zamezeno přímé komunikaci mezi interními klienty a venkovním světem. V obou případech, filtrování paketů je bastion hostiteli umožněno, aby se spojil s hostiteli na Internetu. Bezpečnostní politika sítě určuje, pro které služby a hostitele je toto spojení umožněno. Většina práce, Kterou bastion zajišťuje, je vystupovat jako proxy server pro různé služby, buď za pomoci specializovaného software pro proxy servery pro konkrétní protokoly (jako HTTP nebo FTP), nebo za pomoci standardních serverů pro protokoly se svými proxy službami (SMTP). Interní směrovač Interní směrovač chrání interní síť od obojího, od Internetu a od obvodové sítě. Interní směrovač zastává ve firewallu nejvíce práce týkající se filtrování paketů. Dovoluje vybraným službám výstup z interní sítě do Internetu. Tyto služby jsou takové, které vaše síť může spolehlivě podporovat a bezpečně poskytovat spíše s použitím filtrování paketů než proxy službami. Bezpečně si musí každý sám určit, co to znamená. Nejde pro všechny sítě určit jeden vzor. Služby, které interní směrovač povolí mezi vaším bastion hostitelem a vaší interní sítí, nemusí být nezbytně stejné služby, které interní směrovač povolí mezi Internetem a interní sítí. Důvod pro omezení služeb mezi bastion hostitelem a interní sítí spočívá v redukci 21

22 počtu strojů (a počet služeb na těchto strojích), které mohou být napadeny z bastion hostitele, pokud by byl kompromitován. Měli byste omezit služby mezi bastion hostitelem a interní sítí pouze na takové, které jsou skutečně potřebné, jako např. SMTP (elektronická pošta), DNS (aby bastion mohl odpovídat na dotazy interních hostitelů, nebo se jich ptát, v závislosti na konfiguraci) atd. Dále je třeba omezit rozsah působení služeb, povolit je pouze z některých nebo pro některé interní hostitele. Například SMTP by mělo být limitováno pouze pro spojení mezi bastion hostitelem a interním poštovním serverem nebo servery. Externí směrovač Teoreticky chrání obojí, obvodovou síť i interní síť, před Internetem. Prakticky externí směrovače povolují téměř všechen odchozí provoz z obvodové sítě a všeobecně se velmi málo zapojují do filtrování paketů. Pravidla pro filtrování paketů k ochraně interní sítě by měla být v podstatě stejná pro oba směrovače pro interní i externí. Pokud se vyskytne chyba v pravidlech, která dovolí útočníkovi přístup, tak se chyba pravděpodobně ukáže na obou směrovačích. Jediná pravidla filtrování paketů, která jsou speciální pro externí směrovače, jsou taková, která chrání stroje na obvodové síti. Obecně ale není nutné tuto obranu přehánět, protože hostitelé na obvodové síti jsou prvotně chráněni pomocí systémové bezpečnosti hostitele (nadbytečnost nikdy neuškodí). Zbytek pravidel, která můžete použít pro externí směrovač, jsou kopie z interního směrovače. To jsou pravidla, která zabraňují přechodu nespolehlivého provozu mezi interními hostiteli a Internetem. Co by měl externí směrovač zajišťovat? Jedna z bezpečnostních úloh, kterou může externí směrovač úspěšně plnit je blokování jakýchkoli příchozích paketů z Internetu, které mají zfalšovanou zdrojovou adresu. Takové pakety se tváří, jako by přicházeli z interní sítě, ale ve skutečnosti přicházejí z Internetu. Interní směrovač by to mohl zvládnout také, ale nemůže zjistit, zda pakety, tvářící se, že pochází z obvodové sítě, nejsou zfalšované. I když by obvodová síť neměla mít plnou důvěru, je nohem důvěryhodnější než okolní svět. Možnost zfalšování paketů z ní, dává útočníkovi mnoho výhod pro kompromitování bastion hostitele. 22

23 Variace na architektury firewallů Toto byly nejběžnější typy architektur firewallů. Ve skutečnosti, ale existuje mnohem více variant. Firewally lze nakonfigurovat a zkombinovat tak, aby byly co nejlépe přizpůsobeny hardwaru, rozpočtu a bezpečnostní politice. Zde už pouze vyjmenuji některé další varianty: - používání několika bastion hostitelů je v pořádku - sloučení interního a externího směrovače je v pořádku - sloučení bastion hostitele a externího směrovače je v pořádku - sloučení bastion hostitele a interního směrovače je nebezpečné - použití několika interních směrovačů je nebezpečné - použití několika externích směrovačů je v pořádku - použití několika obvodových sítí je v pořádku - používání dual-homed hostitele a oddělené podsítě je v pořádku Obecné principy Bastion hostitel nás obecně zastupuje na Internetu. Je to systém, s kterým se musí každý spojit, chce-li projít do naší sítě. Také kvůli tomu potřebuje být nejvíce opevněným bodem. Při budování musíme brát ohled na několik věcí. Čím bude bastion jednodušší, tím snadněji se bude chránit. Počítač, který vybereme pro tuto funkci, musí být hlavně spolehlivý. Vybrat by se měl také model, na který seženeme popřípadě náhradní díly. Měl by postačit středně silný stroj od našeho dodavatele. Nepotřebujeme, velký výkon CPU, ale zase dostatečně velké množství paměti a také velké množství prostoru pro odkládání na disku. A už vůbec nepotřebuje honosnou grafiku a také by ji mít neměl. Výběr operačního systému záleží na nás. Další z důležitých věcí je výběr fyzického umístění. Měl by být ve zvláštní uzamčené místnosti s klimatizací. A ještě k tomu ve své vlastní síti. Postup při budování bastion hostitele - minimální instalace čistého operačního systému - opravit všechny systémové chyby - použít kontrolní seznam (jestli se nic nepřehlédlo) - zabezpečit systémové záznamy - zakázat nepožadované služby 23

24 - instalace a modifikování služeb - připojení stanice Údržba firewallu - průběžná péče - sledování systému - údržba aktuálnosti Do průběžné péče patří řada drobných úkolů jako zálohování firewallu, správa účtů, správa diskového prostoru. 2.4 Hrozby a jejich původci Z hlediska úmyslu a cíle při realizaci nežádoucího aktu vůči chráněnému informačnímu systému můžeme hrozby (a jejich původce) rozdělit do tří základních skupin: - především se může jednat o úmyslný neoprávněný přístup k informačnímu systému s cílem získat a posléze využít v něm uložená data (informace), - druhou možností je úmyslné poškození informačního systému, jehož původce může sledovat různé cíle, např. způsobit provozovateli finanční ztrátu, poškodit jeho pověst v očích uživatelů, zejména externích, či "jen" prokázat schopnost takový stav navodit, - v neposlední řadě se pak může jednat o neúmyslné chyby uživatelů či jiných subjektů, jejichž zapříčiněním je systém přiveden do nežádoucího stavu. Kromě výše uvedených existuje ještě celá řada hrozeb stojících zcela mimo působnost lidského faktoru, jako jsou kupříkladu přírodní živly (zemětřesení, povodeň atd.). Ty patří do oblasti počítačové bezpečnosti chápané v širším smyslu slova. Povodeň sice, svým způsobem, také data "ukradne", rozhodně je ale nezneužije. Zaměřme se tedy nyní na hrozby mající primárně původ ve volním (tedy úmyslném) konání člověka. Z hlediska vztahu původce hrozby k chráněné entitě můžeme rozlišit dva základní okruhy osob: 24

25 - vnitřní uživatele chráněného systému, kteří mají přímý přístup k jeho hlavním částem, obvykle prostřednictvím lokální počítačové sítě, - "zbytek světa", který přístup ke chráněnému informačnímu systému za normálních okolností buďto vůbec nemá, nebo disponuje jen omezenou množinou přístupových práv k některé jeho části (např. přehledovým výstupům zveřejňovaným na externím webu). Kombinací různých typů hrozeb, původců těchto hrozeb a cílů, které původci hrozeb sledují, vzniká široká škála ohrožení, proti nimž by měl být každý informační systém dostatečně chráněn. V oblasti bezpečnosti, snad více než kde jinde platí, že řešení (tedy systém zabezpečení) je tak silné, jako jeho nejslabší článek. Častým problémem při návrhu zabezpečení informačního systému je přecenění schopností a zejména možností útočníků, kteří své útoky vedou z vnějšího prostředí chráněného systému a podcenění rizik spojených s aktivitami vlastních zaměstnanců, vnitřních uživatelů daného systému. Na celkovém objemu škod se přitom nežádoucí aktivity vyvíjené z vnitřku organizace provozující informační systém podílejí výrazně vyšším procentem. Počet vnitřních bezpečnostních incidentů je sice v případě běžného informačního systému nižší, penězi vyjádřený dopad těch realizovaných však bývá naopak značně vyšší. Těžko si lze např. představit krádež celé databáze čítající řádově stovky megabajtů prostřednictvím internetového připojení. Jednak by rozumně dimenzovaná kapacita spoje byla pro tyto účely nedostačující, jednak je přístupu z Internetu obvykle bráněno bezpečnostními opatřeními, která by bylo nutno překonat. Stejného efektu lze se zřejmě nižšími náklady dosáhnout v pohodlí rychlé lokální sítě vybavené vysokokapacitními záložními jednotkami. Přístupová práva jsou infiltrujícímu "zaměstnanci" přidělena automaticky, popřípadě je lze získat odposlechnutím nikterak chráněné komunikace na lokální síti. V "ideálním" případě stačí i nechtěné poskytnutí přístupu do prostor, kde se nacházejí záložní média s požadovaným obsahem. 25

26 Přecenění vnějších a nedocenění vnitřních hrozeb pak vede ke konstrukci ochranných zdí kolem vlastního informačního systému, zatímco vnitřek zůstává nechráněn. Je vybudována tvrdá slupka kolem měkkého jádra. Zde popíši základní typy útoků v kontextu síťové bezpečnosti. Sniffing: Odposlech datové komunikace Sniffing je technika, při které dochází k ukládání a následnému čtení TCP paketů. Používá se zejména při diagnostice sítě, zjištění používaných služeb a protokolů a odposlechu datové komunikace. Rozhněvaný zaměstnanec firmy nebo hacker může umístit odposlouchávací jednotku na strategické místo a odposlouchávat firemní komunikaci, např. mezi vývojovým oddělením a vedením firmy. Tyto informace může poté zpeněžit u konkurenční společnosti. Obdobně může vedení firmy odposlouchávat své zaměstnance a kontrolovat jejich činnost. Pro odposlech datové komunikace (sniffing) existuje hned několik způsobů, ale de facto ke každému typu odposlechu je zapotřebí sniffer, softwarové vybavení (a v jistých případech i upravený hardware), které takové odposlouchávaní umožní. Sniffing v drátových ethernetových sítích Nyní se zaměříme na sniffing v drátových ethernetových sítích, jenž je oproti např. Wi-Fi sniffingu podstatně jednodušší. Nastíníme si modelové příklady užití sniffingu především v podnikové síti, které se z hlediska obsažených informací řadí do TOP 10 spolu s dalšími typy sociálních či datových sítí (např. vládní a armádní sítě, sítě úřadů a institucí, komunikační sítě a portály). A také si uvedeme některé z možností aktivní či pasivní obrany. Správce sítě Hned na úvod musím zmínit rozhněvaného správce sítě nebo administrátora, kteří mohou cílový systém/síť ohrozit přímo a bez větší námahy. Tito lidé by tedy již z principu měli být důvěryhodní a loajální zaměstnanci Vaší firmy. Na kvalitu těchto lidí má přímý vliv vstupní pohovor, personální agentura nebo např. tzv. dozor, jenž se správci věnuje po dobu jeho zkušební lhůty. Vězte, že pokud si ve své firmě zaměstnáte správce sniffera, který 26

27 k Vám již se zlým úmyslem nastoupil, bude jeho odhalení velice obtížné. Takový člověk, který má navíc patřičná oprávnění a pověření, si po své záškodnické činnosti umí většinou i uklidit. A pátrání po takovém člověku může být boj s větrnými mlýny. Jako prevence se pro tento typ průniku hodí jedno české přísloví: Důvěřuj, ale prověřuj!. Pokud se Vám dotyčného přece jen podaří vypátrat, pomohou Vám následně dobře vypracované pracovní smlouvy nebo české zákony o neoprávněném odposlouchávání dat. Výše uvedený odstavec lze v praxi aplikovat na libovolný typ průniku a pro všechny platí, že čím vyšší práva útočník získá nebo již má, tím těžší bude jeho dopadení. Fyzický (nebo hardwarový) Man-In-the Middle Druhým možným typem nejsnadnějšího odposlouchávání z hlediska implementace je fyzický (nebo také hardwarový) Man-In-the-Middle. Tato metoda je typická pro osoby, které mají fyzický přístup k topologii Vaší firemní sítě. Ano, napadá Vás to správně! Může to být klidně i nevinná uklízečka, která právě odposlechla citlivá data z Vaší probíhající on-line firemní porady. Pro tento typ odposlouchávání bude útočníkovi postačovat notebook s dvěma sítovými kartami nebo odposlouchávací můstek a přímý přístup do patřičného uzlu Vaší sítě (tedy racku, fyzické kabeláži, stroji). Vhodná obrana proti tomuto útoku je důkladné zabezpečení fyzického přístupu k uzlům a síti samotné. A když už je myšlenka absolutní kontroly přístupu nesplnitelná, je stále ještě možné doplnit potencionálně slabě zabezpečené prostory o nějaký další bezpečnostní systém (jako např. CCTV v kombinaci s PIR). Sniffing v ostatních sítích Packet sniffing Nyní se přesuňme na další typ čmuchání, tentokrát již softwarového rázu. Každé síťové rozhraní, každá síťová karta naslouchá v defaultním režimu pouze paketům, které jsou určené jen pro ni samotnou. Toto nastavení je však možné vhodnou úpravou nebo změnou ovladače obrátit v útočníkův prospěch. Uvedením síťového rozhraní do tzv. promiskuitního módu umožňuje odposlechnutí a uložení všech nebo vybraných příchozích dat, která by jinak rozhraní ignorovalo. Tento druh sniffingu je možný v síti, kde síťový hardware (etherswitch, router.) rozesílá pakety do celé sítě a data jsou zpracovávána pouze tím počítačem, pro která jsou určena. V takové síti mohou být data odposlechnuta 27

28 i počítačem, pro který nebyla určena. Obranou jsou v tomto případě vhodně volené aktivní prvky a jiné součásti sítě, které minimalizují všesměrové vysílání dat. Klasický Man-In-the-Middle Další mnohem sofistikovanější metodou odposlechu je klasický Man-In-the-Middle s použitím techniky ARP cache poisoning často také nazývaný MAC address spoofing. Díky této metodě se může sniffer postavit mezi dva počítače, servery nebo libovolné aktivní prvky. Následně mohou být data zachycena a zpracována. Při této metodě může útočník také nepozorovaně data pozměňovat nebo spojení úplně přerušit. Celá tato technika spočívá v přesvědčení protistrany, že její komunikace probíhá s žádanou důvěryhodnou stranou. Obrana proti tomuto útoku je jako v předchozím případě závislá na užitých aktivních prvcích ve Vaší síti. Mnoho nových typů směrovačů a přepínačů má již integrované funkce ověření a detekce falšovaní MAC adres zabudované. Hacker by v cizí síti mohl použít mnoho programů od Netcatu až po extrémní nástroje jako je třeba Core Impact. Otázkou je, jak moc si přeje zůstat utajen. Sniffing je obecně považován za nedestruktivní tichou a pasivní činnost. Lokální sniffing V neposlední řadě nesmíme zapomenout na odposlouchávání přímé, lokální. Sniffer se nemusí vyskytovat pouze mezi dvěma počítači, ale může být umístěn mezi TCP/IP ovladačem systému a síťovým hardwarem na počítači vybrané oběti. Takovýto (většinou low-level) software pak sbírá předem určená data a ukládá je, nebo rovnou odesílá útočníkovi. Mimo rámec packet sniffingu může také sniffer zachytávat stisky kláves. Jelikož se jedná o software instalovaný na konkrétních počítačích, bylo třeba jej sem nejdříve dopravit a následně nainstalovat. To může být provedeno lokálně osobou, která má k danému stroji přístup. Druhou možností je vzdálené napadení, které je úspěšné v momentě, kdy není Váš systém řádně aktualizován a obsahuje staré verze aplikací jako např. antivirový software, firewall apod. V prvém případě většinou postačuje mít zaheslované uživatelské účty a zapnutý (a samozřejmě také heslem chráněný) spořič obrazovky. Ne každý si vždy vzpomene svůj počítač řádně uzamknout. Posouzení, jestli je Vaše pracoviště právě to bezpečné, ponechávám raději na Vás. Pokud si nejste jisti, 28

29 pomůže Vám specializovaný software pro detekci a odstraňování záškodnických aplikací. Příklady těchto aplikací naleznete o něco níže. Metod průniku a následného sniffingu v napadeném systému je daleko více, než jsme si zde právě popsali. Nicméně zde uvedené patří k těm základním a hojně užívaným technikám, které může hacker, potažmo zaměstnanec využít. Jak se proti sniffingu bránit? Bezpečná síť je ta, která nemá žádné uživatele. A bezpečný počítač je ten, který není připojen v žádné síti. Uživatel bohužel nemůže udělat nic 100% účinného, aby se ochránil proti krádeži svých odeslaných dat. Pokud však dodrží několik základních pravidel, možnost, že bude odposloucháván, se značně sníží. Základním předpokladem bezpečnosti je odeslat data tak, aby je mohl přečíst pouze ten, komu jsou data adresována. Odeslaná data můžeme zabezpečit vhodným šifrováním a vhodným způsobem autentizace, ověřením integrity. IP spoofing Paket, který obsahuje zfalšované informace (předstírá, že pochází odjinud, než doopravdy) - útok proti autentičnosti informace. IP spoofing znamená falšování zdrojové IP adresy, čímž se útočník snaží předstírat, že je někdo jiný, nebo se snaží zamaskovat svoji pravou IP adresu. Proto je žádoucí, aby se na vstupu firewallu filtrovaly pakety, které jsou evidentně podvržené, a jejich původce nemůže mít čisté úmysly. Jde o jednu z nejúčinnějších metod maskování své identity v síti. Podstata spočívá v tom, že se přepisuje zdrojová adresa v hlavičkách odchozích paketů. Tato adresa se může nahradit téměř čímkoliv při zachování podmínek IP adresace, pokud mají být pakety bez rizika zahození na jejich cestě doručeny do cíle. Nevýhodou pro útočníka je skutečnost, že jelikož server neobdrží platnou adresu žadatele o komunikaci (tedy útočníkovu), tak jde pouze o jednocestnou komunikaci ve směru od útočníka k serveru, útočník tak nemůže obdržet ze serveru odpovědi. Další nevýhodou jsou prováděné záznamy o chybách spojení v protokolech o připojení na serveru, kdy jde o takové chyby, které jsou celkem specifické a jejich příčina je lehce odhalitelná. Pokud se útočník ukrývá za IP adresou stroje, který je serverem dosažitelný, tak se v protokolech na 29

30 serveru chybové záznamy neukládají. Správce "třetího" stroje si může všimnout většího množství zahozených paketů. Při zachování velmi silné anonymity je tedy využití techniky z důvodu jednocestné komunikace omezené. Dá se však použít např. ke komunikaci s poštovními servery a rozesílání nevyžádané reklamy (spamování), zadávání instrukcí vzdálenému systému nebo při potřebě shození vzdáleného serveru pro zajištění jeho restartu a načtení "black" souborů, které byly předtím na server uploadovány a je potřeba jejich aktivace se startem systému. O samotné přepisování odchozích paketů se může postarat generátor paketů. IP spoofing může být omezen správnou konfigurací nejbližšího routeru, přes který útočník odesílá data. Konkrétně se jedná o kontrolu zdrojových IP adres a kontrola jejich náležitosti k danému segmentu sítě. Pokud přijde na rozhraní routeru paket s cizí IP adresou, tak se nemusí vždy jednat o IP spoofing. K dané situaci může dojít např. v případě, kdy se stanice v síti připojí k internetu svým dalším síťovým rozhraním. Útoky na hesla (Password Attacks) Využívají různé metody (prolomení hesla, prostřednictvím virů typy "trójský kůň", IP spoofing, "dictionary program", sociální inženýrství, atd.) - útok na autentičnost Útoky DoS (Denial of Service) a DDoS (Distributed Denial of Service) Denial of Service (česky odmítnutí služby) nebo též Distributed Denial of Service (česky distribuované odmítnutí služby) je technika útoku na internetové služby nebo stránky, při níž dochází k přehlcení požadavky a pádu nebo minimálně nefunkčnosti a nedostupnosti pro ostatní uživatele. Cíle takového útoku jsou v zásadě dva: Vnucení opakovaného resetu cílového počítače Narušení komunikace mezi serverem a obětí tak, aby jejich komunikace byla buď zcela nemožná, nebo alespoň velmi pomalá. 30

31 Projevy Neobvyklé zpomalení služby (při otvírání souborů nebo prostém přístupu). Celková nedostupnost části nebo celých stránek. Nemožnost se ke stránkám připojit. Extrémní nárůst obdrženého spamu. Splnění některých podmínek ale ještě neznamená DDoS útok, může jít o prostý výpadek zaviněný hardwarem nebo softwarem samotného serveru bez cizího zavinění. Typy útoku Všechny typy se vyznačují několika společnými charakteristikami: Zaplavení provozu na síti náhodnými daty, které zabraňují protékání skutečných dat. Zabránění nebo přerušení konkrétnímu uživateli v přístupu ke službě. Narušení konfiguračního nastavení. Extrémnímu zatížení CPU cílového serveru. Vsunutím chybových hlášení do sekvence instrukcí, které můžou vést k pádu systému. Pád samotného operačního systému. Útok na síťové serverské aplikace Útok na síťové serverské aplikace (na aplikační programy síťových služeb) prostřednictvím škodlivých programů, které využívají slabiny příslušné aplikace (např. aplikace sendmail). Důsledkem útoku může být ztráta důvěrnosti ztráta integrity přepsání původního obsahu 31

32 Typy útoků používané hackery Jak je známo, hackeři (v dnešním slova smyslu) útočí na vzdálené počítače či servery, aby k nim získali aspoň nějaký přístup. Podívejme se tedy na krátký popis útoků, kterými hackeři zaměstnávají administrátory. Brutal Force Attack - útok hrubou silou Celkem snadný způsob útoku, i když časově nejvíce náročný. K útoku hrubou silou se využívá různé password crackery, jako třeba Hydra pro Linux, nebo např. wwwhack pro Windows. V podstatě jde o to, že tyto "louskače hesel" se vrhají na server a zkouší různé kombinace znaků jako hesla (či uživatelská jména), popř. berou hesla ze slovníku (wordlist attack). Slovníkový útok ale nezabere, pokud je daný uživatel dostatečně chytrý, aby si nedával hesla typu 'abcdefgh'. Pak zabere snad jen skutečný brutalforce attack, který může trvat pekelně dlouho v případě silného hesla. Počítejte se mnou: vezměme jen klasickou anglickou abecedu malých písmen, tj. 25 znaků. Pokud máme desetimístné heslo, pak počet kombinací je = 95,367,431,640,625 možností, čili nějakých 95,4 biliard! A dejme tomu, že jsme na rychlé lince a hádáme 10 hesel za sekundu, to jest přibližně 95,4 biliard hesel za let! Takže pokud nechcete předávat jedoucí počítač z generace na generaci, podívejte se po jiném útoku. (I když s rozvojem kvantových počítačů se tato rychlost o hodně zvyšuje. Ale to budete muset mít soubor s hesly v tomto počítači. Tato metoda je celkem nebezpečná i v tom, že moderní systémy si takovéto útoky zaznamenávají do logů, protože jsou snadno vypátratelné. Některé systémy se dokonce proti tomuto brání tak, že po několika neúspěšných pokusech zablokují danému uživateli dočasně do systému přístup. Social Engineering - sociální inženýrství Sociální inženýrství je metoda, ve které jde o to, že hacker nějakým svým výstupem, činem nebo chováním dostane od určitého člověka přístup k systému. A to může být už buď prozrazení hesla, nebo "jen" přístup k hlavnímu počítači. Podívejme se na některé kategorie sociálního inženýrství: 32

33 Hacker se může vydávat za někoho, kým není. Ať už se třeba tváří jako uklízečka, instalatér, může se dostat celkem nepozorovaně k nějakému počítači a zde rychle nainstalovat nějaký keylogger či sniffer. Taky se může vydávat za někoho konkrétního, což může být třeba adminstrátor či root. Zde už se svým zevnějškem asi nic neudělá, ale může poslat třeba mail, který se tváří jako by byl od správce sítě. Podobných typů útoků je celá řada. Jak se proti nim bránit? Tak zde je důležité být aspoň trochu paranoidní a nikomu nevěřit, popř. vše si ověřit na vlastní oči. Samozřejmostí je nedělat takové lehkovážné věci, jako lepit si hesla na monitor, používat za heslo jméno členů své rodiny, kamarádů a tak. Dobré je, když se vaše jméno nedá po Internetu moc vypátrat (zkuste si zadat v Googlu vaše jméno, jestli se něco zajímavého najde. Speciální formou sociálního inženýrství by mohly být trójští koně, protože i ty jsou založeny na důvěře uživatele. Útoky na hardware Sem patří útoky jako sniffing, keylogging a podobné. Zkráceně - odchytávání dat. Aby hacker mohl úspěšně odchytávat data, je pro něj důležité znát o daných počítačích či sítích co nejvíce. Zde se vyplatí investovat do bezpečnosti a používat přinejmenším šifrované spojení. A pokud se hacker dostane do prostor s počítači (viz výše), může to být úplná katastrofa. Takový hardwarový keylogger vypadá jako obyčejná redukce na klávesnici. A pokud vám přepne síťovou kartu do tzv. promiskuitního módu, budete mít co dělat, abyste vypátrali děravé místo. Odposlouchávat se dá mnoha způsoby. K náročným způsobům, které asi mezi "obyčejnými" hackery nejsou využívány, patří třeba odposlech elektromagnetických signálů vydávaných klávesnicí po každém stisknutí klávesy či dokonce elmg. vyzařování monitoru! Útoky na software Tyto útoky jsou velmi časté. Možná i nejčastější. Zde se využívá nedokonalosti programů či síťových protokolů k průniku do systému. Podívejme se na některé: Buffer overflow - Asi nejčastější typ chyby, kterou využívají exploity. Princip je v tom, že máte rezervovanou pro proměnnou určitou paměťovou oblast a zapíšete do ní něco většího. To co "přečnívá", může být vykonáno jako příkaz. A toho už se dá pěkně zneužít. 33

34 DoS neboli Denial of Service = odepření služby. Skrze tento útok dochází ke zpomalení či až k úplnému odstavení počítače. Tyto útoky můžou být vedeny buď na síťové rozhraní počítače, nebo na samotný počítač. V prvním případě dochází k enormnímu zasílání paketů po síti. Ať už je to obyčejný mailbombing, ICMP bombing, nebo SYN attack (zasílání paketů s příznaky SYN - příznak začátku spojení), vždy to jsou útoky, které dost znepříjemní jejím uživatelům život. Druhý typ, tedy DoS spouštěné na počítačích, slouží k nadměrnému zatěžování procesoru, paměti a jiných prostředků. Mitnick Attack - tento útok moc typický a používaný není, ale přesto ho tu zmíním. Hacker se snaží uhádnout číslo paketu a podstrčit jiný se stejným číslem. Tak to byly některé typy útoků, které hackeři využívají. Samozřejmě zde nejsou všechny. Jak je známo, hackeři jsou tvorové vynalézaví a pokaždé najdou něco nového. 3. Návrh řešení V této kapitole nebudu popisovat všechna možná řešení našeho problému, ale blíže popíši řešení, které splňuje naše požadavky a které jsme si nakonec vybrali. Při výběru správného firewallu jsme se soustředili na řešení, které dokáže zabránit všem hrozbám a není již potřeba dalších bezpečnostních prvků. Dalším důležitým hlediskem byla samozřejmě cena. Oba tyto naše požadavky splnila bezpečnostní platforma TippingPoint X506 od společnosti 3Com. Obrázek 5 (3Com X506) 34

35 Základní vlastnosti: Typ produktu: Security Appliance Funkce zařízení: router, Firewall, IPS, Antispam, URL filtering Filtrované protokoly: HTTP Možné operační módy: router WAN konektory: 1x 10/100BaseTX (RJ45) LAN konektory: 5x 10/100BaseTX (RJ45) Dodatečné konektory: 1 Console port (up to 115.2kbps) Manažment: CLI, WWW, SNMP Informace o efektivitě: IPS Performance: 60Mbps (TippingPoint Treat Suppervision Engin), Firewall Performance: 100Mbps Maximální počet souběžných spojení: Podporované protokoly VPN: IPSec, L2TP, PPTP VPN šifrování: DES, 3DES, AES Počet kanálů IPSec VPN: 1000 Podporované protokoly a standardy: NAT - Network Address Translation, PPPoE - Point-to-Point Protocol over Ethernet, DHCP Client - Dynamic Host Configuration Protocol Client, IEEE 802.1Q - Virtual LANs, DHCP Server - Dynamic Host Configuration Protocol Server, IGMP - Internet Group Management Protocol, IGMPv2, IEEE BaseT, IEEE 802.3u - 100BaseTX, SNMPv1 - Simple Network Management Protocol ver. 1, SNMPv2 - Simple Network Management Protocol ver. 2, SNMPv3 - Simple Network Management Protocol ver. 3 Podporované směrovací protokoly: RIP v1 - Routing Information Protocol ver. 1, RIP v2 - Routing Information Protocol ver. 2, OSPF v2 - Open Shortest Path First ver. 2, Stating Routing Doplňující informace: Firewall Polices: 500, Security Zones: 32, Virtuals Servers: 100 Šířka: 445 mm, 19 palců Výška: 43 mm, 1 U Hloubka: 175 mm Čistá hmotnost: 4,1 kg 35

36 Firewall není v dnešní době dostatečná ochrana lokální sítě před hrozbami z internetu. Námi vybraná bezpečnostní platforma je schopna blokovat narušení podnikové sítě ještě předtím, než útok poškodí nebo zničí páteřní IT infrastrukturu. Tato platforma je určena k zabezpečení podnikových datových sítí, ale také k blokování škodlivého provozu. Jedná se vícezónový firewall (bezpečnostní brána) s integrovaným IPS (Intrusion Prevention System). Navíc umožňuje prioritizovat hlas, data nebo video funkcemi QoS (Quality of Service), spravovat pásmo pro jednotlivé aplikace, potlačit méně důležité aplikace a filtrovat Webový obsah. QoS je v informatice termín používaný pro rezervaci a řízení datových toků v telekomunikačních a počítačových sítích s přepínáním paketů. Protokoly pro QoS se snaží zajistit vyhrazení a dělení dostupné přenosové kapacity, aby nedocházelo při zahlcení sítě ke snížení kvality síťových služeb. Systém prevence průniků (IPS) je moderní součástí celkové strategie ochran počítačové sítě. Jedná se o podstatné rozšíření ochrany poskytované firewallem. Běžný firewall je totiž schopný vidět v paketu pouze do úrovně zdrojových a cílových portů. Pro firewall korektní provoz na TCP portu 80 tak klidně může obsahovat škodlivý kód, který není firewall schopen detekovat a blokovat, protože je přenášen ve vrstvě, do které firewall nevidí. IPS zkoumá veškerý provoz až do sedmé vrstvy OSI protokolu, který prošel firewallem a případně i vnitřními segmenty sítě. Provede odfiltrování škodlivého obsahu na základě porovnání se známými obrazci z databáze, může využívat i heuristickou analýzu a uživatelsky definované filtry. Navíc lze IPS funkce aplikovat i na data uvnitř IPSec VPN tunelu (VPN tunely IPSec poskytují zabezpečené tunely (spojení) mezi dvěma místy), takže zabrání propagaci virů/červů mezi pobočkami. Další součástí této platformy je digitální vakcína, která poskytuje zařízení rychlé odezvy na nové typy útoků. TippingPoint X506 umožňuje klasifikovat data podle zdrojové nebo cílové sítě, portu, VLAN, IP adresy, skupiny IP adres, stejně jako TCP/UDP, časových parametrů. Jedná se o naprosto všestranný firewall, který neslouží jen k ochraně perimetru sítě, ale dokáže se postarat o dodržování pravidel komunikace i uvnitř lokální sítě. Firewall obsahuje 6 portů 10/100Base-T. Tyto porty můžeme seskupovat ve virtuálních bezpečnostních zónách a mezi těmito bezpečnostními zónami nastavovat pravidla firewallu a v případě potřeby mezizónovou komunikaci podrobit kontrole IPS. Samozřejmostí je možnost terminovat velké množství VPN. Je to bezpečnostní řešení pro firmy do 1500 uživatelů LAN, takže 36

37 i z hlediska kapacitního je pro naše účely více než dostačující, protože uživatelů LAN v Jihostroji a.s. je v dnešní době kolem Realizace V této kapitole popíši základní nastavení námi vybraného firewallu, všechny funkce, které nám nabízí a nastavení pravidel firewallu. Firewall obsluhujeme přes webový prohlížeč nebo přes konzoly, kterou se připojíme přes speciální port. K připojení přes webový prohlížeč se využívá protokol HTTPS. HTTPS je v informatice nadstavba síťového protokolu HTTP, která umožňuje zabezpečit spojení mezi webovým prohlížečem a webovým serverem před odposloucháváním, podvržením dat a umožňuje též ověřit identitu protistrany. HTTPS používá protokol HTTP, přičemž přenášená data jsou šifrována pomocí SSL nebo TLS a standardní port na straně serveru je Přihlášení k firewallu - Napíšeme IP adresu našeho zařízení do webového prohlížeče (např: ). - Po zadání nám webový prohlížeč zobrazí přihlašovací stránku, ta nám mimo jiné nabízí jméno a model zařízení (z bezpečnostních důvodů jsou všechny obrázky jen podobné se smyšlenými údaji). Obrázek 6 (přihlašovací stránka firewallu) 37

38 - Napíšeme uživatelské jméno a heslo a poté klikneme na Log On. Pokud budou údaje pro přihlášení správné, proběhne přihlášení do Local Security Manageru (LSM ) a zobrazí se úvodní stránka firewallu, pokud jsou přihlašovací údaje odmítnuty, zobrazí se znovu přihlašovací stránka. Obrázek 7 (vzhled webového rozhraní firewallu - LSM) 4.2 Popis jednotlivých položek funkčního menu LSM je rozdělen na tři hlavní oblasti. V horní části je tmavě modrá lišta Hlavní menu, tato oblast nabízí rychlý přístup na stránku systémového summary (obsahuje specifikaci produktu a souhrn všech logů (záznamů)), online pomoc, informace o přihlášeném uživateli, aktuální datum a čas a informace o tom, kdy proběhne automatické odhlášení. Navigace je panel umístěný na levé straně a nabízí přístup k funkčnímu menu LSM. To obsahuje položky IPS, Firewall, VPN, Events, Systém, Network a Authentication. Poslední oblast, která je uprostřed LSM, je Obsah a funkcionalita, která zobrazuje informace, podle toho, kterou položku z menu si vybereme. 38

39 Jako první popíši sekci Authentication (autorizace, ověření). Zde je nejdůležitější položkou v menu User List, která nám nabízí přehled uživatelů, jaký stupeň oprávnění je jim přiřazen, dále také za jak dlouho jim vyprší platnost hesla, a stav uživatele (jestli má přístup povolený, nebo zakázaný). Můžeme zde upravovat nastavení pro jednotlivé uživatele, přidávat nové, nebo odebrat stávající uživatele a v neposlední řadě, uživatelům měnit hesla. Obrázek 8 (stránka User List) Privilege Groups - zde se nastavují přístupová práva pro VPN klienty a síťové služby chráněné pravidly firewallu. RADIUS zde se provádí konfigurace zařízení pro používání externího RADIUS serveru k autorizaci uživatelů X.509 Certificates vytváření, import a spravování CA certifikátů, žádostí o certifikát a lokálních certifikátů používaných pro VPN autorizaci Sekce System, nám nabízí aktualizovat a spravovat programové balíky TOS a Digitální vakcíny (digitální vakcína obsahuje filtry určené pro zranitelnosti, viry, červy, trojské koně, P2P, spyware a ostatní aplikace), změny nastavení konfigurace zařízení, nastavení 39

40 času a časového pásma, konfiguraci serveru pro systémové záznamy a Setup Wizarda, který nás v případě potřeby provede nastavením a konfigurací zařízení a síťových nastavení. Obrázek 9 (stránka Update) Sekce Network, už obsahuje pro nás velmi důležité položky, ve kterých jsme prováděli nastavení portů firewallu, veškeré síťové nastavení a vytvářeli si Security Zone. V záložce Network Ports konfigurujeme fyzické porty firewallu. Jak jsem již uvedl výše, firewall disponuje 5 LAN porty a jedním portem pro připojení k WAN. Můžeme zde nastavit rychlost portu (10Mbps, 100Mbps, když je zaplá funkce auto-negotiation, nastaví firewall rychlost automaticky podle zařízení, které je k portu připojeno), jestli má být port povolený nebo zakázaný a můžeme ho i restartovat. 40

41 Obrázek 10 (stránka Network Ports) Security zones V této sekci jsme si rozdělili síť na příslušné Security zóny a přiřadili jim porty, ke kterým jsou připojeny. Vytvořili jsme zónu LAN, která je připojena k portu 1, zónu WAN, která má již od výrobce přiřazen port 6, zónu VPN, a hlavně pro nás důležitou zónu DMZ. Této zóně jsme přiřadili porty 2 a 3. Na port 2 připojíme ový server a na port 3 webový server. Rozdělení na tyto zóny nám umožní nastavit různá pravidla pro komunikaci mezi zónami, jelikož máme různé bezpečnostní požadavky pro komunikaci mezi LAN a WAN a DMZ a WAN. Zóna LAN zahrnuje všechny lokální podsítě. Zóna WAN jsou všechny sítě, které se nacházejí za routrem našeho poskytovatele internetu. V zóně DMZ je webový server a ový server. A zóna VPN bude sloužit pro zabezpečený přístup z WAN do LAN. 41

42 Obrázek 11 (stránka Security zones) Dále zde nastavujeme ID zóny, můžeme zde nastavit omezenou šířku pásma pro každou zónu a omezit rozsah IP adres pro každou zónu. Další důležitou položkou v sekci Network je IP Interface. Obrázek 12 (stránka IP Interface) 42

43 IP Interfaces nám nabízí vytvoření síťových rozhraní požadovaných pro naše prostředí. Nastavení rozhraní (interface) je požadováno pro každou podsíť přímo připojenou k zařízení. Musíme zde nastavit jedno rozhraní, přes které budou přistupovat k lokální síti uživatelé z Internetu (external) a druhé rozhraní přes které budou komunikovat uživatelé z LAN (internal) do WAN. Každému rozhraní musíme přiřadit příslušnou IP adresu a masku podsítě. K externímu interfacu jsme přiřadili zóny WAN a DMZ a k internímu zóny LAN a VPN. Jsou to vlastně Gateways (brány), na které bude směrována veškerá komunikace. Samozřejmostí je nastavení správných route mezi těmito rozhraními Obrázek 13 (Grafické znázornění rozdělení do zón) 43

44 V sekci IP Adress Groups jsme si vytvořili skupiny (např. podle pracovního zařazení ve firmě personalistika, IT atd.), ke kterým jsme přiřadili určité IP adresy nebo rozsah IP adres. Toho můžeme poté využít při tvorbě pravidel firewallu, kdy nastavíme pravidlo pro celou skupinu a nemusíme pravidlo přiřazovat každé IP adrese zvlášť V DNS sekci jsme zadali IP adresy našich DNS serverů a název naší domény. Poslední co jsme v sekci Network nastavili, byla výchozí Gateway (brána), což je IP adresa, pod kterou bude viditelná naše lokální síť pro uživatele z Internetu. Další položkou funkčního menu jsou Logs (záznamy). Zde jsme sice nic nenastavovali, ale dozvíme se zde vše důležité. Zaznamenávají se zde neúspěšné pokusy o přístup, nalogování se k firewallu, nabourání se do lokální sítě, záznamy o komunikaci zakázané pomocí nastavených pravidel, záznamy o komunikaci zakázané pomocí filtrů IPS a také záznamy o změnách v nastavení samotného zařízení. 4.3 Natavení pravidel firewallu Konečně se dostáváme k nastavení mnou už mnohokrát zmiňovaných pravidel firewallu. Firewall zkoumá nejen hlavičku paketu, ale také kontroluje obsah paketu a monitoruje status spojení. Pro zvýšení bezpečnosti, zařízení otvírá jen TCP nebo UDP porty, kde oprávněné zařízení žádá spojení se specifickým TCP nebo UDP číslem portu. Implementace pravidel firewallu nám umožní používat zařízení hlavně k dynamickému filtrování paketů. Pravidla firewallu řídí tok provozu mezi bezpečnostními zónami, které jsme si nastavili, poskytují management šířky pásem a zajišťují kvalitu služeb. Pravidla firewallu můžeme použít k: Určení kdy a jak bude provoz v síti klasifikovaný a řízený firewallem. Seřazení specifických druhů síťového provozu podle důležitosti. Dovolení nebo blokování žádosti relace. Použití webového obsahového filtrování ke specifickým kategoriím webových sítí Plánování kdy služba bude odepřena nebo povolená. 44

45 Přidělení prostředků šířky pásma službě a zajišťování jestli má službu dostupnou šířku pásma. Omezení prostředků šířky pásma k stanovené službě Časové odpojení nečinné relace. Monitorování síťového provozu Pravidla firewallu mohou být užívány pro zobrazování, jak přicházejícího tak odchozího provozu. Následující příklady ilustrují, jak by zařízení mohlo použít pravidel firewallu na provoz směřující do vnitř nebo ven. Kontrola adresy - Zařízení může blokovat provoz, který nepřichází od známého/důvěryhodného odesílatele nebo nesměřuje do povoleného místa určení. Kontrola obsahu - Zařízení může použít webový obsahový filtr na Webový provoz (to je, HTTP nebo HTTPS provoz). Uživatelská autentizace - Zařízení může použít uživatelskou autentizaci tak, že to dovoluje jen provoz od uživatelů, kteří jsou přihlášeni k zařízení. Firewall pravidla jsou aplikovaná na základě žádostí o spojení. Všechny povolení a omezení řízení obou směrů spojení, pro platnost spojení, jsou založeny na síťových parametrech (například: zdrojová zóna, zóna určení, adresy) se kterými je spojení požadované. 45

46 Pořadí pravidel firewallu Obrázek 14 (stránka Firewall Rules) Firewall pravidla jsou zpracovaná po pořádku podle priority. Firewall použije první pravidlo, které odpovídá kategorii provozu v žádosti. Jestliže provoz neodpovídá žádnému z pravidel, standardní chování je blokovat provoz. Při definici pravidel firewallu, musíme dbát, abychom umístili pravidlo správně do seznamu. Jak donucovací pravidla firewallu fungují Následuje příklad, jak zařízení prosadí firewall pravidla pro žádost relace, například, kdy neověřený (neznámý) uživatel žádá o webovou stránku použitím prohlížeče. 1. Uživatel spustí internetový prohlížeč. Internetový prohlížeč převede DNS jméno na URL a zahájí TCP spojení s cílovým webovým serverem přes Firewall. 2. Zařízení zkontroluje hlavičku relace a identifikuje následující informace o žádosti: Zdrojovou IP - Adresa zařízení, které zahájilo žádost IP místa určení - Adresa zařízení, pro které je žádost určená 46