Hlavní navigace

Bezpečnost firewallů - zabezpečení firemních sítí

21. 10. 2003

Dnes už každý majitel počítače, který je součástí sítě, a to jak lokální, tak celosvětové, řeší bezpečnost svého spojení s okolím; mnozí možná zatím podvědomě, jiní již aktivně. Prvním náznakem, že není z hlediska bezpečnosti něco v pořádku, je zneužitelnost počítače. Počínaje různými bannery a konče monitoringem aktivit.

963

Na úrovni zabezpečení celofiremní sítě je nebezpečí mnohem vyšší. Zájem zneužít připojení nemusí mít jen „agenti konkurence“, ale i skupiny využívající nedostatečné zabezpečení pro vlastní zviditelnění, zamaskování zdroje původu (umístění odkazů na dětskou pornografii apod.) nebo prosté bezdůvodné poškození. Zde už výběr ochrany představuje velmi široké spektrum od nejjednoduššího stupně paketové filtrace až po robustní firewally aplikační úrovně, kombinující v sobě ochranu s VPN branou (propojení sítí, přístup vzdálených uživatelů), IDS (detekce napadení a zpětná reakce) nebo antivirovým systémem.

Současné bezpečnostní problémy lze stručně popsat následovně:

a) firmy

  • podcenění bezpečnostních rizik a neexistence bezpečnostní politiky
  • podcenění fyzického zabezpečení přístupu k serverům, pracovním stanicím a síťovým prvkům (aktivním i pasivním)
  • nejednotný přístup k ochraně pracovních stanic
  • nezabezpečené notebooky s možností konektivity via VPN, volný pohyb nezabezpečených notebooků, připojování notebooků a pracovních stanic k jiným než firemním POP3 serverům
  • nevhodná konfigurace firewallů nebo neaktualizovaný software na nich
  • použití nevhodných formátů pro e-mail nebo volný pohyb citlivých informací via e-mail

b) soukromé osoby

  • neaktualizovaný operační systém nebo starý a nepodporovaný operační systém
  • neaktualizovaný nebo chybějící antivirový software
  • chybějící personal firewall
  • používání nezabezpečených a nevhodných služeb (sdílení disku, windows messaging)
  • nevhodné nastavení e-mail a WWW klientů (povolené javascripty, automatické zobrazovaní příloh, active-x etc.)
  • používání nevhodných hesel a volný přístup k hardwaru
  • používání nevhodných formátů pro výměnu informací (Word, Excel)

Jak je možné se bránit

  • nespoléhat na myšlenku, že mně/nám se to přece nemůže stát
  • komplexním přístupem k řešení otázek bezpečnosti včetně bezpečnosti fyzické
  • vypracováním a aktualizováním bezpečnostní politiky včetně analýzy rizik a návazných dokumentů
  • pravidelným prověřováním funkčnosti bezpečnostních opatření
  • udržováním aktuální verze používaného operačního systému
  • aktualizací antivirového softwaru na poslední známe viry
  • používáním vhodného softwaru (firewall, personální firewall, antivir)
  • instalováním, povolením a zpřístupněním jen těch služeb, které jsou nezbytné

Návodem, jak řešit bezpečnost sítí i počítače, mohou být dále popsané informace.

Zabezpečení firemních sítí

Základní úrovní bezpečnosti pro podnikové sítě je překlad adres (NAT), který skrývá jednotlivé části vnitřní sítě do neviditelné skupiny schované za jednou veřejnou IP adresou. Zdroje vnitřní sítě, které je nutné ponechat viditelné pro vnější svět (pro partnery, externí zaměstnance, externí mail server, DNS), je pak vhodné umístit do demilitarizované zóny (DMZ), která je oddělena od vnitřní sítě firewallem.

950

Překlad adres však nebrání přístupu do vnitřní sítě pro „nezvané hosty“, pouze ji skrývá. Nejjednodušším bezpečnostním nástrojem je paketová filtrace a stavová paketová filtrace.

Paketová filtrace je dnes implementována do většiny tzv. firewallů, ať již v softwarové podobě (Winroute, Winproxy, Linux implementace, personální firewally), nebo hardwarové (CISCO routery). Bezpečnost je však zúžena na kontrolu otevřených spojení (například z rozsahu povolených IP adres) a portů (HTTP provoz, provoz IS), na nichž komunikace probíhá. Legálnost a obsah komunikace však již ověřit nelze a vše, co odpovídá jednoduchým pravidlům, je do vnitřní sítě propuštěno.

Stavová paketová filtrace představuje již základní systém ochrany, kdy si firewall pamatuje stav spojení, například zda-li bylo spojení otevřeno z vnitřní sítě, a na základě tohoto umožní i opačně navázané spojení. Nekontrolujeme tedy obsah, ale řídíme alespoň komunikaci. Do této kategorie s různými vylepšeními mohou patřit implementace linuxových firewallů, CISCO PIX nebo firewall CheckPoint, kde je stavová filtrace nazvána Stateful Inspection. Komunikace je však opět propuštěna přímo do vnitřní sítě.

Nejvyšší úroveň zabezpečení zajišťují aplikační proxy brány s inteligentními proxy (nastavitelnými). Aplikační proxy brány přebírají veškerou komunikaci a na základě stanovených pravidel tuto komunikaci nepropouštějí, ale sami realizují; spojení z vnějšího světa je tak vždy ukončeno na firewallu. Aplikační proxy jde v kontrole spojení až na samé jádro komunikace, na datovou úroveň, tj. na obsah. Může tedy ověřit, jaké příkazy (put, get, post apod.) jsou skryty v HTTP nebo v jiném protokolu, pro který je aplikační proxy k dispozici, a nežádoucí komunikaci zcela zamítnout.

Dnes je nejvíce útoků vedeno přes protokol HTTP na portu 80. Zde je nižší úroveň firewallu naprosto nedostatečná, protože každá větší společnost bude mít port 80 otevřen. Aplikační firewall typu Gauntlet, Sidewinder nebo Symantec dokáže však i v HTTP protokolu odhalit nežádoucí kód a zamezit tak proniknutí například nebezpečných kódu v podobě červa (Code Red aj.). Aplikační firewally pak můžeme kategorizovat podle počtu aplikačních proxy a úrovně jejich nastavení. Firewall Gauntlet (více než 30 aplikačních proxy), Symantec (více než 16) nebo Sidewinder (více než 38 + uživatelské). Naopak některé Stateful Inspection firewally poslední dobou teprve doprogramovávají aplikační proxy. Kontrola však nedosahuje hloubky skutečných aplikačních firewallů a počet proxy je velmi omezen (v řádu jednotek).

Firewally nejvyšší úrovně navíc disponují běžícími servery, například caching proxy, SMTP mail, Split DNS, FTP, NTP, URL filtrováním nebo antivirovou bránou (SMTP, HTTP). Tj. veškerá ochrana je zajišťována přímo na firewallu, kde je tento provoz terminovaný.

Bezpečnost nekončí ale samotným firewallem. Důležitou otázkou, zejména z hlediska správy, je nasazení na operační systém. Firewally, jako je CheckPoint, Gauntlet aj., jsou implementovány nezávisle na operačním systému třetích stran, což přináší uživateli určitou volnost ve výběru, ale následně velké nesnáze ve správě, která je otázkou nemalých finančních částek. Bezpečnost rovněž pokulhává, protože je nutné patchovat (záplatovat) nejen firewall, ale i operační systém, a často v té správné konstelaci verzí jednotlivých patchů. Hlídat vydané patche, správně je aplikovat a mít hrůzu z případného zhroucení firewallu, kdy se balík pěti patchů firewallu a deseti operačního systému bude muset opět ve správném pořadí aplikovat, je noční můrou mnoha správců. Na druhou stranu celá řada firewallů přináší integraci operačního systému (např. CISCO PIX, Sidewinder), což pro uživatele znamená jednotnou bezpečnostní politiku a snadnost patchování.

Nejvyšší úroveň dosud implementovanou u firewallů přináší implementace technologie TypeEnforcement (oddělování procesů) jádra operačního systému. Implementace dnes běží na SecureOS, který je nedílnou součástí firewallu Sidewinder. SecureOS je založen na BSD UNIX, avšak díky přístupu výrobce ke zdrojovým kódům operačního systému byl přizpůsoben jen pro potřeby firewallu a kvůli technologii TypeEnforcement nevyžadoval dosud žádnou bezpečnostní záplatu. Rovněž nebyl nikdy žádným hackerem zneužit i přesto, že ochraňuje exponované sítě administrativy USA, armády USA nebo samotné FBI.

Vlastní správa takových firewallů pak probíhá plnohodnotně ze stanice správce, která může mít preferovaný operační systém.

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph