Hlavní navigace

Proč firewall?

12. 2. 2010
Doba čtení: 7 minut

Sdílet

 Autor: 29
Cílem této série článků je představit minulost a současnost firewallů, jejich technologií a zamyslet se nad budoucností řízení přístupu k informacím. Současná odborná literatura se staví různě k technologiím firewallů a k jejich klasifikaci. Naším cílem není vyzdvihovat nebo zatracovat některé technologie, ale raději shrnout vývoj technologií, které vedly k vývoji moderních firewallů, a rozproudit diskusi nad jejich budoucností.

Co je firewall a na co se používá?

Firewall je způsob jak omezit přístup mezi Internetem a interní sítí. V širším kontextu tedy jde o souhrn technických opatření. V užším kontextu se tento výraz používá pro označení softwarového balíku pro ochranu počítače, na kterém je instalován, nebo také pro označení hardwarového zařízení oddělujícího vnitřní počítačovou síť od Internetu. V dalším textu budeme uvažovat o firewallu jako o hardwarovém zařízení, které slouží jen a jen k tomuto účelu.

Typické nasazení firewallů pro maximální efekt je v bodě přístupu interní sítě do Internetu. Firewall umožňuje významným způsobem ochránit uživatele od hrozeb číhajících na veřejné síti. Stejně tak je možné chránit uživatele před porušením bezpečnostní politiky, jako je odesílání citlivých dat, používání zakázaných služeb, atd.

Rizika síťové komunikace

Pokud se rozhodneme připojit počítač nebo interní síť k Internetu, vystavujeme se následujícím rizikům:

  • Zneužití informací uložených na počítači nebo počítačích kdekoliv v interní síti.
  • Zneužití prostředků v síti.
  • Poškození vlastní reputace.

Pod zneužitím informací si dokáže každý představit více či méně způsobů, jakými by mohly být jeho vlastní citlivé informace zneužity. Více představivosti však vyžaduje zneužití prostředků v síti. Pro ilustraci si stačí představit omezení poskytovaných služeb vlivem přetížení serverů, nebo zneužití počítačů v interní síti pro napadení cizí sítě, ale také obchodního partnera či konkurence. Mnohé z těchto hrozeb jsou přímo spojeny s poškozením vlastní reputace.

Data a poskytované služby je potřebné chránit, aby byla zajištěna jejich dostupnost, integrita anebo důvěrnost. Lidé jsou zvyklí se zaměřovat především na poslední zmíněnou vlastnost. Důvodem je jasnější představa zneužití obchodních informací, finančních záznamů, nebo také odcizení osobnosti. Tyto informace je přitom možné chránit mnohem jednodušeji, a to zejména pomocí fyzického oddělení těchto sítí od Internetu – kleště pro přestřihnutí kabelu do Internetu jsou jistě dokonalým firewallem.

Mnohem větší problém je s ochranou dostupnosti a integrity. I v případě, že poskytované informace nejsou tajné, je potřebné je chránit před modifikací a zničením. Následky těchto událostí je možné velmi jednoduše reprezentovat finančními ztrátami. Pro představu si spočtěte, kolik prostředků byste museli vynaložit za nové vytvoření, rekonstrukci nebo obnovu těchto dat.

Největší hrozba však stejně zůstává ve ztrátě důvěry – obchodních partnerů, investorů, veřejnosti a ztráta důvěry v organizaci.

Technologie firewallů

První technologie pro řízení datové komunikace a jejich implementace do zařízení se objevily začátkem devadesátých let. Aby byla situace na začátek složitější, již v této době se využívaly dva principy – odlišné přístupy k zajištění bezpečnosti síťového provozu, a to:

  • IP filtry
  • proxy firewally

Největším, spíše filozofickým, rozdílem mezi těmito přístupy je způsob realizace firewallů. Na jedné straně IP filtry vznikly původně jako funkční rozšíření směrovačů. Na straně druhé proxy firewally byly výsledkem úvah lidí zabývajících se bezpečností (především Marcuse Ranuma a Freda Avolia) a tedy specializovaný nástroj navržený pouze pro bezpečnost.

firewally

Vývoj technologií firewallů

Mezi další významné rozdíly patří také „implicitní“ postoj k filtrování sítě. IP filtry ve svých prvních verzích veškerou komunikaci implicitně povolovaly, a se zdokonalováním filtru narůstal také poměr filtrovaného provozu. Naproti tomu přístup proxy firewallů byl založený na blokování veškerého provozu a s postupným vylepšováním technologie narůstal poměr povoleného provozu. Podívejme se však podrobněji na jednotlivé technologie.

IP filtry

Jak již bylo výše zmíněno, první firewally vznikly jako funkční rozšíření směrovače. Na první pohled jde o velmi logickou úvahu. Směrovač je nutně přítomen v každé síti a je tedy vhodným prvkem pro řízení bezpečnosti datové komunikace. Dané zařízení navíc implicitně pracuje se zdrojovou a cílovou IP adresou přenášených rámců a dokáže proto jednoduše povolit nebo zakázat příslušnou komunikaci. Selektivní přeposílání rámců mezi vhodnými podsítěmi a blokování jejich přeposílání do jiných částí sítě poskytovalo na počátku rozmachu Internetu dostatečnou ochranu.

Toto řešení se začalo označovat jako IP filtrové firewally, ve skutečnosti však šlo pouze o správně nakonfigurované směrovače. IP filtry měly definovanou statickou sadu pravidel, pomocí které kontrolovaly jednotlivé položky síťové hlavičky a transportní hlavičky přenášených paketů. Důležité je také zdůraznit, že IP firewally implicitně povolovaly veškerou komunikaci a neposkytovaly žádnou analýzu na aplikační vrstvě. Nespornou výhodou byla jednoduchost integrace nových protokolů a jednoduchá rozšiřitelnost o další funkčnost.

Později se objevily specializované filtrovací brány. Tyto již pracovaly se stavy protokolů a umožnily tak dokonalejší kontrolu komunikace. Dodatečné informace byly udržovány pomocí jádra operačního systému. Kontrola komunikace již nebyla založena pouze na statických pravidlech. Stavové paketové filtry umožňovaly také omezenou kontrolu aplikační vrstvy. Monitorovaná komunikace je z hlediska IP filtrů neporušena, avšak může být blokována. Vzhledem k monitorování pouze druhé a třetí vrstvy neposkytuje také žádnou kontrolu obsahu a autentizaci. Nejpokročilejší stavové filtry, které se objevily později, poskytují plnou kontrolu stavů TCP spojení a UDP proudů a vykonávají komplexní diagnostiku těchto protokolů včetně (části) aplikačních dat.

Implementace IP filtrů je běžně založena na jádře unixového operačního systému, přičemž nejčastěji se používá Linux, nebo FreeBSD. Proprietární řešení mohou být také založena na specializované hardwarové platformě nebo ASIC (aplikačně specifických integrovaných) obvodech.

Proxy firewally

Naprosto odlišný přístup byl zvolen k vývoji „specializovaného“ zařízení určeného pouze pro implementaci síťové bezpečnostní politiky. Na rozdíl od „šikovného routeru“ s rozsáhlou množinou funkcí, hlavním cílem proxy firewallů bylo umožnit co nejpřesnější řízení datové komunikace. Tato zařízení již pracovala na aplikační vrstvě a měla proto k rozhodování mnohem víc informací.

První proxy firewally byly založeny na oddělujícím počítači (angl. bastion host), které spojovaly nezávislé sítě, přičemž přeposílání mezi těmito sítěmi bylo zakázáno. Každá ze sítí měla vyčleněný počítač ve funkci oddělujícího počítače. V dané době byly počítače spíše zapojeny do nezávislých sítí a propojení těchto sítí bylo pevně definováno právě přes oddělující počítače. Pokud se chtěl uživatel připojit do jiné podsítě, musel se nejprve připojit na oddělující počítač ve své síti (např. telnet-em) a následně se připojil požadovanou službou do vzdálené sítě (např. pomocí SSH).

Dalším vývojovým krokem byly netransparentní proxy. Tyto umožnily uživateli nepřímé připojení k cílovému serveru, ovšem bez potřeby explicitního přihlašování k oddělujícímu počítači. Na rozdíl od IP filtrů nejsou rámce přeposílané přímo, ale raději jsou zrekonstruovány nové rámce na oddělujícím počítači. Přímé přeposílání rámců mezi propojenými sítěmi není opět povoleno. Jinými slovy se dá říci, že každé spojení mezi vnitřním a vnějším počítačem je rozpojeno na dvě separátní spojení a ukončeno v proxy.

Netransparentní proxy umožnilo kontrolovat aplikační data v přenášených rámcích – dotazy přenášené na server a odpovědi v opačném směru. Tím bylo možné filtrovat a případně i modifikovat přenášená data. Jednotlivé bezpečnostní funkce a granularita nastavení uživatelských účtů proto nemusela být nutně implementovaná na straně serveru, ale mohla být přesunuta do proxy firewallu. Nevýhodou tohoto přístupu byly zvýšené nároky na implementaci a udržování kódu.

Potřeba implementace podpory netransparentního připojení do uživatelských aplikací a také zvýšené nároky na jejich konfiguraci vedly k vývoji transparentních aplikačních proxy. Tyto dokázaly plně rozpoznávat aplikační protokoly a nevyžadovaly speciální konfiguraci v samotných aplikacích. Na rozdíl od IP filtrů však interpretovaly kompletní přenášenou komunikaci a dokázaly proto podrobně kontrolovat a případně i modifikovat přenášená data.

Proxy firewally jsou typicky implementovány jako software, jelikož jejich hardwarová implementace by byla extrémně náročná. Běžně jsou tyto firewally implementovány jako uživatelské procesy nad unixových operačním systémem, příp. jako modifikované operační systémy kvůli menší režii zpracování síťové komunikace.

UTM

Navzdory odlišnému přístupu k filtrování komunikace na počátku se obě metody časem začaly přibližovat svým zaměřením a přebírat mezi sebou charakteristické vlastnosti. Moderní IP filtry proto obsahují aplikační proxy, které jim umožňují vykonávat antivirovou a antispamovou kontrolu nad přenášenými daty, identifikovat typ přenášených souborů, nebo také filtrovat webové stránky od nežádoucích částí. Stejně tak již není možné najít bezpečnostní aplikační proxy bez podpory IP filtrace. Kombinace obou metod navíc umožňuje řídit úroveň bezpečnosti na základě dostupných prostředků, poskytovaných služeb a propustnosti sítě a dosahovat tak jejich optimální poměr.

Jednotlivé komerční řešení jsou za IP filtry nebo proxy firewally považovány pouze podle objemu kódu jednotlivých implementací a odmítání druhé technologie je pouze marketingovým tahem. V principu se tedy již ztrácí rozdíl mezi původními vývojovými větvemi.

BRAND24

UTM (Unified Threat Management) řešení jsou navíc rozšířena o dodatečné moduly poskytující autentizaci, VoIP brány, VPN koncentrátory, IDS/IPS, síťové záznamníky, prostředky pro distribuci zátěže (tzv. load balancing), prostředky pro zajištění QoS (tzv. traffic shaper), monitorování síťových prvků a koncových stanic a další. Každý výrobce se snaží poskytovat všechny tyto funkčnosti, ovšem samotné řešení se můžou odlišovat úrovní jednotlivých funkcí a zaměřením na různé segmenty trhu.

Závěr

V další části si zaměříme na klasifikaci dnešních firewallů. Dále si popíšeme, jak postupovat při výběru správného firewallu a na závěr se zamyslíme nad budoucností firewallů.

Snažíte se rozumět tomu, jak funguje ochrana vašeho počítače před škodlivými vlivy?

Byl pro vás článek přínosný?

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).