Bezpieczeństwo w sieciach rozległych

Transkrypt

1 Bezpieczeństwo w sieciach rozległych Piotr Steć P.Stec@issi.uz.zgora.pl 14 grudnia 2002 roku 1. Zagrożenia dla sieci Krakerzy. Kraker 1 jest to najczęściej spotykane zagrożenie dla sieci. Zwykle ataki na sieć są przeprowadzane przez ludzi, którym zależy na ingerencji w funkcjonowanie sieci w celu osiągnięcia korzyści majątkowych bądź tylko dla samej satysfakcji. Statystyki pokazują, że w ok 80% przypadków ataki takie są przeprowadzane z wnętrza sieci, czyli przez użytkowników należących do organizacji w której zainstalowana jest sieć lub przy ich współpracy. Ataki na sieci można podzielić na dwie kategorie: ataki pasywne polegające na szeroko pojętym podsłuchiwaniu i monitorowaniu przesyłanych informacji; atakujący dąży do ujawnienia treści przesyłanych informacji, bądź do uzyskania informacji na temat przepływu danych, ataki aktywne dążą do modyfikowania strumienia informacji, wprowadzania fałszywych informacji bądź do zakłócenia lub przerwania przepływu danych Wirusy. ten typ zagrożenia jest częściowo związany z zagrożeniami omówionymi w sekcji 1.1. Wszystkie typy programów złośliwych są wytwarzane przez człowieka. Można je sklasyfikować następująco w zależności od sposobu działania: 1 Ludzie często utożsamiają, głównie za sprawą mediów (czyt.dziennikarzy o nikłej wiedzy technicznej), pojęcia haker i kraker. Pojęcie haker jest określeniem pozytywnym, które oznacza pasjonata poświęcającego się zgłębianiu możliwości sprzętu i oprogramowania. Krakerem jest człowiek, który używa swoich zdolności i wiedzy w celach nielegalnych, takich jak włamania do sieci, czy łamanie zabezpieczeń programów. 1

2 Worm program samopowielający, wysyłające swoje kopie za pośrednictwem sieci. Po osiągnięciu kolejnego węzła komputerowego program może się uaktywnić i powielić oraz zainicjować niepożądaną akcję w danym systemie. Rozpowszechnianiu tego typu programów sprzyjają np. programy pocztowe pozwalające na automatyczne otwieranie załączonych dokumentów, makr i apletów. Bakteria program pożerający zasoby systemu drogą rozmnażania się. Wirus Fragment kodu dołączonego do programu nosiciela, który potrafi się reprodukować zarażając inne pliki i wykonujący zwykle niepożądane czynności. Koń trojański nie ujawniona procedura zapisana w programie. uruchomienie programu powoduje wykonanie tej procedury. Jest to zwykle sposób uzyskania dostępu do poufnych danych, nawet w przypadku, kiedy zaatakowany komputer znajduje się za zaporą ogniową. Koniami trojańskimi są zwykle niewinnie wyglądające i potencjalnie atrakcyjne programy, np. edytory tekstu, programy typu chat, gry itp. Boczne (Tylne) wejście nie ujawnione wejście do programu, niedostępne przy normalnym użytkowaniu, pozwalające na wykonanie jakiejś akcji. Zakres działania podobny do konia trojańskiego. Często tym terminem określa się uzyskanie bezpośredniego dostępu do zasobu serwera z pominięciem weryfikacji użytkownika. W przypadku serwera WWW sytuacja taka może powstać, jeśli zabezpieczona jest jedynie pierwsza strona serwisu z odsyłaczami do dalszej części. Znając nazwę pliku do którego jest dostęp z zabezpieczonej strony, można się do niego dostać z pominięciem zabezpieczeń. Sytuacje takie sa wynikiem błędów w administracji serwerem bądź przy tworzeniu serwisu. Bomba logiczna fragment programu uruchamiany po spełnieniu pewnych warunków (np. zgodność daty), a po uruchomieniu wykonujący niedozwolone czynności Zagrożenia środowiskowe. Są to wszelkiego rodzaju awarie spowodowane czynnikami niezależnymi od człowieka np. pożary, trzęsienia ziemi, powodzie i inne kataklizmy. Jedynym zabezpieczeniem przed nimi jest utrzymywanie odpowiedniej redundancji systemu oraz regularne tworzenie kopii zapasowych i przechowywanie ich w bezpiecznych miejscach. 2

3 2. Rodzaje ataków na sieć Skanowanie Jest próbą odkrycia wewnętrznej struktury sieci i typów serwisów udostępnianych na serwerach. Odmowa dostępu (DoS) (Denial of Service) Ten typ ataku wykorzystuje właściwości protokołu TCP/IP. Polega na zalaniu łącza ofiary dużą liczbą pakietów lub zablokowaniu serwera poprzez wykorzystanie dziur w jego oprogramowaniu. Podłuch (Sniffing) Atak tego typu polega na przechwytywaniu pakietów, które są przesyłane pomiędzy klientem a serwerem. Przejęcie (Hijacking) polega na przerwaniu komunikacji pomiędzy dwoma maszynami i podszyciu się pod jedną ze stron. Atak fizyczny polega na ingerencji intruza bezpośrednio na atakowaną maszynę. Atak psychologiczny (Social engineering) Polega na nakłonieniu użytkownika do wyjawienia pewnych informacji. 3. Sposoby obrony przed atakami Edukacja w zakresie bezpieczeństwa nie tylko na poziomie osób projektujących i zarządzających siecią, ale również zwykłych użytkowników. Bezpieczeństwo aplikacji czyli używanie programów sprawdzonych, które oferują dodatkowe poziomy zabezpieczeń. Bezpieczeństwo fizyczne polegające na zabezpieczeniu sprzętu sieciowego, pomieszczeń i budynków przed dostępem przez osoby niepowołane. Zabezpieczenia sieciowe urządzenia i oprogramowanie broniące dostępu do sieci z zewnątrz takie jak: zapory ogniowe (firewall), serwery proxy i NAT. 3

4 4. Problemy ochrony sieci Profilaktyka. Istnieją proste działania, które mogą w radykalny sposób podnieść bezpieczeństwo węzła komputerowego, przy niskim nakładzie kosztów. Takie środki zaradcze to: Właściwa polityka ochrony w odniesieniu do personelu pomocniczego (pracowników ochrony, sprzątaczek itp.). Dyskretne (w granicach prawa) sprawdzanie przeszłości potencjalnych pracowników. Wyłączenie napędów nośników informacji w celu minimalizacji możliwości kradzieży informacji i infekcji wirusami, czy włamań do konsoli serwerów. Odpowiednie zaprojektowanie uprawnień dla użytkowników sieci Ochrona sieci. W praktyce nie istnieje zabezpieczenie, które w sposób całkowity chroniło by sieć. Wszystkie zabezpieczenia mają za zadanie zwiększyć ilość środków i czasu potrzebnych do nielegalnego uzyskania informacji. Usługi ochrony danych dają następujące gwarancje wiarygodności: poufność ochrona przed atakiem pasywnym, uwierzytelnianie zapewnienie autentyczności informacji i osób, nienaruszalność zapewnienie integralności komunikacji, tzn. tego, że informacja zostanie odebrana w takiej postaci, w jakiej została wysłana, niezaprzeczalność niemożliwość zaprzeczenia faktowi wysłania lub odebrania informacji, kontrola dostępu możliwość kontrolowania dostępu do informacji, dyspozycyjność ograniczenie skutków ataku w sferze dostępności informacji. 4

5 Mechanizmy zabezpieczające wykonują następujące działania: szyfrowanie informacji, uwierzytelnianie informacji (podpisy cyfrowe), ochrona antywirusowa, identyfikacja i uwierzytelnianie osób uprawnionych. Większość zagadnień dotyczących ochrony sieci można pogrupować na trzy kategorie: ochronę klienta, czyli ochronę użytkownika od strony programów służących do łączenia się z serwerami. Takimi programami mogą być przeglądarki WWW, terminal, czy klient FTP; ochronę serwera, czyli wyszukiwanie i usuwanie dziur w oprogramowaniu serwera, zamykanie niepotrzebnych serwisów, analiza logów w celu wykrycia włamań; ochronę bramy, czyli stosowanie urządzeń zabezpieczających połączenie sieci wewnętrznych z Internetem Ochrona klienta. W zagadnieniu tym chodzi głównie o ochronę użytkownika od strony przeglądarki WWW. Żaden program nie może być bardziej bezpieczny niż stacja robocza i system operacyjny na którym pracuje, ale przeglądarki internetowe są programami szczególnie narażającymi użytkownika na ataki. Programy tego typu mają zwykle wiele dziur narażających ich użytkowników na ataki. W czasie sesji udostępnianych jest wiele informacji osobistych na temat użytkownika. Brak zabezpieczenia hasłem może pozwolić na dotarcie do zastrzeżonych informacji używając przycisków Back i Forward, historii ostatnio przeglądanych stron, zakładek, czy książki adresowej. Brak możliwości zamykania się lub blokowania po upływie określonego czasu bezczynności może umożliwić dostęp do poufnych informacji, które zostały pozostawione otwarte przez nierozważnego użytkownika. W celu zabezpieczenia transmisji na drodze klient serwer większość komercyjnych przeglądarek stosuje standard SSL (ang. Secure Socket Layer) w wersji 2.0 lub 3.0, który może służyć do zabezpieczania transmisji z użyciem protokołów HTTP, FTP i innych protokołów internetowych. Standard SSL stosuje szyfrowanie z użyciem klucza publicznego o długości 40 lub 128 bitów. Klucz 40-bitowy wystarcza jedynie do rozpowszechniania 5

6 informacji o niezbyt dużym poziomie tajności. W zastosowaniach handlu elektronicznego wymagane jest użycie klucza 128-bitowego. W czasie trwania sesji klucz publiczny serwera jest przekazywany użytkownikowi, natomiast klucz publiczny użytkownika jest przekazywany do serwera. Klucz publiczny umożliwia jedynie zakodowanie danych i jest zupełnie nieprzydatny do ich odkodowania. Do rozszyfrowania przesłanych danych potrzebny jest klucz prywatny, który nigdy nie jest ujawniany drugiej stronie. Bezpieczeństwo użytkownika zależy również od komponentów programowych używanych na stronach WWW takich jak aplety Javy i komponenty ActiveX. O ile w przypadku Jawy istnieje pewien system zabezpieczający aplety przed dostępem do dysku, czy tworzeniem nowych połączeń sieciowych, to w przypadku komponentów ActiveX istnieje pełna swoboda działania. W pewnych przypadkach aplety Javy mogą zostać tak skonfigurowane, że uzyskają dostęp do zasobów. Systemy certyfikacji cyfrowej pozwalają ograniczyć niebezpieczeństwo ze strony modułów programowych. Certyfikaty te gwarantują jedynie autentyczność pochodzenia oprogramowania, ale nie ręczą za intencje jego twórców Ochrona serwera. Zwykle pierwszym celem ataku są serwery WWW. Aby zabezpieczyć serwer przed atakami z zewnątrz należy wyszukać wszystkie furtki umożliwiające włamanie zarówno w samej aplikacji serwera, jak i w systemie operacyjnym na którym serwer pracuje. należy wnikliwie sprawdzić interfejs pomiędzy warstwą front-end (HTTP) a warstwą pośrednią (dostęp do bazy danych, skrypty CGI) oraz interfejs pomiędzy warstwą pośrednią a systemem operacyjnym. Ponieważ skrypty CGI są aplikacjami uruchamianymi w systemie operacyjnym stwarzają potencjalne niebezpieczeństwo, ponieważ mają ułatwiony dostęp do zasobów komputera. Aby zabezpieczyć serwer należy zwrócić szczególną uwagę na odpowiednią konfigurację tej części serwisu. Ważną częścią ochrony serwera jest stały nadzór administratora, który powinien zadbać o odpowiednie zarządzanie zasobami, śledzić logi systemu w celu wykrycia nieprawidłowości oraz instalować najnowsze uaktualnienia systemu i aplikacji. Zwykle najnowsze wersje uaktualnień zawierają łatki pokrywające dziury w systemie zabezpieczeń, co czyni system bardziej odpornym na ataki poprzez znane luki Ochrona bramy. Serwery sieci wewnętrznych powinny być chronione kombinacją routerów, zapór ogniowych, serwerów proxy i modemów na liniach komutowanych, co jest określane terminem bramy do sieci korporacyjnej. Skonfigurowanie takiego zabezpieczenia jest szczególnie trudne w sieciach heterogenicznych, czyli takich, które składają się z urządzeń różnych typów i których komputery pracują pod kontrolą różnych systemów operacyjnych. Zapora ogniowa powinna mieć możliwość dynamicznego wywoływania odpowiednich narzędzi w wyniku zaistniałych sytuacji takich jak specjalizowane aplety Javy, czy skanery wirusów. Bardziej zaawansowane zapory ogniowe potrafią nie tylko odpowiednio filtrować dane, ale również w sposób heurystyczny 6

7 (zbierając informacje i ucząc się) wykrywać potencjalne próby sforsowania zapory. Takimi sygnałami świadczącymi o próbie włamania mogą być: powtarzające się często próby zalogowania jakiegoś użytkownika z różnymi hasłami, próby połączenia się z jednego numeru IP na wiele kolejnych portów, próba jednoczesnego zalogowania się tego samego użytkownika do wielu stacji. 5. Ochrona danych Dla uwiarygodnienia źródeł informacji stosuje się różnego rodzaju podpisy cyfrowe, dla potwierdzenia integralności danych sumy kontrolne, Dane szyfruje się za pomocą skomplikowanych algorytmów kryptograficznych. Wraz z rozwojem Internetu, a w konsekwencji z lawinowym wzrostem liczby użytkowników uzyskujących dostęp do różnych zasobów sieci komputerowych, szczególnego znaczenia nabiera ochrona danych metodą kryptograficzną. Oprócz stosowania zapór ogniowych, zamków elektronicznych czy kart identyfikacyjnych, niezbędne jest równoczesne stosowanie szyfrowania informacji o istotnym znaczeniu. Współczesne algorytmy szyfrowania opierają się na pojęciu klucza. Zwykle algorytm szyfrowania jest powszechnie znany, natomiast elementem zabezpieczającym jest klucz, który jest potrzebny do zaszyfrowania i odszyfrowania danych. Skuteczność systemu kryptograficznego zależy od długosci klucza i czasu potrzebnego na złamanie szyfru. Algorytmy kryptograficzne możemy podzielić na dwa typy: 7

8 5.1. Algorytmy symetryczne posługujące się tym samym kluczem przy szyfrowaniu i deszyfrowaniu informacji, przykładami takich algorytmów są: DES (Data Encryption Standard) algorytm z tajnym kluczem 56-bitowym, szyfrujący bloki 64-bitowe. Opracowany przez IBM, objęty restrykcjami eksportowymi przez rząd USA. Triple-DES algorytm potrójnego szyfrowania DES z dwoma lub trzema różnymi kluczami. RC2 szybki algorytm szyfrowania mający zastąpić DES. RC4 szyfrowanie kluczem o zmiennej długości z operacjami bajtowymi opartymi na losowych permutacjach. RC5 szybkie szyfrowanie blokowe ze zmiennym rozmiarem bloku i zmienną dłaugoscią klucza (od 0 do 2048 bitów). IDEA (International Data Encryption Algorithm) algorytm stanowiący rozszerzenie DES, z blokami 64-bitowymi i kluczem 128-bitowym. CAST-128 algorytm z kluczem zmiennym w zakresie od 40 do 128 bitów Algorytmy asymetryczne używające do szyfrowania i deszyfrowania różnych kluczy. Klucz publiczny jest znany wszystkim zainteresowanym, natomiast prywatny tylko jego właścicielowi. Obydwa klucze mogą zostać użyte zarówno do zaszyfrowania, jak i deszyfrowania wiadomości, z takim ograniczeniem, że wiadomość zaszyfrowana jednym kluczem (np. publicznym) może być odszyfrowana tylko drugim (np. prywatnym). Najbardziej rozpowszechnione algorytmy asymetryczne to: 1. RSA algorytm z parą kluczy: prywatnym i publicznym, oparty na liczbach pierwszych. Typowe długości klucza to 512 i 1024 bity. Jego nazwa pochodzi od pierwszych liter nazwisk jego twórców. 2. Algorytm Diffie-Hellmana opracowana w 1976 metoda wymiany kluczy tajnych przez połączenia mało bezpieczne. 8

9 6. Uwierzytelnianie. 1. Autentyczność użytkownika. Something you know (coś co znasz) informacje, które są w posiadaniu użytkownika. Something you own (coś co masz) jest to dodatkowe urządzenie zabezpieczające: klucz, karta, token itp. Something you are (coś czym jesteś) metoda uwierzytelniania na podstawie danych biomedycznych. 2. Instytucje certyfikujące (CA). Zajmują się wydawaniem certyfikatów kluczy. 3. Uwierzytelnianie obiektów. Wyniki działania jednokierunkowych funkcji skrótu danego obiektu publikowane wraz z obiektem, często kodowane kluczem prywatnym dystrybutora obiektu Zasady tworzenia haseł nie należy używać wyrazów znajdujących się w słownikach, nie należy stosować kombinacji krótkich słów lub zapisów fonetycznych krótkich słów, nie należy używać nazw niczego, co jest z użytkownikiem związane: imion rodziny, psa, daty urodzin, marki samochodu itp. dobre hasło powinno zawierać duże i małe litery, cyfry oraz znaki specjalne; jego długość nie powinna być mniejsza niż 8 znaków. Dla osiągnięcia odpowiedniego poziomu zabezpieczeń potrzebne sa techniki pozwalające na jednoznaczą identyfikację użytkownika bądź oprogramowania Autentyczność użytkownika. Do identyfikacji użytkowników, w systemach wymagających wysokiego poziomu zabezpieczeń, oprócz nazwy użytkownika i hasła potrzebny jest zwykle jakiś dodatkowy element. Trzy podstawowe metody pozyskania tego dodatkowego 9

10 elementu to: Something you know (coś co znasz) jest najprostszym sposobem uwierzytelniania użytkownika, może to być numer NIP, PESEL czy jakikolwiek inny ciąg znaków. System weryfikacji użytkownika może zadać serię pytań, na które zna odpowiedź i na które użytkownik musi odpowiedzieć. Mogą to być pytania typu: Podaj nazwisko panieńskie babki ze strony ojca. lub Jaki numer buta nosi Twoja żona? generalnie chodzi o informacje łatwe do zapamiętania i jednocześnie takie, do których nie będzie miała dostępu strona trzecia. Ta metoda jest często stosowana przez serwisy internetowe w przypadku zapomnienia przez użytkownika hasła. Something you own (coś co masz) jest to dodatkowe urządzenie zabezpieczające dostęp do systemu. Może to być czytnik kart magnetycznych lub chipowych podłączony z komputerem i grupa kart identyfikująca uprawnionych użytkowników. Prostszym rozwiązaniem jest specjalne urządzenie zwane tokenem posiadające klawiaturę numeryczną i wyświetlacz. System zabezpieczeń generuje ciąg cyfr, które należy wprowadzić do urządzenia, po nich użytkownik wprowadza swój numer PIN, po czym urządzenie na wyświetlaczu podaje ciąg cyfr, które należy odesłać jako odpowiedź. Something you are (coś czym jesteś) metoda weryfikacji polegająca na pomiarze danych biomedycznych. Mogą to być czytniki linii papilarnych, które są już dosyć rozpowszechnione i dostępne po przystępnych cenach. trochę droższą techniką jest skanowanie obrazu siatkówki. Istnieje również technologia pozwalająca zidentyfikować osobę na podstawie obrazu twarzy w podczerwieni. Rozkład Cieplejszych i chłodniejszych obszarów na twarzy jest indywidualny dla każdego człowieka i nie zależy od temperatury zewnętrznej. Metoda ta pozwala na zidentyfikowanie twarzy z odległości do 50 metrów nawet poprzez gruby makijaż, czy maskę. Unikatowe są również wzorce głosu ludzkiego Instytucje certyfikujące (CA). Sposób uwierzytelniania opisany w poprzednim punkcie nic nie mówi na temat legalności kluczy. Każdy mógłby wygenerować sobie parę kluczy i podpisywać nimi dowolne dane. Żeby zapewnić legalne pochodzenie kluczy powstały organizacje zwane centrami autoryzacyjnymi (CA Certification Authority), które zajmują się wydawaniem certyfikatów kluczy (pobierając przy tym pewne opłaty). Osoba, czy instytucja starająca się o certyfikowany klucz jest przez taką firmę sprawdzana pod względem legalności przed wydaniem certyfikatu. Taki certyfikowany klucz zawiera dodatkowe informacje takie jak: właściciel certyfikatu, jego adres, domena serwera, data ważności, przez kogo został wystawiony itp. Dane te mogą być sprawdzane przez oprogramowanie uwierzytelniające, dodatkowo można zweryfikować ważność certyfikatu w firmie, która go wystawiła. 10

11 Dwiema najbardziej znanymi w świecie centrami autoryzacyjnymi są firmy: Thawte ( VeriSign ( Uwierzytelnianie obiektów. Do uwierzytelniania wiadomości, plików i innych obiektów stosuje się techniki podpisów cyfrowych oparte na szyfrach z kluczem publicznym takich jak: PKCS (Public Key Cryptography Standard), Digital Signature Algorithm, X509, PGP (Pretty Good Privacy) 2. W celu utworzenia podpisu obiekt jest przetwarzany przez algorytm haszujący (hash algorithm) tworzący na podstawie jego zawartości ciąg znaków o określonej długości. Przykładami takich algorytmów są: Secure Hash Algorithm, Message Digest 2 i MD 5. Następnie taki ciąg jest szyfrowany przy użyciu prywatnego klucza nadawcy tworząc cyfrowy podpis, który jest dołączany do przesyłanego obiektu wraz z kluczem publicznym. Po stronie odbiorcy podpis jest deszyfrowany za pomocą klucza publicznego i porównywany z ciągiem wygenerowany przez algorytm haszujący po stronie odbiorcy. 7. Serwery Proxy Właściwości serwera Proxy: buforowanie ruchu sieciowego (pliki pobierane z Internetu przechowywane są na serwerze proxy; przy ponownym żądaniu pliku, jest on pobierany z proxy, a nie z Internetu), rejestracja ruchu przychodzącego i wychodzącego, możliwość filtrowania pakietów, translacja adresów sieciowych, nie są obsługiwane wszystkie protokoły, problemy z konfiguracją i zarządzaniem w bardzo dużych sieciach. 2 Całkiem niezła prywatność. Prywatność jest na tyle niezła, że w USA algorytm ten stał się nielegalny. 11

12 Serwer pracujący w trybie NAT Internet Proxy Serwer pracujący w trybie NPAT Internet Proxy Zapory ogniowe (Firewall). to, co nie jest wyraźnie dozwolone, jest zabronione, to, co nie jest wyraźnie zabronione, jest dozwolone. W budowaniu zapór ogniowych stosowane są dwie podstawowe technologie: filtrowanie pakietów, jeśli selekcja informacji dokonuje się w warstwach niższych, na poziomie protokołu IP, bramy warstwy aplikacyjnej, jeśli informacje przechodzą przez niezależną aplikację, zwaną proxy, albo też bramy połączeniowe obsługujące tylko określone aplikacje TCP (np. WinGate). Zapory ogniowe są podstawowym sposobem ochrony sieci korporacyjnych przed atakiem z zewnątrz. Stosowane są dwie polityki konfigurowania zapór ogniowych: Bardzie zaawansowane bramy ogniowe mogą filtrować pakiety nie tylko na podstawie adresu docelowego i portu, ale również na podstawie zawartości samych pakietów. Dodatkowo prowadzą wnikliwą analizę ruchu w sieci, co może być przydatne zarówno do optymalizacji pracy sieci, jak i do wykrywania anomalii w ruchu sieciowym, które mogą być śladami prób włamania. 12

13 Zapory ogniowe zawsze stosują jakąś metodę translacji adresów sieciowych. Niektóre z nich pozwalają na wybór najbardziej odpowiedniej metody, inne maja jedną z metod zaimplementowaną na stałe. Do dyspozycji są trzy metody translacji adresów: 1 n (jeden do n): adresy wewnętrzne są sprowadzane do jednego adresu pozornego na wyjściu. Jest to typowy przykład maskowania IP (IP Masquerade); n n (n do n): adresy ulegają translacji matematycznej. Oblicza się tyle adresów pozornych na wyjściu, ile jest urządzeń w sieci wewnętrznej; dynamiczna: przydzielanie adresów na wyjściu jest automatyczne i dynamiczne, korespondujące czasowo z adresami wewnętrznymi. Liczba adresów widzianych z zewnątrz jest ograniczona. Konfiguracja firewall ze strefą zdemilitaryzowaną Router zaporowy Strefa zdemilitaryzowana Firewall Internet Switch Serwer WWW

14 Konfiguracja firewall z martwą strefą IP Router Internetowy Firewall IP Martwa strefa protokó³ prze³¹czony na IPX Internet Router IP IP Router Strefa zdemilitaryzowana IP Router Switch Serwer WWW Serwer Proxy Zapory ogniowe mogą dodatkowo zaopatrywać pakiety z tej samej sesji specjalnymi identyfikatorami. Zabezpiecza to transmisję danych przed wprowadzeniem dodatkowych pakietów przez intruza. W rozwiązaniach sprzętowych firewall to zwykle urządzenie z dwoma interfejsami: brudnym (czerwonym) wychodzącym na świat i czystym (niebieskim) podłączanym od sieci wewnętrznej. czasem stosuje się trzeci interfejs o zmniejszonych restrykcjach służący do podłączenia serwera WWW widocznego na zewnątrz. Interfejs ten nazywa się strefą zdemilitaryzowaną. Czym jest firewall? Zapora sieciowa (firewall) jest urządzeniem zaprojektowanym do zapobiegania niepowołanemu dostępowi do sieci. Urządzeniem tym zazwyczaj jest niezależny komputer, muter lub inny sprzętowy element sieci. Zapora stanowi jedyny punkt wejściowy do sieci lokalnej - jej zadaniem jest kwalifikacja nadchodzących z zewnątrz zgłoszeń według zadanych reguł i ich przetworzenie, co w najprostszym ujęciu sprowadza się do akceptacji, bądź odrzucenia żądania połączenia z danym serwerem usług sieciowych. W większości przypadków kwalifikacji żądania połączenia dokonuje się bazując na adresie źródłowym pakietu. Jeśli, przykładowo, nie chcemy udostępniać usług naszego serwera użytkownikom z danej domeny, wprowadzamy odpowiednią maskę do reguł sterujących zapory i odtąd próby połączenia z naszym serwerem dla danej grupy użytkowników zakończą się komunikatem Connection Refused (połączenia odmówiono) lub podobnym (możliwa jest również sytuacja, gdzie połączenie jest zrywane bez prezentacji żadnego komunikatu). Inne zadania realizowane przez zapory sieciowe Zapory sieciowe mogą przeprowadzać analizy nadchodzących pakietów różnych protokołów. W oparciu o taką analizę, zapora sieciowa może podjąć różne działania, zatem możemy zaprogramować firewall do przeprowadzania warunkowego przetwarzania pakietów. ( Jeśli zostanie napotkany pakiet spełniający warunek A, podejmij działanie B ). Takie warunkowe struktury nazywane są regułami. Na ogół, podczas stawiania zapory wyposażamy ją w zestaw reguł odzwierciedlający strukturę zależności służbowych w naszej organizacji. Na przykład, załóżmy, że w firmie jest dział sprzedaży i księgowości, a strategia przedsiębiorstwa wymaga, aby 14

15 tylko dział sprzedaży miał dostęp do zasobów naszego serwera. Aby wymusić realizację tej polityki, wyposażamy nasz firewall w regułę nie przyjmującą zgłoszeń połączenia otrzymywanych z działu księgowości. W takim aspekcie zapory sieciowe są tym dla sieci, czym są przywileje użytkownika dla systemu operacyjnego. Windows NT pozwala na wskazanie użytkowników mających dostęp do danego pliku lub katalogu. Jest to kontrola dostępu na poziomie systemu operacyjnego. Podobnie zapory sieciowe pozwalają na zastosowanie kontroli dostępu do zasobów naszego serwera i stacji roboczych w sieci. Monitorowanie dostępu jest jednakże tylko częścią tego, do czego można wykorzystać nowoczesne zapory sieciowe - większość komercyjnych firewalli pozwala na kontrolę zawartości pakietów. Można to wykorzystać do odfiltrowywania niepożądanych skryptów JavaScript, VBScript i ActveX oraz plików cookies. Co więcej, mamy możliwość zdefiniowania reguł dyskryminujących poszczególne połączenia na podstawie tzw. sygnatur ataku. Uwaga Sygnatury ataków są wzorcami poleceń charakterystycznymi dla danego ataku przypuśćmy, że nasz intruz telnetuje się na port 80 i wydaje szereg istotnych z jego punktu widzenia komend. Znając taki proces, możemy nauczyć firewall rozpoznawać i blokować podobne ataki na podstawie wzorca zawartego w sygnaturze. Podobne efekty można również uzyskać analizując ruch na poziomie pakietu niektóre programy do zdalnego wykorzystywania luk systemowych generują charakterystyczne pakiety, które można wyodrębnić i podjąć odpowiednie działania. Z czego składa się zapora sieciowa Zapora sieciowa w swej istocie jest raczej koncepcją, a nie produktem. Celem istnienia zapór jest przyznanie, bądź odmowa przyznania połączenia danemu użytkownikowi do danej usługi sieciowej. W bardziej ogólnym sensie zapora sieciowa składa się z odpowiedniego oprogramowania i sprzętu. Oprogramowanie może być typu freeware, shareware lub komercyjne. Sprzęt może być jakimkolwiek urządzeniem, na którym pracuje dany program. Typy zapór sieciowych Wyróżniamy dwa podstawowe typy zapór sieciowych: Zapory sieciowe na poziomie sieci/pakietu (filtry pakietów) Zapory sieciowe na poziomie aplikacji/usługi (bramy pośredniczące, proxy) Zapory pracujące na poziomie sieci są zazwyczaj routerami z zawansowanymi możliwościami filtrowania pakietów. Administrator korzystający z takiej zapory ma możliwość przyznania, bądź odmowy dostępu do swego serwem w oparciu o kilka zmiennych. Są to między innymi: Adres źródłowy Protokół Numer portu Zawartość Zapory sieciowe w postaci routerów są popularne ze względu na łatwość ich zastosowania (po prostu podłącza się firewall do sieci i zaopatruje w odpowiednie reguły). Co więcej większość współczesnych routerów ma możliwość translacji/konwersji protokołów (gdzie protokół IP z zewnątrz jest tłumaczony na inne protokoły stosowane w sieci lokalnej). Dodatkową zaletą zastosowania firewalla zbudowanego w oparciu o router, jest fakt, że z racji swej specyfiki urządzenie.takie jest elementem zewnętrznym z punktu widzenia naszej sieci lokalnej. Tak więc jego podłączenie do sieci nie wymaga konieczności konfiguracji 15

16 dziesiątek maszyn czy usług. I wreszcie, jeśli nasza sieć jest połączona z Internetem łączem stałym, to router i tak jest jej niezbędnym elementem. Zatem stosując firewall w oparciu o router możemy upiec dwie pieczenie na jednym ogniu. Z drugiej strony zapory sieciowe oparte na routerach maja kilka wad. Jedną z nich jest fakt, że wiele routerów jest podatnych na ataki, polegające na fałszowaniu adresu nadawcy pakietu - spoofing (aczkolwiek producenci pracują nad rozwiązaniem tego problemu). Z praktycznego punktu widzenia, istotna jest również efektywność (moc obliczeniowa) routera - jeśli zadamy bardzo szczegółowe kryteria filtrowania, to w przypadku dużego natężenia ruchu przychodzącego możemy się spodziewać spadku jego wydajności. Niektóre routery nie posiadają wystarczająco szczegółowych możliwości zapisu stanu pracy. Oznacza to, że możemy potrzebować zewnętrznego oprogramowania i sprzętu do celów monitorowania pracy routera. Zapory sieciowe realizowane w oparciu o aplikacje bramy Innym rodzajem zapory sieciowej jest firewall wykorzystujący aplikacje pośredniczące w standardowej komunikacji typu klient-serwer. Zapora taka zwana jest również bramą proxy, bądź bramą programową (application gateway). Żądanie połączenia z daną usługą sieciową wysłane przez zdalnego użytkownika jest obsługiwane nie bezpośrednio przez odpowiedni serwer usług, lecz podawane do niego poprzez bramę proxy. Zatem, w odróżnieniu od firewalla - filtra pakietów, nadchodzące pakiety IP nie są po przetworzeniu przesyłane do sieci lokalnej, zamiast tego brama przeprowadza swego rodzaju translację pośrednicząc pomiędzy klientem a serwerem. Zaletą stosowania bramkowania usług jest fakt zapobiegania dostaniu się pakietów IP do naszej sieci (tunelowania pakietów). Wadą jest konieczność konfiguracji odpowiedniej bramy dla każdej usługi sieciowej, w tym FTP, Telnet, HTTP, itd. Dodatkowo użytkownicy muszą wykorzystywać programy klienckie pozwalające na stosowanie bramkowania usług (w przeciwnym wypadku, użytkownicy będą musieli nauczyć się ręcznie obsługiwać bramę (co może być czasochłonne, uciążliwe, bądź w ogóle niemożliwe, zależnie od stopnia skomplikowania procedur). Przykładowo - w przypadku bramkowania popularnej usługi Telnet nie jest wymagana obecność po stronie użytkownika klienta świadomego istnienia bramy proxy; w takiej sytuacji jednak wymusi to na użytkowniku konieczność połączenia się (lecz nie zalogowania) z bramą - firewallem dla danej usługi - a nie bezpośrednio z serwerem Telneta. Zastosowanie klienta wspierającego procedury bramkowania uczyni bramę transparentną z punktu widzenia użytkownika. Zapora sieciowa służy jako wejście do systemu docelowego - przechwytuje żądania połączenia i podejmuje dalsze, uprzednio zdefiniowane, kroki, np. zapytanie o jednorazowe hasło. Zachowanie użytkownika pozostaje takie samo, pod warunkiem stosowania odpowiednio zmodyfikowanych i skonfigurowanych klientów i usług. Konstrukcja zapory sieciowej Przy stawianiu zapory sieciowej istotne jest przeprowadzenie poniższych czynności: Rozpoznanie topologii sieci oraz potrzeb w zakresie aplikacji i protokołów Analiza zależności służbowych (kompetencje decyzyjne, dostęp do zasobów) Stworzenie reguł dostępu do zasobów w oparciu o uprzednio określone potrzeby użytkowników oraz ich miejsce w strukturze decyzyjnej Znalezienie odpowiedniej zapory dla naszych potrzeb Właściwa instalacja i konfiguracja zapory 16

17 Drobiazgowe przetestowanie stosowanych reguł Rozpoznanie topologii sieci oraz potrzeb w zakresie aplikacji i protokołów To zagadnienie jest dużo trudniejsze niż mogłoby się wydawać, zależy ono od struktury i rozmiarów danej sieci. Jeśli administrujemy siecią jednorodną (co jednak zdarza się dość rzadko), zadanie jest proste - będziemy mieć do czynienia z jednym systemem operacyjnym i przypuszczalnie takim samym zestawem aplikacji obecnym na każdej ze stacji. Większość sieci, to sieci heterogeniczne, co zmusza administratora do identyfikacji każdego systemu operacyjnego i wszystkich zestawów aplikacji używanych w sieci. To z kolei wymagać może konieczności korzystania z usług ekspertów w dziedzinie bezpieczeństwa poszczególnych aplikacji. Analiza zależności służbowych Ten krok może wymagać od administratora rozpoznania potrzeb i uzgodnienia działań z poszczególnymi działami firmy podłączonymi do sieci. Musimy uniknąć sytuacji, kiedy ze względu na fizyczną odległość między poszczególnymi segmentami sieci ruch wewnętrzny będzie się odbywał poprzez którąś z naszych bram programowych. Zatem przed dokonywaniem zmian w strukturze sieci należy dokładnie przeanalizować te zależności. Cały ten proces wymaga dużego taktu. Można spotkać się z użytkownikami lub menedżerami, którzy będą sprzeciwiać się zmianom (skoro od 10 lat sieć chodzi, to po co cokolwiek zmieniać?). Konieczna jest bliska współpraca z użytkownikami i uzasadnienie im konieczności przeprowadzenia zmian. Ostatnią rzeczą jaką byśmy sobie życzyli, to rzesza niezadowolonych lokalnych użytkowników - to od nich w przyszłości będzie zależeć bez pieczeństwo sieci, to nasi użytkownicy przestrzegając (lub nie) zasad korzystania z systemów będą mieli decydujący wpływ jej bezpieczeństwo. Jeśli staraliśmy się rzeczowo (i przystępnie) uzasadnić konieczność przedsięwzięcia odpowiednich środków - nie mamy się czego obawiać; jeśli zaś wprowadziliśmy drakońskie reguły korzystania z sieci bez słowa wyjaśnienia, możemy się spodziewać oporu materii ludzkiej na każdym możliwym kroku. Zastosowanie i testowanie zapory sieciowej Po zakupie zapory sieciowej powinniśmy przeprowadzić intensywne testy w dwóch fazach: Testowanie zasad korzystania z sieci dla użytkowników zdalnych Testowanie wewnętrznych reguł korzystania z sieci Pierwsza faza może być przeprowadzona w dowolnym czasie - nawet gdy użytkownicy danej sieci są nieobecni (weekend, godziny wieczornonocne, etc.). Druga faza jest bardziej skomplikowana. Należy się spodziewać wielu problemów, a nawet przejściowego zaniku funkcjonalności sieci (trzeba być przygotowanym na reakcję zdenerwowanych użytkowników). Jest wyjątkowo mało prawdopodobne, że fazę tę przejdzie się gładko już za pierwszym razem - chyba, że sieć jest całkowicie jednorodna i mamy do czynienia z tym samym zestawem aplikacji na każdej z maszyn. Czy zapory sieciowe są niezawodne? Odpowiedź brzmi - nie. Wiele serwerów, na których zastosowano zapory sieciowe, zostało pokonanych przez krakerów. Wynika to nie tyle z właściwości zapory sieciowej jako takiej, a raczej z zawodności tzw. czynnika ludzkiego. Najczęstszą przyczyną wadliwości zabezpieczeń firewalla są administratorskie błędy w jego implementacji. Nie znaczy to, że niektóre zapory sieciowe nie mają słabych punktów. Owszem mają - aczkolwiek w większości przypadków luki te nie mają zbyt wielkiego znaczenia dla bezpieczeństwa sieci. 17