Kierunki ataku...52 Bezpośrednie wtargnięcie...53 l - Dial-up...54

Transkrypt

1

2 Spis treści Podziękowania Wstęp O ksiąŝce Budowa ksiąŝki... 16, s Co dalej Część I. Internet Rozdział 1. Zrozumieć ścianę ogniową Składowe ściany ogniowej Filtry pakietów Maskowanie adresu IP... 28! : Proxy "* Szyfrowane tunele Szyfrowane uwierzytelnianie Skuteczna ochrona granic Porównanie funkcjonalności ścian ogniowych Problemy, których ściana ogniowa nie rozwiąŝe Rozwiązania ochrony granic Rozdział 2. Hakerzy...47 Rodzaje hakerów...47 Eksperci do spraw bezpieczeństwa...48 Hakerzy studenci...49 " Bezrobotni dorośli hakerzy...50 Włamywacze kryminaliści...51 Szpiedzy przemysłowi...51 : ' Niezadowoleni pracownicy...52 Kierunki ataku...52 Bezpośrednie wtargnięcie...53 l - Dial-up...54 Internet...54 Techniki włamań...54 '.- Podsłuchiwanie i węszenie...55 Odmowa usług (ang. denial ofsewices)...61 Podszywanie się (ang. impresonalizatioń)...64 Atak człowiek w środku"...67 Przechwytywanie połączenia (ang. hijacking)...68

3 4 Ściany ogniowe Rozdział 3. TCP/IP a bezpieczeństwo Trzeba być guru TCPAP Na świecie panuje TCP/IP Na poziomie bitów Warstwa 1: fizyczna Warstwa 2: łącze danych Warstwa 3: sieć Rozdział 4. Gniazda i usługi a bezpieczeństwo Wykorzystanie przez hakera usług związanych z gniazdami Jak złoŝona jest dana usługa Jak dana usługa moŝe być naduŝyta "'' Jakich informacji dostarcza dana usługa ' V; Na ile dialogu zezwala dana usługa j: i W jakim stopniu usługa podlega programowaniu lub konfigurowaniu Jaki rodzaj uwierzytelnienia wykorzystuje dana usługa Nazwy w Internecie Kropka com i inne Zapytania DNS Komunikat DNS in-addr.arpa Koordynacja serwerów nazw (i skierowane na nie ataki) Protokoły BootP/DHCP (67 i 68 UDP) ! Chargen (19 UDP i TCP) Daytime (13 UDP) Discard (9 UDP i TCP) DNS (53 UDP) Echo (7 UDP) Finger (79 TCP) FTP (20 i 21 TCP) Gopher(70TCP) HTTP (80 TCP) IMAP(143TCP) LDAP (389 TCP i UDP) NetBIOS (137, 138 i 139 TCP) NFS (2049 TCP i UDP) POP3(110TCP) Quote (17 UDP) RCP (sun) (111 UDP) RSH (514 TCP) SMTP (25 TCP) SNMP (161 UDP) Telnet (23 TCP) TFTP(69UDP)

4 Spis treści 5 Rozdział 5. Szyfrowanie Jak zachować tajność Szyfry Zachowywanie tajności za pomocą maszyn Zachowywanie tajności za pomocą komputerów Co moŝemy szyfrować Prywatne komunikowanie się Bezpieczne przechowywanie plików Uwierzytelnianie uŝytkownika lub komputera Bezpieczna wymiana haseł Świat kryptografów Algorytmy Funkcje symetryczne Funkcje jednokierunkowe Szyfrowanie z kluczem publicznym Protokoły Ataki na szyfry i systemy kryptograficzne Podpisy cyfrowe Steganografia Generowanie ciągów losowych Część II. Technologia ścian ogniowych Rozdział 6. Filtrowanie pakietów Jak pracują filtry bezstanowe Filtrowanie protokołu Filtrowanie adresów IP Porty TCP/UDP Filtrowanie z wykorzystaniem innych danych Problemy w bezstanowych filtrach pakietów Filtrowanie pakietów w systemie operacyjnym Jak pracują filtry pakietów z badaniem stanu Włamywanie poprzez filtry pakietów Pakiety TCP moŝna filtrować tylko na podstawie zerowego fragmentu... : Filtry blokujące niskie porty nie zabezpieczają połączeń z wyŝszymi portami Wewnętrzny NAT moŝe oszukać filtrowanie Dobre praktyki w stosowaniu filtrów NaleŜy korzystać z prawdziwej ściany ogniowej Stosować zasadę domyślnego blokowania wszystkich portów NaleŜy zabezpieczyć system operacyjny Rozdział 7. NAT Działanie NAT Tryby translacji Konfiguracja routingu przy korzystaniu z NAT Problemy związane z NAT Włamania poprzez NAT Translacja statyczna = brak ochrony

5 6 Ściany ogniowe '- '! ->' Zwabianie hosta Problem przekroczenia czasu oczekiwania Rozdział 8. Proxy warstwy aplikacyjnej Jak działa proxy Zalety proxy jako narzędzia ochrony Wydajność proxy ' "' Wady proxy jako narzędzia ochrony Wady związane z wydajnością Jak naleŝy korzystać z filtrów UŜyj prawdziwej ściany ogniowej '"' Zablokuj routing Zabezpiecz podstawowy system operacyjny *' ' Zablokuj dostęp z zewnątrz Zablokuj nadmiarowe usługi Rozdział 9. Wirtualne sieci prywatne Opis wirtualnych sieci prywatnych Enkapsulacja w pakietach IP ^ _ Uwierzytelnianie kryptograficzne Szyfrowanie ładunku danych Charakterystyka sieci VPN Sieci VPN są tańsze niŝ sieci WAN f Tworzenie sieci VPN jest łatwiejsze...205,, Sieci VPN są wolniejsze niŝ sieci LAN...205»" ; if Sieci VPN są bardziej zawodne niŝ sieci WAN Sieci VPN są mniej bezpieczne niŝ izolowane sieci LAN lub WAN Typy sieci VPN Sieci VPN wykorzystujące serwery Sieci VPN wykorzystujące ściany ogniowe Sieci VPN wykorzystujące routery Bezpieczny dostęp zdalny Sieci VPN obsługiwane przez dostawców usług internetowych Obsługa sieci VPN na komputerach klienckich korzystających z połączeń telefonicznych NajwaŜniejsze zalecenia dotyczące sieci VPN Stosuj autentyczną ścianę ogniową Zabezpieczaj bazowy system operacyjny Korzystaj z usług jednego dostawcy usług internetowych Odrzucaj nieznane komputery przy uŝyciu filtru pakietów Szyfruj z wykorzystaniem klucza publicznego i bezpiecznego uwierzytelniania "''- Kompresuj dane przed szyfrowaniem Zabezpieczaj komputery zdalne Wybieraj sieci VPN zgodne z protokołami IPSec+IKE Rozdział 10. Idealna ściana ogniowa Definiowanie wymagań dotyczących bezpieczeństwa sieci r Biura domowe...220

6 Spis treści ' 7 Niewielkie biura biznesowe Firmy świadczące usługi objęte tajemnicą Zakłady produkcyjne Agendy rządowe Uniwersytety i szkoły średnie Dostawcy usług internetowych Firmy prowadzące działalność handlową z wykorzystaniem sieci komputerowych Instytucje finansowe Szpitale Instytucje wojskowe Agencje wywiadowcze Konfigurowanie zasad bezpieczeństwa Zalecenia dotyczące zasad bezpieczeństwa Zasady dotyczące poziomów bezpieczeństwa Poziom minimalny Poziom podstawowy Zabezpieczenia wzmocnione Zabezpieczenia rygorystyczne Zabezpieczenia nadzwyczajne Część III. Systemy operacyjne a ściany ogniowe Rozdział 11. System Windows NT jako ściana ogniowa Funkcje systemu Filtrowanie pakietów Tunelowanie Szyfrowane uwierzytelnianie Ograniczenia systemu Windows NT Brak translacji adresów sieciowych Brak usługi proxy Ograniczona obsługa dzienników i monitorowania Wydajność System Windows Interfejs CryptoAPI Usługa uwierzytelniania Kerberos Translacja adresów sieciowych RównowaŜenie obciąŝenia sieci Ulepszone filtrowanie pakietów Filtrowanie pakietów protokołu IPX Protokół tunelowania warstwy łączy danych (L2TP) Protokół IPSec Rozdział 12. Bezpłatne ściany ogniowe Linux z IPChains Podstawowe właściwości pakietu Dodatkowe właściwości pakietu Bezpieczeństwo Interfejs...270

7 8 Ściany ogniowe ii r Dokumentacja Koszty i obsługa techniczna TISFWTK Podstawowe właściwości pakietu l ' Dodatkowe właściwości pakietu...274! 1" Bezpieczeństwo «Interfejs...275?.vS Dokumentacja Koszty i obsługa techniczna FreeBSD i Drawbridge Podstawowe właściwości pakietu <"*" Dodatkowe właściwości pakietu Bezpieczeństwo...279, ' Interfejs Dokumentacja Koszty i obsługa techniczna IPROUTE i filtrowanie pakietów w DOS-ie Podstawowe właściwości pakietu ''-; Dodatkowe właściwości pakietu Bezpieczeństwo ^- Interfejs "*... Dokumentacja > tj Koszty i pomoc techniczna Część IV. Komercyjne ściany ogniowe Rozdział 13. Ściany ogniowe w Windows NT Ściana ogniowa Firewall Zestaw funkcji podstawowych tfc.-. Zestaw funkcji dodatkowych Interfejs ' Bezpieczeństwo " k - Dokumentacja Ceny i serwis Ściana ogniowa Guardian NCC >'' Zestaw funkcji podstawowych '- Zestaw funkcji dodatkowych '- " - Bezpieczeństwo ' Interfejs * ' *'- Dokumentacja Koszt i pomoc techniczna Ściana ogniowa Gauntlet Instalacja Zestaw funkcji podstawowych Zestaw funkcji dodatkowych , Bezpieczeństwo Interfejs...313

8 Spis treści 9 Dokumentacja Koszt i pomoc techniczna Ściana ogniowa Raptor Zestaw funkcji podstawowych Zestaw funkcji dodatkowych Bezpieczeństwo Interfejs... ; Dokumentacja Koszt i pomoc techniczna Microsoft Proxy Server Zestaw funkcji podstawowych Zestaw funkcji dodatkowych Bezpieczeństwo Interfejs Koszt i pomoc techniczna Rozdział 14. Ściany ogniowe przeznaczone dla systemu UNIX 327 Sieciowa ściana ogniowa Al ta Vista Firewall Zestaw funkcji podstawowych Zestaw funkcji dodatkowych Interfejs Bezpieczeństwo Dokumentacja, koszt i pomoc techniczna Pakiet Unicenter TNG Zestaw funkcji podstawowych Zestaw funkcji dodatkowych Interfejs Bezpieczeństwo Dokumentacja, koszt i pomoc techniczna Sieciowa ściana ogniowa SecurlT Zestaw funkcji podstawowych Zestaw funkcji dodatkowych Bezpieczeństwo Dokumentacja, koszt i pomoc techniczna Ściana ogniowa WatchGuard FireBox II Zestaw funkcji podstawowych Zestaw funkcji dodatkowych Interfejs Bezpieczeństwo Dokumentacja, koszt i pomoc techniczna Ściana ogniowa NetWall Zestaw funkcji podstawowych Zestaw funkcji dodatkowych Interfejs Bezpieczeństwo Dokumentacja, koszt i pomoc techniczna...347

9 "10 ^ Ściany ogniowe Sieciowa ściana ogniowa SunScreen EFS Zestaw funkcji podstawowych i Zestaw funkcji dodatkowych *' Interfejs...34S ' 3 Bezpieczeństwo...35C "' Dokumentacja, koszt i pomoc techniczna...35c Rozdział 15. Inne ściany ogniowe Pakiet BorderManager Zestaw funkcji podstawowych Zestaw funkcji dodatkowych Interfejs Bezpieczeństwo Dokumentacja, koszt i pomoc techniczna Ściana ogniowa Elron Zestaw funkcji podstawowych Zestaw funkcji dodatkowych Interfejs Bezpieczeństwo Dokumentacja, koszt i pomoc techniczna Pakiet GNAT Box Zestaw funkcji podstawowych H, Zestaw funkcji dodatkowych ' ; Interfejs *' f Bezpieczeństwo Dokumentacja, koszt i pomoc techniczna Ściana ogniowa firmy IBM przeznaczona dla komputera AS/ Zestaw funkcji podstawowych Zestaw funkcji dodatkowych '<. Interfejs Bezpieczeństwo Dokumentacja, koszt i pomoc techniczna Rozdział 16. Wydzielone ściany ogniowe Ściana ogniowa PIX Zestaw funkcji podstawowych Zestaw funkcji dodatkowych Interfejs Bezpieczeństwo Dokumentacja, koszt i pomoc techniczna Ściana ogniowa Lucent Managed Firewall Zestaw funkcji podstawowych Zestaw funkcji dodatkowych Interfejs Bezpieczeństwo Dokumentacja, koszt i pomoc techniczna Ściana ogniowa SonicWALL Zestaw funkcji podstawowych

10 Spis treści f J r Zestaw funkcji dodatkowych ' : - Interfejs ,» Bezpieczeństwo Dokumentacja, koszt i pomoc techniczna Ściany ogniowe NetScreen 10 i y- t Zestaw funkcji podstawowych r i Zestaw funkcji dodatkowych ; Interfejs < i Bezpieczeństwo Dokumentacja, koszt i pomoc techniczna Część V. Dodatkowe narzędzia bezpieczeństwa Rozdział 17. Narzędzia bezpieczeństwa i Przystosowanie dostępnego oprogramowania Narzędzia słuŝące do analizy zabezpieczeń Analizatory protokołów Uproszczone serwery proxy Wirtualne sieci prywatne (VPN) f Narzędzia słuŝące do szyfrowania Kontrolery odporności haseł Rozdział 18. Profile ataków sieciowych Ataki ukierunkowane na odmowę usług Wyczerpanie zasobów systemu (Ping of Death) Zniekształcanie pakietów (Teardrop) PrzeciąŜenie protokołu UDP Przesyłanie strumieni pakietów synchronizacyjnych Generowanie pętli transmisyjnych (Land Attack) Wykorzystanie emisji bezpośredniej i protokołu ICMP (Smurf Attack) Wykorzystanie emisji bezpośredniej i protokołu UDP (Fraggle Attack) PrzeciąŜenie systemu poczty elektronicznej Zniekształcanie wiadomości Ataki sieciowe ukierunkowane na eksploatację Odgadywanie haseł Konie trojańskie Przepełnianie buforów Ataki ukierunkowane na gromadzenie informacji Skanowanie adresów sieciowych Skanowanie portów sieciowych Mapowanie zwrotne Powolne skanowanie Sondowanie architektury sieci Transfery stref DNS Protokół Finger Protokół LDAP Ataki ukierunkowane na dezinformację Fałszowanie informacji w buforze DNS...437

11 12 Ściany ogniowe : f Fałszowanie informacji w rejestrach Internetu <-* ' Fałszowanie wiadomości poczty elektronicznej Rozdział 19. Wykrywanie intruzów Nietypowe problemy związane z intruzami Narzędzia i metody włamań do sieci Systemy wykrywania intruzów Dostępne systemy IDS Pakiet NAI CyberCop Detektor Tripwire Detektor Suck Server Cześć VI. Dodatki Dodatek A. Zasoby online Ściany ogniowe Wykrywanie włamań do sieci Analiza bezpieczeństwa sieci Szyfrowanie i uwierzytelnianie Witryny organizacji związanych z bezpieczeństwem sieci Witryny hakerskie Skorowidz

12 Chństynie, zawsze. Matt Strebe Joe'emu. Charles Perkins Podziękowania Chciałbym podziękować mojemu współautorowi Charlesowi Perkinsowi, za to, Ŝe pozwolił mi uświadomić sobie, jak bardzo myliłem się chcąc napisać tę ksiąŝkę samodzielnie, nie zdając sobie sprawy z tego, ile czasu musiałbym temu poświęcić. Bez pomocy Charlesa czytalibyście te słowa być moŝe dopiero za dwa miesiące. Dziękuję takŝe pracownikom wydawnictwa Sybex za złoŝenie tego wszystkiego w jedną całość, a zwłaszcza takim osobom jak Malka Geffen za podtrzymywanie w nas entuzjazmu o wiele dłuŝej niŝ oczekiwaliśmy, Maureen Adams - za cierpliwe znoszenie moich problemów technicznych, Guyowi Hart-Davisowi za wnoszące wiele informacji dyskusje i Rodnayowi Zaks - za napisanie tej mojej pierwszej technicznej ksiąŝki. Dziękuję Arielowi Silverstone i Ericowi Rayowi za sprawdzenie wszystkiego. Dziękuję równieŝ takim bohaterom Sybexu jak: Kristine 0'Callaghan, Senoria Bilbo-Brown, Richard Ganis, Grey Magauran, Nila Nichols i Lisa Reardon. Składam takŝe podziękowania moim klientom, dzięki którym zdobyłem doświadczenie, które mogłem wykorzystać w ksiąŝce. Mattew Strebe Chciałbym teŝ podziękować wszystkim pracownikom w wydawnictwie Sybex za cięŝką pracę włoŝoną w tę ksiąŝkę, zwłaszcza takim osobom jak: Guy Hart-Davis, Maureen Adams, Malka Geffen i Lisa Reardon. Dziękuję równieŝ mojej rodzinie za stałe wsparcie: Charlsowi i Georgii, Donnie i Cliffowi, Cathy i Jeffowi, Becky i Mikę'owi oraz Joe'emu. Charles Perkins

13 Wstęp Ściany ogniowe naleŝą do najnowszych osiągnięć w technologii internetowej. Najbardziej interesujące i innowacyjne rozwiązania, takie jak tłumaczenie adresów sieciowych NAT i filtrowanie wielowarstwowe są tak nowoczesne, Ŝe ksiąŝki wydane dwa lata temu są juŝ przestarzałe - podobnie stanie się z tą ksiąŝką za dwa lata. Historia systemów bezpieczeństwa sięga lat osiemdziesiątych, kiedy to głowni producenci komputerów, tacy jak IBM i Compaą, zaczęli wprowadzać mechanizmy ochronne do swoich sieci. W miarę wzrostu zagroŝenia wojną informacyjną te szczątkowe rozwiązania zaczęto przekształcać w kompleksowe systemy bezpieczeństwa odgradzając szczelnym murem nasze sieci przed intruzami. W przeszłości problemy bezpieczeństwa rozwiązywało się za pomocą prostych filtrów pakietów i zestawu modemów typu dial-back. W przyszłości potrzebne będzie przeglądanie i sprawdzanie kaŝdego bitu komunikatu internetowego, szyfrowane potwierdzanie toŝsamości witryny WWW przed połączeniem się z nią, i w ogóle szyfrowanie prawie wszystkiego co przepływa w sieci. Na szczęście, w miarę rozwoju technologii, zabezpieczenia te będą coraz prostsze i coraz bardziej niewidoczne. W miarę uszczelniania przez producentów systemów, sieć WWW będzie niepostrzeŝenie stawała się coraz bardziej bezpieczna dla ludzi swobodnie i do woli Ŝeglujących po niej, zatrzymywanych tylko czasami przez ostrzeŝenie, Ŝe jakaś witryna nie jest akredytowana lub Ŝe dana wiadomość zawiera podejrzaną zawartość. Tak będzie w przyszłości. Wróćmy jednak do teraźniejszości. Obecnie problemy bezpieczeństwa najskuteczniej rozwiązuje się za pomocą ścian ogniowych i wirtualnych prywatnych tuneli. Dodatkowe narzędzia, takie jak detektory intruzów i skanery mechanizmów zabezpieczających, pełnią jedynie funkcję ostrzeŝenia i bycia w pogotowiu. Ściany ogniowe będą stanowić podstawę zabezpieczeń w Internecie dopóty, dopóki ich funkcjonalność nie zostanie wbudowana w kaŝdy protokół uŝywany w Internecie i dopóki kaŝdy komputer przyłączony do Inter netu nie będzie zawierać odpowiednika ściany ogniowej. Ale nawet wtedy, zcentralizowa ne zarządzanie polityką bezpieczeństwa Internetu moŝe spowodować, Ŝe ściany ogniowe staną się stałym uzupełnieniem sieci korporacyjnych. O ksiąŝce KsiąŜka została napisana w jednym celu: nauczenia administratorów sieciowych tego wszystkiego co pomoŝe im zrozumieć zagroŝenia dotycząc bezpieczeństwa w Internecie, poznać technologie stosowane do zabezpieczania sieci oraz produkty, które mogą im

14 16 Ściany ogniowe w tym pomóc. Jest to ksiąŝka, z której kaŝdy moŝe skorzystać wtedy, kiedy chciałby porównać literaturę o ścianach ogniowych i pełne teorii ksiąŝki z uwagami marketingowymi zamieszczonymi w witrynach WWW, ale brak mu jest wspólnego języka między róŝnymi producentami. KsiąŜka będzie przydatna równieŝ wtedy, kiedy potrzebna jest pomoc, aby móc dopasować określone wymagania klienta do określonego produktu ściany ogniowej. Ta ksiąŝka pomoŝe w uzyskaniu odpowiedzi na pytania w rodzaju: Czym róŝni się filtrowanie pakietów (ang. packet filtering) od badania stanu (ang. stateful inspectioń) i dlaczego jest to waŝne? Czym róŝni się ukrywanie klienta za pomocą mechanizmu tłumaczenia adresów NAT i serwera proxy? Jaki budŝet powinno się zaplanować dla ściany ogniowej? ^ Którą ścianę ogniową naleŝy wybrać dla firmy? KsiąŜka została napisana przede wszystkim dla czynnych administratorów sieci, którzy wiedzą jak korzystać i konfigurować TCP/IP i pracowali juŝ z Windows NT, Novell NetWare lub UNIX-em (chociaŝ podajemy niewiele informacji specyficznych dla tych systemów). Jeśli Czytelnik nie jest administratorem sieci, ale wie, Ŝe potrzebna mu będzie ściana ogniowa, ksiąŝka pomoŝe mu dokonać wyboru, poniewaŝ istnieje wiele ścian ogniowych typu plug-and-play, które są tyleŝ bezpieczne, co łatwe w konfiguracji. MoŜe się zdarzyć, Ŝe Czytelnik z tej grupy Kdzie zdziwiony pewnymi technicznymi szczegółami omawianymi w początkowych rozdziałach tej ksiąŝki. W takiej sytuacji proponujemy omijać wszystko to, co jest niezrozumiałe i wrócić do tego później, jeśli zajdzie taka potrzeba. Budowa ksiąŝki KsiąŜka składa się z czterech części zawierających 19 rozdziałów i jeden dodatek. Części I i II naleŝy przeczytać od początku do końca, ale pozostałą część ksiąŝki moŝna czytać w dowolnej kolejności. Część I: Internet...,..,-i... Rozdziały 1-5 zawierają informacje, które naleŝy zrozumieć, zanim zagłębimy się w zagadnienia technologii ścian ogniowych. Przedstawiamy tutaj Internet i podstawowe zadania ścian ogniowych, mówimy o hakerach i szyfrowaniu i szczegółowo wyjaśniamy działanie TCP/IP., Część II: Technologia ścian ogniowych W rozdziałach 6-10 przedstawiamy pięć podstawowych technologii, na których opie ra się większość ścian ogniowych. Są to filtrowanie pakietów, tłumaczenie adresów sie ciowych NAT, proxy, uwierzytelnianie i tunelowanie. Omawiamy takŝe środki, które naleŝy przedsięwziąć, aby mieć pewność, Ŝe ściana ogniowa została poprawnie skonfigu rowana.

15 Wstęp 17 Część Ol: Systemy operacyjne a ściany ogniowe W rozdziałach 11 i 12 omawiamy środki, które moŝna przedsięwziąć w celu zabezpieczenia podstawowych systemów operacyjnych i świadczonych przez nas usług. Jest to szczególnie waŝne w przypadku publicznego udostępniania usług. Cześć IV: Komercyjne ściany ogniowe Rozdziały stanowią rzeczywiście unikatową cześć tej ksiąŝki - dostarczają przeglądu znacznej części rozwiązań ścian ogniowych dostępnych komercyjnie. Rozdziały te mogą posłuŝyć do porównania róŝnych ścian ogniowych i wybrania rozwiązania dopasowanego do potrzeb firmy Czytelnika. Część V: Dodatkowe narzędzia bezpieczeństwa W rozdziałach przedstawiamy dodatkowe narzędzia, które moŝna wykorzystywać do zabezpieczania sieci poza stawianiem ścian ogniowych. Opisujemy równieŝ róŝne ataki, których moŝe uŝyć haker w celu naruszenia ściany ogniowej. Co dalej Bezpieczeństwo nie jest statyczne, jest to proces, który ulega ciągłemu rozwojowi. Nie moŝna po prostu włączyć ściany ogniowej i oczekiwać, Ŝe problemy zostały raz na zawsze rozwiązane. Ściany ogniowe podobnie jak ataki zmieniają się, a stosowane metody stają się przestarzałe. Prawdziwe bezpieczeństwo wymaga stałej czujności. Najprostszy znaleziony przez nas sposób to zapisanie się na listy dyskusyjne prowadzone przez organizacje wymienione w Dodatku A i odwiedzanie ich stron WWW. Strona WWW poświęcona tej ksiąŝce jest dostępna pod adresem www. 24sevenbooks. com, regularnie umieszczamy tam linki do waŝnych informacji na temat bezpieczeństwa. Traktujmy ją jak bramę prowadzącą w świat bezpieczeństwa.

16 Część I Internet Omawiane tematy: "~ Działanie Internetu Działanie ścian ogniowych Kto dokonuje włamań -. Motywacje hakerów Podstawy TCP/IP Protokoły warstwy wyŝszej stosu TCP/IP Wykorzystywanie słabości TCP/IP przez hakerów Działanie szyfrowania Szyfrowanie jako sposób zapewnienia bezpieczeństwa w Szyfrowanie jako sposób uwierzytelniania uŝytkownika

17 Rozdział 1 Zrozumieć ścianę ogniową Państwa, które nie kontrolują granic nie tylko rak mogą zapewnić oc&rofiy i bezpieczeństwa swoim obywatelom, ak nie mogą równieŝ zapobiec piractwu i kradzieŝom. Sieci bez kontrolowanego dostępu nie mogą zapewnić ochrony, i prywatności przechowywanych danych, ani powstrzymać hakerów od penetrowania zasobów sieci. Skuteczność komunikacji, którą zapewnia Internet spowodowała gorączkowe przyłączanie prywatnych sieci bezpośrednio do Internetu. Takie rozwiązanie sprawia, Ŝe penetracja zasobów sieci staje się łatwym zadaniem dla włamywaczy. Przed erą Internetu jedynym szeroko dostępnym sposobem dostania się z domu do sieci prywatnej było bezpośrednie łączenie się za pomocą modemu i publicznej sieci telefonicznej. Ochrona zdalnego dostępu nie była wielkim problemem. Bezpośrednie przyłączenie prywatnej sieci do Internetu oznacza właściwie przyłączenie jej bezpośrednio do kaŝdej innej sieci uprzednio przyłączonej do Internetu. Nie istnieje jakiś samoistny centralny punkt kontroli bezpieczeństwa w sieci. '; 1 Punkty kontrolne na granicach sieci prywatnych moŝna utworzyć za pomocą ściam ogniowych. Ściana, która zapewnia routing między prywatną siecią a Internetem, jedmocześnk bada wszystkie komunikaty przesyłane pomiędzy tymi dwiema sieciami, przekazuje je dalej albo usuwa w zaleŝności od spełnienia przez nie zaprogramowanaiycii regtrt polityki bezpieczeństwa. JeŜeli ściana zostanie prawidłowo skonfigurowana i nie będzie zawierać powaŝnych luk eksploatacyjnych, chroniona sieć będzk na tyle wolna od ryzyka, na ile będzie to moŝliwe. Obecnie są dostępne setki produktów typa; ścian ogniowych-, jak równieŝ róŝme teorie ekspertów do spraw bezpieczeństwa opisujące sposoby korzystania ze ścian ogniowych w celu ochrony sieci. W tym rozdziale omówione zostanie szczegółowo działanie typowej ściany ogniowej, przedstawione zostaną jej podstawowe cechy oraz zagadnienia związane ze stosowaniem ścian w sieciach o róŝmycłj rozmiarach. Pozostałe rozdziały części pierwszej zawierają pogłębienie zagadnień przedstawionych w pierwszym rozdziale. W części drugiej ksiąŝki zajmujemy się zagadnieniami zaawansowanymi dotyczącymi ściamt W części trzeciej zaś przedstawiamy porównanie popularnych produktów, ich instalacji i podstawowej konfiguracji.

18 22 Ściany ogniowe Składowe ściany ogniowej Ściana ogniowa zabezpiecza połączenie z Internetem, w takim stopniu, w jakim jest to moŝliwe, za pomocą sprawdzania i zatwierdzania lub odrzucania prób połączenia między siecią wewnętrzną uŝytkownika a sieciami zewnętrznymi. Silne ściany ogniowe chronią sieć na poziomie wszystkich warstw - od warstwy łącza danych w górę do warstwy aplikacji. Ściana jest umieszczana na granicach sieci - w punktach, które zapewniają dostęp do innych sieci. Z tego powodu ściana uwaŝana jest za gwaranta bezpiecznej granicy. Pojęcie gwaranta bezpiecznej granicy jest waŝne, poniewaŝ bez niego kaŝda stacja w sieci musiałaby samodzielnie wykonywać funkcje ściany, niepotrzebnie zuŝywać swoje zasoby obliczeniowe i zwiększać ilość czasu potrzebnego do połączenia, uwierzytelnienia i szyfrowania danych. Ściany ogniowe pozwalają scentralizować wszystkie zewnętrzne usługi sieciowe na komputerach, które są dedykowane i zoptymalizowane pod kątem tej pracy. Z natury rzeczy ściany ogniowe tworzą wąskie gardło między sieciami wewnętrznymi a zewnętrznymi, poniewaŝ cały ruch przechodzący między sieciami musi przechodzić przez pojedynczy punkt kontroli. Jest to niewielka cena, którą płaci się za bezpieczeństwo. JednakŜe poniewaŝ zewnętrzne połączenia wykorzystujące linie dzierŝawione są względnie wolne w porównaniu do szybkości współczesnych komputerów, zwłoka spowodowana przez ścianę moŝe być całkowicie pominięta. Ściany ogniowe działają w oparciu o trzy podstawowe mechanizmy: filtrowanie pakietów (ang. packet filtering): polega to na tym, Ŝe odrzucane są pakiety TCP/IP z nieautoryzowanych hostów i próby połączenia z nieautoryzowanymi usługami; translacja adresów sieciowych (NAT) (ang. network address translation): polega na dokonywaniu zamiany adresu IP hosta wewnętrznego w celu ukrycia go przed zewnętrznym monitorowaniem. Mechanizm ten jest równieŝ nazywany maskowaniem adresu IP (ang. IP masąuerading); usługi proxy: ściana ogniowa moŝe dokonywać połączenia na poziomie aplikacji w imieniu wewnętrznego hosta, przerywane jest wtedy połączenie na poziomie warstwy sieciowej pomiędzy hostami wewnętrznymi i zewnętrznymi. Większość ścian ogniowych wykonuje jeszcze dwie inne usługi bezpieczeństwa: szyfrowane uwierzytelnianie (ang. encrypted authenticatiori) uŝytkownicy sieci publicznej muszą udowodnić swoją toŝsamość wobec ściany ogniowej zanim uzyskają dostęp do sieci wewnętrznej; szyfrowane tunelowanie (ang. encrypted tunneling): pozwala ono ustanowić bezpieczne połączenie między dwiema prywatnymi sieciami za pośrednictwem publicznego medium typu Internet. Dzięki temu dwie fizycznie rozdzielone sieci mogą uŝyć do komunikowania się Internetu zamiast linii dzierŝawionej. Tunelowanie jest równieŝ nazywane wirtualnymi sieciami prywatnymi VPN (Yirtual Private Networking).

19 Zrozumieć ścianę ogniową 23 Przedstawione powyŝej mechanizmy wykorzystywane są do zapewnienia usług bezpieczeństwa we wszystkich prawie ścianach ogniowych. Obecnie na rynku istnieją dosłownie setki tego typu produktów rywalizujących między sobą o pieniądze, które klienci są gotowi przeznaczyć na bezpieczeństwo. Większość z nich jest bardzo dobra, a róŝnią się między sobą tylko pewnymi szczegółami. W dalszej części tego rozdziału przedstawimy dokładniej pięć wymienionych powyŝej podstawowych funkcji bezpieczeństwa realizowanych przez większość ścian ogniowych. Oczywiście uŝytkownik moŝe korzystać z urządzeń lub serwerów, które realizują tylko jedną z wymienionych funkcji, na przykład moŝna mieć router filtrujący pakiety i na odrębnym komputerze serwer proxy. Wtedy albo filtr pakietów musi przepuszczać ruch do serwera proxy, albo serwer proxy musi znajdować się na zewnątrz sieci uŝytkownika i nie mieć ochrony zapewnianej przez filtr pakietów. Obydwa rozwiązania są bardziej niebezpieczne niŝ uŝywanie pojedynczej ściany ogniowej, która wszystkie funkcje ma zgrupowane w jednym miejscu. Filtry pakietów Pierwszymi ścianami ogniowymi w Internecie były filtry pakietów. Filtr porównuje pakiety protokołów sieciowych (takich jak IP) i transportowych (takich jak TCP) z regu łami zawartymi w bazie danych, po to by dalej przekazać tylko te pakiety, które odpowia dają kryteriom określonym w regułach. Filtry moŝna zaimplementować w routerze lub w serwerze obsługującym stos protokołów TCP/IP (patrz rysunek 1.1).,, *» fjcjłwfcłmj^* "»^ Serwer WWW pcanywhere Ściana ogniowa Zewnętrzna sieć publiczna Reguty ściany ogniowej Blokuj wszystkie porty oprócz: TCP Port 80 (WWW) TCP Port 25 (poczta) TCP Port 21 (FTP) Klient Wewnętrzna sieć prywatna Rysunek 1.1. Filtrowane połączenia internetowe blokują niepoŝądany ruch " ł Filtry zaimplementowane wewnątrz routerów nie pozwalają podejrzanemu ruchowi na dostęp do chronionej sieci, podczas gdy moduły filtrów TCP/IP na serwerach zapobie-

20 24 Ściany ogniowe gają głównie temu, aby dany komputer odpowiadał na podejrzany ruch, jednak pakiety nadal docierają do sieci i mogą być skierowane do dowolnego umieszczonego w niej komputera. Filtry na routerach chronią wszystkie komputery w sieci docelowej przed podejrzanym ruchem, dlatego teŝ filtrowanie w stosie TCP/IP serwera (tak jak jest to realizowane w Windows NT) powmno być stosowane jedynie jako dodatkowe zabezpieczenie w stosunku do filtrowania na routerach, a nie zamiast niego. Typowy filtr działa według następujących zasad: pomija próby nawiązania połączenia przychodzącego z zewnątrz sieci {ang. inbo-and), przepuszcza próby nawiązania połączenia przychodzącego z wewnątrz (ang. outbound); eliminuje pakiety TCP przeznaczone dla portów, które nie powinny być dostępne dla Internetu (na przykład port sesji NetBIOS), wpuszcza pakiety, które powinny przechodzić przez filtr (takie jak SMTP). W większości filtrów moŝna dokładnie określić serwer, do którego dopuszczalny jest określony ruch - na przykład ruch SMTP do portu 25 moŝe być dopuszczony tylko dla adresu IP serwera pocztowego; ogranicza dostęp w ruchu przychodzącym z zewnątrz do pewnych zakresów adresów IP. OSTRZEśENIE, Proste filtry pakietów lub routery z funkcją fim-owl ( p< Bkiietów, które wymagają otworzenia portów powyŝej 1023 dla kanałów zwrotnych nie są urządzeniami zbyt bezpiecznymi. Nie zapobiegają ustanawianiu przez uŝytkowników wewnętrznych lub koni trojańskich usługi na stacji klienta na portach powyŝej 1023 i nasłuchiwaniu prób uzyskania połączenia z zewnątrz. Bardziej złoŝone ściany ogniowe (typu filtrów z badaniem stanu i proxy zabezpieczających) otwierają te kanały jedynie dla serwerów, do których połączenie zwrotne powstaje w wyniku Ŝądania pochodzącego z wewnątrz strefy chronionej - i to te właśnie ściany ogniowe powinno się wybierać, a nie proste filtry pakietów, które nie potrafią określić stanu połączenia. Bardziej złoŝone filtry korzystają z firmowych algorytmów do badania stanów wszystkich przechodzących przez nie połączeń, szukając znaków sygnalizujących włamania, takich jak wybór trasy przez nadawcę (ang. source routing), zmiana trasy na podstawie komunikatu ICMP (ang. ICMP redirecńoń), podszywanie się pod adres IP (ang. IP spoo-fing). Połączenia, które wykazują te cechy są odrzucane. Klientom wewnętrznym zezwala się na tworzenie połączeń do hostów zewnętrznych, zaś hostom zewnętrznym w zasadzie zabrania się prób inicjowania połączenia. Gdy host wewnętrzny decyduje się zainicjować połączenie TCP, wysyła komunikat TCP pod adres IP i numer portu serwera publicznego (np. jeśli chce się połączyć z witryną Microsoft). W tym inicjującym komunikacie przekazuje hostowi zewnętrz-