PANSTWOWA WYŻSZA SZKOŁA ZAWODOWA W KROŚNIE INSTYTUT POLITECHNICZNY KIRUNEK: SIECIOWE SYSTEMY INFOTMARYCZNE Imię i nazwisko autora : Maciej Michalski Nr albumu: 11753 Tytuł pracy : Implementacja Firewall i w oparciu o elementy aktywne sieci LAN/WAN. Praca inżynierska wykonana pod opieką : dr. inż Mariusza Święcickiego. Ocena:.. Krosno 2011 1
Spis treści Wstęp 5 Cel pracy.7 Zakres pracy 8 Rozdział I Wprowadzenie do Firewalli 1.1 Wprowadzenie do Firewalli...9 1.1.1 Co to jest Firewall?......9 1.1.2 Jak działają Firewalle..10 1.1.3 Zagrożenia w sieci...14 1.1.4 Polityki bezpieczeństwa..16 1.2 Podstawy Firewalli 17 1.2.1 Klasyfikacja firewalli..17 1.2.2 Technologie Firewalli.19 1.2.3 Open source oraz komercyjne Firewalle 25 Rozdział II Technologie firewalli 2.1 TCP/IP dla Firewalli..26 2.1.1 Protokoły, Usługi i Aplikacje..26 2.1.2 Internet Protocol (IP)...31 2.1.3 Transmission Control Protocol (TCP).33 2.1.4 User Datagram Protocol (UDP)...35 2.1.5 Internet Control Message Protocol (ICMP).37 2.1.6 Network Address Translation (NAT)..39 2.1.7 Broadcast...42 2.1.8 IP Routing 43 2.2 W jakiej sieci można zastosować firewalle (architektury) 51 2.2.1 Architektury pojedynczego firewall a.51 2.2.2 Architektura podwójnego firewall a 54 2.2.3 System firewall (single/dual)... 55 2.2.4 Pozostałe architektury..58 2
2.2.5 Listy ACL oraz VLAN-y.64 2.2.6 Wysoka dostępność w projektowaniu firewalli...76 Rozdział III Jak działają Firewalle 3.1 Router y szeroko pasmowe i Firewalle.78 3.1.1 Jak działają Routery szerokopasmowe 78 3.1.2 Linksys Routers/Firewall.80 3.1.3 Konfiguracja routera Linksys..83 3.2 Cisco PIX Firewall oraz ASA Firewall...92 3.2.1 PIX / ASA Cechy firewalli..92 3.2.2 Zasady działania firewalli PIX/ASA...94 3.2.3 Konfiguracja firewalli Cisco PIX/ASA.100 3.3 Linux Firewall.112 3.3.1 NetFilter cechy, żądania oraz zasada działania 112 3.3.1 Konifiguracja NetFilter.115 3.4 Aplikacja Proxy Firewall.120 3.4.1 Funkcjonalność Serwera Proxy.120 3.4.2 Ograniczenia Serwera Proxy.122 3.4.2 Microsoft ISA Server 2004 Firewall.122 Rozdział IV Kofiguracja zapory sieciowej bazującej na systemie operacyjnym GNU/Linux 4.1 Firewall bazujący na systemie GNU/Linux.....136 4.1.1 Budowa systemu pełniącego rolę firewalla. 136 4.1.2 Iptables.....139 4.1.3 Firewall Firestarter.......141 Rozdział V Testy zbudowanej zapory sieciowej. 5.1 Testy i analiza zabezpieczonej sieci 146 5.1.1 Prawidłowość filtrowanych danych.. 146 5.1.2 Hping2...148 3
5.1.3 Nmap 151 Rozdział VI Podsumowanie.. 152 Rozdział VII Bibliografia...153 Streszczenie..154 Aneks 155 4
Wstęp Firewalle należą obecnie do nowych osiągnięć technologii internetowej, innowacyjne osiągnięcia tej technologi to przedewszystkim tłumaczenie adresów sieciowych NAT, oraz wielowarstwowe filtrowanie pakietów. Historia pierwszych systemów bezpieczeństwa zaczyna się w latach-80, kiedy dwaj główni producenci komputerów IBM oraz COMPAQ zaczęli wprowadzać pewne mechanizmy ochronne do swoich sieci. Wraz ze wzrostem zagrożeń w sieci początkowe rozwiązania zaczęto przekształcać w bardziej kompleksowe systemy bezpieczeństwa, które miały chronić siećprzed intruzami z zewnątrz. W przeszłości sprawy bezpieczeństwa były rozwiązywane za pomocą prostego filtrowania pakietów, oraz zestawu modemów dialback. Niestety dzisiaj to rozwiązanie jest już przestarzałe i nieskuteczne, aby w przyszłości móc skutecznie chronić swoją sieć będzie zachodzić potrzeba przeglądania oraz sprawdzania każdego bitu komunikatu internetowego, szyfrowanego potwierdzania tożsamości witryny WWW przed połączeniem się, oraz szyfrowania prawie wszystkiego co przepływa w sieci. Obecnie problem bezpieczeństwa sieci rozwiązywany jest przy pomocy ścian ogniowych (firewalli) oraz wirtualnych przywatnych tuneli. Ponadto istnieją tzw. narzędzia dodatkowe takie jak detektory intruzów, wszelkiego rodzaju skanery mechanizmów zabezpieczających są to jednak jedynie narzędzia, które pełnią raczej rolę ostrzegania przed potencjalnym atakiem intruza. Zatem firewalle będą stanowić podstawę dla zabezpieczeń w Internecie tak długo dopóki ich funkcjonalnośc nie zostanie wbudowana w każdy protokół wykorzystywany w Internecie, oraz dopóki każdy komputer przyłączony do sieci Internetowej nie będzie zawierałw sobie odpowiednika firewalla, co nie zmieni faktu że firewalle staną się na zawsze stałym uzupełnieniem sieci korporacyjnych. Firewalle są ważnym elementem sieci, których zadaniem jest ochrona prze potencjalnymi zagrożeniami płynącymi z sieci. Systemy kontroli w standardowych programach, które można znaleźć na rynku nie dadzą dostatecznej ochrony przed intruzami z sieci. W dzisiejszym świecie rosnące uzależnienie od Internetu w pracy oraz w środowisku domowym zwiększa podatność systemów na różnorodne ataki oraz zagrożenia płynące z sieci. Wszelkie technologie firewalli są w dalszym ciągu jedną z najbardziej rozpowszechnianych form ochrony i zabezpieczania przed zagrożeniami dla nowych i istniejących komputerów w sieci. Siec nie potrafi się sama bronić zachodzi 5
zatem zachodzi potrzeba używania profesjonalnych urządzeń do ochrony systemów zarówno w sieciach dla małych firm jak i firm korporacyjnych. Aby zrozumieć to co firewalle są w stanie zrobic oraz w jaki sposób mogą być wykorzystane do osiągnięcia maksymalnego stopnia zabezpieczenia należy poznać podstawy firewalli, analizę róznych koncepcji zarówno komercyjnych jak i OpenSource które umożliwą administratorom dużych sieci korporacyjnych jak i małych sieci domowych bądź biurowych skutecznie wybrać oraz skonfigurować urządzenia zabezpieczające. Trzeba pamiętać że firewall jest w zasadzie pierwszą linią obrony naszej sieci tak więc musi zostać poprawie skonfigurowana aby w pełni radzić sobie z powierzonym mu zadaniem. Firewall pozwoli nam na ustalenie pewnych zasad w celu określenia jaki ruch powinien zostać dozwolony. W zależności od typu zaimplementowanego firewalla można ograniczyć dostep np. tylko dla określonych adresów IP, nazw domen czy też zablokować niektóre rodzaje ruchu poprzez blokowanie portów TCP/IP. 6
Cel pracy Celem niniejszej pracy było przedstawienie metod realizacji firewall i w oparciu o różne komponenty (systemy operacyjne, routery- listy ACL, rozwiązania komercyjne), zapoznanie się z poszczególnymi architekturami, które stosowane są podczas budowy zapór sieciowych. Ponadto celem było również ukazanie poszczególnych modeli zapór sieciowych, opis ich możliwości oraz podstawowych metod konfiguracji. Wszystko to kończy budowa prostego firewalla opartego o system operacyjny Linux oraz szereg testów, które były wykonywane bezpośrednio na nim. 7
Zakres Pracy W pierwszym rozdziale pracy zatytułowanym Wprowadzenie do Firewalli opisane zostały podstawy firewalli, ogólne zasady ich działania. Ponadto rozdzial ten w sposób ogólny skupia się na zagrożeniach płynących z Internetu oraz opisuje Polityki bezpieczeństwa. Znalazła się tam również klasyfikacja firewalli,oraz porównanie komercyjnych zapór sieciowych oraz zapór OpenSource. W drugim rozdziale zaś opisywane były najczęściej używane protokoły podczas pracy firewalli m.in. (IP, TCP, UDP, ICMP, NAT itp.).poruszane były także aspekty dotyczące najczęstszych architektur, które są stosowane podczas budowy firewalli, tworzenie list ACL na routerach oraz wirtualnych sieci LAN (VLAN). Trzeci rozdział skupiał się głównie na charakterystyce czterech wybranych zaporach sieciowych były nimi (Router szerokopasmowy Linksys, CISCO PIX Firewall / ASA Firewall, Linux Firewall oraz Proxy ). Opisywane tam były przedewszystkim ich funkcje, metody używane podczas zabezpieczania sieci przed intruzami, oraz poszczególnych metod konfiguracji zapór sieciowych. Rozdział czwarty jest tzw. rozdziałem praktycznym, który obejmował budowe firewalla bazującego na systemie operacyjnym GNU/Linux, ponadto zawiera w sobie poszczególny opis konfiguracji firewalla oparty o łańcuchy oraz reguły IPTABLES. Ostatni rozdział pracy dotyczył wykonywanych testów na uprzednio zbudowanej zaporze. Testy te mialy na celu sprawdzenie czy zapora w pełni radzi sobie z zadaniami, do których została stworzona. Testy te były wykonywane prez szereg różnorodnych narzędzi np. (Hping2, Nmap). 8
Rozdział I Wprowadzenie do Firewalli W zależności od struktury sieci firewall jest podstawową jednostką zapewniajacą jej bezpieczeństwo przed szeregiem niebezpieczeństw płynących z sieci zewnętrznej Internetu. 1.1 Wprowadzenie do Firewalli Rozdział ten opisuje ogólne zasady działa firewalla, oraz ukazuje zagrożenia na jakie bęzie wystawiany nasz firewall podczas codziennej pracy. Ukazywał będzie nam także podstawowe polityki bezpieczeństwa, które okazą się niezbędne do prawidłowego funkcjonowania naszej zapory. 1.1.1 Co to jest Firewall? Kiedy większość ludzi myśli o firewallu, myślą o urządzeniu, które znajduję się w sieci i kontroluje ruch, który przechodzi między segmentami sieci. Czasami firewalle mogą zostać implementowane na samych systemach takich jak na przykład Microsoft Internet Connection Firewall (ICF) w których przypadku systemy te znane są jako host oparty na firewallu. Zasadniczo wszystkie typy firewalli mają ten sam cel : określnie metod egzekwowania polityki kontroli dostępu (ACL). Wprawdzie w najprostszej definicji firewalle są niczym więcej jak polityką kontroli dostępu. 9
Rys. 1 Sieć z wykorzystaniem polityki kontroli dostępu (ACL) Firewalle umożliwiają definiowanie list kontroli dostępu oraz zapewnienie tylko tego ruchu sieciowego bądź przesyłania konkretnych danych które spełniają warunki zawarte w listach kontroli dostępu. Rysunek 1 ilustruje w jaki sposób używany jest firewall w sieci którego zadaniem jest przepuszczać dozwolony ruch sieciowy natomiast pozostały inny zatrzymywać. 1.1.2 Jak działają Firewalle Wszystkie firewalle które powinny być brane pod uwagę posiadają wspólną cechy oraz funkcjonalności co pomoże w zdefiniowaniu tego co może on zrobić. Zasadniczo firewalle muszą być w stanie wykonać następujące zadania: Zarządzanie oraz kontrolać ruchu sieciowego Autoryzowanie dostępu Ochrona zasobów Rejestrowanie oraz raportowanie wszelkiego rodzaju naruszenia bezpieczeństwa 10
Zarządzanie oraz kontrola ruchu sieciowego: Pierwsza i najbardziej podstawowa funkcjonalność, którą wszystkie firewalle muszą wykonać jest zarządzanie i kontrola ruchu sieciowego, komu przydzielić dostęp do chronionej sieci bądź hosta. Firewall bada pakiety oraz monitoruje nawiązywane połączenia, które są poddawane filtrowaniu. Badanie Pakietu: Badanie pakietu jest to proces przejmowania oraz przetwarzania danych w pakiecie, którego celem jest zdecydowanie czy pakiet ma zostać zaakceptowany czy też odrzucony zgodnie ze zdefiniowaną polityka bezpieczeństwa. Podczas badania pakietu brane pod uwage są następujące elementy: Adres IP źródła Port źródła Adres IP docelowy Port docelowy Protokół IP (IPv4, IPv5, IPv6) Nagłówek pakietu Firewall musi zbadać każdy pojedynczy pakiet z każdego adresu oraz z każdego interfejsu ponadto reguły kontroli dostępu muszą istnieć dla każdego pakietu który będzie zbadany. Kiedy firewalle połączą funkcje sprzętową wraz z badaniem pakietów od tego momentu po nawiązaniu sesji przez aplikacje firewall nadzoruje wszystkie połączenia przechodzące przez niego oraz analizuje nagłówki pakietów pod kątem które pokarze czy pakiety zostały wysłane przez aplikacje która znajduje się na liście dopuszczonych do ruchu sieciowego. Autoryzacja dostępu: Firewalle mogą zezwolić na dostęp używając kilku mechanizmów. Pierwszy mechanizm mówi o tym iż firewall może wymagać nazwy uzytkownika oraz hasła które pozwoli na pozytywne uzyskanie autoryzacji ( często znane jako rozbudowana 11
identyfikacja inaczej xauth). Używając xauth użytkownik usiłujący zainicjować połączenie jest zobowiązany podać nazwę użytkownika, hasło oraz tryb połączenia. Zazwyczaj jest to (client_auth) wszystkie te dane podawane są przed firewallem który po dokonaniu weryfikacji zezwala na dostęp. Innym mechanizmem służącym do autoryzacji połączenia jest użycie certyfikatów oraz kluczy publicznych. Korzyści certyfikatów nad identyfikacją xauth są takie że proces autoryzacji może odbyć się bez ingerencji użytkownika, pod warunkiem że hosty zostały poprawnie skonfigurowane mianowicie posiadają certyfikaty zarówno host jak i firewall, oraz używają takiego samego klucza publicznego. Korzyść takiego rozwiązania najlepiej sprawdza się przy dużych infrastrukturach sieci. Ostatnim mechanizmem jest autoryzacja prowadzona na podstawie wstępnie dzielonych kluczy (pre-shared-key). Mechanizm ten jest mniej złożony w implementacji niż certyfikaty. Każdy Host posiada z góry ustalony klucz który jest użyty w procesie autoryzacji. Minusem tego systemu jest to że klucze rzadko się zmieniają oraz wiele organizacji używa klucza o tej samej wartości dla zbiorowych zdalnych centralnych komputerów co w rezultacie prowadzi do pogorszenia bezpieczeństwa procesu autoryzacji. Ochrona zasobów : Firewall może zostać skonfigurowany w taki sposób aby pełnił rolę pośrednika w komunikacji wówczas wywoływany jest proces pomiędzy dwoma hostami. Proces ten zwany jest zwykle jako Proxy. Proxy pełni funkcje hosta którego zadaniem jest ochranianie. Wszystkie połączenia których celem jest chroniony host muszą przejść przez Proxy. Proxy otrzymuje pakiety które przeznaczone są dla chronionego hosta po czym sprawdza je, po sprawdzeniu następuje budowa całkiem nowego pakietu który nastepnie jest wysyłany do chronionego hosta. Chroniony host odpowiada do Proxy po przez odwrócenie procesu którego wynikiem jest otrzymanei prez Proxy wiadomości ze pakiet dotarł do chronionego hosta. Firewall stanowi ochronę która jest osiągnięta przez użycie reguł kontroli dostępu (ACL), zastosowanie Proxy oraz kombinacji wszystkich dostępnych środków aby zapobiec chronionego hosta przed uzyskanie dostępu do niego przez nieuprawnione zasoby bądź hosty oraz na złośliwy ruch w sieci którego celem jest zmniejszenie 12
przepustowości łącza co w rezultacie prowadzi do awarii. Firewalle nie są jednak niezawodną metodą dla ochrony zasobów, dlatego nie powinno się tylko i wyłącznie polegać na firewallu aby zabezpieczyć hosta. Rejestrowanie oraz raportowanie wszelkiego rodzaju naruszenie bezpieczeństwa Obecnie firewall może raportować zdarzenia z kilku dróg. Większość firewalli używa do tego celu dwóch kilku, jedną metodą jest syslog natomiast druga metoda jest to raportowanie każdego logowania. Używając tych metod podczas logowania firewalle mogą na bieżąco ustalić jaka była przyczyna naruszenia zabezpieczeń, informacje te mogą być również użyte podczas diagnozowaniu problemów wadliwego działania firewalla. Firewalle udzielają wsparcia dla kilku typów metod : Konsola powiadomień: Jest to prosty proces który przedstawia konsole powiadomień. Warunkiem poprawnego działania tej metody jest ciągła aktywność konsoli powiadomień która w razie wykrycia niebezpieczeństwa natychmiast wygeneruje stosowny raport w którym znajdą się informacje na temat tego co zaszło. SNMP : Simple Network Management Protocol może być używany do zarządzania siecią oraz urządzeniami jakie znajdują się w jej obrębie. W celu wykrycia nieautoryzowanego dostępu do sieci SNMP może zostać użyty aby wygenerować pułapki które zostaną wysłane do systemu zarządzania siecią (Network Management System) który ma za zadanie monitorowania wszystki firewalli. Powiadomienie na stronie WWW : Metoda której zadaniem jest powiadomienie administratora za pomocą strony WWW o zaistniałym niebezpieczeństwie. Funkcja ta wymaga konfiguracji firewalla by wysyłał takie powiadomienie. E-mail : Prostszym rozwiązaniem od strony WWW jest metoda wysyłania wiadomości e-mail. Zasada działania jest prosta po prostu firewall wysyła wiadomość e-mail pod wskazany adres. 13
1.1.3 Zagrożenia w sieci Wiedza na temat firewalli nie powinna ograniczac się tylko do tego jak dziala firewall oraz jak pracuje. Aby skutecznie chronić trzeba zrozumieć zagrożenia jakie pojawiają się w ostatnim czasie w sieci. Zagrożenia jakie obecnie pojawiają się w sieci i na jakie możemy być narażeni: Wirusy, robaki, trojany Ataki Dos (Denial-of-service) Zombie Spayware Złośliwe oprogramowanie Wirusy, robaki, trojany: Obecnie w sieci pojawia sie coraz więcej różnorodnego szkodliwego oprogramowania. Wirusy są programami które posiadają dolność do replikacji bez wiedzy użytkownika, dzięki samoczynnemu powielaniu się takiego programu może się on szybko rozprzestrzeniać w zainfekowanym systemie. Kolejnym zagrożeniem są konie trojańskie które są kodem ukrytym w programie mogącym realizować także inne funkcje niż, te o których jest informowany użytkownik. Program taki najczęściej wykonuje pożyteczne funkcje równocześnie realizując ukryte zadania. Robakiem będziemy nazywać program którego głównym zadaniem jest rozprzestrzenianie się za pomocą sieci komputerowej oraz powielanie się. Końcowym założeniem jest wykonanie kodu który został zadeklarowany przez twórcę robaka. Ataki DoS (Denial-of-service) : Ataki Dos powodują zagrożenia które polegają na przeciążeniu aplikacji serwującej.w sieciach komputerowych atak Dos oznacza zazwyczaj zalewanie sieci dużą ilością danych które maja na celu nasycenie dostępnego pasma, którym dysponuje atakowany host. Osiągnięcie się go wtedy staje się niemożliwe pomimo tego ze usługi na nim są gotowe do przyjęcia połączenia. 14
Zombie : To systemy które zostały zakażone oprogramowaniem szkodliwym zazwyczaj są to trojany bądź backdoor y. Takie zainfekowane systemy mogą zostać użyte w przyszłości aby rozpocząć atak Dos. Spyware : Oprogramowanie komputerowe którego celem jest szpiegowane działań użytkownika. Zadaniem takich programów jest gromadzenie informacji o użytkowniku oraz często wysyłanie zdobytych informacji bez wiedzy użytkownika. Do takich informacji mogą należeć : Adresy stron WWW Numery kart płatniczych Loginy oraz hasła Adresy poczty elektronicznej itp. Programy tego typu można zaliczyć do kategorii złośliwego oprogramowania. Na chwile obecną pojawiają się one praktycznie w każdym środowisku systemowym. Złośliwe oprogramowanie : Do tej grupy możemy zaliczyć wszystkiego rodzaju aplikacje, skrypty itp. których celem jest szkodliwe bądź nawet przestępcze działanie w stosunku do użytkownika. Problem ten dotyka przede wszystkim użytkowników pracujących w środowisku Microsoft Windows 15
Rys. 2 Podstawowe grupy złośliwego oprogramowania i ich powiązania. [ http://upload.wikimedia.org/wikipedia/commons/e/e6/malware_graph.svg] 1.1.3 Polityki bezpieczeństwa Pierwszym krokiem dla dobre polityki bezpieczeństwa jest wykonanie analizy ryzyka po to aby określić stopień zagrożenia dla chronionego systemu. Po wykonaniu tego można przystąpić do zaplanowania strategii budowania polityki bezpieczeństwa. Powinna ona zawierać wskazania możliwych rodzajów naruszenia bezpieczeństwa przykładem tego może być np. nieautoryzowany dostęp, utrata danych. Polityka bezpieczeństwa definiuje również poprawne i niepoprawne korzystanie z zasobów sieciowych ( np. konta użytkowników,dane). Bardzo ważne jest żeby polityka bezpieczeństwa była znana przez wszystkich pracowników, którzy korzystają z zasobów informatycznych. Podczas projektowania polityki bezpieczeństwa trzeba rozważyć kilka podstawowych rzeczy. Mianowicie czy dana firma będzie w stanie ponieść koszty które związane będą z wprowadzeniem tej polityki w życie. Projektując mechanizmy ochrony należy określić następujące elementy : Model bezpieczeństwa Poziomy uprawnień (jakie poziomy uprawnień są obecne i jakie są zasady ich przyznawania) Mechanizm kontroli dostępu 16
Metody identyfikacji oraz zapewnienia autentyczności Uzyskiwanie autoryzacji Monitorowanie zdarzeń w systemie. Jakie mechanizmy/procesy SA stosowane do monitorowania zmian w systemach. 1.2 Podstawy firewalli Podrozdział ten pokaże nam podstawy firewalli, dowiemy się zatem jak możemy sklasyfikować firewalle oraz jakie występują technologie tworzenia firewalli. Ponadto porównamy firewalle komercyjne jak i te które działają w oparciu o OpenSource. 1.2.1 Klasyfikacja firewalli Najbardziej typowy firewall jest wyspecjalizowanym systemem bądź urządzeniem które znajduje się w sieci i pełni role oddzielającą siec wewnętrzna od sieci zewnętrznej (Internet). Najwięcej sieci domowych (sieci LAN) używa prosty firewalli które nie są oparte na fizycznym sprzęcie. Ogólnie firewalle mogą zostać sklasyfikowane jako dwa typy: Firewall osobisty Firewalle sieciowe Różnica miedzy tymi dwoma typami jest taka że firewall sieciowy kładzie większy nacisk na analizę sieci zatem dla małych sieci LAN gdzie ruch sieciowy nie jest duży oraz nie ma zbyt dużego zagrożenia nie spełni on swojej roli. 17
Rys. 3 Klasyfikacja firewalli [Wes Noonan Ido Dubrawsky - Firewall Fundamentals str.37] Rysunek ukazuje nam różne rodzaje dostępnych firewalli Dostarcza nam również kompletnych szczegółów co do ich zdolności, oraz również stanie się pomocny podczas decyzji jaki firewall oraz o jakich zdolnościach będzie nam potrzebny aby wypełni zabezpieczyć naszą sieć przed zagrożeniami. Firewall osobisty: Firewalle te projektowane są z myślą o zabezpieczeniu pojedynczego hosta przed nieautoryzowanym dostępem. Przez lata firewalle osobiste były rozwijane oraz unowocześniane pod kątem dodawania nowych funkcji np. monitoring oprogramowania, wykrywanie ataków. Kilka z najbardziej popularnych komercyjnych firewalli to np. BlackICE jak również Cisco Security Agent, oprócz tego można skorzystac również z innych alternatyw a mogą być nimi Micro's PC-cillin, ZoneAlarm, Symantec personal firewall. Można powiedzieć że jest to propozycja mniej kosztowna dla użytkowników których nie stać na drogie komercyjne firewalle. Potrzeba scentralizowanej polityki bezpieczeństwa jest punktem zwrotnym dla firewalli 18
osobistych przez co dąży do zminimalizowania ciężaru administracyjnego. Otóż ciężarem tym możemy nazwać właściwą konfiguracje oraz ciągły monitoring każdego firewalla, co w firewallach osobistych nie jest konieczne. Przez centralizowanie polityki bezpieczeństwa oraz monitorowania wiele produktów złagodziło wysiłek właściwego konfigurowania oraz monitorowania wszelkich zdarzeń. Firewall sieciowy : Sieciowe firewalle są projektowane przede wszystkim po to aby chronić cala infrastrukturę sieci prze różnego rodzaju zdarzeniami płynącymi z sieci. Firewalle sieciowe możemy podzielić na dwa typy: firewalle sprzętowe oraz firewalle oparte na systemie operacyjnym. Przykładem firewall sprzętowego może być np. Cisco PIX, Cisco ASA, Juniper s NetScreen firewall, Symantec s Enterprise Firewall. Natomiast co do firewalli opartych o system operacyjny to są to np. Check Points Firewall-1 NG, Microsoft ISA Server, Linux+ IPTables oraz BSD pf packet filter. Nie można pominąć też systemu Sun który w pierwotnej wersji pełnił role firewalla. Również i te firewalle przez lata zostały udoskonalone oraz zyskały wiele nowych cech. Mowimy tutaj o wykrywaniu wirtualnych sieci prywatnych (VPN), możliwość zdalnego uzyskania dostępu do odleglych sieci VPN. Kolejną ważna cechą tych firewalli jest to że maja one zdolność dokładnego badania każdego pakietu który jest odbierany. Potrafią one również identyfikować ruch sieciowy nie tylko w opraciu o 3 i 4 warstwę modelu osi ale i również samemu ułożyć intensywność ruchu sieciowego. 1.2.2 Technologie firewalli Tutaj przyjrzymy się jakie są obecnie technologie firewalli oraz temu jaki sposób one pracują. Skupimy się na szerokim kręgu technologii które wykorzystuje się obecnie do zabezpieczania infrastruktury sieci: Filtrowanie pakietów Network Address Translation (NAT) Proxy firewall Wirtualne firewalle 19
Filtrowanie pakietów : Filtrowanie pakietów jest to selektywne przepuszczanie bądź blokowanie pakietów które napływają po przez interfejs sieciowy Ethernet. Kryteria które brane są pod uwagę podczas wykonywania tego są oparte warstwę 3 oraz warstwę 4.Natomiast podstawowym kryterium jest źródłowy oraz docelowy adres, port oraz protokół jaki jest wykorzystywany. Reguły którymi należy się posługiwać podczas filtrowania są porównywane sekwencyjnie czyli od pierwszej do ostatniej. Rys. 4 Proste filtrowanie za pomocą ACL Rysunek przedstawia nam prostą konfiguracje Access List której celem jest filtrowanie pakietów. Poniżej widzimy polecenia które zostały wpisywane na routerze w celu uzyskania tegoż efektu. 20
access-list 101 permit icmp any 192.168.185.0 0.0.0.255 echo-reply access-list 101 permit icmp any 192.168.185.0 0.0.0.255 ttlexceededaccess-list 101 permit tcp any 192.168.185.0 0.0.0.255 established access-list 101 permit udp any host 192.168.185.100 eq 53 access-list 101 permit udp any eq 123 192.168.185.0 0.0.0.255 Tab. 1 Lista komend wpisywana na routerze w celu utworzenia Access list control. Lista tych reguł związana jest z utworzeniem ACL który będzie zastosowana dla ruchu sieciowego odbywającego się dla DNS (53/UDP) oraz NTP (123/UDP), który został jawnie zdefiniowany na końcu listy ACL jako (ICMP)- (Internet Control Message Protocol), echo-replay oraz (TTL) Time To Live -exceeded responsem. Bez zdefiniowania tych dyrektyw pakiety te zostałyby zablokowane na routerze i nie przedostałyby się do chronionej sieci LAN. access-list 101 permit tcp any 192.168.185.0 0.0.0.255 established Tab. 2 Kluczowa reguła wprowadzana na routerze. Reguła ta wymagana jest aby zezwolić na powrót ruchu sieciowego od zewnętrznego systemu do adresu 192.168.185.0 /24 o ile w protokole TCP będą znajdowały się flagi ACK. Filtrowanie pakietów nie posiada specjalnych zdolności by zbadać zewnętrzny ruch sieciowy i dynamicznie wygenerować reguły pozwalające na powrotny ruch sieciowy. Network Address Translation (NAT) Kolejna technologia używana w firewallach jest NAT czyli (Network Address Translation). Na dzisiejszym rynku firewalli usługa NAT jest częścia prawie każdego urządzenia zaczynając od firewalli niskiego rzędu np. Linksys BEFSX41 poprzez urządzenia firmy Cisco PIX 535, NAT automatycznie dostarcza ochrone dla systemów. 21
NAT firewall tworzy tablice w pamieci urządzenia, które zawiera informacje o połączeniach które firewall przechwycił. Mówimy tutaj o technice przesyłania ruchu sieciowego poprzez router.wiąże się to ze zmiana docelowych bądź źródłowych adresów IP, zazwyczaj również następuje zmiana portów TCP/UDP. Rys. 5 Przykładowe działanie usługi NAT firewall Hosty znajdujące się wewnątrz NAT czyli (192.168.1.1 oraz 192.168.1.2) próbują uzyskać dostęp do serwera Web (10.100.100.44). Host (192.168.1.1) otwiera port TCP 3844 i uzyskuje połączenie z serwerem Web (10.100.100.44) na porcie 80 TCP, natomiast host (192.168.1.2) otwiera port 4687 i również uzyskuje dostęp do serwera Web na porcie 80 TCP. NAT firewall jest skonfigurowany w taki sposób aby dokonywał translacji adresu całej podsieci w tym przypadku (192.168.1.0 /24) do pojedynczego adresu (172.28.230.55). W momencie gdy firewall zauważy próbę uzyskania połączenia z podsieci która znajduje się w jego tabeli następuje bowiem 22
wtedy zamiana adresów próbujących nawiązać połączenie (192.168.1.1 oraz 192.168.1.2) na adres pojedynczy (172.28.230.55). ADRES ŹRÓDŁOWY ŹRÓDŁO WY PORT NAT IP NAT PORT ADRES DOCELOWY PORT DOCELOWY 192.168.1.1 3844 172.28.230.55 3844 10.100.100.44 80 192.168.1.2 4687 172.28.230.55 4687 10.100.100.44 80 192.168.1.1 4687 172.28.230.55 63440 10.100.100.44 80 Tab. 3 Translacja adresów (NAT) Ostatni wpis w tabeli pokazuje nam jak zachowa się system NAT w przypadku gdy określony port źródła jest już zajęty przez poprzednie połączenie. W tym przypadku host o adresie (192.168.1.1) usiłuje wykonać drugie połączenie z serwerem Web (10.100.100.44). Tak wiec host otwiera połączenie na porcie TCP 4687, który używany jest przez hosta (192.168.1.2) i w tym momencie nastepuje wykonanie połączenia z innego portu źródłowego oraz zostaje wykonana translacja alternatywna której efektem będzie uzyskanie dostępu do serwera Web. Proxy Firewall Proxy firewall jest niczym innym jak aplikacją która pełni role pośrednika pomiędzy dwoma końcowymi systemami. Działają one w warstwie firewalla gdzie obydwa końce połączenia są prowadzone za pomocą proxy, proces ten jest utrzymywany do momentu aż połączenie zostanie zakończone. 23
Rys. 6 Proxy firewall [ http://www.akadia.com/services/firewall_proxy_server.html] Podczas używania Proxy firewall użytkownik zleca pośrednikowi zadania za pomocą jakiegokolwiek klienta Mogą to być np. usługi HTTP bądź FTP. Usługa proxy firewall musi być uruchomiona dla każdego typu aplikacji internetowej tak jak widać na Rys.6 (HTTP- Hypertext Transfer Protocol), (FTP- File Transfer Protocol), (SMTP- Simple Mail Transfer Protocol). Proxy firewall zawsze pracuje jednostronnie czyli mówimy o tym że biegną one od wewnętrznej sieci do zewnętrznej. Proxy firewall centralizuje swoją działalność dla aplikacji na pojedynczym serwerze, poprawnie uruchomiona aplikacja Proxy daje możliwość zbadania pakietów nie tylko z dla adresu źródłowego/docelowego, oraz numeru portu. 24
Wirtualne firewalle: Mówimy tutaj o złożonych logicznych firewallach które przebiegają przez fizyczne urządzenia. Uwzględnia to złożone sieci które musza być chronione poprzez unikalny firewall oparty o specyficzna politykę bezpieczeństwa która będzie wdrażana na jednym fizycznym urządzeniu. Dostawca usługi internetowej może dostarczyć usługę wirtualnego firewalla który będzie zabezpieczał oraz rozdzielał ruch sieciowy na jednym urządzeniu. Dostawc definiuje oddzielne domeny bezpieczeństwa dla każdego klienta natomiast domeny te kontrolowane są przez osobny logiczny firewall wirtualny. Niestety zdolność budowania wirtualnych firewalli możliwa jest tylko na urządzeniach które sa dosc drogimi urządzeniami. Mianowicie mówimy tutaj o urządzeniach takich jak np. Cisco PIX 525 i 535 oraz nowszą linie firewalli ASA. 1.2.3 Open source oraz komercyjne Firewalle Na dzisiejszym rynku możemy znaleźć dużą ilość różnorodnych firewalli. Niektóre z nich są w systemie (Open source) czyli tzw. otwarte oprogramowanie, do tej grupy Mozeli zaliczyć m.in. Linux IPTables, OpenBSD, oraz Solaris IPF firewall. Druga grupa firewalli to firewalle komercyjne czyli nie są dostępne bezpłatnie tak jak te z systemu (Open source). Do tej grupy możemy zaliczyć np. Cisco PIX, CiscoASA, Juniper ScreenOS oraz Checz Point s firewall. Różnice miedzy tymi dwoma typami są zazwyczaj widoczne ponieważ firewalle komercyjne posiadają zazwyczaj dosyć większe możliwości niż firewalle darmowe (Open source). Najbardziej komercjalne firewalle dostarczają dużego wsparcia dla VPN (Virtual Private Network), ponadto pozwalają na głębokie zbadanie pakietów. Firewall open source skupiają swoja uwagę na tylko na filtrowaniu pakietów oraz nie posiadają tak głębokiego badania pakietów. Można śmiało powiedzieć ze firewall oparty o open source nie stanowi nieprzezwyciężonej przeszkody, dlatego dobrze jest łączyć oba te warianty czyli zastosować firewall oparty na systemie open source i wzmocnić ochronę o firewall komercyjny. 25