Kierunki ataku...52 Bezpośrednie wtargnięcie...53 l - Dial-up...54

Spis treści Podziękowania... 13 Wstęp... 15 O ksiąŝce... 15 Budowa ksiąŝki... 16, s Co dalej... 17 Część I. Internet... 19 Rozdział 1. Zrozumieć ścianę ogniową... 21 Składowe ściany ogniowej... 22 Filtry pakietów... 23 Maskowanie adresu IP... 28! : Proxy... 29 "* Szyfrowane tunele... 31 Szyfrowane uwierzytelnianie... 32 Skuteczna ochrona granic... 33 Porównanie funkcjonalności ścian ogniowych... 34 Problemy, których ściana ogniowa nie rozwiąŝe... 35 Rozwiązania ochrony granic... 37 Rozdział 2. Hakerzy...47 Rodzaje hakerów...47 Eksperci do spraw bezpieczeństwa...48 Hakerzy studenci...49 " Bezrobotni dorośli hakerzy...50 Włamywacze kryminaliści...51 Szpiedzy przemysłowi...51 : ' Niezadowoleni pracownicy...52 Kierunki ataku...52 Bezpośrednie wtargnięcie...53 l - Dial-up...54 Internet...54 Techniki włamań...54 '.- Podsłuchiwanie i węszenie...55 Odmowa usług (ang. denial ofsewices)...61 Podszywanie się (ang. impresonalizatioń)...64 Atak człowiek w środku"...67 Przechwytywanie połączenia (ang. hijacking)...68

4 Ściany ogniowe Rozdział 3. TCP/IP a bezpieczeństwo... 71 Trzeba być guru TCPAP... 71 Na świecie panuje TCP/IP... 72 Na poziomie bitów... 74 Warstwa 1: fizyczna... 75 Warstwa 2: łącze danych... 79 Warstwa 3: sieć... 84 Rozdział 4. Gniazda i usługi a bezpieczeństwo... 105 Wykorzystanie przez hakera usług związanych z gniazdami... 105 Jak złoŝona jest dana usługa... 106 Jak dana usługa moŝe być naduŝyta... 107."'' Jakich informacji dostarcza dana usługa... 107 ' V; Na ile dialogu zezwala dana usługa... 108 j: i W jakim stopniu usługa podlega programowaniu lub konfigurowaniu... 108 Jaki rodzaj uwierzytelnienia wykorzystuje dana usługa... 109 Nazwy w Internecie... 110 Kropka com i inne... 110 Zapytania DNS... 111 Komunikat DNS... 112 in-addr.arpa... 114 Koordynacja serwerów nazw (i skierowane na nie ataki)... 115 Protokoły... 116 BootP/DHCP (67 i 68 UDP)... 117! Chargen (19 UDP i TCP)... 117 Daytime (13 UDP)... 117 Discard (9 UDP i TCP)... 118 DNS (53 UDP)... 118 Echo (7 UDP)... 118 Finger (79 TCP)... 119 FTP (20 i 21 TCP)... 119 Gopher(70TCP)... 120 HTTP (80 TCP)... 120 IMAP(143TCP)... 121 LDAP (389 TCP i UDP)... 121 NetBIOS (137, 138 i 139 TCP)... 122 NFS (2049 TCP i UDP)... 122 POP3(110TCP)... 123 Quote (17 UDP)... 123 RCP (sun) (111 UDP)... 123 RSH (514 TCP)... 124 SMTP (25 TCP)... 124 SNMP (161 UDP)... 124 Telnet (23 TCP)... 125 TFTP(69UDP)... 125

Spis treści 5 Rozdział 5. Szyfrowanie... 127 Jak zachować tajność... 127 Szyfry... 128 Zachowywanie tajności za pomocą maszyn... 130 Zachowywanie tajności za pomocą komputerów... 130 Co moŝemy szyfrować... 133 Prywatne komunikowanie się... 134 Bezpieczne przechowywanie plików... 135 Uwierzytelnianie uŝytkownika lub komputera... 135 Bezpieczna wymiana haseł... 137 Świat kryptografów... 138 Algorytmy... 139 Funkcje symetryczne... 141 Funkcje jednokierunkowe... 142 Szyfrowanie z kluczem publicznym... 143 Protokoły... 144 Ataki na szyfry i systemy kryptograficzne... 145 Podpisy cyfrowe... 148 Steganografia... 148 Generowanie ciągów losowych...148 Część II. Technologia ścian ogniowych... 151 Rozdział 6. Filtrowanie pakietów... 153 Jak pracują filtry bezstanowe... 153 Filtrowanie protokołu... 154 Filtrowanie adresów IP... 154 Porty TCP/UDP... 155 Filtrowanie z wykorzystaniem innych danych... 157 Problemy w bezstanowych filtrach pakietów... 158 Filtrowanie pakietów w systemie operacyjnym... 159 Jak pracują filtry pakietów z badaniem stanu... 159 Włamywanie poprzez filtry pakietów... 162 Pakiety TCP moŝna filtrować tylko na podstawie zerowego fragmentu... :... 163 Filtry blokujące niskie porty nie zabezpieczają połączeń z wyŝszymi portami... 163 Wewnętrzny NAT moŝe oszukać filtrowanie... 164 Dobre praktyki w stosowaniu filtrów... 164 NaleŜy korzystać z prawdziwej ściany ogniowej... 164 Stosować zasadę domyślnego blokowania wszystkich portów... 164 NaleŜy zabezpieczyć system operacyjny... 165 Rozdział 7. NAT... 167 Działanie NAT... 168 Tryby translacji... 170 Konfiguracja routingu przy korzystaniu z NAT... 175 Problemy związane z NAT... 177 Włamania poprzez NAT... 178 Translacja statyczna = brak ochrony... 179

6 Ściany ogniowe '- '! ->' Zwabianie hosta... 179 Problem przekroczenia czasu oczekiwania... 180 Rozdział 8. Proxy warstwy aplikacyjnej...183 Jak działa proxy... 184 Zalety proxy jako narzędzia ochrony... 185 Wydajność proxy... 189 ' "' Wady proxy jako narzędzia ochrony... 190 Wady związane z wydajnością... 193 Jak naleŝy korzystać z filtrów... 194 UŜyj prawdziwej ściany ogniowej... 194 '"' Zablokuj routing... 194 Zabezpiecz podstawowy system operacyjny... 195 *' ' Zablokuj dostęp z zewnątrz... 196 Zablokuj nadmiarowe usługi...196 Rozdział 9. Wirtualne sieci prywatne...199 Opis wirtualnych sieci prywatnych...200 Enkapsulacja w pakietach IP...200 ^ _ Uwierzytelnianie kryptograficzne...203 Szyfrowanie ładunku danych...203 Charakterystyka sieci VPN...204 Sieci VPN są tańsze niŝ sieci WAN...204 f Tworzenie sieci VPN jest łatwiejsze...205,, Sieci VPN są wolniejsze niŝ sieci LAN...205»" ; if Sieci VPN są bardziej zawodne niŝ sieci WAN...206 Sieci VPN są mniej bezpieczne niŝ izolowane sieci LAN lub WAN...207 Typy sieci VPN...207 Sieci VPN wykorzystujące serwery...208 Sieci VPN wykorzystujące ściany ogniowe...209 Sieci VPN wykorzystujące routery...210 Bezpieczny dostęp zdalny...210 Sieci VPN obsługiwane przez dostawców usług internetowych...211 Obsługa sieci VPN na komputerach klienckich korzystających z połączeń telefonicznych...212 NajwaŜniejsze zalecenia dotyczące sieci VPN...212 Stosuj autentyczną ścianę ogniową...213 Zabezpieczaj bazowy system operacyjny...213 Korzystaj z usług jednego dostawcy usług internetowych...213 Odrzucaj nieznane komputery przy uŝyciu filtru pakietów...214 Szyfruj z wykorzystaniem klucza publicznego i bezpiecznego uwierzytelniania...214 "''- Kompresuj dane przed szyfrowaniem...215 Zabezpieczaj komputery zdalne...215 Wybieraj sieci VPN zgodne z protokołami IPSec+IKE...215 Rozdział 10. Idealna ściana ogniowa... 219 Definiowanie wymagań dotyczących bezpieczeństwa sieci...219.-r Biura domowe...220

Spis treści ' 7 Niewielkie biura biznesowe... 221 Firmy świadczące usługi objęte tajemnicą... 221 Zakłady produkcyjne... 222 Agendy rządowe... 222 Uniwersytety i szkoły średnie... 223 Dostawcy usług internetowych... 224 Firmy prowadzące działalność handlową z wykorzystaniem sieci komputerowych...224 Instytucje finansowe... 225 Szpitale... 226 Instytucje wojskowe... 226 Agencje wywiadowcze... 227 Konfigurowanie zasad bezpieczeństwa... 227 Zalecenia dotyczące zasad bezpieczeństwa... 227 Zasady dotyczące poziomów bezpieczeństwa...230 Poziom minimalny...231 Poziom podstawowy... 231 Zabezpieczenia wzmocnione...238 Zabezpieczenia rygorystyczne...242 Zabezpieczenia nadzwyczajne...243 Część III. Systemy operacyjne a ściany ogniowe...245 Rozdział 11. System Windows NT jako ściana ogniowa...247 Funkcje systemu...248 Filtrowanie pakietów...249 Tunelowanie...249 Szyfrowane uwierzytelnianie...255 Ograniczenia systemu Windows NT...257 Brak translacji adresów sieciowych...257 Brak usługi proxy...258 Ograniczona obsługa dzienników i monitorowania...258 Wydajność...258 System Windows 2000...258 Interfejs CryptoAPI...259 Usługa uwierzytelniania Kerberos...260 Translacja adresów sieciowych...262 RównowaŜenie obciąŝenia sieci...263 Ulepszone filtrowanie pakietów...263 Filtrowanie pakietów protokołu IPX...264 Protokół tunelowania warstwy łączy danych (L2TP)...264 Protokół IPSec...264 Rozdział 12. Bezpłatne ściany ogniowe...267 Linux z IPChains...268 Podstawowe właściwości pakietu...269 Dodatkowe właściwości pakietu...269 Bezpieczeństwo...269 Interfejs...270

8 Ściany ogniowe ii r Dokumentacja...272 15 Koszty i obsługa techniczna...272 TISFWTK...272 Podstawowe właściwości pakietu...274 l ' Dodatkowe właściwości pakietu...274! 1" Bezpieczeństwo...275 «Interfejs...275?.vS Dokumentacja...277 Koszty i obsługa techniczna...277 FreeBSD i Drawbridge...277 Podstawowe właściwości pakietu...278 <"*" Dodatkowe właściwości pakietu...278. - Bezpieczeństwo...279, ' Interfejs...279 Dokumentacja...284 Koszty i obsługa techniczna...284 IPROUTE i filtrowanie pakietów w DOS-ie...284 Podstawowe właściwości pakietu...285 ''-; Dodatkowe właściwości pakietu...285 Bezpieczeństwo...285 ^- Interfejs...286 "*... Dokumentacja...288 > tj Koszty i pomoc techniczna...288 Część IV. Komercyjne ściany ogniowe... 291 Rozdział 13. Ściany ogniowe w Windows NT... 293 Ściana ogniowa Firewall-1... 295 Zestaw funkcji podstawowych...296 tfc.-. Zestaw funkcji dodatkowych... 296 Interfejs... 298 ' Bezpieczeństwo... 299 " k - Dokumentacja... 300 Ceny i serwis... 300 1 Ściana ogniowa Guardian NCC... 301 >'' Zestaw funkcji podstawowych... 303 '- Zestaw funkcji dodatkowych... 304 '- " - Bezpieczeństwo... 305 ' Interfejs... 305 * ' *'- Dokumentacja... 307 Koszt i pomoc techniczna... 307 Ściana ogniowa Gauntlet... 307 Instalacja... 309 Zestaw funkcji podstawowych... 309 Zestaw funkcji dodatkowych... 311., Bezpieczeństwo... 312 Interfejs...313

Spis treści 9 Dokumentacja... 313 Koszt i pomoc techniczna... 314 Ściana ogniowa Raptor... 314 Zestaw funkcji podstawowych... 315 Zestaw funkcji dodatkowych... 317 Bezpieczeństwo... 317 Interfejs... ;... 318 Dokumentacja... 319 Koszt i pomoc techniczna... 319 Microsoft Proxy Server... 320 Zestaw funkcji podstawowych... 320 Zestaw funkcji dodatkowych... 321 Bezpieczeństwo... 321 Interfejs... 323 Koszt i pomoc techniczna... 323 Rozdział 14. Ściany ogniowe przeznaczone dla systemu UNIX 327 Sieciowa ściana ogniowa Al ta Vista Firewall 98... 328 Zestaw funkcji podstawowych... 329 Zestaw funkcji dodatkowych... 330 Interfejs... 331 Bezpieczeństwo...331 Dokumentacja, koszt i pomoc techniczna...332 Pakiet Unicenter TNG...332 Zestaw funkcji podstawowych...333 Zestaw funkcji dodatkowych... 334 Interfejs...334 Bezpieczeństwo...335 Dokumentacja, koszt i pomoc techniczna...335 Sieciowa ściana ogniowa SecurlT...336 Zestaw funkcji podstawowych...336 Zestaw funkcji dodatkowych...337 Bezpieczeństwo...337 Dokumentacja, koszt i pomoc techniczna...339 Ściana ogniowa WatchGuard FireBox II...339 Zestaw funkcji podstawowych...340 Zestaw funkcji dodatkowych...341 Interfejs...341 Bezpieczeństwo...342 Dokumentacja, koszt i pomoc techniczna...343 Ściana ogniowa NetWall...344 Zestaw funkcji podstawowych...344 Zestaw funkcji dodatkowych...345 Interfejs...345 Bezpieczeństwo...345 Dokumentacja, koszt i pomoc techniczna...347

"10 ^ Ściany ogniowe Sieciowa ściana ogniowa SunScreen EFS...347 Zestaw funkcji podstawowych...348 i Zestaw funkcji dodatkowych...348 -*' Interfejs...34S ' 3 Bezpieczeństwo...35C "' Dokumentacja, koszt i pomoc techniczna...35c Rozdział 15. Inne ściany ogniowe...353 Pakiet BorderManager...354 Zestaw funkcji podstawowych...355 Zestaw funkcji dodatkowych...356 Interfejs...357 Bezpieczeństwo...357 Dokumentacja, koszt i pomoc techniczna...358 Ściana ogniowa Elron...359 Zestaw funkcji podstawowych...361 Zestaw funkcji dodatkowych...362 Interfejs...362 Bezpieczeństwo...363 Dokumentacja, koszt i pomoc techniczna...364 Pakiet GNAT Box...364 Zestaw funkcji podstawowych...366 H, Zestaw funkcji dodatkowych...367 ' ; Interfejs...367 *' f Bezpieczeństwo...368 Dokumentacja, koszt i pomoc techniczna...368 Ściana ogniowa firmy IBM przeznaczona dla komputera AS/400...368 Zestaw funkcji podstawowych...369 Zestaw funkcji dodatkowych...370 '<. Interfejs...370 5 Bezpieczeństwo...370 Dokumentacja, koszt i pomoc techniczna...371 Rozdział 16. Wydzielone ściany ogniowe...373 Ściana ogniowa PIX...374 Zestaw funkcji podstawowych...375 Zestaw funkcji dodatkowych...376 Interfejs...376 Bezpieczeństwo...377 Dokumentacja, koszt i pomoc techniczna...377 Ściana ogniowa Lucent Managed Firewall... 377 Zestaw funkcji podstawowych...378 Zestaw funkcji dodatkowych... 379 Interfejs... 379 Bezpieczeństwo...380 Dokumentacja, koszt i pomoc techniczna... 380 Ściana ogniowa SonicWALL... 381 Zestaw funkcji podstawowych... 382

Spis treści f J r Zestaw funkcji dodatkowych...382 ' : - Interfejs...383 -,» Bezpieczeństwo... 384 Dokumentacja, koszt i pomoc techniczna...385 Ściany ogniowe NetScreen 10 i 100...385 y- t Zestaw funkcji podstawowych...386 r i Zestaw funkcji dodatkowych... 387 -.-; Interfejs... 388 < i Bezpieczeństwo... 389 Dokumentacja, koszt i pomoc techniczna... 389 Część V. Dodatkowe narzędzia bezpieczeństwa... 393 Rozdział 17. Narzędzia bezpieczeństwa... 395 i Przystosowanie dostępnego oprogramowania... 396 Narzędzia słuŝące do analizy zabezpieczeń... 407 Analizatory protokołów... 411 Uproszczone serwery proxy... 413 Wirtualne sieci prywatne (VPN)... 414 f Narzędzia słuŝące do szyfrowania... 415 Kontrolery odporności haseł... 416 Rozdział 18. Profile ataków sieciowych... 421 Ataki ukierunkowane na odmowę usług... 421 Wyczerpanie zasobów systemu (Ping of Death)... 422 Zniekształcanie pakietów (Teardrop)... 423 PrzeciąŜenie protokołu UDP... 424 Przesyłanie strumieni pakietów synchronizacyjnych... 424 Generowanie pętli transmisyjnych (Land Attack)... 425 Wykorzystanie emisji bezpośredniej i protokołu ICMP (Smurf Attack)... 426 Wykorzystanie emisji bezpośredniej i protokołu UDP (Fraggle Attack)... 428 PrzeciąŜenie systemu poczty elektronicznej... 428 Zniekształcanie wiadomości... 429 Ataki sieciowe ukierunkowane na eksploatację... 429 Odgadywanie haseł... 430 Konie trojańskie... 430 Przepełnianie buforów... 431 Ataki ukierunkowane na gromadzenie informacji... 432 Skanowanie adresów sieciowych... 432 Skanowanie portów sieciowych...433 Mapowanie zwrotne... 433 Powolne skanowanie... 434 Sondowanie architektury sieci...435 Transfery stref DNS...436 Protokół Finger... 436 Protokół LDAP...437 Ataki ukierunkowane na dezinformację...437 Fałszowanie informacji w buforze DNS...437

12 Ściany ogniowe : f Fałszowanie informacji w rejestrach Internetu...438 <-* ' Fałszowanie wiadomości poczty elektronicznej...439 Rozdział 19. Wykrywanie intruzów...443 Nietypowe problemy związane z intruzami......444 Narzędzia i metody włamań do sieci...445 Systemy wykrywania intruzów...448 Dostępne systemy IDS...451 Pakiet NAI CyberCop...456 Detektor Tripwire...457 Detektor Suck Server...457 Cześć VI. Dodatki... 461 Dodatek A. Zasoby online... 463 Ściany ogniowe...463 Wykrywanie włamań do sieci... 466 Analiza bezpieczeństwa sieci...467 Szyfrowanie i uwierzytelnianie... 468 Witryny organizacji związanych z bezpieczeństwem sieci... 469 Witryny hakerskie... 471 Skorowidz... 473

Chństynie, zawsze. Matt Strebe Joe'emu. Charles Perkins Podziękowania Chciałbym podziękować mojemu współautorowi Charlesowi Perkinsowi, za to, Ŝe pozwolił mi uświadomić sobie, jak bardzo myliłem się chcąc napisać tę ksiąŝkę samodzielnie, nie zdając sobie sprawy z tego, ile czasu musiałbym temu poświęcić. Bez pomocy Charlesa czytalibyście te słowa być moŝe dopiero za dwa miesiące. Dziękuję takŝe pracownikom wydawnictwa Sybex za złoŝenie tego wszystkiego w jedną całość, a zwłaszcza takim osobom jak Malka Geffen za podtrzymywanie w nas entuzjazmu o wiele dłuŝej niŝ oczekiwaliśmy, Maureen Adams - za cierpliwe znoszenie moich problemów technicznych, Guyowi Hart-Davisowi za wnoszące wiele informacji dyskusje i Rodnayowi Zaks - za napisanie tej mojej pierwszej technicznej ksiąŝki. Dziękuję Arielowi Silverstone i Ericowi Rayowi za sprawdzenie wszystkiego. Dziękuję równieŝ takim bohaterom Sybexu jak: Kristine 0'Callaghan, Senoria Bilbo-Brown, Richard Ganis, Grey Magauran, Nila Nichols i Lisa Reardon. Składam takŝe podziękowania moim klientom, dzięki którym zdobyłem doświadczenie, które mogłem wykorzystać w ksiąŝce. Mattew Strebe Chciałbym teŝ podziękować wszystkim pracownikom w wydawnictwie Sybex za cięŝką pracę włoŝoną w tę ksiąŝkę, zwłaszcza takim osobom jak: Guy Hart-Davis, Maureen Adams, Malka Geffen i Lisa Reardon. Dziękuję równieŝ mojej rodzinie za stałe wsparcie: Charlsowi i Georgii, Donnie i Cliffowi, Cathy i Jeffowi, Becky i Mikę'owi oraz Joe'emu. Charles Perkins

Wstęp Ściany ogniowe naleŝą do najnowszych osiągnięć w technologii internetowej. Najbardziej interesujące i innowacyjne rozwiązania, takie jak tłumaczenie adresów sieciowych NAT i filtrowanie wielowarstwowe są tak nowoczesne, Ŝe ksiąŝki wydane dwa lata temu są juŝ przestarzałe - podobnie stanie się z tą ksiąŝką za dwa lata. Historia systemów bezpieczeństwa sięga lat osiemdziesiątych, kiedy to głowni producenci komputerów, tacy jak IBM i Compaą, zaczęli wprowadzać mechanizmy ochronne do swoich sieci. W miarę wzrostu zagroŝenia wojną informacyjną te szczątkowe rozwiązania zaczęto przekształcać w kompleksowe systemy bezpieczeństwa odgradzając szczelnym murem nasze sieci przed intruzami. W przeszłości problemy bezpieczeństwa rozwiązywało się za pomocą prostych filtrów pakietów i zestawu modemów typu dial-back. W przyszłości potrzebne będzie przeglądanie i sprawdzanie kaŝdego bitu komunikatu internetowego, szyfrowane potwierdzanie toŝsamości witryny WWW przed połączeniem się z nią, i w ogóle szyfrowanie prawie wszystkiego co przepływa w sieci. Na szczęście, w miarę rozwoju technologii, zabezpieczenia te będą coraz prostsze i coraz bardziej niewidoczne. W miarę uszczelniania przez producentów systemów, sieć WWW będzie niepostrzeŝenie stawała się coraz bardziej bezpieczna dla ludzi swobodnie i do woli Ŝeglujących po niej, zatrzymywanych tylko czasami przez ostrzeŝenie, Ŝe jakaś witryna nie jest akredytowana lub Ŝe dana wiadomość zawiera podejrzaną zawartość. Tak będzie w przyszłości. Wróćmy jednak do teraźniejszości. Obecnie problemy bezpieczeństwa najskuteczniej rozwiązuje się za pomocą ścian ogniowych i wirtualnych prywatnych tuneli. Dodatkowe narzędzia, takie jak detektory intruzów i skanery mechanizmów zabezpieczających, pełnią jedynie funkcję ostrzeŝenia i bycia w pogotowiu. Ściany ogniowe będą stanowić podstawę zabezpieczeń w Internecie dopóty, dopóki ich funkcjonalność nie zostanie wbudowana w kaŝdy protokół uŝywany w Internecie i dopóki kaŝdy komputer przyłączony do Inter netu nie będzie zawierać odpowiednika ściany ogniowej. Ale nawet wtedy, zcentralizowa ne zarządzanie polityką bezpieczeństwa Internetu moŝe spowodować, Ŝe ściany ogniowe staną się stałym uzupełnieniem sieci korporacyjnych. O ksiąŝce KsiąŜka została napisana w jednym celu: nauczenia administratorów sieciowych tego wszystkiego co pomoŝe im zrozumieć zagroŝenia dotycząc bezpieczeństwa w Internecie, poznać technologie stosowane do zabezpieczania sieci oraz produkty, które mogą im

16 Ściany ogniowe w tym pomóc. Jest to ksiąŝka, z której kaŝdy moŝe skorzystać wtedy, kiedy chciałby porównać literaturę o ścianach ogniowych i pełne teorii ksiąŝki z uwagami marketingowymi zamieszczonymi w witrynach WWW, ale brak mu jest wspólnego języka między róŝnymi producentami. KsiąŜka będzie przydatna równieŝ wtedy, kiedy potrzebna jest pomoc, aby móc dopasować określone wymagania klienta do określonego produktu ściany ogniowej. Ta ksiąŝka pomoŝe w uzyskaniu odpowiedzi na pytania w rodzaju: Czym róŝni się filtrowanie pakietów (ang. packet filtering) od badania stanu (ang. stateful inspectioń) i dlaczego jest to waŝne? Czym róŝni się ukrywanie klienta za pomocą mechanizmu tłumaczenia adresów NAT i serwera proxy? Jaki budŝet powinno się zaplanować dla ściany ogniowej? ^ Którą ścianę ogniową naleŝy wybrać dla firmy? KsiąŜka została napisana przede wszystkim dla czynnych administratorów sieci, którzy wiedzą jak korzystać i konfigurować TCP/IP i pracowali juŝ z Windows NT, Novell NetWare lub UNIX-em (chociaŝ podajemy niewiele informacji specyficznych dla tych systemów). Jeśli Czytelnik nie jest administratorem sieci, ale wie, Ŝe potrzebna mu będzie ściana ogniowa, ksiąŝka pomoŝe mu dokonać wyboru, poniewaŝ istnieje wiele ścian ogniowych typu plug-and-play, które są tyleŝ bezpieczne, co łatwe w konfiguracji. MoŜe się zdarzyć, Ŝe Czytelnik z tej grupy Kdzie zdziwiony pewnymi technicznymi szczegółami omawianymi w początkowych rozdziałach tej ksiąŝki. W takiej sytuacji proponujemy omijać wszystko to, co jest niezrozumiałe i wrócić do tego później, jeśli zajdzie taka potrzeba. Budowa ksiąŝki KsiąŜka składa się z czterech części zawierających 19 rozdziałów i jeden dodatek. Części I i II naleŝy przeczytać od początku do końca, ale pozostałą część ksiąŝki moŝna czytać w dowolnej kolejności. Część I: Internet...,..,-i... Rozdziały 1-5 zawierają informacje, które naleŝy zrozumieć, zanim zagłębimy się w zagadnienia technologii ścian ogniowych. Przedstawiamy tutaj Internet i podstawowe zadania ścian ogniowych, mówimy o hakerach i szyfrowaniu i szczegółowo wyjaśniamy działanie TCP/IP., Część II: Technologia ścian ogniowych W rozdziałach 6-10 przedstawiamy pięć podstawowych technologii, na których opie ra się większość ścian ogniowych. Są to filtrowanie pakietów, tłumaczenie adresów sie ciowych NAT, proxy, uwierzytelnianie i tunelowanie. Omawiamy takŝe środki, które naleŝy przedsięwziąć, aby mieć pewność, Ŝe ściana ogniowa została poprawnie skonfigu rowana.

Wstęp 17 Część Ol: Systemy operacyjne a ściany ogniowe W rozdziałach 11 i 12 omawiamy środki, które moŝna przedsięwziąć w celu zabezpieczenia podstawowych systemów operacyjnych i świadczonych przez nas usług. Jest to szczególnie waŝne w przypadku publicznego udostępniania usług. Cześć IV: Komercyjne ściany ogniowe Rozdziały 13-16 stanowią rzeczywiście unikatową cześć tej ksiąŝki - dostarczają przeglądu znacznej części rozwiązań ścian ogniowych dostępnych komercyjnie. Rozdziały te mogą posłuŝyć do porównania róŝnych ścian ogniowych i wybrania rozwiązania dopasowanego do potrzeb firmy Czytelnika. Część V: Dodatkowe narzędzia bezpieczeństwa W rozdziałach 17-19 przedstawiamy dodatkowe narzędzia, które moŝna wykorzystywać do zabezpieczania sieci poza stawianiem ścian ogniowych. Opisujemy równieŝ róŝne ataki, których moŝe uŝyć haker w celu naruszenia ściany ogniowej. Co dalej Bezpieczeństwo nie jest statyczne, jest to proces, który ulega ciągłemu rozwojowi. Nie moŝna po prostu włączyć ściany ogniowej i oczekiwać, Ŝe problemy zostały raz na zawsze rozwiązane. Ściany ogniowe podobnie jak ataki zmieniają się, a stosowane metody stają się przestarzałe. Prawdziwe bezpieczeństwo wymaga stałej czujności. Najprostszy znaleziony przez nas sposób to zapisanie się na listy dyskusyjne prowadzone przez organizacje wymienione w Dodatku A i odwiedzanie ich stron WWW. Strona WWW poświęcona tej ksiąŝce jest dostępna pod adresem www. 24sevenbooks. com, regularnie umieszczamy tam linki do waŝnych informacji na temat bezpieczeństwa. Traktujmy ją jak bramę prowadzącą w świat bezpieczeństwa.

Część I Internet Omawiane tematy: "~ Działanie Internetu Działanie ścian ogniowych Kto dokonuje włamań -. Motywacje hakerów Podstawy TCP/IP Protokoły warstwy wyŝszej stosu TCP/IP Wykorzystywanie słabości TCP/IP przez hakerów Działanie szyfrowania Szyfrowanie jako sposób zapewnienia bezpieczeństwa w Szyfrowanie jako sposób uwierzytelniania uŝytkownika

Rozdział 1 Zrozumieć ścianę ogniową Państwa, które nie kontrolują granic nie tylko rak mogą zapewnić oc&rofiy i bezpieczeństwa swoim obywatelom, ak nie mogą równieŝ zapobiec piractwu i kradzieŝom. Sieci bez kontrolowanego dostępu nie mogą zapewnić ochrony, i prywatności przechowywanych danych, ani powstrzymać hakerów od penetrowania zasobów sieci. Skuteczność komunikacji, którą zapewnia Internet spowodowała gorączkowe przyłączanie prywatnych sieci bezpośrednio do Internetu. Takie rozwiązanie sprawia, Ŝe penetracja zasobów sieci staje się łatwym zadaniem dla włamywaczy. Przed erą Internetu jedynym szeroko dostępnym sposobem dostania się z domu do sieci prywatnej było bezpośrednie łączenie się za pomocą modemu i publicznej sieci telefonicznej. Ochrona zdalnego dostępu nie była wielkim problemem. Bezpośrednie przyłączenie prywatnej sieci do Internetu oznacza właściwie przyłączenie jej bezpośrednio do kaŝdej innej sieci uprzednio przyłączonej do Internetu. Nie istnieje jakiś samoistny centralny punkt kontroli bezpieczeństwa w sieci. '; 1 Punkty kontrolne na granicach sieci prywatnych moŝna utworzyć za pomocą ściam ogniowych. Ściana, która zapewnia routing między prywatną siecią a Internetem, jedmocześnk bada wszystkie komunikaty przesyłane pomiędzy tymi dwiema sieciami, przekazuje je dalej albo usuwa w zaleŝności od spełnienia przez nie zaprogramowanaiycii regtrt polityki bezpieczeństwa. JeŜeli ściana zostanie prawidłowo skonfigurowana i nie będzie zawierać powaŝnych luk eksploatacyjnych, chroniona sieć będzk na tyle wolna od ryzyka, na ile będzie to moŝliwe. Obecnie są dostępne setki produktów typa; ścian ogniowych-, jak równieŝ róŝme teorie ekspertów do spraw bezpieczeństwa opisujące sposoby korzystania ze ścian ogniowych w celu ochrony sieci. W tym rozdziale omówione zostanie szczegółowo działanie typowej ściany ogniowej, przedstawione zostaną jej podstawowe cechy oraz zagadnienia związane ze stosowaniem ścian w sieciach o róŝmycłj rozmiarach. Pozostałe rozdziały części pierwszej zawierają pogłębienie zagadnień przedstawionych w pierwszym rozdziale. W części drugiej ksiąŝki zajmujemy się zagadnieniami zaawansowanymi dotyczącymi ściamt W części trzeciej zaś przedstawiamy porównanie popularnych produktów, ich instalacji i podstawowej konfiguracji.

22 Ściany ogniowe Składowe ściany ogniowej Ściana ogniowa zabezpiecza połączenie z Internetem, w takim stopniu, w jakim jest to moŝliwe, za pomocą sprawdzania i zatwierdzania lub odrzucania prób połączenia między siecią wewnętrzną uŝytkownika a sieciami zewnętrznymi. Silne ściany ogniowe chronią sieć na poziomie wszystkich warstw - od warstwy łącza danych w górę do warstwy aplikacji. Ściana jest umieszczana na granicach sieci - w punktach, które zapewniają dostęp do innych sieci. Z tego powodu ściana uwaŝana jest za gwaranta bezpiecznej granicy. Pojęcie gwaranta bezpiecznej granicy jest waŝne, poniewaŝ bez niego kaŝda stacja w sieci musiałaby samodzielnie wykonywać funkcje ściany, niepotrzebnie zuŝywać swoje zasoby obliczeniowe i zwiększać ilość czasu potrzebnego do połączenia, uwierzytelnienia i szyfrowania danych. Ściany ogniowe pozwalają scentralizować wszystkie zewnętrzne usługi sieciowe na komputerach, które są dedykowane i zoptymalizowane pod kątem tej pracy. Z natury rzeczy ściany ogniowe tworzą wąskie gardło między sieciami wewnętrznymi a zewnętrznymi, poniewaŝ cały ruch przechodzący między sieciami musi przechodzić przez pojedynczy punkt kontroli. Jest to niewielka cena, którą płaci się za bezpieczeństwo. JednakŜe poniewaŝ zewnętrzne połączenia wykorzystujące linie dzierŝawione są względnie wolne w porównaniu do szybkości współczesnych komputerów, zwłoka spowodowana przez ścianę moŝe być całkowicie pominięta. Ściany ogniowe działają w oparciu o trzy podstawowe mechanizmy: filtrowanie pakietów (ang. packet filtering): polega to na tym, Ŝe odrzucane są pakiety TCP/IP z nieautoryzowanych hostów i próby połączenia z nieautoryzowanymi usługami; translacja adresów sieciowych (NAT) (ang. network address translation): polega na dokonywaniu zamiany adresu IP hosta wewnętrznego w celu ukrycia go przed zewnętrznym monitorowaniem. Mechanizm ten jest równieŝ nazywany maskowaniem adresu IP (ang. IP masąuerading); usługi proxy: ściana ogniowa moŝe dokonywać połączenia na poziomie aplikacji w imieniu wewnętrznego hosta, przerywane jest wtedy połączenie na poziomie warstwy sieciowej pomiędzy hostami wewnętrznymi i zewnętrznymi. Większość ścian ogniowych wykonuje jeszcze dwie inne usługi bezpieczeństwa: szyfrowane uwierzytelnianie (ang. encrypted authenticatiori) uŝytkownicy sieci publicznej muszą udowodnić swoją toŝsamość wobec ściany ogniowej zanim uzyskają dostęp do sieci wewnętrznej; szyfrowane tunelowanie (ang. encrypted tunneling): pozwala ono ustanowić bezpieczne połączenie między dwiema prywatnymi sieciami za pośrednictwem publicznego medium typu Internet. Dzięki temu dwie fizycznie rozdzielone sieci mogą uŝyć do komunikowania się Internetu zamiast linii dzierŝawionej. Tunelowanie jest równieŝ nazywane wirtualnymi sieciami prywatnymi VPN (Yirtual Private Networking).

Zrozumieć ścianę ogniową 23 Przedstawione powyŝej mechanizmy wykorzystywane są do zapewnienia usług bezpieczeństwa we wszystkich prawie ścianach ogniowych. Obecnie na rynku istnieją dosłownie setki tego typu produktów rywalizujących między sobą o pieniądze, które klienci są gotowi przeznaczyć na bezpieczeństwo. Większość z nich jest bardzo dobra, a róŝnią się między sobą tylko pewnymi szczegółami. W dalszej części tego rozdziału przedstawimy dokładniej pięć wymienionych powyŝej podstawowych funkcji bezpieczeństwa realizowanych przez większość ścian ogniowych. Oczywiście uŝytkownik moŝe korzystać z urządzeń lub serwerów, które realizują tylko jedną z wymienionych funkcji, na przykład moŝna mieć router filtrujący pakiety i na odrębnym komputerze serwer proxy. Wtedy albo filtr pakietów musi przepuszczać ruch do serwera proxy, albo serwer proxy musi znajdować się na zewnątrz sieci uŝytkownika i nie mieć ochrony zapewnianej przez filtr pakietów. Obydwa rozwiązania są bardziej niebezpieczne niŝ uŝywanie pojedynczej ściany ogniowej, która wszystkie funkcje ma zgrupowane w jednym miejscu. Filtry pakietów Pierwszymi ścianami ogniowymi w Internecie były filtry pakietów. Filtr porównuje pakiety protokołów sieciowych (takich jak IP) i transportowych (takich jak TCP) z regu łami zawartymi w bazie danych, po to by dalej przekazać tylko te pakiety, które odpowia dają kryteriom określonym w regułach. Filtry moŝna zaimplementować w routerze lub w serwerze obsługującym stos protokołów TCP/IP (patrz rysunek 1.1).,, *» fjcjłwfcłmj^* "»^---------- Serwer WWW pcanywhere Ściana ogniowa Zewnętrzna sieć publiczna Reguty ściany ogniowej Blokuj wszystkie porty oprócz: TCP Port 80 (WWW) TCP Port 25 (poczta) TCP Port 21 (FTP) Klient Wewnętrzna sieć prywatna Rysunek 1.1. Filtrowane połączenia internetowe blokują niepoŝądany ruch " ł Filtry zaimplementowane wewnątrz routerów nie pozwalają podejrzanemu ruchowi na dostęp do chronionej sieci, podczas gdy moduły filtrów TCP/IP na serwerach zapobie-

24 Ściany ogniowe gają głównie temu, aby dany komputer odpowiadał na podejrzany ruch, jednak pakiety nadal docierają do sieci i mogą być skierowane do dowolnego umieszczonego w niej komputera. Filtry na routerach chronią wszystkie komputery w sieci docelowej przed podejrzanym ruchem, dlatego teŝ filtrowanie w stosie TCP/IP serwera (tak jak jest to realizowane w Windows NT) powmno być stosowane jedynie jako dodatkowe zabezpieczenie w stosunku do filtrowania na routerach, a nie zamiast niego. Typowy filtr działa według następujących zasad: pomija próby nawiązania połączenia przychodzącego z zewnątrz sieci {ang. inbo-and), przepuszcza próby nawiązania połączenia przychodzącego z wewnątrz (ang. outbound); eliminuje pakiety TCP przeznaczone dla portów, które nie powinny być dostępne dla Internetu (na przykład port sesji NetBIOS), wpuszcza pakiety, które powinny przechodzić przez filtr (takie jak SMTP). W większości filtrów moŝna dokładnie określić serwer, do którego dopuszczalny jest określony ruch - na przykład ruch SMTP do portu 25 moŝe być dopuszczony tylko dla adresu IP serwera pocztowego; ogranicza dostęp w ruchu przychodzącym z zewnątrz do pewnych zakresów adresów IP. OSTRZEśENIE, Proste filtry pakietów lub routery z funkcją fim-owl ( p< Bkiietów, które wymagają otworzenia portów powyŝej 1023 dla kanałów zwrotnych nie są urządzeniami zbyt bezpiecznymi. Nie zapobiegają ustanawianiu przez uŝytkowników wewnętrznych lub koni trojańskich usługi na stacji klienta na portach powyŝej 1023 i nasłuchiwaniu prób uzyskania połączenia z zewnątrz. Bardziej złoŝone ściany ogniowe (typu filtrów z badaniem stanu i proxy zabezpieczających) otwierają te kanały jedynie dla serwerów, do których połączenie zwrotne powstaje w wyniku Ŝądania pochodzącego z wewnątrz strefy chronionej - i to te właśnie ściany ogniowe powinno się wybierać, a nie proste filtry pakietów, które nie potrafią określić stanu połączenia. Bardziej złoŝone filtry korzystają z firmowych algorytmów do badania stanów wszystkich przechodzących przez nie połączeń, szukając znaków sygnalizujących włamania, takich jak wybór trasy przez nadawcę (ang. source routing), zmiana trasy na podstawie komunikatu ICMP (ang. ICMP redirecńoń), podszywanie się pod adres IP (ang. IP spoo-fing). Połączenia, które wykazują te cechy są odrzucane. Klientom wewnętrznym zezwala się na tworzenie połączeń do hostów zewnętrznych, zaś hostom zewnętrznym w zasadzie zabrania się prób inicjowania połączenia. Gdy host wewnętrzny decyduje się zainicjować połączenie TCP, wysyła komunikat TCP pod adres IP i numer portu serwera publicznego (np. www.microsoft.com:80 jeśli chce się połączyć z witryną Microsoft). W tym inicjującym komunikacie przekazuje hostowi zewnętrz-