Hledejte v chronologicky řazené databázi studijních materiálů (starší / novější příspěvky).

Rysy firewallu a možná rizika

ISACA Procedures rozlišuje 3 základní rysy firewallu, které byly vysvětleny v kap. 2.2:




• NAT (Network Address Translation)

• IDS (Intrusion Detection Systems)

• VPN (Virtual Private Networks)



Každá charakteristika je opět slovně definována a jsou u ní uvedeny její výhody a nevýhody. V předchozích kapitolách jsme se rovněž zabývali možnostmi použití firewallů. Této oblasti se věnuje rovněž i ISACA a vymezuje následující funkce:



• kontrola přístupu na vnitřní a vnější síť (perimeter firewalls),

• kontrola přístupu mezi veřejně přístupnými a veřejně nepřístupnými servery (DMZ firewalls – blíže viz. kap. 2.2.1),

• kontrola přístupu mezi vnitřními sítěmi s různým přístupem a bezpečnostními požadavky,

• kontrola přístupu skrz sdílené modemy a soukromé dial-up sítě,

• kryptování vnitřní a vnější sítě, která přenáší citlivá data,

• skrýt vnitřní síťové adresy z externích sítí (NAT).

Poslední část první poloviny kapitoly shrnuje možná rizika, proti kterým by měl být firewall postaven. Rizika jsou členěna do 2 skupin:



• rizika spojená se softwarovými chybami,

• rizika spojená s nastavením (např. protokol UDP, ICMP, SYN).

Softwarové implementace

Co se týče konkrétních implementací firewallů do operačních systémů, velmi často se používá Solaris a jeho klasický FW nebo novější implementace FW NG, dále pak nejrůznější komerční firewally pro HP-UX. BSD systémy mohou používat ipfilter nebo firewally specifické pro jednotlivé operační systémy, jako například ipfw a ipfw2 u FreeBSD a zcela od základů napsaný pf pro OpenBSD. Nejznámější volně dostupný operační systém současnosti Linux, prošel v oblasti firewallu dlouhým vývojem, jádra 2.0 a starší obsahovala v podstatě ipfw převzaté z BSD, s 2.2 přišla velká inovace v podobě ipchains a konečně moderní jádra 2.4 a 2.6 obsahují široce konfigurovatelný firewall iptables (dříve také netfilter). Existují i řešení pro operační systémy firmy Microsoft, ovšem firewall patří určitě mezi tzv. high avaliability systémy a v této oblasti má výše uvedená firma stále co dohánět.

Audit firewallu

V této části práce se zaměříme na firewally z pohledu organizace ISACA. Vycházet budeme ze třetí části dokumentu IS Standards, Guidelines and Procedures for Auditing and Control Professionals, v němž je věnována samostatná šestá kapitola firewallum.


3.2 Firewall podle ISACA Procedures

3.2.1 Struktura kapitoly

Začátek kapitoly rekapituluje podklady, které se dané oblasti týkají, a které by měl auditor vzít v úvahu při své práci. Odkazuje jak na standardy a postupy (tentýž dokument – části 1, 2) tak i na metodiku COBIT.



Standardy 060.010 Supervision

060.020 Evidence

Guidlines 060.020.120 Virtual Private Networks Review

COBIT Frameword

Management Guidelines

Po rekapitulaci podkladů následuje část věnovaná základním charakteristikám jednotlivých druhům firewallů (blíže viz. kap. 1.4 a 2.1), s kterými se může auditor v auditovaných společnostech setkat. Druhá polovina kapitoly se zabývá procesy posuzování firewallů.

Použití firewallu

Firewally jsou tedy používány v zásadě ze dvou důvodů: 1. udržet útočníky mimo síť nebo 2. udržet uživatele v síti, zřejmá je 3. možnost, která představuje kombinaci výše uvedeného. Možná bychom nyní měli rozšířit definici firewalu jako systému filtrujícího síťový provoz – tedy paketový filtr – o nejrůznější proxy servery, které budeme v této práci chápat jako systémy umožňující uživatelům po autorizaci a na základě přidělených práv přístup k určitému médiu, například http protokolu internetu. Záměrně abstrahujeme od takzvaných transparentních proxy serverů, jejichž účelem většinou bývá skryté monitorování, filtrování či urychlování určitých služeb.




Zapojení firewallu do chráněné sítě, respektive architektura firewallu, představují první a možná nejzásadnější problém, který musí být řešen. Záleží z velké části na tom, zda bude třeba poskytovat internetu nějaké služby, řekněme například webserver. V takovém případě často volíme model s takzvanou DMZ – demilitarizovanou zónou – která je stále pod plnou kontrolou správců podnikové sítě (viz. kap. 2.2.1), ale zároveň je fyzicky oddělena od zbytku systému. Architektura by v takovém případě mohla vypadat například takto:
Jestliže máme jasno v umístění firewallu můžeme přistoupit k samotnému návrhu. Obecně existují dvě základní možnosti:


- standardně povolit veškerý provoz a zakazovat pouze určité služby / porty / atd.

- nebo implicitně zakázat naprosto vše a poté určit, které služby / porty / atd. mají firewallem procházet.

V podnikovém prostředí se nejčastěji setkáváme s druhou možností, tzn. default deny, jelikož firmy mají většinou IT oddělení, které je schopno udržovat a měnit filtrovací pravidla v závislosti na požadavcích pracovníků. Strategie filtrovaní veškerého provozu totiž vyžaduje velmi časté zásahy do konfigurace firewallu a tedy velmi mnoho času pověřených pracovníků. Navíc bohužel existují aplikace, které nepracují s přesně stanovenou skupinou portů takže není možné povolit jejich průchod firewallem. Řešením pak může být použití Socks proxy nebo v krajním případě vybudování VPN mezi problémovými místy.


 Konfigurace filtru

Po zvolení defaultní strategie můžeme přistoupit k samotné konfiguraci firewallu, tato se samozřejmě liší produkt od produktu. Budeme dále předpokládat návrh firewallu na úrovni TCP/IP a rodinu protokolů IPv4. Existují samozřejmě i jiné kombinace, ale výše uvedené řešení je dnes asi nejrozšířenější. V našem případě si tedy musíme poradit v zásadě s TCP, UDP a ICMP. Protokol TCP je jak známo stavový, takže se pro něj pravidla píší velmi snadno, stačí například pouze povolit iniciační konekce na určité služby z venkovní sítě (internetu) a pak už jenom přidat pravidlo na propouštění již navázaných spojení. Protokol UDP má poněkud jiné určení, UDP transakce nemají charakter trvalého spojení a tak je třeba pravidla často psát obousměrně. Tento problém je možné řešit mnoha způsoby, jedním z nich je například použití takzvaného stavového firewallu. Pokud například pravidlo pro odchozí UDP konekci zvolíme jako stavové, vytváří si poté software firewallu samostatně krátkodobá dočasná pravidla, která povolí i připojení v opačném směru. Stavová pravidla je samozřejmě možné použít i u TCP, ovšem je třeba mít na zřeteli značné množství generovaných dynamických pravidel (zejména u protokolu UDP). Co se týče ICMP, je věcí každého správce sítě, jaké icmp type povolí. Podle standardů by měl každý stroj připojený do internetu odpovídat minimálně na ping tzn. echo request a reply, dále je pak záhodno kvůli správnému routování a provozu na síti povolit source quench, unreachable, fragmentaci případně traceroute. Výše uvedené platí spíše pro poskytované služby do internetu, nastavení pro vnitřní síť je samozřejmě plně v kompetenci podniku.

DMZ

Tak zvaná demilitarizovaná zóna představuje ideální oblast pro umístění aplikačních, webových a podobných serverů, které budou poskytovat služby vně firemní sítě. DMZ je od podnikové sítě oddělena pravidly firewallu nebo přímo architekturou sítě. DMZ je tedy umístěna mezi zabezpečenou firemní sítí a internetem, respektive vnější sítí.


2.2.3 IDS

Intrusion detection system musí být nedílnou součástí podnikové bezpečnostní politiky. Sebelepší firewall či zabezpeční nemůže fungovat bez detekce útoků. Systémy IDS analyzují síťový provoz a při jakékoliv podezřelé aktivitě vykonávají přednastavené akce (upozornění administrátora, aktivace honeypotu, přidání pravidel do firewallu apod.). I sebelepší IDS ovšem čas od času spustí falešný poplach, a tak není možné IDS provozovat bez dohledu administrátora. Metod detekcí útoku je celá řada, k základním patří heuristická analýza, analýza podle vzorků, analýza neobvyklého chování apod.

VPN + NAT

Virtuální privátní síť používá pro vytvoření privátní sítě veřejné datové okruhy. Velmi často je VPN používána pro připojení uživatelů mimo firmu do privátní firemní sítě. Pokud se jako přenosové médium bere internet, měla by být zohledněna možnost odposlechu síťové komunikace a další bezpečnostní rizika. Doporučuje se použití nadstavem nad protokol VPN pro šifrování provozu. Nejrozšířenější je pravděpodobně protokol IPSec (specifikace viz. organizace IETF), který představuje v této oblasti defakto standard.


 NAT

Network Address Translation neboli překlad síťových adres (často se používá i pojem Masquerade) umožňuje připojení lokální sítě k vnější s využitím pouze jedné veřejné IP adresy. Původně byl tento standard vyvinut z důvodu nedostatku IPv4 adres, dnes je často používán z bezpečnostních důvodů, neboť zcela maskuje vnitřní privátní síť od vnějšího světa.

Technické řešení firewallu

2.1 Obecná východiska
Jak vyplívá z teoretické části, firewall, jak je chápán ve světě IT, znamená softwarový nebo hardwarový systém omezující přístup z jednoho média, respektive systému, k druhému. Firwally je v zásadě možné rozdělit na hardwarová a softwarová řešení, i když toto rozdělení pokulhává, protože hw řešení pochopitelně musí obsahovat nějaký řídící sw. Ale říkejme pro účel této práce jednoúčelovým zařízením pro filtraci síťového provozu hardwarové firewally. Co se softwarových firewallů týče, existuje nepřeberné množství implementací pro nejrůznější operační systémy od různých variant UNIXu až po čistě windowsová řešení. Dále můžeme software pro filtraci provozu dělit například podle určení pro ochranu celé sítě nebo takzvané osobní firewally instalované na uživatelské stanice apod., možností je celá řada.

My se pro účely této práce omezíme na takzvaná enterprise řešení, nabízená a nasazovaná k ochraně podnikových sítí před průniky z internetu a samozřejmě také k omezení přístupu k internetu ve směru z podnikové sítě. Je ale třeba zmínit, že firewall podstavuje pouze část podnikové bezpečnostní politiky a jako takový nemůže zamezit nebezpečím plynoucím z její absence, špatného návrhu či nedodržování. Nedílnou součástí podnikových bezpečnostních opatření musí například být systémy IDS (systémy pro detekci narušitele), správná práce s hesly resp. systém autorizace pracovníků, uživatelská práva a další důležité zásady, které zde nebudeme podrobně rozvádět.

Proxy

Proxy server v základní podobě slouží k urychlení přístupu k určité síťové službě. Představuje v podstatě dedikovanou dočasnou paměť (cache respektive caching proxy). Nejznámější jsou http proxy servery. Uživatel na lokální síti má například možnost místo přímého přístupu k internetu použít lokální proxy, čímž si může až několikanásobně urychlit rychlost načítání webových stránek. Výše uvedená definice http proxy serveru v dnešní době příliš neplatí, dílem rozšířením dynamického obsahu stránek, dílem celkovým zrychlením datových linek a souhrou dalších faktorů. Tím se ale zabývat nebudeme. Nás bude zajímat druhá funkce proxy serveru a to filtrování požadavků. Pokud v lokální síti kupříkladu zakážeme přímý přístup na http služby a donutíme tím uživatele použít lokální proxy, můžeme poté účinně kontrolovat kdo, jak a kam bude smět přistupovat (moderní proxy servery obsahují téměř dokonalé ACL – access control list – přístupová práva dle uživatelů skupin atd. [obecný termín – záleží na implementaci]). Ještě pohodlnější je pro uživatele i administrátora nasazení tzv. transparentní proxy (uživatel nemusí nic nastavovat a o proxy nemusí ani vědět). Dalším příkladem použití proxy serveru v kombinaci s firewallem je standard SOCKS verze 4 nebo 5 (SOCKS proxy umožňuje tunelovaní všech druhů TCP spojení skrz firewall – často ftp a http), samozřejmostí je opět kontrola pomocí ACL.

Funkce firewallu

Při úvahách kolem připojení soukromé počítačové sítě k jiným sítím bychom se měli zabývat i tím, co všechno by námi požadované řešení mělo zajišťovat. Kromě primární funkce, kterou bezesporu je ochrana privátní sítě před průnikem zvenčí, může dobře zvolený typ firewallu zajišťovat celou řadu dalších funkcí. Může se jednat například o:


• regulaci přístupu vlastních uživatelů – Jedná se o způsob omezení přístupu uživatelů privátní sítě do internetu. Může se omezit přístup na některé servery nebo lze naopak povolit přístup pouze na určité servery. Podobně se dá regulovat využívání určitých služeb, které si zaměstnavatel nepřeje, aby zaměstnanci používali.

• antivirovou ochranu – Jedná se například o kontrolu přicházející ale i odcházející pošty.

• optimalizaci připojení – Některé firewally umožňují konfiguraci cache serveru, který pomáhá se snižováním zátěže provozu privátní sítě. Jde o to, že požadavek například na nějakou internetovou stránku je vysílán do vnější sítě pouze poprvé a při dalších požadavcích je již žádost vyřízena rovnou z cache serveru.

• řešení problému s IP – V rámci privátní sítě připojené k internetu přes firewall nemusí mít jednotlivé počítače svojí unikátní IP adresu, ale mohou vystupovat pod námi definovanými adresami.

• veřejné zpřístupnění zdrojů – I když princip firewallu je založen na tom, aby se zabránilo cizím uživatelům k přístupu k vnitřním zdrojům, u některých konkrétních informací může mít provozovatel sítě naopak zájem o jejich zpřístupnění. Jedná se například o internetovou prezentaci či nabídku firmy. V rámci firewallu pak bývá takovéto zveřejnění realizováno - například formou WWW serveru či FTP serveru.

• vzdálený přístup oprávněných uživatelů - Provozovatelé firemních sítí (intranetů) velmi často vyžadují, aby uživatelé měli přístup ke zdrojům a službám těchto chráněných sítí i v případě, kdy se nachází mimo dosah této sítě (jsou například v terénu, u zákazníka apod.). V takovémto případě jsou oprávnění uživatelé v pozici vzdálených uživatelů, a součástí řešení firewallu bývá i umožnění jejich vzdáleného přístupu.

Druhy firewallů

Firewall může být realizován několika způsoby. V úvahu připadají firewally na bázi:


• organizačního opatření - Podstatou může být zavedení určitých organizačních opatření regulujících chování uživatelů připojené privátní sítě a způsob nakládání se zdroji, které se v této síti nachází. Takováto organizační opatření mohou například zakazovat uživatelům přinášet si vlastní diskety a vkládat je do počítačů v chráněné síti (kvůli nebezpečí zavirování), instalovat jakékoli nové programy či je pouze z disket či jiných přenosných médií spouštět (opět kvůli nebezpečí virové nákazy, ale třeba také jako ochranu proti zavedení tzv. trojských koňů apod.). Nebo může být v rámci organizačních opatření uživatelům uloženo pravidelně měnit svá přístupová hesla, pravidelně zálohovat svá data, nenechávat citlivá data na počítačích zapojených do sítě (ale uchovávat je na médiích, která se v době, kdy nejsou používána, ukládají do trezoru apod.). Míra ochrany proti neoprávněnému přístupu zvenčí i proti dalším možným ohrožením, která čistě organizační opatření poskytují, nemusí být vysoká - na druhé straně v konkrétních případech to může být plně postačující a optimální z hlediska nákladů na svou realizaci.

• softwarového řešení - Takovýto druh firewallu nevyžaduje žádné specifické technické prostředky a je realizován výhradně programovými prostředky. Může se přitom jednat jen o vhodné nastavení existujících programových prostředků. Možnosti nastavení, které existující programové vybavení nabízí, však nemusí postačovat pro dosažení požadovaných cílů. V takovém případě dochází k instalování dodatečných programových prostředků, například určité nadstavby nad operačním systémem, která mu dává potřebné schopnosti pro vykonávání funkce firewallu. Další možností je instalování samostatných programů určených právě pro realizaci funkcí firewallu, a to na "počítačových" uzlech sítě které zde již existují

• kombinované řešení - Tento druh firewallů, využívající kombinaci programových a technických prostředků, je v praxi zřejmě nejčastější, protože je nejvíce univerzální a dokáže poskytnout nejvyšší úroveň ochrany připojené sítě. Možné formy realizace zahrnují řešení na principu demilitarizované zóny atd.

Firewall

Firewall ve svém doslovném překladu znamená něco jako „ohnivá stěna“ nebo „protipožární stěna“. Samotný firewall může být chápán jako softwarový produkt, který zamezí určité činnosti v rámci přechodu mezi dvěma počítačovými sítěmi, ale na druhé straně může být chápán i jako organizační opatření sloužící stejnému účelu.


Krokem, který by měl předcházet úvahám o nejvhodnějším řešení, je celkové zhodnocení situace a nastolení základních požadavků. Takováto rozvaha samozřejmě vyžaduje součinnost lidí z celé firemní hierarchie, od vedení firmy až po technické pracovníky a uživatele. Výsledkem by mělo být posouzení rizik, možných ohrožení i toho, jak vysokou míru zabezpečení bude provozovatel připojované sítě požadovat, i jaké další přínosy bude od implementovaného řešení očekávat. Samozřejmě se tato rozvaha musí týkat také výše nákladů na pořizované zabezpečení, takže v praxi obvykle půjde o vhodnou volbu kompromisu mezi tím, co by provozovatel rád dosáhnul a tím co si může dovolit. Důležitým aspektem připojení firemní sítě k jakékoliv vnější síti musí být také vypracování bezpečnostní politiky jako základního dokumentu, který bude stanovovat jednotlivé požadavky na úroveň zabezpečení