Hrvatski Portal u �vicarskoj
Home Doga�aji Forum Linkovi Tvrtke Sport Putovanja Turizam
 
   
  
 
   

 
   
 

15.04.2005.

Vatrozid (eng. firewall) prvi dio


    Razvoj Interneta doveo je do toga da je velik broj informacija dostupan korisnicima kod ku�e, na poslu, u obrazovanju, �to za mnoge nije samo prednost ve� i nu�nost. Ta globalna umre�enost dovela je i do niza problema za�tite podataka i sustava od nepo�eljnih i zlonamjernih korisnika. Spajanjem privatne mre�e na Internet izla�emo tu mre�u mogu�im upadima izvana i zbog toga moramo razmi�ljati o za�titi va�nih podataka i sustava od mogu�eg gubitka, o�te�enja ili krade.



    Slika 1. Primjer vatrozida

    U slu�aju da �elimo za�tititi svoju lokalnu ra�unalnu mre�u koju spajamo na Internet, upotreba vatrozida (eng. firewall) je nezaobilazna. Vatrozid je skup mehanizama koji propu�taju samo �eljeni promet izme�u lokalne mre�e i Interneta ili neke druge lokalne mre�e. Funkcija tih mehanizama je sprje�avanje napada na podatke, te mre�ne i ra�unalne resurse. Me�utim, vatrozid nije rje�enje svih sigurnosnih problema, on je samo dio cjelokupne strukture za�tite koja se sastoji od fizi�ke za�tite kriti�nih mre�nih i ra�unalnih resursa, obrazovanja autoriziranih korisnika, kreiranja jasne i u�inkovite sigurnosne politike i upotrebe ostalih alata koji slu�e za enkripciju podataka, autentifikaciju korisnika, detekciju napada, ispitivanje sigurnosti ra�unalnih sustava i mre�a, za�titu od virusa...
    Postoji vi�e vrste mehanizama prema kojima vatrozidi rade, prva vrsta radi na principu da presre�e podatke koje razmjenjuju ra�unala koje vatrozid (firewall) �titi i neka druga ra�unala. Dakle svaki paket koji prolazi kroz vatrozid se primi, rastavi i analizira, te ako zadovoljava pravila koja je postavio administrator, paket se propu�ta, a u protivnom se paket odbacuje. Detaljni podaci o odbacivanju paketa se mogu spremiti u posebne datoteke, ili na poseban na�in staviti na uvid administratorima mre�e. Druga skupina se zasniva na principu postojanja me�uaplikacije (eng. Proxy) koja ne dopu�ta direktnu IP vezu, ve� se pona�a kao posrednik za zahtjeve korisnika i stvara novu vezu do �eljenih resursa. Promotriti �emo i mehanizme za filtriranje paketa (eng. packet-filter) te napredniju verziju istoga mehanizma za filtriranje (eng. stateful inspection).
    Proxy mehanizmi se ovisno o tome na kojoj razini ISO OSI referentnog modela uspostavljaju vezu dijele na application level proxy i circuit level proxy.
    Tako�er se u vatrozid (firewall) mogu biti ukomponirani i neki dodatni moduli kao �to su enkripcija podataka ili autentifikacija u obliku Virtual privat Networka i prevo�enje mre�nih adresa (eng. NAT - network adress translation).
    Mehanizmi za filtriranje podataka rade na principu izvla�enja potrebitih podataka iz samih zaglavlja IP paketa. Polja zaglavlja paketa koje filtar naj�e��e ima na raspolaganju su tip paketa (TCP, UDP,..) izvori�na IP adresa te izvori�ni i odredi�ni TCP/UDP port.
    Spajanjem na Internet mre�u u opasnost se dovode:
    -podaci, odnosno informacije koje sadr�e ra�unala;
    -sredstva, odnosno sama ra�unala;
    -ugled.

    Karakteristike koje se za�ti�uju kod podataka su tajnost, integritet i dostupnost.
    Sredstva, odnosno resursi, koji se za�ti�uju mogu biti diskovni prostor i procesorsko vrijeme. Ugled mo�e biti naru�en kada uljez preko na�ih resursa radi nezakonite aktivnosti, kao �to je slanje nepodobne elektroni�ke po�te preko na�ih adresa ili stavljanja nepodobnih materijala na na�e resurse.
    Napadi se mogu svrstati u tri osnovne kategorije:
    -ometanje
    -uskra�ivanje usluga
    -kra�a informacija

    Vatreni zid najdjelotvornije onemogu�ava ometanje tako da zabrani ulaz u sustav bez znanja korisni�kog imena i lozinke. Dobro dizajnirani vatreni zid s to�no odre�enom politikom sigurnosti onemogu�it �e uskra�ivanje usluga korisnicima ili kra�u informacija.
    Vatreni zid nije ni po�etak, a ni kraj izgradnje sigurnosti mre�e. On je samo alat za podizanje cjelokupne politike sigurnosti.
    Postoje dva modela sigurnosti i to:
    -sigurnost host ra�unala
    -sigurnost mre�e

    Kod modela sigurnosti ra�unala svako pojedino ra�unalo se za�ti�uje prema vlastitim potrebama, �to je korisno za manji broj ra�unala ili kada se zahtjeva ekstremna sigurnost. Kako raste broj ra�unala po�eljan je prelaz na model sigurnosti mre�e, kod koje se koncentriramo na kontrolu mre�nog pristupa ra�unalima i uslugama koje pru�aju, radije nego da pojedina�no osiguravamo ra�unala.
    Model sigurnosti mre�e uklju�uje izgradnju vatrenog zida za za�titu unutra�njih
    sustava i mre�a, a ujedno i koriste�i provjere autenti�nosti i �ifriranje.
    Vatreni zid je vrlo djelotvoran tip mre�ne sigurnosti. U teoriji osigurava unutra�nju mre�u od opasnosti koje pru�a vanjska Internet mre�a.
    Mehanizam za filtriranje paketa radi na principu parsiranja zaglavlja paketa, odnosno izvla�enja potrebnih podataka iz polja zaglavlja paketa, pomo�u kojih se na temelju definiranih pravila odlu�uje ho�e li se paket proslijediti ili odbaciti. Polja zaglavlja paketa koje filtar ima na raspolaganju su naj�e��e tip paketa (TCP, UDP,...), izvori�na IP adresa, odredi�na IP adresa, te izvori�ni i odredi�ni TCP/UDP broj porta. Osim u vatrozidnim sustavima, filtriranje paketa je �esto implementirano i u usmjeriva�ima (engl. router). Osim na temelju informacija dobivenih iz zaglavlja paketa, filtriraju�i mehanizam mo�e dozvoliti definiranje pravila na temelju su�elja kroz koje bi paket trebao iza�i ili su�elja kroz koje je paket u�ao. Ako je mogu�e definirati odvojena filtriraju�a pravila za su�elje koje vodi prema unutra�njoj branjenoj mre�i i su�elje koje vodi prema vanjskoj mre�i, zna�ajno je olak�ano stvaranje filtriraju�ih pravila, a u slu�aju sustava s vi�e od dva mre�na su�elja, to mo�e biti i klju�no svojstvo za upotrebu filtriranja. Jer ako paket mo�e biti odba�en ve� na ulaznom (vanjskom) su�elju, tada ne mora biti spomenut u pravilima za filtriranje na izlaznom su�elju ili su�eljima, �to pojednostavljuje specificiranje filtriranja. U slu�aju da se su�elje na koje je paket u�ao mo�e koristiti kao filtriraju�i uvjet, mogu�e je implementirati pravilo koje �e odbacivati pakete koji do�u s vanjske mre�e, a sadr�e izvori�nu adresu iz unutra�nje mre�e, tj. tvrde da pripadaju komunikaciji izme�u dva unutarnja ra�unala.


    Slika 2. Realizacija vatrozida sa filtriranjem paketa

    U tom slu�aju mo�emo biti sigurni da se radi o napadu pomo�u la�ne IP adrese. Pravila za filtriranje se zadaju i upotrebljavaju u tabelarnom obliku. Svaki red ozna�ava jedno pravilo, a kolone se sastoje od uvjeta i akcija. S dolaskom paketa provjeravaju se svi redovi u odre�enom redoslijedu dok se ne ustanovi ho�e li se paket proslijediti dalje ili odbaciti, �to je definirano akcijom u retku �iji su uvjeti zadovoljeni. U nekim implementacijama filtriranja paketa akcija mo�e odre�ivati i da li se po�iljalac obavje�tava ICMP porukom da je paket odba�en, koja obi�no glasi 'host unreachable', te zapisuje li se logo o paketu i akciji poduzetoj nad paketom. Neki sustavi provjeravaju pravila u redoslijedu koji je odredio administrator dok ne do�u do uvjeta koji su zadovoljeni. Drugi sustavi utvr�uju svoj poseban redoslijed kojim izvr�avaju zadana pravila na temelju nekog vlastitog kriterija. To mo�e biti razina odre�enosti IP adrese. U tom se slu�aju pravila koja sadr�e adrese pojedinih ra�unala izvr�avaju prije pravila koja sadr�e adrese koje se odnose na cijele mre�e ili podmre�e, bez obzira na redoslijed koji je odredio administrator.

    Iako je mehanizam filtriranja paketa vrlo koristan za ostvarivanje sigurnosti na mre�i, sadr�ava i mnogo problema. Prvi problem je to �to su mnoge implementacije paket filtara jako te�ke za konfiguriranje, mijenjanje, odr�avanje i testiranje. Mnoge implementacije nemaju nikakav mehanizam za testiranje i pra�enje performansi filtara, pa mre�ni administrator skoro nikada ne mo�e biti potpuno siguran je li filtriranje dobro i potpuno postavljeno. Jednostavna sintaksa koja se koristi u ve�ini filtriraju�ih mehanizama je takva da omogu�uje �to lak�e parsiranje pravila, ali je zato te�ka administratorima koji umjesto da koriste jezik visoke razine koji je njima blizak, pi�u pravila u tabelarnom obliku.

    Ve�ina se implementacija filtriranja paketa oslanja na to�nost izvori�nih IP adresa budu�i da nema drugog izbora. Me�utim, izvori�ne IP adrese se vrlo lako mogu la�irati. Tu dolazi do izra�aja va�nost mogu�nosti filtriranja paketa prema tome s kojega su�elja dolaze - prema unutra�njoj ili prema vanjskoj mre�i. Ako paket, koji bi prema svojoj izvori�noj IP adresi trebao dolaziti s ra�unala iz unutra�nje mre�e, dolazi na vanjsko su�elje koje vodi prema unutra�njoj mre�i, imamo sve razloge da odbacimo takav paket. Naravno, samo ako to mo�emo.
    Daljnji problem je to �to ljudi obi�no o mre�nim aktivnostima razmi�ljaju u terminima 'veza'. Na primjer, ulazna SMTP veza se prevodi u barem dva filtriraju�a pravila. Jedna za ulazne pakete od korisnika poslu�iocu, a druga za izlazne pakete od poslu�ioca korisniku. Taj jaz izme�u stvarnosti i uobi�ajene ideje mo�e ote�ati to�no konfiguriranje filtara.
    Nastavak procitajte sutra.


    Zlatko �unji�, Ing. Inf. UniPC
    http://www.unipc.ch/index.php

   
 
   
     
   
Optimizirano za
Internet Explorer
| home | doga�aji | chat | linkovi | tvrtke | sport | putovanja | turizam |
(c) 2000 - 2008  http://www.arhiva.croatia.ch/ Sva prava pridr�ana.