Embed Size (px)
Citation preview
Софийски университет “Св. Климент Охридски”
Факултет по математика и информатика
Курсова проект по Мрежова сигурност
на тема
Firewalls. Защитни стени
Изготвила: Мариана Грудева
Фак.№ 30401
София Януари 2004
Съдържание 1. Основи за защита на достъпа от Internet чрез Firewall на една организация
1.2 Какво представлява Firewall 1.3 Ползата от Firewall 1.4 Ограничения, породени от Internet Firewall 1.5 Основни положения при изграждането на Firewall 1.6 Защитна политика на организацията 1.7 Цена на защитната система
2. Как да конфигурираме firewall за Linux с Iptable 2.1 Основни настройки 2.2 Параметри за задаване на правила 2.3 Опции 2.4 Разширения 2.5 TCP разширения: използвани с -m tcp -p tcp 2.6 UDP разширения: използвани с -m udp -p udp 2.7 ICMP разширения: използвани с -m icmp -p icmp 2.8 MAC разширения: използвани с -m mac
3. Атаки и защитата от такива 3.1 Увод с примери 3.2 Методи на атака
Пробиви в системата DоS (отказ за обслужване) Човешки грешки
3.3 Силни и слаби страни на Firewall Силните страни на Firewall Слабите страни на Firewall
3.4 Основни принципи на защита Не се допускат user-и до Firewall системата Само минимален брой услуги разрешени върху Firewall системата Поддържане на актуалния Snapshot на Firewall системата Ограничени права на достъп Многопластова защита Място за пропускане Най-слабата част Без грешки Ограничено държане Свободно държане
4. Изграждане на Firewall защитна система 4.1 Филтриране на Пакети
4.2 Application Level Gateway 4.3 Системи с ДМЗ
5. Firewall политика спрямо протоколите
ssh, http ( когато Webserver е зад Firewall) ftp (когато FTP-Server е зад Firewall), smtp, евентуално по-нантъшни услуги
6. FAQ 7. Извод
Използвана Литература
1. Основи за защита на достъпа от Internet чрез Firewall на една организация 1.1 Какво представлява Firewall Firewall – това е система или група от системи, чрез която се осъществява защитната политика между мрежата на организацията и Internet. Firewall определя кои вътрешни сървизи могат да бъдат достъпни отвън, кои външни потребители могат и кои не да имат достъп до определени вътрешни сървизи, както и кои външни (Internet) сервизи са достъпни за потребителите на частната мрежа. За да може Firewall да бъде ефективен е необходимо целият трафик към и от Internet да преминава през него, т.е. оттам, където ще бъде проверен и контролиран. (фиг.1) Необходимо е Firewall да бъде така изграден, че да осигури само на оторизирания трафик да премине през него, а от своя страна и самият Firewall да бъде осигурен срещу неправомерно проникване. За съжаление Firewall не могат да бъдат много ефективни след като атакуващите вече веднъж са проникнали през него.
Фиг. 1 Важно е да се отбележи, че Firewall не е само маршрутизатор, bastion host или комбинация от устройства, които осигуряват защита на мрежата. Firewall е част от цялостната защитна политика, която създава област, защитена от атаки, за информационните ресурси на организацията. При определянето на защитната политика е необходимо да се публикуват правила за защита, с които се информират потребителите за техните отговорности; определят се корпоративни правила за достъп до мрежата; достъпа до Internet сервизите;
правилата за идентификация на потребителите при локален и отдалечен достъп; кодиране и криптиране на данните; мерки за защита срещу вируси, обучение на служителите. Всички точки за потенциална атака на мрежата трябва да бъдат защитени с едно и също ниво на мрежова защита. 1.2 Ползата от Firewall
Фиг. 2 Internet Firewall управлява достъпа между Internet и
частната мрежа на организацията (фиг. 2). Без Firewall всяка една система от частната мрежа е
изложена на атаки от другите хостове в Internet. Това означава че сигурността на частната мрежа зависи от това до каква степен са защитени отделните хостове в нея, а сигурността на мрежата е точно толкова
защитена колкото и най-слабо защитеният в нея хост. Internet Firewall позволява на мрежовия
администратор да дефинира централизирана “choke point”, която държи неоторизираните клиенти извън
защитената мрежа. Internet Firewall опростява управлението на сигурността в мрежата с помощта на
ралични средства за мониторинг и средства за следене. Необходимо е администраторът да следи стриктно всички log files за трафика през Firewall и
да реагира на всички алармиращи събития.
Internet Firewall е чудесно средство за следене на
трафика и използването на Internet. Това позволява на мрежовия администратор да оправдае средствата изразходвани от осъществяването на връзката с
Internet до неговото управление, както и да определи метод за таксуване на отделните отдели в
организацията, ако това отговаря на нейния финансов модел.
Internet Firewall може да бъде използван и като едно
от най-удачните места за разполагане на информационни сървери – World Wide Web или FTP. Internet Firewall може да бъде конфигуриран така, че да допуска достъп до тези сервизи на външните
потребители и същевременно да управлява достъпа им до частната защитена мрежа.
Internet Firewall може да помогне да бъде разрешен и проблема, свързан с получаването на адресно пространство в Internet. Internet Firewall е логическото място, където се използва Network Address Translator (NAT). В резултат на което се задоволяват нуждите на организацията от съответния брой IP адреси и не се налага те да бъдат променяни при смяната на ISP. Трябва да се има предвид, че в случай на пропадане на Internet Firewall, защитената мрежа продължава да работи, като се загубва само достъпа до Internet. Ако има множество входни точки в мрежата , то тогава е необходимо мрежовият администратор да ги защити и да прави регулярно мониторинг, поради факта, че всяка една от тях може потенциално да бъде подложена на атака.
1.3 Ограничения, породени от Internet Firewall Internet Firewall не може да защити мрежата от атаки,
които не минават през него. Например: При наличието на точка за отдалечен достъп (dial-out). В
този случай вътрешните потребители могат да
осъществят директен неконтролируем достъп до Internet по SLIP/PPP. Тъй като този тип връзка
пропуска защитната стена, потребителите, които я използват създават съществена възможност за атака
на частната мрежа през “задната врата” (фиг. 3).
Фиг. 3 Internet Firewall не може да защити мрежата от прехвърлянето на софтуери или файлове, носители на вируси. Поради голямото разнообразие на операционни системи, различни начини за кодиране и компресиране на файлове, не е възможно да се очаква Internet Firewall да сканира всеки един файл за вируси. С оглед на това е необходимо да бъде инсталиран анти-вирусен софтуер на всеки потребителски компютър. Internet Firewall не може да защити мрежата и от “data-driven” атаки. Те се случват, когато потребител от защитената мрежа получи по електронната поща или копира на пръв поглед безвредни данни или информация и стартира съответното приложение. При такива ситуации е възможно да се предизвика промяна на файловете, касаещи сигурността на мрежата и по този начин осигуряват лесен достъп до системата на неоторизирани потребители.
1.4 Основни положения при изграждането на Firewall
При изграждането на Firewall могат да бъдат взети две диаметрално противоположни позиции:
Всичко, което не е специално указано за достъп е забранено. При тази позиция се предполага че Firewall ще блокира целия трафик и за всеки сервиз или приложение, което ще се използва ще се описват конкретно правилата за достъп. Този подход осигурява създаването на една изключително сигурна среда, тъй като само внимателно подбрани сервизи се поддържат и се осигурява достъп до тях. Неудобството при този подход се изразява в това че сигурността е поставена на преден план пред лекотата за работа и използване.
Всичко, което не е специално указано за забранено е разрешено за достъп. При този подход се предполага,че Firewall ще пропуска целия трафик, а само отделни сервизи ще бъдат конкретно специфицирани като
забранени. Този подход създава значително по-гъвкава среда, с много повече сервизи, достъпни за крайния потребител. При него на преден план е поставена простотата при използване за сметка на сигурността, като по този начин осигуряването на необходимото ниво на защита на мрежата се превръща в сложна задача за мрежовия администратор, особено при бързо разрастване на мрежата.
1.5 Защитна политика на организацията Firewall е неразделна част от защитната политика на организацията, която дефинира всички аспекти при изграждането на защитената зона. За да въведе успешна тази политика е необходимо да се знае
какво точно се защитава. Необходимо е да се направи внимателен анализ на нуждите на конкретния бизнес от защита, да се прецени съответния риск при атака
от външни потребители. Дори и най-хитро направения Firewall може да бъде преодолян, ако не е
разработена детайлна защитна политика на организацията.
Втората функция на локалните защитни системи е съществена до толкова, че да предпазва и от неправомерен достъп на външни потребители, които по един или друг начин са получили достъп до мрежата на дадено ведомство по друг път. Това се налага, тъй като не може да се контролират пътищата за връзка на всяко
ведомство с Internet, организацията на отдалечения достъп във ведомството и т.н. Следователно не е възможно да се изгради единна защитна политика за ИМДА, което респективно усложнява решението. 1.6 Цена на защитната система Каква защита може да си позволи организацията изхождайки от нейната стойност? Най-опростеният вариант – firewall с пакетна филтрация е и най-евтин. Той изисква маршрутизатор, с който организацията за се свърже към Internet. Пакетната филтрация е стандартна част от функционалните възможности на повечето маршрутизатори. Стойността им варира от 4 000$ до 30 000$ в зависимост от техните функционални характеристики и броя на мрежите, които могат да защитят. Същевременно някои организации се спират на варианти за изграждане на Firewall с помощта на shareware софтуери. Но и при тях се запазва стойността на системите, свързана с необходимото време за разработка и внедряване. Освен това всички Firewall изискват поддръжка от страна на мрежовите администратори, актуализиране на софтуера, добавянето на допълнителни, актуализирани средства за защита. Този подход може да е само временен, тъй като подобни програмни продукти често нямат нужната поддръжка за дълъг период от време. 2. Как да конфигурираме firewall за Linux с Iptable 2.1 Основни настройки Firewall е неразделна част от сигурността на една система/мрежа. За да се обясни настройването на един сървър от нисък клас, в конкретния случай се прилага конфигурационен файл за iptables. Затова важни машини/мрежи седят зад специален компютър, конфигуриран само като firewall. Такива комбинации могат да са(firewall/server): BSD/w2k; linux/nt с т.н. Ако се налага наистина тежка защита е добре да се помисли за този вариант и по добре да не се пестят пари от нея.
Като начало трябва да се добави поддръжката на защитна стена във ядрото. Това става от (menuconfig):
Networking Support [Network firewalls, TCP/IPNetworking, IP: firewalling, IP: firewall packet
logging] Network packetfiltering
IP: Netfilter configuration
Може да se селектира всичко, без тези, след които има скоби (EXPERIMENTAL). Сега трябва да се прекомпилира ядрото и да се направи активно. След като има работещо ядро трябва да се продължава със защитата. iptables се използва както за конфигурирането на IP филтрирането, така и за транслирането на мрежови адреси. За улеснение са добавени 2 таблици с правила - filter и nat. Първата таблица е по подразбиране ако не е зададена опцията -t. За таблицата filter съществуват 3 вериги (chains) а те са: INPUT; FORWARD и OUTPUT. Ще се ползва само таблица filter. Общия вид на командата е: iptables команда правило разширения. Ето и списък на някои от опциите (за пълен списък -- man iptables). -A верига Добавя едно или повече правила към края на указаната верига. Ако е подадено име на хост като изпращач или като получател и то съответства на повече от 1 IP адрес, правилото ще бъде добавено за всеки адрес. -I верига номер-на-правило Вмъква едно или повече правила в началото на указаната верига. Ако е подадено имена хост като изпращач или като получател и то съответства на повече от 1 IP адрес, правилото ще бъде добавено за всеки адрес. -D верига Изтрива едно или повече правила от зададената верига, съответстващо на спецификацията на правилото. -D верига номер-на-правило Изтрива правилото намиращо се на позиция номер-на-правило в указаната верига. Позицията на правилото започва от 1 за първото правило на веригата. -R верига номер-на-правило Замества правилото, намиращо се на позиция номер-на-правило в дадената верига с дефинираната спецификация на правило. -C верига Проверява дали дейтаграмата, описана от зададеното правило, съответства на определената верига. Тази
команда ще върне съобщение, описващо как веригата обработва дейтаграмата. Много полезно при
тестването на защитната стена. -L [верига] Генерира списък на правилата в посочената верига или във всички вериги, ако не е посочена верига.
-F [верига] Изчиства правилата в посочената верига или във всички вериги, ако не е посочена такава. -Z [верига] Нулира броячите на дейтаграми и байтове за всички правила в посочената верига или във всички вериги, ако не е посочена такава. -N [верига] Създава нова верига с посоченото име. Верига със същото име не трябва да съществува. Така се създават потребителско-дефинирани вериги.
-X [верига] Изтрива посочената потребителска верига или всички потребителски вериги, ако не е посочена такава. За да бъде успешна тази команда, не трябва да има препратки към посочените вериги, в която и да е друга верига от правилата. -P верига политика
Задава подразбираща се политика за посочената верига като указаната политика. Валидните политики
за защитна стена са ACCEPT, DROP, QUEUE и RETURN. ACCEPT позволява на дейтаграмата да премине, при DROP дейтаграмата се игнорира, при
QUEUE дейтаграмата се изпраща в потребителското пространство за по - нататъшна обработка, а при RETURN кодът за IP защитна стена се връща към веригата от защитната стена, която е извикала
веригата, съдържаща това правило и продължава обработката от правилото, следващо извикващото
правило.
2.2 Параметри за задаване на правила Има множество параметри на iptables, които съставят спецификацията на правило. Където е необходима спецификации на правило, трябва да се подаде всеки един от тези параметри или ще се възприемат техните стойности по подразбиране. -p [!]протокол
Определя протокола на дейтаграмата, която ще съответства на това правило. Валидните имена за протоколо са tcp, udp, icmp или число ако знаете номера на IP протокола (cat /etc/protocols). Ако се използва знак !, правилото се инвентира и дейтаграмата ще съответства на всеки протокол, различен от посочения. Ако този параметър не е подаден, по подразбиране ще се възприемат всички протоколи. -s [!]адрес[/маска] Определя изходния адрес на дейтаграмата, която съответства на това правило. Адресът може да бъде подаден като име на хост, име на мрежа или IP адрес. Маската е незадължителна и може да се подаде по 2 начина - 255.255.255.0 или с /24 вариант-а... -d [!]адрес[/маска] Задава адрес и порт на получателя на дейтаграмата, която съответства на това правило. Кодирането на този параметър е същото както при -s. -j цел Задава какво действие трябва да се предприеме, при откриване на съответствие с това правило. За този параметър можете да мислите като за команда "иди на". Валидни цели са ACCEPT, DROP, QUEUE и RETURN. Можете да посочите името на потребителски дефинирана верига, където да продължи обработката. Можете да зададете името на целта чрез разширение. Ако този параметър е пропуснат, при съответствие на дейтаграмата не се предприемат никакви действия освен да се актуализират броячите на дейтаграми и байтове за това правило. -i [!]име-на-интерфейс Задава интерфейса, на който е получена дейтаграмата. Ако името на интерфейса завършва с + тогава всеки интерфейс с подадения низ ще действа (пример: -i ! eth+ -- всички интерфейси освен мрежовите устройства) -o [!]име-на-интерфейс Задава интерфейса, на който ще бъде предадена дейтаграмата. Този аргумент се кодира по същия начин както -i. 2.3 Опции -v Указва на iptables да генерира по - подробен изход. Това предоставя повече информация. -n Указва на iptables да показва IP адреса и портовете като номера, без да с опитва да ги свърже с техните съответстващи имена. -x Указва всички числа в изхода на iptables да бъдат разшиени до тяхната пълна стойност без закръгляване. --line-numbers Указва при изброяване на правилата да бъдат показвани номерата на редовете. Номерът на реда ще съответства на позицията на правилото във веригата.
2. 4 Разширения
iptables е обновена версия на защитната стена на Linux при 2.4 ядрата. Разликата м/у ipchains и по -
старите версии не е особено голяма, с изключение на разширяемостта. Можете да се разширят до известна
степен възможностите му, като се използват различни модули - споделени библиотеки.
Съществуват някои стандартни разширения, които осигуряват част от възможностите, предлагани от
iptables. За да се използва едно разширение, трябва да се зададе неговото име чрез аргумента на iptables -m име. Следващия списък показва опциите -m и -p,
които определят контекста на разширението, както и опциите, предоставяни от това разширение.
2.5 TCP разширения: използвани с -m tcp -p tcp --sport [!] [порт[:порт]] Задава порта, който трябва да използва от изпращача на дейтаграмата, за да съответства на това правило. Портовете могат да бъдат посочени като интервал, разделени с двоеточие. Пример: 80:82 за портове 80, 81 и 82 вкл. --dport [!] [порт[:порт]] Задава порта, който трябва да се използва от получателя на дейтаграмата, за да съответства на това правило. Кодира се както при --sport. --tcp-flags [!] маска комп Указва, че това правило ще съответства, когато TCP флаговете в дейтаграмата съвпадат с посочените от маска и комп. Маската е списък от разделени със запетая флагове, които трябва да бъдат проверени при извършване на теста. комп е списък от разделени със запетая флагове, които трябва да бъдат подадени, за да съвпада правилото. Валидни флагове са: SYN, ACK, FIN, RST, URG, PSH, ALL и NONE. See RFC-793. --tcp-flags SYN,RST,ACK SYN Указва. че правилото съответства само на дейтаграми с вдигнат бит SYN и свалени битове ACK и FIN. Дейтаграмите с тези опции се използват за отваряне на TCP връзки, затова тази възможност може да бъде използвана за управление на заявките за връзки.
2.6 UDP разширения: използвани с -m udp -p udp -sport [!] [порт[:порт]] Определя порта, който трябва да се използва от изпращача на дейтаграмата, за да съответства на това правило. Портовете могат да бъдат посочени като интервал, разделени с двоеточие. Пример: 80:82 за портове 80, 81 и 82 вкл. -dport [!] [порт[:порт]] Определя порта, който трябва да се използва от получателя на дейтаграмата, за да съвпада с това правило. Кодира се както при --sport 2.7 ICMP разширения: използвани с -m icmp -p icmp -icmp-type [!] име-на-тип Определя типа на ICMP съобщението, на което трябва да съответства това правило. Типът може да бъде зададен чрез номер или чрез име. Някои валидни имена са: echo-request, echo-reply, source-quench, time-exceeded, destination-unreachable, network-unreachable, host-unreachable, protocol-unreachable. 2.8 MAC разширения: използвани с -m mac -mac-source [!] адрес Задава Ethernet адрес на хоста, който е предал дейтаграмата, за да съответства на това правило. Това има смисъл само в правило във входящата или препредаващата верига, защото ще предаваме всяка дейтаграма, която премине изходящата верига. Най - лесно е да се направи стартов файл в /etc/rc.d. Може да се кръсти rc.firewall. Поставя се в /etc/rc.d и се изпълнява chmod 755 rc.firewall (разгледайте rc.firewall). Сега може да се напише ./rc.firewall (cd /etc/rc.d първо) start|stop|restart в зависимост от избора. Разглежда се хубаво скрипта. Може да се ползва също и другия скрипт. Той е за машина директно свързана към Интернет. Внимателно се разглежда и променя по желание. Използвани помагала: Линукс - ръководство на мрежовия администратор. 3. Атаки и защитата от такива 3.1 Увод с примери
Днес всеки иска да участва активно в Интернет, но с бързото развитие на електронната мрежа се увеличават и атаките срещу Интернет сървърите. Разбиването на паролите и използването на пропуските в сигурността на операционните системи е нещо вече доста популярно. Как тогава да се защитим от такива атаки в Интернет? Има две възможности да защитим нашия персонален компютър – премахваме флопито, CD-Roma и въобще всичко, чрез което осъществяваме връзка с външния свят, или избираме да се доверим на Firewall. Какво представлява Firewall? На какво трябва да обърнем внимание, какви атаки са ни познати? Факти: През 1998 г. са били атакувани 250 000 пъти различни отдели на Американското министерството на отбраната. Освен това 65% от тестовите атаки на DISA (Агенция за защита на информационните системи) към защитните системи на различни фирми са били успешни. Примери: През април 1998 г. членове на американското министерство на отбраната заявяват, че откраднатият софтуер DISN е ключът към американската мрежа на военните GPS сателити. Този софтуер би могъл, а и се е използвал, за точното локализиране ракетните удари. В случая с ЦРУ един хакер придобил контрол върху уебстраницата им е заменил логото им с “Централно Управление на Глупаците”(“Тhe Central Stupid Agency”) 3.2 Методи на атака Системите могат да бъдат атакувани по различен начин. В този материал са разяснени трите основополагащи вида.
Пробиви в системата Пробивите са най-честите атаки. Чрез пробиви атакуващите могат да използват за себе си чужди компютри. Повечето пробиващи искат да ползват тези компютри като легитимни потребители. Един от методите на атака се състои в манипулацията на потребителите. При него хакерът издирва името на личност от администрацията и се представя с него при системната защита, а после моли за незабавна промяна на паролите, за да унищожи важни информации. Друг метод е просто изнудването. Такива атаки се наричат Брутално-силови, тъй като това представлява чисто насилие. Една подобна атака най-често се предприема само от много отчаяни нападатели, които не виждат вече друг начин да проникнат в системата. Такива атаки по правило биват бързо разкривани.
DоS (отказ за обслужване) Повечето крадци на информация се опитват да си осигурят потребителски имена и пароли от чужди компютри. Най-глупавото е, че именно това е най-лесно достъпната информация при подслушването на една мрежа. При много мрежови операции потребителското име и паролата се намират в началото и могат да бъдат повторно използвани в същата си форма. Освен това, при съвременни мрежови топологии като Ethernet and Tоkеnring всеки пакет се изпраща към всеки компютър, но накрая се приема само от този, за който е предназначен. Така целият мрежови поток може да бъде подслушан, и то като да се даде команда на компютъра да се извлекат желаните данни. Данни, които се изпращат чрез Интернет, преминават през множество такива локални мрежи и всяка от тях може да е слабо място. Сървиз-провайдъри и общодостъпни системи са най-предпочитани цели на атаки. Кражбата на информацията не е задължително да оставя следи след себе си и дори последвалите пробиви рядко биват разкривани. Този, който пробие, копира данните и изчезне без да увреди нищо, има най-големи шансове да остане неразкрит. Има различни възможности да се предпазим от кражбите на информация. Една добре настроена Firewall предпазва от потребител, който се опитва да изисква повече информация, отколкото би могла да се даде.
Човешки грешки Остана още да се отбележи, че повечето катастрофи не са предизвикани от предумишлени злодеяния, а са последици от инциденти или глупави грешки. В една дисертация ( Ричард Пауър, Настояща и бъдеща опасност: Ръководство по компютърни престъпления и информационни битки, Сан Франциско, Институт за компютърна сигурност 1995 ) се преценява, че 55% от всички свързани със сигурността случаи са причинени от наивни или не добре обучени потребители, които правят неща, които по-добре да не са били правили. 3.3 Как да се защитим чрез Firewall? Firewall наричаме компютър, който имплементира подходящи техники на сигурност на защитната бариера между две мрежи. (по подробно в т. 1) Най-често Firewall осъществява връзката между една вътрешна мрежа като Intranet и външна – Internet. Но може да се случи, че една част от вътрешната мрежа трябва по-добре да се подсигури и тогава като допълнение може да се използва още един Firewall. Firewall, защитната стена, контролира достъпа отвън навътре и отвътре навън. Поради специални правила се следи и ограничава достъпа.
Силните страни на Firewall Как можем да се възползваме от силните страни не Интернет, без да станем жертва на слабите? За това потокът между отделната мрежа и Интернет трябва внимателно да се контролира. Най-ефективното решение представлява Firewall.
Много услуги, които се предлагат на крайния потребител, са несигурни за използване от дома. Firewall се явява един вид пазител на тази услуги. Защитната стена оставя само услуги, които са разрешени от нейната система за сигурност. Но една защитна стена има и своите сенчести странни. Изграждането й изисква огромно разходи и загуба на време. Също така определени ограничения, които Firewall носи със себе си, могат да бъдат много неудобни за потребителя. Защитни стени предлага една много добра защита срещу заплахи отвън, обаче не са 100% сигурни. Някои опасности не могат да се предотвратят чрез тях.
Слабите страни на Firewall Firewall предпазва от извличането на поверителна информация за мрежовата връзка. Обаче същите данни могат да се “гепят” ;)) на дискета, други магнитни носители или върху хартия. Ако атакуващият е преминал защитната стена, то тя става безполезна. Вътрешните потребители могат да увредят харддиска, софтуера или да променят програми без въобще да влязат в контакт със защитната стена. Защитната стена може да контролира много добре трафика през себе си, обаче не може да повлияе върху трафика, който не минава през нея. Технически компетентни потребители или системни администратори си създават една задна вратичка за Интернет, защото се ядосват на прекалените ограничения на защитната стена. Firewall е беззащитна срещу това. Тук вече не става въпрос за технически, а по-скоро за личен проблем. Една защитна стена се планира така, че да предпазва от познатите опасности. Една добра защитна стена може да предпазва от бъдещи опасности, само ако в нея се разрешат строго определени безопасни услуги. Но от конфигурирането не можем да изхождаме, че тя ще ни пази добре. Firewall не може да предпазва мрежата от вируси. Повечето защитни стени проверяват всъщност целия трафик, който минава през тях, за да установят, че данните са безопасни и да им позволят да преминат. Това са на практика само адресите на източника и получателя както и номерата на портовете. Не обаче съдържанието на данните. Прагматичното решение на проблема с вирусите са защитни програми на всеки отделен компютър и разясняването на потребителите за опасността от вируси и за подходящите защитни мерки. 3.3 Основни принципи на защита Има основни правила, които са общовалидни, независимо от използваните концепции.
Не се допускат user-и до Firewall системата Върху Firewall системата в никакъв случай не бива да съществуват User Logins. В краен случай най-много един waiting account. По този начин се избягват една голяма част от проблемите.
Само минимален брой услуги разрешени върху Firewall системата
Върху Firewall системата трябва да вървят само най-необходимите услуги. За най-ефективно трябва да се ограничат на практика всички услуги без SSH. Но SSH трябва да приема връзки само от вътрешната мрежа. Всяка разрешена услуга върху Firewall системата е едно потенциално слабо място за атака.
Поддържане на актуалния Snapshot на Firewall системата
Така може да се застрахова актуалното състояние на Firewall системата, в случай, че е предвиден пробив в нея, за да може по-късно да се анализира на спокойствие.
Ограничени права на достъп Най-фундаменталният принцип за сигурност и не само когато става дума за компютри и мрежи, е ограничаване на правата върху системата. Това означава, че потребители, администратори, програми, система и т.н. получават точно толкова права на достъп, колкото са им нужни за изпълняване на задачите. Този принцип ни предпазва от някои потенциални атаки и ограничава щетите, които се предизвикват от целенасочените атаки.
Многопластова защита Друг принцип на сигурността е защитата на много нива. Не трябва да се разчита само на един единствен механизъм за защита, колкото и надежден да ни изглежда. Изградете вместо него повече, подкрепящи се и взаимно допълващи се механизми.
Място за пропускане Едно такова място принуждава атакуващия да избере един ограничен път, който със сигурност можем да контролираме и защитаваме. Във връзка с мрежовата сигурност Firewall системата ни предоставя едно такова място, докато съществува една единствена връзка между вътрешната и външната мрежа. Всеки, който иска да влезе във вътрешната мрежа, трябва да следва този път. Мястото за пропускане обаче става безсмислено, когато се появи реална възможност, да бъде заобиколено.
Най-слабата част
Като основополагащо правило за мрежовата сигурност важи, че една верига е толкова силна, колкото нейната най-слаба част. Добрите хакери се опитват да намерят това място и се съсредоточават изцяло върху него. Тези слаби места трябва да са ни познати, за да можем да предприемем стъпки за тяхното отстраняване.
Без грешки
Един друг основен принцип за сигурността в Интернет се състои в това, колкото се може по-добре да се поддържа безгрешието на системата. Това означава, че при възникване на грешка, достъпът веднага се отказва, вместо заради правото да се разреши. Това може да доведе до премахване на упълномощени user-и, докато не се поправи грешката. Повечето описани тук приложения реагират автоматично безгрешно. Ако например някой router блокира при филтрирането на пакети, той не предава нататък повече пакети.Също когато блокира едно proxy, то не оказва повече услуги.
Ограничено държане Има две основни точки във връзка със стратегията на сигурност. При осъществяване на ограниченото държане , се разрешава само това, което искаме да използваме и забраняваме всичко останало. Така това което ни е непознато и всичко което би могло да бъде опасно се забранява.
Свободно държане Втората основна точка е свободното държане. Това се предпочита от крайните потребители и менажери. Разрешава се всичко,което не се изисква подчертано или специално да се забрани. Това без съмнение е несигурна основна точка, защото практически трябва да се познават всички тънкости и детайли в една система или в Интернет, което всъщност е невъзможно(за повечето крайни потребители). Има просто прекалено много потенциални опасности. 4. Изграждане на Firewall защитна система Основно важи, че:
Абсолютна сигурност няма Firewall подобрява леко сигурността, но не е 100%-ова защита от атакуващи.
Сигурността си има цена Застраховането на една система винаги е свързано с разходи (на средства, време...)
Сигурността рядко е удобна
Който иска да е сигурен, трябва да се лиши от удобства, защото повечето неща може да са удобни ама несигурни.
Основно при изграждането на Firewall защитна система 4.1 Филтриране на Пакети
Една защитна система за филтриране на пакети филтрира на ниво пакети, това означава, че тя решава в зависимост от :
IP-Протоколи от едно ниво (ICMP, UDP, TCP) Адрес на източника и на целта Порт на източника и на целта при TCP и UDP или Typecode при ICMP Входен и изходен interface
дали един пакет ще бъде предаден нататък или не. 4.2 Application Level Gateway Един Application Level Gateway залага на протоколите от високо ниво (HTTP, FTP, ...). Междувременно Gateway се задейства като Proxy между клиентите и действителния сървър. Gateway приема запитвания на клиента и в зависимост от неговата конфигурация ги предава или не, по нататък, към действителния сървър. 4.3 Системи с ДМЗ Това е и най-скъпоструващият вариант. При него между две Firewall системи се намира една така наречена ДМЗ (ДеМилитаризирана Зона), в която се намират общо достъпни услуги (Webserver и др.) Това означава че, първо между двете мрежи на всяка една се поставя пакетен филтър,като тези филтри са директно свързани. (Мрежа 1 – Пакетен филтър – Междинна мрежа –Пакетен филтър – Мрежа 2) Пакетния филтър пропуска данни между от на всяка една свързана директно с него мрежа до междинната мрежа и обратно. Една връзка от едната мрежа до пакетния филтър на другата или направо до другата е забранена. Междинната мрежа се казва точно ДМЗ (ДеМилитаризирана Зона). При това в ДМЗ се намират всички експортиращи навън системи (WWW-Server, FTP- Server, Gateways,...). от едната мрежа към другата за всички протоколи/услуги. Такива посредници се наричат Proxy –та, които работят когато им се даде задача за изпълнение (като един секретариат). Те работят на ниво приложение, това означава, че те разбират минаващата комуникация. Идеята зад ДМЗ е от една страна да се поставят повече бариери на пътя на потенциалния атакуващ и от
друга чувствителните системи да се отдалечат колкото се може по далеч от обсега му. Докато един атакуващ стигне да някоя машина от вътрешната мрежа, трябва да се “счупят” поне две Firewall системи и евентуално понататъшни системи – и при това той трябва да обезвреди и няколко аларми. Едно особено място заема графичния Firewall, който използва системите за работа почти само като такива за въвеждане и за представяне на приложенията върху десктопа. Приложенията всъщност вървят върху една централна система, върху която слабите места на нейната конфигурация и на приложния software могат да бъдат централно атакувани. 5. Firewall политика спрямо протоколите Основно трябва да важи принципа, че всичко, което принципно не е разрешено, е забранено. Трябва да се разрешени само връзки през Firewall системата, които могат да бъдат третирани като сигурни и които също са считани за необходими, например при incoming:
ssh, http ( когато Webserver е зад Firewall) ftp (когато FTP-Server е зад Firewall), smtp, евентуално по-нантъшни услуги
С изключение на ssh тези връзки трябва да са разрешени само за предвидените за тези услуги машини. При изходни връзки можем или да използваме отворено положение и принципно да разрешим всичко или да останем твърди на страната на сигурността и да позволим само определени връзки. Така например е обичайно да разрешим единствено outgoing http и то само през едно Proxy. Докато TCP протокола, който се грижи за пристигането на всички пакети, относително добре може да се проследи, това проследяване при UDP протокола ,които не се грижи дали пакетите са пристигнали, е практически невъзможно. Затова е обичайно и доста разумно UDP протокола или да се забрани изцяло (двустранно) или до порт 53 (DNS) . Дори когато този начин се прилага от някои администратори, то ICMP не би трябвало въобще да се забранява през защитната или поне не напълно , тъй като той пренася възникналите грешки при другите протоколи. Има различни съобщения за грешки като: destination-unreachable, Host unreachable oder No route to host. Без тези съобщения системата би се опитвала отново и отново да се свърже със сървъра. И това може да доведе до едно огромно мрежово
натоварване. Даже в някои случаи може да се стигне до блокиране на защитната стена. Затова би трябвало най – малко да се позволи "fragmenttation needet" и "unreachable". Наскоро спешно се е използвал за MTU-Discovery, без които транспорта на данните може да се понижи катастрофално.
6. FAQ Инсталирал съм две Desktop-Firewall системи. По-сигурен ли съм така? Nein, es ist eher wahrscheinlich, daß sich beide Produkte gegenseitig so behindern, daß neue Lücken entstehen. Не, даже е възможно, двата продукта взаимно да се увредят и да възникнат нови пропуски.
Имам една лична Firewall или също Desktop-Firewall за системата. Тя сигурна ли е така? Не. Без концепция, кое от какво трябва да предпазим, една Firewall система е опасна за потребителя. Без дълбоко разбиране за изработване на такава концепция не може да се построи и конфигурира такава система. Една Desktop-Firewall може да ти помогне да научиш повече за твоята система. Тя обаче не може да ти помогне без нищо, да бъдеш по-сигурен. По-добре е да бъдеш превантивно активен, както е описано в “Имам отворени портове, за какво са те?” и “Как мога да видя какво се случва върху моя Inerface/Network?” Може ли моята Desktop-Firewall да блокира случайно инсталиран троянски кон? Определено не. Троянският кон се инсталира по същият начин като Firewall софтуера. Как тогава да бъде забелязан?!? Как да реагираме при евентуална атака? Начин на защита. 1. Има ли опити на атака върху системата? Не -> Тогава преминаваме към 2. Да -> Изключваме системата от мрежата и се опитваме да установим вида на атака, документираме, архивираме и я отстраняваме ->преминаваме към 2. 2. Причинена ли е някаква вреда? Не -> Тогава преминаваме към 3. Да -> Установяване на нанесените щети ->преминаваме към 3. 3. Може ли този вид атака да се разпознава и избягва за в бъдеще? Не -> Еволюция на алтернативите и тяхното реализиране
Да -> Предприемане на крути мерки ->преминаваме към 4. 4. Атаката достатъчно сериозна ли е за да си заслужава да се обяви? Не -> е това е успокояващо Да -> Обявява се като се уведомят ISP .
В какво се състои разликата между един Hardware-и Softwarefirewall?
Почти всички Hardwarefirewalls се базират върху Software,който работи само върху специално избран Hardware. Преимуществата за този специален Hardware са следните:
a) Използват се само добре изпробвани системи с добре изпробвани драйвери.
b) Харддисковете не са предразположени към грешки Първата точка отстранява определени рискове по сигурността чрез един доста умален Code. Втората точка подобрява оптималността. От друга страна благодарение на голямото пазарно търсене Softwarefirewalls са по актуални и имат повече Features. (Hardwarefirewalls пък обвързват клиентите за един дълъг период от време.) Недостатъкът на Softwarefirewalls се състои в по голямата квота на грешки в по големият Codebasis. Всъщност има още Hardwarefirewalls без Software. Те използват различни физични ефекти като например достатъчни са 2 сантиметра въздух за да се защити една система от мрежови атаки. 7. Извод Firewalls в момента представлява най-често прилагания метод за защитаване на мрежа и, в повечето случаи, изглежда, че е непреодолима при атаките на 95% от хакерската общност. Още повече, че технологията firewall е oще в зародиш. Но те са били пробивани в миналото. Струва си също да се отбележи, че някои firewalls могат самите да причиняват проблеми със сигурността. Например, наскоро се установи, че Gopher proxy в продукта Raptor може, при определени обстоятелства, да остави Windows NT сървъра уязвим на за атаката denial-of-service. ( CPU нараства до близо 100 процента използване). Бъдещето на firewall технологията е наистина много интересно поле. Обаче, ако имате да защитавате наистина чувствителни данни (и те трябва да бъдат свързани с Интернет), ви препоръчвам да не използвате firewall (търговски или друг) като единствено средство за защита.
Използвана Литература:
1. URL: www.Firewall-Howto.de 2. URL: www.LutzDonnerhacke.de
3. URL: www.tecChannelFirewall-Grundlagen.de
4. URL: www.tecChannelFirewall-GrundlagenDefiniton.de
5. URL: www.tecChannelLinuxalsFirewall.de
