Internet bez obaw

Internet jest bez wątpienia największym ogólnie dostępnym źródłem informacji na świecie. Dla wielu organizacji jednym z najistotniejszych czynników ograniczających swobodny dostęp do jego zasobów jest bezpieczeństwo. Firmy, które przechowują w swoim systemie informatycznym strategiczne dane (np. informacje, których kompromitacja może doprowadzić do upadku organizacji) obawiają się stałego połączenia z Internetem, z uwagi na oczywisty fakt, iż nawet najbardziej zaawansowane zabezpieczenia nie gwarantują 100% bezpieczeństwa.

Często zdarza się, że pracownicy organizacji bez oficjalnej zgody kierownictwa korzystają z zasobów Internetu poprzez łączność modemową DIAL-UP, za pośrednictwem publicznego dostawcy usług internetowych, narażając tym samym swoją firmę na dużo większe niebezpieczeństwo niż w przypadku stałego połączenia do Internetu poprzez dobrze skonfigurowany i odpowiednio administrowany system zaporowy FIREWALL. Użytkownik, który samodzielnie łączy się z Internetem przez modem ze swojej stacji roboczej PC jest narażony na:

  • utratę poufności danych zawartych na twardym dysku komputera
  • utratę poufności danych zawartych na podłączonych dyskach sieciowych
  • sprowadzenie wirusa komputerowego, bakterii lub innego "złośliwego" programu zawartego w załączniku do poczty, stronie WWW, pliku FTP, itp.
  • sprowadzenie "konia trojańskiego, który np. przy następnym połączeniu skopiuje pliki lokalne i prześle je na wybraną maszynę w Internecie.

Rozwiązaniem tego problemu może być wydzielenie dedykowanych stanowisk dostępu do Internetu, chronionych poprzez FIREWALL, które nie są podłączone do sieci organizacji i służą wyłącznie do pracy w Internecie (patrz rys 1).

Podczas planowania systemu zaporowego należy opracować strategię bezpieczeństwa FIREWALL, zaprojektować odpowiednią architekturę systemu oraz wybrać takie oprogramowanie i sprzęt, które umożliwią wdrożenie przyjętej strategii ochrony oraz pozwalą na sprawne zarządzanie tegoż systemu. Należy pamiętać, iż FIREWALL to nie tylko oprogramowanie.Jest to dedykowany system komputerowy, którego architektura zależy od potrzeb i specyfiki chronionej sieci komputerowej.

Ogólnie, wyróżnia się trzy podstawowe architektury systemów zaporowych:

  • brama sieciowa (ang. dual-homed gateway)
  • ekranowany host (ang. screened host)
  • ekranowana podsieć (ang. screened subnet).

Najbardziej popularna jest architektura bramy sieciowej, w której wszystkie zadania FIREWALL są realizowane na stacji gateway łączącej chronioną sieć lokalną ze światem zewnętrznym. W tym rozwiązaniu FIREWALL wykonuje rutowanie pakietów danych z/do sieci prywatnej i dzięki temu może dokładnie analizować wszystkie połączenia sieciowe (pod warunkiem oczywiście, że nie ma innego niekontrolowanego dostępu do sieci np. przez prywatny modem użytkownika). Słabym ogniwem tej architektury jest sam gateway, który pełni najważniejszą funkcję ochrony sieci i z reguły nie jest chroniony poprzez inny mechanizm zabezpieczenia. Nietrudno się domyślić, że aby włamać się do takiego systemu najlepiej znaleźć inną, niekontrolowaną drogę do sieci lub zaatakować sam FIREWALL.
 

Rys 1) Wydzielony segment dostępu do Internetu.

System zaporowy o architekturze ekranowanego hosta składa się z rutera ekranującego (ang. screening router) i dedykowanego komputera, funkcjonującego w sieci lokalnej, określanego jako Bastion Host. Oba komponenty są ze sobą ściśle zsynchronizowane. Ruter ekranujący to ruter wyposażony w mechanizm filtracji pakietów, który stanowi pierwszą linię ochrony i zapewnia, aby wszystkie napływające i wypływające pakiety do/z sieci prywatnej przechodziły przez Bastion Host tak, aby ten mógł kontrolować całość komunikacji sieciowej prowadzonej pomiędzy siecią lokalną i siecią zewnętrzną.

Najbardziej złożoną strukturę posiada architektura ekranowanej podsieci, która jest rozszerzeniem koncepcji ekranowanego hosta i zakłada stworzenie oddzielnego segmentu sieci dla stacji Bastion Host, rozmieszczonego pomiędzy siecią lokalną i siecią zewnętrzną. Ekranowana podsieć stanowi dodatkową fizyczną warstwę zabezpieczeń systemu, która ma za zadanie szczelnie odizolować sieć prywatną od świata zewnętrznego. Zaletą tego rozwiązania w porównaniu do architektury ekranowanego hosta jest to, iż w przypadku przeprowadzenia pomyślnej próby włamania na Bastion Host, intruz nie uzyskuje możliwości bezpośredniego podsłuchiwania sieci prywatnej (ang. sniffing), ponieważ znajduje się w innej sieci fizycznej. Dodatkowo, zewnętrzna podsieć systemu może z powodzeniem zostać wykorzystana do instalacji serwerów, które świadczą usługi na zewnątrz organizacji np. WWW, FTP.

Planowanie strategii bezpieczeństwa systemu zaporowego sprowadza się do określenia zasad, norm i procedur ochrony sieci prywatnej przed niepożądaną ingerencją z zewnątrz. Strategia bezpieczeństwa to nie tylko reguły filtracji pakietów, to także wiele innych istotnych czynników warunkujących prawidłowy poziom zabezpieczenia np.:

  • przeciwdziałanie infekcji wirusem komputerowym z sieci
  • ukrywanie wewnętrznej struktury systemu
  • szyfrowanie i uwierzytelnianie danych przesyłanych w sieci publicznej (tworzenie wirtualnych sieci prywatnych VPN – Virtual Private Network)
  • przeciwdziałanie przenikania do systemu "złośliwych" apletów Java, ActiveX i innych załączników do stron WWW
  • metody bezpiecznego administrowania FIREWALL
  • ochrona serwera poczty elektronicznej
  • procedury reagowania na zdarzenia
  • metody powiadamiania administratora w sytuacjach wyjątkowych
  • okresowe testy systemu zaporowego pod względem szczelności i efektywności
  • procedury analizowania danych archiwalnych
  • metody uwierzytelniania tożsamości użytkowników
  • procedury tworzenia kopii zapasowych BACK-UP
  • plany awaryjno-ewakuacyjne, itd.

Podczas wyboru oprogramowania należy zwrócić uwagę na zakres funkcjonalny, zastosowaną technologię oraz referencje określonego rozwiązania. Współczesne zaawansowane systemy zaporowefunkcjonują w oparciu o technologię aplikacji pośredniczącej PROXY lub dynamiczną filtrację pakietów Stateful Inspection. Pierwsza generacja FIREWALL funkcjonująca w oparciu o technologię statycznej filtracji pakietów obecnie nie jest już w stanie sprostać zadaniu pełnej i efektywnej ochrony sieci komputerowej.

Jednym z dominujących rozwiązań na rynku jest produkt izraelskiej firmy Checkpoint Software Technologies, rozprowadzany nazwą FireWall-1. Funkcjonowanie FireWall-1 opiera się na kombinacji technologii PROXY i dynamicznej filtracji pakietów SMLI (Stateful Multi-Layer Inspection). SMLI dokonuje kontroli pakietów danych w kontekścieotwartej komunikacji sieciowej, prowadząc inspekcję we wszystkich warstwach komunikacyjnych, w tym także danych aplikacyjnych. Dzięki temu, FireWall-1 może np. precyzyjniekontrolować aplikacje sieciowe funkcjonujące na bazie transportu bezpołączeniowego UDP (User Datagram Protocol) oraz programy działające w oparciu o protokół zdalnego wywoływania procedur RPC (Remote Procedure Call), gdzie numer portu serwera jest nadawany dynamicznie.

FireWall-1 posiada bardzo szeroki zakres funkcjonalny. Produktumożliwia prowadzenie kontroli antywirusowej załączników do poczty i plików przesyłanych przez FTP, wspiera konfigurację bezpiecznego serwera poczty elektronicznej, kontroluje WWW pod względem zawartości apletów Java, ActiveX i innych dodatków do HTML, prowadzi wykrywanie i eliminowanie ataków"Spoofing" i "SYN Flood", równoważy obciążenie serwerów sieciowych oraz wykonuje wiele innych zadań. Dużą zaletą FireWall-1 jest przyjazne środowisko administracyjne dostępne w trybie tekstowym i graficznym. Dodatkową własnością Firewall-1 jest możliwość tworzenia wirtualnych sieci prywatnych VPN oraz elastyczny mechanizm translacji i ukrywania adresów IP w sieci lokalnej. Jeżeli chodzi o referencje to wg badań przeprowadzonych przez IDC (International Data Corporation) ponad 44% wszystkich komercyjnie wykorzystywanych FIREWALL na świecie to FireWall-1. Obecnie, FireWall-1 w wersji 3.0 jest dostępny na platformę Solaris (Sparc, Intel), HP-Unix, AIX oraz Windows NT.

Zaprezentowane rozwiązanie dostępu do Internetu jest bez wątpienia bezpieczne dla organizacji, jednak sprawia wiele uciążliwości dla użytkowników, którzy chcieliby wykorzystywać usługi internetowe ze swoich stacji roboczych.

Okazuje się, iż istniejemożliwość realizacji swobodnego dostępu do Internetu bez narażania systemu informatycznego organizacji. Rozwiązanie to opiera się na koncepcji prywatnego dostawcy usług internetowych (patrz rys 2) i jest pewną modyfikacją poprzednio omawianej konfiguracji (patrz rys 1). W miejsce wydzielonych stanowisk dostępu do Internetu wprowadzono dobrze zabezpieczony serwer wyposażony w pulę modemów. Serwer zawiera implementacjęmechanizmu CALL-BACK, który zapewnia, że z jego usługmogą korzystać wyłącznie upoważnieni pracownicy organizacji. Szyfrowanie łączności modemowej gwarantuje, iż hasła dostępu do serwera nie zostaną podsłuchane w trakcie identyfikacji i potwierdzania tożsamości użytkowników.

Rys 2) Dostęp do Internetu poprzez prywatnego dostawcę.

Zabezpieczenie serwera dostępu do Internetu powinno odbywać się poprzez dedykowany system zaporowy, jednak nie jest zalecane, aby był to ten sam produkt, który chroni całość systemu (na rysunku FireWall-1). Bardzo dobrym rozwiązaniem jest Solstice SunScreen SPF-200, który stosuje unikalną technikę ukrywania swoich interfejsów sieciowych i dzięki temu jest niewidoczny w sieci, co sprawia że system zaporowy nie może zostać bezpośrednio zaatakowany. SunScreen SPF-200 jest produktem firmy SUN Microsystems dedykowanym do ochrony sieci korporacyjnych, którego funkcjonowanie bazuje na technologii dynamicznej filtracji pakietów i protokole SKIP, umożliwiającym tworzenie rozległych wirtualnych sieci prywatnych VPN.

Konfiguracja prezentowanego rozwiązania (patrz rys 2) zakłada, iż FireWall-1 i SunScreen SPF-200 uzupełniają i ubezpieczają się wzajemnie tak, aby wykrycie pierwszego niedozwolonego pakietu na SunScreen informowało administratora, że FireWall-1 został przełamany (lub jest nieprawidłowo skonfigurowany) i należy niezwłocznie zablokować serwer dostępu do Internetu. FireWall-1 i SunScreen są to dwie różne technologie i jest nieprawdopodobne, aby zostały przełamane w tym samym czasie. Nawet jeżeli by do tego doszło i serwer dostępu znalazł się w niepowołanychrękach to nie stanowi to zagrożenia dla sieci organizacji, ponieważ serwer nie jest do niej fizycznie podłączony, a przeprowadzenie ataku na stacje robocze pracujące w trybie DIAL-UP nie jest możliwebez wcześniejszego gruntownego przygotowania.

Zabezpieczenie komunikacji modemowej może zostać zrealizowane w oparciu o protokół SKIP (Simple Key management for Internet Protocols), którego implementacja powinna być obecna na każdej stacji roboczej użytkownika i serwerze dostępu do Internetu. W przypadku wyboru systemu operacyjnego Solaris jako platformy serwera dostępu można wykorzystać oprogramowanie SKIP for Solaris. Implementacja SKIP dla komputerów pracuj ących na Windows 95 jest zawarta w oprogramowaniu Solstice PC-SKIP, które oprócz ochrony przesyłanych informacji może zostać użyte do zabezpieczenia stacji PC przed niepowołanym dostępem z sieci.

Protokół SKIP został opracowany przez firmę SUN Microsystems z myślą o zastosowaniach w rozległych sieciach komputerowych (np. Internet). SKIP umożliwia prowadzenie kontroli dostępu do systemu, szyfrowanie i uwierzytelnianie przesyłanych w sieci danych oraz zarz ądzanie kluczy kryptograficznych. Ochronaprzesyłanych w sieci informacji realizowana jest w oparciu o kombinację systemów kryptograficznych klucza publicznego i klucza dzielonego. Wartości kluczy szyfrowania danych są generowane losowo i ulegają zmianie co 30 sekund lub po zaszyfrowaniu 512K danych.

Przeprowadzenie skutecznego ataku z Internetu wymagałoby przełamania szeregu zaawansowanych zabezpieczeń, które uzupełniają i asekurują się wzajemnie.Można wyró żnić następujące podstawowe warstwy ochrony:
 

  1. obwodowy system zaporowy FireWall-1
    • blokada połączeń sieciowych inicjowanych z Internetu, które nie są skierowane do serwera poczty elektronicznej i serwerów ogólnodostępnych (np. WWW, FTP)
    • blokada połączeń sieciowych inicjowanychz serwera poczty elektronicznej i serwerów ogólnodostępnych
    • nadzorowanie wykorzystania usług internetowych (np. można ustalić w jakim czasie użytkownicy mogą korzystać z określonych serwerów WWW i FTP)
    • kontrola antywirusowa załączników do poczty i plików przesyłanych przez FTP
    • kontrola apletów Java, ActiveX, JBS i innych dodatków do stron WWW
    • ochrona serwera poczty elektronicznej (poprzez Mail-Proxy)
    • wykrywanie i eliminowanie "Spoofing", "SYN Flood", itp.
  2. ubezpieczający system zaporowy SunScreen SPF-200
    • blokada połączeń sieciowych inicjowanych z Internetu
    • sygnalizacja ewentualnej nieszczelnościFireWall-1
  3. warstwa ochrony serwera dostępu SKIP for Solaris
    • blokada połączeń sieciowych inicjowanych z Internetu
    • blokada niedozwolonych połączeń sieciowych inicjowanych z sieci prywatnej
    • kontrola tożsamości użytkowników w trakcie logowania do systemu
    • szyfrowanie i uwierzytelnianie transmisji modemowej
    • sygnalizacja ewentualnej nieszczelnościFireWall-1 i SunScreen SPF-200
  4. mechanizm CALL-BACK
    • blokada niedozwolonych połączeń modemowych (dodatkowo można zablokować niedozwolone numery na centrali telefonicznej)
  5. warstwa ochrony stacji roboczych PC-SKIP
    • blokada połączeń sieciowych inicjowanych z Internetu
    • blokada połączeń sieciowych inicjowanych z serwera dostępu do Internetu
    • blokada niedozwolonych połączeń sieciowych inicjowanych z sieci prywatnej
    • szyfrowanie i uwierzytelnianie transmisji modemowej
    • sygnalizacja ewentualnej nieszczelnościinnych zabezpieczeń.

Prawidłowa konfiguracja systemu zakłada, iż przełamanie jednej z wyżej wymienionych warstw zabezpieczenia jest automatycznie sygnalizowane na pozostałych.Można przyjąć, że przedstawione rozwiązanie jest w pełni bezpieczne dla systemu informatycznego organizacji mimo, iż użytkownicy posiadają dostęp do usług internetowych ze swoich stacji roboczych. Wprowadzenie tak wielu zabezpieczeń niewątpliwie powoduje obni żenieprzepustowości połączenia z Internetem, co znacząco zmniejsza komfort użytkowania jego zasobów, jednak pozwala na prowadzenie bardzo szczegółowejkontroli komunikacji pomiędzy siecią lokalną i światem zewnętrznym. Przedstawione rozwiązanie jest jednym z możliwych wariantów.

Od autora: Więcej informacji na temat zabezpieczenia systemów komputerowych można znaleźć w publikacji książkowej "Ochrona informacji w sieciach komputerowych", która uka że się na początku tego roku i którą państwu serdecznie polecam.

1998, Mariusz Stawowski

 © 1991 - 2009 Clico Sp z o.o., Kraków, Data ostatniej modyfikacji: 2009-04-01 | Potrzebuję dodatkowych informacji | Zastrzeżenie prawne