Σκοπιµότητα των firewalls Παρέχουν προστασία των εσωτερικών δικτύων από απειλές όπως: Μη εξουσιοδοτηµένη προσπέλαση των δικτυακών πόρων: όταν επίδοξοι εισβολείς προσπαθούν να εισχωρήσουν στο δίκτυο και να αποκτήσουν µη εξουσιοδοτηµένη προσπέλαση στα αρχεία Άρνηση εξυπηρέτησης (denial of service): όταν κάποιος εξωτερικός παράγοντας γεµίζει τους διαθέσιµους ελεύθερους χώρους των δίσκων ή υπερφορτώσει τις γραµµές του δικτύου στέλνοντας µυριάδες µηνυµάτων σε έναν από τους εξυπηρετητές του δικτύου Προσποίηση (masquerade): όταν τα εισερχόµενα µηνύµατα φαίνονται ότι προέρχονται από νόµιµο χρήστη ενώ στην πραγµατικότητα έχουν παραποιηθεί από άλλον Προστασία επικοινωνιών Firewalls 1
Ορισµοί Είναι το λογισµικό που επιτρέπει την προσπέλαση των εξωτερικών χρηστών στο προστατευόµενο δίκτυο, µόνο εφόσον διαθέτουν συγκεκριµένα χαρακτηριστικά Κριτήρια πρόσβασης εξωτερικών χρηστών: ονόµατα χρηστών και κωδικοί πρόσβασης IP addresses domain names Παρέχει ένα ζεύγος µηχανισµών που ο ένας εµποδίζει την κυκλοφορία δεδοµένων και ο άλλος επιτρέπει τη ροή τους Προστασία επικοινωνιών Firewalls 2
Ορισµοί Εσωτερικό δίκτυο Εξωτερικά δίκτυα Φίλτρο Firewall Φίλτρο Προστασία επικοινωνιών Firewalls 3
Ορισµοί Ως σύστηµα firewall µπορεί να θεωρηθεί : µια διάταξη δροµολόγησης (router) ένα PC ένας διακοµιστής ή ένα σύνολο διακοµιστών που οχυρώνουν µια δικτυακή τοποθεσία ή ένα υποδίκτυο από πρωτόκολλα και υπηρεσίες οι οποίες µπορούν να προσβληθούν από διακοµιστές εκτός του υποδικτύου Προστασία επικοινωνιών Firewalls 4
Βασικές Τεχνικές Προστασίας A. πύλες φιλτραρίσµατος πακέτων (packet filtering gateways) ή δροµολογητές φιλτραρίσµατος (screening router) B. πύλες κυκλωµάτων (circuit gateways) C. πύλες εφαρµογών (application gateways) Σηµαντικό: µια ολοκληρωµένη υπηρεσία firewall συνήθως παρέχεται µε συνδυασµό των παραπάνω τεχνικών Προστασία επικοινωνιών Firewalls 5
Α. Screening Router Ορισµός: ένας ειδικός υπολογιστής ή κάποια ηλεκτρονική συσκευή που µπορεί να προγραµµατιστεί αποµακρυσµένα, που φιλτράρει συγκεκριµένα πακέτα, µε βάση κάποια ήδη ορισµένα κριτήρια. ο προγραµµατισµός των κριτηρίων γίνεται µε χρήση ειδικού λογισµικού για routers ή switches τα κριτήρια αυτά υλοποιούν την επιλεγµένη πολιτική ασφάλειας τα κριτήρια υποδεικνύουν στον screening router πώς θα χειριστεί τα πακέτα εισόδου στο σύστηµα, µε βάση την κεφαλίδα αυτών αφού ολοκληρωθεί ο προγραµµατισµός του screening router, τοποθετείται ακριβώς στο σηµείο σύνδεσης του εσωτερικού δικτύου µε το εξωτερικό δίκτυο (π.χ. Internet) Προστασία επικοινωνιών Firewalls 6
Παράµετροι κριτηρίων επιλογής Α. Screening Router IP διεύθυνση προέλευσης και προορισµού (µπορούν να χρησιµοποιηθούν και µάσκες διευθύνσεων) αριθµός θύρας προέλευσης και προορισµού πρωτόκολλο (π.χ. TCP, UDP, ICMP) κατεύθυνση (αν το πακέτο εισέρχεται/εξέρχεται στο/από εσωτερικό δίκτυο) Προστασία επικοινωνιών Firewalls 7
Α. Screening Router Απόρριψη συγκεκριµένων χρηστών IP FTP Απόρριψη συνδέσεων FTP Εσωτερικό δίκτυο Router Internet Προστασία επικοινωνιών Firewalls 8
Πλεονεκτήµατα Α. Screening Router Είναι πολύ γρήγορες τεχνικές (δρουν στα χαµηλά OSI επίπεδα) Ελέγχουν την κυκλοφορία ακόµη και στη βάση µιας συγκεκριµένης εφαρµογής Μειονεκτήµατα εν εξετάζεται το περιεχόµενο ενός πακέτου εν προσφέρει επαρκείς µηχανισµούς επίβλεψης και ειδοποίησης κινδύνου εν προστατεύουν από επιθέσεις IP spoofing Προστασία επικοινωνιών Firewalls 9
B. Circuit Gateways Χρησιµοποιούν ένα proxy server ως ενδιάµεσο µεταξύ του εσωτερικού και του εξωτερικού δικτύου Ο proxy επιτρέπει τη χρήση υπηρεσιών που βασίζονται στα πρωτόκολλα TCP και UDP Ο proxy καταγράφει την ποσότητα των µεταβιβαζόµενων δεδοµένων και τον προορισµό τους Ο proxy εξετάζει το περιεχόµενο των µηνυµάτων Πλεονέκτηµα: είναι εύκολοι στη διαχείριση Προστασία επικοινωνιών Firewalls 10
Γ. Application Gateways Χρησιµοποιούν ένα proxy server ως ενδιάµεσο µεταξύ του εσωτερικού και του εξωτερικού δικτύου για κάθε διαφορετική παρεχόµενη υπηρεσία. Ο κάθε proxy: ελέγχει τη χρήση της αντίστοιχης υπηρεσίας απαιτεί την ταυτοποίηση και την πιστοποίηση των χρηστών καταγράφει την ποσότητα των µεταβιβαζόµενων δεδοµένων που περνούν από αυτόν και τον προορισµό τους εξετάζει το περιεχόµενο των µηνυµάτων που περνούν από αυτόν µπορεί να εξετάζει και τις κεφαλίδες των µηνυµάτων που περνούν από αυτόν Προστασία επικοινωνιών Firewalls 11
Γ. Application Gateways Πλεονεκτήµατα: προσφέρουν εύκολη διαχείριση προσφέρει ολοκληρωµένη ασφάλεια Μειονέκτηµα προσφέρει µικρότερη ταχύτητα Προστασία επικοινωνιών Firewalls 12
. Υβριδικές Τεχνικές α. Συνδυασµός φιλτραρίσµατος πακέτων µε πύλες εφαρµογών συνδυασµός σε σειρά ενός proxy µε µια διάταξη φιλτραρίσµατος πακέτων β. Stateful Inspection κάθε πακέτο εξετάζεται και αποµονωµένα, αλλά και σε σχέση µε πληροφορίες προηγούµενων πακέτων διατηρείται µια βάση δεδοµένων που συνεχώς ενηµερώνεται αποθηκεύονται όλες οι πληροφορίες κατάστασης και περιεχοµένου για κάθε επικοινωνία µια επικοινωνία επιτρέπεται ή απαγορεύεται αυτόµατα Προστασία επικοινωνιών Firewalls 13
β. Stateful Inspection (συνέχεια). Υβριδικές Τεχνικές η προσθήκη υποστήριξης νέων υπηρεσιών γίνεται µε χρήση µιας πανίσχυρης γλώσσας προγραµµατισµού υψηλού επιπέδου (inspect language) Πλεονεκτήµατα παρέχεται σηµαντική επεκτασιµότητα προσφέρει δυνατότητα φιλτραρίσµατος για steteless πρωτόκολλα, όπως UDP και RPC αν έχουν διαµορφωθεί σωστά είναι το πιο δύσκολο να παραβιαστούν Προστασία επικοινωνιών Firewalls 14
Αρχιτεκτονικές Firewall Τα µέρη που µπορεί να διακρίνει κανείς στη σχεδίαση ενός συστήµατος firewall είναι τα εξής: µηχανισµός φίλτρου πακέτων λογισµικό υλοποίησης πυλών σε επίπεδο εφαρµογής Domain Name Service DNS: για την απόκρυψη των εσωτερικών IP διευθύνσεων µηχανισµός διαχείρισης ηλεκτρονικών γραµµάτων ασφαλές λειτουργικό σύστηµα Προστασία επικοινωνιών Firewalls 15
A. Dual homed host Αρχιτεκτονικές Firewall Host µε 2 κάρτες δικτύου Εσωτερικό δίκτυο Internet Card Card Προστασία επικοινωνιών Firewalls 16
B. Screened host Αρχιτεκτονικές Firewall Οχυρωµένος κόµβος Εσωτερικό δίκτυο Router Internet Firewall Προστασία επικοινωνιών Firewalls 17
Αρχιτεκτονικές Firewall Γ. Screened subnet Οχυρωµένος κόµβος Εσωτερικό δίκτυο Router Router Internet Firewall Προστασία επικοινωνιών Firewalls 18
Γενικές κατευθύνσεις για χρήση Firewall Το σύστηµα firewall να είναι η µόνη ορατή διεύθυνση προς τον έξω κόσµο Οι ισχυροί µηχανισµοί πιστοποίησης χρηστών να γίνονται σε επίπεδο εφαρµογής Οι proxy servers να κάνουν λεπτοµερή καταγραφή σε επίπεδο εφαρµογής Όλες οι αιτήσεις για διάφορες υπηρεσίες να διέρχονται µέσω των proxy servers (συµπεριλαµβανοµένων των νεοεισερχοµένων) Όλη η διαχείριση του συστήµατος firewall να γίνεται από τοπικό τερµατικό και όχι αποµακρυσµένα Προστασία επικοινωνιών Firewalls 19
Γενικές κατευθύνσεις για χρήση Firewall Οι διαχειριστές των συστηµάτων firewall να είναι έµπειροι και να ενηµερώνονται συνεχώς Να δηµιουργούνται σε τακτά χρονικά διαστήµατα backups του λογισµικού και των δεδοµένων του συστήµατος firewall Να υπάρχει έτοιµο εφεδρικό σύστηµα firewall µε τις σωστές ρυθµίσεις, ώστε να χρησιµοποιηθεί ανά πάσα στιγµή Προστασία επικοινωνιών Firewalls 20
Πλεονεκτήµατα χρήσης Firewall Επιτρέπει αποτελεσµατικά την επιβολή της πολιτικής ασφάλειας Προστατεύει από ευπαθείς υπηρεσίες δικτύων Καταγράφει τη διερχόµενη πληροφορία και ειδοποιεί σε περίπτωση κινδύνου Επιβάλλει ελεγχόµενη προσπέλαση στους πόρους του εσωτερικού δικτύου Κρύβει την πληροφορία για το εσωτερικό δίκτυο προς τον έξω κόσµο Συγκεντρώνει υπηρεσίες ασφάλειας σε µια καλά ορισµένη και οχυρωµένη ζώνη Μπορεί να λειτουργήσει και ως πύλη κρυπτογράφησης Προστασία επικοινωνιών Firewalls 21
Μειονεκτήµατα χρήσης Firewall εν προστατεύει από εσωτερικούς χρήστες Μπορούν να προστατεύσουν ένα δίκτυο µόνο εφ όσον ελέγχουν πλήρως την περίµετρό του Μπορούν να διαπεραστούν Αποτελούν το στόχο των επίδοξων επιτιθέµενων ιαθέτουν περιορισµένο έλεγχο πάνω στο περιεχόµενο µηνυµάτων Απαιτούν σωστή εγκατάσταση, διαµόρφωση και ακριβείς ρυθµίσεις Προστασία επικοινωνιών Firewalls 22
Βιβλιογραφία Hacker Proof, Lars Klander, Jamsa Press, 1997 Ασφάλεια Πληροφοριακών Συστηµάτων και ικτύων, Γ. Πάγκαλος και Ι. Μαυρίδης, ΑΝΙΚΟΥΛΑ, 2002. Προστασία επικοινωνιών Firewalls 23