Sposoby zabezpieczania danych w systemach informatycznych przed nieupoważnionym dostępem lub zniszczeniem.

d) ściana ogniowa Firewall

Nazwa ściana ogniowa pochodzi z budownictwa, gdzie oznacza grubą, ognioodporną zaporę, która zabezpiecza część budynku przed rozprzestrzenianiem się ognia. Ściana ogniowa jest to swego rodzaju punkt kontrolny mający stanowić przeszkodę przed wtargnięciem z sieci rozległych nieuprawnionych osób do zasobów naszej sieci lokalnej. Ściana, która zapewnia routing między prywatną siecią a Internetem, jednocześnie bada wszystkie komunikaty przesyłane pomiędzy tymi dwiema sieciami, przekazuje je dalej albo usuwa w zależności od spełnienia przez nie zaprogramowanych reguł polityki bezpieczeństwa. Historycznie systemy Firewall powstały w celu bronienia się przed atakami z Internetu, ale coraz częściej stosowane są do obrony przed atakami z wewnątrz sieci. Należą one do najbardziej skutecznych rozwiązań problemu bezpieczeństwa sieci.

Ze względu na swoją kluczową rolę ściany ognia, instalowane są na ogół pomiędzy sieciami LAN i WAN, na granicach sieci. Z tego powodu firewall uważany jest za gwaranta bezpiecznej granicy. Pojęcie gwaranta bezpiecznej granicy jest ważne, ponieważ bez niego każda stacja w sieci musiałaby samodzielnie wykonywać funkcje ściany, niepotrzebnie zużywać swoje zasoby obliczeniowe i zwiększać ilość czasu potrzebnego do połączenia, uwierzytelnienia i szyfrowania danych. Utworzenie pojedynczego punktu, przez który musi przepływać cały ruch, pozwala także łatwiej go monitorować i kontrolować oraz pozwala scentralizować wszystkie zewnętrzne usługi sieciowe na komputerach, które są dedykowane i zoptymalizowane pod kątem tej pracy.

Zakres funkcjonalny ściany ogniowej obejmuje kontrolę dostępu do usług systemu prowadzoną w stosunku do użytkowników zewnętrznych. Czasami zezwala się także, aby pracownicy dokonywali zdalnych połączeń z systemem informatycznym organizacji za pośrednictwem sieci Internet, pracując na swoich domowych komputerach. Firewall po zidentyfikowaniu użytkownika dokonuje uwierzytelnienia jego tożsamości poprzez:

- hasło (wielokrotnego użytku, jednorazowe),

- systemy biometryczne,

- karty magnetyczne lub mikroprocesorowe.

Kolejną funkcją ściany ogniowej jest ograniczanie liczby dostępnych usług odnosi się zarówno do blokowania serwerów funkcjonujących w sieci prywatnej jak i tych w Internecie. Kierując się względami bezpieczeństwa sieci wewnętrznej celowo możemy ograniczyć dostępność określonych usług dla użytkowników zewnętrznych. Podobnie możemy postąpić z lokalnymi użytkownikami ograniczając im dostęp do serwisów informacyjnych WWW i FTP.

Skanowanie serwisów sieciowych jest najczęściej prowadzone w stosunku do popularnych usług internetowych: WWW, FTP i poczty elektronicznej. Firewall nadzoruje sposób i charakter wykorzystania tych usług, w oparciu o pewne ustalone reguły ochronne i organizacyjne. Przykładowo można określić o której godzinie, w których dniach tygodnia i z jakich komputerów pracownicy firmy mogą korzystać z zasobów odpowiednich serwerów WWW bądź FTP.

Głównym zadaniem zapory ogniowej jest jednak wykrywanie i eliminowanie prób włamania do systemu, od której w dużej mierze zależy bezpieczeństwo całej organizacji. Firewall powinien być tak skonfigurowany, aby odeprzeć wszelkie znane typy ataków, począwszy od ataków typu Denial of Service, poprzez ataki ukierunkowane na gromadzenie informacji, a skończywszy na atakach ukierunkowanych na eksploatację.

Ważną funkcją jest także ochrona danych przesyłanych w sieci publicznej sprowadza się ona do tworzenia wirtualnych sieci prywatnych (ang. Virtual Private Network - VPN). Wirtualna sieć prywatna jest to sieć logicznych kanałów transmisji danych, tworzonych na bazie sieci publicznej, otwieranych (najczęściej) na czas transferu danych pomiędzy stacjami Firewall sieci prywatnych, poprzez które odbywa się przesyłanie informacji w formie zaszyfrowanej. Możliwe jest także tworzenie sieci VPN pomiędzy firewall i odległymi komputerami (PC, notebook) użytkowników.

Wirtualne sieci prywatne VPN funkcjonują w dwóch podstawowych trybach pracy:

- tryb transportowania (ang. transport mode),

- tryb tunelowania (ang. tunnel mode).

Ochrona systemu przed niebezpiecznymi programami odnosi się głównie do rozszerzeń możliwości serwisu informacyjnego WWW, ze względu na możliwość uruchamiania w ramach strony HTML programów Java, JavaScript, VisualBasicScript oraz ActiveX. Nie zawsze można ufać, że sprowadzone z Internetu aplikacje nie wyrządzą szkody w naszym systemie. Współczesne systemy firewall mają możliwość blokowania dodatków do stron HTML, które pochodzą z określonych serwerów WWW.

Monitorowanie bieżącego stanu komunikacji sieciowej umożliwia administratorowi wczesne zapobieganie określonym niekorzystnym zjawiskom np. włamaniom, dużemu obciążeniu rutera. Na podstawie bieżącego stanu komunikacji, można dokonywać modyfikacji parametrów ściany ogniowej.

Rejestrowanie ważnych zdarzeń umożliwia tworzenie raportów okresowych z działalności zapory ogniowej oraz pomaga w wykrywaniu sprawców łamania zasad przyjętej polityki ochrony systemu. Na podstawie analizy zdarzeń z pewnego okresu, administrator może dokonywać modyfikacji ściany ogniowej w celu wzmocnienia szczelności systemu ochrony.

Równoważenie obciążenia serwerów sieciowych (ang. load balancing) jest uzasadnione w przypadku organizacji, które świadczą atrakcyjne usługi w sieci Internet. Pojedynczy serwer może wówczas być niewystarczający, a zastosowanie dodatkowych często powoduje, iż jeden komputer jest nadmiernie obciążony a inne pozostają prawie bezczynne. Firewall może przechwytywać zgłoszenia napływające od klientów z sieci zewnętrznej i kierować je do obsługi na wybrany serwer, zgodnie z pewnym przyjętym algorytmem rozdziału zadań.

Na firewall składać się może wiele różnorodnych technik obronnych, z których najprostsze obejmują:

• filtrowanie pakietów, czyli sprawdzanie źródeł pochodzenia pakietów danych i akceptowanie jedynie tych z określonych domen, adresów IP bądź portów

• stosowanie procedur identyfikacji użytkownika, np. przy pomocy haseł bądź cyfrowych certyfikatów

• uzupełnienie programów obsługujących pewne protokoły (np. FTP lub Telnet) o mechanizmy zabezpieczające

• całkowite wyłączenie wybranych usług

Większość systemów firewall dla zwiększenia skuteczności łączy w sobie dwie lub więcej różnych technik obronnych. Ściana ogniowa może także funkcjonować jako zapora dwustronna, z jednej strony strzegąc dostępu do prywatnych zasobów np. przedsiębiorstwa, z drugiej - kontrolując materiały sprowadzane przez jego pracowników z Internetu (spełnia wtedy funkcje serwera proxy).

Monitorowanie bieżącego stanu komunikacji sieciowej oraz wgląd do plików dziennika (gdzie firewall zapisuje wszystkie ważne zdarzenia) umożliwiają administratorowi systemu podjęcie zawczasu odpowiednich czynności i dokonywanie bieżącej modyfikacji parametrów ściany ogniowej. Właściwa konfiguracja powinna pozwolić odeprzeć wszelkie znane typy ataków (ataki DoS (Denial of Service), ataki ukierunkowane na gromadzenie informacji, ataki ukierunkowane na eksploatację, itp.).

1

---