Embed Size (px)
Citation preview
Защитни стени (Firewalls) Звездомир Спасов Миланов Ф№30706
Преди защитните стени
При създаване на дадена мрежа един от най-важните проблеми е сигурността и безопасността на мрежата. При свързване на мрежа към Интернет е необходимо и включване на защитна стена, която да се грижи за безопастността на цялата мрежа. Преди да направите това може да предприемете следните прости мерки за защита. Периодично проверявайте в Интернет за поправки във вашата операционна система и софтуера. Обикновенно това става в сайта на доставчика, някои дори предлагат абонамент за различни бюлетини. Дори Windows има удобната функция Windows Update. Освен това Microsoft Critical Update Notification, който може да се изтегли за Windows 2000 и е вграден в Windows XP, може непрекъснато да ви информира кога има обновявания в операционната система. За другите програмни поправки на приложенията на Microsoft проверявайте в Microsoft TechNet (www.microsoft.com/technet). Чрез чракване върху Hotfix & Bulletin Search може да се види кои дупки имат нужда от “кръпки”. Друг важен въпрос са браузърите. Те имат много настройки за сигурност, които определят какъв вид програми може да работят, какви сайтове да имат достъп до cookies и т.н. Използвайки някой инструмент, като Free Browser Setup на Qualy (http://browsercheck.qualys.com), може да се тестват настройките на нашия браузър за слабости и да се открие как може да се отстранят. Ако се използва моментален обмен на съобщения, не трябва да забравяме че разговорите с непознати са меко казано нежелателни. Популярните програми разкриват IP адресите и включват компютрите в равноправен достъп, щом се одобри обмена на файлове.
Основно за защитните стени
1
Защитна стена е инструмент, който разделя защитена от незащитена мрежа. Трябва да се знаят следните важни неща за защитните стени. Защитната стена комбинира хардуер и софтуер за защита на мрежата от неоторизиран достъп. Може да се използват защитни стени и вътре в самата мрежа за създаване на безопастност при съвместна работа на различни отдели, офиси и групи от една и съща организация. Защитната стена не може да ви защити от атаки на компютърни вируси. Преди изграждане на защитна стена, трябва да се разработи план за защита, в който са включени видовете достъп, който вътрешните и външни потребители трябва да имат. Трите основни вида защитни стени са на мрежово, приложно и кабелно ниво. Трите най-известни архитектури са двойновътрешн хост, хост-екранираната и екранираната подмрежова.
Хост-бастион
Ако една мрежа има достъп до Интернет, то това трябва да става през защитна стена, която осигурява централизирано разположение на управляващите функции. Нормално защитната стена се състои от един хост-бастион. Какво представлява хост-бастион? Термина е заимстван от сравняването със стените на средновековните замъци. Бастион е специално, укрепено място на защитната стена на замъка, специално пригодено за отблъскване на атаки. Така хост-бастион е компютър от дадена мрежа, специално подсилен срещу мрежови атаки. Тези компютри играят ролята на “отправна точка” за всички комуникации между мрежата и Интернет. С други думи, нито един компютър от мрежата не може да получи достъп до Интернет, без да премине през този хост, и нито един компютър от Интернет не може да влезе в мрежата без неговото разрешение. Ако се съсредоточи мрежовия достъп в един-единствен компютър, тогава ще може по лесно да се управлява защитата на цялата мрежа. Освен това ако само една машина позволява достъп до Инернет, много по-лесно може да се конфигурира съответния софтуер за защита. Понякога потребителите отчитат този хост като Интернет сървър, а той може да бъде всеки компютър от мрежата. За да бъде един компютър хост са необходими просто две Lan карти (едната свързана с Интернет, а другата с локалната мрежа) и сътветния софтуер (за
2
който ще стане дума по-долу). Повечето Unix среди, включително Linux, са особено удобни и евтини решения за поддръжка на хост-бастион, тъй като самата операционна система има възможност за включване и конфигуриране на защитна стена.
Екраниращ рутер
В допълнение на може да се използва допълнително оборудване, наречено екраниращ рутер. Този рутер използва подходящ хардуер и софтуер за филтриране на пакетите с данни по критерии, определени от нас. Рутера е специален компютър или електронно устройство, което сканира (филтрира) пакетите. Настройването на критерия, по който да се извършва филтрирането, става чрез специален хардуер и софтуер. Това не е проблем тъй като, ако си купим рутер, той ще включва и хардуера и софтуера, от който се нуждаем. В допълнение може да се програмира и съществуващ компютър. Безплатен софтуер за рутери има на следните сайтове:
• За PC: ftp://ftp.net.ohio-state.edu/pub/kbridge
• За Unix: ftp://ftp.cisco.com/pub/acl-example.tar.gz
Програмирането на такова устройство е сравнително просто. След като създадете съответното ниво на защита, включващо кои потребители да имат достъп до рутера и кои протоколи могат да използват, го програмираме чрез специален набор от правила в определен файл. Тези правила инструктират по какъв начин да се третира всеки един от пакетите според данните, включени в заглавната му част. Например може да се определи правило, което да блокира входящите IP трансмисии от непознати потребители, но и да позволява ICMP трансмисиите (например SNMP-базирано електронно съобщение) да влизат в локалната мрежа. Според програмирането му трябва да е разположен така, че да бъде между локалната мрежа и мрежата, от която искаме да се защитим (било то друга локална мрежа или Интернет). По този начин се сканират комуникациите между двете мрежи. Трябва да помним, че екраниращият рутер осигурява само физическа връзка между двете мрежи.
3
Защита от локалната мрежа
Чрез правилно конфигуриране на защитна стена, използване на комбинация от хост-бастиони и рутери, може да се постигне задоволителна защита срещу Интернет-нарушители. Освен това планираното внедряване на защитна стена в самата мрежа може да осигури добри нива на защита на данните в различните подмрежи и съседни локални мрежи (напрмер различни отдели в един и същ офис). Точно както се налага да защитим мрежата си от Интернет потребители, така и често се налага да осигурим вътрешна защита между различните отдели. В повечето случаи основните усилия отиват за защита от външна намеса. Но защо даден потребител да има достъп до данни които не го интересуват? Защитните стени могат да осигурят достатъчна безопастност и в самата мрежа. Като цяло разликите при конфигуриране на защита от вътрешни мрежи и от Интернет не са много големи.
Архитектура на защитните стени
Първото ниво на защита е екраниращ рутер. Той изпълнява филтриране на пакетите на мрежово ниво и на ниво свързване на данни, независимо от приложното ниво. По този начин можете да контролирате мрежовия трафик без да променяте нито едно клиентско или хост приложение.
Въпреки че са удобни за работа, тези устройства не предлагат добра защита. Само фактът, че работи единствено в мрежовия и транспортния слой в модела ISO/OSI, е достатъчно условие за наличност на уязвимост. За да може една мрежа да се защити добре от външен достъп, защитната стена трябва да покрива всеки един слой в протокола TCP/IP.
Основният недостатък на това устройство е, че се предприемат действия базирани на недостатъчно количество данни. Ограничението им в мрежата само до два слоя им дава достъп до информация като IP адреси, номера на портове и TCP флагове, но нищо повече. Освен това, поради липса на
4
допълнителна информация, съществуват проблеми при филтрирането на протоколи като UDP. Трябва да се отчете и факта, че повечето пакетно-филтриращи инструменти нямат основни механизми за наблюдение и предупреждение. С други думи, рутерът може да посреща и предпазва от много и различни атаки, но никога няма да уведоми администратора за появата им. За гарантиране на подходяща безопастност в една мрежа трябва да се прибавят и други пакетно-филтриращи технологии, работещи и в други слоеве. Тъй като софтуерните стени осигуряват филтри, опериращи на по-горни слоеве в модела ISO/OSI, те могат да базират своите филтриращи действия чрез пълна информация на приложния слой. В същото време оперират и в мрежовия и транспортния слой, проверявайки заглавните части на TCP и IP пакетите. Така се приемат или отхвърлят пакети, базирани на предварително въведени правила за наблюдение.
Трите вида защитни стени
За нуждите на различните видове потребители, може да се внедрят три вида защитни сетени: на мрежово ниво, на приложно ниво и верижни защитни стени. Всеки един от трите вида използва различен подход. След като се определят нуждите от защитна стена, трябва да се определи от какъв тип да бъде тя.
Защитни стени на мрежово ниво
Обикновенно такава стена се явява екраниращ рутер или специален компютър, проверяващ пакетните адреси. В тях се съдържат адресите на изпращащия и на приемащия компютър, както и различна информация за самия пакет. Стената използва тази информация за определяне на достъпа му.
Може например да се конфигурира така, че да блокира всички входящи съобщения от определен сайт, както и изходящи пак за този сайт (или друг). Обикновенно се инструктира и блокиране на пакет с файл, който съдържа IP адресите на сайтовете, чийто пакети трябва да бъдат блокирани. След като открие пакет,
5
съдържащ подобен адрес, той бива отхвърлен. Такива адреси за блокиране на определени сайтове се наричат черен списък. Пристигащият пакет може да съдържа всякакъв вид информация, като електронно съобщение, Telnet заявка за регистриране (заявка за отдалечен достъп до нашия компютър). В зависимост от това, как е конструиран екраниращия файл, рутерът може да разпознае и изпълни определени действия за всяка една заявка. Например може да се програмира така, че да позволява Интернет потребителите да разглеждат нашите Web страници, но да нямат възможност за FTP трансфер от или към сървъра. Може да се програмира да позволява FTP достъп на потребителите от сървъра (да свалят файлове), но не и към сайта (да качват файлове).Обикновенно се настройва така, че да се взема под внимание следната информация във всеки един пакет:
• Сорс адреса, от който пристигат данните.
• Адреса-предназначение, към който са насочени данните.
• Сесийния протокол, като TCP, UDP или ICMP.
• Дали пакетът е начало на заявка за връзка.
Ако е инсталирана и конфигурирана правилно мрежовата защитна стена, тя трябва да е изключително бърза и почти веднага да става прозрачна за потребителите(освен ако не се опитват да изпълняват блокирана дейност). Разбира се за потребителите от “черния списък” това ще бъде непробиваема преграда.
Защитни стени на приложно ниво
Приложната защитна стена обикновенно се явява хост компютър, изпълняващ прокси-сървърен софтуер, но поради наличието на този софтуер, често пъти е наричан и прокси сървър. Името му идва от думата прокси, което означава действия от името на друг (заместник, пълномощник). Тези сървъри комуникират от името на потребителите със сървърите извън мрежата. С други думи, те контролират трафика между две мрежи. В някои случаи може да контролират всички комуникации на определени
6
потребители. Например потребител от мрежата, който получава достъп до Интернет чрез прокси сървър, ще се появи за другите компютри като самия сървър. В мрежата той може да получава достъп до защитено приложение (като поверителна база данни), без да е необходимо постоянно да въвежда пароли.
Когато се използва подобна защитна стена, мрежата не е свързана към Интернет. Така трафикът, който тече по вътрешната мрежа, не може да си взаимодейства с този отвън, тъй като няма никакъв физически контакт. Прокси сървърът предава изолирано копие на всеки един одобрен пакет от едната към другата мрежа. Приложните стени успешно маскират основата на първоначалната връзка и защитават мрежата от Интернет потребители, които се опитват да съберат нежелана информация.
Тъй като прокси сървърите разпознават мрежовите протоколи, може да укажете вашият сървър да контролира услугите, които желаете да се изпълняват в мрежата, и то по подобен на програмирането на рутер начин. Например може да го инструктирате така, че да позволява на клиентите да изпълняват ftp сваляния на файлове, но не и качвания. Сървърите са валидни за множество услуги, като HTTP, Telnet, FTP и Gopher достъп, но за разлика от един рутер, за всяка една такава услуга трябва да имате определен прокси сървър. Двата най-известни прокси сървъра за Unix и Linux базирани мрежи са TIS Internet Firewall Toolkit и SOCKS. За информация относно TIS Internet Firewall Toolkit, посетете Web сайта:
http://www.tis.com/docs/products/fwtk/index.html
За SOCKS посетете Web адреса:
http://www.socks.nec.com
Ако се използва Windows NT-базиран сървър, Microsoft Internet Information Server и Netscape Commerse Server включват поддръжка на прокси сървър. При използване на прокси сървър, мрежовите потребители трябва да използват клиентски програми, поддържащи прокси операции. Много TCP/IP протоколи, включително HTTP, FTP и други, са създадени и с тази възможност. В повечето Web браузъри може лесно да се
7
конфигурира насочване към прокси сървъра. За нещастие, някои други Интернет протоколи не поддържат добре този род услуги. Тогава трябва да се конфигурира Интернет приложението да бъде съвместимо или не с прокси функциите. Например приложения с поддръжка на SOCKS прокси протокол са добро решение, ако базираме целия мрежов достъп на SOCKS. При това обаче трябва предварително да сме наясно дали потребителите ни използват клиентски софтуер, поддържащ прокси услуги.
Приложните защитни стени позволяват лесно наблюдение на вида и количеството трафик, влизащ в нашия сайт. Тъй като създават бариера между локалната мрежа и Интернет, са добър избор при изисквания за висока безопастност. Но понеже програмата трябва да анализира пакетите и да решава дали да позволи достъп или не, мрежовата производителност се намалява. С други думи, една приложна стена е значително по-бавна от мрежовата, затова при планиране на такъв род защита трябва да използваме най-бързия компютър, който имаме в наличност.
Верижни защитни стени
Тази стена е подобна на приложната, тъй като и двете са прокси сървъри. Разликата е, че не изисква използването на специфични прокси-клиент приложения за всяка услуга, поддържана в мрежата, като FTP или HTTP.
При този род защита се създава верига между клиента и сървъра, без да се налага приложението да знае това. Клиентът и сървърът комуникират директно, без да се налага да се обръщат към тази верига. Тази технология защитава началото на всяка една транзакция без да пречи на по-нататъшното ǔ предаване. Предимството е, че предлага услуга за раличен набор протоколи, така че при използването на верижна защитна стена за HTTP, FTP или Тelnet не се налага да се променя съществуващото приложение или да се добавят нови приложни прокси сървъри за всяко едно от тях. Тя позволява използването на досегашния софтуер, а самата тя използва един-единствен прокси сървър. Повече информация има на адрес: http://www8.zdnet.com/pcweek/reviews/1007/07firer.html
8
Архитектурите на защитните стени
При конструиране на защитна стена трябва да се оцени какъв вид трафик ще се позволява или забранява от и към мрежата. Може да се контролира трафика с екраниращ рутер или с прокси софтуер. Когато нуждите станат по-комплексни, може да се използват и двете технологии едновременно, защото така се комбинират по-добре добрите и лошите им страни. Трите най-известни архитектури на защитни стени са двойновътрешната хост архитектура, хост-екранираната и екранираната подмрежова архитектура. Последните две използват комбинации от рутери и прокси сървъри, докато първата само един компютър с две отделни мрежови карти.
Двойновътрешните хост защитни стени
Това е проста, но и добре обезопасена конфигурация. При нея един компютър разделя физически локалната мрежа от Интернет (или друга мрежа). При този метод се използват две мрежови карти за свързване на всяка мрежа, но трябва да се изключат всички рутерни възможности, за да не се позволи софтуерно свързването на двете. Най-лошото е, че потребителя може лесно и неумишлено да включи рутерни възможности. Тази защитна стена работи чрез използване на група приложни прокси софтуера или на един верижен прокси. Прокси софтуера контролира потока от едната към другата мрежа. Тъй като хост-компютърът е двойновътрешен (свързан към двете мрежи), стената вижда пакетите и от двете, а прокси софтуерът се използва за контролиране на трафика между тях.
Много е важно да се изключи вътрешното маршрутизиране. Така данните трябва да преминават през “отправна точка” – приложно ниво, явяващо се единствен път между мрежите, или мрежовите сегменти. Мрежовият сегмент е част от мрежа, която е самоподдържаща се. Например може да разделим офис мрежата на две – сегмент А (продажби) и сегмент Б (услуги), след което да ги разделяме с рутер или защитна стена. Ако обаче се позволи
9
стандартно вътрешно маршрутизиране, защитната стена става неизползваема. Например ако конфигурираме насочването на IP потока, данните могат лесно да заобиколят функциите на приложното ниво. Когато имаме вътрешно маршрутизиране данните преминават направо от едната мрежова карта към другата, това е с цел по-голямо бързодействие, но така не преминават през защитната стена на приложно ниво.
Unix мрежите са отчасти податливи на опасността в този вид стени. Някои Unix варианти (Barkeley Unix) позволяват рутерните функции по подразбиране. Така че в такива мрежи трябва да се уверим, че операционната система ги е изключила. Ако не е, може да се наложи реконфигуриране и прекомпилиране на Unix ядрото в хост машината.
Хост-екранираните защитни стени
Много администратори считат тези стени за по-сигурни от двойновътрешните. Тук се добавя екраниращ рутер, между хост-компютърът и Интернет, така хост-компютърът не е включен директно към Интернет. Тази конфигурация ще осигури ефективна и лесна за поддръжка стена. Както се може да се предположи рутерът свързва Интернет и хост-компютърът, като едновременно филтрира преминаващите пакети. Трябва да се конфигурира така, че да се вижда само един хост-компютър в мрежата. Така мрежовите потребители, желаещи връзка с другата мрежа, ще правят това през този компютър. Така за тях изглежда, че имат директен достъп, но той ограничава достъпа на външни потребители.
Екранирани подмрежови защитни стени
Тази архитектура изолира мрежата от Интернет. Тя включва два отделни екраниращи рутери и един прокси сървър, като сървърът се разполага в своя собствена отделна мрежа, поделяща се единствено с рутерите. Единият от тях контролира трафика, явяващ се локален за мрежата, а другият наблюдава и контролира
10
входящия и изходящия Интернет трафик. С други думи свързването на мрежата към Интернет е в следния ред мрежата към рутер, той към хост компютър, той към рутер и накрая Интернет. Тези стени осигуряват изключителна защита от външни атаки и понеже ограничават хост компютъра в отделна мрежа, ограничават влиянието на успешна атака към него, което намалява и вероятността за унищожение или открадване на данни. В допълнение рутерът в локалната мрежа осигурява защита от неправомерен вътрешен достъп до хост машината.
СОФТУЕРНИ ЗАЩИТНИ СТЕНИ
Общо взето, всички защитни стени са направени така, че да изключват системите за сканиране и проникване в тях. Това се извършва чрез просто блокиране на портовете. Някои софтуерни защитни стени освен това предотвратяват изтичането на информация от компютъра, като блокират достъпа на непроверени услуги и приложения до мрежата. Софтуерните защитни стени могат да бъдат инсталирани на всеки персонален компютър, който има нужда от защита, докато хардуерните защитават централно всички компютри в мрежата. Но поради това, че първите работят локално, те познават в подробности всичко, което става в една систма. Докато една хардуерна защитна стена най-вероятно ще разреши всякакъв трафик на електрона поща през порт 25. Софтуерната обаче може да направи разлика между Microsoft Outlook и троянски коне.
Обикновенно когато една програма се опита да осъществи достъп до Интернет за първи път, софтуерните защитни стени питат дали да и разрешат достъп. Някои защитни стени вече разпознават често използвани приложения (като AOL Instant Messenger, Lotus Notes и Microsoft Office) и създават съответните правила по време на установяването си. В идеалния случай след малко обучение защитната стена ще може да ви предпазва с минимален брой прекъсвания. Защитните стени показват слабостите си, когато се натъкнат на програми, за които нямат приети по подразбиране правила. Например, когато непозната Lsass.exe програма опита да осъществи достъп до Интернет, стената пита дали да разреши достъпа. Но стената ще каже повече
11
неща за програмите, които познава добре. В този случай ще ни уведоми, че Lsass.exe е “локален сървър за защитна идентификация, който генерира процеса, използван от услугата Winlogon за идентификация на потребители”. Може също така да каже нещо и за сървъра с който си комуникира. Стената може да се накара да пита всеки път, но подобни въпроси постепенно стават много досадни. Въпреки това е по-добре да пита отколкото да разчитате на вече веднъж настроена защитна стена. Предимствата на този род защита са: че са евтини, работят добре при добра настройка, работят на ниво прилжения, идеални са за една машина с много потребители, анализират входящия и изходящия трафик, удобни за пътуващи потребители, лесно се обновяват. Някои от недостатъците са им: може да се окажат твърде сложни за начинаещи, не скриват персоналните компютри от външния свят, понякога са досадни, споделят уязвимите места на операционните системи. По долу са представени някои от известните защитни стени.
McAfee.com PERSONAL FIREWALL PLUS 4.1
www.mcafee.com
McAfee.com Personal Firewall Plus 4.1 е сравнително проста програма. Тя е много подходяща за хора, които нямат много познания по компютри и мрежи. Но нейните предупредителни съобщения за дейност, свързана с Интернет, осигуряват много малко полезна информация и дават възможност на потребителите да направят неправилен избор на разрешение за достъп. Защитната стена се свързва със сайта на Hackerwatch.org на McAfee, който използва автоматично предоставяни данни от потребители на PFP, за идентификация на широкомащабни атаки. Не е много ясно дали тази услуга за момента представлява някакво предимство.
Инсталирането й е сравнително просто, трябва само да се знае на кои програми да се разреши достъп. Тя сама усеща присъствието на приложения с Интернет възможности, когато те работят. Автоматично открива и конфигурира Microsoft Internet Connection Sharin (ICS) и споделено ползване на файлове и принтери. Стената сама се справя с почти всички приложения,
12
които се доставят заедно с Windows, но други, като FTP програми и Интернет ускорители, имат нужда от ръчно конфигуриране. Стената пита всеки път при опит на приложение да се свърже с Интернет, за да не ви досажда трябва да се създаде постоянно правило, което позволява или блокира достъпа. Също така може да се настрой да блокира или пропуска пакетите от или към даден IP адрес. McAfee уведомява когато блокира опити за достъп, но не предлага помощ, за да се определи дали са опити за атака или не. При редактиране на правилата за достъп за определени приложения, може да се задават три възможности за поведение: Allow Full Access (разрешаване на пълен достъп), Outbound Access Only (само отвътре навън), и Block (блокиране). Не съществуват други начини за определяне на поведение на дадено приложение. Например не може да се блокира съобщението в определени дни или да му се разреши достъп само през определени портове. Разширените опции са ограничени. През защитната стена може да отваряме двупосочни портове за системни услуги (порт 80 за HTTP) и да го установим така, че да приема или отказва ICMP ping заявки, насочени към вътрешността (необходими са за взаимодействия с някои отдалечени сървъри или приложения, хоствани дистанционно). Например за потребителите на локална мрежа има поле за отметка, което прави всички локални мрежови адреси автоматично доверени – една полезна възможност, която би трябвало да я има. Напредналите потребители вероятно няма да останат доволни от възможностите предложени тук, но всички останали няма от какво да се безпокоят.
McAfee INTERNET SECURITY 5.0
www.mcafee-at-home.com
Това е пакет от продукти, който не само съдържа McAfee Firewall 4.0, но и антивирусно приложение McAfee VirusScan Home edition 7, както и много други полезни инструменти: блокиране на реклами, родителски контрол, филтър за cookies и инструмент за изчистване на данните от историята на вашите посещения в Интернет. Както повечето продукти в групата защитната стена е най-подходяща за напреднали потребители, поради наличието на малко съвети при определянето на правилата.
13
Пакетът McAfee Internet Security 5.0 има полезен съветник за установяване. Странно, но защитната стена е изключена по предположение и така може без да искате да оставите системата незащитена. При активиране на защитната стена друг съветник ви помага да я конфигурирате за локалната мрежа. Тя разпознава с лекота кои програми имат нужда от Интернтет и създава съответните правила.
Пакета съдържа различни инструменти, които са много полезни. Защитната стена предлага много опции за сигурност – например предупреждение на потребителя, когато модемът установява връска тихо, и блокиране на достъпа на неоторизирани програми, сайтове с вируси или Active X конзоли. Инсрументът Internet Security Check извършва сканиране за проблеми, свързани със сигурността: за браузъри, нуждаещи се от обновяване; за наличието на Web бъгове; троянски коне; шпионски и рекламен софтуер (spyware/adware); за програми, следящи това, което въвеждате от клавиатурата; за открит идентификационен номер на централния процесор и много други. Приложеният антивирусен софтуер проверява за вируси, сканира електронна поща и спира враждебни скриптове и приложени файлове, както изпращани така и получавани. Включва и много ефективен и интересен инструмент Visual Trace – за IP проследяване, с който могат да се открият местонахожденията на дадени IP адреси.
NORTON INTERNET SECURITY
www.symantec.com
Norton Internet Security е изграден на базата на Norton Personal Firewall. Тази програма, чиито впечатляващи възможности са лекота на използване и проста инсталация. Пакета притежава много възможности, в това число популярното антивирусно приложение на Norton, родителски контрол, блокиране на реклами. След бърза инсталация следва съветник за локални мрежи (ако има такава). Той лесно установява персонални компютри в локална мрежа, така че да работят зад защитната стена. С Program Scan се поверяват всички приложения с Интернет възможности и може бързо и лесно да се определят съответните правила. След установяването LiveUpdate се стартира автоматично и изтегля последните изменения на продукта.
14
Защитната стена открива всеки опит за сканиране на портовете. При засичане на нови мрежови приложения, стената предупреждава със съобщение и предлага блокиране, разрешение за достъп или да се конфигурира ръчно. Защитната стена разпознава повечето изпълними файлове, като използвакакто файлови имена, така и контролни суми, за да е сигурно, че не е имало намеса в тях. Системата за откриване на прониквания използва сигнатури за откриване на най-често срещаните видове атаки. Тези сигнатури се обновяват редовно. Ако се открие атака отвън, адресът източник се блокира за 30 минути. Тази опция може да се деактивира, но не може да се променя интервала от време. Privacy Control дава възможност за въвеждане номера на кредитни карти или друга важна инфомация и гарантира, че те няма да бъдат изпращани напълно открити в Интернет. Norton AntiVirus е един от най-добрите антивирусни продукти на пазара. Неговите инструменти за родителски контрол дават възможност да се блокират Web сайтове и Usenet групи за новини.
Web сайтът за проверка на сигурността, който е достъпен от таблото за управление на защитната стена, е изумителен инструмент. Той стартира Active X контрол, за да изпита връзката за отворени портове, за наличие на антивирусни програми и за много други. Чрез Visual Trace може да се определи приблизително местонахождението на дадена машина. Може да се каже, че това е един много добър пакет който включва всичко необходимо за защита на даден потребител.
TINY PERSONAL FIREWALL 3.0
www.tinysoftware.com
Ако сте уверени, че вашия компютър е свободен отзловреден софтуер, и не възнамерявате да инсталирате нови приложения, Tiny Personal Firewall 3.0 може би е защитната стена, която ви е нужна. Неудобството при нея е, че прикрепя всяко приложение към определена група, също изисква малко повече познания по мрежи. Всяка група е със специфични права, които определят дали приложенията могат да имат достъп до мрежата, до Windows Registry, до файловете и до OLE/COM контроли или могат да стартират процеси. Tiny позволява да създадете правила за това как да управлявате дадените програми или различни видове
15
мрежов трафик. Правилата може да бъдат доста подробни: може да се блокира и разрешава мрежов достъп на определени портове, в определено време. Това дава възможност за прецизно управление, но е и малко тромаво. Стената е разделена на работен прозорец и инструмент за администриране. Когато се случи мрежово събитие, за което не е установено правило, се появява прозорец с въпрос как да процедирате. Режимът Learning Mode обучава защитната стена за поведението на определено приложение: посочвате приложението, после Learning Mode и включвате приложението, за да може защитната стена да проследи и запише поведението му. Защитната стена не скрива добре MAC адреса, което един от недостатъците й. Също за да бъдат използвани новите правила за дадено приложение то трябва да бъде рестартирано. Друг недостатък е, че в ръководството не е обяснено как се използва ICS. А ако не се осигури ICS достъп, компютрите със защитни стени няма да могат да се свързват с Интернет.
ZONEALARM PRO 3.1
www.zonelabs.com
ZoneAlarm Pro вече има блокировка на появяващи се реклами, управление на cookies, проследяване на хакери (откриване и получаване на ISP данни), блокиране на цели зони и др. ZoneAlarm приежава много добър вграден съветник за установяване на ICS. Той намалява проблемите с конфигурирането. Стената използва три зони за мрежова сигурност: Trusted (доверена), Интернет и Blocked (блокирана). В тези зони може да се разполагат определени компютри, поредици ICIPS адреси и еднородни локатори на ресурси (URLs). Доверената зона разрешава целия достъп. Интернет блокира определени видове достъп, а блокираната зона блокира всичко. Хубаво е също, че ZoneAlarm препоръчва локалната мрежа да бъде в Интернет зоната а не в доверената. AlertAdvisor на ZoneAlarm уведомява за програмите, използващи достъп до Интернет. Когато се открие ново приложение се отваря питащ прозорец как зонира новото приложение. Защитната стена следи и информира (IP адрес и вида атака) за опити за прониквания. Може да се настрой да пази от никакви до много детайлни log файлове. Стената успешно разпознава опитите за сканирания и прикрива портовете.
16
Интерфейсът е изчистен и удобен, но има по-малко опции. Това може да се разглежда и като добре и като лошо, зависи от индивидуалните предпочитания.
ХАРДУЕРНИ ЗАЩИТНИ СТЕНИ
Евтините маршрутизатори (рутери), които насочват трафика от една мрежа към друга, открай време използват NAT (Network Addres Translation – транслация на мрежовите адреси), който някои по погрешка считат за защитна стена. NAT просто скрива IP адресите от персоналния компютър, така че целият изходящ трафик като че ли идва от един и същ адрес. Все пак е възможно едно NAT устройство да бъде “заобиколено”. Понякога производителите включват в продуктите исъщински защитни стени. IP филтриране може да спре или разреши целия достъп до даден IP адрес. По същия начин може да се спре трафика от или към мрежови карти, всяка от които има уникален MAC адрес (това е уникалният идентификатор на всяка карта). Хардуерните защитни стени осигуряват още едно ниво на защита: Stateful Packet Inspection. SPI изследва съдържанието на пакетите (а не само източника, крайния им адрес и портовете), за да определи дали да им разреши достъп. Тези защитни стени могат също да използват ключови думи и филтри за домейни. Така се спира всеки домейн, съдържащ ключовата дума. Може още да се отказва дотъп въз основа на: източника му, крайния адрес, порта или протокола, който се използва (ICMP, TCP или UDP). Хардуерната защитната стена е от типа “установи и забрави”. Те обикновенно работят във донов режим, генерират по-малко заявки и др. Сред предимствата им са: работят на ниво порт, не са досадни, скриват персоналните компютри от външния свят, не се отразяват на производителността. Недостатъците им са: малко по-сложни, трудно се поддават на специална настройка, игнорират повечето трафик насочен навън, неудобни за пътуващи потребители, надгражданията стават чрез микропрограми, създават потенциални тесни места в пропускателния капацитет.
D-Link DI-604
www.dlink.com
17
D-link Express EtherNetwork DI-604 4-Port Ethernet Broadband Router притежава разнообразни възможности: филтриране на IP и MAC адреси, блокиране на домейни и еднородни локатори иресурси (URL) и гъвкави правила на защитна стена. Всичко това е обединено в един малък пакет, с цени по договаряне. D-Link предлага на домашните потребители и на системите за малкия офис най-важната защита срещу атаки отвън. С помоща на елегантния, базиран на Web съветник за установяване (който е част от инструмента за Web администриране) може да се приемат настройките по подразбиране и да сърфирате зад защитна стена за 5 минутки. Инструментът за Web администриране на D-Link е интуитивен и подходящ за хора без много опит. Има и много допълнителна справочна информация. Известна част от лекотата се дължи на олекотения набор от инструменти. По предположение SPI блокира целия входящ трафик, но може лесно да въведете настройки за отваряне на портове за определени приложения. При опит за сканиране, рутерът не само затваря портовете, но и ги скрива.
Администрирането на правила е опростено. Има предварително установени настройки, които може да се активират ако се знае вида протокол и порта. Ако някоя услуга прави опит за достъп до портове, блокирани от рутера, тя просто няма да работи. Това е общ недостатък на хардуерните стени. Потребителя вече не получава обяснение. DI-604 дава възможност да съставите план на IP филтрите и защитната стена поотделно. Например да се забрани достъпа до определени сайтове по определено време. DI-604 води регистър на опитите за неупълномощен достъп. Също така може да избирате коя информация да регистрирате. Регистрите дават информация за началните и крайни IP адреси, но не позволява управление на настройките за детекция на атаки, свързани с отказ на услуги (DoS).
Virtual Server на D-Link дава възможност да хоствате HTTP и FTP сървъри зад DI-604, а демилитаризираната зона (DMZ) позволява да направите един IP адрес открит в Интернет. Този адрес (който може да бъде определен от администратора) не се филтрира. Това е много полезно понякога- например сървърите за игри. DI-604 поддържа пропускане през виртуална частна мрежа
18
(VPN pass-through) за Ipsec или PPTP, но не дава възможност за избор на настройките за криптиране и идентификация.
LINKSYS FIREWALL ROUTER
www.linksys.com
Linksys Firewall Router ( или BEFSX41 EtherFast Cable/DSL Firewall Router) предлага “по малко за всеки”. Всеки може да го установи и стартира бързо само с просто свързване. Този бърз маршрутизатор показва много добър пропускателен капацитет и предлага на напредналите потребители вградени възможности за виртуална частна мрежа и демилитаризирана зона.
Установяването на защитната стена отнема няколко минути – главно благодарение на изчерпателния документ Fast Start. Той дори напомня да се установи наново кабелния или DSL модем след свързването му стъпка, която е необходима, за да модемът да получи MAC адреса на последния. Приложеният компактдиск, на който е съветникът Router Setup, предлага адски голямо количество документация. По предположение вградената SPI защитна стена блокира входящия трафик, поради което сте защитени от прониквания веднага след установяване на връзката. Linksys може да блокира входящ или изходящ трафик по график и да филтрира съдържание по еднородните локатори на ресурси или ключови думи. Може дори да се настрой така, че да изисква ZoneAlarm да работи през цялото време. При всички рутери трябва да се познават портовете и услугите свързани с потребителската настройка на правилата. Опитните потребители може да активират трафик за приложения чрез определени портове, да създават динамични и статични маршрутизатори и да конфигурират порт за хардуерна демитализирана зона (DMZ), предлага се и истинска виртуална частна мрежа а не само VPN pass-through. Регистрите могат да се групират по елементите – система, достъп, защитна стена и VPN, но липсва възможност за автоматично изпращане по електронна поща. Така следенето на трафика е съвсем удобно.
SMC700VBR
www.smc.com
19
SMC700VBR Barricade Cable/DSL Broadband Router може да се нарече “малък маршрутизатор с големи възможности”. Той притежава гъвкави и мощни правила за детекция на прониквания и за управление на достъпа, които го правят подходящ за малки компании с опитни администратори. В началото може да изглежда стряскащо, но после установяването става интуитивно. Удобното ръководство, на компактдиска, опростява свързването, открива вашите настройки и конфигурира вашия IP адрес.
В SMC по подразбиране е изключена SPI защитната стена, което крие някои опастности. Но пък след нейното включване, тя не само се справя с опитите за сканиране, но дори ги докладва. Освен това при установяването си е с активиран NAT, така че потребителите все пак имат известна защита. Маршрутизаторът предлага богат избор от варианти за управление на достъпа, блокиране на еднородни локатори на ресурси и създаване на правила за проверки по график. Но разнообразието е за сметка на сложната система за създаване на правила. Той дава възможност да се управляват основните критерии за откриване на атаки, свързани с отказ на услуги (DoS) – например максималния брой флагментирани пакети от същия хост или броят на входящите TCP и UDP сесии в минута. Тези възможности го превръщат в инструмент, който може да открива реално хакерски атаки. В регистрите му обаче не се отбелязват опитите за достъп до забранени сайтове. За сметка на това изпраща електронно съобщение със сигнали за атака.
Windows
За Windows може да се каже, че всички изброени по горе видове защитни стени работят без проблеми и инсталирането става тривиално. Нужни са само няколко настройки за съответните програми според нуждите на потребителите. Повечето настройки и програми са добре познати и разрешаването или забраняването на достъп не представлява особен проблем. Ако има приложения с които не знаете какво да правите потърсете информация в Интернет или използвайте някоя от по интуитивните защитни стени, а в краен случай може и с настройки по подразбиране. Важно е да се отбележи, че в Windows Xp има вградена елементарна защитна стена - Internet Connection Firewall (ICF). Тя
20
прекратява достъпа до портовете, за да попречи на сканиране. Но не може да спре и влизането на данни във вашата система. В Windows XP Bible има подробна информация за това как да се включи и конфигурира. Там също пише, че трябва да се използва при Internet Connection Sharing (ICS), но е добре да се използва винаги за по-голяма сигурност. ICF не е много добра затова най-добре направо да се изключи и да се инсталира някоя по-надеждна защитна стена.
Linux
Ядрото на Linux предоставя множество вградени средства, които му позволяват да работи доста добре като защитна стена за IP. Мрежовата реализация включва код за извършване на адресно филтриране по множество начини и предоставя механизъм за много прецизно задаване на правилата, които бихте искали да използвате. За да построите защитна стена за IP под Linux, е необходимо да разполагате с ядро, компилирано с поддръжка на защитна стена и съответните конфигурационни инструменти. За всички стабилни ядра разработени преди версия 2.2 трябва да се използва инструмента ipfwadm. С ядрата 2.2.x се отбелязва началото на трето поколение IP защитни стени за Linux, наречени IP Chains (вериги). При тях се използва подобна програма наречена ipchains. Ядрата версия 2.3.15 или по-нова съдържат четвърто поколение защитни стени, наречени netfilter. Кодът на netfilter е резултат от мащабно преработване науправлението на потока пакети в Linux. Той е създание с много лица, осигуряващо директна обратна съвместимост с предишните две версии.
FreeBSD
За включване на защитна стена в FreeBSD се нуждем първо от включването на няколко допълнителни опции в кернел файла. Това ще наложи прекомпилирането му, ако не сте запознати как става в документацията (www.freebsd.org) е описано подробно. Трябва да са включени следните опции: IPFIREWALL – защитна стена, IPFIREWALL_VERBOSE - информация относно стената, IPFILTER – поддръжка на IP филтриране, IPFILTER_LOG – включване на log файл, IPFIREWALL_DEFAULT_TO_ACCEPT – включва настройки по подразбиране (само ако искаме да стената
21
да работи с тези настройки). След това се конфигурира кернел файла(повече подробности в ръководството). Инсталираме кернел файла и рестартираме. Използваме ipfw за създаване на ACLs (Access Control Lists) за вашия хост. Горе-долу така изглежда извикване на ipfw с параметри действащ номер разрешение/забрана протокол от машина(и) до машина(и). Може да се забранява или разрешава достъп през (всички, TCP, UDP, ICMP или IP адсрес) от даден адрес към друг адрес на определен порт.
Методи на атака
Тук ще се опишат накратко основните видове атаки и начините за предпазване от тях.
Непозволен достъп. Това означава, че хора които не би трябвало да използват услугите на вашия компютър, могат да се свързват с него и да използват тези услуги. Например, хора извън компанията да се свържат със счетоводната машина или вашия сървър. Съществуват редица начини за избягване на тази атака чрез внимателно определяне на това, кой може да получи достъп до тези услуги. Може да се забрани достъпа през мрежата за всички, освен за оторизираните потребители.
Използване на известни слабости в програмите. При проектиране на някои програми и мрежови услуги не са предвидени сериозни мерки за сигурност, затова поначало са уязвими на атаки. Най-добрият начин за предпазване е да се забранят всички уязвими услуги или да се намерят техни алтернативни решения. При софтуера с отворен код понякога е възможно да се поправят слбостите.
Отказ на услуга. Атаките от този тип предизвикват прекратяване на функционирането на услугата или програмата или пречат за тяхното използване от други хора. Те могат да бъдат осъществени в мрежовия слой чрез изпращане на старателно изработени дейтаграми, които да причинят невъзможност да се обслужват мрежовите връски. Освен това, те могат да бъдат извършени и в приложния слой, където на програмата се подават внимателно подбрани команди, които я натоварват максимално или спират. Предпазването от подозрителния мрежов трафик и
22
предотвратяване на съмнителни програмни заявки и команди са най-добрите начини за намаляване риска от атаки тип отказ на услуга. Полезно е детайлно познаване на метода за атака, затова трябва да се запознавате с всяка нова атака, веднага щом тя стане обществено достояние.
Мамене. При този тип атака даден хост или приложение имитира действията на друг. Обикновенно атакуващият се преструва на невинен хост, като проследява IP адреси в мрежови пакети. Например, напълно документиран експлойт на BSD услугата rlogin може да използва този метод, за да имитира TCP вризка от друг хост, предполагайки номерата на TCP последователностите. За да се предпазите, проверявайте автентичността на дейтаграмите и командите. Не допускайте маршрутаризиране на дейтаграми с невалидни изходни адреси. Въведете непредсказуемост в механизмите за контрол на връзката, като променяте номерата на TCP последователностите и използвате динамични адреси за портовете.
Подслушване. Това е най-простия тип атака. Даден хост се конфигурира да “слуша” и да прехваща данни, които не са предназначени за него. Старателно написаните подслушващи програми могат да прехванат имената и паролите на потребителите по време на влизането им в мрежата. Broadcast мрежи като Ethernet са особено уязвими. За да се предпазите, избягвайте Broadcast мрежови технологии и задължително използвайте шифриране на данните.
Изграждането на една стена е особено полезно за предотвратяване или ограничаване на непозволения достъп, отказ на услуга в мрежовия слой или IP мамене. То не е особено полезно при използване на слабостите в мрежовите услуги или програми, както и подслушване. Трябва да се почертае, че някой от новите вируси и троянски коне използват исключително хитри алгоритми опитвайки се да заблудят защитната стена. Например, правят промени в регистрито и в exe файла представящи се за други програми (като Internet Explorer), опитвайки се да ви заблудят. Може също така да се опитат да си създадат правила за достъп без защитната стена да иска вашето разрешение. Това е един много лош вариант, тъй като въпреки че използвате защитна стена “злосторникът” си проправя път до Интернет и стената се
23
обезсмисля. Тъй като защитната стена няма да ви защити ако сами си стартирате вирус или троянски кон. Затова е много важно да се използват и антивирусни софтуерни приложения, които да се обновяват редовно и да могат да засекат евентуално една такава намеса. Защитните стени не могат да ви защитят от: атаки не минаващи през стената, вируси и троянси коне, нови приложения за които нямат данни, изискващи достъп до Интернет, лошо настроени правила или ваши грешки при определянето им, работят като самостоятелно напълно осигуряващо сигурност приложение, не осигуряват криптиране на данни (уязвими са от послушване), е някои осигуряват, но изискват отсреща да има също такава защитна стена което е малко трудно за изпълнение.
Изграждане на firewalls
При изграждането на firewalls трябва да се вземат под внимание следните няколко важни детайла:
• Възможност потребителите да качват свои файлове на мрежовия сървър.
• Възможност да свалят файлове.
• Разрешаване на пълен достъп до определени потребители.
• Включване на страници в мрежата, които да могат да се достгат от Интернет.
• Поддръжка на Telnet.
• Какъв достъп ще имат потребителите до Web и Интернет, какви протоколи и приложения ще се използват и правилното им използване.
• Определяне на най-лошото, което може да се случи при евентуално проникване на хакер.
• Тестване на конфигурацията. За целта може да се използват Web скенери (например Shields-UP! www.grc.com) и друг вид софтуер за проверка за дупки в програмите.
24
Допълнителни източници
SOS Introduction to Firewall www.soscorp.com/products/BS_FileIntro.html
Firewalls 9510 by thread www.netsys.com/firewalls/firewalls-9510/
Firewalls Introduction www.channeld.com/firewall.htm
Internet Firewalls and Security www.3com.com/nsc/500619.html
Introduction to Firewalls http://csrc.nits.gov/nistpubs/800-10/node30.html
iWORLD http://tips.iworld.com/_noframes.shtml/Firewall_roducts.html
Използвана литература
Защита от хакери – Ларнс Кландер
PC Magazine Bulgaria – брой 1 2003 г.
Linux ръководство на мрежовия администратор - Олаф Кирх и Тери Доусън
Maximum Security – Mark Taber
Setting up a FreeBSD using ipfw – Larry Cashdollar
Network Security – Matthew Strebe
Inside Internet Security What hackers don’t want you to know – Jeff Crume
И много вече някои забравени други не, а трети споменати по-горе сайтове съдържащи полезна информация.
25
