Włączenie sieci korporacyjnej do Internetu nie musi być równoznaczne z udostępnieniem wszystkich danych przechowywanych w sieci lokalnej firmy. Na rynku istnieje już bowiem wiele skutecznych rozwiązań, umożliwiających ochronę i filtrowanie dostępu, zarówno do pojedynczych stacji roboczych, serwerów, jak i całej sieci korporacyjnej.

Oprogramowanie bądź też dedykowane urządzenia, określane wspólną nazwą firewall i nazywane również zaporami ogniowymi, mogą ograniczyć transmisję danych tylko do określonego ich rodzaju. Pełnią one funkcję pośredników pomiędzy chronioną stacją roboczą czy całą siecią a intruzami próbującymi dostać się do tej stacji bądź sieci z zewnątrz, bez autoryzowania takiego dostępu. Jednocześnie firewalle stanowią pierwszą linię obrony przed potencjalnymi atakami włamywaczy, a czas, jakiego włamywacz potrzebuje na ich sforsowanie (o ile mu się to uda), często jest wystarczający, by próba włamania została zauważona przez administratora, który podejmie konkretne działania zaradcze.

Zasada działania

Decydując się na wdrożenie firewalla, najpierw trzeba się zastanowić, jakiego typu zabezpieczeń potrzebuje sieć firmowa. Zapory ogniowe mogą bowiem działać w oparciu o różne technologie, oferujące różny poziom bezpieczeństwa i wnikliwość analizy przesyłanych danych.

Wszystkie firewalle pracują w oparciu o tę samą zasadę ogólną. Fizycznie separują dwie lub większą liczbę sieci lub też w przypadku pracy bezpośrednio jako indywidualne firewalle na stacjach roboczych działają pomiędzy warstwą sieciową a aplikacyjną systemu operacyjnego. Standardowo nowo instalowany firewall nie powinien umożliwiać przesyłania jakichkolwiek danych. Realizacja transmisji będzie możliwa dopiero wtedy, gdy administrator sprecyzuje, jakiego typu komunikację chce udostępnić użytkownikom firewalla. Zadanie to realizuje tworząc listy dostępu (access list) dokładnie określające, jakiego typu aplikacje sieciowe (na podstawie numerów wykorzystywanych przez nie portów TCP, UDP czy IP) mogą realizować transmisję, jakie numery IP mogą uczestniczyć w komunikacji (zarówno po stronie sieci korporacyjnej, jak i na zewnątrz), a także w jakich porach dnia transmisje te mogą być realizowane.

Tym, co odróżnia poszczególne rozwiązania firewall, jest będąca ich podstawą technologia kontrolowania przesyłanych informacji. Najprostsze z dostępnych na rynku firewalli wykorzystują technologię filtrowania pakietów (packet filtering), polegającą na tym, że zapora ogniowa analizuje nagłówek każdego przesyłanego pakietu, wydobywając z niego takie informacje, jak adres spod którego pakiet został nadany, adres docelowy, do którego jest kierowany, wykorzystywany protokół i usługa internetowa. Następnie firewall analizuje, czy wszystkie zawarte w nagłówku parametry transmitowanego pakietu spełniają kryteria precyzowane przez listy dostępu. Dopiero po stwierdzeniu, że określony typ transmisji jest dozwolony, pakiet jest przesyłany pod docelowy adres.

Podstawową zaletą filtrowania pakietów na podstawie informacji zawartych w ich nagłówkach jest duża szybkość działania. Aby przeanalizować kilka parametrów, dedykowane urządzenia lub też oprogramowanie realizujące funkcję firewalla nie potrzebują dużej wydajności przetwarzania.

Podstawową wadą technologii filtrowania pakietów jest to, że w rzeczywistości nie pozwala ona w żaden sposób analizować zawartości przesyłanych danych. Przykładowo, otwarcie portu HTTP czy SMTP do realizacji niezbędnej komunikacji pomiędzy Internetem a konkretnym serwerem w sieci lokalnej powoduje całkowite otworzenie komunikacji na tych portach. Jeśli więc włamywacz potrafi wykorzystać port HTTP bądź SMTP do dokonania włamania, to firewall działający w oparciu o filtrowanie pakietów w żaden sposób mu w tym nie przeszkodzi. Nie potrafi on bowiem analizować, jakie działania podejmowane są przez intruza w ramach dozwolonych transmisji. Co więcej, w takim przypadku firewall nie zabezpieczy przed modnymi ostatnio atakami, związanymi z odmową udostępnienia usługi (Denial of Service), polegającymi na zalewaniu konkretnego serwera dużą liczbą odpowiednio spreparowanych pakietów.

W imieniu serwera

Rozwiązaniem tych problemów może być zastosowanie firewalli wzbogaconych dodatkowo o funkcję tzw. proxy pośredniczącego w transmisji pomiędzy użytkownikiem zewnętrznym a siecią korporacyjną.

Najprostsze rozwiązania proxy działają w warstwie transportowej sieciowego modelu OSI, nie ingerując bezpośrednio w przebieg sesji komunikacyjnej. W przeciwieństwie do filtrów pakietów analizują one kolejne, przesyłane przez firewall, pakiety w kontekście sesji komunikacyjnej. Mogą więc odseparować pakiety sfabrykowane przez intruzów i nie związane z aktualną transmisją. Tego nie umożliwia prosty filtr pakietów, który nie kojarzy niezależnych z jego punktu widzenia pakietów w jedną bądź większą liczbę sesji komunikacyjnych.

Bardziej zaawansowanym rozwiązaniem i dającym znacznie większe możliwości kontroli są tzw. proxy aplikacyjne pracujące bezpośrednio w warstwie aplikacyjnej, tzn. komunikujące się za pomocą języka stosowanej aplikacji. Taki firewall jest wyposażony w odpowiednich agentów (o nazwie proxy), którzy potrafią zastąpić konkretną aplikację w komunikacji ze światem zewnętrznym. Typ aplikacji jest w tym przypadku rozpoznawany przez numer portu IP, po którym realizowana jest komunikacja. Zastosowanie proxy oznacza, że w rzeczywistości intruz próbujący nawiązać połączenie z serwerem SMTP poprzez firewall nie komunikuje się bezpośrednio z tym serwerem, lecz jest obsługiwany przez agenta SMTP pracującego na firewallu i przekazującego dane do serwera tylko wtedy, gdy zostaną one już poprawnie odebrane przez tego agenta. Podstawową zaletą takiego rozwiązania jest fakt, że to na agenta proxy spada cała odpowiedzialność za obsługę zewnętrznego użytkownika - również w takich przypadkach, gdy tamten próbuje atakować port SMTP nieprawidłowymi zapytaniami, mającymi na celu wyłącznie destabilizację pracy serwera pocztowego. Agent taki ma jeszcze jedną zaletę - potrafi w inteligentny sposób obsługiwać intruza, np. zamiast generować komunikat o błędzie standardowo na każde, nawet niewłaściwe zapytanie, odpowiada np. OK. To pozwala włamywaczowi bądź wykorzystywanym przez niego narzędziom do łamania zabezpieczeń sądzić, że polecenia zostały rzeczywiście wykonane i zaakceptowane.

Agent z potencjałem

Proxy, w zależności od typu zastosowanego rozwiązania, zapewniają różne funkcje - od prostej analizy poprawności zapytań i odrzucania wszystkich "podrzuconych" pakietów, po zaawansowane funkcje, takie jak filtrowanie treści przesyłanych informacji. Funkcję agenta proxy może pełnić przygotowane do pracy z firewallem oprogramowanie antywirusowe, które w przesyłanej korespondencji elektronicznej lub pobieranych stronach WWW może wyszukiwać wirusy i kod podejrzany o przenoszenie koni trojańskich. Swoistymi strażnikami proxy, chroniącymi nie tylko przed przesyłaniem podejrzanych zapytań do sieci korporacyjnej, są aplikacje filtrujące, wyszukujące np. w poczcie elektronicznej wysyłanej z firmy takie słowa, jak poufne, tajne, confidential itp. W zależności od polityki określonej przez administratora, wysyłanie takiej korespondencji do Internetu za pośrednictwem firewalla może zostać zakazane, a każdy taki list przesyłany do odpowiedniej osoby, odpowiedzialnej za nadzór nad realizacją polityki bezpieczeństwa w firmie.

Proxy aplikacyjne zmniejsza również konieczność solidnego zabezpieczania każdego z serwerów, które będą otwarte na komunikację z Internetem. W rzeczywistości pozwala wręcz ukryć przed zewnętrznymi intruzami ewentualne niedociągnięcia w konfiguracji systemów zabezpieczeń tych maszyn.

Podstawową wadą proxy aplikacyjnych w porównaniu z filtrowaniem pakietów są znacznie większe wymagania co do wydajności procesora maszyny, na której pracuje oprogramowanie firewall. Zapora ogniowa umożliwiająca komunikację za pośrednictwem agentów ma do wykonania znacznie większą pracę niż tradycyjne filtry pakietów. Często przejmuje też ataki włamywaczy nie wpuszczając ich do sieci korporacyjnej. To wszystko powoduje, że proxy aplikacyjne pracują znacznie wolniej niż filtry pakietów, co w wielu przypadkach ogranicza ich zastosowanie. Niemniej proxy aplikacyjne już dzisiaj są w stanie oferować przepustowości rzędu dziesiątek megabitów na sekundę, co w realiach polskich sieci, podłączonych zazwyczaj do Internetu łączami o znacznie mniejszej przepustowości, nie powoduje istotnych opóźnień w stosunku do filtrów pakietów.

Producenci zabezpieczeń firewall opracowali pośrednie rozwiązanie pomiędzy filtrami pakietów a proxy aplikacyjnymi. Chociaż nie oferuje ono najwyższego poziomu bezpieczeństwa transmisji, to jednak pozwoliło znacznie zmniejszyć wymagania dotyczące wydajności serwerów, na których pracuje oprogramowanie zapory ogniowej. Rozwiązanie to, o nazwie stateful inspection, polega na dynamicznym filtrowaniu pakietów. Oprócz prostej analizy nagłówków, tak jak to jest w przypadku standardowych filtrów pakietów, metoda stateful inspection przeprowadza również analizę stanu aktywnych połączeń i sporadycznie analizuje również zawartość pakietów, a nie tylko nagłówek. Sposób analizy i filtrowania pakietów jest modyfikowany w pełni dynamicznie, w zależności od typu transmisji.

Zastosowanie firewalla oferującego filtrowanie pakietów nie oznacza automatycznie konieczności zrezygnowania z proxy aplikacyjnego. Wiele z dostępnych obecnie na rynku serwerów firewall zapewnia wszystkie wymienione sposoby realizacji transmisji. Zaletą prostego filtrowania pakietów jest to, że umożliwia ono szczegółową kontrolę nad tym, jakie transmisje będą "przepuszczane" przez serwer firewall. W przypadku proxy aplikacyjnych wybór jest już ograniczony tylko i wyłącznie do tych agentów komunikacyjnych, które są oferowane razem z firewallem. Zazwyczaj producent dostarcza kilka agentów proxy dla najpopularniejszych protokołów sieciowych, a resztę transmisji sieciowych trzeba kontrolować z wykorzystaniem tradycyjnych filtrów pakietów.

Kilka stref

Istotną decyzją, którą trzeba podjąć przed wdrożeniem firewalla, jest określenie, na ile stref bezpieczeństwa zostanie podzielona sieć korporacyjna. Takie strefy bezpieczeństwa charakteryzują się tym, że muszą zapewniać różny poziom ochrony znajdującym się w nich serwerom i stacjom roboczym. Podział sieci z wykorzystaniem firewalla powinien dokładnie odzwierciedlać podział, jaki został przyjęty w opracowanej w danej firmie polityce bezpieczeństwa. Jest to o tyle istotne, że podział sieci musi współgrać z innymi wprowadzonymi w całej firmie. Przykładowo, co z tego, że zastosuje się oprogramowanie firewall oddzielające np. dział finansowy od innych działów w firmie, jeśli będzie możliwe bezproblemowe dostanie się do pomieszczenia, w którym znajdują się komputery pracujące w wydzielonym segmencie działu finansowego.

Generalnie na potrzeby komunikacji internetowej przyjmuje się zazwyczaj podział sieci lokalnej chronionej firewallem na dwie części: strefę zdemilitaryzowaną (DMZ - Demilitarized Zone) oraz strefę prywatną. W pierwszej z nich pracują wszystkie serwery, które muszą się komunikować z Internetem i na których firma udostępnia np. serwisy internetowe dostępne dla użytkowników spoza firmy. Strefa ta musi być przynajmniej częściowo otwarta na komunikację inicjowaną z Internetu.

W drugiej strefie, całkowicie prywatnej, powinny pracować wszystkie serwery i stacje robocze, które nie udostępniają serwisów internetowych. Firewall chroniący tę strefę nie powinien umożliwiać realizacji komunikacji z nią, inicjowanej przez użytkowników internetowych. Jedyną możliwość komunikacji mogą mieć (ale nie muszą) serwery znajdujące się w strefie zdemilitaryzowanej. Często jest ona wymagana np. do przesyłania poczty elektronicznej z serwera pocztowego pracującego w strefie DMZ do serwera ukrytego we właściwej sieci lokalnej. Docelowo komunikacja z Internetem inicjowana z poziomu sieci prywatnej również nie powinna być realizowana bezpośrednio z Internetem. Optymalnym rozwiązaniem jest, by pośredniczyły w niej np. serwery proxy pracujące w strefie zdemilitaryzowanej.

Oczywiście, podział na strefy bezpieczeństwa może być znacznie bardziej rozbudowany i zależy wyłącznie od specyfiki komunikacji i polityki bezpieczeństwa przyjętej w danej firmie.

Kryteria wyboru

Przy wyborze firewalla nie można się ograniczyć do decyzji, jakiego ma on być typu i ile interfejsów sieciowych powinien oferować. Bardzo istotnym kryterium jest wybór platformy, na której ma pracować rozwiązanie firewall - szczególnie, jeśli jest to aplikacja instalowana na jednym z popularnych systemów operacyjnych. Dobrze, by sam system operacyjny mógł w tym przypadku pochwalić się certyfikatem bezpieczeństwa C2 na poziomie sieciowym potwierdzającym, że spełnia wymogi amerykańskiej agencji bezpieczeństwa.

Chociaż z jednej strony zarówno platforma systemowa do uruchamiania zapory ogniowej, jak i sam firewall powinny być technologiami sprawdzonymi, to dobrze jest wybierać rozwiązania nietypowe, nie rozpoznane jeszcze przez włamywaczy. Patrząc z jeszcze z innej strony, trudno się łudzić, że unikalność i nierozpoznawalność danego rozwiązania będzie trwała wiecznie - prędzej czy później społeczność włamywaczy znajdzie luki w bezpieczeństwie i tego produktu. Wtedy najbardziej będzie się liczyć to, jak szybko producent może dostarczać aktualizacje swojego oprogramowania.

Dla firm, które za pośrednictwem firewalla chcą kontrolować dostęp użytkowników sieci lokalnej do Internetu, istotnym kryterium wyboru rozwiązania są możliwości jego integracji z serwerami autoryzacyjnymi i usługami katalogowymi. Zdecydowana większość produktów firewall wymaga bowiem niezależnego definiowania użytkowników i ich grup, co w przypadku dużych sieci jest operacją czasochłonną i mijającą się z celem (administrator firewalla rzadko jest w stanie nadążać za zmieniającą się konfiguracją kont użytkowników, ich praw itp.).

Dobrze jest również, by firewall mógł wykazać się namiastką inteligencji, umożliwiając np. automatyczne wyłączenie w przypadku przypuszczenia na niego zakończonych powodzeniem prób ataku.