Jak zapewnić poufność danych w Internecie?

O rosnącej popularności sieci Internet świadczy chociażby liczba i treść artykułów zamieszczanych w prasie. Wydaje się, że już niedługo żadna firma nie będzie mogła obejść się bez dostępnych przez tę sieć bezcennych, rozrzuconych po całym świecie informacji. Łatwość dostępu, jaką zapewnia Internet, stoi jednak w sprzeczności z poufnością informacji. Każdą firmę czeka zatem niebagatelne zadanie ustalenia polityki i zasad dotyczących bezpieczeństwa i kontroli dostępu do danych, tak z zewnątrz, jak i w obrębie sieci lokalnej.

O rosnącej popularności sieci Internet świadczy chociażby liczba i treść artykułów zamieszczanych w prasie. Wydaje się, że już niedługo żadna firma nie będzie mogła obejść się bez dostępnych przez tę sieć bezcennych, rozrzuconych po całym świecie informacji. Łatwość dostępu, jaką zapewnia Internet, stoi jednak w sprzeczności z poufnością informacji. Każdą firmę czeka zatem niebagatelne zadanie ustalenia polityki i zasad dotyczących bezpieczeństwa i kontroli dostępu do danych, tak z zewnątrz, jak i w obrębie sieci lokalnej.

Przy wprowadzeniu w życie obowiązujących reguł warto skorzystać z oprogramowania amerykańskiej firmy Checkpoint Soft. Tech. o nazwie FireWall-1. Na wystawie Interop w Las Vegas w 1994 r. zostało ono uznane za najlepszy produkt w dziedzinie bezpieczeństwa sieci.

FireWall-1 pełni funkcję wyspecjalizowanego routera i jednocześnie filtru pakietów docierających do chronionej sieci. W najczęściej spotykanej konfiguracji sieci FireWall-1 jest zainstalowane na maszynie pracującej jako gateway i umieszczonej między zabezpieczaną siecią a routerem zapewniającym łączność z resztą świata.

Zawartość pakietu

W skład oprogramowania wchodzi moduł kontrolny instalowany na stacji administratora (może to być ta sama stacja, która pracuje jako główny gateway sieci) oraz jeden lub więcej modułów filtrujących. Jeden z nich znajduje się na głównym gatewayu, pozostałe na ważniejszych serwerach, gatewayach sieci wydziałowych czy dowolnych maszynach wymagających zaostrzonej kontroli dostępu. Jako dodatkową opcję dołączyć można pakiet kontrolny do zarządzania routerami (typu Cisco 9.1 czy Wellfleet). Dodatkowe moduły instalowane na poszczególnych komputerach pracują niezależnie od centrum zarządzania (modułu kontrolnego), są natomiast za jego pomocą konfigurowane i wyposażane w zestaw reguł kontroli dostępu.

Najważniejszy element oprogramowania, czyli moduł filtrujący, pracuje jako część jądra systemu operacyjnego komputera, na którym jest zainstalowany. Moduł przechwytuje wchodzące i wychodzące z maszyny pakiety na bardzo niskim poziomie, bezpośrednio z interfejsu sieciowego, włączając się między drugą a trzecią warstwę modelu OSI. Wchodzące i wychodzące pakiety są sprawdzane i porównywane z ustalonymi regułami filtru. Żaden niepowołany pakiet nie dostanie się do wyższej warstwy protokołów sieciowych i nie będzie przez nie odczytany, zanim nie zostanie sprawdzony i zaakceptowany przez Firewall-1. Zawartość pakietu może być analizowana w zakresie niesionych informacji dotyczących wszystkich warstw modelu (od 2 do 7). FireWall-1 "zna" wszystkie protokoły i usługi sieciowe oparte na protokole IP, a ponadto można je "nauczyć" nowej usługi sieciowej, używając języka programowania obiektowego wchodzącego w skład pakietu. FireWall-1 działa zgodnie z zasadą, że wszystko co nie jest wyraźnie dozwolone, jest zabronione.

Filozofia zabezpieczeń

Tworzone reguły dostępu do zasobów sieciowych mogą być bardzo szczegółowe - nie jest to w żadnym wypadku rozwiązanie typu wszystko albo nic. Użytkownik wciąż ma dostęp do wszystkich usług internetowych, tyle że w sposób bezpieczny i w pełni kontrolowany. Zainstalowanie dodatkowych modułów FireWall-1 na ważniejszych serwerach lub na gatewayach podsieci pozwala na zdefiniowanie ograniczeń dostępu już wewnątrz firmy, np. zgodnie ze strukturą współpracujących oddziałów. Pozwala to na stworzenie bardzo elastycznego i efektywnego systemu bezpieczeństwa obejmującego całe przedsiębiorstwa.

System ten może być błyskawicznie przedefiniowany, odzwierciedlając zmiany w polityce dostępu do informacji czy też w zasobach i topologii sieci. Jego rozdzielczość sięga pojedynczego adresu IP, rodzaju protokołu i usługi IP, a w procesach sprawdzania inicjowanych połączeń numeru otwartego dla usługi portu. Wszystkie protokoły i usługi sieciowe oparte na protokole IP (UDP, TCP, RPC, NFS, RIP, ICMP, ftp, telnet, SMTP, Archie, Gopher, Mosaic i in.) są rozpoznawane i związane z nimi połączenia są w odpowiedni sposób kontrolowane.

Ponieważ sprawdzanie pakietów i połaczeń przeprowadzane jest na bardzo niskim poziomie, działanie pakietu jest niezauważalne dla użytkownika sieci - chyba, że próbuje on dokonywać niedozwolonych, niezgodnych z regułami bezpieczeństwa prób dostępu, wówczas mu się to nie udaje - i nie ogranicza przepustowości ani prędkości sieci. Przeprowadzane przez producenta testy wykazały, że jakiekolwiek zmiany i opóźnienia w szybkości wykonywania operacji i przesyłania danych przez sieć (testy dla 10 Mbps Ethernet i FDDI) były niezauważalne.

Instalacja FireWall-1 pozwala na kompletne rozwiązanie problemów bezpieczeństwa sieci. Wdrożenie spójnej kontroli dostępu do informacji nie wymaga zatrudnienia firm doradczych, dodatkowych szkoleń dla pracowników, stosowania haseł ani żadnych dodatkowych aplikacji. Akcja podjęta przez FireWall-1 w razie wykrycia nielegalnej próby dostępu jest w pełni definiowana przez administratora. Jak w każdym nowoczesnym oprogramowaniu zarządzającym, operator ma do dyspozycji przyjazny interfejs graficzny, dzięki któremu wszelkie polecenia można wydawać za pomocą myszy. Centrum zarządzające pozwala na konfigurowanie i definiowanie filtrów w modułach filtrujących zainstalowanych na komputerach pełniących funkcje gatewaya, na serwerach czy na dowolnej, z jakiegoś powodu specjalnie chronionej, stacji roboczej. Administrator manipuluje ikonami reprezentującymi obiekty sieci - sieć, komputer, serwer, stację roboczą, itd. oraz ikonami przedstawiającymi usługi sieciowe oparte na IP. Można definiować nowe obiekty, trzeba się tylko zaznajomić z jezykiem programowania obiektowego, z którym pracuje FireWall-1. Informacje o nowych obiektach mogą być uzyskiwane od pracujących w sieci serwisów informacyjnych (np. NIS, yp, DNS). Za pomocą FireWall-1 całą politykę bezpieczeństwa w obrębie sieci i kontroli dostępu z zewnątrz można zapisać w postaci kolorowej tabeli z obrazkami. Stan modułów filtrujących (pakiety odrzucone, zaakceptowane, próby nawiązania łączności itd.) może być oglądany na bieżąco. Generowane raporty mogą wykorzystywać protokół SNMP. Współpraca z innym standardowym oprogramowaniem do zarządzania siecią jest także możliwa po wyposażeniu modułów filtrujących w pakiety SNMP.

Obsługa

Praca z oprogramowaniem FireWall-1 jest stosunkowo łatwa. Przede wszystkim polityka bezpieczeństwa sieci i jej szczegółowe reguły muszą zostać ustalone przez "decydentów".

Dla administratora pozostaje niewiele. Do kolejnych kolumn tabelki (zwanej Rule-Based Editor - patrz rys.) należy skopiować ikonę przedstawiającą element sieci, z którego pochodzi pakiet (np. "localnet"), obiekt reprezentujący adresata (np. "Mailserver") oraz ikonę odpowiadającą odpowiedniej usłudze internetowej (np. ftp, smtp, finger, rcp itd.). Czwartą, najważniejszą kolumnę, należy wypełnić ikonami typu "STOP" (biały napis w czerwonym sześciokącie), czyli "drop" pakiet (zignoruj), "accept" lub "reject" (wyślij informacje o odmowie dostępu).

Do zapełnienia pozostają kolumny określające jaką dodatkową akcję należy wykonać, gdy pojawi się próba nawiązania łączności w sposób niezgodny ze zdefiniowanymi regułami dostępu. W szczególności instruujemy FireWall-1 w jaki sposób należy zawiadomić administratora (E-mail, dzwonek, uruchomienie własnego skryptu lub programu) i jaką ilość informacji o wydarzeniu należy wpisać do logu. I jeszcze ostatnia kolumna mówiąca, gdzie dana reguła filtru ma zostać zainstalowana (na maszynie chroniącej wejście do sieci, serwerze wydziałowym, routerze łączącym oddział firmy zlokalizowanym w innym mieście itd.). Tu w zasadzie kończy się rola operatora - może on jeszcze czytać pliki z logami i reagować na informacje o próbach nielegalnego dostępu.

FireWall-1 dalej przetwarza utworzoną przez administratora tabelę generując skrypt filtru w języku programowania obiektowego, będącego częścią pakietu. Skrypt ten jest następnie kompilowany do postaci binarnej lub generowana jest lista dostępu przeznaczona do zainstalowania na routerze. Otrzymana tą drogą konfiguracja jest następnie rozsyłana przez Firewall-1 w odpowiednie miejsca - tzn. do modułu filtrującego zainstalowanego na gatewayu czy serwerze wydziałowym lub do routera zgodnie z zawartością ostatniej kolumny edytora reguł. Moduł filtrujący sprawdza wszystkie trafiające do niego pakiety na bardzo niskim poziomie (między warstwą II i III modelu OSI), analizuje ich zawartość, sprawdza czy pasują do znanych mu reguł i, w zależności od wyniku inspekcji, przekazuje pakiet wyższej warstwie protokołu IP do dalszego przetwarzania lub go odrzuca informując o tym operatora.

Konfiguracja

FireWall-1 można zakupić w konfiguracji odpowiadającej potrzebom danej sieci - możliwych zestawów produktu jest kilka. W najprostszej i najtańszej konfiguracji sprzedawany jest nośnik oprogramowania i pełna dokumentacja oraz licencja na oprogramowanie zarządzające (Rule Editor) oraz moduł filtrujacy zainstalowany na jednej maszynie, pracującej jako "gateway" dla sieci składającej się z maksymalnie 50 komputerów. W najbogatszej konfiguracji FireWall-1 oferuje możliwość zarządzania wszystkimi ważniejszymi serwerami i gateway'ami sieci oraz routerami. Jeśli chodzi o wymagania sprzętowe - w chwili obecnej oprogramowanie jest dostępne jedynie dla komputerów Suna wyposażonych w system operacyjny Solaris 2.3 lub 2.4 oraz w SunOS 4.1.3.

Autorka artykułu jest pracownikiem przedstawicielstwa Sun Microsystems w Warszawie


TOP 200