Implementacja

Po dokonaniu wyboru firewalla pozostaje przeprowadzenie jego implementacji. Składa się na to odpowiednia reorganizacja sieci korporacyjnej i konfiguracja firewalla.

Najczęściej popełnianym błędem jest instalacja firewalla w standardowej konfiguracji - w wielu przypadkach oznacza to, że jest on otwarty na wszystko, czyli pod względem bezpieczeństwa nic się nie zmieniło. A właściwie jest gorzej, gdyż uspokojono sumienie osób odpowiedzialnych za bezpieczeństwo. Uważając, że od tego momentu nie ma się czego obawiać, stają się one (a właściwie zarządzana przez nich sieć) jeszcze łatwiejszymi ofiarami włamywaczy.

Nawet jeśli firewall zostanie zainstalowany i skonfigurowany poprawnie, może się okazać, że istnieje łatwiejszy sposób wejścia do wnętrza systemu niż jego forsowanie. Często jest to efekt nie rozpoznanej i nie udokumentowanej struktury sieci korporacyjnej. Trzeba pmiętać, że firewall może ochronić tylko przed tym, co widzi, a jest tym tylko ruch między siecią wewnętrzna a Internetem. Jeśli wewnątrz będą funkcjonować nie udokumentowane modemy, wystarczy, że włamywacz zadzwoni bezpośrednio na nie. Jeśli oprócz łącza internetowego firma ma również sieć rozległą, to przez systemy zdalnych jednostek również może przyjść niespodziewany atak.

Konfiguracja firewalla musi być spójna z opracowaną dla danej firmy polityką bezpieczeństwa - w przeciwnym razie taka konfiguracja będzie podlegać ciągłym, nie kontrolowanym zmianom, mającym na celu dostosowanie do aktualnych i zazwyczaj stale zmieniających się potrzeb. Bez odpowiedniej dokumentacji po pewnym czasie nikt nie będzie wiedział, co się dzieje z firewallem - czego przesyłanie jest dozwolone, a czego zabronione.

Polityka bezpieczeństwa powinna także jednoznacznie wskazywać osobę, odpowiedzialną za utrzymanie firewalla, czyli jego aktualizowanie, instalowanie wszelkich poprawek, archiwizowanie jego konfiguracji i wobec której będzie można wyciągać określone konsekwencje w przypadku niewypełniania przez nią nałożonych na nią obowiązków.

Należy pamiętać, że efektywność działania firewalla zależy od jego aktualności (czytaj: odporności na znane ataki), konfiguracji i niemożności obejścia zabezpieczeń. Tak jak skuteczność murów obronnych zależy od tego, czy są odporne na działanie aktualnej broni, są odpowiednio zaprojektowane i czy nie można pod nimi zrobić podkopu.

Czy firewall jest potrzebny

Coraz częściej podnoszone są głosy o zmierzchu firewalli. Mówi się, że stały się one zbyt skomplikowanymi aplikacjami bądź urządzeniami. Poszukiwane są alternatywne rozwiązania zabezpieczające poszczególne komputery i komunikację między nimi. Nowy standard Internetu IPv6 wraz z jego częścią odpowiadającą za bezpieczeństwo, czyli IPsec, zapewnią to co najważniejsze, czyli potwierdzenie tożsamości drugiej strony oraz szyfrowanie transmisji. Niemniej wydaje się, że jeszcze długo firewall będzie podstawowym narzędziem zabezpieczającym od zewnątrz sieć organizacji. Taka półprzezroczysta przegroda jest konieczna do odizolowania środowiska wewnętrznego przy zachowaniu możliwości łączenia się ze światem zewnętrznym.

Z pewnością firewalle nie przetrwają w formie podstawowej. Będą one uzupełniane o rozwiązanie wzmacniające metody identyfikacji użytkowników, systemy monitorujące i alarmujące, systemy szyfrowania transmisji, technologię sieci wirtualnych (VPN) i filtry zawartości przesyłanych danych. Już obecnie niektóre z produktów mają taką funkcjonalność.

Strażnik stojący w bramie twierdzy musi mieć możliwość bezbłędnego określenia tożsamości próbującego wejść do środka. Ze względu na łatwość fałszowania adresów w sieciach TCP/IP prosty mechanizm polegający na sprawdzeniu adresu nadawcy pakietu absolutnie nie wystarcza. Strażnik musi rozpoznać nie tylko adres nadawcy, ale również samego nadawcę.

Powszechnie stosowane systemy haseł to tzw. systemy statyczne. Użytkownik określa swoje hasło jako pewien ciąg znaków, z reguły ograniczony w długości do ośmiu symboli. Wszystko byłoby dobrze, gdyby pracownicy firmy wybierali hasła trudne do odgadnięcia. Jednak w większości przypadków hasłami stają się imiona ukochanych osób lub zwierząt, numery telefonów, adresy zamieszkania itp. Sytuację pogarsza dodatkowo fakt, że owe hasła, chociaż na lokalnym komputerze szyfrowane bardzo mocnymi algorytmami kodowania, są zazwyczaj przesyłane przez Internet w postaci niezaszyfrowanego tekstu. Wystarczy, aby ktoś je "podsłuchał" przy użyciu specjalnego oprogramowania, gdy będą podróżować do miejsca przeznaczenia (co jest bardzo łatwe do wykonania).

Przechytrzyć włamywacza

Wobec tego systemy firewall umożliwiają zastosowanie haseł jednokrotnych albo dynamicznych. Użytkownik potrzebujący dostępu do systemu z zewnątrz otrzymuje urządzenie (identyfikator) generujące niepowtarzalne hasła dostępu. Nawet w przypadku "podsłuchania" hasła włamywacz nie może go powtórnie użyć, gdyż do ponownego wejścia do systemu niezbędne będzie zupełnie inne hasło. Identyfikatory mogą być w różnorodnej postaci, choć ostatnio coraz popularniejsze stają się tzw. karty dostępowe. Są to kalkulatorki wielkości karty kredytowej wyposażone w algorytm szyfrowania (na przykład DES) i zaprogramowane dla konkretnego użytkownika. Dostęp do kalkulatorka chroniony jest przez numer PIN (znowu jak w karcie kredytowej). Istnieje też możliwość wysłania do systemu hasła wszczynającego alarm, np. "Uwaga! Użytkownik X jest terroryzowany! Konieczna pomoc!".

Alternatywą dla identyfikatorów w formie kalkulatorka są karty elektroniczne (smartcards), które przechowują w swojej pamięci informacje niezbędne do identyfikacji właściciela. Może to być na przykład certyfikat X.509 uzupełniony o zaszyfrowany klucz prywatny danej osoby. Włożona do czytnika karta przesyła do systemu certyfikat, którego integralność jest weryfikowana na podstawie podpisu elektronicznego centrum certyfikacyjnego. Następnie otrzymuje do zaszyfrowania pewien losowy ciąg znaków, który może zostać odszyfrowany jedynie za pomocą klucza z certyfikatu. Jeżeli odszyfrowanie się powiodło, wówczas potwierdzona została integralność pary kluczy, co przyjmuje się za potwierdzenie tożsamości właściciela. Taki system działa najlepiej w ramach struktury katalogowej ISO X.500 lub co najmniej jej lżejszej wersji, czyli LDAP.