Stawianie ścian ogniowych

Wdrożenie firewalla jest podstawowym krokiem, jaki należy uczynić, jeśli firma chce podłączyć swoją sieć do Internetu. Wybór odpowiedniego firewalla nie powinien być jednak dziełem przypadku, lecz być zgodny z wymogami Polityki Bezpieczeństwa firmy.

Wdrożenie firewalla jest podstawowym krokiem, jaki należy uczynić, jeśli firma chce podłączyć swoją sieć do Internetu. Wybór odpowiedniego firewalla nie powinien być jednak dziełem przypadku, lecz być zgodny z wymogami Polityki Bezpieczeństwa firmy.

Podejmując decyzję o uruchomieniu łącza internetowego, należy mieć na uwadze to, że Internet jest siecią publiczną. Jest to jedna z jego najważniejszych zalet, ale zarazem także największa wada. Jeśli bowiem możemy praktycznie bez większych ograniczeń buszować po serwerach wszystkich użytkowników tej sieci, to samo mogą robić oni z naszymi serwerami. I nie można liczyć na łut szczęścia - znane są przypadki włamań do systemów komputerowych już w kilka minut od momentu ich podłączenia do Internetu.

Do ochrony powierzonych sieci danych można podejść na kilka sposobów. Można chronić z osobna każdy z jej elementów i wzmocnić jego indywidualną odporność na ataki. Jednak metoda ta zawiedzie całkowicie, gdy przyjdzie nam uporać się z problemem zabezpieczenia dużej sieci złożonej z setek czy tysięcy różnych komputerów. Zajęcie się każdym z nich wymagałoby poświęcenia zbyt wiele czasu. Lepszym rozwiązaniem jest więc potraktowanie systemu jako całości, jednolitego obiektu podlegającego ochronie - wybranie niezbędnego zestawu usług internetowych, zapewnianych przez nasz system i udostępnianych użytkownikom wewnętrznym i zewnętrznym.

Budowę takiej sieci można porównać do konstrukcji średniowiecznego zamku obwarowanego murami obronnymi i otoczonego fosą. Wejścia do zamku strzegła brama z mostem zwodzonym, przy którym strażnicy sprawdzali każdego wchodzącego i opuszczającego warownię. Zamiast bronić każdą budowlę z osobna, wystarczyło wznieść odpowiednio mocne mury i zaciekle bronić dostępu do środka przez bramę.

W systemie informatycznym idea twierdzy realizowana jest poprzez tzw. systemy firewall (ścian ogniowych). Termin wziął się z budownictwa, gdzie przewiduje się wznoszenie ścian odpornych na działanie ognia i które mają ograniczyć jego rozprzestrzenianie w przypadku pożaru. Także komputerowy firewall musi być odpowiednio odporny na "ogień" Internetu, czyli ataki włamywaczy. Tym, co różni firewall od budowlanego odpowiednika, jest "półprzepuszczalność" - umożliwienie komunikacji świata zewnętrznego z wewnętrznym w granicach określonych przez politykę bezpieczeństwa danej organizacji.

Pamiętać jednak należy o dwóch rzeczach. Po pierwsze, tak jak ściana ogniotrwała może wytrzymać określony napór ognia, a potem ulega zniszczeniu, tak i firewall nie jest urządzeniem zapewniającym pełne bezpieczeństwo. Firewall może ulec odpowiednio wyposażonemu w wiedzę hakerowi. Najgorsze jest to, że w zasadzie nie istnieją testy analogiczne do przeciwpożarowych, pozwalające na wydanie certyfikatu odporności firewalla na ataki. Właściwie możliwy jest jedynie test negatywny, czyli sprawdzenie, czy firewall nie jest odporny na dany typ ataku. Należy o tym pamiętać, gdy potencjalni dostawcy systemu firewall będą szczycić się posiadaniem określonych certyfikatów.

Drugim problemem jest postrzeganie firewalla jako panaceum na wszelkie problemy bezpieczeństwa. Tak nie jest. Firewall jest jedynie jednym z elementów większej układanki, czyli systemu zabezpieczeń.

System firewall jest usytuowany między siecią korporacyjną a siecią zewnętrzną, którą z reguły jest Internet. Potrafi chronić sieć korporacyjną przed atakami z zewnątrz za pomocą kontrolowania przepływu informacji między światem zewnętrznym a siecią wewnętrzną. Skuteczność ochrony zależy od wielu czynników: zastosowanej technologii firewall, poprawności jego konfiguracji i łatwości administrowania tym urządzeniem oraz uzupełnienia jego funkcjonalności o dodatkowe urządzenia i technologie.

Technologie

Najważniejszym elementem firewalla jest leżąca u jego podstaw technologia kontrolowania przepływu informacji. Najstarszym sposobem jest filtrowanie pakietów (packet filtering), w którym firewall przygląda się każdemu przesyłanemu pakietowi i "wyciąga" z jego nagłówka informację o adresie, spod którego pochodzi, adresie docelowym, wykorzystywanym protokole i usłudze internetowej. Na tej podstawie podejmuje decyzję, czy pakiet można przesłać, czy też należy go odrzucić. Przykładowo: można całkowicie wyeliminować połączenia ze światem zewnętrznym za wyjątkiem przesyłania poczty elektronicznej.

Taki sposób działania firewalla (packet filtering) charakteryzuje duża szybkość działania i "przezroczystość" dla użytkowników systemu. Jedynym minusem tego rozwiązania jest trudna i skomplikowana w testowaniu konfiguracja.

Filtrowanie pakietów doskonale ułatwia zapanowanie nad chaosem docierającym do naszego systemu z zewnątrz. Jednak wiele usług internetowych (np. WWW albo FTP) wymaga nieco innego podejścia do problemu zabezpieczania, a mianowicie zastosowania pośredników (proxy). Są to programy działające w systemie firewall, które w imieniu użytkowników naszej sieci "rozmawiają" ze światem zewnętrznym i w imieniu serwerów Internetu przekazują informację do odbiorców wewnątrz organizacji. Stoją niejako w bramie naszego grodu symbolizującego chronioną sieć. Nikt wprawdzie nie może ani wchodzić, ani wychodzić, ale dzięki pośrednikom nie jest to konieczne. Obydwu światom - zewnętrznemu i wewnętrznemu - wystarczy kontakt z pośrednikami przekazującymi otrzymane informacje dalej.

Kilka (nie)prawd

1. Nie jest prawdą, że firewall rozwiązuje problem bezpieczeństwa. Jest tylko jedną z wielu części systemu zabezpieczeń.

2. Pełny firewall to nie tylko możliwości filtrowania ruchu sieciowego, ale także współpraca z systemami identyfikacyjnymi, szyfrującymi i monitorującymi.

3. Firewall, jak każde rozwiązanie, wymaga poprawnej konfiguracji, zarządzania i aktualizacji. W przeciwnym razie nie będzie właściwie spełniał swoich zadań.

4. Do poprawnej implementacji i konfiguracji firewalla niezbędna jest jasna deklaracja w postaci polityki bezpieczeństwa.

5. Nie jest prawdą, że organizacja jest skazana na wybrany rodzaj firewalla. Wielu producentów firewalli oferuje niezwykle korzystne programy wymiany konkurencyjnych produktów na własne. Jeśli aktualny firewall nie spełnia oczekiwań, zawsze można go zmienić.