Firewall

Obsah

Co je to firewall

Firewall lze označit jako zařízení nebo software, které reguluje síťová spojení a přenos mezi komponenty počítačové sítě. Zabezpečuje a řídí síťový provoz mezi sítěmi a různou úrovní důvěryhodnosti a zabezpečení. Můžeme říci, že funguje jako kontrolní bod, který určuje pravidla pro komunikaci mezi sítěmi, a ty od sebe odděluje. Historicky tato pravidla vždy zahrnovala identifikaci cíle a zdroje dat. Tedy zrojovou a cílovou IP adresu, zdrojový a cílový port. V dnešní době je toto vše pro firewally současného typu nedostatečné, modernější typy se opírají i o informace o stavu spojení, znalost kontrolovaných protokolů a někdy i s prvky IDS. Firewall prakticky představuje množinu pravidel, která říkají, jaké pakety síťové úrovně propustit, a jaké neopak nahradit. Tj. např. IP a ICMP pakety.
Obsah

Historie firewallu

Termín firewall byl nejprve významem pro zeď, která měla zabránit pořážáru uvnitř budovy. Dale jako plech, který odděluje motoru vozidla, nebo v letadle prostor pro cestující. Technologie firewallu se objevila na konci 80.let 20. století., v době, kdy byl internet zcela novou technologií, pokud jde o jeho celosvětové použití a konektivitu. Jeho předchůdci v zabezpečování sítě byly směrovače, jež se najvíce používali právě ke konci 80. let, kdy se objevil firewall.

obr
Obr. ze stránek stránek http://weblopedi.net/41-firewall-nedir.html.

Obsah

Kategorie firewallu

Během svého vývoje se firewally řadily do několika kategorií.

Obsah

Paketové filtry

Tato forma firewallu je nejstarší a dalo by se říci i nejjednodušší. Její pravidla přesně uvádějí, z jaké adrasy, a z jakého portu, na jakou adresu a port může být doručen procházející paket. Kontrola se tedy provádí na třetí a čtvrté vrstvě modelu síťové komunikace OSI.
Výhodou je vysoká rychlost zpracování, díky které se tento typ firewallu používá ještě dnes. Nejvíce na místech kde je potřeba důkladnější analýza procházejících dat nebo přesnost. Spíše jde o vysokorychlostní přenosy velkýcj množství dat.
Nevýhodou je nízká úroveň kontroly, která se týká kontroly procházejících spojení, zejména u složitějších protokolů. Nejen, že nedostačuje ke kontrole vlastního spojení, ale pro takové spojení je potřeba otevřít i porty a směry spojení, které jsou nebo mohou být využiity jinými protokoly, než správce bezpečnosti zamýšlel povolit.
Mezi paketové filtry patří např. ACL (Access Control Lists) ve starších verzích operačního systému IOS na routrech spol. Cisco Systems.

Obsah

Aplikační brány

Neobjevily se o mnoho déle, než jednoduché paketové filtry. Byly to firewally, které již zcela oddělily sítě, mezi které byly postaveny. Mohou být také nazývány Proxy firewally. Pomocí aplikační brány probíhá veškerá komunikace formnou dvou spojení. Nejprve se k proxy připojí klient, to je ten, který spojení vyvolá. Proxy toto spojení zpracuje, a dále podle požadavků klienta otevře nové spojení k serveru, kde klientem je aplikační brána. Brána dostane data od serveru, které pak předá klientovi. Kontrola se provádí na sedmé vrstvě síťového modelu OSI. Od toho je odvozen název aplikační brány.
Výhodou je poměrně vysoké zabezpečení známých protokolů.
Nevýhodou je zde vysoká náročnost na používaný HW. Původní aplikační brány ještě vyžadovaly, aby uměl klient komunikovat s aplikační bránou a uměl dost dobře chránit svůj operační systém. Tyto nedostatky byly však časem odstraňovány. Tento vývoj byl však postupně zastaven po nástupu stavových paketových filtrů. Aplikační brány se v této podobě používají už jen ve velice specializovaných nasezeních.
Typyckými představiteli aplikačních bran byly např. The Firewall Toolkit. Z něj pak vycházející Gauntlet společnosti TIS, později zakoupený společností NAI.

Obsah

Stavové paketové filtry

Tyto filtry provádějí kontrolu stejně jako jednoduché paketové filtry, ale ukládají navíc informace o spojích které jsou povolené. Ty se pak nohou hodit při rozhodování, zda může být povolené spojení, a následovně být propuštěno. Nebo zda musí znovu projít procesem o rozodování. Tento systém urychluje zpracování paketů již povolených spojení. Dále lze v pravidlech pro firewalle uvádět jen směr navázání spojení a ten pak bude schopen povolit i odpovědní pakety. U známých protokolů i další spojení, která daný protokol používá.
Jednou z největších výhod těchto filtrů je vysoká rychlost, slušná úroveň zabezpečení a velice jednoduchá konfigurace. Díky zjednodušení konfigurace je zde i nižší pravděpodobnost chybného nastavení pravidel obsluhou.
Nevýhodou oproti jin7m aplikačním bránám je obecně nižší bezpečnost.
Mezi představitele patří např. FireWall spol. Check Poin do verze 4.0, starší verze Cisco PIX, Cisco IOS Firewall a atd.

Obsah

Stavové paketové filtry s kkontrolou protokolů a IDS

Moderní paketové filtry mají podobné funkce jako předešlé druhy filtrů, ale také mají funkci, kterou v marketingové terminologii různých společností nazýváme Deep Inspection nebo Application Intelligence. To znamená, že firewally kontrolují procházející spojení až na úrovenň korektnosti procházejících dat známých protokolů i aplikací. Novodobou technologií se v oblasti firewall stávají tzv. in-line IDS(Introsion Detection Systems - systémy pro detekci útoků). Tyto systémy pracují podobně jako antiviry. Ty jsou pomocí databáze schopny odhalit vzroce i ve zdánlivě nesouvisejících pokusech o spojení.
Výhodou těchto systémů je opět vysoká rychlost kontroly, i když je zřejmé zpomalení proti stavovým filtrům. Další výhodou je vysoká úroveň bezpečnosti, kontroly procházejících protokolů při zachování relativně snadné konfigurace.
Nevýhodou je pravděpodobnost, že v některé části jejich kódu bude zneužitelná chyba, která povede ke kompromitování celého systému.
Patří sem např. Check Point FireWall-1 (od verze 4.1, nyní NGX), produkty řady Netscreen a atd.

Obsah

obr

Obr. ze stránek stránek http://statnice.dqd.cz/_media/home:prog:osi_model.jpg?cache=.

Literatura

  1. http://cs.wikipedia.org/wiki/Firewall, 11.11.2011
  2. http://www.fi.muni.cz/~kas/p090/referaty/2009-jaro/st/fw.html, 21.11.2011

Obsah


Více o Firewall: výsledky vyhledávání na google

O autorovi

Výpočet

Ověřit XHTML 1.0 Strict
Ověřit CSS