3 Komponenty sieťového bezpečnostného systému
3.2 Firewall

Bezpečnostná brána (firewall) je typický hraničný kontrolný mechanizmus alebo perimeter obrany. Účelom firewallu je, aby zabránil neoprávnenému prístupu do alebo zo siete pomocou blokovania prevádzky zvonka alebo zvnútra tejto siete.

Všetky dáta vstupujúce alebo opúšťajúce sieť cez firewall sú skúmané vo forme každého paketu, pričom firewall blokuje tie, ktoré nespĺňajú stanovené bezpečnostné kritériá. Firewally môžu byť implementované v hardvéri aj softvéri alebo v kombinácii oboch [8].

Firewally presadzujú bezpečnostné pravidlá organizácie pomocou obmedzenia prístupu ku konkrétnym sieťovým zdrojom. Bránu (firewall) môžeme prirovnať k zámku na vstupných dverách alebo k dverám do miestnosti vo vnútri budovy – tie sú prístupné len autorizovaným používateľom, ktorí musia mať pre vstup kľúč alebo prístupovú kartu. Technológia firewallu je k dispozícii aj vo verzii vhodnej pre domáce použitie, pričom vytvára ochrannú vrstvu medzi sieťou a vonkajším svetom. V skutočnosti firewall replikuje sieť na mieste vstupu tak, že môže prijímať a vysielať autorizované dáta bez značného oneskorenia. Obsahuje vstavané filtre, ktoré znemožňujú neautorizovaným alebo potencionálne nebezpečným materiálom vniknúť do reálneho systému. Okrem toho firewall poskytuje dôležitú záznamovú (logging) a kontrolnú (audit) funkciu. Správca siete môžu využiť tieto informácie na prehľad o danej sieti, napr. aký typ a objem prevádzky sa prenáša cez danú sieť alebo aké boli pokusy o vniknutie do danej siete.

Národný inštitút pre štandardy a technológie (NIST) 800 - 41, [9] rozdeľuje firewall na tri základné typy: paketové filtre, kontrola stavu firewallu a proxy. Tieto tri kategórie nevytvárajú samostatné jednotky ale naopak spolupracujú, pretože väčšina moderných firewallov predstavuje kombináciu všetkých typov na zlepšenie funkčnosti.

Brány typu paketový filter sú v podstate smerovacie zariadenia, ktoré obsahujú funkciu riadenia prístupu pre adresy systému a komunikačné relácie. Tiež môžu filtrovať sieťovú prevádzku na základe určitých charakteristík tejto prevádzky. Sú zvyčajne rozmiestnené v rámci sieťovej infraštruktúry TCP/IP. Ich hlavné prednosti sú rýchlosť a flexibilita. Naopak najväčšou slabinou je ich neschopnosť zabrániť útokom, ktoré cielia na konkrétne zraniteľnosti aplikácií (pretože neskúmajú údaje hornej vrstvy).

Tabuľka 1 ukazuje jednoduchý paketový filter s nastavením pravidiel, uvedené v [9]    

Zdrojová adresa

Zdrojový port

Cieľová adresa

Cieľový port

Akcia

Popis

1

Akákoľvek

Akýkoľvek

192.168.1.0

> 1023

Povelená

Pravidlo povoľujúce návrat TCP spojení do internej podsiete

2

192.168.1.1

Akýkoľvek

Akákoľvek

Akýkoľvek

Zakázaná

Chráni systém firewallu od priameho pripojenia

3

Akákoľvek

Akýkoľvek

192.168.1.1

Akýkoľvek

Zakázaná

Zabraňuje externým používateľom priamo pristupovať k firewallovému systému

4

192.168.1.0

Akýkoľvek

Akákoľvek

Akýkoľvek

Povolená

Interní používatelia môžu pristupovať k externým serverom

5

Akákoľvek

Akýkoľvek

192.168.1.2

SMTP

Povolená

Povolenie externým používateľom posielať emaily

6

Akákoľvek

Akýkoľvek

192.168.1.3

HTTP

Povolená

Povolenie externým používateľom prístup k WWW serveru

7

Akákoľvek

Akýkoľvek

Akákoľvek

Akýkoľvek

Zakázaná

Všetko, čo nie je v prechádzajucom povolené je explicitne zakázané

Kontrola stavu firewallu známa tiež ako dynamické filtrovanie paketov je technológia, ktorá monitoruje stav aktívnych pripojení a používa tieto informácie na určenie toho, ktoré sieťové pakety môžu prejsť cez firewall. Tento typ firewallu analyzuje pakety až do aplikačnej vrstvy. Pomocou zaznamenaných informácií o relácii ako sú IP adresy a čísla portov, môže dynamický paketový filter realizovať oveľa prísnejšie bezpečnostné zásady pomocou skúmania určitých hodnôt v protokolových hlavičkách s cieľom monitorovať stav každého pripojenia v čase. Odchádzajúce pakety, ktoré požadujú konkrétne typy prichádzajúcich paketov sú sledované a iba tieto prichádzajúce pakety tvoria správnu odpoveď, ktorá je povolená a bude prepustená cez firewall. Každý nový paket je porovnávaný so stavovou tabuľkou firewallu, čím sa určí či je stav paketu v rozpore s jeho očakávaným stavom. Tradičná stavová kontrola firewallu nekontroluje užitočný obsah sieťových paketov a ani nemá inteligenciu na rozlišovanie jedného druhu webovej prevádzky od inej (napr. legitímne aplikácie a útoky).

Proxy firewally alebo Application Gateway firewally sú pomerne novým prírastkom do oblasti bezpečnosti. Proxy firewally kombinujú známu stavovú kontrolu so schopnosťou vykonávať hĺbkovú kontrolu aplikácií. Táto funkcia umožňuje analýzu protokolov na aplikačnej vrstve, ako je HTTP a FTP a monitorovanie prevádzky. Jej cieľom je porovnať neškodnú činnosť protokolu s aktuálnou aktivitou a tým identifikovať prípadné odchýlky, ktoré môžu znamenať príznaky útoku. Toto umožňuje firewallu povoliť alebo zakázať prístup na základe toho ako aplikácia beží v rámci siete.

Next-Generation Firewall (NGFW) je integrovaná sieťová platforma, ktorá kombinuje tradičný firewall s ďalšími sieťovými zariadeniami na filtrovanie ako je napríklad proxy firewall využívajúci in-line hĺbkovú inšpekciu paketov (deep packet inspection DPI), systém pre prevenciu narušenia (intrusion prevention system IPS) a/alebo ďalšie techniky ako je SSL a SSH zachytávanie, filtrovanie webových stránok, QoS / správa šírky pásma, antivírusová kontrola a integrácia tretích strán (napríklad Active Directory) [10]. V skutočnosti tieto techniky predstavujú zjednotený manažment hrozieb UTM (unified threat management). Hlavnou nevýhodou NGFW je to, že zvyčajne NGFW má tendenciu používať samostatné interné moduly na vykonanie jednotlivých bezpečnostných funkcií. Preto môže byť paket skúmaný niekoľkokrát rôznymi modulmi, aby sa zistilo či má povolenie od siete. Tento prístup pridáva oneskorenie (latenciu), čo môže mať negatívny vplyv na výkon siete.